Кандидаты, изучающие «Аудит и сопутствующие услуги» (АА), часто сталкиваются с вопросами, посвященными этапу планирования аудита.
Выдержки из учебной программы AA (B) Планирование и оценка рисков
| B3 Оценка аудиторских рисков |
|
| B4 Получение понимания деятельности организации и ее окружения, а также применимой концепции подготовки финансовой отчетности |
|
Соответственно, кандидатам потребуется хорошее понимание МСА 315 (пересмотренного в 2019 году), «Выявление и оценка рисков существенного искажения», который является экзаменуемым стандартом с сентября 2021 года для экзаменационных сессий по «Аудиту и сопутствующим услугам» (AA) и «Углубленному курсу по аудиту и сопутствующим услугам» (AAA). Главной темой МСА 315 (пересмотренного) является оценка рисков. Вопросы, связанные с оценкой рисков, являются экзаменационными как на уровне АА, так и на ААА, поэтому крайне важно, чтобы кандидаты тщательно изучили эту часть учебной программы.
Несколько слов о предпосылках
Аудитору необходимо получить достаточные надлежащие аудиторские доказательства в поддержку предпосылок и раскрытия информации в финансовой отчетности, сделанных руководством. Эти предпосылки используются аудитором при оценке риска искажений по заданию.
Целью аудитора является выявить и оценить риски существенного искажения, будь то вследствие недобросовестных действий или ошибки, на уровне финансовой отчетности в целом и на уровне предпосылок, тем самым обеспечивая основу для разработки и реализации ответных мер на оцененные риски существенного искажения1.
В МСА 315 (пересмотренном) указаны причины, «почему» должны проводиться процедуры оценки рисков, и представлены дополнительные указания относительно того, «что» должно быть проверено и «как» это может быть осуществлено. Кандидатам настоятельно рекомендуется ознакомиться с приложениями к пересмотренному стандарту для получения примеров «что» и «как».
МСА 200 «Общие цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита», гласит, что аудиторский риск – это риск того, что аудитор выразит ненадлежащее мнение, если финансовая отчетность существенно искажена.
Следует отметить, что основы модели аудиторского риска, с которыми кандидаты часто сталкиваются в процессе обучения, не были затронуты МСА 315 (пересмотренным) и остаются следующими:
Однако произошли некоторые изменения в том, как оцениваются риски. МСА 315 (пересмотренный) усиливает требование к аудитору в части понимания аудиторского риска клиента путем получения понимания деятельности организации и ее окружения, применимых стандартов финансовой отчетности и системы внутреннего контроля организации.
Используя приведенную выше модель аудиторского риска, риски можно рассмотреть следующим образом:
Неотъемлемый риск
Риск средств контроля
Неотъемлемый риск описывается как подверженность предпосылки существенному искажению (в отдельности или в совокупности с другими искажениями) в отношении видов операций, остатков по счетам или раскрытия информации, до рассмотрения каких-либо соответствующих средств контроля2.
МСА 315 (пересмотренный) четко определяет неотъемлемые факторы риска как качественные или количественные, и они включают в себя следующее:
| Определенные факторы неотъемлемого риска | Пояснения и примеры |
| Сложность | Возникает из-за характера информации или способа ее подготовки – например, сложные требования к бухгалтерскому учету или отчетности, такие как аудит крупной многонациональной страховой группы. |
| Субъективность | Является результатом присущих ограничений в способности подготовить информацию объективно – например, выбор методологии оценки или основы для бухгалтерских оценок. |
| Изменчивость | События или условия, которые влияют на бизнес организации, отрасль, нормативную или экономическую среду – например, смена клиентов или расширение географии деятельности. |
| Неопределенность | Возникает, когда требуемая информация не может быть подготовлена на основе достаточно точных и полных данных – например, условные обязательства или неопределенность по ключевым вопросам – экологическим, юридическим или финансовым – например, аудит компании с текущими судебными разбирательствами (требующими создания резервов и оценки обязательств). |
| Подверженность искажению в результате предвзятости руководства или других факторов риска недобросовестных действий. | Условия, создающие вероятность преднамеренного или непреднамеренного несоблюдения руководством нейтральности – например, сделки со связанными сторонами, использование ручных корректировок, бонусные схемы, зависящие от финансовых результатов. |
Неотъемлемый риск рассматривается аудитором до того, как он рассмотрит любые связанные с ним средства контроля. Неотъемлемый риск и риск средств контроля являются элементами риска существенного искажения на уровне предпосылки.
Аудиторы должны учитывать влияние учетной политики и требований к финансовой отчетности, включая отраслевые требования, при оценке риска существенного искажения.
Существует несколько стандартов финансовой отчетности, которые могут быть подвержены неправильному применению, преднамеренному или случайному, например, МСФО (IFRS)® 15 «Выручка по договорам с клиентами» или МСФО (IAS)® 37 «Оценочные обязательства, условные обязательства и условные активы». Корректировки в иностранной валюте или сложные финансовые инструменты могут еще больше усложнить требования к отчетности (и нормативные требования).
