Система внутреннего контроля
В соответствии со статьей 19 Федерального закона «О бухгалтерском учете» экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни, а экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности.
Аудитор должен изучить деятельность аудируемого лица и среду, в которой она осуществляется, включая систему внутреннего контроля, в объеме, достаточном для выявления и оценки рисков существенного искажения финансовой (бухгалтерской) отчетности, явившегося следствием ошибок или недобросовестных действий руководства и (или) работников аудируемого лица, а также достаточном для планирования и выполнения дальнейших аудиторских процедур. Об этом говорится в ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности».
Приобретение знаний о деятельности аудируемого лица и среде, в которой она осуществляется, включая систему внутреннего контроля, является непрерывным динамичным процессом сбора, обновления и анализа информации на всех стадиях аудита. Аудиторские процедуры, осуществляемые с целью приобретения знаний о деятельности аудируемого лица, относятся к процедурам оценки рисков, потому что определенная информация, полученная путем выполнения таких процедур, может быть использована аудитором в качестве аудиторских доказательств при оценке рисков существенного искажения финансовой (бухгалтерской) отчетности. Кроме того, выполняя процедуры оценки рисков, аудитор может получить аудиторские доказательства в отношении групп однотипных хозяйственных операций, остатков по счетам бухгалтерского учета и раскрытия информации и связанных с ними предпосылок подготовки финансовой (бухгалтерской) отчетности, а также об операционной эффективности средств контроля, даже если такие аудиторские процедуры не были специально запланированы в качестве процедур проверки по существу или тестов средств контроля. Аудитор имеет право также запланировать выполнение процедур проверки по существу или тестов средств контроля параллельно с процедурами оценки рисков, если посчитает такой подход эффективным.
Аудитор должен выполнять следующие процедуры оценки рисков в целях ознакомления с деятельностью аудируемого лица и со средой, в которой она осуществляется, включая систему внутреннего контроля:
- запросы в адрес руководства или других сотрудников аудируемого лица;
- аналитические процедуры;
- наблюдение и инспектирование (подробнее в ФПСАД № 8).
Система внутреннего контроля (СВК) представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Это означает, что организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению любой из этих целей.
В соответствии со стандартом СВК включает следующие элементы:
1 контрольная среда;
2 процесс оценки рисков аудируемым лицом;
3 информационная система, в том числе связанная с подготовкой финансовой (бухгалтерской) отчетности;
4 контрольные действия;
5 мониторинг средств контроля.
Контрольная среда включает позицию, осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля аудируемого лица, а также понимание значения такой системы для деятельности аудируемого лица.
Контрольная среда аудируемого лица оказывает влияние на сознательность сотрудников в отношении контроля. Она является основой для эффективной системы внутреннего контроля, обеспечивающей поддержание дисциплины и порядка.
Контрольная среда включает следующие элементы:
а) доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей.
б) профессионализм (компетентность сотрудников).
в) участие собственника или его представителей.
г) компетентность и стиль работы руководства.
д) организационная структура
е) наделение ответственностью и полномочиями.
ж) кадровая политика и практика.
Оценка рисков аудируемым лицом представляет собой процесс выявления и, по возможности, устранения рисков хозяйственной деятельности, а также их возможных последствий. Риски, имеющие отношение к финансовой (бухгалтерской) отчетности, могут быть связаны как с внешними, так и с внутренними событиями и обстоятельствами, которые могут возникнуть и отрицательным образом повлиять на способность аудируемого лица инициировать, отражать в учете, обрабатывать и включать в отчетность данные, соответствующие предпосылкам подготовки финансовой (бухгалтерской) отчетности. При выявлении возможных рисков руководство рассматривает степень их важности, вероятность их возникновения и способы управления ими. Риски могут возникать или изменяться вследствие следующих обстоятельств:
а) изменения в окружении аудируемого лица;
б) новый персонал;
в) внедрение новых или изменение уже применяемых информационных систем;
г) быстрый рост и развитие аудируемого лица;
д) новые технологии;
е) новые подходы к ведению хозяйственной деятельности, новые виды товаров, работ, услуг;
ж) реорганизация аудируемого лица;
з) расширение операций за рубежом;
и) новые принципы, стандарты, положения, инструкции в области ведения бухгалтерского учета и подготовки отчетности.
