Оценка риска и соответствующие действия

Группу «Оценка рисков и соответствующие действия» составляют стандарты №№ 300; 315; 320; 330; 402 и 450.

С целью повышения эффективности проведения аудита ауди­тор должен осуществлять планирование своей деятельности. МСА 300 «Планирование аудита финансовой отчетности» понимает под планированием разработку общей стратегии, а также детального подхода к ожидаемому характеру, временным рамкам и объему аудита. Согласно стандарту планирование осуществляется с целью снижения аудиторского риска до приемлемо низкого уровня. Планированием занимается руководитель аудиторской проверки и другие руководящие выполнением аудиторского задания участники аудиторской группы.

Стандарт выделяет следующие этапы процесса планирования:

- предварительное знакомство;

- разработка стратегии аудита;

- разработка плана аудита.

При предварительном знакомстве стандарт предлагает аудитору определить тип аудиторского задания; проверить клиента на соответствие требованиям стандарта по этике; определить рамки аудиторского задания.

Под разработкой стратегии стандарт понимает определение объема аудита, срока аудита и его основных направлений (наиболее рискованных статей отчетности). Стратегию аудита аудитор должен задокументировать.

На основе выработанной стратегии стандарт предполагает разработку плана аудита. План аудита является более подробным, чем стратегия аудита, поскольку он включает в себя основания, сроки и объем аудиторских процедур, подлежащих выполнению членами аудиторской группы. При разработке плана аудита стандарт рекомендует выполнение следующих действий:

- обсуждение задания между участниками аудиторской группы;

- получение общего понимания нормативных правовых актов, регулирующих деятельность аудируемого лица;

- получение понимания деятельности аудируемого лица и среды, в которой она осуществляется;

- оценка рисков существенного искажения бухгалтерской отчетности в соответствии с МСА 315;

- определение уровня существенности в соответствии с МСА 320;

- выбор аудиторских процедур в ответ на оцененные аудиторские риски в соответствии с МСА 330.

Стандарт указывает, что планирование – это постоянный и непрерывный процесс, который в связи с меняющимися обстоятельствами или получаемыми результатами проводится в ходе выполнения всего задания.

Стандарт устанавливает следующие требования:

1. Аудитор обязан планировать проведение аудита так, чтобы он был проведен эффективно и своевременно, то есть, в установленные сроки и с минимальным риском.

2. Аудитор обязан документировать стратегию аудита и план аудита. Форму и содержание плана устанавливает аудитор, но в нем должны быть отражены:

- оценка риска существенного искажения информации;

- установленные уровни существенности;

- сегменты аудита;

- аудиторские процедуры, их характер, объем, временные рамки;

- персонал.

План должен быть составлен таким образом, чтобы он мог быть инструкцией для ассистента аудитора и средством контроля для руководства.

4. В случае выявления новых важных для аудита обстоятельств (например, существенных искажений бухгалтерской информации), аудитор должен при необходимости пересмотреть оценки рисков, уровни существенности, запланированные аудиторские процедуры и, соответственно, пересмотреть стратегию и план аудита. Причины пересмотра аудитор должен задокументировать.

Следующий стандарт рассматриваемой группы - МСА 315 «Выявление и оценка риска существенного искажения путем понимания деятельности юридического лица и его окружения» как раз и посвящен вопросам соответствующих этапов планирования аудита. Основные требования стандарта сгруппированы по следующим направлениям:

- понимание деятельности аудируемого лица и его среды, включая систему внутреннего контроля (СВК);

- процедуры оценки рисков существенного искажения;

- документирование результатов планирования и сообщение их руководству аудируемого лица.

В отношении понимания деятельности стандарт содержит следующее важное положение – понимание деятельности аудируемого лица складывается из следующих факторов:

- знание внешних факторов (состояния отрасли, специфических требований законодательства в отношении бизнеса аудируемого лица и пр.);

- понимание стратегии развития организации и ее бизнес-рисков (рисков хозяйственной деятельности);

- понимание финансового состояния организации, успешности ее бизнеса;

- знания системы внутреннего контроля (СВК) аудируемого лица.

