Как определяется риск средств контроля

Как определяется риск средств контроля

Показатель уровня риска средств внутреннего контроля определяет способность организационных систем предприятия, действующих в области бухгалтерского и финансового учета, выявлять и предупреждать появление и использование недостоверной информации. Так, аудиторским правилом «Существенность и аудиторский риск», утвержденным постановлением Минфина РБ от 16.03.2001 № 24 (в ред. Постановления от 05.02.2003 № 14) (далее — Правило), этот риск определен следующим образом.

Все сферы человеческой деятельности, особенно экономика, связаны с принятием решений в условиях неполноты информации, в результате чего возникают определенные риски. При проведении аудита также возникают определенные риски. Поэтому одной из основных задач аудитора является получение достаточных доказательств для выражения мнения о том, что бухгалтерская отчетность, по которой составляется аудиторское заключение, составлена в соответствии с общепринятой практикой и принципами (отражает верный и справедливый взгляд) и не содержит каких-либо искажений и неточностей.

Однако аудитор не подтверждает каждую заключенную клиентом сделку, аудитор не может сделать больше, чем просто выразить мнение с определенным уровнем уверенности в его верности. Всегда существует определенный риск того, что какая-либо существенная неточность не была обнаружена. Требования к определению аудиторских рисков установлены в аудиторском правиле (стандарте) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом».

Аудиторский риск является критерием качества работы аудитора, в основе его оценки лежит его профессиональное мнение.

При планировании и разработке эффективного подхода к проведению аудита аудитору необходимо получить представление о системах бухгалтерского учета и внутреннего контроля аудируемого лица.

Система бухгалтерского учета — это упорядоченная система сбора, регистрации и обобщения информации в денежном выражении об имуществе и обязательствах организаций и их движении путем сплошного, непрерывного и документального учета всех хозяйственных операций.

Система внутреннего контроля — это совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой (бухгалтерской) отчетности.

Аудитору необходимо оценить аудиторский риск и разработать аудиторские процедуры, необходимые для снижения данного риска до приемлемо низкого уровня.

Аудиторский риск — это риск выражения аудитором ошибочного аудиторского мнения в случае, когда в финансовой (бухгалтерской) отчетности содержатся существенные искажения. Аудиторский риск состоит из трех частей:

1) неотъемлемый риск;

2) риск средств контроля;

3) риск необнаружения.

Неотъемлемый (внутрихозяйственный) риск — это подверженность остатка средств на счетах бухгалтерского учета или группы однотипных операций искажениям, которые могут быть существенными (по отдельности или в совокупности с искажениями остатков средств на других счетах бухгалтерского учета или групп однотипных операций), при отсутствии необходимых средств внутреннего контроля.

Риск средств контроля — это риск того, что искажение, которое может иметь место в отношении остатка средств по счетам бухгалтерского учета или группы однотипных операций и быть существенным (по отдельности или в совокупности с искажениями остатков средств по другим счетам бухгалтерского учета или групп однотипных операций), не будет своевременно предотвращено или обнаружено и исправлено с помощью систем бухгалтерского учета и внутреннего контроля.

Риск необнаружения означает риск того, что аудиторские процедуры по существу не позволяют обнаружить искажение остатков средств по счетам бухгалтерского учета или групп операций, которое может быть существенным по отдельности или в совокупности с искажениями остатков средств по другим счетам бухгалтерского учета или группы операций.

В процессе аудита финансовой (бухгалтерской) отчетности аудитор уделяет внимание тем основным целям и конкретным процедурам в системах бухгалтерского учета и внутреннего контроля, которые имеют отношение к процессу подготовки финансовой (бухгалтерской) отчетности. Понимание соответствующих аспектов систем бухгалтерского учета и внутреннего контроля наряду с оценкой неотъемлемого риска, риска средств контроля и учетом иной информации позволяет аудитору:

1) определить виды вероятных существенных искажений, которые могут встретиться в финансовой (бухгалтерской) отчетности;

2) учитывать факторы, которые влияют на риск появления существенных искажений;

3) разрабатывать надлежащие аудиторские процедуры.

При разработке подхода к проведению аудита аудитор принимает во внимание предварительную оценку риска средств контроля, а также оценку неотъемлемого риска для того, чтобы определить надлежащий риск необнаружения, который может быть принят во внимание в отношении предпосылок подготовки финансовой (бухгалтерской) отчетности, а также для определения характера, временных рамок и объема аудиторских процедур по существу.

Оценка аудиторского риска и факторы, оказывающие влияние на аудиторский риск, должны отражаться в стратегии аудита.

