Риски существенного искажения / КонсультантПлюс

Аналитические процедуры (см. пункт 6(b))

А14. Аналитические процедуры, выполняемые в качестве процедур оценки рисков, могут выявить вопросы, о которых аудитору не было известно, и помочь в оценке рисков существенного искажения с целью обеспечения основы для разработки и осуществления аудиторских процедур в ответ на выявленные риски. Аналитические процедуры, выполняемые в качестве процедур оценки рисков, могут включать как финансовую, так и нефинансовую информацию, например соотношение между объемом продаж и размерами торговых площадей или объемом проданной продукции.

А15. Аналитические процедуры могут помочь выявить необычные операции или события, а также суммы, коэффициенты и тенденции, которые могут свидетельствовать о наличии вопросов, способных оказать влияние на проводимый аудит. Обнаруженные необычные или неожиданные соотношения могут помочь аудитору выявить риски существенного искажения, в особенности риски существенного искажения по причине недобросовестных действий.

А16. В случае, когда аналитические процедуры выполняются с использованием данных, обобщенных на высоком уровне (что может иметь место, когда аналитические процедуры выполняются как процедуры оценки рисков), результаты таких аналитических процедур могут служить только приблизительным и предварительным индикатором наличия существенного искажения.

Компоненты системы внутреннего контроля – процесс оценки рисков в организации (см. пункт 15)

А88. Процесс оценки рисков в организации формирует основу для определения руководством тех рисков, которыми необходимо управлять. Если этот процесс соответствует обстоятельствам, включая характер, размер и сложность деятельности организации, он помогает аудитору при выявлении рисков существенного искажения. Вопрос о том, соответствует ли процесс оценки рисков организации сложившимся обстоятельствам, является предметом профессионального суждения.

Определения

4. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:

(а) предпосылки – заявления руководства, сделанные в явной или иной форме, которые включены в финансовую отчетность и используются аудитором для рассмотрения различных типов потенциально возможных искажений;

(b) бизнес-риск – риск, возникающий в результате значительных условий, событий, обстоятельств, действий или бездействия, которые могут оказать негативное влияние на способность организации достичь поставленных целей и реализовать свою стратегию, или возникающий в результате установления ненадлежащих целей и стратегии;

(c) система внутреннего контроля – процессы, разработанные, внедренные и поддерживаемые лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками организации для обеспечения разумной уверенности в отношении достижения целей организации в области подготовки надежной финансовой отчетности, результативности и эффективности деятельности и соблюдения применимых законов и нормативных актов. Термин “средства контроля” относится к любым аспектам одного или нескольких компонентов системы внутреннего контроля;

(d) процедуры оценки рисков – процедуры, проводимые с целью получения понимания организации и ее окружения, включая систему внутреннего контроля организации, направленные на выявление и оценку рисков существенного искажения, как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок;

(е) значительный риск – выявленный и оцененный риск существенного искажения, который, согласно суждению аудитора, требует особого рассмотрения при аудите.

Особенности ручных и автоматизированных элементов системы внутреннего контроля, которые являются значимыми для оценки аудитором рисков

А61. Система внутреннего контроля организации содержит ручные элементы и во многих случаях автоматизированные элементы. Особенности ручных или автоматизированных элементов являются значимыми для оценки аудитором рисков и для дальнейших аудиторских процедур, основанных на этой оценке.

А62. Использование ручных или автоматизированных элементов в системе внутреннего контроля также влияет на порядок инициирования, учета, обработки операций и отражения их в отчетности.

– Средства контроля в ручной системе могут включать такие процедуры, как одобрение и проверка операций, сверка и последующие действия по результатам сверки. В качестве альтернативы организация может использовать автоматизированные процедуры для инициирования, учета, обработки операций и отражения их в отчетности, в этом случае записи в электронном виде заменяют бумажные документы.

– Средства контроля в автоматизированных информационных системах представляют собой сочетание автоматизированных средств контроля (например, средства контроля, встроенные в компьютерные программы) и ручных средств контроля. Кроме того, ручные средства контроля могут быть независимыми от средств ИТ, могут использовать информацию, созданную информационной системой, либо ограничиваться мониторингом эффективности функционирования ИТ и автоматизированных средств контроля, а также обработкой нестандартных операций.

