5336
.pdf−сохранность документации;
−права заказчика во время выполнения работ;
−содействия заказчика;
−конфиденциальность полученной сторонами информации;
−ответственность аудитора за ненадлежащее качество;
−приемку заказчиком работы, выполненной аудитором;
−качество работы;
−сроки обнаружения ненадлежащего качества результата работы;
−пределы и условия использования результатов работ;
−права на результаты интеллектуального творчества.
3.2.Изучение и оценка систем бухгалтерского учета и внутреннего кон-
троля в ходе аудита
Аудитор должен изучить деятельность аудируемого лица и среду, в которой она осуществляется, включая систему внутреннего контроля, в объеме, достаточном для выявления и оценки рисков существенного искажения финансовой (бухгалтерской) отчетности, явившегося следствием ошибок или недобросовестных действий руководства и работников аудируемого лица, а также достаточном для планирования и выполнения дальнейших аудиторских процедур.
Система внутреннего контроля (СВК) – это совокупность применяе-
мых администрацией приемов упорядоченного ведения бизнеса. СВК добровольна, и она разная, но эффективное СВК улучшает и устраняет ошибки в бухгалтерском учете. СВК эффективна, если она соответствует размерам бизнеса и особенностям хозяйственных операций.
Система внутреннего контроля включает следующие элементы:
∙контрольная среда;
∙процесс оценки рисков аудируемым лицом;
∙информационная система, в том числе связанная с подготовкой финансовой (бухгалтерской) отчетности;
∙контрольные действия;
∙мониторинг средств контроля.
Контрольная среда аудируемого лица оказывает влияние на сознательность сотрудников в отношении контроля. Она является основой для эффективной системы внутреннего контроля, обеспечивающей поддержание дисциплины и порядка. Контрольная среда включает следующие элементы:
а) доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей;
б) профессионализм (компетентность сотрудников); в) участие собственника или его представителей. Характерными особен-
ностями, которые должны быть присущи представителям собственника, являются:
∙независимость от руководства;
∙их опыт и статус;
40
∙масштабы их вовлечения в деятельность и надзор за ней;
∙уместность (надлежащий характер) их действий;
∙особенности информации, которую они получают;
∙уровень сложности поднимаемых и обсуждаемых с руководством аудируемого лица вопросов;
∙их взаимодействие с внутренними и внешними аудиторами;
г) компетентность и стиль работы руководства. Компетентность и стиль работы руководителей имеют широкий диапазон характеристик. К таким характеристикам могут относиться следующие:
∙подход руководства к выявлению рисков хозяйственной деятельности и управлению ими;
∙позиция и действия руководства в отношении составления финансовой (бухгалтерской) отчетности (осмотрительность при выборе принципов учета и разумный подход к подготовке оценочных показателей);
∙подходы руководства к обработке информации, учетным функциям и кадровой политике;
д) организационная структура; е) наделение ответственностью и полномочиями;
ж) кадровая политика и практика, которая в отношении сотрудников подразумевает:
∙набор;
∙адаптацию (инструктаж при приеме на работу);
∙подготовку;
∙обучение;
∙оценку;
∙консультирование;
∙продвижение по службе;
∙вознаграждение сотрудников.
Процесс оценки рисков аудируемым лицом может быть направлен на определение того, каким образом предотвращается возможность неотражения в учете хозяйственных операций или каким образом определяются и анализируются существенные для финансовой (бухгалтерской) отчетности оценочные значения.
Риски могут возникать или изменяться вследствие следующих обстоя-
тельств:
а) изменения в окружении аудируемого лица; б) новый персонал (новые сотрудники могут иметь иную точку зрения на
систему внутреннего контроля или иные приоритеты); в) внедрение новых или изменение уже применяемых информационных
систем; г) быстрый рост и развитие аудируемого лица (действующие средства
контроля могут не справиться с возросшим объемом операций и способствовать росту риска их несоответствия новым условиям деятельности);
41
д) новые технологии (внедрение новых технологий в производственные процессы или информационные системы может изменить риск, связанный с системой внутреннего контроля);
е) новые подходы к ведению хозяйственной деятельности, новые виды товаров, работ, услуг;
ж) реорганизация аудируемого лица может сопровождаться сокращением численности персонала и изменениями в распределении обязанностей, а также выполняемых сотрудниками контрольных функциях, которые также могут повлиять на риск, связанный с системой внутреннего контроля;
з) расширение операций за рубежом; и) новые принципы, стандарты, положения, инструкции в области веде-
ния бухгалтерского учета и подготовки.