При оценке аудиторского риска применяются три основных градации:

Аудитор может принять решение о применении в своей деятельности большего количества градаций, чем три вышеупомянутые, либо об использовании для оценки рисков количественных показателей (процентов или долей единицы).

Аудитор при проведении аудита должен предпринять все необходимые меры для того, чтобы снизить аудиторский риск до разумного минимального уровня.

Общий аудиторский риск можно представить формулой:

АР = ВХР Ч РСК Ч РНО, где:

АР — аудиторский риск;

ВХР — внутрихозяйственный риск;

РСК — риск средств контроля;

РНО — риск необнаружения.

Показатели неотъемлемого (внутрихозяйственного) риска, риска средств контроля и риска необнаружения оцениваются не только в зависимости от мнения аудитора, но и на базе собранной им информации.

При разработке общего плана аудита аудитор проводит оценку неотъемлемого риска на уровне финансовой (бухгалтерской) отчетности. При разработке программы аудита проведенная оценка неотъемлемого риска сопоставляется с существенными остатками по счетам бухгалтерского учета и группами однотипных операций на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности или предполагается, что неотъемлемый риск в отношении данной предпосылки является высоким.

Для проведения оценки неотъемлемого риска аудитор полагается на свое профессиональное суждение для того, чтобы учесть факторы по следующим направлениям:

1) на уровне финансовой (бухгалтерской) отчетности;

2) на уровне остатков по счетам бухгалтерского учета и группы однотипных операций.

Факторы на уровне финансовой (бухгалтерской) отчетности:

· опыт и знания руководства, а также изменения в его составе за определенный период (например, неопытность руководства может повлиять на подготовку финансовой (бухгалтерской) отчетности аудируемого лица);

· необычное давление на руководство (например, обстоятельства, вследствие которых руководство может склониться к искажению финансовой (бухгалтерской) отчетности, такие, как большое число банкротств организаций в данной отрасли или нехватка капитала, необходимого для дальнейшей деятельности аудируемого лица; банкротство головной организации или банкротство дочерней организации; банкротство крупных акционеров аудируемого лица);

· характер деятельности аудируемого лица (например, потенциальная возможность технического устаревания его продукции и услуг, сложность структуры капитала, значимость аффилированных лиц, а также количество производственных площадей и их территориальное расположение);

· факторы, влияющие на отрасль, к которой относится аудируемое лицо (например, состояние экономики и условия конкуренции, отражением которых являются финансовые тенденции и показатели, а также изменения в области технологии, потребительского спроса и учетной политики, характерные для данной отрасли).

Факторы на уровне остатков по счетам бухгалтерского учета и группы однотипных операций:

· счета бухгалтерского учета, которые могут быть подвержены искажениям (например, статьи, требовавшие корректировки в предыдущие периоды или связанные с большой ролью субъективной оценки);

· сложность лежащих в основе учета операций и прочих событий, которые могут потребовать привлечения экспертов;

· роль субъективного суждения, необходимого для определения остатков на счетах бухгалтерского учета;

· подверженность активов потерям или незаконному присвоению (например, наиболее привлекательных и ликвидных активов, таких, как денежные средства);

· завершение необычных и сложных операций, особенно в конце или ближе к концу отчетного периода;

· операции, которые не подвергаются процедуре обычной обработки.

Уровень риска необнаружения напрямую связан с аудиторскими процедурами проверки по существу.

Оценка риска средств контроля наряду с оценкой неотъемлемого риска влияет на характер, временные рамки и объем аудиторских процедур проверки по существу, которые проводятся с целью снижения риска необнаружения и, следовательно, уменьшения аудиторского риска до приемлемо низкого уровня.

Если аудитору придется проверить все остатки по счетам бухгалтерского учета или все однотипные операции данной группы, определенный риск необнаружения всегда будет присутствовать, потому что преобладающая часть аудиторских доказательств лишь предоставляет доводы в поддержку некоторого вывода, а не носит исчерпывающего характера.

Аудитор должен учитывать оцененные уровни неотъемлемого риска и риска средств контроля при определении характера, временных рамок и объема процедур проверки по существу, необходимых для снижения аудиторского риска до приемлемо низкого уровня. В этой связи аудитор рассматривает:

· характер процедур проверки по существу, например проведение тестов, ориентированных на представителей независимых сторон, не связанных с аудируемым лицом, а не на его сотрудников или документацию, или проведение в дополнение к аналитическим процедурам детальных тестов, направленных на решение какой-либо конкретной цели аудита;

· временные рамки выполнения процедур проверки по существу, например проведение таких процедур в конце отчетного периода, а не в более ранний срок;

· объем процедур проверки по существу, например использование большего объема выборки.

