- •Цілі аудиту
- •Узгодження умов завдання
- •План аудиту містить, серед іншого, таке:
- •Отримання знання бізнесу
- •Розробка загального плану аудиту
- •46. Оцінюючи суттєвість, крім міркувань, наведених у мса 320 «Суттєвість при плануванні та проведенні аудиту» аудитор розглядає такі чинники:
- •Ідентифікація, документування і тестування процедур контролю
- •Розробляючи план аудиту для оцінки ефективності заходів контролю банку щодо звірки, аудитор бере до уваги такі чинники:
- •Аудиторські процедури
- •Приклади ділянок, в яких аудитор може використовувати підтвердження:
- •Конкретні процедури стосовно певних статей у фінансовій звітності
Розробка загального плану аудиту
29. Розробляючи загальний план аудиту фінансової звітності банку, аудитор
приділяє особливу увагу:
складності операцій, здійснених банком, і документації, що їх стосується;
обсягу основної діяльності, виконаної організаціями, що надають послуги;
непередбаченим зобов'язанням і позабалансовим статтям;
врахуванню нормативних актів;
ступеню використання банком ІТ та інших систем;
прогнозним оцінкам властивого ризику та ризику контролю;
роботі підрозділу внутрішнього аудиту;
оцінці аудиторського ризику;
оцінці суттєвості;
запевненням управлінського персоналу;
залученню інших аудиторів;
76
географічному розосередженню банківських операцій та координуванню роботи різних груп аудиторів;
наявності операцій з пов'язаними сторонами;
міркуванням щодо безперервності діяльності.
Ці питання обговорюються у наведених нижче параграфах.
Складність здійснюваних операцій
30. Банки, як правило, широко диверсифікують свою діяльність; це означає, що іноді аудитору важко повністю зрозуміти наслідки певних операцій. Операції можуть бути настільки складними, що сам управлінський персонал не може належно проаналізувати ризики нових продуктів і послуг. Широке географічне розосередження операцій банку також може викликати труднощі. Банки здійснюють операції, що мають складні й важливі характеристики. Такі характеристики можуть не бути очевидними з документації, яку використовують для обробки операцій та їхнього відображення в облікових записах банку. Це призводить до ризику того, що не всі аспекти операції будуть зареєстровані чи обліковані повністю і правильно, що, в свою чергу, є причиною таких ризиків:
збитку, який виникає внаслідок невиконання своєчасних виправних заходів;
відсутності своєчасного створення достатніх резервів на покриття збитків;
неадекватного чи неналежного розкриття інформації у фінансовій звітності та інших звітах.
Аудитор отримує розуміння діяльності банку та операцій, здійснюваних ним, достатнє для надання йому можливості ідентифікувати і зрозуміти події, операції та практики, які, за судженням аудитора, можуть мати значний вплив на фінансову звітність чи на перевірку або аудиторський звіт.
АУДИТ
Багато сум, інформацію про які слід відобразити чи розкрити у фінансовій звітності, пов'язано із здійсненням судження управлінським персоналом, наприклад резерви на збитки від позик та резерви на фінансові інструменти, такі як резерв на ризик ліквідності, резерв на ризик моделі та резерв на операційний ризик. Чим вищий рівень потрібного судження, тим більший властивий ризик та вищий ступінь професійного судження аудитора. Так само можуть бути інші суттєві статті у фінансовій звітності, які пов'язані з обліковими оцінками. Аудитор враховує рекомендації, наведені у МСА 540 «Аудит облікових оцінок, у тому числі облікових оцінок за справедливою вартістю, та пов'язані з ними розкриття інформації».
77
Обсяг основної діяльності, здійсненої організаціями, що надають послуги
Загалом міркування, коли банк використовує організації, що надають послуги, не відрізняються від міркувань у разі їх використання будь-яким іншим суб'єктом господарювання. Проте банки іноді використовують організації, що надають послуги, для виконання їхньої основної діяльності, наприклад для управління кредитами та грошовими коштами. Якщо банк використовує організації, що надають послуги, для такої діяльності, аудитору може бути важко отримати достатні й відповідні аудиторські докази у разі відсутності взаємодії з боку організації, що надає послуги. МСА 420 надає подальші рекомендації з аудиторських міркувань і типів звітів, які аудитори організацій, що надають послуги, надають клієнтам організацій.
