16.3. Проведення аудиторських процедур

Проведення аудиторських процедур призначено для збору достат­ніх доказів з метою формулювання висновків, на яких ґрунтується ду­мка аудиторів про ефективність СВК та її вираження в «Аудиторсько­му звіті» і підкріплення їх відповідними робочими документами.

Однією з основних аудиторських процедур, спрямованих на одер­жання адекватних висновків про надійність та ефективність функціо­нування СВК бізнесу-процесу, є тестування фактичних процедур керування ризиками, властивих цьому бізнес — процесу.

Тестування надійності СВК спрямовано на визначення аудитором імовірності досягнення мети контрольної процедури, за допомогою якої уповноважена особа аналізованого ризику може ефективно управляти даним ризиком. При цьому мета контрольної процедури ви­значається аудитором або на основі аналізу ВИД по процесу, інтерв'ю із уповноваженою особою процесу, або самостійно на основі «кращих практик» організації даних процесів в аналогічних компаніях.

Як правило, тестування проводиться аудитором вибірковим мето­дом. Обсяг вибірки повинен забезпечувати достатню впевненість ау­дитора в тому, що висновки, зроблені на основі аналізу вибіркових даних, будуть прийнятні для всього обсягу даних (генеральної сукуп­ності), з якого зроблена вибірка. Обсяг вибірки може визначатися із застосуванням спеціальних формул, отриманих на основі теорії імові­рності та математичної статистики, або визначатися на основі профе­сійного судження аудитора.

При проведенні тестування аудитор має у своєму розпорядженні до­сить широкий спектр інструментів — процедур, виконання яких дозво­лить сформувати об'єктивні висновки про ефективність служби внутрі­шнього контролю, як: порівняння /зіставлення, аналіз даних та інше.

За результатами тестування аудитор повинен дати оцінку надійності діючої СВК бізнес-процесу, в частині керування аналізованим ризиком із вказівкою можливих наслідків від реалізації даного ризику (з урахуван­ням екстраполяції результатів перевірки вибіркових даних на всю генера­льну сукупність). У разі потреби аудитор формує рекомендації з побудови або оптимізації діючої СВК для досягнення цілей бізнес-процесу.

Як інструмент для відображення процедури тестування СВК реко­мендується використати робочий документ «Аудиторський тест».

Необхідно конкретизувати, що форма внутрішнього контролю біз- нес-процесу являє собою фактичний зміст і місце розташування конт­рольних процедур у структурі процесу.

У ході проведення оцінки форми контролю аудитор використовує наступні прийоми, результати яких відображаються у вищевказаному робочому документі:

•   формування ідеальної схеми бізнес-процесу («як повинно бути»). Схема ідеального процесу формується таким чином, щоб гарантува­ти досягнення цілей даного процесу;

•   порівняння фактичної схеми бізнес-процесу («як є») з ідеальною;

•    аналіз наявності і ефективності контрольних процедур, перед­бачених у регламентуючих і розпорядчих документах по аудитовано- му процесу. Аналіз ефективності контрольної процедури проводиться на предмет забезпечення розумної гарантії досягнення відповідних ці­лей досліджуваного бізнес-процесу;

•   аналіз наявності, якості виконання і ефективності контрольних процедур фактично властивому процесу;

•   порівняння змісту і якості виконання фактичних процедур конт­ролю з вимогами ВНДпо бізнес-процесу;

•   оцінка ефективності процедури за допомогою статистичного аналізу подій за тривалий період (3-5 років);

•    бенчмаркинг і пошук «кращої практики» для оптимізації конт­рольних процедур.

Крім того, оцінка форми контролю повинна проводитися з ураху­ванням вартості як окремої контрольної процедури, так і витрат на створення і підтримку всієї служби внутрішнього контролю. Рекомен­дації щодо створення і оптимізації діючої СВК повинні бути обґрунто­вані з погляду вартісного аналізу «вигоди-витрати». У разі функціону­вання декількох контрольних процедур, спрямованих на керування одним ризиком або залежними ризиками, слід провести оцінку різних варіантів використання контрольних процедур для виключення зайвих (дублюючих) процедур.