Существует обратная зависимость между риском необнаружения, с одной стороны, и совокупным уровнем неотъемлемого риска и риска средств контроля, с другой стороны. Если неотъемлемый риск и риск средств контроля высоки, то необходимо, чтобы приемлемый риск необнаружения был низким, что позволит снизить аудиторский риск до приемлемо низкого уровня. Если же, напротив, неотъемлемый риск и риск средств контроля находятся на низком уровне, аудитор может принять более высокий риск необнаружения и снизить аудиторский риск до приемлемо низкого уровня.

Аудиторская оценка компонентов аудиторского риска может изменяться в ходе аудита, например в ходе процедур проверки по существу аудитор может получить информацию, значительно отличающуюся от той, на основе которой он сделал первоначальную оценку неотъемлемого риска и риска средств контроля. В таком случае аудитору необходимо внести изменения в запланированные процедуры проверки по существу, основываясь на пересмотренных оценках неотъемлемого риска и риска средств контроля.

Чем выше оценка неотъемлемого риска и риска средств контроля, тем больше аудиторских доказательств аудитору необходимо получить в ходе процедур проверки по существу. Если неотъемлемый риск и риск средств контроля оцениваются как высокие, то аудитору необходимо определить, смогут ли процедуры проверки по существу предоставить достаточные надлежащие аудиторские доказательства, чтобы снизить риск необнаружения и, следовательно, аудиторский риск до приемлемо низкого уровня. В том случае, когда аудитор устанавливает, что риск необнаружения в отношении предпосылки подготовки финансовой (бухгалтерской) отчетности применительно к существенному остатку на счете бухгалтерского учета или группе однотипных операций не может быть снижен до приемлемо низкого уровня, ему следует выразить мнение с оговоркой или отказаться от выражения мнения.

Система внутреннего контроля выходит за рамки тех вопросов, которые непосредственно относятся к системе бухгалтерского учета, и включает контрольную среду.

Понимание аудитором систем бухгалтерского учета и внутреннего контроля является важным для аудита. Понимание приобретается на основе предыдущего опыта работы с аудируемым лицом и дополняется:

запросами к надлежащим представителям руководства, персоналу, выполняющему руководящие и контролирующие функции, и другим сотрудникам на разных уровнях организационной структуры аудируемого лица наряду с использованием документации аудируемого лица, такой, как пособия по процедурам внутреннего контроля, описания служебных обязанностей;

изучением документов и записей, создаваемых в рамках систем бухгалтерского учета и внутреннего контроля;

наблюдением за деятельностью и операциями аудируемого лица, включая наблюдение за организацией компьютерных операций.

Аудитору необходимо понимание системы бухгалтерского учета, достаточное, чтобы определить:

· основные группы и типы операций, осуществляемых аудируемым лицом;

· способы инициирования таких операций;

· основные регистры бухгалтерского учета, методы систематизации и хранения первичных документов и счета бухгалтерского учета, используемые при подготовке финансовой (бухгалтерской) либо иной отчетности;

· процесс ведения бухгалтерского учета и составления финансовой (бухгалтерской) отчетности от момента инициирования важных операций и прочих событий до момента их включения в финансовую (бухгалтерскую) отчетность.

Аудитору необходимо получить понимание контрольной среды, достаточное для оценки отношения к средствам внутреннего контроля руководства аудируемого лица, его осведомленности и предпринимаемых относительно указанных средств действий, а также их значимости для аудируемого лица.

Под контрольной средой понимаются осведомленность и действия руководства аудируемого лица, направленные на установление и поддержание системы внутреннего контроля, а также понимание важности такой системы.

Контрольная среда влияет на эффективность конкретных средств контроля и включает в себя следующие составляющие:

1) стиль и основные принципы управления данным аудируемым лицом;

2) организационную структуру аудируемого лица;

3) распределение ответственности и полномочий;

4) осуществляемую кадровую политику;

5) порядок подготовки финансовой (бухгалтерской) отчетности для внешних пользователей;

6) порядок осуществления внутреннего управленческого учета и подготовки отчетности для внутренних целей;

7) обеспечение соответствия хозяйственной деятельности аудируемого лица требованиям законодательства;

8) наличие и особенности организации работы ревизионной комиссии, службы внутреннего аудита в составе органа управления аудируемого лица.

