Аудиторская выборка и другие процедуры выборочного тестирования

Аудиторская выборка и другие

процедуры выборочного тестирования

Аудиторская выборка должна быть представительной.

Представительность
— это свойство некоторой аудиторской выборки, дающее аудитору возможность сделать на ее основании правильные выводы о свойствах всей проверяемой совокупности.

МСА 530 «Аудиторская выборка и другие процедуры выборочного тестирования» установлены факторы, которые должен учитывать аудитор при проведении выборок в ходе аудиторских проверок и при оценке результатов примененных аудиторских процедур.

Согласно данному стандарту при планировании процедур аудита аудитор должен определить уместные методы отбора статей для проверки с целью сбора аудиторских доказательств.

В разделе «Определения» даны определения понятий «аудиторская выборка», «ошибка», «аномальная ошибка», «генеральная совокупность», «риск, связанный с использованием выборочного метода», «риск, не связанный с использованием выборочного метода», «элемент выборки», «статистическая выборка», «стратификация» и «допустимая ошибка».

Раздел «Аудиторские доказательства» содержит напоминание о необходимости в соответствии с МСА 500 «Аудиторские доказательства» при получении аудиторских доказательств использовать сочетание тестов контроля и процедур проверки по существу.

Целью процедуры проверки по существу является получение аудиторских доказательств для выявления существенных искажений в финансовой отчетности. Содержится рекомендация относительно использования аудиторской выборки или иных средств выбора статей для проверки одного или нескольких утверждений касательно сумм в финансовой отчетности или для независимой оценки какого-либо показателя.

Согласно разделу «Учет риска при получении доказательств» аудитор должен использовать профессиональное суждение для оценки аудиторского риска и разработки аудиторских процедур, призванных обеспечить снижение такого риска до приемлемо низкого уровня.

В разделе «Процедуры получения доказательств» в качестве процедур получения аудиторских доказательств названы процедуры инспектирования, наблюдения, запроса и подтверждения, а также процедуры подсчета и аналитические процедуры, выбор которых зависит от профессионального суждения аудитора в конкретных обстоятельствах, а применение нередко связано с отбором статей генеральной совокупности для тестирования.

Раздел «Отбор статей для тестирования для получения аудиторских доказательств» обязывает аудитора при разработке аудиторских процедур определить уместные методы отбора статей для тестирования. В этих целях рекомендуется в зависимости от обстоятельств:

1) отобрать все статьи (стопроцентная проверка);

2) отобрать специфические статьи;

3) сформировать аудиторскую выборку.

В то же время отмечено, что стопроцентная проверка не всегда является целесообразной, поэтому маловероятна в случае тестов контроля и применяется в основном в случае процедур проверки по существу.

В качестве элементов отбираемых специфических статей названы:

1) статьи с высокой стоимостью или ключевые статьи;

2) все статьи, превышающие определенную сумму;

3) статьи для получения информации (бизнес клиента, системы бухгалтерского учета и внутреннего контроля);

4) статьи для проверки процедур (аудитор может полагаться на свои суждения для выбора и проверки отдельных статей, с тем чтобы определить, выполняется ли конкретная процедура).

Отмечено, что аудитор может также применить аудиторскую выборку к сальдо счета или классу операций с использованием статистического или нестатистического метода формирования выборки.

В разделе «Статистический и нестатистический подходы к выборке» говорится, что решение об использовании одного из этих подходов зависит от того, какой из них аудитор считает более эффективным способом получения достаточных и уместных аудиторских доказательств в конкретных обстоятельствах.

В соответствии с разделом «Организация отбираемой совокупности» при организации отбираемой для аудита, совокупности аудитор должен принимать во внимание цели теста и характеристики генеральной совокупности, на основе которой отбирается совокупность для проверки. Для этого аудитору рекомендуется сначала проанализировать конкретные цели, которые должны быть достигнуты, и то сочетание аудиторских процедур, которое, по всей вероятности, в наибольшей мере будет способствовать достижению таких целей.

