Аудиторские процедуры при проведении оценки рисков искажения финансовой отчетности организации

Введение, обзор литературы, цель

Целью аудита согласно определению международного стандарта аудита (МСА) 200 «Основные цели независимого аудитора и проведение аудита в соответствии с международными стандартами аудита» является повышение степени уверенности потенциальных пользователей финансовой отчетности в том, что такая отчетность подготовлена во всех существенных отношениях в соответствии с применимой концепцией подготовки финансовой отчетности и не содержит существенных искажений как вследствие недобросовестных действий, так и по причине ошибки [1]. Данная цель до стигается аудиторами путем формулирования соответствующего мнения в выпускаемом аудиторском заключении.

Данная парадигма накладывает соответствующую обязанность на аудитора при проведении оценки рисков выявить потенциальные области (счета/статьи/раскрытия), для которых применим риск существенного искажения (РСИ) и, в особенности, где вероятность такого искажения высока. По скольку аудитор действует в режиме ограниченности ресурсов (временных, человеческих и пр.) и МСА требуют от него получения разумного, а не абсолютного уровня уверенности, эффективное планирование является фундаментальным фактором аудиторской проверки. Именно оно позволяет выявить наиболее подверженные рискам области и определить перечень необходимых для проведения аудиторских процедур в ответ на данные риски, направленных на получение надлежащих и до статочных аудиторских доказательств [2].

МСА 320 предписывает, что при проведении аудиторской проверки и формировании общей стратегии аудита аудитору необходимо определить уровень существенности для финансовой отчетности в целом [3]. Существенность является основополагающим показателем, который аудитор использует при принятии решения о необходимости выполнения аудиторских процедур в отношении конкретных статей/счетов/раскрытий. При оценке наличия РСИ аудитор проводит предварительный анализ для формирования вывода о том, присуща ли данной статье/раскрытию вероятность того, что в ней может быть допущено искажение (как вследствие недобросовестных действий, так и вследствие ошибки) на сумму, большую уровня существенности. Также принцип существенности применяется при оценке влияния на аудит выявленных искажений (в том числе при оценке влияния на финансовую отчетность неисправленных искажений). На основании рассчитанного показателя существенности строится остальной перечень процедур, проводимых аудитором в рамках аудиторской проверки (рис. 1).

Аудиторские процедуры на этапе планирования призваны также определить «оценки и суждения» руководства (МСА 540),

Рис. 1. Последовательность действий аудитора при выполнении процедур по аудиторскому заданию

Fig. 1. Sequence of actions done by the auditor when performing procedures for the audit engagement

которые могут оказать существенное влияние на показатели финансовой отчетности, а также направлены на определение существующих бизнес-рисков и существенных классов финансово-хозяйственных операций, которые являются значительными при подготовке отчетности [4]. В рамках этапа оценки рисков также определяются риски, присущие финансово-хозяйственной деятельности компании-клиента, а также механизмы контроля, которые должны применяться организацией для нивелирования воздействия данных рисков.

На основе указанных процедур аудиторы проводят тестирование системы внутреннего контроля организации с целью определения ее эффективности в выявлении возможных искажений в системе бухгалтерского учета и подготовки финансовой отчетно сти. На основе вывода об эффективности системы внутреннего контроля аудиторы могут провести планирование аудиторских процедур для получения до статочных и надлежащих аудиторских доказательств, необходимых, в конечном итоге, для формирования мнения о финансовой отчетности клиента.

Таким образом, целью этапа планирования аудита является определение объема и содержания необходимых процедур по те- стированию системы внутреннего контроля организации, а также определение объема детальных аудиторских процедур по существу, направленных на подтверждение достоверности финансовой отчетности компании в ответ на оцененные риски.

