Оценка аудиторского риска
Содержание:
- Требования к анализу вероятности и ее элементов
- Определение уровня существенности и его пересмотр
- Существенность и аудиторский риск
- Важный момент
- Обратная связь
- Независимость исполнителей
- Средства установления соответствия
- Аудиторские риски: примеры
- Сравнение организационных целевых установок в концепциях СВК
- Значения аудиторского риска
- Общая характеристика процедуры
- Взаимосвязи между видами рисков
- Кто определяет существенность данных
Требования к анализу вероятности и ее элементов
Они установлены в Федеральном правиле № 8, утвержденном правительственным постановлением № 405. Каким должен быть оптимальный аудиторский риск, стандарт не устанавливает. Этот вопрос раскрывается в положениях, непосредственно относящихся к работе конкретного специалиста или фирмы. На практике оптимальным считается аудиторский риск в 5 %. Это означает, что в пяти из ста подписанных специалистом заключений содержатся неверные данные по спорным вопросам. Более низкий уровень аудиторского риска может отрицательно повлиять на конкурентоспособность компании, проводящей анализ документации.
Определение уровня существенности и его пересмотр
Уровень существенности риска определяется аудитором по результатам проведенных процедур при оценке таких аудиторских рисков.
При этом оценка:
- строится на основании профессионального суждения аудитора;
- основывается на понимании сущности деятельности проверяемой компании, которое было сформировано в том числе в результате оценки аудиторских рисков;
- зависит от характеристик искажений, их количественных показателей, которые были выявлены в ходе ранее проведенных аудиторских проверок;
- в значительной степени носит субъективный характер, т. к. на него влияют многие факторы, в том числе ожидания самого аудитора в отношении искажений в текущем периоде (с учетом предыдущих знаний об организации, ее финансовой отчетности и проверках).
При этом уровень существенности не является догмой и может быть пересмотрен в ходе проведения аудита в том случае, если произошло существенное изменение обстоятельств, оказавших влияние на его установление. Также причиной изменения могут стать и вновь возникшие обстоятельства (например, отчуждение значительной доли в компании ее участниками). Более того, в указанных выше случаях пересмотр существенности является обязанностью аудитора.
***
Как видите, понятие аудиторского риска закреплено на законодательном уровне РФ, а также в международных аудиторских стандартах. Рассматриваемое понятие является многокомпонентным и многогранным, включая в себя риски внутрихозяйственные, контрольные и т. д. Показатель существенности, который устанавливается в результате оценки аудиторских рисков, позволяет свести к минимуму возможные искажения финансовой отчетности организации.
Существенность и аудиторский риск
Аудиторское заключение во многом зависит от личной уверенности аудитора в том, содержатся ли в финансовой отчетности организации существенные искажения
Для качественной работы аудитору важно понимать, какие искажения, неточности и ошибки имеют характер существенных, а какие не имеют.Значительную роль играет субъективное восприятие аудитора, его уровень профессионализма: понимание специфических моментов работы фирмы; учет уровня ответственности пользователей отчетности при принятии решений и последствий этих решений
Несмотря на некоторую размытость понятия, существенность в аудите имеет определенные характеристики. Существенность экономической информации – ее качество, которое позволяет влиять на управленческие, экономические и иные решения компетентного пользователя этой информации. Существенным является искажение информации, превышающее заданный уровень существенности.
Уровень существенности – количественный показатель. Это искажение бухгалтерской отчетности, рубежное значение. Начиная с него компетентный пользователь на основе приведенных показателей будет делать ошибочные выводы, лишен возможности принимать обоснованные управленческие, экономические решения.
Выражая суждение о достоверности бухгалтерских данных, специалист учитывает причины, ограничивающие полную и абсолютную правоту такой оценки:
- Объем и сроки аудиторской проверки, массив информации, который подлежит проверке, ограничен.
- Неоднозначная трактовка части законодательных норм; такая возможность нередко заложена в самом законодательстве, в нормативных документах.
