23. Під час дослідження системи обліку і внутрішнього контролю аудитор насамперед оцінює ризик невідповідності внутрішнього контролю для кожного суттєвого залишку по бухгалтерських рахунках або суттєвої операції.
24. Звичайно аудитор оцінює ризик невідповідності внутрішнього контролю як значний, якщо:
системи обліку і внутрішнього контролю неефективні; проведення оцінки ефективності систем обліку і внутрішнього контролю вимагає більших витрат, ніж це може принести користь.
25. Попередня оцінка ризику невідповідності внутрішнього контролю стосовно певних тверджень чи позицій фінансової звітності може бути значною до тих пір, поки аудитор не буде готовий визнати внутрішню систему внутрішнього контролю такою, що своєчасно попереджує, виявляє і виправляє суттєві перекручення, а також спланувати проведення тестів перевірки на відповідність систем внутрішнього контролю з метою підтвердження зроблених попередніх оцінок.
Документація, що дає змогу аудитору зрозуміти і оцінити розмір ризику невідповідності внутрішнього контролю
26. Аудитор фіксує в робочих документах: отримані відомості про систему обліку і внутрішнього контролю; оцінку ризику невідповідності внутрішнього контролю. Якщо ризик невідповідності внутрішнього контролю оцінюється аудитором як незначний, він додатково пояснює в документах обгрунтування своїх висновків.
27. Існують різні методи документального оформлення інформації про систему обліку і внутрішнього контролю. Вибір необхідних методів документального оформлення е виключно предметом особистого судження та вибору аудитора. Заходи, котрі виконуються окремо або в комбінаціях, оформлюються аудитором у вигляді письмових звітів, анкет, контрольних переліків і блок-схем. Форма і обсяг цієї документації залежить від розміру і структури підприємства, кількості видів діяльності, порядку ведення бухгалтерського обліку на підприємстві і структури систем внутрішнього контролю. Як правило, що складніша система обліку і внутрішнього контролю і більший обсяг аудиторських процедур, то більший обсяг документації аудитора.
Тести на відповідність внутрішнього контролю
28. Тести на відповідність внутрішнього контролю здійснюються з метою отримання аудиторських доказів його ефективності: структури систем обліку і внутрішнього контролю, що означає, наскільки ця структура попереджає, виявляє і своєчасно виправляє істотні помилки; функціонування внутрішнього контролю протягом всього періоду перевірки.
29. Деякі процедури аудиту можна не планувати окремо як тести на відповідність внутрішнього контролю, але вони можуть дати аудиторські докази ефективності як структури внутрішнього контролю, так і її функціонування. Таким чином, ці процедури перевірки можуть служити для аудиту тестами відповідності внутрішнього контролю. Наприклад, під час вивчення систем бухгалтерського обліку і внутрішнього контролю грошових коштів аудитор може отримати аудиторські докази ефективності контрольної перевірки рахунків банку шляхом опитування і спостереження.
30. Якщо аудитор зробить висновок, що процедури перевірки з метою отримання знання і уявлення про систему бухгалтерського обліку і внутрішнього контролю свідчать про доцільність і ефективність внутрішньої політики підприємства і вони відповідають окремим твердженням фінансової звітності, він може використати ці докази для оцінки ризику внутрішнього контролю і визначити його рівень як незначний.
31. Аудитор може провести наступні тести перевірки відповідності внутрішнього контролю. Насамперед перевірку первинних документів, які підтверджують операції та інші події з метою отримання аудиторських доказів про відповідність функціонування системи внутрішнього контролю, наприклад, перевірка порядку надання дозволу на проведення певної категорії операцій на підприємстві. Проведення опитування і спостереження стосовно процедур внутрішнього контролю, щодо яких немає змоги провести наскрізну перевірку, наприклад, при визначенні фактичного виконавця окремих функцій процесу виробництва. Повторення процедур внутрішнього контролю, зроблених на підприємстві аудитором, наприклад, проведення перевірки банківських рахунків для підтвердження правильності ведення обліку підприємством.
32. Щоб підтвердити кожну зробленої оцінку незначного ризику невідповідності внутрішнього контролю, аудитор повинен обов'язково провести ретельні тести на відповідність системи внутрішнього контролю. Що менший ризик невідповідності внутрішнього контролю, визначений аудитором, то більше підтверджень йому треба отримати стосовно того, що структура і системи обліку та внутрішнього контролю працюють ефективно.
