РИСК-ОРИЕНТИРОВАННОЕ ПЛАНИРОВАНИЕ ВНУТРЕННЕГО АУДИТА В ЦИФРОВОЙ СРЕДЕ
Журнал: Научный журнал «Студенческий форум» выпуск №17(368)
Рубрика: Экономика
Научный журнал «Студенческий форум» выпуск №17(368)
РИСК-ОРИЕНТИРОВАННОЕ ПЛАНИРОВАНИЕ ВНУТРЕННЕГО АУДИТА В ЦИФРОВОЙ СРЕДЕ
Аннотация. В докладе рассмотрена трансформация планирования внутреннего аудита под влиянием цифровизации. Выделены ключевые этапы риск-ориентированного планирования и показано, как цифровые системы расширяют аналитические возможности аудитора. Приведены схема процесса планирования и карта рисков для процесса закупок.
Ключевые слова: внутренний аудит, риск-ориентированное планирование, цифровизация, матрица рисков, ERP-системы, доказательства.
Планирование считается начальным и определяющим этапом любой аудиторской проверки: именно на этой стадии закладываются объём, сроки и направленность процедур. В международной практике планирование аудита регулируется стандартами МСА и требует обязательного документирования факторов риска, влияющих на достоверность отчётности. Как подчёркивается в совместной статье Ефремовой Е.И. и Атрошенко А.С., посвящённой планированию аудиторской проверки в соответствии с МСА, ключевое требование стандартов — документирование всех значимых решений, принятых на этапе планирования, включая оценку неотъемлемого риска и риска средств контроля [1]. Без надлежащего планирования проверка рискует превратиться в формальную ревизию, не выявляющую системных проблем.
Цифровизация экономики внесла существенные коррективы в этот процесс. ERP-системы, CRM-платформы и системы электронного документооборота не только изменили характер первичной документации, но и создали новые источники аудиторских доказательств: журналы действий пользователей, автоматические логи изменений мастер-данных, системные отчёты о нарушениях контрольных процедур. Ефремова Е.И. и Передрий Д.А. отмечают, что в условиях цифровизации деятельность аудитора всё больше опирается на тестирование IT-контролей и оценку достоверности выгрузок из информационных систем [2]. Это позволяет перейти от выборочных проверок документов к анализу сплошных массивов данных, однако одновременно требует от аудитора понимания архитектуры IT-систем и рисков, связанных с настройками автоматических алгоритмов.
Методологической основой планирования выступает риск-ориентированный подход. Как указано в труде Казаковой Н.А. и Ефремовой Е.И. «Методология риск-ориентированного контроля и контроллинга эффективности бизнеса», сущность подхода состоит в ранжировании рисков по вероятности и величине потенциальных потерь, после чего контрольные ресурсы сосредотачиваются на наиболее критичных областях [3]. В цифровой среде к финансовым рискам добавляются IT-риски: некорректная миграция данных, сбои интеграционных шин, недостаточное разграничение прав доступа. Именно анализ этих рисков должен предшествовать составлению программы аудита, иначе существует вероятность пропустить искажения, порождённые не людьми, а алгоритмами.
Важнейшим инструментом идентификации и оценки рисков на этапе планирования выступают аналитические процедуры. Ефремова Е.И., определяя сущность аналитических процедур в аудите, подчёркивает, что они включают анализ соотношений и закономерностей, основанных на данных организации, и позволяют выявить нетипичные колебания, которые могут указывать на повышенные риски [4]. В цифровой среде возможности аналитических процедур кратно возрастают: аудитор может оперировать полными массивами трансакций, а не выборками, строить динамические ряды и сопоставлять данные из нескольких систем одновременно. Благодаря этому планирование становится более точным: области с аномальными отклонениями автоматически попадают в зону повышенного внимания.
Этапами риск-ориентированного планирования внутреннего аудита являются:
- Сбор информации: изучение бизнес-процессов, регламентов, IT-архитектуры, реестра рисков организации.
- Идентификация и оценка рисков: выявление областей с повышенной вероятностью ошибок (включая риски алгоритмических искажений и несанкционированного доступа), проведение аналитических процедур.
- Ранжирование рисков: построение тепловой карты рисков, определение уровня существенности.
- Формирование плана и выборки: определение критичных операций на основе цифровых выгрузок, расчёт объёма аудиторской выборки.
- Разработка программы аудита: включение тестов IT-контролей, аналитических процедур и процедур по существу.
- Документирование плана: фиксация источников данных, параметров выгрузок, критериев отбора, сроков и ответственных лиц.
Практическим инструментом, который связывает идентифицированный риск с конкретным аудиторским мероприятием, является карта рисков. В таблице 1 приведён фрагмент такой карты для процесса закупок — одной из наиболее подверженных искажениям и мошенничеству областей. Цифровые системы позволяют формировать подобные карты в полуавтоматическом режиме: на основе исторических данных об отклонениях и журналов событий [5] [2]. Именно детальная проработка таких карт на этапе планирования даёт возможность избежать распыления ресурсов и сосредоточиться на зонах с максимальным уровнем риска.
Таблица 1.
Карта рисков внутреннего аудита процесса закупок
|
Риск |
Вероятность |
Влияние |
Запланированная аудиторская процедура |
Цифровой источник доказательств |
Частота |
|
Оплата неподтверждённой поставки |
Средняя |
Высокое |
Сверка заказ–поставка–счёт, анализ статусов в ERP |
Отчёт по открытым заказам, журнал приёмки |
Ежеквартально |
|
Дробление закупки для обхода порога согласования |
Высокая |
Среднее |
Анализ частоты закупок у одного контрагента, проверка лимитов |
Выгрузка реестра закупок, отчёт по контрагентам |
Ежемесячно |
|
Конфликт интересов / аффилированность |
Средняя |
Высокое |
Анализ связей контрагентов с сотрудниками, контроль доступов |
Справочник контрагентов, отчёт по ролям пользователей |
Ежеквартально |
Использование такого подхода даёт несколько преимуществ.
Во-первых, аудиторская группа получает прозрачное обоснование объёма и направленности проверки.
Во-вторых, цифровые выгрузки позволяют автоматизировать часть аналитических процедур и тестировать генеральную совокупность, а не только выборку.
В-третьих, документирование параметров выборки и источников данных обеспечивает воспроизводимость результатов и снижает риск споров о корректности выводов [5]. Завершающим и критически важным шагом является документирование плана. В рабочей документации аудитора должны быть зафиксированы не только выявленные риски и запланированные процедуры, но и параметры формирования цифровых выгрузок: дата и время отбора, критерии фильтрации, ответственный исполнитель. Как подчёркивают Ефремова Е.И. и Передрий Д.А., без такой детализации доказательства, полученные из информационных систем, могут быть поставлены под сомнение при последующем контроле качества [3].
Таким образом, риск-ориентированное планирование в цифровой среде превращается в непрерывный процесс, требующий от внутреннего аудитора компетенций в области анализа данных и понимания IT-архитектуры предприятия.
Применение матриц рисков, аналитических процедур на полных массивах данных и чёткая фиксация параметров цифровых доказательств повышают качество планирования и формируют основу для полезных управленческих рекомендаций. Игнорирование цифровой специфики на этапе планирования чревато тем, что выводы аудитора окажутся неполными, а сама проверка — неэффективной.
