"Международный стандарт аудита 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения"
Приложение N 7
к приказу Министерства финансов
Российской Федерации
от 24.10.2016 N 192н
МЕЖДУНАРОДНЫЙ СТАНДАРТ АУДИТА 315
(ПЕРЕСМОТРЕННЫЙ) "ВЫЯВЛЕНИЕ И ОЦЕНКА РИСКОВ СУЩЕСТВЕННОГО
ИСКАЖЕНИЯ ПОСРЕДСТВОМ ИЗУЧЕНИЯ ОРГАНИЗАЦИИ И ЕЕ ОКРУЖЕНИЯ"
Международный стандарт аудита (МСА) 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения" следует рассматривать вместе с МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита".
Введение
Сфера применения настоящего стандарта
1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по выявлению и оценке рисков существенного искажения финансовой отчетности посредством изучения организации и ее окружения, включая систему внутреннего контроля организации.
Дата вступления в силу
2. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, заканчивающиеся 15 декабря 2013 года или после этой даты.
Цель
3. Цель аудитора состоит в том, чтобы выявить и оценить риски существенного искажения, как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок, посредством изучения организации и ее окружения, включая систему внутреннего контроля организации, таким образом обеспечивая основу для разработки и осуществления аудиторских процедур в ответ на оцененные риски существенного искажения.
Определения
4. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:
(a) предпосылки - заявления руководства, сделанные в явной или иной форме, которые включены в финансовую отчетность и используются практикующим специалистом для рассмотрения различных типов потенциально возможных искажений;
(b) бизнес-риск - риск, возникающий в результате значительных условий, событий, обстоятельств, действий или бездействия, которые могут оказать негативное влияние на способность организации достичь поставленных целей и реализовать свою стратегию, или возникающий в результате установления ненадлежащих целей и стратегии;
(c) система внутреннего контроля - процессы, разработанные, внедренные и поддерживаемые лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками организации для обеспечения разумной уверенности в отношении достижения целей организации в области подготовки надежной финансовой отчетности, результативности и эффективности деятельности и соблюдения применимых законов и нормативных актов. Термин "средства контроля" относится к любым аспектам одного или нескольких компонентов системы внутреннего контроля;
(d) процедуры оценки рисков - процедуры, проводимые с целью получения понимания организации и ее окружения, включая систему внутреннего контроля организации, направленные на выявление и оценку рисков существенного искажения, как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок;
(e) значительный риск - выявленный и оцененный риск существенного искажения, который, согласно суждению аудитора, требует особого рассмотрения при аудите.
Требования
Процедуры оценки рисков и сопутствующие действия
5. Аудитор должен выполнить процедуры оценки рисков для того, чтобы создать основу для выявления и оценки рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок. Процедуры оценки рисков, однако, сами по себе не обеспечивают достаточных надлежащих аудиторских доказательств, на основе которых может быть сформировано аудиторское мнение (см. пункты A1 - A5).
6. Процедуры оценки рисков должны включать следующее:
(a) направление запросов руководству, соответствующим сотрудникам службы внутреннего аудита (при наличии), а также прочим лицам в организации, которые, по мнению аудитора, могут владеть информацией, способствующей выявлению рисков существенного искажения вследствие недобросовестных действий или ошибки (см. пункты A6 - A13);
(b) аналитические процедуры (см. пункты A14 - A17);
(c) наблюдение и инспектирование (см. пункт A18).
7. Аудитор должен рассмотреть вопрос, является ли значимой для выявления рисков существенного искажения информация, полученная при выполнении аудитором процедуры принятия или продолжения отношений с клиентом.
8. Если руководитель задания выполнял другие задания для организации, то он должен рассмотреть, является ли полученная им информация значимой для выявления рисков существенного искажения.
9. В тех случаях, когда аудитор планирует использовать информацию, полученную из предыдущего опыта его работы с организацией и аудиторских процедур, выполненных в ходе предыдущих аудиторских заданий, он должен установить, произошли ли какие-либо изменения со времени проведения предыдущего задания, которые могут повлиять на применимость такой информации для текущего аудита (см. пункты A19 - A20).
10. Руководитель задания и другие ключевые члены аудиторской группы должны обсудить степень подверженности финансовой отчетности организации существенному искажению и использование применимой концепции подготовки финансовой отчетности к фактам и обстоятельствам организации. Руководитель задания должен определить, какие вопросы должны быть доведены до сведения членов аудиторской группы, которые не участвовали в обсуждении (см. пункты A21 - A23).
Необходимое понимание аудируемой организации и ее окружения, включая систему внутреннего контроля организации
Организация и ее окружение
11. Аудитор должен получить понимание следующих вопросов:
(a) соответствующие отраслевые и регуляторные факторы и прочие внешние факторы, включая применимую концепцию подготовки финансовой отчетности (см. пункты A24 - A29);
(b) характер организации, включая:
(i) ее операционную деятельность;
(ii) ее структуру собственности и корпоративного управления;
(iii) виды инвестиций, которые организация осуществляет и планирует осуществлять, включая инвестиции в организации специального назначения;
(iv) структуру организации и способы ее финансирования,
которые дадут возможность аудитору понять виды операций, остатки по счетам и раскрытие информации, которые ожидаются в финансовой отчетности (см. пункты A30 - A34):
(c) выбор и применение организацией учетной политики, включая обоснование вносимых в нее изменений. Аудитор должен оценить, соответствует ли учетная политика организации ее деятельности и применимой концепции подготовки финансовой отчетности, а также учетной политике, используемой в соответствующей отрасли (см. пункт A35);
(d) цели и стратегии организации, а также связанные с ними бизнес-риски, которые могут привести к рискам существенного искажения (см. пункты A36 - A42);
(e) оценка и анализ финансовых результатов деятельности организации (см. пункты A43 - A48).
Система внутреннего контроля организации
12. Аудитор должен получить понимание системы внутреннего контроля организации в части, значимой для проведения аудита. Несмотря на то, что большинство средств контроля, которые являются значимыми для аудита, как правило, связаны с финансовой отчетностью, не все средства контроля, связанные с финансовой отчетностью, являются значимыми для аудита. Вопрос о том, является ли средство контроля в отдельности или в сочетании с другими значимым для проводимого аудита, представляет собой предмет применения профессионального суждения аудитора (см. пункты A49 - A72).
Характер и объем понимания соответствующих средств контроля
13. При получении понимания значимых для проводимого аудита средств контроля аудитор должен проанализировать их структуру и с помощью дополнительных процедур, помимо направления запросов персоналу организации, установить, внедрены ли они на практике (см. пункты A73 - A75).
Компоненты системы внутреннего контроля
Контрольная среда
14. Аудитор должен получить понимание контрольной среды. В ходе получения такого понимания контрольной среды аудитор должен оценить:
(a) была ли создана и поддерживается ли руководством под надзором лиц, отвечающих за корпоративное управление, культура честности и этического поведения;
(b) обеспечивают ли сильные стороны элементов контрольной среды в совокупности надлежащую основу для других компонентов внутреннего контроля, а также не оказывают ли недостатки контрольной среды негативного влияния на другие компоненты внутреннего контроля (см. пункты A76 - A86).
Процесс оценки рисков в организации
15. Аудитор должен получить понимание того, осуществляются ли в организации следующие процессы:
(a) выявление бизнес-рисков, значимых для целей финансовой отчетности;
(b) оценка значительности рисков;
(c) оценка вероятности возникновения рисков;
(d) принятие решений о мерах по снижению таких рисков (см. пункт A87).
16. Если в организации применяется такой процесс (далее по тексту он называется "процессом оценки рисков организации"), аудитор должен достичь понимания как самого процесса, так и результатов его применения. Если аудитор выявляет риски существенного искажения, которые не смогло выявить руководство, он должен оценить, нет ли в основе этих рисков такого типа риска, который, согласно ожиданиям аудитора, должен был быть выявлен процессом оценки рисков организации. Если такой риск существует, аудитор должен получить понимание того, почему он не был выявлен в процессе оценки рисков, и оценить, соответствуют ли процессы обстоятельствам, или определить, имеются ли в организации значительные недостатки в системе внутреннего контроля в части процесса оценки рисков.
17. Если такой процесс в организации не осуществляется или применяется в отношении отдельного случая, аудитор должен обсудить с руководством вопрос о том, были ли выявлены бизнес-риски, являющиеся значимыми для целей финансовой отчетности, и какие меры приняты по их устранению. Аудитор должен оценить, является ли отсутствие документально оформленного процесса оценки риска надлежащим в данных обстоятельствах или это является значительным недостатком системы внутреннего контроля (см. пункт A88).
Информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие
18. Аудитор должен получить понимание информационной системы, включая соответствующие бизнес-процессы, относящиеся к подготовке финансовой отчетности, в том числе следующих аспектов:
(a) виды операций в рамках деятельности организации, являющиеся значительными для финансовой отчетности;
(b) процедуры, как в системе с применением информационных технологий (ИТ), так в системе ручной обработки данных, с помощью которых такие операции инициируются, записываются, обрабатываются и по мере необходимости корректируются, переносятся в основной регистр и отражаются в финансовой отчетности;
(c) соответствующие данные бухгалтерского учета, подтверждающая информация и конкретные счета, которые используются для инициирования, учета, обработки и отражения в финансовой отчетности; в том числе исправление ошибочных данных и способы переноса информации в основной регистр. Записи могут выполняться как вручную, так и в электронном формате;
(d) то, каким образом информационная система фиксирует события и условия, помимо операций, которые являются значимыми дня финансовой отчетности;
(e) процесс подготовки финансовой отчетности, в том числе значительные оценочные значения и раскрытия информации;
(f) средства контроля в отношении бухгалтерских записей, включая нестандартные бухгалтерские записи, применяемые для учета разовых, необычных операций или корректировок (см. пункты A89 - A93).
19. Аудитор должен получить понимание того, каким образом организация сообщает информацию о функциях и обязанностях при подготовке финансовой отчетности, а также о значимых вопросах, связанных с финансовой отчетностью, включая следующие (см. пункты A94 - A95):
(a) информационное взаимодействие с руководством и лицами, отвечающими за корпоративное управление;
(b) сообщение информации третьим сторонам, например, регулирующим органам.
Контрольные действия, значимые для проводимого аудита
20. Аудитор должен получить понимание тех контрольных действий, значимых для проводимого аудита, которые, по мнению аудитора, необходимо изучить, чтобы оценить риски существенного искажения на уровне предпосылок и разработать дальнейшие аудиторские процедуры в ответ на оцененные риски. Для проведения аудита не требуется изучение всех контрольных действий, связанных с каждым значительным видом операций, остатком по счету и раскрытием в финансовой отчетности или с каждой соответствующей предпосылкой (см. пункты A96 - A102).
21. При изучении контрольных действий в организации аудитор должен получить понимание того, каким образом организация отвечает на риски, возникающие вследствие использования ИТ (см. пункты A103 - A105).
Мониторинг средств контроля
22. Аудитор должен получить понимание основных действий, которые используются организацией для мониторинга внутреннего контроля за финансовой отчетностью, включая те действия, которые относятся к контрольным, значимым для аудита, а также понимания порядка инициирования действий по устранению недостатков в средствах контроля организации (см. пункты A106 - A108).
23. Если в организации есть служба внутреннего аудита <1>, аудитор должен получить понимание обязанностей этой службы, а также ее статуса в структуре организации и характера осуществляемой или планируемой деятельности (см. пункты A109 - A116).
--------------------------------
<1> МСА 610 (пересмотренный, 2013 г.) "Использование результатов работы внутренних аудиторов", пункт 14a, содержит определение термина "служба внутреннего аудита" для целей Международных стандартов аудита.
24. Аудитор должен понимать источники информации, используемые организацией для мероприятий по мониторингу, а также основания, в соответствии с которыми руководство организации делает вывод, что информация является достаточно надежной для этих целей (см. пункт A117).
Выявление и оценка рисков существенного искажения
25. Аудитор должен выявить и оценить риски существенного искажения:
(a) на уровне финансовой отчетности (см. пункты A118 - A121);
(b) на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации (см. пункты A122 - A126),
чтобы сформировать основу для разработки и выполнения дальнейших аудиторских процедур.
26. Для этого аудитор должен:
(a) выявлять риски на протяжении всего процесса изучения организации и ее окружения, включая средства контроля, относящиеся к этим рискам, путем анализа видов операций, остатков по счетам и раскрытия информации в финансовой отчетности (см. пункты A127 - A128);
(b) оценить выявленные риски и определить, имеют ли они отношение в большей степени к финансовой отчетности в целом и могут ли они потенциально оказать влияние на многие предпосылки;
(c) установить соответствие между выявленными рисками и возможными ошибками на уровне предпосылок с учетом соответствующих средств контроля, которые аудитор намеревается протестировать (см. пункты A129 - A131);
(d) проанализировать вероятность искажения, включая возможность многочисленных искажений, а также вопрос о том, является ли потенциальное искажение настолько важным, что может привести к существенному искажению.
Риски, требующие особого внимания при проведении аудита
27. При оценке рисков в соответствии с пунктом 25, аудитор должен определить, является ли какой-либо из выявленных рисков, по его мнению, значительным риском. При формировании такого суждения аудитор должен исключить влияние выявленных средств контроля, относящихся к данному риску.
28. При получении суждения о том, какие риски являются значительными, аудитор должен рассмотреть по крайней мере следующее:
(a) является ли данный риск риском недобросовестных действий;
(b) связан ли данный риск с недавно произошедшими значимыми событиями в экономике, бухгалтерском учете или другими обстоятельствами и, следовательно, требует ли он особого внимания;
(c) насколько сложны операции;
(d) относится ли риск к значительным операциям со связанными сторонами;
(e) какова степень субъективности при оценках рисков, связанных с финансовой информацией, особенно тех оценок, которые предполагают широкий диапазон и неопределенность;
(f) связан ли данный риск со значительными операциями, выходящими за рамки обычной деятельности организации, или операциями, которые представляются необычными по иным основаниям (см. пункты A132 - A136).