Если ИТ используются для инициирования, записи, обработки операций, отражения их в отчетности или другой финансовой информации для включения в финансовую отчетность, системы и программы могут включать средства контроля в отношении связанных с ними предпосылок по существенным счетам или играть важную роль в эффективном функционировании ручных средств контроля, зависящих от применения ИТ.

Сочетание используемых организацией ручных и автоматизированных элементов внутреннего контроля зависит от характера и сложности применяемых организацией ИТ.

А63. Обычно ИТ помогают системе внутреннего контроля организации, поскольку они дают организации возможность:

– последовательно применять заранее установленные правила ведения бизнеса и выполнять сложные расчеты при обработке больших объемов операций или данных;

– обеспечивать своевременность и наличие информации, повышать ее точность;

– способствовать дополнительному анализу информации;

– расширять возможность мониторинга осуществления деятельности организации и выполнения ее политик и процедур;

– снижать риск обхода средств контроля;

– расширять возможность эффективного разделения обязанностей посредством внедрения средств контроля за безопасностью в прикладные программы, базы данных и операционные системы.

А64. ИТ также создают специфические риски системы внутреннего контроля организации, например:

– зависимость от систем или программ, которые неточно обрабатывают данные, обрабатывают неточные данные либо делают то и другое одновременно;

– несанкционированный доступ к данным, что может вызвать уничтожение данных или ненадлежащие изменения в данных, включая отражение несанкционированных или несуществующих операций или неточное отражение операций. Такие риски могут возникать, если к общей базе данных имеет доступ большое количество пользователей;

– возможность получения персоналом ИТ-отдела прав доступа, превышающих необходимые права доступа для выполнения их обязанностей, что нарушает порядок разделения обязанностей;

– несанкционированные изменения данных в основных файлах;

– несанкционированные изменения систем или программ;

– неспособность внесения необходимых изменений в системы или программы;

– ненадлежащее ручное вмешательство;

– возможная потеря данных или неспособность получить необходимый доступ к данным.

А65. Ручные элементы системы внутреннего контроля могут оказаться более подходящими в случае, когда требуется формирование суждения и принятие решений, например, в следующих ситуациях:

– крупные, необычные или нерегулярные операции;

– обстоятельства, при которых сложно выявить, предвидеть или предсказывать ошибки;

– при изменении обстоятельств, когда требуется реагирование со стороны средств контроля, выходящее за рамки существующего автоматизированного контроля;

– при мониторинге эффективности автоматизированных средств контроля.

А66. Ручные элементы в системе внутреннего контроля могут оказаться менее надежными в сравнении с автоматизированными, так как их легче обойти, проигнорировать или преодолеть и они более подвержены простым ошибкам. Поэтому нельзя исходить из предположения, что ручные элементы системы контроля применяются последовательно. Ручные элементы системы контроля могут оказаться менее подходящими в следующих случаях:

– большой объем операций или повторяющиеся операции либо ситуации, когда ошибки, которые можно предсказать или прогнозировать, могут быть предотвращены или обнаружены и исправлены при помощи автоматизированных элементов контроля;

– контрольные действия, при которых конкретные способы осуществления контроля могут быть адекватно разработаны и автоматизированы.

А67. Масштаб и характер рисков, связанных с системой внутреннего контроля, меняются в зависимости от особенностей информационной системы организации. Организация принимает меры в ответ на риски, связанные с использованием ИТ или ручных элементов в системе внутреннего контроля, посредством создания эффективных средств контроля с учетом особенностей информационной системы.

Оценка рисков существенного искажения на уровне предпосылок (см. пункт 25(b))

А126. Необходимо рассмотреть риски существенного искажения на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации, потому что именно такое рассмотрение помогает при определении характера, сроков и объема дальнейших аудиторских процедур на уровне предпосылок, необходимых для получения достаточных надлежащих аудиторских доказательств.

