Проведення аудиторських процедур призначено для збору достатніх доказів з метою формулювання висновків, на яких ґрунтується думка аудиторів про ефективність СВК та її вираження в "Аудиторському звіті" і підкріплення їх відповідними робочими документами.
Однією з основних аудиторських процедур, спрямованих на одержання адекватних висновків про надійність та ефективність функціонування СВК бізнесу-процесу, є тестування фактичних процедур керування ризиками, властивих цьому бізнес -процесу.
Тестування надійності СВК спрямовано на визначення аудитором імовірності досягнення мети контрольної процедури, за допомогою якої уповноважена особа аналізованого ризику може ефективно управляти даним ризиком. При цьому мета контрольної процедури визначається аудитором або на основі аналізу ВНД по процесу, інтерв'ю із уповноваженою особою процесу, або самостійно на основі "кращих практик" організації даних процесів в аналогічних компаніях.
Як правило, тестування проводиться аудитором вибірковим методом. Обсяг вибірки повинен забезпечувати достатню впевненість аудитора в тому, що висновки, зроблені на основі аналізу вибіркових даних, будуть прийнятні для всього обсягу даних (генеральної сукупності), з якого зроблена вибірка. Обсяг вибірки може визначатися із застосуванням спеціальних формул, отриманих на основі теорії імовірності та математичної статистики, або визначатися на основі професійного судження аудитора.
При проведенні тестування аудитор має у своєму розпорядженні досить широкий спектр інструментів - процедур, виконання яких дозволить сформувати об'єктивні висновки про ефективність служби внутрішнього контролю, як; порівняння /зіставлення, аналіз даних та інше.
За результатами тестування аудитор повинен дати оцінку надійності діючої СВК бізнес-процесу, в частині керування аналізованим ризиком із вказівкою можливих наслідків від реалізації даного ризику (з урахуванням екстраполяції результатів перевірки вибіркових даних на всю генеральну сукупність). У разі потреби аудитор формує рекомендації з побудови або оптимізації діючої СВК для досягнення цілей бізнес-процесу.
Як інструмент для відображення процедури тестування СВК рекомендується використати робочий документ "Аудиторський тест".
Необхідно конкретизувати, що форма внутрішнього контролю бізнес-процесу являє собою фактичний зміст і місце розташування контрольних процедур у структурі процесу.
У ході проведення оцінки форми контролю аудитор використовує наступні прийоми, результати яких відображаються у вищевказаному робочому документі:
o формування ідеальної схеми бізнес-процесу ("як повинно бути"). Схема ідеального процесу формується таким чином, щоб гарантувати досягнення цілей даного процесу;
o порівняння фактичної схеми бізнес-процесу ("як є") з ідеальною;
o аналіз наявності і ефективності контрольних процедур, передбачених у регламентуючих і розпорядчих документах по аудитованому процесу. Аналіз ефективності контрольної процедури проводиться на предмет забезпечення розумної гарантії досягнення відповідних цілей досліджуваного бізнес-процесу;
o аналіз наявності, якості виконання і ефективності контрольних процедур фактично властивому процесу;
o порівняння змісту і якості виконання фактичних процедур контролю з вимогами ВНД по бізнес-процесу;
o оцінка ефективності процедури за допомогою статистичного аналізу подій за тривати період (3-5 років);
o бенчмаркинг і пошук "кращої практики" для оптимізації контрольних процедур.
Крім того, оцінка форми контролю повинна проводитися з урахуванням вартості як окремої контрольної процедури, так і витрат на створення і підтримку всієї служби внутрішнього контролю. Рекомендації щодо створення і оптимізації діючої СВК повинні бути обґрунтовані з погляду вартісного аналізу "вигоди -витрати". У разі функціонування декількох контрольних процедур, спрямованих на керування одним ризиком або залежними ризиками, слід провести оцінку різних варіантів використання контрольних процедур для виключення зайвих (дублюючих) процедур.
Приклад.
Оцінка форми контролю бізнес-процесу "Пошук, оцінка й вибір постачальника ТМЦ для основного виробництва".
Таблиця 6.1.
Перелік тестів по оцінці форми контролю бізнес-процесу "Пошук, оцінка й вибір постачальника ТМЦ для основного виробництва".
Номер тесту | Зміст тесту |
Тест 1 | переконатися в тому, що у ВНД передбачена контрольна процедура, за допомогою якої ризик управляється і ціль контролю даного ризику буде досягнута. |
Тест 2 | переконатися в тому, що фактично існує контрольна процедура, за допомогою якої ризик управляється й ціль контролю даного ризику буде досягнута |
Тест 3 | переконатися в тому, що контрольна процедура із ВНД виконана є фактично ідентичні. |
Тест 4 | переконатися в тому, що регламентована контрольна процедура забезпечує розумну гарантію досягнення відповідної бізнес-мети. |
Тест 5 | переконатися в тому, що фактично контрольна процедура, що виконує, і забезпечує розумну гарантію досягнення відповідної бізнес-мети (тест за наслідками). |
У разі розбіжностей щодо результатів тестування зауваження надають у СВА у вигляді "Протоколу розбіжностей за результатами аудиту", а у разі згоди з викладеними аудитором інформацією і висновками надають у СВА "План коригувальних заходів щодо результатів аудиту", який повинен передбачати опис заходів, відповідальних за них, термін їхнього виконання.
