Положения по международной аудиторской практике

1. Процедуры межбанковского подтверждения
2. Взаимодействие инспекторов по банковскому надзору и внешних аудиторов
3. Аудит международных коммерческих банков
4. Международные стандарты по компьютерным технологиям аудита
5. Особенности аудиторских доказательств при аудите в компьютерной среде
6. Учет экологических вопросов при аудите финансовой отчетности
7. Особенности аудита малых предприятий
8. Аудит производных финансовых инструментов

Процедуры межбанковского подтверждения

Инструкции по межбанковским процедурам подтверждения для внешних независимых аудиторов, а также таких сотрудников банков, как внутренние аудиторы и инспекторы, приведены в ПМАП 1000 «Процедуры межбанковского подтверждения». ПМАП 1000 не имеет российского аналога. В нем указывается, что при аудите финансовой отчетности банков и связанной с ней информации особое внимание уделяется запросу о подтверждении непосредственно со стороны других банков в отношении остатков по счетам и других сумм, фигурирующих в балансе, а также иной информации, которая может быть и не отражена в самом балансе, но раскрыта в примечаниях к отчетности. Отмечено, что забалансовые статьи, требующие подтверждения, включают в себя такие статьи, как гарантии, форвардные обязательства по покупке или продаже, обязательства по обратной покупке опционов, соглашения о зачете. Объясняется, что этот вид аудиторских доказательств ценен, поскольку они поступают непосредственно от независимого источника и обеспечивают большую уверенность в достоверности, нежели те, которые были получены исключительно на основе собственных учетных записей банка.

В разделе «Необходимость подтверждения» подчеркивается роль межбанковского подтверждения как важного механизма контроля для руководства банков за проведением операций с частными лицами или группами финансовых институтов; отмечается, что требование банковского подтверждения возникает в связи с необходимостью для руководства банка и его аудиторов подтвердить финансовые и деловые взаимоотношения между: банком и другими банками в этой же стране; банком и другими банками в других странах; банком и его небанковскими клиентами.

В разделе «Использование запросов о подтверждении» указано, что аудитор должен выбрать наиболее подходящий способ для подтверждения другим банком остатков или другой информации. Аудитору нужно решить, у какого банка или банков запросить подтверждение, с учетом таких вопросов, как размер остатков, объем деятельности, степень надежности внутреннего контроля, а также уровень существенности в контексте финансовой отчетности. Запросы о подтверждении отдельных операций могут быть либо элементом тестирования системы внутреннего контроля банка, либо средством подтверждения сумм в финансовой отчетности банка на какую-либо дату. Аудитор должен определить, какой из следующих способов наиболее подходит для подтверждения другим банком остатков или иной информации: указать сумму и иную информацию и попросить подтверждения их точности и полноты; запросить расшифровку сумм остатков и другие сведения, которые затем могут быть сопоставлены с записями проверяемого банка. Важно получить ответы на все запросы. Отклонением от принятой практики является просьба направлять ответ только в том случае, если предоставленная в запросе информация неверна или неполна.

В разделе «Подготовка и рассылка запросов и получение ответов» рассмотрен порядок отправления аудитором запроса о подтверждении. Указано, что лучше направлять запросы о подтверждении в головной офис банка, чем в подразделение, у которого предположительно находится финансовая и другая полезная информация. Ответственность по контролю за содержанием запросов о подтверждении и их рассылкой возлагается на аудитора. Тем не менее запрос должен быть авторизован запрашивающим банком. Ответы должны быть направлены непосредственно аудитору, и для удобства к запросу должен быть приложен конверт с надписанным адресом.

В разделе «Содержание запросов о подтверждении» отмечено, что форма и содержание письма с запросом о подтверждении зависят от цели такового, местной практики и учетных процедур запрашиваемого банка, например от интенсивности применения электронной обработки информации. Запрос о подтверждении должен быть четким и сжатым, так чтобы он мог быть беспрепятственно понят подтверждающим банком.

Письма-запросы, касающиеся различных аспектов межбанковских взаимоотношений, могут быть направлены несколько раз в течение года. Наиболее часто у банка запрашивается информация о суммах «к оплате» или «к получению» по текущим, депозитным, ссудным и другим счетам. В письме-запросе должны быть приведены описание счета, номер и вид валюты счета. Рекомендуется также запросить информацию о нулевых остатках на корреспондентских счетах и о корреспондентских счетах, которые были закрыты в течение 12 месяцев до выбранной даты подтверждения. Запрашивающий банк может попросить подтвердить не только суммы по счетам, но и другую информацию, которая может быть полезной, такую, как сроки погашения кредитов и процентные ставки, информацию о неиспользованных кредитных ресурсах, гарантиях, кредитных линиях.

Указано, что важная часть банковской деятельности связана с контролем за операциями, обычно называемыми забалансовыми. Соответственно банк и его аудиторы чаще всего запрашивают подтверждения условных обязательств, вытекающих из таких обязательств, как предоставление гарантий, поручительств, соглашений о намерениях, обязательств по векселям, в том числе по собственным акцептованным векселям и индоссаментам. Предоставленная или запрашиваемая информация должна содержать описание характера условных обязательств, их валюту и суммы. Кроме того, нужно запрашивать подтверждение соглашений об обратной покупке и обратной продаже активов и непогашенных опционов на соответствующую дату. В таком подтверждении должен быть описан актив, предусмотренный соглашением, указаны дата поставки актива и условия, на которых поставка была проведена. Другая категория информации, для которой зачастую требуется независимое подтверждение надату, отличную от даты совершения операции, включает в себя форвардные контракты по иностранной валюте, драгоценным металлам, ценным бумагам и другие нереализованные контракты. Запрос должен содержать информацию об условиях каждого контракта, в том числе его номер, дату исполнения, срок выплаты или дату поставки актива, цену, по которой была заключена сделка, валюту и сумму контракта на покупку и продажу запрашивающему банку. В связи с тем что банки часто предоставляют клиентам депозитарные услуги по хранению ценных бумаг и других ценностей, запрос может содержать просьбу к банку подтвердить хранение таких ценностей на определенную дату. Подтверждение должно включать в себя описание ценностей и характер всех обременении или иных прав на данные ценности.

В приложении приведен глоссарий, в котором даются определения некоторых терминов, использованных в ПМАП 1000: «обеспечение», «условные обязательства», «закладная», «зачет», «опцион», «соглашение об обратной продаже (обратной покупке)», «депозитарные услуги», «кредитная линия (резервный кредит)».

В России аудиторскими стандартами по банковскому аудиту занимается Центральный банк Российской Федерации. Стандартизация работы аудиторов в этом направлении находится на начальной стадии.

Взаимодействие инспекторов по банковскому надзору и внешних аудиторов

Требования к взаимодействию внешних аудиторов и органов, контролирующих работу банков, установлены ПМАП 1004 «Взаимодействие инспекторов по банковскому надзору и внешних аудиторов», не имеющим российского аналога. В ПМАП отмечено, что во многих аспектах интересы инспектора и аудитора аналогичны, хотя объекты их внимания могут различаться. Инспектор, которого в первую очередь должна интересовать стабильность банка с точки зрения защиты интересов вкладчиков, проверяет его настоящую и будущую жизнеспособность, используя финансовую отчетность для оценки развития его деятельности. Аудитора же в первую очередь интересует отчетность о финансовом положении банка и результатах его операций, поэтому аудитор также рассматривает способность банка вести непрерывную деятельность для подтверждения допущения о непрерывной деятельности, на основе которого подготавливается финансовая отчетность.

В разделе «Обязанности руководства банка» сказано, что основные обязанности по ведению бизнеса в банке возложены на совет директоров и руководство, назначенное им. В эти обязанности входит обеспечение:

• профессиональной компетентности тех, кто решает стоящие перед банком задачи, и наличия специалистов с соответствующим опытом, занимающих ключевые позиции;
• наличия и функционирования надлежащих систем контроля;
• надлежащей осмотрительности при проведении операций банка, в том числе создания достаточных резервов для покрытия убытков соблюдения законодательных и нормативных актов, включая директивы, касающиеся платежеспособности и ликвидности;
• необходимой защиты не только акционеров, но и вкладчиков и других кредиторов.

Ответственность за подготовку финансовой отчетности согласно местному законодательству несет руководство банка, которое также должно обеспечить аудитора, проверяющего эту отчетность и составляющего отчет по ней, всей необходимой информацией, которая может существенно влиять на финансовую отчетность и, следовательно, на мнение аудитора. Руководство обычно несет ответственность за организацию и эффективную работу подразделения внутреннего аудита в банке, определяемого его размерами и характером операций, а также за принятие своевременных и надлежащих мер по исправлению недостатков, обнаруженных сотрудниками этого подразделения. Надзор за деятельностью банков, осуществляемый центральными банками или другими официальными органами, и поведение аудита банковской финансовой отчетности независимыми аудиторами ни в коей мере не уменьшают ответственность руководства.

В разделе «Функции инспектора по банковскому надзору» говорится, что законодательно определенной функцией обычно является защита интересов банковских вкладчиков. Наряду с этими функциями инспектор выполняет более широкие обязанности по обеспечению устойчивости и стабильности банковской системы, а в некоторых странах надзор также может вестись для обеспечения соблюдения монетарной и валютной политики. Наиболее важными полномочиями большинства органов надзора являются право выдать разрешение или лицензию субъекту на ведение банковской деятельности и право отозвать подобную лицензию. Для того чтобы получить и сохранить лицензию на ведение банковской деятельности, субъекты должны соблюдать определенные потенциальные требования. Приведем основные общие требования для большинства систем:

• лица, осуществляющие контроль и управляющие деятельностью банка, должны быть честными и заслуживать доверия, а также должны обладать соответствующей квалификацией и опытом;
• банк должен иметь достаточный капитал, чтобы обеспечивать покрытие рисков, присущих данному бизнесу вследствие его характера и размера;
• банк должен иметь достаточную ликвидность на случай оттока денежных средств.

Цель этих требований состоит в создании условий, обеспечивающих надлежащее ведение бизнеса руководством банка и создание им достаточных финансовых ресурсов для преодоления неблагоприятных обстоятельств и защиты вкладчиков от потерь. Несоблюдение банком различных условий и требований дает инспектору основание рассмотреть вопрос об отзыве лицензии, но следствием отзыва лицензии может стать не только прекращение деятельности, но и процедура банкротства, т.е. отзыв лицензии обычно является крайней мерой, к которой прибегают тогда, когда становится ясно, что нет другой возможности исправить положение.

Инспектор тоже стремится взять под контроль и ограничить сферы возникновения банковских рисков, таких, как риск ликвидности, риск, связанный с привлечением средств, процентный риск, инвестиционный риск, риск, связанный с курсом валюты, и риск по внебалансовым статьям. Инспектор придает большое значение хорошо продуманной организационной структуре банков и работе эффективных информационных систем и систем контроля в целях управления риском. Задачей инспектора является также обеспечение наличия бухгалтерских записей, ведущихся надлежащим образом, и соблюдения стандартных бухгалтерских процедур в целях: эффективного осуществления всей банковской деятельности; наличия у руководства необходимой базы данных для проведения мониторинга, контроля и планирования различных потенциальных рисков; снижения вероятности мошенничества со стороны работников, руководства и клиентов. Системы надзора используют в основном такие методы, как проверки на местах, сбор и анализ регулярных отчетов и прочих статистических данных.

В разделе «Роль внешнего аудитора банка» указано, что основная цель проведения аудита банка внешним аудитором — выражение им мнения о том, отражает ли опубликованная финансовая отчетность банка «достоверно объективно» (или «представлена ли она объективно») финансовое положение банка и результаты его деятельности за отчетный период. Для того чтобы обеспечить достаточную уверенность в том, что информация, содержащаяся в исходных бухгалтерских записях, и данные из других источников являются надежной и достаточной основой для подготовки финансовой отчетности, а также в том, что соответствующая информация представлена должным образом в финансовой отчетности, аудитор изучает и оценивает системы бухгалтерского учета и внутреннего контроля, на данные которых он будет полагаться; тестирует работу систем контроля в целях определения характера, объема и сроков других аудиторских процедур; проводит такие тесты, запросы и другие проверочные процедуры учетных операций и сальдо счетов, которые он считает уместными в данных обстоятельствах.

При проведении аудита банка независимый аудитор признает, что в связи с некоторыми аспектами деятельности у банка могут возникнуть особые проблемы, например:

• банк хранит значительные денежные средства, включая наличные средства и обращающиеся финансовые инструменты, физическая безопасность которых должна быть обеспечена. Это относится к хранению и переводу денег, что делает банк уязвимым с точки зрения незаконного присвоения средств или мошенничества. Таким образом, банку нужно разработать формальные операционные процедуры, жесткую систему внутреннего контроля и четко ограничить полномочия отдельных лиц;
• банк осуществляет большое число разнообразных операций, отличающихся в том числе по объему обрабатываемых сумм. Это обстоятельство требует сложных систем бухгалтерского учета и внутреннего контроля, а также широкого использования электронной обработки данных;
• во многих странах банки обычно ведут деятельность через сеть филиалов и отделений с широкой географией местонахождения. Это обязательно влечет за собой значительную децентрализацию руководства и рассредоточение функций учета и контроля, что в свою очередь затрудняет применение единых операционных приемов и учетных систем, в частности когда сеть филиалов простирается за пределы национальных границ;
• банки часто берут на себя значительные обязательства, не связанные с непосредственным переводом денежных средств. Такие операции, которые обычно называются внебалансовыми, могут не потребовать непосредственных бухгалтерских проводок, и, следовательно, неотражение их в учете трудно обнаружить;
• деятельность банков регулируется государственными органами, и требования, определяющие деятельность банков, часто оказывают влияние на общепринятую бухгалтерскую и аудиторскую практику в отрасли. Несоблюдение требований законодательства, например, в отношении специальных правил оценки нестандартных активов может влиять на финансовую отчетность банка.

Когда аудитор обнаруживает ошибку, которая является существенной для финансовой отчетности (в том числе применение несоответствующей учетной политики, оценку актива, с которой аудитор не согласен, или нераскрытие существенной информации), он требует корректировки финансовой отчетностидля исправления ошибки. Если руководство отказывается сделать исправление, то аудитор выражает условно положительное или отрицательное мнение о финансовой отчетности. Подобное заключение может оказать серьезное влияние на степень доверия банку и даже стабильность банка, поэтому обычно руководство предпринимает необходимые меры, чтобы избежать этого. В свою очередь аудитор не выразит безусловно положительного мнения в случае непредставления ему всей необходимой информации и пояснений.

В качестве дополнительной, но не обязательной части своей работы аудитор часто составляет для руководства традиционный письменный отчет. В некоторых странах аудитор также представляет руководству или надзорным органам в соответствии с требованиями законодательства либо договором развернутый отчет по определенным вопросам, таким, как расшифровки сальдо счетов или состав кредитного портфеля, показатели ликвидности и прибыль, нормативы, адекватность систем внутреннего контроля, анализ банковских рисков или соблюдение законодательства и требований надзорных органов.

В разделе «Взаимоотношения инспектора и аудитора» подчеркивается, что во многих областях результаты работы инспектора и аудитора могут быть эффективно использованы обеими сторонами. Письма руководству и развернутые отчеты, представленные аудиторами, могут позволить инспекторам получить глубокое представление о различных аспектах деятельности банка. Во многих странах принято представлять такие отчеты инспекторам. Аналогичным образом аудиторы могут почерпнуть полезную информацию от органа надзора.

В ходе контактов с руководством инспекторы и аудиторы должны осознавать преимущества для обеих сторон, которые могут быть получены в результате осведомленности о вопросах, обсуждавшихся в ходе таких контактов. Следовательно, целесообразно фиксировать результаты контактов такого характера в письменном виде, чтобы они составляли часть документации банка, к которой может иметь доступ другая сторона.

Могут сложиться обстоятельства, при которых аудитору или инспектору станет известна важная информация, которая, по их мнению, неизвестна другой стороне, но должна быть доведена до ее сведения. Подобные обстоятельства, например, могут возникнуть: если аудитор узнает о фактах, которые ставят под угрозу существование банка; если аудитор или инспектор обнаруживает признаки мошенничества, совершенного руководством; если аудитор собирается отказаться от проведения аудита в ходе работы; если мнение аудитора не совпадает с мнением руководства по существенному аспекту финансовой отчетности, в результате чего аудитор собирается составить аудиторское заключение, которое не является безусловно положительным; если инспектор владеет информацией, которая может существенно повлиять на финансовую отчетность или аудиторской отчет; если, по мнению аудитора, определенная информация должна быть доведена до сведения инспектора, а руководство не выполнило соответствующее требование о предоставлении информации.

Инспектор заинтересован в обеспечении высоких стандартов аудита банка, соответственно он будет стремиться поддерживать тесные контакты с профессиональными аудиторскими организациями. Законодательством некоторых стран предусмотрены такие полномочия инспектора в отношении назначения аудиторов, как право на их утверждение или отстранение, а также право принимать решение о проведении независимого аудита. Названные полномочия предоставляются для того, чтобы обеспечить назначение банком аудиторов, имеющих опыт, ресурсы и квалификацию, необходимые в данных обстоятельствах. Когда нет явной причины для смены аудитора, инспекторы обычно проводят расследование обстоятельств, при которых банк отказался от услуг аудитора, осуществлявшего поверку ранее.

Разделом «Условия возможного расширения функций аудитора в сфере надзора» установлены следующие критерии выполнения аудитором определенных надзорных функций:

• во-первых, основную ответственность за предоставление полной и точной информации инспектору должно нести руководство банка. Роль аудитора заключается в проверке этой информации и повышении доверия к ней. Он не берет на себя какие-либо обязанности инспектора, но содействует инспектору в формировании его суждения на более эффективной основе;
• во-вторых, между аудитором и его клиентом должны обеспечиваться обычные отношения. Таким образом, должна существовать основа для работы, предусмотренная либо законом, либо договором между банком и надзорным органом. Если иное не закреплено законодательством и договором, то поток информации между инспекторами и аудиторами должен проходить через банк, кроме исключительных случаев;
• в-третьих, прежде чем заключать какие-либо соглашения с инспектором, аудитор должен учесть возможность возникновения конфликта интересов. Если такая вероятность существует, то необходимо решить эту проблему до начала работы, обычно получив предварительное согласие руководства банка на выполнение работы;
• в-четвертых, требования органов надзора в отношении необходимой информации должны быть конкретными и четко сформулированными. Насколько это возможно, между инспекторами и аудиторами должно быть достигнуто соглашение в отношении понятия существенности;
• в-пятых, задачи, выполняемые аудитором по просьбе инспектора, должны входить в сферу компетенции аудитора, как технической, так и практической. К нему могут, например, обратиться с просьбой оценить степень потенциального риска банка по отдельному заемщику или стране, но он не сможет без четкого и конкретного критерия оценить, насколько велик риск в каждом конкретном случае;
• в-шестых, задание аудитора, выполняемое для инспектора, должно иметь рациональную основу. Это означает, что за исключением особых обстоятельств задание должно носить вспомогательный характер по отношению к основной работе по аудиту и может быть выполнено аудитором более экономично или быстро, чем инспектором, потому что аудитор обладает необходимой квалификацией либо потому, что тем самым исключается дублирование.

Необходимо принять меры по соблюдению конфиденциальности информации, полученной аудитором в ходе его профессиональных контактов с другими клиентами и не известной банку или общественности.

В разделе «Особые направления расширения функций аудитора» говорится, что возможности расширения функций аудитора зависят от характера надзора в конкретной стране. Например, если инспектор применяет активный подход с проведением частых и тщательных инспекций, то обычно от аудитора может потребоваться минимальное содействие. Если же проводится менее тщательный надзор, основанный главным образом на анализе отчетов, предоставленных руководством банка, или если возможности надзорных органов ограничены, мнение аудитора о достоверности предоставленной информации может оказаться весьма полезным для инспектора.

В разделе «Необходимость постоянного диалога между надзорными органами и аудиторами» отмечено, что если инспекторы намерены использовать результаты работы аудиторов на постоянной основе, то они должны доверять аудиторам в целом в вопросах, вызывающих в настоящее время интерес у органов надзора. Наиболее эффективно этого можно достичь, проводя периодические консультации на национальном уровне между органами надзора и профессиональными организациями бухгалтеров.

Обсуждения, проводимые органами надзора и профессиональными организациями бухгалтеров, могут также охватывать основные вопросы аудита и актуальные проблемы бухгалтерского учета, например, надлежащие методы учета новых инструментов и другие аспекты нововведений в области финансов и секьюритизации. Надзорные органы и специалисты в области бухгалтерского учета заинтересованы в применении разными банками единообразной учетной политики. Надзорные органы часто могут оказывать влияние на решения банков о применении единой политики, поскольку они обладают соответствующими полномочиями, установленными законодательством, в то время как аудиторы имеют больше возможностей для контроля за применением подобной политики на практике. Взаимодействие надзорных органов и аудиторов, осуществляемое на постоянной основе, может таким образом внести значительный вклад в дело гармонизации стандартов финансовой отчетности на национальном уровне.

