Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин
Шрифт:
Интервал:
Плюсы продвинутого подхода к детальному тестированию:
1. Анализируются причинно-следственные связи. В результате получаются более точные и полезные рекомендации, нацеленные на первопричины риска. Аудитор, однако, не должен забывать, что для поиска первопричин необходимо больше ресурсов, в первую очередь времени, чем просто на выявление недостатков.
2. Нацеленность на расчет экономического эффекта, что придает больше значимости выводам по результатам проекта внутреннего аудита. На расчет экономического эффекта также необходимы дополнительные ресурсы. Однако это часто нивелируется повышенным интересом к результатам работы ПВА со стороны высшего руководства и акционеров.
3. Выводы являются более доказательными, т. к. чаще основываются на рисках, которые уже реализовались. Это особенно важно при работе с российскими управленцами, особенно старой закалки, которые придерживаются принципа «если что-то нельзя пощупать, то этого не существует». Однако это не означает, что продвинутый подход ограничивается только реализовавшимися рисками. Технически продвинутый подход также направлен на выявление рисков, существенных как с точки зрения силы воздействия, так и с точки зрения вероятности.
Минусы продвинутого подхода к детальному тестированию:
1. Требует более значительных затрат ресурсов и более высокой квалификации команды. Как уже говорилось, продвинутый подход приносит больше результатов, когда его используют опытные аудиторы. Они способны форсировать промежуточные этапы анализа и могут быстро переключаться между различными причинно-следственными цепочками, а также выстраивать новые и достраивать цепочки в условиях ограниченной информации.
2. Ряд процессов (подпроцессов) могут целиком выпадать из тестирования в результате концентрации на крупнейших рисках. По этой причине аудит двух сопоставимых объектов аудита может проходить совершенно по-разному, теряется сопоставимость результатов аудита. То же самое происходит в случае аудита одного и того же объекта, проведенного в разное время. Однако во многом это, как ни странно, дело вкуса.
На практике редко встречаются ситуации, когда ПВА используют только один подход. Все-таки большинство ПВА являются экспертами как минимум в отдельных вопросах тематики своих проектов, например в области бухгалтерского и/или налогового учета. В этом случае команда внутренних аудиторов на проекте естественным образом склоняется к использованию продвинутого подхода к детальному тестированию. Если знания о нюансах аудируемого процесса стремятся к нулю, внутренние аудиторы склонны использовать классический подход. Так или иначе, чем ниже профессиональный уровень сотрудников ПВА, тем меньше у них возможностей сделать осознанный выбор между классическим и продвинутым подходом.
Также хотелось бы продемонстрировать разницу между двумя подходами на примере двух вариантов отчета (см. табл. 19). За основу взят стандартный формат пункта отчета – наблюдение (суть недостатка), последствия (к чему приводит недостаток), причина (что способствует недостатку), рекомендации (что нужно сделать для управления недостатком). Пример предполагает, что обнаружена негативная ситуация в ходе аудита процесса «Закупки» – подрядчики выбираются на произвольной основе без проведения конкурсного отбора путем тендера.
Таблица 19. Сопоставление содержания отчета при использовании разных подходов к тестированию
Сначала рассмотрим результаты применения классического подхода к детальному тестированию.
После составления описания процесса аудиторы с высокой вероятностью обнаружат, что процедуры конкурсного отбора отсутствуют. В этой ситуации, исходя из методологии классического подхода, дальнейшее детальное тестирование не проводится, т. к. очевиден недостаток – отсутствие процедуры тендера. Поэтому в разделе «Наблюдение» аудитор ставит описание недостатка как отсутствие ключевой контрольной процедуры. Дополнительное детальное тестирование (например, чтобы уточнить последствия) не проводится, поскольку не проводится основное детальное тестирование. По этой причине в разделе «Последствия» приводится описание не фактических, а теоретических последствий, хотя и весьма вероятных. При формировании раздела «Причина» у аудитора возникают проблемы, т. к. ему необходимо установить причину исходя из проведенной работы, а это только описание процесса (дополнительное детальное тестирование опять не проводится, поскольку нет основного детального тестирования). Один из наиболее распространенных вариантов выхода из такой ситуации состоит в указании на отсутствие регламента, посвященного процессу «Закупки» и процедуре конкурсного отбора. Отсутствие или наличие регламента можно установить и на основе описания процесса. Если аудитор следует правильной методологии, то раздел «Рекомендации» заполняется автоматически – математически говоря, рекомендация равна причине с обратным знаком. Так как детальное тестирование не проводилось, аудитор не знает о фактах реализации рисков, связанных с отсутствием конкурсного отбора подрядчиков.
При использовании методологии продвинутого подхода детальное тестирование проводится как для формирования раздела «Наблюдение», так и для формирования разделов «Последствия» и «Причина». Отсутствие процедур конкурсного отбора подрядчиков уже не является основанием для прекращения работы, а наоборот, служит отправной точкой для ее начала. С помощью детального тестирования аудитор выясняет, наблюдались ли факты реализации рисков, связанных с отсутствием указанных процедур. После выявления таких фактов он проводит экономическую оценку реализовавшихся рисков и формирует содержание раздела «Наблюдения». Затем на основании экстраполяции или прямого пересчета (например, по аналогичным случаям на подходе) аудитор готовит информацию для раздела «Последствия». Чтобы установить первопричину выявленных недостатков, аудитору может потребоваться дополнительное детальное тестирование, в том числе для исключения основных теоретически возможных причин. Например, в рассматриваемом случае причиной выбора подрядчиков, предложивших более высокую цену при прочих равных условиях, могли быть арифметические или методологические ошибки проектной документации или срочная потребность в определенных работах или услугах. В качестве основной причины выступает отсутствие контрольной процедуры. Раздел «Рекомендации» заполняется автоматически – внедрить контрольную процедуру (в такие-то сроки и т. д.).
Как видно из вышеуказанных примеров, использование двух подходов приводит к формированию во многом различающихся отчетов. В целом отчет, сформированный с использованием классического подхода, имеет структуру, приведенную в табл. 20, а отчет, сформированный с использованием продвинутого подхода, – в табл. 21. Следует обратить внимание на один существенный нюанс. При использовании классического подхода довольно часто в качестве наблюдения указывается недостаток определенной контрольной процедуры, вплоть до отсутствия контроля как такового. Однако с точки зрения многих российских руководителей недостатки контрольных процедур или их полное отсутствие не являются очевидным негативом или фактором того или иного риска. По этой причине материалы, полученные с использованием продвинутого подхода, вызывают повышенный интерес у руководителей по сравнению с материалами, полученными с использованием классического подхода.
Поделиться книгой в соц сетях:
Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!