- Субъективные нюансы оценки фактов хозяйственной жизни, иных хозяйственных операций, в том числе и в момент подготовки бухгалтерской отчетности, определения степени достоверности данных.
Иными словами, аудитор высказывается, опуская стопроцентную уверенность, но имея в виду определенный уровень приемлемого риска.
Между существенностью и аудиторским риском образуется обратная зависимость. Очевидно, если используются менее строгие значения существенности, аудитор вынужден принимать дополнительные меры с целью снизить аудиторский риск: провести дополнительное тестирование данных, увеличить число аудиторских действий и процедур, затрачивать больше времени на проверку, расширить объем аудиторской выборки. Он работает с более широким объемом отклонений в отчетности фирмы, и в этих условиях возрастает вероятность не заметить одно из нарушений.
Важный момент
Аудитор должен обеспечить одинаковую степень уверенности. Это необходимо для того, чтобы относительно бухгалтерской отчетности, составляемой как в малых, так и крупных хозяйственных субъектах, он смог бы выразить безусловно положительное мнение. Следует отметить, что ряд средств контроля, которые могут использоваться для крупных субъектов, нецелесообразно использовать в малом бизнесе. К примеру, в небольших компаниях бухгалтерский учет может вестись ограниченным количеством лиц. Они могут исполнять обязанности как по обработке, так и по хранению документации. Разделение функций сотрудников может быть, таким образом, ограниченным либо отсутствовать вовсе.
Обратная связь
Она существует между вероятностью необнаружения и комплексом, включающим неотъемлемый аудиторский риск и подверженность искажению средств управления. Высокая степень последних двух элементов в совокупности обязывает специалиста особым образом проводить аналитическую работу. В частности, ему необходимо уменьшить вероятность необнаружения (насколько это будет возможно). Так он сможет привести общий аудиторский риск к приемлемому значению. При минимальных показателях специалист может допустить более высокую вероятность необнаружения. При этом он может получить оптимальное значение общего риска.
Независимость исполнителей
Она определяется:
- Договорными отношениями, которые устанавливаются между фирмой или отдельным специалистом и клиентом. Это позволяет аудитору выбирать заказчика по своему усмотрению и не зависеть от распоряжений тех или иных госорганов.
- Возможностью отказать заказчику в выдаче заключения до устранения выявленных недочетов.
- Свободой выбора аудитора или компании субъектом.
- Невозможностью осуществлять проверку при деловых либо родственных отношениях с клиентом, которые выходят за рамки договора по поводу контрольной деятельности.
Закон запрещает аудиторам вести финансовую, коммерческую и иную хозяйственную деятельность, не касающуюся проверок, консультаций и прочих услуг, допускаемых нормами. Цель проводимых мероприятий устанавливается правовыми актами, обеспечивающими регулирование данной сферы, договорными обязательствами специалиста и заказчика.
Средства установления соответствия
Риск методов контроля представляет собой вероятность того, что искажение, которое может появиться относительно оставшихся на бухгалтерских счетах средств либо групп операций одного рода и быть значительным, не будет предотвращено своевременно либо выявлено и исправлено при помощи систем бухучета и внутреннего надзора. Показатели могут характеризоваться как высокие, если проведение анализа систем бухучета и управленческого надзора нецелесообразно или их функционирование неэффективно. Необходимо отметить, что аудиторский риск внутреннего контроля имеет место всегда. Это обуславливается действующими ограничениями систем бухучета и управленческого надзора. Показатель может характеризоваться как средний в тех случаях, если:
- Специалист имеет доказательства того, что конкретные средства способствуют предотвращению, выявлению, обслуживанию и последующему исправлению значительных искажений.
- Аудитор запланировал тестирование контрольных средств для подтверждения анализа.
В рабочей документации специалисту следует указать:
- Понимание систем бухучета и надзора.
- Анализ этих элементов.
- Обоснования оценки риска.
Чем меньше будет показатель, тем больше аргументов необходимо предоставить.