33. Під час отримання доказів ефективного функціонування системи внутрішнього контролю аудитор враховує спосіб їх отримання, послідовність, з якою вони отримуються протягом певного періоду, та досвід особи, яка отримала такі докази (у разі використання помічників та асистентів в аудиті). Слід мати на увазі, що принцип ефективної роботи кожної системи не виключає можливості виникнення відхилень. Відхилення від діючих і запланованих систем контролю можуть викликатися такими факторами та ознаками, як зміни в основному складі співробітників підприємства, значними сезонними коливаннями в обсязі операцій (реалізації товарних запасів, сировини і таке інше), помилками окремих співробітників. Виявивши певні відхилення, аудитору необхідно зробити запити щодо них, наприклад, уточнити терміни звільнення та прийняття на роботу співробітників, які виконували основні функції внутрішнього контролю. Крім цього аудитору необхідно впевнитися в тому, щоб тести на відповідність внутрішнього контролю повністю охоплювали період, коли відбулися такі зміни персоналу.
34. Мета тестів на відповідність внутрішнього контролю в комп'ютерному середовищі є такою самою, щоправда деякі аудиторські процедури можуть відрізнятися, оскільки в комп'ютерному середовищі можуть існувати відхилення, властиві тільки йому (своєчасність внесення корективів у програму бухгалтерського обліку).
35. Використовуючи результати тестів на відповідність системи внутрішнього контролю, аудитору необхідно визначити, наскільки її функціонування і структура відповідають його попередній оцінці ризику невідповідності внутрішнього контролю. Зроблена оцінка існуючих відхилень може привести аудитора до висновку про те, що визначений розмір ризику невідповідності внутрішнього контролю він повинен переглянути. У таких випадках аудиторові слід поміняти характер, строки і масштаб виконання запланованих процедур аудиту.
Якість і своєчасність аудиторського доказу
36. Окремі аудиторські докази можуть бути надійнішими, ніж інші. За певних обставин метод спостереження дає можливість аудитору отримати вичерпніші докази, ніж ті, що отримані шляхом опитування, вибірки і аналізу. Наприклад, аудитор може отримати свідчення правильного розподілу службових обов'язків, здійснюючи спостереження за виконанням службових обов'язків співробітників, результати праці яких безпосередньо впливають на якість системи внутрішнього контролю, або отримавши інформацію про службові обов'язки конкретних співробітників. Проте, аудиторські докази про систему внутрішнього контролю, отримані шляхом спостереження, мають тимчасовий характер. Тому аудитор може доповнити ці докази іншими тестами на відповідність системи внутрішнього контролю, котрі дадуть йому можливість отримати також докази за інші періоди перевірки.
37. При визначенні аудиторського доказу про ризики невідповідності внутрішнього контролю, аудитор може використовувати узагальнюючі висновки, одержані під час попередніх аудиторських перевірок. У такому разі аудитор має інформацію про системи, бухгалтерського обліку і внутрішнього контролю, за попередній звітний період, і йому треба визначити необхідну кількість додаткових аудиторських доказів про зміни в системі внутрішнього контролю, які могли статися на підприємстві за період між перевірками. Перш ніж покладатися в своїй роботі на результати проведених процедур аудиту минулої аудиторської перевірки, аудитору треба впевнитися у їх слушності та доцільності для використання у поточному аудиті. Аудитор дістає інформацію про кожні зміни, які відбулися в системах бухгалтерського обліку і внутрішнього контролю підприємства за період між минулою і поточною перевіркою і оцінює рівень своєї довіри до них. Аудитору необхідно враховувати те, що його впевненість у слушності та доцільності процедур аудиту минулої перевірки для використання в поточному аудиті буде чимдалі зменшуватися в міру збільшення періоду між раніше виконаними і запланованими аудиторськими процедурами.
38. Аудитору необхідно впевнитися в тому, що функціонування системи внутрішнього контролю здійснювалося протягом всього періоду аудиторської перевірки. Якщо в різних проміжках періоду аудиторської перевірки на підприємстві використовувалися різні види контролю, аудитору слід оцінити та вивчити кожну з таких процедур окремо. Якщо були випадки, коли внутрішній контроль на підприємстві деякий час був відсутній, то стосовно цього періоду аудитору треба окремо переглянути характер, термін і обсяг процедур перевірки щодо операцій та інших подій цього періоду.
39. Аудитор може виконати певні тести на визначення відповідності системи внутрішнього контролю під час поетапного проведення аудиту протягом звітного періоду. Але, аудитор не може використовувати результати таких тестів без врахування необхідності отримання додаткових доказів відповідності функціонування системи внутрішнього контролю підприємства протягом часу, який залишився між останніми проведеними тестами і закінченням звітного періоду. При цьому необхідно враховувати наступні фактори:
результати проміжних тестів;
тривалість часу, який залишився до закінчення звітного періоду;
зміни в системах бухгалтерського обліку і внутрішнього контролю протягом часу, який залишився до закінчення звітного періоду;
характер, вартість операцій та інших заходів, а також розмір залишків по рахунках;
середовище контролю, адміністративний контроль;
незалежні процедури перевірки.
