Дослідження й оцінювання системи внутрішнього контролю
Щоб отримати розуміння суб'єкта господарювання та його середовища, в тому числі його внутрішнього контролю, аудитор повинен виконати такі процедури оцінки ризику:
а)запити до найвищого управлінського персоналу та інших представників
управлінського персоналу суб'єкту господарювання;
б) аналітичні процедури;
в) спостереження та перевірки.
Хоча значний обсяг інформації, яку аудитор одержує шляхом запитів, може бути наданий управлінським персоналом та іншими особами, які відповідають за фінансову звітність, запити, надані іншим структурам суб'єкта господарювання, таким як виробничий персонал та працівники внутрішнього аудиту, інші працівники з різним рівнем повноважень, можуть виявитися корисними і надати інший ракурс для оцінки ризиків суттєвого викривлення. При визначенні інших працівників суб'єкта господарювання, яким можна надіслати запити, а також обсягу таких запитів, аудитор розглядає, яку інформацію можна отримати для допомоги у визначенні ризиків суттєвого викривлення. Наприклад:
• Запити особам, відповідальним за управління, можуть допомогти аудитору зрозуміти середовище, в якому готуються фінансові звіти.
• Запити на адресу працівників внутрішнього аудиту можуть бути пов’язані з їх діяльністю щодо побудови та ефективності системи внутрішнього контролю суб'єкта
господарювання, а також стосуватися задовільності ставлення керівництва до результатів цієї діяльності.
• Запити працівникам, зайнятим в ініціюванні, обробці та відображенні в обліку складних та незвичайних операцій можуть допомогти аудитору в оцінці незалежності вибору та застосування певної облікової політики.
• Запити внутрішнім радникам з правових питаня можуть стосуватися таких аспектів, як судові процеси, дотримання законодавчих та нормативних положень, відомості про шахрайство або підозру в шахрайстві, яке стосується суб'єкта господарювання, гарантії, зобов'язання щодо обслуговування після продажу, угоди (як-то спільні підприємства) та ділові партнери і тлумачення умов контракту.
• Запити на адресу персоналу з маркетингу та продажу можуть стосуватися змін в маркетинговій стратегії, тенденціях реалізації або в конкретних угодах з клієнтами суб’єкта господарювання.
Аналітичні процедури можуть виявитися корисними у визначенні наявності надзвичайних операцій або подій, а також сум. показників та тенденцій. які можуть свідчити про проблеми, що можуть спричинити певні наслідки для фінансових звітів або для аудиторської перевірки. В ході виконання аналітичних процедур як процедур оцінки ризику, аудитор визначає очікування щодо видимих зв’язків. існування яких може бути обґрунтованим. Якщо порівняння цих очікувань з відображеними в обліку сумами або з показниками. обчисленими відповідно до зазначених в обліку сум. свідчить про незвичайні або неочікувані зв'язки, аудитор розглядає ці результати при визначенні суттєвих викривлень. Однак, якщо в таких аналітичних процедурах використовують дані, агреговані (консолідовані на високому рівні (а саме так часто і трапляється), результати таких аналітичних процедур забезпечать лише^ загальну початкову уяву про можливу наявність суттєвих викривлень. Відповідно, аудитор розглядає ці результати аналітичних процедур разом з іншою інформацією, зібраною в ході визначення ризиків суттєвого викривлення.
Спостереження та перевірка можуть доповнювати запити управлінському та іншому персоналу, і також надавати інформацію щодо суб’єкта господарювання та його середовища. Такі процедури аудиту охоплюють наступне:
• спостереження за діяльністю та операціями суб'єкта господарювання.
• перевірка документів (таких як бізнес-плани і стратегія), бухгалтерських записів та керівництва з процедур внутрішнього контролю.
• відвідання приміщень та виробничих цехів суб’єкта господарювання.
• простежування операцій в інформаційній системі, пов’язаній з фінансовою звітністю (наскрізні перевірки).
Аудитор повинен отримати розуміння внутрішнього контролю, доречного для аудиторської перевірки.
Внутрішній контроль за збереженням активів і їх захистом несанкціонованого придбання, використання або реалізації може включати заходи контролю, пов'язані з фінансовою звітністю та з цілями виробничої діяльності. При одержані розуміння кожної складової внутрішнього контролю, аудитор, як правило, обмежує розгляд заходів контролю, спрямованих на зберігання активів, тими функціями, які мають відношення до достовірності фінансової звітності. Наприклад, використання заходів контролю за доступом, таких як пароль, обмежений доступ до даних і програм, які обробляють видач} готівкових коштів. може бути доречним для аудиторської перевірки фінансових звітів. І. навпаки, заходи контролю, спрямовані на запобігання надмірному використанню матеріалів в процесі виробництва звичайно не є доречними для аудиторської перевірки звітів.
