+7 (495) 748-05-32

info@iia-ru.ru

ЛИЧНЫЙ КАБИНЕТ

Войти Регистрация

Дистанционный аудит: как удостовериться в надежности количественной информации?

Раздел: Статьи российских авторов

Автор: Евгений ЗВЕРЕВ, CIA


Аудитор может удостовериться в надежности количественной информации, полученной дистанционно от любых сторонних лиц, путем оценки близости ее вероятностного распределения к нормальному распределению, тем самым снизив операционный риск своей профессиональной деятельности. В статье представлены графический метод оценки и пример его использования.


Удаленный (дистанционный) аудит используется во всем мире уже много лет и при правильной стратегии может быть эффективной альтернативой или дополнением к традиционным подходам. Однако в его применении есть сложности [1]:

«Как технологически зависимый метод дистанционный аудит имеет проблемы при внедрении — это:

— отсутствие коммуникации “аудитор–клиент” как ключевого аспекта традиционного аудита;

— отсутствие практического знакомства сторон с методикой удаленного аудита;

— технологические ограничения (например, отсутствие инфраструктуры для полной поддержки удаленного аудита);

— сложности для клиента[1] из-за “дополнительного обременения”.


В статье рассматривается последняя из перечисленных проблем.


Основой удаленного (дистанционного) аудита является возможность физического отсутствия внутреннего аудитора на месте аудирования, а работа по сбору и первичному структурированию необходимой ему информации перекладывается на клиента, тем самым увеличивая нагрузку последнего. В статье [1] приведен пример: «В ходе традиционного аудита проверка физического существования актива предполагает посещение актива. Выполнение этой же процедуры с помощью удаленного аудита потребует, чтобы представитель клиента посетил объект и отправил отчет аудиторам».


Все вроде просто и понятно, но в Международных профессиональных стандартах внутреннего аудита, в Стандарте 2310 «Сбор информации», указано: «Внутренние аудиторы должны собрать достаточный объем надежной, уместной и полезной информации для достижения целей задания». Далее там же: «Надежная информация — это наиболее полная и заслуживающая доверие информация, которую возможно получить, применяя надлежащие аудиторские процедуры». Но является ли информация, полученная от клиента подобным способом, надежной ?


В соответствии со Стандартом 2120 «Управление рисками» «внутренний аудит должен оценивать эффективность процессов управления рисками и способствовать их совершенствованию». А как быть с управлением рисками его собственной деятельности? В статье [2] верно подмечено: «Подразделения внутреннего аудита сталкиваются с теми же рисками, что и другие подразделения… Необходимо определить все собственные риски; оценить их; установить риск-аппетит; снижать, управлять, избегать, передавать или принимать риски и постоянно их контролировать».


Получение ненадежной информации от клиента относится к операционным рискам. Они наиболее актуальны в повседневной деятельности, их источники — люди, процессы, технологии. Чтобы управлять операционным риском, нужно применять системный подход, включающий идентификацию, определение допустимого риск-аппетита, разработку контрольных процедур с индикаторами риска, текущий мониторинг состояния и принятие мер для снижения.


Проверка на нормальность распределения


Для минимизации риска предоставления клиентом ненадежной информации по функционированию контрольной процедуры некоего бизнес-процесса в рамках дистанционного аудита необходимо разработать индикатор риска. Им будет близость функции распределения величины, описывающей выявленные отклонения в функционировании проверяемой контрольной процедуры, к нормальному распределению (нормальность).


Нормальное распределение возникает, когда случайная величина является суммой большого количества случайных величин, каждая из которых слабо влияет на сумму, при этом независимость и нормальность от каждого слагаемого не требуются.
Многолетний опыт проведения внутренних аудиторских проверок показывает: если отклонения в выборке возникли по причине «злого умысла», то нормального распределения отклонений в совокупности не будет, поскольку «злой умысел» — не случайный фактор.


Поэтому его индикатором может служить отклонение от нормальности, причем «злым умыслом» может быть не только мошенничество с целью наживы, но и осознанное невыполнение работниками требуемых контрольных процедур.


Проверка на нормальность возможна с использованием критериев нормальности, но это не всегда удобно, так как требует значительных вычислений, а в некоторых случаях — большого объема данных. Поэтому вид функции распределения оценивают приближенными методами — графическим или по асимметрии[2] и эксцессу[3]. В данной статье предлагается графический метод как наиболее наглядный и простой в применении.