Остаточна оцінка ризику невідповідності внутрішнього контролю
40. Аудитор постійно переглядає правильність зробленої ним оцінки ризику невідповідності внутрішнього контролю до самого моменту завершення аудиторського висновку, який складається на підставі проведених незалежних процедур аудиторської перевірки та інших доказів.
41. Якщо внутрішній контроль на підприємстві послаблюється, керівництво вживає необхідних заходів щодо поліпшення структури системи внутрішнього контролю та бухгалтерського обліку, що дає йому змогу запобігти, своєчасно виявити і виправити помилки. Тому в більшості випадків властивий ризик і ризик невідповідності внутрішнього контролю мають щільний взаємозв'язок. Аудитор може зробити помилку під час оцінки ризику, якщо він буде оцінювати властивий ризик і ризик невідповідності внутрішнього контролю окремо, без урахування їх взаємозв'язку. Таким чином аудиторський ризик можна визначити значно точніше за допомогою комбінованої оцінки.
Ризик не виявлення
42. Ризик не виявлення безпосередньо пов'язаний з проведенням незалежних процедур перевірки. Зроблені аудитором оцінки невідповідності внутрішнього контролю і оцінка внутрішнього ризику впливає на характер, строки і обсяг аудиторських процедур, які виконуються аудитором з метою зменшення ймовірності не виявлення помилок і перекручень, і доводять ризик аудиту до сприятливого рівня. Певний ризик не виявлення помилок існує завжди, навіть коли аудитор перевірить 100 відсотків залишків по рахунках або всі види операцій, тому що більша частина аудиторських доказів має скоріше запевнюючий (аргументаційний), ніж підсумковий характер.
43. З метою зменшення аудиторського ризику до сприятливого рівня аудитор враховує зроблені ним оцінки властивого ризику і ризику невідповідності внутрішнього контролю при визначенні характеру, строків і обсягів незалежних процедур перевірки. Залежно від цього аудитор планує наступне:
характер незалежних процедур перевірки, наприклад, тести, які більше спрямовані на перевірку споріднених сторін підприємства, або тести складових частин операцій як доповнення до проведених аналітичних процедур;
строки проведення незалежних процедур, наприклад, виконання їх у кінці періоду більш бажане, ніж на початку;
обсяг незалежних процедур, наприклад, використання вибірки більшого обсягу ніж було заплановано раніше.
44. Існує взаємозв'язок між ризиком не виявлення помилок та комбінованим властивим ризиком і ризиком невідповідності внутрішнього контролю. Наприклад, якщо властивий ризик і ризик невідповідності внутрішнього контролю мають значний рівень, то необхідний рівень ризику не виявлення помилок має бути достатньо низьким, щоб забезпечити зменшення аудиторського ризику до сприятливого рівня. З іншого боку, якщо властивий ризик і ризик невідповідності внутрішнього контролю оцінюються як низькі, то аудитор може збільшити вже оцінений ризик не виявлення помилок та поміняти масштаб аудиту, розмір вибіркових перевірок, розмір суттєвості по операціях і, таким чином, зменшити аудиторський ризик до сприятливого рівня.
45. Хоча тести внутрішнього контролю і незалежних процедур перевірки мають різну мету, виконання одних процедур може сприяти досягненню мети, поставленої для інших процедур. Суттєві помилки, виявлені під час проведення незалежних процедур перевірки, можуть примусити аудитора замінити попередню оцінку ризику невідповідності внутрішнього контролю.
46. Незначні рівні властивого ризику і ризику невідповідності внутрішнього контролю не можуть підштовхнути аудитора скасувати виконання незалежних процедур перевірки. За будь-яких обставин, незважаючи на розміри властивого ризику і ризику невідповідності внутрішнього контролю, аудитору слід виконати незалежні процедури перевірки, передбачені в аудиторській програмі.
47. Оцінка аудитором розміру складових частин аудиторського ризику може змінюватися протягом проведення аудиту, тому що при виконанні незалежних процедур перевірки до відома аудитора може дійти інформація, котра значно відрізняється від тієї, на підставі якої аудитор зробив попередню оцінку властивого ризику і ризику невідповідності внутрішнього контролю. У таких випадках аудиторові необхідно поміняти заплановані незалежні процедури перевірки, виходячи з переглянутої оцінки властивого ризику і ризику невідповідності внутрішнього контролю.
