Автор: Е. В. Кулага, директор проектов по МСФО ЗАО «HLB Внешаудит»
Источник: Журнал “Корпоративная финансовая отчетность. Международные стандарты” № 9 - 2011
Дата публикации: 9 Января 2012
Аудит, основанный на рисках или сопряженный с риском, — это наиболее распространенный подход к аудиту, проводимому по Международным стандартам аудита (МСА).
Риск-подход используется для повышения эффективности аудита. При применении этого подхода аудитор сначала продумывает, какие процессы могут привести к искажениям финансовой отчетности, идентифицирует и оценивает риски искажений, а затем планирует и проводит аудиторские процедуры так, чтобы они отвечали на выявленные риски, снижая их до приемлемого уровня.
Аудит может быть проведен посредством реализации трех шагов:
Рассмотрим подходы к идентификации, оценке и ответу на риски на каждом шаге аудиторской проверки.
Общий подход
При риск-подходе к аудиту аудитор применяет профессиональное суждение для определения того, какие риски свойственны и вероятны для отрасли, бизнеса, процессов и операций и системы учета аудируемого лица, и разрабатывает соответствующие аудиторские процедуры и тесты. Этот подход приводит к тому, что основные усилия в процессе аудита направлены на те области, в которых финансовая отчетность, вероятнее всего, искажена, тем самым повышая вероятность выявления ошибок и сокращая время на проверку других, «безрисковых» областей.
В отношении рисков аудитор должен:
Пример 1
В ходе проверки отчетности, составленной по МСФО, аудитор выяснил, что составители этой отчетности не имеют достаточного опыта подготовки отчетности по МСФО и времени на выполнение данной задачи [1].
Идентификация риска. Идентифицирован риск искажения финансовой отчетности, составленной по МСФО, в связи с недостаточностью опыта и времени на подготовку отчетности.
Оценка риска. Ошибки в отчетности очень вероятны (вероятность высокая), и искажение финансовой отчетности может быть очень велико. Риск высокий и касается всей финансовой отчетности в целом.
Меры. Выделить больше времени и более квалифицированный штат, существенно увеличить количество аудиторских процедур по существу для проверки процедур трансформации финансовой отчетности и раскрытий к финансовой отчетности.
Это только начало исследования выявленного риска. Далее можно идентифицировать составляющие этого риска и разработать аудиторские процедуры, направленные на их уменьшение. Например, аудитор определил наиболее сложные для компании участки учета (лизинг, длительные договоры) — аудиторские процедуры будут состоять в проверке трансформационных расчетов и раскрытий в отчетности в части этих участков. Или аудитором было выявлено, что часть составителей отчетности не посещали тренинг по МСФО. Тогда аудиторские процедуры следует направить на проверку расчетов, сделанных именно этими составителями.
МСА требуют, чтобы аудитор оценил риски:
Аудитор может идентифицировать и оценивать риски на этапах:
Действия аудитора в ответ на риски разрабатываются в ходе:
1. Принятие нового клиента или продолжение работы со старым
Первым шагом на пути идентификации рисков должны стать процедуры по принятию нового клиента или по продолжению работы со старым клиентом. Это обязательный шаг в соответствии с МСА. Его смысл — понять, можно ли подписывать договор на аудит с клиентом и принимать аудиторское задание. Для этого нужно оценить:
Вопросы, которые можно изучить на этом этапе, приведены в табл. 1.
Таблица 1
Источники информации для получения ответов на эти вопросы:
Данную идентификацию рисков и их оценку должен провести партнер задания.
СПРАВОЧНО
Партнер задания — это руководитель проверки, который является ответственным за выполнение аудиторского задания и за аудиторское заключение, выдаваемое им от имени аудиторской организации, и который имеет квалификационный аттестат аудитора и аккредитован соответствующим образом как аудитор в Российской Федерации (для аудиторских проверок в РФ).
По итогам оценки всех найденных рисков партнер задания должен составить заявление о том, принимается или отклоняется задание с указанием причин. Вся полученная в ходе исследования информация должна быть задокументирована.
2. Идентификация рисков в процессе достижения понимания бизнеса клиента
Понимание бизнеса аудитором — требование как международных, так и российских стандартов. Не поняв бизнеса компании, аудитор не может ее проверять.
