Методи перевірки заходів контролю: коли та яким чином їх реалізовувати.


Внутрішній контроль в організації є механізмом, який забезпечує управління, моніторинг та оцінку ресурсів компанії. Ця система відіграє критичну роль у виявленні та запобіганні шахрайських дій, а також у збереженні активів. Для оцінки ефективності внутрішнього контролю фахівці-аудитори застосовують методику, відому як тести контролю.

Міжнародний стандарт аудиту 330 "Дії аудитора у відповідь на оцінені ризики" (далі - МСА 330) покликаний допомогти аудитору отримати прийнятні та достатні аудиторські докази, що стосуються оцінених ризиків суттєвого викривлення. Досягнення цієї цілі забезпечується через виконання відповідних аудиторських процедур, розроблених аудитором у відповідь на оцінені ризики (рис. 1).

Залежно від визначених цілей, аудиторські процедури можна класифікувати на:

При розробці аудиторських процедур з урахуванням виявлених ризиків, аудитор має взяти до уваги:

(i) ймовірність суттєвого викривлення інформації внаслідок певних характеристик доречного класу операцій, залишку рахунку або розкриття інформації (невід'ємний ризик); та

(ii) плани аудитора довіряти ефективності функціонування заходів контролю, якщо ризик оцінений ним нижче чім високий унаслідок існування заходів внутрішнього контролю (ризик контролю);

Оцінка ризиків контролю аудитором на рівні, що не є високим, повинна бути підкріплена тестуванням контролюючих заходів, щоб підтвердити їхню ефективність. Таким чином, тестування контролю застосовується лише в тих випадках, коли очікується стабільна робота внутрішнього контролю. У випадку, якщо аудитор дійде висновку про недостатню ефективність внутрішнього контролю, він має підвищити оцінку ризику контролю до високого і може утриматися від проведення тестування. Проте існує друга ситуація, коли аудитору необхідно реалізувати тестування контролюючих заходів. Ця ситуація виникає, коли неможливо спланувати ефективні процедури по суті, які б надали достатні та прийнятні аудиторські докази на рівні тверджень. Наприклад, це може статися в разі, якщо підприємство веде свою діяльність виключно за допомогою інформаційних технологій, і вся документація щодо операцій зберігається тільки в електронній формі в системі ІТ.

Тестування контрольних заходів здійснюється після того, як аудитори сформують уявлення про структуру та реалізацію цих заходів. Важливо не плутати тестування ефективності контрольних механізмів з процесом отримання розуміння внутрішнього контролю та оцінкою його складових, що згадується в МСА 315 (переглянутому у 2019 році) під назвою "Ідентифікація та оцінка ризиків суттєвого викривлення". Аналіз внутрішнього контролю, спрямований на визначення того, чи функціонує контроль у підприємстві, є частиною процедури оцінки ризиків. Основною метою тестування контрольних заходів є визначити ефективність їх роботи в запобіганні, виявленні або корекції суттєвих викривлень на рівні фінансових звітів. У цьому контексті можуть бути використані ідентичні види аудиторських процедур в обох випадках.

Аудитор може проводити тестування контролюючих заходів як на проміжних етапах, так і наприкінці звітного періоду. Якщо в процесі оцінки ефективності цих заходів в проміжний період аудитору вдається виявити їх правильне функціонування, наступним кроком є збір доказів стосовно суттєвих змін у контролюючих заходах, які відбулися після цього проміжного етапу. Аудитор також має визначити, чи необхідно зібрати додаткові аудиторські докази для залишкової частини періоду, включаючи можливе розширення тестування на цей залишок.