Непередбачені зобов 'язання та позабалансові статті
Банк зазвичай здійснює також операції, які:
мають низький дохід у вигляді комісії чи елемент прибутку як відсоток від основного активу або зобов'язання;
не потребують розкриття інформації в балансі або навіть у примітках до фінансової звітності згідно з національними нормативними актами;
відображаються лише на позабалансових рахунках, або
пов'язані з сек'юритизацією та реалізацією активів, отже, вони більше не відображаються у фінансовій звітності банку.
Прикладом таких операцій можуть бути послуги з безпечного зберігання, гарантії, листи-поруки і акредитиви, відсоткові й валютні «свопи», а також зобов'язання й опціони на придбання і продаж іноземної валюти.
34. Аудитор виконує огляд джерел доходів банку та отримує відповідні й достатні аудиторські докази щодо:
а) точності та повноти облікових записів, які стосуються таких операцій;
б) існування відповідних заходів контролю, призначених обмежувати банківські ризики, що виникають унаслідок таких операцій;
в) достатності будь-яких резервів на покриття збитків, які можуть бути потрібними;
г) достатності розкриття будь-якої інформації у фінансовій звітності, яка може бути потрібною.
Міркування стосовно нормативних актів
Положення з міжнародної практики аудиту 1004 надає інформацію і рекомендації з питань взаємовідносин між зовнішніми аудиторами та інспекторами з банківського нагляду. Базельський комітет видав
78
рекомендації з нагляду щодо раціональної банківської діяльності у сфері управління ризиками, систем внутрішнього контролю, обліку та розкриття інформації про позики, розкриття іншої інформації та щодо інших видів банківських операцій. Крім того, Базельський комітет видав рекомендації з оцінки достатності капіталу та інших важливих питань нагляду. Аудитори та всі бажаючі можуть знайти ці рекомендації на сайті Банку міжнародних розрахунків (БМР) в Інтернеті.
Згідно з МСА 3102 аудитор розглядає, чи відповідають твердження у фінансовій звітності знанням аудитора про бізнес. У багатьох нормативних базах рівень та типи діяльності, які дозволяється здійснювати банкам, залежать від рівня їхніх активів та зобов'язань, а також типів ризиків, властивих таким активам і зобов'язанням (концептуальна основа капіталу, зваженого за рівнем ризику). За таких обставин існує більший тиск на управлінський персонал щодо участі в оманливій фінансовій звітності через неправильну класифікацію активів та зобов'язань чи визначення їх як менш ризикованих, ніж вони є фактично, особливо якщо банк проводить діяльність при мінімальних (або близьких до них) рівнях необхідного капіталу.
Аудитори та інспектори з банківського нагляду виконують багато процедур, включаючи:
виконання аналітичних процедур;
отримання доказів функціонування системи внутрішнього контролю;
огляд якості активів банку та оцінку банківських ризиків.
Т
АУДИТ
ому аудитор може вважати корисним взаємодіяти з інспекторами й мати доступ до повідомлення інформації, яку інспектори могли адресувати управлінському персоналу банку про результати їхньої роботи. Оцінка, проведена інспекторами на важливих ділянках (наприклад, адекватність практики управління ризиками та резерви на позики), а також пруденційні коефіцієнти, які вони використовують, можуть допомогти аудитору у виконанні аналітичних процедур і привернути його увагу до конкретних ділянок, які становлять інтерес для нагляду.Обсяг використання ІТ та інших систем
Великий обсяг операцій і стислі строки, протягом яких їх треба обробити, як правило, призводять до того, що більшість банків широко використовують ІТ, ЕПК та інші телекомунікаційні системи.