48. Що більшим є властивий ризик і ризик невідповідності внутрішнього контролю, то більше аудиторських доказів необхідно отримати аудитору протягом виконання незалежних процедур перевірки. Якщо аудитор оцінив властивий ризик і ризик невідповідності системи внутрішнього контролю як значний, йому необхідно отримати докази, які підтверджують правильність прийнятого ним рішення, використовуючи для цього незалежні процедури перевірки. Ці заходи дають змогу зменшити ризик не виявлення і, як наслідок, довести аудиторський ризик до сприятливого рівня. Якщо аудитор визнає, що ризик не виявлення стосовно тверджень фінансової звітності по залишках на рахунках або категорії операцій по певних рахунках не може бути зменшений до сприятливого рівня, йому необхідно скласти негативний висновок або дати відмову від аудиторського висновку.
49. При аудиті як великих, так і малих підприємств аудиторові слід мати однакову впевненість про можливість складення позитивного висновку. Системи внутрішнього контролю, котрі використовуються на великих підприємствах*, які мають розвинену внутрішню структуру філій та дочірніх підприємств, не доцільні для використання на невеликих підприємствах. Наприклад, на невеликих підприємствах процедури бухгалтерського обліку можуть виконуватися одноосібно, як наслідок, розподіл обов'язків може бути відсутнім. Невідповідний розподіл обов'язків може в деяких випадках компенсуватися потужною системою управлінського контролю, при якому процедури внутрішнього контролю з боку власників (керівників) компенсуються їх добрим особистим знанням стану справ підприємства (бізнесу) і безпосередньою участю у веденні бухгалтерського обліку. В умовах, коли можливість розподілу обов'язків між співробітниками обмежена і тому не може існувати аудиторських доказів про систему управлінського контролю, докази, які використовуються аудитором під час складення аудиторського висновку, можуть бути отримані ним виключно шляхом виконання незалежних процедур перевірки.
_________________
* Під великими тут, як і в подальшому в цьому нормативі
вважаються підприємства, розмір торговельного обороту, або
обсяг виробництва продукції (послуг) котрих перевищує
еквівалент 1 млн.доларів США, що розраховується в гривнях за
курсом НБУ на день застосування процедур аудиторської
перевірки, а також ті, які мають філії та відокремлені
підрозділи.
50. Показником того, що аудитор отримав необхідне знання системи бухгалтерського обліку і відповідності внутрішнього контролю може бути те, що він знає про недоліки в цих системах. При виявленні істотних недоліків у структурі або функціонуванні систем бухгалтерського обліку і внутрішнього контролю аудитору слід повідомити про це керівництво відповідного рівня управління у найкоротший термін, з відповідною впевненістю та доказовістю своєї правоти. Повідомлення керівництву про істотні помилки необхідно представити у письмовому вигляді. Проте, якщо аудитор вважає за доцільне, можна надати усне повідомлення керівництву, то таке повідомлення необхідно зафіксувати в аудиторській робочій документації. У повідомленні важливо зауважити, що аудитор дає перелік тільки тих недоліків, котрі потрапили в коло його зору під час проведення аудиту, і що аудит не планувався для окремого визначення відповідності внутрішнього контролю завданням, поставленим керівництвом підприємства.
Додаток N 1
до нормативу N 12
Назва аудиторської фірми
Листок оцінки властивого ризику та ризику невідповідності внутрішнього контролю
Назва підприємства
Номер __________
Етап робіт _________________ схвалення замовника
Склав ____________ Дата ________ Перевірив __________ Дата _______
------------------------------------------------------------------
Питання | Ризик |Джерела |
|-------------|інформа-|
|вис. | низ. |ції |
------------------------------------------+------+------+--------|
Зовнішні фактори властивого ризику | | | |
(загальний план галузі) | | | |
1. Який загальний стан економіки га- | | | |
лузі? | | | |
Спад виробництва | Так | Ні | |
Депресія | Так | Ні | |
Зростання ділової активності | Так | Ні | |
| | | |
2. Чи вплинули негативно на розвиток | | | |
підприємств галузі: | | | |
загальний стан економіки України | Так | Ні | |
зростання рівня інфляції | Так | Ні | |
чинне законодавство | Так | Ні | |
зміни офіційного обмінного курсу | Так | Ні | |
іноземних валют | | | |
зміни ставки % банків за короткост- | Так | Ні | |
роковий кредит | | | |
Інше (вказати) | | | |
| | | |
3. Чи належить продукція галузі до: | | | |
конкурентоспроможної | Ні | Так | |
