По материалам: Journal of Accountancy
Оценка аудиторами риска существенного искажения в финансовой отчетности (в том числе умышленно допущенного искажения с целью совершения финансового преступления) является очень важной составляющей аудита, определяющей итоговое качество всей проделанной работы. Новое исследование, спонсируемое консультативной группой по исследованиям в области подтверждения достоверности отчетности (Assurance Research Advisory Group - ARAG) в составе американского AICPA, посвящено оценке аудиторами риска существенного искажений и действиям в ответ на них. Исследование проводилось на основе реального опыта аудиторских компаний представителями ученых кругов ряда известных американских университетов.
- Также по этой теме: В Британии пересматривают стандарт аудита мошенничества (21/10/2020)
Суть исследования была в следующем. С помощью анонимного онлайн-опроса были собраны реальные данные от 21 аудиторской компании, на основе которых можно было судить о применяемых ими подходах к оценке риска существенного искажения и действиях в ответ на его обнаружение. В опросе принимали участие представители компаний как национального, так и регионального значения, однако все они обладали обширным опытом в проведении аудита разного уровня, а результаты проведенных проверок с их участием касались самых разных клиентских организаций разной величины и из разных отраслей.
В ходе опроса исследователи интересовались, какие именно процессы используются для обсуждений риска мошенничества и риска существенного искажения по другим причинам кроме мошенничества. Процессуальные аспекты подразумевают выбор момента времени для соответствующих обсуждений, частоту их проведения, выбор состава участников, а также факт проведения обсуждений по этим двум видам риска отдельно или же в совокупности.
Как показали итоговые результаты, большинство участников опроса проводят обсуждения рисков существенного искажения консолидировано и тратят на них около 90 минут времени. Практически все аудиторские компании проводят такие обсуждения один или два раза. В большинстве случаев ход обсуждений определяют аудиторские партнеры (руководители аудиторской группы), а вот сторонних специалистов к обсуждениям при этом не привлекают. 90% рисков мошенничества и 87% прочих видов риска в существенном искажении обнаруживают себя еще на этапе первоначального планирования аудита.
Участников исследования попросили вспомнить в деталях 1-2 вида риска, обнаруженных в ходе последней аудиторской проверки – включая, разумеется, риск мошенничества. Детали подразумевали рассказ о каждом виде риска и ответных действиях команды проверяющих. Исследование при таких заданных условиях охватило 81 случай риска мошенничества и 76 случаев других рисков в контексте существенного искажения отчетности.
Наиболее часто встречающимися областями, где были идентифицированы эти риски, являются: признание выручки (42 случая), неправомерное нарушение контрольных процедур корпоративным руководством (30), оценка инвестиций (17) и оценка запасов (16). Интересно, что почти все обнаруженные риски также обнаруживались в ходе аудита отчетности за предыдущий период. 41% участников исследования изменили свои подходы к проведению аудита после обнаружение рисков и вследствие этого, но не принципиально.
В исследовании также анализировалась связь между эффективностью систем внутреннего контроля в клиентских компаний и обнаружением риска, основные аудиторские процедуры в ответ на обнаружение риска, влияние обнаруженных рисков на финансовую отчетность. Journal of Accountancy опубликовало в несколько сокращенном виде интервью с людьми, которые проводили это исследование – в форме вопросов и ответов. С удовольствием приводим его здесь.
Участники интервью (они же исследователи):
- Омар Уоттс (Omar Watts – O.W.), Ph.D., доцент кафедры бухгалтерского учета в Колледже Сент Джон Фишер (частный гуманитарный колледж в американском шт. Нью-Йорк)
- Марк Бисли (Mark Beasley – M.B.), CPA, Ph.D., профессор бухгалтерского учета в Государственном университете Северной Каролины
- Сьюзан Олбринг (Susan Albring – S.A.), Ph.D., доцент кафедры бухгалтерского учета в Школе финансового учета Джозефа И. Любина при Сиракузском университете (частный исследовательский университет США в шт. Нью-Йорк)
Почему вы решили сфокусироваться в своем исследовании на оценке риска аудиторами?
O.W. Сыграла роль сама возможность дать свежее представление о реальном процессе анализа риска – ключевой компоненте качества аудита. Хотя оценка риска является критической составляющей планирования, у нас было не так много по-настоящему глубокого представления о том, что там на самом деле происходит – кроме того, что связано с риском мошенничества. Предыдущее исследование преимущественно было посвящено как раз риску мошенничества и другим рискам помимо мошенничества, которые часто игнорируются. В значительной степени предыдущие исследования, которые у нас были, основывались на экспериментальных свидетельствах, которые могут не в полной мере соотноситься с тем, что на самом деле происходит в реальном мире. Надеемся, наша работа поспособствует более обоснованному пониманию процесса оценки риска.