Аудит международных коммерческих банков

Требования, предъявляемые к аудиту международных банков, изложены в ПМАП 1006 «Аудит международных коммерческих банков», которое также не имеет российского аналога. В этом документе нашли отражение описание целей и процесса аудита, определение условий аудиторского задания, планирование работы.

В разделе «Цели аудита и процесс аудита» указывается, что главной целью аудита банков является предоставление мнения, основанного на МС А, соответствующих национальных стандартах или на существующей в стране практике, о банковской годовой финансовой отчетности. Приведено схематическое описание этапов выполнения работы, требуемой для формирования мнения о финансовой отчетности банка. Согласно этой схеме на первом этапе необходимо определить условия договоренностей об аудите; на втором — в ходе планирования приобрести знания о бизнесе клиента, разработать общий план, координировать работу, которую предстоит выполнить; на третьем — выполнить процедуры по установлению степени надежности системы внутреннего контроля: определить документальное отражение и тестирование контрольных процедур, рассмотреть влияние внешних факторов, выяснить характер, масштаб и объем необходимых процедур по существу; на четвертом — выполнить процедуры проверки по существу, а на пятом — составить заключение по финансовой отчетности.

Далее в разделах, названия которых соответствуют названиям перечисленных этапов, даются конкретные рекомендации.

В разделе «Определение условий договоренности об аудите» говорится о необходимости составления письма-обязательства. При составлении письма-обязательства аудитору следует помимо общих вопросов, изложенных в МСА 210 «Условия договоренностей об аудите», рассмотреть включение комментариев в отношении:

• использования и источника специальных принципов бухгалтерского учета с особой ссылкой:
  • на любые требования законодательных и нормативных актов, применяемых к банкам,
  • на решения органов банковского надзора, других контрольных органов и соответствующих профессиональных бухгалтерских организаций,
  • на отраслевую практику,
  • на содержание и форму любого специального отчета, требуемого помимо годовой финансовой отчетности, включая применение специальных бухгалтерских принципов и (или) специальных аудиторских процедур;
• характера любых взаимоотношений, которые могут существовать между аудитором и органами банковского надзора и другими контрольными органами и предусматривать предоставление какой-либо специальной отчетности.

Согласно разделу «Планирование аудита» приобретение знаний о банковском деле требует от аудитора понимания экономической и контрольной среды, преобладающей на территории тех стран, где банк ведет деятельность; рыночных условий, имеющихся в каждом секторе, в котором банк осуществляет деятельность. Подобным же образом аудитору необходимо приобретать и пополнять практические знания о продуктах и услугах, предоставляемых банком.

Помимо этого аудитор при планировании аудита должен иметь в виду, что риски, связанные с банковской деятельностью, подразделяются на две большие группы: риски, связанные с банковскими продуктами и услугами; операционные риски. Кроме того, рекомендуется учитывать специфику аудита банков при разработке общего плана аудита; при определении существенности, аудиторского риска, степени использования компьютерных информационных систем и систем электронного перевода денежных средств, надежности системы внутреннего контроля; при рассмотрении работы внутреннего аудита, сложности осуществляемых операций, операций со связанными сторонами, при решении вопросов относительно привлечения других аудиторов, заявлений руководства, работы органов надзора.

Значительное место уделено разделу «Определение степени надежности системы внутреннего контроля», в котором рассматриваются такие вопросы, как определение, документальное оформление и тестирование контрольных процедур; примеры средств контроля; ограничения, присущие системе внутреннего контроля; рассмотрение влияния внешних факторов; определение характера, сроков и объема проверок по существу. Отмечается, что банки, как правило, уязвимы для растрат и мошенничества и поэтому должны иметь строгую систему внутреннего контроля, а для аудитора это особенно уместно в тех случаях, когда филиалы банков географически рассредоточены. Указывается, что в банках часто имеется департамент по анализу кредитов, представляющий собой либо часть департамента внутреннего аудита, либо самостоятельное подразделение, и в любом случае аудитору может потребоваться использовать результаты работы этого департамента.

В соответствии с ПМАП 1006 при оценке эффективности конкретных контрольных процедур аудитор должен рассмотреть среду, в которой функционирует внутренний контроль: организационную структуру банка и способы делегирования полномочий и обязанностей; качество контроля со стороны руководства; масштаб и эффективность системы внутреннего аудита; квалификацию основного персонала; степень инспекционного контроля со стороны органов надзора.

В разделе «Выполнение процедур проверки по существу» рассматриваются особенности применения в банковском аудите таких аудиторских методов, как аналитические процедуры; инспектирование; запрос и подтверждение. Указано, что при проведении процедур по существу аудитор должен обеспечить достаточную уверенность в том, что:

• весь доход банка от подобной деятельности был отражен в учете и достоверно представлен в финансовой отчетности банка;
• у банка не возникло никаких существенных обязательств в результате нарушения его фидуциарных обязанностей, включая обязанности по сохранению активов;
• информация о характере и масштабах фидуциарной деятельности банка, раскрытая в примечаниях к финансовой отчетности (если таковая раскрыта), представлена объективно.

В разделе «Предоставление отчета по финансовой отчетности» отмечено, что при выражении своего мнения о финансовой отчетности банка аудитор должен учитывать необходимость:

• следовать специальным формам, использовать соответствующую терминологию и принципы бухгалтерского учета, как это определено законодательством, регулирующими органами, профессиональными организациями и существующей в данной отрасли практикой;
• удостовериться в том, что счета иностранных филиалов и дочерних компаний, включенных в консолидированную финансовую отчетность банка, были скорректированы с целью приведения их в соответствие с принципами учета, на основании которых банк представляет свои отчеты. Это особенно актуально для банков из-за большого количества стран, в которых могут располагаться их филиалы и дочерние предприятия, а также в связи с тем, что в большинстве стран местным законодательством установлены специальные принципы бухгалтерского учета, применяемые в первую очередь к банкам. Это может привести к большему расхождению в принципах бухгалтерского учета, которым следует филиал или дочернее предприятие банка, нежели расхождение, которое имело бы место в случае иных коммерческих предприятий.

В некоторых странах согласно местным законам банки могут иметь скрытые резервы. В случае когда существование скрытых резервов не указывается в финансовой отчетности, аудитор должен сослаться на это обстоятельство в своем аудиторском заключении. Целесообразно делать это путем ссылки на соответствующие постановления или акты, которые разрешают создание скрытых резервов.

Данное ПМАП содержит три приложения: примеры проверочных списков для оказания помощи при оценке системы внутреннего контроля в трех типичных областях банковских операций; примеры финансовых коэффициентов, часто используемых при анализе финансового состояния банка и его функционирования; примеры аудиторских процедур проверок по существу для оценки резервов на возможные убытки по ссудам.

Международные стандарты по компьютерным технологиям аудита

В составе международных стандартов аудита шесть стандартов посвящены компьютерной тематике. В российских правилах (стандартах) эта тематика нашла отражение в трех стандартах, являющихся аналогами наиболее существенных из международных стандартов аудита, имеющих отношение к компьютеризации аудита.

На основе МСА401 «Аудит в среде компьютерных информационных систем» разработан отечественный аналог — ПСАД «Аудит в условиях компьютерной обработки данных», на основе ПМАП 1009 «Методы аудита с помощью компьютеров» — ПСАД «Проведение аудита с помощью компьютеров», на основе ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ними вопросы» — ПСАД «Оценки риска и внутренний контроль. Характеристика иучет среды компьютерной и информационной систем».

Пока еще не разработаны отечественные аналоги к ПМАП 1001 «Среда ИТ — автономные персональные компьютеры», ПМАП 1002 «Среда ИТ — онлайновые компьютерные системы», ПМАП 1003 «Среда ИТ — системы баз данных».

Компьютерный аудит предполагает использование компьютеров и современных информационных технологий (ИТ) для организации аудиторской деятельности. Основными работами в связи с этим можно считать аудиторские проверки финансовой отчетности с подготовкой аудиторского заключения, а также оказание сопутствующих аудиту услуг.

Общие сведения о компонентах компьютерного аудита, основных понятиях и подходах к его организации можно получить из МСА401, который подробно рассмотрен в параграфе 4.2, и ПМАП 1009. Эти два документа непосредственно связаны между собой, хотя первый имеет большее отношение к экономическому субъекту, а второй — непосредственно к аудиторам и аудиторским организациям.

На практике возможны разные варианты проведения компьютерного аудита. Отметим, что наиболее благоприятным является вариант, при котором компьютеры для автоматизации управленческих работ используют и экономический субъект, и аудиторская организация. Однако само по себе наличие персональных компьютеров не является основным компонентом компьютерного аудита. Важно, чтобы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления. В МСА 401 в связи с этим введено понятие «компьютерная обработка данных» (КОД).

В аудиторской организации компьютеры могут использоваться для автоматизации ее управленческих работ и для проведения аудита у экономических субъектов. Понятие «использование компьютеров для проведения аудита» является весьма общим и может включать в себя ряд направлений использования (виды выполняемых работ):

• несложные расчеты, печать типовых форм аудиторских документов, опросных листов, анкет и др.;
• организация нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»);
• проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.;
• комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала, проведения экономического анализа.

Из приведенных вариантов использования наибольший эффект достигается, если компьютеры применяются для реализации первого, второго и четвертого вариантов, что в конечном итоге позволяет создать систему автоматизации аудиторской деятельности (СААД).

Целью российского аналога МСА 401 — ПС АД «Аудит в условиях компьютерной обработки данных» является определение действий аудиторов, при осуществлении аудита в условиях систем КОД, функционирующих у проверяемого экономического субъекта.

Компьютерная обработка данных экономического субъекта имеет место в случаях, когда с помощью компьютерной техники обрабатываются значительные объемы учетной информации независимо от того, используется компьютер экономическим субъектом самостоятельно или по договору с третьей стороной, а также для обработки экономической информации во всех аспектах хозяйственной деятельности и ее учета или только для автоматизации обработки информации по отдельным видам фактов хозяйственной жизни, участкам учета.

При проведении аудита в системе КОД сохраняются цель аудита и основные элементы его методологии. Наличие среды КОД существенно влияет на процесс изучения аудитором системы учета экономического субъекта и сопутствующих средств внутреннего контроля.

Использование технических средств приводит к изменению отдельных элементов организации бухгалтерского учета и внутреннего контроля:

• для проверки хозяйственных операции наряду с традиционными первичными учетными документами используются первичные учетные документы на машиночитаемом носителе;
• постоянные нормативно-справочные показатели могут быть провереныпо данным, хранящимся в памяти компьютера или на машино-читаемых носителях информации;
• вместо традиционных ручных форм счетоводства может применяться форма учета, ориентированная на прогрессивные методы формирования выходной информации и обеспечения ее достоверности, совмещение синтетического учета с аналитическим и систематического с хронологическим, а также повышение оперативности и удобства использования учетной и отчетной информации.

Рекомендация аудитора в части использования той или иной системы КОД возможна только в случае, когда аудитор оказывает экономическому субъекту сопутствующую аудиту услугу по организации системы КОД по просьбе субъекта.

Экономический субъект обязан предоставить аудиторской организации необходимый доступ к системе КОД. Невыполнение (неполное выполнение) этого условия является ограничением объема аудита в системе КОД, вследствие чего аудиторская организация может потребовать необходимые ей документы на бумажных носителях информации.

Аудитору желательно иметь представление о техническом, программном, математическом и других видах обеспечения компьютерной техники, а также системах обработки экономической информации. В случае отсутствия у аудитора подобных знаний следует использовать работу эксперта в области ИТ.

Аудитор должен быть способен определить, какое влияние на организацию, планирование и проведение аудита (в том числе на изучение систем бухгалтерского учета и внутреннего контроля, на оценку рисков, связанных с проведением аудита) оказывают условия использования системы КОД у проверяемого экономического субъекта.

Аудиторской организации целесообразно иметь библиотеку наиболее распространенных систем КОД и прилагать усилия к изучению особенностей их практического применения.

В случае использования работы эксперта для оценки применяемой системы КОД:

• назначение эксперта, оформление и использование результатов его работы должно полностью отвечать требованиям ПСАД «Использование работы эксперта»;
• аудитор должен иметь достаточное представление о компьютерной системе клиента в целом, с тем чтобы планировать, регулировать и контролировать работу эксперта, сохраняя главенствующее положение.

Главенствующее положение аудитора по отношению к эксперту состоит в том, что эксперт оценивает только систему обработки информации, в то время как аудитор — достоверность формируемой с помощью этой системы отчетности. Аудиторская организация не может ни передавать, ни разделять с кем-либо (в том числе с экспертом) свою ответственность за выражение мнения об отчетности и составленного на его основе аудиторского заключения.

Основной задачей эксперта является оказание помощи аудитору при проведении проверки в части:

• оценки надежности системы КОД в целом;
• оценки законности приобретения и лицензионной чистоты бухгалтерского программного обеспечения, функционирующего в системе КОД проверяемого экономического субъекта;
• проверки алгоритмов расчетов;
• формирования на компьютере необходимых аудитору регистров аналитического, синтетического учета и отчетности.

Аудитор должен изучить и оформить в виде рабочего документа все существенные вопросы организации обработки учетных данных в системе КОД экономического субъекта, отразив в нем следующие положения:

• организационную форму обработки данных, например, осуществляет обработку специальное подразделение (вычислительный центр, информационно-вычислительный центр, отдел автоматизированной системы управления предприятием) или компьютеры установлены на рабочих местах бухгалтерского персонала и обработка данных осуществляется непосредственно бухгалтерами, обработка данных ведется экономическим субъектом самостоятельно или по договору третьей стороной;
• форму бухгалтерского учета;
• разделы и участки учета, функционирующие в среде КОД;
• система КОД размещена на одном или на нескольких компьютерах;
• обработка учетных данных ведется локально на каждом компьютере или применяется сетевой вариант;
• обеспечение архивирования и хранения данных;
• данные передаются с использованием каналов связи, через внешние носители (например, дискеты) или вводятся с клавиатуры.

Аудитор должен изучить и оформить рабочим документом используемое проверяемым экономическим субъектом:

• обеспечение КОД техническими средствами;
• программное обеспечение КОД (составляется краткая характеристика, в частности, кем разработано, когда внедрено программное обеспечение КОД, частота и метод его обновления в соответствии с изменениями действующего законодательства);
• технологическое обеспечение (рекомендуется оформлять в виде схемы, состоящей из отдельных блоков технологического процесса обработки данных);
• другие виды обеспечения КОД (следует дать краткое описание иных видов обеспечения).

В рабочем документе по бухгалтерскому программному обеспечению должно быть указано наличие лицензий на каждый из его элементов.

Аудитор должен оценить и оформить рабочим документом возможности компьютерной системы в части:

• гибкого реагирования на изменения хозяйственного, налогового или иного законодательства с точки зрения настройки программного обеспечения;
• формирования бухгалтерской и внутренней управленческой отчетности;
• осуществления аналитических процедур;
• расширения функций компьютерной системы.

Аудитор должен оценить квалификацию бухгалтерского персонала в области КОД, в частности, имеют ли специалисты соответствующее высшее либо среднее специальное образование, или прошли курс обучения в области ИТ, или изучили систему КОД самостоятельно.

При составлении общего плана аудиторской проверки в соответствии с ПСАД «Планирование аудита» каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита применяемых экономическим субъектом ИТ и системы КОД. Уровень автоматизации обработки учетной информации должен быть принят во внимание при определении объема и характера аудиторских процедур.

В документах по планированию аудита должны быть отражены следующие вопросы:

• характер выполнения аудиторских процедур с использованием КОД (вывод подготовленных в среде КОД документов на печать, работа в среде КОД экономического субъекта);
• привлечение независимого эксперта с целью изучения компьютерной системы экономического субъекта, описание вынесенных для оценки экспертом вопросов.

Дата начала аудиторской проверки должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом в договоре на проведение аудита.

Организация данных бухгалтерского учета у клиента в среде КОД оказывает влияние на профессиональный риск аудитора. Риск аудитора повышается, если:

• компьютеризованная среда децентрализована;
• существует географическая разбросанность компьютерных установок;
• уровень знаний бухгалтерского персонала в области ИТ недостаточен;
• внутренний контроль за функционированием среды КОД отсутствует;
• не приняты необходимые меры по ограничению несанкционированного доступа в систему КОД.

Риск аудитора снижается, если:

• системы автоматизации являются лицензированными;
• имеется возможность углубить некоторые виды контроля благодаря программному обеспечению, специально разработанному для аудиторов;
• существует специальный контроль программного обеспечения;
• информационную политику экономического субъекта квалифицированно определяет его руководство;
• все дочерние общества, филиалы и другие обособленные подразделения работают в единой среде КОД, применяют единое современное программное обеспечение;
• информационная политика экономического субъекта согласована с основными пользователями системы КОД;
• имеется долгосрочный план развития системы КОД экономического субъекта.

Аудитор должен оценить надежность системы внутреннего контроля проверяемого экономического субъекта в соответствии с ПСАД «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита» и влияние на эту надежность действующей системы КОД:

• контроль подготовки данных как на уровне пользователя, так и на уровне компьютерной службы;
• контроль предотвращения ошибок и фальсификаций во время работы;
• контроль работы с данными (доступ, правильность, полнота), особенно сданными постоянного (нормативно-справочного) характера;
• возможность изменения программного обеспечения, особенно в части методов регистрации первичной информации;
• степень координации и взаимодействия между службой информатизации и пользователями системы КОД.

При оценке среды КОД аудитор должен охарактеризовать:

• соответствие применяемой формы учета используемой системе обработки данных;
• соответствие алгоритмов обработки бухгалтерских данных действующему законодательству и возможность изменения этих алгоритмов в случае изменения порядка ведения бухгалтерского учета, хозяйственного, налогового и иного законодательства;
• способ организации, хранения и обновления данных;
• обеспечение контроля ввода данных;
• возможность настройки внешней отчетности на изменение ее форм;
• возможность вывода на печать данных о хозяйственных операциях.

Аудитор обязан проверять соответствие применяемых алгоритмов требованиям нормативной документации по ведению бухгалтерского учета и составлению бухгалтерской отчетности по основным автоматизированным расчетам экономического субъекта.

Аудитору необходимо убедиться в том, что информационная база внутри компьютера обеспечивает сохранность информации, ее архивирование, простоту доступа, кодирование и декодирование информации, ограничение несанкционированного доступа к ней. Актуальность данных (т.е. их соответствие изменившимся условиям хозяйственной жизни) обеспечивается регламентированием источников и потребителей информации, периодичностью и условиями ее обновления.

Собирая аудиторские доказательства об организации обработки учетных данных в среде КОД, аудиторские организации обязаны следовать требованиям, установленным ПСАД № 5 «Аудиторские доказательства».

Источниками получения аудиторских доказательств при проведении аудиторских процедур являются данные, подготовленные в системе КОД экономического субъекта в виде таблиц, ведомостей, регистров бухгалтерского учета экономического субъекта. Аудитор имеет возможность применять их, их копии, в том числе фотокопии, в качестве рабочей документации аудита, сопровождая обработку этих документов ссылками, пометками, специальными символами. В случае работы аудитора непосредственно в системе КОД экономического субъекта (без вывода данных на печать) рабочие документы, подтверждающие факт сбора аудиторских доказательств, аудитор составляет самостоятельно.

Рабочие документы, формируемые в процессе аудита в условиях КОД и существенно отличающиеся от обычных рабочих документов, могут храниться в аудиторской организации обособленно в архиве аудиторских файлов на машинных носителях.

Аудиторская организация должна обеспечить сохранность аудиторских файлов на машинных носителях, их оформление и сдачу в архив. Систему идентификации рабочих документов в аудиторском файле на машинном носителе устанавливает аудиторская организация. Целесообразно хранить аудиторские файлы по каждому экономическому субъекту аудиторской организации на отдельном машинном носителе.

В условиях использования экономическим субъектом системы КОД повышается эффективность и надежность такой аудиторской процедуры, как проверка его арифметических расчетов.

Аудитору необходимо убедиться в том, что:

• регистры учета, формируемые системой КОД, соответствуют данным первичного учета (наличие системы КОД не освобождает экономического субъекта от обязанности документировать в установленном порядке факты хозяйственной жизни);
• отсутствуют несанкционированные изменения программного обеспечения (изменения, вносимые в программное обеспечение экономическим субъектом в связи с изменением хозяйственного или налогового законодательства, должны быть документированы и, как правило, согласованы, одобрены и проверены разработчиком программного обеспечения).

В условиях КОД аудит можно проводить с использованием машинно-ориентированных и (или) ручных процедур.

Машинно-ориентированные процедуры должны включать в себя:

• программные средства, применяемые аудитором для проверки содержания компьютерных файлов экономического субъекта;
• контрольные примеры, используемые аудитором для тестирования алгоритмов КОД.

При применении машинно-ориентированных процедур руководитель аудиторской проверки (или лицо, которому он это поручил) должен обеспечить контроль за работой, выполняемой персоналом, имеющим специальные знания и навыки в условиях работы КОД, и другим персоналом, занятым в аудите.

Проведение аудитором машинно-ориентированных процедур в отношении копий компьютерных файлов допускается при условии, что аудитор имеет достаточную уверенность в том, что они действительно полностью соответствуют оригиналам файлов экономического субъекта.

