Существенность и аудиторский риск в соответствии с МСА

Размещено на http://www.allbest.ru

Лекция

Тема: Существенность и аудиторский риск в соответствии с МСА

аудиторский риск информационный

План

Оценка рисков и внутренний контроль (МСА-400)

Аудит в среде компьютерных информационных систем (МСА-401)

Учет при аудите особенностей субъектов, использующих обслуживающие организации (МСА-402)

Оценка рисков и внутренний контроль (МСА-400)

Рекомендации по определению аудиторского риска раскрыты в основном в МСА-400, на основании которого подготовлено Российское ФП(С)АД № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом».

Процедуры оценки системы внутреннего контроля и бухгалтерского учета на стадии планирования и определяющие их факторы более детально рассматриваются в других МСА.

Аудиторский риск определяется на основании опыта аудитора и по результатам тестирования систем бухгалтерского учета и внутреннего контроля. Чем надежнее система бухгалтерского учета и больше доверия системе внутреннего контроля, тем ниже аудиторский риск, тем меньший объем аудиторских процедур может планировать и выполнять аудитор. Одновременно чем ниже аудиторский риск, тем больше можно запланировать уровень существенности (предельно допустимое искажение информации) и тем меньше объем аудита.

Поэтому для оптимизации объема запланированных аудиторских процедур очень важно максимально достоверно определить уровень существенности и приемлемый для данной проверки аудиторский риск. В дальнейшем при сборе аудиторских доказательств и подготовке итоговых аудиторских документов аудиторский риск может уточняться и, возможно в связи с этим, будут выполняться дополнительные аудиторские процедуры или корректироваться уровень существенности; следовательно, может корректироваться также и мнение аудитора о достоверности финансовой отчетности.

В МСА-400 даны основные понятия и определения.

«Аудиторский риск означает вероятность того, что аудитор выразит несоответствующее аудиторское мнение в случаях, когда в финансовой отчетности содержатся существенные искажения».

Риск неверного выражения мнения о достоверности отчетности (или отдельной информации при выполнении сопутствующих аудиторских услуг) имеет две стороны:

Риск завышенной оценки достоверности информации, когда аудитор считает, что все существенные искажения выявлены (тогда как остались существенные необнаруженные искажения).

Риск заниженной оценки достоверности информации, когда аудитор считает, что остались невыявленными существенные искажения (тогда как все существенные искажения фактически обнаружены).

Аудиторский риск (АР) включает три компонента:

неотъемлемый риск (HP),

риск системы контроля (РСК) и

риск необнаружения (РН), взаимосвязь которых можно выразить формулой:

АР = НР Ч РСК Ч РН.

Неотъемлемый риск (HP) и риск средств контроля (РСК) определяются через тестирование (оценку) степени доверия системе бухгалтерского учета (СБУ) и уровня надежности системы внутреннего контроля (СВК), тогда как риск необнаружения (РН) полностью зависит от организации проведения аудита и квалификации исполнителей и определяется исходя из опыта аудиторов и условий проведения проверки.

При оценке системы внутреннего контроля, в том числе и системы бухгалтерского учета как составной ее части, аудитор изучает факторы (факты и хозяйственные события) с помощью тестирования.

Тестирование для целей аудита представляет собой систему факторов, представленных в виде вопросов и ответов на них, которые могут выполняться как самим аудитором при наблюдении за процессами (учета, технологическими, хозяйственными и др.), при изучении документов, так и путем опроса ответственных, компетентных в этих вопросах специалистов. Тестирование также возможно проводить путем письменных запросов или раздачи анкет для получения письменных ответов от специалистов проверяемого лица. Документирование результатов тестирования должно завершаться аудиторским выводом в форме оценки надежности или доверия СВК и СБУ по данному кругу вопросов. Затем руководитель проверки готовит сводный документ, в котором обобщает мнение всех аудиторов, выраженное в отдельных тестах.

«Неотъемлемый риск представляет собой подверженность сальдо счета или класса операций искажениям, которые могут быть существенными по отдельности или в совокупности с искажениями других сальдо счетов или классов операций». Неотъемлемый риск присущ всем системам учета (технологическому, техническому, кадровому и др.), в том числе и бухгалтерскому учету в силу объективных и субъективных факторов, которые определяют вероятность появления искажений информации на стадии выполнения хозяйственных операций, их регистрации в первичных документах и бухгалтерских регистрах.

