2) Вивчення й оцінка інформації.

На другому етапі перевірки аудитор повинен проаналізувати, пояснити та задокументувати всю зібрану ним інформацію. При цьому він застосовує аналітичні процедури проведення аудиту, які є раціональним та ефективним засобом оцінки інформації.

Аналітичні процедури проведення аудиту здійснюються шляхом порівняння взаємозалежності фінансової і не фінансової інформації. Вони можуть включати в себе:

- вивчення взаємозв'язку елементів інформації (наприклад коливання в облічених витратах на виплату відсотків порівнюються з відповідними залишками непогашеної заборгованості);

- порівняння інформації з аналогічною інформацією інших підрозділів організації.

Аналітичні процедури аудиту можуть виконуватись з використанням грошових сум, матеріальних величин, коефіцієнтів чи відсотків. Виявлені розходження інформації свідчать про наявність певних суперечливих умов, як-от: незвичайні чи неповторювані угоди чи події; бухгалтерські, організаційні, виробничі, технологічні зміни; неефективність, нерентабельність; помилки, відхилення від норми чи незаконні дії.

При встановленні за допомогою аналітичних процедур несподіваних результатів чи взаємозв'язків аудитори обов'язково повинні вивчити їх і дати їм оцінку, адже будь-які нестандартні ситуації можуть свідчити про наявність можливої помилки, порушення чи незаконної дії. Встановлені за допомогою аналітичних процедур аудиту результати і взаємозв'язки, які не отримали достатнього пояснення, повинні бути доведені до відома керівників відповідних рівнів.

При роботі аудитора з фінансовою інформацією постійно існує ризик її неправильної оцінки, або аудиторський ризик. Наприклад, аудитор приходить до висновку, що фінансову звітність складено правильно, і на цій підставі свою думку в аудиторському висновку висловлює без застережень, а в дійсності фінансова звітність може мати суттєві помилки.

Аудитор повинен професіонально визначати аудиторський ризик, а також методи зменшення його до мінімального рівня.

Визначення аудиторського ризику може мати вигляд моделі, як-от:

Ризик аудиторський - це ризик того, що аудитор неправильно оцінює фінансову звітність, яка містить неточні або неправильні дані. Нульовий ризик означав би повну впевненість у тому, що фінансова звітність не має суттєвих похибок. Але аудитор не може гарантувати повної відсутності помилок. Стовідсотковий ризик означав би повну невпевненість щодо достовірності фінансової звітності. Величина аудиторського ризику, що не може негативно вплинути на роботу банку, становить менше 10%.

Ризик невід'ємний - міра очікування аудитором того, що існує помилка у сегменті і що вона може перевищувати допустиму величину помилки до перевірки системи внутрішнього контролю. Оцінюючи цей ризик, аудитор повинен враховувати такі фактори, як:

- характер бізнесу;

- чесність керівництва;

- висновки попереднього аудиту;

- не традиційність операції;

- професіоналізм працівників.

За найбільш сприятливих обставин встановлений рівень невід'ємного ризику значно вищий від 50%, а при очікуванні суттєвих помилок він може доходити до 100%. Ризик невід'ємний ніколи не може дорівнювати нулю.

Ризик контролю, або ризик недостатності контрольних процедур, - це міра очікування аудитором того, що у сегменті, де перевищена допустима величина, процедурами контролю не буде знайдено та усунено помилку.

Ризик контролю є зворотно пропорційним до ризику виявлення. Коли система контролю є ефективною (ризик контролю відповідно - низьким), аудитор може підвищити рівень ризику виявлення. Максимальний рівень ризику контролю -- 100%. Перед встановленням цього рівня нижче максимального аудиторові треба добре вивчити систему внутрішнього контролю, зробити тестування контрольних моментів. Оцінка попередніх значень невід'ємного ризику та ризику контролю для банку може здійснюватись за допомогою матриць аналізу ризику.

При оцінці ступеню ризику системи внутрішнього контролю банку аудиторам рекомендується використовувати анкету(див. додаток 5).

Ризик виявлення - міра готовності аудитора визнати, що аудиторські свідоцтва за тим чи іншим сегментом не дозволять знайти помилку, яка перевищує допустиму величину, якщо така помилка існує.

Ризик виявлення визначається кількістю свідчень, які аудитор планує зібрати. Якщо аудитор готовий взяти на себе великий ризик, то свідчень потрібно багато, і навпаки: при невеликій кількості свідчень аудитор не погоджується взяти на себе великий ризик виявлення помилок. Спеціальним методом оцінки ризику виявлення є метод статистичної вибірки. Ризик виявлення помилок присутній завжди, навіть якщо перевіряються усі господарські операції. Отже, він не може дорівнювати нулю.