Аудитор может проводить машинно-ориентированные процедуры в отношении компьютерных файлов, полученных от третьего лица, осуществляющего по договору КОД экономического субъекта.

Руководством для аудиторов по использованию компьютерных методов аудита, особенно в части применения компьютерных программ и данныхдля тестирования, служит ПМАП 1009 «Методы аудита с помощью компьютеров». Использование компьютера в качестве инструмента аудита называют методом аудита с помощью компьютеров (МАПК). Целью данного Положения является предоставление рекомендаций по использованию МАПК. ПМАП 1009 применяется ко всем видам использования МАПК, включая компьютеры любых видов и размеров.

В разделе «Описание методов аудита с помощью компьютеров (МАПК)» говорится, что в данном Положении описываются методы проведения аудита с помощью компьютеров, в том числе компьютерных инструментов, получивших название МАПК, которые могут быть использованы при проведении различных процедур аудита, включая детальные тесты операций и сальдо, аналитические процедуры, тесты общих средств контроля, программы осуществления отбора совокупности, обеспечивающие выбор данных для аудиторских тестов, тестирование прикладных средств контроля, пересчет данных, ранее полученных с помощью систем бухгалтерского учета субъекта.

МАПК — это компьютерные программы иданные, используемые аудитором в качестве процедур аудита, чтобы обрабатывать значимые для аудита данные, содержащиеся в информационных системах субъекта. МАПК может состоять из пакетных программ, программ специального назначения, программ-утилит и программ управления системой. Вне зависимости от источника программ до их использования аудитор должен обосновывать их надлежащий характер и соответствие целям аудита.

Методика тестовых данных иногда используется при проведении аудита путем ввода данных в компьютерную систему субъекта и сравнения полученных результатов с заранее определенными результатами, например:

• тестируются такие конкретные средства контроля в компьютерных программах, как пароль в режиме онлайн и средства контроля за доступом к данным;
• тестируются операции, отобранные из ранее обработанных хозяйственных операций или созданные аудитором для тестирования отдельных характеристик процесса обработки, осуществляемой компьютерной системой субъекта;
• тестируются операции в интегрированных устройствах тестирования с созданием элемента «пустышки» (например, отдел или работник), на котором отражаются контрольные операции в ходе обычного цикла обработки.

Если тестовые данные обрабатываются в рамках обычного процесса обработки, аудитор должен обеспечить, чтобы контрольные операции были затем исключены из бухгалтерских записей субъекта.

Согласно разделу «Рассмотрение использования МАПК» аудитор должен при планировании аудита рассматривать соответствующую комбинацию ручных методик и методик аудита с помощью компьютеров. При принятии решения о том, использовать ли МАПК, рекомендуется учитывать следующие факторы: знания, навыки и опыт работы аудитора в области ИТ; возможность применения МАПК и наличие соответствующих компьютерных устройств; нецелесообразность применения ручных тестов; эффективность и результативность; фактор времени. В частности, аудитор должен владеть знаниями, достаточными для планирования, получения и использования результатов выбранных МАПК. Уровень необходимых знаний зависит от сложности и характера МАПК и информационной системы субъекта.

Аудитор должен рассматривать возможность применения МАПК, наличие подходящих компьютерных устройств и необходимых информационных систем, основанных на применении компьютеров, и данных. Аудитор может планировать использование других компьютерных устройств, если применение МАПК на компьютере субъекта является экономически нецелесообразным или невыполнимым, например, из-за несовместимости пакета программ аудитора и компьютера субъекта. Помощь специалистов субъекта может потребоваться для получения в удобное время возможности для обработки, а также для такой работы, как загрузка и запуск МАПК в системе субъекта, и для получения копий файлов сданными в форме, необходимой для аудитора.

Многие компьютерные информационные системы решают задачи, по результатам которых не остается визуальных доказательств, что делает невозможным выполнение аудитором тестов вручную. Отсутствие визуального доказательства может проявиться на различных стадиях процесса учета:

• первичные документы могут создаваться в электронном виде;
• такие операции, как дисконтирование и расчет процентов, могут выполняться в компьютерной программе без специального одобрения руководством отдельных операций;
• система может не предоставлять интересующих аудитора визуальных результатов операций, обработанных с помощью компьютера;
• система может не подготавливать отчеты о полученных данных, более того, распечатанный отчет может содержать только итоговые суммы, тогда как подтверждающая подробная информация будет оставаться в компьютерных файлах.

Эффективность и результативность процедур аудита, проводимых для получения и оценки аудиторских доказательств, могут быть улучшены с использованием МАПК. Как правило, МАПК представляют собой эффективный способ тестирования большого количества операций или средств контроля в случае большой генеральной совокупности посредством анализа и отбора совокупности из большого числа операций, применения аналитических процедур и выполнения процедур проверки по существу. К соображениям эффективности, которые могут быть учтены аудитором, относятся: время планирования, разработки, применения и оценки МАПК; часы работы, затраченные на технический анализ и консультации; составление и распечатка форм; доступность компьютерных ресурсов.

Некоторые данные, например особенности хозяйственных операций, часто сохраняются в компьютере только в течение короткого периода времени и могут оказаться недоступны в машиночитаемой форме, когда они требуются аудитору. В результате аудитор будет должен предпринять определенные действия, чтобы необходимые ему файлы были сохранены, или ему будет нужно изменить сроки работы, для которой требуются эти данные. Когда время проведения аудита ограничено, аудитор может планировать использование МАПК, потому что это может в большей мере соответствовать графику аудита, чем другие процедуры.

В разделе «Использование МАПК» перечислены основные шаги, которые необходимо предпринять аудитору при использовании МАПК:

• установить цели применения МАПК;
• определить содержание файлов субъекта и порядок доступа к ним;
• определить специфические файлы и базы данных, подлежащих тестированию;
• понять взаимоотношения между таблицами данных в тех случаях, когда база данных подлежит проверке;
• определить специальные тесты или процедуры и соответствующие операции и сальдо, на которые было оказано влияние;
• договориться с пользователями или (в случае необходимости) специалистами подразделения ИТ о предоставлении копий соответствующих файлов и таблиц базы данных, которые должны быть «остановлены» в определенный момент и на определенную дату;
• установить выходные требования;
• назначить сотрудников, которые могут принимать участие в разработке и применении МАПК;
• уточнить оценки затрат и выгод;
• убедиться, что использование МАПК надлежащим образом контролируется и документируется;
• организовать административную работу, включая необходимую квалификацию и компьютерные устройства;
• сверить данные, которые используются для МАПК, с бухгалтерскими записями;
• выполнить программное приложение МАПК;
• оценить результаты.

Специальные процедуры, необходимые для контроля за использованием МАПК, зависят от конкретного применяемого приложения. При определении средств контроля аудитор должен рассмотреть необходимость: утверждения технических характеристик и проведения обзорной проверки работы, проводимой с использованием МАПК; проверки общих средств субъекта, которые могут способствовать целостности МАПК; обеспечения соответствующей интеграции полученных аудитором в рамках аудита результатов в общий процесс аудита.

Процедуры, проводимые аудитором в целях контроля за применением аудиторских программ, могут включать в себя:

• участие в разработке и тестировании МАПК;
• проверку кодирования программ для обеспечения соответствия подробным программным характеристикам;
• обращение аудитора к специалистам субъекта по компьютерным системам с просьбой ознакомиться с инструкцией по операционной системе и удостовериться в том, что программное обеспечение может быть инсталлировано в компьютерной системе субъекта;
• апробирование аудиторского программного обеспечения на небольших тестовых файлах до его запуска для работы с файлами основных данных;
• обеспечение использования правильных файлов, например, посредством проверки с помощью внешнего доказательства, такого, как контрольные итоговые данные, которые ведутся пользователем;
• получение доказательства того, что аудиторское программное обеспечение действует как запланировано, например, путем анализа выходящей и контрольной информации;
• принятие соответствующих мер безопасности для защиты от манипуляций с файлами данных субъекта.

Рабочие документы должны содержать достаточную документацию для описания применения МАПК, в частности: планирование (цели МАПК; рассмотрение необходимости использования конкретных МАПК; используемые средства контроля; специалисты, сроки и затраты); осуществление (подготовка МАПК и тестирование процедур и средств контроля: информация о тестах, проведенных с помощью МАПК; информация о вводных данных, обработке и результатах; соответствующая техническая информация о бухгалтерской системе субъекта, такая, как расположение компьютерных файлов); аудиторские доказательства (полученные результаты; описание проведенной аудиторской работы в отношении результатов; аудиторские выводы); прочее (рекомендации руководству субъекта).

В разделе «Использование МАПК в среде ИТ малого субъекта» описаны особенности ИТ среды малого субъекта, а именно то, что:

• уровень общих средств контроля может быть таким, что аудитору придется в меньшей степени полагаться на систему внутреннего контроля (это приведет к более значительной роли детальных тестов операций и сальдо, а также аналитических процедур обзорной проверки; применению аудиторских процедур в целях обеспечения правильного функционирования МАПК и обоснованности данных субъекта);
• в случаях, когда обрабатываются небольшие объемы данных, использование некомпьютеризованных методов может оказаться более экономичным;
• аудитор может не получить достаточной технической помощи от субъекта, что делает использование МАПК невозможным;
• определенные пакетные программы могут не работать на небольших компьютерах, что ограничивает выбор аудитора в отношении МАПК. Однако файлы с данными субъекта можно скопировать и обработать на подходящем компьютере.

Российским аналогом ПМАП 1009 является ПСАД «Проведение аудита с помощью компьютеров», цель которого состоит в определении особенностей проведения аудита с применением компьютеров.

В этом стандарте нашли отражение общие требования по применению компьютеров при проведении аудита. При проведении аудита с использованием компьютеров сохраняются цель и основные элементы методологии аудита. Использование аудитором компьютера возможно как в случае ведения бухгалтерского учета экономическим субъектом вручную, так и при использовании средств автоматизации бухгалтерского учета. В первом случае аудитор должен решить проблему наличия необходимого программного обеспечения для анализа базы данных бухгалтерских записей по всем учитываемым хозяйственным операциям или по итоговым записям бухгалтерских регистров. Если у экономического субъекта весь бухгалтерский учет или отдельные его участки автоматизированы, наличие в распоряжении аудитора базы учетных данных экономического субъекта (отдельных ее компьютерных файлов) позволяет применять для ее анализа эффективные методы современных ИТ.

Аудиторской организации целесообразно вести постоянную работу по освоению новых ИТ автоматизации аудиторской деятельности.

Информационное обеспечение аудита с применением компьютеров обычно имеет два источника:

• данные бухгалтерского учета экономического субъекта на бумажных носителях или в виде базы данных бухгалтерии;
• нормативно-справочную базу и систему форм рабочей документации аудитора.

Возможность использования базы данных экономического субъекта или отдельных ее массивов должна быть обеспечена путем:

• отражения в договоре о проведении аудита согласия экономического субъекта на использование базы данных или ее фрагментов, а при необходимости также состава, формы и срока предоставления аудитору для анализа базы данных или ее фрагментов;
• включения при необходимости в систему аудита с применением компьютеров блока, обеспечивающего конвертацию (преобразование) базы данных экономического субъекта в данные, обработка которых возможна средствами программного обеспечения, используемого аудитором.

Аудитор может использовать для анализа не саму базу данных (или фрагменты рабочей базы данных), а ее копию, предварительно убедившись в соответствии копии оригиналу или сделав копию базы данных самостоятельно. Нормативно-справочные данные системы, используемой аудитором для проведения аудита, должны соответствовать проверяемому периоду. Аудитор должен обеспечить конфиденциальность как полученной информации, так и информации, сформированной в ходе аудиторских процедур, а также ее защиту от несанкционированного доступа.

Программные средства системы, используемой аудитором при проведении аудита, должны обеспечивать:

• анализ содержания формируемой в бухгалтерии экономического субъекта базы данных, если таковая существует и доступна;
• контроль показателей, содержащихся в регистрах бухгалтерского учета экономического субъекта;
• тестирование алгоритмов, применяемых в автоматизированной системе бухгалтерского учета;
• контроль соответствия показателей, содержащихся в формах бухгалтерской отчетности, данным бухгалтерских регистров или базы данных, формируемой в бухгалтерии при обработке первичных документов;
• использование возможностей поисково-справочных информационных систем в области нормативных и законодательных актов, регламентирующих бухгалтерский учет и аудит в Российской Федерации;
• формирование аудиторской документации (рабочей и итоговой).

Основные задачи эксперта (специалиста) заключаются в оказании помощи аудитору при проведении проверки с использованием компьютера в части:

• конвертирования данных экономического субъекта в форму, доступную для обработки в компьютерной и программной системе, используемой аудитором;
• выполнения нестандартных процедур анализа;
• тестирования системы, применяемой аудитором;
• формирования на компьютере необходимых аудитору рабочих аудиторских документов.

Аудитор должен иметь достаточное представление о компьютерной системе ведения учета и подготовки отчетности экономического субъекта в целом, с тем чтобы планировать, регулировать и контролировать работу эксперта (специалиста), сохраняя при этом главенствующее положение. При использовании работы эксперта аудитор должен следовать требованиям, установленным ПСАД «Использование работы эксперта».

Особенности планирования аудита с применением компьютеров заключаются в необходимости учесть:

• наличие в аудиторской организации необходимого обеспечения (информационного, программного, технического) как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров;
• дату начала аудиторской проверки, которая должна соответствовать дате предоставления аудитору данных в виде, согласованном с экономическим субъектом;
• факт привлечения к работе экспертов в области ИТ;
• знания, опыт и квалификацию аудитора в области ИТ;
• целесообразность использования тестов, проводимых без компьютеров;
• эффективность применения компьютера при проведении аудита.

Для планирования аудита с использованием компьютеров важно оценить систему КОД экономического субъекта, изучив следующие моменты:

• особенности информационного, программного и технического обеспечения экономического субъекта;
• особенности организационной формы обработки данных у экономического субъекта;
• разделы и участки учета, функционирующие в среде КОД;
• способ передачи данных (с использованием каналов связи, через внешние носители (например, дискеты), ввод данных с клавиатуры);
• особенности обеспечения архивирования и хранения данных;
• особенности размещения (являются рабочие места локальными или объединены в сеть).

В стандарте указано также на необходимость соблюдения аудитором требований ПСАД № 5 «Аудиторские доказательства», ПСАД «Аналитические процедуры» и ПСАД № 2«Документирование аудита» и на целесообразность иметь в аудиторской организации внутрифирменные стандарты, регламентирующие применение компьютеров при проведении аудита на этапах планирования; проведения аудита, включая сбор и отражение аудиторских доказательств; подготовки отчета аудитора.

Эффективность аудиторских процедур может быть повышена благодаря использованию компьютеров в ходе аудита при получении и оценке некоторых аудиторских доказательств в тех случаях, когда:

• проверяются большие однородные массивы данных по участкам и операциям бухгалтерского учета;
• проверяемый экономический субъект использует унифицированную стандартную систему оформления бухгалтерских операций;
• имеется и используется информационно-поисковая система для расшифровки и подтверждения наличия соответствующих первичных документов, регистров бухгалтерского учета;
• имеется и используется автоматизированная система контроля исполнения утвержденного регламента решения соответствующих учетных задач.

Применение компьютеров позволяет аудитору провести следующие процедуры:

• тестирование операций и остатков по счетам в компьютерной базе данных;
• аналитические процедуры для выявления отклонений от обычно принятых параметров в компьютерной базе данных;
• тестирование базы данных проверяемого экономического субъекта;
• тестирование информационного, математического, программного и технического обеспечения проверяемого экономического субъекта.

Процедуры, выполняемые аудитором при использовании компьютеров для контроля, могут включать в себя:

• контроль последовательности проверяемых данных, которые проходят несколько этапов обработки;
• контроль предварительных данных;
• прогнозирование и планирование результатов проверки данных и сопоставление их с контрольными данными для отдельных операций и в целом по видам деятельности;
• подтверждение работоспособности и соответствия современным требованиям программного и аппаратного обеспечения работы аудитора при проведении аудита с применением компьютера;
• подтверждение соответствия компьютерного обеспечения проверяемого экономического субъекта действующему законодательству;
• подтверждение использования компьютеров у проверяемого экономического субъекта в период проведения аудита.

При выполнении машинно-ориентированных процедур руководитель аудиторской проверки (или лицо, которому он это поручил) должен обеспечить контроль за работой персонала, имеющего специальные знания и навыки работы в условиях КОД, и другим персоналом, занятым в аудите.

Проведение аудитором машинно-ориентированных процедур в отношении копий компьютерных файлов допускается при условии, что аудитор имеет достаточную уверенность в том, что эти копии действительно полностью соответствуют оригиналам файлов экономического субъекта. Аудитор может проводить машинно-ориентированные процедуры в отношении компьютерных файлов, полученных от третьего лица, осуществляющего по договору КОД экономического субъекта.

При использовании в ходе аудита компьютеров повышается эффективность проведения таких аудиторских процедур, как проверка арифметических расчетов и составление альтернативного баланса.

Общие принципы использования компьютеров в аудиторской проверке применимы для субъектов малого предпринимательства. Аудитору необходимо принимать во внимание следующие особенности таких экономических субъектов:

• субъекты малого предпринимательства в отдельных случаях не применяют лицензированного программного обеспечения, используя программные продукты сомнительного качества, вследствие чего аудитор может оценить риск средств внутреннего контроля как высокий, что повлечет за собой дополнительные процедуры оценки качества программного обеспечения;
• у субъекта малого предпринимательства могут отсутствовать достаточные технические средства, например объем памяти компьютера для размещения программного обеспечения аудитора.

Доверие аудитора к эффективности системы внутреннего контроля в субъектах малого предпринимательства должно быть ниже, чем для средних и крупных экономических субъектов, по этой причине мнение аудитора о достоверности бухгалтерской отчетности должно в большей мере определяться аудиторскими процедурами по существу. Вся база данных субъекта малого предпринимательства должна быть исследована с помощью контрольного программного обеспечения.

Особенности аудиторских доказательств при аудите в компьютерной среде

Вопросы изучения и оценки системы учета и отчетности и взаимосвязанных с ней систем внутреннего контроля в случае электронной обработки данных рассматриваются в ПМАП 1008 «Оценка рисков и внутреннего контроля—характеристики КИС и связанные с ними вопросы». В Положении нашли отражение наиболее распространенные характеристики процесса электронной обработки данных, в том числе факторы, влияющие на его организационную структуру, характер обработки данных и процедуры, применяемые в системах учета и отчетности и внутреннего контроля. ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ним вопросы» представляет собой дополнение к МСА 401 «Аудит в условиях компьютерных информационных систем».

В разделе «Организационная структура», в котором описывается организационная структура КИС, отмечено о возможной концентрации функций и знаний. В таких случаях возникает ситуация, когда определенные сотрудники, занимающиеся обработкой данных, могут быть единственными сотрудниками, которые в деталях понимают взаимосвязь между источниками данных. Возникает опасность того, что эти сотрудники будут знать о слабых местах системы внутреннего контроля и смогут внести изменения в программы или данные во время их обработки и хранения. Другим нежелательным явлением может оказаться концентрация программ иданных — компьютерные программы, которые обеспечивают доступ к данным и позволяют изменять данные, обычно хранятся там же, где и данные. Следовательно, при отсутствии соответствующего контроля увеличивается вероятность несанкционированного доступа к программам, данным и их изменения.

В разделе «Характер обработки» говорится, что использование компьютеров может привести к тому, что в системе учета будет сложнее получить наглядные доказательства, чем при использовании ручных методов и процедур. Кроме того, к таким системам имеет доступ большее количество людей. Можно выделить следующие особенности обработки данных в системах КИС:

• отсутствие первичных документов (данные могут вводиться в компьютерную среду без сопроводительных документов);
• отсутствие визуального следа операции (определенные данные могут существовать только в компьютерных файлах. При ручной системе обычно есть возможность проследить операцию в системе путем оценки первичных документов, бухгалтерских книг, записей, файлов и отчетов, а в среде КИС след операции может существовать частично в машиночитаемой форме, более того, только ограниченное время);
• отсутствие визуального результата (определенные операции или результаты обработки могут не распечатываться. При ручной системе и в некоторых КИС существует возможность визуального изучения результатов обработки. В других КИС результаты обработки могут не распечатываться, либо на печать будут выводиться только сводные данные. Таким образом, отсутствие визуального результата может привести к необходимости получения доступа к данным файлов, которые могут быть прочитаны только с помощью компьютера);
• свободный доступ к данным и компьютерным программам (доступ к данным и изменение компьютерных программ может осуществляться посредством компьютера или путем использования компьютерного оборудования, находящегося в ином месте, следовательно, при отсутствии соответствующего контроля возрастает вероятность несанкционированного доступа и изменения данных и программ на предприятии или извне).

