Оценка системы внутреннего контроля аудируемого лица осуществляется

Порядок изучения и оценки систем бухгалтерского учета и внутреннего контроля отражен как в международных, так и в национальных стандартах.

Аудитору необходимо понимание систем бухгалтерского учета (далее — СБУ) и внутреннего контроля, так как это позволит ему достаточно эффективно спланировать последующую аудиторскую проверку.Система бухгалтерского учета — это упорядоченная система сбора, регистрации и обобщения информации в денежном и (или) количественном выражении об имуществе, обязательствах организаций, их движении путем сплошного, непрерывного и документального учета всех хозяйственных операций и других событий.

Система внутреннего контроля — это совокупность организационных мер, методик и процедур, принятых руководством экономического субъекта в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок искажений информации, а также своевременной подготовки достоверной бухгалтерской отчетности.

Можно отметить, что система внутреннего контроля (далее — СВК) выходит за рамки тех вопросов, которые непосредственно относятся к функциям системы бухгалтерского учета, так как она включает в себя контрольную среду и процедуры контроля.

Контрольная среда — осведомленность и действия руководства экономического субъекта, направленные на установление и поддержание СВК.

Контрольная среда, влияющая на эффективность конкретных средств контроля, состоит из следующих элементов:

  • стиль и основные принципы управления данным экономическим субъектом;
  • организационная структура экономического субъекта;
  • распределение ответственности и полномочий;
  • кадровая политика;
  • порядок подготовки бухгалтерской отчетности для внешних пользователей;
  • порядок осуществления внутреннего управленческого учета и подготовки отчетности для внутренних целей;
  • соответствие хозяйственной деятельности экономического субъекта в целом требованиям действующего законодательства.

Процедуры контроля — методы, предпринятые руководством для достижения конкретных целей.

К процедурам контроля относят:

  • подотчетность одних учетных работников другим, внутренние проверки и сверки данных;
  • утверждение документов и осуществление контроля над документами и т. п.

Необходимо отметить, что в процессе аудита финансовой (бухгалтерской) отчетности аудитор уделяет внимание только тем основным целям и конкретным процедурам в системе бухгалтерского учета и внутреннего контроля, которые имеют отношение к процессу подготовки бухгалтерской отчетности.

Для аудитора понимание соответствующих аспектов систем бухгалтерского учета и внутреннего контроля наряду с оценкой неотъемлемого риска и риска средств контроля и учетом иной информации позволяет определить виды потенциальных существенных искажений, которые могут встретиться в бухгалтерской отчетности, а также своевременно учитывать факторы, влияющие на риск появления существенных искажений, и разрабатывать надлежащие аудиторские процедуры.

Аудитор, осуществляющий свою деятельность в соответствии с MCA, на этапе подготовки проведения аудита принимает во внимание предварительную оценку риска существенного искажения финансовой отчетности (далее — РСИО), для того чтобы определить надлежащий риск необнаружения, который может быть принят для определения характера, временных рамок и объема процедур по существу для проверки процесса формирования финансовой отчетности.

Оценку рисков существенного искажения аудитор проводит на основании требований MCA 315 «Выявление и оценка рисков существенного искажения через изучение деятельности и коммерческого окружения организации».

В стандарте сказано, что аудитор должен изучить деятельность аудируемого лица, для того чтобы иметь возможность выявить и оценить риски существенных искажений финансовой отчетности, которые произошли в результате мошенничества или ошибки, а затем разработать и выполнить дальнейшие аудиторские процедуры». Также в стандарте говорится о том, что аудитор оценивает выявленные риски, которые, по его мнению, требуют специальных действий (значимые риски). К ним можно отнести риски мошенничества.

Российским аналогом международного стандарта MCA 315 является правило (стандарт) аудиторской деятельности ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности», которое устанавливает единые требования к пониманию деятельности аудируемого лица и среды, в которой она осуществляется, включая систему внутреннего контроля.

Суть понимания аудитором деятельности аудируемого лица и среды, в которой она осуществляется, раскрыта в п. 19 ФПСАД № 8. Новая формулировка требует от аудитора анализа более широкого перечня проблем, чем понимание только системы бухгалтерского учета.