Для разработки плана аудиторской проверки аудитору необходимо получить достаточное понимание процедур (средств) контроля. При этом учитывается информация о наличии или отсутствии процедур контроля, полученная в ходе изучения контрольной среды и системы бухгалтерского учета, для определения необходимости дополнительного изучения этих процедур. Так как процедуры контроля находятся в тесной взаимосвязи с контрольной средой и системой бухгалтерского учета, некоторые знания относительно данных процедур могут быть приобретены в процессе изучения аудитором контрольной среды и системы бухгалтерского учета.

К процедурам контроля в организации, принятым руководством аудируемого лица, относятся:

· подотчетность одних работников другим;

· внутренние проверки и сверки данных по вопросам финансово-хозяйственной деятельности;

· сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями (инвентаризация);

· сравнение данных, полученных из внутренних источников, с данными внешних источников информации;

· проверка аналитических счетов и оборотных ведомостей и арифметической точности записей;

· осуществление контроля за прикладными программами и компьютерными информационными системами, в том числе посредством установления контроля за изменениями компьютерных программ и за доступом к файлам данных, за правом доступа при вводе и выводе информации из системы;

· ограничение доступа к активам и записям;

· сравнение и анализ финансовых результатов с плановыми показателями.

Средства внутреннего контроля, имеющие отношение к системе бухгалтерского учета, содействуют достижению следующих целей:

· осуществление операций по общему или специальному разрешению руководства;

· своевременный учет всех операций и прочих событий в точных суммах, на надлежащих счетах и в должные отчетные периоды с тем, чтобы сделать возможной подготовку финансовой (бухгалтерской) отчетности в соответствии с установленным порядком;

· возможность доступа к активам и записям только по разрешению руководства;

· регулярное сопоставление учтенных активов с активами, имеющимися в наличии, и принятие надлежащих мер в отношении любых расхождений.

Системы бухгалтерского учета и внутреннего контроля из-за существования неотъемлемых ограничений не могут дать исчерпывающих доказательств достижения поставленных перед ними целей. Указанные ограничения включают:

· требование руководства, согласно которому затраты, связанные с осуществлением внутреннего контроля, не должны быть выше ожидаемых выгод;

· ориентацию большей части средств внутреннего контроля на текущие, а не на редкие операции;

· потенциальную возможность ошибки вследствие человеческого фактора, по причине небрежности, рассеянности, ошибок в суждении и неправильного понимания инструкций;

· возможность обойти процедуры внутреннего контроля путем сговора представителя руководства или работника с внешними или внутренними по отношению к аудируемому лицу лицами;

· возможность злоупотребления полномочиями по осуществлению внутреннего контроля;

· возможность того, что процедуры внутреннего контроля могут стать неадекватными вследствие изменения условий финансово-хозяйственной деятельности, и эффективность указанных процедур поэтому может снизиться.

В процессе получения представления о системах бухгалтерского учета и внутреннего контроля, необходимого для планирования аудиторской проверки, аудитор приобретает знания о структуре этих систем и их функционировании. Например, аудитор может проводить сквозной тест, то есть проследить прохождение нескольких операций через всю систему бухгалтерского учета. В том случае, когда выбранные операции являются типичными для операций, которые проходят сквозь всю систему бухгалтерского учета, проведенная процедура может рассматриваться как часть тестов средств контроля .

Характер, временные рамки и объем процедур, выполняемых аудитором с целью получения понимания систем бухгалтерского учета и внутреннего контроля, изменяются в зависимости от многих факторов, в том числе от:

1) объема и характера деятельности, территориального расположения, структуры аудиторского лица, а также эффективности его компьютерной системы;

2) соображений, связанных с понятием существенности;

3) применяемых средств внутреннего контроля;

4) формы и содержания документирования аудируемым лицом конкретных средств внутреннего контроля;

Документирование и оценка рисков по МСА

МСА требуют от аудитора выявлять и оценивать риски существенного искажения отчетности (п. 2, п. 5 МСА 315):

• на уровне финансовой отчетности в целом
• на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации

Оценка и документирование рисков существенного искажения по МСА 315

Новое в версии 8.4. Документирование оценки рисков по МСА 315. Модуль Операции

Выявленные риски существенного искажения на уровне отчетности и на уровне предпосылок в программе IT Audit приводятся в едином реестре рисков. Риски могут быть выбраны из справочника типовых рисков или внесены аудитором самостоятельно. Риски можно отобрать по различным критериям:

• риск, относящийся к определенной строке отчетности
• уровень риска (риск на уровне отчетности и на уровне предпосылок)
• тип риска (ошибки и недобросовестные действия)
• оценка риска (риск не выявлен, риск незначительный, риск значительный)

Выявленные и оцененные риски выгружаются в рабочий документ аудитора.