29. Если аудитор установил, что значительный риск существует, он должен получить понимание средств контроля организации, включая контрольные действия, имеющие отношение к этому риску (см. пункты A137 - A139).
Риски, по которым процедуры проверки по существу в отдельности не обеспечивают достаточных надлежащих аудиторских доказательств
30. В отношении некоторых рисков аудитор может прийти к выводу, что собрать достаточные надлежащие аудиторские доказательства только на основе процедур проверки по существу невозможно или практически нецелесообразно. Такие риски могут быть связаны с неточным или неполным учетом обычных и существенных видов операций или остатков по счетам, которые во многих случаях позволяют производить их обработку автоматизировано, с незначительным ручным вмешательством или без него. В таких случаях средства контроля организации за этими рисками являются значимыми для проводимого аудита, и аудитор должен получить их понимание (см. пункты A140 - A142).
Пересмотр оценки рисков
31. В ходе проведения аудита по мере сбора дополнительных аудиторских доказательств оценка рисков существенного искажения на уровне предпосылок может меняться. Когда аудитор в ходе выполнения дальнейших аудиторских процедур получает аудиторские доказательства или получает новую информацию и эти доказательства или информация противоречат тем аудиторским доказательствам, на которых аудитор изначально основывал свою оценку, он должен пересмотреть свою оценку и внести изменения в запланированные дальнейшие аудиторские процедуры (см. пункт A143).
Документация
32. Аудитор должен включить в аудиторскую документацию <1>:
--------------------------------
<1> МСА 230 "Аудиторская документация", пункты 8 - 11 и A6.
(a) обсуждение между членами аудиторской группы, если это требуется в соответствии с пунктом 10, и принятые значимые решения;
(b) ключевые элементы понимания каждого из аспектов организации и ее окружения, описанные в пункте 11, и каждого из элементов ее системы внутреннего контроля, указанные в пунктах 14 - 24; источники информации, из которых было получено такое понимание; а также выполненные процедуры оценки рисков;
(c) выявленные и оцененные риски существенного искажения на уровне финансовой отчетности и на уровне предпосылок в соответствии с требованиями пункта 25;
(d) выявленные риски и относящиеся к ним средства контроля, по которым у аудитора сложилось понимание в результате применения требований пунктов 27 - 30 (см. пункты A144 - A147).
* * *
Руководство по применению и прочие пояснительные материалы
Процедуры оценки рисков и сопутствующие действия (см. пункт 5)
A1. Получение понимания аудируемой организации и ее окружения, включая средства внутреннего контроля организации (далее именуемое "понимание организации"), - это непрерывный динамичный процесс сбора, обновления и анализа информации на протяжении всего аудита. Это понимание создает систему критериев, в рамках которой аудитор планирует аудит и выносит профессиональное суждение на протяжении всего аудита, например:
- при оценке рисков существенного искажения финансовой отчетности;
- определении существенности в соответствии с МСА 320 <1>;
--------------------------------
<1> МСА 320 "Существенность при планировании и проведении аудита".
- рассмотрении надлежащего характера выбранной учетной политики и ее применения, а также адекватности раскрытия информации в финансовой отчетности;
- выявлении областей, в которых может потребоваться особое внимание аудитора, таких как операции между связанными сторонами, надлежащее использование руководством допущения о непрерывности деятельности организации, а также рассмотрение деловых целей операций;
- расчете ожидаемых показателей для использования при проведении аналитических процедур;
- проведении процедур в ответ на оцененные риски существенного искажения, включая разработку и выполнение дальнейших аудиторских процедур для получения достаточных надлежащих аудиторских доказательств;
- оценке достаточности и надлежащего характера полученных аудиторских доказательств, таких как надлежащий характер допущений, а также письменные и устные заявления руководства.
A2. Информация, полученная в результате выполнения процедур по оценке рисков и связанных с ними действий, может использоваться аудитором в качестве аудиторских доказательств для подтверждения оценки рисков существенного искажения. Кроме того, аудитор может получить аудиторские доказательства в отношении видов операций, остатков по счетам или раскрытия информации, а также связанных с ними предпосылок и эффективности средств контроля, даже если такие процедуры не были специально запланированы как процедуры проверки по существу или как тесты средств контроля. Аудитор может решить выполнять процедуры проверки по существу или тесты средств контроля параллельно процедурам оценки рисков, поскольку это может оказаться более эффективным.
A3. Для определения необходимой степени понимания организации аудитор применяет профессиональное суждение. Основной критерий для аудитора состоит в определении того, достаточно ли полученное понимание для достижения целей, заявленных в настоящем стандарте. Степень общего понимания организации, которая необходима аудитору, меньше, чем степень понимания организации, которой обладает ее руководство.
A4. Оцениваемые риски включают как риски искажения вследствие ошибки, так и риски искажения по причине недобросовестных действий, и в настоящем стандарте рассматриваются оба типа рисков. Однако значимость недобросовестных действий настолько велика, что в МСА 240 включены дополнительные требования и рекомендации в отношении процедур оценки рисков и связанных с этим действий для получения информации, используемой для выявления рисков существенного искажения по причине недобросовестных действий <1>.
--------------------------------
<1> МСА 240 "Обязанности аудитора в отношении недобросовестных действий при аудите финансовой отчетности", пункты 12 - 24.
A5. Несмотря на то, что аудитор должен выполнить все процедуры оценки рисков, описанные в пункте 6, в ходе получения необходимого понимания организации (см. пункты 11 - 24) от аудитора не требуется выполнять все указанные процедуры применительно к каждому аспекту понимания организации. Для получения информации, которая может быть полезна при выявлении рисков существенного искажения, могут применяться и другие процедуры. Примеры таких процедуры включают:
- анализ информации из внешних источников, таких как отраслевые и экономические журналы, аналитические отчеты, исследования банков и рейтинговых агентств, а также издания регулирующих органов и финансовые публикации;
- направление запросов внешнему юристу организации или оценщикам, услугами которых пользовалась организация.
Запросы руководству, в службу внутреннего аудита и другим лицам внутри организации (см. пункт 6(a))
A6. Большую часть запрашиваемой информации аудитор получает от руководства и лиц, ответственных за подготовку финансовой отчетности. Аудитор может также получить информацию посредством запросов в службу внутреннего контроля (при ее наличии) и другим сотрудникам организации.
A7. Аудитор может получить информацию или другие точки зрения при выявлении рисков существенного искажения, направляя запросы другим лицам внутри организации и другим сотрудникам, имеющим иные полномочия. Например:
- запросы, направленные лицам, отвечающим за корпоративное управление, могут помочь аудитору понять среду, в которой происходит подготовка финансовой отчетности организации. В этом отношении МСА 260 <1> указывает на важность эффективного двустороннего информационного взаимодействия для оказания содействия аудитору для получения информации у лиц, отвечающих за корпоративное управление;
--------------------------------
<1> МСА 260 "Информационное взаимодействие с лицами, отвечающими за корпоративное управление", пункт 4(b).
- запросы сотрудникам, осуществляющим инициирование, обработку и учет сложных или необычных операций, могут помочь аудитору оценить надлежащий характер соответствующей выбранной учетной политики и ее применения;
- запросы внутреннему юристу могут предоставить информацию о таких вопросах, как судебные разбирательства, соблюдение законодательства и нормативных актов, сведения о недобросовестных действиях или подозрениях в недобросовестных действиях, влияющих на организацию, гарантийные, послепродажные обязательства, соглашения с деловыми партнерами (такими как совместные предприятия), а также толкование условий контрактов;
- запросы, направленные сотрудникам, занимающимся маркетингом или продажами, могут предоставить информацию об изменениях маркетинговой стратегии организации, о тенденциях продаж или договорных отношениях с покупателями;
- запросы в службу управления рисками (или отвечающим за управление рисками сотрудникам) могут представить информацию об операционных и регуляторных рисках, которые могут оказать воздействие на финансовую отчетность;
- запросы персоналу, обслуживающему информационные системы, могут предоставить информацию об изменениях в системе, сбоях в ее работе и работе средств контроля и другие сведения о рисках, связанных с информационными системами.
A8. Так как получение понимания аудируемой организации и ее окружения является непрерывным динамичным процессом, аудиторские запросы могут направляться на протяжении всего аудита.
Запросы в службу внутреннего аудита
A9. В том случае, когда в организации имеется служба внутреннего аудита, запросы ее сотрудникам могут дать полезную информацию для получения понимания об организации и ее окружении, а также для выявления и оценки рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок. В ходе выполнения своей работы служба внутреннего аудита, скорее всего, получила понимание операционной деятельности организации и ее бизнес-рисков и может сделать выводы по результатам своей работы в отношении выявленных недостатков или рисков системы внутреннего контроля, которые могут оказаться ценными для понимания аудитором организации, оценки им рисков и других аспектов проводимого аудита. Такие аудиторские запросы направляются вне зависимости от того, планирует ли аудитор использовать работу службы внутреннего аудита для изменения характера или сроков либо сокращения объема выполняемых аудиторских процедур <1>. Особенно значимыми могут оказаться запросы о проблемах, на которые служба внутреннего аудита уже обращала внимание лиц, отвечающих за корпоративное управление, а также о результатах выполненной ею оценки рисков.
--------------------------------
<1> Соответствующие требования приводятся в МСА 610 (пересмотренном, 2013 г.).
A10. В случае, когда из полученных ответов следует, что служба внутреннего аудита обладает значимыми для финансовой отчетности и проводимого аудита выводами, аудитор может счесть целесообразным ознакомиться с соответствующими отчетами службы внутреннего аудита. Примерами отчетов службы внутреннего аудита, которые могут оказаться значимыми для проводимого аудита, являются документы о стратегии и планах работы службы внутреннего аудита, а также отчеты, подготовленные для руководства или лиц, отвечающих за корпоративное управление, содержащие выводы по уже проведенным службой внутреннего аудита проверкам.
A11. В соответствии с МСА 240 <1>, если служба внутреннего аудита представляет аудитору информацию о любых фактах недобросовестных действий, а также подозрениях или заявлениях о недобросовестных действиях, аудитор принимает во внимание такую информацию при выявлении рисков существенного искажения по причине недобросовестных действий.
--------------------------------
<1> МСА 240, пункт 19.
A12. Аудиторские запросы следует направлять тем сотрудникам службы внутреннего аудита, которые, по мнению аудитора, обладают надлежащими знаниями, опытом и полномочиями, таким как руководитель службы внутреннего аудита или, в зависимости от обстоятельств, другие сотрудники. Аудитор также может счесть целесообразным проводить периодические встречи с этими лицами.
Особенности организаций государственного сектора (см. пункт 6(a))
A13. Аудиторы организаций государственного сектора во многих случаях имеют дополнительные обязанности в отношении внутреннего контроля и соблюдения действующих законодательных и нормативных актов. Направление запросов соответствующим сотрудникам службы внутреннего аудита может помочь аудитору в выявлении риска существенного несоблюдения действующих законодательных и нормативных актов и риска недостатков системы внутреннего контроля при подготовке финансовой отчетности.
Аналитические процедуры (см. пункт 6(b))
A14. Аналитические процедуры, выполняемые в качестве процедур оценки рисков, могут выявить вопросы, о которых аудитору не было известно, и помочь в оценке рисков существенного искажения с целью обеспечения основы для разработки и осуществления аудиторских процедур в ответ на выявленные риски. Аналитические процедуры, выполняемые в качестве процедур оценки рисков, могут включать как финансовую, так и нефинансовую информацию, например, соотношение между объемом продаж и размерами торговых площадей или объемом проданной продукции.
A15. Аналитические процедуры могут помочь выявить необычные операции или события, а также суммы, коэффициенты и тенденции, которые могут свидетельствовать о наличии вопросов, способных оказать влияние на проводимый аудит. Обнаруженные необычные или неожиданные соотношения могут помочь аудитору выявить риски существенного искажения, в особенности риски существенного искажения по причине недобросовестных действий.
A16. В случае, когда аналитические процедуры выполняются с использованием данных, обобщенных на высоком уровне (что может иметь место, когда аналитические процедуры выполняются как процедуры оценки рисков), результаты таких аналитических процедур могут служить только приблизительным и предварительным индикатором наличия существенного искажения. Следовательно, в таких случаях рассмотрение прочей информации, которая была собрана при выявлении рисков существенного искажения в совокупности с результатами таких аналитических процедур, может помочь аудитору в понимании и оценке результатов этих аналитических процедур.
Особенности малых организаций
A17. Некоторые малые организации могут не иметь промежуточной или ежемесячной финансовой информации, которую можно было бы использовать для проведения аналитических процедур. В таких обстоятельствах, несмотря на то, что аудитор может провести ограниченные аналитические процедуры в целях планирования аудита или получить определенную информацию при помощи запросов, ему может понадобиться запланировать выполнение аналитических процедур для выявления и оценки рисков существенного искажения на этапе подготовки предварительного проекта финансовой отчетности организации.
Наблюдение и инспектирование (см. пункт 6(c))
A18. Наблюдение и инспектирование могут подтверждать информацию из запросов, направленных руководству организации и иным лицам, а также предоставить информацию об организации и ее окружении. Примеры таких аудиторских процедур включают наблюдение или инспектирование:
- операционной деятельности организации;
- документов (таких как бизнес-планы и стратегии), бухгалтерских записей и регламентов по внутреннему контролю;
- отчетов, подготовленных руководством (таких как квартальные отчеты руководства и промежуточная финансовая отчетность) и лицами, отвечающими за корпоративное управление (таких как протоколы заседаний совета директоров);
- помещений и производственных сооружений организации.
Информация, полученная в предыдущие периоды (см. пункт 9)
A19. Предыдущий опыт работы аудитора с организацией и аудиторские процедуры, выполненные в ходе выполнения предыдущих заданий, могут дать аудитору информацию по следующим вопросам:
- имевшие место в прошлом искажения и своевременность их исправления;
- характер аудируемой организации и ее окружения и система внутреннего контроля организации (включая недостатки в системе внутреннего контроля);
- значительные изменения, которые могла претерпеть организация или ее деятельность после окончания предыдущего финансового периода, что может помочь аудитору получить достаточное понимание организации для выявления и оценки рисков существенного искажения.