Стандарт дает определение этого понятия: СВК – это совокупность применяемых организацией средств и методов, позволяющих снизить риски хозяйственной деятельности, угрожающие достижению таких целей организации, как достоверность бухгалтерской отчетности; достижение эффективности осуществляемых операций; выполнение требований законодательства.

В следующем положении стандарт раскрывает составные части СВК. СВК включает следующие элементы:

- контрольную среду. Она включает такие аспекты, как приверженность руководства честности и другим этическим принципам, а также поддержание руководством этих принципов среди сотрудников организации; приверженность руководства профессионализму (в противовес непотизму); понимание руководством необходимости оценки рисков хозяйственной деятельности и управления ими; соответствие организационной структуры масштабу бизнеса; распределение ответственности и полномочий; кадровая политика;

- процесс оценки рисков аудируемым лицом. Этот элемент предполагает, что руководство аудируемого лица выявляет риски хозяйственной деятельности; оценивает их значимость; оценивает вероятность их возникновения и решает вопросы о способах управления ими;

- информационные системы, связанные с подготовкой бухгалтерской отчетности. Они включают в себя систему бухгалтерского учета и документооборота в организации;

- контрольные действия аудируемого лица (процедуры, которые помогают удостовериться, что распоряжения руководства выполняются). Примерами контрольных действий являются санкционирование операций; проверка выполнения; проверка наличия и состояния активов;

- мониторинг средств контроля (процесс оценки эффективности функционирования СВК во времени). Непрерывный мониторинг, как правило, является частью обычной деятельности по управлению аудируемым лицом в форме постоянного руководства и надзора.

Из изложенного выше вытекают требования к аудитору в отношении понимания бизнеса клиента: аудитор должен достигнуть понимания внешних факторов, бизнес-рисков, финансового состояния, системы внутреннего контроля аудируемого лица. Анализ бизнес-рисков стандарт предлагает проводить по следующим областям:

- страновые риски;

- отраслевые риски;

- стратегические риски;

- операционные риски;

- информационные риски.

Для каждого из идентифицированных рисков аудитор должен получить информацию о построении процедур внутреннего контроля, позволяющих контролировать и предотвращать идентифицированные риски.

Для достижения этого стандарт рекомендует аудитору применение следующих процедур:

- аналитические процедуры;

- наблюдение;

- просмотр документов;

- опрос сотрудников организации;

- запрос руководству в отношении выявления последним рисков хозяйственной деятельности; оценки их значимости, оценки вероятности их возникновения, решения вопросов о способах управления ими.

Стандарт указывает на необходимость понимания аудитором рисков хозяйственной деятельности аудируемого лица, поскольку они могут привести к существенному искажению бухгалтерской отчетности.

В отношении процедур оценки рисков существенного искажения стандарт устанавливает следующие требования:

1. Аудитор должен выявить и оценить (качественно или количественно) риски, которые могут привести к существенному искажению бухгалтерской отчетности (риски существенного искажения). Выявление и оценка данных рисков должны осуществляться аудитором в процессе понимания деятельности аудируемого лица;

2. Аудитор должен выявить и оценить риски существенного искажения на уровне:

- бухгалтерской отчетности в целом;

- групп однотипных операций (оборотов по счетам);

- остатков (сальдо) по счетам;

- на уровне раскрытии информации.

3. В процессе оценки риска существенного искажения аудитор должен анализировать такие влияющие на него аспекты, как внешние факторы (состояние отрасли, специфические требований законодательства в отношении бизнеса аудируемого лица и пр.); стратегию развития организации и ее риски хозяйственной деятельности (бизнес-риски); финансовое состояние организации; состояние системы внутреннего контроля аудируемого лица.

4. Оценив риски существенного искажения, аудитор должен уяснить для себя природу выявленных рисков (не является ли риск следствием мошенничества; внешних факторов; операций со связанными сторонами; субъективностью суждений менеджмента; необычными операциями и пр.).

5. При выявлении новых фактов в ходе аудита аудитор должен пересматривать оценки рисков, полученные на стадии планирования, и уточнять их.

