С точки зрения общего подхода аудиторский риск представляет собой возможность выдачи неверного (ложного) заключения после завершения всех аудиторских процедур.
Общий аудиторский риск (ОАР) – это вероятность формирования неверного мнения и как следствие составление ложного заключения об отсутствии существенных ошибок, в то время как они реально имеются.
Очевидно, что природа существенных ошибок связывает общий аудиторский риск с двумя факторами:
- риск того, что существенные ошибки будут иметь место вообще;
- риск того, что какие-либо имевшие место существенные ошибки останутся необнаруженными.
Условия влияния этих факторов предопределяют необходимость структурирования общего аудиторского риска.
Таким образом, общий аудиторский риск состоит из внутреннего риска деятельности (бизнеса) клиента, риска контроля и риска необнаружения.
Общий аудиторский риск на приемлемом уровне – это субъективно установленный уровень риска, который аудитор готов взять на себя в отношении того, что в финансовой отчетности клиента будут обнаружены погрешности после завершения аудита и предоставления положительного аудиторского заключения без оговорок.
Риск не может быть устранен полностью, поэтому в аудиторской практике установлен приемлемый уровень риска – 5%, а следовательно, уровень доверия равняется 95%. Такое соотношение в специальной литературе иногда называют «магической цифрой аудиторского риска».
Внутренний риск (ВР) представляет собой совокупность возможных рисков, связанных с функционированием предприятия, а именно: характеризует уровень всех потенциальных ошибок в результате деятельности предприятия до проверки со стороны системы внутреннего контроля. Риск возникновения таких ошибок связан с влиянием как объективных, так и субъективных факторов.
Объективные факторы — инфляционные процессы, конкуренция, изменение условий кредитования, налогообложения, сокращение рынка сбыта продукции и т.п. Недостаточно стабильная экономическая ситуация в стране предопределяет сложные экономические условия функционирования предприятий, поэтому эти факторы особенно должны учитывать аудиторы Украины, чтобы сконцентрировать внимание на объектах аудирования, связанных с потенциальными трудностями.
Субъективные факторы внутреннего риска следующие: сущность и содержание бизнеса клиента; степень сложности организационной структуры материнской фирмы и наличие значительной разветвленной сети дочерних предприятий; политика управления и хозяйствования, в том числе учетно-экономическая политика; система стимулирования труда персонала; наличие необычных и редких хозяйственных операций; степень обеспечения сохранности собственности; масштабы деятельности (объемы оборотов по счетам); применение компьютерной обработки учетно-экономической информации.
На основе оценки влияния перечисленных факторов внутреннего риска аудитор должен установить, на какие именно хозяйственные процессы (операции) как объекты аудита они окажут воздействие. При этом максимальное внимание следует обращать на те моменты, которые могут влиять на качество финансовой отчетности, а потому отсекаются те риски клиента, которые не связаны с составлением финансовой отчетности.
Даже при условии положительного влияния, перечисленных факторов внутренний риск будет не ниже 50 %, а при их отрицательном воздействии он может приближаться к 100 %.
Риск контроля (РК) представляет собой оценку действенности системы внутреннего контроля клиента с точки зрения ее способности предотвращать или обнаруживать ошибки. Система внутреннего контроля предприятия образуется подсистемами внутрихозяйственного контроля (ВХК) и внутреннего аудита (ВА). В свою очередь, в подсистеме внутрихозяйственного контроля, функции которого реализуют все структурные подразделения аппарата управления, особо следует выделить внутрихозяйственный контроль (ВХБК), реализуемый специалистами учетно-финансовой службы. Поэтому при определении риска контроля необходимо оценить надежность и действенность подсистем внутрихозяйственного контроля и внутреннего аудита (где такая служба имеется).
Для того чтобы оценить уровень риска контроля ниже максимального (т.е. ниже 100 %), необходимо:
• убедиться в наличии и ознакомиться с системой внутреннего контроля клиента (наличие и качество организационных регламентов — Положения о внутрихозяйственном контроле и закрепление контрольных функций в должностных инструкциях персонала (особенно бухгалтеров), Положения о внутреннем аудите и должностных инструкций внутренних аудиторов);
• убедиться в наличии и установить степень конкретности и детальности планов и программ деятельности службы внутреннего аудита;
• установить степень полноты и соответствия программам проверок рабочих документов и отчетов внутренних аудиторов;
• убедиться в степени обоснованности примененных методик внутреннего аудита отдельных объектов;
• на основе имеющейся внутренней контрольной информации (ведомости контроля отдельных объектов, контрольных расчетов, актов обследований, заключения внутренних аудиторов) оценить качество функционирования системы внутреннего контроля в целом;
• установить действенность мероприятий, корректирующих воздействий, предпринятых по результатам внутреннего аудита;
• протестировать контрольные моменты, подтверждающие качество системы внутреннего контроля (визуально оценить аккуратность, правильность и своевременность ведения учетных регистров, соответствие остатков по журналам-ордерам (машинограммам) и по счетам Главной книги, правильность корреспонденции счетов и др.);
• определить состояние контроля качества работы внутренних аудиторов со стороны руководителя службы внутреннего аудита;
• ознакомиться с кадровой политикой в отношении внутренних аудиторов (личные дела, квалификационные документы, программы профессиональной подготовки).
