ВиМСА / MSA2009
.pdfИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
•Новые требования к бухгалтерскому учету(потенциальные предпринимательские риски могут возникнуть, например, при неправильном или неполном выполнении таких требований или при повышении затрат, необходимых для их выполнения).
•Требования регулирующих органов(потенциальные предпринимательские риски могут возникнуть, например, если присутствуют повышенные правовые риски).
•Текущие и будущие потребности в финансировании(потенциальные предпринимательские риски могут возникнуть, например, при прекращении финансирования по причине неспособности субъекта выполнить требования).
•Использование ИТ(потенциальные предпринимательские риски могут возникнуть, например, при несовместимости системы и процессов).
•Последствия внедрения стратегии, в частности, последствия, которые могут привести к введению новых требований к бухгалтерскому учету(потенциальные предпринимательские риски могут возникнуть, например, при неполном или неправильном выполнении таких требований).
A33. Предпринимательский риск может иметь непосредственные последствия для риска существенных искажений классов операций, сальдо счетов, и раскрытий на уровне утверждений или на уровне финансового отчетности. Например, предпринимательский риск, связанный с уменьшением клиентской базы, может увеличить риск существенных искажений, связанный с оценкой дебиторской задолженности. Однако, тот же самый риск, особенно в комбинации со спадом экономики, может иметь долгосрочные последствия, которые аудитор принимает во внимание при оценке правомерности допущения о непрерывности деятельности. Вопрос о том, может ли предпринимательский риск привести к риску существенных искажений, поэтому, рассматривается в свете обстоятельств субъекта. Примеры условий и событий, которые могут указывать на риски существенных искажений, изложены в Приложении 2.
A34. Как правило, руководство субъекта идентифицирует предпринимательские риски и разрабатывает подходы работы с такими рисками. Процесс оценки риска является частью системы внутреннего контроля и обсуждается в параграфе 15 и параграфах A79-A80.
Аспекты, характерные для субъектов государственного сектора
A35. При аудите субъектов государственного сектора на «цели руководства субъекта» могут оказывать влияние вопросы ответственности перед государством и обществом. Более того, среди целей руководства субъекта могут встречаться такие, источник которых лежит в
МСА 315 |
346 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
законодательстве, нормативных актах, или иных регулирующих положениях.
Оценка и обзор финансовых результатов субъекта(См. параграф 11(д))
A36. Руководство субъекта и другие лица оценивают и проводят обзор таких аспектов, которые они считают важными. Оценка результатов деятельности, как внешняя, так и внутренняя, оказывает определенное давление на субъект. Это давление, в свою очередь, может подвигнуть руководство субъекта принять меры с целью улучшения результатов деятельности субъекта или искажения финансовой отчетности. Соответственно, знание оценки результатов деятельности субъекта помогает аудитору при рассмотрении вопроса о том, может ли давление, вынуждающее обеспечивать достижение плановых показателей, подвигнуть руководство субъекта на действия, которые повышают риски существенных искажений, включая существенные искажения, вызванные мошенничеством. См. МСА 240, который содержит требования и руководство в отношении рисков мошенничества.
A37. Оценка и обзор финансовых результатов не являются тождественными мониторингу средств контроля(который обсуждается как компонент системы внутреннего контроля в параграфах A98-A104), хотя может происходить частичное наложение их целей:
• |
Оценка и обзор |
результатов деятельности направлены на |
|
|
определение того, соответствуют ли результаты хозяйственной |
|
|
|
деятельности целям, установленным руководством субъекта(или |
|
|
|
третьими лицами). |
|
АУДИТ |
• |
контроля. |
|
|
Целью мониторинга средств контроля является определение |
|
||
|
того, эффективно |
ли функционируют средства внутреннего |
|
В некоторых случаях, однако, показатели деятельности также предоставляют информацию, которая позволяет руководству субъекта идентифицировать недостатки в системе внутреннего контроля.