A20. Аудитору следует установить, остается ли актуальной информация, полученная в предыдущих периодах, если он намерен использовать эту информацию для целей текущего аудита. Это обусловлено тем, что изменения в контрольной среде, например, могут повлиять на актуальность информации, полученной в предыдущем году. Чтобы определить, произошли ли изменения, которые могут затронуть актуальность такой информации, аудитор может сделать запросы и выполнить другие надлежащие аудиторские процедуры, такие как сквозное системное тестирование.
Обсуждение между членами аудиторской группы (см. пункт 10)
A21. Обсуждение подверженности финансовой отчетности организации существенному искажению между членами аудиторской группы:
- дает возможность более опытным членам аудиторской группы, включая руководителя задания, поделиться мнениями, основанными на их знании организации;
- позволяет членам аудиторской группы обмениваться информацией о бизнес-рисках, которым подвержена организация, а также о том, каким образом и в какой части финансовая отчетность может оказаться подвержена существенному искажению по причине недобросовестных действий или ошибки;
- помогает членам аудиторской группы получить лучшее понимание возможностей существенного искажения финансовой отчетности в тех областях, за которые они отвечают, а также понять, каким образом результаты аудиторских процедур, которые они выполняют, могут повлиять на другие аспекты проводимого аудита, включая решения о характере, сроках и объеме последующих аудиторских процедур;
- обеспечивает основу для информационного взаимодействия между членами аудиторской группы, в ходе которого они могут поделиться новой информацией, полученной при проведении аудита, которая может повлиять на оценку рисков существенного искажения или аудиторские процедуры, выполняемые для снижения этих рисков.
Дальнейшие требования и указания в отношении обсуждений рисков недобросовестных действий между членами аудиторской группы содержатся в МСА 240 <1>.
--------------------------------
<1> МСА 240, пункт 15.
A22. Не всегда необходимо и практически целесообразно привлекать всех членов аудиторской группы для участия в общем обсуждении (например, при выполнении задания в разных территориальных подразделениях), также нет необходимости информировать всех членов аудиторской группы о решениях, принятых по результатам обсуждения. Руководитель задания может обсудить вопросы с ключевыми членами аудиторской группы, а также при необходимости с лицами, обладающими специальными навыками и познаниями, и лицами, отвечающими за аудит компонентов, при этом передавая полномочия остальным членам группы с учетом объема информационного обмена, признанного необходимым в аудиторской группе. Может оказаться полезным план информирования, согласованный с руководителем задания.
Особенности малых организаций
A23. Аудит малых организаций во многих случаях выполняется полностью руководителем задания (который может являться индивидуально практикующим специалистом). В таких ситуациях именно руководитель задания, который лично провел планирование аудита, несет ответственность за рассмотрение вопроса о подверженности финансовой отчетности организации существенному искажению по причине недобросовестных действий или ошибки.
Необходимое понимание аудируемой организации и ее окружения, включая систему внутреннего контроля организации
Организация и ее окружение
Отраслевые, регуляторные и прочие внешние факторы (см. пункт 11(a))
Отраслевые факторы
A24. Значимые отраслевые факторы включают сложившиеся в отрасли условия, такие как конкурентная среда, отношения с поставщиками и покупателями, а также развитие технологий. Примеры аспектов, которые может рассмотреть аудитор:
- рынок и конкурентная среда, включая спрос, производительность и ценовую конкуренцию;
- цикличность или сезонность деятельности;
- производственные технологии, относящиеся к продукции организации;
- энергоснабжение и его стоимость.
A25. Отрасль, в которой ведет деятельность организация, может вызвать специфические риски существенного искажения, обусловленные характером бизнеса или уровнем регулирования. Например, расчет значительных оценочных значений выручки и расходов по долгосрочным контрактам может приводить к рискам существенного искажения. В таких случаях важно, чтобы в состав аудиторской группы входили члены с достаточным знанием и опытом в соответствующей области <1>.
--------------------------------
<1> МСА 220 "Контроль качества при проведении аудита финансовой отчетности", пункт 14.
Регуляторные факторы
A26. Соответствующие регуляторные факторы относятся к регуляторной среде. Регуляторная среда охватывает, в частности, применимую концепцию подготовки финансовой отчетности, а также правовую и политическую среду. Примеры вопросов, которые может рассмотреть аудитор:
- принципы бухгалтерского учета и отраслевую практику;
- нормативную базу регулируемой отрасли;
- законодательство и нормативную базу, оказывающие важное влияние на операции организации, включая непосредственный надзор;
- налогообложение (корпоративное и иное);
- государственную политику, в данный момент оказывающую влияние на ведение бизнеса организацией, в частности, денежно-кредитную политику, включая систему валютного контроля, налоговые, финансовые льготы (например, программы государственной помощи), а также политику в области тарифов и ограничений торговли;
- требования по охране окружающей среды, связанные с отраслью и бизнесом организации.
A27. Некоторые конкретные требования, связанные с нормативно-правовой базой, применимой к организации и к отрасли или сектору экономики, в которых она ведет деятельность, приводятся в МСА 250 <1>.
--------------------------------
<1> МСА 250 "Рассмотрение законов и нормативных актов в ходе аудита финансовой отчетности", пункт 12.
Особенности организаций государственного сектора
A28. При аудите организаций государственного сектора следует учитывать влияние законодательства, нормативных актов или иных источников права на операции организации. Эти элементы необходимо рассмотреть при получении понимания аудируемой организации и ее окружения.
Прочие внешние факторы
A29. К числу прочих внешних факторов, оказывающих влияние на организацию, которые может учитывать аудитор, относятся общие экономические условия, процентные ставки и доступность финансирования, а также инфляция или переоценка валюты.
Характер организации (см. пункт 11(b))
A30. Понимание характера организации позволяет аудитору получить ответы на следующие вопросы:
- имеет ли организация сложную структуру, например, дочерние организации или другие компоненты, расположенные в нескольких местах нахождения. Сложная структура во многих случаях вызывает проблемы, которые могут стать причиной возникновения рисков существенного искажения. Такие проблемы могут включать вопросы надлежащего учета гудвила, совместных предприятий, инвестиций или организаций специального назначения;
- какова структура собственности и отношения между собственниками и другими лицами или организациями. Понимание этого помогает при определении того, были ли надлежащим образом выявлены и учтены операции со связанными сторонами. Требования и указания по рассмотрению аудитором операций со связанными сторонами приведены в МСА 550 <1>.
--------------------------------
<1> МСА 550 "Связанные стороны".
A31. Примеры вопросов, которые аудитор может рассмотреть при получении понимания характера организации:
- операционная деятельность:
- характер источников выручки, продукции или услуг и рынки, в том числе участие в электронной коммерции, например, посредством продаж через Интернет и маркетинга;
- ведение операционной деятельности (например, этапы и методы производства или деятельность, подверженная экологическим рискам);
- альянсы, совместные предприятия и аутсорсинг;
- географическое распределение и деление на отраслевые сегменты;
- расположение производственных сооружений, складов и офисов, а также расположение и количество запасов;
- ключевые покупатели и основные поставщики товаров и услуг, соглашения в сфере трудовых отношений (включая наличие договоров с профсоюзами, пенсионных и других программ вознаграждений по окончании трудовой деятельности, опционов на акции или поощрительные премии, а также государственное регулирование трудовых отношений);
- исследования и разработки и соответствующие затраты;
- операции со связанными сторонами;
- инвестиции и инвестиционная деятельность, например:
- планируемые или осуществленные в недавнем прошлом приобретения или продажи капиталовложений;
- инвестиции в ценные бумаги и займы и их выбытие;
- капиталовложения;
- инвестиции в неконсолидированные организации, включая партнерства, совместные предприятия и организации специального назначения;
- финансирование и финансовая деятельность, например:
- основные дочерние и ассоциированные организации, включая консолидированные и неконсолидированные структуры;
- структура долга и соответствующие условия, включая соглашения о забалансовом финансировании и договоры аренды;
- бенефициарии (местные и иностранные, их деловая репутация и опыт) и связанные стороны;
- производные финансовые инструменты;
- финансовая отчетность, например:
- принципы бухгалтерского учета и особенности отраслевой практики, включая основные отраслевые категории (например, займы и инвестиции для банков или исследования и разработки для фармацевтических организаций);
- практика признания выручки;
- порядок учета справедливой стоимости;
- активы, обязательства и операции в иностранной валюте;
- порядок учета необычных или сложных операций, включая порядок учета в спорных или новых областях (например, учет вознаграждения, основанного на стоимости акций).
A32. Значительные изменения в организации по сравнению с предыдущими периодами, могут привести к возникновению или изменению рисков существенного искажения.
Природа предприятия специального назначения
A33. Предприятие специального назначения (иногда употребляется термин "структура специального назначения") представляет собой организацию, созданную для выполнения узкой и четко определенной задачи, такой как аренда или секьюритизация финансовых активов или осуществление деятельности в области исследований и разработок. Оно может иметь форму юридического лица, траста, партнерства или не образовывать юридическое лицо. Организация, от имени которой создается предприятие специального назначения, может передавать последнему активы (например, в рамках сделки по прекращению признания финансовых активов), получать право на использование активов предприятия специального назначения или предоставлять ему услуги, в то время как другие лица могут обеспечивать финансирование такого предприятия. Как указано в МСА 550, в некоторых обстоятельствах предприятие специального назначения может быть связанной стороной организации <1>.
--------------------------------
<1> МСА 550, пункт A7.
A34. Концепции подготовки финансовой отчетности во многих случаях подробно описывают условия, при которых признается наличие контроля, или обстоятельства, при которых предприятие специального назначения следует анализировать на предмет консолидации. Интерпретация требований таких концепций во многих случаях требует детального знания соответствующих соглашений с участием предприятия специального назначения.
Выбор и применение организацией учетной политики (см. пункт 11(c))
A35. Понимание выбора и применения организацией учетной политики может включать рассмотрение следующих вопросов:
- методы, используемые организацией для учета существенных и необычных операций;
- влияние существенных положений учетной политики в спорных или новых областях, в которых недостаточно официальных рекомендаций или отсутствует консенсус;
- изменения в учетной политике организации;
- стандарты финансовой отчетности и законы и нормативные акты, которые являются новыми для организации, а также то, когда и каким образом организация применит эти требования.
Цели и стратегии и сопутствующие бизнес-риски (см. пункт 11(d))
A36. Организация ведет свою деятельность с учетом отраслевых, правовых и прочих внутренних и внешних факторов. Для учета этих факторов руководство или лица, отвечающие за корпоративное управление, устанавливают цели, которые представляют собой основные планы организации. Стратегии являются подходами, при помощи которых руководство организации намеревается достичь эти цели. Цели и стратегии организации с течением времени могут меняться.
A37. Бизнес-риск является более широким понятием, чем риск существенного искажения финансовой отчетности, хотя он включает в себя последний. Бизнес-риск может возникать вследствие изменений или сложности. Неспособность признать необходимость изменений также может привести к возникновению бизнес-риска. Бизнес-риск может возникать, например, по следующим причинам:
- разработка новой продукции или услуг, которые могут оказаться неудачными;
- несоответствие рынка, даже в случае его успешного развития, продукту или услуге;
- недостатки продукта или услуги, которые могут привести к возникновению обязательств и репутационного риска.
A38. Понимание бизнес-рисков, с которыми сталкивается организация, повышает вероятность выявления рисков существенного искажения, поскольку большинство бизнес-рисков в конечном счете будут иметь финансовые последствия и, таким образом, окажут влияние на финансовую отчетность. Однако аудитор не обязан выявлять или оценивать все бизнес-риски, потому что не все бизнес-риски приводят к рискам существенного искажения.
A39. Примеры вопросов, которые аудитор может принять во внимание при получении понимания целей, стратегий и соответствующих бизнес-рисков организации, способных привести к риску существенного искажения финансовой отчетности:
- изменения в отрасли (потенциальные бизнес-риски могут возникать, например, если у организации нет соответствующего персонала или опыта в решении вопросов, связанных с развитием отрасли);
- новые продукты и услуги (потенциальные бизнес-риски могут возникать, например, если существует повышенная ответственность за качество продукции);
- расширение бизнеса (потенциальные бизнес-риски могут возникать, например, если спрос не был точно оценен);
- новые требования к бухгалтерскому учету (потенциальные бизнес-риски могут возникать, например, при неполном или неправильном выполнении таких требований или при повышении затрат, необходимых для их выполнения);
- нормативные требования (потенциальные бизнес-риски могут приводить, например, к росту правовых рисков);
- текущие и будущие потребности в финансировании (потенциальные бизнес-риски могут возникать, например, при утрате финансирования по причине неспособности организации соблюдать соответствующие требования);
- использование ИТ (потенциальные бизнес-риски могут возникать, например, вследствие несовместимости информационных систем и процессов в организации);
- последствия внедрения той или иной стратегии, в частности, любые последствия, которые могут привести к появлению новых требований к бухгалтерскому учету (потенциальные бизнес-риски могут возникать, например, при неполном или неверном выполнении таких требований).
A40. Бизнес-риск может иметь непосредственные последствия для риска существенного искажения в отношении видов операций, остатков по счетам и раскрытия информации на уровне предпосылок или на уровне финансовой отчетности. Например, бизнес-риск, связанный с сокращением клиентской базы, может повысить риск существенного искажения, связанный с оценкой дебиторской задолженности. Однако тот же риск в сочетании с экономическим спадом может иметь также и долгосрочные последствия, которые аудитор принимает во внимание при оценке применимости допущения о непрерывности деятельности организации. Поэтому вопрос о том, может ли бизнес-риск привести к риску существенного искажения, должен рассматриваться с учетом обстоятельств организации. Примеры условий и событий, которые могут указывать на риски существенного искажения, приведены в Приложении 2.