В разделе «Структурные и процедурные аспекты» дается характеристика структурных и процедурных аспектов КИС. Они включают в себя:

• последовательность выполнения (КИС выполняют свои функции в точности так, как они были запрограммированы, потенциально они более надежны, чем ручная система, при условии, что все виды операций и обстоятельства, которые могут произойти, учтены и введены в систему. В то же время компьютерная программа, которая недостаточно хорошосоставлена и протестирована, может постоянно неправильно обрабатывать операции или иные данные);
• запрограммированные процедуры контроля (характер компьютерной обработки позволяет включать процедуры внутреннего контроля в компьютерные программы. Данными процедурами может быть предусмотрено обеспечение ограниченного визуального контроля);
• единовременное обновление данных в различных компьютерных файлах или в базах данных (одноразовый ввод данных в систему учета может автоматически обновить все записи, связанные с операцией, таким образом, ошибочная проводка в подобной системе учета может привести к ошибкам в различных финансовых счетах);
• операции, генерируемые системами (определенные операции могут инициироваться самой КИС без необходимости во входящих документах, например, проценты могут подсчитываться и относиться на остатки по счетам клиентов автоматически на основе алгоритма, заложенного в программу);
• уязвимость средств хранения данных и программ (большие объемы данных и компьютерные программы, используемые для обработки информации, могут храниться на таких портативных или встроенных носителях информации, как магнитные диски и пленка. Названные носители информации могут быть украдены, утеряны, преднамеренно или случайно уничтожены).

Раздел «Внутренний контроль в среде КИС» содержит информацию о том, что внутренний контроль за компьютерной обработкой данных, который помогает достигать общих целей внутреннего контроля, включает в себя как процедуры, проводимые с помощью ручной обработки, так и процедуры, встроенные в компьютерные программы. Указанные компьютерные процедуры контроля и процедуры контроля при ручной обработке обеспечивают общую систему контроля, действующую в среде КИС (общий контроль КИС), и конкретные средства контроля за прикладными учетными программами (контроль прикладных программ КИС).

В разделе «Общий контроль КИС» говорится, что целью общего контроля КИС является создание структуры общего контроля за деятельностью КИС и обеспечение достаточной уверенности в достижении основных целей внутреннего контроля. Общий контроль КИС может включать в себя: организационный и управленческий контроль; контроль за развитием и эксплуатацией системы прикладных программ; контроль за эксплуатацией компьютеров; контроль за программным обеспечением; контроль за вводом данных и программами. К другим мерам защиты КИС относятся: внесистемное резервное копирование данных и компьютерных программ; процедуры восстановления на случай кражи, утери или преднамеренного либо случайного уничтожения; положение о внесистемных операциях в случае масштабного сбоя.

В разделе «Контроль прикладных программ КИС» дается определение цели контроля прикладных программ КИС как установление конкретных процедур контроля в отношении прикладных учетных программ для обеспечения достаточной уверенности в том, что все операции санкционированы, зарегистрированы и обработаны полностью, точно и своевременно. Контроль прикладных программ КИС включает в себя:

• контроль за вводом (предназначен для обеспечения достаточной уверенности в том, что операции должным образом санкционированы до момента их обработки на компьютере, без потерь преобразуются в машиночитаемую форму и записываются в компьютерную базу данных, неправильные операции отклоняются, корректируются и, если необходимо, своевременно вводятся повторно);
• контроль за обработкой и компьютерной базой данных (предназначен для обеспечения достаточной уверенности в том, что операции, включая операции, генерируемые системой, надлежащим образом обрабатываются компьютером, не теряются, не дополняются, не дублируются или не изменяются по ошибке, ошибки обработки своевременно выявляются и корректируются);
• контроль за результатами (предназначен для обеспечения уверенности в том, что результаты обработки точны, доступ к результатам предоставлен только уполномоченному персоналу, результаты своевременно передаются соответствующему уполномоченному персоналу).

Согласно разделу «Обзор общего контроля КИС» аудитор обязан рассмотреть, насколько влияние, которое общий контроль КИС оказывает на прикладные программы КИС, важно с точки зрения аудита. Средства общего контроля КИС, которые относятся к некоторым или ко всем прикладным программам, как правило, являются взаимозависимыми, поскольку их работа обычно существенно влияет на эффективность контроля прикладных программ КИС. Следовательно, может быть целесообразным проверить структуру общего контроля до проверки контроля прикладных программ.

В разделе «Обзор средств контроля прикладных программ КИС» указывается, что контроль за вводом, обработкой, файлами данных и результатами могут проводить персонал КИС, пользователи системы, отдельная группа контроля или сама прикладная программа. Аудитор может счесть необходимым провести тестирование средств контроля прикладных программ, в том числе:

• контроля, осуществляемого пользователем вручную (если такой контроль прикладных программ в состоянии обеспечить достаточную уверенность в том, что результаты системы полны, точны и правомочны, аудитор может принять решение ограничить тестирование указанными средствами контроля и подвергнуть проверке только средства ручного контроля, применяемые пользователем);
• контроля над выходными данными системы (если в дополнение к средствам контроля, осуществляемым пользователем вручную, предметом тестирования являются средства контроля, использующие информацию, генерированную компьютером или содержащуюся в компьютерных программах, может оказаться возможным проверить эти средства контроля путем исследования выходных данных системы с применением либо ручных, либо компьютеризованных методов аудита. Такие выходные данные могут быть на магнитных носителях, на микрофишах или в виде распечаток, например аудитор может протестировать средства контроля, используемые субъектом применительно к сверке итоговых показателей отчетов с контрольными счетами Главной книги, и данная сверка может быть протестирована вручную. В противном случае, если сверка осуществляется с помощью компьютера, аудитор может захотеть протестировать сверку путем повторного контроля с помощью компьютеризованных методов аудита);
• программируемых средств контроля (в случае определенных компьютерных систем для аудитора может оказаться невозможным либо в некоторых случаях практически неосуществимым протестировать средства контроля путем исследования исключительно средств контроля пользователя или выходных данных системы, например, в прикладной программе, которая не генерирует распечаток, касающихся утверждения важнейших операций или действий в обход обычной политики, аудитор может захотеть протестировать контрольные процедуры, встроенные в прикладную программу. Аудитор может рассмотреть вопрос о целесообразности проведения тестов контроля с использованием компьютеризованных методов аудита, таких, как тестовые данные, повторная обработка данных по операциям или в необычных ситуациях проверка кодирования прикладных программ).

В разделе «Оценка» говорится, что общие средства контроля КИС могут оказывать глубокое воздействие на обработку операций в прикладных программах. Если подобные средства контроля неэффективны, то может существовать риск возникновения искажений и риск необнаружения таковых в прикладных программах. Следовательно, недостатки общих средств контроля КИС могут помешать тестированию определенных прикладных средств контроля КИС; однако используемые пользователями ручные процедуры могут представлять собой эффективное средство контроля на уровне прикладных программ.

Российским аналогом ПМАП № 1008 является ПСАД «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем», цель которого заключается в определении рисков аудита, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем КОД.

Цель этого стандарта состоит в определении возникающих при проведении аудита бухгалтерской отчетности рисков аудитора, обусловленных влиянием систем КОД экономического субъекта. В соответствии с данной целью задачи стандарта заключаются в описании:

• дополнительных рисков, которые могут возникнуть при использовании КОД;
• особенностей системы внутреннего контроля в условиях КОД;
• процедур проверки надежности внутреннего контроля за системой КОД.

Российские аудиторы имеют в своем распоряжении комплексную нормативную базу для обоснования возможностей и целесообразности широкого использования ИТ в аудиторской деятельности.

Применение системы КОД существенно влияет на организационную структуру экономического субъекта, внося в систему бухгалтерского учета и внутреннего контроля такие риски, как концентрация функций управления, концентрация данных и программ для их обработки.

Внедрение системы КОД, как правило, предполагает существенное сокращение управленческого и контрольного персонала путем передачи его функций персоналу, обслуживающему систему КОД. В результате исполнительские и контрольные функции, связанные с системой КОД, концентрируются в руках ограниченного числа лиц. Разделение обязанностей, необходимое для эффективного функционирования системы учета и контроля, может быть утрачено.

Концентрация (сосредоточение) базы данных в одном или нескольких местах, где она обычно хранится вместе с программами, обеспечивающими доступ к ней, повышает риск утери информации и несанкционированного доступа к ней.

Использование системы КОД изменяет процедуры записи учетных данных и расширяет круг лиц, которые получают доступ к бухгалтерским записям. Это может привести к появлению следующих рисков: отсутствие первичных документов; отсутствие возможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности; отсутствие регистров учета; доступ к базе данных и программам системы КОД несанкционированных пользователей.

В условиях КОД данные могут вводиться непосредственно в компьютер без составления соответствующих первичных документов. Получение разрешений на совершение тех или иных операций, их визирование также могут происходить внутри системы КОД без составления специальных документов на бумажных носителях.

Учетные данные могут храниться исключительно в электронной форме, а бумажные регистры, содержащие последовательные записи всех операций,— отсутствовать, что приводит к невозможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности. Кроме того, в ряде информационных систем не предусматривается архивирование промежуточных записей, и текущая информация в этих системах постоянно обновляется.

В системе КОД могут формироваться только сводные регистры и формы отчетности, но не промежуточные регистры учета. Отсутствие регистров может привести к тому, что доступ к данным будет только через систему КОД. Тем самым существенно снижаются возможности контроля и анализа учетной информации.

Базы данных и программы системы КОД становятся доступными как с компьютеров, которые их обрабатывают, так и с других компьютеров, подключенных к сети. В отсутствие специальных процедур контроля легкость доступа к системе КОД или широкий круг лиц, которые могут такой доступ получить, увеличивают риск несанкционированных бухгалтерских записей и изменений данных.

Система КОД существенно влияет как на организацию бухгалтерского учета в целом, так и на отдельные процедуры учета. Системам КОД присущи следующие специфические черты: заданность; автоматический контроль; однократный ввод информации в несколько файлов одновременно; операции внутри системы КОД или автоматические записи; трудности в обеспечении сохранности записей.

Системы КОД не допускают технических и счетных ошибок, и в этом смысле такие системы значительно «аккуратнее», чем ручные, однако их работа «задана», они лишены возможности гибкого реагирования на изменения правил учета и условий деятельности экономического субъекта, а надежность информации, обработанной в системах КОД, полностью зависит от их построения и программного обеспечения.

Система КОД позволяет автоматизировать многие контрольные процедуры с помощью специальных программ, которые не прослеживаются (в отличие от процедур ручного контроля). Например, заменяющая разрешительные надписи система паролей ведет к отказу от составления специальных документов, заявлений, журналов, которые нужно визировать. Контроль за ошибками и их исправлением путем составления справок, ведомостей (сличительных, оборотных) заменяется автоматической печатью отчета о найденных программой ошибках.

В условиях КОД ввод данных об одной операции может одновременно изменить несколько связанных с ней счетов. Подобная особенность систем КОД значительно увеличивает влияние ошибки ввода на бухгалтерскую информацию, поскольку неверная сумма будет проведена не по одному, как при ручной обработке данных, а сразу по нескольким счетам.

Некоторые проводки могут генерироваться системой КОД самостоятельно, без участия специалистов и без составления первичных документов. Это ведет к появлению несанкционированных записей и расчетов, которые к тому же сложно обнаружить из-за отсутствия специальных регистров или документов, например автоматическое начисление процентов на задолженность покупателей или по займам.

Многие базы данных могут храниться только в электронной форме, что увеличивает риск их утраты вследствие порчи компьютеров и электронных носителей информации, заражения их компьютерными вирусами, несанкционированного проникновения в информационные системы.

Внутренний контроль в условиях применения системы КОД должен сочетать обычные методы контроля, используемые в отсутствие системы КОД, и специальные программные средства контроля. Все средства контроля за системой КОД можно разделить на общие и специальные.

Общие средства контроля представляют собой процедуры проверки правил системы КОД, а также надежности ее функционирования. Они включают в себя следующие процедуры:

• организационный и управленческий контроль, который предполагает создание инструкций и правил для различных контрольных функций и системы разделения полномочий при выполнении этих функций, например правил ввода информации;
• контроль за поддержанием и развитием системы КОД, который состоит в проверке того, что все изменения, вносимые в систему, и операции с ней надлежащим образом разрешены (применение такого контроля необходимо в случаях тестирования, внесения изменений, внедрения новых систем КОД, предоставления доступа к их документации);
• операционный контроль, который заключается в проверке того, что система КОД выполняет только авторизованные операции, доступ к ней имеют только лица, обладающие на это разрешением, и ошибки в обработке данных определяются и исправляются;
• контроль за программным обеспечением, который означает проверку того, что используется только разрешенное и эффективное программное обеспечение (с этой целью анализируется система визирования, тестирования, проверки, внедрения и документирования новых систем и модификаций уже действующих, а также ограничения на доступ к документации о них);
• контроль за вводом и обработкой данных, который заключается в проверке того, что существует система предварительного визирования операций до их ввода в систему КОД, и ввод информации возможен только теми лицами, которые имеют на это соответствующие разрешения.

Возможны также иные приемы общего контроля, среди которых можно назвать анализ правил копирования программ и баз данных в специальные архивы и процедур восстановления информации или извлечения ее из архивов при утрате данных.

Специальный контроль за применением системы КОД в системе бухгалтерского учета экономического субъекта предполагает специальные проверочные процедуры, позволяющие удостовериться, что все бухгалтерские операции должным образом авторизуются и отражаются в учете своевременно и без ошибок. К проверочным процедурам относят:

• контроль за вводом информации;
• контроль за обработкой и хранением информации;
• контроль за выводом информации.

Процедуры контроля ввода информации состоят из проверки выполнения следующих требований:

• вся информация, вводимая в систему, предварительно визируется;
• информация вводится в базу данных аккуратно, без ошибок и повторов;
• ошибки ввода обнаруживаются, отвергаются и по возможности исправляются системой.

Контроль за обработкой и хранением информации заключается в проверке того, что:

• операции, в том числе те, которые проводятся системой самостоятельно, выполняются верно;
• операции проводятся без ошибок и повторов;
• ошибки в обработке данных обнаруживаются и своевременно исправляются.

Контроль за выводом информации предполагает проверку того, что:

• результаты операций предоставляются авторизованным пользователям должным образом и в установленные сроки;
• доступ к предоставляемой информации разрешен только ограниченному кругу лиц.

Все виды специального контроля могут осуществляться пользователями системы КОД или отделом внутреннего контроля экономического субъекта, а также автоматически с помощью специальных программ.

Аудиторская организация тестирует систему внутреннего контроля за системой КОД, если полагает, что без проверки системы КОД не сможет получить достаточную уверенность в том, что бухгалтерская отчетность проверяемого субъекта не содержит существенных искажений. При проверке аудиторская организация руководствуется положениями ПСАД «Аудит в условиях компьютерной обработки данных».

Аудиторская организация вправе не проверять систему внутреннего контроля за системой КОД, если объем деятельности проверяемого экономического субъекта невелик или влияние системы КОД на деятельность экономического субъекта и составление отчетности незначительно. Аудиторская организация также вправе отказаться от проверки системы внутреннего контроля за системой КОД, если обработка данных ведется не проверяемым экономическим субъектом, а третьей стороной, и доступ к системам внутреннего контроля из-за этого невозможен.

В начале проверки аудиторская организация должна оценить, насколько существенно влияние общего контроля за компьютерной и информационной системами на их применение в бухгалтерском учете экономического субъекта. Если процедуры общего контроля прямо относятся к применению системы КОД в бухгалтерском учете, то целесообразно проверить их, прежде чем рассматривать специальный контроль, если нет, то достаточно ограничиться оценкой общего контроля. Если общий контроль эффективен, то аудиторская организация переходит к тестированию специального контроля за системой КОД бухгалтерского учета. Если же аудиторская организация сочтет, что общий контроль неэффективен, то риск необнаружения ошибок на уровне специального контроля за применением системы КОД в бухгалтерском учете возрастает до неприемлемого уровня. В такой ситуации аудиторская организация обязана провести тестирование процедур общего контроля, кроме случая, когда проверяемый субъект обладает надежным ручным контролем пользователей за системой КОД.

Если специальный контроль за применением системы КОД в бухгалтерском учете систематически ведет персонал проверяемого экономического субъекта, то аудиторская организация может ограничить тестирование такого контроля следующими процедурами: тестирование ручного контроля, проводимого персоналом экономического субъекта; тестирование контроля за выводом информации; тестирование программного обеспечения.

Если персонал экономического субъекта регулярно и с должной тщательностью проверяет, что получаемая из системы КОД информация авторизована, полна, арифметически верна, то аудиторская организация вправе ограничить проверку системы КОД анализом выполнения персоналом экономического субъекта контрольных процедур.

Если тестирование ручного контроля или контроля за выводом информации невозможно либо неэффективно, аудиторская организация может проверить контроль за системой КОД, используя специальные компьютерные программы, которые будут пересчитывать данные, полученные системой КОД экономического субъекта, или повторять процесс их обработки, или вводить заведомо неверную информацию и определять, насколько надежно система КОД отвергает такую информацию. Аудиторская организация может также проверить программный код или провести другие процедуры контроля за работой программ КОД.

Данный стандарт непосредственно связан со стандартами аудиторской деятельности по компьютерному аудиту. Эта взаимосвязь проявляется в том, что комментируемый ПСАД дополняет следующие стандарты:

«Аудит в условиях компьютерной обработки данных» — в части применения специальных средств контроля за информацией, в системе внутреннего контроля и бухгалтерского учета экономического субъекта;

«Проведение аудита с применением компьютеров» — в части применения аудитором новых средств и методов контроля проверяемой информации экономического субъекта.

Нетрудно заметить, что рассматриваемый стандарт направлен как на расширение сущности подходов и методов, приведенных в стандартах, так и на уточнение и дополнение рекомендаций по организации компьютерного аудита.

Влияние автономных персональных компьютеров (ПК) на систему бухгалтерского учета и связанные с ней средства внутреннего контроля, а также аудита приведены в ПМАП 1001 «Среда ИТ — автономные персональные компьютеры».

В разделе «Автономные ПК» говорится, что автономные ПК используются для обработки бухгалтерских операций и для подготовки отчетов, необходимых для составления финансовой отчетности, в разное время как одним, так и несколькими пользователями, имеющими доступ к различным или одинаковым программам на одном компьютере. Очень большое значение для оценки рисков и объема средств контроля, которые нужны для снижения рисков, имеет организационная структура, в которой применяется ПК.

Подходы к средствам контроля и характеристикам оборудования и программного обеспечения должны быть другими, когда речь идет о ПК, подсоединенных к другим компьютерам. Такие ситуации часто приводят к увеличению риска. Данное Положение не касается рассмотрения аудитором безопасности компьютерных сетей и средств контроля. Однако это Положение относится к ПК, присоединенному кдруго-му компьютеру, и в то же время может быть применено к автономным рабочим станциям.

В разделе «Средства внутреннего контроля в среде автономных ПК» сказано, что ПК ориентированы на отдельных конечных пользователей. Степень точности и надежности производимой ими финансовой информации будет частично зависеть от средств контроля, принимаемых пользователем добровольно или потому, что так ему было предписано руководством.

В процессе понимания контрольной среды и, следовательно, среды ИТ для автономных ПК аудитор должен рассматривать организационную структуру субъекта и особенно распределение обязанностей по обработке данных. К таким политике и процедурам относятся:

• нормы, определяющие приобретение, внедрение и документирование;
• обучение пользователей;
• руководящие указания по безопасности, дублированию и хранению;
• управление паролями;
• правила личного пользования;
• нормы по приобретению и использованию программного обеспечения;
• нормы, устанавливающие защиту данных;
• поддержание рабочего состояния программ и техническая поддержка;
• соответствующий уровень разделения обязанностей и ответственности;
• защита от вирусов.

В связи со своими физическими характеристиками автономные ПК и их средства хранения информации подвержены кражам, физическому повреждению, неразрешенному доступу или неправильному использованию. Физически они могут быть защищены с помощью:

• запирания их на замок в защищенной комнате, кабинете или ящике;
• использования системы тревожной сигнализации;
• прикрепления ПК к столу;
• политики должного обращения с ПК во время путешествий или использования вне обычного помещения;
• шифрования основных файлов;
• установления блокирующего механизма, контролирующего доступ к выключателю;
• применения системы контроля окружения для предотвращения повреждений при естественных бедствиях.

Программы ПК и их данных могут сохраняться на съемных и несъемных средствах хранения. Пользователь обязан защищать съемные средства хранения информации.

Степень контроля и характеристики безопасности в операционных системах ПК представлены по-разному. В качестве мер ограничения доступа к программам и данным только для уполномоченных сотрудников предусмотрены:

• использование паролей;
• применение пакетов контроля доступа;
• применение скрытых директорий и файлов;
• шифрование.

В среде ПК руководство, как правило, полагается на самого пользователя, который должен гарантировать непрерывную доступность систем в случае сбоя, нарушений или уничтожения оборудования, операционных систем, программ и данных. Это подразумевает:

• что пользователь делает копии операционных систем, программ и данных;
• наличие доступа к альтернативному оборудованию в разумные сроки.

Согласно разделу «Влияние автономных ПК на систему бухгалтерского учета и связанные с ней средства внутреннего контроля» такое влияние обычно зависит:

• от степени использования ПК для обработки бухгалтерских программных приложений;
• от типа и значимости обрабатываемой финансовой информации;
• от характера используемых в программных приложениях программ и данных.

В среде ПК пользователи, как правило, могут осуществить одну или несколько функций бухгалтерской системы. Подобное отсутствие разделения функций в среде ПК может привести к невыявлению допущенных ошибок и способствовать совершению или сокрытию случаев мошенничества.