M.B. Исследование дало нам более детальные данные реальных аудиторских проверок касательно того, как аудиторы реагируют на риски. Некоторые из других, более ранних исследований, проводились еще в те времена, когда в стандартах по оценке риска не было концепции существенности риска, так что это переносит наше исследование в современное окружение.
Как вы определяли качество аудита, чтобы понимать, какова конечная цель?
M.B.: В рамках данного исследования мы это рассматривали двумя способами. Во-первых, мы смотрели на то, что делали аудиторы, и проверяли это на соответствие профессиональным стандартам. А во-вторых, мы смотрели на процесс анализа риска и на то, приводит ли он в конечном итоге к обнаружению существенного искажения и существенным корректировкам в аудите.
Можете описать фазы своего исследования?
S.A. Было три фазы. В ходе Фазы 1 собирались данные по результатам процессов оценки риска на практике – от партнеров и управляющих 21 аудиторской компании (9 из них национального уровня и 12 региональных), принимавших участие в анонимном опросе, что дало нам 83 ответа. На второй Фазе проводился анализ того, как обнаруживались риски и принимались в расчет на стадии планирования (аудита), с принятием в расчет природы обнаруженных рисков. А на Фазе 3 смотрели уже на ответные действия аудиторов в отношении отдельных рисков в недавно проведенных проверках.
M.B. Нам интересно было узнать о составляющих процесса. Участие исходило от старшего уровня аудиторской команды: большинство (респондентов) – партнеры, далее - старшие управляющие. Каждый из 83 ответов представлял отдельную проверку, как национальными, так и региональными компаниями. Участвовали различные отрасли. Большую часть аудиторских клиентов представляли собой малые и средние предприятия с годовой выручкой до $500 млн., и хотя они и не входят в Fortune 100, все же это были масштабные и непростые проверки.
Что вам удалось узнать на основе полученных результатов?
O.W. По большей части (в 86% случаев) респонденты обсуждают риски мошенничества в комбинации с другими видами риска существенного искажения. Если же все-таки проводятся отдельные обсуждения, времени на обсуждение прочих рисков существенного искажения тратится больше. Ход дискуссий примерно 40% времени определяет руководитель аудита, и это мы говорим преимущественно о крупных клиентах. Что интересно, когда ход обсуждений определял партнер, обнаруживаемые риски были немного ниже. Возможно, это отражает тот факт, что партнеры лучше понимают, что в действительности представляет собой риск, а кроме того, аудиторские команды потенциально не так охотно стремятся к обсуждению риска в присутствии партнера.
S.A. Опрос показал, что 41% аудиторов поменяли свой аудиторский подход в ответ на обнаруженные риски, в том числе усилив надзор, добавив более опытных участников, расширив основные процедуры, включив дополнительные элементы непредсказуемости. Рассматривая виды риска по отдельности, мы обнаружили, что в ответ на риски мошенничества аудиторские команды более вероятно добавляли элементы непредсказуемости, тогда как в ответ на прочие виды обнаруженных рисков существенного искажения они чаще привлекали более опытный персонал.
M.B. Преобладающий первичный ответ на обнаруженный риск касался персонала, а не изменения процедур. По большей части риски обнаруживались на стадии планирования. Высокий процент рисков находили и в предыдущие годы, но сама суть аудиторской стратегии несильно с тех пор изменилась. Это заставляет немного задуматься. Нам интересно, не попадают ли аудиторы в ловушку своего рутинного процесса и мышления? “Возможно, там есть риск, но поскольку он никогда не был проблемой, продолжаем работать”, - говорят они, вместо того чтобы всегда смотреть на вещи свежим взглядом. Я призываю практикантов быть более креативными в том, как они воспринимают риски, внедряют технологии, и каждый год принимать в расчет новые риски. Особенно в сегодняшних условиях COVID-19.
O.W. Идут постоянные дебаты по поводу ответных действий на риск и увеличения размера выборки, чтобы справиться с охватом (риска) – но не его природой и моментом возникновения. Результаты показали, что, в целом, по большей части аудиторы добавляют персонал и расширяют основные аудиторские процедуры в ответ на риски. Однако были различия в том, где именно они делают акцент, в зависимости от типа риска. Больше всего основных процедур добавлялось в случае рисков мошенничества.
M.B. В области внутреннего контроля и управления рисками, почти все (90%) средства контроля, которые были названы актуальными для перечисленных рисков, являлись по природе своей ручными. В случае каждого идентифицированного риска мы интересовались, вызвано ли их беспокойство каким-либо специфическим утверждением, или же речь идет о финансовой отчетности в целом. Оказалось, что 57% обнаруженных рисков могли оказать влияние на финансовую отчетность в целом. На то были две главные причины: признание выручки и неправомерное нарушение контрольных процедур менеджерами.
