С точки зрения общего подхода аудиторский риск представляет собой
возможность выдачи неверного (ложного) заключения после завершения всех
аудиторских процедур.
Общий аудиторский риск (ОАР) – это вероятность формирования неверного мнения и как
следствие составление ложного заключения об отсутствии существенных ошибок, в
то время как они реально имеются.
Очевидно, что природа существенных ошибок связывает общий аудиторский
риск с двумя факторами:
- риск того, что существенные ошибки будут иметь место вообще;
- риск того, что какие-либо имевшие место существенные ошибки останутся
необнаруженными.
Условия влияния этих факторов предопределяют необходимость
структурирования общего аудиторского риска.
Таким образом, общий аудиторский риск состоит из внутреннего риска
деятельности (бизнеса) клиента, риска контроля и риска необнаружения.
Общий аудиторский риск на приемлемом уровне – это субъективно
установленный уровень риска, который аудитор готов взять на себя в отношении
того, что в финансовой отчетности клиента будут обнаружены погрешности после
завершения аудита и предоставления положительного аудиторского заключения без
оговорок.
Риск не может быть устранен полностью, поэтому в аудиторской практике
установлен приемлемый уровень риска – 5%, а следовательно, уровень доверия
равняется 95%. Такое соотношение в специальной литературе иногда называют
«магической цифрой аудиторского риска».
Внутренний риск (ВР) представляет собой совокупность возможных рисков, связанных
с функционированием предприятия, а именно: характеризует уровень всех
потенциальных ошибок в результате деятельности предприятия до проверки со стороны
системы внутреннего контроля. Риск возникновения таких ошибок связан с влиянием
как объективных, так и субъективных факторов.
Объективные факторы — инфляционные процессы, конкуренция, изменение условий
кредитования, налогообложения, сокращение рынка сбыта продукции и т.п.
Недостаточно стабильная экономическая ситуация в стране предопределяет сложные
экономические условия функционирования предприятий, поэтому эти факторы
особенно должны учитывать аудиторы Украины, чтобы сконцентрировать внимание на
объектах аудирования, связанных с потенциальными трудностями.
Субъективные факторы внутреннего риска следующие: сущность и
содержание бизнеса клиента; степень сложности организационной структуры
материнской фирмы и наличие значительной разветвленной сети дочерних
предприятий; политика управления и хозяйствования, в том числе учетно-экономическая
политика; система стимулирования труда персонала; наличие необычных и редких
хозяйственных операций; степень обеспечения сохранности собственности; масштабы
деятельности (объемы оборотов по счетам); применение компьютерной обработки
учетно-экономической информации.
На основе оценки влияния перечисленных факторов внутреннего
риска аудитор должен установить, на какие именно хозяйственные процессы
(операции) как объекты аудита они окажут воздействие. При этом максимальное
внимание следует обращать на те моменты, которые могут влиять на качество
финансовой отчетности, а потому отсекаются те риски клиента, которые не связаны
с составлением финансовой отчетности.
Даже при условии положительного влияния, перечисленных
факторов внутренний риск будет не ниже 50 %, а при их отрицательном воздействии
он может приближаться к 100 %.
Риск контроля (РК) представляет собой оценку действенности системы внутреннего
контроля клиента с точки зрения ее способности предотвращать или обнаруживать
ошибки. Система внутреннего контроля предприятия образуется подсистемами
внутрихозяйственного контроля (ВХК) и внутреннего аудита (ВА). В свою очередь,
в подсистеме внутрихозяйственного контроля, функции которого реализуют все
структурные подразделения аппарата управления, особо следует выделить внутрихозяйственный
контроль (ВХБК), реализуемый специалистами учетно-финансовой службы. Поэтому
при определении риска контроля необходимо оценить надежность и действенность
подсистем внутрихозяйственного контроля и внутреннего аудита (где такая служба
имеется).
Для того чтобы оценить уровень риска контроля ниже максимального (т.е.
