ОЦЕНКА СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ
ПРИ ПРОВЕДЕНИИ АУДИТОРСКОЙ ПРОВЕРКИ
В статье анализируются главные принципы, положенные в основу осуществляемой аудитором системы внутреннего контроля аудируемого объекта. Приводятся приемы и методы этой оценки.
Повышение требований к финансовой отчетности, которые сформировались в начале 2000-х годов, изменили подходы к анализу системы внутреннего контроля (далее — СВК). Наблюдается общая тенденция к ужесточению мер по подготовке достоверной отчетности. Появилось стремление обязать аудиторов давать в своих отчетах оценку СВК. Это выразилось в разработке стандартов, обеспечивающих учет качества контроля аудируемых лиц. Появились новые стандарты ISA 315, ISA 330, которые увязывают оценку аудиторских рисков и аудиторские процедуры по оцененным рискам с анализом надежности СВК аудируемых лиц с точки зрения возможного искажения финансовой отчетности, что привело к внесению дополнений и поправок практически во все МСА.
В прежних стандартах СВК определялась как совокупность мероприятий, в которых заинтересованы прежде всего аудируемые лица. В новой редакции сделан акцент на надежность финансовой отчетности, а также на возможность руководителей предприятий снижать риск с помощью системы внутреннего контроля.
МСА требуют проводить анализ СВК постоянно. Начиная с 2006 г. вносится изменение, вводящее ответственность руководства аудируемого лица за разработку, внедрение и поддержание СВК, которая обеспечила бы правдивое представление о финансовой отчетности.
В последние годы в субъектах хозяйствования успешно формируются системы внутреннего контроля и аудита, результаты деятельности которых учитываются при проведении аудиторских проверок. Вопрос об организации СВК органически связан с управленческой структурой субъекта хозяйствования, его стратегией и постановкой управленческого и финансового учета, порядком составления внутрипроизводственной (управленческой) отчетности.
В соответствии со стандартами аудита СВК представляет систему, состоящую из пяти составляющих. Первая составляющая — контрольная среда — включает позицию, осведомленность и действия руководства. В составе контрольной среды обозначены положения о том, чтобы руководители предприятий в явном виде сообщали своим подчиненным требования в отношении честности и уважения этических норм. Важно также уделять внимание компетентности. Руководство обязано анализировать, какие качества требуются для выполнения тех или иных работ. Остальные факторы контрольной среды, такие, как философия руководства, организационная структура, полномочия и ответственность, практика и политика в отношении человеческих ресурсов, остались прежними или претерпели исключительно редакционные изменения.
Понимание аудитором контрольной среды имеет особое значение при изучении вопросов, связанных с угрозой мошенничества. Аудитор должен понять, каким образом руководство аудируемого лица создает атмосферу честного, этичного поведения и устанавливает соответствующие средства контроля для предотвращения и защиты от ошибок и мошенничества. Аудитор должен учитывать, как применялись элементы контрольной среды, и определить, используются ли средства контроля на практике.
Вторая составляющая СВК — оценка бизнес-риска аудируемым лицом как процесс выявления рисков, их возможных последствий и реагирование на них. В новых МСА появилось требование к руководителям аудируемого лица самостоятельно оценивать связанные с работой своей организации риски. Аудитор должен понять, каким образом организация выявляет и устраняет бизнес-риски, связанные с целями финансовой отчетности, и к каким результатам это приводит.
Третья составляющая СВК — информационная система, связанная с целями финансовой отчетности и состоящая из процедур и записей. Аудитор должен понимать, как организация доносит информацию о ролях и обязанностях конкретных сотрудников, а также существенных вопросах, имеющих отношение к финансовой отчетности. В бухгалтерии должно быть четко расписано, кто что делает и кто за что отвечает. Аудитору следует проверить, насколько хорошо подготовлены служебные инструкции и насколько добросовестно они выполняются.
Четвертая составляющая СВК — контрольные действия. Под ними понимаются политика и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются. К ним относятся процедуры и мероприятия, проводимые аудируемым лицом и выходящие за пределы непосредственного ведения учета и подготовки отчетности.
Пятая составляющая СВК — мониторинг средств контроля. Под ним понимается процесс оценки качества функционирования СВК. Он выполняется с помощью постоянного наблюдения, отдельных оценок надежности средств и позволяет убедиться, что средства контроля функционируют эффективно. Аудитор должен понимать основные виды мероприятий, которые проводит организация для мониторинга внутреннего контроля финансовой деятельности.
