Международные стандарты по регулированию аспектов системы внутреннего контроля
Оценка рисков и внутренний контроль
Целью МСА 400 «Оценка рисков и внутренний контроль» является установление стандартов и предоставление рекомендаций по получению понимания систем бухгалтерского учета и внутреннего контроля, а также аудиторского риска и его компонентов: неотъемлемом риске, риске системы контроля и риске необнаружения.
Аудитору нужно получить представление о системах бухгалтерского учета и внутреннего контроля, достаточное для планирования аудита и разработки эффективного подхода к проведению аудита. Ему следует использовать свое профессиональное суждение для оценки аудиторского риска и разработки аудиторских процедур, необходимых для снижения данного риска до приемлемо низкого уровня.
Дается определение таких понятий, как «аудиторский риск», «неотъемлемый риск», «риск системы контроля», «риск необнаружения», «система бухгалтерского учета», «система внутреннего контроля».
Отмечено, что к факторам, отражаемым в контрольной среде, относятся:
- деятельность совета директоров и его комитетов;
- философия руководства и стиль его работы;
- организационная структура субъекта, а также методы наделения полномочиями и ответственностью;
- система контроля со стороны руководства, включая подразделение внутреннего аудита, кадровую политику и процедуры, а также разделение обязанностей.
В качестве процедур контроля названы:
- отчеты, проверка и утверждение проведенных сверок;
- проверка арифметической точности записей;
- осуществление контроля над прикладными программами и средой компьютерных информационных систем, например, посредством установления форм контроля над изменениями компьютерных программ и доступом к файлам данных;
- ведение и проверка аналитических счетов и оборотных ведомостей;
- утверждение документов и контроль над ними;
- сравнение данных, полученных из внутренних источников, с внешними источниками информации;
- сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями;
- ограничение прямого физического доступа к активам и записям;
- сравнение и анализ финансовых результатов с расходами, предусмотренными сметой.
Отмечено, что понимание соответствующих аспектов систем бухгалтерского учета и внутреннего контроля наряду с оценкой неотъемлемого риска и риска системы контроля и анализом иных факторов позволяет аудитору:
- определять виды потенциальных существенных искажений, которые могут встретиться в финансовой отчетности;
- учитывать факторы, которые влияют на риск появления существенных искажений;
- разрабатывать соответствующие аудиторские процедуры.
Указано, что при разработке подхода к проведению аудита аудитор принимает во внимание предварительную оценку риска системы контроля (а также оценку неотъемлемого риска), для того чтобы установить соответствующий риск необнаружения, который может быть допущен в отношении утверждений, на основе которых подготовлена финансовая отчетность, а также для определения характера, сроков и объема процедур проверки данных утверждений по существу.
В соответствии с разделом «Неотъемлемый риск» аудитор при разработке общего плана аудита должен провести оценку неотъемлемого риска на уровне финансовой отчетности. При разработке программы аудита аудитору рекомендуется соотнести проведенную оценку с существенными сальдо счетов и классами операций на. уровне утверждений или предположить, что неотъемлемый риск в отношении данного утверждения является высоким.
В разделе «Системы бухгалтерского учета и внутреннего контроля» говорится, что средства внутреннего контроля способствуют достижению таких целей, как:
- осуществление операций по общему или специальному разрешению руководства;
- своевременный учет всех операций и прочих событий в точных суммах, на соответствующих счетах и в должные отчетные периоды, с тем чтобы сделать возможной подготовку финансовой отчетности согласно установленным основам финансовой отчетности;
- возможность доступа к активам и записям только по разрешению руководства;
- сопоставление учтенных активов с активами, имеющимися в наличии, через равные промежутки времени и принятие соответствующих мер в отношении любых расхождений.
Названы ограничения, присущие средствам внутреннего контроля, в частности:
- ориентация большей части средств внутреннего контроля на текущие, а не редкие операции;
- потенциальная возможность ошибок вследствие человеческого фактора, т.е. по причине небрежности, рассеянности, ошибок в суждении и неправильного понимания инструкции;
- возможность обойти процедуры внутреннего контроля путем сговора представителя руководства или сотрудника с внешними либо внутренними по отношению к субъекту лицами.
Аудитору следует получить представление о системе бухгалтерского учета, достаточное для определения и понимания:
- основных классов операций, осуществляемых субъектом;
- способа инициирования таких операций;
- значимых бухгалтерских записей, подтверждающих документов и счетов финансовой отчетности;
- процесса ведения бухгалтерского учета и составления финансовой отчетности от момента инициирования важных операций и прочих событий до момента их включения в финансовую отчетность.
Аудитору необходимо получить представление о контрольной среде, достаточное для оценки отношения директоров и руководства, их осведомленности и принимаемых действий касательно средств внутреннего контроля и их значимости для субъекта.
