Если стратегия аудита предполагает, что аудитор полагается на операционную эффективность средств контроля, и имели место изменения в СВК, то аудитору рекомендуется проследить ход операций, которые имели место до и после внесенных изменений.
В процессе обновления рабочих документов по СВК аудитору следует тщательно рассмотреть изменения в превентивных средствах контроля на уровне организации. Эти изменения могут оказать существенное воздействие на эффективность операционных средств контроля и повлиять на реагирование аудитора на оцененные риски.
Так, решение руководства о найме высококвалифицированного специалиста для подготовки финансовой отчетности может понизить риски ошибок в финансовой информации и повысить эффективность средств контроля в отношении операций, которые ранее могли обходиться вниманием. И наоборот, неспособность руководства заменить некомпетентного менеджера по IT или направить существенные ресурсы на сокращение рисков, связанных с IT-системами, может привести к снижению эффективности прочих контрольных процедур. В любом случае эти моменты приведут к значительным изменениям характера реагирования аудитора на оцененные риски.
Этап 4. Документирование применения соответствующих средств контроля
Документация в отношении применения средств контроля поможет аудитору:
понять природу, функционирование и контекст (кто использует средство контроля, где, как часто и какова документация об этом), в котором применяются выявленные средства контроля;
определить, насколько надежны средства контроля и возможно ли положиться на их эффективность.
Если ответ на последний вопрос будет положительным, то средства контроля можно тестировать в ходе ответных процедур на оцененные риски. Документация о тестировании также поможет аудитору разработать конкретный тест, т.е. определить выборочную совокупность, объем выборки, какие приложения средства контроля будут тестироваться, кто выполняет контрольную процедуру.
Объем документирования определяется профессиональным суждением аудитора. Наиболее распространенными формами документации, подготавливаемой руководством для аудитора, являются:
описательные материалы или меморандумы по СВК;
блок-схемы;
сочетание описательных материалов и блок-схем;
вопросники и проверочные листы.
Объем и характер требуемой документации — предмет профессионального суждения аудитора. При определении этого объема следует учитывать:
природу, величину и сложность организации и ее СВК;
доступность информации от организации;
методологию аудита и используемые в ходе аудита технологии.
Объем документирования может отражать также опыт и возможности аудиторской группы. Аудит, проводимый менее опытной группой, может потребовать подготовки более детальной документации, нежели в случае, когда группа состоит из профессионалов.
Как уже отмечалось, при планировании текущего аудита аудитор может использовать документацию, подготовленную в ходе предшествующих аудитов. Обновление такой документации потребует:
сделать копии рабочих документов по СВК за прошлые периоды для их последующего обновления; если ничего не изменилось, вначале рассматривается применяемость средств контроля; если средство контроля действительно применялось и риск не менялся, то характер средства контроля можно считать надлежащим;
обновить перечень факторов риска, которые должны понижаться посредством СВК;
выявить изменения в СВК на уровне организации и операций в ходе процедур проверки применяемости средств контроля;
определить, являются ли выявленные новые средства контроля надлежащими и применяются ли они;
обновить описание соответствия средств контроля РСИ;
обновить вывод о риске контроля.
Тестирование средств контроля
Аудиторские процедуры, используемые для проверки средств контроля, относятся к одному из четырех типов:
запросы персоналу надлежащего уровня;
инспектирование соответствующей документации;
наблюдение за операциями организации;
повторное выполнение контрольной процедуры.
Тесты контроля представляют аудиторские доказательства того, работают средства контроля эффективно или нет. Соответственно они могут использоваться, только когда на основе рассмотрения адекватности и фактического применения средства контроля ожидается, что его функционирование надежно. В связи с этим допустимый уровень ошибки или искажения для тестов контроля очень мал. Обычно это либо полное отсутствие отклонений в функционировании средства контроля, либо одно отклонение.
Рассмотрение искажений средств контроля на уровне организации
Проверка наличия искажения (отклонений в функционировании) средств контроля на уровне организации (например, проверка приверженности компетентности или понимание политики организации в отношении приемлемого поведения) может оказаться более субъективной процедурой, чем проверка средств контроля в отношении конкретных операций. Однако эти средства контроля в совокупности обеспечивают надлежащий фундамент функционирования для остальных компонентов СВК.