Пересмотр оценки рисков (см. пункт 31)

А151. Аудитор в ходе аудита может получить информацию, которая в значительной степени отличается от той, на которой основывалась оценка рисков. Например, оценка рисков может быть основана на ожидании, что определенные средства контроля функционируют эффективно.

При выполнении тестов таких средств контроля аудитор может получить аудиторские доказательства, свидетельствующие о том, что эти средства контроля не функционировали эффективно в соответствующие периоды в ходе аудита. Также при выполнении процедуры проверки по существу аудитор может обнаружить искажения в суммах или периодичности, превышающей значения, установленные им в результате оценки рисков.

Процесс оценки рисков организации

3. Процесс оценки рисков организации в отношении финансовой отчетности включает то, каким образом руководство определяет бизнес-риски, связанные с подготовкой финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, оценивает их значительность и вероятность их возникновения, а также принимает решение в отношении действий в ответ на эти риски и результатов таких действий.

4. Риски, связанные с финансовой отчетностью, относятся к внешним и внутренним событиям, операциям или обстоятельствам, которые могут возникать и отрицательно влиять на способность организации инициировать, учитывать, обрабатывать и включать в отчетность финансовую информацию, соответствующую предпосылкам руководства.

– Изменения в операционной среде. Изменения в нормативном регулировании или операционной среде могут привести к изменениям давления со стороны конкурентов и значительно изменить риски.

– Новый персонал. Новый персонал может относиться иначе к системе внутреннего контроля или иметь другое ее понимание.

– Новые или обновленные информационные системы. Значительные и быстрые изменения в информационных системах могут изменить риски, связанные с системой внутреннего контроля.

– Быстрый рост. Значительное и быстрое расширение деятельности организации может перегрузить средства контроля и увеличить риск сбоев в системе контроля.

– Новые технологии. Внедрение новых технологий в производственный процесс или информационные системы может изменить риск, связанный с системой внутреннего контроля.

– Новые бизнес-модели, продукты и виды деятельности. Распространение деятельности организации на новые сферы бизнеса или появление операций, в которых у организации мало опыта, может вызвать новые риски, связанные с системой внутреннего контроля.

– Корпоративная реструктуризация. Реструктуризация может сопровождаться сокращением штата и изменениями порядка надзора и разделения обязанностей, что может изменить риск, связанный с системой внутреннего контроля.

– Расширение зарубежных операций. Расширение деятельности или приобретение иностранных подразделений создает новые и во многих случаях уникальные риски, которые могут повлиять на систему внутреннего контроля, например, дополнительные или измененные риски, связанные с операциями в иностранной валюте.

– Новые требования бухгалтерского учета. Принятие новых принципов бухгалтерского учета или изменение бухгалтерских принципов может повлиять на риски, связанные с подготовкой финансовой отчетности.

Психология риска

В психологии термин риск связан с тремя направлениями исследований:

  • Риск как мера ожидаемой неудачи в деятельности. Вес риска определяется, как произведение вероятности неуспеха на степень неблагоприятных последствий.
  • Риск как действие, грозящее субъекту определёнными потерями (проигрышем, заболеванием, иным ущербом). Различают мотивированный риск, предполагающий получение ситуативных преимуществ в деятельности, немотивированный риск, не имеющий рационального основания; оправданный и неоправданный риск.
  • Риск как ситуация выбора. Выбор должен быть осуществлён между менее привлекательной, но более надёжной стратегией, и более привлекательной, но менее надёжной («Синица в руках или журавль в небе»).

Склонность к риску представляет собой довольно устойчивую характеристику индивида и связана с такими личностными чертами, как импульсивность, независимость, стремление к успеху, склонность к доминированию. На рисковое поведение оказывает влияние также и культура и социальные условия.

Антиподом риска являются гарантии. Выделяют гарантии достижения (рассчитаны на успех) и гарантии компенсации (рассчитаны на неудачу).

