Как минимизировать риски в ходе автоматизации аудита

Международные стандарты аудита (ISA, SAS)
Источник: GAAP.RU
Опубликовано: 20 марта 2021


По материалам: IFAC

Не секрет, что с проникновением передовых технологий во все сферы деятельности – в данном случае в аудит – растет зависимость от, как они названы в публикации, “автоматизированных инструментов и техник”. Технологии, таким образом, сказываются и на отдельных нюансах применения международных стандартов аудита. На днях Совет по международным стандартам аудита и подтверждения достоверности отчетности (IAASB) выпустил на днях необязательное к использованию по своей сути, но потенциально полезное руководство для аудиторов, желающих минимизировать для себя технологические риски, в частности, риск искажения вследствие автоматизации. Новое руководство имеет форму нескольких вопросов с ответами, которые предлагаем прямо сейчас и разобрать.

Вначале небольшое пояснение, что представляет собой одно из главных понятий. Как известно, аудиторские процедуры могут осуществляться как в ручном режиме, так и в автоматическом. В принципе, оба подхода подразумевают наличие на руках у аудиторов определенных инструментов и техник, просто во втором случае они будут называться автоматизированными (automated tools and techniques - ATT). Чаще, впрочем, на практике встречается комбинаций и инструментов и техник обоих типов.

В качестве примера можно привести использование автоматизированных аналитических процедур в отношении данных - то, что называется всем хорошо известным термином “анализ данных”. Универсального определения он не имеет, но под анализом данных могут, в том числе, подразумевать и соответствующие инструменты и техники, хотя он более широкий. И в то же время данный термин не настолько широкий, чтобы включать все современные технологии, которые используются в ходе планирования и проведения аудита. Признавая это - а также тот факт, что технологии продолжат свое развитие, и уже совсем скоро получат (уже получают) более широкое применение приложения на основе искусственного интеллекта - IAASB решает в рамках своего руководства и любых последующих обсуждений этой темы использовать широкий термин “автоматизированные инструменты и техники”.  

Использовать “ATT” аудиторы могут при планировании и проведении аудита в соответствии с международными стандартам аудита. Делать это, конечно, необязательно даже со всеми новыми технологиями в распоряжении, поскольку реальная эффективность применения средств автоматизации в контексте получения тех же аудиторских доказательств определяется самим аудитором. Если он или она решит, что большей эффективности можно добиться при использовании “ATT”, то так тому и быть. Кроме всего прочего, сами технологии не стоят на месте и постоянно развиваются, так что еще и ключевой вывод может поменяться. Но в любом случае автоматизация, полная или частичная, не освобождает аудиторов от необходимости выполнять требования стандартов.

Какие риски создает использование “AAT”? Потенциально это создает два основных вида риска:

  1. Риск искажения (bias)
  2. Риск чрезмерной зависимости (overreliance) от информации и/или результатов проведенной аудиторской процедуры

При этом подразумевается как личная зависимость аудитора вследствие использующихся им или ею автоматизированных инструментов и техник, так и зависимость от информации/результатов процедур на уровне клиентской организации, которая сама использует автоматизацию. Чрезмерная зависимость может принять самые разные проявления - как простое незнание особенностей использующихся инструментов автоматизации, так и слепое принятие полученных результатов аудиторских процедур на веру.

По сути, это очень близко проблеме утраты профессионального скептицизма аудитора и/или профессионального суждения, причем сам риск чрезмерной зависимости довольно интересен еще и по той причине, что может быть как причиной его утраты, так и следствием. Как же быть в таких случаях? Разберемся на основе ключевых вопросов, которые, полагаем, много раз задавали разработчикам международных стандартов аудита участники рынка.

Примеры искажений, создаваемых технологиями – с точки зрения аудитора и с точки зрения аудиторской организации

Незамеченное аудитором искажение может негативно повлиять на профессиональный скептицизм, следовательно – на профессиональные суждения, сделанные при выполнении требований отдельных МСА. Примеры искажений приводит МСА 220 “Контроль качества при проведении аудита финансовой отчетности”

Тут надо понимать двойственную природу технологий. С одной стороны, они помогают уменьшить определенные виды искажений в аудите, поскольку программы работают лишь с той информацией, которая в них загружается, и они свободны от феноменов, присущих исключительно людям. Правда, базовое искажение может закрасться еще на этапе написания программы, но это другой вопрос.