Что касается оценки риска существенных искажений, то аудитор должен установить, уместно ли при оценке рисков существенных искажений данное средство контроля. Надо принять во внимание оценку уровня существенности, размер аудируемого лица, природу его бизнеса, сложность систем, составляющих СВК. Самый простой, но наименее надежный способ получения аудиторских доказательств об СВК — расспросы сотрудников клиента, а самый надежный — наблюдение аудитора за контрольными процедурами. К сожалению, аудитор физически не в состоянии лично проследить за ними. Внутренний контроль может обеспечить только частичную уверенность в достижении цели. Если в результате проведенных процедур по оценке риска не обнаружено каких-либо эффективных средств контроля, то аудитор исключает эффект контроля из соответствующих оценок рисков. Аудитор должен планировать и осуществлять процедуры проверок по существу для каждой существенной операции.
Проверка процедур контроля проходит две стадии. На первой стадии аудитор выясняет, существует ли данная процедура у аудируемого лица. На второй стадии он устанавливает, выполняют ли процедуры контроля предполагаемые функции. Тесты применяются только для тех составляющих СВК, которые были признаны аудитором надлежащими для предотвращения, обнаружения и исправления. Временные рамки тестов — это период времени, с которым связано проведение аудиторских процедур. Масштаб аудиторских тестов средств контроля напрямую связан с оценкой риска аудитором. Все описанные действия аудитора должны быть отражены в рабочей документации.
В соответствии с Федеральным правилом (стандартом) «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом» основу внутреннего контроля экономического субъекта составляют контрольная среда, система бухгалтерского учета и средства контроля. По нашему мнению, целесообразно в составе элементов внутреннего контроля рассматривать и систему налогового учета, представляющую собой упорядоченную систему регистрации и обобщения информации о фактах хозяйственной деятельности, опосредующих возникновение доходов и расходов, подлежащих учету в соответствии с нормами НК РФ, для формирования полной и достоверной налоговой информации.
Аудитор в ходе планирования должен оценить адекватность внутреннего контроля масштабам, специфике деятельности экономического субъекта и достичь понимания закономерностей его функционирования в той части, которая обеспечивает регулирование и мониторинг процесса сбора, обработки и обобщения информации, необходимой для подготовки достоверной бухгалтерской и налоговой отчетности.
Аудитор изучает СВК субъекта, для того чтобы спланировать аудиторскую проверку и определить природу, степень и время проведения необходимых процедур. В конечном счете такое изучение дает возможность оценить риск искажения в финансовой отчетности. При этом аудитор должен больше уделять внимания средствам контроля, которые имеют отношение к финансовой информации, уместной при обосновании утверждений по финансовой отчетности. Средства контроля, которые не влияют на финансовую информацию, не являются существенными для аудитора, если только они косвенно не затрагивают финансовую отчетность.
При планировании аудита аудитор изучает все пять компонентов СВК субъекта, чтобы:
— определить тип возможных существенных искажений;
— рассмотреть факторы, приводящие к появлению существенных искажений;
— разработать тесты системы контроля;
— определить формы тестирования по существу, если это возможно.
Практика показывает, что на стадии планирования вряд ли удается детально изучить деятельность экономического субъекта применительно ко всему объему совершаемых хозяйственных операций, поэтому целесообразно выбрать самые существенные из них. При выборке можно руководствоваться существенностью оборотов и остатков по счетам. По результатам оценки бухгалтерского учета и внутреннего контроля этих счетов и участков аудитор формирует свое мнение о системе бухгалтерского учета и внутреннего контроля экономического субъекта.
Оценка, проводимая за столь короткий срок, достаточно субъективна, и вводить на этой стадии большое количество градаций не имеет смысла. Поэтому здесь применяются три градации оценки систем бухгалтерского учета и внутреннего контроля. Свидетельства, полученные по результатам экспертизы бизнеса, влияют на формирование мнения аудитора в отношении уровня неотъемлемого риска и целесообразности применения в ходе аудита знаний о внутреннем контроле экономического субъекта.
Для рациональной организации проверки аудитор должен, исходя из оценки неотъемлемого и контрольного риска и принимая во внимание предварительное суждение о существенности, определить допустимый риск необнаружения и с учетом минимизации последнего спланировать соответствующие аудиторские процедуры.