Для разработки плана аудиторской проверки аудитору необходимо получить достаточное представление о процедурах контроля.
В разделе «Риск средств контроля» нашла отражение информация о предварительной оценке риска средств контроля, представляющей собой процесс определения эффективности систем бухгалтерского учета и внутреннего контроля субъекта с точки зрения предотвращения или обнаружения и исправления существенных искажений. Отмечено, что предварительная оценка риска системы контроля в отношении утверждений, на основе которых подготовлена финансовая отчетность, должна быть высокой, за исключением случаев, когда аудитор может установить соотносимые с утверждением средства внутреннего контроля, которые с определенной вероятностью будут предотвращать или обнаруживать и исправлять существенные искажения, а также планирует проводить тесты контроля для подтверждения оценки.
Международный стандарт обязывает аудитора задокументировать полученное представление о системах бухгалтерского учета и внутреннего контроля субъекта и оценку риска системы контроля, а также получить аудиторское доказательство посредством проведения тестов контроля для подтверждения любой оценки риска системы контроля, которая ниже высокой. Чем ниже оценка риска системы контроля, тем больше подтверждений аудитору необходимо получить относительно надлежащей структуры и эффективного функционирования систем бухгалтерского учета и внутреннего контроля.
Основываясь на результатах тестов контроля, аудитор должен определить, были ли разработаны или применялись ли средства внутреннего контроля в соответствии с тем, что было предусмотрено при предварительной оценке риска системы контроля.
До того как закончить аудиторскую проверку, основываясь на результатах процедур проверки по существу и других полученных аудиторских доказательствах, аудитор должен проанализировать, была ли подтверждена оценка риска системы контроля.
В разделе «Взаимосвязь между оценками неотъемлемого риска и риска средств контроля» говорится, что в ответ на ситуации, связанные с неотъемлемым риском, руководство часто разрабатывает системы бухгалтерского учета и внутреннего контроля, направленные на предотвращение или обнаружение и исправление искажений, поэтому в большинстве случаев неотъемлемый риск и риск системы контроля тесно взаимосвязаны. Аудитору рекомендуется в таких ситуациях во избежание несоответствующей оценки риска определять аудиторский риск путем комбинированной оценки.
Согласно разделу «Риск необнаружения» при определении характера, сроков и объема процедур проверки по существу, необходимых для снижения аудиторского риска до приемлемо низкого уровня, аудитор должен учитывать оцененные уровни неотъемлемого риска и риска системы контроля. В связи с этим аудитору рекомендуется рассмотреть характер, сроки выполнения и объем процедур проверки по существу.
Независимо от оцененных уровней неотъемлемого риска и риска системы контроля аудитору следует провести некоторые процедуры проверки по существу в отношении существенных сальдо счетов и классов операций, причем чем выше оценка неотъемлемого риска и риска системы контроля, тем больше аудиторских доказательств аудитору необходимо получить в ходе процедур проверки по существу. Если же аудитор устанавливает, что риск необнаружения в отношении утверждения, на основе которого подготовлена финансовая отчетность, применительно к существенному сальдо счета или классу операций не может быть снижен до приемлемо низкого уровня, то аудитору следует выразить условно-положительное мнение или отказаться от выражения мнения.
В разделе «Аудиторский риск в малом бизнесе» отражена специфика аудита малых экономических субъектов, связанная с рассматриваемым вопросом. В частности, говорится, что в тех случаях, когда возможность разделения обязанностей ограничена и отсутствуют аудиторские доказательства в отношении надзорных средств контроля, аудиторские доказательства, подтверждающие мнение аудитора о финансовой отчетности, могут быть получены только путем проведения процедур по существу.
Раздел «Сообщение информации о недостатках» обязывает аудитора в возможно короткие сроки уведомить руководство соответствующего административного уровня о выявленных существенных недостатках структуры или функционирования систем бухгалтерского учета и внутреннего контроля. Обычно руководство информируют о существенных недостатках в письменном виде. Однако если аудитор считает, что информирование в устной форме является более целесообразным, то такое уведомление следует отразить в рабочих документах аудитора. В уведомлении важно отметить, что представлены только те недостатки, которые стали известны аудитору в ходе аудиторской проверки, атакже, что проверка не предназначена для определения того, соответствует ли внутренний контроль управленческим целям.
