2.3. Складники аудиторського ризику. Моделі визначення аудиторського ризику
Основні терміни МСА 315 мають такі значення:
a) твердження — твердження, надані управлінським персоналом, явні або інші, які містяться у фінансовій звітності та які використовує аудитор для розгляду потенційних викривлень різного типу, що можуть мати місце;
б) бізнес-ризик — ризик, що є наслідком значущих умов, подій, обставин, діяльності або бездіяльності, які можуть негативно вплинути на здатність суб’єкта господарювання досягти своїх цілей та реалізувати свої стратегії, а також наслідком встановлення невідповідних цілей і стратегій;
в) внутрішній контроль — процес, розроблений, запроваджений і підтримуваний тими, кого наділено найвищими повноваженнями, управлінським персоналом, а також іншими працівниками, для забезпечення обґрунтованої впевненості в досягненні цілей суб’єкта господарювання стосовно достовірності фінансової звітності, ефективності та результативності діяльності, а також дотриманні застосовних законів і нормативних актів. Термін «заходи контролю» стосується будь-яких аспектів одного чи кількох компонентів
внутрішнього контролю;
г) процедури оцінки ризиків — аудиторські процедури, які виконують для отримання розуміння суб’єкта господарювання та його середовища, в тому числі внутрішнього контролю суб’єкта господарювання, визначення й оцінки ризиків суттєвого викривлення внаслідок шахрайства або помилки на рівні фінансової звітності та тверджень;
ґ) значний ризик — ідентифікований та оцінений ризик суттєвого викривлення, що, за судженням аудитора, потребує спеціального розгляду аудитором.
Аудитор повинен виконати процедури оцінки ризиків для забезпечення основи для ідентифікації й оцінки ризиків суттєвого викривлення на рівні фінансової звітності та тверджень. Однак процедури оцінки ризиків самі по собі не надають достатніх та прийнятних аудиторських доказів, на яких ґрунтується думка аудитора.
Процедури оцінки ризиків мають включати таке:
a) подання запитів до управлінського персоналу та інших працівників суб’єкта господарювання, які, на думку аудитора, можуть мати інформацію, яка, ймовірно, може допомогти при ідентифікації ризиків суттєвого викривлення внаслідок шахрайства або помилки;
б) аналітичні процедури;
в) спостереження та перевірка
Аудитор повинен ідентифікувати та оцінити ризики суттєвого викривлення:
a) на рівні фінансової звітності;
б) на рівні твердження для класів операцій, залишків на рахунках і розкриття інформації для того, щоб створити основу для розробки й виконання подальших аудиторських процедур.
Заходи контролю — це політики та процедури, які допомагають забезпечити виконання директив управлінського персоналу. Заходи контролю як у рамках ІТ, так і в ручних системах мають різні цілі та застосовуються на різних організаційних і функціональних рівнях.
Приклади конкретних заходів контролю включають заходи, що стосуються:
• надання дозволів;
• оглядів результатів;
• обробки інформації;
• фізичних заходів контролю;
• розподілу обов’язків
Компоненти внутрішнього контролю — моніторинг заходів контролю.
Моніторинг заходів контролю – це процес оцінки ефективності функціонування внутрішнього контролю у часі. Він включає своєчасну оцінку ефективності заходів контролю та виконання необхідних виправних дій. Управлінський персонал здійснює моніторинг заходів контролю через постійні дії, окремі оцінки або поєднання того та іншого. Постійні дії з моніторингу часто є частиною звичайної поточної діяльності суб’єкта господарювання і включають регулярні дії з управління та нагляду. Дії управлінського персоналу з моніторингу можуть включати використання інформації від зовнішніх сторін, такої, що міститься у рекламаціях клієнтів та зауваженнях регуляторного органу, які можуть вказувати на проблеми або висвітлювати сфери, що потребують поліпшення. Запевняючи, що фінансові звіти відповідають застосовній концептуальній основі фінансової звітності, управлінський персонал прямо або опосередковано здійснює твердження щодо визнання, оцінки, подання і розкриття різних елементів фінансової звітності та матеріалів відповідного розкриття інформації.
Твердження, які аудитор використовує для розгляду різних типів потенційних викривлень, що можуть мати місце, поділяють на три такі категорії і можуть мати такі форми:
a) Твердження щодо класів операцій та подій протягом періоду аудиту:
– настання — операції та події, які були зареєстровані, настали та пов’язані із суб’єктом господарювання;
– повнота — всі операції та події, які повинні реєструватися, були зареєстровані;
– точність — суми та інші дані, пов’язані із зареєстрованими операціями та подіями, були записані правильно;
– закриття реєстрів — операції та події були зареєстровані у відповідному обліковому періоді;
– класифікація — операції та події були зареєстровані у належних рахунках.
б)Твердження щодо залишків на рахунках на кінець періоду:
– існування — активи, зобов’язання та власний капітал наявні;
– права та обов’язки—суб’єкт господарювання має або контролює права на активи, а зобов’язання є обов’язком суб’єкта господарювання;
– повнота—всі активи, зобов’язання та власний капітал, які мають реєструватися, були зареєстровані;
– оцінка та розподіл—активи, зобов’язання та власний капітал включені до фінансової звітності у відповідних сумах, усі пов’язані з цим коригування щодо оцінки або розподілу належно зареєстровані.
в) Твердження щодо подання та розкриття:
– настання та права і обов’язки — події, операції та інші питання, інформація щодо яких була розкрита, настали і пов’язані із суб’єктом господарювання;
– повнота — всі розкриття інформації, які мали бути включені до фінансової звітності, включені;
– класифікація та зрозумілість — фінансова інформація належно подана та описана, розкриття інформації також чітко сформульоване;
– точність та оцінка — фінансова та інша інформація розкрита достовірно та у відповідних сумах.
