Автор: Е.Л. Сквирская, директор департамента методологии аудита компании ФБК
Источник: Журнал “Финансовые и бухгалтерские консультации (электронный журнал)” №5-2011
Дата публикации: 12 Мая 2011
В данной статье анализируются методы оценки в ходе аудита адекватности и применимости средств контроля, которые использует в процессе своей деятельности аудируемое лицо. Для описываемых методик приводятся образцы подготовки аудитором рабочей документации. Также рассматриваются вопросы проведения выборочных проверок средств контроля, включая методы определения объема выборок при тестировании средств контроля.
В рамках действующих в настоящее время федеральных правил (стандартов) аудиторской деятельности (ФПСАД) на аудитора в ходе получения понимания системы внутреннего контроля (СВК) аудируемого лица возлагается обязанность оценить, как организованы средства контроля, т.е. их адекватность, и установить факт их применения (см. ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности»[1]). Результаты этой оценки аудитор должен документировать.
Аналогичные требования закреплены и в международных стандартах аудита (МСА). Они регламентируются МСА 315 «Выявление и оценивание риска существенного искажения финансовой отчетности в ходе получения понимания деятельности и среды, в которой действует организация»[2]. Требования, установленные МСА 315 и ФПСАД № 8, в основном совпадают, что видно из табл. 1.
Таким образом, и федеральными, и международными стандартами аудита предусмотрено, что в ходе выполнения каждого задания аудитор обязан оценить адекватность средств контроля организации, установить факт их применения и документировать результаты этих процедур.
В системе МСА данные требования увязываются с разработкой дальнейших аудиторских процедур по оцененным рискам, порядок которой регламентирован МСА330 «Аудиторские процедуры по оцененным рискам»[3]. Среди действующих ФПСАД и новых федеральных стандартов аудиторской деятельности аналог данного стандарта на настоящий момент отсутствует, однако ФПСАД № 8 содержит положения, указывающие на необходимость разработки аудиторских процедур, увязанных с оцененными рисками существенного искажения.
Приведем требования в отношении аудиторских процедур по оцененным рискам, содержащиеся в стандартах:
В соответствии с МСА 330 после того, как риски существенного искажения оценены, аудитор на их основе формирует аудиторский подход к проверке, который может либо состоять в проведении проверки по существу, либо быть комбинированным, т.е. использовать процедуры проверки по существу наряду с тестами контроля[4].
Таким образом, в рамках МСА предусматривается, что на основе понимания СВК аудируемого лица аудитор должен:
При определении аудиторского подхода к проверке и разработке дальнейших аудиторских процедур по оцененным рискам аудитор должен основываться на результатах процедур по рассмотрению средств контроля аудируемого лица.
Какими же практическими приемами должен руководствоваться аудитор и какие проводить процедуры в процессе рассмотрения средств контроля и принятия решений об аудиторском подходе? Международная федерация бухгалтеров (англ. International Federation of Accountants (IFAC)) в рамках обобщения наилучшей мировой практики аудита опубликовала на своем сайте «Руководство по применению международных стандартов аудита при аудите малых и средних организаций» (далее — Руководство), в котором рассмотрены методические вопросы, связанные с применением МСА, в том числе относящиеся к оценке и тестированию средств контроля в ходе аудита (главы 12 и 17, том 2 Руководства)[5].
Первый блок практических рекомендаций для аудиторов, содержащихся в главе 12 данного Руководства, связан собственно с оценкой аудитором адекватности и применимости средств контроля. Такая оценка, как уже указывалось, является обязанностью аудитора и должна проводиться в ходе каждого аудита.
Второй блок рекомендаций (глава 17 Руководства) относится к случаю, когда аудитор определил аудиторский подход как комбинированный и должен перейти к тестированию соответствующих средств контроля.
Далее на основе положений, содержащихся в главах 12 и 17 Руководства, рассмотрим, каковы же методические рекомендации аудитору по вопросам оценки средств контроля и дальнейшему их тестированию.
