Что представляет собой предварительная оценка риска средств контроля

Риск средств контроля

После того как получено понимание систем бухгалтерского учета и внутреннего контроля, аудитору необходимо провести предварительную оценку риска средств контроля на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности по каждому существенному остатку на счете бухгалтерского учета или группе однотипных операций.

По некоторым или всем предпосылкам подготовки финансовой (бухгалтерской) отчетности риск средств контроля обычно оценивается аудитором как высокий в том случае, когда:

а) системы бухгалтерского учета и внутреннего контроля аудируемого лица неэффективны;

б) оценка эффективности систем бухгалтерского учета и внутреннего контроля аудируемого лица нецелесооб- разна.

Предварительная оценка риска средств контроля в отношении предпосылки подготовки финансовой (бухгалтерской) отчетности должна быть высокой, за исключением случаев, когда аудитор:

а) может указать соотносимые с данной предпосылкой

конкретные средства внутреннего контроля, которые с

определенной вероятностью будут предотвращать или обнаруживать и исправлять существенные искажения; б) планирует проводить тесты средств контроля для подтверждения оценки.

В рабочих документах аудитору необходимо изложить следующее:

а) свое понимание систем бухгалтерского учета и внут- реннего контроля аудируемого лица;

б) оценку риска средств контроля.

В случае если оценка риска средств контроля ниже высокой, обоснование данного вывода также должно быть отражено в рабочих документах.

Существуют различные методы документирования информации, имеющей отношение к системам бухгалтерского учета и внутреннего контроля.

Тесты средств контроля выполняются с целью получения аудиторских доказательств относительно эффективности:

а) структуры систем бухгалтерского учета и внутреннего контроля, то есть того, насколько хорошо они органи- зованы с точки зрения предотвращения или обнару- жения и исправления существенных искажений;

б) средств внутреннего контроля в течение рассматри- ваемого периода.

Некоторые процедуры, выполняемые с целью получения понимания систем бухгалтерского учета и внутреннего

контроля, могут не планироваться специально как тесты средств контроля, но могут предоставлять аудиторские доказательства относительно эффективности структуры и применения на практике средств внутреннего контроля. Тем самым такие процедуры могут служить в качестве тестов средств контроля. Например, при получении понимания систем бухгалтерского учета и внутреннего контроля в части денежных средств аудитор может получить доказательства относительно эффективности процесса банковской сверки посредством запросов и наблюдения.

Если аудитор приходит к выводу о том, что процедуры, выполняемые с целью понимания систем бухгалтерского учета и внутреннего контроля, также предоставляют аудиторские доказательства в части обеспечения соблюдения некоторой предпосылки подготовки финансовой (бухгалтерской) отчетности, то аудитор может использовать такие аудиторские доказательства при условии их достаточности для подтверждения оценки риска средств контроля для уровня ниже высокого.

Тесты средств контроля включают: •

проверку документов, подтверждающих операции и другие события, с целью получения аудиторских доказательств относительно надлежащего применения средств внутреннего контроля на практике, например проверку наличия разрешения на проведение операции; •

направление запросов и наблюдение за применением средств внутреннего контроля, которые не оформляются документально, например определение действительного исполнителя какой-либо функции, а не того, кому положено ее выполнять; •

повторное применение средств внутреннего контроля, например сверка банковских счетов, с тем чтобы удостовериться, что данные действия были правильно выполнены аудируемым лицом.

Аудитору необходимо получить аудиторское доказательство посредством проведения тестов средств контроля для подтверждения любой оценки риска средств контроля, кото-

рая является ниже высокой.

В процессе получения аудиторских доказательств относительно эффективного применения средств внутреннего контроля аудитор принимает во внимание способ их применения, последовательность их применения в течение определенного периода времени, а также то, кем они применялись. Тем не менее понятие действенного применения признает возможность появления отклонений.

Отклонения от установления средств контроля могут быть вызваны такими факторами, как изменения в составе работников, значительные сезонные колебания в объеме операций и человеческий фактор. В случае обнаружения отклонений аудитор делает специальные запросы в отношении данных аспектов, в частности в отношении периодичности изменений в составе сотрудников, выполняющих основные функции внутреннего контроля. После этого аудитору необходимо убедиться в том, что тесты средств контроля надлежащим образом охватывают период, в течение которого произошли изменения или колебания.

Цели тестов средств контроля компьютерных информационных систем остаются теми же, что и при выполнении операций вручную, однако некоторые аудиторские процедуры могут быть изменены. Аудитор может посчитать необходимым или может предпочесть использование методов аудита с помощью компьютеров. Использование подобных методов, например инструментов по исследованию электронных файлов, может быть уместным в том случае, если системы бухгалтерского учета и внутреннего контроля не предоставляют видимого доказательства, документально подтверждающего применение средств внутреннего контроля, которые запрограммированы в компьютерной системе бухгалтерского учета.

Основываясь на результатах тестов средств контроля, аудитор должен определить, были ли разработаны или применялись ли средства внутреннего контроля так, как предполагалось при предварительной оценке риска средств контроля.