ниже 100 %), необходимо:
• убедиться в наличии и ознакомиться с системой внутреннего контроля
клиента (наличие и качество организационных регламентов — Положения о
внутрихозяйственном контроле и закрепление контрольных функций в должностных
инструкциях персонала (особенно бухгалтеров), Положения о внутреннем аудите и
должностных инструкций внутренних аудиторов);
• убедиться в наличии и установить степень конкретности и детальности
планов и программ деятельности службы внутреннего аудита;
• установить степень полноты и соответствия программам проверок рабочих
документов и отчетов внутренних аудиторов;
• убедиться в степени обоснованности примененных методик внутреннего
аудита отдельных объектов;
• на основе имеющейся внутренней контрольной информации (ведомости
контроля отдельных объектов, контрольных расчетов, актов обследований,
заключения внутренних аудиторов) оценить качество функционирования системы внутреннего
контроля в целом;
• установить действенность мероприятий, корректирующих воздействий,
предпринятых по результатам внутреннего аудита;
• протестировать контрольные моменты, подтверждающие качество системы
внутреннего контроля (визуально оценить аккуратность, правильность и своевременность
ведения учетных регистров, соответствие остатков по журналам-ордерам (машинограммам)
и по счетам Главной книги, правильность корреспонденции счетов и др.);
• определить состояние контроля качества работы внутренних аудиторов со
стороны руководителя службы внутреннего аудита;
• ознакомиться с кадровой политикой в отношении внутренних аудиторов
(личные дела, квалификационные документы, программы профессиональной
подготовки).
Как свидетельствует аудиторская практика, уровень риска контроля
повышается при компьютерном варианте ведения бухгалтерского учета с применением
неапробированных бухгалтерских программ. Кроме того, фактором увеличения риска
контроля является сам факт выявления предыдущей аудиторской проверкой ошибок и
неточностей в системе бухгалтерского учета клиента.
Между риском контроля и информационной базой аудита существует прямая
зависимость. Если система внутреннего контроля признается достаточно надежной,
то объемы отобранных для тестирования объектов могут быть уменьшены.
Сочетание ВР и РК представляет собой вероятность наличия ошибок после
учета влияния системы ВК. Это предполагает, что аудиторы должны на основе
оценки этих рисков спрогнозировать, в каких разделах финансовой отчетности
ошибки наиболее или наименее возможны. Такой подход позволяет определить общий
объем накопления аудиторских доказательств, а также его распределение по
конкретным объектам (участкам) аудита.
Риск необнаружения (РН)означает меру готовности аудитора
признать, что проведенные им аудиторские процедуры в отношении конкретных
объектов не позволят обнаружить ошибки, превышающие предельно допустимый размер
(если таковы имеются).
Определение величины РН тесно связано с величиной ВР и РК.
Чем выше риск последних, что предполагает невысокую степень доверия аудитора ксистемам учета и ВК, тем меньше риск необнаружения необходимо установить
для конкретной аудиторской проверки.
ВР и РК не зависят от аудитора, он не может на них повлиять, поскольку
они являются результатом деятельности предприятия-заказчика независимо от
проведения аудита. В отличие от этих элементов риск необнаружения является
следствием выполненной аудитором работы, за которую он несет полную
ответственность. Таким образом, в этом ключе основной задачей аудитора является
минимизация риска необнаружения, что достигается достаточным объемом
аудиторских процедур на основе применения грамотно составленных методик аудита,
тестирования зон риска.
По известным причинам аудиторы Украины еще не обладают
достаточным опытом в отношении оценки аудиторского риска, что дает основание
воспользоваться моделью оценки риска, при- меняемой пятью ведущими аудиторскими
фирмами мира:
ОАР = ВР ∙ РК ∙ РН, где
ОАР — общий аудиторский риск;
ВР — внутренний риск;
РК — риск контроля;
РН — риск необнаружения.
Отсюда риск необнаружения определяется аудитором расчетным
путем:
РН = ОАР / ВР ∙ РК
Как отмечается в зарубежной специальной литературе, риск необнаружения
состоит из риска аналитического обзора (РАО) и риска тестового контроля (РТК),
что следует учитывать при его оценке. Тогда модель ОАР примет такой вид:
ОАР = ВР ∙ РК ∙ РАО ∙ РТК
Результаты обобщения зарубежного опыта в отношении
установления уровней аудиторского риска по элементам представлены в таблице 1.
Таблица 1. Показатели
приемлемого уровня аудиторского риска
Наименование элементов аудиторского риска
Приемлемые значения
минимум
Максимум
Общий аудиторский риск
0,01
0,05
Внутренний риск
0,5
1
Риск контроля
определяется экспертным путем
1
Риск необнаружения
определяется расчетным путем
< 0,5
Например, если величину ОАР принять в размере 5 %, ВР оценить в размере
100 % (это свойственно для предприятий-клиентов по вновь заключенным договорам),
а РК — 30 % (это достаточно низкая степень риска, означающая, что система ВК
достаточно надежна), то величина РН составит
РН = 0,05 / 1,00 ∙ 0,30 = 0,1666
При этом очевидно, что если максимальная величина РН
равна 16,66 %, то необходимая степень уверенности в результатах работы аудитора
составит примерно 83 %. Поэтому должно быть протес- тировано не менее 83 % всей
совокупности информации клиента, касающейся составления финансовой отчетности.
