Оценка системы внутреннего контроля

2015-11-07

1164

Обсуждений (0)

0.00 из 5.00 0 оценок

⇐ Предыдущая 2 3 4 5 678 9 10 11 Следующая ⇒

Разделение системы внутреннего контроля на пять элементов дает аудиторам удобный подход для анализа того, каким образом различные аспекты СВК клиента могут влиять на аудит. Аудитору важно установить, что конкретные средства контроля эффективно предотвращают или выявляют и устраняют существенные искажения на уровне предпосылок подготовки финансовой отчетности в группах однотипных операций, сальдо счетов бухгалтерского учета или случаях раскрытия информации.

СВК подразумевает наличие всех пяти элементов системы внутреннего контроля. Средство контроля может означать как один, так и несколько элементов или любой аспект контроля. Не все цели и средства контроля имеют отношение к оценке аудиторских рисков. Средства контроля, которые являются уместными для целей аудита, имеют отношение к подготовке клиентом финансовой отчетности для внешних пользователей, и влияют на риски существенного искажения этой отчетности.

Предметом профессионального суждения аудитора является вопрос о том, относится ли данное средство контроля, в отдельности или в сочетании с другими средствами, к целям аудита в части оценки рисков существенного искажения информации и в части планирования и выполнения дальнейших процедур в соответствии с оцененными рисками. Вынося данное суждение, аудитор учитывает конкретные обстоятельства, применяемый элемент контроля и определенные факторы (рис.67).

Рис.67

Средства контроля, имеющие отношение к хозяйственным операциям и соблюдению целей деятельности, могут быть актуальными и полезными для аудита, если они имеют отношение к исходным данным, которые аудитор оценивает и использует при выполнении процедур.

Например, средства контроля, относящиеся к данным об объемах продаж или средства контроля соблюдения соответствия требованиям нормативных правовых актов (контроль начисления налога на прибыль) могут иметь непосредственное и существенное влияние на отчетность и быть актуальными для целей аудита.

Если клиент применяет средства контроля в целях, которые не имеют отношения к целям аудита, то рассматривать их аудитору нет необходимости. Например, клиент может полагаться на систему автоматизированных средств контроля для обеспечения эффективного использования ресурсов, но такие средства контроля не являются актуальными и полезными для целей аудита (рис.68).

Рис.68

Средства контроля, имеющие отношение к целям аудита, могут функционировать в рамках любого элемента системы внутреннего контроля. Ненадлежащим образом организованное средство контроля может свидетельствовать о существенном недостатке СВК. Для получения доказательств относительно организации и применения уместных средств контроля аудитор выполняет процедуры оценки риска (рис.69).

Рис.69

Аудитор должен проводить тестирование операционной эффективности средств контроля, кроме тех случаев, когда в СВК имеется автоматический механизм, обеспечивающий постоянное функционирование операции контроля. Получение доказательства о факте единичного применения средства контроля, выполняемого вручную, не подтверждает операционную эффективность этого средства контроля в течение всего проверяемого периода. Информационные системы расширяют возможности клиента осуществлять мониторинг посредством применения средств контроля надежности применяемых программ, баз данных и операционных систем. Компьютеризированной системе обработки информации присуща устойчивость, поэтому проведение таких проверок может служить свидетельством операционной эффективности средства контроля, если только в программы не вносились изменения.

Большинство клиентов использует компьютеризированные информационные системы для составления финансовой отчетности и отчетов для управленческих целей. Однако в СВК всегда будут существовать элементы, реализуемые вручную. Соотношение между элементами, автоматизированными и реализуемыми вручную, бывает различным (рис.70).

Рис.70

Использование автоматизированных или осуществляемых вручную средств внутреннего контроля влияет на то, каким образом хозяйственные операции инициируются, регистрируются, обрабатываются и включаются в финансовую отчетность. Если информационные системы используются для того, чтобы инициировать хозяйственные операции и другие исходные финансовые данные, отражать их в учете, обрабатывать, включать в финансовую отчетность, эти системы могут уже включать в себя средства контроля в отношении предпосылок подготовки финансовой отчетности на уровне существенных счетов бухгалтерского учета.