Методические приемы оценки адекватности и факта применения средств контроля
В ходе рассмотрения средств внутреннего контроля, действующих применительно к оцененным рискам существенного искажения, аудиторам рекомендуется использовать процедуру, включающую следующие этапы:
Этап 1. Выявление рисков существенного искажения
Задача аудитора на данном этапе заключается в том, чтобы установить, действуют ли в организации средства контроля в отношении РСИ. Здесь аудитору следует рассматривать как РСИ по отчетности в целом, так и специфические риски — в отношении определенных предпосылок подготовки отчетности или ее разделов. При этом предусматривается, что аудитор выявляет и рассматривает исключительно риски, имеющие отношение к аудиту. В отношении этих рисков в СВК организации должны существовать средства контроля, направленные на их снижение (табл. 2).
После того как аудитор подготовил перечень РСИ в разрезе основных бизнес-процессов организации, необходимо:
Этап 2. Рассмотрение характера действующих в отношении РСИ средств контроля
Оценка адекватности разработки руководством контрольных средств, действующих в отношении РСИ, включает оценку того, сможет ли это средство контроля (рассмотренное отдельно или в совокупности с другими средствами) сократить соответствующий риск существенного искажения. При этом необходимо учитывать, что средства контроля делятся на две категории:
Средства контроля обычно выявляются в ходе обсуждений (интервью) с персоналом, который ответствен за управление рисками конкретного бизнес-процесса. Для малых организаций это часто может быть интервью с собственником-руководителем или со старшим руководителем. Типичный подход к выявлению средств контроля показан в табл. 3.
Оценку адекватности средств контроля рекомендуется начинать со средств контроля в отношении искажения отчетности в целом. Эти виды средств контроля формируют основу для функционирования специфических средств контроля, действующих в отношении операций и предпосылок подготовки отчетности.
Существует два общепризнанных подхода к рассмотрению аудитором средств контроля — это подходы, ориентированные на рассмотрение средств контроля в отношении:
Первый подход заключается в том, что:
В рамках второго подхода разрабатывается так называемая матрица рисков, которая позволяет аудитору выявить:
Подход, ориентированный на рассмотрение средств контроля в отношении РСИ, которые приводят к искажению отчетности в целом. В рамках данного подхода описание средств контроля, как правило, может строиться так, как показано в табл. 4.
Примечание: С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования и А — предпосылка в отношении точности.
Поясним, как работает этот метод. Пусть аудитор рассматривает функционирование контрольной среды организации в качестве основы снижения рисков искажения финансовой отчетности в целом. Цель контрольной среды заключается в необходимости для руководства и представителей собственника создать и поддерживать культуру честного и этичного поведения. Некоторые средства контроля, обычно применяемые руководством в отношении данного риска, могут включать:
Аудитор сначала должен сформулировать цель контроля и затем определить, существуют или нет какие-либо средства контроля, снижающие риски. В результате процедур проверки может подготавливаться рабочая документация (табл. 5).
После того как средства контроля выявлены, аудитор на основе профессионального суждения делает вывод, является ли их характер надлежащим для снижения соответствующих РСИ, т.е. адекватны ли они. Формулируя вывод о контрольной среде, аудитор должен оценить следующее:
Такой вывод может оказать большое влияние на оценку аудитором риска для финансовой отчетности в целом.
Подход, ориентированный на рассмотрение средств контроля в отношении специфических РСИ на уровне предпосылок подготовки финансовой отчетности. Данный подход, как правило, применяется на уровне бизнес-процесса и может быть наглядно проиллюстрирован следующей матрицей (см. рис.).
Примечание:С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования; А — предпосылка в отношении точности; П — превентивные средства контроля (направлены на недопущение искажений); ВИ — выявляющие и исправляющие средства контроля.
Как же определить на основании приведенной матрицы слабости внутреннего контроля и ключевые средства контроля?
Выявление слабости внутреннего контроля происходит следующим образом:
– запросить о наличии любых иных процедур СВК, в том числе компенсирующих; если таковых нет, может иметь место существенная слабость СВК, о которой следует сообщить руководству и представителям собственника как можно раньше, чтобы можно было предпринять корректирующие действия,
– рассмотреть, требуются ли дальнейшие аудиторские процедуры в ответ на выявленный риск.