Функционирование информационных систем, связанных с подготовкой финансовой (бухгалтерской) отчетности, обеспечивается:
а) техническими средствами; б) программным обеспечением; в) персоналом;
г) соответствующими процедурами; д) базами данных.
Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются, например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей аудируемого лица. Контрольные действия, которые могут иметь отношение к целям аудита, могут быть сгруппированы по следующим категориям методов и процедур:
а) проверка выполнения. Такие контрольные действия включают:
∙обзорные проверки и анализ фактических показателей в сравнении со сметными и прогнозными показателями;
∙обзорные проверки и анализ фактических показателей в сравнении с показателями за предыдущие периоды;
∙соотнесение между собой различных данных (управленческих и финансовых), анализ их соответствия, выводы об обнаруженных расхождениях и предпринимаемые в этих случаях корректирующие действия;
∙сопоставление внутренних данных со сведениями, полученными из внешних источников информации;
∙проверка результатов деятельности по областям, подразделениям, направлениям и т.п.;
б) обработка информации. Разнообразные контрольные процедуры в части обработки информации выполняются для проверки точности, полноты и санкционирования операций и делятся в области информационных систем на две большие группы средств контроля:
∙общие средства контроля;
∙прикладные средства контроля.
42
Общие средства контроля за информационной системой обычно включают средства контроля в отношении:
∙операций информационного центра и компьютерной сети;
∙приобретения программного обеспечения для операционной системы, его изменения и обслуживания;
∙защиты от несанкционированного доступа;
∙приобретения, развития и обслуживания прикладных программ информационных систем.
Такие средства контроля применимы к универсальным компьютерам, ми- ни-компьютерам и вычислительным машинам конечных пользователей в локальных сетях. Примерами таких общих средств контроля являются:
∙средства контроля за изменением программного обеспечения;
∙средства контроля, которые ограничивают доступ к программному обеспечению или базам данных;
∙средства контроля за реализацией новых версий прикладных пакетов программного обеспечения;
∙средства контроля за программным обеспечением систем, которые ограничивают доступ к сервисным программам системы или обеспечивают фиксацию того, кто, когда и какие изменения в данную систему внес.
Прикладные средства контроля применяются к обработке отдельных видов информации. Эти средства контроля помогают удостовериться, что осуществленные хозяйственные операции были санкционированы, в полном объеме и точно зафиксированы и обработаны. Примерами прикладных средств контроля являются:
∙проверка арифметической точности бухгалтерских записей;
∙ведение учета и обзорная проверка счетов, составление оборотных ведомостей;
∙такие автоматизированные процедуры контроля, как тестирование компьютером вводимых данных или контроль сквозной нумерации с последующей выдачей персоналу, выполняющему учетные функции, сообщений или справок о выявленных несоответствиях, что предполагает исправление таких ошибок в момент ввода либо впоследствии;
в) проверка наличия и состояния объектов.
Указанные контрольные действия направлены на обеспечение сохранности активов, включая:
∙меры предосторожности, ограничивающие доступ к активам или бухгалтерским записям;
∙санкционирование допуска к компьютерным программам и файлам с
данными;
∙проведение периодических инвентаризаций (например, сравнение результатов пересчета наличных денежных средств, ценных бумаг и товарноматериальных запасов с данными бухгалтерского учета).
Степень, в какой средства контроля в отношении наличия и состояния объектов учета могут предотвратить присвоение активов, важна для подготовки
43
надежной финансовой (бухгалтерской) отчетности и, соответственно, аудит зависит от таких обстоятельств, как высокая подверженность активов незаконному присвоению;
г) разделение обязанностей.
Мониторинг средств контроля. Важной обязанностью руководства является создание и поддержание системы внутреннего контроля в режиме непрерывной работы за тем, функционируют ли они и были ли они изменены надлежащим образом в случае необходимости, и может включать такие мероприятия, как наблюдение руководства за тем, своевременно ли подготавливаются выверки расчетов с банками, оценка внутренними аудиторами соответствия действий персонала, занимающегося продажами, политике аудируемого лица в отношении определенных условий договоров с покупателями, осуществление надзора за соответствием действий персонала политике аудируемого лица в области этики или деловой практики.
Это выполняется либо отделом внутреннего аудита (контроля), если бизнес небольшой – администрацей.
3.3. Существенность в аудите
Аудитор в процессе проведения аудита обязан оценивать существенность и ее взаимосвязь с аудиторским риском.