A41. Как правило, руководство организации выявляет бизнес-риски и разрабатывает меры для их снижения. Такой процесс оценки рисков является частью системы внутреннего контроля и рассматривается в пункте 15 и пунктах A87 - A88.
Особенности организаций государственного сектора
A42. При аудите организаций государственного сектора на цели руководства могут оказывать влияние вопросы публичной ответственности, и эти цели могут включать цели, основанные на актах законодательных, регулирующих или иных органов.
Оценка и анализ финансовых результатов деятельности организации (см. пункт 11(e))
A43. Руководство организации и прочие лица оценивают и проводят анализ тех вопросов, которые они считают важными. Оценка результатов деятельности, как внешняя, так и внутренняя, оказывает определенное давление на организацию. Это давление в свою очередь может заставить руководство организации принять меры с целью улучшения результатов деятельности или исказить финансовую отчетность. Таким образом, понимание оценки результатов деятельности организации помогает аудитору, когда он рассматривает вопрос о том, может ли давление, вынуждающее руководство организации обеспечить достижение целевых показателей, привести к тому, что руководство совершит действия, которые повышают риски существенного искажения по причине недобросовестных действий. МСА 240 содержит требования и указания в отношении рисков недобросовестных действий.
A44. Оценка и анализ финансовых результатов не тождественны мониторингу средств контроля, который рассматривается как компонент системы внутреннего контроля в пунктах A106 - A117, хотя их цели могут частично совпадать:
- оценка и анализ финансовых результатов направлены на определение того, соответствуют ли результаты деятельности целям, установленным руководством организации (или третьими лицами);
- целью мониторинга средств контроля является определение эффективности системы внутреннего контроля.
В некоторых случаях, показатели деятельности дают также информацию, которая позволяет руководству организации выявлять недостатки в системе внутреннего контроля.
A45. Примеры внутренней информации, которую использует руководство организации для оценки и анализа финансовых результатов и которую может использовать аудитор:
- ключевые показатели деятельности (финансовые и нефинансовые) и ключевые коэффициенты, тенденции и операционная статистика;
- анализ финансовых результатов в сопоставлении с предыдущим периодом;
- бюджеты, прогнозы, анализ отклонений, информация о сегментах, отчеты подразделений, департаментов и других организационных структур;
- оценка результатов работы сотрудников и политика в области материальных поощрений;
- сравнение результатов деятельности организации с результатами деятельности конкурентов.
A46. Оценивать и проводить анализ финансовых результатов деятельности организации могут третьи стороны. Например, полезные для аудитора сведения могут содержаться в таких внешних данных, как отчеты аналитиков и отчеты кредитных рейтинговых агентств. Такие отчеты во многих случаях можно получить у аудируемой организации.
A47. Внутренние оценки могут выявить неожиданные результаты или тенденции, вынуждающие руководство организации определить их причины и принять меры для исправления (включая в некоторых случаях своевременное обнаружение и исправление искажений). Оценка результатов деятельности может также указать аудитору на наличие рисков искажения соответствующей информации в финансовой отчетности. Например, оценка результатов деятельности может показать, что у организации отмечается необычайно быстрый рост или прибыльность по сравнению с ростом и прибыльностью других организаций, работающих в этой же отрасли. Подобная информация, особенно в сочетании с другими факторами, такими как вознаграждения по результатам деятельности или стимулирующие вознаграждения, может указывать на потенциальный риск предвзятости руководства организации при подготовке финансовой отчетности.
Особенности малых организаций
A48. Малые организации во многих случаях не имеют установленного порядка оценки и анализа финансовых результатов. Запрос руководству может показать, что при оценке финансовых результатов организации и принятии соответствующих мер руководство полагается на определенные ключевые показатели. В том случае, когда по результатам запроса выявляется отсутствие порядка оценки и анализа результатов деятельности организации, может существовать повышенный риск того, что искажения не будут обнаружены и исправлены.
Система внутреннего контроля организации (см. пункт 12)
A49. Понимание системы внутреннего контроля помогает аудитору выявить те виды потенциальных искажений и факторов, которые оказывают влияние на риски существенного искажения, а также определить характер, сроки и объем дальнейших аудиторских процедур.
A50. Материалы по практическому применению в отношении системы внутреннего контроля, представлены в следующих четырех разделах:
- общий характер и особенности системы внутреннего контроля;
- средства контроля, значимые для аудита;
- характер и степень понимания соответствующих средств контроля;
- компоненты системы внутреннего контроля.
Общий характер и особенности системы внутреннего контроля
Назначение системы внутреннего контроля
A51. Система внутреннего контроля разрабатывается, внедряется и поддерживается с целью снижения выявленных бизнес-рисков, которые ставят под угрозу достижение любой из целей организации, касающихся:
- надежности финансовой отчетности организации;
- результативности и эффективности ее операционной деятельности;
- соблюдения ею применимого законодательства и нормативных актов.
Поход к разработке, внедрению и поддержанию системы внутреннего контроля зависит от размера и сложности организации.
Особенности малых организаций
A52. Малые организации могут использовать менее структурированные средства и более простые процессы и процедуры для достижения своих целей.
Ограничения системы внутреннего контроля
A53. Независимо от того, насколько эффективна система внутреннего контроля организации, она может обеспечить лишь разумную уверенность в достижении организацией целей финансовой отчетности. На вероятность их достижения влияют присущие системе внутреннего контроля ограничения. Они связаны с тем, что суждение человека при принятии решения может оказаться неверным и что в системе внутреннего контроля могут возникнуть сбои вследствие влияния человеческого фактора. Например, ошибка может быть допущена при разработке средства контроля или при внесении последующих изменений. Также функционирование того или иного средства контроля может оказаться неэффективным, например, когда информация, полученная для целей внутреннего контроля (например, отчет об отклонениях), используется недостаточно эффективно, поскольку лицо, ответственное за анализ такой информации, не понимает ее назначения или не в состоянии предпринять соответствующие действия.
A54. Кроме того, средства контроля можно обойти посредством сговора двух или более лиц или за счет неправомерных действий руководства в обход действующей системы внутреннего контроля. Например, руководство может заключить с покупателями дополнительные соглашения, изменяющие условия типовых договоров купли-продажи организации, что может привести к неправомерному признанию выручки. Кроме того, контрольные проверки средствами программного обеспечения, разработанные для выявления и получения отчетов по операциям, превышающим определенные кредитные лимиты, можно обойти или заблокировать.
A55. Более того, при разработке и внедрении средств контроля руководство может формировать суждения о характере и объеме средств контроля, которые оно намерено внедрить, а также о характере и объеме рисков, которые оно готово принять.
Особенности малых организаций
A56. Малые организации во многих случаях имеют меньше сотрудников, что может ограничивать степень, в которой разделение должностных обязанностей является практически возможным. Однако в малой организации, управляемой собственником, собственник-руководитель может иметь возможность осуществлять более эффективный надзор по сравнению с крупной организацией. Такой надзор может компенсировать в целом более ограниченные возможности разделения обязанностей.
A57. Кроме того, собственник-руководитель может иметь больше возможностей обойти средства контроля, потому что система внутреннего контроля является менее структурированной. Аудитор должен принимать этот факт во внимание при выявлении рисков существенного искажения по причине недобросовестных действий.
Разделение системы внутреннего контроля на компоненты
A58. Разделение системы внутреннего контроля на следующие пять компонентов для целей Международных стандартов аудита служит полезной основой для анализа аудиторами того, каким образом различные аспекты системы внутреннего контроля организации могут влиять на проводимый аудит:
(a) контрольная среда;
(b) процесс оценки рисков в организации;
(c) информационная система, связанная с финансовой отчетностью, включая соответствующие бизнес-процессы, и информационное взаимодействие;
(d) контрольные действия;
(e) мониторинг средств контроля.
Это разделение не обязательно отражает то, каким образом организация разрабатывает, внедряет и поддерживает систему внутреннего контроля или как организация может классифицировать тот или иной компонент. Аудиторы могут использовать иные термины или принципы для описания различных аспектов системы внутреннего контроля и их влияния на проводимый аудит, и эти термины могут отличаться от используемых в настоящем стандарте, при условии что все компоненты, описанные в настоящем стандарте, будут рассмотрены.
A59. Материалы по применению, рассматривающее пять компонентов системы внутреннего контроля в их взаимосвязи с аудитом финансовой отчетности, изложены ниже в пунктах A76 - A117. Приложение 1 содержит дальнейшие разъяснения этих компонентов системы внутреннего контроля.
Особенности ручных и автоматизированных элементов системы внутреннего контроля, которые являются значимыми для оценки аудитором рисков
A60. Система внутреннего контроля организации содержит ручные элементы и во многих случаях - автоматизированные элементы. Особенности ручных или автоматизированных элементов являются значимыми для оценки аудитором рисков и для дальнейших аудиторских процедур, основанных на этой оценке.
A61. Использование ручных или автоматизированных элементов в системе внутреннего контроля также влияет на порядок инициирования, учета, обработки операций и отражения их в отчетности.
- Средства контроля в ручной системе могут включать такие процедуры, как одобрение и проверка операций, сверка и последующие действия по результатам сверки. В качестве альтернативы организация может использовать автоматизированные процедуры для инициирования, учета, обработки операций и отражения их в отчетности, в этом случае записи в электронном виде заменяют бумажные документы.
- Средства контроля в автоматизированных информационных системах представляют собой сочетание автоматизированных средств контроля (например, средства контроля, встроенные в компьютерные программы) и ручных средств контроля. Кроме того, ручные средства контроля могут быть независимыми от средств ИТ, могут использовать информацию, созданную информационной системой, либо ограничиваться мониторингом эффективности функционирования ИТ и автоматизированных средств контроля, а также обработкой нестандартных операций. Если ИТ используются для инициирования, записи, обработки операций, отражения их в отчетности или другой финансовой информации для включения в финансовую отчетность, системы и программы могут включать средства контроля в отношении связанных с ними предпосылок по существенным счетам или играть важную роль в эффективном функционировании ручных средств контроля, зависящих от применения ИТ.
Сочетание используемых организацией ручных и автоматизированных элементов внутреннего контроля зависит от характера и сложности применяемых организацией ИТ.
A62. Обычно ИТ помогают системе внутреннего контроля организации, поскольку они дают организации возможность:
- последовательно применять заранее установленные правила ведения бизнеса и выполнять сложные расчеты при обработке больших объемов операций или данных;
- обеспечивать своевременность и наличие информации, повышать ее точность;
- способствовать дополнительному анализу информации;
- расширять возможность мониторинга осуществления деятельности организации и выполнения ее политик и процедур;
- снижать риск обхода средств контроля;
- расширять возможность эффективного разделения обязанностей посредством внедрения средств контроля за безопасностью в прикладные программы, базы данных и операционные системы.
A63. ИТ также создают специфические риски системы внутреннего контроля организации, например:
- зависимость от систем или программ, которые неточно обрабатывают данные, обрабатывают неточные данные либо делают то и другое одновременно;
- несанкционированный доступ к данным, что может вызвать уничтожение данных или ненадлежащие изменения в данных, включая отражение несанкционированных или несуществующих операций или неточное отражение операций. Такие риски могут возникать, если к общей базе данных имеет доступ большое количество пользователей;
- возможность получения персоналом ИТ-отдела прав доступа, превышающих необходимые права доступа для выполнения их обязанностей, что нарушает порядок разделения обязанностей;
- несанкционированные изменения данных в основных файлах;
- несанкционированные изменения систем или программ;
- неспособность внесения необходимых изменений в системы или программы;
- ненадлежащее ручное вмешательство;
- возможная потеря данных или неспособность получить необходимый доступ к данным.
A64. Ручные элементы системы внутреннего контроля могут оказаться более подходящими в случае, когда требуется формирование суждения и принятие решений, например, в следующих ситуациях:
- крупные, необычные или нерегулярные операции;
- обстоятельства, при которых сложно выявить, предвидеть или предсказывать ошибки;
- при изменении обстоятельств, когда требуется реагирование со стороны средств контроля, выходящее за рамки существующего автоматизированного контроля;
- при мониторинге эффективности автоматизированных средств контроля.
A65. Ручные элементы в системе внутреннего контроля могут оказаться менее надежными в сравнении с автоматизированными, так как их легче обойти, проигнорировать или преодолеть и они более подвержены простым ошибкам. Поэтому нельзя исходить из предположения, что ручные элементы системы контроля применяются последовательно. Ручные элементы системы контроля могут оказаться менее подходящими в следующих случаях:
- большой объем операций или повторяющиеся операции либо ситуации, когда ошибки, которые можно предсказать или прогнозировать, могут быть предотвращены или обнаружены и исправлены при помощи автоматизированных элементов контроля;
- контрольные действия, при которых конкретные способы осуществления контроля могут быть адекватно разработаны и автоматизированы.
A66. Масштаб и характер рисков, связанных с системой внутреннего контроля, меняются в зависимости от особенностей информационной системы организации. Организация принимает меры в ответ на риски, связанные с использованием ИТ или ручных элементов в системе внутреннего контроля, посредством создания эффективных средств контроля с учетом особенностей информационной системы.
Средства контроля, значимые для аудита
A67. Существует прямая связь между целями организации и средствами контроля, которые она использует для обеспечения разумной уверенности в их достижении. Цели организации, а значит, и средства контроля касаются ее финансовой отчетности, деятельности и соблюдения законов и нормативных актов; но не все эти цели и средства являются значимыми для оценки рисков аудитором.
A68. Суждение аудитора о том, значимо ли для проводимого аудита средство контроля в отдельности или в сочетании с другими, может учитывать, например, следующее:
- существенность;
- значительность соответствующего риска;
- размер организации;
- характер деятельности организации, включая особенности того, как организована эта деятельность, и структуру собственности;
- разнообразие и сложность операций организации;
- применимые законодательные и нормативные требования;
- обстоятельства и применимый компонент системы внутреннего контроля;
- характер и сложность систем, являющихся частью системы внутреннего контроля организации, включая привлечение обслуживающих организаций;
- факт того, обеспечивает ли средство контроля в отдельности или в сочетании с другими средствами контроля предотвращение или обнаружение и исправление существенного искажения и, если обеспечивает, каким образом.