И в то же время использование технологий порождает другие виды искажений, о которых сегодня говорим - например, искажения вследствие автоматизации. Основная тенденция здесь - предписывать более высокий приоритет результатам, полученным от автоматизированных систем, даже если разумные рассуждения заставляют усомниться в их надежности. В результате растет риск искажения, равно как и второй из описанных выше рисков – излишней зависимости.

Как можно помочь аудитору с решением проблемы искажения в результате автоматизации?

Сделать это можно на уровне всей аудиторской организации - убедившись, например, что в наличии у них имеются адекватные политики и процедуры для привлечения/разработки, а далее внедрения, улучшения и использования автоматизированных инструментов в ходе проведения заданий различного рода. При этом важно помнить о вещах, которые кажутся очевидными, но почему-то часто забываются:

  1. Любой технологический инструмент работает ровно таким образом, для какого его программировали, и в целях, для которых его программировали;
  2. Результаты использования технологического инструмента соответствуют тем целям, в которых они будут далее использоваться;
  3. Чтобы использовать технологические инструменты эффективно, требуются специальные навыки, для получения которых может потребоваться дополнительное обучение;
  4. Возможно, потребуется разработать и расписать процедуры для практического использования технологического инструмента.

Кроме того, аудиторским организациям может также потребоваться разработка политик и процедур для использования в ситуации, когда аудиторская команда на задании использует технологический инструмент, не прошедший одобрение на уровне всей организации (например, предоставленный самим клиентом). Как пример, для своего руководства аудиторской команде определенно потребуется задокументировать использование технологического инструмента, который не был одобрен на уровне всей организации, но использование которого, тем не менее, посчитала оправданным. Документирование этого предполагает объяснение причин, по которым команда пришла к такому выводу, были ли в команде люди соответствующей подготовки, чтобы такие решения принимать, и наконец, привело ли использование не одобренного на высшем уровне инструмента к решению той задачи, для которой он использовался.

Использование тонкой настройки готовых решений либо собственной разработки под специфические задания

Аудиторские организации могут рассмотреть возможность проектирования либо настройки уже готовых технологических инструментов под конкретные задания, в результате чего риск чрезмерной зависимости можно минимизировать. Как пример, в оценке существенности каких-либо элементов финансовой отчетности клиента и отрасли, в которой он работает, использование технологического инструмента может требовать от аудитора лишь уточнения ориентировочного значения и степени существенности (в процентах). Однако для снижения степени зависимости от технологических инструментов от аудитора можно потребовать еще и объяснений, почему именно выбранное в качестве ориентира числовое значение и степень существенности в конкретных обстоятельствах являются приемлемыми.

Обучение специалистов

В плане повышения навыков своих аудиторов аудиторские организации в программы обучения могут включить раздел с названием “технологические аспекты” - или каким-либо еще, аналогичным этому, благодаря чему появится базовое понимание, что стандарты МСА применяются одинаково вне зависимости от того, используются ли автоматизированные инструменты и техники или нет. При этом в самой учебной программе нужно уделить внимание тонкостям применения стандартов при использовании “ATT”. Важно обратить, в частности, внимание на опасность от их использования для профессионального скептицизма аудиторов и риске искажения в результате автоматизаций.

Но и вне учебных программ аудиторские организации могут способствовать повышению осведомленности своих специалистов относительно опасности риска чрезмерной зависимости от автоматизированных инструментов и техник – например, в форме внутрикорпоративных руководств, где будет подчеркиваться особая важность сохранения профессионального скептицизма при использовании в работе автоматизированных инструментов и техник и выделено потенциальное влияние последних на качество аудита.

Как аудитору минимизировать риски искажения или чрезмерной зависимости, работая с предоставленной информацией, если автоматизированные инструменты и техники использует сам клиент?

Может быть и такая ситуация. Первыми шагами аудитора в работе с любыми потенциальными искажениями, как известно, является принятие самого факта их наличия, понимание причин возникновения и оценка вероятности. Сохранение бдительности и поддержание профессионального скептицизма в проведении аудита (включая критическую оценку аудиторских доказательств) позволит аудиторам минимизировать риск искажения в случае использования информации от компании-клиента, которая сама использует “ATT”.

