|Використання МАСК на невеликих підприємствах 24 |
------------------------------------------------------------------
Вступ
1. Мета і галузь діяльності аудитора не змінюються, коли мова іде про перевірку середовища електронної обробки даних (ЕОД). Однак, прикладна програма може поставити аудитора перед необхідністю використання комп'ютера як засобу контролю. Ці різноманітні варіанти використання комп'ютера відомі як "Методи Аудиту при Сприянні Комп'ютера (МАСК)".
2. Метою цього нормативу є забезпечення використання керівництвом МАСК. Ці методи можна використовувати із залученням всіх відомих типів і конфігурацій комп'ютерів.
3. Необхідність використання МАСК виникає з тих обставин, коли відсутні вхідні документи і неможливо простежити повний хід операцій (контрольний слід), а також тоді, коли ефективність аудиту можна значно поліпшити використанням спеціальної комп'ютерної аудиторської програми.
Опис методів аудиту за допомогою комп'ютера (МАСК)
4. Цей норматив описує два найзагальніших методи - програмне забезпечення контролю і дані тесту, які використовуються для забезпечення завдань контролю. Вимоги цього нормативу, можна використовувати для всіх типів МАСК.
Програмне забезпечення контролю (ПЗК)
5. ПЗК складається з комп'ютерних програм, які використовуються аудитором як частина процедур перевірки, котрі обробляють дані контрольних тестів системи обліку об'єкту аудиту. ПЗК може являти собою пакет програм, або окремі програми і утиліти. Незалежно від джерела виникнення ПЗК, аудитор повинен довести можливість їх використання для проведення перевірки. ПЗК може бути підготовлене безпосередньо аудитором, написане залученим до цієї роботи програмістом. Програми можуть використовуватися як високоефективний рахівний інструмент. До програм можна вносити зміни відповідно до вимог, які виникають з особливостей обліку клієнта. При плануванні аудиту необхідно розглянути можливість комбінування ручного аналізу даних з обробкою на ПЗК. Утиліти використовуються для того, щоб виконати загальні функції обробки даних, сортування, створення і виводу файлів на друк.
Тестування даних
6. Перевірка методом тестування даних використовується під час проведення процедур контролю, отриману вибірку даних вводять у комп'ютерну систему клієнта і порівнюють з її результатами: дані тесту, які використовуються для перевірки специфічних засобів управління в комп'ютерних програмах щодо типу інтерактивного паролю і доступу до даних; на шляху операцій тесту використовується "фіктивний" модуль (наприклад відділ або службова особа), дії цього модуля визначені, результати порівнюються з проходженням даних через аналогічний модуль програми клієнта. У тому випадку, коли контрольні дані обробляються разом з реальними даними клієнта, аудитор повинен бути впевненим, що після завершення тестування всі контрольні записи будуть вилучені з реального розрахунку клієнта.
Використання МАСК
7. Використання ПЗК може обмежуватися тестуванням окремих розділів, або прослідкуванням шляху однієї суми, а може включати процедури, пов'язані з побудовою бухгалтерського балансу клієнта. МАСК може використовуватися для виконання різноманітних процедур перевірки, включаючи:
тестування подробиць обробки інформації в системі обліку клієнта;
аналітичний огляд процедур для виявлення незвичайних випадків;
доступ до файлів даних і бібліотек;
тести на відповідність програмних засобів і систем управління та обліку.
7.1. Ефективність аудиту має підвищитися за допомогою МАСК з точки зору отримання найкращих доказів.
8. Під час планування перевірки аудитор мусить розглянути відповідну комбінацію організації і методів аудиту при сприянні комп'ютера. Необхідно врахувати фактори, що впливають на прийняття рішень при використанні комп'ютера, а саме:
знання комп'ютера, кваліфікація і досвід аудитора, сумісність МАСК і технічних засобів, на котрих Програмне забезпечення буде функціонувати; ефективність;
синхронізація у часі.
Знання комп'ютера, кваліфікація і досвід аудитора
9. Коли аудитор починає аудит у середовищі ЕОД, він повинен мати необхідні навички і досвід роботи з технікою, яка виконує підрахунки, або повинен залучити до роботи спеціаліста і делегувати йому частину своїх функцій. Аудитор повинен знати ЕОД, щоб спланувати, виконати і використувати результати МАСК. Рівень необхідних знань залежить від складності і конфігурації конкретного методу аудиту і програмного забезпечення контролю, а також системи обліку клієнта. Аудитор мусить розуміти, що використання МАСК за конкретних обставин може вимагати від нього значно більшого рівня знань комп'ютера і навичок роботи на ньому.