Отримання розуміння внутрішнього контролю передбачає оцінку структури контролю і врахування її реалізації на практиці.
Оцінка структури контролю включає визначення здатності певного заходу визначення здатності певного заходу контролю (взятого окремо або у поєднанні з іншими) дефективно
запобігати, або виявити і виправляти суттєві викривлення. Подальше пояснення наводяться далі при розгляді кожної складової внутрішнього контролю.
Реалізація того чи іншого заходу контроль на практиці означає, що цей контроль існує і суб'єкт господарювання використовує його. Аудитор вивчає структуру контролю і після цього визначає чи враховувати його реалізацію.
Неналежно структурований контроль може являть собою суттєву слабкість (суттєвою
слабкістю внутрішнього контролю є така слабкість, яка може мати суттєвий вплив на фінансові звіти) у внутрішньому контролі суб'єкта господарювання. В такому випадку аудитор розглядає необхідність поінформувати про це найвищий управлінський персонал (МСА 315).
Отримати розуміння внутрішнього контролю суб’єкта господарювання недостатньо для перевірки операційної ефективності заходів контролю, якщо немає певної автоматизації процесів, яка забезпечує відповідне застосування заходів контролю.
Аудитор повинен отримати розуміння інформаційних систем, в тому числі пов’язаних з нею бізнес-процесів. що стосується фінансової звітності і передачі інформації, включаючи такі сфери:
• класи операцій. здійснюваних в ході діяльності суб’єкта господарювання, які є суттєвими для фінансових звітів;
• процедури, ручні і здійснювані за допомогою інформаційних технологій, відповідно до яких операції оцінюють, відображають в обліку, обробляють та відображають у фінансових звітах:
• відповідні бухгалтерські записи, зроблені вручну або електронним способом, які супроводжують інформацію, та конкретні рахунки у фінансових звітах щодо ініціювання, відображення в обліку. обробки та відображення у звітності операцій.
• спосіб, в який інформаційна система відображає події та умови, інші ніж класи операцій, що є суттєвими для фінансових звітів.
• процес підготовки фінансових звітів суб’єкта господарювання, в тому числі суттєві облікові оцінки та розкриття облікової інформації.
Аудитор повинен отримати достатнє розуміння процедур контролю для оцінки ризиків суттєвого викривлення на рівні твердження і для визначення подальших процедур аудиторської перевірки відповідно до оцінених ризиків. Процедури контролю - це політика і процедури, які допомагають забезпечити виконання вказівок управлінського персоналу; наприклад, забезпечення виконання заходів. необхідних для усунення ризиків, які загрожують досягненню цілей суб’єкта господарювання. Функції контролю в автоматизованих системах і в системах з ручним режимом мають різні цілі і здійснюється на різних організаційних та функціональних рівнях.
Прикладами конкретних видів і процедур контролю є діяльність, пов'язана з: санкціонуванням; перевіркою результатів діяльності; обробкою інформації; фізичним контролем; розмежуванням обов'язків.
Ризики, що стосуються фінансової звітності, включають зовнішні і внутрішні події та обставини, що можуть впливати на здатність суб'єкта господарювання ініціювати. відображати в обліку і в звітності фінансові дані, які відповідають твердженням управлінського персоналу. Після виявлення ризиків, управлінський персонал розглядає їх суттєвість. ймовірність і визначає належні способи управління ними. Управлінський персонал може ініціювати розробки планів, програм або заходів, спрямованих на конкретні ризики, і може вирішити прийняти ризик з міркувань витрат або з інших міркувань. Ризики можуть виникати або змінюватися відповідно до обставин, зокрема таких, як:
• зміни в середовищі, в якому проводиться діяльність. Зміни в регуляторному або операційному середовищі можуть призвести до змін у конкурентному тиску і до появи суттєво відмінних ризиків;
• новий персонал. Нові працівники можуть мати інше розуміння внутрішнього контролю, або зосереджуватися на інших його аспектах:
• нові або модернізовані інформаційні системи1. Суттєві або швидкі зміни в інформаційних системах можуть змінити ризики, пов'язані із внутрішнім контролем.
