Настоящая статья комментирует положения международных стандартов аудита № 315 «Понимание организации и ее окружающей среды в целях идентификациии оценки рисков существенного искажения» (Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment) и № 330 «Действия аудиторов после оценки рисков» (The Auditor’s Responses to Assessed Risks).
Теория рисков и внутреннего контроля является, пожалуй, одной из самых проблемных областей в аудите. Считается, что данная теория была разработана на Западе в конце 1980-х – начале 1990-х гг.
В то же время в нашей стране параллельно и независимо от зарубежных проводились свои исследования и была разработана отечественная теория внутрихозяйственного контроля. Среди фундаментальных трудов отечественных ученых новейшей истории следует отметить работу В.П. Суйца «Внутрипроизводственный контроль» [1]. Заметим, что оценка организации внутрихозяйственного контроля на предприятии всегда была важнейшим элементом программы каждой ревизии.
После событий, произошедших на рубеже XX–XXI вв., связанных с возникновением кризиса доверия пользователей финансовой отчетности (Enron и др.), требования, предъявляемые аудиторам по оценке системы контроля клиента, существенно возросли, и вместо одного стандарта в настоящее время применяются уже два самостоятельных регламентирующих документа, в достаточной степени объемных по содержанию.
Рассмотрим основные понятия, относящиеся к данной проблематике, нашедшие отражение в международных стандартах аудита.
Компоненты аудиторского риска
Напомним цель аудита. В соответствии с МСА № 200 целью аудита финансовой отчетности является достижение аудитором разумной уверенности в том, что финансовая отчетность в целом не содержит существенных ошибок и искажений (как случайных, так и преднамеренных), и тем самым предоставление возможности аудитору выразить мнение в отношении того, подготовлена ли финансовая отчетность (по всем существенным аспектам) в соответствии с установленной системой (т.е. принципами подготовки финансовой отчетности), а также сообщение, в случае необходимости, о выявленных нарушениях. Следовательно, основная цель, стоящая перед аудитором, состоит в том, чтобы подготовить правильное аудиторское заключение. К сожалению, далеко не всегда по результатам аудиторской проверки удается вскрыть все существенные нарушения. Причины этого могут быть объективными (выборочность аудита и др.) и субъективными (уровень квалификации и компетентности аудитора и т.д.).
Таким образом, аудиторский риск (AR – Audit risk) – это риск выражения аудитором несоответствующего (неправильного) мнения в случаях, когда в финансовой отчетности содержатся существенные искажения.
Аудиторский риск включает:
- риск существенного искажения (в свою очередь, подразделяется на неотъемлемый риск и риск системы контроля);
- риск необнаружения (рис. 1)
Рис. 1. Аудиторский риск: основные компоненты
Риск существенного искажения (Risk of material misstatement) – риск того, что финансовая отчетность содержит существенные искажения, выявляемые на стадиях, предшествующих внешнему аудиту.
Неотъемлемый (внутрихозяйственный) риск (IR – Inherent risk) – подверженность класса операций, сальдо счетов или раскрываемых статей искажениям, которые могут быть существенными по отдельности или в совокупности с другими искажениями, при допущении отсутствия средств контроля. (Под сальдо счетов в России понимаются конкретные статьи бухгалтерского баланса на отчетную дату; под классом операций – дебетовые и кредитовые обороты по счетам бухгалтерского учета за отчетный (проверяемый) период.)
Риск системы контроля (CR – Control risk) – риск того, что искажение, которое может иметь место в отношении класса операций, сальдо счета или раскрываемых статей и которое может быть существенным по отдельности или в совокупности с другими искажениями, не будет предотвращено, обнаружено и исправлено с помощью системы внутреннего контроля аудируемого лица.
Риск необнаружения (DR – Detection risk) – риск того, что аудиторские процедуры, направленные на уменьшение аудиторского риска до приемлемо низкого уровня, не позволят обнаружить существующее искажение, которое может быть существенным по отдельности или в совокупности с другими искажениями.
Связь между компонентами аудиторского риска выражается формулой:
AR = IR × CR × DR (правило умножения вероятностей) (1)
Мировая практика показывает, что допустимое значение совокупного аудиторского риска не должно превышать 5%:
AR < 5% (2)
Аналогичное правило в профессиональной формулировке звучит следующим образом: уровень доверия или доверительный интервал должен быть не меньше 95% (пять из ста подписанных аудитором заключений неверны по спорным вопросам). Это «магическая цифра аудиторского риска» [2, с. 51].
