Розділ 3

АУДИТОРСЬКИЙ РИЗИК

3.1. Аудиторський ризик та його експертно-аналітична оцінка

Розвиток аудиту за останніх двадцять-тридцять років обумовив виник­нення нового підходу до проведення аудиторських перевірок. Цей підхід передбачає планування, розрахунок, уточнення й оцінку такого показника, як аудиторський ризик.

Це питання є дуже важливим у теорії аудиту, оскільки його окремо не розглядають і не виділяють в інших видах фінансово-господарського контролю.

Про аудиторський ризик варто говорити тому, що висновки аудитора що­до достовірності фінансової звітності можуть бути помилковими. Завжди іс­нує ймовірність того, що помилки або неточності, які суттєво можуть вплинути на господарську діяльність, у перевірених документах не знайдено і вчасно не виправлено. Як правило, ці помилки виявляють згодом персонал клієнта, інший аудитор або один із зовнішніх контрольних органів (податковий інспектор, кон­трольно-ревізійна служба та ін.).

У зарубіжній науковій літературі з аудиту, яка сьогодні є основним дже­релом інформації для вітчизняних аудиторів, використовують кілька термінів і понять, пов'язаних з різними аспектами ризику. На нашу думку, варто уточнити зміст кожного з цих термінів для того, щоб надалі не плутати їх з аудиторським ризиком.

Одним із найпопулярніших визначень суті сучасного аудиту є таке: «Ау­дит — це процес зменшення до прийнятного рівня інформаційного ризику для користувачів фінансових звітів» [119, с. 5]. Це визначення містить одне з клю­чових понять - інформаційний ризик.

Інформаційний ризик передбачає собою ймовірність того, що у публічній фінансовій звітності підприємства (організації) містяться істотні помилки чи неточності. Цей ризик існує не для аудиторів, а для користувачів фінансової звітності — акціонерів, інвесторів, кредиторів, державних органів тощо, яких може ввести в оману недостовірна інформація. Інформаційний ризик не можна ототожнювати з аудиторським, бо він є лише стимулом для замовників ауди­торських послуг, адже висновок аудиторів — це певна гарантія достовірності фінансових звітів підприємств.

На інформаційний ризик у ринкових умовах прямо впливає ризик підпри­ємницької діяльності, який залежить від багатьох факторів: від законодавчої системи, податкової політики, конкуренції тощо. Цей ризик також прямо не

пов'язаний з аудиторським і стосується конкретного підприємства чи організа­ції.

Тісніший зв'язок з аудиторським ризиком має ризик бізнесу аудитора (ау­диторської фірми) — ймовірність того, що аудиторська фірма може зазнати збитків у процесі взаємодії з клієнтом, навіть якщо аудиторський висновок складено правильно. На ризик бізнесу впливають зовнішні щодо до суб'єкта пе­ревірки фактори: недосконалість чинного законодавства, непорядність замов­ника, недостатня компетентність судових органів у господарському праві, фі­нансах та обліку.

Таким чином, види ризиків, які розглянули беруть до уваги аудитори, але прямого функціонального зв'язку з показником аудиторського ризику згадані види ризиків не мають.

Аудиторський ризик — це наслідок двох чинників: ризику того, що мо­жуть бути суттєві помилки, а також того, що цих істотних помилок не виявлять [72, c. 25]. У науковій економічній літературі згадані фактори поділяють на окремі складові частини, які утворюють загальну модель аудиторського ризику.

Основні елементи моделі аудиторського ризику базуються на положеннях нормативів SAS 39 (про вибірковий метод для аудиту) і SAS 47 (про суттєвість ризику) [29, c. 241]. Варто пояснити, що нормативи, які мають кодову абревіа­туру SAS, тлумачать загальноприйняті стандарти аудиту і їх періодично друкує Американський інститут дипломованих суспільних бухгалтерів (American Institute of Certified Public Accountants — AICPA). Ця організація є дуже автори­тетною і впливовою у світі, тому публікації AICPA використовують як керівни­цтво з практичного аудиту в багатьох країнах.

