Проведение аудита всегда сопровождается определенным риском. Аудиторский риск – это опасение, что аудитор может выразить не вполне корректное мнение о состоянии объекта аудита. При проведении аудиторской проверки риск аудитора может быть связан с выдачей неправильного заключения по финансовым документам или заключения о правильности информации, представленной в финансовых документах, когда она на самом деле содержит определенного рода погрешности. Поэтому целью аудитора является определение и использование необходимых и достаточных процедур аналитической проверки, позволяющих свести к минимуму риск при ее осуществлении. Аудиторский риск заключается в следующем: аудитор приходит к выводу, что финансовая отчетность составлена правильно, и на этом основании выражает в аудиторском заключении мнение без оговорок, а в действительности финансовая отчетность содержит существенные погрешности. Аудиторский риск можно представить в виде модели аудиторского риска. Общепринятые стандарты аудита требуют, чтобы аудитор владел знаниями системы внутрихозяйственного контроля для сбора аудиторских свидетельств. Это возможно при изучении организационных структур, действующих у клиента, методик, общении с работниками компании-клиента, составлении анкет и схем документооборота, а также наблюдении за деятельностью клиента.
Изучив систему внутрихозяйственного контроля, аудитор оценивает возможность выявления ошибок и предупреждения их, а также отклонений от нормативов. Такая оценка включает применение конкретных контрольных процедур, снижающих вероятность того, что ошибки и отклонения от норм могут возникнуть, позволяющих выявить их и своевременно устранить. Эту процедуру называют оценкой риска контроля. По известным причинам аудиторы Украины еще не обладают достаточным опытом в отношении оценки аудиторского риска, что дает основание воспользоваться моделью оценки риска, применяемой пятью ведущими аудиторскими фирмами мира. Ориентировочная модель аудиторского риска может быть представлена следующим алгоритмом:
DAR = IR x CR x DR , (4.1)
где: DAR - приемлемый аудиторский риск (Desired audit risk),
IR - внутрихозяйственный риск (Inherent risk),
CR - риск внутреннего контроля (Control risk),
DR - риск необнаружения (Detection risk).
Степень аудиторского риска по представленной модели основывается на экспертной оценке аудитора. Для того, чтобы определить внутрихозяйственный риск, воспользуемся критериями, приведенными в развернутой системе оценки риска аудита и бизнеса. Система находится в стадии модернизации, но может дать математическое представление об уровне внутреннего риска (Приложение ). По данным таблицы (Приложение ) уровень внутрихозяйственного риска для ОАО СЗКО «Молот» 87,4 % . Риск внутреннего контроля состоит в оценке существующей на проверяемом предприятии системы внутреннего контроля, при этом аудитор предполагает возможность выявления существующей на предприятии системы контроля допущенных ошибок и способы их предотвращения. Аудиторский риск может снизиться, если на предприятии имеется эффективная система внутрихозяйственного контроля. При оценке системы внутрихозяйственного контроля особое внимание уделяется трем элементам системы: среда контроля, учетная система, контрольные процедуры. Для этого исследуют порядок обработки данных регистров учета и определяются конкретные лица, осуществляющие внутренний контроль. Уровень риска системы внутреннего контроля определяется на основании применения тестов (Приложение ). Основываясь на предварительной оценке риска контроля аудитор выбирает подход к проведению проверки. Для предприятий малого бизнеса, а также некоторых средних предприятий, предварительная оценка риска контроля, как правило, будет максимальной. В связи с этим в общий план аудита не нужно будет включать тесты системы внутреннего контроля, а тесты по существу должны быть запланированы в большом объеме.
При аудиторской проверке исследуемого предприятия аудитор, оценивая предварительно программу аудита, определил, что риск контроля — 95 %. Так как достаточный уровень приемлемого аудиторского риска должен быть не более 5 % (это значит, что при таком аудиторском риске ни имущественный, ни моральный ущерб клиенту и аудитору (аудиторской фирме) причинен не будет), то отсюда риск необнаружения определяется расчетным путем:
DR = DAR / IR x CR = 0,05 / 0,87 * 0,95 = 0,06
При этом очевидно, что если максимальная величина DR = 6%, то необходимая степень уверенности в результатах работы аудитора составит примерно 94 %. Поэтому должно быть протестировано не менее 94 % всей совокупности информации клиента, касающейся составления финансовой отчетности.
Рассмотрим составные элементы (сегменты) модели аудиторского риска. Приемлемый аудиторский риск — это субъективно установленный уровень риска, который готов принять на себя аудитор. Состоит он в том, что в финансовой отчетности будут выявлены погрешности после завершения аудита и представления аудиторского заключения без оговорок. Если аудитор определяет для себя меньший уровень аудиторского риска, то это значит, что он стремится к большей уверенности в том, что финансовая отчетность не имеет существенных погрешностей. Нулевой риск означал бы полную уверенность в этом, стопроцентный риск — полную неуверенность. Степень риска может колебаться в диапазоне между нулем и единицей (от 0 до 100 %), но не может быть ни выше, ни ниже этих значений. Полная гарантия (нулевой риск) точности финансовой отчетности экономически нецелесообразна, так как для этого необходимо не выборочным, а сплошным способом проверить всю документацию аудитором, а также в случае необходимости привлечь к проведению аудита технологов, маркетологов и других специалистов. Такой аудит будет длительным, неоперативным, дорогостоящим для клиента и не всегда будет способствовать совершенствованию его деятельности.
Аудиторской практикой доказано, что при определенных обстоятельствах необходимо, чтобы риск был как можно более низким, иначе нельзя защитить интересы ни пользователей, ни аудиторов. Это зависит от того, в какой степени пользователи полагаются на показатели финансовой отчетности, а также от того, насколько вероятно возникновение у клиента финансовых трудностей после представления аудитором заключения. Отсюда, если внешние пользователи полностью полагаются на достоверность финансовой отчетности, то аудитору необходимо стараться снизить уровень аудиторского риска. Одновременно, если при условии высокого доверия к финансовой отчетности в ней остались значительные погрешности, то это может причинить вред, прежде всего имиджу аудитора.
Если после завершения аудита и выдачи положительного заключения клиент вынужден объявить о своей финансовой недееспособности, то у аудитора возникает потребность защищать качество аудита. Для тех, кто теряет деньги из-за банкротства или изменение курса акций, вполне естественно возникает желание возбудить судебный иск против аудитора. Это может быть следствием убежденности клиента в том, что аудитор не сумел провести проверку должным образом, или желания заказчика аудита компенсировать часть своих потерь независимо от объективности аудиторского заключения.
Следует отметить, что рассмотренная модель по мнению Дмитренко И.[40] не лишена недостатков, а именно: оценки приемлемого аудиторского риска, внутреннего риска и риска контроля в значительной степени субъективны; это модель планирования, поэтому при оценке результатов аудита ее использование не всегда представляется возможным.
Как показывают исследования, многие аудиторские фирмы для того, чтобы справиться с проблемой субъективности, не пытаются применять числовых значений к уровням риска, а обозначают их как «высокий», средний» и «низкий». При разработке общего плана аудита используется вся информация, собранная на этапе предварительного планирования о бизнесе клиента, о его системах бухгалтерского учета и внутреннего контроля, об оценочных значениях уровней рисков и существенности. (МСА 300"Планирование"). В программе аудита дается описание предполагаемого объема и последовательности проведения аудиторской проверки. Разработка программы аудита позволяет организовать и скоординировать работу аудиторской группы, помогает руководителю аудиторской проверки осуществлять контроль качества работы аудиторов и ассистентов, а также выполнение графика выполнения работ.