В разделе «Перспективы государственного сектора» говорится, что аудитор должен помнить, что на управленческие цели субъектов государственного сектора могут оказывать влияние интересы общества; кроме того, управленческие цели включают в себя задачи, имеющие своим источником законодательство, нормативные акты, постановления правительства и директивы министерств. При оценке эффективности процедур внутреннего контроля с точки зрения аудита аудитору необходимо принимать во внимание источник и характер таких целей. При аудите финансовой отчетности аудитор учитывает только ту политику и процедуры в рамках систем бухгалтерского учета и внутреннего контроля, которые имеют отношение кутверждениям, лежащим в основе финансовой отчетности. Аудиторы государственного сектора даже при проведении аудиторской проверки финансовой отчетности зачастую выполняют дополнительные обязанности в отношении средств внутреннего контроля. Проверка средств внутреннего контроля, проводимая ими, может быть шире и подробнее, чем при аудите финансовой отчетности в частном секторе. Для аудиторов государственного сектора могут предусматриваться дополнительные требования в отношении информирования руководства о недостатках. Например, аудитору может быть вменено в обязанность сообщить законодательным или другим правительственным органам о недостатках системы внутреннего контроля, обнаруженных в ходе аудита финансовой отчетности или другого аудита.
Российским аналогом данного международного стандарта является ПСАД № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом», которым также устанавливаются единые требования к пониманию систем бухгалтерского учета и внутреннего контроля, а также аудиторского риска и его составных частей. Предполагается, что дальнейшему, более широкому использованию этого стандарта в практике отечественной аудиторской деятельности будут способствовать меры по улучшению системы внутреннего контроля организаций, а также росту компетентности аудиторов в этих вопросах.
Определение соответствующих терминов в российском стандарте аудита полностью соответствует изложенному в международном аналоге.
Термин «аудиторский риск» означает риск выражения аудитором ошибочного аудиторского мнения в случае, когда в финансовой (бухгалтерской) отчетности содержатся существенные искажения. Аудиторский риск включает три составные части: неотъемлемый риск, риск средств контроля и риск необнаружения (см. табл.).
Аудиторская организация оценивает риск средств контроля как | ||||
Высокий | Средний | Низкий | ||
При этом уровень риска необнаружения, который можно допустить будет: | ||||
Аудиторская организация оценивает внутрихозяйственные риски как | Высокий | Самый низкий | Ниже среднего | Средний |
Средний | Ниже среднего | Средний | Выше среднего | |
Низкий | Средний | Выше среднего | Самый высокий |
С математической точки зрения аудиторский риск равен произведению трех его компонентов и выражается формулой АР=ВХРхРСКхРНО,
где АР — аудиторский риск;
ВХР — внутрихозяйственный риск; РСК — риск средств контроля; РНО — риск необнаружения.
Как всякая вероятность, риск измеряется в процентах или долях единиц.
Термин «неотъемлемый риск» означает подверженность остатка средств на счетах бухгалтерского учета или группы однотипных операций искажениям, которые могут быть существенными (по отдельности или в совокупности с искажениями остатков средств на других счетах бухгалтерского учета либо групп однотипных операций), при допущении отсутствия необходимых средств внутреннего контроля.
Термин «риск средств контроля» означает риск того, что искажение, которое может иметь место в отношении остатка средств по счетам бухгалтерского учета или группы однотипных операций и быть существенным (по отдельности или в совокупности с искажениями остатков средств по другим счетам бухгалтерского учета либо групп однотипных операций), не будет своевременно предотвращено или обнаружено и исправлено с помощью систем бухгалтерского учета и внутреннего контроля.
Термин «риск необнаружения» означает риск того, что аудиторские процедуры по существу не позволяют обнаружить искажение остатков средств по счетам бухгалтерского учета или групп операций, которое может быть существенным по отдельности либо в совокупности с искажениями остатков средств по другим счетам бухгалтерского учета или группы операций.
Термин «система бухгалтерского учета» означает упорядоченную систему сбора, регистрации и обобщения информации в денежном выражении об имуществе и обязательствах организаций и их движении путем сплошного, непрерывного и документального учета всех хозяйственных операций.
Термин «система внутреннего контроля» означает совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения оши-боки искажения информации, атакже своевременной подготовки достоверной финансовой (бухгалтерской) отчетности. Система внутреннего контроля может быть представлена в виде схемы (см. рис.).
- Система бухгалтерского учета
- Совокупность форм и методов, применяемых экономическим субъектом для организации и ведения бухгалтерского учета имущества и обязательств, а также подготовки бухгалтерской отчетности
- Контрольная среда
- Совокупность знаний руководства экономического субъекта и мер, направленных на установление, поддержание и развитие системы внутреннего контроля
- Средства контроля
- Элементы системы внутреннего контроля — конкретные процедуры, установленные руководством экономического субъекта на отдельных направлениях и участках хозяйственной деятельности для обеспечения эффективного и надежного управления ею
Рис. Система внутреннего контроля
При оценке надежности системы внутреннего контроля аудиторские организации обязаны использовать не менее трех градаций:
- высокая надежность;
- средняя надежность;
- низкая надежность.
