Вопрос 6. Определение аудиторского риска и оценка системы внутреннего контроля клиента

 

Стандарты и рекомендации по получению представления об ауди­торском риске, системах бухгалтерского учета и внутреннего контро­ля приведены в МСА 400 «Оценка рисков и система внутреннего контроля», МСА 401 «Аудит в условиях компьютерных информаци­онных систем» и МСА 402 «Аудит субъектов, пользующихся услугами обслуживающих организаций», а также в отдельных положениях о международной аудиторской практике, которые будут рассмотрены ниже.

Аудиторский риск — вероятность того, что аудитор выразит несо­ответствующее аудиторское мнение в случаях, когда в финансовой отчетности содержатся существенные искажения. Правильное пред­ставление о риске необходимо составить для проведения планирова­ния аудита. Аудиторский риск включает три составляющих:

— неотъемлемый риск — подверженность сальдо счета или клас­са операций искажениям, которые могут быть существенными при условии отсутствия соответствующих средств внутреннего контроля;

— риск системы контроля — риск того, что искажения сальдо счета или класса операций, которые могут быть существенными, не будут предотвращены, выявлены или своевременно исправлены с по­мощью систем бухгалтерского учета и внутреннего контроля;

— риск необнаружения — риск того, что аудиторские процедуры не позволяют обнаружить искажение в сальдо счетов или классах операций, которое может быть существенным.

Система бухгалтерского учета — совокупность задач, процедур и бухгалтерских записей субъекта, применяющихся в целях идентифи кации, сбора, анализа, расчета, классификации, регистрации, обоб­щения и отражения результатов хозяйственных событий.

Система внутреннего контроля (СВК) — это политика и процеду­ры, принятые руководством субъекта для содействия в реализации целей, предусматривающих упорядоченное и эффективное ведение финансово-хозяйственной деятельности.

Контрольная среда представляет собой общее отношение, осве­домленность и действия руководства, относящиеся к СВК и ее зна­чимости для субъекта. Контрольная среда сама по себе не обеспечи­вает эффективности СВК, она лишь «оболочка», наполненная конкретными процедурами контроля.

Процедуры контроля — политика, процедуры и контрольная среда, созданные руководством для достижения конкретных целей субъекта. К процедурам контроля относятся: контроль и утверждение документов; проверка арифметической точности записей; ведение и проверка аналитических счетов и оборотных ведо­мостей; подготовка, проведение и утверждение отчетов; осуществление контроля над прикладными программами и средой компьютерных информационных систем; сравнение данных, полученных из внутренних источников, с данными внешних источников; сравнение фактических данных со сметными; проведение инвентаризаций имущества; ограничение прямого физического доступа к активам и записям. Аудитору необходимо получить представление: 1) о системе бухгалтерского учета для понимания; 2) о контрольной среде — для оценки действий руководства; 3) о процедурах контроля — для разработки плана проверки.

Эффективные системы бухгалтерского учета и внутреннего кон­троля обеспечивают: 1) доступ к активам, записям, осуществление операций — по раз­решению руководства; 2) своевременный учет всех операций в точных суммах, на соот­ветствующих счетах в установленные отчетные периоды; 3) сопоставление учетных данных по активам с фактическими через разумные промежутки времени, принятие мер в отношении об­наруженных расхождений.

Уровень риска необнаруже­ния напрямую связан с аудиторскими процедурами проверки по суще­ству. С увеличением объема этих процедур достигается снижение аудиторского риска до приемлемо низкого уровня. Тем не менее даже при проверке всех сальдо счетов или операций определенный риск не­обнаружения все равно будет присутствовать. Существует обратная взаимосвязь между риском необнаружения и совокупным уровнем не­отъемлемого риска и риска системы контроля.

При проведении аудита в условиях компьютерных информацион­ных систем (КИС) оценка аудиторского риска усложняется. Приме­нение КИС возможно, когда субъект использует компьютер для об­работки информации, существенной для аудита (например, для составления бухгалтерских проводок, отчетов и т.п.). Аудитор должен обладать достаточным знанием КИС. 

Общая цель и объем аудита не меняются в среде КИС, но приме­нение КИС может оказать влияние на: аудиторские процедуры; анализ неотъемлемого риска и риска системы контроля; тестирование контроля и процедуры проверки по существу.

Обслуживающая организация — фирма, выполняющая операции по учету и контролю и подготавливающая связанную с ними отчет­ность или ведущая учет операций и обрабатывающая связанные с ними данные.

Аудитор должен определить значимость деятельности обслужи­вающей организации для клиента и аудита, при этом рассматривает­ся следующее: 1) характер предоставляемых обслуживающей организацией услуг; сведения, содержащиеся в руководствах для пользователей; 2) условия договора между клиентом и организацией; 3) показатели отчетности, на которые влияет использование услуг организации, и неотъемлемый риск, связанный с этими показателями; 4) степень взаимодействия систем бухгалтерского учета и внут­реннего контроля клиента и обслуживающей организации; 5) контроль со стороны клиента операций, выполняемых обслу­живающей организацией; 6) финансовая устойчивость обслуживающей организации и по­следствия ее банкротства для клиента; 7) сведения об общих и компьютерных средствах контроля, имею­щих отношение к прикладным программам клиента.

Отчет аудитора обслуживающей организации может быть двух типов:

1) тип А — заключение о пригодности структуры — состоит из описания вышеупомянутых систем, составляемого руководством об­служивающей организации, и мнения ее аудитора, подтверждающего точность этого описания и пригодность систем бухгалтерского учета и внутреннего контроля для достижения поставленных перед ними целей;

2) тип В — заключения о пригодности структуры и эффективнос­ти функционирования (в отличие от типа А добавляется заключение аудитора обслуживающей организации об эффективности ее систем бухгалтерского учета и внутреннего контроля с указанием видов и ре­зультатов проведенных тестов контроля).

Заключение типа А дает представление о системах бухгалтерского учета и внутреннего контроля обслуживающей организации, но не может быть основой для снижения аудитором клиента риска системы контроля, в то время как заключение типа В может быть использова­но для снижения этого риска, если аудитор клиента положительно оценит характер, сроки проведения и объем тестирования (особое внимание уделяется продолжительности периода, охватываемого тес­тами, и времени, прошедшему с момента выполнения тестов).