Олег Крышкин - Настольная книга по внутреннему аудиту. Риски и бизнес-процессы

Нюанс 10.В течение проекта внутреннего аудита аудиторы выполняют как минимум несколько выборок. Нередко как минимум часть выборок нельзя сделать без участия сотрудников объекта аудита. Учитывая это, необходимо помнить о трех простых правилах взаимодействия с сотрудниками объекта аудита при формировании выборки.

• Правило 1 . Если выборка в той или иной части готовилась силами сотрудников объекта аудита, то необходимо проверить ее полноту и правильность. Проверку лучше выполнить до завершения формирования выборки. Наиболее простой способ проверки состоит в том, чтобы с помощью сотрудников объекта аудита проследить процесс формирования выборки. Существуют и альтернативные варианты, например использование аналитических процедур или проведение сверок с взаимосвязанными данными.

• Правило 2 . Сотрудники объекта аудита могут тянуть время. Это часто случается по одной из двух причин – либо сотрудники испытывают какие-либо затруднения в процессе подготовки выборки, либо все это латентный саботаж. В первом случае необходимо оказать содействие – дать дополнительные пояснения, подумать, как изменить выборку для упрощения ее подготовки, самостоятельно найти способ проведения выборки и обучить сотрудников объекта аудита и т. д. Во втором случае необходимо воспользоваться третьим правилом.

• Правило 3 . В случае намеренного затягивания процесса выборки или прямого отказа от проведения выборки необходимо оценить ситуацию, чтобы выяснить, нет ли в этом вины команды внутреннего аудита. Если команда действовала в полном соответствии с профессиональными канонами, остается только применить правило японского эскалатора. Его суть заключается в последовательном применении уважения и напряжения. Руководитель команды внутреннего аудита сначала самостоятельно пытается решить проблему начиная с того уровня менеджмента, на котором она возникла. При этом он вежливо разъясняет возможные варианты развития событий, включая обращение за помощью к следующему уровню руководства объекта аудита. Основная цель данной процедуры – показать бессмысленность сопротивления. И так по цепочке, при необходимости вплоть до высшего руководства объекта аудита. Если действия руководителя проектной команды не увенчались успехом, он должен сообщить о затруднениях руководителю ПВА. У руководителя ПВА есть три варианта действий – санкционировать отказ от проведения конкретной выборки, самому применить правило японского эскалатора, начиная с уровня высшего руководства объекта аудита и заканчивая аудиторским комитетом, прервать текущий проект до решения вопроса или прекратить его полностью. Два последних варианта нежелательны, т. к. создают негативный прецедент.

В данном разделе рассматривается процесс детального тестирования в том виде и с той начинкой, которые практикуются при проведении процессного аудита. Разумеется, во многих случаях подходы и методики, изложенные в этом разделе, можно применить и к иным проектам внутреннего аудита, в ходе которых проводится детальное тестирование.

Детальное тестирование является ключевым процессом в проекте внутреннего аудита, так как именно по его результатам формируется и кристаллизуется материал для отчета по проекту. При выполнении детального тестирования аудитор использует разнообразный набор процедур и методик – сверки, расчеты, преобразование данных, пересчет, установление взаимосвязи (корреляции и т. д.) и прочее. Высшим пилотажем для внутреннего аудитора является гармоничное и продуктивное совмещение аналитических процедур с детальным тестированием.

При проведении детального тестирования полезно следовать двум фундаментальным принципам.

Принцип 1.Принцип гипотезы – каждый детальный тест должен быть направлен на проверку определенного предположения или части такого предположения, сформулированного до начала выполнения теста. Попросту говоря, глупо приступать к работе, если нет хотя бы приблизительного представления о том, что должно получиться на выходе. С каждым этапом проекта такое представление должно качественно улучшаться и уточняться. К началу детального тестирования у команды внутренних аудиторов должен быть перечень гипотез, который они хотят проверить во время детального тестирования. В классическом варианте имеющиеся гипотезы заносятся в матрицу рисков и контрольных процедур, которая уточняется перед началом детального тестирования. В самой матрице гипотезы обычно называются рисками.

Принцип 2.Принцип разведки – необходимо применять тактику прощупывания потенциально перспективных тем для детального тестирования. Как известно, подавляющее большинство проектов внутреннего аудита проходит в условиях нехватки ресурсов для получения всей требуемой информации и проведения всего спектра процедур по всем потенциально интересным направлениям (рискам). Аудитору приходится постоянно делать выбор, исходя из соотношения ресурсов и приоритета направлений (рисков). Чтобы сделать выбор максимально эффективно, необходимо проводить разведку. В этом смысле проекты внутреннего аудита напоминают некоторые компьютерные игры, в частности те, где используется такой элемент, как «туман войны [12]. В них, чтобы приоткрыть содержание участка игровой карты, покрытого туманом (затемненного), достаточно провести разведку, используя хотя бы одного из персонажей, т. е. не обязательно задействовать все возможности. Также и при выполнении проекта внутреннего аудита не обязательно проводить полномасштабное детальное тестирование, чтобы убедиться в отсутствии существенных угроз и недостатков в выбранном направлении (риске). Для оценки серьезности проблемы, т. е. определения ее приоритета, достаточно выполнить только процедуры, позволяющие выполнить такую оценку. Например, при проведении аудита процесса управления активами аудитор обнаружил, что при списании отслуживших срок объектов основных средств отсутствует их отражение в управленческом и бухгалтерском учете как ТМЦ, пригодных к дальнейшему использованию, так и металлолома. Для оценки серьезности проблемы достаточно оценить объем таких списаний в разрезе номенклатуры и количества по данным учета (сформировать соответствующий отчет). Если большая часть списанных объектов основных средств не является сложными с конструкционной точки зрения (например, простые машины и механизмы), то с высокой вероятностью снимается вопрос оприходования ТМЦ, пригодных к дальнейшему использованию (приходовать особо нечего). Если большая часть списанных объектов основных средств состоит в основном не из металла, то, судя по всему, снимается вопрос отсутствия оприходования металлолома. Для закрепления данных выводов можно также оценить сохранение выявленных трендов в будущем, например на основании интервью с сотрудниками объекта аудита. Описанная в примере ситуация демонстрирует применение принципа разведки на практике.