В стандарте раскрываются понятия, созвучные международному стандарту: риск хозяйственной деятельности, риск существенного искажения финансовой (бухгалтерской) отчетности, риск системы внутреннего контроля. В п. 106 ФПСАД № 8 введено понятие «значимые риски». Определение значимых рисков в соответствии с п. 107 следует осуществлять в ходе большинства аудиторских проверок, что является делом профессионального суждения аудитора. При их оценке аудитор должен установить, какие из них, по его профессиональному суждению, требуют специального аудиторского рассмотрения, так как такие риски и определяются как значимые.

Высказывая такое суждение, аудитор как бы абстрагируется от влияния установленных средств контроля, связанных с риском, и определяет, являются ли характер риска, вероятная величина потенциального искажения, включая возможность множественных искажений, и вероятность возникновения риска таковыми, что потребуют специального аудиторского рассмотрения.

Вероятность возникновения значимых рисков низка при осуществлении типовых и несложных хозяйственных операций, которые являются объектом регулярной обработки и содержат низкие неотъемлемые риски. Но с другой стороны, значимые риски, как правило, и проистекают из рисков хозяйственной деятельности, которые могут привести к существенному искажению.

Стандарты MCA 315 и MCA 330 увязывают оценку аудиторских рисков и аудиторские процедуры по ним с анализом надежности СВК аудируемых лиц с точки зрения возможного искажения финансовой отчетности.

MCA 315 предусматривает пять составляющих СВК.

Аудитор должен:

  • проводить анализ внутреннего контроля в разрезе пяти составляющих, предусмотренных п. 43 MCA 315;
  • оценивать СВК на основе профессионального суждения с точки зрения риска существенного искажения финансовой отчетности. Оценка СВК должна сочетать оценку качества процедур контроля и эффективности их применения;
  • учитывать специфику внутреннего контроля, осуществляемого с помощью систем, основанных на применении вычислительной техники;
  • понимать контрольные действия, чтобы оценить риски существенных искажений на уровне предпосылок подготовки финансовой отчетности и разработать дальнейшие процедуры аудита с учетом оцененных рисков.

Средства внутреннего контроля, имеющие отношение к системе бухгалтерского учета, по мнению практикующих аудиторов, содействуют достижению таких целей, как:

  • осуществление операций по общему или специальному разрешению руководства;
  • своевременный учет всех операций и прочих событий в точных величинах, на надлежащих счетах и в должные отчетные периоды, с тем чтобы сделать возможной подготовку бухгалтерской отчетности в соответствии с установленными принципами подготовки бухгалтерской отчетности;
  • возможность доступа к активам и записям только по разрешению руководства;
  • сопоставление учтенных активов с активами, имеющимися в наличии, через разумные промежутки времени и принятие надлежащих мер в отношении любых расхождений.

В процессе получения представления о системах бухгалтерского учета и внутреннего контроля, необходимого для планирования аудиторской проверки, аудитор приобретает знания о структуре этих систем и их функционировании. Например, аудитор может провести так называемый сквозной тест, то есть проследить несколько операций через всю систему бухгалтерского учета.

Очень часто зарубежные аудиторы применяют вопросные листы — наиболее распространенные приемы в деятельности аудитора.

С помощью заранее заготовленных вопросов он может получить от клиента более детальную информацию относительно организации и действия внутренних проверок. Вопросные листы могут разрабатываться в закрытой (ответы «да», «нет») или открытой (описание ответа) формах. Преимущество закрытой формы состоит в том, что аудитор получает конкретный ответ на поставленный вопрос и не оставляет клиенту возможности уйти от ответа. С другой стороны, давая открытые ответы, клиент может затронуть аспекты, упущенные аудитором. Для того чтобы использовать преимущества обоих видов ответов, в вопросных листах планируется одновременное их получение («ответьте «да» или «нет»; «если ваш ответ отрицательный, то обоснуйте его»).