В разделе «Объем выборки» говорится, что на объем выборки в значительной степени оказывает влияние уровень риска выборочного метода, поэтому чем ниже риск, который готов принять аудитор, тем больше необходимый объем выборки. Объем выборки рекомендовано определять путем применения основанной на статистике формулы или путем вынесения профессионального суждения при объективном учете обстоятельств.

Разделом «Отбор совокупности» установлено, что аудитор должен отбирать статьи для проверяемой совокупности исходя их того, что все элементы выборки в генеральной совокупности имеют шанс быть отобранными. В разделе подчеркивается, что совокупность должна формироваться таким образом, чтобы исключалась какая бы то ни было предвзятость.

Раздел «Проведение аудиторской процедуры» обязывает аудитора проводить аудиторские процедуры в соответствии с конкретной задачей теста по каждой отобранной статье.

Согласно разделу «Характер и причина ошибок» целью выборки является получение выводов относительно всей генеральной совокупности, поэтому от аудитора требуется, чтобы он сформировал репрезентативную выборку путем отбора статей выборки, обладающих характеристиками, типичными для генеральной совокупности, и выборка должна формироваться таким образом, чтобы исключалась какая бы то ни было предвзятость. Аудитор должен проанализировать результаты выборочной проверки, характер и причину любых выявленных ошибок, а также их возможное воздействие на цели конкретного теста и на другие области аудита.

Разделом «Предсказывание ошибок» предусмотрено, что применительно к процедурам проверки по существу аудитор должен прогнозировать денежные ошибки, выявленные в выборке, распространяя их на генеральную совокупность, а также проанализировать воздействие спрогнозированной ошибки на конкретные цели теста и на другие области аудита. В том случае, когда имеет место нетипичная оценка, рекомендуется исключить ее при распространении ошибок по выборке на генеральную совокупность.

Раздел «Оценка результатов отобранной совокупности» требует от аудитора оценки результатов отобранной совокупности для того, чтобы определить, подтвердилась ли предварительная оценка соответствующей характеристики генеральной совокупности или таковая должна быть пересмотрена.

Если оценка результатов выборки показывает, что необходимо пересмотреть предварительную оценку соответствующей характеристики генеральной совокупности, то аудитор может:

1) попросить руководство проанализировать выявленные ошибки и возможность допущения дальнейших ошибок, а также сделать любые необходимые корректировки;

2) модифицировать запланированные аудиторские процедуры. Например, по результатам тестирования внутреннего аудита аудитор может увеличить объем выборки, проверить альтернативное средство контроля или модифицировать связанные с этим процедуры проверки по существу;

3) проанализировать последствия с точки зрения аудиторского заключения.

В приложениях к данному международному стандарту аудита приведены примеры факторов, влияющих на объем отобранной совокупности для тестов средств контроля, примеры факторов, влияющих на объем отобранной совокупности для процедур проверки по существу, методы отбора совокупности.

К факторам, в совокупности рассматриваемым аудитором при определении объема отобранной совокупности для теста средств контроля, отнесены:

1) увеличение степени, в которой аудитор намеревается полагаться на системы бухгалтерского учета и внутреннего контроля (увеличивает объем выборки);

2) увеличение степени отклонения от предписанной процедуры контроля, которую аудитор готов признать допустимой (уменьшает объем выборки);

3) увеличение степени отклонения от предписанной процедуры контроля, которую аудитор предполагает выявить в генеральной совокупности (увеличивает объем выборки);

4) увеличение необходимого уровня доверия аудитора (или, напротив, уменьшение риска того, что аудитор сочтет, что риск средств контроля ниже, нежели действительный риск средств контроля по генеральной совокупности) (увеличивает объем выборки);

5) увеличение числа элементов выборки в генеральной совокупности (оказывает пренебрежимо малое влияние на объем выборки).