Ризик виявлення може залежати від вибірки. Якщо аудиторський висновок відрізняється від висновків, які було б зроблено щодо всієї сукупності даних, то ми маємо приклад впливу вибірки на ризик виявлення. Неправильні висновки аудиторів можуть бути не пов'язані з тим, як зроблено вибірку.

Оцінюючи ризик невід'ємний та ризик контролю, аудитори не можуть впливати на них, тому ці ризики називають ризиком суттєвого викривлення звітності. Ризик виявлення є ризиком якості виконання роботи аудитора.

Аудитори зацікавлені у найнижчих значеннях аудиторського ризику (РА --> 0). Тому чим вищим є невід'ємний ризик (РН --» 1) та ризик контролю (РК --» 0), тим нижчим повинен бути ризик виявлення помилок (РН--> 0).

Застосування моделі аудиторського ризику дозволяє лише приблизно відобразити реальність, тому що оцінки аудиторського ризику, невід'ємного ризику, ризику контролю є значною мірою суб'єктивними. Більшої адекватності висновків можна досягти за умови врахування залежності між рівнем ризику та кількістю свідчень:

Таблиця 2. Залежність між рівнем ризику та обсягом свідчень.[27;20].

Розглянемо конкретні ситуації, відображені у таблиці. У першій ситуації аудитор вирішив прийняти для даного сегмента високий рівень аудиторського ризику. Він прийшов до висновку, що ризик наявності помилки у звітності є низьким, а системи внутрішньогосподарського контролю відзначаються ефективністю. Тому ризик виявлення повинен бути високим. Із цього випливає, що потрібна невелика кількість свідчень. Третя ситуація є прямо протилежною. Якщо і невід'ємний ризик, і ризик контролю високі, але аудитор хоче встановити низький рівень аудиторського ризику, то необхідна велика кількість свідчень. Три інших ситуації є проміжними між цими двома граничними випадками.

Аудиторський ризик та його компоненти оцінюють стосовно всієї звітності, а також стосовно її сегментів, як правило, рахунків чи класу рахунків у бухгалтерському обліку. У першому випадку ризик називається загальним, у другому -- індивідуальним.

Аудитор повинен чітко уявляти, що саме зробить фінансову звітність суттєво викривленою. Планувати аудит потрібно так, щоб утримувати аудиторський ризик на прийнятне низькому рівні. Між суттєвістю та аудиторським ризиком існує зворотно-пропорційне відношення. Якщо зростає допустимий рівень суттєвості, то зменшується аудиторський ризик, і навпаки. Це обов'язково враховується при визначенні характеру, розкладу та масштабу аудиторських процедур.

Наприклад, якщо при розробці плану конкретних аудиторсь-ких процедур аудитор виявляє, що допустимий рівень суттєвості нижчий від встановленого, то зростає аудиторський ризик. Зменшити аудиторський ризик можна шляхом:

- збільшення масштабів аудиторських процедур;

- обрання більш ефективних аудиторських процедур;

- виконання деяких аудиторських процедур ближче до дати балансу.

Під час проведення аудиту розмір суттєвості та розмір аудиторського ризику можуть змінюватись.

Отримана інформація, проведений аналіз, висновки та рекомендації фіксуються аудитором у робочій документації. Керівник відділу внутрішнього аудиту контролює хід документування і перевіряє його якість.

Ведення робочих документів - це підґрунтя для достатньої впевненості керівників та аудиторів у тому, що аудит проводиться згідно із загальноприйнятими стандартами.

Аудитор в ході перевірки визначає необхідність документування того чи іншого питання, тому обсяг робочих документів значною мірою залежить від його професійної думки.

- документи про планування аудиторських перевірок;

- програми проведення аудиторських перевірок;

- контрольні анкети, блок-схеми, контрольні опитувальні листки, описи хроніки подій;

- записи і доповідні записки, підготовлені в результаті проведення опитувань;

- фактичні відомості про організацію (схеми організаційної структури, посадові інструкції тощо);

- копії важливих договорів та угод;

- інформація про виробничу і фінансову політику;

- результати контрольних оцінок;

- результати аналітичних процедур проведення аудиторської перевірки;

- аудиторський висновок і відповіді керівників;

- аудиторське листування у тому випадку, якщо воно документально підтверджує зроблені аудитором висновки.

