Аудит, основанный на рисках или сопряженный с риском, — это наиболее распространенный подход к аудиту, проводимому по Международным стандартам аудита (МСА).
Риск-подход используется для повышения эффективности аудита. При применении этого подхода аудитор сначала продумывает, какие процессы могут привести к искажениям финансовой отчетности, идентифицирует и оценивает риски искажений, а затем планирует и проводит аудиторские процедуры так, чтобы они отвечали на выявленные риски, снижая их до приемлемого уровня.
Аудит может быть проведен посредством реализации трех шагов:
- Оценка рисков существенных искажений в финансовой отчетности. На этом этапе проводятся идентификация и оценка всевозможных рисков, которые могут привести к искажениям финансовой отчетности.
- Разработка и выполнение дальнейших аудиторских процедур, которые отвечают на оцененные риски и уменьшают риски существенных искажений в финансовой отчетности до приемлемо низкого уровня.
- Представление аудиторского отчета (заключения), основанного на результатах аудита.
Рассмотрим подходы к идентификации, оценке и ответу на риски на каждом шаге аудиторской проверки.
Общий подход
При риск-подходе к аудиту аудитор применяет профессиональное суждение для определения того, какие риски свойственны и вероятны для отрасли, бизнеса, процессов и операций и системы учета аудируемого лица, и разрабатывает соответствующие аудиторские процедуры и тесты. Этот подход приводит к тому, что основные усилия в процессе аудита направлены на те области, в которых финансовая отчетность, вероятнее всего, искажена, тем самым повышая вероятность выявления ошибок и сокращая время на проверку других, «безрисковых» областей.
В отношении рисков аудитор должен:
- идентифицировать риски;
- оценить риски, оценив вероятность негативного события (ошибки или мошенничества) и степень его влияния на финансовую отчетность;
- принять меры по отношению к риску путем подбора и проведения таких аудиторских процедур, которые определяют, реализуется ли риск, приводит ли он действительно к искажениям финансовой отчетности.
Пример 1
В ходе проверки отчетности, составленной по МСФО, аудитор выяснил, что составители этой отчетности не имеют достаточного опыта подготовки отчетности по МСФО и времени на выполнение данной задачи [1].
Идентификация риска. Идентифицирован риск искажения финансовой отчетности, составленной по МСФО, в связи с недостаточностью опыта и времени на подготовку отчетности.
Оценка риска. Ошибки в отчетности очень вероятны (вероятность высокая), и искажение финансовой отчетности может быть очень велико. Риск высокий и касается всей финансовой отчетности в целом.
Меры. Выделить больше времени и более квалифицированный штат, существенно увеличить количество аудиторских процедур по существу для проверки процедур трансформации финансовой отчетности и раскрытий к финансовой отчетности.
Это только начало исследования выявленного риска. Далее можно идентифицировать составляющие этого риска и разработать аудиторские процедуры, направленные на их уменьшение. Например, аудитор определил наиболее сложные для компании участки учета (лизинг, длительные договоры) — аудиторские процедуры будут состоять в проверке трансформационных расчетов и раскрытий в отчетности в части этих участков. Или аудитором было выявлено, что часть составителей отчетности не посещали тренинг по МСФО. Тогда аудиторские процедуры следует направить на проверку расчетов, сделанных именно этими составителями.
МСА требуют, чтобы аудитор оценил риски:
- на уровне финансовой отчетности в целом (см. раздел 5.1 «Оценка рисков на уровне финансовой отчетности в целом»);
- на уровне утверждений в отношении сальдо счетов, операций, раскрытий к финансовой отчетности (см. раздел 4 «Оценка идентифицированных рисков» и раздел «Утверждения в финансовой отчетности»).
Аудитор может идентифицировать и оценивать риски на этапах:
- принятия нового клиента или решения вопроса о продолжении работы со старым;
- изучения бизнеса клиента с целью его понимания;
- обсуждения с командой;
- изучения, оценки и тестирования системы внутреннего контроля и IT-системы;
- выполнения аудиторских процедур;
- по завершении аудита.