К факторам, влияющим на объем отобранной совокупности для процедур проверки по существу, отнесены:

1) увеличение аудиторской оценки неотъемлемого риска (увеличивает объем выборки);

2) увеличение аудиторской оценки риска средств контроля (увеличивает объем выборки);

3) большее использование других процедур проверки по существу, направленных на одно и то же утверждение, на основе которого подготовлена финансовая отчетность (уменьшает объем выборки);

4) увеличение значения полной ошибки, которую аудитор готов признать допустимой (уменьшает объем выборки);

5) увеличение значения ошибки, которую аудитор предполагает выявить в генеральной совокупности (увеличивает объем выборки);

6) стратификация генеральной совокупности при необходимости (уменьшает объем выборки);

7) увеличение числа элементов выборки в генеральной совокупности (оказывает пренебрежимо малое влияние на объем выборки).

Названы основные методы отбора:

1) использование компьютеризованного генератора случайных чисел или таблиц случайных чисел;

2) системный отбор, при котором число элементов в генеральной совокупности делится на объем выборки так, чтобы обеспечить интервал выборки, например, равный 30, и после определения исходной точки в пределах первых тридцати элементов затем отбирается каждый тридцатый элемент выборки;

3) бессистемный отбор, при котором аудитор формирует выборку, не следуя какому-либо структурному методу.

На основе МСА 530 разработано ПСАД № 16 «Аудиторская выборка», которым для аудитора устанавливаются единые требования к выборочным проверкам в аудите, а также к методам отбора элементов, подлежащих проверке с целью сбора аудиторских доказательств.

Оценка рисков и внутреннего контроля —

характеристики КИС и связанные с ними вопросы

Вопросы изучения и оценки системы учета и отчетности и взаимосвязанных с ней систем внутреннего контроля в случае электронной обработки данных рассматриваются в ПМАП 1008 «Оценка рисков и внутреннего контроля — характеристики КИС и связанные с ними вопросы». В Положении нашли отражение наиболее распространенные характеристики процесса электронной обработки данных, в том числе факторы, влияющие на его организационную структуру, характер обработки данных и процедуры, применяемые в системах учета и отчетности и внутреннего контроля. ПМАП 1008 представляет собой дополнение к МСА 401 «Аудит в условиях компьютерных информационных систем».

В разделе «Организационная структура», в котором описывается организационная структура КИС, отмечено о возможной концентрации функций и знаний. В таких случаях возникает ситуация, когда определенные сотрудники, занимающиеся обработкой данных, могут быть единственными сотрудниками, которые в деталях понимают взаимосвязь между источниками данных. Возникает опасность того, что эти сотрудники будут знать о слабых местах системы внутреннего контроля и смогут внести изменения в программы или данные во время их обработки и хранения. Другим нежелательным явлением может оказаться концентрация программ и данных — компьютерные программы, которые обеспечивают доступ к данным и позволяют изменять данные, обычно хранятся там же, где и данные. Следовательно, при отсутствии соответствующего контроля увеличивается вероятность несанкционированного доступа к программам, данным и их изменения.

В разделе «Характер обработки» говорится, что использование компьютеров может привести к тому, что в системе учета будет сложнее получить наглядные доказательства, чем при использовании ручных методов и процедур. Кроме того, к таким системам имеет доступ большее количество людей. Можно выделить следующие особенности обработки данных в системах КИС:

1) отсутствие первичных документов (данные могут вводиться в компьютерную среду без сопроводительных документов);

2) отсутствие визуального следа операции (определенные данные могут существовать только в компьютерных файлах. При ручной системе обычно есть возможность проследить операцию в системе путем оценки первичных документов, бухгалтерских книг, записей, файлов и отчетов, а в среде КИС след операции может существовать частично в машиночитаемой форме, более того, только ограниченное время);

