Національні нормативи аудиту

Документація

22. Стандарти робочих документів і процедур для МАСК повинні відповідати документам і процедурам аудиторської перевірки в цілому. Технічну документацію по МАСК необхідно тримати окремо від інших робочих документів аудитора.

23. Робоча документація на ПЗК МАСК повинна включати таку кількість інформації, щоб аудитор мав змогу описати свою прикладну програму, в тому числі інформацію про:

мету, специфіку МАСК, засоби управління МАСК, укомплектування персоналом, її синхронізацію і вартість; виконання, підготовку і проведення процедур тестування і оцінку засобів управління; деталі і подробиці тестів, які виконує МАСК; деталі і подробиці висновку, обробку і вивід інформації; технічну інформацію стосовно системи обліку клієнта, типу і конфігурації комп'ютера; контрольний доказ висновку; опис роботи контролю програми, висновки про контроль; про внутрішню систему контролю підприємством.

Крім того, може бути корисним надання пропозицій щодо використання ПЗК МАСК у подальших перевірках.

24. Загальні принципи, які описані в цьому нормативі, можуть використовуватися в системах ЕОД невеликих підприємств. Однак, необхідно мати на увазі наступне:

а) рівень загальних засобів управління системою ЕОД може бути таким, що аудитор оцінить ризик системи внутрішнього контролю як високий, що потягне за собою:

більше акцентування на деталях операцій і шляхів, аналітичних процедур, котрі збільшують ефективність МАСК, особливо в частині перевірки програмного забезпечення;

використання прикладної програми тестування контрольних процедур для перевірки правильності їх функціонування і даних у системі обліку клієнта.

б) При невеликих обсягах даних ефективнішими можуть бути методи обробки даних без використання комп'ютера.

в) Можна не отримати адекватної технічної допомоги від клієнта, що зробить неефективним використання МАСК.

г) Деякі програми контролю не зможуть функціонувати при використанні комп'ютерів старого покоління, таким чином вибір засобів МАСК може бути обмежений. У цій ситуації можна зробити копію таких файлів і обробити цю інформацію поза межами офісу клієнта на комп'ютері аудитора.

1. Ризик виникнення помилки може існувати в кожному елементі системи обліку, тому необхідно постійно забезпечувати повноту і своєчасність поновлення документації, адекватність системи обробки даних та виконання операцій.

2. Необхідно розробити спеціальні процедури для перевірки і контролю автоматизованих засобів управління і обліку. Такі процедури можуть бути у вигляді програм і тестів, які проводяться без використання комп'ютерної техніки.

3. Під час оцінки ризику в системах, де використовується електронна обробка даних (ЕОД), аудиторам необхідно звертати увагу на методи управління, за яких передбачається обмеження доступу до бази даних, наприклад, захист бази даних від несанкціонованого втручання.

4. Вхід у систему може автоматично викликати дії по різних рахунках, тобто викликати помилки в різноманітних вхідних даних, через те, що завданий шлях перетворення однієї суми або файлу (файлів) міг бути здійснений при використанні комп'ютера з іншою неспівставною базою даних.

5. Деякі операції можуть здійснюватися системою ЕОД без вхідних документів, які можуть бути підставою для їх здійснення. Кажучи іншими словами, результат подібних дій не можна доказати вхідною документацією, і вони не можуть бути зареєстровані так, як реєструються дії, які ініціюються ззовні системи ЕОД.

6. Вразливість даних і носіїв даних програми залежить від виду матеріалу, з котрого виготовлені носії, і чутливості цих носіїв до загублення, навмисного, або випадкового знищення.

7. Засоби внутрішнього контролю шляхом комп'ютерної обробки даних допомагають досягнути мети внутрішнього контролю підприємства і складаються як з процедур обробки без використання комп'ютерів, так і обробки з використанням спеціальних комп'ютерних програм, розроблених фахівцями в цій галузі.

Обробка даних без використання комп'ютера і засоби комп'ютерного управління впливають на середовище ЕОД і засобів управління прикладними комп'ютерними програмами, такими як комп'ютерні програми бухгалтерського обліку.