Аудитор уделяет внимание, прежде всего, системе бухгалтерского учета, несущей важнейшую контрольную функцию при регистрации хозяйственных операций и подготовке финансовой отчетности.

«Система бухгалтерского учета - серия задач и записей субъекта, посредством которых результаты операций обрабатываются в качестве способа ведения финансовых записей. Такие системы применяются в целях идентификации, сбора, анализа, расчета, классификации, регистрации, обобщения и отражения результатов операций и других событий».

Аудитор должен провести тестирование системы бухгалтерского учета (СБУ) и дать оценку степени доверия СБУ с помощью различных анкет-вопросников, на которые отвечает либо сам аудитор в процессе наблюдения за учетным процессом, либо специалисты проверяемого лица. При первичном аудите проводится максимально необходимое обследование СБУ и достигается полное ее понимание и оценка степени ее доверия. При повторных аудитах уточняются изменения факторов, оказывающих влияние на функционирование СБУ, и при необходимости корректируется мнение о степени доверия СБУ.

Чем выше степень доверия системе бухгалтерского учета (СБУ), тем ниже неотъемлемый риск (HP), и наоборот.

Однако на стадии планирования возможны оценка условий (среды) функционирования СБУ и наличие средств контроля в системе бухгалтерского учета. Тогда как фактическое применение средств контроля в системе бухгалтерского учета в существующих условиях ее функционирования возможно уточнить только в процессе выполнения процедур по существу при детальном тестировании сальдо счетов или класса операций. Только тогда, на стадии сбора аудиторских доказательств, уточняется фактическое состояние СБУ и уровень неотъемлемого риска (фактический HP).

«Риск системы контроля - это вероятность того, что искажения сальдо счета или класса операций, которые могут быть существенными по отдельности или в совокупности с искажениями других сальдо счетов или классов операций, не будут предотвращены, выявлены или своевременно исправлены с помощью систем бухгалтерского учета и внутреннего контроля».

Т.о., РСК имеет три стороны:

вероятность того, что не все возможные искажения в системе учета могут быть предотвращены;

что не все существенные искажения, допущенные в учете, выявлены;

что выявленные существенные искажения несвоевременно (с опозданием) устранены или исправлены.

В МСА-400 подчеркивается, что система внутреннего контроля (СВК) выходит за рамки тех вопросов, которые непосредственно относятся к функциям СБУ и дается следующее определение.

«Система внутреннего контроля - это политика и процедуры (средства внутреннего контроля), принятые руководством субъекта для содействия в реализации целей руководства, предусматривающих, насколько это практически выполнимо, упорядоченное и эффективное ведение финансово-хозяйственной деятельности, включая строгое следование политике руководства, обеспечение сохранности активов, предотвращение и обнаружение фактов мошенничества и ошибок, точность и полноту бухгалтерских записей и своевременную подготовку достоверной финансовой информации».

СВК имеет широкое понятие и включает в себя множество систем контроля (или учета, в качестве функции контроля):

технологический контроль,

материально-технический контроль,

кадровый контроль,

административный контроль,

пожарный, экологический и другие виды контроля, которые ведут учет в соответствующих натуральных единицах.

Аудитор затрагивает только те аспекты системы внутреннего контроля за пределами СБУ, которые тесно связаны с ней и могут влиять на оценку ее надежности.

Во-первых, СВК должна эффективно предотвращать возможные искажения во всех системах учета, в том числе и СБУ, то есть должна быть создана соответствующая среда контроля. По определению МСА-400, «Контрольную среду охватывает общее отношение, осведомленность и действия директоров и руководства, относящиеся к системе внутреннего контроля и ее значимости для субъекта». Другими словами, под контрольной средой следует понимать объективно существующие и субъективно создаваемые условия для осуществления эффективного контроля в процессе учета и подготовки финансовой отчетности.

Например, состояние отрасли с позиций бизнес-риска, сложность структуры предприятия и разобщенность его подразделений по регионам страны и мира представляют собой объективные факторы, оказывающие влияние на возможность создания адекватной среды контроля. Тогда как разработка необходимых средств предупреждения искажений информации, превентивные меры по обеспечению сохранности активов свидетельствуют о субъективном отношении руководства к проблеме создания адекватной среды контроля.

Во-вторых, СВК должна выявлять уже появившиеся в системе учета искажения с помощью созданных руководством средств и процедур контроля.

