Чтение онлайн

Таблица 19. Сопоставление содержания отчета при использовании разных подходов к тестированию

Сначала рассмотрим результаты применения классического подхода к детальному тестированию.

После составления описания процесса аудиторы с высокой вероятностью обнаружат, что процедуры конкурсного отбора отсутствуют. В этой ситуации, исходя из методологии классического подхода, дальнейшее детальное тестирование не проводится, т. к. очевиден недостаток – отсутствие процедуры тендера. Поэтому в разделе «Наблюдение» аудитор ставит описание недостатка как отсутствие ключевой контрольной процедуры. Дополнительное детальное тестирование (например, чтобы уточнить последствия) не проводится,

поскольку не проводится основное детальное тестирование. По этой причине в разделе «Последствия» приводится описание не фактических, а теоретических последствий, хотя и весьма вероятных. При формировании раздела «Причина» у аудитора возникают проблемы, т. к. ему необходимо установить причину исходя из проведенной работы, а это только описание процесса (дополнительное детальное тестирование опять не проводится, поскольку нет основного детального тестирования). Один из наиболее распространенных вариантов выхода из такой ситуации состоит в указании на отсутствие регламента, посвященного процессу «Закупки» и процедуре конкурсного отбора. Отсутствие или наличие регламента можно установить и на основе описания процесса. Если аудитор следует правильной методологии, то раздел «Рекомендации» заполняется автоматически – математически говоря, рекомендация равна причине с обратным знаком. Так как детальное тестирование не проводилось, аудитор не знает о фактах реализации рисков, связанных с отсутствием конкурсного отбора подрядчиков.

При использовании методологии продвинутого подхода детальное тестирование проводится как для формирования раздела «Наблюдение», так и для формирования разделов «Последствия» и «Причина». Отсутствие процедур конкурсного отбора подрядчиков уже не является основанием для прекращения работы, а наоборот, служит отправной точкой для ее начала. С помощью детального тестирования аудитор выясняет, наблюдались ли факты реализации рисков, связанных с отсутствием указанных процедур. После выявления таких фактов он проводит экономическую оценку реализовавшихся рисков и формирует содержание раздела «Наблюдения». Затем на основании экстраполяции или прямого пересчета (например, по аналогичным случаям на подходе) аудитор готовит информацию для раздела «Последствия». Чтобы установить первопричину выявленных недостатков, аудитору может потребоваться дополнительное детальное тестирование, в том числе для исключения основных теоретически возможных причин. Например, в рассматриваемом случае причиной выбора подрядчиков, предложивших более высокую цену при прочих равных условиях, могли быть арифметические или методологические ошибки проектной документации или срочная потребность в определенных работах или услугах. В качестве основной причины выступает отсутствие контрольной процедуры. Раздел «Рекомендации» заполняется автоматически – внедрить контрольную процедуру (в такие-то сроки и т. д.).

Как видно из вышеуказанных примеров, использование двух подходов приводит к формированию во многом различающихся отчетов. В целом отчет, сформированный с использованием классического подхода, имеет структуру, приведенную в табл. 20, а отчет, сформированный с использованием продвинутого подхода, – в табл. 21. Следует обратить внимание на один существенный нюанс. При использовании классического подхода довольно часто в качестве наблюдения указывается недостаток определенной контрольной процедуры, вплоть до отсутствия контроля как такового. Однако с точки зрения многих российских руководителей недостатки контрольных процедур или их полное отсутствие не являются очевидным негативом или фактором того или иного риска. По этой причине материалы, полученные с использованием продвинутого подхода, вызывают повышенный интерес у руководителей по сравнению с материалами, полученными с использованием классического подхода.

Таблица 20. Структура и суть содержания отчета (классический подход)

Таблица 21. Структура и суть содержания отчета (продвинутый подход)

По завершении детального тестирования формируется окончательный вариант матрицы рисков и контрольных процедур как итог процесса обновления матрицы в течение всего проекта. Обратите внимание на различия в структуре матрицы, сформированной с использованием разных подходов к детальному тестированию (см. табл. 22).