В отношении документирования результатов планирования и сообщения их руководству аудируемого лица стандарт устанавливает следующие требования:

1. Аудитор обязан занести в рабочие документы следующую информацию:

- результаты обсуждений между членами аудиторской группы;

- основные моменты понимания деятельности аудируемого лица, его системы внутреннего контроля;

- выявленные и оцененные риски.

2. При выявлении рисков, которые организация не контролирует с помощью имеющихся средств контроля, аудитор должен включить данные наблюдения в состав вопросов, подлежащих сообщению руководству в соответствии с МСА 260.

МСА 315 содержит также важное положение, в котором формулирует цель оценки рисков существенного искажения информации: целью подобной оценки является выполнение ответных действий, способствующих снижению аудиторского риска до приемлемо низкого уровня. Такими действиями согласно МСА 315 могут быть:

- снижение уровня существенности;

- выбор процедур, способствующих снижению аудиторского риска;

- выявление областей, требующих особого внимания аудитора (специфических областей).

Вопросам определения уровня существенности как раз и посвящен следующий стандарт этой группы – МСА 320 «Существенность в планировании и проведении аудита». Существенность является одним из основных понятий в аудите, поскольку в конечном итоге именно от него зависит модификация аудиторского заключения (вспомним, что МСА 200 определяет цель аудита как предоставление ауди­тору возможности выразить свое мнение о том, что бухгалтерская отчетность подготовлена экономическим субъектом в соответствии с установленными требованиями по всем существенным аспектам).

Определение понятия существенности в новой редакции МСА 320 несколько отличается от применявшегося ранее:

Как видим, в новой редакции МСА 320 понятие существенности раскрывается не в качестве свойства информации вообще, а в качестве свойства искаженной информации. Тем самым подчеркивается актуальность понятия существенности именно при анализе выявленных аудитором искажений.

Новая редакция МСА 320 устанавливает также, что существенность, определенную на этапе планирования, не обязательно следует рассматривать как предельное значение, ниже которого неисправленные искажения по отдельности или в совокупности будут всегда оцениваться, как несущественные. Некоторые обстоятельства (например, характер искажений, особенности их возникновения) могут заставить аудитора оценивать искажения как существенные, даже если они ниже принятого уровня существенности.

Стандарт вводит новый термин – «применение» существенности. Применение существенности для целей МСА 320 означает установление аудитором значения, менее чем существенное, чтобы уменьшить до приемлемого низкого уровня вероятность того, что совокупность неисправленных и необнаруженных искажений превысит уровень существенности.

Таким образом, наряду с установленным уровнем существенности аудитор может использовать «применяемый» уровень существенности, который должен быть менее установленного уровня существенности в целях минимизации риска необнаружения.

В отношении того, для каких показателей отчетности аудитор должен определять существенность, новая редакция стандарта содержит отличие от предыдущей:

Таким образом, в новой редакции стандарт предусматривает, что аудитор в любом случае должен установить уровень существенности для отчетности в целом.

Что же касается остатков по счетам, групп однотипных операций и раскрытий информации, то аудитор должен установить уровни существенности только для тех из них, в которых искажения, не превышающие уровень существенности для отчетности в целом, могут повлиять на решение пользователя.

Как следует из приведенной выше формулировки новой редакции стандарта, при установлении уровней существенности для остатков по счетам, групп однотипных операций, раскрытий информации аудитор должен «применить» уровни существенности, то есть установить для них «применяемые» уровни существенности, которые должны быть менее уровня существенности, установленного для отчетности в целом.

Новая редакция стандарта содержит рекомендации аудитору по выбору показателей (в формулировке стандарта – критериев) при определении существенности для отчетности в целом. Стандарт указывает, что выбор критериев осуществляется на основании профессионального суждения аудитора и определяется потребностью в финансовой информации пользователей отчетности. В зависимости от обстоятельств, сопутствующих аудируемому лицу, такими критериями могут быть: валовая прибыль; прибыль до налогообложения; общая выручка; общие расходы; общий акционерный капитал; стоимость чистых активов. Например, в организации, ориентированной на получение прибыли, критерием при определении существенности для отчетности в целом может быть прибыль до налогообложения. Если же значение прибыли нестабильно, более предпочтительным может быть такой критерий, как общая выручка.

