Автор: Евгений ЗВЕРЕВ, CIA

Аудитор может удостовериться в надежности количественной информации, полученной дистанционно от любых сторонних лиц, путем оценки близости ее вероятностного распределения к нормальному распределению, тем самым снизив операционный риск своей профессиональной деятельности. В статье представлены графический метод оценки и пример его использования.

Удаленный (дистанционный) аудит используется во всем мире уже много лет и при правильной стратегии может быть эффективной альтернативой или дополнением к традиционным подходам. Однако в его применении есть сложности [1]:

«Как технологически зависимый метод дистанционный аудит имеет проблемы при внедрении — это:

— отсутствие коммуникации “аудитор–клиент” как ключевого аспекта традиционного аудита;

— отсутствие практического знакомства сторон с методикой удаленного аудита;

— технологические ограничения (например, отсутствие инфраструктуры для полной поддержки удаленного аудита);

— сложности для клиента^[1] из-за “дополнительного обременения”.

В статье рассматривается последняя из перечисленных проблем.

Основой удаленного (дистанционного) аудита является возможность физического отсутствия внутреннего аудитора на месте аудирования, а работа по сбору и первичному структурированию необходимой ему информации перекладывается на клиента, тем самым увеличивая нагрузку последнего. В статье [1] приведен пример: «В ходе традиционного аудита проверка физического существования актива предполагает посещение актива. Выполнение этой же процедуры с помощью удаленного аудита потребует, чтобы представитель клиента посетил объект и отправил отчет аудиторам».

Все вроде просто и понятно, но в Международных профессиональных стандартах внутреннего аудита, в Стандарте 2310 «Сбор информации», указано: «Внутренние аудиторы должны собрать достаточный объем надежной, уместной и полезной информации для достижения целей задания». Далее там же: «Надежная информация — это наиболее полная и заслуживающая доверие информация, которую возможно получить, применяя надлежащие аудиторские процедуры». Но является ли информация, полученная от клиента подобным способом, надежной ?

В соответствии со Стандартом 2120 «Управление рисками» «внутренний аудит должен оценивать эффективность процессов управления рисками и способствовать их совершенствованию». А как быть с управлением рисками его собственной деятельности? В статье [2] верно подмечено: «Подразделения внутреннего аудита сталкиваются с теми же рисками, что и другие подразделения… Необходимо определить все собственные риски; оценить их; установить риск-аппетит; снижать, управлять, избегать, передавать или принимать риски и постоянно их контролировать».

Получение ненадежной информации от клиента относится к операционным рискам. Они наиболее актуальны в повседневной деятельности, их источники — люди, процессы, технологии. Чтобы управлять операционным риском, нужно применять системный подход, включающий идентификацию, определение допустимого риск-аппетита, разработку контрольных процедур с индикаторами риска, текущий мониторинг состояния и принятие мер для снижения.

Проверка на нормальность распределения

Для минимизации риска предоставления клиентом ненадежной информации по функционированию контрольной процедуры некоего бизнес-процесса в рамках дистанционного аудита необходимо разработать индикатор риска. Им будет близость функции распределения величины, описывающей выявленные отклонения в функционировании проверяемой контрольной процедуры, к нормальному распределению (нормальность).

Нормальное распределение возникает, когда случайная величина является суммой большого количества случайных величин, каждая из которых слабо влияет на сумму, при этом независимость и нормальность от каждого слагаемого не требуются.
Многолетний опыт проведения внутренних аудиторских проверок показывает: если отклонения в выборке возникли по причине «злого умысла», то нормального распределения отклонений в совокупности не будет, поскольку «злой умысел» — не случайный фактор.

Поэтому его индикатором может служить отклонение от нормальности, причем «злым умыслом» может быть не только мошенничество с целью наживы, но и осознанное невыполнение работниками требуемых контрольных процедур.

Проверка на нормальность возможна с использованием критериев нормальности, но это не всегда удобно, так как требует значительных вычислений, а в некоторых случаях — большого объема данных. Поэтому вид функции распределения оценивают приближенными методами — графическим или по асимметрии[2] и эксцессу[3]. В данной статье предлагается графический метод как наиболее наглядный и простой в применении.

Основная идея[4] графического метода, представленного в настоящей статье, состоит в следующем.

Если текущие значения x_i функции распределения величины, описывающей выявленные отклонения, имеют распределение, аналогичное стандартному нормальному распределению z(W), то между ними должна быть зависимость, близкая к линейной. При существенных отклонениях значений x_i от прямой линии их нельзя считать соответствующими нормальному распределению[5] [3].

Планирование дистанционного аудита

При планировании дистанционного аудита необходимо определить:

— цели проверки;

— проверяемую совокупность;

— единицу выборки;

— тестируемые процедуры [4].

Например, если цель дистанционного аудита состоит в понимании того, насколько надежен контроль процедуры исполнения заказов на продажу в кредит при его предварительном одобрении, то совокупность будет состоять из всех заказов на продажу в кредит в течение определенного периода. Каждый такой заказ является потенциальной единицей выборки, а утверждение кредита является атрибутом контроля, который должен быть проверен.

Выборка по качественным признакам, или атрибутивная выборка, обеспечивает тестирование средств внутреннего контроля, а результаты атрибутивного выборочного контроля создают статистическую основу для аудиторского заключения: является ли контроль эффективным по функционированию.

Методология применения

Рассмотрим применение описанной методологии на примере.