Определенные виды аудиторских доказательств, полученных аудитором, являются более достоверными по сравнению с другими.

Обычно при проведении наблюдения аудитор получает более достоверное аудиторское доказательство по сравнению с тем, которое может быть получено путем запросов. Например, аудитор может получить аудиторское доказательство относительно надлежащего разделения обязанностей либо наблюдая за лицами, применяющими процедуру контроля, либо опрашивая соответствующих сотрудников. Вместе с тем аудиторское доказательство, полученное посредством таких тестов средств контроля, как наблюдение, имеет отношение только к тому моменту времени, когда была применена данная процедура. Поэтому аудитор может посчитать необходимым дополнить эти процедуры другими тестами средств контроля, которые могут предоставить аудиторское доказательство относительно других периодов времени.

При определении надлежащего аудиторского доказательства для подтверждения выводов относительно риска средств контроля аудитор может принимать во внимание аудиторское доказательство, полученное в ходе предыдущих аудиторских проверок. В случае проведения аудиторских проверок на протяжении нескольких лет аудитор будет осведомлен о системах бухгалтерского учета и внутреннего контроля, так как будет обладать сведениями, полученными в ходе предыдущей работы. Тем не менее ему необходимо обновлять полученные знания и рассмотреть необходимость получения

дополнительных аудиторских доказательств относительно любых изменений в системе контроля. Прежде чем полагаться на процедуры, примененные в ходе предыдущих аудиторских проверок, аудитору необходимо получить аудиторские доказательства, подкрепляющие доверие к данным процедурам. Аудитору необходимо получить аудиторские доказательства в отношении характера, временных рамок и объема любых изменений в системах бухгалтерского учета и внутреннего контроля аудируемого лица, произошедших с момента выполнения этих процедур, и оценить их влияние с точки зрения возможности по-прежнему полагаться на такие процедуры. Чем больше времени проходит с момента выполнения таких процедур, тем меньшей будет уверенность в них.

Аудитору необходимо проанализировать, применялись ли средства внутреннего контроля в течение всего проверяемого периода. Если в разное время в течение проверяемого периода применялись средства контроля, значительным образом отличавшиеся друг от друга, аудитору следует рассмотреть каждое из них в отдельности. Прекращение применения средств контроля в определенный момент проверяемого периода требует отдельного анализа характера, временных рамок и объема аудиторских процедур, необходимых в отношении операций и других событий данного периода.

Аудитор может принять решение о проведении некоторых тестов средств контроля во время промежуточного посещения аудируемого лица до окончания отчетного периода. Однако аудитор не может полагаться на результаты таких тестов, не учитывая необходимость получить дополнительные доказательства в отношении оставшейся части отчетного периода, по которой не были проведены тесты средств контроля. В данном случае во внимание принимаются следующие факторы: •

результаты промежуточных тестов; •

длительность оставшегося периода; •

наличие каких-либо изменений в системах бухгалтерского учета и внутреннего контроля в течение оставшегося периода;

характер и величина операций и других событий, а также соответствующих остатков на счетах бухгалтерского учета; •

контрольная среда, в особенности средства контроля, применяемые сотрудниками аудируемого лица в порядке текущего контроля; •

процедуры проверки по существу, которые аудитор планирует провести.

Перед окончанием аудиторской проверки, основываясь на результатах процедур проверки по существу и других полученных аудиторских доказательствах, аудитор должен проанализировать, была ли подтверждена оценка риска средств контроля.

Взаимосвязь между оценками неотъемлемого риска и риска средств контроля

Чтобы избежать ситуаций, связанных с неотъемлемым риском, руководство аудируемого лица, как правило, разрабатывает системы бухгалтерского учета и внутреннего контроля, направленные на предотвращение или обнаружение и исправление искажений, поэтому в большинстве случаев неотъемлемый риск и риск средств контроля тесно взаимосвязаны. Если аудитор пытается оценить неотъемлемый риск и риск средств контроля по отдельности, возникает вероятность ненадлежащей оценки риска. В данной ситуации аудиторский риск можно более надежно определить путем комбинированной оценки.

Источник

Оценка средств контроля в ходе аудита

В данной статье анализируются методы оценки в ходе аудита адекватности и применимости средств контроля, которые использует в процессе своей деятельности аудируемое лицо. Для описываемых методик приводятся образцы подготовки аудитором рабочей документации. Также рассматриваются вопросы проведения выборочных проверок средств контроля, включая методы определения объема выборок при тестировании средств контроля.

В рамках действующих в настоящее время федеральных правил (стандартов) аудиторской деятельности (ФПСАД) на аудитора в ходе получения понимания системы внутреннего контроля (СВК) аудируемого лица возлагается обязанность оценить, как организованы средства контроля, т.е. их адекватность, и установить факт их применения (см. ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» 1 ). Результаты этой оценки аудитор должен документировать.

Аналогичные требования закреплены и в международных стандартах аудита (МСА). Они регламентируются МСА 315 «Выявление и оценивание риска существенного искажения финансовой отчетности в ходе получения понимания деятельности и среды, в которой действует организация» 2 . Требования, установленные МСА 315 и ФПСАД № 8, в основном совпадают, что видно из табл. 1.