Действия аудитора в ответ на риски разрабатываются в ходе:
- обсуждения с командой;
- разработки общего плана аудита;
- разработки детального плана аудита;
- разработки аудиторских процедур в ходе проверки и по завершении аудита.
1. Принятие нового клиента или продолжение работы со старым
Первым шагом на пути идентификации рисков должны стать процедуры по принятию нового клиента или по продолжению работы со старым клиентом. Это обязательный шаг в соответствии с МСА. Его смысл — понять, можно ли подписывать договор на аудит с клиентом и принимать аудиторское задание. Для этого нужно оценить:
- риски, связанные с клиентом и с этим аудиторским заданием;
- возможность и способность аудиторской компании выполнить аудиторское задание.
Вопросы, которые можно изучить на этом этапе, приведены в табл. 1.
Таблица 1
Источники информации для получения ответов на эти вопросы:
- вопросы в ходе переговоров с клиентом;
- финансовая отчетность компании, годовые отчеты, размещенные в сети Интернет;
- обсуждение с предыдущим аудитором (если был), предыдущее аудиторское заключение и отчет;
- информация из сети Интернет о клиенте, о его высшем менеджменте и владельцах, о бизнесе, отрасли;
- запрос клиенту;
- информация из рабочих документов аудитора, если это не первое аудиторское задание, и др.
Данную идентификацию рисков и их оценку должен провести партнер задания.
СПРАВОЧНО
Партнер задания — это руководитель проверки, который является ответственным за выполнение аудиторского задания и за аудиторское заключение, выдаваемое им от имени аудиторской организации, и который имеет квалификационный аттестат аудитора и аккредитован соответствующим образом как аудитор в Российской Федерации (для аудиторских проверок в РФ).
По итогам оценки всех найденных рисков партнер задания должен составить заявление о том, принимается или отклоняется задание с указанием причин. Вся полученная в ходе исследования информация должна быть задокументирована.
2. Идентификация рисков в процессе достижения понимания бизнеса клиента
Понимание бизнеса аудитором — требование как международных, так и российских стандартов. Не поняв бизнеса компании, аудитор не может ее проверять.
Понимание бизнеса клиента начинается с момента принятия аудиторского задания и продолжается в течение всего аудиторского задания. Это непрерывный процесс. Однако чем лучше бизнес будет понят с начала задания, тем лучше будет составлен план аудита, тем точнее будут адресованы аудиторские процедуры.
Изучение бизнеса клиента проводится для того, чтобы понять этот бизнес и идентифицировать характерные для бизнеса возможные риски. Аудитор (менеджер аудиторского задания или партнер задания) при изучении бизнеса должен идентифицировать все возможные риски (сначала без ранжирования и оценки) и затем вынести на обсуждение команды, в процессе или по итогам которого произойдет их оценка.
Для идентификации рисков аудитор может использовать:
- запрос руководству клиента и другим лицам;
- аналитические процедуры;
- наблюдение и инспектирование.
Запрос. После подписания договора, но до выхода на проверку аудитор может направить клиенту более подробный запрос и/или изучить имеющуюся у него информацию о клиенте, его бизнесе и отрасли более подробно.
Аналитические процедуры. Для идентификации рисков должны быть проведены аналитические процедуры. Аналитические процедуры помогают установить необычные операции или события, суммы, коэффициенты и тенденции. Все необычные явления являются потенциально рисковыми и требуют проведения дополнительных исследований причин их возникновения. На основании проведенных аналитических процедур выявляются риски на уровне конкретных показателей отчетности (остатков по счетам и операциям) и раскрытий к финансовой отчетности.
