Данный подход в полной мере может использоваться только внутренними аудиторами, имеющими существенный опыт процессного аудита. В его основе лежит ключевой навык правильного внутреннего аудитора – способность к импровизации. При детальном тестировании с использованием продвинутого подхода в большинстве случаев осуществляется несколько базовых процедур:
1. Выявление недостатков системы внутреннего контроля (отсутствие контрольных процедур или их серьезные дефекты). Данная процедура предваряет детальное тестирование и является частью описания процесса. По результатам описания процесса аудитор должен быть способен определить большую часть так называемых «узких» мест процесса с точки зрения как системы внутреннего контроля, так и структуры и содержания бизнес-процесса.
2. Оценка последствий недостатков системы внутреннего контроля посредством выявления реализовавшихся рисков. Отсутствие или наличие дефекта контроля далеко не всегда означает, что это однозначно ведет к какому-либо существенному негативу для предприятия. Для этого необходимо наличие связи между недостатками и их последствиями. В этой ситуации наличие существенного опыта у внутреннего аудитора значительно экономит ресурсы проекта – опытный аудитор знает, где и что искать. Например, малоопытный аудитор вряд ли увидит связь между отсутствием инвентарных номеров и отсутствием расхождений между данными учета и фактическими данными по результатам инвентаризаций. Однако опытный аудитор знает, что в данном случае высока вероятность формального проведения инвентаризации, так как во многих случаях инвентарный номер – это единственная связь между физическим объектом и данными учета по объекту.
3. Выявление реализовавшихся рисков. Практически всегда обнаруживаются реализовавшиеся риски, которые сложно с ходу соотнести с тем или иным недостатком системы внутреннего контроля или структуры и содержания процесса. Например, большинство тендерных процедур в процессе закупок на предприятиях слабо противодействуют такому явлению, как демпинг. Процедура тендера может быть спроектирована вполне адекватно, и только выявление последствий фактов демпинга (например, требование подрядчика оплатить дополнительные работы в связи с «увеличением объема работ вследствие более сложных геологических условий») может указать на необходимость доработки. Демпингующая компания очень часто провоцирует два ключевых риска – либо неисполнение обязательств полностью или частично, либо запрос на дополнительное финансирование. Однако, даже если аудитор установит факты реализации любого из рисков, он вряд ли с ходу сможет определить, вследствие чего риск реализовался. Выявление реализовавшихся рисков представляет собой обратную связь с точки зрения имеющегося у аудитора представления о процессе на момент проведения детального тестирования. Наличие таких фактов показывает в том числе, что аудитор упустил определенные нюансы при описании процесса.
4. Установление полной цепочки причинно-следственных связей – от недостатка системы внутреннего контроля или процесса к реализовавшемуся риску и наоборот. По сути, в данном случае речь идет о более детальной проработке ситуаций, рассмотренных в п. 2 и 3. Она особенно требуется для формирования максимально адекватных рекомендаций, поскольку довольно часто метод устранения выявленного недостатка не так очевиден, как кажется на первый взгляд. Возвратимся к примеру, описанному выше. Демпинг может осуществляться как осознанно, так и неосознанно. В последнем случае такое нередко происходит по причине недоработки проектной документации (например, занижены объемы работ), если мы ведем речь о строительных проектах. Аудитор с ходу может порекомендовать улучшить качество подготовки проектной документации за счет, например, проведения большего объема предварительных работ или за счет увеличения количества времени на подготовку проектной документации. Однако такое решение может не оказать никакого эффекта на статистику демпинга, например вследствие естественной погрешности предварительных работ или отсутствия возможности выделить дополнительное время на подготовку проектной документации из-за срочности проекта. В подобных случаях необходимо более детальное представление о причинно-следственных связях.