Аналіз економічної літератури показує, що у зарубіжних і українських ав­торів нема єдиного підходу до визначення термінів, якими називають окремі елементи аудиторського ризику (табл. 3.1.). На наш погляд, доцільно дотриму­ватися однієї термінології, яка є найбільш уживаною і популярною у світі, а не знаходити нові назви для відомих понять.

Таблиця 3.1.

Порівняння термінології, що визначає елементи аудиторського ризику, в різних наукових джерелах

№	Автори	Елементи аудиторського ризику
за/п

		Власний ризик (IR)	Ризик контролю (СЯ)	Ризик неви-явлення (ВЯ)
l|2 3			4	5
1.	Р. Адамс	Внутрішній ризик	Ризик контролю	Ризик невиявлен-ня
2.	Е.А. Аренс,	Внутрішньо-	Ризик контролю	Ризик невиявлен-
	Дж. К. Лоббек	господарський ри­зик		ня
3.	Дж. К. Робертсон	Ризик не-	Ризик неефек-	Ризик невиявлен-
		ефективності сис-	тивності внут-	ня
		теми обліку	рішнього конт­ролю
4.	Р. Додж	Внутрішньо-властивий ризик	Ризик контролю	Ризик невиявлен-ня
5.	В.Д. Андреев	Спадковий (влас­тивий) ризик	Ризик контролю	Детекційний ри­зик
6.	С. Ф. Голов, С.Я. Зубілевич	Властивий ризик	Ризик контролю	Ризик невиявлен-ня

Переважна більшість зарубіжних економістів погоджується з моделлю аудиторського ризику, яку запропонувала АІСРА, і описує її у такому вигляді:

DAR = IR xCR xDR, (3.1)

де DAR — прийнятний аудиторський ризик (Desired audit risk); IR — внутрішньогосподарський ризик (Inherent risk); CR — ризик контролю (Control risk); DR — ризик невиявлення (Detection risk).

Прийнятний аудиторський ризик (DAR) виражає міру готовності ауди­тора надати позитивний висновок без застережень за умови, що ймовірність іс­нування суттєвих помилок у фінансовій звітності клієнта після проведення ау­диту не перевищує величини DAR, яка може коливатися в межах від 0 до 1 (або від 0% до 100%). Практично аудитор завжди прагне мінімізувати значення DAR, оскільки високе значення цього показника загрожує фінансовими втрата­ми у випадку конфлікту з клієнтом, а також падінням іміджу аудитора (ауди­торської фірми).

З прийнятним аудиторським ризиком тісно пов'язане поняття суттєвості (матеріальності) можливої помилки. В цьому питанні аудитори звичайно не використовують точних оцінок. Найчастіше вважають, що відхилення до 5% є незначним, а більше 10% — матеріальним [119, c. 111].

Внутрішньогосподарський ризик (ІЯ) — це ризик того, що в реєстрах бух­галтерського обліку і відповідно у фінансовій звітності клієнта міститься недо­стовірна інформація.

Ризик контролю (СЯ) — це ризик того, що система внутрішнього контро­лю клієнта не може вчасно запобігти помилкам або знайти їх у обліку і звітнос­ті.

Внутрішньогосподарський ризик і ризик контролю залежать насамперед від адміністрації і персоналу клієнта. Тому аудитор не може прямо впливати на рівень цих показників і регулювати його через використання тих чи інших ау­диторських процедур та організаційних заходів під час перевірки.

Американські економісти Е.А. Аренс і Дж.К.Лоббек визначають чотири основні концепції, на яких базуються вивчення системи внутрішнього контро­лю й оцінка ризику:

4. Адміністрація, а не аудитор, повинна встановлювати систему контролю і забезпечувати її функціонування на підприємстві.

5. Підприємство має розробити таку систему внутрішнього контролю, яка б забезпечувала достатню впевненість у тому, що фінансову звітність представ­лено об'єктивно.

