Необхідність оцінювання ризиків у рамках аудиту: як її проводити


Під час проведення аудитів перед деякими службами внутрішнього аудиту виникає ряд проблем. Насамперед, це брак часу та обмеженість ресурсів. Тому складно за невеликий проміжок часу охопити всі важливі сфери бізнес-процесів, що перевіряються, при цьому без утрати якості і з отриманням максимальної користі від аудиту.

Багато підданих перевіркам бізнес-процесів крос-функціональні, тобто коли в них задіяно кілька підрозділів. Таким чином, детальніший аналіз діяльності кожного такого підрозділу (або підпроцесу) потребує додаткових ресурсів.

Необхідність оцінювання ризиків у рамках аудиту: як її проводити

Для успішного початку аудиту внутрішньому аудитору бажано звернути особливу увагу не на послідовне оцінювання ефективності окремих підрозділів (або підпроцесів), а на визначення ризиків, властивих підданому аудиту процесу, загалом. Після такого визначення ризиків необхідно оцінити їх та виявити найбільш серйозні ризики, тобто ті, які можуть суттєво вплинути на бізнес. Визначення найважливіших ризиків та сфер може базуватися на результатах аудитів минулих років, спостереженнях служби внутрішнього аудиту, даних ризик-менеджменту, додаткових даних від об’єктів аудиту та ін.

Оцінювання ризиків також сприяє прозорості комунікації та ефективному діалогу з внутрішніми клієнтами служби аудиту (СЕО, правлінням, радою директором, акціонерами та самими підрозділами, що перевіряються), щоб усунути такі питання, як: «Де ризик?», «Де пріоритет?», «На що нам звернути увагу насамперед?» або навіть повідомлення про те, що ризик не передбачається.

Аналіз ризиків передбачено Міжнародними професійними стандартами внутрішнього аудиту (МПСВА). Цей аналіз є одним із методів використання ризик-орієнтованого підходу.

Нижче наведено список посібників та стандартів, в яких розкрито методологію оцінювання ризиків:

Стандарти та посібники:

Міжнародні професійні стандарти внутрішнього аудиту:

2100 – Сутність роботи внутрішнього аудиту. Внутрішній аудит спрямований на проведення оцінювання та має сприяти вдосконаленню процесів корпоративного управління, управління ризиками й контролю в організації з використанням послідовного та системного ризик-орієнтованого підходу.

2210 – Цілі аудиторського завдання. Для кожної аудиторської процедури мають бути визначені її цілі.

2210.А1 – Внутрішній аудитор повинен провести попереднє оцінювання ризиків, які є об’єктом аудиту. Цілі аудиторського завдання не мають суперечити результатам цього оцінювання.

Додаткове керівництво Міжнародного інституту внутрішніх аудиторів:

«Планування аудиторського завдання: Визначення цілей та обсягу» (серпень 2017 р.; «Engagement Planning: Establishing Objectives and Scope»).

Є питання?
Запитайте
у спеціаліста!

На етапі планування, складання алгоритму аудиту та попереднього оцінювання ризиків аудиторам дуже важливо грамотно викласти отриману інформацію. Вона має бути зрозумілою, систематизованою, однозначною і зрозумілою як керівнику служби внутрішнього аудиту, так і внутрішнім клієнтам. Одним із практичних інструментів систематизації необхідних даних є, наприклад, матриця ризиків та контролів. Така матриця може складатись упродовж кожного аудиту та бути важливим доповненням до аудиторського звіту.

Необхідність оцінювання ризиків у рамках аудиту: як її проводити

Матриця складається з трьох основних блоків, що заповнюються в такій послідовності:

  1. Імовірний ризик. Аудитор складає перелік ризиків, властивих бізнес-процесу загалом, і розподіляє їх у порядку пріоритету (значущості та впливу на бізнес).
  2. Контрольні процедури. У процесі аудиту визначається, які ручні та автоматизовані контрольні процедури (зокрема, звіти, регламенти, інвентаризації, звірки, розподіл повноважень, «друга пара очей» тощо) виконуються підрозділами для зниження небезпеки виникнення ризиків. Проводиться оцінювання даних контрольних процедур з дизайну та ефективності виконання.
  3. Залишковий ризик. За підсумками тестування ефективності контрольних процедур на завершальному етапі аудиту проводиться кількісне (або якісне) оцінювання величини залишкового ризику з урахуванням оцінки «ймовірності – впливу».

За підсумками досвіду практикуючих аудиторів можна дійти висновку, що матриця ризиків і контрольних процедур (контролів) – доволі практичний інструмент як внутрішніх аудиторів, і внутрішніх клієнтів. Матриця допомагає аудитору сформулювати рекомендації для вдосконалення неефективних контролів або усунення причин недоліків, виявлених у ході аудиту, і не випустити з уваги ризикових моментів.

Матриця обговорюється під час передачі результатів аудиту власникам бізнес-процесів та іншим внутрішнім клієнтам, оскільки оцінювання СВК процесу, що підданий аудиту, безпосередньо залежить від кількості залишкових ризиків та їх значимості. Завдяки матриці внутрішній клієнт може побачити «весь набір» всіх ризиків та контролів свого процесу фактично на одному аркуші, а потім обговорити з аудитором величину залишкового ризику, відсутні та надмірні контролі, а також контрольні процедури, які потребують удосконалення. А потім сформувати ефективний алгоритм заходів щодо усунення виявлених недоліків.

До того ж відкрита та прозора комунікація з внутрішніми клієнтами (being on common page) – це запорука підвищення цінності внутрішнього аудиту та успіху загалом. Також такий підхід сприяє підвищенню рівня ризик-культури компанії.

Сподобалася стаття?
Залишити коментар

Зв'язатись з нами

Вы не можете скопировать содержимое этой страницы