Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин

• Иногда аудиторы, особенно начинающие, забывают, что описание основывается на соответствующем процессе, а не на функционале ключевого подразделения – владельца процесса. Поэтому в описание включается много излишней информации. Этот недостаток устраняется только одним способом – более частыми проверками статуса и содержания проведенной работы.

• Совсем точечная рекомендация – если вы для увязки элементов схемы используете стрелки, старайтесь избегать их совпадения, т. е. объединения стрелок в одну линию. Восприятие и чтение такой схемы усложняется. В то же время не забывайте об этом приеме, если вдруг понадобится усложнить схему.

• И последняя точечная рекомендация, касающаяся сокращений и аббревиатур. Если вы составляете описание процесса, состоящее из графической и текстовой части, то по возможности перенесите все сокращения и аббревиатуры в текстовую часть. Хорошей практикой является формирование в начале описания перечня использованных сокращений. Если позволяет место, то можно часть перечня сокращений вынести на схему, но только в части тех сокращений, которые используются непосредственно на схеме.

Сквозное тестирование (walk-through testing)

В буквальном переводе с английского термин walk-through testing означает «тестирование путем прохождения сквозь». Суть такого тестирования заключается в том, что аудитор пытается найти достаточно подтверждений тому, что структура и содержание описанной системы соответствует ее структуре и содержанию на практике.

Чаще всего термин «сквозное тестирование» встречается в сочетании с термином «описание процесса». Хотя данный вид тестирования может с одинаковым успехом использоваться применительно к любой системе. Когда ваш автомобиль проходит технический осмотр на станции техобслуживания, он также подвергается в определенном смысле сквозному тестированию. Ведь для выполнения своей задачи автомобиль должен обладать определенным набором структурных элементов, расположенных в определенной последовательности и взаимодействующих друг с другом определенным образом. Механик, проверяя наличие структурных элементов конструкции автомобиля, их внешний вид и расположение, действует как аудитор. Единственная разница состоит в том, что в большинстве ситуаций он имеет представление о том, с чем ему предстоит работать. Аудитору же перед проведением сквозного тестирования приходится сначала выяснять нюансы системы.

Будем рассматривать в дальнейшем данный вид тестирования применительно к описанию процесса, поскольку чаще всего именно такое сочетание встречается на практике.

Как уже говорилось в разделах, посвященных методике проведения интервью и методологии описания процессов, в процессе описания процесса аудитору нередко приходится получать информацию из различных источников. Достоверность такой информации также часто бывает различной. В редких случаях достоверность источника не требует дополнительного подтверждения. В таких ситуациях источник информации содержит встроенную систему контроля достоверности. Типичным примером являются электронные системы хранения и обработки данных, особенно системы, контролируемые третьей стороной (по отношению к объекту аудита и аудитору). К таким системам относятся, например, базы данных по законодательству («Консультант Плюс» и прочие). Обращаясь к такой базе данных, вы не проверяете ее содержание на соответствие первоисточнику, которым, в большинстве случаев, являются печатные издания. Однако в ряде ситуаций аудитору необходимо сначала убедиться в наличии системы контроля достоверности в самой электронной системе прежде, чем отказаться от сквозного тестирования.

Так или иначе, собрав по кусочкам описание процесса, не стоит торопиться и использовать его в дальнейшей работе, особенно для далекоидущих выводов. Судя по практике, если описанный процесс хотя бы на 50 % совпадает с реальным положением вещей, это уже неплохой результат.

С технической точки зрения идеальный вариант сквозного тестирования выглядит следующим образом. Вы составили описание процесса. Такой процесс имеет изначально один ключевой вход и один ключевой выход. Вы берете одну-две-три единицы входа в процесс и прослеживаете трансформацию этих единиц в соответствующее количество единиц выхода при прохождении через описанный процесс. Таким образом, вы убеждаетесь, что взятые на входе единицы соответствовали тем, которые были указаны в описании, с ними были произведены все действия, указанные в описании, и то, что получилось практически на выходе, в существенной степени соответствует тому, что должно было получиться. Однако, как это часто бывает, на практике все выглядит иначе.

Подробно остановимся на ключевых принципах проведения сквозного тестирования процесса.