Читайте также:  Физические упражнения как основное средство физического воспитания реферат

Таблица 1. Требования в отношении оценки средств контроля

ФПСАД № 8

Пункт 13. «В процессе получения понимания средств контроля, имеющих отношение к аудиту, аудитор обязан оценить вид этих средств и определить, применялись ли эти средства контроля на практике, путем применения дополнительных процедур помимо опроса персонала»

Пункт 52. «Понимание аудитором системы внутреннего контроля аудируемого лица подразумевает осуществляемую аудитором оценку адекватности организации средств контроля и установление факта их применения»

Пункт 29. «После того как аудитор определил, что значимые риски существуют, он обязан получить понимание средств контроля организации, включая контрольные действия, относящиеся к данному риску»

Пункт 111. «В отношении значимых рисков аудитор, если им это не было сделано ранее, должен оценить организацию установленных в отношении этих рисков средств контроля, включая контрольные действия, и определить, выполнялись ли они»

Пункт 32. «Аудитор обязан документировать:

(в) ключевые элементы понимания в отношении каждого из аспектов деятельности организации и ее среды, упомянутых в параграфе 11, и каждого из компонентов внутреннего контроля, определенных в параграфах 14—24, источники информации, на основании которых получено понимание, и выполненные процедуры оценки рисков»

Пункт 120. «Аудитор должен документально оформлять:

б) наиболее важную информацию относительно каждого из аспектов деятельности аудируемого лица и среды, в которой она осуществляется, указанных в пункте 19 настоящего правила (стандарта), включая информацию о каждом из элементов системы внутреннего контроля, указанных в пункте 42 настоящего правила (стандарта), для оценки рисков существенного искажения финансовой (бухгалтерской) отчетности, источники информации, с помощью которой было достигнуто понимание деятельности аудируемого лица и среды, в которой она осуществляется, а также процедуры оценки рисков»

Таким образом, и федеральными, и международными стандартами аудита предусмотрено, что в ходе выполнения каждого задания аудитор обязан оценить адекватность средств контроля организации, установить факт их применения и документировать результаты этих процедур.

В системе МСА данные требования увязываются с разработкой дальнейших аудиторских процедур по оцененным рискам, порядок которой регламентирован МСА 330 «Аудиторские процедуры по оцененным рискам» 3 . Среди действующих ФПСАД и новых федеральных стандартов аудиторской деятельности аналог данного стандарта на настоящий момент отсутствует, однако ФПСАД № 8 содержит положения, указывающие на необходимость разработки аудиторских процедур, увязанных с оцененными рисками существенного искажения.

Приведем требования в отношении аудиторских процедур по оцененным рискам, содержащиеся в стандартах:

  • «Аудитор обязан разработать и выполнить дальнейшие аудиторские процедуры, чей характер, сроки проведения и объем зависят от и определяются рисками существенного искажения на уровне предпосылок подготовки финансовой отчетности» (п. 6 МСА 330);
  • «Аудитору необходимо обладать достаточными знаниями о контрольных действиях аудируемого лица, чтобы оценить риски существенного искажения информации на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности и разработать дальнейшие аудиторские процедуры с учетом оцененных рисков» (п. 88 ФПСАД № 8).

В соответствии с МСА 330 после того, как риски существенного искажения оценены, аудитор на их основе формирует аудиторский подход к проверке, который может либо состоять в проведении проверки по существу, либо быть комбинированным, т.е. использовать процедуры проверки по существу наряду с тестами контроля 4 .

Таким образом, в рамках МСА предусматривается, что на основе понимания СВК аудируемого лица аудитор должен:

  • выявить риски существенного искажения, в том числе значимые;
  • в отношении этих рисков рассмотреть средства внутреннего контроля аудируемого лица, оценить вид этих средств и определить, применялись ли эти средства на практике;
  • установить на основе полученной информации характер аудиторского подхода для получения дальнейших надлежащих аудиторских доказательств;
  • разработать дальнейшие аудиторские процедуры в ответ на оцененные риски.

При определении аудиторского подхода к проверке и разработке дальнейших аудиторских процедур по оцененным рискам аудитор должен основываться на результатах процедур по рассмотрению средств контроля аудируемого лица.

Какими же практическими приемами должен руководствоваться аудитор и какие проводить процедуры в процессе рассмотрения средств контроля и принятия решений об аудиторском подходе? Международная федерация бухгалтеров (англ. International Federation of Accountants (IFAC)) в рамках обобщения наилучшей мировой практики аудита опубликовала на своем сайте «Руководство по применению международных стандартов аудита при аудите малых и средних организаций» (далее — Руководство), в котором рассмотрены методические вопросы, связанные с применением МСА, в том числе относящиеся к оценке и тестированию средств контроля в ходе аудита (главы 12 и 17, том 2 Руководства) 5 .

Первый блок практических рекомендаций для аудиторов, содержащихся в главе 12 данного Руководства, связан собственно с оценкой аудитором адекватности и применимости средств контроля. Такая оценка, как уже указывалось, является обязанностью аудитора и должна проводиться в ходе каждого аудита.

