Оценка риска существенных искажений в результате недобросовестных действий

Аналитические статьи, рейтинги

Автор:
Источник: Журнал “Аудит” №11-2013
Опубликовано: 12 декабря 2013

Введение

В числе требований Федерального стандарта аудиторской деятельности – «Обязанности аудитора по рассмотрению недобросовестных действий в ходе аудита» (ФСАД 5/2010) – содержится требование оценки риска существенного искажения в результате недобросовестных действий. В том числе, на уровне бухгалтерской отчетности в целом и на уровне предпосылок, составления бухгалтерской отчетности, в отношении групп однотипных операций, остатков по счетам бухгалтерского учета и раскрытий информации [1]. Вместе с этим, ФСАД 5/2010 не содержит рекомендаций по методике проведения подобной оценки.

В настоящей статье предлагается методика для оценки риска искажений бухгалтерской отчетности в результате недобросовестных действий. В основе, которой лежит практическое руководство «Managing the Business Risk of Fraud: A Practical Guide», адаптированное для применения в рамках аудиторской проверки[2].

Определения

До начала описания методики необходимо ввести ряд определений:

Недобросовестные действия – действия, совершенные обманным путем одним или несколькими лицами из числа представителей собственника, руководства, работников аудируемого лица и (или) иными лицами для извлечения незаконных выгод [3].

Риск  – непосредственно ФСАД 5/2010 не содержит определения риска, но логичным было бы предположить, что в данном случае применимо определение, содержащееся в другом стандарте-«Риски хозяйственной деятельности являются результатом существенных условий, событий, обстоятельств, действия или бездействия, которые могут негативно повлиять на способность аудируемого лица достигать своих целей и реализовывать свои стратегии, или результатом выбора ненадлежащих целей и стратегий [4]». Для наших целей мы можем дополнительно сократить данное определение до: «Риск-возможность наступления какого-либо события, которое может оказать влияние на достижение целей».

Средства контроля – то, что применяет аудируемое лицо для обеспечения разумной уверенности в достижении своих целей [5].

Факторы риска недобросовестных действий – мотивирующие факторы; давление совершить недобросовестное действие; осознанная возможность предпринять недобросовестное действие и способность завуалировать его, находя ему логическое обоснование [6].

В дальнейшем, вместо термина «аудируемое лицо» для упрощения текста будет использован термин «организация» без изменения смысла [7].

Методика

Процесс оценки рисков существенного искажения в результате недобросовестных действий можно разделить на семь этапов:

  1. Определение потенциальных рисков существенного искажения в результате недобросовестных действий и определение наиболее вероятных способов совершения указанных действий.
  2. Оценка вероятности реализации рисков, определенных на первом этапе.
  3. Оценка последствий реализации рисков, определенных на первом этапе.
  4. Установление, на каких должностях и в каких подразделениях сотрудники наиболее склонны к совершению недобросовестных действий.
  5. Определение и соотнесение существующих средств контроля с соответствующими рисками искажения в результате совершения недобросовестных действий.
  6. Установление, действуют ли средства контроля, определенные на пятом этапе, эффективно и результативно.
  7. Определение и оценка остаточного риска, возникающего в результате неэффективности средств контроля либо их отсутствия.

Сначала составляется список потенциальных рисков искажений в результате недобросовестных действий, которые оцениваются по вероятности наступления и значимости последствий. Затем риски соотносятся с должностями и подразделениями организации и существующими средствами контроля. В дальнейшем средства контроля оцениваются по планируемой эффективности, а после фактическая эффективность их применения подтверждается результатами тестирования. В завершении, определяются остаточные риски существенного искажения и ответные действия аудитора в их отношении.

Структура риска искажений в результате недобросовестных действий

Для облегчения дальнейшей работы аудитора с рисками, введем понятие «структуры риска» как объединение первичной классификации, вторичной классификации, схемы совершения и метода совершения недобросовестных действий.

Первичная классификация. Рассматривает самые общие виды недобросовестных действий, применимые к любой организации: недобросовестное составление бухгалтерской отчетности и присвоение активов [8].

Вторичная классификация. Связывает виды недобросовестных действий, определенные в первичной классификации, с объектами, в отношении которых они совершаются.

Для присвоения активов лучше всего подходит классификация по типу активов:

  • Денежные средства
  • Прочие активы.