К тестам контроля политики и практики в области управления человеческими ресурсами можно отнести рассмотрение:
действующих в организации политик и практик их применения на основе соответствующей документации;
файлов персонала на наличие документов, подтверждающих проведение аттестаций, тренингов и пр.
Примером теста контроля процедуры распределения полномочий на уровне организации является рассмотрение любой документации, в частности должностных инструкций, на наличие соответствующих требований.
Поясним, как рекомендуется проводить тестирование средств контроля на уровне организации. Допустим, для проверки того, действительно ли руководство сообщает персоналу о необходимости следовать этическим требованиям и проводит соответствующую политику, аудитору необходимо сформировать выборку сотрудников организации для проведения интервью. У сотрудников следует узнать, имели ли место рассматриваемые сообщения руководства, какие действуют политики и процедуры, какими ценностями руководствуются в повседневной деятельности управляющие. Если общий ответ сотрудников подтверждает наличие рассматриваемых сообщений руководства и проведения в жизнь соответствующих политик и практик, то тест следует считать успешно пройденным. Описания интервью с каждым сотрудником и подтверждающая документация (соответствующие политики организации, данные о сообщении информации интервьюируемым) должны отражаться в отчете и храниться в аудиторском файле.
Хотя в основном искажение средств контроля на уровне организации и в информационных системах обычно тестируется путем выражения профессионального суждения, в некоторых случаях можно применять статистические выборки. Например, такой подход используется для получения доказательств о проведении проверок ежемесячной отчетности и принятии необходимых мер по их результатам.
Процесс документирования результатов тестирования средств контроля на уровне организации может оказаться сложнее, чем для тестирования средств контроля на уровне бизнес-процессов. В силу этого тестирование искажений средств контроля на уровне организации обычно документируется в виде отдельных отчетов в файле с приложением подтверждающих доказательств.
Построение выборок при проверке средства контроля в отношении операций
Тесты контроля представляют доказательства того, что средство контроля функционирует эффективно в течение рассматриваемого периода времени, определенного, к примеру, как отчетный год.
Эффективный набор аудиторских процедур, разработанных в ответ на оцененные риски для определенных предпосылок, может состоять из сочетания тестов контроля и процедур проверки по существу. В данном случае при разработке тестов контроля аудитор может исходить из того, что они способны обеспечить средний уровень уверенности.
Поскольку средства контроля в отношении операций или работают эффективно, или не работают вовсе, не имеет смысла проверять работу средства контроля, которое ранее оценено как ненадежное. Ненадежные средства контроля — это те средства, в отношении которых существует вероятность обнаружения отклонений. Таким образом, если в ходе оценки у аудитора формируется суждение о ненадежности средства контроля (т.е. вероятности выявления более чем одного отклонения в его функционировании), то тестирование его эффективности не будет действенным с точки зрения аудита. На самом деле размер выборок для средств контроля в большинстве случаев невелик, поскольку они основываются на предположении, что в работе средства контроля не будет выявлено никаких отклонений. Иначе необходимо было бы рассмотреть существенно бóльшие по объему выборки, что привело бы к резкому увеличению трудозатрат.
Грамотно разработанные тесты контроля должны обеспечивать низкий или средний уровень риска того, что проверяемое средство контроля работает неэффективно. При разработке тестов контроля аудитору рекомендуется рассмотреть два уровня уверенности, которую предполагается получить:
высокий уровень уверенности (низкий остаточный риск) используется при получении в ходе тестов контроля основных аудиторских доказательств по проверяемому разделу отчетности;
средний уровень уверенности (средний остаточный риск) используется при сочетании тестов контроля с проведением в отношении конкретной предпосылки процедур проверки по существу.
Также при разработке теста аудитору полезно будет использовать три уровня снижения риска — низкий, средний и высокий. Разница между этими уровнями основывается на так называемом факторе уверенности, применяемом для построения выборки. В таблице 6 показаны типичные величины фактора уверенности, применяемые для получения высокого, среднего или низкого уровня снижения аудиторского риска.