Існують вимоги не лише до змісту робочих документів аудиту, а й до їхньої форми. Основними правилами оформлення документів є такі:

- у кожному робочому документі повинен бути заголовок. Як правило, він складається з назви відділу (підрозділу) чи виду діяльності, які перевіряються, назви чи опису змісту робочого документа, дати чи строку аудиторської перевірки;

- кожний робочий документ повинен бути підписаний і датований внутрішнім аудитором;

- на кожному робочому документі повинен бути проставлений порядковий номер чи номер для посилання. Щоб необхідні робочі документи було легко знайти, в нумерації застосовується єдина та зрозуміла для всіх система індексів. Якщо одна й та сама інформація зустрічається в різних робочих документах, то її не потрібно кожного разу детально викладати, можна просто послатися на конкретний робочий документ. Знак посилання звичайно ставлять праворуч або нижче від суми або іншої інформації, на яку робиться посилання (для перевірки і подальшого об'єднання в файли);

- усі помітки пояснюються в нижній частині документа;

- джерела даних повинні бути точно ідентифіковані;

- робочі документи повинні зберігатися у банку доти, поки вони не застаріють, не будуть замінені іншими або визнані непотрібними. Усі робочі документи, які, на думку начальника відділу внутрішнього аудиту, містять корисну для подальших перевірок інформацію, мають зберігатися тривалий час. Робочі документи можуть зберігатися в архіві банку або в приміщенні відділу внутрішнього аудиту.

3)Повідомлення результатів.

Внутрішній аудитор зобов'язаний скласти звіт про результати перевірки. Звичайно підведення підсумків аудиту здійснюється після опрацювання документації. Проте не виключена можливість інформування керівництва про певні висновки ще у ході перевірки, наприклад, якщо аудитор отримав інформацію, яка вимагає швидкого реагування, якщо виникла потреба змінити обсяг чи термін проведення аудиту тощо. Використання проміжних звітів не виключає необхідності остаточного звіту, в якому відображається цілісна інформація про результати аудиту.

До складання остаточного звіту аудитор зобов'язаний обговорити свої висновки та рекомендації з керівниками відповідних рангів. В обговореннях повинні брати участь особи, добре обізнані з деталями операцій, а також ті, хто може санкціонувати початок виправних заходів. Аудитор має запропонувати керівникам об'єкта перевірки переглянути проект аудиторських висновків і висловити свою думку щодо певних виявлених в результаті перевірки фактів, висновків, рекомендацій. Такі обговорення забезпечують більшу об'єктивність висновків, гарантують відсутність неправильного розуміння чи викривленого тлумачення фактів, в чому, без сумніву, зацікавлені обидві сторони.

Розпочинаючи роботу над звітом, аудитор повинен бути впевнений у достатності накопичених свідчень для висловлення остаточної думки щодо перевірки. Зрозуміло, що чим біль-шим є обсяг зібраних свідчень, тим вищим буде рівень впевненості щодо об'єктивності аудиторського висновку.

Але конкретних вимог до обсягу свідчень немає.

При визначенні достатності зібраних свідчень аудитор може спиратися на контрольні листки за зобов'язаннями (див. додаток 6), що фіксують всі аспекти аудиторської діяльності, які обов'язково повинні знайти своє відображення в остаточних висновках.

Найбільш важливі усні свідчення повинні підтверджуватись документально.

Аудитор також має враховувати зв'язок між незалежністю джерел аудиторських свідчень та довірою до них (див.табл.3).

Таблиця 3. Зв'язок між незалежністю джерел аудиторських свідчень та довірою до них [27;25].

- мета аудиту;

- обсяг аудиту;

Зміст, форма, термін подання та особи, яким надається даний звіт, мають бути офіційно затвердженими та відповідати процедурам банку.

Якщо незадовільний стан спостерігається протягом довгого періоду часу або якщо він погіршується, необхідно також викласти причини виникнення такої ситуації.

Визначення причин незадовільного стану є необхідною передумовою для того, щоб рекомендації, щодо заходів для виправлення ситуації, були дійсно корисними. Причини можуть бути досить явними або їх можна з'ясувати шляхом логічних міркувань з метою надання рекомендацій із зазначенням особливих та практичних шляхів для виправлення незадовільного стану. Однак, неможливість з'ясувати причини такого стану може також означати обмеженість чи недоліки аудиторської роботи, або причини було не визначено навмисно з метою уникнути прямої конфронтації з відповідальними особами.

5. Рекомендації