Основні методи управління ЕОД

8. Завдання основних методів управління ЕОД полягає в тому, щоб встановити необхідний контроль за системою ЕОД і забезпечити впевненість у тому, що мета внутрішнього контролю і управління досягнута. Основні методи управління ЕОД складаються з функцій управління; розробки систем прикладної програми і постійного супроводження і обслуговування її розробником для підтримки в робочому стані; тестування, перетворення, реалізації і документального оформлення нових або перероблених систем; обмеження доступу до програми третіх осіб; гарантій виконання системою ЕОД тільки тих операцій, які призначені для виконання конкретних завдань, а також виявлення і виправлення помилок в них; обмеження доступу до операцій і дозвіл на роботу тільки уповноважених на це співробітників; дублювання даних і комп'ютерних програм; процедур оновлення інформації у випадку її загублення, навмисного або випадкового знищення; засобів аварійного завершення дій у системі ЕОД на випадок надзвичайних обставин.

9. Мета внутрішніх засобів управління прикладною програмою полягає у встановленні процедур управління прикладними програмами, при цьому буде існувати можливість виконання тільки дозволених операцій і здійснення їх реєстрації, а також буде забезпечуватися своєчасність і повнота їх відображення. Внутрішні засоби управління ЕОД складаються з засобів управління вхідними даними - це дає впевненість у тому, що:

а. зроблено відповідне розпорядження уповноваженої особи щодо операцій до початку обробки інформації засобами комп'ютерної техніки; операція точно перетворена в форму, яка прочитується комп'ютерною програмою і зареєстрована в програмі; операції не пропущені і не змінені; виконання неправильних операцій не проводиться, при першій необхідності вносяться потрібні виправлення, після них здійснюються правильні дії.

б. Управління обробкою бази даних комп'ютера здійснюється для забезпечення впевненості в тому, що: в цілому операції правильно обробляються прикладною комп'ютерною програмою; жодна операція не пропущена, не добавлені помилкові операції, не внесені несанкціоновані зміни в них; помилки ідентифіковані і своєчасно виправлені.

в. Управління вихідними даними здійснюється для забезпечення впевненості в тому, що: отримано точний результат обробки; доступ до вхідної інформації дозволяється тільки уповноваженим на це співробітникам; вихідні дані можна прочитати, зрозуміти; вони принадні для подальшого використання.

10. Аудитор повинен проаналізувати, яким чином основні засоби управління середовищем ЕОД впливають на базу даних, оскільки це є важливим моментом для аудиторської перевірки. Основні засоби управління середовищем ЕОД впливають на ефективність її роботи.

11. Контроль за введенням, обробкою бази даних і виводом інформації на носії інформації може виконуватися спеціальним персоналом, користувачами системи, окремою групою працівників контролю, або може бути запрограмований у прикладному програмному забезпеченні, котре аудитор повинен перевірити. Такий контроль може складатися з:

а) Здійснення користувачем методу управління без використання комп'ютерів. Якщо такий метод управління забезпечує впевненість, що вихід інформації з системи є повним, точним і виводиться тільки необхідна інформація, аудитор може обмежитися дослідженням тільки цього методу.

б) Засіб управління вихідними даними прикладної системи. Якщо, в доповнення до методів управління вихідними даними без використання комп'ютерів, існує можливість шляхом використання прикладної комп'ютерної програми проконтролювати результати обчислень, аудитор може перевірити результати, отримані без використання комп'ютерів, повторно здійснюючи такий вид контролю.

в) Користування процедурами контролю, які передбачені комп'ютерною програмою. В деяких комп'ютерних системах аудитор може скористатися наявними в програмах процедурами контролю, а також методом контрольних даних, досліджуючи нестандартні і незвичайні ситуації.

12. Загальні засоби управління системою ЕОД можуть істотно впливати на процес обробки операцій у прикладних програмах. У разі, коли такі засоби управління неефективні, може підвищитися ризик виникнення помилки, існування і невиявлення помилок у системі ЕОД. Таким чином, слабкі сторони основних засобів управління ЕОД можуть бути представлені як наявністю слабкої системи контролю прикладною комп'ютерною програмою, так і використанням методів управління без використання комп'ютерів.

