Изучение и оценку системы внутреннего контроля аудируемого лица необходимо проводить для чего
ТЕМА 4. СУЩЕСТВЕННОСТЬ И АУДИТОРСКИЕ РИСКИ В АУДИТЕ
Цель данной главы раскрыть содержание существенности и аудиторского риска — основополагающих категорий при проведении аудиторской проверки.
Оглавление
4.1. Существенность в аудите
Основной целью аудита является установление достоверности бухгалтерской отчетности экономических субъектов и соответствия совершенных ими финансовых и хозяйственных операций нормативным актам, действующим в Российской Федерации. Аудиторские организации в ходе проведения проверок не должны устанавливать достоверность отчетности с абсолютной точностью, но обязаны установить ее достоверность во всех существенных отношениях.
Под достоверностью бухгалтерской отчетности во всех существенных отношениях понимается такая степень точности показателей бухгалтерской отчетности, при которой квалифицированный пользователь этой отчетности оказывается в состоянии делать на ее основе правильные выводы и принимать правильные экономические решения. Существенность информации — это ее свойство, которое делает ее способной влиять на экономические решения разумного пользователя такой информации.
При определении уровня существенности и аудиторского риска следует руководствоваться федеральным правилом (стандартом) № 4 «Существенность в аудите».
Аудитор оценивает то, что является существенным, по своему профессиональному суждению.
При разработке плана аудита аудитор устанавливает приемлемый уровень существенности с целью выявления существенных (с количественной точки зрения) искажений. Тем не менее как значение (количество), так и характер (качество) искажений должны приниматься во внимание. Примерами качественных искажений являются:
Аудитору необходимо рассмотреть возможность искажений в отношении сравнительно небольших величин, которые в совокупности могут оказать существенное влияние на финансовую (бухгалтерскую) отчетность. Например, ошибка в процедуре, проводимой в конце месяца, может указывать на возможное существенное искажение, которое возникнет в том случае, если такая ошибка будет повторяться каждый месяц.
Аудитор рассматривает существенность как на уровне финансовой (бухгалтерской) отчетности в целом, так и в отношении остатка средств по отдельным счетам бухгалтерского учета групп однотипных операций и случаев раскрытия информации. На существенность могут оказывать влияние нормативные правовые акты Российской Федерации, а также факторы, имеющие отношение к отдельным счетам бухгалтерского учета финансовой (бухгалтерской) отчетности и взаимосвязям между ними. В зависимости от рассматриваемого аспекта финансовой (бухгалтерской) отчетности возможны различные уровни существенности.
Аудитору следует принимать во внимание существенность:
Взаимосвязь между существенностью и аудиторским риском
При планировании аудиторской проверки аудитор рассматривает вопрос о том, что могло бы повлечь существенное искажение финансовой (бухгалтерской) отчетности. Аудиторская оценка существенности, относящаяся к отдельным счетам бухгалтерского учета и группам однотипных операций, помогает аудитору решить такие вопросы, как, например, вопрос о том, какие показатели финансовой (бухгалтерской) отчетности проверять, а также вопрос использования выборочной проверки и аналитических процедур. Это позволяет аудитору выбрать аудиторские процедуры, которые, как предполагается, в совокупности уменьшат аудиторский риск до приемлемо низкого уровня.
Между существенностью и аудиторским риском существует обратная зависимость, т. е. чем выше уровень существенности, тем ниже уровень аудиторского риска, и наоборот. Обратная зависимость между существенностью и аудиторским риском принимается во внимание аудитором при определении характера, сроков проведения и объема аудиторских процедур. Например, если по завершении планирования конкретных аудиторских процедур аудитор определяет, что приемлемый уровень существенности ниже, то аудиторский риск повышается. Аудитор компенсирует это либо снизив предварительно оцененный уровень риска средств контроля там, где это возможно, и поддерживая пониженный уровень посредством проведения расширенных или дополнительных тестов средств контроля, либо снизив риск необнаружения искажений путем изменения характера, сроков проведения и объема запланированных процедур проверки по существу.