3) отсутствие визуального результата (определенные операции или результаты обработки могут не распечатываться. При ручной системе и в некоторых КИС существует возможность визуального изучения результатов обработки. В других КИС результаты обработки могут не распечатываться, либо на печать будут выводиться только сводные данные. Таким образом, отсутствие визуального результата может привести к необходимости получения доступа к данным файлов, которые могут быть прочитаны только с помощью компьютера);

4) свободный доступ к данным и компьютерным программам (доступ к данным и изменение компьютерных программ может осуществляться посредством компьютера или путем использования компьютерного оборудования, находящегося в ином месте, следовательно, при отсутствии соответствующего контроля возрастает вероятность несанкционированного доступа и изменения данных и программ на предприятии или извне).

В разделе «Структурные и процедурные аспекты» дается характеристика структурных и процедурных аспектов КИС. Они включают в себя:

последовательность выполнения (КИС выполняют свои функ ции в точности так, как они были запрограммированы, потенциально они более надежны, чем ручная система, при условии, что все виды операций и обстоятельства, которые могут произойти, учтены и введены в систему. В то же время компьютерная программа, которая недостаточно хорошосоставлена и протестирована, может постоянно неправильно обрабатывать операции или иные данные);

1) запрограммированные процедуры контроля (характер компьютерной обработки позволяет включать процедуры внутреннего контроля в компьютерные программы. Данными процедурами может быть предусмотрено обеспечение ограниченного визуального контроля);

2) единовременное обновление данных в различных компьютерных файлах или в базах данных (одноразовый ввод данных в систему учета может автоматически обновить все записи, связанные с операцией, таким образом, ошибочная проводка в подобной системе учета может привести к ошибкам в различных финансовых счетах);

3) операции, генерируемые системами (определенные операции могут инициироваться самой КИС без необходимости во входящих документах, например, проценты могут подсчитываться и относиться на остатки по счетам клиентов автоматически на основе алгоритма, заложенного в программу);

4) уязвимость средств хранения данных и программ (большие объемы данных и компьютерные программы, используемые для обработки информации, могут храниться на таких портативных или встроенных носителях информации, как магнитные диски и пленка. Названные носители информации могут быть украдены, утеряны, преднамеренно или случайно уничтожены).

Раздел «Внутренний контроль в среде КИС» содержит информацию о том, что внутренний контроль за компьютерной обработкой данных, который помогает достигать общих целей внутреннего контроля, включает в себя как процедуры, проводимые с помощью ручной обработки, так и процедуры, встроенные в компьютерные программы.

Указанные компьютерные процедуры контроля и процедуры контроля при ручной обработке обеспечивают общую систему контроля, действующую в среде КИС (общий контроль КИС), и конкретные средства контроля за прикладными учетными программами (контроль прикладных программ КИС).

В разделе «Общий контроль КИС» говорится, что целью общего контроля КИС является создание структуры общего контроля за деятельностью КИС и обеспечение достаточной уверенности в достижении основных целей внутреннего контроля. Общий контроль КИС может включать в себя: организационный и управленческий контроль; контроль за развитием и эксплуатацией системы прикладных программ; контроль за эксплуатацией компьютеров; контроль за программным обеспечением; контроль за вводом данных и программами. К другим мерам защиты КИС относятся: внесистемное резервное копирование данных и компьютерных программ; процедуры восстановления на случай кражи, утери или преднамеренного либо случайного уничтожения; положение о внесистемных операциях в случае масштабного сбоя.

