Юшкова С.Д. Оценка аудиторского риска: современные подходы - файл n1.doc

приобрести
Юшкова С.Д. Оценка аудиторского риска: современные подходы
скачать (86 kb.)
Доступные файлы (1):
n1.doc86kb.19.09.2012 10:59скачать

n1.doc

"Аудиторские ведомости", 2011, N 10
ОЦЕНКА АУДИТОРСКОГО РИСКА: СОВРЕМЕННЫЕ ПОДХОДЫ
Рассматриваются виды рисков, исследуемых в практике аудита. Приводятся их характеристики и методы оценки. Анализируется взаимосвязь между различными видами рисков.
Аудиторский риск возникает в первую очередь из-за тех ограничений, которые изначально сопровождают весь процесс аудита. Согласно Федеральному стандарту аудиторской деятельности (ФПСАД) N 1 "Цель и основные принципы аудита финансовой (бухгалтерской) отчетности" аудит призван обеспечить разумную уверенность в том, что отчетность не содержит значимых, серьезных ошибок.

В настоящее время в теории и практике аудита используется понятие риск-ориентированного подхода к проведению проверки, что нашло отражение как в международных, так и в федеральных стандартах аудита. На первый план в области оценки рисков выходит понимание деятельности аудируемого лица, среды, в которой он функционирует, включая систему внутреннего контроля (СВК). В связи с этим основная задача аудитора - получить уверенность в том, что финансовая (бухгалтерская) отчетность не содержит существенных искажений вследствие недобросовестных действий или ошибок, допущенных сотрудниками всех уровней организации. Риск-ориентированный подход предусматривает, что сначала аудиторы должны понять деятельность организации, а затем оценить риски существенного искажения ее отчетности.

В соответствии с ФПСАД N 8 "Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности" в ходе ознакомления со средой, в которой осуществляет деятельность организация, включая СВК, следует применять следующие процедуры:

- запросы в адрес руководства или других сотрудников аудируемого лица;

- аналитические процедуры;

- наблюдение и инспектирование.

Аудитор, ориентируясь на свое профессиональное суждение, вправе расширить спектр проводимых процедур, с тем чтобы получить максимально полную информацию при оценке рисков существенного искажения. Согласно ФПСАД N 16 "Аудиторская выборка" аудиторский риск - это риск выражения ошибочного аудиторского мнения в случае, когда в финансовой (бухгалтерской) отчетности присутствуют существенные искажения. Это означает риск того, что серьезные ошибки были допущены в отчетности до начала проведения проверки и аудитор не обнаружит их. Таким образом, аудиторский риск зависит от риска необнаружения и риска существенного искажения. В свою очередь, последний состоит из неотъемлемого риска (риска хозяйственной деятельности) и риска средств контроля. Остановимся на характеристике каждого вида рисков.

Риск необнаружения является индикатором качества работы аудитора. Это определяемая аудитором на основе профессионального суждения вероятность того, что применяемые в ходе проверки процедуры не позволят обнаружить реально существующие нарушения значимого характера по отдельности либо в совокупности из-за выбора аудитором несоответствующей аудиторской процедуры, неправильного выполнения уместной аудиторской процедуры или ошибочной интерпретации результатов аудита.

Неотъемлемый риск (риск хозяйственной деятельности) относится к группе риска существенного искажения отчетности. Он присущ деятельности самой организации, аудитор не может как-либо повлиять на его возникновение, но он обязан максимально полно, качественно, объективно его протестировать и оценить. Поэтому в рамках риск-ориентированного подхода неотъемлемый риск рассматривается шире, чем вероятность искажения данных бухгалтерского учета и отчетности, он включает условия, события, обстоятельства, действия или бездействие, которые могут помешать организации достичь своих целей.

Реализуя на практике данное положение, аудитор в ходе проверки может столкнуться с отдельной группой рисков, которые, по его мнению, требуют специальных аудиторских действий. Это так называемые значимые риски, возникающие, как правило, из рисков хозяйственной деятельности, которые могут привести к существенным искажениям отчетности. К значимым рискам в первую очередь относятся факты, связанные с недобросовестным искажением отчетности, а также с нетипичными операциями и показателями деятельности. Применительно к значимым рискам аудитор должен оценить эффективность введенных в отношении этих рисков средств контроля, включая контрольные действия, и определить, выполнялись ли они. Причем в отсутствие надлежащих средств контроля в отношении значимых рисков аудитор обязан проинформировать об этих обстоятельствах представителей собственника.