Документирование и оценка рисков

Документирование оценки выявленного риска производится в форме Карточка риска.

При документировании риска приводятся предпосылки и факторы риска. По умолчанию данные показатели проставляются автоматически на основании внесенных справочников.

Аудитор устанавливает тип риска согласно п. 6 МСА 315: ошибки или недобросовестные действия.

При оценке риска аудитор приводит Вероятность риска и Размер искажения (приводится в процентах с учетом профессионального суждения). При необходимости приводится влияние факторов риска на анализируемый риск (п. 19 МСА 315). Рассчитывается Неотъемлемый риск.

Приводится информация, выявлен ли риск и является ли анализируемый риск значительным. Требование по оценке значительности риска установлена пп. п 12, п. 22, п. 28, п. 32 МСА 315.

Рассчитывается Риск существенного искажения (РСИ) как функция неотъемлемого риска и риска средств контроля.

Рабочие документы по рискам

В рабочих документах по рискам соблюдаются необходимые требования по документированию и оценке рисков в соответствии с требованиями МСА 315 «Выявление и оценка рисков существенного искажения». Ниже приводится пример одного из документов.

В программе IT Audit по результатам документирования оценки рисков и средств контроля предусмотрены следующие рабочие документы:

• Реестр рисков / Журнал рисков
• Карточка риска (подробная информация по идентификации и оценке риска)
• Реестр средств контроля / Журнал средств контроля
• Карточка средства контроля (подробная информация по документированию средств контроля)
• Надзорная проверка рисков и средств контроля со стороны руководителя задания
• Проверка качества по рискам и средствам контроля со стороны контролера качества

Процедуры проверки по существу в ответ на значительные риски

В программе IT Audit в карточке риска на вкладке Процедуры можно задокументировать процедуры в ответ именно на данный риск. Выбранные процедуры автоматически будет добавлены в план аудита.

В программе IT Audit предусмотрено, что по одному риску может быть запланировано несколько процедур. Одна процедура может быть выполнена и задокументирована по нескольким выявленным рискам.

По результатам документирования процедур в ответ на оцененные риски в программе формируется отчет, в котором содержится:

• Информация о выявленных рисках
• Оценка риска
• Предпосылки
• Процедуры в ответ на оцененные риски
• Вывод по выявленному риску

Бесплатные обучающие вебинары по IT Audit

Ответим на вопросы действующих и потенциальных пользователей. Покажем работу программы и рабочие документы по МСА.

Выявление и оценка рисков по строке отчетности

В программе IT Audit риски могут быть задокументированы на уровне строк отчетности. В методике программы по рискам предусмотрены соответствующие процедуры (процедуры в ответ на оцененные риски). Это позволяет выбрать процедуры по выявленному риску и сформировать план аудита по проверке разделов аудита (строк отчетности) с учетом оцененных рисков.

Выявление и оценка рисков по видам операций

В программе IT Audit предусмотрено документирование и оценка рисков по видам операций, остаткам по счетам. По одному классу операций (вид операции) может быть идентифицировано несколько рисков.

Реестр выявленных рисков | Карта рисков

Проделанная аудитором работа по выявлению и оценке рисков позволяет сформировать реестр рисков по заданию (Карта рисков).

При необходимости реестр рисков можно сформировать по разделам аудита или отдельным бизнес-процессам — бизнес-риск. Находять на необходимом разделе или бизнес-процессе можно посмотреть и сразу же открыть карточку с подробной информаций о риске.

Ознакомление и оценка средств контроля по выявленным рискам | Тестирование средств контроля

По выявленному риску аудитор может задокументировать применяемые аудируемым лицом средства контроля. Программа позволяет по одному риску внести несколько контролей.

Документирование понимания и оценка средств контроля организации приводится в форме карточка средства контроля.

Для документирования тестирования средства контроля аудитор создает необходимую аудиторскую процедуру и вносит ее на вкладку Процедуры карточки средства контроля. Собранные аудиторские доказательства и выводы относительно операционной эффективности соответствующего средства контроля хранятся в карточке процедуры.

Для выполнения требований п. 10 МСА 330 «Аудиторские процедуры в ответ на оцененные риски» заполняется рабочий документ Тестирование средства контроля.