Стандарт указывает также, что при определении уровня существенности для отчетности в целом аудитору следует учитывать зависимость процентного значения уровня существенности от выбранного критерия. Например, для общей выручки процентное значение уровня существенности должно быть ниже, чем для прибыли до налогообложения.

При рассмотрении вопроса, для каких остатков по счетам, групп однотипных операций, раскрытий информации аудитору следует установить уровни существенности, необходимо анализировать факторы, указанные в новой редакции стандарта:

- принадлежность к элементам финансовой отчетности (активам, обязательствам, капиталу, доходам, расходам);

- значение для пользователей отчетности (например, с целью оценки финансовой деятельности пользователи могут обращать особое внимание на чистую прибыль или чистые активы);

- производственную и экономическую среду, в которой организация ведет свою деятельность;

- распределение прав собственности компании среди ее собственников и применяемый метод финансирования (например, если организация финансируется долговыми обязательствами, а не акционерным капиталом, для пользователей может быть важнее информация об активах и требованиях к ним, чем информация о доходах);

- относительную изменчивость показателя.

При формировании мнения о достоверности бухгалтерской отчетности аудитор должен сравнить выявленные неисправленные искажения с уровнем существенности, причем применяемый уровень существенности должен использоваться при рассмотрении искажений не только по отдельности, но и в совокупности (чтобы совокупность искажений, каждое из которых несущественно по отдельности, не привело бы к существенному искажению отчетности).

Если поправки не внесены, а искажения превышают уровень существенности, то аудитор обязан рассмотреть вопрос о надлежащей модификации аудиторского заключения.

Стандарт содержит положение,в котором раскрывается связь аудиторского риска (его компонентов) с уровнем существенности: чем ниже аудиторский риск, тем выше может быть уровень существенности. И наоборот, чем выше аудиторский риск, тем ниже должен быть уровень существенности.

Стандарт указывает также, что после завершения аудиторских процедур и подведения итогов оценка существенности и аудиторского риска может отличаться от оценки, проведенной на начальной стадии планирования. Причи­ной такого отличия являются:

- изменение обстоятельств в результате проверки;

- изменение информированности аудитора.

Вопросам выбора процедур, способствующих снижению аудиторского риска, посвящен МСА 330 «Действия аудитора в связи с оцененным риском».

Основные требования стандарта:

1. В ответ на оцененные риски существенного искажения аудитор должен выполнить следующие действия:

- установить уровень существенности таким образом, чтобы добиться приемлемого уровня аудиторского риска;

- выявить области учета, требующие особого внимания аудитора («специфические» или «ключевые» области);

- определить возможность применения аналитических процедур;

- установить потребность привлечения к участию в аудиторской проверке более опытного персонала;

- оценить необходимость усиления контроля и надзора за участниками аудиторской группы.

2. В ответ на оцененные риски существенного искажения аудитор должен выбрать аудиторские процедуры, характер и объем которых определяются оцененными рисками. При выполнении этого требования аудитору следует руководствоваться рядом рекомендаций. Более надежны (а следовательно, и способствуют снижению аудиторского риска):

- процедуры, использующие внешние источники информации, по сравнению с процедурами, использующими внутренние источники информации;

- процедуры инспектирования, наблюдения по сравнению с аналитическими процедурами (аналитические процедуры предпочтительны в отношении больших объемов хозяйственных операций, которые имеют тенденцию быть предсказуемыми во времени);

- процедуры сплошной проверки по сравнению с выборочными процедурами.

Кроме того, стандарт рекомендует при повышенном значении риска существенного искажения увеличивать количество детальных процедур в конце отчетного периода.

3. Независимо от оценки рисков аудитор должен выполнять аудиторские процедуры «по существу»:

- к каждой существенной группе однотипных операций (то есть к каждому существенному обороту по счету);

- к каждому существенному сальдо;

- к каждому существенному факту раскрытия информации.