Величину IR×CR иногда называют риском бизнеса (не зависящим от аудитора), тогда как DR – собственно аудиторским риском (не следует смешивать с AR). Чаще всего в практических ситуациях бывает необходимо определить именно величину риска необнаружения:
DR = AR / ( IR × CR ). (3)
Пример 1 [2, с. 57–58]. Имеем компанию-клиента с низким уровнем риска.
Величина внутрихозяйственного риска составляет 80% (высокая норма рентабельности; стабильная отрасль). Риск системы контроля 30% (четкая система контроля и отсутствие замечаний со стороны аудиторов по результатам предыдущих проверок).
Находим предельную величину риска необнаружения (при условии допустимого уровня совокупного аудиторского риска 5%): 0,05 / (0,8×0,3) » 0,2083 (или 20,83%).
Это означает, что в двадцати одном случае из ста аудитору допустимо не выявить искажения отчетности, когда такое искажение в действительности существует, при этом он не выйдет за рамки минимального доверительного интервала совокупного аудиторского риска.
Пример 2. Имеем компанию-клиента с высоким уровнем риска.
Величина внутрихозяйственного риска составляет 100% (новый клиент, компания недавно вышла на рынок). Риск системы контроля 70% (предварительная оценка обнаружила слабость системы внутреннего контроля).
Находим предельную величину риска необнаружения (при условии допустимого уровня совокупного аудиторского риска 5%): 0,05 / (1,0×0,7) » 0,0714 (или 7,14%).
Таким образом, только в семи случаях из ста аудитору допустимо не выявить искажения отчетности, когда такое искажение в действительности существует, при этом он также не выйдет за рамки минимального доверительного интервала совокупного аудиторского риска. Соответственно, повышаются требования к качеству аудиторской проверки (например, увеличение размера выборки), что, без сомнения, приведет к удорожанию стоимости аудиторских услуг.
Исходя из вышеизложенного, можно выявить следующую закономерность: чем выше величина внутрихозяйственного риска и риска системы контроля компании, тем меньше должна быть величина риска необнаружения, и наоборот.
Подобные расчеты по оценке собственно аудиторского риска целесообразно отражать в рабочей документации аудитора (первоначально – в ходе планирования аудита; уточнения и корректировки – в ходе проведения проверки).
Классификация рисков
В зависимости от источников все риски могут быть разделены на внешние и внутренние.
К внешним рискам относятся:
- законодательные, вызванные ужесточением действующих положений нормативных актов (законов, постановлений Правительства и т.д.) в области финансов, налогов, экологии, таможенного права и т.п.;
- политические – например, военные действия, непредвиденные ранее ограничения экспорта;
- макроэкономические, связанные с развитием экономических процессов в мире и стране. Это инфляционные, валютные, процентные и т.п. риски. Например, резкое повышение курса иностранной валюты по отношению к национальной может привести к убыткам компании в случае заключения контракта с зарубежным поставщиком материалов;
- природные – возможные стихийные бедствия (пожары, землетрясения и т.д.) и загрязнение окружающей среды;
- региональные связанные с состоянием отдельных регионов, местным законодательством и т.д.;
- отраслевые зависящие от тенденций развития отрасли, в т.ч. общественного мнения. Например, может произойти отказ от потребления продуктов, производимых организацией, в составе которых содержится повышенный уровень холестерина.
В числе внутренних рисков выделены следующие:
- инвестиционные риски, которые несут потенциальную угрозу неполучения запланированного результата. Например, неверно сформулированные цели и задачи, встречающиеся при разработке стратегических, а также краткосрочных планов компании, могут стать причиной неполучения запланированной прибыли;
- коммерческие риски, обусловленные изменением ситуации на рынке. Так, например, конкуренты представляют постоянную угрозу сокращения объемов продаж и в целом потери бизнеса; покупатели и заказчики представляют угрозу несвоевременной оплаты за отгруженную и реализованную продукцию, а также могут не выполнить иные условия заключенных договоров и др.;
- производственные риски, связанные с особенностями организации производства на конкретном предприятии. Источниками данного вида рисков могут быть работники (человеку свойственно ошибаться, периодически страдать заболеваниями, организовывать забастовки, совершать дисциплинарные проступки, в т.ч. недобросовестно относиться к исполнению своих должностных обязанностей; нечестные работники могут совершить подлог, хищение, иные экономические преступления), машины и оборудование(при повышенной загрузке производственных мощностей могут выйти из строя), поставщики и подрядчики(могут недопоставить необходимое количество товарно-материальных ценностей или затребовать необоснованно высокую цену по договору) и др.