"Кращою практикою" при узгодженні матеріалів аудиту є процедура проведення завершальної наради між аудиторами та представниками особи, яка проводить аудит, щодо уточнення остаточних думок і позицій сторін з предмета перевірки.
Стандартна форма "Аудиторського звіту" законодавчо не визначена. Тому даний робочий документ СВА формується аудитором за формою, розробленою безпосередньо в самій компанії, але повинен відповідати вимогам об'єктивності, ясності, лаконічності, конструктивності й своєчасності.
Слід зазначити, що позитивно зарекомендувало себе на практиці виділення в "Аудиторському звіті" окремих тематичних блоків - вступної й описової частин.
У вступній частині "Аудиторського звіту" аудитор представляє загальну інформацію про перевірку, як-то:
o ціль, об'єкт і предмети перевірки;
o склад аудиторської групи, строки проведення перевірки; Описова частина "Аудиторського звіту" є найбільш об'ємним й інформативним блоком, що містить всі результати аудиту.
Для залучення уваги вищого керівництва компанії до найбільш важливих аспектів, виявлених при аудиті, а також для спрощення процесу формування звітності СВА про діяльність служби рекомендується відокремити:
o найбільш істотні висновки про недоліки організації аналізованого бізнес-процесу й системи внутрішнього контролю;
o рекомендації аудитора щодо усунення причин і зниження наслідків найбільш високих ризиків, властивих даному процесу, і негативному впливу на досягнення цілей компанії.
Для зручності сприйняття зацікавленими користувачами результатів аудиту доцільно дотримуватися такої схеми подання інформації:
o опис предмета перевірки;
o опис і оцінка ризиків, властивих даному процесу;
o опис і оцінка фактично використовуваного впливу на ризики;
o результати фактично використовуваного впливу на ризик (за результатами аудиторського тестування);
o опис причин, що обумовили реалізацію ризиків;
o опис й оцінка наслідків від реалізації ризиків;
o рекомендації аудитора щодо керування даними ризиками за рахунок побудови й оптимізації СВК даного процесу.
Необхідно відзначити, що якщо в ході узгодження "Проекту аудиторського звіту" досягти єдиної думки з аудитуючим не вдалося, в остаточному "Аудиторському звіті" варто також указати думку аудитуючого з поясненням, чому його заперечення не були прийняті аудитором.
При формуванні "досьє аудита"* необхідно до "Аудиторського звіту" додавати "Протокол розбіжностей за результатами аудиту" і "План коригувальних заходів щодо результатів аудиту".
Порядок підписання "Проекту аудиторського звіту" і "Аудиторського звіту" та доведення даних документів до заінтересованих користувачів повинен бути регламентований документами, що регулюють організацію функції внутрішнього аудиту в компанії. Як правило, дані документи по перевірці авторизуються керівником СВА, що ухвалює рішення щодо направлення даних документів заінтересованим користувачам.
Звичайно остаточна версія "Аудиторського звіту" надається:
o замовникові аудиту - особі, що ініціювала дану перевірку;
o власникові аудитованого бізнес-процесу;
o іншим заінтересованим користувачам на розсуд керівника СВА компанії.
*Досьє аудита - повний пакет робочих документів, аудиторських доказів й іншої документації аудитора по конкретній внутрішній аудиторській перевірці.
Слід зазначити, що направлення СВА остаточної редакції "Аудиторського звіту" заінтересованим користувачам є лише проміжним етапом проведення аудиторської перевірки ефективності СВК бізнес-процесів. Тільки наступна спільна робота СВА і менеджменту компанії може забезпечити належне формування й впровадження надійної СВК бізнес-процесів, що забезпечує розумну впевненість у досягненні стратегічних цілей компанії і її акціонерів.
Запитання для самоконтролю
ТЕМА 7. МЕТОДИКА ПРОВЕДЕННЯ ВНУТРІШНЬОГО АУДИТУ ОКРЕМИХ СИСТЕМ УПРАВЛІННЯ НА ПІДПРИЄМСТВІ
7.1. Методика проведення внутрішнього аудиту системи менеджменту якості на підприємстві
7.2. Організація і проведення маркетингового аудиту
7.2.1. Загальні положення маркетингового аудиту
7.2.2. Організація та планування маркетингового аудиту
7.3. Методика проведення логістичного аудиту
7.3.1. Методика проведення внутрішнього аудиту лої істинної системи
7.3.1.1. Алгоритм логістичного аудиту