Методы исследования

Теоретической и методологической основой проводимого исследования послужили нормативно-правовые акты в области международного регулирования оценки аудиторских рисков (международные стандарты аудита), а также фундаментальные научные и научноприкладные исследования, учебные пособия и статьи ученых в рассматриваемой области. Исследованием теоретических и практических аспектов аудита на разных этапах его становления и развития занимались такие зарубежные основоположники аудита, как Дж. Робертсон, Д. Ф. Дефлиз, Р. Монтгомери, Р. Адамс, В. Бринк, Д. Р. Кармайкл и др. Существенный вклад в развитие аудиторских практик внесли труды отечественных ученых, исследовавших в том числе риск-ориентированный подход к аудиту: И . Н. Богатой, В . И . Подольского, С. М. Бычковой, Е. А. Мизиков-ского, Ю. Ю. Кочинева, С. В. Пономаревой, Н. В. Бровкиной, В. А. Ерофеевой, В. Г. Геть-мана, А. А. Савина и др.

Результаты и дискуссия

Согласно пп. 10-11 МСА 320 обязанностью аудитора в начале аудиторской проверки является определение двух показателей существенности: для финансовой отчетности (далее - ФО) в целом и для выполнения аудиторских процедур (в частности, для проведения оценки РСИ и последующего определения эффективных сроков, характера и объема дальнейших процедур к проведению) [3].

Алгоритм расчета существенности подразумевает выполнение нескольких этапов.

• 1.    Определение существенности для всей ФО в целом :

  • 1.1.    Выбор контрольного показателя. Определение существенности во многом является предметом профессионального суждения аудитора. В соответствии с рекомендациями МСА 320 для проведения количественной оценки существенности аудиторы зачастую используют некий процент от выбранного контрольного показателя [3; 4]. Такими показателями могут являться выручка, прибыль до налогообложения, совокупные расходы, чистые активы и пр. Выбор надлежащего контрольного показателя зависит от нескольких факторов: кто является пользователями отчетности и какие показатели деятельности компании наиболее важны для них, какие показатели наиболее точно характеризуют динамику развития компании, является ли показатель волатильным, стабильно низким, репрезентативным для обычной продолжающейся деятельности компании, относится ли организация к категории организаций финансового сектора.

  • 1.2.    Применение процента к контрольному показателю. Далее к выбранному контрольному показателю применяется определенный процент, который может отличаться для листинговых и нелистинговых организаций (для последних он, как правило, меньше) и варьируется, зачастую, на уровне 1-10 %.

  • 1.3.    Корректировка полученного показателя. Рассчитанный показатель на основании профессионального суждения аудитора и оценки им различных качественных факторов (таких как является ли организация общественно значимой, размер долговых обязательств компании и пр.) может быть скорректирован.

  • 1.4.    Отдельные процедуры в случае аудита Группы. При проведении аудита Группы аудитору необходимо рассчитать как групповую существенность, так и существенность для отдельных компонентов.

• 2.    Определение существенности для выполнения аудиторских процедур. При проведении аудита необходимо учитывать тот факт, что существенное искажение отчетности может представлять собой как отдельное выявленное искажение (индивидуально большее рассчитанного показателя существенности), так и множество индивидуально несущественных искажений, совокупность которых превышает уровень существенности для ФО. С целью понижения риска необнаружения и снижения до приемлемо низкого уровня вероятности того, что обнаруженные неисправленные и невы-явленные искажения в совокупности превысят уровень существенности для ФО, аудиторами определяется существенность для выполнения аудиторских процедур (СВАП). МСА 320. А13 также подчеркивает, что алгоритм определения СВАП технически не определен и не сводится к применению ряда установленных формул, а проводится с учетом полученного аудитором понимания организации, опыта работы с клиентом, ожиданий аудитора в отношении искажений в текущем периоде [3].

• 3.    Определение величины, ниже которой искажения являются незначительными (уровень существенности индивидуальной корректировки). Уровень существенности индивидуальной корректировки также рассчитывается как процент от уровня существенности. МСА 320 не регламентирует использование данного показателя, однако в аудиторской практике он широко распространен [3]. Аудитор накапливает все выявленные в ходе аудита искажения, превышающие данный порог, и включает их в свод выявленных искажений.

СВАП рассчитывается, зачастую, как процент от рассчитанного ранее уровня существенности для ФО в целом (как правило, применяется диапазон от 50 до 85 %). При определении СВАП необходимо также учитывать риск агрегирования.