6. Систему внутрішнього контролю не можна розглядати як повністю ефективну, якщо під час її створення не було враховано умови розробки й осо­бливості майбутнього практичного застосування.

7. Мета і завдання внутрішнього контролю не залежать від методів обро­бки інформації (автоматизованих чи ручних) [29, с. 261-262].

На нашу думку, перелічені вище концепції дають можливість зробити де­які висновки щодо основних правил, яких доцільно дотримуватися при вивчен­ні системи внутрішнього контролю. По-перше, аудитор не відповідає за неточ­ності, що виникають в обліку клієнта через помилки персоналу і недосконалість внутрішнього контролю. По-друге, аудитор повинен використовувати необхідні процедури, спрямовані на глибоке вивчення системи внутрішнього контролю незалежно від форми обліку і способів обробки інформації.

Знання цих правил дозволяє аудиторові правильно планувати і спрямову­вати свою роботу та чітко розподіляти сфери відповідальності аудиторської фі­рми й адміністрації підприємства-клієнта.

Безпосередньо від аудитора залежить лише ризик невиявлення (ОЯ), який є ризиком того, що помилки в обліку і звітності клієнта аудитор під час переві­рки не виявить. Зменшення цього ризику можливе у разі отримання більшої кі­лькості аудиторських доказів і ретельнішого дослідження обраних для пере­вірки джерел інформації.

Деякі аудиторські фірми й окремі зарубіжні автори ризик невиявлення поділяють на два компоненти: ризик аналітичного огляду та ризик тестів обо­ротів [72, с. 25-26]. Такий поділ обумовлено використанням у зарубіжній ауди­торській практиці двох основних категорій тестів — аналітичного огляду і тес­

тів оборотів. Але для вітчизняної практики такий підхід навряд чи є доцільним через те, що небагато вітчизняних аудиторів широко застосовують аналітичний огляд чи окремо виділяють його з інших дослідних процедур.

Описану вище модель аудиторського ризику (3.1) для остаточного аналізу й оцінки часто подають у такому вигляді:

DAR

DR = (3.2)

IR xCR

Таким чином, завданнями аудитора в процесі визначення аудиторського ризику є правильна оцінка величини внутрішньогосподарського ризику і ризику контролю, а також регулювання і вплив на цю величину ризику невиявлення. Саме для цього використовують формулу (3.2).

Якщо розрахований рівень аудиторського ризику надто високий порівня­но з припустимим, аудитор може відмовитися від подання аудиторського ви­сновку або розробити комплекс заходів, спрямованих на зниження цього рівня. Такими заходами можуть бути відновлення обліку, детальне дослідження гос­подарських операцій тощо.

Зарубіжні автори приділяють цьому питанню пильну увагу, але у вітчиз­няній літературі аудиторський ризик описують переважно лише з теоретичного погляду. Фактично вітчизняні автори наводять тільки загальні визначення і фо­рмулювання, не звертаючи достатньої уваги на практичний аспект їхнього ви­користання в аудиторській чи в контрольно-ревізійній діяльності, хоча ризик є в будь-якому контрольному процесі. На наш погляд, у зарубіжних країнах пи­льна увага до аудиторського ризику як чинника, що впливає на планування, тривалість та обсяг аудиту, обумовлена підприємницьким характером аудитор­ської діяльності. В умовах конкуренції між аудиторськими фірмами виникає необхідність зменшення вартості аудиторських послуг та дотримання високих вимог до їх якості. Шляхами реального здешевлення аудиторських послуг є скорочення часу на проведення аудиторських процедур, використання вибірко­вих методів дослідження та ін. Ці процеси обмежуються прийнятним аудитор­ським ризиком (DAR), який є оптимальним результатом поєднання двох проти­лежних тенденцій: максимізації показника якості аудиту і мінімізації часу на проведення перевірки.