A38. В качестве примеров информации внутреннего происхождения, которую использует руководство субъекта для оценки и обзора финансовых результатов, и которую может рассмотреть аудитор, можно назвать:
•Ключевые показатели деятельности(финансовые и нефинансовые)и ключевые коэффициенты, тренды и операционная статистика.
•Анализ финансовых результатов по сравнению с предыдущим периодом.
347 |
МСА 315 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
•Бюджеты, прогнозы, анализы расхождений, информация по сегментам, отчеты о результатах деятельности подразделений, департаментов или других организационных уровней.
•Оценка результатов работы сотрудников и мотивационная политика.
•Сравнение результатов деятельности субъекта с результатами деятельности конкурентов.
A39. Внешние стороны также могут оценивать и проводить обзор финансовых результатов субъекта. Например, внешняя информация, такая как отчеты аналитиков и отчеты кредитных рейтинговых агентств, может предоставить полезную информацию для аудитора. Такие отчеты зачастую можно получить у аудируемого субъекта.
A40. Внутренние оценки могут выявить неожиданные результаты или тенденции, вынуждающие руководство субъекта определить их причину и предпринять корректирующие действия(включая в некоторых случаях своевременное обнаружение и исправление искажений). Оценка результатов деятельности может также указать аудитору, что риски искажения соответствующей информации, изложенной в финансовой отчетности, действительно существуют. Например, оценка результатов деятельности может указать, что у субъекта отмечается необычно быстрый рост или доходность по сравнению с ростом и доходностью других субъектов, работающих в той же отрасли. Такая информация, особенно в сочетании с другими факторами, такими как вознаграждения, основанные на результатах деятельности, или мотивационные вознаграждения, может указать на потенциальный риск предвзятости руководства субъекта при подготовке финансовой отчетности.
Аспекты, характерные для малых субъектов
A41. У малых субъектов зачастую нет процессов для оценки и обзора финансовых результатов. Запросы, направленные руководству субъекта, могут показать, что оно полагается на определенные ключевые показатели для оценки финансовых результатов и принятия соответствующих мер. Если такой запрос указывает на отсутствие оценки результатов деятельности или отсутствие обзора, может существовать повышенный риск искажений, которые не обнаруживаются и не исправляются.
Система внутреннего контроля субъекта(См. параграф 12)
A42. Знание системы внутреннего контроля помогает аудитору при идентификации видов потенциальных искажений и факторов, которые оказывают влияние на риски существенных искажений, а также при
МСА 315 |
348 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
определении характера, сроков выполнения и масштаба дальнейших аудиторских процедур.
A43. Материал по системе внутреннего контроля представлен в четырех разделах, следующим образом:
•Общий характер и особенности системы внутреннего контроля.
•Средства контроля, которые являются значимыми для аудита.
•Характер и степень знания соответствующих средств контроля.
•Компоненты системы внутреннего контроля.
Общийхарактериособенностисистемывнутреннегоконтроля
Цель системы внутреннего контроля
A44. Система внутреннего контроля разрабатывается, внедряется и поддерживается с целью принятия ответных мер на идентифицированные предпринимательские риски, которые угрожают достижению любой из целей субъекта, связанных с:
•Надежностью финансовой отчетности субъекта;
•Эффективностью и результативностью его операций; и
•Соблюдением субъектом применимого законодательства и нормативных актов.
Метод организации, внедрения и реализации системы внутреннего контроля меняется в зависимости от размера и сложности структуры субъекта.
Аспекты, характерные для малых субъектов
A45. Малые субъекты могут использовать менее структурированные средства и более простые процессы и процедуры для достижения своих целей.