При изучении системы внутреннего контроля аудитору следует получить ответы на следующие вопросы:

  • существуют ли организационный план и список сотрудников структурных подразделений;
  • имеются ли описание и четкое разделение функций каждого сотрудника в форме инструкции и указаний;
  • знают ли сотрудники об их существовании;
  • написаны ли инструкции доступным, понятным языком;
  • существует ли в экономическом субъекте отдел внутренней ревизии или аудита;
  • разработан ли план проведения специальных внутренних проверок; если разработан, то выполняется ли он;
  • используются ли в бухгалтерском учете компьютерные программы; если используются, то каковы их характеристики;
  • имеются ли диаграммы и описание рабочих процессов и т. п.

После получения ответов на поставленные вопросы все результаты оценки СВК должны быть отражены в рабочих документах, что позволяет определить наличие и запланированное предназначение контрольных механизмов.

Так как описание СВК требует больших затрат времени, то при повторяющихся ежегодных проверках используются материалы и записи прошлых лет, которые находят свое отражение в постоянной папке (файле) в соответствии с требованиями MCA 230, а в текущей папке (файле) отражаются лишь характерные изменения.

Характер, временные рамки и объем процедур, выполняемых аудитором с целью получения понимания систем бухгалтерского учета и внутреннего контроля, изменяются в зависимости от многих факторов:

  • размера и сложности субъекта и его компьютерной системы;
  • соображений, связанных с понятием существенности;
  • применяемых средств внутреннего контроля;
  • характера документирования субъектом конкретных средств внутреннего контроля и аудиторской оценки неотъемлемого риска.

При планировании аудита необходимо получить информацию о существующих процедурах контроля, которые должны осуществляться СВК.

Если аудитор приходит к выводу, что он может использовать данные соответствующих средств контроля, то он получает возможность проводить аудиторские процедуры менее детально и (или) более выборочно, а также вносить изменения в суть применяемых аудиторских процедур и предполагаемые затраты времени на их осуществление.

Международные стандарты рекомендуют при оценке эффективности и надежности СВК в целом, контрольной среды и отдельных средств контроля использовать не менее трех градаций: высокую, среднюю, низкую. Аудитор или аудиторские организации на основании предшествующего опыта могут принять решение о применении в своей деятельности большего количества градаций при оценках эффективности и надежности.

Изучение и оценка особенностей системы бухгалтерского учета, СВК должны в обязательном порядке документироваться аудиторскими организациями в ходе аудиторской проверки.

При проведении и документировании этой работы рекомендуется использовать следующие типовые формы: специально разработанные тесты, перечни типовых вопросов для выяснения мнения административного персонала и работников бухгалтерии, специальные бланки и проверочные листы, блок-схемы и графики, перечни замечаний, протоколы или акты.

Аудиторские организации самостоятельно разрабатывают методики и порядок изучения и оценки системы бухгалтерского учета и внутреннего контроля, а также планируют процедуры аудиторской проверки в зависимости от результатов такого изучения и оценки. Снижение объема и детальности отдельных аудиторских процедур в результате изучения особенностей средств контроля экономического субъекта должно быть надлежащим образом аргументировано.

Содержание статей стандарта перекликается с MCA 265, в котором сказано, что «аудитор должен сообщать лицам, наделенным руководящими полномочиями, об обнаруженных недостатках в системе внутреннего контроля аудируемой организации в том случае, если, по мнению аудитора, они важны настолько, что с точки зрения профессионального суждения аудитора заслуживают внимания руководства аудируемой организации».

Важно, чтобы аудиторские процедуры оценки рисков включали в себя анализ типов контроля, которые аудитор ожидает обнаружить в аудируемой организации, учитывая ее размер, сложность и особенность бизнеса. Если в процессе аудита оказывается, что типы контроля отсутствуют, аудитор должен довести этот факт до сведения руководства аудируемой организации, даже если отсутствие типов контроля не имеет непосредственного влияния на запланированные аудиторские процедуры и не меняет их.

При оценке системы бухгалтерского учета и СВК аудитор должен получить понимание информационной системы, связанной с целями финансовой отчетности.

В соответствии с пп. 8, 9 приложения 2 к MCA 315 эти системы состоят из процедур и записей, установленных для инициирования, занесения, обработки и обобщения операций предприятия.

