Е.Л. Сквирская,
директор департамента методологии аудита компании ФБК
Оценка средств контроля в ходе аудита: методические приемы и рекомендации
В данной статье анализируются методы оценки в ходе аудита адекватности и применимости средств контроля, которые использует в процессе своей деятельности аудируемое лицо. Для описываемых методик приводятся образцы подготовки аудитором рабочей документации. Также рассматриваются вопросы проведения выборочных проверок средств контроля, включая методы определения объема выборок при тестировании средств контроля.
В рамках действующих в настоящее время федеральных правил (стандартов) аудиторской деятельности (ФПСАД) на аудитора в ходе получения понимания системы внутреннего контроля (СВК) аудируемого лица возлагается обязанность оценить, как организованы средства контроля, т.е. их адекватность, и установить факт их применения (см. ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности»[1]. Результаты этой оценки аудитор должен документировать. Аналогичные требования закреплены и в международных стандартах аудита (МСА). Они регламентируются МСА 315 «Выявление и оценивание риска существенного искажения финансовой отчетности в ходе получения понимания деятельности и среды, в которой действует организация»[2]. Требования, установленные МСА 315 и ФПСАД № 8, в основном совпадают, что видно из табл. 1.
Таблица 1
Требования в отношении оценки средств контроля
|
МСА 315 |
ФПСАД № 8 |
|
Пункт 13. «В процессе получения понимания средств контроля, имеющих отношение к аудиту, аудитор обязан оценить вид этих средств и определить, применялись ли эти средства контроля на практике, путем применения дополнительных процедур помимо опроса персонала» |
Пункт 52. «Понимание аудитором системы внутреннего контроля аудируемого лица подразумевает осуществляемую аудитором оценку адекватности организации средств контроля и установление факта их применения» |
|
Пункт 29. «После того как аудитор определил, что значимые риски существуют, он обязан получить понимание средств контроля организации, включая контрольные действия, относящиеся к данному риску» |
Пункт 111. «В отношении значимых рисков аудитор, если им это не было сделано ранее, должен оценить организацию установленных в отношении этих рисков средств контроля, включая контрольные действия, и определить, выполнялись ли они» |
|
Пункт 32. «Аудитор обязан документировать: <…> (в) ключевые элементы понимания в отношении каждого из аспектов деятельности организации и ее среды, упомянутых в параграфе 11, и каждого из компонентов внутреннего контроля, определенных в параграфах 14—24, источники информации, на основании которых получено понимание, и выполненные процедуры оценки рисков» |
Пункт 120. «Аудитор должен документально оформлять: <…> б) наиболее важную информацию относительно каждого из аспектов деятельности аудируемого лица и среды, в которой она осуществляется, указанных в пункте 19 настоящего правила (стандарта), включая информацию о каждом из элементов системы внутреннего контроля, указанных в пункте 42 настоящего правила (стандарта), для оценки рисков существенного искажения финансовой (бухгалтерской) отчетности, источники информации, с помощью которой было достигнуто понимание деятельности аудируемого лица и среды, в которой она осуществляется, а также процедуры оценки рисков» |
Таким образом, и федеральными, и международными стандартами аудита предусмотрено, что в ходе выполнения каждого задания аудитор обязан оценить адекватность средств контроля организации, установить факт их применения и документировать результаты этих процедур.
В системе МСА данные требования увязываются с разработкой дальнейших аудиторских процедур по оцененным рискам, порядок которой регламентирован МСА 330 «Аудиторские процедуры по оцененным рискам»[3]. Среди действующих ФПСАД и новых федеральных стандартов аудиторской деятельности аналог данного стандарта на настоящий момент отсутствует, однако ФПСАД № 8 содержит положения, указывающие на необходимость разработки аудиторских процедур, увязанных с оцененными рисками существенного искажения.
Приведем требования в отношении аудиторских процедур по оцененным рискам, содержащиеся в стандартах:
- «Аудитор обязан разработать и выполнить дальнейшие аудиторские процедуры, чей характер, сроки проведения и объем зависят от и определяются рисками существенного искажения на уровне предпосылок подготовки финансовой отчетности» (п. 6 МСА 330);
- «Аудитору необходимо обладать достаточными знаниями о контрольных действиях аудируемого лица, чтобы оценить риски существенного искажения информации на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности и разработать дальнейшие аудиторские процедуры с учетом оцененных рисков» (п. 88 ФПСАД № 8).