Существенность и аудиторский риск при оценке аудиторских доказательств
Оценка существенности и аудиторского риска на начальной стадии планирования может отличаться от такой оценки после подведения итогов аудиторских процедур. Это может быть вызвано изменением обстоятельств или изменением информированности аудитора по результатам аудита. Например, если аудиторская проверка планируется до конца отчетного периода, аудитор может только прогнозировать результаты хозяйственной деятельности и финансовое положение аудируемого лица. Если фактические результаты деятельности и финансовое положение окажутся в значительной степени отличными от прогнозируемых, оценка существенности и аудиторского риска может измениться. Кроме того, аудитор при планировании своей работы может намеренно устанавливать приемлемый уровень существенности на уровне более низком, чем тот, который предполагается использовать для оценки результатов аудита. Это может быть сделано в целях уменьшения вероятности необнаружения искажений, а также в целях предоставления аудитору некоторой степени безопасности при оценке последствий искажений, обнаруженных в процессе аудита.
Оценка последствий искажений
При оценке достоверности финансовой (бухгалтерской) отчетности аудитору следует определить, является ли совокупность неисправленных искажений, выявленных в ходе аудита, существенной.
Совокупность неисправленных искажений включает:
Если аудитор приходит к выводу о том, что искажения могут оказаться существенными, ему необходимо снизить аудиторский риск посредством проведения дополнительных аудиторских процедур или потребовать от руководства аудируемого лица внесения поправок в финансовую (бухгалтерскую) отчетность. Руководство вправе внести поправки в финансовую (бухгалтерскую) отчетность с учетом выявленных искажений.
В том случае, если руководство аудируемого лица отказывается вносить поправки в финансовую (бухгалтерскую) отчетность, а результаты расширенных (дополнительных) аудиторских процедур не позволяют аудитору заключить, что совокупность неисправленных искажений не является существенной, аудитору следует рассмотреть вопрос о надлежащей модификации аудиторского заключения в соответствии с Федеральным правилом (стандартом) аудиторской деятельности «Аудиторское заключение по финансовой (бухгалтерской) отчетности».
Если совокупность неисправленных искажений, выявленных аудитором, приближается к уровню существенности, аудитору необходимо определить, существует ли вероятность того, что необнаруженные искажения, рассматриваемые вместе с совокупными обнаруженными, но не исправленными искажениями, могут превысить уровень существенности, определенный аудитором. Следовательно, по мере того как совокупные неисправленные искажения приближаются к уровню существенности, аудитор рассматривает вопрос о снижении риска посредством проведения дополнительных аудиторских процедур или требует от руководства аудируемого лица внесения поправок в финансовую (бухгалтерскую) отчетность с учетом выявленных искажений.
4.2. Оценка аудиторских рисков
Требования к оценке аудиторского риска и его составных частей установлены Федеральным стандартом № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом».
Аудиторский риск означает риск выражения аудитором ошибочного мнения о достоверности бухгалтерской отчетности в случае, когда в ней содержатся существенные искажения.
Аудиторский риск включает три составные части:
Неотъемлемый риск выражает вероятность возникновения ошибки при сложившемся способе ведения финансово-хозяйственной деятельности до проверки системой внутреннего контроля, т. е. при допущении отсутствия необходимых средств внутреннего контроля.
При разработке общего плана аудита аудитору следует провести оценку неотъемлемого риска.
При проведении такой оценки необходимо учесть следующие факторы:
Под риском средств контроля понимают вероятность того, что существующая ошибка, превышающая допустимую величину, не будет обнаружена системой внутреннего контроля.
Для оценки эффективности системы внутреннего контроля используются различные методы. Одним из них является использование тестов средств контроля.
Тесты средств контроля включают:
Основываясь на результатах тестов средств контроля, аудитор должен определить, были ли разработаны или применялись ли средства внутреннего контроля так, как предполагалось при предварительной оценке риска средств контроля. В результате оценки отклонений аудитор должен сделать вывод о том, что первоначальная оценка уровня риска средств контроля нуждается в пересмотре. В таких случаях аудитору следует изменить характер, временные рамки и объем запланированных процедур проверки по существу.
Риск необнаружения выражает вероятность того, что выполнение всех аудиторских процедур и надлежащий сбор аудиторских доказательств не позволяет обнаружить ошибки, превышающие допустимую величину.
Существует обратная зависимость между риском необнаружения, неотъемлемым риском и риском средств контроля. Чем выше неотъемлемый риск и риск средств контроля, тем меньше возможности обнаружить ошибки, т. е. тем выше риск необнаружения.