Действия в ответ на риск искажения в результате автоматизации или риск чрезмерной зависимости включают:

  • Прямое информирование аудиторской команды о ситуациях, когда может возникнуть повышенный риск искажения в результате автоматизации, и рекомендации обращаться за консультацией к более опытным в соответствующей сфере членам команды в процессе планирования и проведения аудиторских процедур.
  • Привлечение как членов самой аудиторской команды, так и сторонних специалистов, обладающих необходимыми навыками и знаниями, для оказания помощи аудиторской команде в сложных, сопряженных с высокой субъективностью областях аудиту.
  • Непосредственная оценка надежности полученной информации, в том числе путем получения аудиторских доказательств о точности и/или полноте вводных данных, использованных в автоматизированных системах компании-клиента.

Если обратиться к требованиям конкретных международных стандартов аудита, можно обнаружить, что предписания по устранению чрезмерной зависимости от полученной у клиента информации содержится и там:

  • Например, МСА (ISA) 200 “Основные цели независимого аудитора и проведение аудита в соответствии с международными стандартами аудита” (параграфы 15-16) требует от аудитора использования профессионального суждения в планировании и проведении аудита, а также сохранения при этом профессионального скептицизма, помня про обстоятельства, в которых финансовая отчетность проверяемой организации может претерпеть существенное искажение. В контексте применения клиентом автоматизированных инструментов и техник это означает подвергать сомнению аудиторские доказательства, даже если они касаются информации, полученной из автоматизированных систем.
  • Приложение 5 к МСА (ISA) 315 “Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения” требует от аудиторов понимать особенности использования высоких технологий в отдельных составляющих систем внутреннего контроля. Чуть далее в Приложении 6 описаны ключевые соображения, на основе которых должно возникнуть такое понимание.
  • Параграфы 7 и 9 МСА (ISA) 500 “Аудиторские доказательства” требует от аудиторов учитывать уместность и надежность информации, подлежащей дальнейшему использованию в качестве аудиторских доказательств. То есть применительно к информации, полученной от клиента, аудитору необходимо получить свидетельства касательно точности и полноты этой информации для ее использования в целях аудита. Технологии или нет, требования в отношении полученной информации одинаковы.

Как аудитору минимизировать риски искажения или чрезмерной зависимости, работая с собственными автоматизированными инструментами и техниками?

Действия аудитора, направленные на минимизацию риска искажения в результате автоматизации при использовании собственных “ATT”, включают:

  • Прямое информирование аудиторской команды о ситуациях, когда может возникнуть повышенный риск искажения в результате автоматизации.
  • Рекомендации обращаться за консультацией к более опытным в соответствующей сфере членам команды в процессе планирования и проведения аудиторских процедур.
  • Привлечение как членов самой аудиторской команды, так и сторонних специалистов, обладающих необходимыми навыками и знаниями, для оказания помощи аудиторской команде в сложных, сопряженных с высокой субъективностью областях аудита.

Так же как в предыдущем случае, отдельные требования можно отыскать в действующих стандартах:

  • Пересмотренная версия МСА (ISA) 220 “Контроль качества при проведении аудита финансовой отчетности” требует от руководителя задания принимать на себя ответственность за правильное использование ресурсов. Строгость политик и процедур может в этом плане помочь, поскольку в этом случае они не дадут аудиторской команде излишним образом полагаться на допущение, что результаты использования “ATT” всегда правдивы.
  • Параграфы 5 и 6 МСА 330 “Аудиторские процедуры в ответ на оцененные риски” требует от аудиторов разработки и выполнения аудиторских процедур с учетом и в ответ на оцененные риски существенного искажения. В контексте обсуждаемой темы это означает оценку того, в какой степени их процедуры - включая использование автоматизированных инструментов и политик - отвечают обнаруженным и оцененным рискам существенного искажения.

Говоря о профессиональном суждении - его применение требуется в ходе всей аудиторской проверки, начиная с самого ее планирования. Это подразумевает оценку существенности, рисков, природы, времени и охвата аудиторских процедур, оценку суждений менеджеров проверяемых организаций в ходе применения стандартов отчетности при ее подготовке, оценку адекватности использованных менеджерами оценок. И автоматизированные инструменты и процедуры, на самом деле, способны помочь аудиторам во всех вышеперечисленных областях, но всегда профессиональное суждение аудиторов должно оставаться сопутствующей гарантией в довесок к непосредственным результатам использования “ATT”.

Теги: автоматизация аудита  автоматизированные инструменты и техники  международные стандарты аудита  МСА  Совет по международным стандартам аудита и подтверждения достоверности отчетности  IAASB  технологические риски  риска искажения  автоматизация  аудиторск