ВиМСА / MSA2009
.pdf
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
A67. Процедуры по оценке риска, предназначенные для получения аудиторского доказательства об организации и внедрении соответствующей системы контроля могут включать:
•Запросы персоналу субъекта.
•Наблюдение за применением конкретных средств контроля.
•Инспектирование документов и отчетов.
•Отслеживание через информационную систему операций, которые являются значимыми для финансовой отчетности.
Одних только запросов, однако, не достаточно для достижения указанных целей.
A68. Получение знания о средствах контроля субъекта не является достаточным, чтобы заменить собой тестирование эффективности функционирования средств контроля, если только нет автоматизированного процесса, который обеспечивает последовательное применение средств контроля. Например, получение аудиторских доказательств в отношении внедрения осуществляемого вручную средства контроля на определенную дату не является аудиторским доказательством эффективности функционирования средств контроля на другие даты в течение аудируемого периода. Однако, по причине внутренней последовательности, присущей процессу обработки информации посредством ИТ(См. параграф А55), выполнение аудиторских процедур с целью определения того, было ли внедрено автоматизированное средство контроля, может выступать в качестве теста эффективности функционирования такого средства контроля в зависимости от оценки и тестирования аудитором средств контроля таких как, например, средства контроля над изменениями в программе. Тесты эффективности функционирования средств контроля описаны в МСА 330.1
Компонентысистемывнутреннегоконтроля– контрольнаясреда(См. параграф14)
A69. Контрольная среда включает функции по руководству и управлению, а также отношение, осведомленность и действия лиц, наделенных руководящими полномочиями, и руководства субъекта в отношении системы внутреннего контроля субъекта и её важности для субъекта. Контрольная среда устанавливает общую атмосферу организации, влияющую на осознание персоналом необходимости контроля.
A70. Элементы контрольной среды, которые могут оказаться значимыми при получении представления о контрольной среде, включают следующее:
1 |
МСА 330, «Действия аудитора в ответ на оцененные риски». |
|
|
МСА 315 |
356 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
(а) Информирование о принципах честности и этических ценностях и воплощение таких принципов и ценностей – это основные элементы,
влияющие на эффективность организации, администрирования и мониторинга средств контроля.
(б) Приверженность принципам профессиональной компетентности –
определение руководством субъекта необходимого уровня профессиональной компетентности для определенных должностей, а также того, как этот уровень трансформируется в требуемые навыки и знания.
(в) Участие лиц, наделенных руководящими полномочиями – такие признаки, присущие лицам, наделенным руководящими полномочиями, как:
•Независимость от руководства субъекта.
•Опыт и статус.
•Масштаб их участия, информация, которую они получают, и проверка деятельности.
•Надлежащий характер их действий, включая случаи, когда сложные вопросы определяются и рассматриваются руководством субъекта, а также их взаимодействие с внутренними и внешними аудиторами.
(г) Философия и стиль работы руководства субъекта – такие характеристики, как:
• |
Подход руководства субъекта к принятию и управлению |
|
|
• |
предпринимательскими рисками. |
|
АУДИТ |
Отношение руководства субъекта |
к представлению |
||
|
этой связи. |
|
|
|
финансовой отчетности и действия руководства субъекта в |
|
|
• |
Отношение руководства субъекта к обработке информации, |
|
|
|
функциям и персоналу, связанным с бухгалтерским учетом. |
|
|
(д) Организационная структура – основа, в рамках которой планируется, выполняется, контролируется и проверяется деятельность субъекта, направленная на достижение его целей.
(е) Делегирование полномочий и ответственности – метод делегирования полномочий и ответственности, связанных с операционной деятельностью, и метод установления отношений подотчетности и иерархии полномочий.
(ж) Политика и практика управления человеческими ресурсами – политика и практика в отношении, например, поиска кадров,
357 |
МСА 315 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
ориентирования, обучения, оценки, консультирования, продвижения по службе, компенсации и оздоровительных мер.
