- •Аудиту Тернопіль. "Економічна думка" 1998
- •1.2. Види аудиту та його класифікація
- •1995 Рік
- •1996 Рік
- •1.3. Предмет і об'єкти аудиту
- •Розділ 2 методологія аудиту
- •Класифікація методичних прийомів аудиторського контролю в українських і закордонних джерелах
- •2.2. Аудиторські процедури і їх класифікація
- •Цикли господарських операцій в наукових працях зарубіжних авторів
- •2.3. Вибіркові прийоми аудиту
- •Розділ 3
- •3.1. Аудиторський ризик та його експертно-аналітична оцінка
- •Вр, рвк та рзк
- •3.2. Використання економіко-математичних методів для визначення аудиторського ризику
- •Статистичні дані про фактичні результати оцінки окремих факторів, що впливають на внутрішньогосподарський ризик (вр) *
- •Допоміжна таблиця розрахунку коефіцієнта взаємного сполучення Чупро-ва для визначення впливу окремого фактора на рівень внутрішньогосподарського ризику (вр)
- •Ранжування факторів впливу на внутрішньогосподарський ризик за оцінками експертів і коефіцієнтами взаємного сполучення
- •Хі та Уі
- •6 І бі2
- •Результати оцінки величини елементів аудиторського ризику за результатами аудиторських перевірок *
- •4.1. Зміст аудиторського процесу, його стадії та етапи
- •4.2. Планування аудиту
- •(Власний ринковий
- •Супутніх видів робіт.
- •Таблиця 4.3. Характеристика етапів процесу планування в українських і закордонних джерелах
- •Контролю, виробничо-господарський процес, фінансово-кредитна політика тощо.
- •4.3. Інформаційне забезпечення процесу аудиту
- •4.4. Організація аудиту в середовищі електронної обробки даних
Розділ 3
АУДИТОРСЬКИЙ РИЗИК
3.1. Аудиторський ризик та його експертно-аналітична оцінка
Розвиток аудиту за останніх двадцять-тридцять років обумовив виникнення нового підходу до проведення аудиторських перевірок. Цей підхід передбачає планування, розрахунок, уточнення й оцінку такого показника, як аудиторський ризик.
Це питання є дуже важливим у теорії аудиту, оскільки його окремо не розглядають і не виділяють в інших видах фінансово-господарського контролю.
Про аудиторський ризик варто говорити тому, що висновки аудитора щодо достовірності фінансової звітності можуть бути помилковими. Завжди існує ймовірність того, що помилки або неточності, які суттєво можуть вплинути на господарську діяльність, у перевірених документах не знайдено і вчасно не виправлено. Як правило, ці помилки виявляють згодом персонал клієнта, інший аудитор або один із зовнішніх контрольних органів (податковий інспектор, контрольно-ревізійна служба та ін.).
У зарубіжній науковій літературі з аудиту, яка сьогодні є основним джерелом інформації для вітчизняних аудиторів, використовують кілька термінів і понять, пов'язаних з різними аспектами ризику. На нашу думку, варто уточнити зміст кожного з цих термінів для того, щоб надалі не плутати їх з аудиторським ризиком.
Одним із найпопулярніших визначень суті сучасного аудиту є таке: «Аудит — це процес зменшення до прийнятного рівня інформаційного ризику для користувачів фінансових звітів» [119, с. 5]. Це визначення містить одне з ключових понять - інформаційний ризик.
Інформаційний ризик передбачає собою ймовірність того, що у публічній фінансовій звітності підприємства (організації) містяться істотні помилки чи неточності. Цей ризик існує не для аудиторів, а для користувачів фінансової звітності — акціонерів, інвесторів, кредиторів, державних органів тощо, яких може ввести в оману недостовірна інформація. Інформаційний ризик не можна ототожнювати з аудиторським, бо він є лише стимулом для замовників аудиторських послуг, адже висновок аудиторів — це певна гарантія достовірності фінансових звітів підприємств.
На інформаційний ризик у ринкових умовах прямо впливає ризик підприємницької діяльності, який залежить від багатьох факторів: від законодавчої системи, податкової політики, конкуренції тощо. Цей ризик також прямо не
пов'язаний з аудиторським і стосується конкретного підприємства чи організації.
