Для разъяснения вопроса о содержании оценки аудиторских рисков и внутреннего контроля, осуществляемого аудируемым лицом, необходимо обратиться к Правилу (стандарту) №8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом» (введено Постановлением Правительства РФ от 04.07.2003 №405), содержащемуся в Федеральных правилах (стандартах) аудиторской деятельности.
Аудитору необходимо получить представление о системах бухгалтерского учета и внутреннего контроля аудируемого лица, достаточное для планирования аудита и разработки эффективного подхода к проведению аудита. Аудитору следует использовать свое профессиональное суждение, чтобы оценить аудиторский риск и разработать аудиторские процедуры, необходимые для снижения данного риска до приемлемо низкого уровня.
Под термином «аудиторский риск» понимается риск выражения аудитором ошибочного аудиторского мнения в случае, когда в финансовой (бухгалтерской) отчетности содержатся существенные искажения. Аудиторский риск включает три составные части: неотъемлемый риск, риск средств контроля и риск необнаружения.
Термин «неотъемлемый риск» означает подверженность остатка средств на счетах бухгалтерского учета или группы однотипных операций искажениям, которые могут быть существенными (по отдельности или в совокупности с искажениями остатков средств на других счетах бухгалтерского учета или групп однотипных операций), при допущении отсутствия необходимых средств внутреннего контроля.
Термин «риск средств контроля» означает риск того, что искажение, которое может иметь место в отношении остатка средств по счетам бухгалтерского учета или группы однотипных операций и быть существенным (по отдельности или в совокупности с искажениями остатков средств по другим счетам бухгалтерского учета или групп однотипных операций), не будет своевременно предотвращено или обнаружено и исправлено с помощью систем бухгалтерского учета и внутреннего контроля.
Термин «риск необнаружения» означает риск того, что аудиторские процедуры по существу не позволяют обнаружить искажение остатков средств по счетам бухгалтерского учета или групп операций, которое может быть существенным по отдельности или в совокупности с искажениями остатков средств по другим счетам бухгалтерского учета или группы операций.
Аудиторский риск (риск аудитора) состоит в том, что высказанное мнение о достоверности проверенной отчетности может оказаться неверным: бухгалтерская отчетность кредитной организации может содержать не выявленные существенные ошибки после подтверждения ее достоверности аудитором, или, наоборот, «аудитор высказал мнение о том, что отчетность содержит существенные искажения, при фактическом отсутствии таких искажений отчетности»[1].
Полностью устранить аудиторский риск невозможно, но необходимо стремиться к максимальному его снижению путем учета всевозможных факторов при планировании аудита. Аудиторы обязаны изучать эти риски в ходе работы, оценивать их и документировать результаты оценки. Сложность в определении рисков состоит в том, что их нельзя рассчитать в виде конкретной стоимостной оценки, поэтому они должны определяться аудиторами как высокие, средние и низкие.
Деятельность аудитора связана с определенным риском. Риск - степень предполагаемой точности аудиторского утверждения. Риск аудиторской деятельности связан с теми ошибками, которые являются следствием специальных технических и технологических приемов исследования данных бухгалтерского учета, а чаще - первичного учета. И первую очередь это имеет место при проведении внутреннего аудита, когда первичный материал весьма обширен, а время изучения его ограничено. Тогда аудитор может исключить часть обследуемого материала, используя для этого, например, принцип репрезентативного отбора каких-либо документов, записей, первичного учета данных инвентаризации или непосредственно материальных объектов.
В этом случае объективно возникает риск ошибки, величина которого измеряется ошибкой репрезентативности (ошибкой выборки). Поскольку величина выборки зависит от количества включенных в обследование исходных документов, их доли в общем объеме, от степени однородности тех данных, которые отражены в документах, и, наконец, от способа группировки и отбора документов, то аудитор, регулируя эти показатели, всегда имеет возможность держать под контролем величину данного риска и соизмерять ее с теми затратами времени и средств, которые потребуются для сведения ошибок к нулю.
Ошибка выборки - это случайная ошибка. Причиной ее может быть не только та или иная техника проведения аудита, но и усталость аудитора, технологический сбой в компьютере, т. е. все то, что не является злым или преднамеренным умыслом. Девиация - систематические ошибки. Если случайные ошибки приводят к отклонениям результатов аудита от их некоторого идеального значения на вполне прогнозируемую величину, то девиации как отклонение от заданного направления являются следствием умысла или сбоя в системе контроля.