Аудиторские риски: примеры
Для практической иллюстрации приведенной выше информации возьмем гипотетическое предприятие, оказывающее туристические услуги. Среднесписочная численность сотрудников — порядка 50-ти человек. Оказание услуг в сфере отдыха является основной деятельностью. Дополнительно предприятие выполняет перевозку пассажиров, предоставляет места на автостоянке, передает в прокат имущество. Компания достаточно популярна в своем регионе, но в зимнее время терпит убытки в связи с невостребованностью услуг. В бухгалтерском отделе работают три специалиста. Один из них является кассиром. Главбух осуществляет начисление налогов, заполняет журналы-ордеры, составляет отчетность, ведет статистику и главную книгу.
Практически все документы оформляются вручную. Журналы-ордеры заполняются в Microsoft Excel. Первый бухгалтер производит учет зарплаты, социальных выплат, осуществляет другие расчеты с остальными сотрудниками. Он также следит за перемещением материалов, за исключением ГСМ и продуктов питания, основных средств, МБП. Работа автоматизирована по самому минимуму. Кассир производит учет реализации и использования предоставленных путевок, ГСМ и продуктов питания. На предприятии отсутствует отдел внутреннего аудита и ревизионная комиссия. В пользовании сотрудников находятся специальные печатные издания, компьютеры отсутствуют. Главный бухгалтер не проводит методическую работу. Сотрудники самостоятельно просматривают периодически литературу. В компании не предусмотрен график документооборота, не ведется и систематическая работа с нормативными актами локального характера. Для расчета уровня существенности в качестве основных были взяты следующие показатели:
- Общие затраты.
- Валовый реализационный объем.
- Резервы и капитал.
- Кредиторская задолженность.
Поскольку компания реализует услуги отдыха, то объем реализации будет считаться важнейшим показателем. Степень значимости — 5. Кроме этого, известно, что зимой компания терпит убытки. В этой связи вторым важным показателем является сумма задолженности. Ее степень значимости — также 5
Немаловажной является и правильность отражения расходов. Ее степень значимости — 4
В собственном капитале какие-либо существенные изменения не происходят. Поэтому она имеет степень 1. Поскольку значение, которое используется для установления уровня существенности, по общим расходам практически совпадает с рассчитанным, то величина по этому показателю будет низкой (3). Значительные отклонения отмечаются по задолженности.
В этой связи этому показателю присваивается значение 1. Относительно остальных элементов величина будет 2. Неотъемлемый риск на предприятии находится на уровне 50 %. Это указывает на посредственную организацию работы бухгалтерии. Поскольку аудиторская служба на предприятии отсутствует, риск контрольных средств составляет 100 %, или 1. Этот показатель никаким образом не влияет на уменьшение общего значения. Вероятность необнаружения оценен аудиторской компанией в 17.99 %. Такое значение обусловлено недостаточным опытом в работе с предприятиями данного профиля в целом. Общий аудиторский риск с учетом приведенных показателей составил 6.65 %. Оптимальным считается значение в 5 %. Уменьшения показателя можно было бы добиться привлечением специалиста, обладающего большим опытом в проверке документации на предприятиях аналогичного профиля, проведением сплошного, а не выборочного анализа.
Сравнение организационных целевых установок в концепциях СВК
Документы, содержащие концепцию СВК |
COBIT |
SAC |
COSO |
SAS 55, SAS 78 |
Цели |
||||
Эффективность и результативность операций |
+ |
+ |
+ |
+ |
Конфиденциальность информации |
+ |
- |
- |
- |
Целостность информации |
+ |
- |
- |
- |
Доступность информации |
+ |
- |
- |
- |
Достоверность финансовой отчетности |
+ |
+ |
+ |
+ |
Соблюдение законов и правил (комплаенс) |
+ |
+ |
+ |
+ |
Как видно из таблицы, наиболее полно и детально целевые установки организации СВК представлены в документе COBIT, что обусловлено прежде всего широтой круга пользователей, для которого он предназначен (менеджеров, аудиторов и других заинтересованных пользователей) в отличие от остальных узкоориентированных документов. Остальные три концепции абсолютно идентичны, и согласно им внутренний контроль должен базироваться на постулатах эффективности, результативности операций; достоверности отчетности; соблюдении законов и правил (комплаенс-контроль).
