2.3 Определение риска необнаружения
При планировании работы аудитор принимает во внимание предварительную оценку риска системы контроля и неотъемлемого риска для определения допустимого риска необнаружения, а также характера, сроков и объема аудиторских процедур. Уровень риска необнаружения напрямую связан с аудиторскими процедурами проверки по существу. С увеличение объема этих процедур достигается снижение аудиторского риска до приемлемо низкого уровня. Тем не менее даже при проверке всех сальдо счетов или операций определенный риск необнаружения все равно будет присутствовать. Существует обратная взаимосвязь между риском необнаружения и совокупным уровнем неотъемлемого риска и риска системы контроля (табл. 1). Но как бы все равно должен провести процедуры проверки по существу. При определении их особенностей аудитор обращает внимание:
1. на характер процедур и виды источников аудиторских доказательств (при высоком риске системы контроля следует ориентироваться на независимые источники информации, находящиеся за пределами проверяемой организации, а не на внутреннюю документацию и информацию);
2. на сроки выполнения (например, более достоверные результаты могут дать процедуры, проведенные в конце отчетного периода, а не в более ранние сроки);
3. на объем процедур (больший объем выборки позволит снизить риск необнаружения искажений).
Оценка компонентов аудиторского риска может меняться в ходе проверки, при этом необходимо вносить корректировки в состав запланированных процедур, основываясь на пересмотренных оценках риска.
Таблица 1
Взаимосвязь между компонентами аудиторского риска
Аудиторская оценка уровня неотъемлемого риска Аудиторская оценка уровня риска системы контроля
высокий средний низкий
Уровень риска необнаружения, который должен обеспечить аудитор
Высокий Самый низкий Более низкий Средний
Средний Более низкий Средний Более высокий
Низкий Средний Более высокий Самый высокий
Если аудитор обнаружит, что риск необнаружения не может быть снижен до приемлемо низкого уровня, ему следует выразить условно - положительное мнение или отказаться от выражения мнения.
Аудитор обеспечивает одинаковый уровень уверенности в отношении как крупных, так и малых предприятиях. Если система внутреннего контроля неэффективна или невозможно получить аудиторские доказательства по поводу ее эффективности, то аудитор должен проводить только процедуры проверки по существу, не полагаясь на данные системы внутреннего контроля.
2.4 Особенности оценки аудиторского риска при использовании клиентом компьютерных информационных систем
При проведении аудита в условиях компьютерных информационных систем (КИС) оценка аудиторского риска усложняется. Применение КИС возможно, когда субъект использует компьютер для обработки информации, существенной для аудита (например, для составления бухгалтерских проводок, отчетов и т.п.). Аудитор должен обладать достаточным значением КИС. Если необходимы специализированные знания, аудитор может обратиться к соответствующему специалисту.
Общая цель и объем аудита не меняются в среде КИС, но применение КИС может оказать влияние на:
- аудиторские процедуры;
- анализ неотъемлемого риска и риска системы контроля;
- тестирование контроля и процедуры проверки по существу.
При планировании и аудита необходимо получить представление о функционировании КИС в приведенных ниже аспектах:
1. значимость и сложность компьютерной обработки в прикладной программе. Значимость определяется существенностью данных финансовой отчетности, полученных с помощью компьютерной обработки, сложность - автоматической генерацией операций или проводок. Согласно МСА 401"Аудит в условиях компьютерных информационных систем" прикладная программа может считаться сложной, если:
- большой объем операций затрудняет пользователям выявление и исправление ошибок, допущенных в процессе обработки информации;
- автоматически генерируются операции или проводки непосредственно в другой прикладной программе;
- автоматически проводятся операции или составляются корреспонденции счетов без отдельного подтверждения (в том числе на основе выполнения компьютером сложных расчетов);
- осуществляется обмен операциями с другими организациями электронным способом, при этом не проводится физической проверки в отношении правильности или приемлемости этих операций.
2. организационная структура деятельности КИС, ее влияние на разделение обязанностей персонала.
3. доступность данных, срок их хранения, виды их материальных носителей.
Если КИС играют значительную роль, аудитор должен оценить их влияние на риск (неотъемлемый и системы контроля); при этом обращается внимание на:
- отсутствие следов операций (информация может существовать только в компьютерном формате, ее полного объема может не быть);
- единую обработку операций (устраняется возможность описок, но появляется вероятность систематических ошибок программирования);
- отсутствие разделений функций (одно лицо может выполнять несовместные функции);
- возможность ошибок и нарушений (ошибки могут быть допущены при разработке, обслуживании и эксплуатации КИС; есть возможность неразрешенного доступа к данным; сокращение персонала может затруднить выявление искажений);
- инициирование или осуществление операций (автоматическое генерирование операций позволяет обходиться без разрешения руководства);
- зависимость прочих средств контроля от компьютерной обработки (посредством компьютерной обработки данных составляются исходные данные для осуществления процедур физического контроля);
- возможность совершенствования управленческого контроля;
- возможности использования методов аудита с применением компьютеров.