Так, п. 81 MCA 315 предусматривает, что аудитор должен получить понимание информационной системы, включая соответствующие бизнес-процессы, имеющие отношение к подготовке финансовой отчетности, в том числе в следующих областях:

  • классы операций, существенных для финансовой отчетности (в российских ФПСАД они называются группами однотипных операций);
  • процедуры внутри как компьютерных, так и ручных систем учета, с помощью которых эти операции инициируются, записываются, обрабатываются и обобщаются в финансовой отчетности;
  • учетные записи, связанные с указанными операциями (как электронные, так и бумажные, подтверждающие информацию), и конкретные счета учета в отчетности, касающиеся инициирования, записи, обработки и обобщения операций;
  • информация о том, каким образом информационная система улавливает события и условия, помимо классов операций, существенных для финансовой отчетности;
  • процесс подготовки финансовой отчетности, включая действия по подготовке оценочных значений и по раскрытию необходимой информации.

Аудитор должен понять, каким образом руководство организации доносит информацию о ролях и обязанностях конкретных сотрудников, а также о существенных вопросах, имеющих отношение к финансовой отчетности. Такие процессы обычно связаны с распределением полномочий и обязанностей по контролю за подготовкой финансовой отчетности, а также с пониманием персоналом характера своего участия в этой подготовке. Понимание аудитором системы обмена информацией, связанной с финансовой отчетностью, наступит, если станет понятен характер общения руководства и лиц, наделенных руководящими полномочиями (представители собственника), с комитетом по аудиту, с внешними по отношению к аудируемому лицу организациями, например, регулирующими инстанциями. В бухгалтерии должно быть четко расписано, кто что делает и кто за что отвечает, а аудитору следует проверить, насколько хорошо подготовлены должностные инструкции и насколько добросовестно они выполняются в реальной жизни.

При оценке СВК следует уделить внимание контрольной среде.

Контрольную среду, в соответствии с п. 2 приложения 2 к MCA 315, создают позиция, степень осведомленности и действия руководства и лиц, наделенных руководящими полномочиями, относительно внутреннего контроля экономического субъекта и его значения для этого субъекта.

Контрольная среда также включает руководящие и управленческие функции и формирует внутреннюю культуру организации, влияя на сознательность ее сотрудников в отношении контроля (в оригинале — control consciousness). Далее в определении говорится, что контрольная среда является основой для эффективного внутреннего контроля, она обеспечивает дисциплину и структурированность.

В п. 69 приведены факторы (элементы) контрольной среды:

  • сообщение требований в отношении честности и этических ценностей, а также меры по обеспечению этих требований;
  • внимание, уделяемое компетентности;
  • участие лиц, наделенных руководящими полномочиями;
  • философия руководства и стиль его работы;
  • организационная структура (делегирование полномочий и ответственности);
  • политика и практика в области людских ресурсов (делегирование полномочий и ответственности).

При проведении проверки аудитор должен оценить все элементы контрольной среды.

Например, MCA 315 предписывает аудитору получить понимание контрольной среды, уделяя особое внимание вопросам, связанным с угрозой мошенничества. По ходу оценки характера и применения элементов контрольной среды аудитор должен понять, каким образом руководство аудируемого лица создает атмосферу честного, этичного поведения и устанавливает соответствующие средства контроля для предотвращения и защиты от ошибок и мошенничества. Необходимо помнить, что обязанность по выявлению и предотвращению ошибок и мошенничества в первую очередь лежит не на аудиторе, а на руководстве аудируемого лица.

Анализируя элементы контрольной среды, аудитор должен учитывать и то, как эти элементы применялись.

Обычно он получает соответствующие аудиторские доказательства, опрашивая персонал и инспектируя документы. По ответам на запросы руководству и сотрудникам соответствующих подразделений аудитор может понять, как руководство общается с работниками, каковы его взгляды на бизнес и этику. В дальнейшем аудитор определяет, используются ли средства контроля на практике, например установило ли руководство формальный кодекс поведения и ведет ли оно себя сообразно этому кодексу или допускает нарушения и отступления от него.

В соответствии с рекомендациями п. 90 MCA 315 аудитор должен получить достаточное понимание контрольных действий, чтобы оценить риски искажений на уровне предпосылок подготовки финансовой отчетности и разработать дальнейшие процедуры аудита с учетом оцененных таким образом рисков. При этом аудитору следует анализировать только те статьи учета и предпосылки, которые могут послужить источником появления существенных искажений.