Измерение риска
Исследователями в области рисков разработана также их классификация в зависимости от степени влияния их последствий на организацию. Согласно данной концепции, риск равен произведению вероятности наступления неблагоприятных событий и суммарной оценки негативных последствий от них:
Риск = последствия × вероятность. (4)
Рис. 2. «Карта» рисков организации
Исходя из представленной классификации, все риски организации можно разделить на четыре основных типа (рис. 2):
1) риски с относительно небольшими негативными последствиями и низкой степенью вероятности их наступления;
2) риски, которые могут вызвать значительные негативные последствия для организации, но имеющие небольшую вероятность наступления неблагоприятных событий;
3) риски с относительно небольшими негативными последствиями, но имеющими высокую вероятность их наступления;
4) наиболее опасные риски – те, вероятность наступления неблагоприятных событий от которых велика при значительном размере последствий.
Применение на практике предложенного подхода позволяет выделить из общей совокупности рисков те из них, которые имеют первоочередное значение для обеспечения нормального функционирования организации (четвертый тип рисков), и уделить им повышенное внимание.
Например, риск ужесточения положений действующих нормативных актов может иметь для организации значительные последствия, при этом вероятность таких событий может оцениваться как невысокая (рис. 2, блок 2).
Деятельность работников организации (особенно это относится к категории менеджеров среднего и высшего уровня) может представлять потенциальную угрозу стабильности организации (т.к. от ключевых управленческих решений во многом зависит ее будущее), при этом вероятность принятия ошибочных решений и иных неблагоприятных событий в определенных условиях может быть высокой (рис. 2, блок 4). Исходя из этого, вытекает вывод, что изучению вопросов кадровой политики при проведении аудиторской проверки необходимо уделять повышенное внимание.
Риски в деятельности организации в соответствии с МСА
Исходя из вышеизложенного, попытаемся оформить наше представление о рисках, присущих деятельности любой организации, и их оценке в ходе аудиторской проверки графически.
В ряде публикаций предприятие рассматривают в виде закрытой системы – своеобразного «черного ящика», в рамках которого происходит движение и преобразование ресурсов, поступивших извне, в готовую продукцию, получаемую на выходе (рис. 3)[1].
Рис. 3. Представление предприятия в виде «черного ящика»
Попробуем видоизменить данную схему. Будем считать, что рассматриваемую организацию («черный ящик») в ходе осуществления ее финансово-хозяйственной деятельности «пронизывает» множество рисков – самых разнообразных (по виду, степени неблагоприятного воздействия или вероятности наступления). Как мы уже понимаем, во всем своем многообразии риски измеряются определенной вероятностью их наступления. Иными словами, это еще не те свершившиеся события, которые нельзя было предотвратить. Это лишь те неблагоприятные события, которые с определенной степенью вероятности могут наступить, но еще не произошли (рис. 4а).
Рис. 4. Организация как «черный ящик» и присущие ей риски:
а – при отсутствии барьеров, препятствующих воздействию рисков;
б – с учетом влияния первого барьера – деятельности должностных лиц организации, непосредственно отвечающих за выполнение вверенных им функций;
в – с учетом влияния первого, а также второго барьера – системы контроля клиента;
г – с учетом влияния первого, второго, а также третьего барьера – профессиональной деятельности аудиторов
Предположим далее, что на пути рисков последовательно появляются три барьера, препятствующих влиянию рисков на деятельность организации.
Первым барьером можно считать деятельность должностных лиц организации, непосредственно отвечающих за выполнение вверенных им функций (например, кассир осуществляет прием и выдачу денежных средств; кладовщик принимает и отпускает товарно-материальные ценности и т.д.) в отсутствие системы контроля.
Представим себе ситуацию, когда материально ответственных и иных должностных лиц, выполняющих те или иные хозяйственные операции, никто не контролирует! Понятно, что в рамках той или иной компании это невозможно. Но отчасти ситуация, при которой контроль недостаточен либо отсутствует вообще, возможна. Например, главный бухгалтер доверяет кассиру и не осуществляет контроль за его работой; склад товарно-материальных ценностей находится в территориальном удалении от головной организации и поэтому не инвентаризируется. В этих случаях вероятность возникновения случайных или преднамеренных искажений будет зависеть от того, насколько сотрудники, которым непосредственно вверено осуществление конкретных функций, добросовестно и честно будут подходить к выполнению своих обязанностей.