На новые или возникающие вопросы учета, такие как криптовалюта или экологическая отчетность, может повлиять субъективность руководства. В случае технологических изменений отсутствие окончательных стандартов учета может привести к непоследовательным или неправильным оценкам или раскрытию информации.
Оценка политики по подготовке финансовой отчетности организации является частью общей оценки неотъемлемого риска.
Для выявленных рисков существенного искажения на уровне предпосылки аудитор должен провести отдельную оценку неотъемлемого риска и риска средств контроля. Эта отдельная оценка была введена в МСА 315 (пересмотренный), чтобы сохранить соответствие с МСА 330 «Аудиторские процедуры в ответ на оцененные риски», который также требует, чтобы аудитор рассматривал неотъемлемый риск и риск средств контроля отдельно, чтобы надлежащим образом отреагировать на оцененные риски существенных искажений на уровне предпосылки.
Неотъемлемый риск будет выше для некоторых предпосылок и соответствующих видов операций, остатков по счетам и раскрытия информации, чем для других, и это потребует применения профессионального суждения. Степень изменения неотъемлемого риска называется в МСА 315 (пересмотренном) диапазоном неотъемлемого риска.
Диапазон неотъемлемого риска помогает определить, является ли выявленный риск значительным риском. МСА 315 (пересмотренный) вводит понятие значительного риска, который представляет собой выявленный риск существенного искажения, для которого оценка неотъемлемого риска близка к верхней границе диапазона неотъемлемого риска. Это объясняется степенью влияния факторов неотъемлемого риска на сочетание вероятности наличия искажения и величины потенциального искажения.
Когда аудитор планирует ответные действия на выявленные риски, может возникнуть необходимость в определении приоритетности рисков, поскольку аудитору необходимо планировать получение большего количества доказательств в отношении значительных рисков. Чем выше оценивается риск в рамках диапазона значений неотъемлемого риска, тем более убедительными должны быть аудиторские доказательства. Это особенно важный навык при подготовке ответов на вопросы на уровне ААА и также является образцом передового опыта для практической аудиторской работы. Кроме того, согласно МСА 315 (пересмотренному), средства контроля, направленные на устранение значительных рисков, должны быть идентифицированы, и аудитор должен оценить, насколько эффективно был разработан и внедрен контроль.
Риск средств контроля – это риск того, что система внутреннего контроля организации не сможет предотвратить или своевременно обнаружить и исправить искажение. Это может быть вызвано уязвимостью системы внутреннего контроля или отсутствием такой системы. МСА 315 (пересмотренный) устанавливает компоненты системы внутреннего контроля организации. Кандидаты должны быть знакомы с компонентами, изложенными в МСА 315, поскольку экзаменационные вопросы AA могут содержать вопросы, где им потребуется описать или объяснить компоненты системы внутреннего контроля организации.
| Компоненты системы внутреннего контроля организации согласно МСА 315 (пересмотренному в 2019 году) (параграф 20) | Преобладающий тип контроля |
| Контрольная среда | Косвенные средства контроля
Понимание аудитором этих компонентов контроля вероятно, повлияет на риск существенного искажения на уровне финансовой отчетности. |
| Процесс оценки рисков в организации | |
| Процесс мониторинга системы внутреннего контроля организации | |
| Информационная система и информационное взаимодействие | Прямые средства контроля
Понимание аудитором этих компонентов контроля, вероятно, повлияет на риск существенного искажения на уровне предпосылок. |
| Контрольные процедуры |
Более подробная информация о компонентах системы внутреннего контроля организации приведена в Приложении 3, включенном в МСА 315 (пересмотренном в 2019 году).
На этапе планирования аудита аудитор рассмотрит вопрос о том, будут ли аудиторские процедуры включать запланированное доверие к операционной эффективности средств контроля. Надежность системы внутреннего контроля организации может снизить объем процедур проверки по существу, выполняемых аудитором. Если аудитор все же планирует проверить эффективность средств контроля организации, то это основывается на ожидании, что средства контроля функционируют эффективно.
МСА 315 (пересмотренный) подчеркивает, что на оценку рисков аудитором влияет понимание им каждого из компонентов системы внутреннего контроля организации. Такое понимание того, как руководство определяет и оценивает бизнес-риски организации, может быть получено на этапе планирования путем обсуждения с руководством или проверки отчетов или процедур.
Если аудитор не планирует тестировать операционную эффективность системы внутреннего контроля организации, МСА 315 (пересмотренный) гласит, что в этом случае риск существенного искажения совпадает с оценкой неотъемлемого риска. Другими словами, если аудитор не планирует проводить тестирование средств контроля, то при оценке риска он исходит из того, что средства контроля отсутствуют. Дополнительная информация о тестировании средств контроля рассматривается в МСА 330.
Прямые средства контроля – это средства контроля, которые являются достаточно точными, чтобы устранить риск существенного искажения на уровне предпосылок, например, проведение ежемесячной сверки банковского счета, который проверяется, и все расхождения устраняются. Это пример прямого контроля, поскольку он обеспечивает существование и точность актива (банковского счета) на конец периода.