A69. Средства контроля за полнотой и точностью информации, формируемой организацией, также могут являться значимыми для проводимого аудита, если аудитор намеревается использовать эту информацию при разработке и выполнении дальнейших процедур. Средства контроля, относящиеся к целям операционной деятельности и соблюдению законов и нормативных актов, могут также быть значимыми для проводимого аудита, если они касаются данных, которые аудитор оценивает или использует при выполнении аудиторских процедур.
A70. Система внутреннего контроля, связанная с защитой активов от несанкционированного приобретения, использования или реализации, может включать средства контроля, связанные как с целями финансовой отчетности, так и с целями операционной деятельности. Анализ аудитором таких средств контроля в целом ограничивается средствами контроля, связанными с надежностью финансовой отчетности.
A71. Организация обычно имеет средства контроля, используемые для целей, которые не являются значимыми для проводимого аудита и которые нет необходимости анализировать по этой причине. Например, организация может полагаться на сложную систему автоматизированных средств контроля с целью обеспечения эффективной и результативной деятельности (например, систему автоматизированного контроля за соблюдением графиков полетов авиалиний), но эти средства контроля обычно не являются значимыми для проводимого аудита. Несмотря на то, что система внутреннего контроля распространяется на всю организацию либо на каждую из ее операционных единиц или бизнес-процессов, понимание средств внутреннего контроля, относящихся к каждой операционной единице организации и к каждому бизнес-процессу, может не являться значимым для проводимого аудита.
Особенности организаций государственного сектора
A72. Аудиторы государственного сектора во многих случаях имеют дополнительные обязанности в отношении системы внутреннего контроля, например обязанность составить отчет о соблюдении организацией установленных норм и правил. Аудиторы государственного сектора также могут быть обязаны составить отчет о соблюдении требований законодательства, нормативных и иных актов. В результате проводимая ими проверка системы внутреннего контроля может оказаться более обширной и подробной.
Характер и степень понимания соответствующих средств контроля (см. пункт 13)
A73. Оценка структуры средства контроля включает анализ способности средства контроля в отдельности или в сочетании с другими эффективно предотвращать или обнаруживать и исправлять существенные искажения. Внедрение средства контроля означает, что данное средство контроля существует и организация его использует. Бессмысленно оценивать внедрение средства контроля, которое не является эффективным, поэтому в первую очередь рассматривается организация средства контроля. Ненадлежащая структура средства контроля может представлять собой существенный недостаток в системе внутреннего контроля.
A74. Процедуры оценки рисков, проводимые с целью получения аудиторских доказательств в отношении структуры и внедрения соответствующих средств контроля, могут включать:
- запросы персоналу организации;
- наблюдение за применением конкретных средств контроля;
- изучение документов и отчетов;
- отслеживание через информационную систему операций, которые являются значимыми для подготовки финансовой отчетности.
При этом одних только запросов недостаточно для достижения указанных целей.
A75. Получение понимания средств контроля организации недостаточно для проверки их операционной эффективности, если не присутствует некоторая степень автоматизации, обеспечивающая последовательное функционирование средств контроля. Например, получение аудиторских доказательств в отношении применения какого-либо ручного средства контроля на определенную дату не является аудиторским доказательством операционной эффективности этого средства контроля на другие даты в течение аудируемого периода. Однако в силу внутренней последовательности, присущей процессу обработки информации с помощью ИТ (см. пункт A62), выполнение аудиторских процедур с целью определения того, внедрено ли автоматизированное средство контроля, может служить тестом его операционной эффективности в зависимости от оценки и тестирования аудитором средств контроля, таких как контроль за изменениями в программе. Тестирование на эффективность функционирования средств контроля рассматривается в МСА 330 <1>.
--------------------------------
<1> МСА 330 "Аудиторские процедуры в ответ на оцененные риски".
Компоненты системы внутреннего контроля - контрольная среда (см. пункт 14)
A76. Контрольная среда охватывает функции административного и корпоративного управления, отношение руководства и лиц, отвечающих за корпоративное управление, к системе внутреннего контроля организации, их осведомленность в этой области и соответствующие действия, а также значение, придаваемое организацией системе внутреннего контроля. Контрольная среда задает общий тон в организации, воздействуя на осознание сотрудниками необходимости контроля.
A77. Элементы контрольной среды, которые могут оказаться значимыми при получении ее понимания:
(a) информирование о принципе честности и этических ценностях - это основные элементы, влияющие на эффективность организации, администрирования и мониторинга средств контроля;
(b) приверженность компетентности - такие вопросы, как определение руководством уровня компетентности для определенных должностей, а также того, какие навыки и знания требуются для обеспечения соответствующего уровня компетентности;
(c) участие лиц, отвечающих за корпоративное управление - такие характеристики лиц, отвечающих за корпоративное управление, как:
- их независимость от руководства;
- их опыт и положение;
- степень их участия и информация, которую они получают, а также их анализ деятельности;
- надлежащий характер их действий, включая уровень сложности вопросов, которые поднимаются и решаются с участием руководства, а также их взаимодействие с внутренними и внешними аудиторами;
(d) философия и стиль управления руководства - такие характеристики руководства, как:
- подход к принятию и управлению бизнес-рисками;
- позиция и действия руководства в отношении к финансовой отчетности;
- отношение к обработке информации, функциям и персоналу, связанным с бухгалтерским учетом;
(e) организационная структура - система, в рамках которой планируется, выполняется, контролируется и проверяется деятельность организации, направленная на достижение ее целей;
(f) распределение должностных полномочий и ответственности - то, каким образом распределены ответственность и полномочия по ведению деятельности организации и каким образом устанавливается взаимодействие по предоставлению отчетности и иерархия полномочий;
(g) кадровая политика и практика - политика и практика, относящиеся, в частности, к набору сотрудников, их адаптации, подготовке, аттестации, консультированию, продвижению, заработной плате и дисциплинарным мерам.
Аудиторские доказательства в отношении элементов контрольной среды
A78. Уместные аудиторские доказательства могут быть получены посредством сочетания запросов с другими процедурами оценки рисков, такими как подтверждение полученной в результате запросов информации наблюдениями или инспектированием документации. Например, посредством запросов руководству и сотрудникам организации аудитор может получить представление о том, как руководство доводит до сведения сотрудников свои взгляды на методы ведения бизнеса и этическое поведение. Затем аудитор может определить, внедрены ли соответствующие средства контроля, посредством рассмотрения, например, вопроса о том, есть ли у руководства документально оформленный кодекс поведения и действует ли руководство в соответствии с этим кодексом.
A79. Аудитор может также проанализировать, какие меры приняты руководством по выводам и рекомендациям службы внутреннего аудита о выявленных недостатках в системе внутреннего контроля, значимых для проводимого аудита, в том числе были ли реализованы такие меры и, если да, каким образом, а также были ли они впоследствии оценены службой внутреннего аудита.
Влияние контрольной среды на оценку рисков существенного искажения
A80. Некоторые элементы контрольной среды организации оказывают всеобъемлющее влияние на оценку рисков существенного искажения. Например, осознание необходимости контроля в организации в значительной степени зависит от лиц, отвечающих за корпоративное управление, поскольку одна из их функций состоит в том, чтобы компенсировать давление на руководство в отношении финансовой отчетности, обусловленное требованиями рынка или системой вознаграждения. Таким образом, эффективность построения контрольной среды с точки зрения участия лиц, отвечающих за корпоративное управление, зависит от таких факторов, как:
- их независимость от руководства и их способность оценивать действия руководства;
- понимание ими деятельности организации;
- глубина их оценки того, подготовлена ли финансовая отчетность в соответствии с применимой концепцией подготовки финансовой отчетности.
A81. Активный и независимый совет директоров может оказывать влияние на философию и стиль управления высшего руководства организации. Однако влияние остальных элементов может оказаться более ограниченным. Например, несмотря на то что кадровая политика, нацеленная на привлечение квалифицированных специалистов в области финансов, бухгалтерского учета и ИТ, может снизить риск ошибок при обработке финансовой информации, она не может устранить повышенную склонность высшего руководства к завышению прибыли.
A82. Наличие удовлетворительной контрольной среды может являться положительным фактором при оценке аудитором рисков существенного искажения. Однако удовлетворительная контрольная среда не является абсолютным препятствием для недобросовестных действий, хотя она может способствовать снижению риска таких действий. Напротив, недостатки в контрольной среде могут снизить эффективность средств контроля, в частности - в отношении недобросовестных действий. Например, неспособность руководства выделить достаточные ресурсы для снижения рисков, связанных с безопасностью информационных систем, может оказать неблагоприятное воздействие на систему внутреннего контроля, поскольку создается возможность внести неправомерные изменения в компьютерные программы или осуществлять обработку несанкционированных операций. Как указывается в МСА 330, контрольная среда также влияет на характер, сроки выполнения и объем дальнейших аудиторских процедур <1>.
--------------------------------
<1> МСА 330, пункты A2 - A3.
A83. Контрольная среда сама по себе не предотвращает, не обнаруживает и не исправляет существенное искажение. Тем не менее она может повлиять на оценку аудитором эффективности других средств контроля (например, мониторинга средств контроля и выполнения определенных контрольных действий) и, таким образом, на оценку аудитором рисков существенного искажения.
Особенности малых организаций
A84. Контрольная среда в малых организациях может отличаться от контрольной среды в более крупных организациях. Например, состав лиц, отвечающих за корпоративное управление, в малых организациях может не включать независимых членов или сторонних лиц, а при отсутствии других собственников выполнение функций корпоративного управления берет на себя непосредственно собственник-руководитель. Характер контрольной среды также может влиять на значимость наличия или отсутствия других средств контроля. Например, активное участие собственника-руководителя может снизить определенные риски, возникающие в результате недостаточного разделения обязанностей в малой организации, однако это может повысить другие риски, например, риск обхода средств контроля.
A85. Кроме того, аудиторские доказательства в отношении элементов контрольной среды в малых организациях могут не быть доступны в документированной форме, особенно если обмен информацией между руководством организации и другими сотрудниками является неформальным, но, несмотря на это, может быть эффективным. Например, малая организация может не иметь документально оформленного кодекса поведения, но вместо этого может обладать корпоративной культурой, в рамках которой в устном общении и личным примером, подаваемым руководством, подчеркивается важность честности и этического поведения.
A86. Таким образом, отношение руководства или собственника-руководителя к контрольной среде, их осведомленность и действия имеют особое значение для понимания аудитором контрольной среды малой организации.
Компоненты системы внутреннего контроля - процесс оценки рисков в организации (см. пункт 15)
A87. Процесс оценки рисков в организации формирует основу для определения руководством рисков, требующих управления. Если этот процесс соответствует обстоятельствам, включая характер, размер и сложность деятельности организации, он помогает аудитору при выявлении рисков существенного искажения. Вопрос о том, соответствует ли процесс оценки рисков организации сложившимся обстоятельствам, является предметом профессионального суждения.
Особенности малых организаций (см. пункт 17)
A88. В малых организациях, как правило, нет установленных процессов оценки рисков. В таких случаях, вероятнее всего, руководство организации выявляет риски посредством прямого личного участия в ее деятельности. Однако независимо от обстоятельств необходимы запросы о выявленных рисках и принимаемых по их устранению мерах.
Компоненты системы внутреннего контроля - информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие
Информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие (см. пункт 18)
A89. Информационная система, связанная с финансовой отчетностью, включая систему бухгалтерского учета, состоит из процедур и записей, разработанных и реализуемых с целью:
- инициирования, записи, обработки и обобщения операций организации (а также событий и условий), обеспечения учета соответствующих активов, обязательств и собственного капитала;
- своевременного исправления результатов некорректной обработки операций, например, автоматически созданных промежуточных файлов и последующего закрытия промежуточных счетов;
- обработки и учета фактов обхода или преодоления средств контроля;
- передачи информации из систем обработки операций в основной регистр;
- записи информации, являющейся значимой для отражения в финансовой отчетности - событий и условий, не являющихся операциями, таких как износ и амортизация активов и изменения вероятности погашения дебиторской задолженности;
- обеспечения сбора, записи, обработки, обобщения и надлежащего отражения в финансовой отчетности информации, которая должна раскрываться согласно применимой концепции подготовки финансовой отчетности.
Бухгалтерские записи
A90. Информационная система организации, как правило, предполагает использование стандартных бухгалтерских записей, которые необходимо делать регулярно для отражения операций. Примерами могут служить бухгалтерские записи для отражения в основном регистре продажи, покупки, выплаты наличных или для отражения оценочных значений, которые периодически рассчитываются руководством, таких как изменения в оценке безнадежной дебиторской задолженности.
A91. Процесс подготовки финансовой отчетности организации включает использование нестандартных бухгалтерских записей по учету разовых, нетипичных операций или корректировок. Примерами таких записей являются консолидационные корректировки, объединение или выбытие бизнеса, разовые оценки, такие как при обесценении актива. В ручных системах ведения бухгалтерского учета с использованием основного регистра нестандартные бухгалтерские записи можно выявить инспектированием вспомогательных ведомостей, регистров и подтверждающих документов. При использовании автоматизированных процедур ведения бухгалтерского учета с использованием основного регистра и подготовки финансовой отчетности такие записи могут существовать только в электронной форме, поэтому их легче выявить с использованием автоматизированных способов аудита.
Соответствующие бизнес-процессы
A92. Бизнес-процессы организации - это действия, разработанные с целью:
- разработки, покупки, производства, продажи и распространения продукции и услуг организации;
- обеспечения соблюдения законодательных и нормативных актов;
- записи информации, включая информацию по бухгалтерскому учету и финансовой отчетности.