Для повышения объективности оценки надежности этой системы аудиторские организации могут применять и большее число градаций. Многие аудиторские организации оценивают надежность по пяти-или десятибалльной системе, а некоторые измеряют надежность в процентах (от 0 до 100%). Однако применение детальных оценок требует и более сложных исследований системы внутреннего контроля (СВК): разработки различных тестовых процедур, перечней типовых вопросов, анализа полученных результатов с применением шкал баллов, коэффициентов и формул для получения надежных оценок. Поэтому небольшим аудиторским организациям и частнопрактикующим аудиторам целесообразно пользоваться для оценки надежности СВК менее трудоемкими способами.
На практике свести аудиторский риск к нулю нереально. Однако аудитор должен стремиться к его минимизации, планировать и проводить аудит таким образом, чтобы риск неправильного суждения был достаточно мал.
Степень минимизации аудиторского риска во многом зависит от степени заинтересованности внешних пользователей в данных бухгалтерской отчетности экономического субъекта. Чем шире круг потенциальных пользователей, тем актуальнее для аудитора минимизация аудиторского риска. Изучение и анализ рисков требуют пристального внимания аудитора. Характер и масштабы проводимых процедур напрямую зависят от оценки степени риска. Если риск оценивается как высокий, то необходимо получить более надежные аудиторские доказательства, провести более тщательные исследования, спланировать более крупные выборки данных.
Без точной оценки аудиторских рисков вполне можно обойтись. Оценка риска не является для аудитора самоцелью. Аудиторам разрешается оценивать аудиторские риски по трехбалльной шкале: высокий, средний и низкий. Поэтому для опытного аудитора не составит труда, проанализировав аналогичные ситуации, сделать приблизительную оценку.
Для того чтобы строго математически рассчитать аудиторский риск, нужно представить гипотетическую ситуацию, в которой бухгалтерская отчетность экономического субъекта может быть проверена 100 независимыми друг от друга аудиторами. Если 83 из них посчитали отчетность экономического субъектадостоверной, 17 — нет, а отчетность на самом деле достоверна, то можно сказать, что вероятность (риск) аудиторской ошибки составляет 0,17, или 17% (17:100). На практике математически оценить аудиторский риск нереально, поскольку даже повторные проверки (перепроверки) в российском аудите проводятся крайне редко, а вероятность тройной проверки одного и того же клиента за один и тот же отчетный период практически равна нулю. Поэтому аудиторам нужно применять иную трактовку вероятности: не как отношение числа опытов с исходом определенного вида к общему их числу, а как мера субъективной уверенности исследователя в определенном исходе опыта.
Оценку внутрихозяйственного риска следует дать только в отношении тех счетов учета и операций, сальдо и (или) обороты по которым превышают уровень существенности, т.е. аудитор обязан оценить данный риск только для отчетности в целом и наиболее существенных счетов учета. Число таких счетов будет не слишком большим. Аудитору необходимо рассматривать по отдельности счета, для которых свойственны непреднамеренные искажения, и счета, для которых характерны преднамеренные искажения.
При оценке внутрихозяйственного риска необходимо учитывать следующие объективные факторы:
- особенности функционирования и текущего экономического положения отрасли, в которой работает данный экономический субъект (правовая среда, особенности нормативного регулирования деятельности, общее экономическое состояние отрасли);
- специфические особенности деятельности данного экономического субъекта (например, игорному бизнесу присущ более высокий уровень риска, чем торговле, а торговле — чем промышленности);
- честность руководства и бухгалтерского персонала;
- опыт и квалификация руководства и бухгалтерского персонала (для главного бухгалтера-новичка внутрихозяйственный риск будет выше, чем для главного бухгалтера с большим стажем);
- возможность внешнего давления на персонал экономического субъекта в целях достижения определенных показателей (для получения кредитов руководитель может потребовать от главного бухгалтера «улучшить» показатели баланса, а для снижения налоговых платежей — «завысить себестоимость»);
- возможность контроля за деятельностью экономического субъекта со стороны его собственников (там, где владение уставным капиталом отделено от функции управления производством, внутри хозяйственный риск обычно ниже, чем там, где главный акционер и управляющий экономического субъекта — одно и то же лицо).
Взаимодополняющей категорией к категории риска средств контроля является надежность средств контроля. Риск средств контроля измеряется в процентах, показатель надежности получают, вычитая значение риска из 100%, а если риск измеряется в долях единицы, то вычитают значение риска из единицы. Например, риску средств контроля в 0,35 (35%) будет соответствовать,их надежность, равная 0,65 (65%), т.е. высокой надежности средств контроля соответствует низкий риск, средней надежности — средний риск, низкой надежности — высокий риск.
Однако абсолютно полагаться на первичную оценку нельзя. В ходе проверки аудитор обязан осуществлять процедуры подтверждения достоверности системы или отдельных средств контроля.