1. Мета цього нормативу - встановити правила оцінки властивого ризику і ризику внутрішнього контролю і використання таких оцінок для підготовки незалежних процедур перевірки, котрі аудитор збирається виконати з метою обмеження ризику невиявлення помилок до сприятливого рівня. Незалежні процедури аудиту робляться для отримання доказів стосовно повноти, точності і достовірності даних, які обробляються системою обліку. Вони існують у двох видах: детальних тестів операцій і залишків по рахунках; у вигляді аналізу важливих показників і тенденцій, включно з остаточним дослідженням незвичайних відхилень і статей.

2. Як зазначено в нормативі N 12 "Оцінка системи внутрішнього контролю підприємства та ризику, пов'язаного з ефективністю її функціонування" - властивий ризик є показником вразливості залишку по певному бухгалтерському рахунку або певній категорії операцій стосовно перекручень, які можуть бути суттєвими, або вразливість цих залишків щодо перекручень у загальній сукупності з перекрученнями по інших рахунках чи операціях, з припущенням, що заходи внутрішнього контролю підприємства на них не розповсюджувалися.

3. При визначенні стратегії проведення аудиту аудитору слід вивчити властивий ризик на рівні фінансової звітності підприємства. При детальнішому плануванні цю оцінку необхідно пов'язувати з залишками по рахунках і класом операцій.

4. Аудитор може зробити припущення, що існує значний розмір властивого ризику на рівні залишку по рахунку і класу операцій. Незважаючи на це, визначаючи загальну аудиторську стратегію, йому необхідно отримати від клієнта роз'яснення по фактах існування ризику на рівні окремих позицій фінансової звітності.

5. Для того, щоб зробити оцінку властивого ризику, аудитору слід використати свої професійні знання з метою врахування і оцінки численних факторів потенційних ризиків. Приклади факторів потенційних ризиків на рівні фінансової звітності: цілісність управління; досвід, знання і зміни в управлінському апараті за певний період, наприклад, малий досвід управлінського персоналу може вплинути на якість підготовки фінансової звітності підприємства; існуючий тиск на керівництво підприємства, наприклад, обставини, котрі можуть наштовхнути керівництво на перекручення фінансової звітності. Це відбувається тоді, коли підприємство здійснює діяльність у галузі, в якій існує досвід великої кількості підприємницьких невдач, або підприємство має дефіцит власного капіталу, що не дає йому змоги продовжувати операції; діяльність підприємства, наприклад, його товари і послуги, структура капіталу, споріднені сторони, виробництво і розміщення, розподіл і компенсаційні методи; фактори, які впливають на галузь, в котрій здійснює діяльність підприємство, наприклад, економічні умови і умови конкуренції, зміни в технології виробництва та послуг, загальній обліковій практиці, а також у фінансових тенденціях і показниках; бухгалтерські рахунки, які дають уявлення про фінансовий стан підприємства, і які, без сумніву вимагають виправлення, наприклад, рахунок фінансових результатів, по котрому треба було зробити коректування у попередньому періоді; складність основних операцій, котра може вимагати залучення спеціаліста професії, що відрізняється від аудиторської; здатність активів до анулювання або неправильного представлення; термін завершення незвичайних і складних угод, особливо в останні дні року.

6. Ризик невідповідності внутрішнього контролю - це ймовірність того, що недостовірна інформація, котра може існувати по класу операцій або класу укладених угод і могла бути суттєвою, окремо або в сукупності з недостовірною інформацією по інших рахунках або класах операцій, не буде попереджена або своєчасно виявлена системою внутрішнього контролю підприємства. Завжди існує ризик певної невідповідності внутрішнього контролю у зв'язку із звичайною обмеженістю функціонування кожної системи внутрішнього контролю. Для того, щоб оцінити ризик невідповідності внутрішнього контролю, аудитор повинен вивчити адекватність описання внутрішнього контролю, як і те що він повинен перевірити процедури внутрішнього контролю підприємства. При відсутності такої оцінки аудитор повинен зробити припущення, що розмір ризику внутрішнього контролю високий.