Ограничения системы внутреннего контроля
A46. Система внутреннего контроля, вне зависимости от того, насколько она эффективна, может предоставить субъекту только разумную уверенность в достижении субъектом целей финансовой отчетности. На вероятность достижения влияют ограничения, присущие системе внутреннего контроля. Они включают вероятность того, что человеческое суждение при принятии решения может оказаться неверным, а также возможность сбоев в системе внутреннего контроля по причине человеческих ошибок. Например, могут быть ошибки в организации средства контроля или в том, какие изменения вносятся в средство контроля. Аналогичным образом, функционирование какоголибо средства контроля может оказаться неэффективным, например,
349 |
МСА 315 |
АУДИТ
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
когда информация, полученная в целях внутреннего контроля(например, отчет об отклонениях)используется неэффективно, потому что физическое лицо, отвечающее за проверку информации, не понимает ее цели или не в состоянии предпринять соответствующие действия.
A47. Более того, существует возможность обойти средства контроля посредством сговора двух или более человек или в результате игнорирования руководством субъекта системы внутреннего контроля. Например, руководство субъекта может вступить в сторонние соглашения с клиентами, которые изменяют сроки и условия стандартных коммерческих контрактов субъекта, что может привести к ненадлежащему признанию дохода. Кроме того, контрольные проверки в программном обеспечении, разработанные для определения и подготовки отчетности по операциям, превышающим определенные кредитные лимиты, могут быть проигнорированы или блокированы.
A48. Далее, при разработке и внедрении средств контроля руководство субъекта может вынести суждения по характеру и масштабу средств контроля, которые оно намеревается внедрить, а также по характеру и степени рисков, которые оно готово принять.
Аспекты, характерные для малых субъектов
A49. Малые субъекты зачастую располагают меньшим числом сотрудников, что может ограничить степень возможного разделения обязанностей. Однако, в субъекте малого бизнеса, управляемым собственником, собственник-управляющий может осуществлять более эффективный надзор, чем в более крупном субъекте. Такой надзор может компенсировать в целом более ограниченные возможности разделения обязанностей.
A50. С другой стороны, собственник-управляющий может иметь больше возможностей обойти средства контроля, потому что система внутреннего контроля является менее структурированной. Это принимается во внимание аудитором при идентификации рисков существенных искажений, вызванных мошенничеством.
Разделение системы внутреннего контроля на компоненты
A51. Разделение системы внутреннего контроля на следующие пять компонентов, в контексте МСА, служит полезной основой для рассмотрения аудиторами того, каким образом различные аспекты системы внутреннего контроля субъекта могут затронуть аудит:
(а) Контрольная среда; (б) Процесс оценки риска субъектом;
МСА 315 |
350 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
(в) Информационная система, включая соответствующие бизнес-процессы, связанные с финансовой отчетностью, и обмен информацией;
(г) Действия по контролю; и (д) Мониторинг средств контроля.
Разделение не обязательно отражает то, как субъект разрабатывает, внедряет и поддерживает систему внутреннего контроля, или как субъект может классифицировать какой-либо конкретный компонент. Аудиторы могут использовать такую терминологию или основу для описания различных аспектов системы внутреннего контроля и их влияния на аудит, которые отличаются от используемых в данном МСА при условии, что все компоненты, описанные в данном МСА, рассмотрены.
A52. Руководство по применению, рассматривающее пять компонентов системы внутреннего контроля и их влияние на аудит финансовой отчетности, изложено в параграфах A69-A104 ниже. Приложение 1 предоставляет дальнейшее объяснение этих компонентов системы внутреннего контроля.
Особенности ручных и автоматизированных элементов системы внутреннего контроля, которые являются значимыми для оценки риска аудитором
A53. Система внутреннего контроля субъекта содержит ручные элементы и зачастую содержит автоматизированные элементы. Особенности ручных или автоматизированных элементов являются значимыми для оценки риска аудитором и дальнейших аудиторских процедур, которые основаны на такой оценке.
A54. Использование ручных или автоматизированных элементов в системе внутреннего контроля также оказывает влияние на способ, используемый для инициирования, записи, обработки и обобщения операций:
•Средства контроля в рамках ручной системы могут включать такие процедуры, как утверждение и обзор операций, сверка и последующие действия по результатам сверки. В качестве альтернативы, субъект может использовать автоматизированные процедуры для инициирования, записи, обработки и обобщения операций, в случае чего отчеты в электронной форме заменяют печатные документы.