Поскольку принципы ФПСАД N 8, заимствованные из зарубежной практики, адаптированы к отечественному законодательству исключительно для целей оценки отчетности, они не могут в полной мере использоваться для внедрения в практику аудита риск-ориентированного подхода. Поэтому, как нам представляется, вопросы оценки аудиторских рисков аудитору целесообразно рассматривать шире. В частности, это касается оценки риска средств контроля и уровня организации СВК, особенно на этапе ее тестирования. Именно результаты проведенных тестов первоначально позволяют аудитору установить степень доверия к внутренним системам контроля организации, что найдет отражение и в полноте оценки рисков, и в оптимизации планирования аудита, и в формировании объективного представления о принципе непрерывности деятельности организации.
Бесспорно, оценка аудиторского риска представляет собой важнейшую задачу, так как степень риска напрямую связана с качеством аудиторской проверки.
В теории и практике проверок наиболее распространена модель, в которой приемлемый аудиторский риск (DAR, Desired Audit Risk) представлен в виде произведения его элементов: неотъемлемого риска, риска средств контроля и риска необнаружения. Аналогичный подход принят и в международной практике. Базовая модель аудиторского риска имеет вид:
DAR = IR x CR x DR, (1)
где IR — неотъемлемый риск (Internal Risk);
CR — контрольный риск (Control Risk);
DR — риск необнаружения (Detection Risk).
Значения аудиторского риска
N экономического субъекта |
2005 г. |
2006 г. |
||||||
I квартал |
II квартал |
III квартал |
IV квартал |
I квартал |
II квартал |
III квартал |
IV квартал |
|
1 |
0,04 |
0,05 |
0,04 |
0,04 |
0,04 |
0,04 |
0,04 |
0,05 |
2 |
0,04 |
0,05 |
0,05 |
0,05 |
0,04 |
0,05 |
0,05 |
0,05 |
3 |
0,08 |
0,07 |
0,05 |
0,06 |
0,06 |
0,06 |
0,05 |
0,05 |
4 |
0,04 |
0,04 |
0,05 |
0,04 |
0,05 |
0,05 |
0,05 |
0,05 |
5 |
0,05 |
0,06 |
0,06 |
0,06 |
0,05 |
0,05 |
0,05 |
0,05 |
6 |
0,06 |
0,06 |
0,06 |
0,05 |
0,05 |
0,05 |
0,06 |
0,06 |
7 |
0,07 |
0,07 |
0,06 |
0,06 |
0,06 |
0,05 |
0,04 |
0,04 |
8 |
0,04 |
0,04 |
0,05 |
0,05 |
0,04 |
0,04 |
0,05 |
0,03 |
Для наглядности приведем диаграмму, показывающую структуру аудиторского риска (в %) для экономического субъекта N 1 в IV квартале 2006 г. (см. рисунок). Значение АР для этого субъекта в данном случае составит:
АР = НР х РК х РН = 0,66 х 0,35 х 0,22 = 0,0508, или 5,08%.
-------------¬¦Неотъемлемы馦 риск ¦¦ 54 ¦ -------------¬¦ ¦ ¦ Риск ¦¦ +-------------+ средств ¦¦ ¦ Риск ¦ контроля ¦¦ ¦необнаружения¦ 28 ¦¦ ¦ 18 ¦ ¦L------------+-------------+-------------
Общая характеристика процедуры
Аудит проводится для:
- Подтверждения достоверности предоставленных отчетов либо констатации их несоответствия действительности.
- Контроля над соблюдением закона и нормативных актов, посредством которых осуществляется регулирование правил составления отчетности и ведения учета, собственного капитала и обязательств, методологии оценки используемых активов.