швидко старіючої | Так | Ні | |
енергоємної | Так | Ні | |
матеріалоємної | Так | Ні | |
трудомісткої | Так | Ні | |
| | | |
4. Чи характерний для галузі трива- | Так | Ні | |
лий виробничий цикл? | | | |
5. Чи залежить галузь від імпортних | Так | Ні | |
поставок паливно-мастильних мате- | | | |
ріалів, енергії, сировини тощо? | | | |
6. Чи відбувались у галузі протягом | Так | Ні | |
звітного періоду банкрутства | | | |
(згортання виробництва). | | | |
7. Чи отримує галузь значні дотації | Так | Ні | |
від уряду? | | | |
8. Чи спостерігалися значні зміни у | Так | Ні | |
тенденції прибутковості (збитковості) | Ні | Так | |
серед підприємств галузі? | | | |
| | | |
Внутрішні фактори властивого ризику | | | |
та ризику невідповідності внутріш- | | | |
нього контролю | | | |
1. Яка форма власності підприємства? | | | |
державна | Ні | Так | |
приватна | Ні | Так | |
інша | | | |
2. Як здійснюється керівництво під- | | | |
приємством? | | | |
одноосібно | Так | Ні | |
колегіально | Ні | Так | |
3. Чи має керівництво: достатню ква- | Так | Ні | |
ліфікацію | | | |
практичний досвід роботи | Ні | Так | |
4. Чи має керівництво негативну ре- | Так | Ні | |
путацію? | | | |
5. Чи є ознаки недостатньої чесності | Так | Ні | |
керівництва? | | | |
6. Чи не знаходиться керівництво під | Так | Ні | |
чиїмось негативним впливом? | | | |
7. Чи здатне керівництво на невипра- | Так | Ні | |
вданий ризик? | | | |
8. Чи є причини у керівництва при- | Так | Ні | |
красити фінансовий стан підприємс- | | | |
тва (перекрутити його показники)? | | | |
(Вкажіть, які саме: зміна форми | | | |
власності | | | |
необхідність отримання кредиту | | | |
необхідність підтримання певного | | | |
курсу акцій | | | |
можлива зміна власника | | | |
інші причини) | | | |
9. Чи відбулися у звітному періоді | | | |
(очікуються найближчим часом після | | | |
його закінчення) зміни: | | | |
у складі керівництва | Так | Ні | |
у складі власників | Так | Ні | |
форми власності | Так | Ні | |
10. Чи існує чіткий розподіл функціо- | Ні | Так | |
нальних обов'язків на підприємстві? | | | |
11. Чи збігається реальний розподіл | Так | Ні | |
повноважень членів керівництва з | | | |
формальними обов'язками | | | |
12. Чи передбачений організаційною | | | |
структурою підприємства орган внут- | | | |
рішнього контролю: | | | |
ревізійна комісія | Так | Ні | |
відділ внутрішнього аудиту | Так | Ні | |
Інші (вказати) | Ні | Так | |
13. Чи усвідомлює керівництво важ- | Так | Ні | |
ливість бухгалтерського обліку? | | | |
14. Чи немає конфлікту між керівниц- | Є | Ні | |
твом та головним бухгалтером? | | | |
15. Чи здійснюються інвентаризації | Ні | Так | |
перед складанням річної звітності? | | | |
16. Чи укладені договори про матері- | Ні | Так | |
альну відповідальність у передбаче- | | | |
них законодавством випадках? | | | |
17. Чи відбулися зміни у складі тра- | Так | Ні | |
диційних користувачів звітності за | | | |
звітний період, чи передбачаються | | | |
найближчим часом після його закін- | | | |
чення (вказати, які саме)? | | | |
18. Чи були випадки крадіжок, злов- | Так | Ні | |
живань на підприємстві? | | | |
19. Чи спостерігається висока плин- | | | |
ність кадрів серед: | | | |
працівників бухгалтерії | Так | Ні | |
матеріально відповідальних осіб | Так | Ні | |
20. Чи є підприємство позивачем | Так | Ні | |
(відповідачем) у судовій справі? | | | |
21. Чи є філії (дочірні підприємства)? | Так | Ні | |
22. Чи вистачає підприємству влас- | Так | Ні | |
них оборотних коштів? | | | |
23. Чи використовуються підприємс- | Так | Ні | |
твом позики? | | | |
24. Чи спостерігається високий рі- | Так | Ні | |
вень постійних витрат? | | | |
25. Чи є підприємство збитковим | Так | Ні | |
(прибутковим)? | | | |
26. Чи були значні фінансові втрати | Так | Ні | |
на підприємстві? | | | |
27. Чи залежить підприємство від: | | | |
незначної кількості замовників | Так | Ні | |
незначної кількості постачальників | Так | Ні | |
28. Чи носять постійний характер по- | | | |
рушення зобов'язань: | | | |
постачальників перед підприємством | Так | Ні | |
підприємства перед замовниками | Так | Ні | |
29. Чи здійснює підприємство декіль- | Так | Ні | |
ка видів діяльності? | | | |
30. Які форми оплати переважають на | | | |
підприємстві: | | | |
готівкова | | | |
безготівкова | | | |
бартерна | | | |
31. Чи здійснювались нетрадиційні | Так | Ні | |
господарські операції протягом звіт- | | | |
ного періоду? | | | |
32. Який спосіб обліку реалізації про- | | | |