Аудиторское доказательство в отношении элементов контрольной среды
A71. Соответствующее аудиторское доказательство может быть получено посредством сочетания запросов и других процедур по оценке риска, таких как подтверждение запросов с помощью наблюдения или инспектирования документов. Например, посредством запросов руководству субъекта и сотрудникам субъекта аудитор может получить представление о том, как руководство субъекта информирует сотрудников о своих взглядах на методы ведения бизнеса и этическое поведение. После этого аудитор может установить, были ли соответствующие средства контроля внедрены, посредством рассмотрения, например, вопроса о том, есть ли у руководства субъекта письменный кодекс поведения и поддерживает ли оно такой кодекс своими действиями.
Влияние контрольной среды на оценку рисков существенных искажений
A72. Некоторые элементы контрольной среды субъекта оказывают повсеместное влияние на оценку рисков существенных искажений. Например, контрольное самосознание субъекта подвергается влиянию со стороны лиц, наделенных руководящими полномочиями, потому что одна из их функций заключается в уравновешивании давления, оказываемого на руководство субъекта в связи с финансовой отчетностью, которое может явиться результатом требований рынка или схемы вознаграждения. Следовательно, эффективность организации контрольной среды в части участия лиц, наделенных руководящими полномочиями, подвержена влиянию таких аспектов, как:
•Их независимость от руководства субъекта и их способность оценить действия руководства субъекта.
•Понимают ли они деловые операции субъекта.
•Степень, в которой они оценивают соответствие финансовой отчетности применимой основе представления финансовой отчетности.
A73. Активный и независимый совет директоров может влиять на философию и стиль работы старшего руководства субъекта. Однако, действие других элементов может быть ограничено в большей степени. Например, несмотря на то что политика и практика управления человеческими ресурсами, направленные на наём компетентного персонала в области финансов, бухгалтерского учета и информационных технологий, могут уменьшить риск ошибок при обработке финансовой информации, они не могут смягчить сильную
МСА 315 |
358 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
предвзятость высшего руководства субъекта с целью завышения дохода.
A74. Существование удовлетворительной контрольной среды может являться позитивным фактором при оценке аудитором рисков существенных искажений. Несмотря на то что она может помочь снизить риск мошенничества, удовлетворительная контрольная среда не является абсолютной защитой против мошенничества. И наоборот, недостатки в контрольной среде могут уменьшить эффективность средств контроля, особенно, в отношении мошенничества. Например, неспособность руководства субъекта выделить достаточные ресурсы на управление рисками, связанными с безопасностью информационных систем, может оказать неблагоприятное влияние на систему внутреннего контроля, создавая возможности для внесения ненадлежащих изменений в компьютерные программы или данные или для обработки несанкционированных операций. Как поясняется в МСА 330, контрольная среда также влияет на характер, сроки выполнения и масштаб дальнейших процедур аудитором1.
A75. Контрольная среда сама по себе не предотвращает, не обнаруживает и не исправляет существенные искажения. Она может, однако, оказать влияние на оценку аудитором эффективности других средств контроля(например, мониторинг средств контроля и осуществление определенных действий по контролю)и, таким образом, оценку аудитором рисков существенных искажений.
Аспекты, характерные для малых субъектов
A76. Контрольная среда субъектов малого бизнеса, вероятно, будет отличаться от более крупных субъектов. Например, в состав лиц, наделенных руководящими полномочиями, субъектов малого бизнеса может и не входить независимый или внешний участник, и функции по управлению могут выполняться непосредственно собственникомуправляющим, если нет других владельцев. Характер контрольной среды может также повлиять на важность других средств контроля или их отсутствия. Например, активное участие собственникауправляющего может смягчить определенные риски, возникающие в результате недостаточного разделения обязанностей в субъекте малого бизнеса; это может, однако, повысить другие риски, например, риск игнорирования средств контроля.
A77. Более того, аудиторское доказательство в отношении элементов контрольной среды в малых субъектах может оказаться недоступным в документарной форме, особенно, если обмен информацией между руководством субъекта и другим персоналом носит неофициальный
1 |
МСА 330, параграфы А2-А3. |
|
359 |
МСА 315 |
АУДИТ
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
характер, но все же является эффективным. Например, субъекты малого бизнеса могут и не иметь письменного кодекса поведения, но, вместо этого, разработать культуру, которая подчеркивает важность порядочности и этического поведения посредством устной передачи информации и личного примера руководства субъекта.