Таким образом, в рамках МСА предусматривается, что на основе понимания СВК аудируемого лица аудитор должен:
- выявить риски существенного искажения, в том числе значимые;
- в отношении этих рисков рассмотреть средства внутреннего контроля аудируемого лица, оценить вид этих средств и определить, применялись ли эти средства на практике;
- установить на основе полученной информации характер аудиторского подхода для получения дальнейших надлежащих аудиторских доказательств;
- разработать дальнейшие аудиторские процедуры в ответ на оцененные риски.
Какими же практическими приемами должен руководствоваться аудитор и какие проводить процедуры в процессе рассмотрения средств контроля и принятия решений об аудиторском подходе? Международная федерация бухгалтеров (англ. International Federation of Accountants (IFAC)) в рамках обобщения наилучшей мировой практики аудита опубликовала на своем сайте «Руководство по применению международных стандартов аудита при аудите малых и средних организаций» (далее — Руководство), в котором рассмотрены методические вопросы, связанные с применением МСА, в том числе относящиеся к оценке и тестированию средств контроля в ходе аудита (главы 12 и 17, том 2 Руководства)[5].
Первый блок практических рекомендаций для аудиторов, содержащихся в главе 12 данного Руководства, связан собственно с оценкой аудитором адекватности и применимости средств контроля. Такая оценка, как уже указывалось, является обязанностью аудитора и должна проводиться в ходе каждого аудита.
Второй блок рекомендаций (глава 17 Руководства) относится к случаю, когда аудитор определил аудиторский подход как комбинированный и должен перейти к тестированию соответствующих средств контроля.
Далее на основе положений, содержащихся в главах 12 и 17 Руководства, рассмотрим, каковы же методические рекомендации аудитору по вопросам оценки средств контроля и дальнейшему их тестированию.
Методические приемы оценки адекватности и факта применения средств контроля
В ходе рассмотрения средств внутреннего контроля, действующих применительно к оцененным рискам существенного искажения, аудиторам рекомендуется использовать процедуру, включающую следующие этапы:
1) выявление рисков существенного искажения (РСИ);
2) рассмотрение характера действующих в отношении РСИ средств контроля;
3) рассмотрение применяемости средства контроля;
4) документирование применения соответствующих средств контроля.
Этап 1. Выявление рисков существенного искажения
Задача аудитора на данном этапе заключается в том, чтобы установить, действуют ли в организации средства контроля в отношении РСИ. Здесь аудитору следует рассматривать как РСИ по отчетности в целом, так и специфические риски — в отношении определенных предпосылок подготовки отчетности или ее разделов. При этом предусматривается, что аудитор выявляет и рассматривает исключительно риски, имеющие отношение к аудиту. В отношении этих рисков в СВК организации должны существовать средства контроля, направленные на их снижение (табл. 2).
Таблица 2
Укрупненные примеры средств контроля, действующих в отношении РСИ
|
Вид риска |
Источники риска |
Снижающие риск средства контроля |
|
Риск, связанный со всей отчетностью в целом (подготовка ненадежной финансовой отчетности) |
Внешние отраслевые факторы. Природа организации. Учетная политика. Цели и задачи организации. Функционирование СВК. Недобросовестность |
Средства контроля на уровне организации в целом и основных бизнес-процессов. Общие IT-контроли. Контрольные средства в отношении операций |
|
Риск, связанный со всей отчетностью (использование в ходе процесса подготовки отчетности неверных предпосылок) |
Бухгалтерские оценочные значения. Допущения руководства. Учетная политика. Наличие операций, не соответствующих характеру деятельности организации, слишком сложных операций и пр. Внесение ненадлежащих правок в бухгалтерскую документацию. Информация, необходимая для подготовки раскрытий в отчетности |
Средства контроля на уровне организации. Общие IT-контроли. Контрольные средства в отношении операций |
|
Специфические операционные риски (наличие в отчетности неотраженных или отраженных неточно операций) |
Выявление (запись) авторизованных операций. Классификация операций. Измерение, отражение в надлежащем периоде. Наличие активов |
Средства контроля в отношении операций. Прикладные IT-контроли. Специфические средства контроля на уровне организации |
После того как аудитор подготовил перечень РСИ в разрезе основных бизнес-процессов организации, необходимо:
- проверить, рассмотрены ли все предпосылки подготовки финансовой отчетности;
- выяснить, существуют ли дополнительные риски (на уровне операций или организации в целом), которые могут привести к существенному искажению финансовой отчетности, если их не устранить.