От уровня СВАП впоследствии будут зависеть, например, размеры выборок при детальном тестировании по существу.

При определении существенности аудитору необходимо также помнить о том, что по результатам выполнения аудиторских процедур он может прийти к выводу о необходимости пересмотра рассчитанного показателя существенности: вследствие появления новой информации, изменения в экономической среде или отрасли, в котором функционирует предприятие, существенных изменениях в бизнесе клиента, изменения представления о компании и ее деятельности в результате непосредственного выполнения процедур. При пересмотре уровня существенности пересматриваются также показатели СВАП и уровень существенности, ниже которого искажения считаются незначительными. Это может повлиять на необходимость проведения дополнительных аудиторских процедур или коррекции уже проведенных.

В соответствии с требованиями МСА 315 (пересмотренный, 2019 г.) «Выявление и оценка рисков существенного искажения» (п. 13) в обязанности аудитора входит разработка и проведение процедур оценки рисков, направленных на получение аудиторских доказательств, необходимых для обеспечения надлежащей основы для выявления и оценки применимых для организации-клиента РСИ (возникающих как вследствие недобросовестных действий, так и по причине ошибки) как на уровне ФО, так и на уровне отдельных упомянутых ранее предпосылок. Данные процедуры обеспечивают также основу разработки непосредственно аудиторских процедур по существу (в соответствии с МСА 330 «Аудиторские процедуры в ответ на оцененные риски») [5–7].

Процедуры оценки рисков включают (п. 14 МСА 315):

• а)    запросы руководству, ответственным сотрудникам, представителям службы внутреннего аудита организации;

• б)    аналитиче ские процедуры (например, проведение сравнения изменений в сальдо или оборотов по счетам за промежуточный период (например, в разрезе кварталов) с соответствующими остатками / оборотами за предыдущий сопоставимый период, чтобы получить представление о возможных областях повышенного риска);

• в)    инспектирование и наблюдение (например, инспектирование функционирования средств контроля организации или внутренних документов) [5].

Далее будут рассмотрены конкретные процедуры, проводимые аудитором на этапе планирования и оценки рисков (рис. 2).

В рамках проведения общих процедур оценки рисков аудитором оцениваются выявленные факторы при принятии задания и клиента, а также информация, полученная по результатам выполнения предыдущих аудиторских заданий в отношении конкретного клиента (в частности, выявленные искажения – как исправленные, так и неисправленные).

Кроме того, одной из стандартных процедур, проводимых на данном этапе, является изучение протоколов собраний собственников, руководства и лиц, отвечающих за корпоративное управление (ЛОКУ), оценивается влияние принятых решений на финансовую отчетность.

Проведение опросов руководства, ЛОКУ и службы внутреннего аудита может помочь аудиторам в получении понимания отдельных аспектов организации и ее окружения, изменения в бизнесе клиента и существенных изменениях в отрасли, о существующих в организации средствах внутреннего контроля, значимых для бухгалтерского учета и подготовки ФО, подход руководства к работе с оценочными значениями, отдельные факторы недобросовестных действий [8], оценки руководством способности организации продолжать деятельность непрерывно и пр.

Также в рамках проведения общих процедур оценки рисков аудиторы изучают документацию предыдущего аудитора (применимо для новых клиентов) во всех существенных отношениях, в том числе проводятся встречи с предыдущим аудитором. При этом аудиторы являются независимыми друг от друга и стандарты не позволяют полагаться на документацию предыдущего аудитора без проведения соответствующих процедур.

Следующим этапом анализа является получение понимания организации и ее окружения, а также применимой концепции подготовки ФО. В рамках данного этапа аудитор изучает такие аспекты, как структура орга-

Рис. 2. Процедуры по выявлению и оценке рисков искажения

Fig. 2. Procedures for identifying and assessing risks of misstatement

низации (в том числе структура собственности организации и взаимоотношения между учредителями и другими физическими или юридическими лицами, организационная структура компании; определяет, существуют ли различия между ЛОКУ и руководством), корпоративное управление (бизнес-модель, цели, долгосрочная и краткосрочная стратегии, применимые к организации бизнес-риски, способные привести к риску существенного искажения ФО; показатели, используемые организацией для оценки финансовых результатов – как для внутренних, так и для внешних целей и пользователей; изменения в финансово-хозяйственной деятельности организации), отраслевые факторы (рынок и конкурентная среда, цикличная или сезонная деятельность, применимые регуляторные факторы), прочие внешние факторы (такие как общие экономические условия и среда осуществления деятельности и пр.), применимая концепция подготовки ФО (учетная политика организации, а также ее изменение (если применимо), порядок учета сложных или необычных операций, применение организацией новых стандартов).