Диагностика внутреннего контроля экономического субъекта осуществляется в целях предварительной оценки степени надежности СВК и предполагает изучение, анализ, оценку:
— отношения руководства к необходимости поддержания адекватного внутреннего контроля;
— порядка делегирования полномочий и распределения ответственности;
— порядка авторизации хозяйственных операций на всех уровнях иерархии управления;
— порядка обеспечения сохранности активов и конфиденциальной информации экономического субъекта;
— учетной и налоговой политики экономического субъекта, ее организационно-технических и методологических аспектов;
— организационной структуры бухгалтерии;
— порядка документального оформления фактов хозяйственной деятельности и организации документооборота;
— роли и места средств вычислительной техники в ведении бухгалтерского и налогового учета;
— порядка систематизации данных в регистрах бухгалтерского и налогового учета;
— процесса подготовки бухгалтерской и налоговой отчетности.
Для предварительной оценки эффективности СВК используются следующие градации: высокая, средняя, низкая. Свою оценку аудитор формирует в результате:--PAGE_BREAK--
— бесед с компетентными работниками экономического субъекта;
— проверки документов;
— наблюдения за применением конкретных мероприятий и процедур;
— аналитических процедур.
Рассмотрим более подробно процесс изучения и оценки СВК, который состоит из понимания и документирования этой системы, оценки контрольного риска, тестирования средств контроля, оценки результатов тестирования и их документирования, тестирования по существу.
Для анализа СВК аудитору следует:
— опираться на собственный опыт работы с субъектом;
— запрашивать необходимую информацию у руководства, контролеров и персонала;
— исследовать документы и записи;
— изучать характер и виды деятельности;
— задокументировать полученное понимание.
Текущие средства внутреннего контроля исследуются аудитором на основе данных из нескольких источников — как прошлых, так и настоящих. Аудитор должен проанализировать рабочие документы по предыдущей аудиторской проверке, запросить дополнительную информацию у персонала клиента и внутренних аудиторов, изучить руководства по процедурам и пронаблюдать деятельность компании. Однако следует учитывать, что структура средств внутреннего контроля предыдущих периодов может не соответствовать текущему периоду.
Документирование понимания СВК может быть сделано аудитором путем подготовки блок-схем, заполнения анкет, описаний и составления древа-решений и таблиц. Такие формы документирования доказывают, что достаточное понимание и оценка СВК были фактически осуществлены.
Блок-схемы представляют собой символические диаграммы, отражающие последовательный процесс системы управления, обработки и документирования. Блок-схемы могут использоваться, во-первых, для оценки СВК, во-вторых, — как средства документирования в электронном виде при программировании.
Блок-схема, используемая для оценки системы, показывает происхождение каждого документа в системе, его последующую обработку и конечное месторасположение. Помимо этого схемы полезны для аудитора тем, что документируют все шаги в процессе проверки.
Электронные блок-схемы, используемые в качестве документации, первоначально создаются для документирования логики и существующих потоков электронной информации. Аудитор может использовать такие схемы для оценки как работы программы, так и средств внутреннего контроля, относящихся к функции обработки данных в общем.
Для подготовки блок-схем следует:
— составить схему документооборота и информационных потоков;
— начинать с верхней части страницы и двигаться сверху вниз и слева направо;
— использовать описание для лучшего понимания пользователем;
— избегать разделяющих линий, если это возможно;
— при необходимости прочитать заново схему с точки зрения читателя и устранить неопределенности.
Анкета по СВК обычно содержит вопросы, которые предполагают ответы «да» или «нет». Отрицательные ответы направлены на заострение внимания на возможные недостатки этой системы. По отрицательным ответам необходимо написать объяснение. Анкеты также имеют дополнительное пространство, для того чтобы опрашиваемый сотрудник мог разместить там свои пояснения. Вопросы должны быть ориентированы на конкретные средства внутреннего контроля, отвечающие за определенный элемент, счет или процесс. Они должны относиться к каждой процедуре уместного средства.
Описания являются письменной версией блок-схемы. Аудитор описывает то, как он представляет себе СВК. Изложение фактов производится в последовательности происхождения событий по определенной операции.
Блок-схемы подходят для документирования более сложных структур контроля, а письменное изложение фактов — для менее сложных.