Информационные системы обеспечивают СВК клиента потенциальные преимущества в результативности и эффективности и дополнительные риски (табл. 6).

Таблица 6

Потенциальные преимущества	Дополнительные риски

последовательное применение заранее установленные правил деятельности и выполнение сложных расчетов при обработке больших объемов операций или исходных данных	приходится полагаться на системы или программы, которые могут неточно обрабатывать данные, обрабатывать неточные данные, либо делать то и другое одновременно
увеличение временных рамок, доступности и точности информации	несанкционированный доступ к исходным данным, что может привести к уничтожению данных или их ненадлежащим изменениям, включая отражение в учете несанкционированных или несуществующих хозяйственных операций, или неточное отражение в учете данных о них
возможность дополнительного анализа информации	получение персоналом, отвечающим за функционирование информационных систем, более широкого доступа, сверх необходимого им для выполнения их обязанностей, что может повлечь нарушение установленного порядка разграничения обязанностей
расширение возможности мониторинга осуществления деятельности клиента	внесение несанкционированных изменений в основные файлы баз данных
сокращение риска того, что средства контроля могут быть обойдены	внесение несанкционированных изменений в компьютерные системы или программы
расширение возможности эффективного разграничения обязанностей путем введения средств контроля защиты применяемых программ, баз данных и операционных систем	неспособность произвести изменения в системах или программах, когда это необходимо
неуместное стороннее вмешательство
потенциальная возможность потери информации

Средства контроля, реализуемые вручную, содержат определенные риски вследствие влияния человеческого фактора. Они могут быть менее надежными, чем средства автоматизированного контроля, поскольку их легче обойти, проигнорировать или вмешаться в их работу, а также вследствие высокой предрасположенности к простым ошибкам и искажениям (табл.7).

Таблица 7

Средств контроля, осуществляемых вручную
предпочтительны	нежелательны

крупные, необычные или неповторяющиеся операции	при большом объеме или повторяемости операций или в ситуациях, при которых ошибки, которые ожидаются или прогнозируются, могут быть эффективно предотвращены или обнаружены именно с помощью средств автоматизированного контроля
обстоятельства, при которых сложно выявить, предположить или предсказать ошибки
изменение обстоятельств, которое требуют реакции средств контроля, отсутствующих в сфере существующего автоматизированного контроля
мониторинг эффективности средств автоматизированного контроля	для контрольных действий, при осуществлении которых могут быть разработаны специальные автоматизированные способы реализации

Масштаб и характер рисков СВК меняются в зависимости от типа и характеристик информационных систем клиента. При ознакомлении с СВК аудитор обращает внимание на то, адекватно ли реагировал клиент на риски, возникающие при использовании информационных систем или систем, реализуемых вручную.

СВК, как бы хорошо она ни была организована и функционировала, может только в разумных пределах обеспечить клиенту уверенность в достижении им целей при составлении отчетности в силу ограничений, присущих этой системе (рис.71).

Рис.71

Основная ответственность в деле предотвращения и обнаружения недобросовестных действий и ошибок лежит на представителях собственника и на руководстве клиента. При оценке надежности и работоспособности контрольной среды аудитор получает понимание того, каким образом руководство под надзором представителей собственника смогло создать и поддерживает дух честности и нормы этического поведения, а также установило надлежащие средства контроля в целях предотвращения и обнаружения недобросовестных действий или ошибок внутри организации. В табл. 8 описаны вопросы, которые аудитор рассматривает при оценке контрольной среды.