Сумісність МАСК і технічних засобів, на котрих вони будуть функціонувати
10. Аудитору слід проаналізувати відповідність МАСК засобам обслуговування комп'ютера і необхідним автоматизованим системам бухгалтерського обліку, а також картотекам. Аудитор може планувати використання інших засобів в обслуговуванні комп'ютера в тому разі, коли виконання роботи з використанням МАСК на комп'ютерній техніці клієнта буде неефективним, надто дорогим і непрактичним, наприклад, через несумісності з операційною системою.
11. Може виникнути необхідність у використанні допомоги персоналу клієнта для забезпечення роботи технічних засобів в найсприятливіший для аудитора час, завантаженню і запуску пакетів програм МАСК на комп'ютерах клієнта, забезпеченню копій даних у формі, яка необхідна аудитору.
Труднощі аналізу без використання комп'ютерів
12. Значна більшість комп'ютеризованих систем бухгалтерського обліку виконує дії, котрі неможливо візуально прослідкувати, тобто документально засвідчити ці дії не має можливості. Недоліки дослідження системи без використання комп'ютерів проявляються, наприклад, у випадках, коли: не існує вхідного документу, тобто операція здійснена в діалоговому режимі, крім того, розрахунок сум по сплаті відсотків може бути здійснений, виходячи з вимог алгоритму, без можливості побачити процедуру розрахунку; система не може показати контрольний слід операцій, оброблених тільки на комп'ютері; перевірки кредитоспроможності клієнта можуть бути зроблені тільки шляхом виключення, в такій ситуації не може залишитися жодного свідчення, що всі операції були оброблені; вихідна інформація може складатися тільки з підсумкової загальної кількості, в той час як деталі зберігаються в пам'яті комп'ютера.
Ефективність
13. Ефективність аналітичних процедур може бути поліпшена при використанні МАСК з точки зору отримання і оцінки контрольного доказу, наприклад, деякі операції можуть бути перевірені більш детально і ефективно, тому що при використанні комп'ютера можна охопити більший розмір вибірки, ніж при звичайному аналізі; під час аналітичних процедур можна проаналізувати ефективніше, ніж ручним методом, результати операцій у звітах і незвичайні величини; використання МАСК дає можливість більш ефективного проведення додаткових незалежних процедур перевірки для отримання необхідної оцінки засобів управління і контролю.
14. Під ефективністю необхідно розуміти наступне: час, який використовується для процесу планування, розробки, виконання і оцінки МАСК, технічний огляд і допомога в скороченні термінів виконання робіт, проектування і друк форм, установка контролю доступу і перевірка вводу даних, час роботи програми; в оцінці ефективності МАСК необхідно врахувати доцільність корисного використання ПЗК, іншими словами, наскільки можна в подальшому зменшити витрачені кошти і час на проектування і розробку МАСК, що позитивно вплине на процес аудиту.
Синхронізація
15. Деякі комп'ютерні файли зберігаються тільки на протязі короткого часу і не можуть бути доступні у разі першої необхідності. Тому аудитор повинен вжити необхідних заходів для збереження в пам'яті комп'ютера даних, які, можливо, знадобляться йому в майбутньому, або він повинен буде змінити час звернення до клієнта для отримання тієї, чи іншої інформації.
16. У ситуаціях, коли час перевірки обмежений, аудитору доцільно планувати використання МАСК, оскільки це скорочує тимчасові витрати у порівнянні із звичайними методами огляду і аналізу.
17. Основні дії аудитора при використанні прикладної програми МАСК:
а) Визначення мети прикладної програми;
б) Визначення змісту і доступності файлів об'єкту аудиту;
в) Визначення типів операцій і шляхів, котрі необхідно перевірити;
г) Визначення аудиторських процедур у системі програми;
д) Визначення розподілу обов'язків між комп'ютерним персоналом та керівництвом;
е) Зіставлення вигідності від використання ПЗК з витратами на її впровадження;
є) Оцінка рівня впевненості, що ПЗК будуть правильно оформлені і необхідним чином зафіксовані і зареєстровані;
ж) Визначення дефіциту в комп'ютерній техніці і вміння користуватися нею;
з) Використання функцій програми і оцінка отриманих результатів.
18. Аудитор повинен керувати процесом використання програми МАСК. Таке керівництво забезпечить правильне виконання процедур програми, допоможе виключити співробітників клієнта в управлінні МАСК. Специфіка роботи з прикладною програмою МАСК буде залежати від параметрів і властивостей самої програми, тому аудитору необхідно: ухвалити технічні моменти і виконати огляд роботи, за використанням МАСК; зробити огляд засобів керування системою ЕОД підприємства, наприклад можливість внесення виправлень у систему програми і доступ до бази даних. Якщо аудитора не задовольняє організація робочого місця при використанні комп'ютера клієнта, він має право проводити обробку інформації за допомогою МАСК на іншому більш придатному для поставленої мети комп'ютері; слід гарантувати відповідну інтеграцію та імплементацію висновків аудитора в процесі контролю.