При этом, чем выше риск существенного искажения, тем больший объем процедур «по существу» должен выполнить аудитор.

4. При повторяющемся аудите аудитор должен проверять эффективность средств внутреннего контроля (не меняющихся), по крайней мере, в ходе каждого третьего аудита.

5. Основываясь на выполненных процедурах и полученных доказательствах, аудитор должен оценить, сохраняется ли сделанная ранее оценка риска существенного искажения, и при необходимости уточнить ее.

6. Аудитор должен оценить, позволяют ли осуществленные действия и выбранные процедуры снизить аудиторский риск до приемлемо низкого уровня. Если по мнению аудитора аудиторский риск остается неприемлемо высоким, то аудитор должен рассмотреть вопрос о надлежащей модификации аудиторского заключения (оговоркой или отказом от выражения мнения).

7. Аудитор должен документально оформлять:

- действия, выполненные в ответ на оцененные риски;

- аудиторские процедуры, выбранные в ответ на оцененные риски;

- связь этих процедур с оцененными рисками.

Следующий стандарт этой группы – МСА 402 «Учет особенностей юридических лиц, использующих обслуживающие организации, при аудите».

Стандарт дает следующее определение понятию «обслуживающая организация» - это организация, которая ведет учет и составляет бухгалтерскую отчетность аудируемого лица.

Очевидно, что при аудите организации, бухгалтерский учет которой ведет специализированная бухгалтерская (эккаутинговая) фирма, перед аудитором встает ряд дополнительных задач, связанных с оценками в отношении этой специализированной фирмы. В соответствии с этим МСА 402 устанавливает следующие требования к аудитору:

1. При планировании аудита аудитор должен определить, какое влияние оказывает обслуживающая организация на организацию бухгалтерского учета и внутреннего контроля аудируемого лица. Для этого аудитор должен проанализировать следующую информацию:

- условия контракта аудируемого лица и обслуживающей организации;

- объем и характер услуг, предоставляемых обслуживающей организацией аудируемому лицу;

- организацию документооборота между аудируемым лицом и обслуживающей организацией;

- степень взаимодействия систем бухгалтерского учета и внутреннего контроля аудируемого лица и обслуживающей организации;

- степень использования аудируемым лицом средств внутреннего контроля за операциями, совершаемыми обслуживающей организацией.

2. Аудитор должен также проанализировать возможности обслуживающей организации, рассмотреть сведения о ней. Для этого аудитор должен рассмотреть отчеты аудиторов обслуживающей организации в качестве источников информации о ее системе бухгалтерского учета и внутреннего контроля.

3. При необходимости (например, в случае отсутствия указанных выше источников информации) аудитор должен посетить обслуживающую организацию, и выполнить процедуры, направленные на изучение ее системы бухгалтерского учета и внутреннего контроля. Аудируемое лицо в этом случае должно обеспечить аудитору возможность такого посещения и выполнения процедур.

4. Если аудитор использует при формировании своего мнения аудиторское заключение аудитора обслуживающей организации, то в своем аудиторском заключении аудитор не вправе на него ссылаться.

5. Если аудитор лишен возможности изучить вопросы организации бухгалтерского учета и внутреннего контроля обслуживающей организации, то он должен рассмотреть вопрос о надлежащей модификации аудиторского заключения (отказом от выражения мнения).

МСА 450 «Оценка искажений, выявленных в ходе проведения аудита»является новым стандартом (первая редакция вступила в силу в конце 2007 года). Он посвящен вопросам оценки искажений в увязке с требованиями снижения аудиторского риска. До появления МСА 450 вопросы оценки искажений рассматривались в пунктах 12 – 16 старой редакции МСА 320 «Существенность в аудите».

МСА 450 определяет понятие «искажение» в соответствии с определением в МСА 200, как разницу между фактической и требуемой суммой, классификацией, представлением или раскрытием пункта финансовой отчетности.