7. Аудитору необхідно отримати вичерпні роз'яснення від працівників служб внутрішнього контролю і обліку для того, щоб у подальшому він мав змогу правильно спланувати аудит. Система внутрішнього контролю складається з середовища контролю і процедур контролю. Середовище контролю відноситься до галузі діяльності керівництва і управлінського персоналу, а саме ними запроваджується функціонування внутрішнього контролю на підприємстві.

7.1. Фактори, які відображаються у середовищі контролю, формують управлінську філософію і операційний стиль, організаційну структуру підприємства, методи надання прав і визначення обставин, систему управлінського контролю, в тому числі функцію внутрішнього аудиту, функції ради директорів, персональні рішення і процедури.

7.2. Процедури внутрішнього контролю являють собою рішення в доповнення до середовища контролю, котрі керівництво прийняло для забезпечення обгрунтованої гарантії того, що конкретні завдання підприємства будуть досягнуті. В основному це процедури, які стосуються відповідного санкціонування виконання угод, розподілу службових обов'язків, підготовки і виконанню наказів, документів, зберіганню активів і незалежних перевірок виконавчої дисципліни. Розуміння систем внутрішнього контролю і обліку разом з оцінкою внутрішнього (притаманного) ризику, інші міркування дозволяють аудитору: встановити види суттєвої недостовірної інформації, котра могла існувати у фінансовій звітності; проаналізувати фактори, котрі впливають на ризик можливості припущення суттєвих перекручень; підготувати відповідні незалежні процедури перевірки.

8. Аудитор не бере до уваги ті рішення і процедури в межах систем обліку і внутрішнього контролю, котрі не належать до фінансової інформації. Наприклад, рішення і процедури, які стосуються ефективності певних управлінських процесів прийняття рішень (визначення продажних цін на товари або витрат на дослідження і розвиток), котрі хоч і є важливими для підприємства, але не належать до процесу аудиторської перевірки.

9. Отримавши роз'яснення про системи обліку і внутрішнього контролю з метою планування аудиту, аудитор повинен здобути необхідний рівень знань про системи обліку і управлінського контролю.

10. Аудитор має отримати вичерпні роз'яснення від персоналу підприємства про середовище контролю, щоб оцінити ставлення керівництва до порядку внутрішнього контролю і усвідомлення ним його значення для підприємства.

11. Аудитор мусить знати систему обліку клієнта, що дозволить йому зрозуміти: основні види операцій підприємства; закономірність виникнення таких операцій; бухгалтерські проводки, первинні документи і специфічні рахунки, на підставі яких складається фінансова звітність; порядок ведення обліку і підготовки фінансових звітів (від виконання умов угоди до внесення у фінансову звітність результатів її виконання), включаючи електронно-обчислювальну обробку облікових даних.

12. Аудитору слід отримати вичерпні пояснення стосовно порядку процедур контролю, щоб правильно спланувати аудиторську перевірку. Йому необхідно отримати необхідні знання процедур контролю, тому що процедури контролю інтегровані в середовище контролю і систему обліку. Наприклад, під час отримання пояснень про систему обліку грошових коштів аудитор дістає уявлення про стан справ по розрахункових рахунках клієнта в банку.

13. Після отримання пояснень про систему внутрішнього контролю і обліку аудитор повинен зробити попередню оцінку ризику внутрішнього контролю по конкретних позиціях фінансової звітності.

14. При плануванні своєї методики перевірки, аудитору необхідно вивчити попередню оцінку розміру ризику невідповідності внутрішнього контролю (враховуючи свою оцінку внутрішнього (притаманного) ризику), щоб визначити відповідний ризик невиявлення помилок.

15. Аудитору необхідно зробити оцінку ризику невідповідності внутрішнього контролю для деяких висновків, коли він вважає, що: рішення і процедури підприємства з певних питань неефективні; оцінка ефективності рішень і процедур буде незадовільною.

16. Аудитор може зробити попередню оцінку ризику невідповідності внутрішнього контролю тільки тоді, коли він: має спроможність визначити процедури систем обліку і внутрішнього контролю, які відповідають внутрішнім положенням підприємства, і які сприяють виявленню перекручень у фінансовій звітності; планує виконати процедури узгодження, щоб підтвердити свою оцінку перевіреної фінансової звітності.