Недобросовестное составление бухгалтерской отчетности классифицируется по области бухгалтерской отчетности:

  • Выручка
  • Активы
  • Расходы и обязательства
  • Отчет о движении денежных средств
  • Раскрытие информации

Схема совершения. Каждая вторичная классификация обладает связанными с ней схемами совершения недобросовестных действий. В то время как конкретный метод совершения недобросовестных действий может различаться от организации к организации, схемы представляют собой ограниченный набор действий в отношении объектов из вторичной классификации. Они остаются относительно постоянными вне зависимости от организации.

Для присвоения активов мы можем выделить следующие схемы [9]:

Присвоение активов. Денежные средства:

  • Присвоение денежных средств
  • Инициирование оплаты не существующих товаров и услуг

Присвоение активов. Прочие активы:

  • Хищение
  • Использование активов в личных целях

Схемы недобросовестного составления бухгалтерской отчетности включают в себя два компонента, первый связывает ее с соответствующими предпосылками составления бухгалтерской отчетности, второй с целью манипуляции [10]:

Недобросовестное составление бухгалтерской отчетности. Выручка:

  • Несвоевременное признание (отнесение к соответствующему периоду)
  • Фиктивная выручка (возникновение)
  • Заниженная/сокрытая выручка (полнота)
  • Неверная классификация доходов (классификация)

Недобросовестное составление бухгалтерской отчетности. Активы:

  • Ненадлежащая оценка активов (оценка и распределение; существование)

Недобросовестное составление бухгалтерской отчетности. Расходы и обязательства:

  • Несвоевременное признание (отнесение к соответствующему периоду/полнота или существование)
  • Сокрытие расходов/обязательств (полнота)
  • Фиктивные/завышенные расходы (существование)

Недобросовестное составление бухгалтерской отчетности. Отчет о движении денежных средств:

  • Искажение числовых показателей (возникновение, права и обязательства, точность и оценка)
  • Нарушение правил составления (классификация и понятность)

Недобросовестное составление бухгалтерской отчетности. Раскрытие информации:

  • Пропуск информации (полнота)
  • Неполные раскрытия (полнота)
  • Неверное представление (точность и оценка)
  • Раскрытия, вводящие в заблуждение (классификация и понятность)

Методы совершения. Конкретный способ совершения недобросовестного действия, характерный для организации. Например:

(1) Присвоение активов. Денежные средства. Инициирование оплаты не существующих товаров и услуг. В ведомости на перечисление заработной платы включаются не существующие сотрудники.

(2) Недобросовестное составление бухгалтерской отчетности. Выручка. Фиктивная выручка. В состав выручки включены не имевшие место в действительности операции по несуществующим контрагентам.

«Серая» зона: ряд недобросовестных действий, очевидно искажающих бухгалтерскую отчетность, формально не является таковым. Например, сделки «бумеранги», при которых организация сначала продает некий продукт, а потом покупает такой же продукт в том же количестве. В результате финансовый результат остается неизменным, но выручка увеличивается и любые коэффициенты, рассчитываемые на основе выручки, улучшаются, создавая иллюзию более масштабных операций[11].

Определение потенциальных рисков существенного искажения в результате недобросовестных действий и определение наиболее вероятных способов совершения указанных действий

Данная задача обычно решается в процессе обсуждения хода аудита участниками группы при этом целесообразно принимать во внимание предложенную в предыдущем разделе структуру риска, а так же:

Факторы риска, в особенности:

  • любые виды поощрительных программ (премий, бонусов и т.п.) и то, как они могут влиять на поведение сотрудников;
  • давление на сотрудников с целью достижения определенных финансовых показателей и как подобное давление может влиять на поведение сотрудников;
  • возможности совершения недобросовестных действий, возникающие из-за недостатков средств контроля.

Риск обхода руководством средств контроля, при этом необходимо учитывать, что:

  • руководство организации обычно владеет информацией о средствах контроля и иных процедурах, направленных на предотвращение недобросовестных действий;
  • заинтересованное лицо может использовать свои знания средств контроля, для совершения недобросовестных действий способом, наилучшим образом обеспечивающим сокрытие его действий.

Оценка вероятности реализации рисков искажений в результате недобросовестных действий

При оценке вероятности того или иного риска искажений в результате недобросовестных действий, следует рассматривать риск без учета существующих средств контроля. Такой подход позволяет надежнее выявить возможные риски и в дальнейшем оценить разработку и эффективность средств контроля.

Вероятность реализации рисков может быть оценена как: маловероятный, возможный, вероятный [12].

