Авторы: Олесия Калиниченко, CIA1, ведущий менеджер по аудиту ПАО «Вымпелком», и Ольга Белкания, квалификационный аттестат аудитора, DipIFR, ведущий менеджер по аудиту ПАО «Вымпелком», члены Ассоциации «Институт внутренних аудиторов»2

Скорости изменения бизнеса и желание получить «реальный результат» от аудита до момента, когда риски устареют, больше не позволяют внутреннему аудиту топтаться на месте и пристально изучать весь процесс от корки до корки долгие месяцы. Приоритизация стала стилем нашей жизни, и каждый аудитор должен четко понимать, почему и зачем он тратит время на ту или иную аудиторскую процедуру.

Использование гипотез на этапе планирования поможет сократить время на проведение аудита и выделить основные риски, требующие проработки.

Определение гипотезы

Гипо́теза (др.-греч. ὑπόθεσις — «предположение; допущение», от ὑπό — «под; по причине; из-за» и θέσις — «место; положение; тезис») — научное предположение, выдвигаемое для объяснения каких-либо явлений; вообще – предположение, требующее подтверждения (словарь Ожегова).

В аудите под гипотезой мы понимаем предположение, что именно может случиться, какой контроль может не сработать, чтобы риск реализовался.

Цели использования гипотезы в аудите

Использование гипотез в аудите поможет:

1. Сузить проблему

2. Выделить рисковые области

3. Определить, какой именно контроль имеет ключевое влияние на реализацию риска

Условия формулирования эффективной гипотезы

Проведение качественного планирования – обязательный элемент для формирования гипотезы.

Основным результатом планирования должно стать не только понимание процесса и присущих ему рисков, но и выделение приоритетных областей для дальнейшего тестирования. Чтобы понять, что и как тестировать, нам необходимо определить:

1. что может пойти не так в процессе,

2. какие последствия могут возникнуть в результате неправильных действий,

3. какая вероятность возникновения проблемы и оценка возможных последствий,

4. уровень риска.

Эти четыре пункта завершаются формированием гипотезы, которая будет являться выводом по результатам завершения всех предыдущих процессов: куда смотреть, насколько это важно, насколько реальна проблема. Определение гипотез, которые в дальнейшем будут тестироваться на этапе тестирования, является хорошей практикой ответить на вышеуказанные вопросы конкретным и понятным способом.

Таким образом, на этап тестирования контролей мы можем выйти с конкретными вопросами, на которые будет требоваться ответ. У нас будет возможность сконцентрироваться на конкретных задачах и хорошо понимать, что мы хотим получить в результате тестирования.

До момента тестирования и для формирования гипотезы нам должны быть известны:

1. Риск – общее определение возможной проблемы и области, в которой она может возникнуть.

2. Контроль – наличие либо отсутствие контроля, снижающего риск до приемлемого (риск-аппетит компании).

3. Гипотеза – конкретное предположение, что в процессе может пойти не так, какой контроль может не сработать.

4. Тест-план – конкретный план, как выявить, реализовалась ли гипотеза.

Четкое определение каждого из элементов планирования, обозначенных выше, поможет конкретизировать задачу тестирования.

Важно также понимать, что возможно наличие не одной гипотезы по результатам оценки процесса и рисков в нем, а сразу нескольких. Что будет говорить о нескольких возможных проблемах, связанных с процессом либо с данным элементом контроля.

Гипотеза vs риск. Практические примеры

Необходимо четко различать такие элементы планирования, как риск, гипотеза, контроль. Хотя они и связаны между собой общей целью – выявить зоны риска – каждый из элементов служит конкретной цели. Гипотеза – это, по сути, условие реализации риска, отвечает на вопрос «что может пойти не так, чтобы риск реализовался?».

Примером может послужить аудит агентского канала В2В-продаж тарифов в телекоме. Рассмотрим несколько рисков и гипотез в данном аудите.

1. Риск: низко-маржинальные тарифы назначаются В2В-клиентам, работающим через агентский канал продаж.

2. Цель теста: убедиться, что только тарифы с целевой маржинальностью одобряются.

3. Гипотеза: одобрение тарифа не проходит через согласование с финансовым департаментом.

В данном примере мы понимаем, что есть контроль при назначении тарифа – перед назначением тариф должен быть одобрен. Критерий также определен – целевая маржинальность, установленная компанией. При этом определение риска не позволяет понять, где именно может быть проблема, и только в гипотезе мы смогли определить конкретный шаг процесса согласование тарифа, в котором может быть корень проблемы – в отсутствии согласования финансового департамента, который проводит сравнение рассчитанного кейса ожидаемой маржинальности с целевой.