17. Деякі процедури, які виконані аудитором для роз'яснення систем внутрішнього контролю і обліку, могли не передбачатися в плані аудиторської перевірки. Разом з цим, вони можуть дати докази ефективності функціонування систем. Наприклад, завдяки методу опитування і спостерігання аудитор може отримати докази ефективності та своєчасності обертання грошових коштів, які знаходяться на банківських рахунках.

18. Коли аудитор встановлює, що необхідні процедури вже виконані для роз'яснення систем внутрішнього контролю і обліку, він може використати цей результат для підтвердження обгрунтованості своєї оцінки ризику невідповідності внутрішнього контролю.

19. Аудитору слід документально оформити свої роз'яснення про систему внутрішнього контролю і обліку підприємства, а також дати оцінку ризику невідповідності внутрішнього контролю.

20. Процедури узгодження складаються з опитування, огляду і вивчення, і виконуються одночасно для отримання доказів ефективності систем внутрішнього контролю і обліку (тобто наскільки доречно вони підготовлені для попередження або виявлення суттєвих перекручень), а також для отримання доказів ефективності систем обліку і внутрішнього контролю.

21. Після отримання пояснень про системи внутрішнього контролю і обліку (розглядаються тільки докази стосовно описання і ефективності рішень і процедур, які зіставляються з твердженнями, котрі аудитор отримав), аудитор може зробити спробу отримати більшу кількість доказів про їх ефективність для підтвердження оцінки ризику контролю на ще меншому рівні. Далі аудитор може змінити зміст і час проведення незалежних процедур перевірки або скоротити їх. У таких випадках він повинен знайти можливість отримання аудиторських доказів, які необхідні для підтвердження цієї оцінки.

22. Оцінка відхилень, виявлених при виконанні процедур узгодження, може привести аудитора до висновку про те, що оцінений ним рівень ризику невідповідності контролю необхідно збільшити. В цьому випадку він мусить поміняти зміст, термін проведення і обсяг незалежних процедур перевірки.

23. Докази, отримані особисто аудитором, можуть дати йому більше впевненості, аніж докази, отримані ним від інших осіб. Приміром, аудитор може отримати докази правильності розподілу службових обов'язків шляхом спостереження за особою, котра виконує функції контролю. Спостереження аудитора дає йому більше гарантії, ніж опитування окремої особи. Докази, отримані шляхом виконання процедур узгодження, відносяться тільки до того періоду, де використовувалися процедури контролю. Тому аудитор може прийняти рішення доповнити ці процедури іншими додатковими процедурами узгодження, які приведуть до отримання додаткових доказів по інших періодах.

24. Для того, щоб підготувати висновок про ризики невідповідності внутрішнього контролю, аудитор може вивчити підтвердження, отримані на підставі попередніх досліджень, в результаті проведення аудиторських процедур на постійних засадах протягом року.

25. До тієї миті, як прийняти рішення, чи треба спиратися на виконані при попередніх вивченнях процедури, аудитор повинен отримати докази змісту і масштабу змін у системах внутрішнього контролю і обліку підприємства, починаючи з періоду виконання другорядних процедур перевірки. Аудитору треба при цьому врахувати те, що чим більше період, який пройшов з часу виконання таких процедур, тим менше повинна бути його впевненість у цих доказах.

26. Аудитор може прийняти рішення виконати процедури узгодження на певну проміжну дату. Однак, йому не слід покладатися на результати таких процедур без вивчення необхідності отримання доказів стосовно наступного облікового періоду, який треба буде перевіряти. У цих питаннях підлягають вивченню такі фактори, як результати проміжних процедур, тривалість періоду, залишеного без контролю, а також кожні зміни, які виникли в системах обліку і внутрішнього контролю протягом періоду, що залишився для подальшої перевірки.

27. До того, як скласти свій висновок з результатів проведеного аудиту, аудитор повинен переглянути складені ним попередньої оцінки ризику внутрішнього контролю. Якщо ця раніше зроблена ним оцінка вимагає додаткового перегляду, аудитор має виконати додаткові процедури перевірки. При цьому аудитор мусить документально оформити кожний факт перегляду зробленої ним попередньої оцінки.