Оценка адекватности разработки руководством контрольных средств, действующих в отношении РСИ, включает оценку того, сможет ли это средство контроля (рассмотренное отдельно или в совокупности с другими средствами) сократить соответствующий риск существенного искажения. При этом необходимо учитывать, что средства контроля делятся на две категории:
- превентивные, т.е. предотвращающие появление существенных искажений;
- выявляющие и корректирующие существенные искажения, если они имеют место.
Таблица 3
Основные процедуры рассмотрения средств контроля
|
Действие |
Описание |
|
Выявление РСИ |
Выявить РСИ для отчетности в целом и специфические (на уровне операций) риски, которые должны быть снижены либо путем предотвращения появления искажений, либо путем их выявления и корректирования |
|
Проведение опроса по процедурам СВК в отношении РСИ |
Опросить ответственное лицо или собственника-руководителя о том, какие процедуры СВК существуют для снижения каждого риска. Документировать выявленные в ходе опроса средства контроля. После того как в ходе опроса выявлены достаточные для сокращения конкретного риска средства контроля (достаточность определяется на основе профессионального суждения), можно прекратить опрос. Нет необходимости перечислять все иные средства контроля, которые могут существовать для снижения этого риска, если это специально не оговорено |
|
Документирование результатов |
Выявленные средства контроля могут документироваться различными способами: для каждого РСИ, к которому относятся, или в виде матрицы средств контроля, связанных со всеми РСИ. Главное — документировать связь РСИ и относящихся к ним контрольных средств, что позволит оценить, снижают ли выявленные средства контроля соответствующие риски. Если используется матрица средств контроля, необходимо: > записывать выявленные процедуры СВК прямо в матрицу и указывать, являются они превентивными (предотвращающими) или выявляющими и исправляющими искажения; > рассмотреть, может ли данное средство контроля снижать и другие риски. Вполне вероятно, что некоторые процедуры СВК могут применяться в отношении нескольких факторов риска. Если в отношении РСИ не выявлены средства контроля, аудитор должен немедленно проинформировать руководство о слабости СВК |
Оценку адекватности средств контроля рекомендуется начинать со средств контроля в отношении искажения отчетности в целом. Эти виды средств контроля формируют основу для функционирования специфических средств контроля, действующих в отношении операций и предпосылок подготовки отчетности.
Существует два общепризнанных подхода к рассмотрению аудитором средств контроля — это подходы, ориентированные на рассмотрение средств контроля в отношении:
1) РСИ, которые приводят к искажению отчетности в целом;
2) специфических операционных РСИ на уровне предпосылок подготовки финансовой отчетности.
Первый подход заключается в том, что:
- каждый риск рассматривается отдельно;
- аудитор идентифицирует все средства контроля, которые относятся к каждому отдельному риску.
- множество взаимозависимостей, существующих между рисками и средствами контроля;
- области, для которых внутренний контроль силен;
- области, для которых внутренний контроль слаб;
- ключевые средства контроля в отношении многих рисков (предпосылок), которые должны тестироваться на эффективность функционирования.
В рамках данного подхода описание средств контроля, как правило, может строиться так, как показано в табл. 4.
Таблица 4
Описание средств контроля в отношении рисков на уровне отчетности в целом
|
Риск (цель) контроля |
Предпосылка |
Средства контроля |
|
Риск 1 |
С |
1) контрольная процедура А 2) контрольная процедура В 3) контрольная процедура С 4) контрольная процедура D |
|
Риск 2 |
ЕА |
5) контрольная процедура E 6) контрольная процедура F 7) контрольная процедура G 8) контрольная процедура H |
|
Риск 3 |
А |
9) контрольная процедура I 10) контрольная процедура J 11) контрольная процедура K 12) контрольная процедура L |
|
Риск 4 |
СА |
13) контрольная процедура M 14) контрольная процедура N 15) контрольная процедура O 16) контрольная процедура P |
Примечание: С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования и А — предпосылка в отношении точности.
