Лекція 11. Організація аудиту за МСА

МСА 300 “Планування аудиту фінансових звітів”.

МСА 315 “Ідентифікація та оцінка ризиків суттєвих викривлень через розуміння суб’єкта господарювання і його середовища

МСА 315 “Розуміння суб’єкту господарювання і його середовища та оцінка ризиків суттєвих викривлень”.

МСА 320 “Суттєвість при плануванні та проведенні аудиту”

МСА 330 “Дії аудитора у відповідь на оцінені ризики”

МСА 402 “Аудиторські міркування стосовно суб’єктів господарювання до організацій, що надають послуги”

Міжнародний стандарт аудиту 300 “Планування аудиту фінансової звітності”

Цей Міжнародний стандарт аудиту розглядає відповідальність аудитора за планування аудиту фінансової звітності.

Планування аудиту включає встановлення:

– загальної стратегії аудиту для завдання

–  розробку плану аудиту.

Адекватне планування допомагає у виконанні аудиту фінансової звітності, зокрема:

– допомагає аудитору приділити відповідну увагу важливим сферам аудиту.

– допомагає аудитору своєчасно ідентифікувати та вирішувати потенційні проблеми.

– допомагає аудитору належно організовувати й управляти завданнями з аудиту з метою його ефективного та кваліфікованого виконання.

– допомагає обрати членів аудиторської групи із завдання, що мають відповідний рівень підготовки та компетентності, щоб діяти відповідь на очікувані ризики, а також спрощує належний розподіл роботи між ними.

– полегшує управління та нагляд за членами аудиторської груми із завдання, а також огляд їх роботи.

– допомагає координувати роботу аудиторів компонентів та експертів.

Мета аудитора є планування аудиту так, щоб його можна було виконати ефективно.

Див. МСА 300 повністю текст (стор 265)

Міжнародний стандарт аудиту 315 “Ідентифікація та оцінка ризиків суттєвих викривлень через розуміння суб’єкта господарювання і його середовища”

Процедури оцінки ризиків мають включати таке:

а) подання запитів до управлінського персоналу та інших працівників суб’єкта господарювання, які, на думку аудитора, можуть мати інформацію, яка, ймовірно, може допомогти при ідентифікації ризиків суттєвого викривлення внаслідок шахрайства або помилки (див. параграф Д6);

б) аналітичні процедури (див. параграфи Д7 – Д10);

в) спостереження та перевірка (див. параграф Д11).

Необхідне розуміння суб’єкта господарювання та його середовища, включаючи внутрішній контроль складається з розуміння:

– Суб’єкта господарювання та його середовище

– Внутрішнього контролю суб’єкта господарювання

СУБ’ЄКТ ГОСПОДАРЮВАННЯ ТА ЙОГО СЕРЕДОВИЩЕ

Галузеві, регуляторні та інші зовнішні чинники

Галузеві чинники

Доречні галузеві чинники включають галузеві умови, такі як конкурентне середовище, відносини між постачальником та клієнтом, а також технологічні розробки. Приклади питань, які аудитор може враховувати, охоплюють:

– ринок і конкуренцію, включаючи попит, місткість ринку та цінову конкуренцію;

– циклічну або сезонну діяльність;

– виробничу технологію, пов’язану із продукцією суб’єкта господарювання;

– постачання та вартість електроенергії.

Галузь, у якій здійснює діяльність суб’єкт господарювання, може обумовлювати виникнення певних ризиків суттєвого викривлення, які виникають з характеру діяльності або рівня регулювання. Наприклад, довгострокові контракти можуть передбачати значні орієнтовні суми доходів і витрат, які призводять до виникнення ризиків суттєвого викривлення. У таких випадках важливо, щоб до складу аудиторської групи із завдання входили особи, які мають достатні відповідні знання та досвід¹.

Регуляторні чинники

Відповідні регуляторні чинники включають регуляторне середовище. Регуляторне середовище охоплює серед іншого застосовну концептуальну основу фінансової звітності та правове і політичне середовище. Прикладами чинників, які може проаналізувати аудитор, є такі:

– облікові принципи та галузеві практики;

– нормативна база для регульованої галузі;

– законодавчі та нормативні положення, які суттєво впливають на діяльність суб’єкта господарювання, включаючи прямий нагляд;

– оподаткування (корпоративне та інше);

– урядова політика, що на даний момент впливає на ведення діяльності суб’єкта господарювання, а саме монетарна, включаючи валютний контроль, фіскальна, фінансове стимулювання (наприклад, програми урядової допомоги) і тарифна політика, або політика торгових обмежень;

– екологічні вимоги, які впливають на галузь або діяльність суб’єкта господарювання.