Таблица 22. Различия содержания матрицы при использовании различных подходов

Тема достаточности доказательств характеризуется рядом неоднозначных моментов. При сборе и формировании доказательной базы аудитору необходимо иметь представление о следующих нюансах:

1. Бесспорность доказательств. Очень часто на бесспорность оказывают влияние психологические факторы. В этом смысле, как ни странно, бесспорность доказательств весьма субъективна. Один из наиболее типичных случаев подобной ситуации связан с конкретной выборкой, использовавшейся для проведения детального тестирования и формирования последующих выводов. Для одних руководителей нескольких случаев негатива уже достаточно, чтобы прочувствовать серьезность происходящего. Другие, фигурально выражаясь, замечают пожар только тогда, когда горит уже весь дом. При формировании доказательной базы аудитору необходимо руководствоваться не только общепринятой профессиональной методологией, но и восприятием результатов данной методологии руководством объекта аудита и пользователями отчета.

2. Сопоставимость существенности доказательств и доказываемой позиции. По общему правилу чем короче причинно-следственная цепочка, тем более очевидной является взаимосвязь событий. Например, некоторые аудиторы наивно полагают, что существенные огрехи процесса лечатся написанием регламента процесса. Однако на практике это почти всегда не так. Даже между уже написанным регламентом и его влиянием на устранение недостатков лежит огромная пропасть времени и событий. Или еще один типичный пример, когда необоснованность цены закупки ТМЦ доказывается альтернативными данными по ценам на эту ТМЦ из Интернета. В большинстве случаев данный подход к формированию доказательной базы по ценам неприменим. Условия формирования опротестованных цен понятны, а условия формирования цен из Интернета нет.

3. Качество бьет количество. По общему правилу одно прямое доказательство всегда лучше множества косвенных. Например, фотография изношенного объекта основных средств намного лучше говорит о его состоянии и полезности для производственного процесса, чем данные бухучета о сроке ввода данного ОС в эксплуатацию и статистика по проведенным ремонтам.

Также существует ряд качественных характеристик доказательств, которые оказывают влияние на их существенность:

1. Визуальные, письменные и устные доказательства. Данные виды доказательств выстроены в порядке убывания их существенности. Устные доказательства наименее полезны. Исключение может составить аудиозапись устного свидетельства, однако такой инструмент недоступен подавляющему количеству ПВА.

2. Внешние и внутренние источники доказательств. По общему правилу внешние источники более убедительны при их достаточной независимости по отношению к объекту аудита. Кроме того, внешний источник должен восприниматься как надежный сотрудниками объекта аудита и пользователями аудиторского отчета.

3. Доказательства, сформированные самим и не самим аудитором. В большинстве случаев доказательства, сформированные самим аудитором, намного надежнее. Однако надежность доказательств «со стороны» можно увеличить. Во-первых, можно провести дополнительные проверки (например, пересчет или сверку с другими источниками). Во-вторых, получить уверенность в том, что при формировании доказательств использовалась строго определенная методология. В-третьих, инспектировать процесс подготовки доказательств.

4. Доказательства, полученные из действующих ИТ-систем и из бумажных хранилищ. В целом данные из ИТ-систем более достоверны, чем данные из «бумажных» систем. В первую очередь это связано с наличием большего количества контрольных процедур в ИТ-системе. Кроме того, данные из ИТ-систем обычно сложнее изменить. В случае изменения в ИТ-системе часто остаются следы, позволяющие отследить его хронологию и суть. Также существует практика принятия решения о доверии ИТ-системе после специального тестирования, в основном направленного на оценку надежности ее системы внутреннего контроля.

5. Доказательства из систем, контролируемых и не контролируемых сторонними организациями (субъектами). Если есть сторонний субъект, заинтересованный в обеспечении достоверности и надежности данных, то такие данные, без сомнения, весьма надежны. Классическим примером являются данные государственных структур, осуществляющих регистрацию, например сделок с недвижимостью или таможенных процедур.

6. Оригинал и копия. Как ни странно, в целом особых различий нет. Просто психологически копия часто воспринимается как менее достоверная по сравнению с оригиналом.