Поясним, как работает этот метод. Пусть аудитор рассматривает функционирование контрольной среды организации в качестве основы снижения рисков искажения финансовой отчетности в целом. Цель контрольной среды заключается в необходимости для руководства и представителей собственника создать и поддерживать культуру честного и этичного поведения. Некоторые средства контроля, обычно применяемые руководством в отношении данного риска, могут включать:
- последовательную демонстрацию руководством приверженности высоким этическим стандартам;
- снижение руководством такого рода стимулов, которые могли бы побудить сотрудников к нечестным или неэтичным действиям;
- наличие кодекса поведения, устанавливающего этичные и моральные стандарты;
- наличие четкого понимания персоналом того, какое поведение считается приемлемым (неприемлемым) и что они должны сделать, если сталкиваются с неприемлемым поведением;
- производственные дисциплинарные меры в случае неприемлемого поведения.
Таблица 5
Образец рабочей документации по оценке средств контроля
|
Компонент СВК |
Риск |
Выявленное средство контроля |
Комментарий аудитора о проведенных процедурах |
|
Контрольная среда: этические принципы |
Нет приверженности высоким этическим стандартам |
Персонал ежегодно подписывается под кодексом поведения, предусматривающим дисциплинарные меры |
Ознакомился с корпоративным кодексом, и в нем подчеркнута приверженность высоким этическим стандартам |
|
Контрольная среда: качество персонала |
Могут быть наняты некомпетентные сотрудники |
В должностных обязанностях для каждой позиции содержатся требования к квалификации персонала |
Проверил должностные инструкции по ключевым позициям, в том числе ведение учета, и они являются приемлемыми |
|
Управление риском |
Руководство часто не готово к предсказуемым событиям |
Деловые риски выявлены и ежегодно оцениваются в ходе планирования |
Проверил бизнес-план, в котором перечислены риски, он обновлен и риски оценены |
После того как средства контроля выявлены, аудитор на основе профессионального суждения делает вывод, является ли их характер надлежащим для снижения соответствующих РСИ, т.е. адекватны ли они. Формулируя вывод о контрольной среде, аудитор должен оценить следующее:
- создана ли руководством под надзором представителей собственника культура честности и этичного поведения;
- создает ли совокупность элементов контрольной среды надлежащий фундамент для других компонентов внутреннего контроля и не подрываются ли эти другие компоненты слабостью элементов контрольной среды.
Подход, ориентированный на рассмотрение средств контроля в отношении специфических РСИ на уровне предпосылок подготовки финансовой отчетности. Данный подход, как правило, применяется на уровне бизнес-процесса и может быть наглядно проиллюстрирован следующей матрицей (см. рис.).
|
Бизнес-процесс: продажи | ||||||
|
Существенные факторы риска |
Риск А |
Риск В |
Риск С |
Риск D |
Ключевые средства контроля | |
|
Предпосылки |
С |
ЕА |
АС |
СЕ | ||
|
Средства контроля |
Компоненты СВК | |||||
|
Процедура 1 |
Контрольная среда |
ВИ | ||||
|
Процедура 2 |
Информационные системы |
ВИ | ||||
|
Процедура 3 |
Контрольные процедуры |
П |
П |
П |
Да | |
|
Процедура 4 |
Мониторинг |
ВИ | ||||
|
Процедура 5 |
Контрольные процедуры |
П |
П |
Да | ||
|
Процедура 6 |
Контрольные процедуры | |||||
|
Процедура 7 |
Информационные системы |
ВИ |
ВИ |
ВИ | ||
|
Являются ли средства контроля надлежащими, т.е. сокращают факторы риска? |
Да |
Да |
Нет |
Да | ||
(Рис. Матрица средств контроля)
Примечание: С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования; А — предпосылка в отношении точности; П — превентивные средства контроля (направлены на недопущение искажений); ВИ — выявляющие и исправляющие средства контроля.
Как же определить на основании приведенной матрицы слабости внутреннего контроля и ключевые средства контроля?
Выявление слабости внутреннего контроля происходит следующим образом:
- по каждому столбцу риска необходимо определить, какие контрольные процедуры действуют для его снижения — если существуют достаточные средства контроля, то слабости контроля нет;
- если для риска существует мало процедур или они отсутствуют, может иметь место существенная слабость (например, это риск С, в отношении которого средства контроля не выявлены и для которого имеет место существенная слабость внутреннего контроля) — в такой ситуации от аудитора требуется:
- запросить о наличии любых иных процедур СВК, в том числе компенсирующих; если таковых нет, может иметь место существенная слабость СВК, о которой следует сообщить руководству и представителям собственника как можно раньше, чтобы можно было предпринять корректирующие действия,
- рассмотреть, требуются ли дальнейшие аудиторские процедуры в ответ на выявленный риск.