Соотнесение средств контроля с предпосылками (см. пункт 26(c))

А137. При проведении оценки рисков аудитор может выявить средства контроля, которые могут предотвратить или обнаружить и исправить существенные искажения, относящиеся к определенным предпосылкам. Как правило, полезно получить понимание средств контроля и соотнести их с предпосылками в контексте тех процессов и систем, в рамках которых они существуют, поскольку отдельные контрольные действия во многих случаях не могут сами по себе снизить риск.

А138. Кроме того, некоторые контрольные действия могут оказывать определенное влияние на конкретную предпосылку в отношении определенного вида операций или остатка по счету. Например, контрольные действия, установленные организацией для подтверждения того, что ее персонал надлежащим образом проводит пересчет запасов и учитывает результаты ежегодной инвентаризации запасов, непосредственно связаны с предпосылками о существовании и полноте учета в отношении остатков по счету запасов.

А139. Средства контроля могут быть прямо или косвенно связаны с предпосылками. Чем более косвенный характер имеет такая связь, тем менее эффективным будет средство контроля в предотвращении или обнаружении и исправлении искажений в отношении этой предпосылки. Например, анализ менеджером по продажам отчетов о продажах в отдельных магазинах по регионам, как правило, лишь косвенно связан с предпосылками о полноте отражения выручки от продаж.

Средства контроля, значимые для аудита

А68. Существует прямая связь между целями организации и средствами контроля, которые она использует для обеспечения разумной уверенности в их достижении. Цели организации, а значит, и средства контроля касаются ее финансовой отчетности, деятельности и соблюдения законов и нормативных актов; но не все эти цели и средства являются значимыми для оценки рисков аудитором.

А69. Суждение аудитора о том, значимо ли для проводимого аудита средство контроля в отдельности или в сочетании с другими, может учитывать, например, следующее:

– существенность;

– значительность соответствующего риска;

– размер организации;

– характер деятельности организации, включая особенности того, как организована эта деятельность, и структуру собственности;

– разнообразие и сложность операций организации;

– применимые законодательные и нормативные требования;

– обстоятельства и применимый компонент системы внутреннего контроля;

– характер и сложность систем, являющихся частью системы внутреннего контроля организации, включая привлечение обслуживающих организаций;

– факт того, обеспечивает ли средство контроля в отдельности или в сочетании с другими средствами контроля предотвращение или обнаружение и исправление существенного искажения и, если обеспечивает, каким образом.

А70. Средства контроля за полнотой и точностью информации, формируемой организацией, также могут являться значимыми для проводимого аудита, если аудитор намеревается использовать эту информацию при разработке и выполнении дальнейших процедур. Средства контроля, относящиеся к целям операционной деятельности и соблюдению законов и нормативных актов, могут также быть значимыми для проводимого аудита, если они касаются данных, которые аудитор оценивает или использует при выполнении аудиторских процедур.

А71. Система внутреннего контроля, связанная с защитой активов от несанкционированного приобретения, использования или реализации, может включать средства контроля, связанные как с целями финансовой отчетности, так и с целями операционной деятельности. Анализ аудитором таких средств контроля в целом ограничивается средствами контроля, связанными с надежностью финансовой отчетности.

А72. Организация обычно имеет средства контроля, используемые для целей, которые не являются значимыми для проводимого аудита и которые нет необходимости анализировать по этой причине. Например, организация может полагаться на сложную систему автоматизированных средств контроля с целью обеспечения эффективной и результативной деятельности (например, систему автоматизированного контроля за соблюдением графиков полетов авиалиний), но эти средства контроля обычно не являются значимыми для проводимого аудита.

Несмотря на то, что система внутреннего контроля распространяется на всю организацию либо на каждую из ее операционных единиц или бизнес-процессов, понимание средств внутреннего контроля, относящихся к каждой операционной единице организации и к каждому бизнес-процессу, может не являться значимым для проводимого аудита.

Цель

3. Цель аудитора состоит в том, чтобы выявить и оценить риски существенного искажения, как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок, посредством изучения организации и ее окружения, включая систему внутреннего контроля организации, таким образом обеспечивая основу для разработки и осуществления аудиторских процедур в ответ на оцененные риски существенного искажения.

Рейтинг
( Пока оценок нет )
BestCreditOnline.ru