У МСА 250 наведено деякі конкретні вимоги, які стосуються законодавчої та нормативної бази, що застосовується до суб’єкта господарювання і галузі або сектору, в яких суб'єкт господарювання здійснює діяльність².

Аспекти, характерні для суб’єктів господарювання державного сектору

При аудитах суб’єктів господарювання державного сектору закони, нормативні акти або інші керівні документи можуть впливати на діяльність суб’єкта господарювання. Такі елементи важливо враховувати при отриманні розуміння суб’єкта господарювання і його середовища.

Інші зовнішні чинники

Прикладами інших зовнішніх чинників, які впливають на суб’єкт господарювання та які аудитор може враховувати, є загальні економічні умови, відсоткові ставки та наявність фінансування, а також інфляція або ревальвація грошової одиниці.

Характер суб’єкта господарювання

Розуміння характеру суб’єкта господарювання дає змогу аудитору отримати розуміння такого:

• Чи має суб’єкт господарювання складну структуру, наприклад дочірні підприємства або інші компоненти у багатьох місцях. Складна структура часто створює проблеми, які, в свою чергу, можуть спричинити виникнення ризиків суттєвого викривлення. Ці питання можуть включати таке: чи належно враховуються гудвіл, спільні підприємства, інвестиції або суб’єкти господарювання спеціального призначення.

• Форми власності та відносини між власниками і іншими фізичними особами або суб’єктами господарювання. Розуміння цих чинників допомагає при визначенні того, чи були ідентифіковані та належно відображені у звітності операції з пов’язаними сторонами. МСА 550³ встановлює вимоги і надає рекомендації щодо розгляду аудитором питань, які стосуються пов’язаних сторін.

Приклади питань, які аудитор може розглянути при отриманні розуміння суб’єкта господарювання, включають:

• Бізнес-операції, такі як:

– характер джерел прибутку, продуктів або послуг і ринків, включаючи участь в електронній торгівлі, тобто Інтернет-продажах та маркетинговій діяльності;

– ведення діяльності (наприклад, етапи та методи виробництва діяльність, що наражається на природоохоронні ризики);

– об’єднання, спільні підприємства та залучення сторонніх виконавців;

– географічне поширення і галузева сегментація;

– місцезнаходження виробничих приміщень, складі і адміністративних приміщень та місцезнаходження і кількість товарно-матеріальних запасів;

– основні клієнти та важливі постачальники товарів і послуг трудові домовленості (включаючи існування угод із профспілками, пенсії та інші винагороди після завершення трудової діяльності, опціони на акції або заохочувальні премії та урядове регулювання трудової діяльності);

– діяльність і витрати на дослідження та розробки;

– операції з пов’язаними сторонами.

• Інвестиції та інвестиційна діяльність, а саме:

– заплановані або нещодавно здійснені придбання або відчуження;

– інвестиції та розпорядження цінними паперами і позиками;

– діяльність з капітального інвестування;

– інвестиції у неконсолідовані суб’єкти господарювання, включаючи партнерства, спільні підприємства та суб’єкти господарювання спеціального призначення.

• Фінансування і фінансова діяльність, а саме:

– основні дочірні та асоційовані підприємства, включаючи консолідовані та неконсолідовані структури;

– структура боргу та пов’язані умови, включаючи позабалансове фінансування і лізинг;

– бепефіціарні власники (місцеві, зарубіжні, ділова репутація і досвід) та пов’язані сторони;

– використання похідних фінансових інструментів.

• Фінансова звітність, а саме:

– облікові принципи і галузеві практики, включаючи важливі галузеві категорії (наприклад, позики та інвестиції для банків або дослідження й розробки для фармацевтичних підприємств);

– практика визнання доходів;

– облік справедливих цін;

– валютні активи, зобов’язання й операції;

– облік незвичайних або складних операцій, включаючи операції в неоднозначних або зростаючих сферах (наприклад, облік компенсацій на основі акцій).