К эффективным средствам контроля относятся:

• запрограммированные средства контроля;
• система протоколов передачи данных и обеспечение целостности пакетов;
• непосредственный надзор;
• выверка количества записей и контрольных сумм.

Контроль может быть установлен независимым подразделением.

В разделе «Влияние среды автономных ПК на процедуры аудита» отмечается, что в среде автономного ПК применение достаточных средств контроля по сокращению рисков невыявления ошибок до минимального уровня может оказаться для руководства непрактичным или неэффективным по затратам. В такой ситуации, после того как аудитор получит понимание системы бухгалтерского учета и контрольной среды, аудитор может посчитать более эффективным по затратам не продолжать дальнейшую обзорную проверку общих и прикладных средств контроля, но ориентировать аудит на процедуры проверки по существу. Если уровень общих средств контроля представляется адекватным, аудитор может принять решение о применении другого подхода.

Данный ПМАП не имеет аналогов среди российских правил (стандартов) аудита.

Влияние онлайновых компьютерных систем на систему бухгалтерского учета и связанные с ней средства внутреннего контроля, а также на процедуры аудита описаны в ПМАП 1002 «Среда ИТ — онлайновые компьютерные системы».

В разделе «Онлайновые компьютерные системы» говорится,, что онлайновые компьютерные системы — это системы, позволяющие пользователю получить доступ к данным и программам непосредственно через терминальные устройства. Такие системы могут состоять из компьютеров мейнфрейм, миникомпьютеров или сети соединенных между собой ПК.

Отмечается, что онлайновые компьютерные системы позволяют пользователям непосредственно инициировать различные функции, например:

• ввести хозяйственную операцию;
• запросить информацию;
• запросить отчеты;
• обновить главные файлы;
• деятельность по электронной коммерции.

Онлайновые компьютерные системы используют следующие типы терминальных устройств, которые могут существовать как локально, так и удаленно:

• терминалы общего назначения (например, базисные клавиатура и экран, интеллектуальный терминал, ПК);
• терминалы для специальных целей (например, устройства «оплаты продаж на месте», автоматические банкоматы, ручные беспроводные устройства для ввода данных из удаленных мест, системы голосового отклика).

Сотрудники, деловые партнеры, клиенты и другие третьи лица могут получить доступ к онлайновым программным приложениям организации с помощью Интернета и других услуг удаленного доступа. Доступ к системе организации могут получить внешние стороны с помощью электронного обмена данными или других электронных коммерческих программных приложений. В дополнение к пользователям этих систем программисты могут использовать онлайновые возможности для разработки новых программ и поддержания уже существующих. Персонал поставщиков компьютерного оборудования также может иметь онлайновый доступ для предоставления услуг по поддержанию работоспособности.

Согласно разделу «Виды онлайновых компьютерных систем» онлайновые компьютерные системы классифицируются в соответствии с тем, как информация вводится в систему, обрабатывается и когда результаты становятся доступны пользователю. В целях данного Положения функции онлайновых компьютерных систем классифицируются следующим образом:

• обработка в режиме онлайн/режиме реального времени;
• обработка в режиме онлайн/пакетном режиме;
• режим онлайн/обновление в режиме меморандума (с последующей обработкой);
• режим онлайн/запрос;
• обработка в режиме онлайн загрузки/передачи данных.

В разделе «Характеристики онлайновых компьютерных систем» отмечено, что такие характеристики подходят к многим типам онлайновых систем. Наиболее важные характеристики относятся к вводу данных в режиме онлайн и их подтверждению, доступу пользователей в систему в режиме онлайн, возможное отсутствие видимых последующих свидетельств операции и возможного доступа в систему лиц, не являющихся пользователями, в том числе программистов и других третьих сторон (например,, через электронную почту или Интернет). Особенности характеристик онлайновых систем зависят от того, как создана эта система.

Онлайновая компьютерная система может быть создана таким образом, чтобы не представлять первичных документов для всех операций, введенных в систему.

Программисты имеют онлайновый доступ в систему, что позволяет им разрабатывать новые программы и изменять уже существующие. Неограниченный доступ дает возможность программистам вносить несанкционированные изменения в программы и получать несанкционированный доступ к другим частям систем, что представляет собой серьезный недочет в системе контроля. Степень такого доступа зависит от требований самой системы.

В разделе «Внутренний контроль онлайновых компьютерных систем» говорится, что прикладные программы в среде онлайн подвержены большему риску несанкционированного доступа и обновления. Аудитор должен рассмотреть инфраструктуру безопасности, прежде чем исследовать общие и прикладные средства контроля.

Указано, что средства контроля, о которых идет речь, включают в себя использование паролей и специальных программ контроля доступа, такие, как онлайновые мониторы, обеспечивающие контрольза меню, таблицами для разрешений, паролей, файлов и программ, к которым разрешается доступ пользователей. К другим важным аспектам контроля онлайновой компьютерной системы относятся:

• средства контроля над паролями;
• средства контроля над разработкой и поддержанием системы;
• средства контроля программирования;
• протоколы регистрации операций;
• брандмауэры.

При онлайновой обработке данных особенно важны некоторые прикладные средства контроля, в том числе:

• предварительное разрешение на проведение обработки данных;
• тесты терминального устройства на предмет редактирования, разумного характера данных и их проверки;
• сообщение и урегулирование случаев допущения ошибки при вводе данных;
• процедуры проверки даты отсечения;
• средства контроля за файлами;
• средства контроля главного файла;
• баланс;
• контроль может быть установлен независимым функциональным подразделением.

Согласно разделу «Влияние онлайновых компьютерных систем на систему бухгалтерского учета и связанные с ней средства внутреннего контроля» такое влияние зависит:

• от степени использования онлайновых систем, применяемых для обработки бухгалтерских прикладных программ;
• от типов и значимости обрабатываемых финансовых операций;
• от характеров файлов и программ, используемых приложениями.

Последствиями влияния онлайновых компьютерных систем на действенность средств контроля являются:

• возможное отсутствие первичной документации по каждой введенной операции в распечатанном виде;
• чрезмерное обобщение результатов обработки данных;
• некоторые онлайновые компьютерные системы не предусматривают предоставления распечатанных отчетов;
• то, что особую трудность для аудиторов представляют онлайновые компьютерные системы, работающие в режиме реального времени, так как очень трудно располагать данные по отношению к дате отсечения;
• то, что в случае, когда необходимо осуществить восстановление системы в режиме реального времени, трудно гарантировать полное восстановление всех данных и, что самое важное, трудно обеспечить, чтобы все интегрирующие интерфейсы системы и поступления данных были восстановлены с момента даты и времени создания резервной копии.

Как сказано в разделе «Влияние онлайновых компьютерных систем на процедуры аудита», обычно если онлайновая компьютерная система хорошо создана и правильно контролируется, то, вероятнее всего, аудитор проверит общие и прикладные средства контроля. Если эти системы ему покажутся удовлетворительными, аудитор сможет в большей мере полагаться на средства внутреннего контроля при определении характера, временных рамок и объема процедур аудита.

В этом разделе перечислены особенно важные для аудитора аспекты при работе с онлайновой компьютерной системой:

• одобрение руководством, полнота и точность онлайновых операции посредством внедрения надлежащих средств контроля в момент принятия операций на обработку;
• целостность отчетности и обработки данных в условиях имеющегося онлайнового доступа в систему у многих пользователей и программистов;
• необходимость внесения изменений в проведение процедур аудита, включая МАПК, в результате следующих аспектов:
  • потребность наличия технических навыков по вопросам онлайновых компьютерных систем в команде аудиторов,
  • влияние онлайновой компьютерной системы на сроки проведения процедур аудита,
  • отсутствие видимых документальных свидетельств проведения операций,
  • процедуры, выполняемые во время стадии планирования аудита,
  • процедуры аудита, осуществляемые одновременно с онлайновой обработкой,
  • процедуры, выполняемые по завершении обработки.

Рассмотренное Положение также не имеет российского аналога.

Влияние системы базы данных на систему бухгалтерского учета, связанные с ней средства внутреннего контроля и процедуры аудита, описывается в ПМАП 1003 «Среда ИТ — системы баз данных».

В этом Положении определено, что база данных — это совокупность данных, совместно используемых в различных целях различными пользователями.

Согласно разделу «Системы баз данных» такие системы принципиально состоят из двух компонентов: базы данных и системы управления базой данных (СУБД). Указано, что программное обеспечение, создающее, поддерживающее и управляющее базой данных, называется программным обеспечением СУБД.

ПМАП 1003 применяется к системам баз данных, используемых в многопользовательских средах.

В разделе «Характеристики системы базы данных» говорится, что системы с базами данных различаются по двум важным характеристикам: распределение данных и независимость данных. Отмечено, что для этих характеристик обычно требуется использование словаря данных и создание управления ресурсами данных.

Как сказано в разделе «Внутренний контроль в среде базы данных», в связи с тем, что инфраструктура безопасности играет важную роль в обеспечении целостности производимой информации, аудитор должен рассмотреть инфраструктуру, прежде чем исследовать общие и прикладные средства контроля.

В системах баз данных общие средства контроля имеют, как правило, большее влияние, чем прикладные средства контроля, что связано с распределением и независимостью данных, а также другими характеристиками систем баз данных. Общие средства контроля, имеющие особую значимость в среде баз данных, можно классифицировать следующим образом:

• стандартный подход к разработке и поддержанию в рабочем состоянии прикладных программ;
• модель данных и право собственности на данные;
• доступ к базе данных;
• разделение обязанностей;
• управление ресурсами данных;
• безопасность данных и восстановление базы данных.

Согласно разделу «Влияние баз данных на систему бухгалтерского учета и соответствующие средства внутреннего контроля» подобное влияние обычно зависит от таких факторов, как:

• степень использования базы данных в бухгалтерских прикладных программах;
• виды и значимость обрабатываемых финансовых операций;
• характер и структура базы данных, СУБД (включая словарь данных), задания администрирования базойданных и прикладные программы;
• общие и прикладные средства контроля, которые особенно важны в среде базы данных.

Считается, что по сравнению с системами, не являющимися базами данных, системы баз данных более надежны. В таких системах общим средствам контроля отводится большая роль, чем прикладным средствам контроля. В результате в системах с наличием баз данных снижается риск мошенничества и ошибок в системе бухгалтерского учета. В то же время риск искажения возрастает, если системы баз данных используются без адекватных средств контроля.

В разделе «Влияние базы данных на процедуры аудита» говорится, что процедуры аудита в среде баз данных в первую очередь будут зависеть от степени использования данных из этой базы системой бухгалтерского учета. Когда важные бухгалтерские прикладные программы используют общую базу данных, аудитор может счесть эффективным по затратам использовать некоторые из следующих процедур.

Для того чтобы получить представление о контрольной среде базы данных и потоке операций, аудитор может рассмотреть влияние следующих факторов на аудиторский риск при планировании аудита:

• уместные средства контроля доступа;
• СУБД и важные прикладные средства бухгалтерского учета, использующие базы данных. Другие программные приложения, действующие у субъекта, могут генерировать или видоизменять данные, используемые бухгалтерскими приложениями. Аудитор должен учесть, каким образом СУБД контролирует эти данные;
• стандарты и процедуры разработки и функционирования прикладных программ, использующих базы данных. Базы данных, особенно находящиеся на автономных компьютерах, могут создавать и внедрять лица, не являющиеся сотрудниками ИТ или бухгалтерии и учета. Аудитор должен рассмотреть, каким образом субъект контролирует разработку этих баз данных;
• функция управления ресурсами данных;
• должностные инструкции, стандарты и процедуры для лиц, ответственных за техническую поддержку, дизайн, управление и работу базы данных;
• процедуры, обеспечивающие целостность, безопасность и полноту финансовой информации, содержащейся в базе данных;
• наличие возможностей для проведения аудита в СУБД;
• процедуры, регулирующие внедрение новых версий базы данных.

При определении степени надежности средств внутреннего контроля в отношении использования базы данных в системе учета аудитор должен рассмотреть, как используются средства контроля. Если аудитор по ходу дела решит, что на эти системы контроля можно полагаться, то он должен разработать и осуществить надлежащие тесты.

Если аудитор принимает решение провести тестирование средств контроля или процедуры проверки по существу в отношении системы базы данных, то обычно более эффективно это можно сделать с применением методов аудита с помощью компьютеров.

Процедуры аудита могут включить в себя использование функций СУБД с тем, чтобы:

• протестировать средства контроля доступа;
• создать тестовые данные;
• обеспечить документальные свидетельства для аудита;
• проверить целостность базы данных;
• обеспечить доступ к базе данных или копии соответствующей части базы данных, чтобы была возможность использования аудиторского программного обеспечения;
• получить информацию, необходимую для аудита.

Прежде чем использовать возможности СУБД, аудитор должен рассмотреть адекватность их функционирования.

Если средства контроля над администрированием базами данных неадекватны, то аудитору может не удасться компенсировать недочеты средств контроля каким бы то ни было количеством работы по существу. Таким образом, если делается вывод о ненадежности средств контроля над системой базы данных, аудитор должен решить, смогут ли процедуры проверки по существу, примененные к основным прикладным программам бухгалтерского учета, использующим базу данных, помочь ему достичь цели аудита. Если аудитору не удается преодолеть недочеты в контрольной среде с помощью работы по существу для снижения аудиторского риска до приемлемого уровня, то согласно МСА аудитор должен дать мнение с оговоркой или отказаться от предоставления мнения.

Характеристики систем баз данных могут привести к тому, что для аудитора более эффективным будет осуществить предынсталля-ционную обзорную проверку новых прикладных бухгалтерских программ вместо проверки программ после инсталляции. Предварительная проверка и проверка процесса изменений, вносимых руководством, позволяют аудитору затребовать такие дополнительные функции, как встроенные функции аудита или средства контроля в рамках организации программного приложения. Кроме того, у аудитора появляется дополнительное время для заблаговременной разработки и тестирования процедур аудита по использованию системы.

ПМАП 1003 также не имеет российского аналога.

Учет экологических вопросов при аудите финансовой отчетности

Целью ПМАП 1010 «Учет экологических вопросов при аудите финансовой отчетности» является оказание содействия аудиторам и распространение хорошей практики работы путем предоставления рекомендаций по применению МСА в случаях, когда экологические вопросы являются важными для финансовой отчетности субъекта.

Экологические вопросы становятся важными для все большего количества субъектов и при определенных обстоятельствах могут оказывать существенное влияние на финансовую отчетность. Такие вопросы все сильнее интересуют пользователей финансовой отчетности. Ответственность за признание, оценку и раскрытие информации по указанным вопросам лежит на руководстве.

С 70-х годов XX в. компании ряда стран Европы и Северной Америки начали привлекаться к юридической ответственности за нанесение ущерба окружающей среде, что сопровождалось для них дополнительными финансовыми потерями и обусловило необходимость оценки соответствия осуществляемой этими компаниями деятельности нормам законодательства об охране окружающей среды. Такая оценка по определенной аналогии с финансовым аудитом получила название экологического аудита. Экологический аудит распространяется в промышленно развитых странах — Канаде, Великобритании, Нидерландах, США, Швеции.

Национальное агентство по охране окружающей среды США в 1984 г. разработало концепцию экологического аудирования для федеральных ведомств, в соответствии с которой агентства осуществляли экологический аудит Министерства энергетики США, Национального управления по аэронавтике и исследованию космического пространства (NASA). В США существенна роль экологического аудита как инструмента «более раннего» выявления экологического правонарушения.

Экологический аудит нашел применение в таких областях деятельности, как приобретение или передача недвижимости, решение проблемы отходов производства и потребления, обеспечение безопасности производимых продуктов, борьба с профессиональными заболеваниями, контроль загрязнения природных сред.

Экологическому аудиту в большей степени присущ аналитический характер. Он не дает ответа на вопрос, каким образом компания может усовершенствовать свою экологическую программу. Аудиторы лишь указывают на выявленные недостатки природоохранной деятельности, а принятие необходимых мер — обязанность управляющего компанией. Ответственность за признание, оценку и раскрытие информации по таким вопросам лежит на руководстве экономического субъекта.

В некоторых случаях экологические вопросы являются важными для субъекта и может существовать риск существенного искажения (в том числе несоответствующего раскрытия) фактов в финансовой отчетности в результате таких экологических вопросов. При таких обстоятельствах аудитор должен рассмотреть экологические вопросы при проведении аудита финансовой отчетности. Экологические вопросы могут быть комплексными и поэтому могут потребовать дополнительного рассмотрения со стороны аудитора.

Необходимость учета экологических вопросов при аудите финансовой отчетности зависит от суждения аудитора о том, повлекут ли экологические вопросы за собой риск существенного искажения финансовой отчетности. В некоторых случаях может быть сделан вывод об отсутствии необходимости в специальных аудиторских процедурах. В других случаях аудитор использует профессиональное суждение для определения характера, сроков и объема специальных процедур, которые он считает необходимыми для получения достаточных и уместных аудиторских доказательств того, что финансовая отчетность не содержит существенных искажений. Если аудитор не обладает профессиональнои компетенцией для проведения специальных процедур, он имеет право обратиться за технической консультацией к таким специалистам, как юристы, инженеры или специалисты по экологии.

Тем не менее «...уровень профессиональной подготовки аудитора, его опыт и знание субъекта и отрасли могут помочь определить, что отдельные действия, привлекшие внимание аудитора, содержат признаки несоблюдения законов и нормативных актов. Определение того, какие действия являются или могут являться несоблюдением, обычно основывается на консультации опытного и квалифицированного юриста, однако окончательное решение может приниматься только судом» (п. 4МСА250).

В ПМАП 1010 приведены примеры экологических вопросов, влияющих на финансовую отчетность:

• введение экологических законов и положений может повлечь за собой обесценивание активов и, как следствие, необходимость снижения их балансовой стоимости;
• несоблюдение норм экологического законодательства, касающихся, например, удаления выбросов и отходов, или изменения в законодательстве, имеющие ретроактивную силу, могут потребовать начисления сумм для осуществления исправительных мер, выплаты компенсаций и оплаты юридических расходов;
• некоторые субъекты, например в добывающей промышленности (горнодобывающая или нефте- и газодобывающая отрасли), производители химикатов или компании по утилизации отходов могут понести экологические обязательства в качестве непосредственного побочного продукта своей основной деятельности;
• конструктивные обязательства, вытекающие из добровольных действий (например, субъект может обнаружить загрязнение почвы и, не имея юридических обязанностей, решит устранить загрязнение, заботясь о свой репутации и улучшении отношении с обществом);
• субъект может быть обязан раскрыть в примечаниях наличие условных обязательств, если расходы, относящиеся к экологическим вопросам, не могут быть достоверно оценены;
• в крайних случаях несоблюдение определенных экологических законов и положений может повлиять на продолжительность деятельности предприятия с точки зрения допущения о непрерывности деятельности и, следовательно, на раскрываемые сведения и основу для подготовки финансовой отчетности.

Согласно требованиям раздела «Руководство по применению МСА 310 "Знание бизнеса"» при проведении любых аудиторских проверок необходимо иметь знания о бизнесе клиента в объеме, достаточном для выявления и понимания факторов, которые могут существенно влиять на финансовую отчетность, проверку или аудиторское заключение. При получении достаточного знания о бизнесе клиента аудитор рассматривает важные вопросы, влияющие на бизнес субъекта и на ту отрасль, в которой он работает, такие как экологические требования и проблемы.

Некоторые отрасли по своему характеру сопряжены с существенным экологическим риском. Кним относятся химическая, нефте- и газодобывающая, фармацевтическая, металлургическая, горнодобывающая отрасли и коммунальное хозяйство.

Любой субъект может быть подвержен существенному экологическому риску в том случае, если он:

• в большей степени зависит от экологических законов и нормативных актов;
• владеет участками, зараженными предыдущими владельцами (субститутивная ответственность), или обладает залоговым правом в отношении таких участков;
• осуществляет хозяйственную деятельность, которая может привести к заражению почв и подземных вод, наземных вод или воздуха, связана с использованием опасных веществ, связана с производством или обработкой опасных отходов, может иметь негативное воздействие на клиентов, сотрудников или людей, которые живут неподалеку от зданий компании.

В разделе «Руководство по применению МСА 400 "Оценка рисков и система внутреннего контроля"» представлены дополнительные рекомендации по применению определенных аспектов МСА 400, объясняется взаимосвязь между экологическими вопросами и моделью аудиторского риска. Здесь приведены примеры возможных экологических вопросов, рассматриваемых аудитором в связи с оценкой неотъемлемого риска, системой бухгалтерского учета и внутреннего контроля, контрольной средой и контрольными процедурами.

Аудитор использует профессиональное суждение для определения значимости факторов, относящихся к оценке неотъемлемого риска, при разработке общего плана аудита. При определенных обстоятельствах данные факторы могут включать в себя риск существенного искажения финансовой отчетности из-за экологических вопросов («экологический риск»). Следовательно, экологический риск может являться компонентом неотъемлемого риска. В качестве примеров экологического риска на уровне финансовой отчетности можно назвать:

• риск затрат в связи с соблюдением законодательства или требований договоров;
• риск несоблюдения экологических законов и нормативных актов;
• возможное влияние конкретных экологических требований клиентов субъекта и их возможная реакция на экологическое поведение субъекта.