В случае, если аудитору требуется снизить риск необнаружения, он обязан:
При оценке общего аудиторского риска используют следующие методы:
Модель аудиторского риска может быть выражена следующим образом:
Например, аудитор полагает, что неотъемлемый риск составляет 80 %, риск контроля — 50 % и риск необнаружения — 10 %. Общий аудиторский риск составит 4 % (0,8 Ч 0,5 Ч 0,1). Таким образом, риск не обнаружить существенных ошибок в бухгалтерской отчетности составляет 4 %. Большинство аудиторов считают, что величина приемлемого аудиторского риска не должна превышать 5 %.
4.3. Оценка систем бухгалтерского учета и внутреннего контроля при проведении аудита
Требования к оценке системы внутреннего контроля установлены в Федеральном стандарте № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом».
Термин «система внутреннего контроля» означает совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой (бухгалтерской) отчетности.
Аудитор должен оценить следующие основные элементы системы внутреннего контроля: среда контроля, процедуры контроля, система бухгалтерского учета.
Контрольная среда — среда в рамках которой руководство аудируемого лица осуществляет контроль бизнеса. Контрольная среда влияет на эффективность конкретных средств контроля и включает в себя:
1) стиль и основные принципы управления данным аудируемым лицом;
2) организационную структуру аудируемого лица;
3) распределение ответственности и полномочий;
4) осуществляемую кадровую политику;
5) порядок подготовки финансовой (бухгалтерской) отчетности для внешних пользователей;
6) порядок осуществления внутреннего управленческого учета и подготовки отчетности для внутренних целей;
7) обеспечение соответствия хозяйственной деятельности аудируемого лица требованиям законодательства;
8) наличие и особенности организации работы ревизионной комиссии, службы внутреннего аудита в составе органа управления аудируемого лица.
Оценка среды контроля производится для того, чтобы:
Последствия непроведения оценки среды контроля заключается в следующем: выполнение лишнего объема работ по проверке; возможность составления неверного заключения по причине недооценки различных видов риска; неверная оценка эффективности управленческого контроля.
Оценка среды контроля производится с помощью методов наблюдения и анкетирования, поскольку детальное тестирование будет слишком дорогостоящей процедурой. Выделяют два вида оценки: удовлетворительная и неудовлетворительная.
Удовлетворительная оценка означает, что:
Неудовлетворительная оценка означает, что:
К процедурам контроля, принятым руководством аудируемого лица, относятся:
1) подотчетность одних работников другим;
2) внутренние проверки и сверки данных по вопросам финансово-хозяйственной деятельности;
3) сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями (инвентаризация);
4) сравнение данных, полученных из внутренних источников, с данными внешних источников информации;
5) проверка аналитических счетов и оборотных ведомостей и арифметической точности записей;
6) осуществление контроля за прикладными программами и компьютерными информационными системами, в том числе посредством установления контроля за изменениями компьютерных программ и за доступом к файлам данных, за правом доступа при вводе и выводе информации из системы;
7) ограничение доступа к активам и записям;
8) сравнение и анализ финансовых результатов с плановыми показателями.
Термин «система бухгалтерского учета» означает упорядоченную систему сбора, регистрации и обобщения информации в денежном выражении об имуществе и обязательствах организаций и их движении путем сплошного, непрерывного и документального учета всех хозяйственных операций.
Система бухгалтерского учета должна обеспечить:
Аудитору необходимо понимание системы бухгалтерского учета для того, чтобы определить:
1) основные группы и типы операций, осуществляемых аудируемым лицом;
2) способы учета таких операций;
3) основные регистры бухгалтерского учета, методы систематизации и хранения первичных документов и счета бухгалтерского учета, используемые при подготовке финансовой (бухгалтерской) отчетности;
4) процесс ведения бухгалтерского учета и составления финансовой (бухгалтерской) отчетности от момента возникновения и учета операций до момента их включения в финансовую (бухгалтерскую) отчетность.
Оценка системы внутреннего контроля необходима для того, чтобы составить план проведения аудита, выявить «узкие» места при его проведении, определить необходимый объем аудиторских процедур.
Выводы
Существенность аудита (или уровень существенности) — обстоятельства, которые оказывают влияние на достоверность бухгалтерской отчетности экономического субъекта.
Аудиторский риск означает риск выражения аудитором ошибочного мнения о достоверности бухгалтерской отчетности в случае, когда в ней содержатся существенные искажения.
Аудиторский риск включает три составные части:
Неотъемлемый риск выражает вероятность возникновения ошибки при сложившемся способе ведения финансово-хозяйственной деятельности до проверки системой внутреннего контроля, т. е. при допущении отсутствия необходимых средств внутреннего контроля.