Тісніший зв'язок з аудиторським ризиком має ризик бізнесу аудитора (аудиторської фірми) — ймовірність того, що аудиторська фірма може зазнати збитків у процесі взаємодії з клієнтом, навіть якщо аудиторський висновок складено правильно. На ризик бізнесу впливають зовнішні щодо до суб'єкта перевірки фактори: недосконалість чинного законодавства, непорядність замовника, недостатня компетентність судових органів у господарському праві, фінансах та обліку.
Таким чином, види ризиків, які розглянули беруть до уваги аудитори, але прямого функціонального зв'язку з показником аудиторського ризику згадані види ризиків не мають.
Аудиторський ризик — це наслідок двох чинників: ризику того, що можуть бути суттєві помилки, а також того, що цих істотних помилок не виявлять [72, c. 25]. У науковій економічній літературі згадані фактори поділяють на окремі складові частини, які утворюють загальну модель аудиторського ризику.
Основні елементи моделі аудиторського ризику базуються на положеннях нормативів SAS 39 (про вибірковий метод для аудиту) і SAS 47 (про суттєвість ризику) [29, c. 241]. Варто пояснити, що нормативи, які мають кодову абревіатуру SAS, тлумачать загальноприйняті стандарти аудиту і їх періодично друкує Американський інститут дипломованих суспільних бухгалтерів (American Institute of Certified Public Accountants — AICPA). Ця організація є дуже авторитетною і впливовою у світі, тому публікації AICPA використовують як керівництво з практичного аудиту в багатьох країнах.
Аналіз економічної літератури показує, що у зарубіжних і українських авторів нема єдиного підходу до визначення термінів, якими називають окремі елементи аудиторського ризику (табл. 3.1.). На наш погляд, доцільно дотримуватися однієї термінології, яка є найбільш уживаною і популярною у світі, а не знаходити нові назви для відомих понять.
Таблиця 3.1.
Порівняння термінології, що визначає елементи аудиторського ризику, в різних наукових джерелах
№ |
Автори |
Елементи аудиторського ризику |
за/п |
|
|
|
|
Власний ризик (IR) |
Ризик контролю (СЯ) |
Ризик неви-явлення (ВЯ) |
l|2 3 |
4 |
5 | ||
1. |
Р. Адамс |
Внутрішній ризик |
Ризик контролю |
Ризик невиявлен-ня |
2. |
Е.А. Аренс, |
Внутрішньо- |
Ризик контролю |
Ризик невиявлен- |
|
Дж. К. Лоббек |
господарський ризик |
|
ня |
3. |
Дж. К. Робертсон |
Ризик не- |
Ризик неефек- |
Ризик невиявлен- |
|
|
ефективності сис- |
тивності внут- |
ня |
|
|
теми обліку |
рішнього контролю |
|
4. |
Р. Додж |
Внутрішньо-властивий ризик |
Ризик контролю |
Ризик невиявлен-ня |
5. |
В.Д. Андреев |
Спадковий (властивий) ризик |
Ризик контролю |
Детекційний ризик |
6. |
С. Ф. Голов, С.Я. Зубілевич |
Властивий ризик |
Ризик контролю |
Ризик невиявлен-ня |
Переважна більшість зарубіжних економістів погоджується з моделлю аудиторського ризику, яку запропонувала АІСРА, і описує її у такому вигляді:
DAR = IR xCR xDR, (3.1)
де DAR — прийнятний аудиторський ризик (Desired audit risk); IR — внутрішньогосподарський ризик (Inherent risk); CR — ризик контролю (Control risk); DR — ризик невиявлення (Detection risk).
Прийнятний аудиторський ризик (DAR) виражає міру готовності аудитора надати позитивний висновок без застережень за умови, що ймовірність існування суттєвих помилок у фінансовій звітності клієнта після проведення аудиту не перевищує величини DAR, яка може коливатися в межах від 0 до 1 (або від 0% до 100%). Практично аудитор завжди прагне мінімізувати значення DAR, оскільки високе значення цього показника загрожує фінансовими втратами у випадку конфлікту з клієнтом, а також падінням іміджу аудитора (аудиторської фірми).
З прийнятним аудиторським ризиком тісно пов'язане поняття суттєвості (матеріальності) можливої помилки. В цьому питанні аудитори звичайно не використовують точних оцінок. Найчастіше вважають, що відхилення до 5% є незначним, а більше 10% — матеріальним [119, c. 111].