Информация об отдельных активах, обязательствах, доходах, расходах и хозяйственных операциях, а также составляющих капитала считается существенной, если ее пропуск или искажение могут повлиять на экономические решения пользователей, принятые на основе финансовой (бухгалтерской) отчетности. Существенность зависит от величины показателя финансовой (бухгалтерской) отчетности или ошибки, оцениваемых в случае их отсутствия или искажения.
При разработке плана аудита аудитор устанавливает приемлемый уровень существенности с целью выявления существенных искажений. Тем не менее, как значение, так и характер искажений должны приниматься во внимание. Примерами качественных искажений являются:
∙недостаточное или неадекватное описание учетной политики, когда существует вероятность того, что пользователь финансовой (бухгалтерской) отчетности будет введен в заблуждение таким описанием;
∙отсутствие раскрытия информации о нарушении нормативных требований в случае, когда существует вероятность того, что последующее применение санкций сможет оказать значительное влияние на результаты деятельности аудируемого лица.
Аудитору следует принимать во внимание существенность при:
∙определении характера, сроков проведения и объема аудиторских про-
цедур;
44
∙ оценке последствий искажений.
Уровень существенности – это предельное значение ошибки бухгалтерской отчетности, начиная с которой квалифицированный пользователь этой отчетности будет не в состоянии делать на ее основе правильные выводы и принимать правильные решения.
Существенность – категория относительная. То, что существенно для одного пользователя, не существенно для другого. Существенное в данном году в следующем перестанет быть таковым или наоборот. Этот уровень устанавливается для каждой аудиторской проверки. Цель – регулирование трудоемкости аудита.
Каждая аудиторская фирма обязана разработать алгоритм расчета уровня существенности, закрепить его распоряжением руководителя аудиторской фирмы как внутрифирменный стандарт и соблюдать на постоянной основе. При этом, эти методики конфиденциальны.
Первый метод – бухгалтерский.
Искажение любых цифр более чем на «10»% всегда существенно (количество процентов устанавливает сама фирма). Искажение менее чем на «5»% всегда не существенно. А искажение в их диапазоне может быть признано существенным по профессиональному суждению аудитора, т.е. в зависимости от ситуации.
Второй метод – определение уровня существенности в зависимости
от вида деятельности.
Аудиторская фирма делит всех клиентов на группы по видам деятельности. Для каждой группы, опираясь на профессиональные суждения, устанавливает базовый показатель и, опираясь на опыт ранее проведенных проверок, задает относительную величину.
Пример базовых показателей клиентов по видам деятельности представлен в табл. 3.1.
Таблица 3.1 – Базовые показатели клиентов по видам деятельности
|
Группы |
Базовые показатели |
Доля, % |
|
|
|
|
1. |
Торговля |
Выручка |
0,2-0,5 |
|
|
|
|
2. |
Транспортные услуги |
ОС |
1-2 |
|
|
|
|
3. |
Бюджетные организации |
Сумма финансирования |
2-3 |
|
|
|
|
4. |
Малые предприятия |
Валюта баланса |
0,5-1 |
|
|
|
|
Третий метод – определение единого показателя существенности в независимости от вида деятельности.
Аудиторская фирма использует один алгоритм для всех своих клиентов. Но базовых показателей выбирает несколько. Их количество и состав будут зависеть от состава клиентов табл. 3.2).
Таблица 3.2 – Базовые показатели в зависимости от состава клиентов
45
|
Доля, % |
Показатели бухгалтерской |
Расчетные пока- |
Базовые показатели |
отчетности, |
затели, тыс. руб. |
|
|
|
тыс. руб. |
|
|
|
|
|
|
|
|
|
Прибыль |
5 |
213 |
10,6 |
|
|
|
|
Выручка от продаж |
2 |
1 360 |
27,2 |
|
|
|
|
Валюта баланса |
2 |
1 280 |
25,6 |
|
|
|
|
Собственный капитал |
10 |
205 |
20,5 |
|
|
|
|
Расходы |
2 |
1 013 |
20,2 |
|
|
|
|
Полученное среднее значение оценивается на надежность. Среднее надежно, когда характеризует однородную совокупность. Оценить однородность совокупности можно с помощью показателей вариации.
Вывод по примеру: совокупность недостаточно однородна, следовательно средняя недостаточно надежна. Попытаемся исправить ситуацию, удалив из характеризуемой совокупности нехарактерную величину.