Под риском средств контроля понимают вероятность того, что существующая ошибка, превышающая допустимую величину, не будет обнаружена системой внутреннего контроля.
Риск необнаружения выражает вероятность того, что выполнение всех аудиторских процедур и надлежащий сбор аудиторских доказательств не позволяет обнаружить ошибки, превышающие допустимую величину.
Существует обратная зависимость между риском необнаружения, неотъемлемым риском и риском средств контроля. Чем выше неотъемлемый риск и риск средств контроля, тем меньше возможности обнаружить ошибки, т. е. тем выше риск необнаружения.
Термин «система внутреннего контроля» означает совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой (бухгалтерской) отчетности.
Система внутреннего контроля включает следующие основные элементы: среду контроля, процедуры контроля, систему бухгалтерского учета.
Термин «система бухгалтерского учета» означает упорядоченную систему сбора, регистрации и обобщения информации в денежном выражении об имуществе и обязательствах организаций и их движении путем сплошного непрерывного и документального учета всех хозяйственных операций.
Аудит системы внутреннего контроля
В рамках выполнения аудита системы внутреннего контроля в программе IT Audit документируется выполнение следующих аудиторских процедур:
По результатам рассмотрения системы внутреннего контроля производится расчет риска средств контроля.
Данные документы расположены в разделе Аудит системы внутреннего контроля аудируемого лица. По результатам заполнения данных документов аудитор оценивает риск средств контроля (производится качественная оценка)
Выявленные при заполнении документа риски существенного искажения вносятся в общий список рисков (Карта рисков) по разделу «Аудит бухгалтерской отчетности».
4. Оценка риска существенного искажения и аудиторского риска на уровне отчетности
В документ Оценка риска существенного искажения и аудиторского риска на уровне отчетности переносятся результирующие данные из рабочих документов по оценке рисков:
Рабочие документы по рискам автоматически заполняется переменными
При создании рабочего документа программа автоматически заполняет переменные (наименование клиента, наименование проекта, руководитель задания, логотип аудиторской компании и т.д.), выделенные серым цветом
В столбце «Содержание ответа» выбирается необходимый вариант или вносится собственный. При необходимости документ изменяется в текстовом редакторе.
Порядок заполнения документа переменными приведен на странице Справки:
Оценка выявленных рисков
Документирование выявленных рисков и их оценка производится в модуле Риски программы IT Audit:
Внутренний аудит: риски и контроли
Автор: Артем Горлов, директор по внутреннему контролю и аудиту АО «РТИ», член Ассоциации «Институт внутренних аудиторов»
Действия сотрудников компании, направленные на повышение вероятности достижения поставленных перед организацией целей, называются контролями. Совокупность таких действий внутри организации называется системой внутренних контролей.
События, которые могут оказать негативные воздействия на организацию и ее целевые показатели, называются рисками.
Проще говоря, риск – это всё, что ставит под угрозу достижение целей, а контроль – это все действия, которые минимизируют риски и, соответственно, повышают вероятность достижения целей.
Риски, цели и контроли тесно взаимосвязаны с друг другом. Постановка целей компании автоматически означает принятие рисков, связанных с достижением данных целей.
Внутренние аудиторы постоянно работают с рисками и контролями, рекомендуя организации меры по повышению эффективности процессов корпоративного управления, управления рисками и контроля.
Рис. 1. Взаимосвязь целей, рисков и контролей
Разберем данную взаимосвязь на простом примере: на небольшом заводе, специализирующемся на производстве и продаже пластиковых бутылок, руководитель принимает решение о запуске производства пластиковых игрушек. Такое решение сопровождается с несколькими рисками, основные из которых: неконкурентная цена и неудачный дизайн игрушек. Далее менеджмент компании, осознавая данные риски, внедряет контрольные процедуры, позволяющие снизить вероятность наступления некоторых рисков, например, подготавливая исследование нового рынка, проводя анализ себестоимости нового продукта и сравнивая себестоимость с плановыми (ожидаемыми) значениями для достижения конкурентоспособной цены. Таким образом, если в компании эффективная система внутренних контролей, руководство получает разумную уверенность в том, что поставленные цели буду достигнуты.