Использование модуля Риски для разработки системы внутреннего контроля аудируемых лиц

Бесплатные обучающие вебинары по IT Audit

Ответим на вопросы действующих и потенциальных пользователей. Покажем работу программы и рабочие документы по МСА.

Риск средств контроля

Предварительная оценка риска средств контроля представ­ляет собой процесс определения эффективности систем бухгал­терского учета и внутреннего контроля аудируемого лица с точ­ки зрения предотвращения или обнаружения и исправления существенных искажений. Определенный риск средств контроля все­гда имеет место в силу ограничений, присущих любой системе бухгалтерского учета и внутреннего контроля.

После того как получено понимание систем бухгалтерско­го учета и внутреннего контроля, аудитору необходимо провести предварительную оценку риска средств контроля на уровне пред­посылок подготовки финансовой (бухгалтерской) отчетности по каждому существенному остатку на счете бухгалтерского учета или группе однотипных операций.

По некоторым или всем предпосылкам подготовки финан­совой (бухгалтерской) отчетности риск средств контроля обычно оценивается аудитором как высокий в том случае, когда:

а) системы бухгалтерского учета и внутреннего контроля ауди­руемого лица неэффективны;

б) оценка эффективности систем бухгалтерского учета и внутреннего контроля аудируемого лица нецелесообразна.

27. Предварительная оценка риска средств контроля в отно­шении предпосылки подготовки финансовой (бухгалтерской) от­четности должна быть высокой, за исключением случаев, когда аудитор:

а) может указать соотносимые с данной предпосылкой конк­ретные средства внутреннего контроля, которые с определенной вероятностью будут предотвращать или обнаруживать и исправ­лять существенные искажения;

б) планирует проводить тесты средств контроля для подтверж­дения оценки.

28. В рабочих документах аудитору необходимо изложить сле­дующее:

а) свое понимание систем бухгалтерского учета и внутреннего контроля аудируемого лица;

б) оценку риска средств контроля.

В случае если оценка риска средств контроля ниже высокой, обоснование данного вывода также должно быть отражено в ра­бочих документах.

29. Существуют различные методы документирования инфор­мации, имеющей отношение к системам бухгалтерского учета и внутреннего контроля. Выбор конкретного метода является пред­метом аудиторского суждения. Обычные методы, применяемые по отдельности или в сочетании друг с другом, включают повество­вательное (текстовое) описание, вопросники, контрольные переч­ни и блок-схемы. Размер и сложность структуры аудируемого лица, а также характер его систем бухгалтерского учета и внутреннего контроля оказывают влияние на форму и объем документации. Как правило, чем сложнее система бухгалтерского учета и внутренне­го контроля аудируемого лица и чем объемнее аудиторские проце­дуры, тем больше объем документации аудитора.

30. Тесты средств контроля выполняются с целью получения аудиторских доказательств относительно эффективности:

а) структуры систем бухгалтерского учета и внутреннего кон­троля, то есть того, насколько хорошо они организованы с точки зрения предотвращения или обнаружения и исправления суще­ственных искажений;

б) средств внутреннего контроля в течение рассматриваемого периода.

Некоторые процедуры, выполняемые с целью получения понимания систем бухгалтерского учета и внутреннего контро­ля, могут не планироваться специально как тесты средств конт­роля, но могут предоставлять аудиторские доказательства отно­сительно эффективности структуры и применения на практике средств внутреннего контроля. Тем самым такие процедуры мо­гут служить в качестве тестов средств контроля. Например, при получении понимания систем бухгалтерского учета и внутренне­го контроля в части денежных средств аудитор может получить доказательства относительно эффективности процесса банковс­кой сверки посредством запросов и наблюдения.

Если аудитор приходит к выводу о том, что процедуры, выполняемые с целью понимания систем бухгалтерского учета и внутреннего контроля, также предоставляют аудиторские дока­зательства в части обеспечения соблюдения некоторой предпо­сылки подготовки финансовой (бухгалтерской) отчетности, то аудитор может использовать такие аудиторские доказательства при условии их достаточности для подтверждения оценки риска средств контроля для уровня ниже высокого.

Тесты средств контроля включают:

проверку документов, подтверждающих операции и другие события, с целью получения аудиторских доказательств относи­тельно надлежащего применения средств внутреннего контроля на практике, например проверку наличия разрешения на прове­дение операции;

направление запросов и наблюдение за применением средств внутреннего контроля, которые не оформляются документально, например определение действительного исполнителя какой-либо функции, а не того, кому положено ее выполнять;

повторное применение средств внутреннего контроля, напри­мер сверка банковских счетов, с тем чтобы удостовериться, что данные действия были правильно выполнены аудируемым лицом.