Выявление ключевого средства внутреннего контроля.Ключевые средства внутреннего контроля — это средства, действующие одновременно в отношении нескольких РСИ. Для их выявления следует рассмотреть матрицу средств контроля и выявить те процедуры, которые работают в отношении нескольких факторов риска. Например, процедура 3 относится к трем рискам и трем предпосылкам, что является примером средства контроля (часто называемого ключевым), которое при условии его надежности может тестироваться на операционную эффективность, особенно когда такое тестирование способно привести к снижению объема детальных тестов.
Если у аудитора возникают любые сомнения в том, что выявленные средства контроля действительно применяются, ему следует переходить к оценке и документированию функционирования средства контроля только после того, как он убедится, что эти средства контроля применяются на практике.
Последний момент в оценке средства контроля — это формулирование аудитором вывода о том, снижают ли выявленные средства контроля конкретные РСИ. Такая оценка требует применения профессионального суждения. Для каждой предпосылки или РСИ аудитору следует рассмотреть, является ли реакция на него руководства достаточной для снижения риска до приемлемо низкого уровня.
Когда аудитор использует матрицу средств контроля, то нижний ряд матрицы может применяться для документирования вывода о надлежащем характере средств контроля для снижения каждого из факторов риска.
Если аудитор считает, что характер средств контроля не является адекватным, нет необходимости идти дальше и оценивать операционную эффективность. Вполне вероятно, что уже имеет место существенная слабость СВК.
Этап 3. Рассмотрение применяемости средства контроля
Для определения того, применяются ли на практике выявленные средства контроля, аудитору недостаточно провести только опрос персонала. Объясняется это следующим: люди, как правило, могут надеяться на то, что предусмотренное СВК средство контроля действительно применяется, но на практике это не так. Документально описанное средство контроля, которое не применяется на практике или не работает надлежащим образом при применении, не имеет ценности для аудита.
Оценка фактического применения средств контроля может проводиться с помощью:
- опроса персонала;
- наблюдения или повторного выполнения процедуры;
- инспектирования документов и отчетов;
- прослеживания внутри информационной системы подготовки отчетности отражения одной или более операций (прослеживание не является тестом операционной эффективности средства контроля).
- изменение бизнес-процессов — со временем бизнес-процессы изменяются в силу перехода к производству новых продуктов (оказанию новых видов услуг), изменений в персонале или перехода на новые IT-программы;
- неправильное описание — персонал организации может объяснять аудитору, как система должна работать, а не то, как она работает на практике;
- недостаток информации — некоторые аспекты системы могут быть ненамеренно недостаточно изучены при получении понимания СВК.
Только после того, как установлено, что средства контроля, имеющие отношение к аудиту, правильно разработаны и применяются на практике, рассматривается:
- какие тесты операционной эффективности средств контроля позволят сократить объем тестирования по существу;
- какие из средств контроля нужно тестировать, поскольку нет иного способа получить достаточные надлежащие аудиторские доказательства.
- адекватности средств контроля аудитор должен определить, разработаны ли в организации средства контроля, направленные на снижение РСИ;
- применяемости средств контроля аудитор должен выяснить, действуют ли на практике разработанные средства контроля, причем процедуры в отношении применения средств контроля с целью выявления изменений в СВК должны проводиться для каждого аудируемого периода;
- тестирования операционной эффективности средств контроля от аудитора требуется ответить на вопрос, действуют ли средства контроля эффективно в течение определенного периода времени. При этом у аудитора нет обязанности проводить тестирование эффективности средств контроля, кроме тех случаев, когда нет иного способа получить достаточные надлежащие аудиторские доказательства (т.е. для высокоавтоматизированных или бездокументарных систем учета); таким образом, принятие решения о проверке операционной эффективности средств контроля является вопросом профессионального суждения аудитора.
Если стратегия аудита предполагает, что аудитор полагается на операционную эффективность средств контроля, и имели место изменения в СВК, то аудитору рекомендуется проследить ход операций, которые имели место до и после внесенных изменений.
В процессе обновления рабочих документов по СВК аудитору следует тщательно рассмотреть изменения в превентивных средствах контроля на уровне организации. Эти изменения могут оказать существенное воздействие на эффективность операционных средств контроля и повлиять на реагирование аудитора на оцененные риски.