Наблюдение и инспектирование. Аудитор может понаблюдать за организацией аудируемой компании, стилем ее работы, отношением к внутреннему контролю руководства субъекта, функционированием системы внутреннего контроля. Аудитор может проинспектировать наличие таких документов, как бизнес-планы и стратегическое планирование, учетная политика, руководства по внутреннему контролю, отчеты, подготовленные руководством субъекта (такие как промежуточная финансовая отчетность, годовые отчеты), и другие отчеты, такие как протоколы собраний совета директоров, отчеты консультантов и т. д.
Результат изучения бизнеса должен быть задокументирован и представлен всей аудиторской команде. Члены рабочей группы могут быть вовлечены в это исследование в той или иной его части.
Как правило, бизнес клиента изучается в следующих направлениях:
- отрасль;
- характер компании;
- учетные политики;
- цели и стратегии компании;
- ключевые финансовые индикаторы, принятые в компании;
- система оценки рисков, принятая в компании;
- предварительное понимание системы внутреннего контроля.
Для документирования изучения бизнеса клиента в аудиторских компаниях имеются подробные вопросники. Пример заполненного аудитором вопросника приведен в приложении к статье.
Эта часть работы аудитора позволяет идентифицировать основные риски и является базой для дальнейшего их анализа и оценки. Идентифицируются как риски на уровне финансовой отчетности в целом, так и риски на уровне отдельных показателей отчетности и раскрытий к ней.
Реестр рисков
Каждому аудитору, вовлеченному в процесс изучения бизнеса клиента, следует составить реестр выявленных им рисков. Менеджер или партнер задания может составить затем единый реестр рисков.
В реестр должны попасть все идентифицированные риски для последующего обсуждения с командой и принятия по ним дальнейших решений в плане разработки аудиторских процедур, отвечающих на эти риски.
3. Встреча рабочей группы
Встреча рабочей группы по аудиторскому заданию — это обязательный процесс, требуемый МСА. Партнер задания должен вынести обязательные вопросы на обсуждение.
В ходе обсуждения аудиторского задания команда должна (требование МСА):
- быть ознакомлена с результатами исследования бизнеса клиента;
- обсудить и качественно оценить выявленные к этому моменту риски;
- обсудить риски мошенничества.
Перед выходом к клиенту команде следует собраться и в любой удобной форме провести обсуждение. Как правило, собрание ведет менеджер или партнер задания, при этом поощряется активное участие всех членов команды в обсуждении бизнеса клиента и возможных рисков. Чем больше идей будет предложено на собрании, тем эффективнее будут разработанные после этого аудиторские процедуры, тем точнее они будут направлены на поиск возможных искажений отчетности.
При обсуждении выявленных рисков можно использовать реестр рисков, чтобы ни один из идентифицированных рисков не был забыт. Каждый идентифицированный риск должен быть оценен в процессе обсуждения или сразу после него (см. следующий раздел), проведенные оценки затем должны быть задокументированы.
В процессе обсуждения аудиторы обязаны рассмотреть возможности мошенничества. Для этого можно воспользоваться методом «мозгового штурма», когда каждый член рабочей группы предлагает на обсуждение свои идеи по поводу того, как мошенничество могло быть совершено и как это могло повлиять на финансовую отчетность. Любые идеи должны приниматься во внимание и обсуждаться. В этот момент личные представления команды о честности менеджмента должны быть отброшены. В результате такого обсуждения команда идентифицирует риски мошенничества и оценивает их.
4. Оценка идентифицированных рисковПосле того как риски идентифицированы, следует определить, как они влияют на финансовую отчетность, и оценить их количественно или качественно.
Для каждого идентифицированного риска следует ответить на вопросы:
- Какие последствия у этого риска?
- К каким искажениям финансовой отчетности это может привести, какие классы операций, сальдо счетов, раскрытия могут быть затронуты?
Далее аудитору следует оценить или классифицировать риски по уровням значимости. В отношении каждого идентифицированного риска аудитор определяет:
- вероятность негативного события (реализации риска);
- влияние возникновения риска на финансовую отчетность.