Компенсирующие процедуры контроля — это такие процедуры, которые могут быть связаны с данным риском опосредованно. Так, риск отправления готовой продукции заказчику без оформления документов может быть выявлен менеджером по продажам в ходе ежеквартальной проверки объемов продаж. Однако очевидно, что такая контрольная процедура сама по себе не является достаточной для снижения данного риска.
Выявление ключевого средства внутреннего контроля.Ключевые средства внутреннего контроля — это средства, действующие одновременно в отношении нескольких РСИ. Для их выявления следует рассмотреть матрицу средств контроля и выявить те процедуры, которые работают в отношении нескольких факторов риска. Например, процедура 3 относится к трем рискам и трем предпосылкам, что является примером средства контроля (часто называемого ключевым), которое при условии его надежности может тестироваться на операционную эффективность, особенно когда такое тестирование способно привести к снижению объема детальных тестов.
Если у аудитора возникают любые сомнения в том, что выявленные средства контроля действительно применяются, ему следует переходить к оценке и документированию функционирования средства контроля только после того, как он убедится, что эти средства контроля применяются на практике.
Последний момент в оценке средства контроля — это формулирование аудитором вывода о том, снижают ли выявленные средства контроля конкретные РСИ. Такая оценка требует применения профессионального суждения. Для каждой предпосылки или РСИ аудитору следует рассмотреть, является ли реакция на него руководства достаточной для снижения риска до приемлемо низкого уровня.
Когда аудитор использует матрицу средств контроля, то нижний ряд матрицы может применяться для документирования вывода о надлежащем характере средств контроля для снижения каждого из факторов риска.
Если аудитор считает, что характер средств контроля не является адекватным, нет необходимости идти дальше и оценивать операционную эффективность. Вполне вероятно, что уже имеет место существенная слабость СВК.
Этап 3. Рассмотрение применяемости средства контроля
Для определения того, применяются ли на практике выявленные средства контроля, аудитору недостаточно провести только опрос персонала. Объясняется это следующим: люди, как правило, могут надеяться на то, что предусмотренное СВК средство контроля действительно применяется, но на практике это не так. Документально описанное средство контроля, которое не применяется на практике или не работает надлежащим образом при применении, не имеет ценности для аудита.
Оценка фактического применения средств контроля может проводиться с помощью:
Существует несколько причин для проведения наблюдений за функционированием СВК. Это:
Проверка применяемости средства контроля представляет аудиторские доказательства того, что выявленное средство было применено в определенный момент времени, но не рассматривает операционную эффективность этого средства. Свидетельства операционной эффективности (если это предусмотрено стратегией аудита и аудиторским подходом) будут получены в ходе проведения тестов контроля, которые рассматривают доказательства в отношении действия средства в течение определенного периода времени, например года.
Только после того, как установлено, что средства контроля, имеющие отношение к аудиту, правильно разработаны и применяются на практике, рассматривается:
Оценка адекватности и применяемости средств контроля принципиально отличается от проведения тестирования операционной эффективности средств контроля. Так, в отношении:
Для повторных аудитов рекомендуется начать рассмотрение средств контроля с их применяемости с целью понять, что изменилось в СВК организации. При этом в качестве отправной точки следует использовать полученную по аудитам за прошлые периоды документацию о характере средств контроля. Если выявлены изменения в СВК, необходимо определить, что пересмотренные либо новые средства контроля продолжают снижать РСИ или что существуют новые РСИ, которые следует понижать.
Если стратегия аудита предполагает, что аудитор полагается на операционную эффективность средств контроля, и имели место изменения в СВК, то аудитору рекомендуется проследить ход операций, которые имели место до и после внесенных изменений.
В процессе обновления рабочих документов по СВК аудитору следует тщательно рассмотреть изменения в превентивных средствах контроля на уровне организации. Эти изменения могут оказать существенное воздействие на эффективность операционных средств контроля и повлиять на реагирование аудитора на оцененные риски.