Проблеми контролю, що виникають через використання банком ІТ, подібні до тих, які виникають при використанні цих систем іншими
__________
МСА 310 «Знання бізнесу» було анульовано в грудні 2004 р., коли набрав чинності МСА 315 «Ідентифікація та оцінка ризиків суттєвих викривлень через розуміння суб'єкта господарювання і його середовища»
79
організаціями. Проте питання, які становлять особливий інтерес для аудитора банку, охоплюють таке:
використання ІТ для обчислення й обліку практично всіх видів відсоткового доходу і витрат на відсотки, які зазвичай є двома найважливішими елементами у визначенні доходу банку;
використання ІТ та інших телекомунікаційних систем для визначення позицій цінних паперів в іноземній валюті та операцій з похідними фінансовими інструментами, а також для обчислення та обліку прибутків і збитків, що виникають як їх наслідок;
значну та в деяких випадках майже повну залежність від облікових записів, зроблених за допомогою ІТ, оскільки вони є єдиним легкодоступним джерелом докладної найновішої інформації про стан банківських активів і зобов'язань, таких як позики клієнтам і депозитні рахунки;
застосування складних моделей оцінки, вбудованих у системи ІТ;
моделі, використані для оцінки вартості активів, і дані, використані у цих моделях, часто зберігають у формі електронних таблиць, складених працівниками на персональних комп'ютерах, які не зв'язані з базовими системами ІТ банку і не підлягають таким самим заходам контролю, як прикладні програми таких систем. ПМПА 1001 «Середовище ІТ: автономні персональні комп'ютери»3 дає рекомендації аудиторам з таких прикладних програм;
використання різних систем ІТ, що призводять до ризику втрати аудиторського сліду та несумісності різних систем.
Банки використовують системи ЕПК для внутрішніх операцій (наприклад, для переказу грошових коштів між філіями, між банкоматами і комп'ютерними файлами, які реєструють обсяг операцій на банківському рахунку) і для зовнішніх операцій між банком та іншими фінансовими установами (наприклад, через мережу 8ШЕТ — міжнародну міжбанківську систему електронних платежів), а також між банком та його клієнтами через Інтернет або інші засоби електронної комерції.
39. Аудитор отримує розуміння щодо базових прикладних програм з ІТ, ЕПК та телекомунікацій і зв'язків між цими прикладними програмами. Аудитор застосовує його до основних процесів бізнесу чи позицій у балансі для визначення чинників ризику для організації, а отже, для аудиту. Крім того, важливо ідентифікувати обсяг використання самостійно розроблених прикладних програм або інтегрованих систем, що матиме прямий вплив на підхід до аудиту. (Самостійно розроблені
_____________
ПМПА 1001 «Середовище ІТ: автономні персональні комп'ютери» вилучено в грудні 2004 р.
80
cистеми вимагають від аудитора особливої уваги до заходів контролю за змінами програми).
40. При проведенні аудиту в середовищі розподіленої системи ІТ аудитор має знати, де розміщені базові прикладні програми ІТ. Якщо глобальна мережа (ГМ) банку розосереджена в кількох країнах, до транскордонної обробки даних можуть застосовуватися особливі законодавчі норми. У такому середовищі важливою складовою частиною аудиту є аудиторська робота щодо системи контролю за доступом, особливо за системою попередження порушень права доступу.
41. Середовище електронної комерції суттєво змінює способи ведення бізнесу банком. Електронна комерція пов'язана з новими аспектами ризику та іншими міркуваннями, які розглядає аудитор. Наприклад, аудитор розглядає таке:
бізнес-ризики, які являє собою стратегія банку з е-комерції;
ризики, властиві технологіям, які банк обрав для впровадження стратегії з е-комерції;
дії управлінського персоналу у відповідь на певні ризики, включаючи міркування з контролю стосовно:
о дотримання законодавчих і нормативних вимог до операцій, які здійснюються в кількох країнах;
о захисту та конфіденційності передачі даних через Інтернет;
о повноти, точності, своєчасності та санкціонування операцій через Інтернет, коли вони реєструються у системі бухгалтерського обліку банку;
рівень навичок і компетентності з ІТ та е-комерції, якими володіють аудитор та асистенти.