Внутрішньогосподарський ризик (ІЯ) — це ризик того, що в реєстрах бухгалтерського обліку і відповідно у фінансовій звітності клієнта міститься недостовірна інформація.
Ризик контролю (СЯ) — це ризик того, що система внутрішнього контролю клієнта не може вчасно запобігти помилкам або знайти їх у обліку і звітності.
Внутрішньогосподарський ризик і ризик контролю залежать насамперед від адміністрації і персоналу клієнта. Тому аудитор не може прямо впливати на рівень цих показників і регулювати його через використання тих чи інших аудиторських процедур та організаційних заходів під час перевірки.
Американські економісти Е.А. Аренс і Дж.К.Лоббек визначають чотири основні концепції, на яких базуються вивчення системи внутрішнього контролю й оцінка ризику:
Адміністрація, а не аудитор, повинна встановлювати систему контролю і забезпечувати її функціонування на підприємстві.
Підприємство має розробити таку систему внутрішнього контролю, яка б забезпечувала достатню впевненість у тому, що фінансову звітність представлено об'єктивно.
Систему внутрішнього контролю не можна розглядати як повністю ефективну, якщо під час її створення не було враховано умови розробки й особливості майбутнього практичного застосування.
Мета і завдання внутрішнього контролю не залежать від методів обробки інформації (автоматизованих чи ручних) [29, с. 261-262].
На нашу думку, перелічені вище концепції дають можливість зробити деякі висновки щодо основних правил, яких доцільно дотримуватися при вивченні системи внутрішнього контролю. По-перше, аудитор не відповідає за неточності, що виникають в обліку клієнта через помилки персоналу і недосконалість внутрішнього контролю. По-друге, аудитор повинен використовувати необхідні процедури, спрямовані на глибоке вивчення системи внутрішнього контролю незалежно від форми обліку і способів обробки інформації.
Знання цих правил дозволяє аудиторові правильно планувати і спрямовувати свою роботу та чітко розподіляти сфери відповідальності аудиторської фірми й адміністрації підприємства-клієнта.
Безпосередньо від аудитора залежить лише ризик невиявлення (ОЯ), який є ризиком того, що помилки в обліку і звітності клієнта аудитор під час перевірки не виявить. Зменшення цього ризику можливе у разі отримання більшої кількості аудиторських доказів і ретельнішого дослідження обраних для перевірки джерел інформації.
Деякі аудиторські фірми й окремі зарубіжні автори ризик невиявлення поділяють на два компоненти: ризик аналітичного огляду та ризик тестів оборотів [72, с. 25-26]. Такий поділ обумовлено використанням у зарубіжній аудиторській практиці двох основних категорій тестів — аналітичного огляду і тес
тів оборотів. Але для вітчизняної практики такий підхід навряд чи є доцільним через те, що небагато вітчизняних аудиторів широко застосовують аналітичний огляд чи окремо виділяють його з інших дослідних процедур.
Описану вище модель аудиторського ризику (3.1) для остаточного аналізу й оцінки часто подають у такому вигляді:
DAR
DR = (3.2)
IR xCR
Таким чином, завданнями аудитора в процесі визначення аудиторського ризику є правильна оцінка величини внутрішньогосподарського ризику і ризику контролю, а також регулювання і вплив на цю величину ризику невиявлення. Саме для цього використовують формулу (3.2).
Якщо розрахований рівень аудиторського ризику надто високий порівняно з припустимим, аудитор може відмовитися від подання аудиторського висновку або розробити комплекс заходів, спрямованих на зниження цього рівня. Такими заходами можуть бути відновлення обліку, детальне дослідження господарських операцій тощо.
