Процедуры сбора и подтверждения аудиторских доказательств. Прикладные средства и методы внутреннего аудита

Автор: Евгений Зверев, CIA, член Ассоциации «Институт внутренних аудиторов»

Читайте предыдущие статьи цикла Института внутренних аудиторов «Введение во внутренний аудит»:

1. Понятие внутреннего аудита и различие между внешним и внутренним аудитом

2. Внутренний аудит: риски и контроли

3. Виды внутреннего аудита

4. Линии защиты компании. Гарта гарантий

5. Стандарты внутреннего аудита и методические документы для внутреннего аудитора

6. Необходимые навыки внутренних аудиторов

7. Планирование во внутреннем аудите

Процедуры сбора и подтверждения аудиторских доказательств нацелены на получение необходимой информации об объекте, активе, обязательстве, действиях, доходах, расходах и проч., относящихся к организации.

Сбор данных (в соответствии с целями аудиторского задания) может осуществляться разными методами:обследование, анкетирование, опрос, интервьюирование (устное общение), наблюдение, использование контрольного листа (чек-лист/вопросник), выборочное обследование. О выборочном обследовании стоит сказать отдельно. В силу ограниченности во времени и средствах не всегда бывает возможным протестировать каждый элемент, подлежащий аудиту, поэтому внутренние аудиторы часто используют выборочное обследование. С помощью выборочного обследования внутренний аудитор анализирует только часть из имеющихся элементов (выборку), а затем делает вывод обо всей совокупности элементов.

В стандартах 2310 и 2320 Международных стандартов профессиональной практики внутреннего аудита (Стандарты; см. Главу 6 настоящего Пособия) подробно изложены подходы к анализу и оценке данных. Предлагаем вам выдержки из данных Стандартов:

Анализ и оценка: «Внутренние аудиторы должны формулировать выводы и представлять результаты задания на основе соответствующего анализа и оценки информации».

• Методы с использованием компьютера. Компьютеры используются на всех этапах аудиторского задания, начиная с этапа планирования и заканчивая проведением всех необходимых работ и сообщением результатов. С развитием ИТ и возрастанием рисков при их применении внутренний аудит осуществляет глубинный анализ данных (Data Mining); производит тестирование компьютерных систем любого назначения; применяет компьютеризированные методы аудита.

• Анализ данных в электронных таблицах. Электронные таблицы являются интенсивно используемыми стандартными компьютерными приложениями. Их широкое применение требует от внутренних аудиторов экспертных знаний в части эксплуатации электронных таблиц, умения поддержания их в рабочем состоянии и их «слабых мест».

• Аналитические процедуры. Здесь изучается ожидаемая взаимосвязь между двумя показателями, при этом, изучая эти показатели вместе, необходимо определить, являются ли они (либо их взаимные изменения) разумными (приемлемыми). В ходе выполнения аналитической процедуры внутренний аудитор должен определить приемлемый уровень отклонений от ожидаемых показателей и расследовать причины отклонений.
  
  Внутренние аудиторы могут осуществлять аналитические процедуры разными способами, используя: денежные показатели, физические значения, пропорции и проценты. Аналитические процедуры помогают выявить обстоятельства, требующие проведения дополнительного сбора информации.

• Выявление причинно-следственных связей. Анализ причинно-следственных связей заключается в выявлении причин возникновения проблемы (в отличие от только идентификации проблемы или сообщения о ней). Данный подход обеспечивает долгосрочную перспективу для усовершенствования бизнес-процессов.

• Бенчмаркинг3 (сопоставительный анализ на основе эталонных показателей) - это процесс определения, понимания и адаптации имеющихся примеров эффективного функционирования сторонней компании с целью улучшения собственной работы. Обычно за образец принимают, условно, лучшую продукцию и маркетинговый процесс, используемые прямыми конкурентами и фирмами, работающими в других подобных областях, для выявления фирмой возможных способов совершенствования её собственных продуктов и методов работы.

• Блок-схема. Распространенный тип схем (графических моделей), описывающих алгоритмы или процессы, в которых отдельные шаги изображаются в виде блоков различной формы, соединенных между собой линиями, указывающими направление последовательности. Их можно эффективно использовать для того, чтобы лучше понять и описать систему внутреннего контроля компании или определить области, которые требуют внутреннего контроля.

• Диаграмма информационных потоков (Data Flow Diagrams — DFD) - представляет собой иерархию функциональных процессов, связанных потоками данных. Цель такого представления – продемонстрировать, как каждый процесс преобразует свои входные данные в выходные, а также выявить отношения между этими процессами.

• Описание этапов процесса. При использовании этого метода контрольные процедуры описываются в форме отчета, как изложение фактов.

Стандарт 2310 — Сбор информации: «Внутренние аудиторы должны собрать достаточный объем надежной, уместной и полезной информации для достижения целей задания».

• Достаточность информации - объем информации (достаточное количество данных), который основывается на достаточном количестве фактов и убедителен настолько, что здравомыслящий и информированный пользователь на ее основании придет к тем же выводам, что и аудитор.
  
  В оценку принимается целый набор факторов:

• оценка источника аудиторских доказательств;

• эффективность системы внутреннего контроля компании;

• существенность информации4;

• присущий риск5.

• Надежная информация - это наиболее полная и заслуживающая доверия информация, которую возможно получить, применяя надлежащие аудиторские процедуры.
  
  Степень надежности аудиторских доказательств можно разделить на три уровня:

• первый («наиболее достоверно и убедительно»): физическое обследование, подтверждение, внешняя документация (получена непосредственно от третьей стороны), повторный «прогон» аудитором бизнес-процесса;

• второй: внутренняя документация при эффективной системе внутреннего контроля, наблюдение, аналитические процедуры с использованием достаточного количества исходных данных;

• третий («наименее достоверно и убедительно»): внутренняя документация при неэффективной системе внутреннего контроля; опросы персонала субъекта аудита, аналитические процедуры с использованием недостаточного количества исходных данных.

• Уместная информация – информация, которая подтверждает наблюдения и рекомендации и соответствует целям задания и относится к объекту аудита.

• Полезная информация – информация, которая помогает организации достигать своих целей.

---