19. Процедури, які виконуються аудитором для управління контрольними прикладними програмами, можуть включати:
а) Участь у проекті і тестуванні комп'ютерних програм;
б) Отримання гарантії того, що програма працює у відповідності з деталізованою спеціалізацією;
в) Перевірку відповідності конфігурації комп'ютера клієнта вимогам установки ПЗК;
г) Перевірку програми на невеликих тестових файлах перед запуском в основну роботу;
д) Перевірку можливості обробки ПЗК необхідного обсягу і кількості інформації;
е) Перевірку правильності функціонування ПЗК - адекватність інформації вводу-виводу;
є) Організацію відповідного контролю за доступом до ПЗК, який виключає несанкціонований доступ і маніпуляцію даними.
19.1 Необов'язкова постійна присутність аудитора під час управління програмою МАСК, однак він повинен гарантувати виконання необхідних процедур аудиту. Щоправда, така присутність бажана, тому що вона може забезпечити практичну вигоду, тобто можливість своєчасно зреагувати на несподіваний результат, змінити дані помилкового прикладу, виправити неправильний вхідний файл та ін.
20. Процедури, які виконуються аудитором для управління прикладними програмами, можуть включати:
а) управління послідовністю подачі тесту там, де це стосується обробки декількох циклів;
б) виконання тесту спочатку на малій кількості даних, а потім запуск програми з повним набором даних;
г) підтвердження того, що для обробки даних використовувалася ефективна версія ПЗК;
д) забезпечення використання ПЗК для обробки даних у відповідний термін і в контрольних точках, які мають суттєвий розмір.
21. Використовуючи МАСК, аудитор може визнати за необхідне залучення співробітника клієнта, який працює за комп'ютерним фахом. В такому випадку аудитор мусить впевнитися в тому, що не існує можливості втручання в роботу ПЗК з боку співробітника клієнта і як наслідок не буде впливу на результати тестування.
Документація
22. Стандарти робочих документів і процедур для МАСК повинні відповідати документам і процедурам аудиторської перевірки в цілому. Технічну документацію по МАСК необхідно тримати окремо від інших робочих документів аудитора.
23. Робоча документація на ПЗК МАСК повинна включати таку кількість інформації, щоб аудитор мав змогу описати свою прикладну програму, в тому числі інформацію про:
мету, специфіку МАСК, засоби управління МАСК, укомплектування персоналом, її синхронізацію і вартість; виконання, підготовку і проведення процедур тестування і оцінку засобів управління; деталі і подробиці тестів, які виконує МАСК; деталі і подробиці висновку, обробку і вивід інформації; технічну інформацію стосовно системи обліку клієнта, типу і конфігурації комп'ютера; контрольний доказ висновку; опис роботи контролю програми, висновки про контроль; про внутрішню систему контролю підприємством.
Крім того, може бути корисним надання пропозицій щодо використання ПЗК МАСК у подальших перевірках.
Використання МАСК на невеликих підприємствах
24. Загальні принципи, які описані в цьому нормативі, можуть використовуватися в системах ЕОД невеликих підприємств. Однак, необхідно мати на увазі наступне:
а) рівень загальних засобів управління системою ЕОД може бути таким, що аудитор оцінить ризик системи внутрішнього контролю як високий, що потягне за собою:
більше акцентування на деталях операцій і шляхів, аналітичних процедур, котрі збільшують ефективність МАСК, особливо в частині перевірки програмного забезпечення;
використання прикладної програми тестування контрольних процедур для перевірки правильності їх функціонування і даних у системі обліку клієнта.
б) При невеликих обсягах даних ефективнішими можуть бути методи обробки даних без використання комп'ютера.
в) Можна не отримати адекватної технічної допомоги від клієнта, що зробить неефективним використання МАСК.
г) Деякі програми контролю не зможуть функціонувати при використанні комп'ютерів старого покоління, таким чином вибір засобів МАСК може бути обмежений. У цій ситуації можна зробити копію таких файлів і обробити цю інформацію поза межами офісу клієнта на комп'ютері аудитора.
Норматив N 31
Вплив системи електронної обробки даних на оцінку систем бухгалтерського обліку і внутрішнього контролю
Зміст Параграфи
------------------------------------------------------------------
|Вступ 1-6 |
|Засоби внутрішнього контролю 7-10 |
|Огляд прикладних засобів управління системою ЕОД 11 |
|Оцінка 12 |
------------------------------------------------------------------
Вступ
1. Ризик виникнення помилки може існувати в кожному елементі системи обліку, тому необхідно постійно забезпечувати повноту і своєчасність поновлення документації, адекватність системи обробки даних та виконання операцій.