Зарубіжні автори приділяють цьому питанню пильну увагу, але у вітчизняній літературі аудиторський ризик описують переважно лише з теоретичного погляду. Фактично вітчизняні автори наводять тільки загальні визначення і формулювання, не звертаючи достатньої уваги на практичний аспект їхнього використання в аудиторській чи в контрольно-ревізійній діяльності, хоча ризик є в будь-якому контрольному процесі. На наш погляд, у зарубіжних країнах пильна увага до аудиторського ризику як чинника, що впливає на планування, тривалість та обсяг аудиту, обумовлена підприємницьким характером аудиторської діяльності. В умовах конкуренції між аудиторськими фірмами виникає необхідність зменшення вартості аудиторських послуг та дотримання високих вимог до їх якості. Шляхами реального здешевлення аудиторських послуг є скорочення часу на проведення аудиторських процедур, використання вибіркових методів дослідження та ін. Ці процеси обмежуються прийнятним аудиторським ризиком (DAR), який є оптимальним результатом поєднання двох протилежних тенденцій: максимізації показника якості аудиту і мінімізації часу на проведення перевірки.
На наш погляд, у вітчизняній практиці варто приділяти більшу увагу питанням оцінки аудиторського ризику, враховуючи особливості національного законодавства, економічної діяльності уряду, міністерств і відомств, податкової адміністрації, практики обліку та аудиту. Модель розрахунку аудиторського ризику, яку пропонують зарубіжні автори, можна взяти за основу проекту національної моделі, але варто врахувати її недоліки.
По-перше, закордонна модель аудиторського ризику є надто загальною і не дає можливості кількісно оцінити вплив основних факторів на її елементи.
По-друге, як було зазначено вище, не варто поділяти на складові частини ризик невиявлення. З практичного погляду більш доцільніше трансформувати ризик контролю (CR), поділивши його на ризик внутрішнього контролю та ризик зовнішнього контролю.
Такий поділ можна вважати цілком обгрунтованим, оскільки у вітчизняній практиці аудитори часто використовують відомості зовнішніх щодо суб'єкта перевірки контрольних органів — податкових, контрольно-ревізійних та інших служб. Контроль здійснюють також фонд соціального страхування, пенсійний фонд, фонд ліквідації наслідків Чорнобильської катастрофи та інші позабюджетні фонди. Якщо підприємство (потенційний клієнт аудиту) входить в об'єднання, то воно підлягає зовнішньому контролеві з боку цього об'єднання.
Для оцінки ризику зовнішнього контролю важливим є визначення факторів, що впливають на цей вид ризику. На нашу думку, до таких факторів можна віднести час проведення зовнішнього контролю; зміну законодавства та інших нормативних актів; перелік перевірених показників; кваліфікацію (професійність) працівників зовнішнього контролю; види об'єктів обліку, що підлягали зовнішньому контролеві тощо.
Якщо на підприємстві до проведення аудиту здійснювали зовнішній контроль, то очікуваний аудиторський ризик буде меншим, ніж у випадках, коли суб'єкт аудиту не підлягав таким перевіркам. Крім того, внутрішній контроль в Україні майже цілком здійснюють керівництво і бухгалтерська служба підприємств та організацій, а внутрішній аудит, який, на думку британського економіста Р. Адамса, є «контролем, що здійснює перевірки і оцінки адекватності та ефективності інших видів контролю» [26, с. 26], тільки зароджується.
Таким чином, змінивши позначення окремих складників, модель аудиторського ризику можна подати у такому вигляді:
АР
РН = , (3.3)
ВР хРВК хРЗК
де: РН — ризик невиявлення;
АР — загальний аудиторський ризик; ВР — внутрішньогосподарський ризик; РВК — ризик внутрішнього контролю; РЗК — ризик зовнішнього контролю.
Варто зауважити, що для наступних розрахунків і аналізу значення загального аудиторського ризику розглядатиметься як константа і дорівнюватиме 1%, 5% або 10% (АР = 0.01; 0.05; 0.1). Запропонована методика розрахунку зна
чень елементів аудиторського ризику, визначення тісноти зв' язку між елементами у моделі, а також впливу на результативний показник (РН) включає ряд етапів. Алгоритм дослідження пропонуємо такий:
Проведення анкетного опитування експертів (аудиторів, ревізорів, бухгалтерів тощо) з метою визначення переліку чинників, що можуть справляти суттєвий вплив на такі елементи моделі: на внутрішньогосподарський ризик (ВР), ризик внутрішнього контролю (РВК), ризик зовнішнього контролю. Уніфікація (лінгвістичне і змістове узгодження), об' єднання близьких за змістом факторів в один і виключення дублювання чинників. Ранжування вибраних факторів за кількістю поданих голосів експертів і відбір найсуттєвіших.