Для оценки вероятности и влияния на финансовую отчетность аудитор должен использовать свое профессиональное суждение.
Вероятность может быть оценена в числовом выражении, например по шкале от 1 до 10, или качественно (высокая, средняя, низкая).
Степень влияния на финансовую отчетность также может быть оценена в числовом выражении, по какой-либо шкале, или качественно (сильное, среднее, слабое).
Перемножая показатели вероятности и влияния, мы получим оценку каждого риска (табл. 2).
Таблица 2
* См. следующий раздел.
Утверждения в финансовой отчетности
МСА требует, чтобы оценка риска (такая как высокий, средний или низкий) была сделана по каждому отдельному утверждению. Идентифицированные риски называются «риски на уровне утверждений».
При представлении финансовой отчетности на аудит менеджмент, ответственный за составление этой отчетности, заверяет аудиторов и всех других пользователей отчетности в том, что отчетность удовлетворяет утверждениям:
- Все активы существуют.
- Все операции отражены.
- Активы и обязательства оценены надлежащим образом.
- Операции и события, отраженные в отчетности, действительно произошли и относятся к компании.
- Все зарегистрированные операции произошли в отчетном периоде.
- Все суммы должным образом представлены и раскрыты в финансовой отчетности.
Эти утверждения обобщаются одним словом: «Существование», «Полнота», «Оценка», «Возникновение», «Точность и отсечение (cut-off)», «Представление и раскрытие» и т. д.
Аудитор должен убедиться, что все эти утверждения менеджмента в отношении финансовой отчетности верны. То, что аудитор идентифицирует тот или иной риск, означает, что есть вероятность того, что утверждения менеджмента не выполняются. При оценке риска аудитор должен определить, какие утверждения затронуты риском. Это необходимо для того, чтобы в дальнейшем спланировать надлежащие аудиторские процедуры.
5. Общий план аудита
Общий план аудита, как правило, составляется менеджером задания, обсуждается на встрече команды и утверждается партнером задания.
Общий план аудита подготавливается на основе информации, полученной в ходе изучения бизнеса клиента и уточняется после проведения встречи команды. Он может уточняться или меняться в дальнейшем в ходе аудиторской проверки в зависимости от аудиторских находок.
В процессе подготовки общего плана аудита обязательно должны учитываться выявленные и оцененные риски, а также уровень существенности, определенный к этому моменту. На участки, наиболее подверженные рискам, следует планировать аудиторов с наибольшим опытом и необходимыми для этого знаниями. Сроки аудита и количество аудиторов на каждом участке аудита также должны зависеть от выявленных ранее рисков.
Общий план аудита должен формировать общую стратегию аудита. Для этого следует:
- оценить риски существенных искажений на уровне финансовой отчетности в целом;
- разработать общую стратегию аудита;
- разработать план управления ресурсами (аудиторской командой).
5.1. Оценка рисков на уровне финансовой отчетности в целом
На уровне финансовой отчетности в целом аудитор должен оценить неотъемлемый риск и риск средств контроля.
Неотъемлемый риск (НР) — это восприимчивость финансовой отчетности к существенному искажению при допущении, что не установлено никаких процедур внутреннего контроля. При оценке этого риска следует игнорировать систему внутреннего контроля; во внимание принимаются подверженность отрасли и бизнеса в целом риску, отношение менеджмента к риску, склонность к мошенничеству и т. д.
Риск средств контроля (РСК) — риск того, что система внутреннего контроля не сможет выявить или предотвратить существенные искажения финансовой отчетности. При оценке нужно оценить эффективность контрольной среды.
Идентифицированные ранее риски (риски на уровне утверждений) являются или неотъемлемыми рисками, или рисками контрольной среды, или их комбинациями. Имея представление о выявленных рисках на уровне утверждений, можно оценить НР и РСК на уровне финансовой отчетности в целом.