Стандарт вводит новое понятие – «очевидно незначительные» искажения, которое, как указывает стандарт, не является аналогом понятия «несущественные» искажения. Искажения будут являться очевидно незначительными, если они не превышают уровень (уровень незначительности), который может установить аудитор, исходя из размера, характера или обстоятельств возникновения искажений. Уровень незначительности должен иметь существенно меньшую величину, чем уровень существенности. Если же существует хотя бы какая-нибудь неопределенность в отношении отнесения искажения к очевидно незначительным, то оно не считается таковым.

В рабочей документации аудитор в соответствии с новой редакцией стандарта должен:

- отразить уровень незначительности (величину, ниже которой искажения будут расценены, как явно незначительные);

- собрать все искажения, выявленные в ходе проведения аудита, кроме очевидно незначительных;

- определить, являются ли неисправленные искажения по отдельности или в совокупности существенными.

Для оценки влияния искажений, собранных в ходе аудита, стандарт рекомендует разбить их на три группы:

- фактические искажения - в отношении которых у аудитора не возникает никаких сомнений;

- искажения, вызванные неправильным, по мнению аудитора, профессиональным суждением руководства в отношении оценочных значений, которые аудитор считает неразумными, или в результате отбора и применения учетной политики, которую аудитор считает ненадлежащей;

- прогнозные (ожидаемые) искажения - это оценка аудитором наиболее вероятных искажений в генеральной совокупности, включая прогнозы ошибок, выявленных в аудиторских выборках, распространенная на все совокупности, на основе которых формировались выборки.

МСА 450 устанавливает ряд новых обязанностей аудитора в отношении оценки выявленных искажений.

Аудитор должен сообщить руководству аудируемого лица о выявленных неисправленных искажениях (помимо очевидно незначительных) и о влиянии, которое они по отдельности или в совокупности могут иметь на мнение в аудиторском заключении. При этом о каждом существенном неисправленном искажении аудитор должен сообщить отдельно. Аудитор должен обратиться к руководству с просьбой исправить неисправленные искажения.

Аудитор должен запросить письменное заявление руководства о том, полагает ли оно влияние неисправленных искажений по отдельности или в совокупности несущественным по отношению к финансовой отчетности в целом (перечень таких искажений следует включить или приложить к запросу).

МСА 450 содержит также несколько новых положений в отношении оценки выявленных искажений.

Неуместна компенсация отдельных существенных искажений другими существенными искажениями. Например, существенное завышение выручки и соответственное существенное завышение расходов будет приводить к существенному искажению отчетности в целом. Может быть уместна компенсация искажений в пределах одного и того же остатка по счету или группы операций. Тем не менее, подобные искажения (скомпенсированные) следует принимать во внимание при оценке риска существенного искажения.

Некоторые искажения могут не превышать уровень существенности для отчетности в целом. Однако связанные с ними обстоятельства могут заставить аудитора признать их существенными по отдельности или в совокупности. Такими обстоятельствами, например, могут быть:

- влияние на соответствие требованиям нормативных актов;

- влияние на выполнение долговых обязательств (требований по контрактам);

- неправильный выбор или применение учетной политики, которое имеет несущественное влияние на отчетность текущего периода, но может оказать существенное влияние на будущую финансовую отчетность;

- показатели, затрагивающие ряд конкретных связанных сторон (например, если внешние стороны по сделке связаны с руководством организации) и т.д.

Контрольные вопросы

1. Какие действия аудитора в ходе предварительного знакомства с аудируемым лицом предусматривает МСА 300?

2. Какая информация должна быть отражена в плане аудита, в программе аудита?

3. Из каких факторов складывается понимание деятельности аудируемого лица аудитором?

4. Из каких элементов состоит система внутреннего контроля организации?

5. Какие требования устанавливает МСА 315 в отношении процедур оценки рисков существенного искажения?

6. Что такое «применяемый» уровень существенности, в отношении каких показателей отчетности он устанавливается?

7. Какие действия должен выполнить аудитор в ответ на оцененные риски существенного искажения?

8. Какие процедуры следует выбирать аудитору в ответ на оцененные риски существенного искажения?

9. Что такое «уровень незначительности»?

10. Каковы рекомендации МСА 450 в отношении оценки аудитором влияния выявленных искажений?