A78. Следовательно, отношение, осведомленность и действия руководства субъекта или собственника-управляющего имеют особое значение для представлений аудитора о контрольной среде малого субъекта.
Компоненты системы внутреннего контроля – процесс оценки риска субъектом (См. параграф15)
A79. Процесс оценки риска субъектом формирует основу для того, как руководство субъекта определяет риски, которые необходимо контролировать. Если этот процесс соответствует обстоятельствам субъекта, включая характер, размер и сложность структуры субъекта, это поможет аудитору при идентификации рисков существенных искажений. Вопрос о том, соответствует ли процесс оценки риска субъектом обстоятельствам, является вопросом профессионального суждения.
Аспекты, характерные для малых субъектов (См. параграф 17)
A80. У субъектов малого бизнеса, как правило, нет установленного процесса оценки риска. В таких случаях, вероятнее всего, руководство субъекта идентифицирует риски посредством прямого личного участия в бизнесе. Однако, независимо от обстоятельств, необходимо направить запрос об идентифицированных рисках, а также о том, каким образом на них реагирует руководство субъекта.
Компоненты системы внутреннего контроля – информационная система, включая соответствующие бизнес-процессы, связанные с финансовой отчетностью, и обмен информацией
Информационная система, включая соответствующие бизнес-процессы, связанные с финансовой отчетности(См. параграф 18)
A81. Информационная система, работающая на цели подготовки финансовой отчетности и включающая систему бухгалтерского учета, состоит из процедур и записей, разработанных и установленных для:
•Инициирования, записи, обработки и обобщения операций субъекта(а также событий и условий), равно как и обеспечения учета соответствующих активов, обязательств, и капитала;
•Решения проблемы неправильной обработки операций, например, автоматизированные следящие файлы и процедуры, используемые для выравнивания статей, разграничивающих учет
МСА 315 |
360 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
затрат и поступлений между смежными отчетными периодами на своевременной основе;
•Обработки и учета фактов «пересиливания» системы и игнорирования средств контроля;
•Передачи информации от систем обработки операции в главную бухгалтерскую книгу;
•Захвата информации, являющейся значимой для финансовой отчетности, которая связана с событиями и условиями и не является информацией об операциях, например, износ и амортизация активов и изменения в возвратности дебиторской задолженности; и
•Обеспечения того, что информация, раскрытие которой требуется согласно применимой основе представления финансовой отчетности, была собрана, записана, обработана, обобщена и надлежащим образом отражена в финансовой отчетности.
Журнальные проводки
A82. Информационная система субъекта обычно подразумевает использование стандартных журнальных проводок, применяемых на постоянной основе для отражения операций. Примерами могут служить журнальные проводки для отражения в главной бухгалтерской книге продажи, покупки, выплаты наличных или для отражения расчетных оценок, периодически производимых руководством субъекта, например, изменения в оценке безнадежной дебиторской задолженности.
A83. Процесс подготовки финансовой отчетности субъекта также включает использование нестандартных журнальных проводок для отражения единичных, необычных операций или корректировок. Примерами таких проводок являются корректировки при консолидации и проводки по объединению бизнеса или выбытиям или разовые оценки, такие как обесценение актива. В ручной системе, основанной на ведении бухгалтерских книг на бумажных носителях, нестандартные журнальные проводки могут определяться путем инспектирования бухгалтерских книг, журналов и подтверждающей документации. Однако, при использовании автоматизированных процедур для ведения главной бухгалтерской книги и подготовки финансовой отчетности такие проводки могут существовать только в электронной форме и их легче определить с помощью компьютеризированных приемов аудита(КПА).
Соответствующие бизнес-процессы
A84. Бизнес-процессы субъекта – это действия, разработанные с целью:
361 |
МСА 315 |
АУДИТ
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
•Разработки, покупки, производства, продажи и распространения продукции и услуг субъекта;
•Обеспечения соблюдения законодательства и нормативных актов; и
•Учета информации, включая информацию по бухгалтерскому учету и финансовой отчетности.