Мешает показатель по прибыли – 10,6. Вычеркиваем его и пересчитываем среднюю величину из оставшихся четырех.
Совокупность стала однородна, среднее теперь достаточно надежно, и мы можем на нее опереться.
Среднюю величину округляют и при том достаточно грубо. Допустимый диапазон округления – 20%. Для нашего варианта можно округлить до диапазона [18,7;28,05] (в плюс и минус, чтобы сделать коридор значений). Круглые величины этого диапазона – 20 и 25. Обе могут быть использованы, выбор – за аудитором.
3.4. Аудиторский риск
Риск – одна из основных категорий в аудите, почти в каждом Федеральном стандарте упоминаются риски, которые ограничивают успешность деятельности аудитора, так как аудитор всегда ограничен в возможности проверить досконально всю документацию аудируемого лица.
Риск аудитора (аудиторский риск) означает вероятность наличия в бухгалтерской отчетности экономического субъекта не выявленных существенных ошибок и (или) искажений после подтверждения ее достоверности или вероятность признания существенных искажений в ней, в то время как на самом деле такие искажения отсутствуют.
Аудитору следует использовать свое профессиональное суждение, чтобы оценить аудиторский риск и разработать аудиторские процедуры, необходимые для снижения данного риска до приемлемо низкого уровня.
Аудиторский риск означает риск выражения ненадлежащего аудиторского мнения в случаях, когда в бухгалтерской отчетности содержатся существенные искажения.
Различают предпринимательский и аудиторский риски.
46
Предпринимательский риск заключается в том, что аудитор может потерять неудачу из-за конфликта с клиентом или другими организациями. Этот риск допускает потерю конкурентоспособности аудитора, появление антирекламы деятельности аудитора; вероятность судебных исков по отношению к аудитору. Величиной, обратной риску любой системы, является ее надежность. Чем выше риск, тем ниже надежность системы, и наоборот.
Аудиторский риск (АР) – это предпринимательский риск аудитора (аудиторской фирмы), представляющий собой оценку риска неэффективности аудиторской проверки. Аудиторский риск базируется на оценке риска неэффективности системы учета клиента, риска неэффективности системы внутреннего контроля (СВК) клиента, риска невыявления ошибок клиента аудиторами.
Аудиторский риск состоит из трех компонентов:
–неотъемлемый риск (НР);
–риск средств контроля (РСК);
–риск необнаружения (РН).
Неотъемлемый риск отражает подверженность сальдо счетов или группы однотипных операций искажениям, которые могут быть существенными по отдельности или в совокупности с искажениями других сальдо счетов или групп однотипных операций при допущении отсутствия необходимых средств внутреннего контроля.
Неотъемлемый аудиторский риск – это субъективно определяемая аудитором вероятность появления существенных искажений в бухгалтерском учете.
Для оценки неотъемлемого риска аудитор рассматривает как можно больше факторов, влияющих на его величину, состав этих факторов аудитор выбирает сам. Например:
∙Честность администрации, т.е. отдает ли администрация приказ на искажение информации.
∙Квалификация учетного персонала.
∙Характер деятельности аудируемого лица.
∙Сложность операций.
∙Характер связи (о роли аффилированных лиц).
∙Доминирование одного лица в управлении.
Риск средств контроля означает риск того, что искажение, которое может иметь место в отношении остатков счета или группы однотипных операций и которое может быть существенным по отдельности или в совокупности с искажениями других остатков счетов или групп однотипных операций, не будет своевременно предотвращено или обнаружено и исправлено с помощью систем бухгалтерского учета и внутреннего контроля.
Аудитор оценивает риск средств контроля поэтапно:
1.Интуитивная предварительная оценка ожидаемого уровня контрольного риска. Делается без затрат времени. Если риски оцениваются как максимально высокие, к дальнейшим этапам не переходят.
2.Тестирование СВК и оценка уровня контрольного риска для отчетности в целом. На этом этапе особенно важна оценка контрольной среды.
47
3.Оценка рисков по разделам бухгалтерского учета. Риски оценивают по предпосылкам.
4.Во время проверки уточняются параметры контрольного риска.
Если в организации создана ненадежная СВК, то это спровоцирует вероятность искажения отчетности в целом или многих предпосылок.
Риск необнаружения означает риск того, что аудиторские процедуры по существу не позволяют обнаружить искажение в сальдо счетов или группах операций, которое может быть существенным по отдельности или в совокупности с искажениями других сальдо счетов или группы операций.