Значні зміни в рамках суб’єкта господарювання порівняно з попередніми періодами можуть спричинити або змінити ризики суттєвого викривлення.

Вибір і застосування облікових політик суб’єктом господарювання

Розуміння вибору та застосування суб’єктом господарювання облікових політик може охоплювати такі питання:

– методи, які використовує суб'єкт господарювання для обліку важливих і незвичайних операцій;

– вплив важливих облікових політик у спірних або зростаючих сферах,стосовно яких немає офіційних керівництв або згоди;

– зміни в облікових політиках суб'єкта господарювання;

– стандарти фінансової звітності, закони та нормативні акти, які є новими для суб’єкта господарювання, і коли та як суб’єкт господарювання прийматиме такі вимоги.

Цілі і стратегії та пов’язані бізнес-ризики

Суб’єкт господарювання здійснює свою діяльність у контексті галузевих, регуляторних та інших внутрішніх і зовнішніх чинників. Для здійснення дій у відповідь на такі чинники управлінський персонал суб’єкта господарювання або ті, кого наділено найвищими повноваженнями, визначають цілі, які є загальними планами суб’єкта господарювання. Стратегіями слугують підходи, за допомогою яких управлінський персонал має намір досягти своїх цілей. Цілі та стратегії суб’єкта господарювання можуть змінюватись у часі.

Бізнес-ризик є ширшим, ніж ризик суттєвого викривлення фінансової звітності, хоча й включає останній. Бізнес-ризик може виникнути внаслідок зміни або складності. Невизнання необхідності у змінах також може призвести до виникнення бізнес-ризику. Бізнес-ризик може виникати, наприклад, внаслідок:

– розробки нової продукції або послуг, що можуть зазнати невдачі;

– ринку, який навіть у разі успішного розвитку є недостатнім для підтримки продукту чи послуги; або

– дефектів продукції або послуги, які можуть призвести до відповідальності та ризику погіршення репутації.

Розуміння бізнес-ризиків, на які наражається суб’єкт господарювання, збільшує ймовірність ідентифікації ризиків суттєвого викривлення, оскільки більшість бізнес-ризиків зрештою матимуть фінансові наслідки і, отже, вплив на фінансову звітність. Однак аудитор не несе відповідальності за ідентифікацію або оцінку всіх бізнес-ризиків, оскільки не всі бізнес-ризики призводять до виникнення ризиків суттєвого викривлення.

Приклади питань, які аудитор може розглянути при отриманні розуміння цілей, стратегій та пов’язаних бізнес-ризиків суб'єкта господарювання, що можуть призвести до виникнення ризику суттєвого викривлення фінансової звітності, включають:

– галузеві зміни (потенційний пов'язаний бізнес-ризик може полягати,наприклад, у відсутності у суб'єкта господарювання персоналу або досвіду для реагування на зміни в галузі);

– нові продукти та послуги (потенційний пов'язаний бізнес-ризик може полягати, наприклад, у підвищенні відповідальності за продукцію);

– розширення діяльності (потенційний пов’язаний бізнес-ризик може полягати, наприклад, у тому, що попит не був точно оцінений);

– нові вимоги до обліку (потенційний пов’язаний бізнес-ризик може полягати, наприклад, у неповному або неналежному їх впровадженні чи збільшенні витрат);

– регуляторні вимоги (потенційний пов’язаний бізнес-ризик може полягати, наприклад, у тому, що існують підвищені юридичні ризики);

– поточні та перспективні вимоги щодо фінансування (потенційний пов’язаний бізнес-ризик може полягати, наприклад, у втраті фінансування внаслідок недотримання вимог суб’єктом господарювання);

– застосування ІТ-технологій (потенційний пов’язаний бізнес-ризик може полягати, наприклад, у несумісності систем і процесів);

– вплив впровадження стратегії, зокрема будь-який вплив, що призведе до нових вимог до обліку (потенційний пов’язаний бізнес-ризик може полягати, наприклад, у неповному або неналежному впровадженні).