Результатом бизнес-процессов являются операции, которые записаны, обработаны и отражены в информационной системе. Получение понимания бизнес-процессов организации, в том числе порядка инициирования операций, помогает аудитору получить понимание информационной системы организации, связанной с финансовой отчетностью способом, соответствующим условиям деятельности организации.
Особенности малых организаций
A93. Информационные системы и соответствующие бизнес-процессы, связанные с финансовой отчетностью, в малых организациях обычно менее сложны, чем в более крупных организациях, но их роль не менее важна. Малым организациям, которым свойственно активное участие руководства в ее деятельности, могут не требоваться подробные описания бухгалтерских процедур, сложные бухгалтерские записи или документально оформленная политика. Поэтому получение понимания систем и процессов организации при проведении аудита малой организации может оказаться более легким и может в большей степени основываться на запросах, а не на изучении документации. Однако это не снижает важности получения такого понимания.
Информирование (см. пункт 19)
A94. Информирование организацией о функциях и обязанностях, связанных с финансовой отчетностью, а также о значимых вопросах, касающихся финансовой отчетности, предполагает передачу информации о функциях и обязанностях отдельных сотрудников в отношении системы внутреннего контроля за составлением финансовой отчетности. Система информирования охватывает степень понимания персоналом связи их действий в информационной системе, используемой для подготовки и представления финансовой отчетности, с работой других лиц, а также способы доведения информации о расхождениях руководителям более высокого уровня в организации. Информирование может иметь форму внутренних регламентов, касающихся политики и подготовки финансовой отчетности. Открытые каналы обмена информацией помогают сообщать об исключительных ситуациях и обеспечивают принятие соответствующих мер.
Особенности малых организаций
A95. В малых организациях процесс обмена информацией может быть менее структурированным и более простым, чем в крупных организациях, в связи с меньшим количеством уровней ответственности, большей близостью и доступностью руководства.
Компоненты системы внутреннего контроля - контрольные действия, значимые для проводимого аудита (см. пункт 20)
A96. Контрольные действия - это политики и процедуры, которые помогают обеспечивать выполнение распоряжений руководства. Контрольные действия как в системе с применением ИТ, так и в системе ручной обработки данных имеют различные цели и применяются на различных организационных и функциональных уровнях. Примеры конкретных контрольных действий включают действия, связанные:
- с авторизацией;
- проверкой выполнения;
- обработкой информации;
- физическими средствами контроля;
- разделением должностных обязанностей.
A97. Контрольные действия, значимые для аудита:
- контрольные действия, которые необходимо рассматривать как значимые, поскольку они связаны со значительными рисками, а также с рисками, в отношении которых одни только процедуры проверки по существу не обеспечивают достаточных надлежащих аудиторских доказательств, как это требуется согласно пунктов 29 и 30 соответственно;
- контрольные действия, которые расцениваются как значимые согласно профессиональному суждению аудитора.
A98. Суждение аудитора о значимости контрольных действий для аудита зависит от выявленного риска, который может привести к существенному искажению, и от того, считает ли аудитор, что тестирование операционной эффективности средства контроля будет, вероятно, уместным при определении объема проводимых процедур по существу.
A99. Аудитор может сделать акцент на выявлении и получении представления о контрольных действиях, которые проводятся в тех областях, в которых, по мнению аудитора, риски существенного искажения, вероятно, выше. Когда несколько контрольных действий обеспечивают достижение одной и той же цели, аудитору не требуется понимания каждого контрольного действия, связанного с такой целью.
A100. Знания аудитора о наличии или отсутствии контрольных действий, полученные на основе понимания других компонентов системы внутреннего контроля, помогают аудитору при решении вопроса о том, следует ли уделить дополнительное внимание получению представления о контрольных действиях.
Особенности малых организаций
A101. Принципы, лежащие в основе контрольных действий в малых организациях, как правило, аналогичны принципам в более крупных организациях, но степень формализации выполнения контрольных действий будет отличаться. Кроме того, малые организации могут счесть, что некоторые виды контрольных действий не являются уместными. Например, единоличные права руководства по предоставлению кредита покупателям и одобрению значительных закупок могут обеспечить эффективный контроль за значимыми операциями и остатками по счетам, позволяя уменьшить или полностью отказаться от более тщательных контрольных действий.
A102. Контрольные действия, значимые для аудита малой организации, как правило, относятся к основным операционным циклам, таким как выручка, закупки и затраты на оплату труда.
Риски, связанные с использованием ИТ (см. пункт 21)
A103. Использование ИТ оказывает влияние на метод практической реализации контрольных действий. С точки зрения аудитора, средства контроля за ИТ-системами эффективны, если они обеспечивают целостность информации и безопасность данных, обрабатываемых такими системами, и включают эффективные общие и прикладные средства контроля за ИТ-системами.
A104. Общие средства контроля за ИТ-системами - это политика и процедуры, которые связаны с многими приложениями и поддерживают эффективное функционирование прикладных средств контроля. Они применяются в отношении главного сервера, иных серверов, а также аппаратно-программных комплексов конечных пользователей. Общие средства контроля за ИТ-системами, которые обеспечивают целостность информации и безопасность данных, как правило, включают средства контроля:
- за центром обработки данных и работой сети;
- приобретением, изменением и обслуживанием системного программного обеспечения;
- изменением программ;
- обеспечением безопасного доступа;
- приобретением, разработкой и обслуживанием прикладных программ. Они обычно применяются для снижения рисков, описанных выше, в пункте A63.
A105. Прикладные средства контроля - это автоматизированные или осуществляемые вручную процедуры, которые обычно выполняются на уровне бизнес-процессов и применяются для обработки операций отдельными приложениями. Прикладные средства контроля могут быть по своему характеру предотвращающими или обнаруживающими и предназначены для обеспечения целостности данных бухгалтерского учета. Следовательно, прикладные средства контроля относятся к процедурам, используемым для инициирования, регистрации, обработки и обобщения операций или другой финансовой информации. Эти средства контроля помогают убедиться в том, что операция действительно имела место, санкционирована, записана и обработана точно и в полном объеме. Примеры включают отслеживание изменений введенных данных и проверку сквозной нумерации с принимаемыми вручную мерами по отчетам об отклонениях или с исправлением данных на этапе ввода.
Компоненты системы внутреннего контроля - мониторинг средств контроля (см. пункт 22)
A106. Мониторинг средств контроля - это процесс оценки эффективности системы внутреннего контроля в течение какого-либо периода. Он включает своевременную оценку эффективности средств контроля и осуществление необходимых корректирующих действий. Руководство осуществляет мониторинг средств контроля непрерывно, путем отдельных оценок или сочетая оба подхода. Непрерывные мероприятия по мониторингу часто встроены в обычно повторяющиеся операции организации и включают регулярное выполнение управленческих и надзорных действий.
A107. Мониторинг, осуществляемый руководством организации, может включать использование информации, полученной от внешних сторон, такой как претензии клиентов и комментарии регулирующих органов, которые могут указать на проблемы или области, требующие усовершенствования.
Особенности малых организаций
A108. Мониторинг средств контроля часто выполняется посредством прямого участия руководства или собственника-руководителя в деятельности организации. Такое участие часто выявляет значительные отклонения от ожидаемых финансовых показателей и неточности в финансовых показателях, приводящие к необходимости корректирующих действий в отношении данного средства контроля.
Служба внутреннего аудита организации (см. пункт 23)
A109. Если в организации имеется служба внутреннего аудита, получение представления о ее работе способствует пониманию аудитором организации и ее окружения, в том числе системы внутреннего контроля, и особенно роли этой службы в обеспечении мониторинга внутреннего контроля за составлением финансовой отчетности. Такое понимание в сочетании информацией, получаемой с помощью запросов, описанных в пункте 6(a) настоящего стандарта, может также содержать информацию, непосредственно касающуюся выявления и оценки аудитором рисков существенного искажения.
A110. Цели и объем работы службы внутреннего аудита, характер ее обязанностей и ее статус в организации, в том числе полномочия и подчиненность, очень различны и зависят от размера и структуры организации, а также требований руководства и, в соответствующих случаях, лиц, отвечающих за корпоративное управление. Эти вопросы могут регулироваться положением о службе внутреннего аудита или установленным заданием.
A111. В обязанности службы внутреннего аудита может входить выполнение процедур и оценка их результатов с целью обеспечения уверенности как руководства, так и представителей собственника в отношении структуры и эффективности управления рисками, системы внутреннего контроля и процессов управления организацией. В таком случае служба внутреннего аудита может играть важную роль в мониторинге внутреннего контроля за подготовкой финансовой отчетности. Однако обязанности службы внутреннего аудита могут быть сфокусированы, например, на оценке экономичности, эффективности и результативности операций, и в этом случае работа службы внутреннего аудита может быть напрямую не связана с подготовкой и представлением финансовой отчетности организации.
A112. Направление аудиторских запросов соответствующим сотрудникам службы внутреннего аудита в соответствии с пунктом 6(a) настоящего стандарта помогает аудитору получить понимание характера обязанностей службы внутреннего аудита. Если аудитор устанавливает, что обязанности службы внутреннего аудита связаны с финансовой отчетностью организации, он может получить дополнительное понимание действий, выполненных или планируемых службой внутреннего аудита, путем ознакомления с планом проверки на конкретный период, если такой план существует, и путем его обсуждения с соответствующими работниками службы.
A113. Если обязанности службы внутреннего аудита и ее деятельность по обеспечению уверенности по своему характеру связаны с подготовкой финансовой отчетности организации, аудитор может также использовать работу службы внутреннего аудита с целью изменения характера, сроков или сокращения объема аудиторских процедур, которые должны быть выполнены аудитором для получения аудиторских доказательств. Использование аудитором результатов работы службы внутреннего аудита более вероятно, когда, например, опыт проведения предыдущего аудита или выполненные аудитором процедуры оценки рисков показывают, что служба внутреннего аудита обладает достаточными и надлежащими ресурсами, соответствующими размеру организации и характеру ее деятельности, и подотчетна непосредственно лицам, отвечающим за корпоративное управление.
A114. Если, основываясь на предварительном понимании деятельности службы внутреннего аудита, аудитор собирается использовать ее работу для изменения характера, сроков или сокращения объема планируемых аудиторских процедур, применяются положения стандарта МСА 610 (пересмотренного, 2013 г.)
A115. Как более подробно рассматривается в стандарте МСА 610 (пересмотренном, 2013 г.), деятельность службы внутреннего аудита отлична от других средств контроля по мониторингу, которые могут иметь отношение к финансовой отчетности, таких как проверка данных управленческой отчетности, проводимая с целью определить, каким образом организация предотвращает или выявляет искажения.
A116. Установление информационного взаимодействия с соответствующими работниками службы внутреннего аудита на ранних этапах выполнения аудиторского задания и поддержание такого взаимодействия в течение всего аудита способствует эффективному обмену информацией. Это создает среду, в которой аудитор может быть проинформирован о важных вопросах, которые привлекли внимание службы внутреннего аудита, если они могут повлиять на результаты работы аудитора. Важность планирования и проведения аудита с профессиональным скептицизмом, включая поддержание бдительности в отношении информации, которая ставит под вопрос надежность документов и ответов на запросы, которые предполагается использовать в качестве аудиторских доказательств, описывается в МСА 200. Следовательно, информационное взаимодействие со службой внутреннего аудита в течение всего аудита может дать внутренним аудиторам возможность довести такую информацию до сведения аудитора. После чего аудитор может принять во внимание эту информацию при выявлении и оценке рисков существенного искажения.
Источники информации (см. пункт 24)
A117. Большая часть информации, используемой для мониторинга, может создаваться информационной системой организации. Если руководство организации без достаточных оснований предполагает, что данные, используемые для мониторинга, точны, то ошибки в таких данных могут потенциально привести руководство организации к неправильным выводам по результатам его действий по мониторингу. Следовательно, понимание:
- источников информации, связанной с действиями по мониторингу, выполняемыми организацией;
- оснований, на которых руководство считает информацию достаточно надежной для данных целей,
необходимо как часть понимания аудитором выполняемых организацией действий по мониторингу, являющихся компонентом системы внутреннего контроля.
Выявление и оценка рисков существенного искажения
Оценка рисков существенного искажения на уровне финансовой отчетности (см. пункт 25(a))
A118. Риски существенного искажения на уровне финансовой отчетности - такие риски, которые распространяются на финансовую отчетность в целом и потенциально затрагивают целый ряд предпосылок. Риски такого характера не обязательно являются рисками, которые можно выявить по определенным предпосылкам на уровне вида операций, остатка по счету, или раскрытия информации. Они, вероятнее всего, отражают обстоятельства, которые могут увеличивать риски существенного искажения на уровне предпосылок, например, вследствие обхода руководством системы внутреннего контроля. Риски на уровне финансовой отчетности могут иметь особое значение при рассмотрении аудитором рисков существенного искажения вследствие недобросовестных действий.
A119. Риски на уровне финансовой отчетности могут возникать, в частности, из-за недостатков контрольной среды (хотя эти риски также могут быть связаны с другими факторами, такими как ухудшение экономических условий). Например, недостатки, такие как недостаточный уровень компетентности руководства, могут оказывать всеобъемлющий эффект на финансовую отчетность и могут потребовать ответных действий общего характера со стороны аудитора.
A120. Понимание аудитором системы внутреннего контроля может вызвать сомнения относительно самой возможности проведения аудита финансовой отчетности организации. Например:
- сомнения по поводу честности руководства организации могут быть настолько серьезными, что приведут аудитора к выводу, что риск неверного представления руководством информации в финансовой отчетности настолько высок, что аудит не может быть проведен;
- сомнения по поводу состояния и надежности записей организации могут привести аудитора к выводу, что получение достаточных надлежащих аудиторских доказательств для выражения немодифицированного мнения о финансовой отчетности маловероятно.