На наш погляд, у вітчизняній практиці варто приділяти більшу увагу пи­танням оцінки аудиторського ризику, враховуючи особливості національного законодавства, економічної діяльності уряду, міністерств і відомств, податкової адміністрації, практики обліку та аудиту. Модель розрахунку аудиторського ри­зику, яку пропонують зарубіжні автори, можна взяти за основу проекту націо­нальної моделі, але варто врахувати її недоліки.

По-перше, закордонна модель аудиторського ризику є надто загальною і не дає можливості кількісно оцінити вплив основних факторів на її елементи.

По-друге, як було зазначено вище, не варто поділяти на складові частини ризик невиявлення. З практичного погляду більш доцільніше трансформувати ризик контролю (CR), поділивши його на ризик внутрішнього контролю та ри­зик зовнішнього контролю.

Такий поділ можна вважати цілком обгрунтованим, оскільки у вітчизня­ній практиці аудитори часто використовують відомості зовнішніх щодо суб'єкта перевірки контрольних органів — податкових, контрольно-ревізійних та інших служб. Контроль здійснюють також фонд соціального страхування, пенсійний фонд, фонд ліквідації наслідків Чорнобильської катастрофи та інші позабюджетні фонди. Якщо підприємство (потенційний клієнт аудиту) входить в об'єднання, то воно підлягає зовнішньому контролеві з боку цього об'єднання.

Для оцінки ризику зовнішнього контролю важливим є визначення факто­рів, що впливають на цей вид ризику. На нашу думку, до таких факторів можна віднести час проведення зовнішнього контролю; зміну законодавства та інших нормативних актів; перелік перевірених показників; кваліфікацію (професій­ність) працівників зовнішнього контролю; види об'єктів обліку, що підлягали зовнішньому контролеві тощо.

Якщо на підприємстві до проведення аудиту здійснювали зовнішній кон­троль, то очікуваний аудиторський ризик буде меншим, ніж у випадках, коли суб'єкт аудиту не підлягав таким перевіркам. Крім того, внутрішній контроль в Україні майже цілком здійснюють керівництво і бухгалтерська служба підпри­ємств та організацій, а внутрішній аудит, який, на думку британського економіста Р. Адамса, є «контролем, що здійснює перевірки і оцінки адекватно­сті та ефективності інших видів контролю» [26, с. 26], тільки зароджується.

Таким чином, змінивши позначення окремих складників, модель аудитор­ського ризику можна подати у такому вигляді:

АР

РН = , (3.3)

ВР хРВК хРЗК

де: РН — ризик невиявлення;

АР — загальний аудиторський ризик; ВР — внутрішньогосподарський ризик; РВК — ризик внутрішнього контролю; РЗК — ризик зовнішнього контролю.

Варто зауважити, що для наступних розрахунків і аналізу значення зага­льного аудиторського ризику розглядатиметься як константа і дорівнюватиме 1%, 5% або 10% (АР = 0.01; 0.05; 0.1). Запропонована методика розрахунку зна­

чень елементів аудиторського ризику, визначення тісноти зв' язку між елемен­тами у моделі, а також впливу на результативний показник (РН) включає ряд етапів. Алгоритм дослідження пропонуємо такий:

8. Проведення анкетного опитування експертів (аудиторів, ревізорів, бух­галтерів тощо) з метою визначення переліку чинників, що можуть справляти суттєвий вплив на такі елементи моделі: на внутрішньогосподарський ризик (ВР), ризик внутрішнього контролю (РВК), ризик зовнішнього контролю. Уні­фікація (лінгвістичне і змістове узгодження), об' єднання близьких за змістом факторів в один і виключення дублювання чинників. Ранжування вибраних фа­кторів за кількістю поданих голосів експертів і відбір найсуттєвіших.

9. Проведення експертної оцінки вагомості кожного чинника у часткових моделях оцінки ВР, РВК і РЗК (у відсотках, балах).

10. Складання робочих таблиць-анкет із внутрішньогосподарського ризи­ку, ризиків внутрішнього і зовнішнього контролю.

11. Заповнення робочих таблиць у процесі аудиторського обстеження об' єкта перевірки і розрахування фактичної величини ВР, РВК, РЗК.

