• подверженность активов потерям или незаконному присвоению;
• завершение необычных и сложных операций, особенно в конце или ближе к концу отчетного периода;
• операции, которые не подвергаются процедуре обычной обработки.
В процессе получения необходимого для планирования аудиторской проверки представления о системах бухгалтерского учета и внутреннего контроля аудитор приобретает знания о структуре этих систем и их функционировании. Средствам внутреннего контроля присущи некоторые ограничения, в частности:
• ориентация большей части средств внутреннего контроля на текущие, а не на редкие операции;
• потенциальная возможность ошибок вследствие человеческого фактора, т.е. из-за небрежности, рассеянности, ошибок в суждении и неправильного понимания инструкции;
• возможность обойти процедуры внутреннего контроля путем сговора представителя руководства или сотрудника с внешними или внутренними по отношению к субъекту лицами.
Оценка риска средств контроля. Это процесс определения эффективности систем бухгалтерского учета и внутреннего контроля аудируемого лица с позиций предотвращения или обнаружения и исправления существенных искажений.
Формирование объективного мнения аудитора о системе внутреннего контроля и ее процедурах проходит в три этапа:
1) общее знакомство с системой внутреннего контроля;
2) первичная оценка надежности системы внутреннего контроля;
3) подтверждение достоверности оценки надежности системы внутреннего контроля.
Для оценки риска средств контроля аудитор должен применять специальные аудиторские процедуры — тестирование. Тестирование средств контроля необходимо аудитору для выяснения следующих вопросов:
а) надежно ли работают предусмотренные на предприятии системы бухгалтерского учета и внутреннего контроля; способны ли они эффективно препятствовать появлению значимых ошибок в отчетности и своевременно выявлять их;
б) одинакова ли эффективность средств контроля на протяжении всего отчетного периода.
Тесты средств контроля, как правило, включают:
• проверку документов, подтверждающих операции и другие события, в целях получения аудиторских доказательств относительно надлежащего применения средств внутреннего контроля на практике, например проверку наличия разрешения на проведение операции;
• направление запросов и наблюдение за применением средств внутреннего контроля, которые не оформляются документально, например определение действительного исполнителя какой-либо функции, а не того, кому положено ее выполнять;
• повторное применение средств внутреннего контроля, например сверка банковских счетов, с тем чтобы удостовериться, что данные действия были правильно выполнены аудируемым лицом.
При анализе результатов тестирования аудитор ориентируется на то, что некоторые средства контроля могут быть эффективны в целом, но не эффективны в отдельные периоды времени.
Это может происходить:
• из-за кратковременной замены учетного работника — контролера на период его отсутствия (болезнь, отпуск);
• особенностей работы бухгалтерии, отражающих сезонные периоды работы повышенной интенсивности;
• появления ошибок, имеющих единичный или случайный характер.
Аудитору необходимо получить аудиторское доказательство с помощью тестов средств контроля для подтверждения оценки риска средств контроля. Чем ниже оценка риска средств контроля, тем больше подтверждений необходимо получить аудитору относительно надлежащей структуры и эффективного функционирования систем бухгалтерского учета и внутреннего контроля.
В теории и практике аудита представлены разные подходы к определению неотъемлемого риска и риска средств контроля.
Практически все они сводятся к процедуре тестирования. Из многообразия применяемых методик можно выделить ряд распространенных на практике подходов по оценке результатов тестирования:
• тест содержит вопросы, перечень которых, как правило, не обосновывается, но с позиций здравого смысла каждый из предложенных перечней имеет право на существование;
• ответы на вопросы теста оцениваются как «да» (1) и «нет» (0);
• варианты тестовых ответов оцениваются по шкале баллов.
В этом случае каждому варианту присваиваются на основе экспертного мнения баллы. Ответы оцениваются, например, по шкале от 2 до 10 баллов.
Любой из предложенных тестов имеет две оценки: максимально возможную сумму баллов и фактически полученную после выполнения теста. Их соотношение в некоторой степени характеризует качество работы обследуемой системы предприятия. В этом случае аудиторы могут использовать свое профессиональное суждение о том, как соотносится вероятность необнаружения ошибок самими работниками бухгалтерии с показателем, полученным в результате обработки теста.
Однако применение детальных оценок требует и более сложных исследований системы внутреннего контроля: разработки различных тестовых процедур, перечней типовых вопросов; анализа полученных результатов с применением шкал баллов, коэффициентов и формул для получения надежных оценок. Практически все предлагаемые специалистами в области аудита методики не позволяют дать точной оценки ввиду трудоемкости расчетов или затруднений при получении необходимой информации. Большинство аудиторов проявляют осторожность и пользуются для обозначения меры риска терминами с широким и субъективным значением: высокий, средний и низкий. Именно такой подход реализован в ПСАД № 8, где предложено оценивать все виды рисков с помощью минимум трех градаций. В качестве примера такого подхода можно привести форму рабочего документа по оценке неотъемлемого риска, риска средств контроля, предложенную в Методических рекомендациях по проверке налога на прибыль и обязательств перед бюджетом при проведении аудита и оказании сопутствующих услуг, одобренных Советом по аудиторской деятельности при Минфине РФ (протокол № 25 от 22 апреля 2004 г.).
Ряд аудиторов на практике используют балльную систему оценки аудиторских рисков проверяемого экономического субъекта Очевидно, что, чем подробнее сформирован тест оценки аудиторского риска, тем объективнее аудиторская оценка. В результате могут быть подготовлены детальные рекомендации по улучшению организации бухгалтерского учета.
Существует взаимосвязь между оценками неотъемлемого риска и риска средств контроля. В ответ на ситуации, связанные с неотъемлемым риском, руководство часто разрабатывает системы бухгалтерского учета и внутреннего контроля, направленные на предотвращение или обнаружение и исправление искажений, следовательно, в большинстве случаев неотъемлемый риск и риск системы контроля тесно взаимосвязаны. Поэтому ФПСАД № 8 аудитору рекомендуется в таких ситуациях во избежание неадекватности оценки риска определять аудиторский риск путем комбинированной оценки. Каждая аудиторская компания самостоятельно определяет методику оценки (тестирования) неотъемлемого (внутрихозяйственного) риска и риска средств контроля и обязана утвердить выбранные подходы во внутрифирменном стандарте.
Модель аудиторского риска — это модель планирования, поэтому возможности ее использования при оценке результатов аудита ограничены. В практической деятельности аудиторов известны три основных способа применения модели аудиторского риска.
П е р в ы й с п о с о б ориентирован на планирование будущей проверки исходя из предположений аудитора. Например, аудитор полагает, что неотъемлемый (внутрихозяйственный) риск составит 80%, риск средств контроля — 50, риск необнаружения — 10%. На основании этих значений аудитор может вычислить аудиторский риск — здесь 4% (0,8 • 0,5 • 0,1 = 0,04). Этот способ может помочь составить будущий план проверки, однако он неэффективен.
В т о р о й с п о с о б опирается на взаимосвязи между компонентами аудиторского риска, количеством и качеством необходимых аудиторских доказательств. Применение модели аудиторского риска требует от аудитора глубокого понимания таких взаимосвязей и содержания каждого из компонентов аудиторского риска сбора аудиторских доказательств.
Т р е т ь и м с п о с о б о м акцент переносится на расчет значения риска необнаружения и количества подлежащих получению аудиторских доказательств. На основе проведенных тестов и вычисленных значений риска средств контроля и неотъемлемого риска аудитор определяет допустимый в своей работе риск необнаружения. Важно, что при таком подходе именно риск необнаружения определяет количество аудиторских доказательств. Это более эффективный способ для планирования и самый распространенный на практике.
В третьем способе базовая формула аудиторского риска (4.2) применяется в следующей интерпретации:
DR = DAR / (1R • СR).
Пример. Внутренним стандартом аудиторской фирмы установлено значение приемлемого аудиторского риска DАR = 0,05 (5%). По результатам тестирования установлено: 1R= 0,8 (80% допущенных ошибок бухгалтерия не исправляет) и СR = 0,5 (50% ошибок, допущенных бухгалтерией, не обнаруживает система внутреннего контроля).
Тогда DR = 0,05 / (0,8 • 0,5) = 0,125, т.е. риск не обнаружения составляет 12,5%.
Существует обратная связь между риском необнаружения и комбинацией неотъемлемого риска и риска средств контроля:
а) высокие значения IR и CR обязывают организовать проверку так, чтобы максимально снизить риск необнаружения;
б) низкие значения IR и СR позволяют допустить в ходе проверки более высокий риск необнаружения и при этом получить приемлемое значение общего аудиторского риска.
Уровень риска необнаружения напрямую связан с аудиторскими процедурами проверки по существу. Аудитор должен учитывать оцененные уровни неотъемлемого риска и риска средств контроля при определении характера, временных рамок и объема процедур проверки по существу, необходимых для снижения аудиторского риска до приемлемо низкого уровня. В этой связи аудитор рассматривает:
а) характер процедур проверки по существу, например проведение тестов, ориентированных на представителей независимых сторон, не связанных с аудируемым лицом, а не на его сотрудников либо документацию, или проведение в дополнение к аналитическим процедурам детальных тестов, направленных на решение какой-либо конкретной цели аудита;
б) временные рамки выполнения процедур проверки по существу, например проведение таких процедур в конце отчетного периода, а не в более ранний срок;
в) объем процедур проверки по существу, например использование большего объема выборки.