Так, решение руководства о найме высококвалифицированного специалиста для подготовки финансовой отчетности может понизить риски ошибок в финансовой информации и повысить эффективность средств контроля в отношении операций, которые ранее могли обходиться вниманием. И наоборот, неспособность руководства заменить некомпетентного менеджера по IT или направить существенные ресурсы на сокращение рисков, связанных с IT-системами, может привести к снижению эффективности прочих контрольных процедур. В любом случае эти моменты приведут к значительным изменениям характера реагирования аудитора на оцененные риски.
Этап 4. Документирование применения соответствующих средств контроля
Документация в отношении применения средств контроля поможет аудитору:
Если ответ на последний вопрос будет положительным, то средства контроля можно тестировать в ходе ответных процедур на оцененные риски. Документация о тестировании также поможет аудитору разработать конкретный тест, т.е. определить выборочную совокупность, объем выборки, какие приложения средства контроля будут тестироваться, кто выполняет контрольную процедуру.
Объем документирования определяется профессиональным суждением аудитора. Наиболее распространенными формами документации, подготавливаемой руководством для аудитора, являются:
Объем и характер требуемой документации — предмет профессионального суждения аудитора. При определении этого объема следует учитывать:
Объем документирования может отражать также опыт и возможности аудиторской группы. Аудит, проводимый менее опытной группой, может потребовать подготовки более детальной документации, нежели в случае, когда группа состоит из профессионалов.
Как уже отмечалось, при планировании текущего аудита аудитор может использовать документацию, подготовленную в ходе предшествующих аудитов. Обновление такой документации потребует:
Тестирование средств контроля
Аудиторские процедуры, используемые для проверки средств контроля, относятся к одному из четырех типов:
Тесты контроля представляют аудиторские доказательства того, работают средства контроля эффективно или нет. Соответственно они могут использоваться, только когда на основе рассмотрения адекватности и фактического применения средства контроля ожидается, что его функционирование надежно. В связи с этим допустимый уровень ошибки или искажения для тестов контроля очень мал. Обычно это либо полное отсутствие отклонений в функционировании средства контроля, либо одно отклонение.
Рассмотрение искажений средств контроля на уровне организации
Проверка наличия искажения (отклонений в функционировании) средств контроля на уровне организации (например, проверка приверженности компетентности или понимание политики организации в отношении приемлемого поведения) может оказаться более субъективной процедурой, чем проверка средств контроля в отношении конкретных операций. Однако эти средства контроля в совокупности обеспечивают надлежащий фундамент функционирования для остальных компонентов СВК.
К тестам контроля политики и практики в области управления человеческими ресурсами можно отнести рассмотрение:
Примером теста контроля процедуры распределения полномочий на уровне организации является рассмотрение любой документации, в частности должностных инструкций, на наличие соответствующих требований.
Поясним, как рекомендуется проводить тестирование средств контроля на уровне организации. Допустим, для проверки того, действительно ли руководство сообщает персоналу о необходимости следовать этическим требованиям и проводит соответствующую политику, аудитору необходимо сформировать выборку сотрудников организации для проведения интервью. У сотрудников следует узнать, имели ли место рассматриваемые сообщения руководства, какие действуют политики и процедуры, какими ценностями руководствуются в повседневной деятельности управляющие. Если общий ответ сотрудников подтверждает наличие рассматриваемых сообщений руководства и проведения в жизнь соответствующих политик и практик, то тест следует считать успешно пройденным. Описания интервью с каждым сотрудником и подтверждающая документация (соответствующие политики организации, данные о сообщении информации интервьюируемым) должны отражаться в отчете и храниться в аудиторском файле.
Хотя в основном искажение средств контроля на уровне организации и в информационных системах обычно тестируется путем выражения профессионального суждения, в некоторых случаях можно применять статистические выборки. Например, такой подход используется для получения доказательств о проведении проверок ежемесячной отчетности и принятии необходимых мер по их результатам.