34. Аудитору необходимо получить аудиторское доказатель­ство посредством проведения тестов средств контроля для под­тверждения любой оценки риска средств контроля, которая явля­ется ниже высокой. Чем ниже оценка риска средств контроля, тем больше подтверждений аудитору необходимо получить относи­тельно надлежащей структуры и эффективного функционирова­ния систем бухгалтерского учета и внутреннего контроля.

35.В процессе получения аудиторских доказательств относи­тельно эффективного применения средств внутреннего контроля аудитор принимает во внимание способ их применения, последо­вательность их применения в течение определенного периода вре­мени, а также то, кем они применялись. Тем не менее понятие дей­ственного применения признает возможность появления отклоне­ний. Отклонения от установления средств контроля могут быть вызваны такими факторами, как изменения в составе работни­ков, значительные сезонные колебания в объеме операций и чело­веческий фактор. В случае обнаружения отклонений аудитор де­лает специальные запросы в отношении данных аспектов, в част­ности в отношении периодичности изменений в составе сотрудни­ков, выполняющих основные функции внутреннего контроля. После этого аудитору необходимо убедиться в том, что тесты средств контроля надлежащим образом охватывают период, в течение которого произошли изменения или колебания.

36.Цели тестов средств контроля компьютерных информаци­онных систем остаются теми же, что и при выполнении операций вручную, однако некоторые аудиторские процедуры могут быть изменены. Аудитор может посчитать необходимым или может предпочесть использование методов аудита с помощью компью­теров. Использование подобных методов, например инструмен­тов по исследованию электронных файлов, может быть уместным и том случае, если системы бухгалтерского учета и внутреннего контроля не предоставляют видимого доказательства, докумен­тально подтверждающего применение средств внутреннего конт­роля, которые запрограммированы в компьютерной системе бух­галтерского учета.

37.Основываясь на результатах тестов средств контроля, ауди­тор должен определить, были ли разработаны или применялись ли средства внутреннего контроля так, как предполагалось при предварительной оценке риска средств контроля. В результате оценки отклонений аудитор может сделать вывод о том, что пер­воначальная оценка уровня риска средств контроля нуждается в пересмотре. В таких случаях аудитору следует изменить харак­тер, временные рамки и объем запланированных процедур про­ верки по существу.

38.Определенные виды аудиторских доказательств, получен­ных аудитором, являются более достоверными по сравнению с другими. Обычно при проведении наблюдения аудитор получает более достоверное аудиторское доказательство по сравнению с тем, которое может быть получено путем запросов. Например, аудитор может получить аудиторское доказательство относитель­но надлежащего разделения обязанностей либо наблюдая за ли­цами, применяющими процедуру контроля, либо опрашивая со­ответствующих сотрудников. Вместе с тем аудиторское доказа­тельство, полученное посредством таких тестов средств контро­ля, как наблюдение, имеет отношение только к тому моменту вре­мени, когда была применена данная процедура. Поэтому ауди­тор может посчитать необходимым дополнить эти процедуры другими тестами средств контроля, которые могут предоставить ауди­торское доказательство относительно других периодов времени.

39.При определении надлежащего аудиторского доказатель­ства для подтверждения выводов относительно риска средств контроля аудитор может принимать во внимание аудиторское доказательство, полученное в ходе предыдущих аудиторских проверок. В случае проведения аудиторских проверок на протя­жении нескольких лет аудитор будет осведомлен о системах бух­галтерского учета и внутреннего контроля, так как будет обла­дать сведениями, полученными в ходе предыдущей работы. Тем не менее ему необходимо обновлять полученные знания и рассмот­реть необходимость получения дополнительных аудиторских до­казательств относительно любых изменений в системе контроля. Прежде чем полагаться на процедуры, примененные в ходе пре­дыдущих аудиторских проверок, аудитору необходимо получить аудиторские доказательства, подкрепляющие доверие к данным процедурам. Аудитору необходимо получить аудиторские дока­зательства в отношении характера, временных рамок и объема любых изменений в системах бухгалтерского учета и внутренне­го контроля аудируемого лица, произошедших с момента выпол­нения этих процедур, и оценить их влияние с точки зрения возмож­ности по-прежнему полагаться на такие процедуры. Чем больше времени проходит с момента выполнения таких процедур, тем меньшей будет уверенность в них.

