Макальская М.Л.,
к. э. н., доцент Государственного финансового
университета при Правительстве РФ
Ковалёева Н.И.,
к. э. н., доцент Государственного финансового
университета при Правительстве РФ
МСА 300 «ПЛАНИРОВАНИЕ АУДИТА ФИНАНСОВОЙ ОТЧЕТНОСТИ»
Планирование аудита заключается в определении его стратегии и тактики, выборе процедур и методов, позволяющих наиболее эффективно достичь поставленной цели – подтверждения достоверности бухгалтерской отчетности. Рекомендации по планированию аудита финансовой отчетности приведены в МСА 300 «Планирование аудита финансовой отчетности».
В стандарте указано, что объем планирования аудита в основном зависит от размеров экономического субъекта, сложности аудиторской проверки, уровня квалификации лиц, принимающих участие в аудите. Важной частью планирования является приобретение информации о бизнесе клиента, способствующей выявлению событий и операций, которые могут оказывать существенное влияние на финансовую отчетность.
Аудитор в ходе планирования должен разработать общий план аудита и задокументировать его, описав при этом предполагаемый объем и ведение аудиторской проверки, с отражением вопросов, касающихся знания бизнеса, понимания систем бухгалтерского учета и внутреннего контроля, риска и существенности, характера, сроков, объема процедур, координации направления работы, надзора за ней и анализа, а также прочих аспектов.
При составлении общего плана аудитор должен указывать ожидаемые оценки неотъемлемого риска и риска системы внутреннего контроля, устанавливать уровни существенности для целей аудита, определять возможность существенных искажений в финансовой отчетности и выявлять сложные области бухгалтерского учета, а также указывать на необходимость учитывать при планировании привлечение других аудиторов для аудита филиалов и дочерних подразделений клиента, привлечение экспертов и потребность в персонале для проведения аудита.
Представленный материал базируется на основании книги М.Л. Макальской и Н.И. Ковалёвой «Международные стандарты аудита».
К прочим аспектам аудита, которые следует учесть при разработке общего плана аудита, в МСА 300 отнесено выявление обстоятельств, требующих особого внимания (существование связанных сторон, возможность банкротства и т. п.).
Наряду с общим планом аудитор должен разработать и документировать программу аудита, которая определяет характер, сроки и объем запланированных аудиторских процедур, необходимых для осуществления общего плана аудита, и одновременно служит как набором инструкций для ассистентов аудитора, так и средством надлежащего контроля за выполнением ими работ.
Стандартом допускается возможность того, что в ходе аудита по мере необходимости общий план аудита и программа аудита могут быть пересмотрены.
Ведущий аудитор должен пересматривать общий план аудита по мере необходимости. Пересмотр может быть осуществлен, например, в следующих (и аналогичных им) ситуациях:
1) при выявлении аудитором значительного объема договоров о совместной деятельности (если в плане проверка по данному направлению не была запланирована);
2) если в результате применения аналитической процедуры выявлено неверное отражение фактов хозяйственной деятельности (например, арифметический расчет входного сальдо по балансу на начало отчетного периода не подтвержден регистрами бухгалтерского учета по статье «Прочие активы»). В этом случае аудитор имеет право включить в план проверку данного направления по предыдущему отчетному периоду за дополнительную плату.
В тех случаях, когда пересмотр общего плана приводит к значительному росту объема работ, изменения в план должны быть внесены исключительно по согласованию с руководством организации. Если пересмотр общего плана увеличивает работу в незначительной степени, изменения в план могут вноситься ведущим аудитором без сообщения руководству экономического субъекта.
Аудитор обязан сообщить руководству аудиторской организации о выявленных направлениях и согласовать вопрос о внесении изменений в план аудита.
Процесс планирования завершается составлением программы аудита, в которой определяют характер, сроки и объем запланированных аудиторских процедур, необходимых для реализации общего плана аудита. Руководители аудиторской группы используют программу как для инструктирования ассистентов аудитора, так и для контроля качества их работы. Программа аудита должна пересматриваться в процессе аудита по мере необходимости. Выводы аудитора по каждому разделу аудиторской программы, документально отраженные в рабочих документах, являются фактическим материалом для составления аудиторского отчета и аудиторского заключения.