A121. В МСА 705 <1> установлены требования и приводится руководство по определению необходимости выражения аудиторского мнения с оговоркой или отказа от выражения мнения либо, что может потребоваться в некоторых обстоятельствах, отказа от выполнения задания, если такой отказ возможен в соответствии с действующими законами и нормативными актами.
--------------------------------
<1> МСА 705 "Модифицированное мнение в аудиторском заключении".
Оценка рисков существенного искажения на уровне предпосылок (см. пункт 25(b))
A122. Необходимо рассмотреть риски существенного искажения на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации, потому что именно такое рассмотрение помогает при определении характера, сроков и объема дальнейших аудиторских процедур на уровне предпосылок, необходимых для получения достаточных надлежащих аудиторских доказательств. При выявлении и оценке рисков существенного искажения на уровне предпосылок аудитор может прийти к заключению, что выявленные риски всеобъемлюще распространяются на финансовую отчетность в целом и потенциально затрагивают многие предпосылки.
Использование предпосылок
A123. Заявляя о том, что финансовая отчетность подготовлена в соответствии с применяемой концепцией подготовки финансовой отчетности, руководство прямо или косвенно формирует предпосылку о признании, оценке, представлении и раскрытии различных элементов финансовой отчетности и соответствующей раскрываемой информации.
A124. Предпосылки, используемые аудитором для анализа различных видов потенциальных искажений, которые могут произойти, подразделяются на следующие три категории и могут принимать следующие формы:
(a) предпосылки о видах операций и событиях за аудируемый период:
(i) наличие - операции и события, зарегистрированные в учете, имели место и имеют отношение к организации;
(ii) полнота - все операции и события, которые должны быть учтены, были учтены;
(iii) точность - суммы и прочие данные, касающиеся учтенных операций и событий, отражены надлежащим образом;
(iv) своевременность признания - операции и события отражены в надлежащем отчетном периоде;
(v) классификация - операции и события отражены на надлежащих счетах;
(b) предпосылки об остатках по счетам на конец периода:
(i) существование - активы, обязательства и доли участия в капитале действительно существуют;
(ii) права и обязанности - организация владеет правами на активы или контролирует их, и обязательства представляют собой законные обязанности организации;
(iii) полнота - все активы, обязательства и доли участия в капитале, которые необходимо было учесть, были учтены;
(iv) оценка и распределение - активы, обязательства и доли участия в капитале включены в финансовую отчетность в соответствующих суммах, и все соответствующие корректировки в связи с оценкой или распределением надлежащим образом отражены;
(c) предпосылки о представлении и раскрытии информации:
(i) наличие, права и обязанности - раскрываемые события, операции и прочие вопросы имели место и имеют отношение к организации;
(ii) полнота - вся информация, которая должна была быть раскрыта в финансовой отчетности, в нее включена;
(iii) классификация и понятность - финансовая информация представлена и описана надлежащим образом, раскрытие информации ясно изложено;
(iv) точность и оценка - финансовая и прочая информация раскрыта достоверно и в надлежащих суммах.
A125. Аудитор может использовать предпосылки, описанные выше, или может сформулировать их другим способом, при условии что все описанные выше аспекты были охвачены. Например, аудитор может объединить предпосылки по операциям и событиям с предпосылками об остатках по счетам.
Особенности организаций государственного сектора
A126. Формируя предпосылки о финансовой отчетности организаций государственного сектора, в дополнение к предпосылкам, изложенным в параграфе A124, руководство организации часто может утверждать, что операции и события были осуществлены в соответствии с законодательством, нормативными актами или иными актами. Такие предпосылки могут входить в число вопросов, подлежащих аудиту финансовой отчетности.
Процесс выявления рисков существенного искажения (см. пункт 26(a))
A127. Информация, собранная посредством выполнения процедур оценки рисков, включая аудиторские доказательства, полученные при оценке структуры средств контроля и определении того, были ли они внедрены, используется в качестве аудиторских доказательств для подтверждения оценки риска. Оценка риска определяет характер, сроки и объем дальнейших аудиторских процедур, которые должны быть выполнены.
A128. Приложение 2 содержит примеры условий и событий, которые могут указывать на существование рисков существенного искажения.
Соотнесение средств контроля с предпосылками (см. пункт 26(c))
A129. При проведении оценки рисков аудитор может выявить средства контроля, которые могут предотвратить или обнаружить и исправить существенные искажения, относящиеся к определенным предпосылкам. Как правило, полезно получить понимание средств контроля и соотнести их с предпосылками в контексте тех процессов и систем, в рамках которых они существуют, поскольку отдельные контрольные действия во многих случаях не могут сами по себе снизить риск. Часто только различные контрольные действия совместно с другими компонентами системы внутреннего контроля могут оказаться достаточными для снижения риска.
A130. Кроме того, некоторые контрольные действия могут оказывать определенное влияние на конкретную предпосылку в отношении определенного вида операций или остатка по счету. Например, контрольные действия, установленные организацией для подтверждения того, что ее персонал надлежащим образом проводит пересчет запасов и учитывает результаты ежегодной инвентаризации запасов, непосредственно связаны с предпосылками о существовании и полноте учета в отношении остатков по счету запасов.
A131. Средства контроля могут быть прямо или косвенно связаны с предпосылками. Чем более косвенный характер имеет такая связь, тем менее эффективным будет средство контроля в предотвращении или обнаружении и исправлении искажений в отношении этой предпосылки. Например, анализ менеджером по продажам отчетов о продажах в отдельных магазинах по регионам, как правило, лишь косвенно связан с предпосылками о полноте отражения выручки от продаж. Следовательно, такое средство контроля является менее эффективным для снижения рисков по этой предпосылке, чем те, которые более непосредственно связаны с этой предпосылкой, такие как сверка отгрузочных документов со счетами.
Значительные риски
Выявление значительных рисков (см. пункт 28)
A132. Значительные риски во многих случаях относятся к значительным нестандартным операциям или вопросам, которые являются предметом суждения. Нестандартные операции - это операции, которые являются необычными либо в силу размера, либо вследствие их характера и поэтому происходят нечасто. Вопросы, связанные с суждением, могут включать расчет оценочных значений, в отношении которых существует значительная неопределенность оценки. Стандартные, несложные, систематически обрабатываемые операции с меньшей вероятностью могут привести к возникновению значительных рисков.
A133. Риски существенного искажения по значительным нестандартным операциям могут быть выше в связи со следующими обстоятельствами:
- большее вмешательство руководства организации в определение порядка учета;
- большее ручное вмешательство в сбор и обработку данных;
- сложность расчетов или принципов бухгалтерского учета;
- характер нестандартных операций, который может усложнить для организации внедрение эффективных средств контроля за этими рисками.
A134. Риски существенных искажений по значимым вопросам, которые являются предметом суждения и требуют расчета оценочных значений, могут быть выше в связи со следующими обстоятельствами:
- принципы бухгалтерского учета в отношении оценочных значений или признания выручки могут интерпретироваться по-разному;
- требуемое суждение может быть субъективными, сложным или требовать допущений в отношении влияния будущих событий, например, суждение о справедливой стоимости.
A135. Последствия определения какого-либо риска как значительного для целей дальнейших аудиторских процедур рассмотрены в МСА 330 <1>.
--------------------------------
<1> МСА 330, пункты 15 и 21.
Значительные риски, связанные с рисками существенного искажения по причине недобросовестных действий
A136. В МСА 240 приведены дальнейшие требования и указания в отношении выявления и оценки рисков существенного искажения по причине недобросовестных действий <1>.
--------------------------------
<1> МСА 240, пункты 25 - 27.
Понимание средств контроля, относящихся к значительным рискам (см. пункт 29)
A137. Хотя риски, связанные со значительными нестандартными вопросами или вопросами, составляющими предмет суждения, с меньшей вероятностью попадают в сферу действия стандартных средств контроля, руководство организации может предпринимать другие меры в ответ на такие риски. Следовательно, понимание аудитором вопроса о том, разработала и внедрила ли организация средства контроля в отношении значительных рисков, являющихся результатом нестандартных операций, или вопросов, которые составляют предмет суждения, включает понимание того, принимает ли руководство организации какие-либо меры в ответ на эти риски и, если да, какие. Такие меры могут включать:
- контрольные действия, такие как проверка допущений старшим руководством или экспертами;
- документально оформленные процессы выполнения оценок;
- подтверждение лицами, отвечающими за корпоративное управление.
A138. Например, в случае единичных событий, таких как получение уведомления о значительном судебном иске, рассмотрение ответных мер организации может включать такие вопросы, как: было ли такое уведомление направлено соответствующим экспертам (например, внутреннему или внешнему юристу), выполнена ли оценка возможных последствий и каким образом организация предполагает раскрывать данные обстоятельства в финансовой отчетности.
A139. В некоторых случаях руководство организации могло не ответить соответствующим образом на значительные риски существенного искажения посредством внедрения средств контроля над такими значительными рисками. Факт того, что руководство не внедрило такие средства контроля, указывает на существенный недостаток в системе внутреннего контроля <1>.
--------------------------------
<1> МСА 265 "Информирование лиц, отвечающих за корпоративное управление, и руководства о недостатках в системе внутреннего контроля", пункт A7.
Риски, по которым процедуры проверки по существу в отдельности не обеспечивают достаточных надлежащих аудиторских доказательств (см. пункт 30)
A140. Риски существенного искажения могут быть непосредственно связаны с учетом обычных видов операций или остатков по счетам и подготовкой достоверной финансовой отчетности. Такие риски могут включать риски неточной или неполной обработки стандартных и значительных классов операций, таких как выручка, закупки, денежные поступления или выплаты организации.
A141. Если обработка таких обычных операций в высокой степени автоматизирована и предполагает лишь незначительное ручное вмешательство или не предполагает его вовсе, то выполнение одних только процедур проверки по существу в отношении риска может оказаться невозможным. Например, аудитор может прийти к такому выводу в обстоятельствах, когда значительный объем информации организации инициируется, записывается, обрабатывается и обобщается только в электронном виде, например в интегрированных системах. В таких случаях:
- аудиторские доказательства могут быть доступны только в электронной форме, а их достаточность и надлежащий характер обычно зависят от эффективности средств контроля за их точностью и полнотой;
- вероятность неправомерного инициирования или изменения информации и его необнаружения может оказаться выше, если соответствующие средства контроля неэффективны.
A142. Последствия выявления таких рисков для дальнейших аудиторских процедур описаны в стандарте МСА 330 <1>.
--------------------------------
<1> МСА 330, пункт 8.
Пересмотр оценки рисков (см. пункт 31)
A143. Аудитор в ходе аудита может получить информацию, которая в значительной степени отличается от той, на которой основывалась оценка рисков. Например, оценка рисков может быть основана на ожидании, что определенные средства контроля функционируют эффективно. При выполнении тестов таких средств контроля аудитор может получить аудиторские доказательства, свидетельствующие о том, что эти средства контроля не функционировали эффективно в соответствующие периоды в ходе аудита. Также при выполнении процедуры проверки по существу аудитор может обнаружить искажения в суммах или периодичности, превышающей значения, установленные им в результате оценки рисков. В таких случаях оценка риска может не отражать надлежащим образом реальные обстоятельства организации и дальнейшие запланированные аудиторские процедуры могут не оказаться эффективными для обнаружения существенного искажения. Дополнительные рекомендации приведены в МСА 330.
Документация (см. пункт 32)
A144. Способ документирования требований пункта 32 определяется аудитором с применением профессионального суждения. Например, при аудите малой организации соответствующая документация может быть включена в состав документации аудитора в отношении общей стратегии и плана аудита <1>. Также, например, результаты оценки рисков могут быть задокументированы отдельно или в составе документации аудитора в отношении дальнейших процедур <2>. На форму и объем документации влияют характер, размер, сложность организации и ее систем внутреннего контроля, доступности информации от организации, а также используемых в ходе аудита методологии и технологии.
--------------------------------
<1> МСА 300 "Планирование аудита финансовой отчетности", пункты 7 и 9.
<2> МСА 330, пункт 28.
A145. При аудите организаций с несложными деятельностью и процессами подготовки финансовой отчетности документация может быть простой по форме и относительно краткой. В таком случае нет необходимости полностью документировать понимание аудитором организации и вопросов, связанных с ней. К ключевым элементам понимания, подлежащим документированию, относятся те, на которых аудитором была основана оценка рисков существенного искажения.
A146. Объем документации может также отражать опыт и способности членов аудиторской группы. При условии, что требования МСА 230 выполняются во всех случаях, при аудите, проводимом аудиторской группой, в состав которой входят менее опытные лица, может потребоваться более детальная документации, чтобы это помогло им в получении надлежащего понимания организации, чем в случае с группой, в состав которой входят более опытные специалисты.
A147. При повторном аудите определенная документация может переноситься на следующие периоды и обновляться по мере необходимости, чтобы отразить изменения в бизнесе или процессах организации.
Приложение 1
(см. пункты 4(c), 14 - 24, A76 - A117)
КОМПОНЕНТЫ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ
1. Настоящее Приложение содержит пояснения относительно компонентов системы внутреннего контроля, описанных в пунктах 4(c), 14 - 24 и A76 - A117, с учетом их связи с аудитом финансовой отчетности.
Контрольная среда
2. Контрольная среда охватывает следующие элементы:
(a) Информирование о принципе честности и этических ценностях. Эффективность средств контроля определяется уровнем честности и этическими ценностями людей, которые создают, применяют и осуществляют их мониторинг. Честность и этическое поведение являются результатом этических и поведенческих стандартов организации, способов их доведения до сведения персонала и продвижения на практике. Продвижение честности и этических ценностей предполагает, например, действия руководства, направленные на устранение или снижение стимулов и соблазнов, которые могут подтолкнуть персонал к участию в нечестной, незаконной или неэтичной деятельности. Информирование о политике организации в отношении честности и этических ценностей может включать доведение до персонала стандартов поведения с помощью сформулированных положений политики, кодексов поведения и личного примера.
(b) Приверженность профессиональной компетентности. Профессиональная компетентность - это знания и навыки, необходимые для выполнения задач, составляющих работу сотрудника.