дукції здійснюється на підприємстві: | | | |
метод нарахування | Так | Ні | |
касовий метод | Так | Ні | |
33. Чи високий ступінь складності | Так | Ні | |
здійснюваних господарських операцій? | | | |
34. Чи здійснює підприємство зовнішньо- | Так | Ні | |
економічну діяльність? | | | |
35. Чи застосовується на підприємстві: | | | |
ручна обробка облікової інформації | Ні | Так | |
комп'ютерна | Так | Ні | |
36. Чи здійснювались перевірки діяль- | | | |
ності підприємства у звітному році: | | | |
Державної податкової адміністрації | Так | Ні | |
вищестоящою організацією | | | |
іншими уповноваженими на перевірку | Так | Ні | |
органами (вказати які саме) | | | |
37. Чи проводився аудит у попере- | Так | Ні | |
дньому звітному періоді? | | | |
38. Чи змінився аудитор підприємства? | Так | Ні | |
39. Чи сплачувало підприємство значні | | | |
санкції по податках і платежах: | | | |
у попередньому звітному періоді | Так | Ні | |
протягом звітного періоду | | | |
40. Чи при попередньому аудиті: | | | |
піднімалися питання обмеження ау- | Так | Ні | |
диту | | | |
виникали суперечки щодо розміру | Так | Ні | |
оплати | | | |
інші конфлікти із працівниками | Так | Ні | |
аудиторської фірми | | | |
зафіксовані недоліки у системі | Так | Ні | |
внутрішнього контролю | | | |
порушувалась незалежність аудито- | Так | Ні | |
рів | | | |
41. Чи відбувались у звітному періоді: | | | |
зміни в обліковій політиці під- | Так | Ні | |
приємства? | | | |
------------------------------------------------------------------
Попередня оцінка властивого (притаманного) ризику
Низький Середній Високий
Попередня оцінка ризику контролю
Низький Середній Високий
Додаток N 2
до нормативу N 12
Характерні риси ризиків
------------------------------------------------------------------
| Показник | Характерні риси |
|-----------------+----------------------------------------------|
|Ризик аудиту або |Ймовірність того, що аудитор зробить непра-|
|загальний ризик |вильний висновок з результатів виконаних ним|
| |процедур перевірки, а саме по неправильно|
| |складеній фінансовій звітності буде надано ау-|
| |диторський висновок без застережень, і навпаки|
| |(перша ситуація зустрічається набагато|
| |частіше). |
| | |
|Властивий ризик |Існування властивого ризику залежить від ха-|
| |рактеру бізнесу підприємства і умов, у яких|
| |воно здійснює свою діяльність, котрі неможливо|
| |перевірити засобами зовнішнього контролю. Бе-|
| |зумовно, що галузі високих технологій вироб-|
| |ництва більше незахищені від впливів властиво-|
| |го ризику, ніж традиційні галузі. Оцінка то-|
| |варно-матеріальних залишків і засобів вироб-|
| |ництва - складніша справа, ніж оцінка грошових|
| |коштів. |
| | |
|Ризик невідпові- |Ймовірність того, що системи внутрішнього|
|дності внутріш- |контролю не дадуть аудитору інформацію або не|
|нього контролю |виявлять суттєвих помилок та перекручень. |
| | |
|Ризик незнайдення|Ймовірність того, що виконані аудитором проце-|
|помилок |дури перевірки та проведений ним аналіз фінан-|
| |сової звітності не виявлять суттєвих помилок. |
| | |
|Ризик аналізу |Ймовірність того, що процедури аналізу не при-|
| |ведуть до виявлення суттєвих помилок. |
| | |
|Ризик неправиль- |Ймовірність того, що суттєві помилки не можуть|
|ного визначення |бути знайдені під час виконання процедур пе-|
|розміру суттєвос-|ревірки (цей ризик є складовою частиною ризику|
|ті |не виявлення помилок). |
| | |
|Ризик визначен- |Ймовірність того, що вибраний метод вибіркової|
|ня неправильно- |перевірки не приведе аудитора до виявлення|
|го методу вибірки|суттєвої помилки (цей ризик є складовою части-|
| |ною ризику не виявлення помилок). |
| | |
|Ризик помилок в |Ймовірність пред'явлення претензій на адресу|
|господарській ді-|аудиторської фірми (аудитора) з боку клієнтів|
|яльності |та інших зацікавлених в результатах аудиту|
| |сторін, з якими було укладено угоду на прове-|
| |дення незалежної аудиторської перевірки, і не-|
| |безпечність виникнення фінансових збитків від|
| |зайняття аудиторською діяльністю. |
------------------------------------------------------------------
Норматив N 13
Аудит в умовах електронної обробки даних
Зміст Параграфи
------------------------------------------------------------------
|Вступ 1-3 |
|Знання, вміння і компетентність 4-6 |
|Оцінка ризиків 7-10 |
|Процедури контролю 11-12 |
------------------------------------------------------------------
Вступ
1. Аудитор повинен оцінити обсяг впливу системи електронної обробки даних (ЕОД) на процес аудиту.