В разделе «Контроль прикладных программ КИС» дается определение цели контроля прикладных программ КИС как установление конкретных процедур контроля в отношении прикладных учетных программ для обеспечения достаточной уверенности в том, что все операции санкционированы, зарегистрированы и обработаны полностью, точно и своевременно. Контроль прикладных программ КИС включает в себя:

1) контроль за вводом (предназначен для обеспечения достаточной уверенности в том, что операции должным образом санкционированы до момента их обработки на компьютере, без потерь преобразуются в машиночитаемую форму и записываются в компьютерную базу данных, неправильные операции отклоняются, корректируются и, если необходимо, своевременно вводятся повторно);

2) контроль за обработкой и компьютерной базой данных (предназначен для обеспечения достаточной уверенности в том, что операции, включая операции, генерируемые системой, надлежащим образом обрабатываются компьютером, не теряются, не дополняются, не дублируются или не изменяются по ошибке, ошибки обработки своевременно выявляются и корректируются);

3) контроль за результатами (предназначен для обеспечения уверенности в том, что результаты обработки точны, доступ к результатам предоставлен только уполномоченному персоналу, результаты своевременно передаются соответствующему уполномоченному персоналу).

Согласно разделу «Обзор общего контроля КИС» аудитор обязан рассмотреть, насколько влияние, которое общий контроль КИС оказывает на прикладные программы КИС, важно с точки зрения аудита. Средства общего контроля КИС, которые относятся к некоторым или ко всем прикладным программам, как правило, являются взаимозависимыми, поскольку их работа обычно существенно влияет на эффективность контроля прикладных программ КИС. Следовательно, может быть целесообразным проверить структуру общего контроля до проверки контроля прикладных программ.

В разделе «Обзор средств контроля прикладных программ КИС» указывается, что контроль за вводом, обработкой, файлами данных и результатами могут проводить персонал КИС, пользователи системы, отдельная группа контроля или сама прикладная программа. Аудитор может счесть необходимым провести тестирование средств контроля прикладных программ, в том числе:

1) контроля, осуществляемого пользователем вручную (если такой контроль прикладных программ в состоянии обеспечить достаточную уверенность в том, что результаты системы полны, точны и правомочны, аудитор может принять решение ограничить тестирование указанными средствами контроля и подвергнуть проверке только средства ручного контроля, применяемые пользователем);

2) контроля над выходными данными системы (если в дополнение к средствам контроля, осуществляемым пользователем вручную, предметом тестирования являются средства контроля, использующие информацию, генерированную компьютером или содержащуюся в компьютерных программах, может оказаться возможным проверить эти средства контроля путем исследования выходных данных системы с применением либо ручных, либо компьютеризованных методов аудита. Такие выходные данные могут быть на магнитных носителях, на микрофишах или в виде распечаток, например аудитор может протестировать средства контроля, используемые субъектом применительно к сверке итоговых показателей отчетов с контрольными счетами Главной книги, и данная сверка может быть протестирована вручную.

В противном случае, если сверка осуществляется с помощью компьютера, аудитор может захотеть протестировать сверку путем повторного контроля с помощью компьютеризованных методов аудита);

3) программируемых средств контроля (в случае определенных компьютерных систем для аудитора может оказаться невозможным либо в некоторых случаях практически неосуществимым протестировать средства контроля путем исследования исключительно средств контроля пользователя или выходных данных системы, например, в прикладной программе, которая не генерирует распечаток, касающихся утверждения важнейших операций или действий в обход обычной политики, аудитор может захотеть протестировать контрольные процедуры, встроенные в прикладную программу. Аудитор может рассмотреть вопрос о целесообразности проведения тестов контроля с использованием компьютеризованных методов аудита, таких, как тестовые данные, повторная обработка данных по операциям или в необычных ситуациях проверка кодирования прикладных программ).

В разделе «Оценка» говорится, что общие средства контроля КИС могут оказывать глубокое воздействие на обработку операций в прикладных программах. Если подобные средства контроля неэффективны, то может существовать риск возникновения искажений и риск необнаружения таковых в прикладных программах. Следовательно, недостатки общих средств контроля КИС могут помешать тестированию определенных прикладных средств контроля КИС; однако используемые пользователями ручные процедуры могут представлять собой эффективное средство контроля на уровне прикладных программ.

Российским аналогом ПМАП № 1008 является ПСАД «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем», цель которого заключается в определении рисков аудита, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем КОД.