Результатом бизнес-процессов являются операции, которые записаны, обработаны и отражены в отчетности информационной системой. Получение представления о бизнес-процессах субъекта, что включает представление о том, каким образом операции возникают, помогает аудитору получить представление об информационной системе субъекта, связанной с финансовой отчетностью наиболее уместным при обстоятельствах субъекта способом.
Аспекты, характерные для малых субъектов
A85. Информационные системы и соответствующие бизнес-процессы, связанные с финансовой отчетностью в субъектах малого бизнеса, вероятнее всего, будут менее сложными, чем в более крупных субъектах, но их роль является не менее значительной. Субъекты малого бизнеса, в которых отмечается активное участие руководства субъекта, могут и не испытывать необходимости в обширных описаниях бухгалтерских процедур, в сложных данных бухгалтерского учета или зафиксированной в письменном виде политике. Поэтому получение представления о системах и процессах субъекта при аудите малых субъектов может оказаться более легким, при этом получено такое представление может быть скорее посредством запросов, а не обзора документации. Однако, важность получения такого представления сохраняется.
Обмен информацией (См. параграф 19)
A86. Процесс передачи субъектом информации о функциях и обязанностях, связанных с финансовой отчетностью, а также о значительных вопросах, касающихся финансовой отчетности, подразумевает передачу знания об индивидуальных функциях и обязанностях, связанных с системой внутреннего контроля над финансовой отчетностью. Этот процесс также охватывает такие вопросы, как степень понимания персоналом того, как их действия в рамках информационной системы, используемой для подготовки и представления финансовой отчетности, связаны с работой других лиц, а также осведомленность персонала о средствах передачи информации об отклонениях сотрудникам более высокого уровня субъекта. Обмен информацией может принимать такие формы как руководства по политике и руководства по подготовке и представлению финансовой отчетности. Открытые каналы обмена информацией гарантируют, что
МСА 315 |
362 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
об отклонениях станет известно и будут предприняты соответствующие действия.
Аспекты, характерные для малых субъектов
A87. В субъектах малого бизнеса, по сравнению с более крупными субъектами, процесс обмена информацией может быть менее структурированным и более простым по причине меньшего количества уровней ответственности, а также ввиду того, что руководство субъекта ближе к персоналу и является более доступным.
Компоненты системы внутреннего контроля – действия по контролю (См. параграф
20)
A88. Действия по контролю – это политика и процедуры, которые помогают гарантировать, что директивы руководства субъекта выполнены. Действия по контролю, как в рамках информационных, так и ручных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях. Примеры конкретных действий по контролю включают действия, связанные с:
•Санкционированием.
•Обзором результатов деятельности.
•Обработкой информации.
•Физическим контролем.
•Разделением обязанностей.
A89. Действия по контролю, которые являются значимыми для аудита:
• |
Действия, которые необходимо рассматривать как значимые для |
АУДИТ |
|
аудита, поскольку они являются действиями по контролю, |
|
|
связанными со значительными рисками, а также действия, |
|
|
связанные с рисками, в отношении которых одни только |
|
|
процедуры проверки по существу не обеспечивают достаточное |
|
|
и надлежащее аудиторское доказательство, как то требуется в |
|
|
соответствии с параграфами 29 и 30, соответственно; или |
|
• |
Действия, которые расцениваются как значимые, согласно |
|
|
суждению аудитора. |
|
A90. На суждение аудитора о том, является ли действие по контролю значимым для аудита, оказывает влияние идентифицированный аудитором риск, который может привести к существенному искажению, а также то, считает ли аудитор, что будет уместно протестировать эффективность функционирования средства контроля при определении масштаба тестирования по существу.
A91. Аудитор может сделать акцент на идентификации действий по контролю и получении представления о действиях по контролю,
363 |
МСА 315 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
которые распространяются на те области, которые, по мнению аудитора, характеризуются более высоким риском существенных искажений. Когда несколько действий по контролю обеспечивают достижение одной и той же цели, нет необходимости получать представление о каждом действии по контролю, связанном с такой целью.