Международному стандарту соответствует ФПСАД 3 «Планирование аудита».
МСА ПО ОПРЕДЕЛЕНИЮ, ОЦЕНКЕ РИСКОВ СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ И ДЕЙСТВИЙ АУДИТОРА В ОТНОШЕНИИ ОЦЕНЕННЫХ РИСКОВ
Для планирования проверки аудитор должен в ходе получения понимания системы внутреннего контроля (СВК) аудируемого оценить, как организованы средства контроля, т. е. их адекватность, и установить факт их применения. Эти требования закреплены в международных стандартах аудита и регламентируются МСА 315 «Знание субъекта и его среды, оценка рисков существенных искажений». Требования, установленные МСА 315 и ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществуляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности», в основном совпадают.
Как международными, так и федеральными стандартами ауди та предусмотрено, что в ходе выполнения каждого задания аудитор обязан оценить адекватность средств контроля организации, установить факт их применения и документировать результаты этих процедур.
В системе МСА данные требования увязываются с разработкой дальнейших аудиторских процедур по оцененным рискам, порядок которой регламентирован МСА 330 «Действия аудитора в отношении оцененных рисков».
В соответствии с МСА 330, после того как риски существенного искажения оценены, аудитор на их основе формирует аудиторский подход к проверке, который может либо состоять в проведении проверки по существу, либо быть комбинированным, т. е. использовать процедуры проверки по существу наряду с тестами контроля.
В рамках МСА предусматривается, что на основе понимания СВК аудируемого лица аудитор должен:
- выявить риски существенного искажения, в том числе значимые;
- в отношении этих рисков рассмотреть средства внутреннего контроля аудируемого лица, оценить вид этих средств и определить, применялись ли эти средства на практике;
- установить на основе полученной информации характер ауди торского подхода для получения дальнейших надлежащих аудиторских доказательств;
- разработать дальнейшие аудиторские процедуры в ответ на оцененные риски.
При определении аудиторского подхода к проверке и разработке дальнейших аудиторских процедур по оцененным рискам аудитор должен основываться на результатах процедур по рассмотрению средств контроля аудируемого лица.
Вопросы выбора аудитором практических приемов и процедур в процессе рассмотрения средств контроля и принятия решений об аудиторском подходе рассмотрены Международной федерацией бухгалтеров в рамках обобщения наилучшей мировой практики аудита, которая опубликовала на своем сайте Руководство по применению международных стандартов аудита при аудите малых и средних организаций, в котором рассмотрены методические вопросы, связанные с применением МСА, в том числе относящиеся к оценке и тестированию средств контроля в ходе аудита (гл. 12 и 17, том 2 Руководства).
Первый блок практических рекомендаций для аудиторов, содержащихся в гл. 12 данного Руководства, связан собственно с оценкой аудитором адекватности и применимости средств контроля. Такая оценка, как уже указывалось, является обязанностью аудитора и должна проводиться в ходе каждого аудита.
Второй блок рекомендаций (гл. 17 Руководства) относится к случаю, когда аудитор определил аудиторский подход как комбинированный и должен перейти к тестированию соответствующих средств контроля.
Положения гл. 12 и 17 Руководства содержат методические рекомендации аудитору по вопросам оценки средств контроля и дальнейшему их тестированию.
Так, в ходе рассмотрения средств внутреннего контроля, действующих применительно к оцененным рискам существенного искажения, аудиторам рекомендуется использовать процедуру, включающую следующие этапы:
1) выявление рисков существенного искажения (РСИ);
2) рассмотрение характера действующих в отношении РСИ средств контроля;
3) рассмотрение применяемости средства контроля;
4) документирование применения соответствующих средств контроля.