Процесс документирования результатов тестирования средств контроля на уровне организации может оказаться сложнее, чем для тестирования средств контроля на уровне бизнес-процессов. В силу этого тестирование искажений средств контроля на уровне организации обычно документируется в виде отдельных отчетов в файле с приложением подтверждающих доказательств.
Построение выборок при проверке средства контроля в отношении операций
Тесты контроля представляют доказательства того, что средство контроля функционирует эффективно в течение рассматриваемого периода времени, определенного, к примеру, как отчетный год.
Эффективный набор аудиторских процедур, разработанных в ответ на оцененные риски для определенных предпосылок, может состоять из сочетания тестов контроля и процедур проверки по существу. В данном случае при разработке тестов контроля аудитор может исходить из того, что они способны обеспечить средний уровень уверенности.
Поскольку средства контроля в отношении операций или работают эффективно, или не работают вовсе, не имеет смысла проверять работу средства контроля, которое ранее оценено как ненадежное. Ненадежные средства контроля — это те средства, в отношении которых существует вероятность обнаружения отклонений. Таким образом, если в ходе оценки у аудитора формируется суждение о ненадежности средства контроля (т.е. вероятности выявления более чем одного отклонения в его функционировании), то тестирование его эффективности не будет действенным с точки зрения аудита. На самом деле размер выборок для средств контроля в большинстве случаев невелик, поскольку они основываются на предположении, что в работе средства контроля не будет выявлено никаких отклонений. Иначе необходимо было бы рассмотреть существенно бóльшие по объему выборки, что привело бы к резкому увеличению трудозатрат.
Грамотно разработанные тесты контроля должны обеспечивать низкий или средний уровень риска того, что проверяемое средство контроля работает неэффективно. При разработке тестов контроля аудитору рекомендуется рассмотреть два уровня уверенности, которую предполагается получить:
Также при разработке теста аудитору полезно будет использовать три уровня снижения риска — низкий, средний и высокий. Разница между этими уровнями основывается на так называемом факторе уверенности, применяемом для построения выборки. В таблице 6 показаны типичные величины фактора уверенности, применяемые для получения высокого, среднего или низкого уровня снижения аудиторского риска.
Для каждого доверительного интервала существует свое значение фактора уверенности (например, для 90-процентного доверительного интервала нужно использовать коэффициент уверенности, равный 2,3), они показаны в табл. 7.
Определение объема выборки. Объем выборки рассчитывается по следующей формуле:
Объем выборки = Фактор уверенности : Допустимый уровень отклонения. |
(1) |
При тестировании операционной эффективности средств контроля часто используется 90-процентный доверительный интервал (фактор уверенности — 2,3 при среднем требуемом уровне снижения риска). Максимальный допустимый уровень отклонения для такого доверительного интервала составит 10% (100% – 90%). Объем выборки в данном случае составит 23 элемента (2,3 : 0,1).
Если для рассматриваемой предпосылки получены аудиторские доказательства из иных источников, например при проведении процедур проверки по существу, фактор уверенности можно понизить так, что на основе тестирования средств контроля будет получен только средний уровень снижения риска. В этом случае можно использовать 80-процентный доверительный интервал (соответствующий фактор уверенности 1,6), что приведет к размеру выборки в 8 элементов. Некоторые аудиторские фирмы используют более высокие значения фактора уверенности, приводящие к наименьшему объему выборки в 10 элементов для среднего уровня снижения риска и 30 элементов для высокого уровня снижения риска.
Приемы построения выборки.В ходе построения выборки для проведения тестов контроля аудитору рекомендуется действовать следующим образом:
При формировании выборок для контрольных процедур, применяемых реже чем ежедневно, аудитору рекомендуется руководствоваться рекомендациями в отношении объема выборки, приведенными в табл. 8. Однако конкретный объем выборки будет определяться аудитором на основе профессионального суждения.
Если для тестирования эффективности внутреннего контроля применяется статистическая выборка, то требуемый размер выборки не увеличивается с ростом совокупности. Случайная выборка размером в 30 элементов, для которой не обнаружено отклонений, дает высокий уровень уверенности в том, что средство контроля функционирует эффективно.
