Принцип 2. Принцип разведки – необходимо применять тактику прощупывания потенциально перспективных тем для детального тестирования. Как известно, подавляющее большинство проектов внутреннего аудита проходит в условиях нехватки ресурсов для получения всей требуемой информации и проведения всего спектра процедур по всем потенциально интересным направлениям (рискам). Аудитору приходится постоянно делать выбор, исходя из соотношения ресурсов и приоритета направлений (рисков). Чтобы сделать выбор максимально эффективно, необходимо проводить разведку. В этом смысле проекты внутреннего аудита напоминают некоторые компьютерные игры, в частности те, где используется такой элемент, как «туман войны[12]. В них, чтобы приоткрыть содержание участка игровой карты, покрытого туманом (затемненного), достаточно провести разведку, используя хотя бы одного из персонажей, т. е. не обязательно задействовать все возможности. Также и при выполнении проекта внутреннего аудита не обязательно проводить полномасштабное детальное тестирование, чтобы убедиться в отсутствии существенных угроз и недостатков в выбранном направлении (риске). Для оценки серьезности проблемы, т. е. определения ее приоритета, достаточно выполнить только процедуры, позволяющие выполнить такую оценку. Например, при проведении аудита процесса управления активами аудитор обнаружил, что при списании отслуживших срок объектов основных средств отсутствует их отражение в управленческом и бухгалтерском учете как ТМЦ, пригодных к дальнейшему использованию, так и металлолома. Для оценки серьезности проблемы достаточно оценить объем таких списаний в разрезе номенклатуры и количества по данным учета (сформировать соответствующий отчет). Если большая часть списанных объектов основных средств не является сложными с конструкционной точки зрения (например, простые машины и механизмы), то с высокой вероятностью снимается вопрос оприходования ТМЦ, пригодных к дальнейшему использованию (приходовать особо нечего). Если большая часть списанных объектов основных средств состоит в основном не из металла, то, судя по всему, снимается вопрос отсутствия оприходования металлолома. Для закрепления данных выводов можно также оценить сохранение выявленных трендов в будущем, например на основании интервью с сотрудниками объекта аудита. Описанная в примере ситуация демонстрирует применение принципа разведки на практике.

Глобально существует два основных подхода к проведению детального тестирования – классический подход и продвинутый подход.

Классический подход

При использовании данного подхода аудитору необходимо в первую очередь задокументировать систему внутреннего контроля объекта аудита. Затем выявленные контрольные процедуры ранжируются по степени существенности. Под существенностью обычно понимается способность контрольной процедуры влиять на риски, связанные с объектом аудита, хотя возможны и иные варианты. После этого в зависимости от ресурсов команды внутренних аудиторов оценивается дизайн всех или части выявленных контрольных процедур. Оценка дизайна может называться также оценкой адекватности контрольных процедур. Под адекватностью контроля понимается его способность способствовать достижению целей процесса или этапа процесса максимально эффективным образом, как с операционной, так и с экономической точки зрения, в том числе за счет эффективного воздействия на риски процесса или его этапа.

После того как оценка адекватности контрольных процедур проведена, принимается решение о тестирования их эффективности. При этом тестирование проводится только в отношении контрольных процедур, которые признаны адекватными. Если контроль признается неадекватным, то считается, что детальное тестирование закончено и можно приступать к формированию отчета. При тестировании эффективности контроля оценивается, насколько контрольная процедура работает в соответствии со своим дизайном. Для тестирования формируется относительно небольшая выборка – максимум 20–30 операций при условии, что контроль осуществляется на ежедневной основе. Если контроль осуществляется реже (раз в неделю, месяц и т. д.), то объем выборки еще меньше. По результатам тестирования делается вывод об эффективности контроля. Он считается эффективным, если контрольные процедуры с отклонениями составляют не более 5–10 % от выборки. К слову сказать, параметры выборки ничем не регулируются, в качестве ориентира используются параметры, рекомендуемые, например, компаниями Большой четверки. ПВА может использовать свои параметры, главное, чтобы результаты тестирования конструктивно воспринимались как руководством объекта аудита, так и пользователями отчета.