3. Проверка предоставленных ответов. Как правило, при первоначальном опыте применения такой методики, существует большой разброс в формате и содержании представляемой информации о фактических процедурах контроля. Часто указываются не фактические процедуры контроля, а цитируются прописанные цели и ожидаемые результаты. Например, в ответ на риск «Осуществление платежей по неавторизованным счетам» и ожидаемую процедуру контроля «Счета на оплату авторизуются руководителями согласно праву подписи и установленным лимитам» можно получить ответ о фактических процедурах контроля «Все счета подписываются руководством на основе установленного регламента». При этом остается без ответа вопрос: «Процедура применима ко всем случаям?» Например, «при получении счетов, они сканируются и фиксируются в электронной системе документооборота, указывая подразделение/руководителя, которому они адресованы. После авторизации счетов в системе электронного документооборота, информация об авторизованных счетах выгружается в файлы для отправки платежей». Или «информация для подготовки платежей вводится вручную операционистами на основании полученных счетов, где проверяется наличие подписи от авторизующего руководителя. Проводится соответствие подписи руководителя с установленным списков авторизованных лиц для подписи счетов на оплату».
4. В тех случаях, когда полученные ответы вообще не соответствуют цели запроса, как правило, проводятся консультации для разъяснения, что именно ожидается получить от руководства. Это может быть в формате консультаций, комментариев, тренингов. Как правило, руководство компании стремиться максимально контролировать предоставление такой информации. Это проявляется в том, что ответы часто являются максимально агрегированными, указывают скорее цели/ожидаемые контроли, не раскрывая подробностей о том, как осуществляется процедура. Однако именно подробности осуществления процедуры являются предметом запроса. После нескольких попыток получить требуемую информацию от руководства непосредственно, аудиторы вполне могут согласовать ознакомления с примером прохождения транзакции для того, чтобы самостоятельно выявить фактические контрольные процедуры. С одной стороны, это упрощает ситуацию для руководства проверяемой организации, однако предоставляет больший доступ к информации о внутренних процессах для аудиторов, что может затем привести к большему количеству наблюдений и рекомендаций.
5. Таким образом, на основе полученных ответов (и возможно, нескольких итераций по поводу предоставленной информации) формируется по сути «утверждение» руководства компании о проверяемой сфере деятельности и процедурах контроля. Полученное утверждение уже является основой для проверки и дальнейшего запроса информации и тестирования. Учитывая то, что некоторые контрольные процедуры относятся к нескольким возможным рискам, здесь возможно много пересечений и повторений фактических процедур контроля, которые могут адресовать различные риски и ожидаемые контроли.
6. Предварительная оценка рисков и достаточности процедур контроля. Теоретически оценка рисков может быть проведена перед тем, как предоставлять карты аудита руководству организации – т. е., после ознакомления аудитора с проверяемой деятельностью и анализа сопутствующей информации (об используемых системах, масштабах деятельности, представления о руководстве данной сферы и т. д.). Тем не менее, более распространенных подход состоит в том, что аудиторы запрашивают также информацию о внутренней оценке данных рисков со стороны руководства, а также их мнения о достаточности предоставленных фактических процедур контроля. Как правило, это осуществляется на основе общих рейтингов – Высокий, Средний, Низкий – что представляет собой экспертную/аналитическую оценку по разным критериям. Дискуссии о четкости критериев и шкал оценки рисков являются очень распространенной темой, которая, как правило, не связана с реальным вопросом, а является способом уклонения от предоставления ответов. Учитывая такие сложности с методическим разъяснением критериев риска и достаточности контролей, можно идти от обратного и указывать требуемое распределение рейтингов риска: 70 % высокий риск, 50 % средний, 30 % низкий. За счет этого уже происходит важное разделение рисков по степени важности, что также является еще одним из утверждений руководства, что можно принимать к проверке. Итоговая оценка риска является сопоставлением уровня риска у уровня достаточности контрольных процедур, что представляет собой два категории риска: общий риск (без учета контрольных процедур) и итоговый уровень риска (после применения контрольных процедур).