В МСА-400 дано понятие процедур контроля, которое в официальном переводе сформулировано следующим образом: «Процедуры контроля - политика и процедуры, а также контрольная среда, созданные руководством для достижения конкретных целей субъекта».

Однако следует различать процедуры контроля, которые фактически являются средством (способом) контроля, например процедура проведения инвентаризации имущества или других активов, проведение которой предписано положениями по бухгалтерскому учету, учетной политикой или отдельными распоряжениями руководства. В то же время процедуры контроля можно рассматривать как процедуры применения средств контроля ответственными лицами, тогда фактическое проведение инвентаризации является процедурой выполнения нормативно-распорядительного документа, в котором предписано данное средство контроля.

Таким образом, можно разделить два понятия.

Средства контроля - это совокупность организационных, технических, документальных и других средств, применение которых обеспечивает эффективный контроль за сохранностью активов и созданием достоверной учетной и отчетной информации.

Это могут быть, например, технические средства сигнализации, организационно-распорядительные документы в виде приказов на материально ответственных лиц, должностные инструкции и положения, бланки типовых документов с соответствующими реквизитами.

Однако наличие средств контроля не гарантирует, что при необходимости будут включаться средства сигнализации, выполняться приказы и должностные инструкции или заполняться обязательные реквизиты в документах, проводиться инвентаризации, то есть имеется вероятность невыполнения контрольных процедур, в результате эффективность имеющихся средств контроля может быть сведена к нулю.

Процедуры применения средств контроля - это практические действия исполнителей по применению имеющихся средств контроля при существующих условиях контроля (среды контроля).

На стадии планирования возможна оценка только среды контроля и наличия средств контроля, тогда как оценка эффективности процедур контроля работниками проверяемого лица возможна лишь в процессе выполнения процедур по существу при детальном тестировании сальдо счетов или класса операций. Именно на стадии сбора аудиторских доказательств уточняется фактическое состояние СВК, степень ее надежности и уровень риска системы контроля (фактический РСК).

«Риск необнаружения состоит в том, что аудиторские процедуры проверки по существу не позволяют обнаружить искажения в сальдо счетов или классах операций, которые могут быть существенными по отдельности или в совокупности с искажениями других сальдо счетов или классов операций».

Вероятность необнаружения аудитором искажений информации, допущенных системой бухучета и пропущенных системой внутреннего контроля, выше там, где:

используется выборочный способ проверки (риск выборочной проверки информации),

ниже квалификация аудиторов,

запланированы нереально короткие сроки проведения аудита,

не были тщательно подготовлены план и программа аудита и так далее.

Существует обратная зависимость между риском необнаружения, с одной стороны, и совокупным уровнем неотъемлемого риска и риска средств контроля, с другой стороны.

Если неотъемлемый риск и риск средств контроля высоки, то необходимо, чтобы приемлемый риск необнаружения был низким, что позволит снизить аудиторский риск до приемлемо низкого уровня. Если же, напротив, неотъемлемый риск и риск средств контроля находятся на низком уровне, аудитор может принять более высокий риск необнаружения и все равно при этом уменьшить аудиторский риск до приемлемо низкого уровня.

Чем надежнее СВК и больше доверия СБУ, тем труднее обнаружить искажения с помощью аудиторских процедур, а значит, необходимо запланировать более тщательную проверку (увеличить объем аудита), предусмотреть большее количество процедур по существу, чтобы снизить общий аудиторский риск до приемлемого уровня.

С другой стороны, чем менее надежны и меньше доверия СБУ и СВК, тем РН будет ниже. Однако даже при некотором снижении РН общий аудиторский риск будет возрастать, и плановый объем аудита (количество аудиторских процедур по существу) также должен быть увеличен. РН можно снизить до определенного минимума, но не до абсолютного нуля в связи с невозможностью подбора идеальных аудиторских кадров и создания идеальных условий проведения аудита.

Помимо того, что аудиторский риск зависит от оценки СБУ и СВК и от приемлемого для данной проверки уровня РН, аудитор должен учитывать запланированный уровень существенности. Аудиторский риск и уровень существенности имеют обратную связь, то есть чем больше уровень существенности, тем ниже аудиторский риск и наоборот.

Аудиторский риск оценивается в целом для данной проверки, тогда как оценка систем бухгалтерского учета и внутреннего контроля производится как в целом по проверяемому лицу, так и по отдельным классам операций, по которым рассчитывается уровень существенности.