Риск необнаружения является показателем эффективности и качества работы аудитора и зависит от порядка проведения конкретной проверки, а также от квалификации аудиторов и степени их предыдущего знакомства с деятельностью проверяемого экономического субъекта.
Существует два подхода к определению риска необнаружения:
1.Применяют аудиторские фирмы, имеющие очень большой опыт работы и накопленную статистику о проведенных работах (оценивается цифрами);
2.Упрощенная оценка рисков по трехбалльной шкале. При этом риски оценивают не цифрами, а словами. При таком подходе общий риск не рассчитывают, а оценивают интуитивно, чтобы он не был чрезмерным. Аудитор оценивает неотъемлемые контрольные риски по трехбалльной шкале, после чего подбирают соответствующий уровень риска необнаружения, исходя из его обратной зависимости от неотъемлемого и контрольного:
Связь между аудиторским риском (АР) и его составляющими выражает формула:
АР = НР × РСК × РН.
Эту формулу можно рассматривать, если каждая составляющая имеет числовую оценку (в долях или процентах) и источники рисков являются независимыми.
Аудиторский риск (АР) есть некоторая заданная, приемлемая с точки зрения общественного мнения характеристика. Часто упоминают ее значения >= 5.0 %. Это означает, что в 5-ти случаях из 100 аудитор может дать ошибочное аудиторское заключение о достоверности бухгалтерской (финансовой) отчетности.
Если аудиторский риск (АР) имеет заданное значение, то неотъемлемый риск (НР) и риск средств контроля (РСК) аудитор должен оценить на этапе подготовки аудиторской проверки, ее планирования. Чем более низкую оценку этим составляющим дает аудитор, тем больший риск необнаружения (РН) он может предусмотреть при планировании аудиторских процедур.
Действительно:
РН = АР/(НР × РСК).
В федеральном правиле (стандарте) № 8 приведена таблица зависимости между качественными оценками компонентов аудиторского риска:
Аудиторская оценка |
Аудиторская оценка риска средств контроля |
|
48 |
неотъемлемого риска |
Высокая |
Средняя |
Низкая |
|
Высокая |
Самая* |
Более* |
Средняя* |
|
низкая |
низкая |
|||
|
|
|||
Средняя |
Более* |
Средняя* |
Более |
|
низкая |
высокая* |
|||
|
|
|||
Низкая |
Средняя* |
Более* |
Самая* |
|
высокая |
высокая |
|||
|
|
В клетках, помеченных*, приведена оценка риска необнаружения (РН) при заданных значениях неотъемлемого риска (НР) и риска средств контроля
(РСК).
Риски оценивают на этапе планирования аудиторской проверки и фиксируют в плане и программе аудитора. Затем, в ходе проверки, уточняют. Новое уточненное значение фиксируют в рабочих документах.
В случае ошибочного завышения рисков, по результатам проверки риски сохраняются неизменными.
Если риски были ошибочно занижены, то аудитор обязан увеличить объем процедур таким образом, чтобы по результатам проверки выйти на уровень рисков не выше запланированного.
3.5. Взаимосвязь между существенностью и аудиторским риском
При планировании аудиторской проверки аудитор рассматривает вопрос о том, что могло бы повлечь существенное искажение финансовой (бухгалтерской) отчетности. Аудиторская оценка существенности, относящаяся к отдельным счетам бухгалтерского учета и группам однотипных операций, помогает аудитору решить такие вопросы, как, например, вопрос о том, какие показатели финансовой (бухгалтерской) отчетности проверять, а также вопрос использования выборочной проверки и аналитических процедур.
Это позволяет аудитору выбрать аудиторские процедуры, которые, как предполагается, в совокупности уменьшат аудиторский риск до приемлемо низкого уровня.
Между существенностью и аудиторским риском существует обратная зависимость, то есть чем выше уровень существенности, тем ниже уровень аудиторского риска, и наоборот. Обратная зависимость между существенностью и аудиторским риском принимается во внимание аудитором при определении характера, сроков проведения и объема аудиторских процедур.
Например, если по завершении планирования конкретных аудиторских процедур аудитор определяет, что приемлемый уровень существенности ниже, то аудиторский риск повышается. Аудитор компенсирует это либо снизив предварительно оцененный уровень риска средств контроля там, где это возможно, и поддерживая пониженный уровень посредством проведения расширенных или дополнительных тестов средств контроля, либо снизив риск необнаружения искажений путем изменения характера, сроков проведения и объема запланированных процедур проверки по существу.
49