Проведення експертної оцінки вагомості кожного чинника у часткових моделях оцінки ВР, РВК і РЗК (у відсотках, балах).
Складання робочих таблиць-анкет із внутрішньогосподарського ризику, ризиків внутрішнього і зовнішнього контролю.
Заповнення робочих таблиць у процесі аудиторського обстеження об' єкта перевірки і розрахування фактичної величини ВР, РВК, РЗК.
Підставляння розрахованих значень ВР, РВК, РЗК у формулу (3.3) і визначення величини ризику невиявлення РН (за значення АР = 0.01; 0.05; 0.1 або інших).
На першому етапі було спеціально відібрано групу з 20 експертів, до якої увійшли працівники аудиторської фірми «ЛьвівАкадемАудит», викладачі Львівської комерційної академії, а також представники контрольно-ревізійної служби, головні бухгалтери та інші спеціалісти-практики.
Потім за методом «мозкової атаки» визначено групи факторів, які справляють найбільший вплив на внутрішньогосподарський ризик, ризики внутрішнього і зовнішнього контролю. Варто зауважити, що на практиці вибір основних факторів часто здійснюють суб' єктивно, тобто на основі досвіду одного аудитора без застосування кількісних та якісних критеріїв оцінки. На наш погляд, використання способу «мозкової атаки» групи експертів (аудиторів), завданням яких є створення окремих переліків можливих факторів впливу на кожен із досліджуваних ризиків, є набагато ефективнішим. У процесі виконання поставленого завдання доцільно використовувати принцип зворотного зв' язку, що дозволяє «концентрувати увагу учасників лише на тих варіантах, які є корисними згідно з тими чи іншими критеріями для вирішення проблемної ситуації» [108, с. 33].
Під час проведення «мозкової атаки» бажано виділяти тільки суттєві чинники, а також однозначно формулювати близькі за змістом назви. Коли окремі фактори впливають на два чи три ризики водночас (наприклад, кваліфікація персоналу), їх варто розрізняти, оскільки це може бути кваліфікація різних працівників із різних підрозділів і служб - працівників бухгалтерії, внутрішнього аудиту тощо.
Отриманий перелік факторів систематизуємо у спеціальних таблицях завидами ризику, після визначення кількості поданих експертами голосів за ко-жен чинник (табл. 3.2.). При цьому до переліків основних чинників . . . ,Xn, які потрібно включити в моделі оцінки елементів загального аудиторськогоризику ВР, РВК та РЗК, входять лише ті фактори, за які подано голоси більшеполовини експертів-аудиторів.
Таблиця 3.2.
Таблиця відбору основних факторів, що впливають на елементи аудиторського ризику (ВР, РВК, РЗК)
№ за/п |
Фактори |
Кількість |
Мінімальна |
Оцінка |
|
|
голосів експертів |
потрібна кількість |
фактора |
1 |
XI |
аі |
Р |
|
2 |
Х2 |
а2 |
Р |
|
|
|
|
|
|
п |
Хп |
Ап |
Р |
|
Таким чином, для того, щоб визначити, які фактори можна визнати суттєвими, а які — ні, кількість голосів експертів, поданих за той чи інший фактор (аі, а2, . . . , ап), порівнюємо з мінімальною кількістю голосів, що їх повинен був набрати певний фактор для позитивної оцінки. За умови ап > р виставляємо позитивну оцінку («+») і фактор вважаємо суттєвим, а якщо ж ап < р (р=10 у нашому дослідженні), то наступного аналізу цього фактора не проводимо (оцінка «-»).
Наступний етап включає дослідження і експертну оцінку вагомості обраних факторів, яку здійснюємо за кожним фактором у балах таким чином, щоб сума балів усіх факторів дорівнювала 100. Потім розраховуємо середню оцінку (в балах) і визначаємо коефіцієнт вагомості Кв(і) для кожного і-го фактора, що впливає на ВР, РВК і РЗК. Підсумки узагальнюємо у таблицях, структуру яких наведено у табл. 3.3.
Зауважимо, що до основних факторів варто включити «резерв» сумарного впливу другорядних чинників, які не було враховано у нашій моделі. Таким чином, кожен експерт повинен визначити, скільки балів розподілити між основними факторами, а скільки залишити для другорядних (наприклад, 80 і 20, 90 і 10 та ін).