Как свидетельствует аудиторская практика, уровень риска контроля повышается при компьютерном варианте ведения бухгалтерского учета с применением неапробированных бухгалтерских программ. Кроме того, фактором увеличения риска контроля является сам факт выявления предыдущей аудиторской проверкой ошибок и неточностей в системе бухгалтерского учета клиента.
Между риском контроля и информационной базой аудита существует прямая зависимость. Если система внутреннего контроля признается достаточно надежной, то объемы отобранных для тестирования объектов могут быть уменьшены.
Сочетание ВР и РК представляет собой вероятность наличия ошибок после учета влияния системы ВК. Это предполагает, что аудиторы должны на основе оценки этих рисков спрогнозировать, в каких разделах финансовой отчетности ошибки наиболее или наименее возможны. Такой подход позволяет определить общий объем накопления аудиторских доказательств, а также его распределение по конкретным объектам (участкам) аудита.
Риск необнаружения (РН)означает меру готовности аудитора признать, что проведенные им аудиторские процедуры в отношении конкретных объектов не позволят обнаружить ошибки, превышающие предельно допустимый размер (если таковы имеются).
Определение величины РН тесно связано с величиной ВР и РК. Чем выше риск последних, что предполагает невысокую степень доверия аудитора ксистемам учета и ВК, тем меньше риск необнаружения необходимо установить для конкретной аудиторской проверки.
ВР и РК не зависят от аудитора, он не может на них повлиять, поскольку они являются результатом деятельности предприятия-заказчика независимо от проведения аудита. В отличие от этих элементов риск необнаружения является следствием выполненной аудитором работы, за которую он несет полную ответственность. Таким образом, в этом ключе основной задачей аудитора является минимизация риска необнаружения, что достигается достаточным объемом аудиторских процедур на основе применения грамотно составленных методик аудита, тестирования зон риска.
По известным причинам аудиторы Украины еще не обладают достаточным опытом в отношении оценки аудиторского риска, что дает основание воспользоваться моделью оценки риска, при- меняемой пятью ведущими аудиторскими фирмами мира:
ОАР = ВР ∙ РК ∙ РН, где
ОАР — общий аудиторский риск;
ВР — внутренний риск;
РК — риск контроля;
РН — риск необнаружения.
Отсюда риск необнаружения определяется аудитором расчетным путем:
РН = ОАР / ВР ∙ РК
Как отмечается в зарубежной специальной литературе, риск необнаружения состоит из риска аналитического обзора (РАО) и риска тестового контроля (РТК), что следует учитывать при его оценке. Тогда модель ОАР примет такой вид:
ОАР = ВР ∙ РК ∙ РАО ∙ РТК
Результаты обобщения зарубежного опыта в отношении установления уровней аудиторского риска по элементам представлены в таблице 1.
Таблица 1. Показатели приемлемого уровня аудиторского риска
Наименование элементов аудиторского риска | Приемлемые значения | |
минимум | Максимум | |
Общий аудиторский риск | 0,01 | 0,05 |
Внутренний риск | 0,5 | 1 |
Риск контроля | определяется экспертным путем | 1 |
Риск необнаружения | определяется расчетным путем | < 0,5 |
Например, если величину ОАР принять в размере 5 %, ВР оценить в размере 100 % (это свойственно для предприятий-клиентов по вновь заключенным договорам), а РК — 30 % (это достаточно низкая степень риска, означающая, что система ВК достаточно надежна), то величина РН составит
РН = 0,05 / 1,00 ∙ 0,30 = 0,1666
При этом очевидно, что если максимальная величина РН равна 16,66 %, то необходимая степень уверенности в результатах работы аудитора составит примерно 83 %. Поэтому должно быть протес- тировано не менее 83 % всей совокупности информации клиента, касающейся составления финансовой отчетности.