Основная идея[4] графического метода, представленного в настоящей статье, состоит в следующем.


Если текущие значения xi функции распределения величины, описывающей выявленные отклонения, имеют распределение, аналогичное стандартному нормальному распределению z(W), то между ними должна быть зависимость, близкая к линейной. При существенных отклонениях значений xi от прямой линии их нельзя считать соответствующими нормальному распределению[5] [3].


Планирование дистанционного аудита


При планировании дистанционного аудита необходимо определить:

— цели проверки;

— проверяемую совокупность;

— единицу выборки;

— тестируемые процедуры [4].


Например, если цель дистанционного аудита состоит в понимании того, насколько надежен контроль процедуры исполнения заказов на продажу в кредит при его предварительном одобрении, то совокупность будет состоять из всех заказов на продажу в кредит в течение определенного периода. Каждый такой заказ является потенциальной единицей выборки, а утверждение кредита является атрибутом контроля, который должен быть проверен.


Выборка по качественным признакам, или атрибутивная выборка, обеспечивает тестирование средств внутреннего контроля, а результаты атрибутивного выборочного контроля создают статистическую основу для аудиторского заключения: является ли контроль эффективным по функционированию.


Методология применения


Рассмотрим применение описанной методологии на примере.


Внутренний аудит управляющей компании (УК) осуществляет дистанционный аудит, цель которого состоит в определении надежности контроля процедуры исполнения заказов на продажу с отсрочкой платежа при его предварительном одобрении. Проверке подлежат большое количество однотипных договоров продажи с отсрочкой платежа по девяти филиалам, и в каждом функционирует указанная процедура, но ее важность для каждого различна. Сбор информации и статистическая обработка осуществляются силами филиала. По каждому количество нарушений незначительно и мало различается, размер же самой атрибутивной выборки значителен. В УК передается информация в разрезе филиалов о размере атрибутивной выборки, количестве выявленных отклонений в ней и мнение контролера филиала о надежности контрольной процедуры аудируемого процесса.


Внутреннему аудиту УК необходимо убедиться в надежности предоставленной информации. В качестве индикатора риска надежности применяется степень близости выборочной средней нарушений атрибутивной выборки (в разрезе филиалов) к нормальному распределению. Подтверждение нормальности ее распределения позволит считать информацию надежной .


В таблице представлена информация от филиалов и ее статистическая обработка для осуществления проверки на нормальность графическим способом:



Информация по тестированию, поступившая от филиалов

Статистическая обработка для графической проверки нормальности распределения

№ филиала

Размер выборки

Кол-во отклонений в выборке

Накопленная частость

Выборочное среднее нарушений (индикатор)

Стандартное нормальное распределение

№ филиала (сортировано по гр. 6)

i

Ni

ni

Wi = i / (∑(i) + 1)

xi = ni / Ni

сортировано

zi = НОРМСТОБР[6](Wi)

1

2

3

4

5

6

7

8

1

103

3

0,1

0,0291

0,0175

–1,28

8

2

95

3

0,2

0,0316

0,0192

–0,84

7

3

125

4

0,3

0,0320

0,0235

–0,52

5

4

105

3

0,4

0,0286

0,0286

–0,25

4

5

85

2

0,5

0,0235

0,0291

0,00

1

6

115

4

0,6

0,0348

0,0316

0,25

2

7

260

5

0,7

0,0192

0,0320

0,52

3

8

228

4

0,8

0,0175

0,0348

0,84

6

9

85

5

0,9

0,0588

0,0588

1,28

9

В графическом способе значение индикатора по всем филиалам сортируют по возрастанию. Для каждого значения xi находят соответствующую накопленную частость:

W = i / (∑(i) + 1),

где i — номер результата в ряду (филиал);

∑(i) — объем испытаний (∑(i) = 9 — количество филиалов).


По рассчитанным значениям накопленных частостей формируют стандартное нормальное распределение (ожидаемое). Метод реализуется следующим образом.