Так, решение руководства о найме высококвалифицированного специалиста для подготовки финансовой отчетности может понизить риски ошибок в финансовой информации и повысить эффективность средств контроля в отношении операций, которые ранее могли обходиться вниманием. И наоборот, неспособность руководства заменить некомпетентного менеджера по IT или направить существенные ресурсы на сокращение рисков, связанных с IT-системами, может привести к снижению эффективности прочих контрольных процедур. В любом случае эти моменты приведут к значительным изменениям характера реагирования аудитора на оцененные риски.
Этап 4. Документирование применения соответствующих средств контроля
Документация в отношении применения средств контроля поможет аудитору:
- понять природу, функционирование и контекст (кто использует средство контроля, где, как часто и какова документация об этом), в котором применяются выявленные средства контроля;
- определить, насколько надежны средства контроля и возможно ли положиться на их эффективность.
Объем документирования определяется профессиональным суждением аудитора. Наиболее распространенными формами документации, подготавливаемой руководством для аудитора, являются:
- описательные материалы или меморандумы по СВК;
- блок-схемы;
- сочетание описательных материалов и блок-схем;
- вопросники и проверочные листы.
- природу, величину и сложность организации и ее СВК;
- методологию аудита и используемые в ходе аудита технологии.
Как уже отмечалось, при планировании текущего аудита аудитор может использовать документацию, подготовленную в ходе предшествующих аудитов. Обновление такой документации потребует:
- сделать копии рабочих документов по СВК за прошлые периоды для их последующего обновления; если ничего не изменилось, вначале рассматривается применяемость средств контроля; если средство контроля действительно применялось и риск не менялся, то характер средства контроля можно считать надлежащим;
- обновить перечень факторов риска, которые должны понижаться посредством СВК;
- выявить изменения в СВК на уровне организации и операций в ходе процедур проверки применяемости средств контроля;
- определить, являются ли выявленные новые средства контроля надлежащими и применяются ли они;
- обновить описание соответствия средств контроля РСИ;
- обновить вывод о риске контроля.
Аудиторские процедуры, используемые для проверки средств контроля, относятся к одному из четырех типов:
1) запросы персоналу надлежащего уровня;
2) инспектирование соответствующей документации;
3) наблюдение за операциями организации;
4) повторное выполнение контрольной процедуры.
Тесты контроля представляют аудиторские доказательства того, работают средства контроля эффективно или нет. Соответственно они могут использоваться, только когда на основе рассмотрения адекватности и фактического применения средства контроля ожидается, что его функционирование надежно. В связи с этим допустимый уровень ошибки или искажения для тестов контроля очень мал. Обычно это либо полное отсутствие отклонений в функционировании средства контроля, либо одно отклонение.
Рассмотрение искажений средств контроля на уровне организации
Проверка наличия искажения (отклонений в функционировании) средств контроля на уровне организации (например, проверка приверженности компетентности или понимание политики организации в отношении приемлемого поведения) может оказаться более субъективной процедурой, чем проверка средств контроля в отношении конкретных операций. Однако эти средства контроля в совокупности обеспечивают надлежащий фундамент функционирования для остальных компонентов СВК.
К тестам контроля политики и практики в области управления человеческими ресурсами можно отнести рассмотрение:
- действующих в организации политик и практик их применения на основе соответствующей документации;
- файлов персонала на наличие документов, подтверждающих проведение аттестаций, тренингов и пр.
Поясним, как рекомендуется проводить тестирование средств контроля на уровне организации. Допустим, для проверки того, действительно ли руководство сообщает персоналу о необходимости следовать этическим требованиям и проводит соответствующую политику, аудитору необходимо сформировать выборку сотрудников организации для проведения интервью. У сотрудников следует узнать, имели ли место рассматриваемые сообщения руководства, какие действуют политики и процедуры, какими ценностями руководствуются в повседневной деятельности управляющие. Если общий ответ сотрудников подтверждает наличие рассматриваемых сообщений руководства и проведения в жизнь соответствующих политик и практик, то тест следует считать успешно пройденным. Описания интервью с каждым сотрудником и подтверждающая документация (соответствующие политики организации, данные о сообщении информации интервьюируемым) должны отражаться в отчете и храниться в аудиторском файле.
Хотя в основном искажение средств контроля на уровне организации и в информационных системах обычно тестируется путем выражения профессионального суждения, в некоторых случаях можно применять статистические выборки. Например, такой подход используется для получения доказательств о проведении проверок ежемесячной отчетности и принятии необходимых мер по их результатам.