• швидкі темпи росту. Суттєве або швидке розширення діяльності може створити певне навантаження для контролю і збільшити ризик розвалу процедур контролю:
• нові технології. Впровадження нових технологій у процесі виробництва або в інформаційну систему може змінити ризик, пов’язаний з внутрішнім контролем:
• нові моделі ведення бізнесу. нові продукти або види діяльності. Започаткування нового бізнесу або запровадження нових операцій, у сфері яких досвід суб’єкта господарювання є обмеженим, може створити нові ризики, пов'язані з внутрішнім контролем;
• корпоративна реструктуризація. Реструктуризація може супроводжуватися скороченням персоналу і змінами у функції нагляду або розмежуванням обов'язків, що в свою чергу, може змінити ризики, пов'язані з внутрішнім контролем;
• розширення закордонної діяльності. Розширення закордонної діяльності або придбання закордонних виробничих одиниць створює нові, часто унікальні ризики, які можуть вплинути на внутрішній контроль, наприклад, на появу додаткових або змінених ризиків в результаті операцій в іноземній валюті;
• нові положення бухгалтерського обліку. Прийняття нових принципів в бухобліку може вплинути на ризики, пов'язані з підготовкою фінансових звітів.
Слід звернути увагу, що іноді існують умови та події, які вказують на існування ризиків суттєвого викривлення. Наведені приклади охоплюють широке коло умов та подій; однак, не всі події та умови можуть мати відношення до кожного завдання з аудиторської перевірки, а перелік прикладів необов'язково має бути вичерпним.
• діяльність в економічно нестабільних регіонах, наприклад, в країнах за значним знеціненням грошової одиниці або в країнах з гіперінфляцією.
• діяльність пов’язана з ризиком нестабільності ринків, наприклад, торгівля ф’ючерсами.
• складне і надмірне регулювання.
• проблеми безперервності діяльності підприємства та ліквідності, в тому числі втрата великих клієнтів.
• перешкоди в доступності капіталу та кредитів.
• зміни в галузі, до якої належить суб'єкт господарювання.
• зміни в ланцюгу постачання.
• розробка або пропозиція нових продуктів або послуг, або ж перехід до нових видів діяльності.
• розширення в нових регіонах.
• зміни в середині суб’єкта господарювання, як то велике придбання або реорганізація чи інші незвичайні події.
• імовірність продажу суб'єктів господарювання або сегментів бізнесу.
• складні асоціації та спільні підприємства.
• використання позабалансового фінансування, спеціалізовані суб'єкти господарювання та інші складні домовленості щодо фінансування.
• суттєві операції за зв’язаними сторонами.
• нестача персоналу з належним знанням бухобліку із належними навичками підготовки фінансових звітів.
• перестановки на ключових посадах, в тому числі серед ключових керівників.
• слабкі сторони внутрішнього контролю. Особливо ті. що не усуваються управлінським персоналом.
• невідповідність стратегії суб'єкта господарювання у сфері інформаційних технологій стратегії його бізнесу.
• зміни в середовищі інформаційних технологій.
• установка суттєвих нових систем інформаційних технологій, пов’язаних з фінансовою звітністю.
• перевірка фінансових результатів діяльності суб’єкта господарювання регуляторними та державними органами.
• викривлення в минулих періодах. дані щодо помилок або суттєвих коригувань на кінець періоду в минулому.
• суттєві суми нерегулярних або незвичайних операцій, в тому числі операцій всередині компанії та великі доходні операції на кінець періоду.
• операції. які обліковуються за вказівкою управлінського персоналу, наприклад, рефінансуванням боргу, продаж активів або класифікація цінних паперів, що легко реалізуються.
• Застосування нових положень бухобліку.
• Облікові оцінки, які вимагають складних підрахунків.
• Події або операції, які передбачають суттєву неточність оцінок, в тому числі облікових оцінок.
• очікувані зміни в законодавстві або умовні зобов'язання, наприклад, гарантії на реалізовану продукцію, фінансові гарантії та заходи для збереження довкілля.
У МСА №320 «Суттєвість в аудиті» відмічається, що аудитор повинен оцінювати суттєвість:
1) визначаючи характер, розрахунок часу та обсяг аудиторських процедур:
2) оцінюючи наслідки викривлень
Між суттєвістю й аудиторським ризиком є зворотний взаємозв'язок, тобто чим вище рівень суттєвості, тим нижче аудиторський ризик і навпаки.
Аудитор ураховує зворотній взаємозв'язок між суттєвістю й аудиторським ризиком при визначенні характеристику розрахунку часу та обсягу аудиторських процедур. Наприклад, якщо після планування конкретних аудиторських процедур аудитор визначає, що прийнятний рівень суттєвості нижчий, аудиторський ризик підвищується.