Первый этап. Задача аудитора заключается в том, чтобы установить, действуют ли в организации средства контроля в отношении РСИ (табл. 1). Здесь аудитору следует рассматривать как РСИ по отчетности в целом, так и специфические риски – в отношении определенных предпосылок подготовки отчетности или ее разделов. При этом предусматривается, что аудитор выявляет и рассматривает исключительно риски, имеющие отношение к аудиту. В отношении этих рисков в СВК организации должны существовать средства контроля, направленные на их снижение.
После того как аудитор подготовил перечень РСИ в разрезе основных бизнес-процессов организации, необходимо:
- проверить, рассмотрены ли все предпосылки подготовки финансовой отчетности;
- выяснить, существуют ли дополнительные риски (на уровне операций или организации в целом), которые могут привести к существенному искажению финансовой отчетности, если их не устранить.
Второй этап. На данном этапе предусматривается рассмотрение характера действующих в отношении РСИ средств контроля. Оценка адекватности разработки руководством контрольных средств, действующих в отношении РСИ, включает оценку того, сможет ли это средство контроля (рассмотренное отдельно или в совокупности с другими средствами) сократить соответствующий риск существенного искажения. При этом необходимо учитывать, что средства контроля делятся на две категории:
1) превентивные, т. е. предотвращающие появление существенных искажений;
2) выявляющие и корректирующие существенные искажения, если они имеют место.
Типичный подход к выявлению средств контроля показан в табл. 2.
Существует два общепризнанных подхода к рассмотрению аудитором средств контроля – это подходы, ориентированные на рассмотрение средств контроля в отношении:
1) РСИ, которые приводят к искажению отчетности в целом;
2) специфических операционных РСИ на уровне предпосылок подготовки финансовой отчетности.
Первый подход заключается в том, что:
- каждый риск рассматривается отдельно;
- аудитор идентифицирует все средства контроля, относящиеся к каждому отдельному риску.
В рамках второго подхода разрабатывается так называемая матрица рисков, которая позволяет аудитору выявить:
- множество взаимозависимостей, существующих между рисками и средствами контроля;
- области, для которых внутренний контроль силен;
- области, для которых внутренний контроль слаб;
- ключевые средства контроля в отношении многих рисков (предпосылок), которые должны тестироваться на эффективность функционирования.
Подход, ориентированный на рассмотрение средств контроля в отношении РСИ, которые приводят к искажению отчетности в целом, предусматривает описание средств контроля и, как правило, может строиться так, как показано в табл 3.
На практике аудитор рассматривает функционирование контрольной среды организации в качестве основы снижения рисков искажения финансовой отчетности в целом. Цель контрольной среды заключается в необходимости для руководства и представителей собственника создать и поддерживать культуру честного и этичного поведения. Некоторые средства контроля, обычно применяемые руководством в отношении данного риска, могут включать:
- последовательную демонстрацию руководством приверженности высоким этическим стандартам;
- снижение руководством такого рода стимулов, которые могли бы побудить сотрудников к нечестным или неэтичным действиям;
- наличие кодекса поведения, устанавливающего этичные и моральные стандарты;
- наличие четкого понимания персоналом того, какое поведение считается приемлемым (неприемлемым) и что они должны сделать, если сталкиваются с неприемлемым поведением;
- производственные дисциплинарные меры в случае неприемлемого поведения.
Аудитор сначала должен сформулировать цель контроля и затем определить, существуют или нет какие-либо средства контроля, снижающие риски.
В результате процедур проверки может подготавливаться рабочая документация (табл. 4).
После того как средства контроля выявлены, аудитор на основе профессионального суждения делает вывод, является ли их характер надлежащим для снижения соответствующих РСИ, т. е. адекватны ли они.
Подход, ориентированный на рассмотрение средств контроля в отношении специфических РСИ на уровне предпосылок подготовки финансовой отчетности, как правило, применяется на уровне бизнес-процесса и может быть наглядно проиллюстрирован следующей матрицей (табл. 5).
Выявление слабости внутреннего контроля на основании приведенной матрицы происходит следующим образом.
По каждому столбцу риска необходимо определить, какие контрольные процедуры действуют для его снижения. Если существуют достаточные средства контроля, то слабости контроля нет.