В аудиторских организациях, как правило, существуют вопросники, разработанные специально для оценки этих рисков (НР и РСК), которые также помогают аудитору определиться с оценкой этих рисков на уровне финансовой отчетности в целом.
Цель этой оценки — определить риск необнаружения существенного искажения финансовой отчетности для заданного уровня аудиторского риска. Как правило, аудитор определяет для себя приемлемый уровень аудиторского риска (например, 5 %) и рассчитывает, каков должен быть риск необнаружения, обеспеченный аудитом, по формуле
Риск необнаружения существенного искажения = Заданный аудиторский риск / (НР × РСК).
Чем больше произведение НР × РСК, тем ниже должен быть риск необнаружения. Чтобы обеспечить более низкий уровень риска необнаружения, аудитору нужно запланировать больший объем аудиторских процедур и понижать уровень существенности.
Пример 2
Аудиторский риск задан на уровне 5 %. При планировании аудита менеджер задания оценил НР в 80 %, РСК — в 50 %. Тогда уровень риска необнаружения равен 5 % / (80 % × 50 %) = 12,6 %. Для этого уровня риска был запланирован определенный набор аудиторских процедур, определен уровень существенности.
В ходе встречи рабочей группы менеджер задания определил, что риск средств контроля выше, чем предполагалось изначально. Теперь РСК оценен как 80 %. В этом случае риск необнаружения должен быть равен 5 % / (80 % × 80 %) = 7,9 %. Таким образом, риск необнаружения должен быть снижен с 12,6 до 7,9 %, т. е. более чем на треть, за счет проведения дополнительных аудиторских процедур, а уровень существенности должен быть уменьшен, чтобы не пропустить ошибки.
Как и насколько должны быть расширены аудиторские процедуры, определяется аудитором исходя из профессионального суждения. Скорее всего, аудитор направит дополнительные силы на исследование в том направлении, в котором была выявлена недостаточность системы внутреннего контроля, приведшая к оценке РСК как 80 % вместо изначально запланированных 50 %.
Таким образом, оценка рисков на уровне финансовой отчетности в целом помогает определить объем работ.
5.2. Общая стратегия
Общая стратегия аудита определяет масштабы и сроки работ, а также направляет разработку более детального плана аудита. На этом этапе укрупненно определяются основные направления работ.
5.3. План управления ресурсами
На этом шаге планируются:
- определение или уточнение состава рабочей группы аудиторов;
- распределение работ и времени;
- способ обмена информацией между членами команды;
- управление и контроль над ходом аудиторского задания и работой команды.
Общая стратегия аудита и распределение ресурсов зависят от уровня рисков. Например, если мы определили произведение РН × РСК как низкое (неотъемлемый риск и риск средств контроля малы), то при аудите можно:
- больше полагаться на ответы и разъяснения руководства аудируемого лица и на аудиторские доказательства, сгенерированные внутри компании;
- больше использовать тесты средств контроля и меньше — аудиторские процедуры по существу, снизить масштаб аудиторских процедур по существу;
- выполнять больше аудиторских процедур в ходе промежуточных этапов аудита.
Если же произведение РН × РСК определено как высокое (риски высоки), то можно:
- назначить более опытный штат, рассмотреть необходимость привлечения экспертов;
- увеличить длительность аудита;
- акцентировать внимание на более убедительных аудиторских доказательствах, на доказательствах из внешних источников;
- увеличить контроль над действиями аудиторской группы, чаще проводить совещания;
- увеличить объем аудиторских процедур по существу.
6. Детальный план аудита и проведение аудиторских процедурДетальный план аудита разрабатывается на основе общего плана аудита и информации, накопленной к моменту его разработки.
Детальный план аудита дорабатывается в ходе аудиторской проверки в зависимости от аудиторских находок.
Детальный план аудита определяет аудиторские процедуры так, чтобы адресовать идентифицированные риски и снизить их до приемлемого уровня. Детальный план должен обеспечивать четкую взаимосвязь между оцененными рисками и планируемыми аудиторскими процедурами.