2. Необхідно розробити спеціальні процедури для перевірки і контролю автоматизованих засобів управління і обліку. Такі процедури можуть бути у вигляді програм і тестів, які проводяться без використання комп'ютерної техніки.
3. Під час оцінки ризику в системах, де використовується електронна обробка даних (ЕОД), аудиторам необхідно звертати увагу на методи управління, за яких передбачається обмеження доступу до бази даних, наприклад, захист бази даних від несанкціонованого втручання.
4. Вхід у систему може автоматично викликати дії по різних рахунках, тобто викликати помилки в різноманітних вхідних даних, через те, що завданий шлях перетворення однієї суми або файлу (файлів) міг бути здійснений при використанні комп'ютера з іншою неспівставною базою даних.
5. Деякі операції можуть здійснюватися системою ЕОД без вхідних документів, які можуть бути підставою для їх здійснення. Кажучи іншими словами, результат подібних дій не можна доказати вхідною документацією, і вони не можуть бути зареєстровані так, як реєструються дії, які ініціюються ззовні системи ЕОД.
6. Вразливість даних і носіїв даних програми залежить від виду матеріалу, з котрого виготовлені носії, і чутливості цих носіїв до загублення, навмисного, або випадкового знищення.
Засоби внутрішнього контролю ЕОД
7. Засоби внутрішнього контролю шляхом комп'ютерної обробки даних допомагають досягнути мети внутрішнього контролю підприємства і складаються як з процедур обробки без використання комп'ютерів, так і обробки з використанням спеціальних комп'ютерних програм, розроблених фахівцями в цій галузі.
Обробка даних без використання комп'ютера і засоби комп'ютерного управління впливають на середовище ЕОД і засобів управління прикладними комп'ютерними програмами, такими як комп'ютерні програми бухгалтерського обліку.
Основні методи управління ЕОД
8. Завдання основних методів управління ЕОД полягає в тому, щоб встановити необхідний контроль за системою ЕОД і забезпечити впевненість у тому, що мета внутрішнього контролю і управління досягнута. Основні методи управління ЕОД складаються з функцій управління; розробки систем прикладної програми і постійного супроводження і обслуговування її розробником для підтримки в робочому стані; тестування, перетворення, реалізації і документального оформлення нових або перероблених систем; обмеження доступу до програми третіх осіб; гарантій виконання системою ЕОД тільки тих операцій, які призначені для виконання конкретних завдань, а також виявлення і виправлення помилок в них; обмеження доступу до операцій і дозвіл на роботу тільки уповноважених на це співробітників; дублювання даних і комп'ютерних програм; процедур оновлення інформації у випадку її загублення, навмисного або випадкового знищення; засобів аварійного завершення дій у системі ЕОД на випадок надзвичайних обставин.
9. Мета внутрішніх засобів управління прикладною програмою полягає у встановленні процедур управління прикладними програмами, при цьому буде існувати можливість виконання тільки дозволених операцій і здійснення їх реєстрації, а також буде забезпечуватися своєчасність і повнота їх відображення. Внутрішні засоби управління ЕОД складаються з засобів управління вхідними даними - це дає впевненість у тому, що:
а. зроблено відповідне розпорядження уповноваженої особи щодо операцій до початку обробки інформації засобами комп'ютерної техніки; операція точно перетворена в форму, яка прочитується комп'ютерною програмою і зареєстрована в програмі; операції не пропущені і не змінені; виконання неправильних операцій не проводиться, при першій необхідності вносяться потрібні виправлення, після них здійснюються правильні дії.
б. Управління обробкою бази даних комп'ютера здійснюється для забезпечення впевненості в тому, що: в цілому операції правильно обробляються прикладною комп'ютерною програмою; жодна операція не пропущена, не добавлені помилкові операції, не внесені несанкціоновані зміни в них; помилки ідентифіковані і своєчасно виправлені.
в. Управління вихідними даними здійснюється для забезпечення впевненості в тому, що: отримано точний результат обробки; доступ до вхідної інформації дозволяється тільки уповноваженим на це співробітникам; вихідні дані можна прочитати, зрозуміти; вони принадні для подальшого використання.
10. Аудитор повинен проаналізувати, яким чином основні засоби управління середовищем ЕОД впливають на базу даних, оскільки це є важливим моментом для аудиторської перевірки. Основні засоби управління середовищем ЕОД впливають на ефективність її роботи.
Огляд прикладних засобів управління
11. Контроль за введенням, обробкою бази даних і виводом інформації на носії інформації може виконуватися спеціальним персоналом, користувачами системи, окремою групою працівників контролю, або може бути запрограмований у прикладному програмному забезпеченні, котре аудитор повинен перевірити. Такий контроль може складатися з:
а) Здійснення користувачем методу управління без використання комп'ютерів. Якщо такий метод управління забезпечує впевненість, що вихід інформації з системи є повним, точним і виводиться тільки необхідна інформація, аудитор може обмежитися дослідженням тільки цього методу.