Таблица 8

При оценке контрольной среды аудитор рассматривает
аспекты	каким образом они влияют на деятельность клиента

доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей	существенные элементы, оказывающие влияние на эффективность организации средств контроля, управления ими и мониторинга работоспособности
приверженность профессионализму	мнение руководства об уровнях профессиональных знаний, необходимых для выполнения соответствующих работ, и как эти уровни используются в качестве квалификационных требований
участие представителей собственника	независимость от руководства, опыт и статус, масштабы вовлечения в деятельность и надзор за ней, информация, которую они получают, уровень сложности поднимаемых и обсуждаемых с руководством клиента вопросов, взаимодействие с внутренними и внешними аудиторами
философия и стиль работы руководства	подход руководства к выявлению рисков хозяйственной деятельности и управлению ими, а также позиция и действия в отношении подготовки отчетности, обработки информации, а также персонала и задач, имеющих отношение к бухгалтерскому учету
организационная структура	система, в рамках которой планируется, осуществляется, контролируется и отслеживается деятельность клиента для достижения стоящих перед ним целей
распределение ответственности и полномочий	каким образом происходит разделение ответственности и полномочий в ходе осуществления деятельности, и каким образом устанавливается иерархия подотчетности сотрудников друг другу
кадровая политика и практика	набор, адаптация (инструктаж), подготовка, обучение, оценка, консультирование, продвижение по службе, вознаграждение

При ознакомлении с элементами контрольной среды аудитор должен установить, применялись ли они. Обычно аудитор получает надлежащие доказательства путем сочетания запросов и прочих процедур оценки риска, подкрепляя запросы наблюдением или инспектированием документов.

Ответственность представителей собственника устанавливается в регламентах деятельности и инструкциях. Роль представителей собственника - противостоять различным факторам, оказывающим давление на руководство в отношении отчетности. Например, основания для выплаты вознаграждения руководству могут создать конфликт интересов: заинтересованности в составлении достоверной отчетности и заинтересованности в выгодах от достижения определенных результатов.

Знакомясь с организацией контрольной среды, аудитор обращает внимание на независимость представителей собственника и их способность оценивать действия руководства. Аудитор узнает, существует ли у клиента Комитет по аудиту, который осведомлен о его хозяйственных операциях и наблюдает за тем, составлена ли отчетность достоверно во всех существенных аспектах в соответствии с основными принципами и методами ведения бухгалтерского учета и подготовки отчетности.

Характер контрольной среды оказывает влияние на процесс оценки рисков существенного искажения информации:

Аудиторская оценка организации контрольной среды клиента включает рассмотрение вопроса о том, обеспечивают ли сильные стороны элементов контрольной среды в совокупности надлежащую основу для других составляющих СВК, а также, не ослабляются ли они недостатками контрольной среды (рис.72). Например, кадровая политика по приему на работу квалифицированного персонала в области финансов, бухгалтерского учета и информационных технологий, не сможет нейтрализовать сильную тенденцию высшего руководства к завышению доходов в отчетности.

Рис.72

Наличие удовлетворительной контрольной среды может стать положительным фактором при оценке аудитором рисков существенного искажения информации и оказать влияние на характер, сроки и объем дальнейших аудиторских процедур (рис.73).

Рис.73

Наряду с контрольной средой аудитор обычно рассматривает влияние других элементов системы внутреннего контроля при оценке рисков существенного искажения информации.

Аудитор должен обладать знаниями о действиях клиента, направленных на выявление рисков хозяйственной деятельности, имеющих отношение к целям финансовой отчетности, а также решениях клиента по поводу мер, предпринимаемых в отношении этих рисков и возможных их последствий (рис.74).

Рис.74

Если процесс оценки рисков клиентом имеет надлежащий характер в рамках существующих обстоятельств, то это помогает аудитору в выявлении рисков существенного искажения информации.

Аудитор направляет руководству клиента запросы в отношении рисков хозяйственной деятельности, которые оно выявило, и рассматривает эти риски с точки зрения того, могут ли они привести к существенным искажениям информации (рис.75).

Рис.75

Аудитор должен обладать знаниями об информационных системах, связанных с подготовкой отчетности и соответствующей деятельностью в следующих областях:

- группы однотипных операций в деятельности клиента, которые являются существенными для финансовой отчетности;

- процедуры, как для компьютеризированной, так и ручной системы учета, с помощью которых хозяйственные операции инициируются, регистрируются, обрабатываются и включаются в финансовую отчетность;

- соответствующие бухгалтерские записи либо на бумажных носителях, либо в электронном виде, подтверждающая информация и конкретные статьи отчетности, касающиеся инициируемых хозяйственных операций, их регистрации, обработки и обобщения;

- способы фиксации данных о событиях и условиях, которые не входят в состав однотипных операций, но могут являться существенными для отчетности;

- процесс подготовки и составления финансовой отчетности, включая процедуры и методы, используемые руководством клиента при расчете важных оценочных значений и в случаях необходимого раскрытия информации.