На практике к контрольным (управляющим) действиям относят многие процедуры и мероприятия, которые проводит аудируемое лицо и которые выходят за пределы непосредственного ведения учета и подготовки отчетности: сверки, перепроверки, инвентаризации, визирование документов, протоколирование, актирование, брошюровка документов, опечатывание, опломбирование и др.

После оценки контрольной среды и контрольных действий аудитору следует оценить существующие риски.

Под процессом оценки риска аудируемым лицом понимается выявление бизнес-рисков, их возможных последствий, а также реагирование на них (п. 5 приложения 2 к MCA 315).

Для целей финансовой отчетности процесс оценки риска включает:

  • выявление рисков, связанных с подготовкой правдивой и достоверной финансовой отчетности в соответствии с применимыми принципами ее подготовки (то есть в соответствии с установленными в стране стандартами, подходами, в нашем случае — положениями по бухгалтерскому учету), и реакцию руководства на эти риски;
  • предположения о важности рисков;
  • оценку вероятности возникновения соответствующих неблагоприятных последствий;
  • решения о мерах, которые необходимы для управления рисками.

Пункт 76 MCA 315 требует, чтобы аудитор получил понимание того, каким образом предприятие выявляет и устраняет бизнес-риски, связанные с целями финансовой отчетности, и к каким это приводит результатам. Если процесс опенки рисков построен адекватно, он помогает аудитору определить риски существенных искажении, если нет — аудитор должен делать руководителям предприятия замечания или давать рекомендации по улучшению. Если руководитель не реагирует должным образом на пожелания, аудитор может информировать представителя собственника.

Затем следует провести мониторинг средств контроля, то есть оценку качества функционирования СВК, позволяющей систематически контролировать работоспособность средств контроля и своевременно, по мере необходимости вносить в них изменения. Мониторинг средств контроля выполняется посредством постоянного наблюдения, отдельных оценок надежности средств или сочетания того и другого подхода и позволяет убедиться в том, что средства контроля продолжают функционировать эффективно.

В соответствии с п. 96 MCA 315 аудитор должен понимать основные виды мероприятий, которые предприятие проводит для мониторинга внутреннего контроля финансовой деятельности, включая мероприятия, относящиеся к аудиту, и то, как предприятие инициирует корректирующие действия относительно своих средств контроля.

В соответствии с MCA 315 аудитор на основании профессионального суждения должен установить, уместно ли для него при оценке рисков существенных искажений в некоторой области данное средство контроля, взятое само по себе или в сочетании с другими. При выработке суждения аудитор принимает во внимание такие моменты, как: оценка уровня существенности, размер аудируемого лица, характер его бизнеса, многообразие и сложность операций, сложность систем, составляющих СВК аудируемого лица. Оценить процедуру контроля — значит понять, можно ли с помощью этой либо нескольких процедур контроля эффективно предотвратить или выявить и исправить существенные искажения.

Процедуры оценки риска для получения аудиторских доказательств относительно формы и применения соответствующих средств контроля, в соответствии с п. 55 MCA 315, могут включать:

  • запросы персоналу аудируемого лица;
  • наблюдение за применением конкретных средств контроля;
  • проверку документов и отчетов;
  • отслеживание сделок с помощью информационных систем, относящихся к подготовке финансовой отчетности.

Самый простой и наименее надежный способ получения аудиторских доказательств об СВК — интервьюирование сотрудников клиента. Самым надежным способом получения доказательств является наблюдение аудитора за контрольными процедурами. Проверка документов и прослеживание операций занимают промежуточное положение: они менее надежны, чем наблюдение, но более надежны, чем результаты интервью. В то же время проверить документы, отражающие контрольные действия клиента за целый квартал или год, аудитор может при очередном выезде к клиенту.

Внутренний контроль, вне зависимости от того, насколько хорошо он организован и действует, может обеспечить предприятию только частичную уверенность в достижении целей, поставленных при подготовке финансовой отчетности. Если в результате проведенных процедур по оценке риска не обнаружено каких-либо эффективных средств контроля, аудитор может прийти к выводу, что только выполнение процедур проверок по существу является адекватным и таким образом исключает эффект контроля из соответствующих оценок рисков.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *