Для рациональной организации проверки аудитор должен, исходя из оценки неотъемлемого и контрольного риска и принимая во внимание предварительное суждение о существенности, определить допустимый риск необнаружения и с учетом минимизации последнего спланировать соответствующие аудиторские процедуры.
Диагностика внутреннего контроля экономического субъекта осуществляется в целях предварительной оценки степени надежности СВК и предполагает изучение, анализ, оценку:
- отношения руководства к необходимости поддержания адекватного внутреннего контроля;
- порядка делегирования полномочий и распределения ответственности;
- порядка авторизации хозяйственных операций на всех уровнях иерархии управления;
- порядка обеспечения сохранности активов и конфиденциальной информации экономического субъекта;
- учетной и налоговой политики экономического субъекта, ее организационно-технических и методологических аспектов;
- организационной структуры бухгалтерии;
- порядка документального оформления фактов хозяйственной деятельности и организации документооборота;
- роли и места средств вычислительной техники в ведении бухгалтерского и налогового учета;
- порядка систематизации данных в регистрах бухгалтерского и налогового учета;
- процесса подготовки бухгалтерской и налоговой отчетности.
Для предварительной оценки эффективности СВК используются следующие градации: высокая, средняя, низкая. Свою оценку аудитор формирует в результате:
- бесед с компетентными работниками экономического субъекта;
- проверки документов;
- наблюдения за применением конкретных мероприятий и процедур;
- аналитических процедур.
Рассмотрим более подробно процесс изучения и оценки СВК, который состоит из понимания и документирования этой системы, оценки контрольного риска, тестирования средств контроля, оценки результатов тестирования и их документирования, тестирования по существу.
Для анализа СВК аудитору следует:
- опираться на собственный опыт работы с субъектом;
- запрашивать необходимую информацию у руководства, контролеров и персонала;
- исследовать документы и записи;
- изучать характер и виды деятельности;
- задокументировать полученное понимание.
Текущие средства внутреннего контроля исследуются аудитором на основе данных из нескольких источников - как прошлых, так и настоящих. Аудитор должен проанализировать рабочие документы по предыдущей аудиторской проверке, запросить дополнительную информацию у персонала клиента и внутренних аудиторов, изучить руководства по процедурам и пронаблюдать деятельность компании. Однако следует учитывать, что структура средств внутреннего контроля предыдущих периодов может не соответствовать текущему периоду. Документирование понимания СВК может быть сделано аудитором путем подготовки блок-схем, заполнения анкет, описаний и составления древа решений и таблиц. Такие формы документирования доказывают, что достаточное понимание и оценка СВК были фактически осуществлены. Блок-схемы представляют собой символические диаграммы, отражающие последовательный процесс системы управления, обработки и документирования. Блок-схемы могут использоваться, во-первых, для оценки СВК, во-вторых, - как средства документирования в электронном виде при программировании.
Блок-схема, используемая для оценки системы, показывает происхождение каждого документа в системе, его последующую обработку и конечное месторасположение. Помимо этого схемы полезны для аудитора тем, что документируют все шаги в процессе проверки.
Электронные блок-схемы, используемые в качестве документации, первоначально создаются для документирования логики и существующих потоков электронной информации. Аудитор может использовать такие схемы для оценки как работы программы, так и средств внутреннего контроля, относящихся к функции обработки данных в общем.
Для подготовки блок-схем следует:
- составить схему документооборота и информационных потоков;
- начинать с верхней части страницы и двигаться сверху вниз и слева направо;
- использовать описание для лучшего понимания пользователем;
- избегать разделяющих линий, если это возможно;
- при необходимости прочитать заново схему с точки зрения читателя и устранить неопределенности.
Анкета по СВК обычно содержит вопросы, которые предполагают ответы "да" или "нет". Отрицательные ответы направлены на заострение внимания на возможные недостатки этой системы. По отрицательным ответам необходимо написать объяснение. Анкеты также имеют дополнительное пространство, для того чтобы опрашиваемый сотрудник мог разместить там свои пояснения. Вопросы должны быть ориентированы на конкретные средства внутреннего контроля, отвечающие за определенный элемент, счет или процесс. Они должны относиться к каждой процедуре уместного средства.
Описания являются письменной версией блок-схемы. Аудитор описывает то, как он представляет себе СВК. Изложение фактов производится в последовательности происхождения событий по определенной операции.
Блок-схемы подходят для документирования более сложных структур контроля, а письменное изложение фактов - для менее сложных.
Древо решений является графической иллюстрацией, которая показывает логику операции или процесса. При этом в основном используются вопросы, на которые должны следовать ответы "да", "нет", направляющие пользователя к логически следующему вопросу. Таблицы показывают логическую связь компонентов системы в табличной форме. При помощи этих двух методов аудитор документирует понимание процесса.
Следующим этапом в изучении и оценке СВК являются оценка контрольного риска, тестирование средств контроля.
Оценка риска контроля - определение того, насколько эффективны средства внутреннего контроля при предупреждении или выявлении существенных искажений в финансовой отчетности. Средства контроля могут иметь значительный эффект в отношении многих, одного или нескольких утверждений.
Средства контроля могут прямо либо косвенно относиться к утверждениям. В первом случае средства контроля более эффективны, поэтому аудитор может оценить риск контроля ниже, чем во втором.
Аудитор может принять одну или несколько различных стратегий аудита утверждений.
Оценка риска контроля как максимальная (или немного ниже) означает, что аудитор планирует применить в основном подход проверки по существу. В этом случае средства контроля не тестируются, так как аудитор не намерен на них полагаться. Максимальный уровень оценки риска контроля свидетельствует о том, что процедура контроля:
- неуместна либо неэффективна;
- соотношение затраты - выгоды мешает проведению тестирования;
- неэффективна для тестирования средства контроля;
- представляет собой слабо разработанное средство контроля.
Оценка риска контроля ниже максимального означает, что аудитор намерен полагаться на подобные средства внутреннего контроля. Оценка риска ниже максимального уровня затрагивает:
- идентификацию определенных уместных средств контроля, которые, скорее всего, обнаружат и устранят существенные искажения;
- проведение тестирования данных средств контроля;
- заключение по оцененному уровню риска контроля.
Какая стратегия ни была бы выбрана, она определяет:
- степень понимания СВК, которую аудитор должен достичь;
- природу, степень, время для выполнения процедур для получения такого понимания;
- документирование выводов относительно оцененного уровня риска контроля;
- природу, время и степень проведения процедур по существу, которые должны быть выполнены.
Оценка риска контроля должна быть оформлена документально, так как любая оценка риска контроля ниже максимальной должна быть обоснована доказательствами, полученными в результате тестирования средств контроля.
Если далее аудитор предполагает снизить риск контроля до желаемого уровня, то необходимо выполнить дополнительное тестирование средств контроля. В основном дополнительное тестирование проводится, если есть необходимость получить дополнительные доказательства или аудитор сочтет это достаточно эффективным. Аудитор оценивает, оправдают ли усилия, требуемые для проведения дополнительного тестирования средств контроля, ожидаемое сокращение тестирования по существу.
О надежности СВК свидетельствуют:
- нумерация документов, которая позволяет убедиться в том, что все операции отражены в учете (полнота); все операции отражены в учете только один раз (существование);
- разрешение на проведение операции, которое должно осуществляться до передачи ресурсов (существование);
- независимые проверки, включающие проверку работы, выполненной другими лицами (оценка), - сверку банковских выписок, сравнение субсчетов с синтетическими счетами главной книги, сравнение данных проведенной инвентаризации с данными бухгалтерского учета;
- документирование, которое предоставляет доказательства по совершенным операциям, а также является основой для определения ответственности за исполнение и отражение операций (существование и оценка);
- распределение обязанностей, дающее уверенность в том, что отдельные лица не выполняют не совместимые с их работой служебные обязанности. С точки зрения контроля служебные обязанности считаются несовместимыми, когда, например, конкретное лицо имеет возможность украсть актив и в то же время скрыть эту кражу (существование и происхождение);
- физические средства контроля, предполагающие применение охранных устройств и средств, а также ограничение доступа к запрещенным участкам с использованием определенных средств и компьютерных программ.