Институт внутренних аудиторов

Документ "Оценка Дизайна Контроля" (Control Design Evaluation) все же дает ответ на первые два вопроса:

, а также на вопрос: является ли эффективным этот дизайн, то есть позволяют ли эти контроли (будучи такими, как они есть в дизайне) покрыть идентифицированные и оцененные существенные риски. То есть, к примеру, мы смотрим, есть ли регламент в целом, и есть ли внутри него положения, регламентирующие исполнение необходимых контрольных процедур (Сontrol Activities). Далее смотрим, дано ли распоряжение об ознакомлении с этими процедурами всех необходимых сотрудников (Information and Communication).

Если все окей, то актуальные контроли соответствуют должным, то дизайн можно признать эффективным и разработать программу тестирования.

Эти тесты (test of controls) помогают ответить на следующие два вопроса:
- выполняются ли данные процедуры,
- и насколько они эффективны, позволяют ли они уровень риска до приемлемого.

Тесты направлены на проверку операционной эффективности контролей. Тестовые программы и результаты выполнения тестов, собственно говоря, важнейшие рабочие документы внутренней аудиторской проверки, которые в большинстве своем могут быть составлены в ходе "полевых работ" проверки, а не на этапе планирования. В то время как оценка дизайна контроля наполовину может быть заполена еще до "полевых работ".

На практике граница между процедурами оценки дизайна контроля и тестированием может быть призрачной. Потому что для того, чтобы убедительно дать заключение о неэффективности дизайна иногда недостаточно просто субъективного мнения внутреннего аудита, и необходимо делать более глубокие аудиторские процедуры, например, детальная ревизия(прочтение), а это уже похоже на тестирование. И с другой стороны, когда мы делаем тестирование, мы часто уже по его результатам приходим к выводу, что ошибки (проблемы) происходят из-за того, что где-то что-то было плохо прописано и соответствующим образом не доведено до исполнителей. А это уже элементы дизайна контроля. Таким образом разбиение оценки контроля на "оценку дизайна контроля" и "оценку операционной эффективности контроля" - это лишь методологический прием, который в разных компаниях и разных ситуациях может иметь свои стандарты.

Если дизайн контроля неэффективен, то его надо улучшить. В этом случае тесты можно проводить только в том случае, если есть необходимость выяснить, каковы же на самом деле результаты - достигаются ли цели при актуальном состоянии контролей. Это substantive tests, как бы самостоятельные тесты, проводимые независимо от того, какая ситуация с актуальными контролями. Некоторые еще их называют тесты результатов. Допустим, регламентов и приказов по инвентаризации нет - плохо, дизайн контроля неэффективен. Несмотря на это, мы работу не заканчиваем, а идем на склад и проводим свою аудиторскую инвентаризацию, чтобы проверить, как много несоответствий (или же наоборот, мы обнаружим, что все в порядке).

В аудите финансовой отчетности (внешнем, да и внутреннем) - это нормальная практика, поскольку надо заверить, что отчетность отражает то, что есть на самом деле.

Во внутреннем аудите других областей (процессов), на мой взгляд, в целом должен быть такой же подход.

Как я уже упоминал проведение тестов по substance - это та аудиторская работа, которую мы называем ревизионной. А на самом деле - это обыкновенная работа внутренних аудиторов. Результаты ее дают нам более убедительную информацию, достигаются ли поставленные цели и есть ли индикаторы мошенничества.

Например, в компании может и не быть Положения о закупках и Политики о зависимых (связанных) сторонах, и, соответственно, дизайн контроль может быть признан неэффективным. Это дает нам понять, что вероятность достижения поставленных целей сомнительна, т.к. риски не принимаются к управлению.

Однако этого недостаточно, чтобы признать, что (а) цели по закупкам не достигаются, (б) злоупотребления и мошенничество дает о себе знать. Для этого надо поднять документацию и все проверить, то есть сделать тесты по существу (которые по форме не будут отличаться от тестов контролей).