•• Средства контроля в информационных системах представляют собой сочетание автоматизированных средств контроля(например, средства контроля, встроенные в компьютерные программы)и ручных средств контроля. Более того, ручные средства контроля могут быть независимыми от
351 |
МСА 315 |
АУДИТ
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
ИТ, могут использовать информацию, генерированную ИТ, или могут ограничиваться мониторингом эффективности функционирования ИТ и автоматизированных средств контроля, а также обработкой отклонений. Если ИТ используются для инициирования, записи, обработки и обобщения операций или другой финансовой информации, предназначенной для включения в финансовую отчетность, системы и программы могут обслуживать средства контроля, связанные с соответствующими утверждениями по существенным счетам, или могут играть важную роль в обеспечении эффективного функционирования ручных средств контроля, зависящих от ИТ.
Сочетание ручных и автоматизированных средств контроля в субъекте зависит от характера и сложности использования ИТ субъектом.
A55. В целом, ИТ вносит вклад в систему внутреннего контроля субъекта, предоставляя последнему возможность:
•Последовательно применять заранее определенные правила ведения бизнеса и выполнять сложные расчеты при обработке больших объемов операций и данных;
•Обеспечивать своевременность, доступность и точность информации;
•Облегчить дополнительный анализ информации;
•Усилить мониторинг результатов деятельности субъекта, а также его политики и процедур;
•Снизить риск игнорирования системы контроля; и
•Обеспечить эффективное разделение обязанностей путем внедрения средств контроля безопасности в прикладных программах, базах данных и операционных системах.
A56. ИТ также приводят к возникновению рисков системы внутреннего контроля субъекта, а именно:
•Система внутреннего контроля полагается на системы или программы, которые неточно обрабатывают данные, обрабатывают неточные данные, или и то и другое.
•Несанкционированный доступ к данным, что может вызвать уничтожение данных или ненадлежащие изменения в данных, включая отражение несанкционированных или несуществующих операций или неточное отражение операций. В частности, риски могут возникнуть, если к общей базе данных имеют доступ многочисленные пользователи;
МСА 315 |
352 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
•Вероятность получения персоналом отдела ИТ прав доступа, превышающих права доступа, необходимые для выполнения их обязанностей, что нарушает порядок разделения обязанностей.
•Несанкционированные изменения в данных основного файла.
•Несанкционированные изменения в системах или программах.
•Неспособность внесения необходимых изменений в системы или программы.
•Неправомерное ручное вмешательство.
•Потенциальные потери данных или невозможность доступа к необходимым данным.
A57. Ручные элементы системы внутреннего контроля могут оказаться более приемлемыми в случае, когда требуется вынесение суждения и усмотрение как, например, в следующих обстоятельствах:
•Крупные, необычные, или единичные операции.
•Обстоятельства, при которых трудно определить, предсказать или прогнозировать ошибки.
•При изменяющихся обстоятельствах, требующих реакции со стороны средств контроля, которая выходит за рамки существующего автоматизированного контроля.
•При мониторинге эффективности автоматизированных средств контроля.
A58. Ручные элементы в системе внутреннего контроля могут оказаться менее надежными, чем автоматизированные, так как их легче обойти, проигнорировать, и они более подвержены простым ошибкам. Поэтому невозможно принять допущение о последовательности применения элемента ручного контроля. Ручные элементы менее приемлемы в следующих случаях:
•Большой объем операций или повторяющиеся операции, или ситуации, когда ошибки, которые можно предсказать или прогнозировать, могут быть предотвращены или обнаружены и исправлены при помощи автоматизированных элементов контроля.
•Действия по контролю, когда можно надлежащим образом разработать и автоматизировать осуществление контроля.
A59. Масштаб и характер рисков, связанных с системой внутреннего контроля, варьируются в зависимости от природы и характерных особенностей информационной системы субъекта. Субъект реагирует на риски, связанные с использованием ИТ или ручных элементов в системе внутреннего контроля, путем установления эффективных
353 |
МСА 315 |
АУДИТ
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
средств контроля в свете особенностей информационной системы субъекта.