Причинами возникновения аудиторского риска являются нестабильная экономическая ситуация, неустановившаяся нормативная база, недостаточное развитие рынка маркетинговых услуг и т. д.
Оптимальным способом снижения уровня риска является системный метод, который подразумевает стандартизацию всех существующих моментов контроля, рассмотрения, тестирования, учета и представления информации.
Практический смысл предпосылок, составляющих величину аудиторского риска, заключается в следующем: величина аудиторского риска показывает серьезность опасности, что аудитор на основании выполненных им процедур может иметь неправильное суждение о достоверности и правильности финансовой отчетности. Аудиторский риск имеет обратную взаимосвязь с объемом информационной базы для аудита. Чем меньше проверено документов, тем больше величина аудиторского риска, и наоборот. Поэтому величина аудиторского риска всегда находится между 0 и 100%. Нулевой риск означает абсолютную уверенность в достоверности бухгалтерской отчетности; 100%-ный риск означает полное отсутствие такой уверенности.
Аудиторский риск может быть представлен следующей факторной моделью: АР = HP х КР х ДР, где ДР = АР/HP х КР. (АР - аудиторский риск, HP - наследственный риск, КР - риск контроля, ДР - детекционный риск)
Первые два члена математической модели являются условно статистическими, т. е. не зависят от воли и желания аудитора. На величину третьего члена аудитор может повлиять, и она является условно-динамической. Поэтому уменьшить аудиторский риск можно, снизив величину детекционного риска. Данное уменьшение достигается привлечением к стадии непосредственной проверки более квалифицированных и опытных аудиторов, увеличением объема работ и информационной базы, а следовательно, привлечением дополнительных сил.
Аудиторский риск включает в себя:
Наследственный риск (HP) (может быть определен как наследственный или присущий риск) обусловленный как характеристиками компании-клиента, так и условиями «окружающей среды», которые невозможно проверить с помощью средств внутреннего контроля. HP имеет прямую зависимость от величины информационной базы, планируемой для аудита. Например, аудитор считает, что HP при тестировании дебиторской задолженности клиента довольно высок из-за большого числа банкротств среди его хозяйственных партнеров. Тогда аудитору понадобится более обширная информационная база по счетам и векселям дебиторов с целью определения суммы безнадежной задолженности, списания ее с баланса и соответственно уменьшения сумм прибыли за период. Наличие преднамеренных и непреднамеренных ошибок в отчетности клиента обусловлено рядом внешних и внутренних факторов. Аудитор должен их проанализировать, оценить и модифицировать информационную базу.
К таким факторам относятся[2]:
« сущность и содержание бизнеса аудируемой компании: компетентность и профессионализм, честность аппарата управления;
« системы стимулирования труда работников (если премии поставлены в прямую зависимость от динамики прибыли, то возможно ее завышение в отчетности);
« результаты предыдущих аудитов (ошибки, допущенные ранее, имеют тенденцию к повторению ввиду нежелания аппарата управления их исправлять);
« наличие необычных и редких хозяйственных операций (убытки от пожаров, крупное приобретение собственности);
« величина и состав репрезентативных выборок и изучаемой совокупности данных, используемых при тестировании и др.
Даже при условии положительного влияния этих факторов аудитор обычно устанавливает HP на уровне 50% и выше. Если же установлено их отрицательное влияние, то HPстремится к 100%.
Контрольный риск, или риск контроля (КР), имеющий опасность необнаружения существенных ошибок системой внутреннего контроля. Он представляет собой оценку аудитором структуры внутрихозяйственного контроля с целью определения ее эффективности при предотвращении или исправлении ошибок в учете и отчетности. Чем эффективнее структура внутреннего контроля, тем ниже фактор ее риска.
Структура внутреннего контроля состоит из трех элементов: 1)внешние условия успешного контроля (например, общее отношение аппарата управления к важности внутрихозяйственного контроля); 2)эффективная система бухучета; 3)общие и специальные контрольные процедуры, разработанные и проводимые клиентом.