Далее, если для риска существует мало процедур или они отсутствуют, может иметь место существенная слабость (например, это риск C, в отношении которого средства контроля не выявлены и для которого имеет место существенная слабость внутреннего контроля). В такой ситуации от аудитора требуется:
- запросить о наличии любых иных процедур СВК, в том числе компенсирующих. Если таковых нет, может иметь место существенная слабость СВК, о которой следует сообщить руководству и представителям собственника как можно раньше, чтобы можно было предпринять корректирующие действия;
- рассмотреть, требуются ли дальнейшие аудиторские процедуры в ответ на выявленный риск.
Компенсирующие процедуры контроля – это процедуры, которые могут быть связаны с данным риском опосредованно. Так, риск отправления готовой продукции заказчику без оформления документов может быть выявлен менеджером по продажам в ходе ежеквартальной проверки объемов продаж. Однако очевидно, что такая контрольная процедура сама по себе не является достаточной для снижения данного риска.
Выявление ключевого средства внутреннего контроля
Ключевые средства внутреннего контроля – это средства, действующие одновременно в отношении нескольких РСИ. Для их выявления следует рассмотреть матрицу средств контроля и выявить те процедуры, которые работают в отношении нескольких факторов риска. Например, процедура 3 относится к трем рискам и трем предпосылкам, что является примером средства контроля (часто называемого ключевым), которое при условии его надежности может тестироваться на операционную эффективность, особенно когда такое тестирование способно привести к снижению объема детальных тестов.
Если у аудитора возникают любые сомнения в том, что выявленные средства контроля действительно применяются, ему следует переходить к оценке и документированию функционирования средства контроля только после того, как он убедится, что эти средства контроля применяются на практике.
Последний момент в оценке средства контроля – это формулирование аудитором вывода о том, снижают ли выявленные средства контроля конкретные РСИ. Такая оценка требует применения профессионального суждения. Для каждой предпосылки или РСИ аудитору следует рассмотреть, является ли реакция на него руководства достаточной для снижения риска до приемлемо низкого уровня.
Когда аудитор использует матрицу средств контроля, то нижний ряд матрицы может применяться для документирования вывода о надлежащем характере средств контроля для снижения каждого из факторов риска.
Если аудитор считает, что характер средств контроля не является адекватным, нет необходимости идти дальше и оценивать операционную эффективность.
Вполне вероятно, что уже имеет место существенная слабость СВК.
Третий этап. Для определения того, применяются ли на практике выявленные средства контроля, аудитору недостаточно провести только опрос персонала.
Объясняется это тем, что люди, как правило, могут надеяться на то, что предусмотренное СВК средство контроля действительно применяется, но на практике это не так. Документально описанное средство контроля, которое не применяется на практике или не работает надлежащим образом при применении, не имеет ценности для аудита.
Оценка фактического применения средств контроля может проводиться с помощью:
- опроса персонала;
- наблюдения или повторного выполнения процедуры;
- инспектирования документов и отчетов;
- прослеживания внутри информационной системы подготовки отчетности отражения одной или более операций (прослеживание не является тестом операционной эффективности средства контроля).
Проверка применяемости средства контроля представляет аудиторские доказательства того, что выявленное средство было применено в определенный момент времени, но не рассматривает операционную эффективность этого средства.
Свидетельства операционной эффективности (если это предусмотрено стратегией аудита и аудиторским подходом) будут получены в ходе проведения тестов контроля, которые рассматривают доказательства в отношении действия средства в течение определенного периода, например года.
Только после того, как установлено, что средства контроля, имеющие отношение к аудиту, правильно разработаны и применяются на практике, рассматривается:
- какие тесты операционной эффективности средств контроля позволят сократить объем тестирования по существу;
- какие из средств контроля нужно тестировать, поскольку нет иного способа получить достаточные надлежащие аудиторские доказательства.