2.5 Оценка риска системы контроля субъектов, пользующихся услугам обслуживающих организаций
Обслуживающая организация - фирма, выполняющая операции по учету и контролю и подготавливающая связанную с ними отчетность или ведущая учет операций и обрабатывающая связанные с ними данные. Аудитор должен учитывать влияние обслуживающей организации на системы бухгалтерского учета и внутреннего контроля клиента, исходя из следующих положений:
- если обслуживающая организация ведет только первичный и сводный учет операций, то клиент самостоятелен в осуществлении их контроля и составлении отчетности;
- если обслуживающая организация проводит операции и составляет отчетность клиента, то клиенту придется положиться на политику и процедуры этой организации.
Аудитор должен определить значимость деятельности обслуживающей организации для клиента и аудитора, при этом рассматривается следующее:
1) характер предоставляемых обслуживающей организацией услуг; сведения, содержащиеся в руководствах для пользователей;
2) условия договора между клиентом и организацией;
3) показатели отчетности, на которые влияет использование услуг организации, и неотъемлемый риск, связанный с этими показателями;
4) степень взаимодействия систем бухгалтерского учета и внутреннего контроля клиента и обслуживающей организации;
5) контроль со стороны клиента операций, выполняемых обслуживающей организацией;
6) финансовая устойчивость обслуживающей организации и последствия ее банкротства для клиента;
7) сведения об общих и компьютерных средствах контроля, имеющих отношение к прикладным программам клиента.
Если аудитор пришел к выводу о том, что на оценку риска системы контроля клиента оказывают значительное воздействие средства контроля обслуживающей организации, то он должен предпринять по отношению к ней следующие шаги:
1) получить представление о системах бухгалтерского учета и внутреннего контроля и оценить риск системы контроля максимально высоко.
2) если объем сведений недостаточен, то получить информацию от аудитора обслуживающей организации или посетить ее лично с этой целью. Можно предложить клиенту обратиться к обслуживающей организации с просьбой предоставить аудитору доступ к необходимой информации.
3) протестировать средства контроля клиента за деятельностью обслуживающей организации.
4) протестировать средства контроля обслуживающей организации.
5) ознакомиться с отчетом аудитора обслуживающей организации о состоянии ее систем бухгалтерского учета и внутреннего контроля (разрешается в том случае, если аудитор клиента входит в круг пользователей отчета аудитора обслуживающей организации).
Отчет аудитора обслуживающей организации может быть двух типов:
1. тип А - заключение о пригодности структуры - состоит из описания вышеупомянутых систем, составляемого руководством обслуживающей организации, и мнения ее аудитора, подтверждающего точность этого описания и пригодность систем бухгалтерского учета и внутреннего контроля для достижения поставленных перед ними целей;
2. тип В - заключения о пригодности структуры и эффективности функционирования (в отличие от типа А добавляется заключение аудитора об эффективности ее систем бухгалтерского учета и внутреннего контроля с указанием видов и результатов проведенных тестов контроля).
Заключение типа А дает представление о системах бухгалтерского учета и внутреннего контроля обслуживающей организации, но не может быть основой для снижения аудитором клиента риска системы контроля, в то время как заключение типа В может быть использовано для снижения этого риска, если аудитор клиента положительно оценит характер, сроки проведения и объем тестирования (особое внимание уделяется продолжительности периода, охватываемого тестами, и времени, прошедшему с момента выполнения тестов).
При использовании отчета аудитора обслуживающей организации аудитору клиента не следует в заключении ссылаться на этот отчет, так как это может быть расценено как возложение части ответственности за выводы, сделанные аудитором клиента, на аудитора обслуживающей организации.
2.6 Внутрихозяйственный риск
Под внутрихозяйственным риском (чистым риском) понимают субъективно определяемую аудитором вероятность появления существенных искажений в данном бухгалтерском счете, статье баланса, однотипной группе хозяйственных операций, отчетности экономического субъекта в целом до того, как такие искажения будут выявлены средствами системы внутреннего контроля или при условии допущения отсутствия таких средств.
Внутрихозяйственный риск характеризует степень подверженности существенным нарушениям счета бухгалтерского учета, статьи баланса, однотипной группы хозяйственных операций и отчетности в целом у проверяемого экономического субъекта.