Достаточность доказательств. Нередко при сквозном тестировании того или иного этапа процесса аудитор не может напрямую убедиться в том, что заявленное в описании действие (или иное содержание этапа процесса) совершается на практике. Под термином «убедиться напрямую» подразумевается способ, обеспечивающий максимальную доказательность. Довольно часто таким способом является визуальное подтверждение в момент исполнения тестируемого этапа процесса. Как ни странно, но это удается не всегда. Например, вы вряд ли сможете быть свидетелем мыслительной деятельности, поскольку подсоединение регистрирующих электродов к определенным участкам мозга и расшифровка сигналов требуют знаний в области нейробиологии. Поэтому, чтобы подтвердить выполнение многих процессов, включая мыслительные, аудитору приходится пользоваться не прямыми, а косвенными доказательствами. Например, если при загрузке в электронную систему данных вы не можете наблюдать процесс расчета и преобразования, у вас, тем не менее, есть возможность убедиться в том, что результат с высокой вероятностью получен именно в ходе тех операций, которые должны были произойти. Все, что вам как аудитору нужно, – так это произвести перерасчет и сравнить свои данные с данными системы. Косвенные методы получения доказательств реального осуществления этапа процесса можно сгруппировать следующим образом:

• Естественная неизбежность – в ряде случаев само построение процесса не позволяет избежать исполнения того или иного этапа процесса. Наиболее простым примером является непрерывный производственный процесс, в который невозможно технически вмешаться без остановки процесса в целом. Так, при производстве многих химических веществ используются установки, в которые подаются исходные компоненты, а на выходе получается готовый продукт (производство удобрений, кислот, цемента и т. д.). В такой установке происходит целый ряд последовательных технологических операций, но вы не имеете возможность наблюдать их. Однако само устройство установки исключает какие-либо иные операции, кроме как предусмотренные технологическим процессом.

• Использование тестовых составляющих входа – в данном случае вы также не имеете возможность наблюдать за ходом процесса. Однако вы можете самостоятельно сформировать вход в процесс (полностью или частично) и, позволив этапу процесса осуществиться, оценить на основании выхода, были ли предполагаемые действия на самом деле осуществлены. Наиболее распространенным примером является использование уличных платежных терминалов или использование ИТ-систем и приложений. Например, при тестировании запрета на ручной ввод контрагента в бухгалтерской программе (в обход справочника) вы можете попытаться либо ввести наименование контрагента в соответствующую графу первичного документа, либо добавить самостоятельно нового контрагента в справочник. В обоих случаях вы предлагаете системе совершить процесс, выполнение которого, как было заявлено, невозможно, и оцениваете, насколько реальность соответствует первоначальному описанию.

• Отсутствие негативных побочных эффектов (аварий, жалоб, брака и прочего) – существуют ситуации, когда вы не имеете возможности использовать составляющие входа для целей тестирования или процесс не является неделимым по естественным причинам, но вы все равно не можете наблюдать выполнение этапа процесса. Здесь идет речь о многочисленной группе этапов процессов, которые вроде бы осуществляются, но не оставляют практически никаких следов своего выполнения. К ней всегда относятся процессы, которые целиком осуществляются с использованием звука или в результате которых производится звук. Например, процесс оповещения пассажиров в аэропорту – к диктору или оператору поступают данные о статусе рейса, он озвучивает эти данные через систему вещания аэропорта, пассажиры реагируют соответствующим образом. Отсутствие жалоб пассажиров на несвоевременное оповещение с высокой вероятностью указывает на то, что процесс оповещения происходил и происходит как положено. В описанной ситуации вы не полагаетесь на неделимость процесса и не используете тестовые составляющие входа, а оцениваете наличие негативных побочных эффектов, которые с высокой вероятностью могут появиться в результате неисполнения этапа процесса. Возможно, вы спросите, почему бы не зафиксировать исполнение этапа процесса прямым способом, т. е. прослушиванием сообщений в аэропорту. Может быть, в определенных ситуациях это и является лучшим подходом. Однако в большинстве случаев при сквозном тестировании вы имеете дело с прошлыми событиями и действиями, воспроизведение которых в настоящий момент либо невозможно, либо нецелесообразно (например, заставить предприятие в середине года воспроизвести для вас в деталях процедуру формирования годового бюджета). Кроме того, то, что в настоящий момент вы лично засвидетельствовали осуществление тестируемого этапа процесса, еще не означает, что данный этап осуществляется именно в данном месте процесса и именно данным образом. В конце концов, это могут сделать специально для вас. В ряде ситуаций косвенные подтверждения весомее прямых доказательств, а также могут быть получены с более приемлемым соотношением «затраты/выгоды».