4
АУДИТ
2. Організація може передавати види діяльності, пов'язані з ІТ чи ЕПК, зовнішнім постачальникам послуг. Аудитор отримує розуміння послуг, наданих сторонньою організацією, та систем заходів внутрішнього контролю у залученому банку та у продавця послуг, щоб визначити характер, обсяг і час процедур по суті. МСА 420 надає подальші рекомендації з цього питання.Очікувана оцінка властивого ризику та ризику контролю
43. Характер банківських операцій такий, що аудитор може бути нездатним зменшити аудиторський ризик до прийнятно низького рівня за допомогою виконання лише процедур по суті. Це зумовлено такими чинниками:
широке використання систем ІТ і ЕПК означає, що багато аудиторських доказів доступно лише в електронній формі та
81
створюється за допомогою власних систем ІТ суб'єкта господарювання;
великий обсяг операцій, здійснюваних банками, призводить до невпевненості лише в одних процедурах по суті;
географічна розосередженість операцій банків надзвичайно ускладнює достатнє охоплення;
труднощі з розробкою ефективних процедур по суті для аудиту складних торговельних операцій.
У більшості ситуацій аудитор не буде спроможним знизити аудиторський ризик до прийнятно низького рівня, якщо управлінський персонал не створить систему внутрішнього контролю, яка дасть можливість аудитору оцінити рівень властивого ризику та ризику контролю нижче від високого. Аудитор отримує достатні та відповідні аудиторські докази для підтвердження оцінки властивого ризику і ризику контролю. Параграфи 56—70 докладніше розглядають питання, пов'язані з внутрішнім контролем.
Робота підрозділу внутрішнього аудиту
Обсяг та цілі внутрішнього аудиту можуть варіюватися залежно від розміру й структури банку, а також вимог управлінського персоналу та тих, кого наділено найвищими повноваженнями. Проте роль підрозділу внутрішнього аудиту, як правило, полягає в огляді системи бухгалтерського обліку і відповідних заходів внутрішнього контролю, а також моніторингу їх функціонування і подання рекомендацій з їх удосконалення. Призначення аудиту зазвичай полягає також в огляді заходів, що використовуються для ідентифікації, оцінки й надання звітів про фінансову та операційну інформацію, а також у спеціальних запитах про окремі статті, включаючи докладну перевірку операцій, залишків на рахунках і процедур. Чинники, зазначені у параграфі 44, також спонукають аудитора використовувати підрозділ внутрішнього аудиту. Особливо це доречно у разі банків, філії яких географічно розосереджені. Часто в банках є відділ з аналізу заявок на кредити у складі підрозділу внутрішнього аудиту або самостійний підрозділ, який подає управлінському персоналу звіти про якість кредитів і про дотримання встановлених щодо них процедур. У будь-якому випадку аудитор часто розглядає можливість використання відділу з аналізу заявок на кредити після відповідного аудиту цього відділу та його роботи. Рекомендації з використання роботи внутрішнього аудитора викладено в МСА 610 «Використання роботи внутрішніх аудиторів».
Аудиторський ризик
Далі наведено три складові аудиторського ризику;
а) властивий ризик (ризик наявності суттєвих викривлень);
82
б) ризик контролю (ризик того, що система внутрішнього контролю банку своєчасно не попередить або не виявить та не виправить такі викривлення);
в) ризик невиявлення (ризик того, що аудитор не виявить будь-які суттєві викривлення, які залишаються).
Властивий ризик і ризик контролю існують незалежно від аудиту фінансової інформації і аудитор не може впливати на них. Характер ризиків, пов'язаних з банківською діяльністю, що обговорюються у параграфах 21—25, свідчить, що оцінений рівень властивого ризику на багатьох ділянках буде високим. Отже, банку необхідно мати адекватну систему внутрішнього контролю, якщо треба, щоб рівні властивого ризику та ризику внутрішнього контролю були нижчими від високого. Аудитор оцінює ці ризики і розробляє процедури по суті так, щоб зменшити аудиторський ризик до прийнятно низького рівня.
Суттєвість