Второй блок рекомендаций (глава 17 Руководства) относится к случаю, когда аудитор определил аудиторский подход как комбинированный и должен перейти к тестированию соответствующих средств контроля.

Далее на основе положений, содержащихся в главах 12 и 17 Руководства, рассмотрим, каковы же методические рекомендации аудитору по вопросам оценки средств контроля и дальнейшему их тестированию.

Методические приемы оценки адекватности и факта применения средств контроля

В ходе рассмотрения средств внутреннего контроля, действующих применительно к оцененным рискам существенного искажения, аудиторам рекомендуется использовать процедуру, включающую следующие этапы:

1) выявление рисков существенного искажения (РСИ);

2) рассмотрение характера действующих в отношении РСИ средств контроля;

3) рассмотрение применяемости средства контроля;

4) документирование применения соответствующих средств контроля.

Этап 1. Выявление рисков существенного искажения

Задача аудитора на данном этапе заключается в том, чтобы установить, действуют ли в организации средства контроля в отношении РСИ. Здесь аудитору следует рассматривать как РСИ по отчетности в целом, так и специфические риски — в отношении определенных предпосылок подготовки отчетности или ее разделов. При этом предусматривается, что аудитор выявляет и рассматривает исключительно риски, имеющие отношение к аудиту. В отношении этих рисков в СВК организации должны существовать средства контроля, направленные на их снижение (табл. 2).

Таблица 2. Укрупненные примеры средств контроля, действующих в отношении РСИ

Источники риска

Снижающие риск средства контроля

Риск, связанный со всей отчетностью в целом (подготовка ненадежной финансовой отчетности)

Внешние отраслевые факторы.

Цели и задачи организации.

Недобросовестность

Средства контроля на уровне организации в целом и основных бизнес-процессов.

Контрольные средства в отношении операций

Риск, связанный со всей отчетностью (использование в ходе процесса подготовки отчетности неверных предпосылок)

Бухгалтерские оценочные значения.

Наличие операций, не соответствующих характеру деятельности организации, слишком сложных операций и пр.

Внесение ненадлежащих правок в бухгалтерскую документацию.

Информация, необходимая для подготовки раскрытий в отчетности

Средства контроля на уровне организации.

Контрольные средства в отношении операций

Специфические операционные риски (наличие в отчетности неотраженных или отраженных неточно операций)

Выявление (запись) авторизованных операций.

Измерение, отражение в надлежащем периоде.

Наличие активов

Средства контроля в отношении операций.

Специфические средства контроля на уровне организации

После того как аудитор подготовил перечень РСИ в разрезе основных бизнес-процессов организации, необходимо:

  • проверить, рассмотрены ли все предпосылки подготовки финансовой отчетности;
  • выяснить, существуют ли дополнительные риски (на уровне операций или организации в целом), которые могут привести к существенному искажению финансовой отчетности, если их не устранить.

Этап 2. Рассмотрение характера действующих в отношении РСИ средств контроля

Оценка адекватности разработки руководством контрольных средств, действующих в отношении РСИ, включает оценку того, сможет ли это средство контроля (рассмотренное отдельно или в совокупности с другими средствами) сократить соответствующий риск существенного искажения. При этом необходимо учитывать, что средства контроля делятся на две категории:

  • превентивные, т.е. предотвращающие появление существенных искажений;
  • выявляющие и корректирующие существенные искажения, если они имеют место.

Средства контроля обычно выявляются в ходе обсуждений (интервью) с персоналом, который ответственен за управление рисками конкретного бизнес-процесса. Для малых организаций это часто может быть интервью с собственником-руководителем или со старшим руководителем. Типичный подход к выявлению средств контроля показан в табл. 3.

Таблица 3. Основные процедуры рассмотрения средств контроля

Действие

Описание

Выявление РСИ

Выявить РСИ для отчетности в целом и специфические (на уровне операций) риски, которые должны быть снижены либо путем предотвращения появления искажений, либо путем их выявления и корректирования

Проведение опроса по процедурам СВК в отношении РСИ

Опросить ответственное лицо или собственника-руководителя о том, какие процедуры СВК существуют для снижения каждого риска. Документировать выявленные в ходе опроса средства контроля.

После того как в ходе опроса выявлены достаточные для сокращения конкретного риска средства контроля (достаточность определяется на основе профессионального суждения), можно прекратить опрос. Нет необходимости перечислять все иные средства контроля, которые могут существовать для снижения этого риска, если это специально не оговорено

Документирование результатов

Выявленные средства контроля могут документироваться различными способами: для каждого РСИ, к которому относятся, или в виде матрицы средств контроля, связанных со всеми РСИ.

Главное — документировать связь РСИ и относящихся к ним контрольных средств, что позволит оценить, снижают ли выявленные средства контроля соответствующие риски. Если используется матрица средств контроля, необходимо:

  • записывать выявленные процедуры СВК прямо в матрицу и указывать, являются они превентивными (предотвращающими) или выявляющими и исправляющими искажения;
  • рассмотреть, может ли данное средство контроля снижать и другие риски. Вполне вероятно, что некоторые процедуры СВК могут применяться в отношении нескольких факторов риска.