Внутренний аудит управляющей компании (УК) осуществляет дистанционный аудит, цель которого состоит в определении надежности контроля процедуры исполнения заказов на продажу с отсрочкой платежа при его предварительном одобрении. Проверке подлежат большое количество однотипных договоров продажи с отсрочкой платежа по девяти филиалам, и в каждом функционирует указанная процедура, но ее важность для каждого различна. Сбор информации и статистическая обработка осуществляются силами филиала. По каждому количество нарушений незначительно и мало различается, размер же самой атрибутивной выборки значителен. В УК передается информация в разрезе филиалов о размере атрибутивной выборки, количестве выявленных отклонений в ней и мнение контролера филиала о надежности контрольной процедуры аудируемого процесса.

Внутреннему аудиту УК необходимо убедиться в надежности предоставленной информации. В качестве индикатора риска надежности применяется степень близости выборочной средней нарушений атрибутивной выборки (в разрезе филиалов) к нормальному распределению. Подтверждение нормальности ее распределения позволит считать информацию надежной .

В таблице представлена информация от филиалов и ее статистическая обработка для осуществления проверки на нормальность графическим способом:

В графическом способе значение индикатора по всем филиалам сортируют по возрастанию. Для каждого значения x_i находят соответствующую накопленную частость:

W = i / (∑(i) + 1),

где i — номер результата в ряду (филиал);

∑(i) — объем испытаний (∑(i) = 9 — количество филиалов).

По рассчитанным значениям накопленных частостей формируют стандартное нормальное распределение (ожидаемое). Метод реализуется следующим образом.

Если предполагается нормальным распределение значений x_i, то находят соответствующее им стандартное нормальное распределение z(W)_i. Далее по имеющимся данным наносят точки на плоскость в координатах x – z. Если точки на графике аппроксимируются прямой линией лишь с небольшими отклонениями от нее, то представленные филиалами результаты тестирования достаточно хорошо описываются нормальным распределением.

На рисунке представлены результаты тестирования надежности контроля процедуры исполнения заказов на продажу в кредит при его предварительном одобрении. Первые восемь точек (это данные по 1–8 филиалам) укладываются в прямую линию с небольшими отклонениями, а девятый филиал (крайняя точка справа) заметно «выпадает» из этого тренда.

Аудиторское заключение

Если отклонение случайно, то оно укладывается в гипотезу о нормальном распределении нарушений, если нет, то такое отклонение связано с риском «злого умысла».
На этом основании внутренний аудит УК делает вывод о надежности данных восьми филиалов и о ненадежности данных, представленных девятым.

Причины отклонения от нормального распределения могут быть разными: ошибки при планировании статистической выборки, неправильное формирование статистической выборки (либо просто использование нестатистической), умышленное («злой умысел») неисполнение контрольной процедуры по любым основаниям и пр. Описанный подход позволит внутреннему аудиту УК объективно и статистически обоснованно оценить ситуацию с надежностью контроля в разрезе филиалов и осуществить целенаправленный аудит девятого филиала.

Развитие информационных технологий типа Data Maining [5] позволяют исследовать всю совокупность, а не только статистически обоснованную выборку. Но зная общее количество нарушений в совокупности, мы задаемся вопросом: случайны ли отклонения (т.е. укладываются ли они в гипотезу о нормальном распределении нарушений)? Если нет, то аудитор считает, что такое отклонение может быть связано с рисками »злого умысла». Как проверить нормальность распределения? Предлагаемый в статье метод позволит сделать оценку и в этой ситуации.

Даже при использовании статистических методов аудитор должен критически оценивать полученные им результаты, но тем не менее, статистический подход обычно обеспечивает объективный анализ и повышает эффективность аудита.

Литература

1. Khan A. Auditing From a Distance // Internal Auditor. September 05, 2017 = Хан А. Аудит на расстоянии / Пер. Е. Зверева // Официальный сайт НП «Институт внутренних аудиторов».

2. Shen K. Internal Audit Needs Risk Management, Too // Internal Auditor, August 08, 2017 = Шен К. Внутренний аудит нуждается в управлении собственными рисками / Перевод Е. Фроловой-Ивановой под ред. Е. Зверева // Официальный сайт НП «Институт внутренних аудиторов».

3. Заляжных В.В. Статистические расчеты при обработке результатов испытаний (измерений)» (http:arhiuch.ru).

4. Зверев Е. Атрибутивная малая выборка: применение в аудиторских процедурах // Внутренний контроль в кредитной организации. 2017. № 4.

5. Silltow J. Data Mining 101: Tools and Techniques // Internal Auditor, August 01, 2006 = Силлтоу Дж. Интеллектуальный анализ данных (Data Mining 101): инструменты и методы / Пер. Е. Зверева // Официальный сайт НП «Институт внутренних аудиторов».

[1] Здесь под клиентом понимается представитель объекта (бизнес-процесс, структурное подразделение, хозяйствующий субъект и пр.) аудирования.

[2] Асимметрия (А) — это мера несимметричности графика плотности реального распределения в сравнении с нормальным распределением. В MS Excel имеется встроенная функция СКОС. Далее производят сравнение с дисперсией ABC(А).

[3] Эксцесс (Е) — мера вытянутости графика плотности реального распределения в сравнении с нормальным распределением. В MS Excel имеется встроенная функция ЭКСЦЕСС. Далее производят сравнение с дисперсией ABC(Е).

[4] Существуют и другие графические методы, например сравнение частотного распределения фактических данных (гистограммы) с кривой нормального распределения.

[5] Здесь необходимо отметить, что строгого говоря, метод является упрощенным, однако как индикатор надежности информации, полученной от объектов аудита и/или выявления объектов последующего аудита, он себя оправдывает.

[6] НОРМСТОБР – встроенная функция пакета MS- Excel.