Таким образом, необходимая степень уверенности обеспечивается
равнозначным объемом отбора объектов для детального контроля.
Следует отметить, что рассмотренная модель аудиторского риска не лишена
недостатков, а именно:
• оценки
приемлемого аудиторского риска, внутреннего риска и риска контроля в значительной
степени субъективны;
• это модель планирования, поэтому при оценке результатов
аудита ее использование не всегда представляется возможным.
Как показали исследования, многие аудиторские фирмы, для того
чтобы справиться с проблемой субъективности, не пытаются применять числовых
значений к уровням риска, а обозначают их как "высокий", "средний"
и "низкий".
Таблица 2. Варианты
оценки аудиторского риска.
Значения элементов риска
Риск
Степень уверенности
ВР
РК
РН при ОАР=0,5
1
2
3
4
5
0,5 - 0,6
0,3
0,33 – 0,28
низкий
высокая
0,8 – 0,9
0,6
0,10 – 0,09
средний
средняя
1,0
0,8
0,63
высокий
низкая
1,0
1,0
0,05
тотальный
отсутствует
Что касается второго недостатка модели аудиторского риска, то следует
отметить, что после того как будут оценены все риски и на их основе разработан
общий план аудита, составляющие плана по ВР и РК не подлежат изменению на основе
полученных результатов аудита. Это означает, что если аудитор выявит ошибки
ниже минимальной границы предельно допустимого размера ошибки (ПДРО), то для
данного объекта уровень риска считается приемлемым. Однако если аудитором будут
обнаружены ошибки, превышающие ПДРО, то от модели следует отклониться и провести
достаточное количество контрольных процедур, чтобы обеспечить уверенность в
надежности идентификации выявленных ошибок и количественно определить их
значение.
Иными словами, оценка аудиторского риска позволяет
разработать общий план и программы аудита в первом варианте. При выявлении
указанных отклонений в ходе выполнения аудита документы планирования подлежат
корректировке в части увеличения объема аудируемых объектов и дополнительных
контрольных процедур с тем, чтобы обеспечить уровень риска необнаружения,
соответствующий приемлемому уровню OAP (см. гр. 3 табл. 2).
Таким образом, процедура оценки аудиторского риска
обосновывает планирование аудита в части содержания общего плана, программ
аудита, графиков работы ассистентов аудиторов, что закреплено в МСА 300
«Планирование».
Общий план аудита должен содержать общий перечень объектов,
подлежащих аудированию, с указанием бюджета времени на выполнение работ по
каждому из них и в целом. При этом итоговый показатель бюджета времени для
аудирования деятельности клиента, обозначенный в общем плане, должен
соответствовать срокам выполнения работ, указанным в договоре с клиентом.
Для выполнения общего плана аудита необходима дальнейшая конкретизация
каждого укрупненного объекта, определение масштаба аудиторских процедур, сроков
их выполнения, а также назначение конкретных исполнителей — аудиторов, что
находит отражение в программах аудита.
Для осуществления контроля за работой ассистентов аудиторов целесообразно
составление графиков работы каждого из них, где структурные элементы объекта
аудирования подразделяются на соответствующие аудиторские процедуры с тем,
чтобы удобнее было применять уровни существенности ошибок, более детально
обозначить масштабы этих процедур, сроки их выполнения.
Как видим, указанные документы отражают системный подход к организации
процесса аудита, позволяют осуществлять контроль за ходом его выполнения, своевременно
реагировать на отклонения от заданных сроков. Кроме того, они могут иметь
юридическую силу в случае возникновения разногласий с клиентом на завершающем
этапе. Поэтому целесообразно ознакомить клиента с их содержанием, согласовать
предлагаемые подходы к оценке существенности ошибок, объясняя их установленными
уровнями элементов аудиторского риска, и подписать в двухстороннем порядке.
Таким образом, одной из важнейших процедур при организации и планировании
аудита на объекте является оценка аудиторского риска, что предопределяет
ориентацию последующих работ на обоснованные объемы выборочных исследований с
учетом определения «зон риска».