Риск средств контроля (контрольный риск) характеризует внутреннюю структуру управления организацией. Для оценки риска средств контроля аудитору необходимо получить достаточную информацию об СВК и объективно оценить ее качественно и количественно. В обязательном порядке результаты анализа используются в процессе планирования сроков, характера и объема аудиторских процедур. Согласно ФПСАД N 8 организация и функционирование СВК направлены на устранение рисков хозяйственной деятельности, которые мешают достижению целей надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций, ведут к несоответствию деятельности организации действующему законодательству.

ФПСАД N 8 предлагает аудитору оценивать СВК по следующим пяти элементам.

Контрольная среда. Под этим понимаются позиция, осведомленность и действия собственника и руководства в целом по СВК, а также понимание значения СВК в целом для деятельности организации. Контрольная среда включает:

- доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей;

- профессионализм (компетентность сотрудников);

- участие собственника или его представителей;

- компетентность и стиль работы руководства;

- организационная структура;

- наделение ответственностью и полномочиями;

- кадровая политика и практика.

Оценка рисков самой организацией. Это - процесс выявления и устранения рисков хозяйственной деятельности, а также их возможных последствий. Для целей финансовой (бухгалтерской) отчетности важно, каким образом в процессе оценки руководство выявляет риски, имеющие отношение к финансовой (бухгалтерской) отчетности, определяет их значение, оценивает вероятность их возникновения и принимает решение относительно того, как ими управлять.

Информационная система, связанная с подготовкой финансовой (бухгалтерской) отчетности. Ее корректное функционирование должно обеспечиваться:

- техническими средствами;

- программным обеспечением;

- персоналом;

- соответствующими процедурами;

- базами данных.

Контрольные действия. Сюда входят политика и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются (например, для предотвращения рисков). Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.

Мониторинг средств контроля. Он представляет собой процесс оценки эффективного функционирования СВК во времени. Мониторинг средств контроля осуществляется путем проведения непрерывных мероприятий, отдельных проверок или сочетания того и другого.

Указанные в ФПСАД N 8 элементы заимствованы из документа, который содержит свод рекомендаций менеджменту организации по вопросам оценки, описания и совершенствования систем контроля (COSO) <1>. Однако, по нашему мнению, ФПСАД N 8 дает весьма ограниченное представление об СВК и не раскрывает всей ее сущности ни для аудиторов, ни, тем более, для организации.

--------------------------------

<1> Свод рекомендаций в профессиональной экономической среде известен как концепция или модель COSO (аббревиатура по имени разработчика документа).
Учитывая данное обстоятельство, большой интерес представляет международная практика, в которой известны четыре концептуальных подхода к организации СВК, изложенные в следующих документах:

- COBIT (1996 г.) дает понятие системного подхода, обеспечивающего владельцев бизнес-процессов инструментом для полного и эффективного исполнения их обязанностей в области контроля за безопасностью информационных систем; документ содержит перечень целей контроля во взаимосвязи с процессами и бизнес-требованиями к отражению информации;

- SAC ориентирован на внутренних аудиторов и посвящен вопросам контроля и аудита информационных систем и технологий;

- COSO содержит рекомендации менеджменту в областях оценки, описания и совершенствования систем контроля;

- SAS 55 и SAS 78 раскрывают для внешних аудиторов влияние внутреннего контроля организации на процессы планирования и проведения аудита отчетности.

Как отмечают специалисты Института внутренних аудиторов, предпринявшие подробный анализ указанных документов, каждый из них базируется на идеях, заложенных в трех других, что позволяет в дальнейшем провести их сравнительное исследование. Концепции внутреннего контроля на базе данных документов можно сравнивать по разного рода направлениям, но с позиции аудиторских рисков наибольший интерес, на наш взгляд, представляет полнота отражения в концепциях целевых установок организации СВК, которая тестируется проверяющим в обязательном порядке.

В таблице представлены организационные цели внутреннего контроля и полнота их отражения в соответствующих документах.
Сравнение организационных целевых установок в концепциях СВК


Документы, содержащие концепцию СВК

COBIT

SAC

COSO

SAS 55,
SAS 78

Цели

Эффективность и результативность операций

+

+

+

+

Конфиденциальность информации

+

-

-

-

Целостность информации

+

-

-

-

Доступность информации

+

-

-

-

Достоверность финансовой отчетности

+

+

+

+

Соблюдение законов и правил (комплаенс)

+

+

+

+


Как видно из таблицы, наиболее полно и детально целевые установки организации СВК представлены в документе COBIT, что обусловлено прежде всего широтой круга пользователей, для которого он предназначен (менеджеров, аудиторов и других заинтересованных пользователей) в отличие от остальных узкоориентированных документов. Остальные три концепции абсолютно идентичны, и согласно им внутренний контроль должен базироваться на постулатах эффективности, результативности операций; достоверности отчетности; соблюдении законов и правил (комплаенс-контроль).