Понимание бизнеса клиента начинается с момента принятия аудиторского задания и продолжается в течение всего аудиторского задания. Это непрерывный процесс. Однако чем лучше бизнес будет понят с начала задания, тем лучше будет составлен план аудита, тем точнее будут адресованы аудиторские процедуры.
Изучение бизнеса клиента проводится для того, чтобы понять этот бизнес и идентифицировать характерные для бизнеса возможные риски. Аудитор (менеджер аудиторского задания или партнер задания) при изучении бизнеса должен идентифицировать все возможные риски (сначала без ранжирования и оценки) и затем вынести на обсуждение команды, в процессе или по итогам которого произойдет их оценка.
Для идентификации рисков аудитор может использовать:
Запрос. После подписания договора, но до выхода на проверку аудитор может направить клиенту более подробный запрос и/или изучить имеющуюся у него информацию о клиенте, его бизнесе и отрасли более подробно.
Аналитические процедуры. Для идентификации рисков должны быть проведены аналитические процедуры. Аналитические процедуры помогают установить необычные операции или события, суммы, коэффициенты и тенденции. Все необычные явления являются потенциально рисковыми и требуют проведения дополнительных исследований причин их возникновения. На основании проведенных аналитических процедур выявляются риски на уровне конкретных показателей отчетности (остатков по счетам и операциям) и раскрытий к финансовой отчетности.
Наблюдение и инспектирование. Аудитор может понаблюдать за организацией аудируемой компании, стилем ее работы, отношением к внутреннему контролю руководства субъекта, функционированием системы внутреннего контроля. Аудитор может проинспектировать наличие таких документов, как бизнес-планы и стратегическое планирование, учетная политика, руководства по внутреннему контролю, отчеты, подготовленные руководством субъекта (такие как промежуточная финансовая отчетность, годовые отчеты), и другие отчеты, такие как протоколы собраний совета директоров, отчеты консультантов и т. д.
Результат изучения бизнеса должен быть задокументирован и представлен всей аудиторской команде. Члены рабочей группы могут быть вовлечены в это исследование в той или иной его части.
Как правило, бизнес клиента изучается в следующих направлениях:
Для документирования изучения бизнеса клиента в аудиторских компаниях имеются подробные вопросники. Пример заполненного аудитором вопросника приведен в приложении к статье.
Эта часть работы аудитора позволяет идентифицировать основные риски и является базой для дальнейшего их анализа и оценки. Идентифицируются как риски на уровне финансовой отчетности в целом, так и риски на уровне отдельных показателей отчетности и раскрытий к ней.
Реестр рисков
Каждому аудитору, вовлеченному в процесс изучения бизнеса клиента, следует составить реестр выявленных им рисков. Менеджер или партнер задания может составить затем единый реестр рисков.
В реестр должны попасть все идентифицированные риски для последующего обсуждения с командой и принятия по ним дальнейших решений в плане разработки аудиторских процедур, отвечающих на эти риски.
3. Встреча рабочей группы
Встреча рабочей группы по аудиторскому заданию — это обязательный процесс, требуемый МСА. Партнер задания должен вынести обязательные вопросы на обсуждение.
В ходе обсуждения аудиторского задания команда должна (требование МСА):
Перед выходом к клиенту команде следует собраться и в любой удобной форме провести обсуждение. Как правило, собрание ведет менеджер или партнер задания, при этом поощряется активное участие всех членов команды в обсуждении бизнеса клиента и возможных рисков. Чем больше идей будет предложено на собрании, тем эффективнее будут разработанные после этого аудиторские процедуры, тем точнее они будут направлены на поиск возможных искажений отчетности.
При обсуждении выявленных рисков можно использовать реестр рисков, чтобы ни один из идентифицированных рисков не был забыт. Каждый идентифицированный риск должен быть оценен в процессе обсуждения или сразу после него (см. следующий раздел), проведенные оценки затем должны быть задокументированы.
В процессе обсуждения аудиторы обязаны рассмотреть возможности мошенничества. Для этого можно воспользоваться методом «мозгового штурма», когда каждый член рабочей группы предлагает на обсуждение свои идеи по поводу того, как мошенничество могло быть совершено и как это могло повлиять на финансовую отчетность. Любые идеи должны приниматься во внимание и обсуждаться. В этот момент личные представления команды о честности менеджмента должны быть отброшены. В результате такого обсуждения команда идентифицирует риски мошенничества и оценивает их.