Средства контроля тестируют для проверки правильности выполнения контрольных процедур. Тестирование средств контроля должно убедить аудитора в том, что:
- системы бухгалтерского учета и внутреннего контроля экономического субъекта надежны и способны предотвращать появление существенных искажений бухгалтерской отчетности и помогать их выявлять;
- средства контроля работают с одинаковой эффективностью на протяжении всего проверяемого периода.
Дело в том, что системы бухгалтерского учета и внутреннего контроля, будучи в принципе надежны, вследствие определенных причин могут давать сбои в отдельные периоды. К таким причинам относятся:
- кратковременная замена постоянного работника бухгалтерии из-за его болезни или отпуска менее опытным временным работником; в особенности работы бухгалтерии экономического субъекта, связанные, например, с сезонным увеличением интенсивности деятельности экономического субъекта (в эти периоды наиболее вероятно возникновение ошибок);
- появление единичных и случайных ошибок.
Подавляющее большинство факторов, влияющих на риск средств контроля, зависит от руководства и главного бухгалтера. Эти лицав первую очередь несут ответственность за организацию и эффективное функционирование систем бухгалтерского учета и внутреннего контроля. Для уменьшения риска средств контроля обычно следует внести изменения в систему бухгалтерского учета, реорганизовать документооборот, провести кадровые и структурные изменения. Аудитор может влиять на риск данного типалишь опосредованно и в долгосрочной перспективе. В ходе проверки он должен описать и зафиксировать все элементы указанных систем, отметить выявленные недостатки и неэффективные элементы, оценить степень риска. На основе проведенных исследований и анализа их результатов аудитор должен разработать и довести до исполнительного органа экономического субъекта соответствующие рекомендации. Таким образом, аудитор может влиять на уровень риска средств контроля, если экономический субъект примет кдействию и внедрит рекомендации аудитора по вопросам совершенствования систем бухгалтерского учета и внутреннего контроля. Однако эти изменения не будут иметь отношения куровню риска отчетного периода, а повлияют только на результаты следующих отчетных периодов. Поэтому перед началом следующей аудиторской проверки следует уточнить и отметить, приняты ли к сведению рекомендации по данному вопросу клиентом.
Если аудитор пытается оценить неотъемлемый риск и риск средств контроля по отдельности, возникает вероятность ненадлежащей оценки риска. Поэтому аудиторский риск можно более надежно определить путем комбинированной оценки.
На основе оценки внутрихозяйственного риска и риска средств контроля аудитор должен определить допустимый риск необнаружения. Проверка должна планироваться с учетом минимизации риска необнаружения.
Риск необнаружения является показателем эффективности и качества работы аудитора. Он зависит от профессионализма аудитора в планировании и организации проверки, определении репрезентативной выборки, применении необходимых и достаточных аудиторских процедур и такого важного фактора, как квалификация аудиторов, принимающих участие в проверке. Это тот тип риска, на значение которого аудитор может и должен влиять.
Между риском необнаружения и комбинацией внутрихозяйственного риска и риска средств контроля существует обратная связь. Если аудитор считает, что внутрихозяйственный риск и риск средств контроля являются высокими, то он обязан снизить, насколько возможно, риск необнаружения, т.е. работать более детально и тщательно, модифицировать применяемые аудиторские процедуры, изменяя их количество или содержание, увеличивать затраты труда и времени, необходимые для проверки.
Если в ходе планирования выясняется, что внутрихозяйственный риск и риск средств контроля имеют достаточно низкие значения, аудитору следует снизить реальные трудозатраты и применять менее трудоемкие методы получения аудиторских доказательств.
Учет и корректировка уровней риска необходимы на всех этапах проверки — от этапа планирования до этапа составления аудиторского заключения.
Если по ходу выполнения проверки аудитор принимает решение о снижении уровня существенности, то он должен скорректировать в сторону понижения и общий аудиторский риск. Это можно сделать, воздей-ствуялибо на риск средств контроля, либо на риск необнаружения. Повлиять на уровень внутрихозяйственного риска, как правило, невозможно. Для снижения риска средств контроля необходимо применять дополнительные тесты средств контроля. Для снижения риска необнаружения следует расширить круг применяемых аудиторских процедур, оценить возможность применения аудиторских процедур других типов, повысить объемы аудиторских выборок. Можно также привлечь более квалифицированных аудиторов и увеличить продолжительность проверки.
Аудитор должен оценивать риски, от него не зависящие, как можно раньше и как можно тщательнее. Риск необнаружения напрямую связан с объемом работы, объем работы — с себестоимостью, а себестоимость — с общей стоимостью аудита. Если аудитор и клиент договорились о фиксированной стоимости аудита, а высокие риски аудита выявились после подписания соответствующего договора и фактического начала работы, аудитор рискует понести ущерб, связанный с незапланированным увеличением объема работ.