Поскольку принципы ФПСАД N 8, заимствованные из зарубежной практики, адаптированы к отечественному законодательству исключительно для целей оценки отчетности, они не могут в полной мере использоваться для внедрения в практику аудита риск-ориентированного подхода. Поэтому, как нам представляется, вопросы оценки аудиторских рисков аудитору целесообразно рассматривать шире. В частности, это касается оценки риска средств контроля и уровня организации СВК, особенно на этапе ее тестирования. Именно результаты проведенных тестов первоначально позволяют аудитору установить степень доверия к внутренним системам контроля организации, что найдет отражение и в полноте оценки рисков, и в оптимизации планирования аудита, и в формировании объективного представления о принципе непрерывности деятельности организации.

Бесспорно, оценка аудиторского риска представляет собой важнейшую задачу, так как степень риска напрямую связана с качеством аудиторской проверки.

В теории и практике проверок наиболее распространена модель, в которой приемлемый аудиторский риск (DAR, Desired Audit Risk) представлен в виде произведения его элементов: неотъемлемого риска, риска средств контроля и риска необнаружения. Аналогичный подход принят и в международной практике. Базовая модель аудиторского риска имеет вид:
DAR = IR x CR x DR, (1)
где IR - неотъемлемый риск (Internal Risk);

CR - контрольный риск (Control Risk);

DR - риск необнаружения (Detection Risk).
Оценка неотъемлемого риска
При разработке общего плана проверки аудитору необходимо оценить неотъемлемый риск, или риск хозяйственной деятельности:

- финансовой отчетности в целом;

- предпосылок подготовки финансовой отчетности на уровне классов операций, сальдо счетов и раскрытия информации в финансовой отчетности.

Разрабатывая программу, аудитор определяет риск хозяйственной деятельности для существенных остатков по счетам бухгалтерского учета и группам однотипных операций, сальдо или обороты по которым превышают рассчитанный уровень существенности.

При определении неотъемлемого риска в отношении статей бухгалтерской отчетности следует учитывать:

- определенный период;

- давление на руководство;

- характер деятельности аудируемого лица;

- факторы, влияющие на отрасль, к которой относится аудируемое лицо.

При определении неотъемлемого риска в отношении остатков по счетам бухгалтерского учета и группы однотипных операций следует принимать во внимание:

- счета бухгалтерского учета, которые могут быть подвержены искажениям;

- сложность лежащих в основе учета операций и прочих событий, которые могут потребовать привлечения экспертов;

- роль субъективного суждения, необходимого для определения остатков на счетах бухгалтерского учета;

- подверженность активов потерям или незаконному присвоению;

- завершение необычных и сложных операций, особенно в конце или ближе к концу отчетного периода;

- операции, которые не подвергаются процедуре обычной обработки.

Изучая системы бухгалтерского учета и внутреннего контроля, что необходимо для планирования аудиторской проверки, аудитор приобретает знания о структуре этих систем и их функционировании. Заметим, что СВК присущи некоторые ограничения, в частности:

- ориентация большей части СВК на текущие, а не редкие операции;

- потенциальная возможность искажений вследствие человеческого фактора, т.е. из-за небрежности, рассеянности, ошибок в суждении и неправильного понимания инструкции;

- возможность обойти процедуры внутреннего контроля путем сговора представителя руководства или сотрудника с внешними или внутренними по отношению к субъекту лицами.

Понимание аудитором рисков хозяйственной деятельности аудируемого лица повышает вероятность выявления рисков существенного искажения информации в финансовой (бухгалтерской) отчетности. Однако в обязанность аудитора не входят выявление и оценка всех рисков хозяйственной деятельности. Профессиональное суждение о том, может ли риск хозяйственной деятельности привести к существенному искажению отчетности, выносится аудитором с учетом знания тех обстоятельств, в которых работает организация.

В ФПСАД N 8 указывается, что значимые риски, которые появляются при проведении большинства аудиторских проверок, аудитор определяет на основе профессионального суждения. Такая необходимость возникает в процессе расчета оценочных значений при отсутствии точных способов их определения.