МСА 330 дозволяє використовувати перерву у контрольних тестуваннях, якщо це не є заходами контролю значного ризику. Мається на увазі, що аудитор може не виконувати під час кожного аудиту тести заходів контролю ефективності яких він планує довіряти. Достатньо їх проводити щонайменше один раз кожного третього року. Наприклад, якщо в 2022 році ви протестували заходи контролю за кредиторською заборгованістю та отримали аудиторські докази щодо ефективності функціонування цих заходів контролю, то ви можете почекати до 2025 року, щоб перевірити їх знову. У 2023 та 2024 роках аудитору потрібно лише:

- підтвердити актуальність цих доказів для наявного аудиту шляхом отримання аудиторських даних, які свідчать про те, що зміни в цих контрольних заходах не відбулися з моменту аудиту 2022 року; та

- виконати під час кожного аудиту тести деяких заходів контролю (якщо існує багато заходів контролю, стосовно яких аудитор планує покладатися на аудиторські докази, отримані під час попередніх аудитів) з тим, щоб отримати підтверджувальну інформацію про подальшу ефективність середовища контролю.

Часовий інтервал між повторними тестуваннями контролюючих заходів залежить від професійного оцінювання і може бути під впливом багатьох факторів (див. рис. 2).

У загальному, чим вищий рівень ризику значних спотворень та/або чим більше довіри аудитор має до внутрішнього контролю, тим менший проміжок часу має бути між тестуванням контрольних заходів. Також варто зазначити, що часовий інтервал не стосується контрольних заходів для конкретних ризиків, які аудитор класифікує як істотні. Це означає, що якщо аудитор планує спиратися на перевірку контрольних заходів, пов'язаних із істотним ризиком, ефективність їхньої роботи слід перевіряти на щорічній основі.

Отже, давайте підсумуємо. Перед тим, як ухвалити рішення про проведення тестування контрольних заходів, розгляньте такі запитання:

Чи оцінюєте ви результативність роботи контрольних заходів? Не має сенсу аналізувати контроль, який не приносить результату.

* Чи відноситься контроль до твердження, для якого ви бажаєте знизити ризик контролю? МСА 330 застерігає аудитора щодо зайвого витрачання часу та передбачає, що тести заходів контролю виконуються тільки для тих із них, які, за визначенням аудитора, належно розроблені для запобігання або виявлення чи виправлення суттєвого викривлення у твердженні. Якщо протягом різних періодів часу використовувалися суттєво відмінні заходи контролю (в межах періоду, що перевіряється), кожний із них повинен розглядатися аудитором окремо.

* Яким чином ефективна система контролю може зменшити кількість процедур, що потребують суттєвого аналізу? Іншими словами, варто з'ясувати, скільки часу ви зможете зекономити за умови належного контролю. У малих підприємствах може не бути надійної системи контролю або вона може бути дуже обмеженою. У таких ситуаціях перевірка по суті може стати єдиним можливим рішенням.

* Чи є захід контролю ручним чи автоматизованим? Зазвичай автоматизований контроль працює безперервно, якщо програма (включаючи таблиці, файли та інші постійні дані) залишається незмінною. Коли аудитор підтверджує, що автоматизований контроль функціонує належним чином, він може провести тести для оцінки ефективності цього контролю. У цьому випадку процедури тестування можуть включати перевірку аудитором того, що: зміни в програмі не відбулися без дотримання належних процедур контролю за змінами; використовується затверджена версія програми для обробки транзакцій; інші релевантні загальні контрольні заходи діють ефективно.

Який буде масштаб тестування контрольних заходів? Деякі контролі реалізуються щомісяця, тоді як інші можуть проводитися сотні разів протягом того ж періоду. Чим більше обсяги вибірки, тим більше часу знадобиться для виконання тестування. Однак завдяки стабільності процесів, що здійснюються через ІТ, може виникнути потреба не збільшувати обсяги тестування автоматизованих контролів.

Заходи контролю (контрольні дії) - це набір політик і процедур, які використовує компанія для забезпечення дотримання вказівок керівництва.