Ответственность за разработку и функционирование системы внутреннего контроля в целях упорядоченного и эффективного ведения дел, включая любые экологические аспекты, лежит на руководстве. На практике руководство использует разные способы контроля, касающегося экологических вопросов:

• субъекты с низким экологическим риском и небольшие предприятия обычно регулируют и контролируют свои экологические вопросы в рамках обычных систем бухгалтерского учета и внутреннего контроля;
• некоторые субъекты, работающие в отраслях с высоким экологическим риском, могут разработать и внедрить отдельную подсистему внутреннего контроля для этой цели, которая соответствует действующим стандартам Систем управления окружающей средой (СУО);
• другие субъекты разрабатывают и используют все свои системы контроля в интегрированной контрольной системе, охватывающей политику и процедуры по бухгалтерскому учету, экологическим и другим вопросам (например, качество, здоровье и безопасность).

Для аудитора неважно, как руководство фактически осуществляет контроль за экологическими вопросами. В частности, отсутствие СУО само по себе не значит, что аудитору следует сделать вывод, согласно которому контроль за экологическими аспектами деятельности является недостаточным.

Только тогда, когда, по мнению аудитора, экологические вопросы могут иметь существенное влияние на финансовую отчетность субъекта, аудитор должен получить представление о политике и существенных процедурах субъекта в отношении мониторинга и контроля за такими экологическими вопросами («средства экологического контроля» субъекта) для планирования аудита и разработки эффективного подхода к аудиту. В указанных случаях аудитор должен рассматривать только те средства экологического контроля (в пределах или за пределами систем бухгалтерского учета и внутреннего контроля), которые имеют отношение к аудиту финансовой отчетности.

Для того чтобы получить представление о контрольной среде, аудитору необходимо принимать во внимание следующие факторы, связанные с экологическими вопросами:

• функционирование совета директоров и его комитетов в связи со средствами экологического контроля субъекта;
• философия руководства и его стиль управления субъектом, а также подход руководства к экологическим вопросам, например, попытки улучшения экологической деятельности субъекта, добровольное издание отчетов по экологической деятельности, реакция руководства на мониторинг и требования соответствия, установленные регулирующими органами и правоохранительными ведомствами;
• организационная структура субъекта и методы определения полномочий и обязанностей по решению операционных экологических вопросов и выполнению требований органов регулирования;
• система контроля со стороны руководства, включая систему внутреннего аудита, проведение «экологического аудита», кадровую политику, процедуры и соответствующее разделение обязанностей.

С учетом соображений и условий аудитор может решить, что ему необходимо получить представление о средствах экологического контроля. Примерами средств экологического контроля являются политика и процедуры для:

• мониторинга соответствия экологической политике субъекта, равно как и законам и нормативным актам по экологии;
• поддержания соответствующей экологической информационной системы, которая может включать в себя учет, например, фактического объема выбросов и опасных отходов, экологические характеристики продуктов, жалобы заинтересованных сторон, результаты инспекций, проведенных соответствующими правоохранительными органами, наличие и последствия несчастных случаев и т.п.;
• сверки экологической информации и соответствующей финансовой информации, например, фактического количества отходов по отношению к затратам на их уничтожение;
• выявления потенциальных экологических вопросов и связанных с этим условных обязательств, которые влияют на субъект.

Если субъект создал средства экологического контроля, аудитор опрашивает лиц, ответственных за эти средства, о том, были ли выявлены какие-либо экологические вопросы, которые могут оказывать существенное влияние на финансовую отчетность.

Один из способов, который аудитор может использовать для получения представления о системе экологического контроля на предприятии, предполагает ознакомление с отчетом по экологической деятельности субъекта, если таковой имеется. В этом отчете обычно описывают экологическую политику и обязательства субъекта, а также основные средства экологического контроля.

После получения представления о системе бухгалтерского учета и внутреннего контроля аудитор, возможно, должен будет рассмотреть влияние экологических вопросов на оценку риска системы контроля, которые могут быть необходимы для такой оценки.

В разделе «Руководство по применению МСА 250 "Учет законов и нормативных актов при аудите финансовой отчетности"» отмечено, что ответственность за обеспечение деятельности субъекта в соответствии с законами и нормативными актами несет его руководство.

Аудитор не должен и не может отвечать за предотвращение несоблюдения законов и нормативных актов по охране окружающей среды. Выявление возможных нарушений законов и нормативных актов по охране окружающей среды обычно выходит за рамки профессиональной компетенции аудитора. Тем не менее в соответствии с МСА аудит по экологии планируется и проводится с позиции профессионального скептицизма, кроме того, требуется признание того, что аудит может выявить события или условия, ставящие под сомнение соблюдение субъектом законов и нормативных актов по охране окружающей среды, в той мере, в какой это может привести к существенному искажению финансовой отчетности.

Для получения общего представления о значимых законах и нормативных актах по охране окружающей среды аудитор обычно:

• использует знание об отрасли и бизнесе клиента;
• проводит опросы руководства (в том числе ключевых специалистов по экологическим вопросам) о политике и процедурах субъекта по соблюдению экологических законов и нормативных актов;
• проводит опросы руководства по экологическим законам и нормативным актам, которые, как ожидается, будут оказывать значительное влияние на деятельность субъекта. Несоблюдение указанных требований может заставить этого субъекта прекратить свою деятельность или поставить под сомнение допущение о непрерывности деятельности по отношению к субъекту;
• обсуждает с руководством политику и процедуры, принятые для выявления, оценки и учета судебных тяжб, исков и начисленных штрафов.

В разделе «Процедуры проверки по существу» приведены рекомендации по процедурам проверки по существу, включая применение МСА 620 «Использование работы эксперта». В этом разделе говорится, что аудитор рассматривает оцененный уровень неотъемлемого риска и риска системы контроля при определении характера, сроков и объема процедур проверки по существу, необходимых для уменьшения риска необнаружения существенного искажения в финансовой отчетности до приемлемого уровня, в том числе любого существенного искажения, обусловленного тем, что субъект не признал, не измерил или не раскрыл соответствующим образом последствия экологических вопросов. Процедуры проверки по существу включают в себя получение доказательств путем опроса как руководства, ответственного за финансовую отчетность, так и ключевых сотрудников, ответственных за экологические вопросы. Аудитор рассматривает необходимость сбора аудиторских доказательств, подтверждающих любые утверждения по экологическим вопросам и получаемых как в пределах, так и за пределами субъекта. В некоторых ситуациях аудитору может потребоваться рассмотреть вопрос об использовании работы экспертов по экологическим вопросам.

В связи с тем что большая часть аудиторских доказательств, доступных аудитору, имеет скорее убедительный, нежели исчерпывающий характер, аудитору необходимо использовать профессиональное суждение при определении адекватности (по отдельности или вместе) процедур проверки по существу. Использование профессионального суждения может быть еще более важным из-за трудностей, связанных с признанием и оценкой последствий экологических вопросов в финансовой отчетности. Например, часто между событием, повлекшим за собой экологический вред, и выявлением такового субъектом или органами регулирования проходит значительное время; оценочные значения могут не иметь сложившейся исторической практики или могут значительно варьировать из-за количества и характера допущений, на которых основываются эти значения; законы и иные нормативные акты по охране окружающей среды совершенствуются, и их толкование может быть сложным или неоднозначным. Для определения влияния законов и нормативных актов по охране окружающей среды на оценку ряда активов может потребоваться консультация специалиста; обязательства могут появиться не в результате юридических или договорных обязательств.

В ходе аудита при оценке неотъемлемого риска и риска системы контроля аудитор может обнаружить доказательство наличия риска того, что в финансовой отчетности есть существенное искажение из-за экологических вопросов. Приведем примеры таких обстоятельств:

• подготавливаемые экологами-специалистами, внутренними аудиторами или экологическими аудиторами отчеты, в которых указывается на существенные экологические проблемы;
• нарушения законов и нормативных актов по охране окружающей среды, упоминаемые в корреспонденции или отчетах органов регулирования;
• включение названия субъекта в официальный реестр или график по устранению загрязненности почвы (при существовании такого реестра);
• комментарии в прессе, касающиеся субъекта и его отношения к основным экологическим вопросам;
• комментарии по экологическим вопросам в письмах юристов;
• доказательства покупки товаров и услуг, которые связаны с экологическими вопросами и являются необычными с учетом характера бизнеса субъекта;
• увеличенные или необычные гонорары юристам и экологам-консультантам либо выплаты штрафов в результате нарушения экологических законов и нормативных актов.

В подобных обстоятельствах аудитор рассматривает необходимость переоценки неотъемлемого риска и риска системы контроля и соответствующего их влияния на риск необнаружения. Если нужно, аудитор может проконсультироваться с экспертом по экологии.

Ответственность за оценочные значения, включенные в финансовую отчетность, несет руководство. Руководство может получать технические консультации у юристов, инженеров или других экспертов по экологии для содействия в разработке оценочных значений и раскрытия сведений, связанных с экологическими вопросами. Такие эксперты могут быть вовлечены на разных стадиях процесса разработки оценочных значений и раскрытия сведений, включая содействие руководству:

• в выявлении ситуации, когда требуется признание обязательств и соответствующих оценок (например, инженер-эколог может провести предварительный контроль участка для установления наличия загрязнения, юрист может определить юридические обязательства субъекта по очистке участка);
• в сборе необходимой информации, на которой основывается оценка, и в предоставлении подробной информации, которую следует раскрыть в финансовой отчетности (например, эксперт по экологии может проверить участок для оказания содействия в определении характера и степени загрязнения, а также альтернативных методов очистки участка);
• в разработке плана восстановительных работ и в оценке финансовых последствий.

Аудитор, намеревающийся использовать результаты такой работы в процессе аудита, должен оценить соответствие работы, выполненной экспертами по экологии, целям аудита, а также компетентность и объективность экспертов в соответствии с МСА 620 «Использование работы эксперта». Аудитор может также привлечь другого эксперта для рассмотрения указанной работы, применить дополнительные процедуры или модифицировать аудиторское заключение.

Экология является довольно новой наукой, оценить профессиональную компетентность специалиста в этой сфере может быть сложнее, чем компетентность других экспертов, потому что в данном случае может отсутствовать сертификация, лицензирование или членство в соответствующей профессиональной организации. В такой ситуации аудитору придется уделить особое внимание опыту и репутации эксперта по экологии.

Своевременное и постоянное общение с экологом может помочь аудитору понять характер, масштаб, цель и ограничения отчета этого специалиста. Отчет может быть составлен только по одному аспекту деятельности субъекта. Аудитору также необходимо обсудить допущения, методы, процедуры и источники информации, использованные экспертом. Экологический аудит не обязательно эквивалентен аудиту отчета по экологической деятельности. Аудитор может рассмотреть возможность использования результатов экологического аудита в качестве соответствующих аудиторских доказательств. В таком случае аудитор должен решить, соответствует ли экологический аудит критерию оценки, включенному в МСА 610 «Рассмотрение работы внутреннего аудита» или в МСА 620 «Использование работы эксперта». К важным критериям, требующим распространения, относятся:

• влияние результатов экологического аудита на финансовую отчетность;
• компетентность и навыки команды экологического аудита и объективность аудиторов, особенно если они являются сотрудниками субъекта;
• масштаб экологического аудита, действия руководства в ответ на рекомендации, полученные в результате экологического аудита, и документальное подтверждение предпринятых руководством действий;
• должная профессиональная тщательность при проведении экологического аудита;
• соответствующее руководство, надзор и анализ результатов аудита.

Если субъект имеет отдел внутреннего аудита, аудитор выясняет, занимаются ли внутренние аудиторы экологическими аспектами деятельности субъекта в рамках внутреннего аудита. В таком случае аудитор рассматривает целесообразность использования данной работы для целей аудита, применяя критерии МСА 610 «Рассмотрение работы внутреннего аудита».

В разделе «Заявления руководства» напоминается о том, что МСА 580 «Заявления руководства» требует от аудитора получения письменных заявлений от руководства по вопросам, существенным для финансовой отчетности, если иных достаточных и уместных аудиторских доказательств найти не удается. Большая часть доступных аудитору доказательств влияния экологических вопросов на финансовую отчетность будет носить скорее убедительный, нежели исчерпывающий характер. Следовательно, аудитор, возможно, захочет получить письменные заявления руководства о том, что:

• руководство не знает о каких-либо существенных обязательствах или условных событиях, возникших в результате экологических вопросов, в том числе незаконных действий;
• руководство не знает о каких-либо других экологических вопросах, которые могут иметь существенное влияние на финансовую отчетность;
• руководство знает о таких вопросах, и информация о них раскрыта в финансовой отчетности соответствующим образом.

Раздел «Заключение» обязывает аудитора при составлении мнения о финансовой отчетности анализировать, должным ли образом влияние экологических вопросов отражено и раскрыто в финансовой отчетности. Аудитор также просматривает любую другую информацию, которая должна прилагаться к финансовой отчетности, для выявления каких-либо существенных несоответствий, например, по экологическим вопросам.

Оценка руководством факторов неопределенности и степень раскрытия информации о таких факторах в финансовой отчетности являются ключевыми вопросами при определении влияния на аудиторское заключение. Аудитор может сделать вывод о существовании значительных неопределенностей или несоответствующем раскрытии информации в связи экологическими вопросами.

В некоторых обстоятельствах по суждению аудитора допущение о непрерывности деятельности предприятия может оказаться неуместным. В МСА 700 «Аудиторский отчет (заключение) по финансовой отчетности» и МСА 570 «Непрерывность деятельности предприятия» представлены подробные рекомендации для аудиторов на случай таких обстоятельств.

В разделе «Основы аудита государственного сектора» отмечено, что рекомендации, приведенные в данном Положении, равно применимы и к аудиторам государственного сектора при проведении ими аудита финансовой отчетности правительственных организаций и других субъектов государственного сектора. На характер и масштаб аудита государственного сектора могут оказывать влияние законодательство, положения, постановления и министерские директивы, которыми устанавливаются дополнительные аудиторские и (или) отчетные обязанности в связи с экологическими вопросами. Аудиторы предприятий государственного сектора в некоторых странах могут быть обязаны сообщить о случаях несоблюдения законодательства по охране окружающей среды, выявленных в ходе аудита финансовой отчетности, вне зависимости от того, оказали ли такие случаи существенное влияние на финансовую отчетность субъекта.

При проведении аудита финансовой отчетности некоторых ведомств, в чьи обязанности входит мониторинг соблюдения законов и нормативных актов по вопросам охраны окружающей среды, аудитору также может быть необходимо проанализировать, к примеру, средства контроля, касающиеся наложения соответствующих сборов и штрафов и взимания таковых. В случае неразрешенных вопросов может также потребоваться проанализировать признание, измерение и раскрытие информации применительно к каким-либо обязательствам или условным обязательствам.

В приложении 1 к ПМАП 1010 рассматриваются примерные вопросы, способствующие получению знания о бизнесе клиента с экологической точки зрения:

• знание бизнеса клиента:
  • работает ли субъект в отрасли, подверженной значительному экологическому риску, который может негативно повлиять на финансовую отчетность субъекта,
  • какие экологические проблемы существуют в отрасли субъекта в целом,
  • какие законы и нормативные акты по охране окружающей среды применимы к субъекту,
  • использует ли субъект какие-либо вещества в продукции или процессе производства, от которых необходимо постепенно отказываться согласно требованиям законодательства либо добровольному решению, принятому в отрасли клиента,
  • контролируют ли правоохранительные органы соблюдение субъектом требований экологических законов, нормативных актов и лицензий,
  • осуществляли ли правоохранительные органы какие-либо действия или выпускали ли они какие-либо отчеты, которые могут иметь существенное влияние на субъекта и его финансовую отчетность,
  • запланированы ли какие-либо меры по предотвращению, устранению или исправлению вреда, нанесенного окружающей среде, либо по консервации восполнимых и невосполнимых ресурсов,
  • имели ли ранее место штрафы или судебные дела, возбужденные против субъекта либо его директоров в связи с экологическими вопросами,
  • если да, то что являлось причиной таких действий,
  • рассматриваются ли какие-либо судебные дела, касающиеся соблюдения экологических законов и нормативных актов,
  • покрывает ли страховка экологические риски;
• контрольная среда и процедуры контроля:
  • каковы идеология и оперативный стиль руководства по отношению к экологическому контролю в общем,
  • предусмотрено ли структурой деятельности субъекта распределение обязанностей по экологическому контролю между отдельными лицами,
  • есть ли у субъекта экологическая информационная система, основанная на требованиях органов регулирования или собственной оценке экологических рисков, например, о фактическом количестве выбросов опасных отходов,
  • есть ли у субъекта СУО,
  • если да, то была ли СУО сертифицирована независимым сертифицирующим органом,
  • опубликовал ли (добровольно) субъект отчет по экологической деятельности,
  • если да, то был ли отчет проверен независимой третьей стороной,
  • действуют ли процедуры контроля для выявления и оценки экологического риска, для мониторинга соблюдения законов и нормативных актов по охране окружающей среды и для мониторинга возможных изменений в экологическом законодательстве, которые могут повлиять на субъекта,
  • есть ли у субъекта процедуры контроля для работы с жалобами сотрудников или третьих лиц по экологическим вопросам, включая проблемы со здоровьем,
  • есть ли у субъекта процедуры контроля по работе с опасными отходами и их захоронению в соответствии с юридическими требованиями,
  • есть ли процедуры контроля по выявлению и оценке экологических опасностей, связанных с продуктами и услугами субъекта, и соответствующая система передачи клиентам информации о требуемых профилактических мерах по мере необходимости,
  • знает ли руководство о существовании и возможном влиянии на финансовую отчетность:
    1. какого-либо риска возникновения обязательства в результате загрязнения земли, грунтовых вод или водоемов;
    2. какого-либо риска возникновения обязательства в результате загрязнения воздуха; в) неразрешенных жалоб сотрудников или третьих лиц по экологическим вопросам?

В приложении 2 к ПМАП 1010 приведены примеры процедур проверки по существу для выявления существенных искажений, связанных с экологическими вопросами:

• общий обзор документации (рассмотреть протоколы заседаний совета директоров, аудиторских комитетов и др., проанализировать опубликованную информацию об отрасли и т.д.);
• использование работы других лиц (оценить результаты работы эксперта по экологии, внутреннего аудитора, если они рассматривали определенные экологические аспекты деятельности субъекта; если был проведен «экологический аудит» и его результаты могут считаться аудиторским доказательством для целей аудита финансовой отчетности, следует рассмотреть влияние результатов «экологического аудита» на финансовую отчетность, оценить профессиональную компетентность и объективность «экологического аудитора», получить достаточные и уместные доказательства того, что объем «экологического аудита» является адекватным для целей аудита финансовой отчетности, оценить уместность использования результатов работы «экологического аудитора» в качестве аудиторского доказательства);
• страхование (узнать о существующем (и ранее действовавшем) страховом покрытии экологического риска и обсудить этот вопрос с руководством);
• заявления руководства (получить письменные заявления от руководства о том, что оно рассмотрело влияние экологических вопросов на финансовую отчетность и не знает о существовании каких-либо существенных обязательств или условных событий, которые вытекают из неправомерных действий и вопросов, способных повлечь за собой существенное обесценение активов); если руководство знает о таких вопросах, то должно быть получено заявление о том, что руководство сообщило аудитору все относящиеся к этому факты;
• дочерние компании (опросить аудиторов дочерних компаний по поводу соблюдений ими соответствующих местных законов и нормативных актов по охране окружающей среды и их возможного влияния на финансовую отчетность дочерних компаний);
• активы (покупка земли, производственных мощностей машин, долгосрочные инвестиции, обесценение активов, возмещение убытков поискам);
• обязательства, резервы и условные события (полнота обязательств, резервов и условных событий, оценочные значения, обзор документации);
• раскрытие информации (рассмотреть адекватность раскрытия информации о влиянии экологических вопросов на финансовую отчетность).

В России отсутствуют общепризнанные понятия и определения в области экологического аудита. Например, в качестве объектов экологического аудита называют предприятия, организации, учреждения, сооружения, территории, виды промышленно-хозяйственной деятельности, виды природопользования, проектную документацию.

Согласно мнению профессора кафедры международного и экологического права Международного независимого эколого-политоло-гического университета Г.П. Серова, под целью экологического аудита следует понимать засвидетельствование достоверности:

• оценки организацией состояния окружающей среды в пределах своего возможного негативного воздействия;
• оценки состояния защищенности организации от негативного воздействия загрязненных природных объектов и от угроз нехватки природных ресурсов (сырья, материалов).

В России рынок услуг по экологическому аудиту формируется стихийно и без должного правового регулирования и нормативно-методического обеспечения со стороны органов власти; отсутствуют не только правовая база экологического аудита, но и достаточно проработанные его научно-методологические основы и общепризнанный понятийно-терминологический аппарат; аудит ограничен вопросами бухгалтерского учета и налогообложения.