Для того щоб дотримуватися встановленого рівня аудиторського ризику при виконанні конкретної аудиторської перевірки, необхідно проаналізувати, які фактори можуть впливати на його розмір.
Загальна модель аудиторського ризику передбачає виділення двох його складових частин. Це – ризик суттєвих викривлень та ризик невиявлення.
Ризик суттєвих викривлень (РСВ) – це ризик того, що фінансові звіти суттєво викривлені до аудиторської перевірки.
Ризик невиявлення (РН) – це ризик того, що аудиторські процедури не виявлять викривлення, яке існує на рівні твердження та яке (взяте окремо або у сукупності з іншими викривленнями) може виявитися суттєвим.
Отже, загальна модель аудиторського ризику (АР) може бути представлена таким чином:
АР = РСВ х РН
Ризик суттєвих викривлень – це ризики суб'єкта господарювання; вони існують незалежно від аудиторської перевірки фінансових звітів. Від аудитора вимагається оцінити ризик суттєвих викривлень на рівні тверджень як основи для оцінки ризику не виявлення. Оцінений ризик не виявлення є визначальним фактором для прийняття рішення щодо характеру та обсягу аудиторських процедур, хоча така оцінка є більше судженням, ніж точною оцінкою ризику. Зрозуміло, що чим більшим буде оцінено значення ризику невиявлення, тим більшим буде обсяг перевірки.
Ризик невиявлення пов'язаний з характером, часом та обсягом аудиторських процедур, які визначає аудитор для зменшення аудиторського ризику до прийнятно низького рівня. При даному рівні аудиторського ризику прийнятний рівень ризику невиявлення обернено пропорційний оцінці ризику суттєвого викривлення на рівні тверджень. Чим більший ризик суттєвого викривлення існує, на думку аудитора, тим менший ризик невиявлення можна прийняти. І навпаки, чим менший ризик суттєвого викривлення існує на думку аудитора, тим більший ризик невиявлення можна прийняти.
Таким чином, кінцевою метою аналізу складників аудиторського ризику є визначення рівня ризику невиявлення. З метою оцінки ризику суттєвих викривлень він може розглядатись як такий, що складається ще з двох компонентів – властивого ризику (ВР) та ризику контролю (РК).
Властивий ризик – це чутливість твердження до викривлення, яке може бути суттєвим, окремо або в сукупності з іншими твердженнями, якщо припустити, що немає відповідних процедур контролю. Ризик таких викривлень більший для деяких тверджень та пов'язаних з ними класів операцій, залишків на рахунках та розкриття інформації, ніж для інших.
Наприклад, рахунки, що складаються з сум, отриманих на основі облікових попередніх оцінок, яким притаманна значна невизначеність оцінки, становлять більший ризик, ніж рахунки, що складаються з відносно рутинних, фактичних даних. Якщо, припустимо, підприємство визначило очікуваний термін корисного використання специфічного технологічного обладнання десять років, а через три роки внаслідок конкурентого тиску продукція, яка на ньому виготовлялась, не має збуту, то, зрозуміло, твердження щодо відповідності оцінки основних засобів у балансі на звітну дату можуть мати викривлення.
Отже, на властивий ризик також можуть впливати зовнішні чинники, що спричиняють ризики бізнесу. Наприклад, удосконалення технології може зробити певний продукт застарілим і бути тим самим причиною більшої схильності до завищення запасів.
Крім факторів зовнішнього середовища на властивий ризик можуть впливати фактори, які формують внутрішнє середовище функціонування підприємства. Ці фактори можуть охоплювати, наприклад, відсутність робочого капіталу, достатнього для продовження діяльності, або спад у галузі, що характеризується великою кількістю банкрутств;
Ризик контролю – це ризик того, що не можна буде своєчасно запобігти викривленню, яке може відбутися у твердженні та бути суттєвим окремо або в сукупності з іншими викривленнями, або його не можна буде своєчасно виявити та виправити за допомогою системи внутрішнього контролю підприємства. Цей ризик є функцією ефективності структури та функціонування системи внутрішнього контролю в досягненні цілей суб'єкта господарювання щодо складання його фінансових звітів. Деякий ризик контролю існує завжди внаслідок властивих обмежень системи внутрішнього контролю.
Процес аналізу та оцінки складників аудиторського ризику може базуватися на моделі, яка розкривається Роєм Доджем та Джоном Робертсоном. Ця модель базується на використанні таких вихідних умов:
1. Аудитор не може повністю довіряти системам обліку та внутрішнього контролю підприємства, звітність якого перевіряється. В такому випадку ризик суттєвих викривлень повністю зводиться до нуля, а це, у свою чергу, означає, що значення аудиторського ризику буде дорівнювати також нулю (АР = 0,0 х РН → АР = 0,0), чого, як відомо, не може бути.
2. Аудитор не може дозволити собі прийняти високий рівень ризику невиявлення (наприклад, більше 50%) для випадків високого значення ризику суттєвих викривлень, оскільки в цьому випадку загальне значення аудиторського ризику буде високим (більше 5%), чого допускати не можна, тому, що перевірка не буде проведена якісно.
Наприклад: АР = РСВ (0,72) х РН (0,5) = 0,36.
3. Аудиторська перевірка буде проведена із забезпечення відповідного рівня якості, якщо аудитор прийме низьке значення ризику невиявлення при повній недовірі до системи внутрішнього контролю підприємства. АР = РСВ (1,0) х РН (0,05) = 0,05.