б) Засіб управління вихідними даними прикладної системи. Якщо, в доповнення до методів управління вихідними даними без використання комп'ютерів, існує можливість шляхом використання прикладної комп'ютерної програми проконтролювати результати обчислень, аудитор може перевірити результати, отримані без використання комп'ютерів, повторно здійснюючи такий вид контролю.
в) Користування процедурами контролю, які передбачені комп'ютерною програмою. В деяких комп'ютерних системах аудитор може скористатися наявними в програмах процедурами контролю, а також методом контрольних даних, досліджуючи нестандартні і незвичайні ситуації.
Оцінка
12. Загальні засоби управління системою ЕОД можуть істотно впливати на процес обробки операцій у прикладних програмах. У разі, коли такі засоби управління неефективні, може підвищитися ризик виникнення помилки, існування і невиявлення помилок у системі ЕОД. Таким чином, слабкі сторони основних засобів управління ЕОД можуть бути представлені як наявністю слабкої системи контролю прикладною комп'ютерною програмою, так і використанням методів управління без використання комп'ютерів.
Норматив N 32
Оцінки властивого ризику і ризику невідповідності внутрішнього контролю, їх вплив на незалежні процедури аудиторської перевірки
Зміст Параграфи
------------------------------------------------------------------
|Вступ 1 |
|Властивий ризик 2-5 |
|Ризик невідповідності внутрішнього контролю 6-27 |
|підприємства |
|Співвідношення між оцінками властивого 28 |
|(притаманного) ризику і ризику невідповідності |
|внутрішнього контролю |
|Відношення оцінок властивого (притаманного) 29-34 |
|ризику і ризику невідповідності внутрішнього |
|контролю до ризику невиявлення помилок і їх |
|вплив на незалежні процедури аудиторської |
|перевірки |
------------------------------------------------------------------
Вступ
1. Мета цього нормативу - встановити правила оцінки властивого ризику і ризику внутрішнього контролю і використання таких оцінок для підготовки незалежних процедур перевірки, котрі аудитор збирається виконати з метою обмеження ризику невиявлення помилок до сприятливого рівня. Незалежні процедури аудиту робляться для отримання доказів стосовно повноти, точності і достовірності даних, які обробляються системою обліку. Вони існують у двох видах: детальних тестів операцій і залишків по рахунках; у вигляді аналізу важливих показників і тенденцій, включно з остаточним дослідженням незвичайних відхилень і статей.
Властивий ризик
2. Як зазначено в нормативі N 12 "Оцінка системи внутрішнього контролю підприємства та ризику, пов'язаного з ефективністю її функціонування" - властивий ризик є показником вразливості залишку по певному бухгалтерському рахунку або певній категорії операцій стосовно перекручень, які можуть бути суттєвими, або вразливість цих залишків щодо перекручень у загальній сукупності з перекрученнями по інших рахунках чи операціях, з припущенням, що заходи внутрішнього контролю підприємства на них не розповсюджувалися.
3. При визначенні стратегії проведення аудиту аудитору слід вивчити властивий ризик на рівні фінансової звітності підприємства. При детальнішому плануванні цю оцінку необхідно пов'язувати з залишками по рахунках і класом операцій.
4. Аудитор може зробити припущення, що існує значний розмір властивого ризику на рівні залишку по рахунку і класу операцій. Незважаючи на це, визначаючи загальну аудиторську стратегію, йому необхідно отримати від клієнта роз'яснення по фактах існування ризику на рівні окремих позицій фінансової звітності.
5. Для того, щоб зробити оцінку властивого ризику, аудитору слід використати свої професійні знання з метою врахування і оцінки численних факторів потенційних ризиків. Приклади факторів потенційних ризиків на рівні фінансової звітності: цілісність управління; досвід, знання і зміни в управлінському апараті за певний період, наприклад, малий досвід управлінського персоналу може вплинути на якість підготовки фінансової звітності підприємства; існуючий тиск на керівництво підприємства, наприклад, обставини, котрі можуть наштовхнути керівництво на перекручення фінансової звітності. Це відбувається тоді, коли підприємство здійснює діяльність у галузі, в якій існує досвід великої кількості підприємницьких невдач, або підприємство має дефіцит власного капіталу, що не дає йому змоги продовжувати операції; діяльність підприємства, наприклад, його товари і послуги, структура капіталу, споріднені сторони, виробництво і розміщення, розподіл і компенсаційні методи; фактори, які впливають на галузь, в котрій здійснює діяльність підприємство, наприклад, економічні умови і умови конкуренції, зміни в технології виробництва та послуг, загальній обліковій практиці, а також у фінансових тенденціях і показниках; бухгалтерські рахунки, які дають уявлення про фінансовий стан підприємства, і які, без сумніву вимагають виправлення, наприклад, рахунок фінансових результатів, по котрому треба було зробити коректування у попередньому періоді; складність основних операцій, котра може вимагати залучення спеціаліста професії, що відрізняється від аудиторської; здатність активів до анулювання або неправильного представлення; термін завершення незвичайних і складних угод, особливо в останні дні року.