Если в отношении РСИ не выявлены средства контроля, аудитор должен немедленно проинформировать руководство о слабости СВК

Читайте также:  Изобразительная деятельность как средство всестороннего развития детей

Оценку адекватности средств контроля рекомендуется начинать со средств контроля в отношении искажения отчетности в целом. Эти виды средств контроля формируют основу для функционирования специфических средств контроля, действующих в отношении операций и предпосылок подготовки отчетности.

Существует два общепризнанных подхода к рассмотрению аудитором средств контроля — это подходы, ориентированные на рассмотрение средств контроля в отношении:

1) РСИ, которые приводят к искажению отчетности в целом;

2) специфических операционных РСИ на уровне предпосылок подготовки финансовой отчетности.

Первый подход заключается в том, что:

  • каждый риск рассматривается отдельно;
  • аудитор идентифицирует все средства контроля, которые относятся к каждому отдельному риску.
  • рамках второго подхода разрабатывается так называемая матрица рисков, которая позволяет аудитору выявить:
  • множество взаимозависимостей, существующих между рисками и средствами контроля;
  • области, для которых внутренний контроль силен;
  • области, для которых внутренний контроль слаб;
  • ключевые средства контроля в отношении многих рисков (предпосылок), которые должны тестироваться на эффективность функционирования.

Подход, ориентированный на рассмотрение средств контроля в отношении РСИ, которые приводят к искажению отчетности в целом. В рамках данного подхода описание средств контроля, как правило, может строиться так, как показано в табл. 4.

Таблица 4. Описание средств контроля в отношении рисков на уровне отчетности в целом

Риск (цель) контроля

Предпосылка

Средства контроля

1) контрольная процедура А

2) контрольная процедура В

3) контрольная процедура С

4) контрольная процедура D

5) контрольная процедура E

6) контрольная процедура F

7) контрольная процедура G

8) контрольная процедура H

9) контрольная процедура I

10) контрольная процедура J

11) контрольная процедура K

12) контрольная процедура L

13) контрольная процедура M

14) контрольная процедура N

15) контрольная процедура O

16) контрольная процедура P

Примечание: С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования и А — предпосылка в отношении точности.

Поясним, как работает этот метод. Пусть аудитор рассматривает функционирование контрольной среды организации в качестве основы снижения рисков искажения финансовой отчетности в целом. Цель контрольной среды заключается в необходимости для руководства и представителей собственника создать и поддерживать культуру честного и этичного поведения. Некоторые средства контроля, обычно применяемые руководством в отношении данного риска, могут включать:

  • последовательную демонстрацию руководством приверженности высоким этическим стандартам;
  • снижение руководством такого рода стимулов, которые могли бы побудить сотрудников к нечестным или неэтичным действиям;
  • наличие кодекса поведения, устанавливающего этичные и моральные стандарты;
  • наличие четкого понимания персоналом того, какое поведение считается приемлемым (неприемлемым) и что они должны сделать, если сталкиваются с неприемлемым поведением;
  • производственные дисциплинарные меры в случае неприемлемого поведения.

Аудитор сначала должен сформулировать цель контроля и затем определить, существуют или нет какие-либо средства контроля, снижающие риски. В результате процедур проверки может подготавливаться рабочая документация (табл. 5).

Таблица 5. Образец рабочей документации по оценке средств контроля

Компонент СВК

Выявленное средство контроля

Комментарий аудитора о проведенных процедурах

Контрольная среда: этические принципы

Нет приверженности высоким этическим стандартам

Персонал ежегодно подписывается под кодексом поведения, предусматривающим дисциплинарные меры

Ознакомился с корпоративным кодексом, и в нем подчеркнута приверженность высоким этическим стандартам

Контрольная среда: качество персонала

Могут быть наняты некомпетентные сотрудники

В должностных обязанностях для каждой позиции содержатся требования к квалификации персонала

Проверил должностные инструкции по ключевым позициям, в том числе ведение учета, и они являются приемлемыми

Управление риском

Руководство часто не готово к предсказуемым событиям

Деловые риски выявлены и ежегодно оцениваются в ходе планирования

Проверил бизнес-план, в котором перечислены риски, он обновлен и риски оценены

После того как средства контроля выявлены, аудитор на основе профессионального суждения делает вывод, является ли их характер надлежащим для снижения соответствующих РСИ, т.е. адекватны ли они. Формулируя вывод о контрольной среде, аудитор должен оценить следующее:

  • создана ли руководством под надзором представителей собственника культура честности и этичного поведения;
  • создает ли совокупность элементов контрольной среды надлежащий фундамент для других компонентов внутреннего контроля и не подрываются ли эти другие компоненты слабостью элементов контрольной среды.

Такой вывод может оказать большое влияние на оценку аудитором риска для финансовой отчетности в целом.

Подход, ориентированный на рассмотрение средств контроля в отношении специфических РСИ на уровне предпосылок подготовки финансовой отчетности. Данный подход, как правило, применяется на уровне бизнес-процесса и может быть наглядно проиллюстрирован следующей матрицей.

