Необходимость оценки рисков в рамках аудита: как ее проводить


При проведении аудитов перед некоторыми службами внутреннего аудита возникает ряд проблем. В первую очередь, это недостаток времени и ограниченность ресурсов. Поэтому сложно за небольшой промежуток времени охватить все важные сферы проверяемых бизнес-процессов, при этом без потери качества и с извлечением максимальной пользы от аудита.

Многие бизнес-процессы, подверженные проверкам, кросс-функциональны, когда в них задействуется несколько подразделений. Таким образом, более детальный анализ деятельности каждого такого подразделения (или подпроцесса) требует дополнительных ресурсов.

Необходимость оценки рисков в рамках аудита: как ее проводить

Для успешного начала аудита внутреннему аудитору желательно обратить особое внимание не на последовательную оценку эффективности отдельных подразделений (или подпроцессов), а на определении рисков, присущих процессу, подверженному аудиту, в целом. После такого определения рисков необходимо оценить их и выявить наиболее серьезные риски, то есть которые могут существенно повлиять на бизнес. Определение самых важных рисков и сфер может базироваться на результатах аудитов прошлых лет, наблюдениях службы внутреннего аудита, данных риск-менеджмента, дополнительных данных от объектов аудита и др.

Оценка рисков также способствует прозрачности коммуникации и эффективному диалогу с внутренними клиентами службы аудита (СЕО, правлением, советом директором, акционерами и самими проверяемыми подразделениями), чтобы устранить такие вопросы, как: «Где риск?», «Где приоритет?», «На что нам обратить внимание в первую очередь?» или даже уведомления о том, что риска не предвидится.

Анализ рисков предусмотрен Международными профессиональными стандартами внутреннего аудита (МПСВА). Этот анализ является одним из методов использования риск-ориентированного подхода.

Ниже приведен список руководств и стандартов, в которых раскрыта методология оценки рисков:

Стандарты и руководства:

  • Международные профессиональные стандарты внутреннего аудита:

2100 – Сущность работы внутреннего аудита. Внутренний аудит направлен на проведение оценки и должен способствовать совершенствованию процессов корпоративного управления, управления рисками и контроля в организации с использованием последовательного и системного риск-ориентированного подхода.

2210 – Цели аудиторского задания. Для каждой аудиторской процедуры должны быть определены ее цели.

2210.А1 — Внутренний аудитор должен провести предварительную оценку рисков, которые являются объектом аудита. Цели аудиторского задания не должна противоречить результатам этой оценки.

  • Дополнительное руководство Международного института внутренних аудиторов:

«Планирование аудиторского задания: Определение целей и объема» (август 2017 г.; «Engagement Planning: Establishing Objectives and Scope»).

Есть вопрос?
Спросите
у специалиста!

На этапе планирования, составления алгоритма аудита и предварительной оценки рисков аудиторам очень важно грамотно изложить получаемую информацию. Она должна быть понятна, систематизирована, однозначна и понятна как руководителю службы внутреннего аудита, так и внутренним клиентам. Одним из практических инструментов систематизации необходимых данных является, к примеру, матрица рисков и контролей. Такая подобная матрица может составляться на протяжении каждого аудита и быть важным дополнением к аудиторскому отчету.

Необходимость оценки рисков в рамках аудита: как ее проводить

Матрица состоит из трех основных блоков, которые заполняются в следующей последовательности:

  1. Вероятный риск. Аудитор составляет перечень рисков, присущих бизнес-процессу в целом, и распределяет их в порядке приоритета (значимости и влияния на бизнес).
  2. Контрольные процедуры. В процессе аудита определяется, какие ручные и автоматизированные контрольные процедуры (в частности, отчеты, регламенты, инвентаризации, сверки, распределение полномочий, «вторая пара глаз» и пр.) выполняются подразделениями для снижения опасности возникновения рисков. Проводится оценка данных контрольных процедур по дизайну и эффективности выполнения.
  3. Остаточный риск. По итогам тестирования эффективности контрольных процедур на завершающем этапе аудита проводится количественная (или качественная) оценка величины остаточного риска на основе оценки «вероятности – влияния».

На основе опыта практикующих аудиторов можно сделать вывод, что матрица рисков и контрольных процедур (контролей) – довольно практичный инструмент и для внутренних аудиторов, и для внутренних клиентов. Матрица способствует аудитору сформулировать рекомендации для усовершенствования неэффективных контролей или для устранения причин недостатков, выявленных в ходе аудита, и при этом не упустить из внимания рисковых моментов.

Матрица дискутируется при передаче результатов аудита владельцам бизнес-процессов и иным внутренним клиентам, так как оценка СВК процесса, подверженного аудиту, непосредственно зависит от количества остаточных рисков и их значимости. Благодаря матрице внутренний клиент может увидеть «весь набор» всех рисков и контролей своего процесса фактически на одном листе, а потом обсудить с аудитором величину остаточного риска, отсутствующие и избыточные контроли, а также контрольные процедуры, которые требуют усовершенствования. А потом сформировать эффективный алгоритм мероприятий по устранению выявленных недостатков.

К тому же открытая и прозрачная коммуникация с внутренними клиентами («being on common page») – это залог повышения ценности внутреннего аудита и успеха в целом. Также такой подход способствует повышению уровня риск-культуры компании.

Понравилась статья?
Оставьте комментарий

Связаться с нами

Вы не можете скопировать содержимое этой страницы