Владимир Морыженков - Расходы Банка России. Целесообразность, контроль и аудит

4. В тех случаях, когда полученные ответы вообще не соответствуют цели запроса, как правило, проводятся консультации для разъяснения, что именно ожидается получить от руководства. Это может быть в формате консультаций, комментариев, тренингов. Как правило, руководство компании стремиться максимально контролировать предоставление такой информации. Это проявляется в том, что ответы часто являются максимально агрегированными, указывают скорее цели/ожидаемые контроли, не раскрывая подробностей о том, как осуществляется процедура. Однако именно подробности осуществления процедуры являются предметом запроса. После нескольких попыток получить требуемую информацию от руководства непосредственно, аудиторы вполне могут согласовать ознакомления с примером прохождения транзакции для того, чтобы самостоятельно выявить фактические контрольные процедуры. С одной стороны, это упрощает ситуацию для руководства проверяемой организации, однако предоставляет больший доступ к информации о внутренних процессах для аудиторов, что может затем привести к большему количеству наблюдений и рекомендаций.

5. Таким образом, на основе полученных ответов (и возможно, нескольких итераций по поводу предоставленной информации) формируется по сути «утверждение» руководства компании о проверяемой сфере деятельности и процедурах контроля. Полученное утверждение уже является основой для проверки и дальнейшего запроса информации и тестирования. Учитывая то, что некоторые контрольные процедуры относятся к нескольким возможным рискам, здесь возможно много пересечений и повторений фактических процедур контроля, которые могут адресовать различные риски и ожидаемые контроли.

6. Предварительная оценка рисков и достаточности процедур контроля. Теоретически оценка рисков может быть проведена перед тем, как предоставлять карты аудита руководству организации – т. е., после ознакомления аудитора с проверяемой деятельностью и анализа сопутствующей информации (об используемых системах, масштабах деятельности, представления о руководстве данной сферы и т. д.). Тем не менее, более распространенных подход состоит в том, что аудиторы запрашивают также информацию о внутренней оценке данных рисков со стороны руководства, а также их мнения о достаточности предоставленных фактических процедур контроля. Как правило, это осуществляется на основе общих рейтингов – Высокий, Средний, Низкий – что представляет собой экспертную/аналитическую оценку по разным критериям. Дискуссии о четкости критериев и шкал оценки рисков являются очень распространенной темой, которая, как правило, не связана с реальным вопросом, а является способом уклонения от предоставления ответов. Учитывая такие сложности с методическим разъяснением критериев риска и достаточности контролей, можно идти от обратного и указывать требуемое распределение рейтингов риска: 70 % высокий риск, 50 % средний, 30 % низкий. За счет этого уже происходит важное разделение рисков по степени важности, что также является еще одним из утверждений руководства, что можно принимать к проверке. Итоговая оценка риска является сопоставлением уровня риска у уровня достаточности контрольных процедур, что представляет собой два категории риска: общий риск (без учета контрольных процедур) и итоговый уровень риска (после применения контрольных процедур).

7. При составленных рейтингах риска и достаточности контрольных процедур, аудитор производит оценку адекватности предоставленных ответов. Учитывая то, что оценка риска и достаточности процедур контроля является субъективной и может быть объяснено по-разному, такой анализ позволяет выявить явные противоречия и несоответствия. Это также позволяет косвенно оценить степени компетенции руководства о том, что оно считает важным и приоритетным в деятельности. Такой анализ может производиться в форме независимой оценки риска и достаточности контрольных процедур и сопоставления конечных результатов.

По результатам полученных оценок риска и контрольных процедур определяются/ранжируются риски по уровню критичности для проверки, включая: риски с максимальным уровнем общего риска; риски с максимальным уровнем риска, уменьшенные до минимального итогового риска; риски и контрольные процедуры с наибольшим расхождением в оценках от руководства и аудиторов.

При этом также можно выявить ситуации, когда риски незначительного уровня имеют слишком высокий уровень достаточности контрольных процедур. Это свидетельствует скорее о неэффективности системы контроля, так как ресурсы направлены на наименее приоритетные сферы деятельности (обеспечивая наименьший уровень риска и каких-либо отклонений, которые легко исполнять при минимальной ответственности и сложности деятельности), отвлекая от более важных и высоко рисковых аспектов.