Заходи контролю можна умовно класифікувати на чотири основні категорії:

1) спрямовані на перевірку виконання директив, розпоряджень, керівництва, планів і кошторисів, що стосуються фінансово-господарської діяльності тощо;

2) призначені для обробки інформації, спрямовані на перевірку точності, повноти і санкціонування операцій. Ці заходи контролю, в свою чергу, поділяються на загальні та прикладні. Загальні заходи контролю: мають широку область застосування; допомагають пересвідчитися в правильному безперебійному функціонуванні інформаційних систем; призначені забезпечити ефективне функціонування прикладних засобів контролю. Прикладні заходи контролю: допомагають переконатися, що здійснені господарські операції були санкціоновані та/або в повному обсязі і точно зафіксовані і оброблені;

3) заходи перевірки наявності та стану об'єктів - спрямовані на забезпечення збереження активів;

4) Визначення повноважень та зміна обов'язків.

Приклади контрольних заходів для зазначених груп наведені в таблиці 1.

Таблиця 1. Приклади заходів контролю

За типом реакції контрольні заходи класифікуються на:

- превентивні - обмежують можливість виникнення ризику, помилки, відхилення (процедури візування, затвердження, погодження тощо);

- Директивні - формують поведінку працівників з метою досягнення визначених цілей (розподіл ролей та відповідальностей, регламентація доступу до матеріальних активів та/або інформаційних ресурсів тощо);

- виявляючі - перевіряють результати після того, як були виконані управлінські рішення, здійснені операції чи виникла певна подія, для виявлення відхилень чи небажаних наслідків (перевірка дотримання порядку прийому та зберігання матеріальних цінностей на складах, інвентаризація товарно-матеріальних цінностей тощо);

- коригуючі - усувають відхилення або небажані наслідки, зменшують кількість ризиків втрат чи помилок (охорона приміщень, ротація персоналу, захист від несанкціонованого доступу до бухгалтерських записів, санкціонування доступу до комп'ютерних програм та файлів із даними тощо).

Характер реагування заходів контролю залежить від моменту, в який контроль здійснюється. В залежності від моменту здійснення контролю заходи контролю будуть або попередні, або подальші:

Раніше вжиті заходи контролю мають на меті запобігання порушенням і помилкам (схвалення угод та транзакцій, захист територій і приміщень тощо).

Наступні контрольні дії орієнтовані на виявлення недоліків і помилок, таких як перевірки, моніторинг та інші процедури.

Залежно від методів реалізації, контрольні заходи можуть бути здійснені в ручному, комбінованому або автоматизованому режимах.

Типи тестів, що використовуються для оцінки заходів контролю, значною мірою залежать від специфіки самих заходів, які підлягають перевірці, а також від наявності або доречності документації, що стосується цих заходів. Деякі тести здатні надати більш вагомі докази щодо ефективності контролю, ніж інші. Наприклад, якщо ефективність контролю підтверджується відповідними документами, аудитор може вирішити перевірити ці матеріали для збору доказів щодо його функціонування. Проте в деяких випадках, таких як оцінка управлінської філософії, може бракувати належної документації. У таких ситуаціях аудитор може отримати необхідні докази через комбінацію запитів і інших процедур, таких як спостереження.

При створенні та реалізації тестів контролю аудитору слід врахувати такі аспекти:

Існує чотири основні методи збору аудиторських доказів, які дозволяють оцінити ефективність контрольних заходів: опитування, спостереження, аналіз відповідної документації та повторне виконання контрольних процедур. Ці методи розташовані у порядку зростання їхньої доказової сили, починаючи з найменшої і закінчуючи найбільшою.

Запит є важливою процедурою в аудиті, що передбачає отримання від керівництва компанії та інших співробітників роз'яснень стосовно контролюючих процесів. Згідно з МСА 330, хоча запит використовується для тестування контролів, він не завжди є надійним джерелом аудиторських доказів. Це пояснюється тим, що іноді співробітники або керівництво можуть бути неготовими надати інформацію або, навпаки, ділитися лише теоретичними аспектами контролю, які прописані в політиках, але не відображають реальних практик. Саме з цієї причини МСА 330 наполягає на тому, що запит сам по собі не є достатнім для оцінки ефективності контролю. Для досягнення більшої надійності, запит повинен поєднуватися з іншими аудиторськими процедурами, такими як перевірка документів або повторне виконання певних дій. Це поєднання може забезпечити більшу впевненість у результатах, ніж запит разом із спостереженням, оскільки спостереження є актуальним лише в момент його проведення.