2. Завдання аудиту не змінюються в середовищі ЕОД, але, обробка, зберігання і взаємозв'язок інформаційних потоків, а також система управління і внутрішнього контролю, які використовуються клієнтом, зазнають впливу комп'ютерної техніки.
3. Внаслідок цього, середовище ЕОД може впливати на: процедури, які виконуються аудитором з метою досягнення розуміння системи обліку і управління клієнта; оцінку властивого ризику і ризику управління, через котрі аудитор оцінює свій аудиторський ризик; планування аудиту і ефективність тестів управління і незалежних процедур перевірки.
Знання, вміння і компетентність
4. Аудиторові необхідно знати системи ЕОД, щоб спланувати, проаналізувати, проконтролювати і, зрештою, зробити огляд і висновки по виконаній клієнтом роботі, при використанні ним автоматизованої системи обліку і управління.
Для цього аудитор повинен:
зрозуміти, в усіх суттєвих аспектах, системи обліку і внутрішнього контролю, на котрі впливає середовище ЕОД; визначити ефект від впливу середовища ЕОД на оцінку ризику; підготувати проект і виконати тести управління і виконати незалежні процедури перевірки. Якщо аудитору не вистачає спеціальних знань для всеосяжного розуміння і проведення аналізу, йому слід звернутися до фахівця, який має такі знання і вміння. В цьому випадку необхідно мати докази того, що виконана фахівцем робота відповідає меті аудиту згідно з умовами договору.
Планування
5. Під час планування етапів робіт, на котрі може впливати середовище ЕОД, аудитор повинен оцінити вплив ЕОД на доступність проміжних і вихідних даних. Значення і складність комп'ютерної обробки характеризується таким обсягом перетворень, що для користувача стає складним ідентифікувати і виправити помилки обробки автоматичною генерацією процедурами обробки інформації і зверненням безпосередньо до іншої прикладної програми, жорстким алгоритмом розрахунків, котрий неможливо поміняти або піти в обхід програми, відсутністю при роботі з програмним комплексом ручного відбору і обробки даних.
6. Необхідно оцінити вплив системи ЕОД на організаційну структуру користувача програми, оцінити також доступність даних, існування останніх у вигляді файлів, друкованого матеріалу, з'ясувати чи може система генерувати внутрішнє повідомлення, котре можна використовувати під час аудиту, з метою зняття інформації в конкретній точці. Коли існує значна автоматизація облікових процесів, необхідно визначити, як це впливає на оцінку ризику внутрішнього контролю, як змінюється характер таких ризиків.
Оцінка ризиків
7. Загальна характеристика ризиків:
Неясність шляху перетворення від вхідної інформації з первинних облікових документів до підсумкових показників. Побічна інформація може бути корисна для завдань контролю, але часто існує можливість прочитання інформації тільки на машинних носіях, оскільки там, де складна система виконує більшу кількість кроків та завдань, неможна простежити існування повного набору дій. Саме тому помилки, які існують у самому алгоритмі програми, дуже складно виявити без використання спеціальних програм. Випадкових помилок тут практично не виникає, але вони систематично будуть переноситися у всі розділи, які піддаються комп'ютерній обробці. Декілька процедур управління можуть бути сконцентровані в руках одного бухгалтера у випадку використання ЕОД, тоді як при веденні бухгалтерського обліку вручну вони були б звичайно розподілені між декількома співробітниками. Таким чином, цей бухгалтер, маючи вплив на всі розділи обліку, контролює сам себе. Потенціал помилок і недоліків, властивих системам ЕОД, значно вищий, ніж при веденні бухгалтерського обліку шляхом ручної обробки, а саме з причини подробиць, притаманних таким діям. Також підвищується ризик несанкціонованого доступу до даних обліку і управління. Зменшення участі людини в процесах обробки інформації приводить до того, що помилки і недоліки, які зустрічаються протягом проекту, через зміни прикладних програм або системного програмного забезпечення можуть залишатися не виявленими ними тривалий час, ЕОД може виконувати деякі типи операцій автоматично розрахунок таких процедур може не фіксуватися і не реєструватися (автоматичний перерахунок валютної вартості активів у валюту України при використанні курсів національної валюти до іноземних валют). У ситуаціях, коли така система керується і здійснюється шляхом ручної обробки, для цих операцій треба було мати письмове оформлення. Система контролю в цілому залежить від комп'ютерної обробки. В результаті роботи програми з'являються звіти і матеріали, котрі використовуються при виконанні процедур управління і контролю. Ефективність останніх залежить від завершеності і точності закладеного в програму алгоритму. В свою чергу, ефективність обробки запитів у прикладній програмі часто пов'язана з ефективністю загальних засобів управління. Системи ЕОД можуть пропонувати керівництву аналітичні засоби, котрі можуть використовуватися для контролю операцій підприємства і розширення внутрішньої структури управління. Обробка великих масивів даних в цілому дає можливість аудитору використовувати загальні або спеціальні контрольні методи і автоматизувати процес аналізу, виконання тестових процедур під час підготовки рекомендацій і висновків. І внутрішній (притаманний) ризик, і ризик невідповідності внутрішнього контролю, отримані в результаті проведення аналізу системи ЕОД - впливають на оцінку ризику аудиту, а також на характер, обсяг і тривалість аудиторських процедур.
