Embed Size (px)
DESCRIPTION
Адаптиране на одиторския процес към COSO модела, използвайки CAATs
Citation preview
Адаптиране на одиторския процес
към COSO модела, използвайки
CAATs1
Сигурно ви се е случвало като вътрешни
одитори да оказвате помощ на ръководството
на вашата организация в процеса на внедряване
на нова информационна система. Сещате се
колко често ни се налага да напомняме при
самото внедряване да не се стъпва на “стария
начин”, по който до този момент се е работило.
И колко е важно да се осмислят и преоценят
засегнатите бизнес процеси за да се повиши
тяхната ефективност и да се елиминират
излишните дейности чрез по-пълно използване
на функционалността на новата система.
Но когато стане въпрос за внедряването на одит
софтуер (например, инструменти за анализ на
данни, като ACL или IDEA, или популярните
вече и у нас интегрирани продукти за
управление на одиторската дейност, като Audit
Work System, Galileo или TeamMate) в нашите
звена ние сякаш забравяме да приложим на
практика това, което така разпалено
проповядваме. И, по една или друга причина, се
опитваме да нагодим функционалността на тези
продукти към съществуващия одит процес,
вместо да преосмислим самия процес и начина,
по който тази функционалност ще се отрази на
дейността ни.
През 1992 година COSO рамката за вътрешния
контрол ни подсказа, че при прегледите ни е
нужно да взимаме под внимание и т.нар. “меки
контролни механизми” (напр. почтеността и
етиката на ръководството, неговата
управленска философия и стил), освен
типичните “твърди контроли” от сорта на
действащите политики и процедури. Лично за
мен бе любопитно да разбера, че контролните
процеси, за чиято оценка ние отделяме
значително време, всъщност не са измежду
важните елементи на контролната среда.
Същата тази контролна среда, която според
популярните в момента контролни рамки
(COSO, COCO) е най-важният и
фундаментален елемент на системата за
вътрешен контрол. Какво имам предвид?!
Традиционният одиторски процес стъпва на
принципа “определи ключовите контролни
механизми и формирай представителна извадка
1 Терминът CAATs или ‘Computer Assisted Audit
Techniques’ обхваща всички одит техники,
използващи компютърен хардуер и софтуер за
извършването на по-ефективни и ефикасни одит
тестове и ангажименти като цяло.
от бизнес транзакции, за да потвърдиш тяхното
съществуване и да оцениш доколко ефективни
са били”. Ако резултатите от оценката на
данните в извадката потвърдят, че тези
контролни механизми са действали
задоволително през обхванатия период ние
можем спокойно да формираме мнение за
преглежданата от нас функция или област. За
идентифициране и тестване на “меките
контроли” в същия този стандартен подход
почти не става дума. Трябва да призная, че
самите меки контроли са трудни за обективно
измерване - аз например все още търся
подходящ начин за оценка на “тонът от върха”.
Но все пак знаем колко е зависимо и тясно
свързано прилагането на контролните практики
от страна на служителите, със споменатите вече
почтеност, етика, управленска философия и
стил на ръководството.
Другите три компонента на вътрешния контрол
(оценката на риска, информацията и
комуникацията и мониторинга) са еднакво
важни. Тяхното тестване също не се вписва в
коментирания по-горе традиционен одиторски
подход, при който значително малко време от
ангажимента се отделя на оценката на риска
(около 10-на процента) за сметка на тестването
на контролните механизми (фигура 1). Често
самата оценка на риска е ограничена до
извършването на няколко аналитични
процедури и документиране чрез описания и
диаграми на съществуващи контролни
дейности. По този начин полезността на който
и да е софтуер с функционалност за оценка на
риска се ограничава и свежда до определяне на
областите, подлежащи на тестване.
Фигура 1
За да възприемем и приложим COSO
философията (същото е приложимо и за
останалите контролни модели и рамки,
впрочем) към съществуващия одит модел е
нужно да пренасочим значителна част от
нашето време и усилия за разбиране и оценка
на контролната среда, за начините, по които
рисковете се оценяват от различните нива
ръководители, за преглед на използваната и
достъпна информация за действащите системи
и контролни процеси, както и за оценка на
адекватността на осъществявания мониторинг
на операциите (фигура 2).
Фигура 2
Използването на CAATs улеснява до голяма
степен възприемането и прилагането на COSO
философията към одит подхода ни (фигура 3).
Фигура 3
За да използваме резултатно тези техники е
необходимо да знаем повече за системите,
които ще преглеждаме. Как обикновено правим
това? Разбиране за съществуващите
информационни и комуникационни процеси
добиваме най-бързо и безболезнено за
ръководството чрез преглед на материали за
обучение на потребителите на самите системи.
Допълнителните срещи, които провеждаме, не
само позволяват на ръководителите и
потребителите да споделят тяхното познание за
приложимите рискове, но и ни помагат да
добием впечатления за съществуващата
контролна среда. В допълнение, наличните
системи и средства за мониторинг (напр.