Добавим в данный пример внутренних аудиторов:
Внутренние аудиторы будут собирать и анализировать информацию, на основе которой можно сказать о качестве имеющихся контролей. Например, внутренние аудиторы могут выявить, что исследование рынка не содержит достоверную информацию о предложении и спросе на рынке, поскольку его готовили те же люди, что отвечают за показатели по новому продукту, и они манипулируют данной информацией в своих целях. Или внутренние аудиторы могут обратить внимание, что анализ себестоимости делается неверно, так как часть переменных затрат, относящихся к производству игрушек, учтена в переменных затратах по производству пластиковых бутылок, что «на бумаге» занижает стоимость игрушек, но в реальности она выше. Далее внутренние аудиторы формулируют свои выводы руководству и рекомендуют варианты, каким образом можно улучшить систему внутренних контролей, например, они могут рекомендовать следующие действия:
нанять внешнюю компанию, которая будет периодически готовить исследование рынка,
утвердить организационную политику, в которой одним из ключевых принципов будет нетерпимость к мошенничеству,
ежегодного проводить производственные тестирования и пересматривать переменные затраты по продуктам, а также доработать алгоритмы расчета себестоимости в корпоративной системе учета.
Предназначение как контролей, так и рисков не всегда напрямую связано с достижением поставленных перед организацией целей. Ниже представлены три возможных области:
Область рисков и контролей
Описание
Эффективность и результативность операций
Выполнение операционных и финансовых целей организации, включая обеспечение сохранности активов.
Достоверность и полнота финансовой отчетности
Подготовка и публикация надёжной и достоверной финансовой отчетности.
Соблюдение применимых законов и правил
Соблюдение законов и нормативных требований, которые распространяются на деятельность организации.
Контроли, как и риски, могут функционировать (присутствовать) на трех уровнях: корпоративный, операционный и транзакционный. Ниже даны определения данных видов контролей из примера с заводом:
утверждение организационной политики – это корпоративный контроль, так как связан с основополагающими устоями/ценностями компании,
ежегодное проведение производственных тестирований – это операционный контроль, так как связан с контролем за повседневной деятельностью предприятия,
доработка алгоритмов расчета себестоимости в учете – транзакционный контроль, так как связан с настройками систем и достоверностью учета.
Необходимо отметить, что наиболее полезными являются контроли, которые выявляют и предотвращают негативные для компании события до того, как они произошли. Такие контроли называются упреждающими, или превентивными: например, разделение обязанностей между сотрудниками или проверка финансовой благонадежности покупателя перед отгрузкой продукции в кредит. Другой вид контролей – это детективные, или выявляющие (контроль по результатам). Такие контроли выявляют проблему уже после того как она произошла: например, периодическая кассовая инвентаризация.
Внутренний аудитор также всегда должен обращать внимание на стоимость внедрения контроля, иначе он рискует попасть в ситуацию, когда контроль, который он рекомендует, превышает стоимость потенциальных убытков от реализации рисков. Если бы внутренние аудиторы на заводе по производству пластика и игрушек рекомендовали привлекать на постоянной основе крупную международную компанию, чьи услуги стоят больших денег, то, возможно, стоимость такого контроля превышала бы прибыль, которую компания могла бы получать от продажи нового продукта.
Иногда контроль подробно описан в регламентах и максимально прозрачен, а иногда контроль абсолютно не формализован, тем не менее, такой контроль может быть эффективным. В качестве примера эффективного контроля можно привести действия руководителя, когда он на еженедельных собраниях уточняет у сотрудников статус по поставленным перед ними задачам и по итогам принимает решения, которые позволят достичь поставленных целей.
Для того, чтобы контроль был эффективным, он должен состоять из трех частей: постановка цели, сопоставление факта с ожиданиями, принятие корректирующих действий. Как вы видите, несмотря на то, что выше приведен пример неформализованного контроля, он всё равно содержит три действия. Перед встречами руководитель поставил цели, в процессе встречи он сопоставлял факт со своими ожиданиями и в итоге принимал корректирующие действия.
Эффективно работающая система внутренних контролей представляет собой взаимосвязь целей, компонентов и подразделений организации. Такая система несет выгоды как для руководства компании, так и для внешних агентов (законодательные и регулирующие органы, внешние аудиторы и даже потребители продукции или услуг).
В мире существуют множество моделей, демонстрирующих лучшие практики в построении системы внутренних контролей. В 1992 году Комитет спонсорских организаций Комиссии Тридуэя (COSO) разработал и описал наиболее известную модель взаимосвязи всех компонентов внутри организации (Internal control integrated framework). А в 2004 году COSO представил модель управления рисками организаций (Enterprise risk management integrated framework). Принятие и использование основ, заложенных в данных моделях, позволяет организациям построить эффективные системы корпоративного управления.