На практике аудитор не может быть полностью уверен в аккуратности отчетности, поэтому аудиторский риск всегда находится между 0 и 1 (или 0 и 100%). Между желаемым аудиторским риском и планируемой информационный базой для проведения аудита существует обратная зависимость: чем меньше аудиторский риск, тем большее количество информации необходимо привлечь для тестирования.
На практике аудиторы используют в основном три способа определения аудиторского риска.
- На этапе планирования аудитор оценивает, например, что внутрихозяйственный риск составляет 80%, риск средств контроля — 50%, риск необнаружения — 10%. На основе этих значений аудитор может получить величину аудиторского риска: 0,8 х 0,5 х 0,1 = 0,04 или 4%.
- Акцент переносится на расчет значения риска необнаружения и соответствующего количества подлежащих получению аудиторских доказательств. Это более эффективный способ. В данном случае модель аудиторского риска применяется в таком виде: РНО-АР:(ВХРхРСК).
Предположим, что аудитор устанавливает аудиторский риск на уровне 5%, внутрихозяйственный риск на уровне 80%, риск средств контроля на уровне 50%. Тогда риск необнаружения составит: [0,05 : (0,8 х 0,5)] - 0,125, или 12,5%.
Требуемое количество аудиторских доказательств обратно пропорционально уровню риска необнаружения. Чем ниже риск необнаружения, тем большее количество аудиторских доказательств необходимо получить в ходе проверки.
- Наиболее общий способ модели аудиторского риска заключается в отслеживании взаимосвязи между компонентами аудиторского риска, количеством и качеством необходимых аудиторских доказательств. Применение модели аудиторского риска требует от аудитора глубокого понимания таких взаимосвязей и содержания каждого из компонентов аудиторского риска.
Перед окончанием аудиторской проверки аудитор должен проанализировать, была ли подтверждена оценка риска средств контроля. Получение в ходе процедур подтверждения более низких по сравнению с первоначальной оценок надежности системы внутреннего контроля или отдельных ее элементов должно послужить для аудитора сигналом к корректировке аудиторских процедур в целях повышения общего уровня достоверности формируемых по результатам аудита выводов. Например, может быть увеличено число элементов выборки и направлены запросы для получения дополнительных сведений.
Аудит в среде компьютерных информационных систем
Дополнительные процедуры, которые необходимо соблюдать при проведении аудита в условиях компьютерных информационных систем (КИС), раскрыты в МСА 401 «Аудит в среде компьютерных информационных систем». Для целей данного МСА условия КИС существуют, когда субъект применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер данным субъектом или третьей стороной. В таких случаях аудитор должен рассмотреть, каким образом КИС влияет на аудит, причем общая цель и объем аудита в среде КИС не меняются, однако их применение может оказать влияние на:
- процедуры, соблюдаемые аудитором в процессе получения достаточного представления о системах бухгалтерского учета и внутреннего контроля;
- анализ неотъемлемого риска и риска системы контроля, посредством чего аудитор оценивает риск;
- разработку и проведение аудитором тестов ко нтроля и процедур проверки по существу, необходимых для достижения целей аудита.
В разделе «Умение и компетентность» определены требования, предъявляемые к уровню подготовки и квалификации аудитора для данной работы, и степень его ответственности в случае делегирования этой работы помощникам или использования результатов работы, проведенной третьими лицами. Аудитор должен обладать достаточным знанием КИС для того, чтобы планировать, направлять, контролировать и проверять выполняемую работу. Аудитор должен рассмотреть вопрос о необходимости специализированных знаний о КИС для проведения аудита, которые могут понадобиться для:
- достаточного представления о системах бухгалтерского учета внутреннего контроля, на которые влияет среда КИС;
- определения влияния КИС на оценку общего риска, риска на уровне сальдо счетов и класса операций;
- разработки и проведения соответствующих тестов контроля и процедур проверки по существу.
При возникновении необходимости в специализированных знаниях аудитор может обратиться за помощью к специалисту, обладающему такими знаниями и являющемуся либо работником аудиторской фирмы, либо приглашенным экспертом.
Аспектам планирования аудита в среде КИС посвящен раздел «Планирование», в котором отмечено, что аудитор должен получить представление о системах бухгалтерского учета и внутреннего контроля, достаточное для планирования аудита и разработки эффективного подхода к его проведению, руководствуясь при этом МСА 400 «Оценка рисков и внутренний контроль». В данном разделе указаны условия, обусловливающие степень сложности прикладной программы, которая предопределяет представление аудитора о значимости и сложности процессов функционирования КИС, а также о доступности данных для использования при аудите.