Принципиально новым подходом к раскрытию сущности экологического аудитаявляется комплексный подход, базирующийся на оценке соответствия деятельности аудируемой организации нормам, правилам, требованиям обеспечения, как техногенной безопасности окружающей среды, так и экологической безопасности организации. Экологический аудит рассматривается как инструмент засвидетельствования (проверки) соответствия деятельности организации требованиям не только природоохранного законодательства, но и о безопасности и защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера.

Особенности аудита малых предприятий

На порядок организации и методики проведения аудиторских проверок значительное влияние оказывает специфика отрасли, к которой относится экономический субъект, заключивший договор на оказание аудиторских услуг. Например, аудит в строительстве, сельском хозяйстве, жилищно-коммунальном хозяйстве, организациях розничной торговли, общественного питания, объединениях газодобывающей промышленности, нефтедобывающей промышленности, транспорта, связи и других не может быть одинаковым. Это связано с тем, что порядок ведения учета в названных отраслях сильно различается. Каждой отрасли присущи свой план счетов бухгалтерского учета, свои отраслевые рекомендации по учету затрат в целях налогообложения и т.д., хотя Положения по бухгалтерскому учету и типовой План счетов бухгалтерского учета для них общие. Аудиторы обычно хорошо разбираются в специфике учета различных отраслей, однако в большинстве случаев они также специализируются на аудите организаций определенной отрасли, что, несомненно, способствует углублению их знаний и приобретению навыков в этой отрасли аудита. Так, в России имеется ряд аудиторских организаций, специализирующихся на аудите газовой промышленности, жилищно-коммунального хозяйства.

На высшем уровне кроме общего аудита различают аудит банков, страховых организаций, которые могут проводить лица, получившие соответствующую лицензию. Это объясняется тем, что бухгалтерский учет в банках и страховых организациях сильно отличается от общепринятого. Таким образом, специфика учета в некоторой степени предопределяет специфику аудита. На международном уровне эти различия нашли отражение в содержании таких стандартов, как МСА, устанавливающие требования к проведению аудита в банках, аудита субъектов, пользующихся услугами обслуживающих предприятий, и аудита малых предприятий.

Целью ПМАП 1005 «Особенности аудита малых предприятий» является рассмотрение основных характеристик малых предприятий и определение степени их воздействия на применение МСА. В этом Положении рассматриваются основные характеристики малых предприятий; содержатся методические указания по применению МСА в процессе аудита малых предприятий; приведены рекомендации по проведению аудита в тех случаях, когда аудитор оказывает малому предприятию услуги в области бухгалтерского учета.

В разделе «Характеристики малых предприятий» отмечено, что малым предприятием называется любой субъект, право собственности и управление которым сконцентрировано в рамках узкого круга лиц (часто одного лица) и к которому могут быть применимы одна или несколько из следующих характеристик: ограниченное число источников дохода, упрощенная система ведения бухгалтерского учета, ограниченные средства внутреннего контроля в сочетании с наличием у руководства возможности действовать в обход таких средств контроля. В этом разделе говорится, что аудит малого предприятия имеет упрощенную документацию и позволяет аудитору использовать в проверках ограниченное число сотрудников.

Комментарии по применению МСА приведены в рубриках «Обязанности: МСА 200-299», «Планирование: МСА 300—399», «Система внутреннего контроля: МСА 400—499», «Аудиторские доказательства: МСА 500—599», «Аудиторские выводы и заключения: МСА 700—799». Данные комментарии дополняют, а не заменяют положения, содержащиеся в соответствующих МСА, в них учитываются особенности аудита малых предприятий.

МСА 210 «Условия договоренностей об аудите». В отдельных случаях аудитор может прийти к выводу, что он не сможет получить необходимые доказательства для выражения мнения о финансовой отчетности в связи с недостатками, характерными для малых предприятий. При таких обстоятельствах в странах, где это разрешено законодательством, аудитор может не согласиться на проведение аудита или отказаться от проведения проверки даже после принятия на себя соответствующих обязательств. Кроме того, аудитор может продолжить проверку и выразить условно положительное мнение или отказаться от выражения мнения. Аудитору следует учитывать положения п. 41 МСА 700 «Аудиторский отчет (заключение) по финансовой отчетности», в соответствии с которым аудитор обычно не должен принимать условия договоренности об аудите, если они сформулированы таким образом, что, на взгляд аудитора, могут обусловить необходимость отказа от выражения мнения.

МСА 220 «Контроль качества работы в аудите». Основная цель контроля качества — обеспечение уверенности в том, что аудиторские проверки проводятся в соответствии с общепринятыми стандартами аудита. Аудитор малого предприятия постоянно должен помнить об этой цели при определении характера, сроков, политики проведения и объема процедур, осуществляемых в тех или иных обстоятельствах. Аудиторские проверки многих малых предприятий проводят небольшие аудиторские фирмы. При определении надлежащей политики и процедур такие фирмы учитывают предусмотренные в п. 6 МСА 220 положения: профессиональные требования, навыки и компетентность, поручение заданий, делегирование полномочий, консультирование, принятие и сохранение клиентов, мониторинг. За возможным исключением пунктов «поручение заданий» и «делегирование полномочий», все перечисленные вопросы обычно находят отражение в договоренностях фирм, осуществляющих аудиторские проверки малых предприятий. Большая часть аудиторских проверок малых предприятий целиком и полностью выполняется аудитором, работающим самостоятельно в качестве индивидуального предпринимателя. В таких случаях отсутствует проблема, связанная с определением заданий, текущим контролем за ассистентами и проверкой выполненной ими работы.

МСА 230 «Документирование». Порядок, в соответствии с которым в рабочих документах необходимо отражать аргументацию и выводы по существенным вопросам, требующим профессионального суждения аудитора, на практике способствует более четкому пониманию рассматриваемых вопросов и обеспечивает более высокое качество сделанных выводов. Это касается всех аудиторских проверок, в том числе проводимых индивидуальным предпринимателем без ассистентов. В зависимости от степени сложности систем бухгалтерского учета и внутреннего контроля субъекта можно использовать различные методы их документирования. Однако на малых предприятиях наиболее эффективным обычно оказывается документирование схем документооборота или описание системы. Аудитор малого предприятия на основании своего профессионального суждения определяет содержание рабочих документов в каждом конкретном случае. Тем не менее аудитору крупного или малого предприятия следует отражать в рабочих документах процесс планирования аудита, программу аудита с изложением характера, сроков и объема проведенных аудиторских процедур, результаты таких процедур, выводы, сделанные на основе полученных аудиторских доказательств, а также аргументацию и выводы по всем существенным вопросам, требующим профессионального суждения аудитора.

МСА 240 «Ответственность аудитора по рассмотрению мошенничества и ошибок в ходе аудита финансовой отчетности». Отношение собственника-менеджера к общим вопросам контроля и личное ведение текущего контроля могут оказать существенное влияние на методику аудиторской проверки. Оценка такого влияния зависит от знания деятельности конкретного субъекта и от честности его собственника-менеджера. В процессе оценки аудиторы учитывают следующие обстоятельства: есть ли у собственника-менеджера определенные стимулы к искажению финансовой отчетности и возможность искажать отчетность; проводит ли собственник-менеджер разграничение между сделками, совершаемыми в личных целях, и хозяйственными операциями; существенно ли образ жизни собственника-менеджера отличается от уровня его вознаграждения; частую смену профессиональных консультантов; откладывалась ли неоднократно дата начала аудита и выдвигались ли необоснованные требования провести аудиторскую проверку в неоправданно сжатые сроки; проведение в конце года необычных операций, оказывающих существенное влияние на финансовые результаты; необычные сделки со связанными сторонами; выплаты завышенных гонораров и комиссионных агентам и консультантам; разногласия с налоговыми органами.

МСА 250 «Учет законов и нормативных актов при аудите финансовой отчетности». Деятельность большинства малых предприятий не отличается комплексным характером, правовая и нормативная база, регулирующая их деятельность, является менее сложной по сравнению с законодательством, регулирующим деятельность более крупных диверсифицированных компаний. Определив применимые отраслевые нормативные акты, аудитор малого предприятия включает их в состав хранящейся в архиве информации о предприятии, а в последующие годы пересматривает и обновляет данные сведения по мере необходимости.

МСА 300 «Планирование». Планирование аудита малого предприятия необязательно требует много времени, не всегда представляет собой сложный процесс и не связано с подготовкой огромного количества документов. Так, в случае с малым предприятием, размеры и характер деятельности которого позволяют адекватно отразить содержание общего плана аудита в программе аудита, отдельная документация по плану и программе может не потребоваться. При использовании типовых программ они соответствующим образом корректируются и адаптируются исходя из специфики конкретного клиента.

МСА 310 «Знание бизнеса». Малые предприятия, как правило, не являются сложными объектами, и их аудитом редко занимаются большие группы аудиторов. Во многих случаях аудит проводит партнер вместе с одним ассистентом. Поэтому аудитор малого предприятия готовит документацию в объеме, достаточном для надлежащего планирования аудита, обеспечения работы в условиях, когда в аудиторской организации изменяется распределение обязанностей. Такая документация, как правило, отличается простой формой и краткостью.

МСА 320 «Существенность в аудите». При количественной оценке существенности берется определенная доля от базового показателя финансовой отчетности. В качестве такого показателя может выступать финансовый результат до налогообложения (при необходимости скорректированный с учетом таких сверхнормативных расходов, как вознаграждение, выплачиваемое собственнику-менеджеру), выручка от реализации, валюта баланса. Часто при аудите малых предприятий предварительный вариант финансовой отчетности не предоставляется аудитору в самом начале проверки. В этом случае аудитор обращается к имеющейся наиболее адекватной информации. Можно использовать пробный баланс за текущий год. Часто информацию о расчетной «выручке от реализации за текущий период» получить гораздо легче, чем данные о финансовом результате или валюте баланса. Общепринятым методом предварительной оценки существенности является расчет уровня существенности исходя из результатов аудита финансовой отчетности за предыдущий год с учетом обстоятельств, произошедших в году, подлежащем проверке. Оценка существенности на основе процентной доли финансового результата до налогообложения может оказаться неприемлемой, если субъект достигает результатов, близких к порогу безубыточности. Тогда получается слишком низкий уровень существенности, что приводит к необоснованному увеличению объема аудиторских процедур. В этих случаях аудитор использует процентную долю выручки от реализации или валюты баланса. Кроме того, оценить существенность можно исходя из ее уровня, определенного за предыдущие периоды, и обычного уровня финансовых результатов. Помимо расчета единого показателя существенности для всей финансовой отчетности аудитор оценивает уровень существенности для отдельных счетов бухгалтерского учета, классов операций и раскрываемых сведений.

Какой бы метод ни использовался для оценки существенности при планировании аудита, аудитор проводит переоценку существенности в процессе анализа результатов аудиторских процедур. В основе такой переоценки лежит окончательный вариант финансовой отчетности, включающий в себя все согласованные корректировки и информацию, полученную в ходе аудита.

МСА 400 «Оценка рисков и внутренний контроль». Оценить неотъемлемый риск малого предприятия достаточно сложно, например риск может увеличиваться в результате концентрации права собственности и управления. Однако оценка неотъемлемого риска малого предприятия зависит от его конкретных характеристик. Аудитор сможет осуществить проверку гораздо эффективнее и лучше, если он не просто примет допущение о высокой степени риска, а проведет тщательную оценку неотъемлемого риска в отношении существенных утверждений, на основе которых подготовлена финансовая отчетность.

Получив представление о системах бухгалтерского учета и внутреннего контроля, аудитор проводит предварительную оценку риска системы контроля на уровне утверждений по каждому существенному сальдо счета или классу операций. Объем процедур проверки по существу можно сократить, если после обследования и тестирования средств контроля выясняется, что они достаточно надежны. Однако многие средства внутреннего контроля, приемлемые для крупных субъектов, нецелесообразно применять на малом предприятии. В связи с этим нельзя полностью полагаться на то, что система внутреннего контроля выявляет факты мошенничества или ошибки. На малых предприятиях возможность разделения обязанностей существенно ограничена, так как бухгалтерский учет может вести ограниченное число человек, которые одновременно отвечают и за операции, и за хранение товарно-материальных ценностей. Кроме того, когда на предприятии мало сотрудников, не всегда можно создать систему независимой проверки их работы. В некоторых случаях недостаточное разделение обязанностей и риск ошибок могут компенсироваться другими процедурами контроля, например жестким управленческим контролем со стороны собственника-менеджера, благодаря личному знанию им деятельности субъекта и непосредственному участию в хозяйственных операциях. Однако данная ситуация в свою очередь способствует появлению таких рисков, как возможность злоупотреблений и мошенничества со стороны руководства. Особенно сложно выявить возможные факты занижения доходов путем искажения объемов реализации.

В тех случаях, когда возможность разделения обязанностей ограничена и нет свидетельств ведения управленческого контроля за деятельностью, аудиторские доказательства, подтверждающие мнение аудитора о финансовой отчетности, могут быть получены только путем процедур проверок по существу. На основе своего представления о системе бухгалтерского учета и среде контроля аудитор малого предприятия может сделать допущение о высоком риске системы контроля, не планируя и не выполняя детальных процедур проверки (таких, как тестирование средств контроля) для обоснования своей оценки. Даже когда на первый взгляд средства контроля представляются эффективными, аудитору может быть целесообразнее ограничиться выполнением процедур проверки по существу.

На основе оценки неотъемлемого риска и риска системы контроля аудитор определяет процедуры проверок по существу, которые проводятся с целью снижения риска необнаружения и, следовательно, аудиторского риска до приемлемого уровня. На некоторых малых предприятиях, особенно на тех, где большинство операций осуществляется за наличный расчет и отсутствует устоявшаяся структура затрат и прибыли, имеющихся доказательств может быть недостаточно для безусловно положительного мнения о финансовой отчетности.

МСА 401 «Аудит в условиях компьютерных информационных систем». В связи с недостаточным разделением обязанностей использование вычислительной техники на малом предприятии может приводить к возрастанию риска системы контроля. Например, пользователи системы бухгалтерского учета часто имеют возможность выполнять две или несколько следующих функций: подготавливать и визировать первичную документацию; вводить данные в систему; управлять компьютером; менять программы и файлы; использовать или распространять выходную информацию; изменять операционную систему. В то же время использование компьютерных информационных систем на малых предприятиях может уменьшить риск системы контроля, повышая тем самым уверенность аудитора в достоверности и точности данных учета. Хорошие компьютеризованные системы обеспечивают точность двойной записи и сверку регистров аналитического учета с данными синтетического учета.

МСА 500 «Аудиторские доказательства». В процессе аудита малых предприятий возникают особые проблемы при получении аудиторских доказательств, на основе которых делается утверждение о полноте информации. Это обусловлено двумя основными причинами: собственник-менеджер играет доминирующую роль и может воспрепятствовать отражению отдельных хозяйственных операций в учете; на предприятии отсутствуют процедуры внутреннего контроля, документально подтверждающие учет всех хозяйственных операций.

В таких случаях предлагается планировать и проводить аудит с определенной долей скептицизма, а при отсутствии фактов, свидетельствующих об обратном, рассматривать получаемые заявления и анализируемые и учетные записи как достоверные.

При отсутствии средств внутреннего контроля, касающихся конкретного утверждения, аудитор сможет получить достаточный объем доказательств только на основе процедур проверки по существу. Такие процедуры могут включать в себя сопоставление сумм, отраженных в бухгалтерском учете, с показателями, рассчитанными на основе данных из других источников (например, выбытие товаров, отраженное в документации по материально-производственным запасам, дает представление о доходах от реализации, а табели учета времени дают представление о счетах, выставляемых клиентам); сверку общего количества купленных и проданных товаров; аналитические процедуры; подтверждение от третьих лиц; анализ событий после отчетной даты.

МСА 520 «Аналитические процедуры». Малые предприятия могут не располагать промежуточной или ежемесячной финансовой информацией, которая используется в аналитических процедурах на стадии планирования. В качестве альтернативного варианта аудитор может провести краткую проверку Главной книги или других предоставленных данных бухгалтерского учета. Во многих случаях может отсутствовать соответствующая документальная информация и аудитору будет нужно получить необходимые сведения у собственника-менеджера.

Снижению издержек, связанных с получением необходимых доказательств, способствуют аналитические процедуры проверки по существу. Иногда эффективными оказываются простые модели прогнозирования. Например, когда на малом предприятии в течение всего отчетного периода работает известное число сотрудников с фиксированными окладами, аудитор на основе этихданных, как правило, может с высокой степенью достоверности рассчитать общие расходы на оплату труда за период и тем самым получить аудиторское доказательство в отношении существенной статьи финансовой отчетности и уменьшить потребность в выполнении детальной проверки фондов оплаты труда.

Следует иметь в виду, что разные аналитические процедуры обеспечивают разные уровни уверенности. Например, аналитические процедуры, связанные с прогнозированием общих доходов от сдачи в аренду многоквартирного здания с учетом ставок арендной платы, количества квартир и доли не сданных в аренду помещений, оказываются убедительным источником доказательств и позволяют избежать дальнейшей проверки с помощью детальных тестов. Напротив, расчет и сопоставление валовой маржи в целях подтверждения показателя «выручка от реализации» являются менее убедительным источником доказательств. Тем не менее данный метод оказывается полезным подтверждением в сочетании с другими аудиторскими процедурами.

На этапе общего обзора аналитические процедуры очень напоминают процедуры, используемые на этапе планирования аудита. К таким аналитическим процедурам относятся: сравнение показателей финансовой отчетности за текущий год с показателями за предыдущие периоды; сравнение фактических показателей финансовой отчетности с показателями плановыми, прогнозными или ожидаемыми руководством субъекта; анализ тенденций изменения важных финансовых коэффициентов; проверка адекватности отражения в финансовой отчетности изменений на предприятии, о которых стало известно аудитору; изучение необъяснимых или непредвиденных показателей финансовой отчетности.

МСА 530 «Аудиторская выборка и другие процедуры выборочного тестирования». Учитывая небольшой объем генеральной совокупности данных на малых предприятиях, рекомендуется проверять: 100% элементов генеральной совокупности; 100% элементов определенной части генеральной совокупности, например, 100% всех объектов, чья стоимость выше определенной суммы, причем аналитические процедуры применять к остатку совокупности в случае его существенности. При использовании аудиторской выборки для малых предприятий действуют те же принципы, что и для крупных субъектов. Аудитор формирует выборку таким образом, чтобы обеспечивалась ее репрезентативность по отношению к генеральной совокупности.

МСА 550 «Связанные стороны». Между малым предприятием и собственником-менеджером, а также между малым предприятием и субъектами, связанными с собственником-менеджером, часто совершаются существенные операции. На малых предприятиях редко применяются хорошо разработанная политика и этические нормы в отношении операций со связанными сторонами. Поэтому аудитору малого предприятия рекомендуется использовать проверки по существу для выявления связанных сторон и операций со связанными сторонами.

МСА 560 «Последующие события». Последующие события с момента окончания отчетного периода до даты подписания аудиторского заключения. В случае с малыми предприятиями с момента окончания отчетного периода до утверждения или подписания финансовой отчетности собственником-менеджером нередко проходит гораздо больше времени, чем в случае с крупными субъектами. Поэтому аудиторские процедуры в отношении последующих событий охватывают более длительный период, в связи с чем возрастает вероятность наступления последующих событий, которые могут оказать влияние на показатели финансовой отчетности. В соответствии с МСА 560 аудитор обязан выполнить процедуры в отношении всего периода с момента окончания отчетного периода до даты подписания аудиторского заключения. Процедуры по выявлению последующих событий, выполняемые аудитором малого предприятия, зависят от имеющейся информации, в частности от степени обновления данных бухгалтерского учета с момента окончания отчетного периода. Если данные бухгалтерского учета не обновлялись, а протоколы заседаний директоров не велись, соответствующие процедуры могут принимать форму запроса, направляемого на имя собственника-менеджера, с последующим документированием его ответов, а также проверкой выписок по банковскому счету.

Последующие события с даты подписания аудиторского заключения до опубликования финансовой отчетности. Если после заседания, на котором утверждается или подписывается финансовая отчетность, сразу же проводится ежегодное общее собрание, то аудитору необязательно уделять особое внимание промежутку времени между двумя заседаниями, так как он является незначительным. Если аудитору становится известно о событии, которое оказывает существенное влияние на финансовую отчетность, аудитор должен рассмотреть необходимость корректировки финансовой отчетности, обсудить данный вопрос с руководством и принять соответствующие меры.

МСА 570 «Непрерывность деятельности». Аудитор обязан учитывать риск того, что допущение о непрерывности деятельности предприятия может оказаться неуместным. Среди факторов риска, имеющих самое непосредственное отношение к малым предприятиям, следует отметить риск прекращения поддержки со стороны банков и других кредиторов, риск потери крупного клиента или основного сотрудника, а также риск потери права осуществлять деятельность в рамках лицензии, франшизы или другого юридического соглашения. Аудитор должен обсудить с собственником-менеджером вопрос о непрерывности деятельности предприятия и, в частности, о среднесрочном и долго-срочномфинансировании.