40.Аудитору необходимо проанализировать, применялись ли средства внутреннего контроля в течение всего проверяемого периода. Если в разное время в течение проверяемого периода применялись средства контроля, значительным образом отличав­шиеся друг от друга, аудитору следует рассмотреть каждое из них в отдельности. Прекращение применения средств контроля в определенный момент проверяемого периода требует отдельного анализа характера, временных рамок и объема аудиторских про­цедур, необходимых в отношении операций и других событий данного периода.

41. Аудитор может принять решение о проведении некоторых тестов средств контроля во время промежуточного посещения аудируемого лица до окончания отчетного периода. Однако ауди­тор не может полагаться на результаты таких тестов, не учитывая необходимость получить дополнительные доказательства в отно­шении оставшейся части отчетного периода, по которой не были проведены тесты средств контроля. В данном случае во внимание принимаются следующие факторы:

результаты промежуточных тестов;

длительность оставшегося периода;

наличие каких-либо изменений в системах бухгалтерского учета и внутреннего контроля в течение оставшегося периода;

характер и величина операций и других событий, а также со­ответствующих остатков на счетах бухгалтерского учета;

контрольная среда, в особенности средства контроля, приме­няемые сотрудниками аудируемого лица в порядке текущего кон­троля;

процедуры проверки по существу, которые аудитор планиру­ет провести.

42. Перед окончанием аудиторской проверки, основываясь на результатах процедур проверки по существу и других полу­ченных аудиторских доказательствах, аудитор должен проана­лизировать, была ли подтверждена оценка риска средств конт­роля.

Взаимосвязь между оценками неотъемлемого риска и риска средств контроля

Чтобы избежать ситуаций, связанных с неотъемлемым рис­ком, руководство аудируемого лица, как правило, разрабатыва­ет системы бухгалтерского учета и внутреннего контроля, направ­ленные на предотвращение или обнаружение и исправление иска­жений, поэтому в большинстве случаев неотъемлемый риск и риск средств контроля тесно взаимосвязаны. Если аудитор пытается оценить неотъемлемый риск и риск средств контроля по отдельно­сти, возникает вероятность ненадлежащей оценки риска. В дан­ной ситуации аудиторский риск можно более надежно определить путем комбинированной оценки.

Оценка риска средств контроля (см. пункт 34)

A226. При планировании тестирования операционной эффективности средств контроля аудитор исходит из того, что средства контроля работают эффективно и это предположение ляжет в основу оценки аудитором риска средств контроля. Первоначальное ожидание относительно операционной эффективности средств контроля основано на оценке аудитором структуры выявленных средств контроля в компоненте контрольных процедур и установлении факта их внедрения. После того как аудитор протестирует операционную эффективность средств контроля в соответствии с МСА 330, он сможет подтвердить свое первоначальное ожидание относительно операционной эффективности средств контроля. В том случае, если средства контроля не работают эффективно, как ожидалось, аудитору потребуется пересмотреть оценку риска средств контроля согласно пункту 37.

A227. Оценка аудитором риска средств контроля может быть выполнена разными способами в зависимости от его предпочтений в области методов или методологии проведения аудита и может быть выражена по-разному.

A228. Если аудитор планирует протестировать операционную эффективность средств контроля, ему может потребоваться тестирование комбинации средств контроля, чтобы подтвердить свое ожидание относительно того, что средства контроля работают эффективно. Аудитор может запланировать тестирование как прямых, так и косвенных средств контроля, включая общие средства ИТ-контроля, и в таком случае при оценке риска средств контроля принять во внимание ожидаемое совокупное влияние средств контроля. Если средство контроля, которое планируется протестировать, не в полной мере отвечает на оцененный неотъемлемый риск, аудитор устанавливает, какие последствия это имеет для разработки дальнейших аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня.

A229. Если аудитор планирует протестировать операционную эффективность автоматизированного средства контроля, он может также запланировать тестирование операционной эффективности соответствующих общих средств ИТ-контроля, которые обеспечивают непрерывное функционирование данного автоматизированного средства контроля в ответ на риски, возникающие вследствие использования ИТ, и на этой основе сформировать свое ожидание в отношении того, что автоматизированное средство контроля работало эффективно на протяжении всего периода. Если, согласно ожиданиям аудитора, соответствующие общие средства ИТ-контроля неэффективны, установление данного факта может повлиять на оценку аудитором риска средств контроля на уровне предпосылок, и, возможно, в дальнейшие аудиторские процедуры аудитору потребуется включить процедуры проверки по существу, снижающие применимые риски, возникающие вследствие использования ИТ. Более детальные рекомендации в отношении процедур, которые может выполнить аудитор в данных обстоятельствах, приведены в МСА 330 <61>.