При оценке рисков принимаются во внимание следующие обстоятельства:

  • недобросовестные действия, ранее выявленные в организации;
  • недобросовестные действия, ранее выявленные в отрасли, в которой работает организация;
  • контрольная среда в организации;
  • ресурсы, которые организация может направить на предотвращение недобросовестных действий;
  • поддержка мер, направленных на предотвращение недобросовестных действий, со стороны руководства организации;
  • этические ценности организации;
  • количество операций в проверяемом периоде;
  • сложность риска недобросовестных действий;
  • количество сотрудников вовлеченных в процесс согласования и обзора операций;
  • необъясненные убытки;
  • жалобы покупателей и/или поставщиков;
  • информация из опубликованных исследований, посвященных недобросовестным действиям.

Оценка последствий реализации рисков искажений в результате недобросовестных действий

По значительности мы можем разделить риски на три категории: не существенные, значительные, существенные.

При оценке целесообразно учитывать следующие факторы:

  • существенность для бухгалтерской отчетности;
  • финансовое положение организации;
  • стоимость активов, которым угрожают оцениваемые риски;
  • критичность активов, которым угрожают оцениваемые риски, для организации;
  • выручка, генерируемая активами, которым угрожают оцениваемые риски;
  • значимость последствий реализации рисков для деятельности организации;
  • гражданскую ответственность или иные санкции, которые могут быть наложены на организацию в случае реализации оцениваемых рисков.

Сотрудники и подразделения организации наиболее подверженные рискам совершения недобросовестных действий.

Для определения сотрудников и подразделений, которые наиболее подвержены влиянию рисков недобросовестных действий, необходимо оценить мотивирующие факторы и давление на них, а так же основные способы совершения ими недобросовестных действий.

Воспользуемся примерами из раздела «Классификация недобросовестных действий», для них структура риска будет выглядеть следующим образом:

(1) Присвоение активов. Денежные средства. Инициирование оплаты не существующих товаров и услуг. В ведомости на перечисление заработной платы включаются не существующие сотрудники.

Подразделение подверженное риску совершения: бухгалтерия

Сотрудник: бухгалтер по учету заработной платы, главный бухгалтер; иное лицо, имеющее доступ к формированию ведомостей

(2) Недобросовестное составление бухгалтерской отчетности. Выручка. Фиктивная выручка. В состав выручки включены не имевшие место в действительности операции по несуществующим контрагентам.

Подразделение подверженное риску совершения: бухгалтерия[13]

Сотрудник: бухгалтер по учету выручки (расчетов), главный бухгалтер; иное лицо, имеющее доступ к регистрам

Определение и соотнесение существующих средств контроля с соответствующими рисками совершения недобросовестных действий.

Ранее выявленные и оцененные риски необходимо соотнести с существующими средствами контроля. При этом следует разделять средства контроля на: (1)-предотвращающие, направленные на предотвращение недобросовестных действий до их совершения, и (2)-выявляющие, направленные на выявление совершенных недобросовестных действий.

Предотвращающие средства контроля, примеры:

  • доведение до сотрудников организации информации о наличии и применении программы предотвращения недобросовестных действий;
  • проведение проверок будущих сотрудников до приема на работу;
  • прием на работу компетентного персонала и организация для него обучения по предотвращению недобросовестных действий;
  • проведение бесед по вопросам недобросовестных действий с увольняющимися сотрудниками;
  • применение надлежащих политик и процедур;
  • разделение обязанностей;
  • обеспечение надлежащего соответствия между полномочиями сотрудника и его уровнем ответственности;
  • обзор операций с третьими лицами и связанными сторонами.

Выявляющие средства контроля, примеры:

  • организация «горячей» линии для сообщения о случаях недобросовестных действий и распространение информации о ней среди сотрудников организации;
  • применение таких средств контроля как сверки, независимый обзор операций/записей, инвентаризации, анализ деятельности и внутренний аудит;
  • внезапные проверки, ревизии и инвентаризация.

В примере из предыдущего раздела, предотвращающими средствами контроля могут быть:

(1) запрет на выплату заработной платы до проверки списка получателей в ведомостях работником кадровой службы;

(2) данные о новых контрагентах вносятся в систему бухгалтерского учета сотрудниками договорного отдела;

Примеры выявляющих средств контроля для данной ситуации:

(1) сверка сведений о количестве работников получивших зарплату по ведомости, с данными о количестве работников в оплачиваемом периоде из кадровой службы;

(2) анализ неоплаченной дебиторской задолженности;

Выполнив действия, описанные в настоящем разделе, аудитор автоматически исполнит требование ФСАД 5/2010 «Аудитор должен изучить средства контроля, которые были разработаны и внедрены руководством аудируемого лица для предотвращения и обнаружения фактов недобросовестных действий. [14]»

Оценка эффективности и результативности средств контроля

Аудитор, проводящий оценку, должен убедиться, что необходимые средства контроля существуют, и они уменьшают риск недобросовестных действий, для этого целесообразно:

  • рассмотреть учетную политику и иные необходимые положения, применяемые в организации;
  • принять во внимание возможность руководства организации обойти средства контроля;
  • провести беседы с руководством и сотрудниками организации;
  • осуществить наблюдение за применением средств контроля;
  • провести выборочное тестирование средств контроля;
  • рассмотреть отчет аудиторов за предыдущие периоды;
  • рассмотреть информацию о выявленных в предыдущие периоды недобросовестных действиях, недостачах и иных нарушениях.