Матрица средств контроля

Бизнес-процесс: продажи

Существенные факторы риска

Ключевые средства контроля

Предпосылки

Средства контроля

Компоненты СВК

Процедура 1

Контрольная среда

Процедура 2

Информационные системы

Процедура 3

Контрольные процедуры

Процедура 4

Мониторинг

Процедура 5

Контрольные процедуры

Процедура 6

Контрольные процедуры

Процедура 7

Информационные системы

Являются ли средства контроля надлежащими, т.е. сокращают факторы риска?

Примечание: С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования; А — предпосылка в отношении точности; П — превентивные средства контроля (направлены на недопущение искажений); ВИ — выявляющие и исправляющие средства контроля.

Как же определить на основании приведенной матрицы слабости внутреннего контроля и ключевые средства контроля?

Выявление слабости внутреннего контроля происходит следующим образом:

  • по каждому столбцу риска необходимо определить, какие контрольные процедуры действуют для его снижения — если существуют достаточные средства контроля, то слабости контроля нет;
  • если для риска существует мало процедур или они отсутствуют, может иметь место существенная слабость (например, это риск С, в отношении которого средства контроля не выявлены и для которого имеет место существенная слабость внутреннего контроля) — в такой ситуации от аудитора требуется:

— запросить о наличии любых иных процедур СВК, в том числе компенсирующих; если таковых нет, может иметь место существенная слабость СВК, о которой следует сообщить руководству и представителям собственника как можно раньше, чтобы можно было предпринять корректирующие действия,

— рассмотреть, требуются ли дальнейшие аудиторские процедуры в ответ на выявленный риск.

Компенсирующие процедуры контроля — это такие процедуры, которые могут быть связаны с данным риском опосредованно. Так, риск отправления готовой продукции заказчику без оформления документов может быть выявлен менеджером по продажам в ходе ежеквартальной проверки объемов продаж. Однако очевидно, что такая контрольная процедура сама по себе не является достаточной для снижения данного риска.

Выявление ключевого средства внутреннего контроля. Ключевые средства внутреннего контроля — это средства, действующие одновременно в отношении нескольких РСИ. Для их выявления следует рассмотреть матрицу средств контроля и выявить те процедуры, которые работают в отношении нескольких факторов риска. Например, процедура 3 относится к трем рискам и трем предпосылкам, что является примером средства контроля (часто называемого ключевым), которое при условии его надежности может тестироваться на операционную эффективность, особенно когда такое тестирование способно привести к снижению объема детальных тестов.

Если у аудитора возникают любые сомнения в том, что выявленные средства контроля действительно применяются, ему следует переходить к оценке и документированию функционирования средства контроля только после того, как он убедится, что эти средства контроля применяются на практике.

Последний момент в оценке средства контроля — это формулирование аудитором вывода о том, снижают ли выявленные средства контроля конкретные РСИ. Такая оценка требует применения профессионального суждения. Для каждой предпосылки или РСИ аудитору следует рассмотреть, является ли реакция на него руководства достаточной для снижения риска до приемлемо низкого уровня.

Когда аудитор использует матрицу средств контроля, то нижний ряд матрицы может применяться для документирования вывода о надлежащем характере средств контроля для снижения каждого из факторов риска.

Если аудитор считает, что характер средств контроля не является адекватным, нет необходимости идти дальше и оценивать операционную эффективность. Вполне вероятно, что уже имеет место существенная слабость СВК.

Этап 3. Рассмотрение применяемости средства контроля

Для определения того, применяются ли на практике выявленные средства контроля, аудитору недостаточно провести только опрос персонала. Объясняется это следующим: люди, как правило, могут надеяться на то, что предусмотренное СВК средство контроля действительно применяется, но на практике это не так. Документально описанное средство контроля, которое не применяется на практике или не работает надлежащим образом при применении, не имеет ценности для аудита.

Оценка фактического применения средств контроля может проводиться с помощью:

  • опроса персонала;
  • наблюдения или повторного выполнения процедуры;
  • инспектирования документов и отчетов;
  • прослеживания внутри информационной системы подготовки отчетности отражения одной или более операций (прослеживание не является тестом операционной эффективности средства контроля).

Существует несколько причин для проведения наблюдений за функционированием СВК. Это:

  • изменение бизнес-процессов — со временем бизнес-процессы изменяются в силу перехода к производству новых продуктов (оказанию новых видов услуг), изменений в персонале или перехода на новые IT-программы;
  • неправильное описание — персонал организации может объяснять аудитору, как система должна работать, а не то, как она работает на практике;
  • недостаток информации — некоторые аспекты системы могут быть ненамеренно недостаточно изучены при получении понимания СВК.

Проверка применяемости средства контроля представляет аудиторские доказательства того, что выявленное средство было применено в определенный момент времени, но не рассматривает операционную эффективность этого средства. Свидетельства операционной эффективности (если это предусмотрено стратегией аудита и аудиторским подходом) будут получены в ходе проведения тестов контроля, которые рассматривают доказательства в отношении действия средства в течение определенного периода времени, например года.