Процесс документирования результатов тестирования средств контроля на уровне организации может оказаться сложнее, чем для тестирования средств контроля на уровне бизнес-процессов. В силу этого тестирование искажений средств контроля на уровне организации обычно документируется в виде отдельных отчетов в файле с приложением подтверждающих доказательств.
Построение выборок при проверке средства контроля в отношении операций
Тесты контроля представляют доказательства того, что средство контроля функционирует эффективно в течение рассматриваемого периода времени, определенного, к примеру, как отчетный год.
Эффективный набор аудиторских процедур, разработанных в ответ на оцененные риски для определенных предпосылок, может состоять из сочетания тестов контроля и процедур проверки по существу. В данном случае при разработке тестов контроля аудитор может исходить из того, что они способны обеспечить средний уровень уверенности.
Поскольку средства контроля в отношении операций или работают эффективно, или не работают вовсе, не имеет смысла проверять работу средства контроля, которое ранее оценено как ненадежное. Ненадежные средства контроля — это те средства, в отношении которых существует вероятность обнаружения отклонений. Таким образом, если в ходе оценки у аудитора формируется суждение о ненадежности средства контроля (т.е. вероятности выявления более чем одного отклонения в его функционировании), то тестирование его эффективности не будет действенным с точки зрения аудита. На самом деле размер выборок для средств контроля в большинстве случаев невелик, поскольку они основываются на предположении, что в работе средства контроля не будет выявлено никаких отклонений. Иначе необходимо было бы рассмотреть существенно бóльшие по объему выборки, что привело бы к резкому увеличению трудозатрат.
Грамотно разработанные тесты контроля должны обеспечивать низкий или средний уровень риска того, что проверяемое средство контроля работает неэффективно. При разработке тестов контроля аудитору рекомендуется рассмотреть два уровня уверенности, которую предполагается получить:
- высокий уровень уверенности (низкий остаточный риск) используется при получении в ходе тестов контроля основных аудиторских доказательств по проверяемому разделу отчетности;
- средний уровень уверенности (средний остаточный риск) используется при сочетании тестов контроля с проведением в отношении конкретной предпосылки процедур проверки по существу.
Таблица 6
Показатели фактора уверенности
|
Требуемое снижение риска |
Доверительный интервал |
Фактор уверенности |
|
Высокий |
95% |
3,0 |
|
Средний |
80—90% |
1,6—2,3 |
|
Низкий |
65—75% |
1,1—1,4 |
Для каждого доверительного интервала существует свое значение фактора уверенности (например, для 90-процентного доверительного интервала нужно использовать коэффициент уверенности, равный 2,3), они показаны в табл. 7.
Таблица 7
Значения фактора уверенности
|
Доверительный интервал, % |
50 |
55 |
60 |
65 |
70 |
75 |
80 |
85 |
90 |
95 |
98 |
99 |
|
Фактор уверенности |
0,7 |
0,8 |
0,9 |
1,1 |
1,2 |
1,4 |
1,6 |
1,9 |
2,3 |
3,0 |
3,7 |
4,6 |
Определение объема выборки. Объем выборки рассчитывается по следующей формуле:
|
Объем выборки = Фактор уверенности : Допустимый уровень отклонения. |
(1) |
При тестировании операционной эффективности средств контроля часто используется 90-процентный доверительный интервал (фактор уверенности — 2,3 при среднем требуемом уровне снижения риска). Максимальный допустимый уровень отклонения для такого доверительного интервала составит 10% (100% – 90%). Объем выборки в данном случае составит 23 элемента (2,3 : 0,1).
Если для рассматриваемой предпосылки получены аудиторские доказательства из иных источников, например при проведении процедур проверки по существу, фактор уверенности можно понизить так, что на основе тестирования средств контроля будет получен только средний уровень снижения риска. В этом случае можно использовать 80-процентный доверительный интервал (соответствующий фактор уверенности 1,6), что приведет к размеру выборки в 8 элементов. Некоторые аудиторские фирмы используют более высокие значения фактора уверенности, приводящие к наименьшему объему выборки в 10 элементов для среднего уровня снижения риска и 30 элементов для высокого уровня снижения риска.