Косвенные средства контроля, такие как общие средства ИТ-контроля, – это контроли, которые не являются достаточно точными для предотвращения, обнаружения или исправления существенных искажений на уровне предпосылок. Однако косвенные средства контроля могут поддерживать прямые средства контроля и, следовательно, оказывать косвенное влияние на вероятность обнаружения или предотвращения искажений.
МСА 315 (пересмотренный) включает расширенные аудиторские вопросы в отношении информационных технологий (ИТ), в том числе новые и обновленные материалы для понимания ИТ-среды и общих средств ИТ-контролей. Аудитору необходимо понять, как организация обрабатывает информацию и как эти данные используются в бизнесе. Необходимо понимать бухгалтерские записи, как информация фиксируется и контролируется, и как она отражается в финансовой отчетности.
Внутренний контроль организации обычно выигрывает от использования ИТ-системы, например, за счет:
Система ИТ будет настолько хороша, насколько хороши средства контроля, которые ее поддерживают; поэтому крайне важно провести оценку соответствующих рисков использования ИТ и общих средств ИТ-контролей в организации. Общие средства ИТ-контролей сами по себе не являются адекватными, поэтому необходимо провести оценку, чтобы понять, как руководство следит за средствами ИТ-контролей, должностными полномочиями, ошибками или недостатками контроля в ИТ-среде.
Крупные предприятия могут иметь полностью интегрированные и, возможно, изготовленные на заказ системы ERP (Планирование ресурсов предприятия), в то время как более мелкие организации, скорее всего, будут использовать менее сложное коммерческое программное обеспечение. МСА 315 (пересмотренный) содержит примеры потенциальных проблем и возможных процедур тестирования в Приложениях 5 и 6. Необходимость получить представление об ИТ-среде организации остается важной при оценке риска и разработке соответствующих аудиторских процедур.
Система внутреннего контроля организации обычно содержит ручные элементы (например, авторизация счета-фактуры на покупку) и автоматизированные элементы (например, приложения, защищенные паролем).
Автоматизированные средства контроля обычно считаются более надежными, чем те, которые применяются вручную, поскольку их нелегко обойти, проигнорировать или отменить. Например, для входа в систему онлайн-банкинга требуется пароль, который нельзя игнорировать, а если пароль введен неправильно, система не даст доступа. Аналогичным образом, если клиент не оплатил вовремя свои счета, автоматизированная система обработки заказов на продажу не позволит ему заказывать товары до тех пор, пока он не оплатит просроченную сумму.
Последним элементом модели аудиторского риска является риск необнаружения, который представляет собой риск того, что процедуры, выполняемые аудитором для снижения аудиторского риска до приемлемо низкого уровня, не позволят обнаружить существующее искажение, которое может быть существенным. Кандидатам следует помнить, что риск необнаружения – это единственный риск, находящийся под контролем аудитора. Также следует помнить, что риск необнаружения не является частью риска существенного искажения.
После того как аудитор получил необходимый уровень понимания и определил существенные виды операций, остатки по счетам и раскрытия информации, он должен «отступить» в сторону и провести оценку аудиторских доказательств, полученных в результате процедур оценки риска.
После получения такого понимания (и на протяжении всего процесса аудита) аудитор должен применять профессиональный скептицизм при критической оценке аудиторских доказательств и знаний.
В отношении существенных видов операций, остатков на счетах или раскрытия информации, которые не были определены как значимые, аудитор должен оценить, используя профессиональное суждение, остается ли это определение уместным.
Это требование было введено в МСА 315 (пересмотренный), чтобы побудить аудитора подтвердить полноту выявленных рисков. Другими словами, аудитор должен сосредоточить свое внимание на существенных видах операций, остатках на счетах и раскрытиях информации, которые не были определены как значительные, и оценить, остается ли это так на основе оценки всех доказательств, полученных в результате проведенных процедур оценки риска.
Требования, введенные МСА 315 (пересмотренным), являются обширными и окажут влияние на аудит более крупных или сложных организаций. Однако во всем стандарте есть положения, которые допускают возможность масштабирования, при котором более мелкие или менее сложные организации будут требовать менее обременительных оценок. Аудиторы могут применять принципы МСА 315 (пересмотренного) к организациям разного размера и разного уровня сложности систем контроля, включая ИТ-среду.
Кандидаты должны убедиться, что они используют актуальные учебные материалы, которые отражают положения МСА 315 (пересмотренного в 2019 году), начиная с экзаменационной сессии в сентябре 2021 года. Существует ряд изменений в стандарте, которые могут быть изучены, и важно, чтобы кандидаты были хорошо осведомлены об изменениях, отраженных в пересмотренном МСА.
Ссылки:
(1) МСА 315 (пересмотренный в 2019 году), «Выявление и оценка рисков существенного искажения», параграф 11
(2) МСА 315 (пересмотренный), параграф 4
Написано членом экзаменационной команды по «Углубленному курсу по аудиту и сопутствующим услугам» (ААА)