5. Определение оптимального порядка действий для управления анализируемым риском. На этапе детального тестирования аудитор должен получить достаточный объем информации, чтобы сформировать оптимальные рекомендации. При этом целесообразно сопоставлять стоимость внедрения и функционирования контроля со стоимостью последствий реализовавшегося риска с учетом вероятности повторения его реализации. Это означает, что аудитору следует избегать создания контроля ради контроля. Каждая новая контрольная процедура или изменение существующей контрольной процедуры должны создавать положительный экономический эффект. Очень важно, чтобы аудитор разрабатывал рекомендации параллельно с проведением детального тестирования. Таким образом, проще спланировать проведение дополнительных работ, направленных на уточнение рекомендаций. Когда аудитор приступает к написанию финального отчета, проводить дополнительные работы уже поздно.
Исходя из вышесказанного, следует отметить, что в целом продвинутый подход – это тестирование больше в глубину, чем в ширину. Также в отличие от классического подхода здесь намного реже наблюдается линейная последовательность аудиторских процедур. Разумеется, продвинутый подход, так же как и классический, имеет плюсы и минусы.
Плюсы продвинутого подхода к детальному тестированию:
1. Анализируются причинно-следственные связи. В результате получаются более точные и полезные рекомендации, нацеленные на первопричины риска. Аудитор, однако, не должен забывать, что для поиска первопричин необходимо больше ресурсов, в первую очередь времени, чем просто на выявление недостатков.
2. Нацеленность на расчет экономического эффекта, что придает больше значимости выводам по результатам проекта внутреннего аудита. На расчет экономического эффекта также необходимы дополнительные ресурсы. Однако это часто нивелируется повышенным интересом к результатам работы ПВА со стороны высшего руководства и акционеров.
3. Выводы являются более доказательными, т. к. чаще основываются на рисках, которые уже реализовались. Это особенно важно при работе с российскими управленцами, особенно старой закалки, которые придерживаются принципа «если что-то нельзя пощупать, то этого не существует». Однако это не означает, что продвинутый подход ограничивается только реализовавшимися рисками. Технически продвинутый подход также направлен на выявление рисков, существенных как с точки зрения силы воздействия, так и с точки зрения вероятности.
Минусы продвинутого подхода к детальному тестированию:
1. Требует более значительных затрат ресурсов и более высокой квалификации команды. Как уже говорилось, продвинутый подход приносит больше результатов, когда его используют опытные аудиторы. Они способны форсировать промежуточные этапы анализа и могут быстро переключаться между различными причинно-следственными цепочками, а также выстраивать новые и достраивать цепочки в условиях ограниченной информации.
2. Ряд процессов (подпроцессов) могут целиком выпадать из тестирования в результате концентрации на крупнейших рисках. По этой причине аудит двух сопоставимых объектов аудита может проходить совершенно по-разному, теряется сопоставимость результатов аудита. То же самое происходит в случае аудита одного и того же объекта, проведенного в разное время. Однако во многом это, как ни странно, дело вкуса.
На практике редко встречаются ситуации, когда ПВА используют только один подход. Все-таки большинство ПВА являются экспертами как минимум в отдельных вопросах тематики своих проектов, например в области бухгалтерского и/или налогового учета. В этом случае команда внутренних аудиторов на проекте естественным образом склоняется к использованию продвинутого подхода к детальному тестированию. Если знания о нюансах аудируемого процесса стремятся к нулю, внутренние аудиторы склонны использовать классический подход. Так или иначе, чем ниже профессиональный уровень сотрудников ПВА, тем меньше у них возможностей сделать осознанный выбор между классическим и продвинутым подходом.
Также хотелось бы продемонстрировать разницу между двумя подходами на примере двух вариантов отчета (см. табл. 19). За основу взят стандартный формат пункта отчета – наблюдение (суть недостатка), последствия (к чему приводит недостаток), причина (что способствует недостатку), рекомендации (что нужно сделать для управления недостатком). Пример предполагает, что обнаружена негативная ситуация в ходе аудита процесса «Закупки» – подрядчики выбираются на произвольной основе без проведения конкурсного отбора путем тендера.
Таблица 19. Сопоставление содержания отчета при использовании разных подходов к тестированию
Сначала рассмотрим результаты применения классического подхода к детальному тестированию.