МСА 580 «Заявления руководства». С учетом специфики конкретного малого предприятия аудитор может посчитать целесообразным получить письменные заявления собственника-менеджера в отношении полноты и достоверности информации в бухгалтерском учете и финансовой отчетности (например, об отражении всех доходов в бухгалтерском учете). Такие заявления сами по себе не являются достаточными аудиторскими доказательствами. Аудитор сопоставляет эти заявления с результатами других уместных аудиторских процедур, своим знанием бизнеса клиента и его собственника-менеджера, а также определяет возможность получения других аудиторских доказательств. Заявления в письменном виде, представленные собственником-менеджером, позволяют избежать возможного недопонимания между ним и аудитором.

МСА 700 «Аудиторский отчет (заключение) по финансовой отчетности». Если аудитор не может разработать или осуществить процедуры для получения достаточных и уместных аудиторских доказательств в отношении полноты данных бухгалтерского учета, такая ситуация может рассматриваться как ограничение объема работы аудитора. Ограничение объема аудита приводит к выражению условно положительного мнения, а в тех случаях, когда возможные последствия ограничения объема работы настолько значительны, что аудитор не может составить мнение о финансовой отчетности,— к отказу от выражения мнения.

Аудитор датирует аудиторское заключение числом, когда была завершена аудиторская проверка. Эта дата не должна предшествовать дате утверждения или подписания финансовой отчетности собственником-менеджером. Утверждение финансовой отчетности может носить форму заявления руководства. При аудите малых предприятий по практическим соображениям аудитор может подписать заключение позже даты утверждения или подписания финансовой отчетности собственником-менеджером. Предварительное планирование аудита и обсуждение с руководством процедур окончательного оформления финансовой отчетности позволяет избежать подобных ситуаций. Если этого нельзя избежать, возникает вероятность того, что в период между утверждением финансовой отчетности и подписанием аудиторского заключения произойдет событие, которое окажет существенное влияние на финансовую отчетность. Поэтому аудитор предпринимает меры для обеспечения уверенности в том, что собственник-менеджер признает свою ответственность за подготовку финансовой отчетности и содержащиеся в ней показатели по состоянию на такую более позднюю дату подписания аудиторского заключения, и выполнения аудиторских процедур в отношении последующих событий за весь период вплоть до даты подписания заключения.

МСА 720 «Прочая информация в документах, содержащих проаудированную финансовую отчетность». Аудитор должен ознакомиться с прочей информацией для выявления существенных несоответствий с проверенной финансовой отчетностью. Примерами «прочей информации», представляемой совместно с финансовой отчетностью малого предприятия, являются детализированный отчет о доходах и расходах, часто прилагаемый к проверенной аудитором финансовой отчетности для целей налогообложения, и отчет руководства.

ПМАП 1005 завершается разделом «Оказание услуг в области бухгалтерского учета проверяемому малому предприятию», который применяется в тех странах, где согласно законодательству аудитор имеет право оказывать своим клиентам услуги в области бухгалтерского учета, например, содействовать в ведении бухгалтерского учета, консультировать по вопросам выбора и применения учетной политики, помогать в подготовке финансовой отчетности.

В разделе «Комментарии в отношении применения Международных стандартов аудита в случаях, когда аудитор оказывает малому предприятию услуги в области бухгалтерского учета» указано на необходимость учета дополнительных аспектов при применении таких международных стандартов аудита, как «Условия аудиторских заданий», «Документирование», «Мошенничество и ошибка», «Учет законов и нормативных актов при аудите финансовой отчетности», «Планирование», «Оценка рисков и внутренний контроль», «Аудиторские доказательства», «Аналитические процедуры», «Аудит оценочных значений», «Связанные стороны», «Непрерывность деятельности», «Заявления руководства».

На основе данного ПМАП разработано ПСАД «Особенности аудита малых экономических субъектов», в котором описываются особенности действий аудиторской организации или аудитора, работающего самостоятельно в качестве индивидуального предпринимателя, в случае аудита малого экономического субъекта.

К малым экономическим субъектам относятся субъекты, которые признаются субъектами малого предпринимательства в соответствии с законодательством Российской Федерации и обладают такими специфическими особенностями, которые позволяют аудитору на основе своего профессионального суждения с позиций проведения аудиторской проверки отнести их к субъектам малого предпринимательства.

В соответствии со ст. 3 Федерального закона от 14 июня 1995 г. № 88-ФЗ «О государственной поддержке малого предпринимательства в Российской Федерации» под субъектами малого предпринимательства понимаются коммерческие организации, в уставном капитале кото-рыхдоля участия Российской Федерации, субъектов Российской Федерации, общественных и религиозных организаций (объединений), благотворительных и иных фондов не превышает 25%, доля, принадлежащая одному или нескольким юридическим лицам, не являющимся субъектами малого предпринимательства, не превышает 25% и в которых средняя численность работников за отчетный период не превышает следующих предельных уровней: в промышленности — 100 человек; в строительстве — 100 человек; на транспорте — 100 человек; в сельском хозяйстве — 60 человек; в научно-технической сфере — 60 человек; в оптовой торговле — 50 человек; в розничной торговле и бытовом обслуживании населения — 30 человек; в остальных отраслях и при осуществлении других видов деятельности — 50 человек, а также физические лица, занимающиеся предпринимательской деятельностью без образования юридического лица.

Требования данного правила (стандарта):

• являются обязательными для всех аудиторских организаций при осуществлении аудита, предусматривающего подготовку официального аудиторского заключения (за исключением тех положений стандарта, где прямо указано, что они носят рекомендательный характер);
• носят рекомендательный характер при проведении аудита, не предусматривающего подготовку по его результатам официального аудиторского заключения, а также при оказании сопутствующих аудиту услуг.

В случае отклонения при выполнении конкретного задания от обязательных требований рассматриваемого правила (стандарта) аудиторская организация в обязательном порядке должна отметить это в своей рабочей документации и в письменном отчете руководству экономического субъекта, заказавшего аудит, и (или) сопутствующие ему услуги.

В ходе аудита малых экономических субъектов аудиторским организациям следует применять правила (стандарты) аудиторской деятельности в полном объеме. Вместе с тем для малых экономических субъектов характерен ряд специфических особенностей, которые оказывают влияние на порядок проведения аудита таких субъектов. Эти особенности бывают, как правило, вызваны следующими факторами:

• ограничение или отсутствие разделения полномочий сотрудников, отвечающих за ведение учета и подготовку отчетности;
• преобладающее влияние владельца и (или) единоначального руководителя на все стороны деятельности такого субъекта.

Для целей правил (стандартов) аудиторской деятельности и при планировании соответствующих аудиторских процедур аудиторским организациям следует выбирать методику аудита, руководствуясь в первую очередь соображениями возможности разделения ответственности и полномочий сотрудников, отвечающих за ведение учета, особенностями организации системы бухгалтерского учета и документооборота экономического субъекта, а не только критериями отнесения его к субъектам малого предпринимательства, основанными на виде деятельности, структуре уставного капитала и средней численности работников, предусмотренными другими нормативными актами Российской Федерации.

Во время аудита малых экономических субъектов особое внимание необходимо уделить следующим потенциальным факторам риска:

• учетные записи могут вестись нерегулярно, без последовательного соблюдения формальных требований, могут не отражать реального положения дел, что повышает риск искажений бухгалтерской отчетности;
• руководители экономического субъекта могут ошибочно предполагать, что в ходе аудита, предусматривающего выдачу аудиторского заключения, аудиторская организация дополнительно окажет услуги по восстановлению учета, исправлению допущенных ошибок, подготовке бухгалтерской отчетности;
• вследствие меньшего, чем в иных экономических субъектах, количества учетных работников по объективным причинам невозможно обеспечить надлежащее разделение их ответственности и полномочий;
• в условиях малых экономических субъектов возможна ситуация, когда сотрудники, ведущие бухгалтерский учет, одновременно имеют доступ к таким активам экономического субъекта, которые легко могут быть сокрыты, изъяты или реализованы, что может способствовать злоупотреблениям;
• если малый экономический субъект осуществляет большое количество операций за наличные деньги, возможна ситуация, когда выручка не фиксируется или занижается (с целью нарушения требований налогового законодательства), а расходы завышаются (с целью провести как производственные затраты средства, направленные наличное потребление руководящих работников);
• при ограниченном числе сотрудников, ведущих бухгалтерский учет, затруднены или невозможны регулярные взаимные сверки учетных данных, что повышает риск возникновения ошибок и искажений бухгалтерской отчетности.

В малых экономических субъектах дополнительный риск средств контроля возникает в области использования систем компьютерной обработки данных. Если в таком экономическом субъекте применяется один компьютер с упрощенной программой учета, у одного бухгалтера или ограниченного числа учетных работников появляется возможность вводить несогласованные данные в систему учета, произвольным образом менять программную оболочку и базы данных, вносить в систему операции «задним числом», проводить операции, не получившие одобрения или утверждения в установленном порядке.

Преобладающее влияние владельца и (или) единоначального руководителя на все стороны деятельности малого экономического субъекта может оказывать как положительное, так и отрицательное воздействие на систему внутреннего контроля и достоверность бухгалтерской отчетности такого субъекта. С одной стороны, персональный контроль руководителя может способствовать повышению надежности учета экономического субъекта в ситуации, когда альтернативные средства внутреннего контроля по объективным причинам затруднены или невозможны. С другой стороны, преобладающее влияние руководителя может способствовать нарушению общеустановленных контрольных процедур, повышать риск нарушения законодательства, способствовать появлению преднамеренных существенных искажений бухгалтерской отчетности.

Поскольку документирование изучения и оценки системы бухгалтерского учета и системы внутреннего контроля должно соответствовать масштабу проверяемого экономического субъекта, для малых экономических субъектов такое документирование может проводиться в упрощенном виде по сравнению с документированием иных экономических субъектов.

На стадии предварительного планирования сотрудникам аудиторской организации следует ознакомиться с системами бухгалтерского учета и внутреннего контроля экономического субъекта. Если из-за недостатков этих систем, связанных с особенностями малых экономических субъектов, получение надлежащих аудиторских доказательств, необходимыхдля подготовки полноценного аудиторского заключения, не представляется возможным, аудиторской организации целесообразно отказаться от работы с экономическим субъектом. Если соответствующие обстоятельства стали ясны сотрудникам аудиторской организации уже в ходе аудита, целесообразно приостановить работу с данным экономическим субъектом либо подготовить по результатам аудита аудиторское заключение, отличное от безусловно положительного.

Перед началом аудита малого экономического субъекта особенно важно согласовать в договоре или письме-обязательстве условия проведения аудита, права и обязанности аудиторской организации и экономического субъекта. При этом следует руководствоваться требованиями ПС АД «Права и обязанности аудиторских организаций и проверяемых экономических субъектов», ПСАД № 12 «Согласование условий проведения аудита» и ПСАД «Порядок заключения договоров на оказание аудиторскихуслуг». Рекомендуется привлечь внимание руководителей экономического субъекта к п. 10 ПСАД № 1 «Цель и основные принципы аудита финансовой (бухгалтерской) отчетности», где указано, что ответственность за подготовку и представление финансовой (бухгалтерской) отчетности несет руководство экономического субъекта, в то время как аудиторская организация несет ответственность за формулирование и выражение мнения о достоверности этой отчетности.

Как и в случае аудита любых экономических субъектов, в ходе аудита малых экономических субъектов следует тщательно планировать работу, анализировать специфику деятельности субъекта, изучать его системы бухгалтерского учета и внутреннего контроля. В ходе аудита рекомендуется исходить из оценки надежности средств внутреннего контроля как «низкой», если нет явных доказательств противоположного. При этом следует руководствоваться требованиями ПСАД № 4 «Существенность в аудите» и ПСАД № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом». Сотрудникам аудиторской организации рекомендуется в меньшей мере полагаться на средства контроля подлежащего проверке малого экономического субъекта, а в качестве основного способа сбора аудиторских доказательств использовать аудиторские процедуры по существу.

На основе оценки внутрихозяйственного риска и риска средств контроля аудиторская организация определяет допустимый риск необнаружения. Для субъектов малого предпринимательства значение риска необнаружения обычно должно быть ниже, чем для средних и крупных экономических субъектов. Исходя из задачи минимизации риска необнаружения аудиторской организации рекомендуется предусмотреть необходимое увеличение объема аудиторских выборок.

В стандарте указаны особенности порядка получения аудиторских доказательств в ходе аудита малых экономических субъектов. Аудиторской организации с учетом особенностей аудиторского риска в малых экономических субъектах рекомендуется исходить из того, что ее мнение о степени достоверности бухгалтерской отчетности должно в преобладающей мере определяться аудиторскими доказательствами, получаемыми при проведении аудиторских процедур по существу. Аудиторская организация при сборе аудиторских доказательств должна соблюдать требования ПСАД № 5 «Аудиторские доказательства» и ПСАД «Аналитические процедуры».

В ходе аудита малого экономического субъекта большое внимание следует уделять получению официальных письменных разъяснений от его руководства, в которых подтверждалось бы понимание его ответственности за организацию надлежащего ведения бухгалтерского учета и подготовку достоверной и полной бухгалтерской отчетности, а также в необходимых случаях приводились бы аргументы руководства и была бы высказана его позиция по возникшим в ходе аудита спорным вопросам бухгалтерского учета, отчетности и налогообложения.

В ходе сбора и оценки информации о малом экономическом субъекте аудиторской организации необходимо учитывать специфику нормативной базы таких субъектов, в том числе:

• упрощенный порядок регистрации, лицензирования и сертификации деятельности субъектов малого предпринимательства;
• упрощенный порядок представления государственной статистической и бухгалтерской отчетности;
• допустимость использования (при соблюдении необходимых условий) субъектами малого предпринимательства самостоятельно разработанных форм для документирования хозяйственных операций и представления форм бухгалтерской отчетности;
• меры государственной поддержки субъектов малого предпринимательства, влияющие на их финансово-хозяйственную деятельность;
• влияние особенностей регионального и местного законодательства на функционирование малых экономических субъектов.

При получении аудиторских доказательств в ходе аудита субъекта малого предпринимательства, использующего упрощенную систему налогообложения, учета и отчетности, аудиторской организации, в частности, следует рассмотреть:

• обоснованность применения субъектом малого предпринимательства упрощенной системы исходя из нормативных критериев, по которым субъекты малого предпринимательства подпадают под действие такой системы;
• соблюдение субъектом малого предпринимательства порядка отражения хозяйственных операций в книге учета доходов и расходов;
• правильность исчисления валовой выручки или совокупного дохода.

Использование компьютеров при аудиторской проверке малых экономических субъектов (в случае, когда такое использование имеет место) должно проводиться в соответствии с разделом 8 ПСАД «Проведение аудита с помощью компьютеров».

Аудит производных финансовых инструментов

Рекомендации по планированию и проведению аудиторских процедур в отношении утверждений, на основе которых представлена финансовая отчетность, касающаяся производных финансовых инструментов, приведены в ПМАП 1012 «Аудит производных финансовых инструментов».

В разделе «Производные инструменты и связанная с ними деятельность» говорится, что сущность производных финансовых инструментов становится все сложнее, а требования по их учету расширяются. Дается понятие производных инструментов, они определены как общий термин, используемый для обозначения широкого спектра финансовых инструментов, стоимость которых «зависит» или «производится» от базисных ставок либо цен, таких, как процентные ставки, обменные курсы, цены на акции и товары. Указывается, что производные контракты могут быть линейными и нелинейными. Линейные контракты определены как контракты, которыми предусматриваются обязательные денежные потоки на будущую дату, а нелинейные — как контракты с признаками опционов, где одна сторона получает права, не приобретая обязательств, а вторая сторона поставляет базисный актив.

Согласно МСФО 39 «Финансовые инструменты: признание и оценка» производный инструмент представляет собой инструмент:

• стоимость которого меняется в результате изменения процентной ставки, курса ценной бумаги, цены товара, валютного курса, индекса цен или ставок, кредитного рейтинга либо кредитного индекса, другой переменной (обычно называемой базисной);
• для приобретения которого необходимы небольшие первоначальные инвестиции по сравнению с другими контрактами, курс которых аналогичным образом реагирует на изменения рыночной конъюнктуры;
• расчеты по которому осуществляются в будущем.

В качестве наиболее распространенных линейных контрактов названы форвардные контракты (валютные контракты и соглашения о форвардной поставке), фьючерсные контракты (фьючерсный контракт на покупку таких товаров, как нефть или электричество) и свопы.

В разделе «Обязанности руководства и лиц, отвечающих за управление» отмечено, что лица, отвечающие за управление несут ответственность:

• за разработку и внедрение системы внутреннего контроля для отслеживания рисков и осуществления финансового контроля, предоставления достаточной уверенности в том, что применение субъектом производных инструментов находится в рамках управления рисками и обеспечения соответствия деятельности субъекта применимому законодательству и нормативным актам;
• за целостность учетной и финансово-отчетной системы субъекта для обеспечения достоверности управленческой финансовой отчетности о деятельности с производными инструментами.

Согласно разделу «Обязанности аудитора» аудитор должен четко объяснить субъекту, что целью аудиторской работы является формирование мнения о финансовой отчетности. В этом разделе перечислены виды специальных навыков и знаний, которыми должен обладать аудитор (операционные характеристики и риски, присущие той отрасли промышленности, в которой работает субъект; используемые субъектом производные инструменты и их характеристики и др.).

Раздел «Знание бизнеса» требует, чтобы аудитор располагал знаниями в объеме, достаточном для выявления и понимания событий, операций и методов работы, которые, по мнению аудитора, могут существенно влиять на финансовую отчетность, ход аудита или аудиторское заключение. Подобные знания необходимы аудитору при оценке неотъемлемого риска и риска системы контроля, а также при определении характера, сроков и объема аудиторских процедур.

В разделе «Ключевые финансовые риски» приводится их классификация. К ним отнесены рыночные риски, кредитный риск, риск неплатежеспособности, юридический риск.

В соответствии с разделом «Рассматриваемые утверждения» к утверждениям, на основе которых подготовлена финансовая отчетность, относятся утверждения, сделанные руководством, выраженные в явном или неявном виде и содержащиеся в финансовой отчетности, составленной по применяемым концептуальным основам. Их можно распределить по категориям следующим образом: существование, пра-ваи обязательства, возникновение, полнота, стоимостная оценка, измерение, представление и раскрытие.

Виды и содержание рисков рассматриваются в разделе «Оценка рисков и системы внутреннего контроля». Здесь же подчеркнута роль внутреннего аудита и представлены направления деятельности службы внутреннего аудита (совершенствование общего обзора степени использования производных инструментов, анализ соответствия методик и процедур их соблюдению руководством, анализ эффективности процедур контроля и др.). В разделе дана характеристика рисков системы контроля, приведены виды основных вопросов, подлежащих оценке путем тестирования (осторожно ли заключались сделки с контрагентами в зависимости от кредитного риска, присущего им; отправляли ли контрагенты подтверждения; правильно ли утверждалась цель производного инструмента, в том числе ее возможные изменения в будущем, как в случае с хеджированием или спекуляцией; правильно ли отражались операции, насколько полно и точно они отражались в бухгалтерском учете с последующим отражением во вспомогательной бухгалтерской книге и окончательным отражением в финансовой отчетности и др.).

В разделе «Процедуры проверки по существу» подчеркнуто, что при определении характера, сроков и объема аудиторских процедур аудитору необходимо учитывать вопрос существенности; указано на необходимость применения аналитических процедур.

Раздел «Процедуры проверки по существу в отношении утверждений» содержит информацию о видах тестов проверок по существу в отношении утверждений о существовании и возникновении производных инструментов.

Согласно разделу «Получение дополнительного понимания о хеджировании» аудитор должен собрать аудиторские доказательства, подтверждающие соблюдение руководством действующих требований учета хеджирования в соответствии с применяемыми концептуальными принципами составления финансовой отчетности (включая требования о признании и документировании), а также наличие у руководства ожиданий высокой эффективности хеджирования, как до начала операции, так и постоянно в процессе исполнения.

Раздел «Заявления руководства» требует от аудитора, чтобы он получил у руководства соответствующие заявления, включая письменные заявления по вопросам, существенным для финансовой отчетности, если предполагается, что получить достаточные и уместные аудиторские доказательства другим путем невозможно. При этом аудитор должен получить заявления и от лиц, непосредственно занимающихся производными инструментами.

В разделе «Контакты с руководством и лицами, отвечающими за управление» отмечено, что после получения представления о системах бухгалтерского учета и внутреннего контроля субъекта и, если необходимо, тестов контроля аудитор должен получить понимание вопросов, подлежащих обсуждению с руководством и лицами, отвечающими за управление.

Последний раздел называется «Глоссарий терминов». Он содержит более 50 определений соответствующих терминов.

ВОПРОСЫ ДЛЯ САМОПРОВЕРКИ

1. В чем заключается целевое назначение МСА 1000 «Процедуры межбанковского подтверждения»?
2. Назовите условия возможного расширения функций аудитора в сфере надзора.
3. Какова цель аудита банков?
4. Перечислите российские стандарты по компьютерным технологиям аудита и их международные аналоги.
5. В чем состоит целевое назначение МСА 1008 «Оценка рисков и система внутреннего контроля. Характеристики КИС и связанные с ними вопросы»?
6. В каких случаях может быть снижен риск мошенничества и ошибок в онлайновых системах?
7. Что означает понятие «производные финансовые инструменты»?