Прежде чем аудитор может установить КР на уровне ниже, чем 100%, он должен осуществить основные процедуры: спланировать всю программу аудита, чтобы обеспечить определенную гарантию выявления допущенных ошибок и пропусков на основе тщательного изучения указанных элементов структуры внутреннего контроля; протестировать контрольные рычаги, входящие в структуру внутреннего контроля, на их эффективность; оценить риск контроля. Между риском контроля и информационной базой аудита существует прямая зависимость. Если внутрихозяйственный контроль клиента признан аудитором эффективным, то объемы информации для тестирования могут быть уменьшены.
Риск необнаружения, или детекционный риск (ДР), имеющий вероятность невыявления существенных ошибок, пропущенных системой внутреннего контроля, в процессе проведения аудиторских проверок. ДР - это риск, который аудитор желает определить на случай того, что он не сумеет найти материальные ошибки и пропуски во внешней отчетности при проведении им аудита. При этом предполагается, что структура внутреннего контроля не смогла выявить и исправить эти ошибки. Между детекционным риском и информационной базой аудита существует обратная зависимость: уменьшение детекционного риска ведет к необходимости увеличения объемов информационной базы. Если аудитор хочет быть уверенным в своей работе, то он устанавливает низкую величину ДР и соответственно привлекает большие объемы разнообразной информации о клиенте.
Таким образом, аудиторский риск как важнейший элемент планирования аудита представляет собой синтетическую величину, изменяющуюся под воздействием НР, КР и ДР.
Величина риска HP связана с характеристиками фирмы клиента и условиями окружающей ее среды деятельности, которые невозможно проверить средствами внутреннего контроля. Учитывая специфический период становления рынка и нестабильную налоговую политику в стране, риск, связанный с условиями окружающей среды деятельности, приобретает доминантное значение при даче аудитором заключений, ориентированных на зарубежного пользователя. Величина HPварьируется также в зависимости от отрасли деятельности клиента: риск контроля показывает опасность того, что внутренний контроль не предотвратит или не выявит имеющихся ошибок; риск необнаружения сигнализирует об опасности, что процедуры проверки по существу, выполненные аудитором, и проведенный им анализ финансовой отчетности не выявляет существующих ошибок; данная величина в большей мере зависит от уровня квалификации и стажа работы аудитора, нежели от специфичности деятельности клиента и объема документооборота; риск анализа (составляющая риска необнаружения) - это степень опасности, что процедура анализа не выявит существенных ошибок.
При разработке подхода к проведению аудита аудитор принимает во внимание предварительную оценку риска средств контроля, а также оценку неотъемлемого риска для того, чтобы определить надлежащий риск необнаружения, который может быть принят во внимание в отношении предпосылок подготовки финансовой (бухгалтерской) отчетности, а также для определения характера, временных рамок и объема аудиторских процедур по существу.
Аудиторский риск при аудите субъектов малого предпринимательства
Аудитору необходимо обеспечить достаточный уровень уверенности для того, чтобы в отношении финансовой (бухгалтерской) отчетности аудируемых лиц, в том числе субъектов малого предпринимательства, он смог выразить безоговорочно положительное мнение. Однако многие средства внутреннего контроля, которые могли бы быть применены в отношении крупных хозяйствующих субъектов, нецелесообразно применять в отношении субъектов малого предпринимательства. Например, в субъектах малого предпринимательства процедуры бухгалтерского учета могут выполняться небольшим числом лиц, которые могут выполнять обязанности, связанные как с обработкой, так и с хранением документации. Таким образом, разделение обязанностей может отсутствовать или быть весьма ограниченным. В некоторых случаях недостаточное разделение обязанностей между сотрудниками аудируемого лица может компенсироваться системой жесткого управленческого контроля, в том случае, когда средства контроля со стороны владельца (который одновременно является и руководителем) обусловлены личным знанием деятельности хозяйствующего субъекта и непосредственным участием в операциях. В тех случаях, когда возможность разделения обязанностей ограничена и отсутствуют аудиторские доказательства в отношении средств контроля, аудиторские доказательства, подтверждающие мнение аудитора о финансовой (бухгалтерской) отчетности, могут быть получены только путем проведения процедур проверки по существу.
[1] Аудит банков: Учеб. пособие/ Под ред. Г.Н. Белоглазовой, Л.П. Кроливецкой, Е.А. Лебедева – М.: Финансы и статистика. – 2001 – с. 39
[2] Крупченко Е.А., Замыцкова О.И. Аудит. Учебное пособие. – Ростов н/Д.: Феникс. – 2002 – с. 72