Формирование аудиторский выборки для тестирования OE (ITGC контроли)

Одним из важных и ключевых вопросов в процессе планирования ИТ-аудита (ITGC) является процесс формирование аудиторской выборки, т.е. некой совокупности элементов отобранной для тестирования по определенным правилам, ведь именно от них во многом в дальнейшем будет зависеть "чистота тестирования" и фактическая база для формирования заключения. При тестировании операционной эффективности (OE) формирование достоверной аудиторской выборки играет особое значение, в которой количество элементов и равномерность распределение в популяции зависит от нескольких параметров, о которых мы сегодня и поговорим в нашей статье

Общие понятия

И так, прежде чем приступить к рассмотрению параметров влияющих на процесс формирования аудиторской выборки, предлагаем чуть чуть коснуться теоретических основ и самого определения выборки.

Как пишут в учебниках в отношении изучаемой совокупности в аудите различают понятия генеральной совокупности, элементов выборки и стратификации.

Генеральная совокупность представляет собой полный набор элементов, из которых аудитор проводит выборку для того, чтобы провести тестирование и на основании полученных результатов сделать выводы. Выборка должна быть надлежащей с точки зрения цели процедуры выборки, а также являться полной.

Различают следующие виды выборки: 

• представительная (репрезентативная) — элементы ее генеральной совокупности имеют равную вероятность быть отобранными. Это наиболее частный и стандартный случай принятый для использования в практике

• непредставительная (нерепрезентативная) — элементы ее генеральной совокупности не имеют равную вероятность быть отобранными. Аудитор полагается на свое профессиональное суждение при отборе элементов. 

Элементы выборки — индивидуальные элементы, имеющие отноления для аудируемого ИТ-процесса\системы и составляющие генеральную совокупность.

Аудитор по своему желанию может разделить всю генеральную совокупность на страты, т.е. отдельные подмножества. Процесс деления генеральной совокупности на страты, каждая из которых представляет собой группу элементов выборки со сходными характеристиками, называется стратификацией. При стратификации аудитору необходимо обеспечить, чтобы каждый элемент выборки мог быть включен только в одну страту.

Элементами выборки могут быть натуральные объекты или показатели в некотором условном выражении. Аудитор должен стараться сформировать репрезентативную совокупность путем отбора элементов выборки, которые обладают характеристиками, типичными для генеральной совокупности, так как целью выборки является получение выводов по всей генеральной совокупности. Очень важно при формировании проверяемой совокупности необходимо исключать предвзятость.

И так, не искушенный читатель моет спросить для чего все это нужно? Ответ очень прост. Как правило объем проверяемых данных является очень большим, а время и иные ресурсы используемые аудитором  в процессе аудита при этом  весьма ограничены.В виду этих причин аудитор формирует аудиторскую выборку, которая позволяет провести проверку с меньшими трудозатратами, но при этом гарантировать установленный уровень достоверности.

Факторы, влияющие на объем выборки (см. рисунок)

Для обеспечения репрезентативности при осуществлении выборки аудитор должен опираться на один из следующих методов:

• случайный отбор, может проводиться по таблице случайных чисел

• систематический отбор, когда элементы отбираются через постоянный интервал, начиная со случайно выбранного числа; интервал строится либо на определенном числе элементов совокупности, либо на стоимостной их оценке)

• комбинированный отбор, представляет собой комбинацию различных методов случайного и систематического отбора).