4. Оценка идентифицированных рисковПосле того как риски идентифицированы, следует определить, как они влияют на финансовую отчетность, и оценить их количественно или качественно.
Для каждого идентифицированного риска следует ответить на вопросы:
Далее аудитору следует оценить или классифицировать риски по уровням значимости. В отношении каждого идентифицированного риска аудитор определяет:
Для оценки вероятности и влияния на финансовую отчетность аудитор должен использовать свое профессиональное суждение.
Вероятность может быть оценена в числовом выражении, например по шкале от 1 до 10, или качественно (высокая, средняя, низкая).
Степень влияния на финансовую отчетность также может быть оценена в числовом выражении, по какой-либо шкале, или качественно (сильное, среднее, слабое).
Перемножая показатели вероятности и влияния, мы получим оценку каждого риска (табл. 2).
Таблица 2
* См. следующий раздел.
Утверждения в финансовой отчетности
МСА требует, чтобы оценка риска (такая как высокий, средний или низкий) была сделана по каждому отдельному утверждению. Идентифицированные риски называются «риски на уровне утверждений».
При представлении финансовой отчетности на аудит менеджмент, ответственный за составление этой отчетности, заверяет аудиторов и всех других пользователей отчетности в том, что отчетность удовлетворяет утверждениям:
Эти утверждения обобщаются одним словом: «Существование», «Полнота», «Оценка», «Возникновение», «Точность и отсечение (cut-off)», «Представление и раскрытие» и т. д.
Аудитор должен убедиться, что все эти утверждения менеджмента в отношении финансовой отчетности верны. То, что аудитор идентифицирует тот или иной риск, означает, что есть вероятность того, что утверждения менеджмента не выполняются. При оценке риска аудитор должен определить, какие утверждения затронуты риском. Это необходимо для того, чтобы в дальнейшем спланировать надлежащие аудиторские процедуры.
5. Общий план аудита
Общий план аудита, как правило, составляется менеджером задания, обсуждается на встрече команды и утверждается партнером задания.
Общий план аудита подготавливается на основе информации, полученной в ходе изучения бизнеса клиента и уточняется после проведения встречи команды. Он может уточняться или меняться в дальнейшем в ходе аудиторской проверки в зависимости от аудиторских находок.
В процессе подготовки общего плана аудита обязательно должны учитываться выявленные и оцененные риски, а также уровень существенности, определенный к этому моменту. На участки, наиболее подверженные рискам, следует планировать аудиторов с наибольшим опытом и необходимыми для этого знаниями. Сроки аудита и количество аудиторов на каждом участке аудита также должны зависеть от выявленных ранее рисков.
Общий план аудита должен формировать общую стратегию аудита. Для этого следует:
5.1. Оценка рисков на уровне финансовой отчетности в целом
На уровне финансовой отчетности в целом аудитор должен оценить неотъемлемый риск и риск средств контроля.
Неотъемлемый риск (НР) — это восприимчивость финансовой отчетности к существенному искажению при допущении, что не установлено никаких процедур внутреннего контроля. При оценке этого риска следует игнорировать систему внутреннего контроля; во внимание принимаются подверженность отрасли и бизнеса в целом риску, отношение менеджмента к риску, склонность к мошенничеству и т. д.
Риск средств контроля (РСК) — риск того, что система внутреннего контроля не сможет выявить или предотвратить существенные искажения финансовой отчетности. При оценке нужно оценить эффективность контрольной среды.
Идентифицированные ранее риски (риски на уровне утверждений) являются или неотъемлемыми рисками, или рисками контрольной среды, или их комбинациями. Имея представление о выявленных рисках на уровне утверждений, можно оценить НР и РСК на уровне финансовой отчетности в целом.
В аудиторских организациях, как правило, существуют вопросники, разработанные специально для оценки этих рисков (НР и РСК), которые также помогают аудитору определиться с оценкой этих рисков на уровне финансовой отчетности в целом.
Цель этой оценки — определить риск необнаружения существенного искажения финансовой отчетности для заданного уровня аудиторского риска. Как правило, аудитор определяет для себя приемлемый уровень аудиторского риска (например, 5 %) и рассчитывает, каков должен быть риск необнаружения, обеспеченный аудитом, по формуле
Риск необнаружения существенного искажения = Заданный аудиторский риск / (НР × РСК).