У разі розбіжностей щодо результатів тестування зауваження на­дають у СВА у вигляді «Протоколу розбіжностей за результатами аудиту», а у разі згоди з викладеними аудитором інформацією і ви­сновками надають у СВА «План коригувальних заходів щодо резуль­татів аудиту», який повинен передбачати опис заходів, відповідаль­них за них, термін їхнього виконання.

«Кращою практикою» при узгодженні матеріалів аудиту є проце­дура проведення завершальної наради між аудиторами та пред­ставниками особи, яка проводить аудит, щодо уточнення остаточ­них думок і позицій сторін з предмета перевірки.

Стандартна форма «Аудиторського звіту» законодавче не визна­чена. Тому даний робочий документ СВА формується аудитором за формою, розробленою безпосередньо в самій компанії, але повинен відповідати вимогам об'єктивності, ясності, лаконічності, конструкти­вності й своєчасності.

Слід зазначити, що позитивно зарекомендувало себе на практиці виділення в «Аудиторському звіті» окремих тематичних блоків — вступної й описової частин.

У вступній частині «Аудиторського звіту» аудитор представляє за­гальну інформацію про перевірку, як-то:

•    ціль, об'єкт і предмети перевірки;

•    склад аудиторської групи, строки проведення перевірки; Описо­ва частина «Аудиторського звіту» є найбільш об'ємним й інформати­вним блоком, що містить всі результати аудиту.

Для залучення уваги вищого керівництва компанії до найбільш ва­жливих аспектів, виявлених при аудиті, а також для спрощення проце­су формування звітності СВА про діяльність служби рекомендується відокремити:

•    найбільш істотні висновки про недоліки організації аналізовано­го бізнес-процесу й системи внутрішнього контролю;

•    рекомендації аудитора щодо усунення причин і зниження нас­лідків найбільш високих ризиків, властивих даному процесу, і негати­вному виливу на досягнення цілей компанії.

Для зручності сприйняття зацікавленими користувачами результа­тів аудиту доцільно дотримуватися такої схеми подання інформації:

•    опис предмета перевірки;

•    опис і оцінка ризиків, властивих даному процесу; •

•    опис і оцінка фактично використовуваного виливу на ризики;

•    результати фактично використовуваного виливу на ризик (за ре­зультатами аудиторського тестування);

•    опис причин, що обумовили реалізацію ризиків;

•    опис й оцінка наслідків від реалізації ризиків;

•    рекомендації аудитора щодо керування даними ризиками за ра­хунок побудови й оптимізації СВК даного процесу.

Необхідно відзначити, що якщо в ході узгодження «Проекту ауди­торського звіту» досягти єдиної думки з аудитуючим не вдалося, в оста­точному «Аудиторському звіті» варто також указати думку аудитуючого з поясненням, чому його заперечення не були прийняті аудитором.

При формуванні «досьє аудита» необхідно до «Аудиторського зві­ту» додавати «Протокол розбіжностей за результатами аудиту» і «План коригувальних заходів щодо результатів аудиту».

Порядок підписання «Проекту аудиторського звіту» і «Аудиторсько­го звіту» та доведення даних документів до заінтересованих користувачів повинен бути регламентований документами, що регулюють організацію функції внутрішнього аудиту в компанії. Як правило, дані документи по перевірці авторизуються керівником СВА, що ухвалює рішення щодо на­правлення даних документів заінтересованим користувачам.

Звичайно остаточна версія «Аудиторського звіту» надається:

•    замовникові аудиту — особі, що ініціювала дану перевірку;

•    власникові аудитованого бізнес-процесу;

•    іншим заінтересованим користувачам на розсуд керівника СВА компанії.

Слід зазначити, що направлення СВА остаточної редакції «Ауди­торського звіту» заінтересованим користувачам є лише проміжним етапом проведення аудиторської перевірки ефективності СВК бізнес- процесів. Тільки наступна спільна робота СВА і менеджменту компа­нії може забезпечити належне формування й впровадження надійної СВК бізнес-процесів, що забезпечує розумну впевненість у досягненні стратегічних цілей компанії і її акціонерів.