Только после того, как установлено, что средства контроля, имеющие отношение к аудиту, правильно разработаны и применяются на практике, рассматривается:

  • какие тесты операционной эффективности средств контроля позволят сократить объем тестирования по существу;
  • какие из средств контроля нужно тестировать, поскольку нет иного способа получить достаточные надлежащие аудиторские доказательства.

Оценка адекватности и применяемости средств контроля принципиально отличается от проведения тестирования операционной эффективности средств контроля. Так, в отношении:

  • адекватности средств контроля аудитор должен определить, разработаны ли в организации средства контроля, направленные на снижение РСИ;
  • применяемости средств контроля аудитор должен выяснить, действуют ли на практике разработанные средства контроля, причем процедуры в отношении применения средств контроля с целью выявления изменений в СВК должны проводиться для каждого аудируемого периода;
  • тестирования операционной эффективности средств контроля от аудитора требуется ответить на вопрос, действуют ли средства контроля эффективно в течение определенного периода времени. При этом у аудитора нет обязанности проводить тестирование эффективности средств контроля, кроме тех случаев, когда нет иного способа получить достаточные надлежащие аудиторские доказательства (т.е. для высокоавтоматизированных или бездокументарных систем учета);
  • таким образом, принятие решения о проверке операционной эффективности средств контроля является вопросом профессионального суждения аудитора.

Для повторных аудитов рекомендуется начать рассмотрение средств контроля с их применяемости с целью понять, что изменилось в СВК организации. При этом в качестве отправной точки следует использовать полученную по аудитам за прошлые периоды документацию о характере средств контроля. Если выявлены изменения в СВК, необходимо определить, что пересмотренные либо новые средства контроля продолжают снижать РСИ или что существуют новые РСИ, которые следует понижать.

Если стратегия аудита предполагает, что аудитор полагается на операционную эффективность средств контроля, и имели место изменения в СВК, то аудитору рекомендуется проследить ход операций, которые имели место до и после внесенных изменений.

В процессе обновления рабочих документов по СВК аудитору следует тщательно рассмотреть изменения в превентивных средствах контроля на уровне организации. Эти изменения могут оказать существенное воздействие на эффективность операционных средств контроля и повлиять на реагирование аудитора на оцененные риски.

Так, решение руководства о найме высококвалифицированного специалиста для подготовки финансовой отчетности может понизить риски ошибок в финансовой информации и повысить эффективность средств контроля в отношении операций, которые ранее могли обходиться вниманием. И наоборот, неспособность руководства заменить некомпетентного менеджера по IT или направить существенные ресурсы на сокращение рисков, связанных с IT-системами, может привести к снижению эффективности прочих контрольных процедур. В любом случае эти моменты приведут к значительным изменениям характера реагирования аудитора на оцененные риски.

Этап 4. Документирование применения соответствующих средств контроля

Документация в отношении применения средств контроля поможет аудитору:

  • понять природу, функционирование и контекст (кто использует средство контроля, где, как часто и какова документация об этом), в котором применяются выявленные средства контроля;
  • определить, насколько надежны средства контроля и возможно ли положиться на их эффективность.

Если ответ на последний вопрос будет положительным, то средства контроля можно тестировать в ходе ответных процедур на оцененные риски. Документация о тестировании также поможет аудитору разработать конкретный тест, т.е. определить выборочную совокупность, объем выборки, какие приложения средства контроля будут тестироваться, кто выполняет контрольную процедуру.

Объем документирования определяется профессиональным суждением аудитора. Наиболее распространенными формами документации, подготавливаемой руководством для аудитора, являются:

  • описательные материалы или меморандумы по СВК;
  • блок-схемы;
  • сочетание описательных материалов и блок-схем;
  • вопросники и проверочные листы.

Объем и характер требуемой документации — предмет профессионального суждения аудитора. При определении этого объема следует учитывать:

  • природу, величину и сложность организации и ее СВК;
  • доступность информации от организации;
  • методологию аудита и используемые в ходе аудита технологии.

Объем документирования может отражать также опыт и возможности аудиторской группы. Аудит, проводимый менее опытной группой, может потребовать подготовки более детальной документации, нежели в случае, когда группа состоит из профессионалов.

Как уже отмечалось, при планировании текущего аудита аудитор может использовать документацию, подготовленную в ходе предшествующих аудитов. Обновление такой документации потребует:

  • сделать копии рабочих документов по СВК за прошлые периоды для их последующего обновления;
  • если ничего не изменилось, вначале рассматривается применяемость средств контроля;
  • если средство контроля действительно применялось и риск не менялся, то характер средства контроля можно считать надлежащим;
  • обновить перечень факторов риска, которые должны понижаться посредством СВК;
  • выявить изменения в СВК на уровне организации и операций в ходе процедур проверки применяемости средств контроля;
  • определить, являются ли выявленные новые средства контроля надлежащими и применяются ли они;
  • обновить описание соответствия средств контроля РСИ;
  • обновить вывод о риске контроля.

Тестирование средств контроля

Аудиторские процедуры, используемые для проверки средств контроля, относятся к одному из четырех типов:

1) запросы персоналу надлежащего уровня;

2) инспектирование соответствующей документации;

3) наблюдение за операциями организации;

4) повторное выполнение контрольной процедуры.