Аудитор должен дать оценку внутрихозяйственному риску проверяемого экономического субъекта на этапе планирования, используя свое профессиональное суждение. При подготовке общего плана аудита аудитор должен оценить внутрихозяйственные риски в отношении отдельных статей баланса и показателей бухгалтерской отчетности. При подготовке программы аудита аудитор должен оценить внутрихозяйственные риски для счетов бухгалтерского учета и операций, сальдо и (или) обороты по которым превышают заданный уровень существенности.
При оценке внутрихозяйственного риска в отношении баланса и отчетности аудитору необходимо принимать во внимание такие факторы, как:
а) особенности функционирования и текущего экономического положения отрасли, в которой действует экономический субъект;
б) специфические особенности деятельности, осуществляемой данным экономическим субъектом;
в) честность персонала экономического субъекта, осуществляющего руководство и ответственного за ведение учета и подготовку отчетности;
г) опыт и квалификацию работников, ответственных за ведение учета и подготовку отчетности;
д) возможность наличия внешнего давления на руководителей и персонал экономического субъекта с целью достижения любой ценой определенных показателей бухгалтерской отчетности;
е) возможность контроля за деятельностью предприятия со стороны его собственников.
При оценке внутрихозяйственного риска в отношении конкретных счетов учета и однотипных групп хозяйственных операций аудитору необходимо принимать во внимание такие факторы, как:
а) отдельные счета учета, для которых характерно появление в них непреднамеренных искажений;
б) отдельные счета учета, для которых характерно появление в них преднамеренных искажений вследствие высокой вероятности использования их для совершения злоупотреблений;
в) сложность учитываемых хозяйственных операций, которая требует для их правильного оформления высокой квалификации исполнителей;
д) наличие хозяйственных операций, бухгалтерское оформление которых может быть основано полностью или частично на субъективном мнении исполнителей;
е) наличие хозяйственных операций, порядок правильного оформления которых неоднозначно трактуется действующим законодательством;
ж) наличие редких, необычных, нестандартных хозяйственных операций.
При оценке внутрихозяйственного риска аудитор может использовать данные аудита прошлых лет, однако при этом он обязан убедиться в том, что оценки величины этого риска, сделанные в предыдущем году, справедливы и для проверяемого года. Правило (стандарт) аудиторской деятельности "Существенность и аудиторский риск" (Одобрено Комиссией по аудиторской деятельности при Президенте Российской Федерации 22 января 1998 г., протокол N 2)
3. Заключение
Оценка систем бухгалтерского учета и внутреннего контроля в государственном секторе часто сопряжена с дополнительными обязанностями, возлагаемыми на аудитора, как по поводу объема проверки, так и по поводу информирования инстанций. При планировании работы аудитор принимает во внимание предварительную оценку риска системы контроля и неотъемлемого риска для определения допустимого риска необнаружения, а также характера, сроков и объема аудиторских процедур. Уровень риска необнаружения напрямую связан с аудиторскими процедурами проверки по существу. Оценка компонентов аудиторского риска может меняться в ходе проверки, при этом необходимо вносить корректировки в состав запланированных процедур, основываясь на пересмотренных оценках риска. Аудитор обеспечивает одинаковый уровень уверенности в отношении как крупных, так и малых предприятиях. Если система внутреннего контроля неэффективна или невозможно получить аудиторские доказательства по поводу ее эффективности, то аудитор должен проводить только процедуры проверки по существу, не полагаясь на данные системы внутреннего контроля. При проведении аудита в условиях компьютерных информационных систем (КИС) оценка аудиторского риска усложняется. Если необходимы специализированные знания, аудитор может обратиться к соответствующему специалисту.
Аудитор должен учитывать влияние обслуживающей организации на системы бухгалтерского учета и внутреннего контроля клиента.
Аудитор должен определить значимость деятельности обслуживающей организации для клиента и аудитора. Если аудитор пришел к выводу о том, что на оценку риска системы контроля клиента оказывают значительное воздействие средства контроля обслуживающей организации, то он должен предпринять по отношению к ней указанные выше шаги.
При использовании отчета аудитора обслуживающей организации аудитору клиента не следует в заключении ссылаться на этот отчет, так как это может быть расценено как возложение части ответственности за выводы, сделанные аудитором клиента, на аудитора обслуживающей организации.
При оценке внутрихозяйственного риска аудитор может использовать данные аудита прошлых лет, однако при этом он обязан убедиться в том, что оценки величины этого риска, сделанные в предыдущем году, справедливы и для проверяемого года.
4. Список литературы
4.1 Панкова С.В. Международные стандарты аудита. М.: "Экономистъ", 2003.
4.2 Международные стандарты аудита, Кодекс этики международной федерации бухгалтеров. Перевод МЦРСБУ - 2000.
4.3 Международные стандарты финансовой отчетности. Перевод МЦРСБУ - 2000.
4.5 Журналы "Аудитор", "Аудиторские ведомости".