Оценить уровень доверия системе бухгалтерского учета и степени надежности системы внутреннего контроля возможно на стадии планирования путем тестирования (оценка среды контроля и наличия средств контроля) и на стадии сбора аудиторских доказательств путем выполнения процедур по существу и дополнительного детального тестирования (оценки) применения средств контроля при существующей среде контроля.

В МСА-400 указывается, что аудитор в рабочих документах должен изложить: полученное представление о СБУ и СВК и дать оценку риска системы внутреннего контроля. В случае низкой оценки в итоговых документах аудитора (заявлениях, отчетах и аудиторском заключении) должны быть выводы, указывающие на недостатки СВК.

Аудит в среде компьютерных информационных систем (МСА-401)

В Российских правилах (стандартах) аудиторской деятельности имеется аналог МСА-401, который называется «Аудит в условиях компьютерной обработки данных», одобренный Комиссией по аудиторской деятельности при Президенте РФ 22 января 1998 г.

Условия компьютерных информационных систем (КИС) существуют, когда субъект применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер данным субъектом или третьей стороной.

Аудитор должен рассмотреть, каким образом КИС влияет на аудит.

Общая цель и объем аудита не меняются в среде КИС. Тем не менее, применение компьютеров вносит изменения в процесс обработки, хранения и передачи финансовой информации и может воздействовать на системы бухгалтерского учета и внутреннего контроля, используемые субъектом.

Поэтому применение КИС может оказать влияние на:

процедуры, применяемые аудитором для получения достаточного представления о системах БУ и внутреннего контроля;

анализ и оценку неотъемлемого риска и риска СВК;

разработку и применение тестов контроля и процедур проверки по существу, необходимых для достижения основной цели аудита.

Аудитор должен обладать достаточным знанием КИС для того, чтобы планировать, направлять, контролировать и проверять выполняемую работу.

При возникновении необходимости в специализированных знаниях аудитор может обратиться за помощью к специалисту - работнику аудиторской фирмы или эксперту.

При планировании стадий аудита, на которые может повлиять среда КИС субъекта, аудитор должен получить представление о значимости и сложности процессов функционирования КИС, а также о доступности данных для использования при аудите

Чтобы учесть влияние среды КИС на предварительную оценку уровня надежности СВК и степени доверия СБУ (следовательно, на аудиторский риск и его компоненты), в МСА-401 указаны факторы, которые необходимо изучить (протестировать) на стадии планирования для корректировки объема аудита и процедур, включаемых в аудиторскую программу:

значимость и сложность компьютерной обработки в каждой значительной прикладной бухгалтерской программе;

организационную структуру деятельности КИС клиента, а также степень концентрации или распределения функций пользователей программ;

доступность данных (так как часть информации может существовать в формате, доступном для прочтения только на компьютере);

использование контрольных средств самой системой КИС (наличие типовых операций и ограничение доступа в прикладные программы могут снизить компоненты аудиторских рисков).

Если КИС играет значительную роль в обработке информационных потоков экономического субъекта, то аудитору необходимо проанализировать характер неотъемлемого риска и характеристики внутреннего контроля в отношении:

отсутствия промежуточных этапов обработки данных, которые не позволяют своевременно обнаружить ошибки в логике прикладной программы посредством ручных операций;

наличия единой обработки всех однотипных операций, что позволяет исключить возможность описок, но увеличивает вероятность возникновения ошибок программирования и прочих систематических ошибок;

отсутствия разделения функций обработки информации и контроля;

возможности ошибок и нарушений под влиянием человеческого фактора;

возможности несанкционированного доступа к информации и ее изменения без очевидных доказательств;

зависимости средств контроля от компьютерной обработки;

совершенствования и расширения аналитических возможностей средств контроля посредством КИС;

возможности применения компьютерного аудита.

Для получения достаточного доказательного материала аудитор может применять методы ручной или компьютерной обработки данных, либо комбинировать оба метода.

Учет при аудите особенностей субъектов, использующих обслуживающие организации (МСА-402)

Аудируемое лицо может прибегать к услугам обслуживающей организации, например организации, фиксирующей операции в учете и составляющей соответствующую финансовую отчетность или ведущей учет, а также обрабатывающей соответствующие данные (например, организации, применяющие централизованные системы компьютерной обработки данных).

Аудитор должен определить, какое влияние обслуживающая организация оказывает на системы бухгалтерского учета и внутреннего контроля клиента, с целью планирования аудита и разработки эффективного подхода к проведению аудита. Согласно МСА-402 аудитору следует определить значимость деятельности обслуживающей организации для клиента и аудита.