Отдельной процедурой в рамках изучения организации и ее окружения может выступать анализ средств массовой информации (СМИ) и упоминаний компании в СМИ. Процедура позволит аудитору ознакомиться с ключевыми событиями в деятельности организации, которые, возможно, должны были найти отражение в ее учете или отчетности, а следовательно, могут повлиять на оценку рисков.

Таким образом, изучение деятельно сти организации, получение понимания ее окружения, применимой концепции подготовки ФО способствуют формированию мнения аудитора относительно существующих в отношении организации факторов неотъемлемого риска, которые могут оказать влияние на подверженность отдельных предпо сылок искажению при составлении ФО, а также направлены на получение понимания аудитором значимых событий и условий, оказывающих влияние на деятельность компании-клиента. Данные факторы способствуют эффективному определению и проведению оценки рисков существенного искажения.

Третьим этапом процедур оценки рисков является получение понимания компонентов системы внутреннего контроля организации, а именно контрольной среды, существующих и регламентированных процессов оценки рисков в организации, информационной среды и информационного взаимодействия, процесса мониторинга системы внутреннего контроля, а также ИТ-среды организации.

МСА 315 предписывает также получить понимание того, как организация демонстрирует приверженность честности и этическим ценностям, включая порядок выполнения руководством своих обязанностей по надзору, таких как формирование и поддержание корпоративной культуры организации [5]. Аудитору необходимо изучить структуру, порядок подчинения и соответствующие полномочия. Документами для изучения здесь могут стать Устав, Организационная структура, Должностные инструкции, Листы ознакомления с локальными нормативными актами.

Аудитор должен получить понимание того, как организация демонстрирует готовность привлекать и удерживать компетентных специалистов, а также как организация устанавливает ответственность сотрудников за исполнение их обязанностей. Необходимо убедиться, что сотрудники организации (особенно участвующие в процессе подготовки ФО и ведения бухгалтерского учета) обладают соответствующими компетенциями, существуют ли в компании программы обучения, утверждены ли политики и процедуры подбора персонала, регламентирован ли процесс найма, какая существует система мотивации в компании, система ключевых показателей эффективности.

МСА 315 также предписывает аудитору получить понимание того, что организация устанавливает стратегические, а также краткосрочные бизнес-цели с достаточной ясностью и определенностью трактовок, чтобы обеспечить выявление и оценку рисков, связанных с данными установленными целями (особенно цели, связанные с подготовкой ФО, определением бухгалтерских оценок, а также риск недобросовестных действий), а также того, как организация само стоятельно выявляет и анализирует риски для достижения своих целей, чтобы определить, как ими управлять, и как компания-клиент выявляет и отслеживает изменения, которые влияют на систему внутреннего контроля [5; 6].

МСА 315 предписывает аудитору получить понимание того, как организация распространяет информацию о ролях и ответственности в области финансовой отчетности среди сотрудников, а также как она осуществляет внешнее взаимодействие по данным вопросам [5].

Аудитор должен изучить, какие контрольные процедуры существуют в организации, как и с какой периодичностью проводятся проверки функционирования системы внутреннего контроля, а также как организация проводит корректирующие мероприятия для устранения недостатков своих средств контроля.