12. Підставляння розрахованих значень ВР, РВК, РЗК у формулу (3.3) і ви­значення величини ризику невиявлення РН (за значення АР = 0.01; 0.05; 0.1 або інших).

На першому етапі було спеціально відібрано групу з 20 експертів, до якої увійшли працівники аудиторської фірми «ЛьвівАкадемАудит», викладачі Львівської комерційної академії, а також представники контрольно-ревізійної служби, головні бухгалтери та інші спеціалісти-практики.

Потім за методом «мозкової атаки» визначено групи факторів, які справ­ляють найбільший вплив на внутрішньогосподарський ризик, ризики внут­рішнього і зовнішнього контролю. Варто зауважити, що на практиці вибір ос­новних факторів часто здійснюють суб' єктивно, тобто на основі досвіду одного аудитора без застосування кількісних та якісних критеріїв оцінки. На наш по­гляд, використання способу «мозкової атаки» групи експертів (аудиторів), за­вданням яких є створення окремих переліків можливих факторів впливу на ко­жен із досліджуваних ризиків, є набагато ефективнішим. У процесі виконання поставленого завдання доцільно використовувати принцип зворотного зв' язку, що дозволяє «концентрувати увагу учасників лише на тих варіантах, які є ко­рисними згідно з тими чи іншими критеріями для вирішення проблемної ситуа­ції» [108, с. 33].

Під час проведення «мозкової атаки» бажано виділяти тільки суттєві чин­ники, а також однозначно формулювати близькі за змістом назви. Коли окремі фактори впливають на два чи три ризики водночас (наприклад, кваліфікація персоналу), їх варто розрізняти, оскільки це може бути кваліфікація різних пра­цівників із різних підрозділів і служб - працівників бухгалтерії, внутрішнього аудиту тощо.

Отриманий перелік факторів систематизуємо у спеціальних таблицях завидами ризику, після визначення кількості поданих експертами голосів за ко-жен чинник (табл. 3.2.). При цьому до переліків основних чинників . . . ,Xn, які потрібно включити в моделі оцінки елементів загального аудиторськогоризику ВР, РВК та РЗК, входять лише ті фактори, за які подано голоси більшеполовини експертів-аудиторів.

Таблиця 3.2.

Таблиця відбору основних факторів, що впливають на елементи аудитор­ського ризику (ВР, РВК, РЗК)

№ за/п	Фактори	Кількість	Мінімальна	Оцінка
		голосів експертів	потрібна кі­лькість	фактора
1	XI	аі	Р
2	Х2	а2	Р
п	Хп	Ап	Р

Таким чином, для того, щоб визначити, які фактори можна визнати суттє­вими, а які — ні, кількість голосів експертів, поданих за той чи інший фактор (аі, а2, . . . , а_п), порівнюємо з мінімальною кількістю голосів, що їх повинен був набрати певний фактор для позитивної оцінки. За умови а_п > р виставляємо позитивну оцінку («+») і фактор вважаємо суттєвим, а якщо ж а_п < р (р=10 у нашому дослідженні), то наступного аналізу цього фактора не проводимо (оці­нка «-»).

Наступний етап включає дослідження і експертну оцінку вагомості обра­них факторів, яку здійснюємо за кожним фактором у балах таким чином, щоб сума балів усіх факторів дорівнювала 100. Потім розраховуємо середню оцінку (в балах) і визначаємо коефіцієнт вагомості Кв(і) для кожного і-го фактора, що впливає на ВР, РВК і РЗК. Підсумки узагальнюємо у таблицях, структуру яких наведено у табл. 3.3.

Зауважимо, що до основних факторів варто включити «резерв» сумарного впливу другорядних чинників, які не було враховано у нашій моделі. Таким чи­ном, кожен експерт повинен визначити, скільки балів розподілити між основ­ними факторами, а скільки залишити для другорядних (наприклад, 80 і 20, 90 і 10 та ін).