Спостереження - це процес вивчення процедур, що діють в компанії, з перших рук. Звичайно потрібна присутність аудитора, коли клієнт виконує свої контрольні процедури. Кращий приклад для спостереження - коли клієнт проводить інвентаризацію, а аудитори спостерігають за процесом. Спостереження дає аудитору уявлення про те, як виконуються процедури персоналом, відповідальним за виконання цих контрольних заходів. Однак у спостереження є свої недоліки. Спостереження не є письмовою формою доказів і, відповідно, не вважається високонадійним доказом. Спостереження також може дати помилкові результати для аудитора, оскільки воно показує ефективність контролю тільки в його присутності.

Аудитор має можливість отримати більш достовірні докази через перевірку документів та записів, ніж через опитування та спостереження. Це пояснюється тим, що письмові свідчення є більш надійними для аудитора в порівнянні з альтернативними джерелами. Наприклад, аудитор може проаналізувати звіт про звірку банківських рахунків, підготовлений управлінським персоналом клієнта, щоб оцінити його достовірність.

Ця процедура складається з незалежного виконання аудиторами контрольних дій, які клієнт виконує як частину своєї системи внутрішнього контролю. Процедура повторного виконання проводиться з використанням тих самих вихідних даних для того, щоб підтвердити (або виявити відхилення) раніше отриманий результат (висновок, рішення). Наприклад, аудитори повинні повторно виконати процедури, пов'язані з вивіркою банківських рахунків, щоб перевірити їх на предмет ефективності. Процедура повторного виконання є для аудитора найбільш надійною формою отримання аудиторських доказів. Це пов'язано з тим, що вона включає прямі докази щодо того, як використовуються заходи контролю в роботі клієнта.

При оцінюванні ефективності реалізації контролю, вибраного для тестування, аудитору слід з'ясувати, чи функціонує цей контрольний захід відповідно до його первісної мети, а також чи має контролююча особа достатні повноваження та кваліфікацію для його належного виконання.

Умовно процес тестування заходів контролю можна розділити на чотири основних етапи (рис. 3)

Обсяг тестування заходів контролю

Аудиторська вибірка застосовується в процесі проведення аудиторських процедур для аналізу менш ніж 100% елементів вибірки. Основна мета цього підходу полягає в тому, щоб надати аудитору підстави для формування обґрунтованих висновків стосовно генеральної сукупності, з якої була отримана вибірка. Обсяг необхідного тестування визначається аудитором після оцінки суттєвості, ризиків та рівня впевненості, який він планує досягти. Зазвичай, обсяг аудиторських процедур корелює з оцінкою ризику суттєвих викривлень. Коли проводяться тести контролю для зниження ризику до мінімуму, необхідно забезпечити більший обсяг вибірки. Таким чином, обсяг тестування зростає, коли потрібно зібрати більш переконливі докази щодо ефективності контролю. Інші аспекти, які аудитор враховує при визначенні обсягу тестів контролю, представлені на рисунку 4.

Детальнішу інформацію про використання вибірки в процесі тестування контролюючих заходів можна знайти в МСА 530 "Аудиторська вибірка".

У зв'язку з обмеженнями, що виникають під час проведення аудитів, вибірка виступає як практичний та ефективний інструмент для тестування. Щодо тестування контролю, аудиторська вибірка формулюється на основі уявлень аудитора про можливі недоліки у розробці та реалізації контрольних заходів. Перед встановленням обсягу вибірки важливо провести перевірку генеральної сукупності на предмет її однорідності, повноти та коректності. Наприклад, у таблиці 2 наведено приклад того, як розмір вибірки залежить від методів і частоти здійснення контрольних заходів.