Приемы построения выборки. В ходе построения выборки для проведения тестов контроля аудитору рекомендуется действовать следующим образом:
- определить цель процедуры и то, какие доказательства она предоставит в отношении предпосылок, для которых действуют контрольные средства;
- сформировать надлежащую выборку, чтобы достичь цели теста, — выборка может зависеть от предпосылки, в отношении которой проводится тестирование (например, для проверки существования продаж можно проверить формирование заказов или соответствие выставленным счетам документов на отгрузку, а затем сумм, отраженных в составе дебиторской задолженности);
- определить минимально необходимый размер выборки, обеспечивающий требуемое снижение риска, — это может быть высокий или средний уровень снижения риска;
- использовать генератор случайных чисел либо иной надлежащий способ отбора для формирования выборки — каждый элемент должен иметь равную вероятность быть отобранным.
Таблица 8
Объем выборок для контрольных процедур, применяемых реже чем ежедневно
|
Частота применения средства контроля |
Предлагаемый минимальный объем выборки |
Коэффициент покрытия, % |
|
Еженедельно |
10 |
19 |
|
Ежемесячно |
2—4 |
25 |
|
Ежеквартально |
2 |
50 |
|
Ежегодно |
1 |
100 |
Если для тестирования эффективности внутреннего контроля применяется статистическая выборка, то требуемый размер выборки не увеличивается с ростом совокупности. Случайная выборка размером в 30 элементов, для которой не обнаружено отклонений, дает высокий уровень уверенности в том, что средство контроля функционирует эффективно.
При разработке тестов контроля рекомендуется уделить время тому, чтобы определить, какой факт, выявленный при тестировании, будет представлять собой ошибку или отклонение. Это позволит сократить время в ходе выполнения теста или при проведении оценки результатов и избежать сомнений при определении того, что такое отклонение существует в функционировании средства контроля.
Если ожидается наличие отклонений в функционировании средства контроля, рекомендуется провести альтернативные процедуры для сбора аудиторских доказательств, т.е. аналитические процедуры или детальные тесты.
Обычно при формировании выборки исходя из 95-процентного уровня уверенности (т.е. при наличии 5% отклонений) предполагается, что:
- выборка в 10 элементов при отсутствии выявленных искажений предоставит средний уровень снижения риска; если найдено хотя бы одно отклонение, то снижение риска не будет обеспечено;
- выборка в 30 элементов при отсутствии выявленных искажений предоставит высокий уровень снижения риска; если найдено одно отклонение, то будет обеспечен средний уровень снижения риска; если найдено более чем одно отклонение, то снижение риска не будет обеспечено;
- выборка в 60 элементов при наличии одного отклонения предоставит высокий уровень снижения риска; если найдено два отклонения, то будет обеспечен средний уровень снижения риска; если найдено более двух отклонений, то снижение риска обеспечено не будет.
- внимательно изучить природу и характер каждого выявленного отклонения — например, указывает оно на наличие обхода руководством средства контроля либо на наличие недобросовестных действий или же является просто результатом того, что ответственное лицо находилось в отпуске;
- рассмотреть выборочный риск — если обнаружены отклонения, необходимо решить, следует ли понизить уверенность в эффективности средства контроля, увеличить объем выборки или провести альтернативные процедуры.
Возможным исключением будет ситуация, когда конкретный тип отклонения легко выявить и это учитывается при разработке теста. Например, отклонения в течение определенного периода времени, когда ответственное за выполнение контрольной процедуры лицо находится в отпуске, могут быть рассмотрены в рамках выполнения каких-либо процедур проверки по существу.
Результаты выборочной проверки могут оцениваться путем сравнения максимально допустимого уровня отклонения с так называемым верхним уровнем отклонения, который рассчитывается следующим образом:
|
Верхний уровень отклонения = Скорректированный фактор уверенности : Объем выборки. |
(2) |
Значения скорректированного фактора уверенности, определяемого исходя из количества найденных отклонений, приведены в табл. 9.
Таблица 9
Скорректированный фактор уверенности
|
Требуемый уровень уверенности (доверительный интервал) |
1 |
2 |
3 |
4 |
5 |
|
95% |
4,7 |
6,3 |
7,8 |
9,2 |
10,5 |
|
90% |
3,9 |
5,3 |
6,7 |
8,0 |
9,3 |
|
80% |
3,0 |
4,3 |
5,5 |
6,7 |
7,9 |
|
70% |
2,4 |
3,6 |
4,7 |
5,8 |
7,0 |
Приведем пример. Для выборки объемом в 30 элементов (т.е. соответствующей требуемому высокому уровню снижения риска при 90-процентном доверительном интервале и 10-процентном максимальном уровне наличия отклонений) обнаружено два отклонения. Верхний уровень отклонения в данном случае будет равен 17% (5,3 : 30).
Полученный результат (17%) н