Ризик невідповідності внутрішнього контролю підприємства
6. Ризик невідповідності внутрішнього контролю - це ймовірність того, що недостовірна інформація, котра може існувати по класу операцій або класу укладених угод і могла бути суттєвою, окремо або в сукупності з недостовірною інформацією по інших рахунках або класах операцій, не буде попереджена або своєчасно виявлена системою внутрішнього контролю підприємства. Завжди існує ризик певної невідповідності внутрішнього контролю у зв'язку із звичайною обмеженістю функціонування кожної системи внутрішнього контролю. Для того, щоб оцінити ризик невідповідності внутрішнього контролю, аудитор повинен вивчити адекватність описання внутрішнього контролю, як і те що він повинен перевірити процедури внутрішнього контролю підприємства. При відсутності такої оцінки аудитор повинен зробити припущення, що розмір ризику внутрішнього контролю високий.
7. Аудитору необхідно отримати вичерпні роз'яснення від працівників служб внутрішнього контролю і обліку для того, щоб у подальшому він мав змогу правильно спланувати аудит. Система внутрішнього контролю складається з середовища контролю і процедур контролю. Середовище контролю відноситься до галузі діяльності керівництва і управлінського персоналу, а саме ними запроваджується функціонування внутрішнього контролю на підприємстві.
7.1. Фактори, які відображаються у середовищі контролю, формують управлінську філософію і операційний стиль, організаційну структуру підприємства, методи надання прав і визначення обставин, систему управлінського контролю, в тому числі функцію внутрішнього аудиту, функції ради директорів, персональні рішення і процедури.
7.2. Процедури внутрішнього контролю являють собою рішення в доповнення до середовища контролю, котрі керівництво прийняло для забезпечення обгрунтованої гарантії того, що конкретні завдання підприємства будуть досягнуті. В основному це процедури, які стосуються відповідного санкціонування виконання угод, розподілу службових обов'язків, підготовки і виконанню наказів, документів, зберіганню активів і незалежних перевірок виконавчої дисципліни. Розуміння систем внутрішнього контролю і обліку разом з оцінкою внутрішнього (притаманного) ризику, інші міркування дозволяють аудитору: встановити види суттєвої недостовірної інформації, котра могла існувати у фінансовій звітності; проаналізувати фактори, котрі впливають на ризик можливості припущення суттєвих перекручень; підготувати відповідні незалежні процедури перевірки.
8. Аудитор не бере до уваги ті рішення і процедури в межах систем обліку і внутрішнього контролю, котрі не належать до фінансової інформації. Наприклад, рішення і процедури, які стосуються ефективності певних управлінських процесів прийняття рішень (визначення продажних цін на товари або витрат на дослідження і розвиток), котрі хоч і є важливими для підприємства, але не належать до процесу аудиторської перевірки.
9. Отримавши роз'яснення про системи обліку і внутрішнього контролю з метою планування аудиту, аудитор повинен здобути необхідний рівень знань про системи обліку і управлінського контролю.
10. Аудитор має отримати вичерпні роз'яснення від персоналу підприємства про середовище контролю, щоб оцінити ставлення керівництва до порядку внутрішнього контролю і усвідомлення ним його значення для підприємства.
11. Аудитор мусить знати систему обліку клієнта, що дозволить йому зрозуміти: основні види операцій підприємства; закономірність виникнення таких операцій; бухгалтерські проводки, первинні документи і специфічні рахунки, на підставі яких складається фінансова звітність; порядок ведення обліку і підготовки фінансових звітів (від виконання умов угоди до внесення у фінансову звітність результатів її виконання), включаючи електронно-обчислювальну обробку облікових даних.
12. Аудитору слід отримати вичерпні пояснення стосовно порядку процедур контролю, щоб правильно спланувати аудиторську перевірку. Йому необхідно отримати необхідні знання процедур контролю, тому що процедури контролю інтегровані в середовище контролю і систему обліку. Наприклад, під час отримання пояснень про систему обліку грошових коштів аудитор дістає уявлення про стан справ по розрахункових рахунках клієнта в банку.
13. Після отримання пояснень про систему внутрішнього контролю і обліку аудитор повинен зробити попередню оцінку ризику внутрішнього контролю по конкретних позиціях фінансової звітності.