Аудитор компенсує це:
а) знижуючи рівень оціненого ризику суттєвого викривлення, якщо це можливо, і
підтверджуючи знижений рівень за допомогою проведення розширених або додаткових
тестів контролю:
б) знижуючи ризик не виявлення помилки шляхом зміни характеру, розрахунку часу
та обсягу запланованих процедур по суті.
Аудиторська оцінка суттєвості й аудиторського ризику на початковій стадії планування може відрізнятися від оцінки після оцінки результатів аудиторських процедур. Це може бути викликано зміною обставин або зміною знань аудитора в результаті виконання аудиторських процедур. Наприклад, якщо аудиторські процедури виконуються до закінчення періоду, аудитор може передбачити результати господарської діяльності і фінансовий стан.
Якщо ж фактичні результати діяльності і фінансовий стан суттєво відрізняються, оцінка суттєвості й аудиторського ризику також може змінюватись. Крім того, плануючи аудиторську перевірку, аудитор може встановити прийнятний рівень суттєвості на рівні нижчому, ніж той, що передбачається використати для оцінки результатів аудиторської перевірки. Це може бути зроблено з метою зменшення ймовірності невиявлення викривлень, а також з метою надання аудитору певної безпеки під час оцінки наслідків викривлень, виявлених у процесі аудиторської перевірки.
5. Підготовка і складання програми аудиту
Програма аудиту - це документ, що містить перелік завдань у визначеній послідовності їх виконання, за допомогою яких отримуються достатні та надійні аудиторські докази у відповідності до мети перевірки щодо відповідного клієнта. Іншими словами.
програма аудиту - програма служить докладною інструкцією асистентам аудитора й одночасно є для керівників аудиторської організації й аудиторської групи засобом контролю якості роботи
Програма повинна бути настільки деталізованою, щоб можна було використовувати її як інструкцію для виконавців аудиту, які беруть участь у перевірці. Програма повинна також слугувати засобом контролю за роботою виконавців аудиту.
У програмі аудиту види, зміст та час проведення запланованих аудиторських процедур повинні збігатися з прийнятими до роботи показниками загального плану аудиту. Аудиторська програма допомагає керувати виконавцями аудиту та контролювати їх роботу. Аудиторська програма також містить перелік об'єктів аудиту по його напрямах, а також час, який необхідно витратити на кожен напрям аудиту або аудиторську процедуру.
Аудитор затверджує програму, визначаючи суттєвість по процедурах аудиту, об'єкт аудиту по кожному питанню окремо та масштаб перевірки.
Для розробки програм можна використовувати стандартні аудиторські програми або контрольні листи щодо проведення аудиту, які розробляються аудиторською фірмою. Стандартні аудиторські програми є власними розробками аудиторської фірми, вони втілюють в собі накопичений професійний досвід виконання різних видів робіт і тому є своєрідним ноу-хау. Коли використовуються стандартні програми або контрольні листи, необхідно їх доробляти відповідно до умов конкретного завдання.
Під час підготовки програми аудитору для виконання робіт по конкретному договору доречно враховувати такі обставини:
- визначені оцінки ризику суттєвих викривлень:
- рівень впевненості, який має бути забезпечений при отриманні аудиторських доказів у процесі виконання процедур по суті:
• заплановані терміни виконання тестів контролю і процедур по суті:
• можливість координації будь-якої позиції в плані перевірки, наприклад, заміна одного працівника на іншого, надання технічної або методичної допомоги;
• кількість асистентів (тобто працівників аудиторської фірми, які мають менший досвід роботи в порівнянні зі старшим персоналом);
• необхідність залучення інших аудиторів або експертів.
Програма аудиту, як і інші документи, що формуються в процесі перевірки, є важливим інструментом, який дозволяє забезпечити якісне надання професійних послуг, а також зменшити ризик не виявлення суттєвих помилок.
Отже, в програмі конкретизуються процедури, що необхідно виконати для отримання аудиторських доказів щодо тверджень, які містять показники та інформацію у фінансовій звітності.
С два типи підготовки програми: максимально жорсткий і максимально гнучкий.
При першому аудиторська фірма розробляє основну програму, до якої включає максимально важливий обсяг інформації. Маючи таку програму, аудитор може скласти план своїх дій. викресливши з програми пункти, які не підходять для даного клієнта.
Найкращим є змішаний варіант. Аудитор, маючи основну програму, складає свою з урахуванням особливостей клієнта.
Існує два основних способи організації програм аудита.
• по класифікації фінансової звітності - процедури отримання аудиторських доказів можна побудувати стосовно інформації, яка систематизується на рахунках бухгалтерського обліку й потім служить підставою для формування відповідного показника фінансової звітності.