- Установления полноты, точности и достоверности отражения в документации финансовых результатов, доходов и затрат в ходе деятельности предприятия за определенный период.
- Выявления резервов наиболее эффективного использования собственных оборотных и основных средств, займов и прочих финансовых ресурсов.
Цели аудита могут дополняться задачами, предусмотренными в договоре с заказчиком. Ими могут быть, в частности:
- Разработка мероприятий по повышению рентабельности предприятия.
- Анализ правильности начисления налогов.
- Оптимизация расходов и результатов деятельности и так далее.
Взаимосвязи между видами рисков
Реагируя на ситуации, связанные с неотъемлемым риском, руководство часто вводит новшества в системы бухгалтерского учета и внутреннего контроля, направленные на обнаружение, предотвращение и исправление искажений, поскольку неотъемлемый риск и риск системы контроля тесно взаимосвязаны. В таких ситуациях во избежание неадекватной оценки риска аудитору рекомендуется применять комбинированную оценку. Каждая аудиторская компания самостоятельно определяет методику оценки (тестирования) неотъемлемого (внутрихозяйственного) риска и риска средств контроля и обязана утвердить выбранные подходы во внутрифирменном стандарте.
Отметим, что модель аудиторского риска — это модель планирования, поэтому возможности ее использования при оценке результатов аудита ограничены. В практической деятельности аудиторов известны три основных способа применения модели аудиторского риска.
Первый способ ориентирован на планирование будущей проверки исходя из предположений аудитора. Например, предполагая, что неотъемлемый (внутрихозяйственный) риск составит 80%, риск средств контроля — 50, риск необнаружения — 10%, аудитор может «вычислить» величину аудиторского риска путем их перемножения (0,8 x 0,5 x 0,1 = 0,04). Данный способ может помочь составить будущий план проверки, однако он не всегда эффективен.
Второй способ опирается на взаимосвязи между компонентами аудиторского риска, количеством и качеством необходимых аудиторских доказательств. Применение модели аудиторского риска требует от аудитора глубокого понимания таких взаимосвязей и содержания каждого из компонентов аудиторского риска сбора аудиторских доказательств.
Третий способ акцентирует внимание на расчете значения риска необнаружения и получении соответствующего количества аудиторских доказательств. На основе проведенных тестов и вычисленных значений риска средств контроля и неотъемлемого риска аудитор определяет допустимый в своей работе риск необнаружения
Заметим, что при таком подходе именно риск необнаружения определяет количество аудиторских доказательств. Это более эффективный способ для планирования и самый распространенный на практике метод. На основании базовой формулы аудиторского риска (1) выразим риск необнаружения (DR):
DR = DАR / (IR x CR). (2)
Допустим, что внутренним стандартом аудиторской фирмы установлено значение приемлемого аудиторского риска DAR 0,05 (5%). Результаты тестирования показали: IR = 0,8 (80% допущенных ошибок бухгалтерия не исправляет) и CR = 0,5 (50% ошибок, допущенных бухгалтерией, не обнаруживает система внутреннего контроля). В этом случае DR = 0,05 / (0,8 x 0,5) = 0,125, т.е. риск необнаружения составляет 12,5%.
Высокие значения IR и CR обязывают организовать проверку так, чтобы максимально снизить величину риска необнаружения. Низкие значения IR и CR позволяют допустить в ходе проверки более высокий риск необнаружения и при этом получить приемлемое значение общего аудиторского риска.
Уровень риска необнаружения напрямую связан с аудиторскими процедурами проверки по существу. Аудитор должен учитывать оцененные уровни неотъемлемого риска и риска средств контроля при определении характера, временных рамок и объема процедур проверки по существу, необходимых для снижения аудиторского риска до приемлемо низкого уровня.
В связи с этим аудитор анализирует:
- характер процедур проверки по существу — проведение тестов, ориентированных на представителей независимых сторон, не связанных с аудируемым лицом, а не на его сотрудников или документацию; проведение в дополнение к аналитическим процедурам детальных тестов, направленных на решение какой-либо конкретной цели аудита;
- временные рамки выполнения процедур проверки по существу — проведение таких процедур в конце отчетного периода, а не в более ранний срок;
- объем процедур проверки по существу — использование большего объема выборки.