Древо решений является графической иллюстрацией, которая показывает логику операции или процесса. При этом в основном используются вопросы, на которые должны следовать ответы «да», «нет», направляющие пользователя к логически следующему вопросу. Таблицы показывают логическую связь компонентов системы в табличной форме. При помощи этих двух методов аудитор документирует понимание процесса.
Следующим этапом в изучении и оценке СВК являются оценка контрольного риска, тестирование средств контроля.
Оценка риска контроля — определение того, насколько эффективны средства внутреннего контроля при предупреждении или выявлении существенных искажений в финансовой отчетности. Средства контроля могут иметь значительный эффект в отношении многих, одного или нескольких утверждений.
Средства контроля могут прямо либо косвенно относиться к утверждениям. В первом случае средства контроля более эффективны, поэтому аудитор может оценить риск контроля ниже, чем во втором.
Аудитор может принять одну или несколько различных стратегий аудита утверждений.
Оценка риска контроля как максимальная (или немного ниже) означает, что аудитор планирует применить в основном подход проверки по существу. В этом случае средства контроля не тестируются, так как аудитор не намерен на них полагаться. Максимальный уровень оценки риска контроля свидетельствует о том, что процедура контроля:
— неуместна либо неэффективна;
— соотношение затраты — выгоды мешает проведению тестирования;
— неэффективна для тестирования средства контроля;
— представляет собой слабо разработанное средство контроля.
Оценка риска контроля ниже максимального означает, что аудитор намерен полагаться на подобные средства внутреннего контроля. Оценка риска ниже максимального уровня затрагивает:
— идентификацию определенных уместных средств контроля, которые, скорее всего, обнаружат и устранят существенные искажения;
— проведение тестирования данных средств контроля;
— заключение по оцененному уровню риска контроля.
Какая стратегия ни была бы выбрана, она определяет:
— степень понимания СВК, которую аудитор должен достичь;
— природу, степень, время для выполнения процедур для получения такого понимания;
— документирование выводов относительно оцененного уровня риска контроля;
— природу, время и степень проведения процедур по существу, которые должны быть выполнены.
Оценка риска контроля должна быть оформлена документально, так как любая оценка риска контроля ниже максимальной должна быть обоснована доказательствами, полученными в результате тестирования средств контроля.
Если далее аудитор предполагает снизить риск контроля до желаемого уровня, то необходимо выполнить дополнительное тестирование средств контроля. В основном дополнительное тестирование проводится, если есть необходимость получить дополнительные доказательства или аудитор сочтет это достаточно эффективным. Аудитор оценивает, оправдают ли усилия, требуемые для проведения дополнительного тестирования средств контроля, ожидаемое сокращение тестирования по существу.
О надежности СВК свидетельствуют:
— нумерация документов, которая позволяет убедиться в том, что все операции отражены в учете (полнота); все операции отражены в учете только один раз (существование);
— разрешение на проведение операции, которое должно осуществляться до передачи ресурсов (существование);
— независимые проверки, включающие проверку работы, выполненной другими лицами (оценка), — сверку банковских выписок, сравнение субсчетов с синтетическими счетами главной книги, сравнение данных проведенной инвентаризации с данными бухгалтерского учета;
— документирование, которое предоставляет доказательства по совершенным операциям, а также является основой для определения ответственности за исполнение и отражение операций (существование и оценка);
— распределение обязанностей, дающее уверенность в том, что отдельные лица не выполняют не совместимые с их работой служебные обязанности. С точки зрения контроля служебные обязанности считаются несовместимыми, когда, например, конкретное лицо имеет возможность украсть актив и в то же время скрыть эту кражу (существование и происхождение);
— физические средства контроля, предполагающие применение охранных устройств и средств, а также ограничение доступа к запрещенным участкам с использованием определенных средств и компьютерных программ.
Оценка риска качества аудита базируется на обратной взаимосвязи риска необнаружения и комбинации неотъемлемого и контрольного риска. Высокий уровень неотъемлемого риска и риска средств контроля обязывает организовать проверку таким образом, чтобы минимизировать величину риска необнаружения и тем самым свести аудиторский риск до приемлемого значения. Низкий уровень неотъемлемого и контрольного риска позволяет допустить в ходе аудита более высокий риск необнаружения (посредством применения менее трудоемких методов получения аудиторских доказательств) и достичь приемлемого значения аудиторского риска.
О.В.Нестерова
Кафедра налогообложения и аудита
Самарского государственного
экономического университета