В процессе ознакомления аудитор рассматривает процедуры, применяемые для передачи информации из систем обработки операций в главную книгу или в системы составления отчетности. Аудитору также необходимо понимать процедуры клиента, предназначенные для сбора уместной для отчетности информации о событиях и условиях, например таких, как обесценение или амортизация активов либо вероятность получения дебиторской задолженности (рис.76).

Рис.76

При ручном способе ведения бухгалтерского учета, на бумажных носителях, нестандартные записи могут быть выявлены путем просмотра главной книги, учетных регистров и подтверждающих документов. Если применяется автоматизированный способ ведения главной книги и подготовки финансовой отчетности, такие проводки легче выявить с помощью методов аудита с использованием компьютеров.

Процесс составления отчетности клиента включает процедуры, предназначенные для обеспечения того, чтобы информация, в отношении которой требуется раскрытие в соответствии с основными принципами и методами ведения бухгалтерского учета и подготовки отчетности, аккумулировалась, записывалась, обрабатывалась, обобщалась и надлежащим образом включалась в финансовую отчетность.

Автоматизированные способы учета и средства контроля могут снизить риск случайной ошибки, но не могут устранить риск ненадлежащего вмешательства в эти процессы, например, внесение изменений в данные, которые обычно автоматически переносятся в главную книгу или в систему, формирующую показатели финансовой отчетности. При автоматизированной передаче информации в информационных системах может не остаться доказательств такого вмешательства (рис.77).

Рис.77

Аудитор должен понимать работу информационных систем клиента, имеющих отношение к подготовке и составлению финансовой отчетности, для того, чтобы сделать вывод об их соответствии условиям деятельности клиента (рис.78).

Рис. 78

Аудитор должен понимать, каким образом в организации клиента персонал информируется о функциях, обязанностях и ответственности конкретных сотрудников, а также о существенных вопросах, касающихся отчетности. Понимание аудитором системы обмена информацией должно распространяться на практику взаимодействия руководства с представителями собственника, в частности, с комитетом по аудиту, а также с внешними по отношению к клиенту организациями, например, органами власти.

Аудитору необходимо обладать достаточными знаниями о контрольных действиях клиента, чтобы оценить риски существенного искажения информации на уровне предпосылок подготовки отчетности и разработать дальнейшие процедуры. Знакомясь с контрольными действиями, аудитор обращает внимание на то, каким образом конкретное действие, в отдельности или в сочетании с другими, предупреждает или обнаруживает и исправляет существенные искажения в группах однотипных операций, сальдо счетов бухгалтерского учета или в конкретных случаях раскрытия информации. Особое внимание аудитор уделяет контрольным действиям в областях, где, по его мнению, с наибольшей вероятностью могут возникнуть существенные искажения информации.

Решение о том, следует ли дополнительно изучать контрольные действия, аудитор принимает с учетом сведений, полученных при ознакомлении с другими элементами СВК. Аудитор проверяет, адекватно ли отреагировал клиент на риски, присущие информационным системам, при организации общих и прикладных средств контроля. Средства контроля в отношении информационных систем могут быть признаны эффективными, если они обеспечивают верность информации и защиту исходных данных, обрабатываемых такими системами.

Аудитор должен понимать основные виды мероприятий, которые клиент осуществляет для мониторинга СВК в отношении отчетности, включая те контрольные действия, которые имеют отношение к целям аудита, а также то, каким образом клиент инициирует корректирующие действия в отношении своих средств контроля. Большая часть информации, используемая при мониторинге, может быть получена из информационных систем клиента (рис.79).

Рис.79

Аудитор должен своевременно сообщить руководству клиента или представителям собственника информацию о существенных недостатках в организации и применении системы внутреннего контроля, ставших известным аудитору в ходе аудита (рис.79).