Определение и оценка остаточного риска

Изучение средств контроля может выявить риски недобросовестных действий, возникшие в результате:

  • отсутствия необходимого средства контроля;
  • не применения существующего средства контроля.

По итогам рассмотрения аудитор повторно оценивает значимость выявленных рисков недобросовестных действий, и определяет ответные действия в отношении рисков, оцененных им как существенные [15].

Заключение

Приведенный в статье метод, проведения оценки рисков недобросовестных действий, не является единственно возможным. Вы можете применять свой подход, отличный от описанного, как полностью, так и на уровне отдельных этапов.

При этом необходимо принимать во внимание три важных обстоятельства:

  • различия в масштабе деятельности, отрасли функционирования и иные факторы делают невозможным полную унификацию процесса оценки для всех организаций, вы всякий раз должны корректировать свой подход в зависимости от аудируемой организации;
  • чем более сложен будет выбранный вами метод оценки, тем сложнее будет применить его на практике;
  • оценка какого-либо риска недобросовестных действий как существенного и отсутствие ответных действий в его отношении со стороны аудитора, будет явным нарушением стандартов аудиторской деятельности.

________________________________ 

[1] п.31 ФСАД 5/2010

[2] Managing the Business Risk of Fraud: A Practical Guide, sponsored by the Institute of Internal Auditors, the American Institute of Certified Public Accountants, and the Association of Certified Fraud Examiners.

[3] п. 1 ФСАД 5/2010

[4] п. 29 ПРАВИЛА (СТАНДАРТА) N 8 ПОНИМАНИЕ ДЕЯТЕЛЬНОСТИ АУДИРУЕМОГО ЛИЦА, СРЕДЫ, В КОТОРОЙ ОНА ОСУЩЕСТВЛЯЕТСЯ, И ОЦЕНКА РИСКОВ СУЩЕСТВЕННОГО ИСКАЖЕНИЯ АУДИРУЕМОЙ ФИНАНСОВОЙ (БУХГАЛТЕРСКОЙ) ОТЧЕТНОСТИ

[5] п. 46 ПРАВИЛА (СТАНДАРТА) N 8 ПОНИМАНИЕ ДЕЯТЕЛЬНОСТИ АУДИРУЕМОГО ЛИЦА, СРЕДЫ, В КОТОРОЙ ОНА ОСУЩЕСТВЛЯЕТСЯ, И ОЦЕНКА РИСКОВ СУЩЕСТВЕННОГО ИСКАЖЕНИЯ АУДИРУЕМОЙ ФИНАНСОВОЙ (БУХГАЛТЕРСКОЙ) ОТЧЕТНОСТИ

[6] п.2 ФСАД 5/2010

[7] за исключением цитирования ФСАД

[8] п. 2 ФСАД 5/2010

[9] такой подход полностью соответствует п. 7 ФСАД 5/2010

[10] в скобках указаны нарушаемые предпосылки составления бухгалтерской отчетности в соответствии с п. 4 ФСАД 7/2011; все схемы могут быть использованы как для завышения, так и для занижения финансового результата, за исключением фиктивной выручки и сокрытия расходов/обязательств

[11] возможно, с введением в законодательство понятий «мнимого» и «притворного» объекта бухгалтерского учета, у нас появятся основания относить подобные сделки к недобросовестным действиям

[12] Вы можете использовать иную шкалу оценки, удобную лично вам, например: низкий, средний, высокий.

[13] Бухгалтерия будет рисковым подразделением для всех недобросовестных действий, связанных с составлением отчетности, при этом ее сотрудники исполнители, организаторами манипуляций обычно выступает руководство организации

[14] п.36 ФСАД 5/2010

[15] п.37 ФСАД 5/2010


Автор:

Теги: риск существенных искажений  недобросовестные действия  ФСАД 5/2010 федеральный стандарт аудиторской деятельности  оценка риска  аудиторская проверка  искажения бухгалтерской отчетности  аудируемое лицо  бухгалтерская отчетность  недобросовестное составле