(c) Участие лиц, отвечающих за корпоративное управление. На осознание организацией необходимости контроля оказывают значительное влияние лица, отвечающие за корпоративное управление. Важность обязанностей лиц, отвечающих за корпоративное управление, признается в корпоративных кодексах, законах, нормативных актах или руководствах, разработанных для лиц, отвечающих за корпоративное управление. Обязанности лиц, отвечающих за корпоративное управление, включают надзор за организацией и эффективным функционированием процедур информирования о нарушениях, а также процессом проверки эффективности системы внутреннего контроля организации.
(d) Философия и стиль управления руководства. Философия и стиль управления руководства охватывают широкий спектр характеристик. Например, отношение и действия руководства в отношении подготовки финансовой отчетности могут проявиться в выборе консервативных или агрессивных вариантов из имеющихся альтернативных принципов бухгалтерского учета или в добросовестности и консерватизме при расчете оценочных значений.
(e) Организационная структура. При создании надлежащей организационной структуры учитываются ключевые области полномочий и ответственности, а также соответствующий порядок подотчетности. Надлежащий характер организационной структуры, в числе прочего, определяется размером и характером деятельности организации.
(f) Распределение полномочий и ответственности. Распределение должностных полномочий и ответственности относится к политике в отношении надлежащей практики ведения бизнеса, знаниям и опыту ключевого персонала, ресурсам, предоставляемым для выполнения обязанностей. С распределением должностных полномочий и ответственности связаны политика и информирование, направленные на обеспечение понимания всеми сотрудниками целей организации, того, как действия отдельных сотрудников взаимосвязаны и способствуют достижению этих целей, и на осознание сотрудниками того, какую ответственность они несут.
(g) Кадровая политика и практика. Кадровая политика и практика часто отражают осознание необходимости контроля в организации. Например, стандарты набора наиболее квалифицированного персонала с особым вниманием к образованию, предыдущему опыту работы, прошлым достижениям, доказательствам честности и этического поведения, демонстрируют приверженность организации принципу набора компетентных и заслуживающих доверия людей. Политика по обучению, которая информирует о будущих функциях и ответственности, включает практические занятия, например, тренинги и семинары, иллюстрирует ожидаемый уровень результатов работы и поведения. Повышение в должности на основе периодической оценки результатов работы демонстрирует приверженность организации принципу продвижения более компетентных работников.
Процесс оценки рисков организации
3. Процесс оценки рисков организации в отношении финансовой отчетности включает то, каким образом руководство определяет бизнес-риски, связанные с подготовкой финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, оценивает их значительность и вероятность их возникновения, а также принимает решение в отношении действий в ответ на эти риски и результатов таких действий. Например, процедуры оценки рисков в организации могут быть направлены на рассмотрение того, как руководство учитывает возможность существования неотраженных в учете операций или определяет и проводит анализ существенных оценочных значений, отраженных в финансовой отчетности.
4. Риски, связанные с финансовой отчетностью, относятся к внешним и внутренним событиям, операциям или обстоятельствам, которые могут возникать и отрицательно влиять на способность организации инициировать, учитывать, обрабатывать и включать в отчетность финансовую информацию, соответствующую предпосылкам руководства. Руководство может разрабатывать планы, программы или действия в ответ на отдельные риски или может решить принять риск в силу возможных издержек или по иным соображениям. Риски могут возникать или изменяться по причине ряда обстоятельств:
- Изменения в операционной среде. Изменения в нормативном регулировании или операционной среде могут привести к изменениям давления со стороны конкурентов и значительно изменить риски.
- Новый персонал. Новый персонал может относиться иначе к системе внутреннего контроля или иметь другое ее понимание.
- Новые или обновленные информационные системы. Значительные и быстрые изменения в информационных системах могут изменить риски, связанные с системой внутреннего контроля.
- Быстрый рост. Значительное и быстрое расширение деятельности организации может перегрузить средства контроля и увеличить риск сбоев в системе контроля.
- Новые технологии. Внедрение новых технологий в производственный процесс или информационные системы может изменить риск, связанный с системой внутреннего контроля.
- Новые бизнес-модели, продукты и виды деятельности. Распространение деятельности организации на новые сферы бизнеса или появление операций, в которых у организации мало опыта, может вызвать новые риски, связанные с системой внутреннего контроля.
- Корпоративная реструктуризация. Реструктуризация может сопровождаться сокращением штата и изменениями порядка надзора и разделения обязанностей, что может изменить риск, связанный с системой внутреннего контроля.
- Расширение зарубежных операций. Расширение деятельности или приобретение иностранных подразделений создает новые и во многих случаях уникальные риски, которые могут повлиять на систему внутреннего контроля, например, дополнительные или измененные риски, связанные с операциями в иностранной валюте.
- Новые требования бухгалтерского учета. Принятие новых принципов бухгалтерского учета или изменение бухгалтерских принципов может повлиять на риски, связанные с подготовкой финансовой отчетности.
Информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие
5. Информационные системы состоят из инфраструктуры (физических компонентов и компонентов аппаратного обеспечения), программного обеспечения, людей, процедур и данных. Многие информационные системы широко используют ИТ.
6. Информационная система, обеспечивающая цели и относящаяся к порядку подготовки финансовой отчетности, охватывает методы и записи, которые:
- выявляют и записывают все имеющие силу операции;
- своевременно и с достаточной детализацией описывают операции для надлежащей классификации операций в целях подготовки финансовой отчетности;
- оценивают сумму операций таким образом, который позволяет надлежащим образом отразить их стоимостное выражение в финансовой отчетности;
- определяют период, в котором осуществлена операция, с целью ее отражения в соответствующем отчетном периоде;
- надлежащим образом представляют операции и соответствующее раскрытие информации в финансовой отчетности.
7. Качество генерируемой системой информации оказывает влияние на способность руководства принимать надлежащие решения в рамках управления и контроля за деятельностью организации и обеспечивать подготовку заслуживающих доверия финансовых отчетов.
8. Информирование, которое включает получение понимания индивидуальных функций и обязанностей в рамках системы внутреннего контроля за подготовкой финансовой отчетности, может осуществляться в форме руководств по политике, ведению учета и подготовке финансовой отчетности или меморандумов. Информирование может также осуществляться в электронной или устной форме или посредством действий руководства.
Контрольные действия
9. Обычно контрольные действия, которые могут оказаться значимыми для проводимого аудита, классифицируются как политика и процедуры, регламентирующие ряд вопросов:
- Обзоры результатов деятельности. Эти контрольные действия включают обзор и анализ фактических результатов в сравнении с бюджетом, прогнозами и результатами прошедшего периода; определение взаимосвязи между разными видами данных, операционными и финансовыми, анализ этих взаимосвязей, а также исследование и внесение корректировок; сравнение внутренних данных с внешними источниками информации; обзор результатов в разрезе функций или видов деятельности.
- Обработка информации. К двум большим группам контрольных действий в отношении информационных систем относятся прикладные средства контроля, которые применяются в отношении обработки данных отдельными приложениями, и общие средства контроля за ИТ-системами, которые представляют собой политику и процедуры, связанные со многими приложениями и поддерживающие эффективное функционирование средств контроля за приложениями посредством обеспечения надлежащей работы информационной системы. Примерами средства контроля приложений являются проверка математической точности записей, ведение и проверка счетов и оборотно-сальдовых ведомостей, автоматизированные средства контроля, такие как контрольные проверки вводимых данных и проверка сквозной нумерации, а также принимаемые в ручном режиме меры по результатам отчетов об отклонениях. Примеры общих средств контроля за ИТ-системами включают средства контроля за изменениями программного обеспечения; средства контроля, ограничивающие доступ к программам или данным, средства контроля над внедрением новых версий пакетного программного обеспечения; средства контроля над системным программным обеспечением, ограничивающие доступ или осуществляющие мониторинг использования системных служебных программ, которые могут изменить финансовые данные или записи без возможности последующей проверки.
- Физические средства контроля. Средства контроля, охватывающие:
- физическую безопасность активов, включая надлежащие меры предосторожности, такие как устройства, регламентирующие доступ к активам и записям;
- санкционирование доступа к компьютерным программам и файлам данных;
- периодический пересчет и сравнение с суммами, указанными в контрольных записях (например, сравнение результатов инвентаризации денежных средств, ценных бумаг и запасов с данными бухгалтерского учета).
Степень значимости физических средств контроля, направленных на предотвращение хищения активов, для надежности подготовки финансовой отчетности и, следовательно, аудита, зависит от таких обстоятельств, как высокая подверженность активов присвоению.
- Разделение должностных обязанностей. Назначение разных лиц для выполнения обязанностей по санкционированию операций, записи операций, обеспечению сохранности активов. Разделение должностных обязанностей направлено на снижение возможностей любого лица совершить или скрыть ошибки или недобросовестные действия в процессе выполнения им своих обязанностей.
10. Некоторые контрольные действия могут зависеть от существования соответствующей политики более высокого уровня, разработанной руководством организации или лицами, отвечающими за корпоративное управление. Например, контроль за санкционированием операций, таких как установление критериев инвестирования, может быть делегирован лицами, отвечающими за корпоративное управление, на основе соответствующих директив; напротив, нестандартные операции, такие как крупные приобретения или выбытие инвестиций, могут потребовать утверждения на более высоком уровне, в том числе в некоторых случаях - утверждения акционерами.
Мониторинг средств контроля
11. Важной обязанностью руководства является разработка и постоянное поддержание системы внутреннего контроля. Мониторинг средств контроля руководством предполагает рассмотрение следующего: функционируют ли средства контроля в соответствии с установленными целями и модифицируются ли они, чтобы при необходимости соответствовать изменяющимся условиям. Мониторинг средств контроля может включать такие действия, как проверка руководством того, были ли своевременно подготовлены банковские сверки, оценка внутренними аудиторами соблюдения сотрудниками службы продаж политики организации в отношении условий договоров купли-продажи, а также надзор, осуществляемый юридической службой, за соблюдением политики организации в отношении этики и практики ведения бизнеса. Мониторинг также проводится для непрерывного обеспечения долгосрочного эффективного функционирования средств контроля. Например, если своевременность и точность банковских сверок не осуществляется, персонал может прекратить их подготовку.
12. Внутренние аудиторы или сотрудники, выполняющие аналогичные функции, могут вносит вклад в мониторинг средств контроля организации, проводя отдельную оценку этих средств. Как правило, они регулярно предоставляют информацию о функционировании системы внутреннего контроля, уделяя значительное внимание оценке эффективности системы внутреннего контроля, а также информируют о сильных сторонах и недостатках системы внутреннего контроля и дают свои рекомендации по ее усовершенствованию.
13. В ходе мониторинга может использоваться информация, полученная от сторонних лиц, которая может указывать на наличие проблем или выделять области, требующие усовершенствования. Покупатели косвенно подтверждают данные по выставленным счетам, оплачивая их или предъявляя претензии в отношении начисленных сумм. Регулирующие органы могут информировать организацию о вопросах, оказывающих влияние на функционирование системы внутреннего контроля, например, сообщая о результатах проверки органами регулирования банковской деятельности. Также руководство может рассмотреть информацию, касающуюся системы внутреннего контроля, полученную от внешних аудиторов.
Приложение 2
(см. пункты A40, A128)
УСЛОВИЯ И СОБЫТИЯ,
КОТОРЫЕ МОГУТ УКАЗЫВАТЬ НА РИСКИ СУЩЕСТВЕННОГО ИСКАЖЕНИЯ
Ниже приводятся примеры условий и событий, которые могут указывать на существование рисков существенного искажения. Приведенные примеры охватывают широкий диапазон условий и событий; но не все указанные условия и события будут важны для каждого аудиторского задания, и список примеров не является исчерпывающим.
- Операции в экономически нестабильных регионах, например, в странах со значительной девальвацией валюты или высокой инфляцией.
- Операции, подверженные влиянию волатильности рынка, например, торговля фьючерсами.
- Операции, подлежащие в значительной степени сложному регулированию.
- Возникновение вопросов поддержания непрерывности деятельности и ликвидности, связанной с потерей важных заказчиков.
- Ограничения доступности капитала и кредитов.
- Изменения в отрасли, в которой организация ведет деятельность.
- Изменения в цепочке поставок.
- Разработка или предложение новых продуктов или услуг, внедрение новых направлений бизнеса.
- Территориальное расширение деятельности.
- Изменения в организации, например, крупные приобретения, реорганизация или иные необычные события.
- Организации или сегменты бизнеса, в отношении которых существует вероятность продажи.
- Наличие сложных альянсов и совместных предприятий.
- Использование забалансового финансирования, организаций специального назначения и прочих сложных форм финансирования.
- Значительные операции со связанными сторонами.
- Недостаток персонала с надлежащими навыками в области бухгалтерского учета и подготовки финансовой отчетности.
- Изменения в составе ключевого персонала, включая уход ключевых руководителей.
- Недостатки в системе внутреннего контроля, особенно не устраненные руководством.
- Несоответствие между ИТ-стратегией и бизнес-стратегиями организации.
- Изменения в среде информационных технологий.
- Установка новых значительных ИТ-систем, связанных с финансовой отчетностью.
- Запросы регулирующих или государственных органов в отношении деятельности организации или финансовых результатов.
- Искажения, допущенные в прошлом, история ошибок или значительные суммы корректировок на конец периода.
- Значительные суммы нестандартных или несистематических операций, включая внутригрупповые операции и операции с большой выручкой в конце периода.
- Операции, учтенные на основе намерений руководства, например рефинансирование задолженности, активы для продажи и классификация обращающихся на рынке ценных бумаг.
- Применение новых требований бухгалтерского учета.
- Бухгалтерские оценки с применением сложных методик.
- События или операции, для которых характерна значительная неопределенность оценки, включая оценочные значения.
- Незавершенные судебные разбирательства и условные обязательства, например, гарантийные обязательства по продажам, финансовые гарантии и обязательства по восстановлению окружающей среды.