Тесты контроля представляют аудиторские доказательства того, работают средства контроля эффективно или нет. Соответственно они могут использоваться, только когда на основе рассмотрения адекватности и фактического применения средства контроля ожидается, что его функционирование надежно. В связи с этим допустимый уровень ошибки или искажения для тестов контроля очень мал. Обычно это либо полное отсутствие отклонений в функционировании средства контроля, либо одно отклонение.

Рассмотрение искажений средств контроля на уровне организации

Проверка наличия искажения (отклонений в функционировании) средств контроля на уровне организации (например, проверка приверженности компетентности или понимание политики организации в отношении приемлемого поведения) может оказаться более субъективной процедурой, чем проверка средств контроля в отношении конкретных операций. Однако эти средства контроля в совокупности обеспечивают надлежащий фундамент функционирования для остальных компонентов СВК.

К тестам контроля политики и практики в области управления человеческими ресурсами можно отнести рассмотрение:

  • действующих в организации политик и практик их применения на основе соответствующей документации;
  • файлов персонала на наличие документов, подтверждающих проведение аттестаций, тренингов и пр.

Примером теста контроля процедуры распределения полномочий на уровне организации является рассмотрение любой документации, в частности должностных инструкций, на наличие соответствующих требований.

Поясним, как рекомендуется проводить тестирование средств контроля на уровне организации. Допустим, для проверки того, действительно ли руководство сообщает персоналу о необходимости следовать этическим требованиям и проводит соответствующую политику, аудитору необходимо сформировать выборку сотрудников организации для проведения интервью. У сотрудников следует узнать, имели ли место рассматриваемые сообщения руководства, какие действуют политики и процедуры, какими ценностями руководствуются в повседневной деятельности управляющие. Если общий ответ сотрудников подтверждает наличие рассматриваемых сообщений руководства и проведения в жизнь соответствующих политик и практик, то тест следует считать успешно пройденным. Описания интервью с каждым сотрудником и подтверждающая документация (соответствующие политики организации, данные о сообщении информации интервьюируемым) должны отражаться в отчете и храниться в аудиторском файле.

Хотя в основном искажение средств контроля на уровне организации и в информационных системах обычно тестируется путем выражения профессионального суждения, в некоторых случаях можно применять статистические выборки. Например, такой подход используется для получения доказательств о проведении проверок ежемесячной отчетности и принятии необходимых мер по их результатам.

Процесс документирования результатов тестирования средств контроля на уровне организации может оказаться сложнее, чем для тестирования средств контроля на уровне бизнес-процессов. В силу этого тестирование искажений средств контроля на уровне организации обычно документируется в виде отдельных отчетов в файле с приложением подтверждающих доказательств.

Построение выборок при проверке средства контроля в отношении операций

Тесты контроля представляют доказательства того, что средство контроля функционирует эффективно в течение рассматриваемого периода времени, определенного, к примеру, как отчетный год.

Эффективный набор аудиторских процедур, разработанных в ответ на оцененные риски для определенных предпосылок, может состоять из сочетания тестов контроля и процедур проверки по существу. В данном случае при разработке тестов контроля аудитор может исходить из того, что они способны обеспечить средний уровень уверенности.

Поскольку средства контроля в отношении операций или работают эффективно, или не работают вовсе, не имеет смысла проверять работу средства контроля, которое ранее оценено как ненадежное. Ненадежные средства контроля — это те средства, в отношении которых существует вероятность обнаружения отклонений. Таким образом, если в ходе оценки у аудитора формируется суждение о ненадежности средства контроля (т.е. вероятности выявления более чем одного отклонения в его функционировании), то тестирование его эффективности не будет действенным с точки зрения аудита. На самом деле размер выборок для средств контроля в большинстве случаев невелик, поскольку они основываются на предположении, что в работе средства контроля не будет выявлено никаких отклонений. Иначе необходимо было бы рассмотреть существенно бóльшие по объему выборки, что привело бы к резкому увеличению трудозатрат.

Грамотно разработанные тесты контроля должны обеспечивать низкий или средний уровень риска того, что проверяемое средство контроля работает неэффективно. При разработке тестов контроля аудитору рекомендуется рассмотреть два уровня уверенности, которую предполагается получить:

  • высокий уровень уверенности (низкий остаточный риск) используется при получении в ходе тестов контроля основных аудиторских доказательств по проверяемому разделу отчетности;
  • средний уровень уверенности (средний остаточный риск) используется при сочетании тестов контроля с проведением в отношении конкретной предпосылки процедур проверки по существу.

Также при разработке теста аудитору полезно будет использовать три уровня снижения риска — низкий, средний и высокий. Разница между этими уровнями основывается на так называемом факторе уверенности, применяемом для построения выборки. В таблице 6 показаны типичные величины фактора уверенности, применяемые для получения высокого, среднего или низкого уровня снижения аудиторского риска.

Таблица 6. Показатели фактора уверенности

Источник

Поделиться с друзьями
Adblock
detector