7. При составленных рейтингах риска и достаточности контрольных процедур, аудитор производит оценку адекватности предоставленных ответов. Учитывая то, что оценка риска и достаточности процедур контроля является субъективной и может быть объяснено по-разному, такой анализ позволяет выявить явные противоречия и несоответствия. Это также позволяет косвенно оценить степени компетенции руководства о том, что оно считает важным и приоритетным в деятельности. Такой анализ может производиться в форме независимой оценки риска и достаточности контрольных процедур и сопоставления конечных результатов.
По результатам полученных оценок риска и контрольных процедур определяются/ранжируются риски по уровню критичности для проверки, включая: риски с максимальным уровнем общего риска; риски с максимальным уровнем риска, уменьшенные до минимального итогового риска; риски и контрольные процедуры с наибольшим расхождением в оценках от руководства и аудиторов.
При этом также можно выявить ситуации, когда риски незначительного уровня имеют слишком высокий уровень достаточности контрольных процедур. Это свидетельствует скорее о неэффективности системы контроля, так как ресурсы направлены на наименее приоритетные сферы деятельности (обеспечивая наименьший уровень риска и каких-либо отклонений, которые легко исполнять при минимальной ответственности и сложности деятельности), отвлекая от более важных и высоко рисковых аспектов.
8. На следующем этапе после определения ключевых рисков проверяемой деятельности формируется программа проверки/тестирования контрольных процедур. Существует несколько подходов к тому, как организовывать тестирование контролей. С одной стороны, можно определить ограниченный перечень контрольных процедур для тестирования, в зависимости от значимости и критичности, и затем проводить достаточно полное тестирование. С другой стороны, можно проводить тестирование всех выявленных процедур контроля, при этом варьируя уровнем тестирования, начиная от общих интервью, ознакомления до сплошного тестирования и перепроверки. При этом также учитывается то, что некоторые процедуры контроля достаточно сложно перепроверить (если не сохраняются исторические записи, в случае автоматизированных процедур) либо учитывается мнение руководителей о степени сложности отдельных процедур. В любом случае, определяется уровень тестирования фактических процедур контроля, которые существуют в организации. Для этого можно использовать набор тестовых скриптов, которые могут быть заранее сформированы в отношении типовых контролей, и которые просто нужно адаптировать к фактическим процедурам контроля организации. Тестовые скрипты могут определять разный уровень тестирования и могут представлять достаточно аналитические процедуры анализа и сопоставления информации, в зависимости от того, какая информация может быть предоставлена руководством организации. Как правило, чем больше информации может быть предоставлено и раскрыто руководством, тем больше тестовых мероприятий можно провести и выявить больше наблюдения для потенциальных замечаний и рекомендаций. Таким образом, программа аудита формируется как набор тестовых процедур по отношению к выбранным контрольным процедурам организации, в зависимости от проведенного анализа риска и достаточности контролей, а также имеющейся информации.
9. Проведение тестовых мероприятий по проверке процедур контроля связано с выявлением различных наблюдений (несоответствия, ошибки деятельности, нарушения, возможности для улучшений), которые фиксируются в рабочих материалах. Однако такие наблюдения не идут непосредственно в отчет и рекомендации, а только представляют собой фактический материал для дальнейшего анализа, агрегирования и интерпретации в качестве существенных тем (в отличие от непосредственного указания на отдельные факты).
Тестирование контролей включает два этапа: тестирование «дизайна» (на основе одного примера, детального изучения документации); тестирование операционной эффективности (на основе выборки).
Критерии оценки тестирования «дизайна» являются достаточно общими и включают параметры: полноты (Completeness); точности (Accuracy); достоверности (Validity); ограниченного доступа (Restricted Access).
Критерии оценки операционной эффективности формируются на основе тестирования «дизайна» и являются специфичными для каждой процедуры контроля. Как правило, это простые критерии, связанные с:
• наличием авторизации от руководителей;
• соответствием деталей между различными источниками информации, документами;
• объяснения выявленных отклонений;
• интерпретация и принятых решений на основе оптимальных значений/параметров.
Простота критериев позволяет устанавливать простые факты, которые затем могут быть интерпретированы аналитически, однако сами по себе не вызывают достаточных споров и согласований, что заметно упрощает процедуру проверки и взаимоотношения с проверяемыми сотрудниками/руководителями.