Чтобы скорректировать программу аудита, уточнить его объем и необходимые процедуры, аудитор на стадии планирования должен провести тестирование, то есть изучить следующие факторы:

характер услуг, предоставляемых обслуживающей организацией;

условия договора и взаимоотношения между клиентом и обслуживающей организацией;

существенные утверждения в финансовой отчетности, на которые оказывает влияние использование услуг обслуживающей организации;

неотъемлемый риск, связанный с такими утверждениями;

степень взаимодействия систем бухгалтерского учета и внутреннего контроля клиента с системами БУ и ВК обслуживающей организации;

используемые клиентом средства внутреннего контроля за операциями, обрабатываемыми обслуживающей организацией;

возможности и финансовую устойчивость обслуживающей организации, в том числе последствия банкротства обслуживающей организации для клиента;

сведения об обслуживающей организации, например, содержащиеся в руководствах для пользователей и технических пособиях;

сведения об общих средствах контроля и средствах контроля компьютерных систем, имеющих отношение к прикладным программам клиента.

Если аудитор приходит к заключению, что деятельность обслуживающей организации значима для субъекта и аудита, то аудитору следует получить с помощью тестирования достаточные сведения о системах бухгалтерского учета и внутреннего контроля, а также оценить риск системы контроля.

Если аудитор клиента использует отчет аудитора обслуживающей организации, ему следует проанализировать, целесообразно ли наводить справки относительно профессиональной компетентности аудитора обслуживающей организации. Затем аудитору клиента следует проанализировать объем работ, выполненных аудитором обслуживающей организации, а также оценить пригодность и уместность отчетов, составленных аудитором обслуживающей организации.

В случае использования отчета аудитора обслуживающей организации аудитору клиента следует рассмотреть характер и содержание такого отчета. В МСА-402 отмечается, что, как правило, отчеты аудитора обслуживающей организации бывают следующих двух типов.

Тип А - заключение о пригодности структуры.

Тип Б - заключение о пригодности структуры и эффективности функционирования.

И в том и в другом типе заключения обслуживающей организации приводятся:

¦ описание систем бухгалтерского учета и внутреннего контроля обслуживающей организации, обычно составляемое руководством обслуживающей организации,

¦ мнение аудитора обслуживающей организации, подтверждающее точность этого описания, применение систем контроля, а также пригодность систем бухгалтерского учета и внутреннего контроля для достижения поставленных перед ними целей.

Отличительным признаком заключения обслуживающей организации второго типа (Б) является то, что аудитор обслуживающей организации дополнительно выражает мнение об эффективности функционирования систем бухгалтерского учета и внутреннего контроля на основе результатов тестирования. Кроме того, в данном заключении указывается, какие тесты контроля были осуществлены и каковы их результаты.

В зависимости от типа заключения обслуживающей организации аудитор проверяемого лица может по-разному использовать их результаты в процессе аудита:

Тип А -- заключение о пригодности структуры. Используется аудитором проверяемого лица для получения необходимого понимания систем бухгалтерского учета и внутреннего контроля, но не в качестве основы для снижения оценки риска средств контроля.

Тип Б -- заключение о пригодности структуры и эффективности функционирования. Используется аудитором проверяемого лица как для понимания систем бухгалтерского учета и внутреннего контроля, так и для оценки риска средств контроля, а также в качестве доказательств, подтверждающих более низкую оценку риска средств контроля. Однако при этом аудитор проверяемого лица должен учесть длительность периода, охватываемого тестами аудитора обслуживающей организации, и время, прошедшее с момента выполнения этих тестов.

Аудитор обслуживающей организации может быть привлечен к выполнению процедур проверки по существу, которые используются аудитором клиента. Это может включать выполнение процедур, согласованных проверяемым лицом с его аудитором, а также обслуживающей организацией с аудитором клиента.

Если аудитор клиента использует отчет аудитора обслуживающей организации, в своем заключении ему не следует ссылаться на отчет аудитора обслуживающей организации, так как ответственность за выражение мнения о проверяемой информации клиента несет аудитор, а не обслуживающая организация.

Если аудитор приходит к выводу, что деятельность обслуживающей организации существенно не воздействует на систему внутреннего контроля проверяемого лица, тогда нет необходимости включать вышеперечисленные процедуры в план и программу аудита.

Размещено на Allbest.ru