Если предполагается нормальным распределение значений xi, то находят соответствующее им стандартное нормальное распределение z(W)i. Далее по имеющимся данным наносят точки на плоскость в координатах x – z. Если точки на графике аппроксимируются прямой линией лишь с небольшими отклонениями от нее, то представленные филиалами результаты тестирования достаточно хорошо описываются нормальным распределением.


На рисунке представлены результаты тестирования надежности контроля процедуры исполнения заказов на продажу в кредит при его предварительном одобрении. Первые восемь точек (это данные по 1–8 филиалам) укладываются в прямую линию с небольшими отклонениями, а девятый филиал (крайняя точка справа) заметно «выпадает» из этого тренда.


рис Дист Аудит Зверев.jpg


Аудиторское заключение


Если отклонение случайно, то оно укладывается в гипотезу о нормальном распределении нарушений, если нет, то такое отклонение связано с риском «злого умысла».
На этом основании внутренний аудит УК делает вывод о надежности данных восьми филиалов и о ненадежности данных, представленных девятым.


Причины отклонения от нормального распределения могут быть разными: ошибки при планировании статистической выборки, неправильное формирование статистической выборки (либо просто использование нестатистической), умышленное («злой умысел») неисполнение контрольной процедуры по любым основаниям и пр. Описанный подход позволит внутреннему аудиту УК объективно и статистически обоснованно оценить ситуацию с надежностью контроля в разрезе филиалов и осуществить целенаправленный аудит девятого филиала.


Развитие информационных технологий типа Data Maining [5] позволяют исследовать всю совокупность, а не только статистически обоснованную выборку. Но зная общее количество нарушений в совокупности, мы задаемся вопросом: случайны ли отклонения (т.е. укладываются ли они в гипотезу о нормальном распределении нарушений)? Если нет, то аудитор считает, что такое отклонение может быть связано с рисками »злого умысла». Как проверить нормальность распределения? Предлагаемый в статье метод позволит сделать оценку и в этой ситуации.


Даже при использовании статистических методов аудитор должен критически оценивать полученные им результаты, но тем не менее, статистический подход обычно обеспечивает объективный анализ и повышает эффективность аудита.


Литература

1. Khan A. Auditing From a Distance // Internal Auditor. September 05, 2017 = Хан А. Аудит на расстоянии / Пер. Е. Зверева // Официальный сайт НП «Институт внутренних аудиторов».

2. Shen K. Internal Audit Needs Risk Management, Too // Internal Auditor, August 08, 2017 = Шен К. Внутренний аудит нуждается в управлении собственными рисками / Перевод Е. Фроловой-Ивановой под ред. Е. Зверева // Официальный сайт НП «Институт внутренних аудиторов».

3. Заляжных В.В. Статистические расчеты при обработке результатов испытаний (измерений)» (http:arhiuch.ru).

4. Зверев Е. Атрибутивная малая выборка: применение в аудиторских процедурах // Внутренний контроль в кредитной организации. 2017. № 4.

5. Silltow J. Data Mining 101: Tools and Techniques // Internal Auditor, August 01, 2006 = Силлтоу Дж. Интеллектуальный анализ данных (Data Mining 101): инструменты и методы / Пер. Е. Зверева // Официальный сайт НП «Институт внутренних аудиторов».




[1] Здесь под клиентом понимается представитель объекта (бизнес-процесс, структурное подразделение, хозяйствующий субъект и пр.) аудирования.


[2] Асимметрия (А) — это мера несимметричности графика плотности реального распределения в сравнении с нормальным распределением. В MS Excel имеется встроенная функция СКОС. Далее производят сравнение с дисперсией ABC(А).


[3] Эксцесс (Е) — мера вытянутости графика плотности реального распределения в сравнении с нормальным распределением. В MS Excel имеется встроенная функция ЭКСЦЕСС. Далее производят сравнение с дисперсией ABC(Е).


[4] Существуют и другие графические методы, например сравнение частотного распределения фактических данных (гистограммы) с кривой нормального распределения.


[5] Здесь необходимо отметить, что строгого говоря, метод является упрощенным, однако как индикатор надежности информации, полученной от объектов аудита и/или выявления объектов последующего аудита, он себя оправдывает.


[6] НОРМСТОБР – встроенная функция пакета MS- Excel.



Статья была опубликована в журнале "МСФО и МСА в кредитной организации" № 1 (67) \ 2018, ИД "Регламент".