14. При плануванні своєї методики перевірки, аудитору необхідно вивчити попередню оцінку розміру ризику невідповідності внутрішнього контролю (враховуючи свою оцінку внутрішнього (притаманного) ризику), щоб визначити відповідний ризик невиявлення помилок.
15. Аудитору необхідно зробити оцінку ризику невідповідності внутрішнього контролю для деяких висновків, коли він вважає, що: рішення і процедури підприємства з певних питань неефективні; оцінка ефективності рішень і процедур буде незадовільною.
16. Аудитор може зробити попередню оцінку ризику невідповідності внутрішнього контролю тільки тоді, коли він: має спроможність визначити процедури систем обліку і внутрішнього контролю, які відповідають внутрішнім положенням підприємства, і які сприяють виявленню перекручень у фінансовій звітності; планує виконати процедури узгодження, щоб підтвердити свою оцінку перевіреної фінансової звітності.
17. Деякі процедури, які виконані аудитором для роз'яснення систем внутрішнього контролю і обліку, могли не передбачатися в плані аудиторської перевірки. Разом з цим, вони можуть дати докази ефективності функціонування систем. Наприклад, завдяки методу опитування і спостерігання аудитор може отримати докази ефективності та своєчасності обертання грошових коштів, які знаходяться на банківських рахунках.
18. Коли аудитор встановлює, що необхідні процедури вже виконані для роз'яснення систем внутрішнього контролю і обліку, він може використати цей результат для підтвердження обгрунтованості своєї оцінки ризику невідповідності внутрішнього контролю.
19. Аудитору слід документально оформити свої роз'яснення про систему внутрішнього контролю і обліку підприємства, а також дати оцінку ризику невідповідності внутрішнього контролю.
20. Процедури узгодження складаються з опитування, огляду і вивчення, і виконуються одночасно для отримання доказів ефективності систем внутрішнього контролю і обліку (тобто наскільки доречно вони підготовлені для попередження або виявлення суттєвих перекручень), а також для отримання доказів ефективності систем обліку і внутрішнього контролю.
21. Після отримання пояснень про системи внутрішнього контролю і обліку (розглядаються тільки докази стосовно описання і ефективності рішень і процедур, які зіставляються з твердженнями, котрі аудитор отримав), аудитор може зробити спробу отримати більшу кількість доказів про їх ефективність для підтвердження оцінки ризику контролю на ще меншому рівні. Далі аудитор може змінити зміст і час проведення незалежних процедур перевірки або скоротити їх. У таких випадках він повинен знайти можливість отримання аудиторських доказів, які необхідні для підтвердження цієї оцінки.
22. Оцінка відхилень, виявлених при виконанні процедур узгодження, може привести аудитора до висновку про те, що оцінений ним рівень ризику невідповідності контролю необхідно збільшити. В цьому випадку він мусить поміняти зміст, термін проведення і обсяг незалежних процедур перевірки.
23. Докази, отримані особисто аудитором, можуть дати йому більше впевненості, аніж докази, отримані ним від інших осіб. Приміром, аудитор може отримати докази правильності розподілу службових обов'язків шляхом спостереження за особою, котра виконує функції контролю. Спостереження аудитора дає йому більше гарантії, ніж опитування окремої особи. Докази, отримані шляхом виконання процедур узгодження, відносяться тільки до того періоду, де використовувалися процедури контролю. Тому аудитор може прийняти рішення доповнити ці процедури іншими додатковими процедурами узгодження, які приведуть до отримання додаткових доказів по інших періодах.
24. Для того, щоб підготувати висновок про ризики невідповідності внутрішнього контролю, аудитор може вивчити підтвердження, отримані на підставі попередніх досліджень, в результаті проведення аудиторських процедур на постійних засадах протягом року.
25. До тієї миті, як прийняти рішення, чи треба спиратися на виконані при попередніх вивченнях процедури, аудитор повинен отримати докази змісту і масштабу змін у системах внутрішнього контролю і обліку підприємства, починаючи з періоду виконання другорядних процедур перевірки. Аудитору треба при цьому врахувати те, що чим більше період, який пройшов з часу виконання таких процедур, тим менше повинна бути його впевненість у цих доказах.
26. Аудитор може прийняти рішення виконати процедури узгодження на певну проміжну дату. Однак, йому не слід покладатися на результати таких процедур без вивчення необхідності отримання доказів стосовно наступного облікового періоду, який треба буде перевіряти. У цих питаннях підлягають вивченню такі фактори, як результати проміжних процедур, тривалість періоду, залишеного без контролю, а також кожні зміни, які виникли в системах обліку і внутрішнього контролю протягом періоду, що залишився для подальшої перевірки.