Таблиця 2 Приклад розрахунку обсягу вибірки в залежності від методів та частоти проведення контрольних заходів.

Однак важливо пам'ятати, що існують ситуації, коли використання аудиторської вибірки є недоцільним. Це може трапитися, наприклад, у випадку, коли генеральна сукупність є надто обмеженою, і в такому разі аудитор має можливість перевірити контрольні заходи в повному обсязі.

Оцінка ефективності дизайну заходу контролю

Тестування заходу контролю насамперед передбачає оцінку дизайну заходу контролю. Дизайном заходу контролю є сукупність в структурі процесу таких елементів, як захід контролю (тобто фактичний зміст) та місце (тобто етап застосування цього заходу контролю). Приклад елементів дизайну заходу контролю наведений на рис. 5.

Ефективність роботи контрольних заходів забезпечується шляхом виконання наступних умов:

- наявність внутрішніх документів, якими визначається порядок виконання заходів контролю;

наявність свідчень, які засвідчують реалізацію контрольних заходів у відповідності до внутрішніх нормативів;

Завдяки реалізації контрольних заходів досягається поставлена мета контролю, що означає, що ці заходи дозволяють зменшити існуючі ризики.

Отже, під час оцінки ефективності дизайну заходу контролю аудитору потрібно буде проаналізувати наступні аспекти:

- зв'язок між контролюючими заходами та ризиками;

- здатність управління ризиками, яка передбачає своєчасне виявлення або запобігання подіям, що можуть негативно вплинути на реалізацію завдань і досягнення визначених цілей;

- обізнаність та досвід фахівців, що здійснюють контрольні процедури;

- визначення ролей та обов'язків між учасниками процесу;

- оперативне вирішення виявлених невідповідностей, які виникають під час проведення контрольних заходів;

- достовірність даних, що застосовуються в процесі контрольних заходів.

У процесі оцінювання дизайну контролю в документах аудитора важливо зафіксувати наступні аспекти, які можуть бути корисними та актуальними:

Таблиця 3. Критерії оцінки дизайну заходу контролю

Аналіз результативності роботи контрольних заходів

Після ретельного аналізу дизайну контрольних заходів настає етап оцінки їх фактичного впровадження. На цьому етапі аудитору необхідно вивчити, яким чином реалізується контрольний захід (тобто, чи виконується він згідно з визначеними стандартами) і впевнитися, що його застосування сприяє досягненню поставленої мети. Концепція ефективності контрольних заходів, згідно з МСА 330, визнає можливість виникнення певних відхилень у способах реалізації контрольних заходів підприємством. Такі відхилення можуть бути викликані різноманітними факторами:

Виявлена різниця між фактичною та очікуваною величинами може дати аудитору підстави для сумнівів у надійності певних контрольних заходів, які повинні допомогти знизити ризик на рівні тверджень до того, який був оцінений аудитором. Крім того, при оцінці функціонування відповідних контрольних заходів аудитор має проаналізувати, чи виявлені викривлення, отримані в результаті виконаних процедур, свідчать про неефективність цих заходів. Зокрема, суттєве викривлення, виявлене під час аудиторських процедур, може бути важливим індикатором значних недоліків у внутрішньому контролі. Водночас, відповідно до МСА 330, аудитору не слід робити висновки про ефективність контрольних заходів лише на основі відсутності викривлень у фінансовій звітності.

На завершення, варто підкреслити наступне. Якщо аудитори вважають дизайн контролю неефективним, тоді немає сенсу проводити оцінку фактичного впровадження такого контролю. Проте в українських умовах аудиторам часто важко дотримуватися цього принципу, оскільки багато вітчизняних компаній не фіксують свої контрольні заходи. У таких випадках аудитори опиняються у складній ситуації: для оцінки контролю потрібно мати наявні докази його виконання. Оцінити те, що не має підтвердження, неможливо.

Related posts