Информационные системы, связанные с подготовкой финансовой (бухгалтерской) отчетности, состоят из процедур:
а) инициирования;
б) отражения (регистрации) в учете;
в) обработки данных и ведения учета соответствующих активов, обязательств и капитала;
г) включения в отчетность информации об операциях аудируемого лица, а также о событиях и условиях.
Функционирование информационных систем обеспечивается методами и способами учета, которые выполняют следующие функции:
а) идентифицируют и регистрируют все правомерные операции;
б) своевременно и достаточно подробно фиксируют операции, что позволяет надлежащим образом классифицировать операции для дальнейшего включения в финансовую (бухгалтерскую) отчетность;
в) осуществляют оценку объектов учета так, чтобы соответствующая информация могла быть включена в финансовую (бухгалтерскую) отчетность в надлежащем суммовом выражении;
г) определяют период времени, в котором имели место операции, что позволяет отнести их в учете к соответствующему отчетному периоду;
д) представляют надлежащим образом операции и относящиеся к ним случаи раскрытия информации в финансовой (бухгалтерской) отчетности.
Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются, например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей аудируемого лица. Контрольные действия, которые могут иметь отношение к целям аудита, могут быть сгруппированы по следующим категориям методов и процедур:
а) проверка выполнения.
б) обработка информации.
в) проверка наличия и состояния объектов.
г) разделение обязанностей.
Мониторинг средств контроля включает наблюдение за тем, функционируют ли они и были ли они изменены надлежащим образом в случае необходимости, и может включать такие мероприятия, как наблюдение руководства за тем, своевременно ли подготавливаются выверки расчетов с банками, оценка внутренними аудиторами соответствия действий персонала, занимающегося продажами, политике аудируемого лица в отношении определенных условий договоров с покупателями, осуществление надзора за соответствием действий персонала политике аудируемого лица в области этики или деловой практики.
Мониторинг средств контроля представляет собой процесс оценки эффективного функционирования системы внутреннего контроля во времени. Он включает регулярную оценку организации и применения средств контроля, а также осуществление необходимых корректирующих мероприятий в отношении средств контроля вследствие изменения условий деятельности. Мониторинг осуществляется с целью обеспечения непрерывной эффективной работы средств контроля.
Аудитору необходимо получить представление о системах бухгалтерского учета и внутреннего контроля аудируемого лица, достаточное для выражения квалифицированного мнения о достоверности данных отчетности. Чем эффективнее система внутреннего контроля аудируемого лица, тем меньше вероятность ошибок в бухгалтерском учете и бухгалтерской (финансовой) отчетности.
Оценивать систему внутреннего контроля можно также по классической формуле, предложенной американским экономистом Робертом Монтгомери как элемент метода аудита. СВК включает совокупность следующих элементов:
1) контрольной среды;
2) системы бухгалтерского учета;
3) средств контроля в системе бухгалтерского учета.
Под контрольной средой понимаются осведомленность и действия руководства аудируемого лица, направленные на установление и поддержание системы внутреннего контроля, а также понимание важности такой системы.
Под системой бухгалтерского учета понимают упорядоченную систему сбора, регистрации и обобщения информации в денежном выражении об имуществе и обязательствах организаций и их движении путем сплошного, непрерывного и документального учета всех хозяйственных операций.
Под средствами контроляпонимаются конкретные процедуры, установленные руководством осуществляемые сотрудниками экономического субъекта на отдельных направлениях и участках его хозяйственной деятельности для обеспечения эффективного и надежного управления.
Оценка каждого элемента производиться посредством тестирования. Под тестами средств внутреннего контроля понимаются действия аудитора, проводимые с целью получения аудиторских доказательств в отношении надлежащей организации и эффективности функционирования систем бухгалтерского учета и внутреннего контроля.
Стандарты аудита относят содержание тестов оценки СВК к профессиональному суждению аудитора и знания о структуре СВК необходимы аудитору именно для их разработки. Целесообразно оценивать СВК исходя из объективных данных бухгалтерской (финансовой) отчетности, учетной политики организации, а так же материалов инвентаризации, т.е. надлежащих аудиторских доказательств, которые могут быть представлены на этом этапе аудируемым лицом.
Оценка СВК производится в 3 этапа.
На первом производится исследование контрольной среды, которое осуществляется исходя из необходимости во внутреннем аудите, фактическом существовании специальных подразделений, осуществляющих внутренний контроль, а также из показателей уровня корпоративной культуры.
Оценка системы бухгалтерского учета основана на оценке адекватности учетной политики и ее соответствия показателям бухгалтерской финансовой отчетности.