В качестве еще одной процедуры на этапе оценки рисков аудитор должен получить понимание информационной среды компании-клиента. Данная процедура включает в себя изучение ИТ-среды организации, используемых ИТ-приложений, связанных с ведением бухгалтерского учета или обработкой / хранением / передачей информации, необходимой для составления ФО, а также иных компонентов ИТ-среды, которые могут стать катализаторами возникновения рисков, влияющих на подготовку ФО или возникновения искажений на уровне учетных данных. Аудитору необходимо задокументировать изученную информацию, а также установить, были ли выявлены риски, связанные с использованием ИТ, а также риски или непосредственно случаи, связанные с угрозами кибербезопасности.

Помимо изучения компонентов ИТ-среды аудитор также идентифицирует и определяет эффективность действующих в организации средств ИТ-контроля. МСА 315.А125 предписывает аудитору оценить структуру и внедрение данных контролей [5], что помогает аудитору понять, какой подход применяется руководством для снижения рисков, возникающих вследствие использования ИТ, есть ли необходимость для проведения тестирования операционной эффективности функционирования данных ИТ-контролей, насколько аудитор может полагаться в рамках выполнения своих процедур на информацию, сформированную в ИТ-приложениях организации, что в конечном итоге также влияет на оценку аудитором неотъемлемого риска на уровне предпосылок и степень детализации, объема аудиторских процедур. Эффективным способом проверки структуры и внедрения ИТ-контролей является проведение сквозного тестирования – инспектирование работы контроля на всех применимых этапах процесса его работы (МСА 315, МСА 330) [5; 7].

Помимо всего вышеуказанного, согласно МСА 315 аудитору необходимо сформировать представление о работе службы внутреннего аудита (в том числе комитета по аудиту Совета директоров, если применимо) в организации путем направления опросов руководству такой службы, изучения ее отчетов, локальных нормативных актов, регулирующих ее деятельность [5]. Такое понимание может предоставить дополнительную информацию, непосредственно влияющую на оценку аудитором РСИ. В случае если аудитор принимает решение использовать работу службы внутреннего аудита для изменения сроков проведения, характера или объема аудиторских процедур, он должен руководствоваться МСА 610 «Использование работы внутренних аудиторов» [9–12].

В случае если аудитор выявляет, что клиент использует услуги обслуживающей организации, связанные с управлением активами, подготовкой финансовой отчетности, ведением бухгалтерского учета и прочие значимые услуги, он должен руководствоваться МСА 402 «Особенности аудита организации, пользующейся услугами обслуживающей организации» [10; 13–16].

Понимание процессов, связанных непосредственно с подготовкой ФО, а также с конкретными статьями ФО, также позволяет аудитору выявить потенциальные точки риска и правильно спланировать дальнейшую аудиторскую проверку для достижения приемлемого уровня аудиторского риска [11].

На основании детально рассмотренных выполняемых аудитором процедур по оценке рисков (в частности оценки РСИ [12; 15–17]), аудитор проводит детальное планирование аудиторской проверки, а также формирует стратегию проверки таким образом, чтобы получить надлежащие достаточные аудиторские доказательства в ответ на выявленные РСИ, чтобы убедиться, что составленная отчетность компании свободна от существенной ошибки [13; 14; 16–19].

Заключение

Таким образом, на этапе оценки рисков от аудитора требуется выполнение значительного числа процедур, которые могут повлиять на конечную оценку им рисков существенного искажения финансовой отчетности в целом и на уровне предпосылок.

МСА 315 регламентирует порядок и достаточно сть данных процедур, в том числе касательно рекомендаций по их проведению.

Логическим продолжением рассмотренного этапа является непосредственное проведение аудиторских процедур, регулируемое МСА 330. Основная цель МСА 330 «Аудиторские процедуры в ответ на оцененные риски» – сформировать представление руководства аудируемого лица о том, каким образом аудиторы должны и могут получить до статочные надлежащие доказательства в ответ на выявленные и оцененные риски искажения путем проведения соответствующих процедур. В частности, стандарт в значительной степени раскрывает необходимые к проведению процедуры в ответ на тестирование рисков средств контроля и подчеркивает, что эффективная контрольная среда является до статочным основанием для аудитора для формирования более высокой степени уверенности в существующих в организации внутренних контролях и надежности полученных внутри организации аудиторских доказательств, что позволяет уменьшить количество проводимых аудиторских процедур.