При планировании стадий аудита, на которые может повлиять среда КИС субъекта, аудитор должен получить представление о значимости и сложности процессов функционирования КИС, а также о доступностиданныхдля использования при аудите. Прикладная программа считается сложной, если, например:
- объем операций таков, что пользователям трудно выявить и исправить ошибки, допущенные в процессе обработки;
- компьютер автоматически генерирует существенные операции или проводки непосредственно в другой прикладной программе;
- компьютер выполняет сложные расчеты по финансовой информации и (или) автоматически генерирует существенные операции или проводки, которые не могут быть подтверждены либо не подтверждаются отдельно;
- обмен операциями с другими организациями осуществляется электронным способом и при этом не проводится физической проверки на предмет правильности или приемлемости.
Если КИС играют значительную роль, аудитор должен получить представление о среде КИС и возможности их влияния на оценку неотъемлемого риска и риска системы контроля.
Согласно разделу «Оценка риска» аудитор должен оценивать неотъемлемый риск и риск системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности. Это объясняется тем, что неотъемлемые риски системы контроля в среде КИС могут оказывать как общее, так и локальное влияние на вероятность существенных искажений информации (риски могут быть следствием недостатков таких функций КИС, как разработка и эксплуатация программы, поддержка системного программного обеспечения, обеспечение физической защиты КИС, а также контроль над доступом к специализированным обслуживающим программам; риски могут увеличить вероятность ошибок или мошенничества в конкретных прикладных программах, базах данных или главных файлах, а также при компьютерной обработке). Подчеркивается, что при аудите в среде КИС действует требование МСА 400 «Оценка рисков и внутренний контроль» о необходимости оценки аудитором неотъемлемого риска и риска системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности. Общее воздействие на все прикладные системы, подвергающиеся компьютерной обработке, может оказать недостаток контроля над доступом к специализированным обслуживающим программам. На степень риска также влияет факт незащищенности систем, контролирующих денежные расходы или другие ликвидные активы от мошеннических действий со стороны пользователей либо операторов КИС. Несмотря на то что общая цель и объем аудита в среде КИС не меняются, применение компьютеров может оказать влияние на характер аудиторских процедур, оценку аудиторских рисков, тесты контроля и процедуры проверки по существу. В связи с этим аудитор прежде всего должен рассмотреть, каким образом КИС влияет на аудит.
В разделе «Процедуры аудита» отмечается, что аудитор должен учитывать среду КИС при разработке аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня. Подчеркивается, что конкретные цели аудита не зависят от того, обрабатываются учетные данные вручную или на компьютере. Тем не менее на аудиторские процедуры могут оказывать влияние способы компьютерной обработки данных. Для получения достаточного доказательственного материала аудитор может либо применять методы ручной обработки данных, либо обрабатывать данные с помощью компьютера, либо комбинировать оба метода. Однако в некоторых системах бухгалтерского учета аудитору невозможно или нелегко получить определенные данные для проверки, запроса либо подтверждения без помощи компьютера.
Российским аналогом МСА 401 является ПСАД «Аудит в условиях компьютерной обработки данных», содержание которого идентично содержанию рассматриваемого МСА. Целью российского стандарта также является определение действий аудиторов при осуществлении аудита в условиях систем компьютерной обработки данных, функционирующих у проверяемого экономического субъекта (этот стандарт будет подробно рассмотрен ниже).
Учет при аудите особенностей субъектов, использующих обслуживающие организации
Особенности аудита организаций, поручающих ведение бухгалтерского учета и подготовку отчетности специализированным организациям, рассматриваются в МСА 402 «Учет при аудите особенностей субъектов, использующих обслуживающие организации», который не имеет российских аналогов. В нем указано, что аудитор должен определить характер влияния обслуживающей организации на системы бухгалтерского учета и внутреннего контроля клиента для планирования аудита и разработки эффективного подхода к его проведению. В соответствии с разделом «Вопросы, рассматриваемые аудитором клиента» аудитор должен определить значимость деятельности обслуживающей организации для клиента и аудита. Для этого аудитору клиента необходимо проанализировать:
- характер услуг, предоставляемых обслуживающей организацией;
- условия договора и взаимоотношения между клиентом и обслуживающей организацией;
- существенные утверждения в финансовой отчетности, на которые оказывает влияние использование услуг обслуживающей организации;
- неотъемлемый риск, связанный с такими утверждениями;
- степень взаимодействия систем бухгалтерского учета и внутреннего контроля клиента с системами бухгалтерского учета и внутреннего контроля обслуживающей организации;
- используемые клиентом средства внутреннего контроля за операциями, обрабатываемыми обслуживающей организацией;
- возможности и финансовая устойчивость обслуживающей организации, в том числе последствия ее банкротства для клиента;
- сведения об обслуживающей организации, например, содержащиеся в руководствах для пользователей и технических пособиях;
- сведения об общих средствах контроля и средствах контроля компьютерных систем, имеющих отношение к прикладным программам клиента.
Если по результатам рассмотрения перечисленных факторов аудитор сделает вывод, что на оценку риска системы контроля не воздействуют средства контроля обслуживающей организации, то отпадает необходимость в выполнении требований следующих положений данного МСА.
Если же аудитор приходит к заключению, что деятельность обслуживающей организации значима для субъекта и аудита, аудитору следует собрать сведения, достаточные для получения представления о системах бухгалтерского учета и внутреннего контроля, а также оценить риск системы контроля либо как максимальный, либо как более низкий, при условии проведения тестов контроля.
При недостатке информации аудитор клиента, выразивший желание посетить обслуживающую организацию, может попросить клиента обратиться в свою очередь к обслуживающей организации с просьбой о предоставлении аудитору клиента доступа к необходимой информации.
При оценке риска системы контроля в отношении утверждений, на которые оказывают влияние системы контроля обслуживающей организации, аудитор клиента может использовать отчет аудитора обслуживающей организации, в котором выражено мнение по поводу эффективности систем бухгалтерского учета и внутреннего контроля обслуживающей организации в отношении используемых прикладных программ, имеющих значение для аудита. Аудитор также может получить доказательства путем тестирования средств контроля клиента за деятельностью обслуживающей организации, посещения обслуживающей организации и проведения тестов средств контроля.
Данный стандарт содержит также рубрику «Отчеты (заключения) аудитора обслуживающей организации», согласно которой аудитор клиента в случае использования отчета аудитора обслуживающей организации должен рассмотреть характер и содержание такого отчета (заключения).
Как правило, отчеты аудитора обслуживающей организации бывают двух типов:
- заключение о пригодности структуры, которое включает в себя:
- описание систем бухгалтерского учета и внутреннего контроля обслуживающей организации, обычно составляемое руководством обслуживающей организации,
- мнение аудитора обслуживающей организации, подтверждающее точность этого описания, применение систем контроля, пригодность систем бухгалтерского учета и внутреннего контроля для достижения поставленных перед ними целей;
- заключение о пригодности структуры и эффективности функционирования. В его структуру входят:
- описание систем бухгалтерского учета и внутреннего контроля обслуживающей организации,
- мнение аудитора обслуживающей организации, подтверждающее точность этого описания, применение систем контроля, пригодность систем бухгалтерского учета и внутреннего контроля для достижения поставленных перед ними целей, эффективность систем бухгалтерского учета и внутреннего контроля (на основе результатов теста контроля). В дополнение к мнению по поводу эффективности аудитору обслуживающей организации нужно указать, какие тесты контроля были осуществлены и каковы их результаты.
Аудитор клиента должен проанализировать объем работ, выпол-ненных аудитором обслуживающей организации, атакже оценить пригодность и уместность отчетов, составленных аудитором обслуживающей организации.
Аудитору клиента не следует в качестве основы для снижения оценки риска системы внутреннего контроля использовать заключение первого типа. Для этого более подходит заключение второго типа. Если заключение второго типа используется в качестве доказательства, подтверждающего более низкую оценкуриска системы контроля, аудитору клиента следует определить, имеют ли средства контроля, проверенные аудитором обслуживающей организации, отношение к операциям клиента (существенным предпосылкам подготовки финансовой отчетности клиента), а также адекватны ли выполненные аудитором обслуживающей организации тесты средств контроля и их результаты. В последнем случае двумя основными вопросами, требующими рассмотрения, являются длительность периода, охватываемого тестами аудитора обслуживающей организации, и время, прошедшее с момента выполнения этих тестов.
В отношении конкретных тестов контроля и результатов, имеющих отношение к аудиту, аудитору клиента необходимо проанализировать, насколько характер, сроки проведения и объем таких тестов способствуют получению достаточных и уместных аудиторских доказательств относительно эффективности систем бухгалтерского учета и внутреннего контроля с целью подтверждения сделанной аудитором клиента оценки риска средств контроля.
Аудитор обслуживающей организации может быть привлечен к выполнению процедур проверки по существу, которые используются аудитором клиента, в том числе процедур, согласованных клиентом и его аудитором, а также обслуживающей организацией и ее аудитором.
Если аудитор клиента использует отчет аудитора обслуживающей организации, в своем заключении ему не следует ссылаться на отчет аудитора обслуживающей организации.
Российским законодательством по бухгалтерскому учету предусматривается возможность передачи ведения бухгалтерского учета централизованной бухгалтерии или специализированной организации. Тем не менее крупные российские экономические субъекты, отвечающие критериям обязательного аудита (акционерные общества, предприятия со значительным объемом выручки, большой стоимостью активов ипр.), как правило, не считают возможным отдавать свой учет на откуп сторонней организации, а имеютглавного бухгалтера, а то и бухгалтерию. Поэтому разработка российского документа, касающегося аудита субъектов, пользующихся услугами специализированных организаций, была отложена российскими разработчиками на более позднее время.