• по циклах - процедури отримання аудиторських доказів можна побудувати для перевірки інформації про господарські операції в розрізі господарських циклів, що відбуваються на підприємстві, і пов'язаних з ними рахунків бухгалтерського обліку.
Варто зазначити що обидва способи мають свої переваги, проте вибір залежить винятково від професійного судження аудитора. Однією з переваг організації по циклах є те. що він дає аудитору більш ясну схему для розуміння діяльності клієнта й операцій, що мають істотний вплив на фінансову звітність. Недоліком є те. що при такому підході складно уникнути дублювання роботи аудитора, тому що операції і залишки взаємозалежні.
При розробці програм необхідно враховувати цілі аудита. Цілі формуються виходячи
з якісних аспектів фінансової звітності. Якісні аспекти фінансової звітності - твердження
керівництва, які чітко виражені або припускаються у фінансовій звітності. Твердження
керівництва підрозділяються на 5 основних категорій:
| Категорія | Твердження керівництва |
| Наявність чи існування | Активи, зобов'язання і власний капітал, включені в бухгалтерський баланс, дійсно існують |
| Повнота | Включено всі операції і рахунки, що повинні бути присутнім у фінансовій звітності |
| Права й обов'язки | Активи та зобов'язання визнано на певну дату відповідно до установлених вимог |
| Оцінка | Активи, зобов'язання, рахунки доходів і витрат оцінені відповідно до установлених вимог |
| Представлення і розкриття | Статті фінансової звітності розкрито, класифіковано й описано відповідно до установлених вимог |
Програма може бути представлена у вигляді таблиці, яка містить перелік аудиторських процедур, що є необхідними для виконання по кожному об'єкту перевірки окремо. На початку програми вказується: назва підприємства: період перевірки; дата перевірки: об'єкт перевірки.
У програмі крім прізвища також вказують ініціали аудитора, який робив перевірку конкретного об'єкта аудиту, час. який необхідно витратити на перевірку конкретного об'єкта перевірки, та передбачають місце для відміток про фактичне виконання плану аудиту по кожному питанню.
Програма по кожному об'єкту аудиту підписується керівником групи аудиторів або керівником аудиторської фірми.
Програма аудиту також може бути складена у вигляді програми тестів контролю та тестів (процедур) по суті. Програма тестів контролю являє собою сукупність дій. спрямованих на збирання інформації про ефективність функціонування системи внутрішнього контролю клієнта. Програма тестів по суті - це детальна перевірка правильності відображення у бухгалтерському обліку оборотів та залишків по рахунках, тобто перелік дій для детальних конкретних перевірок. У цьому випадку аудитор визначає конкретні сфери аудиту (розділи бухгалтерського обліку), які він буде перевіряти, та складає програму по кожній з них.
З кожного розділу програми формуються документально підтверджені висновки, які є основою для формування та висловлення думки аудитора в аудиторському звіті та висновку.
У залежності від змін умов проведення аудиту і результатів аудиторських процедур програма аудиту може переглядатися. Причини і результати змін варто документувати.
Висновки аудитора по кожнім розділі аудиторської програми, документально відображені в робочих документах і є фактичним матеріалом для складання аудиторського звіту (письмової інформації керівництву економічного суб'єкта) і аудиторського висновку, а також підставою для формування об'єктивної думки.
По закінченні процесу планування аудиту загальний план і програма аудиту повинні бути оформлені документально і завізовані у встановленому порядку.
Аудиторська документація на стадії планування. Як і вся діяльність у процесі здійснення аудита. процес планування вимагає адекватного документування. Форма і зміст робочих документів у визначеній мері є питанням професійного судження аудитора. На стадії планування доцільно формувати наступні документи:
• Опис бізнесу підприємства - замовника
• Опис системи бухгалтерського обліку
• Опис системи внутрішнього контролю
• Короткий аналіз фінансової звітності
• Попередня оцінка аудиторського ризику
• Попередня оцінка суттєвості
• Загальний план
• Програма аудиту
• Графік виконання робіт.
Зразки робочих документів не вирішують проблеми документування на етапі планування. Більшість інформації доцільно надавати в описовому вигляді.
Програму аудиту, як і загальний план, слід переглядати в ході перевірки (якщо це необхідно). Причини всіх змін мають бути задокументовані.
Отже, процес планування, як початковий етап проведення аудиту, включає розробку загального плану з визначенням обсягу, графіків і строків проведення перевірки, а також аудиторської програми, яка конкретизує обсяг, види та послідовність аудиторських процедур, необхідних для формування об'єктивної та обґрунтованої думки про досліджені факти господарського життя, достовірність показників фінансової звітності клієнта.