Бізнес-ризик може мати безпосередні наслідки для ризику суттєвого викривлення щодо класів операцій, залишків на рахунках і розкриття інформації на рівні тверджень або на рівні фінансової звітності. Наприклад, бізнес-ризик, пов’язаний зі зменшенням клієнтської бази, може збільшити ризик суттєвого викривлення, пов’язаний з оцінкою дебіторської заборгованості. Проте цей ризик, особливо у поєднанні зі скороченням економіки, може також мати довгострокові наслідки, які аудитор враховує при оцінці прийнятності припущення щодо безперервності. Питання про те, чи призведе бізнес-ризик до виникнення ризику суттєвого викривлення, розглядається з урахуванням умов, у яких перебуває суб’єкт господарювання. Приклади подій та умов, які можуть вказувати на ризики суттєвого викривлення, наведені у додатку 2.

Д34. Зазвичай управлінський персонал ідентифікує бізнес-ризики та розробляє підходи до їх розгляду. Такий процес оцінки ризиків є частиною внутрішнього контролю і розглядається в параграфі 1 та параграфах Д79 – Д80.

ВНУТРІШНІЙ КОНТРОЛЬ СУБ'ЄКТА ГОСПОДАРЮВАННЯ

Розуміння внутрішнього контролю допомагає аудитору при ідентифікації типів потенційних викривлень інформації та чинників, які впливають на ризики суттєвого викривлення, а також при розробці характеру, строків і обсягу подальших аудиторських процедур.

Наступний матеріал для застосування внутрішнього контролю наведено у чотирьох таких розділах:

– Загальний характер і характеристики внутрішнього контролю.

– Важливі для аудиту заходи контролю.

– Характер та обсяг розуміння важливих заходів контролю.

– Компоненти внутрішнього контролю.

Загальний характер і характеристики внутрішнього контролю

Призначення внутрішнього контролю

Внутрішній контроль розробляється, запроваджується та ведеться для реагування на виявлені бізнес-ризики, які перешкоджають досягненню будь-якої мети суб’єкта господарювання, яка стосується:

– достовірності фінансової звітності суб'єкта господарювання;

– ефективності та результативності його діяльності; і

– дотримання суб’єктом господарювання застосовних законів ы нормативних актів.

Спосіб розробки, запровадження та ведення внутрішнього контролю змінюються залежно від розміру і складності суб’єкта господарювання. Аспекти, характерні для малих підприємств

Малі підприємства можуть використовувати менш структуровані заходи та простіші процеси і процедури для досягнення своїх цілей. Обмеження внутрішнього контролю

Внутрішній контроль незалежно від його ефективності може надати суб’єкту господарювання лише обґрунтовану впевненість щодо досягнення цілей фінансової звітності суб’єкта господарювання. На ймовірність досягнення цих цілей впливають властиві обмеження внутрішнього контролю. Ці обмеження включають реальність того, що людське судження при прийнятті рішень може бути помилковим і що збої у внутрішньому контролі можуть виникати внаслідок людської помилки. Наприклад, може бути помилка у структурі контролю або в зміні такого контролю. Так само робота контролю може не бути ефективною, як і у випадку, коли інформація, яка створюється в цілях внутрішнього контролю (наприклад, оперативний звіт про відхилення), не є ефективною, оскільки особа, відповідальна за огляд інформації, не розуміє її призначення або не вживає відповідних заходів.

Крім того, заходи контролю можуть бути обійдені внаслідок змови двох чи більше осіб або неприйнятного нехтування внутрішнім контролем з боку управлінського персоналу. Наприклад, управлінський персонал може укладати додаткові угоди з клієнтами, які змінюють умови стандартних угод купівлі-продажу суб’єкта господарювання, що може призвести до неналежного визнання прибутків. Може бути також обійдений або відключений контроль результатів редагування комп’ютерної програми, призначений для ідентифікації та реєстрації операцій, що перевищують встановлені кредитні ліміти.

Водночас при розробці та запровадженні заходів контролю управлінський персонал може здійснювати судження щодо характеру та обсягу заходів контролю, які він обкрає для запровадження, а також щодо характеру й обсягу ризиків, які він приймає.

Аспекти, характерні для малих підприємств

Малі підприємства часто мають менше працівників, що може обмежити обсяг розподілу обов'язків. Проте власник-керівник малого підприємства може бути спроможний здійснювати більш ефективний нагляд, ніж керівник більшого за розміром суб'єкта господарювання. Такий нагляд може компенсувати в цілому більш обмежені можливості для розподілу обов’язків.

