Изучение и оценка системы внутреннего контроля в ходе аудита
В ходе аудиторской проверки аудитор обязан разобраться в СВК, на основе которой он собирается определить суть, масштаб и временные затраты предполагаемых аудиторских процедур.
Согласно Правилу (стандарту) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» система внутреннего контроля (СВК) - это процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности субъекта нормативным правовым актам.
Аудитор проводит проверку СВК в отношении организации системы бухгалтерского учета субъекта в целях установления:
1) существования операций (отраженные в записях операции действительно совершены);
2) санкционирования (разрешение на проведение операций выдавалось уполномоченным на то лицом);
3) полноты записей (в записях отражены все проведенные операции);
4) оценки (операции правильно оценены);
5) классификации (операции правильно классифицированы);
6) правильной периодизации (операции отнесены к периоду, в котором действительно были проведены);
7) правильного переноса и подсчета (в отношении операций сделаны правильные записи в книгах аналитического учета, итоговая сумма правильно подсчитана).
Аудитору необходимо ознакомиться с 6 другими основными факторами, составляющими СВК:
1) стилем руководства в данной организации;
2) организационной структурой управления;
3) методами изложения прав и обязанностей и доведением их до служащих;
4) методами контроля, используемыми руководством, в том числе системой внутреннего планирования;
5) функциями внутреннего аудита;
6) кадровой политикой и практикой.
Если в результате проверки СВК на стадии планирования внешний аудитор установит ее эффективность, он может в достаточной степени доверять информации клиента, следовательно, сократить объем аудиторской работы.
Тесты средств контроля СВК, выполняемые аудиторами:
1) запросы в адрес руководства или других сотрудников аудируемого лица;
2) аналитические процедуры;
3) наблюдение (наблюдение за применением средств внутреннего контроля, которые не фиксируются документально, с целью определения действительного исполнителя каждой функции, а не того, кому положено ее выполнять);
4) инспектирование (проверка документов, подтверждающих операции и другие события, в целях получения аудиторских доказательств относительно надлежащего применения средств внутреннего контроля на практике);
5) прочие процедуры (повторное применение средств внутреннего контроля, таких как сверка банковских счетов с тем, чтобы удостовериться в правильном их ведении учета субъектом).
Тесты средств контроля выполняют для получения аудиторских доказательств относительно эффективности:
1) структуры системы бухгалтерского учета и других элементов СВК, то есть того, насколько хорошо они организованы с точки зрения предотвращения или обнаружения и исправления существенных искажений финансовой отчетности;
2) применения средств внутреннего контроля в течение рассматриваемого периода.
Аудитор исследует все составляющие СВК (контрольную среду, процесс оценки рисков аудируемым лицом, информационную систему, контрольные действия и мониторинг средств контроля – оценка эффективности функционирования средств контроля).
Изучение и оценка особенностей СВК клиента должны в обязательном порядке документироваться аудиторскими организациями ходе аудиторской проверки. В рабочих документах аудита аудитору необходимо:
1) изложить обсуждение участниками аудиторской группы подверженности финансовой отчетности клиента существенным искажениям вследствие ошибок или недобросовестных действий, а также принятые существенные решения;
2) дать наиболее важную информацию относительно каждого из аспектов деятельности клиента и среды, в которой она осуществляется, включая информацию о каждом элементе СВК;
3) указать источники информации, с помощью которой было достигнуто понимание деятельности клиента и среды, в которой она осуществляется;
4) назвать процедуры оценки рисков;
5) отметить выявленные и оцененные риски существенного искажения на уровне финансовой отчетности в целом и на уровне конкретных предпосылок подготовки финансовой отчетности;
6) указать выявленные значимые риски и связанные с ними средства контроля (важный судебный процесс).
Существуют разные методы документирования полученной аудитором информации: повествовательное описание, вопросники, проверочные списки, блок-схемы.
Выбор конкретного метода - предмет аудиторского суждения.
По результатам тестирования и их оценке аудитор делает вывод о качестве СВК аудируемого лица: высоком, среднем или низком.
Оценка аудиторского риска
Еще одним элементом деятельности аудитора при планировании аудиторской проверки является оценка аудиторского риска.
Аудиторский риск – это вероятность того, что бухгалтерская отчетность экономического субъекта может содержать не выявленные существенные ошибки или искажения после подтверждения ее достоверности или, что она содержит существенные искажения, когда на самом деле таких искажений в бухгалтерской отчетности нет.
Аудиторский риск включает в себя 3 основных компонента:
1) неотъемлемый риск (внутрихозяйственный риск);
2) риск средств контроля;
3) риск необнаружения ошибок и искажений финансовой отчетности.
Существуют 2 основных метода оценки аудиторского риска:
1) интуитивный;
2) количественный.
Интуитивный метод заключается в том, что аудиторы исходя из собственного опыта и знания клиента определяют риск на основе анализа данных бухгалтерского учета и финансовой отчетности в целом или отдельных групп операций как высокий, вероятный и маловероятный и используют эту оценку в планировании аудита.
Количественный метод заключается в том, что величина аудиторского риска определяется как произведение отдельных ее составляющих, установленных аудитором на стадии планирования, по формуле:
АР = BP * РК * РН,
где: АР - аудиторский риск, %;
BP - неотъемлемый (внутрихозяйственный) риск, %;
РК - риск средств контроля, %;
РН - риск необнаружения, %.
Расширенным вариантом предыдущей формулы является формула:
АР = BP * РК * РН * РВ,
где: РВ - риск аудиторской выборки, %.