После составления описания процесса аудиторы с высокой вероятностью обнаружат, что процедуры конкурсного отбора отсутствуют. В этой ситуации, исходя из методологии классического подхода, дальнейшее детальное тестирование не проводится, т. к. очевиден недостаток – отсутствие процедуры тендера. Поэтому в разделе «Наблюдение» аудитор ставит описание недостатка как отсутствие ключевой контрольной процедуры. Дополнительное детальное тестирование (например, чтобы уточнить последствия) не проводится, поскольку не проводится основное детальное тестирование. По этой причине в разделе «Последствия» приводится описание не фактических, а теоретических последствий, хотя и весьма вероятных. При формировании раздела «Причина» у аудитора возникают проблемы, т. к. ему необходимо установить причину исходя из проведенной работы, а это только описание процесса (дополнительное детальное тестирование опять не проводится, поскольку нет основного детального тестирования). Один из наиболее распространенных вариантов выхода из такой ситуации состоит в указании на отсутствие регламента, посвященного процессу «Закупки» и процедуре конкурсного отбора. Отсутствие или наличие регламента можно установить и на основе описания процесса. Если аудитор следует правильной методологии, то раздел «Рекомендации» заполняется автоматически – математически говоря, рекомендация равна причине с обратным знаком. Так как детальное тестирование не проводилось, аудитор не знает о фактах реализации рисков, связанных с отсутствием конкурсного отбора подрядчиков.
При использовании методологии продвинутого подхода детальное тестирование проводится как для формирования раздела «Наблюдение», так и для формирования разделов «Последствия» и «Причина». Отсутствие процедур конкурсного отбора подрядчиков уже не является основанием для прекращения работы, а наоборот, служит отправной точкой для ее начала. С помощью детального тестирования аудитор выясняет, наблюдались ли факты реализации рисков, связанных с отсутствием указанных процедур. После выявления таких фактов он проводит экономическую оценку реализовавшихся рисков и формирует содержание раздела «Наблюдения». Затем на основании экстраполяции или прямого пересчета (например, по аналогичным случаям на подходе) аудитор готовит информацию для раздела «Последствия». Чтобы установить первопричину выявленных недостатков, аудитору может потребоваться дополнительное детальное тестирование, в том числе для исключения основных теоретически возможных причин. Например, в рассматриваемом случае причиной выбора подрядчиков, предложивших более высокую цену при прочих равных условиях, могли быть арифметические или методологические ошибки проектной документации или срочная потребность в определенных работах или услугах. В качестве основной причины выступает отсутствие контрольной процедуры. Раздел «Рекомендации» заполняется автоматически – внедрить контрольную процедуру (в такие-то сроки и т. д.).
Как видно из вышеуказанных примеров, использование двух подходов приводит к формированию во многом различающихся отчетов. В целом отчет, сформированный с использованием классического подхода, имеет структуру, приведенную в табл. 20, а отчет, сформированный с использованием продвинутого подхода, – в табл. 21. Следует обратить внимание на один существенный нюанс. При использовании классического подхода довольно часто в качестве наблюдения указывается недостаток определенной контрольной процедуры, вплоть до отсутствия контроля как такового. Однако с точки зрения многих российских руководителей недостатки контрольных процедур или их полное отсутствие не являются очевидным негативом или фактором того или иного риска. По этой причине материалы, полученные с использованием продвинутого подхода, вызывают повышенный интерес у руководителей по сравнению с материалами, полученными с использованием классического подхода.
Таблица 20. Структура и суть содержания отчета (классический подход)
Таблица 21. Структура и суть содержания отчета (продвинутый подход)
По завершении детального тестирования формируется окончательный вариант матрицы рисков и контрольных процедур как итог процесса обновления матрицы в течение всего проекта. Обратите внимание на различия в структуре матрицы, сформированной с использованием разных подходов к детальному тестированию (см. табл. 22).
Таблица 22. Различия содержания матрицы при использовании различных подходов