Оценка процедур контроля основана на исследовании порядка проведения инвентаризации имущества и финансовых обязательств и может быть скорректирована посредством сбора аудиторских доказательств о проведении дополнительных процедур (например – ревизии, внутреннего аудита).
Процедуры контроля — это составные части системы внутреннего контроля, установленные руководством организации на отдельных направлениях и участках хозяйственной деятельности для обеспечения эффективного и надежного управления ею. К процедурам контроля, принятым руководством аудируемого лица, относятся:
подотчетность одних работников другим;
внутренние проверки и сверки данных по вопросам финансово- хозяйственной деятельности;
сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями (т.е. проведение инвентаризации);
сравнение данных, полученных из внутренних источников, с данными внешних источников информации;
проверка аналитических счетов и оборотных ведомостей и арифметической точности записей;
осуществление контроля за прикладными программами и компьютерными информационными системами;
ограничение доступа к активам и записям;
сравнение и анализ финансовых результатов с плановыми показателями.
Аудитор должен выявить и оценить риски существенного искажения на уровне финансовой (бухгалтерской) отчетности в целом и на уровне конкретных предпосылок подготовки финансовой (бухгалтерской) отчетности для групп однотипных операций, остатков по счетам бухгалтерского учета и случаев раскрытия информации в финансовой (бухгалтерской) отчетности. Для этой цели аудитор:
а) выявляет риски в процессе ознакомления с деятельностью аудируемого лица и его средой, включая средства контроля, относящиеся к этим рискам, а также с группами однотипных операций, остатками по счетам бухгалтерского учета и случаями раскрытия информации в финансовой (бухгалтерской) отчетности;
б) устанавливает соответствие между выявленными рисками и тем, какая информация может быть искажена на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности;
в) рассматривает, не являются ли риски столь большими, чтобы привести к существенному искажению финансовой (бухгалтерской) отчетности.
Аудитор использует в качестве аудиторских доказательств для оценки рисков информацию, собранную при выполнении процедур оценки рисков, включая аудиторские доказательства, полученные при исследовании организации средств контроля и определении того, применялись ли они. Аудитор использует оценку рисков для определения характера, сроков и объема аудиторских процедур, которые следует выполнить в дальнейшем.
СУЩЕСТВЕННОСТЬ В АУДИТЕ
Аудиторская организация и индивидуальный аудитор в процессе проведения аудита обязаны оценивать существенность и ее взаимосвязь с аудиторским риском. Существенность в аудите рассматривается в соответствии с ФПСАД № 4.
Информация об отдельных активах, обязательствах, доходах, расходах и хозяйственных операциях, а также составляющих капитала считается существенной, если ее пропуск или искажение может повлиять на экономические решения пользователей, принятые на основе финансовой (бухгалтерской) отчетности. Существенность зависит от величины показателя финансовой (бухгалтерской) отчетности и/или ошибки, оцениваемых в случае их отсутствия или искажения.
Аудитор оценивает то, что является существенным, по своему профессиональному суждению. При разработке плана аудита аудитор устанавливает приемлемый уровень существенности с целью выявления существенных (с количественной точки зрения) искажений. Тем не менее, как значение (количество), так и характер (качество) искажений должны приниматься во внимание. Примерами качественных искажений являются:
- недостаточное или неадекватное описание учетной политики, когда существует вероятность того, что пользователь финансовой (бухгалтерской) отчетности будет введен в заблуждение таким описанием;
- отсутствие раскрытия информации о нарушении нормативных требований в случае, когда существует вероятность того, что последующее применение санкций сможет оказать значительное влияние на результаты деятельности аудируемого лица.
Аудитор рассматривает существенность как на уровне финансовой (бухгалтерской) отчетности в целом, так и в отношении остатков по отдельным счетам бухгалтерского учета, групп однотипных операций и случаев раскрытия информации. На существенность могут оказывать влияние нормативные правовые акты Российской Федерации, а также факторы, имеющие отношение к отдельным счетам бухгалтерского учета финансовой (бухгалтерской) отчетности и взаимосвязям между ними. В зависимости от рассматриваемого аспекта финансовой (бухгалтерской) отчетности возможны различные уровни существенности.
Под уровнем существенности понимается то предельное значение ошибки бухгалтерской отчетности, начиная с которой квалифицированный пользователь этой отчетности с большей степенью вероятности перестанет быть в состоянии делать на ее основе правильные выводы и принимать правильные экономические решения.
