Оценка средств контроля в ходе аудита: методические приемы и рекомендации
Е.Л. Сквирская, директор департамента методологии аудита компании ФБК
В данной статье анализируются методы оценки в ходе аудита адекватности и применимости средств контроля, которые использует в процессе своей деятельности аудируемое лицо. Для описываемых методик приводятся образцы подготовки аудитором рабочей документации. Также рассматриваются вопросы проведения выборочных проверок средств контроля, включая методы определения объема выборок при тестировании средств контроля.
В рамках действующих в настоящее время федеральных правил (стандартов) аудиторской деятельности (ФПСАД) на аудитора в ходе получения понимания системы внутреннего контроля (СВК) аудируемого лица возлагается обязанность оценить, как организованы средства контроля, т.е. их адекватность, и установить факт их применения (см. ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности»[1]). Результаты этой оценки аудитор должен документировать.
Аналогичные требования закреплены и в международных стандартах аудита (МСА). Они регламентируются МСА 315 «Выявление и оценивание риска существенного искажения финансовой отчетности в ходе получения понимания деятельности и среды, в которой действует организация»[2]. Требования, установленные МСА 315 и ФПСАД № 8, в основном совпадают, что видно из табл. 1.
Таким образом, и федеральными, и международными стандартами аудита предусмотрено, что в ходе выполнения каждого задания аудитор обязан оценить адекватность средств контроля организации, установить факт их применения и документировать результаты этих процедур.
В системе МСА данные требования увязываются с разработкой дальнейших аудиторских процедур по оцененным рискам, порядок которой регламентирован МСА330 «Аудиторские процедуры по оцененным рискам»[3]. Среди действующих ФПСАД и новых федеральных стандартов аудиторской деятельности аналог данного стандарта на настоящий момент отсутствует, однако ФПСАД № 8 содержит положения, указывающие на необходимость разработки аудиторских процедур, увязанных с оцененными рисками существенного искажения.
Приведем требования в отношении аудиторских процедур по оцененным рискам, содержащиеся в стандартах:
«Аудитор обязан разработать и выполнить дальнейшие аудиторские процедуры, чей характер, сроки проведения и объем зависят от и определяются рисками существенного искажения на уровне предпосылок подготовки финансовой отчетности» (п. 6 МСА 330);
«Аудитору необходимо обладать достаточными знаниями о контрольных действиях аудируемого лица, чтобы оценить риски существенного искажения информации на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности и разработать дальнейшие аудиторские процедуры с учетом оцененных рисков» (п. 88 ФПСАД № 8).
В соответствии с МСА 330 после того, как риски существенного искажения оценены, аудитор на их основе формирует аудиторский подход к проверке, который может либо состоять в проведении проверки по существу, либо быть комбинированным, т.е. использовать процедуры проверки по существу наряду с тестами контроля[4].
Таким образом, в рамках МСА предусматривается, что на основе понимания СВК аудируемого лица аудитор должен:
выявить риски существенного искажения, в том числе значимые;
в отношении этих рисков рассмотреть средства внутреннего контроля аудируемого лица, оценить вид этих средств и определить, применялись ли эти средства на практике;
установить на основе полученной информации характер аудиторского подхода для получения дальнейших надлежащих аудиторских доказательств;
разработать дальнейшие аудиторские процедуры в ответ на оцененные риски.
При определении аудиторского подхода к проверке и разработке дальнейших аудиторских процедур по оцененным рискам аудитор должен основываться на результатах процедур по рассмотрению средств контроля аудируемого лица.
Какими же практическими приемами должен руководствоваться аудитор и какие проводить процедуры в процессе рассмотрения средств контроля и принятия решений об аудиторском подходе? Международная федерация бухгалтеров (англ. International Federation of Accountants (IFAC)) в рамках обобщения наилучшей мировой практики аудита опубликовала на своем сайте «Руководство по применению международных стандартов аудита при аудите малых и средних организаций» (далее — Руководство), в котором рассмотрены методические вопросы, связанные с применением МСА, в том числе относящиеся к оценке и тестированию средств контроля в ходе аудита (главы 12 и 17, том 2 Руководства)[5].