A92. Знание аудитора о наличии или отсутствии действий по контролю, полученное на основе представления о других компонентах системы внутреннего контроля, помогает аудитору при определении необходимости уделить дополнительное внимание получению представления о действиях по контролю.
Аспекты, характерные для малых субъектов
A93. Концепции, лежащие в основе действий по контролю в субъектах малого бизнеса, вероятно, будут аналогичны тем, что используются в более крупных субъектах, но степень их формализации может сильно отличаться. Более того, субъекты малого бизнеса могут счесть, что определенные виды действий по контролю неуместны ввиду средств контроля, применяемых руководством субъекта. Например, единоличные полномочия руководства субъекта по предоставлению кредитов клиентам и одобрению значительных покупок могут обеспечить сильный контроль над важными сальдо счетов и операциями, тем самым уменьшая или устраняя необходимость в более детальных действиях по контролю.
A94. Действия по контролю, которые являются значимыми для аудита малого субъекта, обычно связаны с основными операционными циклами, такими как доходы, покупки и затраты на оплату труда.
Риски, связанные с информационными технологиями (См. параграф 21)
A95. Использование ИТ оказывает влияние на способ осуществления действий по контролю. С точки зрения аудитора, средства контроля над системами ИТ эффективны, если они обеспечивают целостность информации и безопасность данных, обрабатываемых такой системой, и включают эффективные общие средства контроля в информационных технологиях и прикладные средства контроля.
A96. Общие средства контроля в информационных технологиях – это политика и процедуры, которые связаны с множеством приложений и предназначены для обеспечения эффективного функционирования прикладных средств контроля. Они применяются в отношении среды «мэйнфрейм», «минифрейм», и среды конечного пользователя. Общие средства контроля в информационных технологиях, которые обеспечивают целостность информации и безопасность данных, как правило, включают средства контроля над:
МСА 315 |
364 |
ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКА СУЩЕСТВЕННЫХ ИСКАЖЕНИ8Й НА ОСНОВЕ ЗНАНИЯ СУБЪЕКТА И ЕГО СРЕДЫ
•Центром данных и работой сети.
•Приобретением, изменением и обслуживанием системного программного обеспечения.
•Изменением программы.
•Безопасностью доступа.
•Приобретением, разработкой и обслуживанием прикладных систем.
Такие средства контроля в целом применяются в отношении рисков, упомянутых в параграфеA56 выше.
A97. Прикладные средства контроля – это автоматизированные или осуществляемые вручную процедуры, которые обычно используются на уровне обработки бизнес-процесса и применяются для обработки операций отдельными прикладными прогаммами. Прикладные средства контроля могут быть по своему характеру предупреждающими или обнаруживающими и предназначены для обеспечения верности данных бухгалтерского учета. Соответственно, прикладные средства контроля относятся к процедурам, используемым для инициирования, регистрации, обработки и обобщения операций или другой финансовой информации... Данные средства контроля помогают получить уверенность в том, что совершенные операции были санкционированы, а также зарегистрированы и обработаны правильно и в полном объеме. Среди примеров можно назвать контрольную проверку вводимых данных и проверку числовой последовательности с принимаемыми вручную мерами по отчетам об отклонениях или исправлением данных на этапе ввода.
Компоненты системы внутреннего контроля – мониторинг средств контроля (См. параграф22)
A98. Мониторинг средств контроля – это процесс оценки эффективности функционирования системы внутреннего контроля в течение определенного периода времени. Он включает своевременную оценку эффективности средств контроля и осуществление необходимых корректирующих мероприятий. Руководство субъекта осуществляет мониторинг средств контроля посредством непрерывной деятельности, отдельных оценок или комбинации того и другого. Непрерывный мониторинг зачастую является встроенной функцией в постоянных операциях субъекта в ходе обычной деятельности и включает регулярные управленческие и надзорные действия.
A99. Мониторинг, осуществляемый руководством субъекта, может также включать использование информации, полученной от внешних сторон, такой как жалобы клиентов и комментарии регулирующих органов,
365 |
МСА 315 |
АУДИТ