27. До того, як скласти свій висновок з результатів проведеного аудиту, аудитор повинен переглянути складені ним попередньої оцінки ризику внутрішнього контролю. Якщо ця раніше зроблена ним оцінка вимагає додаткового перегляду, аудитор має виконати додаткові процедури перевірки. При цьому аудитор мусить документально оформити кожний факт перегляду зробленої ним попередньої оцінки.
Співвідношення між оцінками властивого ризику і ризику невідповідності внутрішнього контролю
28. У багатьох випадках властивий ризик і ризик невідповідності внутрішнього контролю тісно пов'язані між собою. Керівництво часто реагує на розробку та впровадження нових систем внутрішнього контролю і обліку для попередження і виявлення помилок у випадках підвищення значення внутрішнього ризику. У ситуаціях, коли аудитор робить спробу оцінити окремо ризик контролю і властивий ризик, існує ймовірність неправильної оцінки цих ризиків у сукупності. Тому, ризик аудиторської перевірки може бути більш правильно визначений шляхом комбінованої оцінки вищезгаданих різновидів ризиків.
Відношення оцінок властивого ризику і ризику невідповідності внутрішнього контролю до ризику не виявлення помилок і їх вплив на незалежні процедури аудиторської перевірки
29. Як передбачено в Національному нормативі N 25, ризик невиявлення помилок, являє собою ризик того, що зроблені процедури аудиту не приведуть аудитора до виявлення ним перекручень по певних залишках у рахунках бухгалтерського обліку, які можуть бути суттєвими. Розмір ризику невиявлення помилок безпосередньо пов'язаний з порядком проведення процедур перевірки. Завжди існує ризик невиявлення помилок. Він існує навіть у тих випадках, коли аудитор вивчає 100% залишків по рахунках бухгалтерського обліку або класах операцій, оскільки аудитор може вибрати невідповідну аудиторську процедуру, неправильно використати таку процедуру або перекрутити тлумачення результатів аудиту.
30. Оцінка аудитором ризику невідповідності внутрішнього контролю і властивого ризику впливає на зміст, час проведення і розмір незалежних процедур аудиторської перевірки. Для того, щоб визначити необхідний рівень упевненості після проведення незалежних тестів, аудитору треба вивчити: зміст незалежних тестів; час виконання незалежних тестів (наприклад, їх виконання наприкінці року в порівнянні з попередніми місяцями); обсяг незалежних тестів.
31. Існує зворотний зв'язок між встановленим аудитором розміром властивого ризику і ризику невідповідності внутрішнього контролю, а також ризиком невиявлення помилок. Наприклад, коли аудитор вважає, що властивий ризик і ризик невідповідності внутрішнього контролю значні, ризик невиявлення помилок відповідно зменшується при плануванні процедур перевірки, щоб обмежити ризик аудиту до прийнятного рівня. І навпаки, коли властивий ризик і ризик невідповідності внутрішнього контролю є незначними, аудитор може встановити для себе під час планування перевірки по конкретних напрямах роботи вищий розмір ризику невиявлення помилок і, водночас зменшити ризик аудиту до прийнятного рівня.
32. Попередньо оцінені розміри внутрішнього ризику і ризику невідповідності внутрішнього контролю не можуть мати таке велике значення і вплив на думку аудитора, щоб привести його до висновку про недоцільність додаткових незалежних процедур перевірки стосовно значних залишків по рахунках і класах операцій. Таким чином, незалежно від зробленої оцінки розмірів властивого ризику і ризику невідповідності внутрішнього контролю, аудитор зобов'язаний виконати необхідні додаткові процедури аудиторської перевірки.
33. Аудиторська оцінка складових частин ризику аудиту може змінюватися під час проведення аудиту. Наприклад, при виконанні незалежних процедур аудиторської перевірки увагу аудитора може привернути інформація, яка значно відрізняється від інформації, щодо використання котрої аудитор вже зробив попередню оцінку властивого ризику і ризику невідповідності внутрішнього контролю. За таких обставин аудитор повинен змінити раніше заплановані процедури перевірки.
34. Що більші розмір і значення властивого ризику і ризику невідповідності внутрішнього контролю, то більша необхідність отримання з боку аудитора додаткових доказів аудиту. Коли властивий ризик і ризик невідповідності внутрішнього контролю оцінюється аудитором як значний, він повинен упевнитися в тому, що запроваджені ним процедури аудиторської перевірки дадуть йому необхідну і вичерпну переконаність, що ці заходи приведуть до скорочення розміру ризику не виявлення помилок до прийнятного рівня. В тому разі коли аудитор визнає, що ризик невиявлення помилок не можна зменшити до прийнятного рівня, йому необхідно висловити відмову від аудиторського висновку про фінансову звітність.
"Національні нормативи аудиту", 1999 р.