Чем больше произведение НР × РСК, тем ниже должен быть риск необнаружения. Чтобы обеспечить более низкий уровень риска необнаружения, аудитору нужно запланировать больший объем аудиторских процедур и понижать уровень существенности.
Пример 2
Аудиторский риск задан на уровне 5 %. При планировании аудита менеджер задания оценил НР в 80 %, РСК — в 50 %. Тогда уровень риска необнаружения равен 5 % / (80 % × 50 %) = 12,6 %. Для этого уровня риска был запланирован определенный набор аудиторских процедур, определен уровень существенности.
В ходе встречи рабочей группы менеджер задания определил, что риск средств контроля выше, чем предполагалось изначально. Теперь РСК оценен как 80 %. В этом случае риск необнаружения должен быть равен 5 % / (80 % × 80 %) = 7,9 %. Таким образом, риск необнаружения должен быть снижен с 12,6 до 7,9 %, т. е. более чем на треть, за счет проведения дополнительных аудиторских процедур, а уровень существенности должен быть уменьшен, чтобы не пропустить ошибки.
Как и насколько должны быть расширены аудиторские процедуры, определяется аудитором исходя из профессионального суждения. Скорее всего, аудитор направит дополнительные силы на исследование в том направлении, в котором была выявлена недостаточность системы внутреннего контроля, приведшая к оценке РСК как 80 % вместо изначально запланированных 50 %.
Таким образом, оценка рисков на уровне финансовой отчетности в целом помогает определить объем работ.
5.2. Общая стратегия
Общая стратегия аудита определяет масштабы и сроки работ, а также направляет разработку более детального плана аудита. На этом этапе укрупненно определяются основные направления работ.
5.3. План управления ресурсами
На этом шаге планируются:
Общая стратегия аудита и распределение ресурсов зависят от уровня рисков. Например, если мы определили произведение РН × РСК как низкое (неотъемлемый риск и риск средств контроля малы), то при аудите можно:
Если же произведение РН × РСК определено как высокое (риски высоки), то можно:
6. Детальный план аудита и проведение аудиторских процедурДетальный план аудита разрабатывается на основе общего плана аудита и информации, накопленной к моменту его разработки.
Детальный план аудита дорабатывается в ходе аудиторской проверки в зависимости от аудиторских находок.
Детальный план аудита определяет аудиторские процедуры так, чтобы адресовать идентифицированные риски и снизить их до приемлемого уровня. Детальный план должен обеспечивать четкую взаимосвязь между оцененными рисками и планируемыми аудиторскими процедурами.
Аудиторские процедуры должны быть запланированы в таком объеме, чтобы снижать риски до приемлемого уровня.
Пример 3
Риск. Риск искажения отчетности для «улучшения» финансового положения путем занижения оценочных резервов (резерва по сомнительным долгам, резерва под неликвидные запасы).
Влияние на показатели. Возможная ошибка будет влиять на показатель дебиторской задолженности и запасов и, соответственно, расходов.
Утверждения. Искажение отчетности на уровне утверждения «Оценка».
Аудиторские процедуры в ответ на риск:
1. В части проверки резерва по сомнительным долгам (будет описано в разделе аудиторской программы проверки дебиторской задолженности):• Рассмотреть принципы расчета резерва по сомнительным долгам, утвержденные в учетной политике.
2. В части проверки резерва под неликвидные запасы (будет описано в разделе аудиторской программы проверки запасов):
7. Завершение аудита
По завершении аудита менеджеру и партнеру задания следует рассмотреть вопрос о правильности оценки рисков, убедиться в том, что все необходимые процедуры для снижения рисков были проведены, аудиторские доказательства собраны, результаты процедур правильно оценены, аудиторское заключение основывается на результатах проведенных процедур. Процесс следует задокументировать.
Приложение
_____________________________
[1] Составители отчетности — сотрудники бухгалтерии, которые не имели знаний и опыта работы по МСФО раньше, а перед составлением отчетности прошли недельный тренинг по МСФО и трансформации отчетности. При составлении отчетности их не освобождали от основных обязанностей по ведению бухгалтерского учета.