Аудитору следует принимать во внимание существенность при:
- определении характера, сроков проведения и объема аудиторских процедур;
- оценке последствий искажений.
Аудиторские организации и аудиторы могут установить систему базовых показателей бухгалтерской отчетности, а также порядок нахождения на их основе уровня существенности, оформив все документально в форме внутреннего стандарта.
В практике аудита применяются различные способы расчета приемлемого уровня существенности. Например, в рекомендациях российского правила (стандарта) «Существенность и аудиторский риск», при расчете уровня существенности берутся базовые показатели бухгалтерской отчетности и их доли в % (таблица 3).
Таблица 3 – Базовые показатели для расчета уровня существенности
Наименование базового показателя | Значение базового показателя бухгалтерской отчетности | Доля, % | Значение, используемое для нахождения уровня существенности |
А | 3=1*2 | ||
Нераспределенная прибыль (или чистая, или прибыль до налогообложения) | |||
Валовой объем реализации без НДС | |||
Валюта баланса | |||
Собственный капитал | |||
Общие затраты предприятия |
По столбцу 3 рассчитывается среднее значение уровня существенности, при этом показатели сильно отклоняющиеся (более 20%) от остальных не учитываются. Среднее значение также можно округлить в пределах 20%.
Между существенностью и аудиторским риском существует обратная зависимость, то есть чем выше уровень существенности, тем ниже уровень аудиторского риска, и наоборот. Обратная зависимость между существенностью и аудиторским риском принимается во внимание аудитором при определении характера, сроков проведения и объема аудиторских процедур.
При оценке достоверности финансовой (бухгалтерской) отчетности аудитору следует определить, является ли совокупность неисправленных искажений, выявленных в ходе аудита, существенной. Если аудитор приходит к выводу о том, что искажения могут оказаться существенными, ему необходимо снизить аудиторский риск посредством проведения дополнительных аудиторских процедур или потребовать от руководства аудируемого лица внесения поправок в финансовую (бухгалтерскую) отчетность. Руководство вправе внести поправки в финансовую (бухгалтерскую) отчетность с учетом выявленных искажений.
АУДИТОРСКИЙ РИСК
В ФПСАД № 8 аудиторский риск рассматривается как основная характеристика качества проведения аудиторских проверок. Под аудиторским риском понимается вероятность выражения аудитором ошибочного аудиторского мнения в случае, когда в финансовой (бухгалтерской) отчетности содержатся существенные искажения.
Мультипликативная модель аудиторского риска представлена следующей формулой:
АР = НР х РСК х РН,
где: АР – аудиторский риск, НР – неотъемлемый риск, РСК - риск средств контроля, РН - риск необнаружения.
Под неотъемлемым риском понимается подверженность остатка средств на счетах бухгалтерского учета или группы однотипных операций искажениям, которые могут быть существенными (по отдельности или в совокупности с искажениями остатков средств на других счетах бухгалтерского учета или групп однотипных операций), при допущении отсутствия необходимых средств внутреннего контроля.
Под риском средств контроля понимается вероятность того, что искажение, которое может иметь место в отношении остатка средств по счетам бухгалтерского учета или группы однотипных операций и быть существенным (по отдельности или в совокупности с искажениями остатков средств по другим счетам бухгалтерского учета или групп однотипных операций), не будет своевременно предотвращено или обнаружено и исправлено с помощью систем бухгалтерского учета и внутреннего контроля.
Под риском необнаружения понимается вероятность того, что аудиторские процедуры по существу не позволяют обнаружить искажение остатков средств по счетам бухгалтерского учета или групп операций, которое может быть существенным по отдельности или в совокупности с искажениями остатков средств по другим счетам бухгалтерского учета или группы операций.
В соответствии с формулой полной вероятности риски будут рассчитываться как разница между 1 (полной вероятностью) и оценкой соответствующего элемента СВК.
При этом неотъемлемый риск оценивается исходя из данных оценки среды контроля, риск средств контроля – исходя из оценки системы бухгалтерского учета, а риск необнаружения – исходя из оценки средств контроля в системе бухгалтерского учета.
В мировой практике аудиторский риск должен быть не более 5%, что соответствует критерию Стьюдента, и характеризует достоверность данных отчетности на 95%. Более высокий риск может быть снижен посредством корректировки риска необнаружения. Однако это требует большого количества дополнительных аудиторских процедур.