Аудиторские процедуры должны быть запланированы в таком объеме, чтобы снижать риски до приемлемого уровня.
Пример 3
Риск. Риск искажения отчетности для «улучшения» финансового положения путем занижения оценочных резервов (резерва по сомнительным долгам, резерва под неликвидные запасы).
Влияние на показатели. Возможная ошибка будет влиять на показатель дебиторской задолженности и запасов и, соответственно, расходов.
Утверждения. Искажение отчетности на уровне утверждения «Оценка».
Аудиторские процедуры в ответ на риск:
1. В части проверки резерва по сомнительным долгам (будет описано в разделе аудиторской программы проверки дебиторской задолженности):• Рассмотреть принципы расчета резерва по сомнительным долгам, утвержденные в учетной политике.
- Получить перечень дебиторов и остатки дебиторской задолженности по каждому дебитору (оборотно-сальдовую ведомость по счетам дебиторской задолженности) на начало и на конец проверяемого периода.
- Рассчитать оборачиваемость дебиторской задолженности по каждому дебитору (расчет в таблице Excel).
- Определить, какая средняя оборачиваемость дебиторской задолженности считается нормальной для предприятия (провести беседу с соответствующим финансовым работником предприятия).
- Определить средний договорной срок погашения дебиторской задолженности (по условиям договоров с основными дебиторами).
- Выявить дебиторскую задолженность со сроком оборачиваемости существенно более длительным, чем договорной срок погашения и/или средний нормальный срок для предприятия (потенциально «плохие» долги).
- Просмотреть операции следующего отчетного периода с целью выявить оплату дебиторской задолженности, установленной на предыдущем шаге.
- В случае отсутствия оплаты составить реестр потенциально «плохих» долгов и сделать запрос руководству предприятия с целью получить пояснения о вероятности оплаты.
- Сделать оценку резерва исходя из полученной информации и принципов принятой учетной политики по резерву сомнительных долгов.
- Задокументировать все операции.
2. В части проверки резерва под неликвидные запасы (будет описано в разделе аудиторской программы проверки запасов):
- Рассмотреть принципы начисления резерва в учетной политике.
- Получить перечень запасов попозиционно с остатками на начало и конец проверяемого периода (оборотно-сальдовую ведомость по счетам запасов).
- Рассчитать оборачиваемость запасов по каждой позиции (расчет в таблице Еxcel).
- Определить, какая средняя оборачиваемость запасов считается нормальной для предприятия (провести беседу с соответствующим финансовым работником предприятия).
- Выявить позиции запасов со сроком оборачиваемости существенно более длительным, чем средний нормальный срок для предприятия (потенциально «плохие» запасы).
- Просмотреть операции следующего отчетного периода с целью выявить использование запасов, установленных на предыдущем шаге.
- В случае отсутствия использования составить реестр потенциально «плохих» позиций запасов и сделать запрос руководству предприятия с целью получить пояснения о причинах низкой оборачиваемости позиций запасов.
- Сделать оценку резерва исходя из полученной информации и принципов принятой учетной политики по резерву под неликвидные запасы.
- Задокументировать все операции.
7. Завершение аудита
По завершении аудита менеджеру и партнеру задания следует рассмотреть вопрос о правильности оценки рисков, убедиться в том, что все необходимые процедуры для снижения рисков были проведены, аудиторские доказательства собраны, результаты процедур правильно оценены, аудиторское заключение основывается на результатах проведенных процедур. Процесс следует задокументировать.
Приложение
_____________________________
[1] Составители отчетности — сотрудники бухгалтерии, которые не имели знаний и опыта работы по МСФО раньше, а перед составлением отчетности прошли недельный тренинг по МСФО и трансформации отчетности. При составлении отчетности их не освобождали от основных обязанностей по ведению бухгалтерского учета.