Я могу понять, почему ручные средства контроля актуальны в случае с нарушением контрольных процедур менеджерами, но это тоже вызывает беспокойство, поскольку ручные средства контроля тоже можно нарушить. То есть их беспокоит нарушение контрольных процедур управляющими, но при этом они планируют и далее полагаться на ручные средства контроля. Это создает для аудитора дилемму в том, полагаться ли вообще на ручные средства в рамках аудиторской стратегии. Как пример, оценка бюджета менеджерами и сопоставление с фактическими результатами – это хорошее ручное средство обнаружения, но в то же время менеджеры могут совершать акты мошенничества и манипулировать внутренним контролем.
O.W. Хотя они определили средства контроля для примерно 70% обнаруженных рисков, фактически использовать эти средств планировали только примерно для 30% рисков. То есть они реализуют процесс, который заключается в соотнесении средств контроля с обнаруженными рисками, как это предписано стандартами, но после того как эта связь установлена, они предпочитают не полагаться на эти средства контроля. Может быть, что это из-за их беспокойства относительно возможности нарушения контрольных процедур менеджерами.
Что касается средств контроля, на которые все же полагаются, то это обычно имеет место в случае с повторяющимися проверками или в случае с риском, который уже существовал за год до этого – но не для новой проверки и не для нового риска. Они проводят сквозную проверку, но при этом тестируют только 18 из 27 средств контроля, которые собираются фактически использовать. Информация, полученная в ходе сквозной проверки, дала основание думать, что идти дальше не стоит - это что-то говорит о качестве самих средств контроля.
M.B. А обратное соотнесение этого с общей проблемой вокруг возможного нарушения контрольных процедур менеджерами, похоже, является составной частью механизма “фильтрации” и объяснением сути их основного подхода.
O.W. Еще один момент, который мне показался интересным – это что из тех 18 средств контроля, которые прошли тестирование, 15 были признаны эффективными, а еще по трем аудиторы к такому заключению просто не пришли – но при этом не сами средства контроля провалили тест. Мы не хотим тут слишком углубляться в суть, поскольку у нас нет достаточной информации, чтобы делать допущения о том, почему заключения оказались именно такими. Равным образом мы не просили их объяснить свою позицию.
M.B. Во многих случаях риски обнаруживали себя в отношении выручки и дебиторской задолженности. Я связываю это с тем, что со временем стандарты стали выделять признание выручки в качестве области с высоким уровнем риска мошенничества, а аудиторы лишь подтверждают, что им, в самом деле, нужно внимательнее следить за этой областью. Я бы удивился, если бы это не выделялось. Новый стандарт по признанию выручки лишь ускорил процесс.
O.W. Это в действительности демонстрирует, что стандарты определяют фокус внимания аудитора. Мне также хотелось бы отметить, что только лишь аналитические процедуры проверки по существу в рамках тестирования использовалась в случае тестирования 11% обнаруженных рисков. Знаю, что на аналитические процедуры в аудите полагаются все больше, и хотел выделить этот момент.
M.B. Если взглянуть на аудиторские стандарты, аудиторы должны проводить основные процедуры по каждому существенному риску на уровне предпосылок подготовки отчетности, но в литературе как-то нет упоминания, существует ли общий для всей финансовой отчетности вид риска. На уровне предпосылок подготовки отчетности стандарт AU-C 330 (американский стандарт “Проведение аудиторских процедур в ответ на оцененные риски и оценка полученных аудиторских доказательств”, аналог МСА 330 – GAAP.RU) гласит, что вам нужно, по крайней мере, провести детальные тесты видов операций, а не только лишь аналитические процедуры проверки. В случае с теми 11%, которые проводили только лишь аналитические процедуры проверки по существу, а не детальные тесты, может быть объяснение, что некоторые из рисков были на уровне всей финансовой отчетности в целом, где детальных тестов не требуется.
Если бы я занимался обучением практикующих специалистов, я бы сказал, что когда вы продумываете ответ на существенный риск, в идеальном варианте вы обнаруживаете готовое средство контроля для него. Однако мы не заметили, чтобы они так уж полагались на эти средства. Если вам нужно провести основную процедуру, и речь идет об уровне предпосылок подготовки отчетности, спроектировать это нужно в виде детального теста операций, а не только лишь аналитических процедур. Сегодня на анализе данных делается особый акцент, и мир действительно меняется, однако я не думаю, что это происходит прямо здесь.