Согласно ФПСАД N 8 риск существенного искажения может рассматриваться как значимый, если прослеживается связь риска:

- с недобросовестными действиями;

- с недавними существенными изменениями в отрасли, новыми требованиями по ведению учета и подготовке отчетности или иными подобными обстоятельствами, что требует особого внимания аудитора;

- с повышенной сложностью хозяйственных операций;

- со связанными сторонами, которые имеют большое значение для отчетности;

- с высокой степенью субъективности при расчете некоторых оценочных значений, содержащихся в финансовой (бухгалтерской) отчетности, связанной с рисками, которые сопутствуют оценке значений некоторых показателей, при отсутствии точных способов их определения;

- с хозяйственными операциями, кажущимися необычными или нетипичными для деятельности аудируемого лица и имеющими существенное значение для отчетности.
Оценка риска средств контроля
Это процесс получения достаточной информации об СВК, которая в дальнейшем используется аудитором для выявления искажений, а также при планировании сроков, характера и объема аудиторских процедур. Для оценки риска средств контроля аудитором могут применяться специальные аудиторские процедуры, называемые тестированием.

Тесты средств контроля, как правило, включают:

- проверку документов, подтверждающих операции и другие события, с целью получения аудиторских доказательств относительно надлежащего применения СВК на практике, например проверку наличия разрешения на проведение операции;

- направление запросов и наблюдение за применением СВК, которые не оформляются документально (например, определение реального исполнителя какой-либо функции, а не того, кому положено ее выполнять);

- повторное применение СВК (например, сверка банковских счетов), с тем чтобы удостовериться в правильности выполнения соответствующих действий.

При анализе результатов тестирования аудитор ориентируется на то, что некоторые средства контроля могут быть эффективны в целом, но не в отдельные периоды времени. Это может происходить в том числе из-за:

- кратковременной замены учетного работника - контролера на период его отсутствия (болезнь, отпуск);

- особенностей работы бухгалтерии, отражающих сезонный характер деятельности;

- ошибок - единичных или случайных.

Аудитору необходимо с помощью тестов подтвердить оценку риска средств контроля. Чем ниже оценка риска средств контроля, тем больше подтверждений аудитору необходимо получить относительно надлежащей структуры и эффективного функционирования систем бухгалтерского учета, внутреннего контроля и среды деятельности организации в целом.

ФПСАД N 8 рассматривает риски существенного искажения финансовой отчетности как подмножество рисков хозяйственной деятельности организации, системы внутреннего контроля и возможности недобросовестных действий.

При применении методик тестирования следует придерживаться ряда принципов:

- тест состоит из разных вопросов, перечень которых, как правило, не обосновывается, но имеет право на существование с позиций здравого смысла;

- ответ на вопрос теста может быть "Да" (1) либо "Нет" (0);

- варианты тестовых ответов оцениваются по шкале баллов, например от 2 до 10; каждому варианту баллы присваиваются на основе экспертного мнения.

Любой из предложенных тестов имеет две оценки - максимально возможную сумму баллов и сумму, фактически получаемую после заполнения теста. Их соотношение характеризует (в некоторой степени) качество работы обследуемого объекта. При этом аудиторы используют свое профессиональное суждение о том, как соотносить вероятность необнаружения ошибок самой бухгалтерией с показателем, полученным в результате обработки теста. Однако детальные оценки требуют более сложных исследований системы внутреннего контроля - разработки различных тестовых процедур и перечней типовых вопросов; анализа полученных результатов с применением шкал баллов, коэффициентов и формул для получения надежных оценок. Очевидно, что чем подробнее сформирован тест оценки аудиторского риска, тем объективнее аудиторская оценка. В результате могут быть подготовлены детальные рекомендации по улучшению организации бухгалтерского учета. Понятно, что данный уход предполагает достаточно трудоемкие расчеты. Большинство аудиторов проявляют осторожность и пользуются для обозначения меры риска терминами с субъективными значениями - высокий, средний и низкий.
Взаимосвязи между видами рисков
Реагируя на ситуации, связанные с неотъемлемым риском, руководство часто вводит новшества в системы бухгалтерского учета и внутреннего контроля, направленные на обнаружение, предотвращение и исправление искажений, поскольку неотъемлемый риск и риск системы контроля тесно взаимосвязаны. В таких ситуациях во избежание неадекватной оценки риска аудитору рекомендуется применять комбинированную оценку. Каждая аудиторская компания самостоятельно определяет методику оценки (тестирования) неотъемлемого (внутрихозяйственного) риска и риска средств контроля и обязана утвердить выбранные подходы во внутрифирменном стандарте.