Таким образом, имея возможность вникнуть в суть бизнес-процессов аудируемого субъекта, практически неограниченный доступ к внутренней информации и документации, аудитор, в силу своего профессионального долга, обязан приложить максимум усилий для выражения объективного мнения и сведения к минимуму вероятности собственной ошибки, т.е. аудиторского риска.
Кто определяет существенность данных
Мы выяснили, что уровень существенности – один из наиболее значимых показателей качества бухгалтерской отчетности. Отклонение в пределах установленного уровня не считается ошибкой и дает возможность аудиторам считать отчетность достоверной.
Как определяется этот показатель? Применяемые стандарты аудита регламентируют общие правила проверок. Аудиторы выбирают методику расчета самостоятельно. Практикой аудиторской деятельности определено, что менее 5% — отклонение незначительное, а свыше 10% — существенное. Пятипроцентное значение показателя упоминается в ПБУ 9/99 (п. 18.1), ПБУ 10/99 (п. 21.1). В этих документах говорится, соответственно, о доходах и расходах организации. Указывается на необходимость обособленно отражать доходы (расходы) фирмы, превышающие 5%.
Значение 10% установлено ст. 15.11 КоАП. В этой статье говорится, что искажение любого показателя финансовой отчетности в денежном измерении не менее чем на 10% является грубым нарушением, за которое полагается штраф. Следовательно, если отклонение данных равно или превышает 10%, отчетность можно признать недостоверной.
Аудиторы в ходе проверки могут использовать единое предельное значение уровня существенности, вероятной ошибки, для всех балансовых статей либо варьировать показатель в зависимости от удельного веса балансовой статьи.
Могут играть роль:
- редкие, мало употребляемые в учете корреспонденции счетов;
- значительное сальдо по счету, сопоставимое с уровнем допустимой ошибки;
- значительный оборот по счету за отчетный период.
Кроме того, принимается за аксиому, что «привычные», ежедневные операции, например, кассовые, могут не содержать серьезных ошибок. Напротив, расчетные операции, например, заработная плата, при наличии сложной системы оплаты труда (денежная, натуральная форма, доплаты, надбавки) увеличивают возможность появления ошибок.
На этапе планирования провизорно ошибки могут оцениваться только в процентах. В ходе проверки могут применяться абсолютные величины. Уровень существенности, как правило, корректируется на месте по сравнению с планом.
Существенность по отношению к отдельным счетам связана с понятием предельно допустимой ошибки. Данный показатель всегда ниже планируемой существенности на 50-70%. Показатель служит для того, чтобы уровень существенности не был превышен суммой расхождений по отдельным счетам. Величина допустимой ошибки используется в планах проверки по конкретным счетам, в частности, размере выборки. Слишком низкий показатель ведет к увеличению объема аудиторской работы.
Кстати говоря! Организация определяет уровень существенности, отражая его в своей учетной политике (ПБУ 1/2008 п. 4).
Пример (условный)
Пересчетом установлено, что в себестоимости продукции 5050 тыс. руб. ошибочно отражена дважды сумма 50 тыс. руб. Выручка — 7000 тыс. руб. Применяемый уровень существенности — 5%.
Отклонения по себестоимости: 5050 — 50 = 5000 тыс. руб. – истинная себестоимость.
(5050 / 5000) * 100 = 101%. 101 — 100 = 1%.
Отклонения по прибыли: 7000 — 5000 = 2000 тыс. руб. 7000 — 5050 = 1950 тыс. руб.
(1950 / 2000) * 100 = 97,5%. 97,5 — 100 = -2,5%.
Расчеты показывают, что себестоимость завышена в отчетности на 1%, а прибыль занижена на 2,5%. Отклонения не превышают уровень существенности 5%. Ошибки несущественны, отчетность признается достоверной.