Предвидите ли вы какое-либо влияние результатов вашего исследования на стандарты? Является ли это чем-то, на что следует обратить внимание разработчикам стандартов?
M.B. Общие результаты по всем данным сводятся к тому, что те, кто участвовал в опросе, следуют стандартам – это хорошо. Комплайенс все еще на месте и оказывает влияние. По моему мнению, фундаментальных изменений в требованиях стандартов не требуется, зато требуется больше руководств к применению и “напоминалок” о вещах, про которые важно помнить. “Красной ленточкой” через опрос протянулась тема обнаружения большинства рисков в предыдущие годы – но при этом сама стратегия или подход к аудиту с предыдущих периодов серьезно не меняется. Определенный смысл тут есть, и это не так уж неправильно. Однако все же нужно больше “напоминалок” и мотиваций от разработчиков стандартов насчет критического мышления обо всех рисках, “свежего” мышления - а не быстрого выбора в пользу того, что хорошо знакомо, и с чем комфортно.
O.W. Я, пожалуй, соглашусь. В рамках опроса большая часть рисков обнаруживала себя на стадии планирования. Конечно, возможно, что они просто планировали очень хорошо и выявили все рано. Однако стандарты при этом требуют от аудиторов сохранять бдительность на протяжении всего аудита. Так должны ли мы тогда наблюдать именно такую картину, какую видим? Возможно, но если бы я был разработчиком стандартов, эти результаты стали бы поводом к тому, чтобы напомнить аудиторским командам о необходимости сохранять бдительность.
Кроме того, мы также видели, как аудиторы определяли средства контроля, просто потому что должны, но при этом даже не планировали их использовать. Мы не считаем это нарушением комплайенса, но это повод расставить акценты на некоторых ключевых областях.
M.B. В 2020 году технологии влияют на все, в том числе на процессы финансовой отчетности. Вызывает удивление, почему мы не наблюдаем увеличения числа стратегий, основанных на тестировании и использовании средств контроля. Возможно, здесь есть упущенные возможности в плане эффективности и продуктивности аудита. Они получают представление о средствах контроля по большинству рисков, но затем число тех средств контроля, на которые они готовы опираться, резко падает. Они что, в самом деле им не доверяют? В стандартах есть некоторая неясность касательно соотнесения рисков и средств контроля, которую мы можем высветить, чтобы улучшить процесс.
Но если говорить о хорошем, для 154 из 156 рисков они успешно провели основные процедуры в ответ на обнаружение.
O.W. С точки зрения стандартов, если вы определяете средство контроля и тестируете его само по себе, но при этом не проводите основных тестов, дело не сделано. Тогда стоит ли нам удивляться тому, что мы наблюдаем? Наблюдения могут объясняться тем, что аудиторы просто пропускают тестирование средств контроля и сразу переходят к основным процедурам.
Что бы вы порекомендовали руководству аудиторских компаний после проведения своего исследования и получения результатов?
M.B. Я всегда был сторонником “мозговых штурмов” на уровне аудиторской команды. Большинство опрошенных комбинировали обсуждения риска мошенничества и прочих рисков в рамках одной сессии, но ведь они охватываются разными стандартами. Может, это и более эффективно, но реальная ценность в том, чтобы четко привлечь внимание к риску мошенничества отдельно и настроить скептическое мышление. “Мозговые штурмы” действительно важны для аудиторских проверок 2020 года, потому что сейчас у рисков такой большой потенциал. Если бы мы проводили этот опрос в марте уже следующего года, хочется думать, что обнаружился бы совершенно другой набор рисков.
O.W. Если большинство средств контроля у клиентов – ручные и могут стать жертвой нарушения процедур, не должны ли тогда аудиторы обсуждать с клиентами отсталость их средств контроля? Даже если они на них не опираются, средства контроля помогают управлять рисками существенного искажения, если работают эффективно. Вызывает удивление такое количество ручных средств контроля, поскольку привлечение технологий и более автоматизированные средства контроля, либо просто зависящие от IT ручные средства контроля начали появляться уже давно. Аудиторы могли бы это протолкнуть, а разработчики стандартов – помочь с продвижением этого далее в своих обращениях.
Как ваши результаты скажутся далее на качестве аудита?
M.B. У профессии есть возможность переосмыслить процесс анализа риска, что является критически важным и не должно восприниматься легкомысленно. Основной посыл в том, что представители профессии, похоже, делают то, что должны делать, исходя из действующих аудиторских стандартов, но главная ценность как раз в том, чтобы выйти за пределы требований стандартов. Мы призываем аудиторские компании вложиться в более тщательные и строгие процессы анализа риска, чтобы улучшить качество аудита