Аудиторский риск (АР)показывает серьезность опасности того, что аудитор на основе выполненных им процедур может составить неправильное суждение о достоверности и правильности финансовой отчетности.
Нулевой риск будет означать абсолютную уверенность в достоверности информации, а 100%-ный - полное отсутствие таковой. На практике аудитор не может гарантировать полную уверенность в прозрачности внешней отчетности, поэтому АР всегда находится между 0 и 100%.
Чем ниже величина желаемого риска для аудитора, тем больше он хочет быть уверенным в том, что внешняя отчетность не содержит существенных ошибок и пропусков. Между желаемым АР и планируемой информационной базой для проведения аудита существует обратная зависимость: чем меньше аудиторский риск, тем больший объем информации необходимо привлечь для тестирования.
Неотъемлемый (внутрихозяйственный) риск (BP) выражает вероятность существования ошибки, превышающей допустимую величину, до проверки СВК.
Даже при условии «положительного баланса» российский аудитор обычно устанавливает BP на уровне 50% и выше. Если же выявлено их отрицательное влияние, то BP приближается к 100%.
Риск средств контроля (РК) – выражает вероятность того, что существенная ошибка, превышающая допустимую величину, не будет ни предотвращена, ни обнаружена в системе внутрихозяйственного контроля.
Риск средств контроля показывает опасность того, что СВК не предотвратит или не выявит имеющихся ошибок. Чем эффективнее СВК, тем ниже фактор ее риска. Между РК и информационной базой аудита существует прямая зависимость. Если внутрихозяйственный контроль клиента аудитор признал эффективным, то объемы информации для тестирования можно уменьшить.
Риск нёобнаружения ошибок и искажений финансовой отчетности (РН) выражает вероятность того, что применяемые аудиторские процедуры и подлежащие сбору доказательства не позволят обнаружить ошибки, превышающие допустимую величину. Этот показатель качества работы аудитора в большей мере зависит от уровня его квалификации и стажа работы, нежели от специфичности деятельности клиента.
Между риском необнаружения и информационной базой аудита существует обратная зависимость: уменьшение РН приводит к необходимости увеличения объемов данных для тестирования. Логика проста: если аудитор хочет быть уверенным в своей работе, он устанавливает низкую величину РН и привлекает большие объемы разнообразной информации о клиенте.
Риск аудиторской выборки (РВ) – это величина опасности того, что выборка операций для проведения процедуры проверки по существу не отразит существования ошибок в учете. Эта величина зависит от ошибки в выборке величины доверительного интервала (например, каждый второй документ).
АР как важный элемент планирования аудита представляет собой синтетическую величину, изменяющуюся под воздействием трех основных видов риска. Взаимосвязь компонентов аудиторского риска представлена в таблице 6.
Таблица 6 – Взаимосвязь компонентов аудиторского риска
Аудиторская организация оценивает риск средств контроля как | |||||
высокий | средний | низкий | |||
При этом уровень риска необнаружения, который можно допускать, будет | |||||
Аудиторская организация оценивает неотъемлемый риск как | высокий | наинизшим | низким | средним | |
средний | низким | средним | высоким | ||
низкий | средним | выше | наивысшим |
Первые 2 члена математической модели – условно статические, т. е. не зависят от воли и желания аудитора. На величину 3-его и 4-ого членов модели аудитор может оказать влияние, и они являются условно динамическими. Уменьшить АР можно, снизив РН и РВ. Уменьшение РН достигается привлечением более квалифицированных и опытных аудиторов. Уменьшение РВ достигается путем сокращения доверительного интервала выборки.
Подготовка и составление общего плана аудита
Планированию аудита - это формирование аудитором стратегии и тактики аудита.
Начиная разработку общего плана и программы аудита, аудиторская фирма должна основываться на предварительных знаниях об экономическом субъекте, а также на результатах проведенных аналитических процедур, т. е. аудиторская фирма сначала оценивает риск СВК клиента, устанавливает приемлемые для нее уровень существенности и аудиторский риск, позволяющие считать бухгалтерскую отчетность достоверной. Потом с помощью данных об установленном риске и уровне существенности аудиторская фирма выявляет значимые для аудита области и переходит к составлению общего плана и выработке необходимых аудиторских процедур.
Общий план аудита – это логическое описание предполагаемого объема и характера проведения аудита, особенностей экономического субъекта и специфики предполагаемой аудиторской проверки и используемых в процессе аудита методов и технических приемов.
Общий план должен служить руководством в осуществлении программы аудита.
В общем плане аудиторская фирма должна предусмотреть сроки и составить график проведения аудита, подготовки отчета и аудиторского заключения.
В процессе планирования затрат времени аудитору необходимо учитывать: реальные трудозатраты, расчет затрат времени при предыдущей аудиторской проверке и его связь с текущим расчетом, уровень существенности, проведенные оценки рисков аудита.
Принимая решение о выборочном аудите, аудитор формирует аудиторскую выборку в соответствии с Правилом (стандартом) № 16 «Аудиторская выборка».
Составной частью общего плана аудита являются положения по планированию управления и контроля качества выполняемого аудита.
В общем плане рекомендуется предусмотреть:
1) формирование аудиторской группы, численность и квалификацию аудиторов, привлекаемых к аудиту;
2) распределение аудиторов в соответствии с их профессиональными качествами и должностным уровнем по конкретным участкам аудита;
3) инструктирование всех членов команды об их обязанностях, их ознакомление с положениями общего плана аудита;
4) необходимость привлечения экспертов в процессе аудита;
5) другие стратегические вопросы.
Для особенно крупных участков аудита можно предусмотреть конкретизацию плана аудита.