Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин
Шрифт:
Интервал:
Таблица 20. Структура и суть содержания отчета (классический подход)
Таблица 21. Структура и суть содержания отчета (продвинутый подход)
По завершении детального тестирования формируется окончательный вариант матрицы рисков и контрольных процедур как итог процесса обновления матрицы в течение всего проекта. Обратите внимание на различия в структуре матрицы, сформированной с использованием разных подходов к детальному тестированию (см. табл. 22).
Таблица 22. Различия содержания матрицы при использовании различных подходов
Тема достаточности доказательств характеризуется рядом неоднозначных моментов. При сборе и формировании доказательной базы аудитору необходимо иметь представление о следующих нюансах:
1. Бесспорность доказательств. Очень часто на бесспорность оказывают влияние психологические факторы. В этом смысле, как ни странно, бесспорность доказательств весьма субъективна. Один из наиболее типичных случаев подобной ситуации связан с конкретной выборкой, использовавшейся для проведения детального тестирования и формирования последующих выводов. Для одних руководителей нескольких случаев негатива уже достаточно, чтобы прочувствовать серьезность происходящего. Другие, фигурально выражаясь, замечают пожар только тогда, когда горит уже весь дом. При формировании доказательной базы аудитору необходимо руководствоваться не только общепринятой профессиональной методологией, но и восприятием результатов данной методологии руководством объекта аудита и пользователями отчета.
2. Сопоставимость существенности доказательств и доказываемой позиции. По общему правилу чем короче причинно-следственная цепочка, тем более очевидной является взаимосвязь событий. Например, некоторые аудиторы наивно полагают, что существенные огрехи процесса лечатся написанием регламента процесса. Однако на практике это почти всегда не так. Даже между уже написанным регламентом и его влиянием на устранение недостатков лежит огромная пропасть времени и событий. Или еще один типичный пример, когда необоснованность цены закупки ТМЦ доказывается альтернативными данными по ценам на эту ТМЦ из Интернета. В большинстве случаев данный подход к формированию доказательной базы по ценам неприменим. Условия формирования опротестованных цен понятны, а условия формирования цен из Интернета нет.
3. Качество бьет количество. По общему правилу одно прямое доказательство всегда лучше множества косвенных. Например, фотография изношенного объекта основных средств намного лучше говорит о его состоянии и полезности для производственного процесса, чем данные бухучета о сроке ввода данного ОС в эксплуатацию и статистика по проведенным ремонтам.
Также существует ряд качественных характеристик доказательств, которые оказывают влияние на их существенность:
1. Визуальные, письменные и устные доказательства. Данные виды доказательств выстроены в порядке убывания их существенности. Устные доказательства наименее полезны. Исключение может составить аудиозапись устного свидетельства, однако такой инструмент недоступен подавляющему количеству ПВА.
2. Внешние и внутренние источники доказательств. По общему правилу внешние источники более убедительны при их достаточной независимости по отношению к объекту аудита. Кроме того, внешний источник должен восприниматься как надежный сотрудниками объекта аудита и пользователями аудиторского отчета.
3. Доказательства, сформированные самим и не самим аудитором. В большинстве случаев доказательства, сформированные самим аудитором, намного надежнее. Однако надежность доказательств «со стороны» можно увеличить. Во-первых, можно провести дополнительные проверки (например, пересчет или сверку с другими источниками). Во-вторых, получить уверенность в том, что при формировании доказательств использовалась строго определенная методология. В-третьих, инспектировать процесс подготовки доказательств.
4. Доказательства, полученные из действующих ИТ-систем и из бумажных хранилищ. В целом данные из ИТ-систем более достоверны, чем данные из «бумажных» систем. В первую очередь это связано с наличием большего количества контрольных процедур в ИТ-системе. Кроме того, данные из ИТ-систем обычно сложнее изменить. В случае изменения в ИТ-системе часто остаются следы, позволяющие отследить его хронологию и суть. Также существует практика принятия решения о доверии ИТ-системе после специального тестирования, в основном направленного на оценку надежности ее системы внутреннего контроля.
5. Доказательства из систем, контролируемых и не контролируемых сторонними организациями (субъектами). Если есть сторонний субъект, заинтересованный в обеспечении достоверности и надежности данных, то такие данные, без сомнения, весьма надежны. Классическим примером являются данные государственных структур, осуществляющих регистрацию, например сделок с недвижимостью или таможенных процедур.
6. Оригинал и копия. Как ни странно, в целом особых различий нет. Просто психологически копия часто воспринимается как менее достоверная по сравнению с оригиналом.
7. Доказательства, имеющие только подпись и имеющие подпись и фразу, написанную рукой подписавшего. Это момент весьма специфичный. Однако если дело дойдет до определения личности составителя или подписанта документа с помощью графологической экспертизы, то второй вариант позволит это сделать. По одной только подписи невозможно установить личность ее автора.
Процесс документирования приводит к созданию рабочей документации. Любое ПВА выигрывает от внедрения оптимальной системы документирования работы в рамках аудиторских проектов. Наличие такой системы имеет ряд следующих существенных плюсов:
– Контроль качества выполнения работы на проекте. Существует две ситуации, когда наличие рабочих документов однозначно позитивно сказывается на повышении качества работы аудиторов. Во-первых, руководителю ПВА, в состав которого входит более шести-семи аудиторов, сложно контролировать ход работы без использования рабочей документации. Во-вторых, руководитель ПВА должен обязательно культивировать документирование, если в проекте участвуют новые сотрудники, возможности которых еще до конца не ясны. Компромиссным вариантом является контроль исполнения работы со стороны более опытных сотрудников. Тем не менее документирование обеспечивает более объективную оценку действий новых сотрудников.
Поделиться книгой в соц сетях:
Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!