В целях достижения общего мнения о фактической организации аудируемого процесса, его целей и целей предстоящей аудиторской проверки руководителю аудиторской группы следует согласовать данные вопросы с представителем (-ями) аудиторского предприятия /подразделения (как правило, владельцем процесса). Данные аспекты отражаются в разделе 5 «Мнение представителей аудируемого предприятия / подразделения» «Задания на аудит».
Необходимо отметить, что «Задание на аудит» формируется руководителем аудиторской группы и после согласования с представителем аудируемого лица обязательно утверждается Руководителем СВА компании. Какие-либо последующие корректировки данного документа возможны только при согласовании с Руководителем СВА с объяснением причин необходимости данных корректировок и при условии информирования владельца процесса.
На этом предварительный этап аудиторской проверки завершен. Далее, начинается так называемый этап «Работа в поле», когда аудитор для формирования адекватных выводов о фактической СВК получает аудиторские доказательства путем выполнения соответствующих процедур (тестов).
2.2. Проведение аудиторских процедур
Проведение аудиторских процедур предназначено для сбора достаточных надлежащих доказательств с целью формулирования обоснованных выводов, на которых основывается мнение аудиторов об эффективности СВК, выраженное в «Аудиторском отчете» и подкрепленное соответствующими рабочими документами.
Одной из основных аудиторских процедур, направленных на получение адекватных выводов о надежности и эффективности функционирования СВК бизнес-процесса, является тестирование фактических процедур управления рисками, присущих анализируемому процессу.
Тестирование надежности СВК направлено на определение аудитором вероятности достижения цели контрольной процедуры, с помощью которой владелец анализируемого риска может эффективно управлять данным риском. При этом цель контрольной процедуры определяется аудитором либо на основе анализа ВНД по процессу, интервью с владельцем процесса, либо самостоятельно на основе «лучших практик» организации данных процессов в аналогичных компаниях.
Как правило, тестирование проводится аудитором выборочным методом. Объем выборки должен обеспечивать достаточную уверенность аудитора в том, что выводы, сделанные на основе анализа выборочных данных будут приемлемы для всего объема данных (генеральной совокупности), из которого произведена выборка. Объем выборки может определяться с применением специальных формул, полученных на основе теории вероятности и математической статистики, либо определяться на основе профессионального суждения аудитора.
При проведении тестирования аудитор располагает довольно широким спектром инструментов - процедур, исполнение которых позволит сформировать объективные выводы об эффективности СВК, как то: сравнение / сопоставление, анализ данных и др.
По результатам тестирования аудитор должен дать оценку надежности действующей СВК бизнес-процесса в части управления анализируемым риском, с указанием возможных последствий от реализации данного риска (с учетом экстраполяции результатов проверки выборочных данных на всю генеральную совокупность). В случае необходимости аудитор формирует рекомендации по построению или оптимизации действующей СВК для достижения целей бизнес-процесса.
В качестве инструмента для отражения процедуры тестирования СВК рекомендуется использовать рабочий документ «Аудиторский тест».
После проведения предварительного обследования и тестирования фактических процедур управления рисками, присущих анализируемому бизнес-процессу, аудитор должен сформировать общее мнение о надежности и эффективности действующей СВК изучаемого процесса. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Оценка дизайна контроля».
Необходимо конкретизировать, что дизайн внутреннего контроля бизнес-процесса представляет собой фактическое содержание и место расположение контрольных процедур в структуре процесса.
В ходе проведения оценки дизайна контроля аудитор использует следующие приемы, результаты которых отражает в вышеуказанном рабочем документе:
Кроме того, оценка дизайна контроля должна проводиться с учетом стоимости как отдельной контрольной процедуры, так и затрат на создание и поддержание всей СВК. Рекомендации по созданию и оптимизации действующей СВК должна быть обоснована с точки зрения стоимостного анализа «выгоды – затраты». В случае функционирования нескольких контрольных процедур, направленных на управление одним риском или зависимыми рисками, следует провести оценку различных вариантов использования контрольных процедур для исключения излишних (дублирующих) процедур.
Аудитор на основе результатов оценки дизайна контроля бизнес-процесса должен совместно с менеджментом компании выработать рекомендации по построению и оптимизации действующей системы внутреннего контроля анализируемого процесса. Рекомендации аудитора, в основном, направлены на:
После проведения всех необходимых аудиторских процедур и формирования общего мнения о надежности СВК изучаемого бизнес-процесса на основе полученных аудиторских доказательств аудитор приступает к обобщению полученных результатов и формированию «Аудиторского отчета».
Мнение СВА о надежности действующей СВК изучаемого бизнес-процесса, выраженное в письменной форме, представляется аудитором в «Аудиторском отчете».
Для формирования объективного окончательного мнения о действующей СВК процесса и снижения риска ошибок аудитора при проведении проверки рекомендуется предварительно формировать «Проект аудиторского отчета». Данный документ используется как предварительный черновой вариант «Аудиторского отчета», который предоставляется на согласование владельцу и участникам аудируемого бизнес-процесса, которые:
«Лучшей практикой» при согласовании материалов аудита является процедура проведения завершающего совещания между аудиторами и представителями аудируемого лица по уточнению окончательных мнений и позиций сторон по предмету проверки.
Стандартная форма «Аудиторского отчета» законодательно не определена. Поэтому данный рабочий документ СВА формируется аудитором по форме, разработанной непосредственно в самой компании, но должен отвечать требованиям объективности, ясности, лаконичности, конструктивности и своевременности.
Следует отметить, что положительно зарекомендовало себя на практике выделение в «Аудиторском отчете» отдельных тематических блоков - вводной и описательной частей.
В вводной части «Аудиторского отчета» аудитор представляет общую информацию о проверке, как то:
Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.
Для привлечения внимания высшего руководства компании к наиболее важным аспектам, выявленным при аудите, а также для упрощения процесса формирования отчетности СВА о деятельности службы рекомендуется обособить:
Для удобства восприятия заинтересованными пользователями результатов аудита целесообразно придерживаться следующей схемы представления информации: