Geum.ru

А. А. Международные стандарты аудита: Учебно-практическое пособие

Вид материалаУчебно-практическое пособие

Содержание


4.2. Оценка рисков и система внутреннего контроля
Подобный материал:
1   ...   6   7   8   9   10   11   12   13   ...   34

4.2. Оценка рисков и система внутреннего контроля


Аудиторская деятельность, как правило, сопряжена с целым рядом неопределенностей, которые часто оказывают влияние на достижение ее целевых установок. В аудиторской практике эти неопределенности обычно называют рисками.

В настоящее время практически отсутствуют сомнения как среди западных, так и среди отечественных ученых [12, 13, 14] в том, что принятие заинтересованными пользователями бухгалтерской (финансовой) отчетности любых экономических решений сопряжено с так называемым информационным риском, возникающим, как правило, из-за отдельных неопределенностей, связанных с теми или иными ограничениями. Последние влияют на информационные потоки, на основе которых принимаются решения.

Эти ограничения следующие. Во-первых, сама бухгалтерская (финансовая) информация относительно трудно воспринимается неквалифицированными пользователями из-за специфики ее формирования. При этом чаще всего учетную информацию формируют с целью достижения какого-либо эффекта. Иными словами, информационный поток не совсем нейтрален, а значит, и не совсем надежен.

Во-вторых, любая учетная информация, а следовательно, и ее результативные показатели подвержены влиянию как человеческого фактора, являющегося предметом отдельных исследований, так и неточностей, свойственных несовершенству самой системы бухгалтерского учета. Это не позволяет ей быть настолько достоверной, как следовало бы ожидать.

В-третьих, значительное влияние на принятие эффективных управленческих решений оказывает проблема существенности учетной информации (см. параграф 4.1). В настоящее время не установлен единый критерий, позволяющий однозначно оценить степень существенности учетной информации как самими составителями, так и заинтересованными пользователями, непосредственно принимающими экономические решения.

Несмотря на то что система бухгалтерского учета постоянно совершенствуется, ее прямые функции в силу вышеуказанных причин, а также постоянно меняющейся нормативной базы не позволяют в достаточной мере сформировать достоверную, отражающую объективные финансово-хозяйственные процессы бухгалтерскую (финансовую) информацию.

Аудиторы всегда преследуют две основные цели:

■ оценить условия возникновения и снижение информационного риска до приемлемого уровня;

■ оценить и снизить до приемлемого уровня аудиторский риск.

Возможность одновременного достижения этих целевых установок, как правило, сопряжена с рядом трудностей и ограничений, которые обусловлены в первую очередь различными взглядами на данную проблему со стороны аудируемого экономического субъекта и аудиторской организации, осуществляющей аудит этого субъекта.

Теоретические и практические исследования известных зарубежных ученых в области аудита [1, 2, 3, 4, 5 и др.] подтверждают, что проблема действительно существует и находится на стыке интересов названных структур.

В то же время оценка величины и значимости того или иного риска, а также поиск подходов к их снижению при выполнении различных аудиторских заданий являются первостепенной задачей аудиторов, а не системы управления аудируемого экономического субъекта.

Аудитор не может быть абсолютно уверен в том, что в информационных потоках, подвергаемых аудированию, не содержатся различные по своему характеру искажения.

Анализ исследований в данной области [1, 2, 3, 4, 5, 13] свидетельствует: совокупный риск, который обычно называют аудиторским риском, нельзя свести к нулю. Поэтому задача состоит лишь в том, чтобы, по возможности, понизить его до наиболее приемлемого минимума, позволяющего получать относительно достоверные и оптимальные результаты.

Согласно сложившейся аудиторской практике аудиторский риск состоит из трех основных компонентов:

■ неотъемлемый риск;

■ риск системы контроля;

■ риск необнаружения.

Каждый из перечисленных рисков обусловлен совокупным влиянием целого ряда факторов, которые несут в себе различную сте-

51

пень неопределенности, что не дает возможности в каждом конкретном случае дать однозначные ответы по поводу степени их влияния как на перечисленные выше частные риски, так и на аудиторский риск в целом.

В этой связи аудитор начиная с этапа планирования, а также на всем протяжении своей деятельности должен осуществлять сбор и анализ информации о возможных факторах, которые оказывают как прямое, так и косвенное влияние на общий аудиторский риск.

Первоначальное, полученное на этапе планирования суждение о частных рисках, составляющих совокупный аудиторский риск, в большей степени подвержено профессиональному субъективизму, нежели уточненные данные, получаемые в ходе выполнения аудиторских заданий.

В этой связи МСА 400 «Оценка рисков и внутренний контроль» установил единые требования и рекомендации по вопросам, связанным с получением аудитором знаний о системах бухгалтерского учета и внутреннего контроля, а также об аудиторском риске, состоящем из совокупности вышеуказанных частных рисков.

Стандарт требует, чтобы еше на начальной стадии планирования аудита аудитор получил достаточные знания о системах бухгалтерского учета и внутреннего контроля экономического субъекта. Кроме того, на данном этапе он должен применить свой профессионализм для оценки аудиторского риска и разработки определенных аудиторских процедур, позволяющих понизить этот риск до наиболее приемлемого уровня.

Под аудиторским риском для целей настоящего стандарта понимается риск возможного выражения аудитором несоответствующего мнения при наличии в бухгалтерской (финансовой) отчетности существенных искажений.

Как было указано выше, аудиторский риск включает в себя три основных компонента: неотъемлемый риск, риск средств контроля и риск необнаружения.

Неотъемлемым риском признается возможность искажений как сальдо счетов, так и соответствующих им классов операций, которые могут быть существенными как по отдельности, так и в совокупности с возможными искажениями других сальдо счетов или классов операций в случае отсутствия надлежащих средств внутреннего контроля.

Поя риском средств контроля понимается риск того, что искажения сальдо счета или класса операций, являясь достаточно cyщественными как по отдельности, так и в совокупности с другими сальдо счетов или классами операций, не будут своевременно предотвращены, выявлены или исправлены посредством систем бухгалтерского учета и внутреннего контроля экономического субъекта.

Риском необнаружения считается риск того, что аудиторские процедуры, применяемые при проверке по существу, не будут в достаточной мере способствовать обнаружению существенных искажений как в сальдо счетов, так и классах операций.

И наконец, под системой внутреннего контроля понимаются политика или определенные процедуры (средства внутреннего контроля), которые руководство экономического субъекта применяет для целей наиболее эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, предотвращения и обнаружения фактов мошенничества и ошибок, соблюдения точности и полноты бухгалтерских записей и своевременного формирования относительно достоверной бухгалтерской (финансовой) отчетности.

Система внутреннего контроля распространяется далеко за рамки тех аспектов, которые охватывает система бухгалтерского учета, и включает:

■ контрольную среду, состоящую из общего отношения, осведомленности и действий руководства экономического субъекта по отношению ко всей системе внутреннего контроля, имеющей большое значение для экономического субъекта. При этом контрольная среда призвана оказывать определенное воздействие на эффективность контрольных процедур;

■ процедуры контроля, которые представляют собой политику и процедуры в совокупности с контрольной средой, разработанные руководством экономического субъекта для достижения конкретных целей данного субъекта.

Контрольную среду, как правило, определяют следующие факторы:

■ деятельность совета директоров и его комитетов;

■ философия руководства и стиль его работы;

■ организационная структура экономического субъекта, в частности применяемые приемы наделения полномочиями и ответственностью;

■ система контроля со стороны руководства, в том числе через систему внутреннего аудита, кадровую политику и разделение обязанностей.


53

К процедурам контроля МСА 400 относит:

■ отчеты, проверку и утверждение проведенных сверок;

■ проверку арифметической точности записей;

■ контроль над прикладными программами и средой компьютерных информационных систем;

■ ведение и проверку аналитических счетов и оборотных ведомостей;

■ контроль над документами и их утверждение;

■ сравнение внутренней информации с данными, полученными из внешних источников;

■ инвентаризацию;

■ ограничение доступа лиц к активам и записям;

■ сравнение и анализ результативных показателей финансово-хозяйственной деятельности с расходами, предусмотренными сметами.

Следует отметить, что аудитор при аудировании бухгалтерской (финансовой) отчетности должен уделять внимание лишь тем аспектам систем бухгалтерского учета и внутреннего контроля, которые непосредственно относятся к формированию данной отчетности.

Решение аудитором проблемы понимания систем бухгалтерского учета и внутреннего контроля экономического субъекта во взаимосвязи с оценкой неотъемлемого риска и риска системы контроля, а также осуществление анализа ряда дополнительных факторов позволяют ему:

■ определить виды возможных существенных искажений;

■ учесть факторы, влияющие на риск появления этих искажений;

■ разработать соответствующие аудиторские процедуры.

На стадии разработки общего плана аудита аудитор должен оценить неотъемлемый риск, опираясь лишь на данные бухгалтерской (финансовой) отчетности. При разработке программы аудита он сопоставляет вышеуказанную оценку с существенными сальдо счетов и классов операций или предполагает высокий уровень неотъемлемого риска.

Разрабатывая общий план аудита, аудитор формулирует профессиональное суждение по следующим направлениям:

■ честность руководства экономического субъекта;

■ опыт и компетентность руководства экономического субъекта;

■ необычное давление на руководство;

■ характер бизнеса экономического субъекта;

■ факторы, влияющие на отрасль.

На стадии разработки программы аудита аудитор должен подготовить профессиональное суждение:

■ по счетам бухгалтерской (финансовой) отчетности, в отношении которых существует вероятность искажений (счета, связанные со значительным объемом бухгалтерских расчетов);

■ сложным операциям или событиям, требующим привлечения экспертов;

■ субъективности суждений при определении сальдо счетов;

■ подверженности активов потерям или присвоению;

■ необычным или сложным операциям, особенно в конце отчетного периода;

■ операциям, которые невозможно обработать при помощи обычных процедур.

Аудитору следует также помнить, что существуют определенного рода ограничения, обусловленные системами бухгалтерского учета и внутреннего контроля, которые не позволяют представить руководству экономического субъекта исчерпывающие доказательства достижения целей.

К ним, как правило, относятся (наряду с вышеуказанными) ограничения, связанные:

■ с общепринятыми требованиями руководства экономического субъекта о понижении уровня затрат на внутренний контроль, т.е. чтобы они были ниже ожидаемых экономических выгод;

■ сосредоточением средств внутреннего контроля на текущих, а не на редких операциях;

■ человеческим фактором (субъективность суждений, ошибки, небрежность и пр.);

■ вероятностью обхода процедур внутреннего контроля посредством сговора как с внутренними, так и внешними лицами;

■ со злоупотреблениями полномочиями при осуществлении внутреннего контроля;

■ с возможностью снижения эффективности процедур внутреннего контроля при изменении тех или иных обстоятельств.

На характер, сроки и объем процедур получения знаний о системах бухгалтерского учета и внутреннего контроля оказывает влияние значительное число факторов:

■ размеры и сложность экономического субъекта и его компьютерной информационной системы;

■ соображения, связанные с понятием существенности;

■ средства внутреннего контроля;


55

■ характер отражения экономическим субъектом информации о конкретных средствах внутреннего контроля;

■ оценка аудитором неотъемлемого риска.

Опираясь на уже имеющиеся знания систем бухгалтерского учета и внутреннего контроля экономического субъекта, аудитор должен пополнить эти знания для наиболее полного и достаточного определения и понимания:

■ основных классов операций экономического субъекта;

■ значимых бухгалтерских записей, подтверждающих документов и счетов бухгалтерской (финансовой) отчетности;

■ всего процесса ведения бухгалтерского учета важных операций до момента их признания в бухгалтерской (финансовой) отчетности.

Кроме того, аудитор обязан определить степень отношения руководства экономического субъекта к средствам внутреннего контроля и их значимости для субъекта, т.е. получить представление о контрольной среде. Затем он должен произвести предварительную оценку риска системы контроля по каждому существенному сальдо счетов или класса операций.

Этот процесс представляет собой определение эффективности как системы бухгалтерского учета, так и системы внутреннего контроля экономического субъекта с целью предотвращения или обнаружения и исправления существенных искажений.

Риск системы контроля необходимо оценивать как высокий, если:

■ системы бухгалтерского учета и внутреннего контроля экономического субъекта неэффективны;

■ оценка эффективности систем бухгалтерского учета и внутреннего контроля нецелесообразна.

В случаях, когда аудитор способен определить средства контроля, которые с определенной долей вероятности могут предотвратить или обнаружить и исправить существенные искажения, а также если он планирует проводить тесты контроля подтверждения предварительной оценки, уровень риска системы контроля может быть понижен.

В рабочих документах аудита экономического субъекта аудитор должен отразить:

■ полученные сведения о системах бухгалтерского учета и внутреннего контроля;

■ оценку риска системы контроля.


56

При оценке риска системы контроля ниже высокого в рабочих документах следует отразить обоснование такого вывода. Чем ниже оценка риска системы контроля, тем более обоснованными должны быть выводы.

До завершения аудиторской проверки аудитор, опираясь на результаты аудиторских процедур и аудиторские доказательства, должен подтвердить или уточнить предварительную оценку риска системы контроля.

Важно также помнить, что руководство экономического субъекта, как правило, разрабатывает системы бухгалтерского учета и внут-реннсго контроля, направленные на предотвращение или обнаружение и исправление искажений. Данные мероприятия связаны главным образом с неотъемлемым риском, и аудитор должен учитывать это обстоятельство при оценке риска системы контроля и неотъемлемого риска. Только системный подход к оценке позволяет с наибольшей степенью точности определить уровень аудиторского риска. Риск необнаружения связан непосредственно с аудиторскими процедурами по существу. Как было отмечено ранее, оценка неотъемлемого риска и риска системы контроля оказывает влияние на характер, сроки и объем аудиторских процедур по существу, которые проводят с целью снижения риска необнаружения и совокупного аудиторского риска до приемлемо низкого уровня. Между риском необнаружения и совокупностью неотъемлемого риска и риска системы контроля существует обратная связь.

В то же время неотъемлемый риск и риск системы контроля как в совокупности, так и по отдельности не могут быть предельно низкими, что как бы вообще отрицает проведение каких-либо аудиторских процедур по существу. Даже при очень низком уровне этих рисков аудитор обязан провести ряд процедур по существу в отношении сальдо счетов и классов операций.

Следует также отметить, что аудиторская оценка всех рисков может меняться в ходе аудиторской проверки. Если аудитор установил, что риск необнаружения в части утверждения, на котором формируется бухгалтерская (финансовая) отчетность, применительно к существенным сальдо счетов или классам операций не может быть снижен до приемлемо низкого уровня, то ему необходимо выразить условно-положительное мнение или вообще отказаться от выражения какого-либо мнения.

Аудитор может определить, какие недостатки существуют в системах бухгалтерского учета и внутреннего контроля экономического субъекта, и в наиболее короткий срок сообщить о них руководству данного субъекта. Обычно такое сообщение имеет письменную форму.

Современное развитие технологий обработки информационных потоков связано с применением компьютеров различных моделей и мощности. В этой связи аудитор при аудите бухгалтерской (финансовой) отчетности обязан выработать и соблюдать определенные процедуры, учитывающие применение экономическим субъектом различных компьютерных информационных систем (КИС).

Исходя из вышеизложенного аудитору необходимо выявить, каким образом компьютерная система аудируемого экономического субъекта влияет на проведение аудита. Обращаясь к требованиям и рекомендациям Международного стандарта аудита 401 «Аудит в среде компьютерных информационных систем», аудитор должен учитывать, что объем аудита не меняется в среде КИС.

Однако применение компьютерных информационных систем вносит целый ряд изменений в сам процесс обработки, хранения и передачи бухгалтерской (финансовой) информации. Поэтому среда КИС может не только воздействовать на информационные потоки, но и оказывать существенное влияние:

■ на процедуры, применяемые аудитором для получения достаточного представления о существующих у аудируемого субъекта системах бухгалтерского учета и внутреннего контроля;

■ анализ и оценку неотъемлемого риска и системы внутреннего контроля;

■ разработку и применение тестов контроля и процедур проверки по существу, необходимых для достижения основной цели аудита.

Для проведения аудита в условиях применения экономическим субъектом компьютерных информационных систем аудитор должен обладать достаточными знаниями в этой области, что позволяет ему осуществлять на должном уровне планирование, координацию работ, контроль и проверку выполнения аудиторских заданий. При этом аудитор должен акцентировать внимание:

■ на системах бухгалтерского учета и внутреннего контроля, на которые оказывает влияние КИС;

■ определении степени влияния КИС и оценке общего аудиторского риска;

■ оценке риска на уровне сальдо счетов и классов операций;

■ разработке и проведении соответствующих тестов контроля и процедур проверки по существу.

В то же время нельзя требовать от аудитора знаний во всех областях, отличных от бухгалтерского учета и аудита. По этой причине он должен иметь возможность привлекать для соответствующей работы специалиста-эксперта, обладающего достаточной компетентностью в области компьютерных информационных систем.

Еще на этапе планирования аудиторской проверки необходимо выявить те аспекты функционирования КИС, которые могут существенно повлиять на аудиторские процедуры. С этой целью необходимо получить представление:

• о сложности компьютерной обработки в каждой прикладной бухгалтерской программе, применяемой экономическим субъектом;

• об организационной структуре КИС и степени ее концентрации или распределения в рамках экономического субъекта;

• о доступности данных.

Если компьютерная информационная система экономического субъекта играет значительную роль в обработке его информационных потоков, то аудитор обязан оценить ее влияние на неотъемлемый риск и риск системы контроля. При этом необходимо проанализировать характер риска и характеристики внутреннего контроля в отношении:

■ отсутствия промежуточных этапов обработки данных, которые не позволяют своевременно обнаружить ошибки в логике прикладной программы посредством ручных операций;

■ наличия единства обработки всех однотипных операций, что позволяет исключить возможность описок, присущих ручной обработке, но увеличивает вероятность возникновения ошибок программирования во всех результативных показателях;

■ отсутствия разделения функций обработки информации и контроля;

■ вероятности совершения ошибок под влиянием человеческого фактора;

■ возможности несанкционированного доступа к информации и ее изменения без очевидных доказательств;

■ снижения вероятности обнаружения ошибок из-за малой степени участия в процессе обработки информации сотрудников экономического субъекта;

■ зависимости средств контроля от КИС;

■ совершенствования и расширения аналитических возможностей средств контроля посредством КИС;

■ возможности применения компьютерного аудита.

Аудитор может применять методы ручной и компьютерной обработки данных. Кроме того, стандарт допускает применение комбинированной обработки с целью получения достаточных доказательств для выражения мнения аудитора.