Представим себе, что в жизни людей, которые ответственны за совершение тех или иных операций и которых никто не проверяет, произошел «сбой»: кто-то из них не вышел на работу, кому-то в силу тяжелой жизненной ситуации понадобились денежные средства… Понятно, что «человеческий фактор» может стать причиной возникновения самых негативных последствий для компании. Так или иначе, вероятность реализации рисков на первом этапе (до первого барьера) напрямую зависит только от самого персонала, непосредственно занятого в осуществлении тех или иных функций (в особенности в тех случаях, когда речь идет о движении активов и (или) обязательств). В определенной степени на этот персонал можно полагаться, но вот в какой степени – аудитор решает самостоятельно на основе своего профессионального суждения в ходе проведения проверки.
Будем считать, что определенная часть рисков первым барьером будет «удержана», тогда в качестве внутрихозяйственного риска будут выступать те риски, которые смогли беспрепятственно преодолеть этот барьер (I на рис. 4б). Из ранее изложенного становится более понятным содержание рассмотренного выше определения внутрихозяйственного (неотъемлемого) риска, в котором присутствует выражение «…при допущении отсутствия средств контроля».
Вторым барьером является система контроля клиента, в рамках которой осуществляется перманентный контроль деятельности всех сфер деятельности компании, в т.ч. персонала, непосредственно выполняющего те или иные функций.
Важность данного барьера в ходе управления рисками трудно переоценить. Именно он является тем сдерживающим фактором, который не позволяет реализовываться тем или иным рискам. И именно на его оценку обращают особое внимание аудиторы при проведении проверок, а сам процесс оценки системы контроля зачастую называют тестированием системы контроля. В ходе тестирования (осуществляемого зачастую в форме достаточно традиционных методов – анкетирования, опроса, наблюдения и др.) проверяющие оценивают работоспособность данной системы, отвечающей за предотвращение, обнаружение и исправление существенных искажений в финансовой отчетности.
Будем считать, что определенная часть рисков, прошедшая через первый барьер, устраняется при прохождении второго препятствия. При этом в качестве риска системы контроля будет выступать количественная оценка тех рисков, которые смогли преодолеть и первый, и второй барьеры (II на рис. 4в).
Что же представляет собой третий барьер? Нетрудно догадаться – это аудиторы, которые в ходе своей работы не просто проверяют достоверность финансовой отчетности аудируемого лица, а в рамках возложенных на них задач оценивают эффективность первых двух барьеров – должностных лиц, осуществляющих хозяйственные операции, а также системы контроля. И в этом есть логика, заключающаяся в том, что в результате аудиторской проверки выявляются те замечания, которые до аудиторов не были сформулированы и устранены материально ответственными лицами, а также лицами, ответственными за осуществление контроля.
Но и аудиторы в силу ограничений аудита (выборочный характер проверки и др.) не всегда могут выявить всю совокупность рисков, присущих деятельности компании. Аудиторы выражают совсем не абсолютную, а лишь позитивную разумную уверенность в достоверности финансовой отчетности организации. В этом и заключается проявление собственно аудиторского риска (риска необнаружения).
Будем считать, что еще часть рисков, прошедших первый и второй барьеры, будет устранена в ходе преодоления третьего барьера. При этом в качестве риска необнаружения будет выступать количественная оценка тех рисков, которые смогли пройти все три барьера (III на рис. 4г).
Что же тогда считать собственно аудиторским риском? На нашей схеме – это соотношение рисков на выходе к рискам на входе. И это соотношение, согласно нормативу, не должно превышать 5%.
Отметим, что все составляющие совокупного аудиторского риска формируются на основе профессионального суждения аудитора.
Список литературы
1. Суйц В.П. Внутрипроизводственный контроль / В.П. Суйц. − М.: Финансы и статистика, 1987. – 127 с.
2. Бычкова С.М. Доказательства в аудите / С.М. Бычкова. – М.: Финансы и статистика, 1998. − 176 с.
3. Бурцев В.В. Организация системы внутреннего контроля коммерческой организации / В.В. Бурцев. – М.: Экзамен, 2000. – 320 с.
4. Аренс А. Аудит/А. Аренс, Дж. Лоббек; пер. с англ. – М.: Финансы и статистика, 1995. – 560 с.
5. Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements. 2010 edition. Parts I and II/International Federation of Accountants. URL: http://www.ifac.org.
Окончание в следующем номере
[1] См., например, Принцип клиентоориентированности при продвижении услуг и товаров. Консалтинг (часть 1) // URL: http://www.rbp.ru/4/1/365.