Оценка адекватности и применяемости средств контроля принципиально отличается от проведения тестирования операционной эффективности средств контроля. Так, в отношении адекватности средств контроля аудитор должен определить, разработаны ли в организации средства контроля, направленные на снижение РСИ, а в отношении применяемости средств контроля – выяснить, действуют ли на практике разработанные средства контроля. Причем процедуры в отношении применения средств контроля с целью выявления изменений в СВК должны проводиться для каждого аудируемого периода.
Путем тестирования операционной эффективности средств контроля от аудитора требуется ответить на вопрос, действуют ли средства контроля эффективно в течение определенного периода. При этом у аудитора нет обязанности проводить тестирование эффективности средств контроля, кроме тех случаев, когда нет иного способа получить достаточные надлежащие аудиторские доказательства (т. е. для высокоавтоматизированных или бездокументарных систем учета); таким образом, принятие решения о проверке операционной эффективности средств контроля является вопросом профессионального суждения аудитора.
Для повторных аудитов рекомендуется начать рассмотрение средств контроля с их применяемости с целью понять, что изменилось в СВК организации. При этом в качестве отправной точки следует использовать полученную по аудитам за прошлые периоды документацию о характере средств контроля.
Если выявлены изменения в СВК, необходимо определить, что пересмотренные либо новые средства контроля продолжают снижать РСИ или что существуют новые РСИ, которые следует понижать.
Если стратегия аудита предполагает, что аудитор полагается на операционную эффективность средств контроля и имели место изменения в СВК, то аудитору рекомендуется проследить ход операций, которые имели место до и после внесенных изменений.
Четвертый этап. Заключается в документировании применения соответствующих средств контроля. Документация в отношении применения средств контроля поможет аудитору:
- понять природу, функционирование и контекст (кто использует средство контроля, где, как часто и какова документация об этом), в котором применяются выявленные средства контроля;
- определить, насколько надежны средства контроля и возможно ли положиться на их эффективность.
Объем документирования определяется профессиональным суждением аудитора. Наиболее распространенными формами документации, подготавливаемой руководством для аудитора, являются:
- описательные материалы или меморандумы по СВК;
- блок-схемы;
- сочетание описательных материалов и блок-схем;
- вопросники и проверочные листы.
Объем и характер требуемой документации – предмет профессионального суждения аудитора.
При планировании текущего аудита аудитор может использовать документацию, подготовленную в ходе предшествующих аудитов. Обновление такой документации потребует:
- сделать копии рабочих документов по СВК за прошлые периоды для их последующего обновления;
- обновить перечень факторов риска, которые должны понижаться посредством СВК;
- выявить изменения в СВК на уровне организации и операций в ходе процедур проверки применяемости средств контроля;
- определить, являются ли выявленные новые средства контроля надлежащими и применяются ли они;
- обновить описание соответствия средств контроля РСИ;
- обновить вывод о риске контроля.
Аудиторские процедуры тестирования средств контроля, используемые для проверки средств контроля, относятся к одному из четырех типов:
1) запросы персоналу надлежащего уровня;
2) инспектирование соответствующей документации;
3) наблюдение за операциями организации;
4) повторное выполнение контрольной процедуры.
Тесты контроля представляют аудиторские доказательства того, работают средства контроля эффективно или нет. Соответственно, они могут использоваться, только когда на основе рассмотрения адекватности и фактического применения средства контроля ожидается, что его функционирование надежно.
В связи с этим допустимый уровень ошибки или искажения для тестов контроля очень мал.
Обычно это либо полное отсутствие отклонений в функционировании средства контроля, либо одно отклонение.
Грамотно разработанные тесты контроля должны обеспечивать низкий или средний уровень риска того, что проверяемое средство контроля работает неэффективно. При разработке тестов контроля аудитору рекомендуется рассмотреть два уровня уверенности, которую предполагается получить:
1) высокий уровень уверенности (низкий остаточный риск) – используется при получении в ходе тестов контроля основных аудиторских доказательств по проверяемому разделу отчетности;
2) средний уровень уверенности (средний остаточный риск) – используется при сочетании тестов контроля с проведением в отношении конкретной предпосылки процедур проверки по существу. | 