З іншого боку, власник-керівник може бути більш здатним обійти заходи контролю, оскільки система внутрішнього контролю підприємства менш структурована. Цей факт бере до уваги аудитор при ідентифікації ризиків суттєвого викривлення внаслідок шахрайства.

Розподіл внутрішнього контролю на компоненти

Розподіл внутрішнього контролю на такі 5 компонентів для цілей цього МСА створює корисну базу для розгляду аудиторами того, як різні аспекти внутрішнього контролю суб'єкта господарювання можуть впливати на аудит:

а) середовище контролю;

б) процес оцінки ризиків суб’єкта господарювання;

в) інформаційна система, включаючи пов’язані бізнес-процеси, доречні для фінансової звітності, та повідомлення інформації;

г) заходи контролю; та

г) моніторинг заходів контролю.

Характеристики ручних та автоматизованих елементів внутрішнього контролю, важливих для оцінки ризиків аудитором

Система внутрішнього контролю суб’єкта господарювання включає ручні і часто автоматизовані елементи. Характеристики ручних або автоматизованих елементів важливими для оцінки ризиків аудитором і подальших аудиторських процедур, які на ній ґрунтуються.

Використання ручних або автоматизованих елементів у внутрішньому контролі також впливає на спосіб ініціації, реєстрації, обробки та обліку операцій:

• Заходи контролю у ручній системі можуть включати такі процедури, як затвердження й огляди операцій, звірка та відстеження звірених статей. У противному разі суб’єкт господарювання може використовувати автоматизовані процедури для ініціації, реєстрації, обробки та обліку операцій; при цьому записи у електронному форматі замінюють паперові документи.

• Заходи контролю в ІТ-системах складаються з комбінації автоматизованих (наприклад, засоби контролю, вбудовані в комп'ютерні програми) і ручних засобів контролю. Крім того, ручні засоби контролю можуть бути незалежними від ІТ, можуть використовувати інформацію, створену ІТ, або можуть обмежуватися моніторингом ефективного функціонування ІТ та інших автоматизованих засобів контролю і обробкою винятків. Якщо ІТ використовується для ініціації, реєстрації, обробки чи обліку операцій або інших фінансових даних для включення у фінансову звітність, системи і програми можуть містити засоби контролю, пов’язані з відповідними твердженнями щодо матеріальних рахунків,або бути критичними для ефективного функціонування ручних засобів контролю, які залежать від ІТ.

Поєднання ручних та автоматизованих елементів у внутрішньому контролі суб’єкта господарювання варіюється залежно від характеру і складності використання ІТ суб’єктами господарювання.

Загалом ІТ сприяє внутрішньому контролю суб’єкта господарювання через надання можливості суб’єкту господарювання:

– послідовно застосовувати попередньо визначені бізнес-правила та виконувати складні розрахунки при обробці великих обсягів операцій або даних;

– поліпшувати своєчасність, доступність і точність інформації;

– спрощувати додатковий аналіз інформації;

– посилювати здатність моніторингу результатів діяльності суб’єкта господарювання та його політик і процедур;

– зменшувати ризик обходу заходів контролю; та

– посилювати здатність досягати ефективного розподілу обов’язків через запровадження засобів контролю безпеки у програмах, базах даних та операційних системах.

ІТ також накладає пенні ризики на внутрішній контроль суб’єкта господарювання, включаючи, наприклад:

– покладання па системи або програми, які неточно обробляють дані,обробляють неточні дані, або і те, й інше;

– неавторизований доступ до даних, що може призвести до знищення даних або їх неналежної зміни, включаючи реєстрацію неавторизованих або неіснуючих операцій, або неточну реєстрацію операцій;

– окремі ризики можуть виникати у разі доступу багатьох користувачів до спільної бази даних;

– можливість отримання ІТ персоналом прав доступу, які перевищують права, необхідні для виконання ними своїх обов'язків, що порушує розподіл обов’язків;

– неавторизоване внесення змін у дані в базових файлах;

– неавторизоване внесення змін до систем або програм;

– невнесення необхідних змін до систем або програм;

– неналежне ручне втручання;

– потенційна втрата даних або неможливість доступу до даних у разі потреби.