1. Риск: нарушение политик по борьбе со взяточничеством и коррупцией, запрещающих продажу тарифов В2G3-клиентам через агентский канал продаж.

2. Цель теста: убедиться, что В2G-клиенты не работают с компанией через агентский канал продаж.

3. Гипотеза: не все В2G-клиенты определены как государственные клиенты в системе при заполнении данных о новом клиенте либо обновлении данных о существующем клиенте.

Комплаенс-риск – увеличение риска дачи взяток государственным компаниям через агентский канал приводит к строгому комплаенс-правилу: В2G-клиенты не должны работать с компанией через агентский канал продаж. При изучении процесса стало ясно, что именно при вводе данных о новом клиенте, а также при обновлении данных, которое проводится ручным способом, может проявиться слабое звено, приводящее к нарушению правила. Именно это и указано в гипотезе. Эта информация позволит нам составить соответствующий тест-план, который поможет как выявить текущую ситуацию через транзакционное тестирование, так и протестировать контроль за периодичностью обновления информации и методами определения В2G-клиентов при вводе нового клиента.

1. Риск: снижение ARPU4 в регионе в агентском канале продаж.

2. Цель теста: убедиться, что в регионе продаются исключительно тарифы с целевым ARPU.

3. Гипотеза: В регион завозятся сим-карты с тарифами других регионов, в которых уровень цен ниже. Что размывает ARPU региона.

Изначально, при определении риска, проблема была не понятна. При анализе ситуации стало ясно, что контроль за завозными сим-картами не проводится на регулярной основе, что и определило данную гипотезу как основную.

Гипотезы «плохие» и «хорошие»

Иногда из-за некачественной проработки гипотез аудитор может не выявить проблему.

Примеры подходящих и не подходящих гипотез приведены в таблице:

Риск

Гипотеза

Вывод о гипотезе

Превышение забюджетированных капитальных затрат

Капитальный проект формально не одобрен бюджетным комитетом

Гипотеза не подходит, т.к. само по себе одобрение проекта капитальных затрат не влияет на объем фактически понесенных затрат

На этапе заявок на осуществление фактических затрат в рамках капитального проекта финансовый менеджер не проверяет затраты на соответствие бюджету проекта

Гипотеза подходит, т.к. является условием реализации риска

Отсутствие одобрения проекта со стороны экспертов

Гипотеза не подходит, т.к. одобрение проекта экспертами влияет на эффективность забюджетированных затрат, а не на их фактический объем

Риск долгого подбора персонала из-за необозначенных критериев подбора

К заявке на подбор не приложены результаты опроса потребностей нанимающего менеджера

Гипотеза не подходит, т.к. даже если рекрутер и нанимающий менеджер зафиксировали критерии подбора, то это не означает, что они будут корректно транслированы соискателям

Критерии вакансии, полученные от нанимающего менеджера, не соответствуют требованиям к соискателям в вакансии на платформе онлайн-рекрутинга

Гипотеза подходит, т.к. несоответствие является условием реализации риска

К сожалению, на практике все может быть не так очевидно. Например, был идентифицирован риск «компания не продает красивые5 номера В2G-клиентам по целевым тарифам». Проблема может крыться на разных этапах продажи номера, начиная с отправки запроса на оформление красивого номера и заканчивая процессом его отгрузки и получения денежных средств. Была идентифицирована гипотеза: «цена на красивый номер не одобряется руководителем». Мы провели тест, где убедились, что все инвойсы были одобрены руководителем. Но не учли, что проблема кроется на этапе получения оплаты – часть номеров может быть отгружена без предоплаты, и расходы должны быть выставлены в будущий счет, который может быть скорректирован менеджером по продажам вручную.

Таким образом, использовав неверную гипотезу, аудиторы потратили время на неактуальный тест и не выявили проблему. Более качественная проработка процессов и контролей на этапе планирования помогла бы сформировать гипотезы с высоким уровнем риска и акцентировать тестирование на рисковых областях процесса.

Гипотезы в аналитике данных

Аналогичным образом гипотезы могут быть полезны при анализе данных.

Можно использовать анализ данных с целью выявить возможные гипотезы. В этом случае анализируется массив данных на предмет возможных отклонений, имея в разработке только верхнеуровневый риск. Данный способ может помочь выявить возможные проблемы и сформировать гипотезы.

Например, телеком-оператор самостоятельно обслуживал базовые станции, но потом решил отдать поддержку оборудования стороннему подрядчику. Мы можем проанализировать количество/ средний срок обработки инцидентов на поддержку оборудования до передачи поддержки подрядчику и после. Если срок устранения инцидентов увеличился, то можно сделать гипотезу, что у подрядчика есть сложности с обслуживанием нашего оборудования. Таким образом, мы понимаем, что взаимоотношения с этим подрядчиком попадут в фокус нашего дальнейшего внимания.

