1. Организация системы внутреннего контроля согласно ее компонентам
Процесс аудиторской проверки начинается с понимания аудитором деятельности аудируемого лица и оценки риска существенного искажения бухгалтерской отчетности. В процессе оценки данного риска аудитор рассматривает систему внутреннего контроля аудируемого лица в целях выбора аудиторских процедур, обеспечивающих минимизацию аудиторского риска.
Система внутреннего контроля - процессы, разработанные, внедренные и поддерживаемые лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками организации для обеспечения разумной уверенности в отношении достижения целей организации в области подготовки надежной финансовой отчетности, результативности и эффективности деятельности и соблюдения применимых законов и нормативных актов.
Таким образом, система внутреннего контроля направлена на устранение либо минимизацию рисков хозяйственной деятельности, которые угрожают достижению целей деятельности организации.
В соответствии с МСА 315 (пересмотренный в 2019 г.) «Выявление и оценка рисков существенного искажения» аудитор получает понимание системы внутреннего контроля организации путем выполнения процедуры оценки рисков с целью изучения и оценки каждого компонента системы внутреннего контроля.
2. Оценка системы внутреннего контроля организации внешним аудитором
Система внутреннего контроля разрабатывается, внедряется и поддерживается с целью снижения выявленных бизнес-рисков, которые ставят под угрозу достижение любой из целей организации, касающихся:
− надежности финансовой отчетности организации;
− результативности и эффективности ее операционной деятельности;
− соблюдения ею законодательства и нормативных актов.
Подход к разработке, внедрению и поддержанию системы внутреннего контроля зависит от размера и сложности организации.
Аудитор должен получить понимание системы внутреннего контроля организации в части, значимой для проведения аудита. Несмотря на то, что большинство средств контроля, которые являются значимыми для аудита, как правило, связаны с финансовой отчетностью, не все средства контроля, связанные с финансовой отчетностью, являются значимыми для аудита. Вопрос о том, является ли средство контроля в отдельности или в сочетании с другими значимым для проводимого аудита, представляет собой предмет применения профессионального суждения аудитора.
При получении понимания значимых для проводимого аудита средств контроля аудитор должен проанализировать их структуру и с помощью дополнительных процедур, помимо направления запросов персоналу организации, установить, внедрены ли они на практике.
Аудитор должен получить понимание контрольной среды. В ходе получения такого понимания контрольной среды аудитор должен оценить:
a) была ли создана и поддерживается ли руководством под надзором лиц, отвечающих за корпоративное управление, культура честности и этического поведения;
б) обеспечивают ли сильные стороны элементов контрольной среды в совокупности надлежащую основу для других компонентов внутреннего контроля, а также не оказывают ли недостатки контрольной среды негативного влияния на другие компоненты внутреннего контроля.
Аудитор должен получить понимание того, осуществляются ли в организации следующие процессы:
a) выявление бизнес-рисков, значимых для целей финансовой отчетности;
б) оценка значительности рисков;
в) оценка вероятности возникновения рисков;
г) принятие решений о мерах по снижению таких рисков.
Если в организации применяется такой процесс, аудитор должен достичь понимания как самого процесса, так и результатов его применения. Если аудитор выявляет риски существенного искажения, которые не смогло выявить руководство, он должен оценить, нет ли в основе этих рисков такого типа риска, который, согласно ожиданиям аудитора, должен был быть выявлен процессом оценки рисков организации. Если такой риск существует, аудитор должен получить понимание того, почему он не был выявлен в процессе оценки рисков, и оценить, соответствуют ли процессы обстоятельствам, или определить, имеются ли в организации значительные недостатки в системе внутреннего контроля в части процесса оценки рисков.
Если такой процесс в организации не осуществляется или применяется в отношении отдельного случая, аудитор должен обсудить с руководством вопрос о том, были ли выявлены бизнес-риски, являющиеся значимыми для целей финансовой отчетности, и какие меры приняты по их устранению. Аудитор должен оценить, является ли отсутствие документально оформленного процесса оценки риска надлежащим в данных обстоятельствах или это является значительным недостатком системы внутреннего контроля.
Аудитор должен получить понимание информационной системы, включая соответствующие бизнес-процессы, относящиеся к подготовке финансовой отчетности, в том числе следующих аспектов:
a) виды операций в рамках деятельности организации, являющиеся значительными для финансовой отчетности;
б) процедуры как в системе с применением информационных технологий, так и в системе ручной обработки данных, с помощью которых такие операции инициируются, записываются, обрабатываются и по мере необходимости корректируются, переносятся в основной регистр и отражаются в финансовой отчетности;
в) соответствующие данные бухгалтерского учета, подтверждающая информация и конкретные счета, которые используются для инициирования, учета, обработки и отражения в финансовой отчетности; в том числе исправление ошибочных данных и способы переноса информации в основной регистр. Записи могут выполняться как вручную, так и в электронном формате;
г) то, каким образом информационная система фиксирует события и условия, помимо операций, которые являются значимыми для финансовой отчетности;
д) процесс подготовки финансовой отчетности, в том числе значительные оценочные значения и раскрытие информации;
е) средства контроля в отношении бухгалтерских записей, включая нестандартные бухгалтерские записи, применяемые для учета разовых, необычных операций или корректировок.
Аудитор должен получить понимание тех контрольных действий, значимых для проводимого аудита, которые, по мнению аудитора, необходимо изучить, чтобы оценить риски существенного искажения на уровне предпосылок и разработать дальнейшие аудиторские процедуры в ответ на оцененные риски. Для проведения аудита не требуется изучение всех контрольных действий, связанных с каждым значительным видом операций, остатком по счету и раскрытием в финансовой отчетности или с каждой соответствующей предпосылкой.
Аудитор должен получить понимание основных действий, которые используются организацией для мониторинга внутреннего контроля за финансовой отчетностью, включая те действия, которые относятся к контрольным, значимым для аудита, а также понимание порядка инициирования действий по устранению недостатков в средствах контроля организации.
Аудитор должен понимать источники информации, используемые организацией для мероприятий по мониторингу, а также основания, в соответствии с которыми руководство организации делает вывод, что информация является достаточно надежной для этих целей.