периодични оперативни отчети и справки)
пряко или косвено се преглеждат от нас в
процеса на събиране на информация от
различните идентифицирани източници. Често
пъти тези отчети са доста полезни за
определени CAATs тестове и са обект на по-
детайлни анализи и проучвания. По този начин
отделяме значителна част от времето си за
разбиране на контролната среда, използваните
информационни и комуникационни системи и
действащите мониторингови дейности.
Това ни помага в последствие да ограничим
предварителният преглед на контролните
дейности само до областите с идентифициран
съществен риск и да обърнем по-малко (или
никакво) внимание на тези с нисък риск. В
същото време, информацията получена от
проучването на силните и слаби страни на
контролите в разглежданата информационна
(или контролна, като цяло) система ни помага
да определим как изглеждат “нормалните”
транзакции, какви са възможните грешки при
тях и вероятностите за тяхното проявяване.
И ето как преди да сме започнали със
същинското използване на CAATs вече се
чувстваме достатъчно комфортно да оценим
четири от компонентите на вътрешния контрол:
контролната среда, контролните дейности,
начините и средствата за мониторинг и
информационните и комуникационни процеси.
Оставащият ни последен компонент е оценката
на риска - областта, в която CAATs
инструментите наистина показват мускули.
Към момента всеки популярен софтуер за
управление на одит дейността разполага с
богата функционалност, позволяваща
поддържането на регистири за бизнес и/или
контролни цели, рискове и контролни
механизми, които могат да бъдат описвани,
класифицирани и оценявани в съответствие с
COSO модела. Допълнително предимство на
тези продукти е, че могат да бъдат използвани
и от ръководителите в организацията за оценка
на рисковете и дизайн на ценово ефективни
контролни механизми за тяхното управление.
Освен това способността на продукти като ACL
и IDEA да преглеждат и анализират с лекота
огромни файлове с транзакционни данни и да
улесняват разбирането ни за тяхното естество
ни позволява да извършим по-комплексна и
обхватна оценка на приложимите рискове.
Пример за това са функциите анализ,
класифициране и стратификация на данните, с
които можем бързо да прегледаме транзакциите
и да преценим степените на риск, присъщи на
различните техни характеристики. След като
сме определили високорисковите области вече
можем да пристъпим към тестове на
“предполагаемите отклонения”.
Какво означава това? Ако системата за
вътрешен контрол функционира ефективно,
осъществените и записани транзакции ще
попадат в някакви приемливи и очаквани
граници. Чрез тестове на “предполагаемите
отклонения” изолираме тези транзакции, чиито
характеристики изглеждат обясними и
нормални и се концентрираме върху тези от
тях, при които е висока вероятността за грешки
или нарушения. Транзакциите, чиито
характеристики не попадат в нормалния
профил (например, извършени транзакции през
почивните дни, след края на работното време и
др.) могат да бъдат както естествена особеност
на работната среда (нали?), неумишлени
грешки, които не са били уловени
своевременно от контролните механизми, или
пък транзакции, свързани с извършени
нередности.
Във всеки един от тези случаи имаме
потенциални липсващи или неефективни
контролни дейности. В същото време тестваме
контролната среда без да е необходимо да
покриваме всички ключови контролни
механизми. Да не забравяме и, че сме в
съответствие със Стандартите за
професионална практика по вътрешен одит,
като сме си отваряли очите за възможните
сигнали за злоупотреби (“red flags”), без да
съсредоточаваме прекалено усилията си върху
“твърдите контроли”. Веднъж определили
възможните случаи на грешки и нередности
можем да продължим с внимателен преглед и
анализ на бизнес процесите, свързани с тези
транзакции, който да ни помогне за
определянето на “твърдите и меките контроли”,
които липсват или пък не са функционирали
правилно за разглеждания период.
Един от допълнителните плюсове на тези
тестове е, че веднъж вече създадени за
откриване на отклонения в данните, могат да
бъдат използвани в последствие и като
инструмент за “непрекъснат мониторинг на
контролните дейности”. Това дава възможност
на различните ръководители в организацията да
извършват постоянна оценка на собствената си
контролна среда и да ползват одит услуга с
доказано добавена стойност.
В заключение смятам, че внедряването на
CAATs инструменти ще улесни одиторските
екипи в усилията им за по-широко възприемане
и прилагане на COSO модела, за предоставяне
на по-полезна информация и техники за
ръководството и несъмнено ще спомогне за
повишаване на ефективността и ефикасността
от дейността на одит звената. В същото време
познатият ни одиторски процес ще трябва да се
адаптира към новите предизвикателства и да се
преориентира от контролните листове и
работни програми, като основни движещи
инструменти, към интерактивен анализ на
високорисковите транзакции в ежедневните
бизнес дейности и процеси. Това ще спомогне
одит мениджмънтът да участва по-активно в
одит процеса – от оценката на риска до
активното обсъждане и търсене на решения за
идентифицираните слабости - като се обръща
повече внимание на неконтролираните рискове,
вместо на потвърждение на съществуващите
контролни механизми (фигура 4).
Фигура 4