Отметим, что модель аудиторского риска - это модель планирования, поэтому возможности ее использования при оценке результатов аудита ограничены. В практической деятельности аудиторов известны три основных способа применения модели аудиторского риска.

Первый способ ориентирован на планирование будущей проверки исходя из предположений аудитора. Например, предполагая, что неотъемлемый (внутрихозяйственный) риск составит 80%, риск средств контроля - 50, риск необнаружения - 10%, аудитор может "вычислить" величину аудиторского риска путем их перемножения (0,8 x 0,5 x 0,1 = 0,04). Данный способ может помочь составить будущий план проверки, однако он не всегда эффективен.

Второй способ опирается на взаимосвязи между компонентами аудиторского риска, количеством и качеством необходимых аудиторских доказательств. Применение модели аудиторского риска требует от аудитора глубокого понимания таких взаимосвязей и содержания каждого из компонентов аудиторского риска сбора аудиторских доказательств.

Третий способ акцентирует внимание на расчете значения риска необнаружения и получении соответствующего количества аудиторских доказательств. На основе проведенных тестов и вычисленных значений риска средств контроля и неотъемлемого риска аудитор определяет допустимый в своей работе риск необнаружения. Заметим, что при таком подходе именно риск необнаружения определяет количество аудиторских доказательств. Это более эффективный способ для планирования и самый распространенный на практике метод. На основании базовой формулы аудиторского риска (1) выразим риск необнаружения (DR):
DR = DАR / (IR x CR). (2)
Допустим, что внутренним стандартом аудиторской фирмы установлено значение приемлемого аудиторского риска DAR 0,05 (5%). Результаты тестирования показали: IR = 0,8 (80% допущенных ошибок бухгалтерия не исправляет) и CR = 0,5 (50% ошибок, допущенных бухгалтерией, не обнаруживает система внутреннего контроля). В этом случае DR = 0,05 / (0,8 x 0,5) = 0,125, т.е. риск необнаружения составляет 12,5%.

Высокие значения IR и CR обязывают организовать проверку так, чтобы максимально снизить величину риска необнаружения. Низкие значения IR и CR позволяют допустить в ходе проверки более высокий риск необнаружения и при этом получить приемлемое значение общего аудиторского риска.

Уровень риска необнаружения напрямую связан с аудиторскими процедурами проверки по существу. Аудитор должен учитывать оцененные уровни неотъемлемого риска и риска средств контроля при определении характера, временных рамок и объема процедур проверки по существу, необходимых для снижения аудиторского риска до приемлемо низкого уровня.

В связи с этим аудитор анализирует:

- характер процедур проверки по существу - проведение тестов, ориентированных на представителей независимых сторон, не связанных с аудируемым лицом, а не на его сотрудников или документацию; проведение в дополнение к аналитическим процедурам детальных тестов, направленных на решение какой-либо конкретной цели аудита;

- временные рамки выполнения процедур проверки по существу - проведение таких процедур в конце отчетного периода, а не в более ранний срок;

- объем процедур проверки по существу - использование большего объема выборки.

Таким образом, имея возможность вникнуть в суть бизнес-процессов аудируемого субъекта, практически неограниченный доступ к внутренней информации и документации, аудитор, в силу своего профессионального долга, обязан приложить максимум усилий для выражения объективного мнения и сведения к минимуму вероятности собственной ошибки, т.е. аудиторского риска.
Литература
1. Жарылгасова Б.Т. Система внутреннего контроля и оценка рисков // Аудиторские ведомости. - 2007. - N 2.

2. Земсков В.В. Оценка аудиторского риска // Аудиторские ведомости. - 2007. - N 3.

3. Сравнение концепций внутреннего контроля. Официальный сайт Института внутренних аудиторов // www.iia-ru.ru.

4. Основы аудита. Учеб. / Под ред. профессора Р.П. Булыги. - Ростов н/Д.: "Феникс", 2010.
С.Д.Юшкова

К. э. н.,

доцент

Кафедра аудита и контроля

Финансовый университет при

Правительстве Российской Федерации

Подписано в печать

30.09.2011

ОЦЕНКА АУДИТОРСКОГО РИСКА: СОВРЕМЕННЫЕ ПОДХОДЫ
Учебный материал
© nashaucheba.ru
При копировании укажите ссылку.
обратиться к администрации