8. Згідно з вимогами Національного нормативу N 6, аудитор повинен оцінити властивий (притаманний) ризик і ризик невідповідності внутрішньої системи контролю і управління.
9. Властивий (притаманний) ризик і ризик внутрішнього контролю в середовищі ЕОД мають окремі властивості: ризик може виникнути через неточності при розробці програми, супроводженні і підтримці програмного забезпечення системи, операцій, захисту системи ЕОД і контролю доступу до спеціальних програм управління. Розмір ризику може збільшуватися через помилки або шахрайство як у програмних модулях, так і в базах даних. Наприклад, треба вжити необхідних заходів, які попереджають виникнення помилок у системах, в яких виконується складний алгоритм розрахунків, оскільки виявити такі помилки дуже важко. Слід розуміти, що деякі системи більше піддаються впливу помилок у результаті неправильних дій оператора, а інші - навмисному перекрученню інформації, яка вводиться, залежно від вказівок вмонтованого контролю програмного комплексу.
10. Нові комп'ютерні технології, які постійно з'являються на ринку, дозволяють створювати дедалі складніші програми для користувачів і бази даних нового рівня, які дозволяють з'єднувати системи управління, діалогові системи кінцевих користувачів інформації, тобто ті, які детально моделюють процес діяльності підприємства. Такі системи вимагають спеціального їх вивчення, оскільки вплив можливих помилок на підсумкове значення ризику досить великий.
Процедури контролю
11. У відповідності з ННА N 31 "Вплив системи ЕОД на оцінку системи обліку і внутрішнього контролю" аудитор повинен врахувати вплив ризику системи ЕОД, щоб оптимально виконати процедури контролю і максимально знизити ймовірність виникнення неправильних висновків і рекомендацій.
12. Особисті завдання аудиторського контролю не змінюються від ручної або електронної обробки даних. Аудитор може використовувати будь-які методи контролю як вручну, так і за допомогою спеціальних програмних засобів - методом аналізу автоматизованої системи, а також комбінацію таких заходів. Але в деяких системах обліку, де використовується комп'ютерна обробка значної частини операцій, можуть бути складнощі в отриманні чітких результатів без допомоги спеціальних комп'ютерних програм.
Норматив N 14
Аудиторські докази
Зміст Параграфи
------------------------------------------------------------------
|Вступ 1-6 |
|Достатні і належні аудиторські докази 7-18 |
|Процедури одержання аудиторських доказів 19 |
|Перевірка 20 |
|Спостереження 21 |
|Опитування і підтвердження 22-23 |
|Підрахунок 24 |
|Аналітичні процедури 25 |
------------------------------------------------------------------
Вступ
1. Мета цього нормативу полягає у встановленні вимог та наданні вказівок щодо кількості та якості аудиторських доказів, які необхідно одержати аудитору при аудиті фінансової звітності підприємства, а також порядку проведення процедур одержання таких аудиторських доказів.
2. Аудитор повинен одержати таку кількість аудиторських доказів, яка б забезпечила спроможність зробити необхідні висновки, при використанні яких буде підготовлено аудиторський висновок.
3. Аудиторські докази одержуються в результаті належного поєднання тестів систем контролю та процедур перевірки на суттєвість. За деяких обставин докази можуть бути одержані тільки в результаті процедур перевірки на суттєвість.
4. Термін "Аудиторські докази" означає інформацію, одержану аудитором для вироблення думок, на яких грунтується підготовка аудиторського висновку та звіту. Аудиторські докази складаються з первинних документів та облікових записів, що кладуться в основу фінансової звітності, а також підтверджувальної інформації з інших джерел.
5. "Тести систем контролю" - це тести, що виконуються для одержання аудиторських доказів щодо відповідності структури та ефективності функціонування систем обліку та внутрішнього контролю.