При разработке тестов контроля рекомендуется уделить время тому, чтобы определить, какой факт, выявленный при тестировании, будет представлять собой ошибку или отклонение. Это позволит сократить время в ходе выполнения теста или при проведении оценки результатов и избежать сомнений при определении того, что такое отклонение существует в функционировании средства контроля.
Если ожидается наличие отклонений в функционировании средства контроля, рекомендуется провести альтернативные процедуры для сбора аудиторских доказательств, т.е. аналитические процедуры или детальные тесты.
Обычно при формировании выборки исходя из 95-процентного уровня уверенности (т.е. при наличии 5% отклонений) предполагается, что:
Оценка отклонений. В ходе оценки отклонений, выявленных при проведении тестов контроля, аудитору рекомендуется:
Корректирование объемов выборки при обнаружении отклонений. Как уже отмечалось, тестирование эффективности средств контроля проводится тогда, когда ожидается, что в выборочной совокупности не будут найдены отклонения. Это связано с тем, что для получения надлежащей уверенности в случае обнаружения отклонений придется увеличивать объем выборки. Обычно же для аудитора предпочтительнее перейти к выполнению альтернативных процедур проверки по существу.
Возможным исключением будет ситуация, когда конкретный тип отклонения легко выявить и это учитывается при разработке теста. Например, отклонения в течение определенного периода времени, когда ответственное за выполнение контрольной процедуры лицо находится в отпуске, могут быть рассмотрены в рамках выполнения каких-либо процедур проверки по существу.
Результаты выборочной проверки могут оцениваться путем сравнения максимально допустимого уровня отклонения с так называемым верхним уровнем отклонения, который рассчитывается следующим образом:
Верхний уровень отклонения = Скорректированный фактор уверенности : Объем выборки. |
(2) |
Значения скорректированного фактора уверенности, определяемого исходя из количества найденных отклонений, приведены в табл. 9.
Приведем пример. Для выборки объемом в 30 элементов (т.е. соответствующей требуемому высокому уровню снижения риска при 90-процентном доверительном интервале и 10-процентном максимальном уровне наличия отклонений) обнаружено два отклонения. Верхний уровень отклонения в данном случае будет равен 17% (5,3 : 30).
Полученный результат (17%) намного превышает максимально допустимый уровень отклонения в 10%. Это означает, что необходимо понизить оценку надежности эффективности средств контроля. Если тем не менее принято решение об увеличении объема выборки, то ее объем должен составить 60 элементов при отсутствии новых нарушений. Это понизит верхний уровень отклонения до приемлемого уровня (т.е. близкого к 10%). В этом случае он будет равен 9% (5,3 : 60).
Однако если далее будет выявлено хотя бы одно отклонение, то потребуется новое увеличение объема выборки для достижения желаемого результата, что, скорее всего, не будет эффективно для аудита. Определить новое увеличение выборки можно с помощью формулы, полученной из формулы (2):
Объем выборки = Скорректированный фактор уверенности : Верхний уровень отклонения. |
(3) |
Объем выборки будет равен 75 (6,7 : 0,09).
В заключение еще раз отметим, что в ходе формирования эффективного подхода к аудиту аудитору рекомендуется:
[1] Утверждено Постановлением Правительства РФ от 23 сентября 2002 г. № 696.
[2] См. ISA 315. Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment. In Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements, 2010. http://web.ifac.org/clarity-center/the-clarified-standards
[3] См. ISA 330. The Auditor’s Responses to Assessed Risks. In Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements, 2010. http://web.ifac.org/clarity-center/the-clarified-standards
[4] См. п. А3 ISA 330. The Auditor’s Responses to Assessed Risks. http://web.ifac.org/clarity-center/the-clarified-standards
[5] См. Guide to Using International Standards on Auditing in the Audits of Small – and Medium-Sized Entities, 2010, Second Edition, V. 2, ch. 12, 17. http://web.ifac.org/publications/small-and-medium-practices-committee/implementation-guides