Средстваконтроля, которыеявляютсязначимымидляаудита
A60. Существует прямая связь между целями субъекта и средствами контроля, которые он применяет для обеспечения разумной уверенности в их достижении. Цели субъекта и, следовательно, средства контроля связаны с представлением финансовой отчетности, операциями и вопросами соответствия; но не все эти цели и средства являются значимыми при оценке риска аудитором.
A61. Среди факторов, которые являются значимыми для вынесения суждения аудитором о том, является ли средство контроля, само по себе или в сочетании с другими средствами контроля, значимым для аудита, можно назвать следующие вопросы:
•Существенность.
•Значимость сопутствующего риска.
•Размер субъекта.
•Характер бизнеса субъекта, включая особенности его организации и структуры собственности.
•Разнообразие и сложность операций субъекта.
•Применимые требования законодательства и регулирующих органов.
•Обстоятельства и применимый компонент системы внутреннего контроля.
•Характер и сложность систем, которые являются частью системы внутреннего контроля субъекта, включая использование обслуживающих организаций.
•Каким образом определенное средство контроля, само по себе или в сочетании с другими средствами контроля, предотвращает или обнаруживает и исправляет существенное искажение, если таковое вообще происходит.
A62. Средства контроля над полнотой и точностью информации, подготавливаемой субъектом, также являются значимыми для аудита, если аудитор намеревается использовать эту информацию при разработке и выполнении дальнейших процедур. Средства контроля, связанные с операционными целями и целями соответствия, также могут оказаться значимыми для аудита, если они связаны с данными, которые аудитор оценивает или использует при применении аудиторских процедур.
МСА 315 |
354 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
A63. Система внутреннего контроля, связанная с защитой активов от несанкционированного приобретения, использования или реализации может включать средства контроля, связанные как с целями финансовой отчетности, так и с целями деятельности. Рассмотрение аудитором таких средств контроля в целом ограничивается средствами контроля, связанными с надежностью финансовой отчетности.
A64. Субъект обычно располагает средствами контроля, связанными с целями, которые не являются значимыми для аудита и которые, следовательно, не обязательно рассматривать. Например, субъект может полагаться на сложную автоматизированную систему контроля с целью обеспечения эффективной и результативной деятельности(такую как, например, система автоматизированного управления полетами коммерческих авиалиний), но эти средства контроля обычно не являются значимыми для аудита. Более того, несмотря на то что система внутреннего контроля распространяется на весь субъект или на любую из его операционных единиц или бизнес-процессов, знание средств внутреннего контроля, связанных с каждой операционной единицей субъекта и каждым бизнес-процессом, может и не являться значимым для аудита.
Аспекты, характерные для субъектов государственного сектора
A65. На аудиторов государственного сектора зачастую налагаются дополнительные обязанности по отношению к системе внутреннего контроля, например, обязанность докладывать о соблюдении установленного свода правил. У аудиторов государственного сектора также могут быть обязанности докладывать о соблюдении требований законодательства, нормативных актов или иных регулирующих положений. В результате, обзор такими аудиторами системы внутреннего контроля может быть более обширным и более детальным.
Характеристепеньзнаниясоответствующих средствконтроля(См. параграф13)
A66. Оценка организации системы контроля подразумевает рассмотрение вопроса о том, способно ли средство контроля, само по себе или в сочетании с другими средствами контроля, эффективно предотвращать или обнаруживать и исправлять существенные искажения. Внедрение системы контроля означает, что система контроля существует и что субъект использует такую систему. Нет особого смысла в оценке внедрения системы контроля, которая не является эффективной, и, таким образом, в первую очередь рассматривают организацию системы контроля. Ненадлежащим образом организованная система контроля может составлять существенный недостаток в системе внутреннего контроля субъекта.
355 |
МСА 315 |
АУДИТ