28. У багатьох випадках властивий ризик і ризик невідповідності внутрішнього контролю тісно пов'язані між собою. Керівництво часто реагує на розробку та впровадження нових систем внутрішнього контролю і обліку для попередження і виявлення помилок у випадках підвищення значення внутрішнього ризику. У ситуаціях, коли аудитор робить спробу оцінити окремо ризик контролю і властивий ризик, існує ймовірність неправильної оцінки цих ризиків у сукупності. Тому, ризик аудиторської перевірки може бути більш правильно визначений шляхом комбінованої оцінки вищезгаданих різновидів ризиків.

29. Як передбачено в Національному нормативі N 25, ризик невиявлення помилок, являє собою ризик того, що зроблені процедури аудиту не приведуть аудитора до виявлення ним перекручень по певних залишках у рахунках бухгалтерського обліку, які можуть бути суттєвими. Розмір ризику невиявлення помилок безпосередньо пов'язаний з порядком проведення процедур перевірки. Завжди існує ризик невиявлення помилок. Він існує навіть у тих випадках, коли аудитор вивчає 100% залишків по рахунках бухгалтерського обліку або класах операцій, оскільки аудитор може вибрати невідповідну аудиторську процедуру, неправильно використати таку процедуру або перекрутити тлумачення результатів аудиту.

30. Оцінка аудитором ризику невідповідності внутрішнього контролю і властивого ризику впливає на зміст, час проведення і розмір незалежних процедур аудиторської перевірки. Для того, щоб визначити необхідний рівень упевненості після проведення незалежних тестів, аудитору треба вивчити: зміст незалежних тестів; час виконання незалежних тестів (наприклад, їх виконання наприкінці року в порівнянні з попередніми місяцями); обсяг незалежних тестів.

31. Існує зворотний зв'язок між встановленим аудитором розміром властивого ризику і ризику невідповідності внутрішнього контролю, а також ризиком невиявлення помилок. Наприклад, коли аудитор вважає, що властивий ризик і ризик невідповідності внутрішнього контролю значні, ризик невиявлення помилок відповідно зменшується при плануванні процедур перевірки, щоб обмежити ризик аудиту до прийнятного рівня. І навпаки, коли властивий ризик і ризик невідповідності внутрішнього контролю є незначними, аудитор може встановити для себе під час планування перевірки по конкретних напрямах роботи вищий розмір ризику невиявлення помилок і, водночас зменшити ризик аудиту до прийнятного рівня.

32. Попередньо оцінені розміри внутрішнього ризику і ризику невідповідності внутрішнього контролю не можуть мати таке велике значення і вплив на думку аудитора, щоб привести його до висновку про недоцільність додаткових незалежних процедур перевірки стосовно значних залишків по рахунках і класах операцій. Таким чином, незалежно від зробленої оцінки розмірів властивого ризику і ризику невідповідності внутрішнього контролю, аудитор зобов'язаний виконати необхідні додаткові процедури аудиторської перевірки.

33. Аудиторська оцінка складових частин ризику аудиту може змінюватися під час проведення аудиту. Наприклад, при виконанні незалежних процедур аудиторської перевірки увагу аудитора може привернути інформація, яка значно відрізняється від інформації, щодо використання котрої аудитор вже зробив попередню оцінку властивого ризику і ризику невідповідності внутрішнього контролю. За таких обставин аудитор повинен змінити раніше заплановані процедури перевірки.

34. Що більші розмір і значення властивого ризику і ризику невідповідності внутрішнього контролю, то більша необхідність отримання з боку аудитора додаткових доказів аудиту. Коли властивий ризик і ризик невідповідності внутрішнього контролю оцінюється аудитором як значний, він повинен упевнитися в тому, що запроваджені ним процедури аудиторської перевірки дадуть йому необхідну і вичерпну переконаність, що ці заходи приведуть до скорочення розміру ризику не виявлення помилок до прийнятного рівня. В тому разі коли аудитор визнає, що ризик невиявлення помилок не можна зменшити до прийнятного рівня, йому необхідно висловити відмову від аудиторського висновку про фінансову звітність.