Альтернативным способом является анализ данных как часть тестирования. В данном случае сначала необходимо определить конкретные возможные проблемы – гипотезы – для концентрации анализа на определенных пунктах проверки, и уже потом использовать аналитику данных по выделенным пунктам.

Например, в третьем примере (описан выше) гипотеза могла бы быть выявлена проведением первичного анализа подключенных абонентов и сравнением их с текущими тарифами региона. Либо данная гипотеза могла бы быть сформирована в процессе проведения интервью с сотрудниками региона, и далее подтверждена посредством анализа данных.

Не стоит избегать анализа данных ни для определения гипотез, ни для тестирования уже сформированных гипотез. Выбор зависит от объема имеющихся данных, полученных другими путями, и сложностью проведения анализа.

Подводные камни при тестировании гипотез

Хотелось бы обратить внимание на несколько моментов, связанных с процессом тестирования гипотез, о которых необходимо помнить, чтобы получить верные результаты.

1. Наличие различных методик тестирования6.

Аудитор может тестировать гипотезы несколькими способами:

  • Поиск доказательств для подтверждения гипотезы

  • Поиск доказательств для опровержения гипотезы

  • Одновременный поиск как доказательств «за», так и «против» гипотезы, с дальнейшим анализом результатов.

Например, если гипотеза заключалась в том, что собеседник является экстравертом, то аудитор, проводящий тестирование, в первом случае будет искать в собеседнике только черты экстраверта, во втором – только черты интроверта, а в третьем – будет замечать и то, и другое.

2. Аудитор склонен замечать в большей степени доказательство своей правоты, чем неправоты.

Одно из самых распространенных когнитивных искажений – склонность к подтверждению своей точки зрения7 и, как следствие, предвзятый поиск и интерпретация информации8. Люди склонны оценивать ту или иную гипотезу слишком однобоко, ища только те подтверждения, которые согласуются с их исходной позицией. Таким образом, аудитор может выбрать набор данных для проверки, который будет подтверждать его точку зрения.

Что же делать? Формулирование гипотезы поможет

Если аудитор использует метод подтверждения гипотезы, важно сформулировать гипотезу с альтернативной, не основной точки зрения.

Например, аудитор сформировал гипотезу так: «увеличение фактически понесенных расходов на персонал по сравнению с забюджетированным обусловлено внешними факторами».

Для подтверждения этой гипотезы аудитор может обратить большее внимание на анализ рынка труда в регионе, уровень безработицы, изменение минимальной заработной платы. Но может забыть проанализировать изменения в темпах роста компании, количестве произведенной продукции/совершенных продаж, расширение бизнеса. Если бы аудитор в гипотезе указал причины увеличения расходов «внутренними факторами», то, вероятно, он начал бы с анализа изменений внутри компании.

Поэтому нужно быть объективными и делать выводы на основе всех имеющихся фактов.

Основная цель методологии внутреннего аудита – минимизировать время аудита и улучшить результаты проведенной проверки. Гипотезы помогут сфокусироваться на том, что действительно важно. А корректное формулирование гипотезы поможет избежать ошибок.


1. Certified Internal Auditor (Дипломированный внутренний аудитор).

2. Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru

3. Business to government.

4. Англ. Average revenue per user (средняя выручка на одного пользователя) — показатель, используемый телекоммуникационными компаниями (в том числе интернет-провайдерами, ИТ-компаниями и другими компаниями, предоставляющими онлайн-сервисы) и означающий средний доход (обычно за месяц) в расчете на одного абонента.

5. Это номер, в котором можно уловить связь между цифрами, за счет чего появляется осмысленность, и он легче запоминается.

6. Здесь и ниже идеи взяты из статьи «The Impact of Hypothesis-Testing Strategies on Auditors' Use of Judgment Data» by Thomas Kida (https://www.jstor.org/stable/2490714?read-now=1&seq=2#page_scan_tab_contents)

7. Plous, Scott (1993), The Psychology of Judgment and Decision Making, McGraw-Hill, ISBN 978-0-07-050477-6, OCLC 26931106

8. Nickerson, Raymond S. (1998), A Ubiquitous Phenomenon in Many Guises, Review of General Psychology (Educational Publishing Foundation). — Т. 2 (2): 175–220, ISSN 1089-2680

Kunda, Ziva (1999), Social Cognition: Making Sense of People, MIT Press, ISBN 978-0-262-61143-5, OCLC 40618974