Параметры определяющие формирование Аудиторской выборке при тестировании OE

При тестировании операционной эффективности (англ. operational effectiveness) в отличии от тестирования D&I ключевым вопросом становится подбор правил для правильного формирования аудиторской выборки. Правила в свою очередь определяются набором параметров. Ниже мы рассмотрим ключевые параметры:

1. Определение количества элементов выборки

Пожалуй, это самый основной вопрос, который встает перед аудитором. Однако, что безусловно радует, ответ на него не так сложен - чем большее количество раз контроль выполняется в аудируемом периоде тем большее количество элементов из всей популяции должно попасть в выборку для проверки.  Для этого используется соответствующая таблица, сформированная на основании статистических методов см. рисунок ниже)

Рассмотрим на примере. Так, если контроль выполняется 1 или 2 раза, то частота проверки определяется как годовая (например, выполняется при закрытии финансового года), тогда и аудиторская выборка составит 1 элемент. Другое дело, если общее количество выполнения контроля составляет  число в диапазоне от 21 до 80, т.е. это значит, что некая процедура контроля выполняется каждую неделю (например, контроль выполнения заявок Service Desk) в течении аудируемого периода, тогда нормальной состав выборки будет 5 элементов. 

Да, нужно сказать, что под аудируемым периодом в 99% случаев понимается календарный (для российских компаний) или финансовый (для зарубежных компаний, МСФО) год.

2. Распределение выборки по всей популяции

Вторым вопросом для аудитора встает проблема определения распределения элементов по всей популяции (генеральной выборке), иными словами задача определить какое количество элементов из какого промежутка выбрать. К примеру, если контроль у нас выполняется каждую неделю, что составляет 40 контрольных процедур в год, то нам для тестирования за весь аудируемый период нужно выбрать 5 элементов. Выбрать 3 контроля в январе и 2 контроля в феврале не будет считаться правильным. Тоже самое не будет правильным взять 2 контроля в январе далее 2 в марте и 1 оставшейся контроль в декабре. Наиболее оптимальным вариантом будет взять по одному контролю в течении 5 месяцев, причем, если они не будут идти исключительно друг за другом.

Стоит сказать, что в нашем примере выборка из 5 элементов это минимальный набор для тестирования, для увеличения коэффициента надежности можно взять большее количество элементов, к примеру 7 или 10 или даже 15, зависит от трудоемкости тестирования и риска им присущего. Так же стоит сказать, что если риск достаточно высок, требуется высокий уровень достоверности, то аудитор может провести сплошной аудит всех элементов рассматриваемого контроля, т.е. протестировать 100% всех элементов популяции.

Вообще выборка элементов и распределение по всей популяции во многом определяется риском. Аудит в своей основе базируется на риск-ориентированном подходе. Это значит, что к примеру, если если риск не выполнения контроля выше в определенные периоды, то вопреки предыдущему примеру, распределение элементов для проверки может измениться. Так стоит исключить из популяции те месяцы, когда была минимальная активность, или когда рассматриваемые риски покрываются другими контролями договорено отработанными в данном периоде.

Так же по скольку аудиторское заключение выдается по окончанию года (читай, по закрытию бухгалтерского года на 31  декабря), соответственно на практике аудиторами распределение в популяции сдвигается ближе к концу года или к иным финансово-значимым датам (формирование баланса, выпуск отчетности, собрание совета директоров и т.д.).

Весьма схоже дело обстоит в ситуации, когда, к примеру, промежуточный аудит выполнялся по истечению 6 месяцев далее по истечению 9 месяцев и финальный аудит по результатам года. Так, при полугодовом аудите контроль в аудируемом периоде мог быть признан не эффективным, а по результатам 9 месячного аудита "восстановленным и эффективным", тогда при проведении годового аудита с учетом предварительных результатов, аудиторская выборка увеличивается, так для нашего примера, берется 5 элементов из 6 месяцев, 5 элементов из периода за 9 месяцев и еще 5 элементов за весь год, итого 15 элементов для контроля.

Приведенное выше описание безусловно не является единственно правильным и исчерпывающим. Многие решения  принимаются аудитором исходя из его профессионального суждения, опыта и, конечно же, знания ситуации, конкретной специфики работы клиента,  отрасли,  результатов предыдущих аудитов. И за многие годы практики каждый ИТ-аудитор  для себя определяет наиболее значимые и чувствительные пороги, значений и периоды.