Первый блок практических рекомендаций для аудиторов, содержащихся в главе 12 данного Руководства, связан собственно с оценкой аудитором адекватности и применимости средств контроля. Такая оценка, как уже указывалось, является обязанностью аудитора и должна проводиться в ходе каждого аудита.
Второй блок рекомендаций (глава 17 Руководства) относится к случаю, когда аудитор определил аудиторский подход как комбинированный и должен перейти к тестированию соответствующих средств контроля.
Далее на основе положений, содержащихся в главах 12 и 17 Руководства, рассмотрим, каковы же методические рекомендации аудитору по вопросам оценки средств контроля и дальнейшему их тестированию.
Методические приемы оценки адекватности и факта применения средств контроля
В ходе рассмотрения средств внутреннего контроля, действующих применительно к оцененным рискам существенного искажения, аудиторам рекомендуется использовать процедуру, включающую следующие этапы:
выявление рисков существенного искажения (РСИ);
рассмотрение характера действующих в отношении РСИ средств контроля;
рассмотрение применяемости средства контроля;
документирование применения соответствующих средств контроля.
Этап 1. Выявление рисков существенного искажения
Задача аудитора на данном этапе заключается в том, чтобы установить, действуют ли в организации средства контроля в отношении РСИ. Здесь аудитору следует рассматривать как РСИ по отчетности в целом, так и специфические риски — в отношении определенных предпосылок подготовки отчетности или ее разделов. При этом предусматривается, что аудитор выявляет и рассматривает исключительно риски, имеющие отношение к аудиту. В отношении этих рисков в СВК организации должны существовать средства контроля, направленные на их снижение (табл. 2).
После того как аудитор подготовил перечень РСИ в разрезе основных бизнес-процессов организации, необходимо:
проверить, рассмотрены ли все предпосылки подготовки финансовой отчетности;
выяснить, существуют ли дополнительные риски (на уровне операций или организации в целом), которые могут привести к существенному искажению финансовой отчетности, если их не устранить.
Этап 2. Рассмотрение характера действующих в отношении РСИ средств контроля
Оценка адекватности разработки руководством контрольных средств, действующих в отношении РСИ, включает оценку того, сможет ли это средство контроля (рассмотренное отдельно или в совокупности с другими средствами) сократить соответствующий риск существенного искажения. При этом необходимо учитывать, что средства контроля делятся на две категории:
превентивные, т.е. предотвращающие появление существенных искажений;
выявляющие и корректирующие существенные искажения, если они имеют место.
Средства контроля обычно выявляются в ходе обсуждений (интервью) с персоналом, который ответствен за управление рисками конкретного бизнес-процесса. Для малых организаций это часто может быть интервью с собственником-руководителем или со старшим руководителем. Типичный подход к выявлению средств контроля показан в табл. 3.
Оценку адекватности средств контроля рекомендуется начинать со средств контроля в отношении искажения отчетности в целом. Эти виды средств контроля формируют основу для функционирования специфических средств контроля, действующих в отношении операций и предпосылок подготовки отчетности.
Существует два общепризнанных подхода к рассмотрению аудитором средств контроля — это подходы, ориентированные на рассмотрение средств контроля в отношении:
РСИ, которые приводят к искажению отчетности в целом;
специфических операционных РСИ на уровне предпосылок подготовки финансовой отчетности.
Первый подход заключается в том, что:
каждый риск рассматривается отдельно;
аудитор идентифицирует все средства контроля, которые относятся к каждому отдельному риску.
В рамках второго подхода разрабатывается так называемая матрица рисков, которая позволяет аудитору выявить:
множество взаимозависимостей, существующих между рисками и средствами контроля;
области, для которых внутренний контроль силен;
области, для которых внутренний контроль слаб;
ключевые средства контроля в отношении многих рисков (предпосылок), которые должны тестироваться на эффективность функционирования.
Подход, ориентированный на рассмотрение средств контроля в отношении РСИ, которые приводят к искажению отчетности в целом. В рамках данного подхода описание средств контроля, как правило, может строиться так, как показано в табл. 4.
Примечание: С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования и А — предпосылка в отношении точности.