Справочник - Сборник международных стандартов аудита
Подождите немного. Документ загружается.
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
451 МСА 315
36. Оценка и обзор руководством финансовых результатов
деятельности субъекта должны отделяться от мониторинга
контролей (рассмотренного как компонент внутреннего контроля в
параграфе 96-99, хотя их цели могут частично совпадать.
Мониторинг контролей рассматривает эффективность контролей
через рассмотрение информации по контролям. Оценка и обзор
результатов нацелены на определение того, соответствуют ли
результаты целям,
установленным руководством (или третьими
сторонами), но в некоторых случаях эти показатели также
представляют информацию, позволяющую руководству определить
недостатки внутреннего контроля.
37. Информация, полученная внутри субъекта, используемая
руководством в этих целях может включать ключевые показатели
результатов (финансовых и нефинансовых), бюджеты, анализ
отклонений, информацию по сегментам и подразделениям. Отчеты
по департаментам и другим структурам, сравнение результатов
субъекта с результатами конкурентов. Внешние стороны также
могут оценивать и проводить обзор финансовых результатов
субъекта. Например, внешняя
информация, такая как отчеты
аналитиков и отчеты рейтинговых агентств могут представлять
информацию полезную для знания аудитора о субъекте и его среде.
Такие отчеты часто представляются аудируемым субъектом.
38. Внутренние оценки могут выявить неожиданные результаты или
тенденции, требующие осуществления запросов, адресованных
руководству или другим лицам, чтобы определить их причины и
предпринять исправительные действия (включая, в некоторых
случаях, своевременное обнаружение и исправление искажений).
Оценка результатов может также указывать аудитору на риск
существенных искажений соответствующей информации
финансовой отчетности. Например, оценка результатов
может
указывать на то, что у субъекта был необычно быстрый рост или
прибыльность по сравнению с показателями других субъектов этой
же отрасли. Такая информация, в частности в сочетании с другими
факторами, такими как бонусы, завязанные на результатах, или
поощрительные вознаграждения, могут указывать на
потенциальный риск необъективности руководства субъекта при
подготовке
финансовой отчетности.
39. Большинство информации, используемой при оценке результатов,
может быть представлено информационной системой субъекта.
Если руководство субъекта допускает, что данные, используемые
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
МСА 315 452
при обзоре результатов субъекта, точны без обоснования такого
допущения, в информации могут присутствовать ошибки, ведущие
к неправильным заключениям о результатах. Если аудитор
намеревается использовать оценку результатов деятельности в
целях аудита (например, для аналитических процедур), аудитор
должен рассмотреть представляет ли информация, относящаяся к
обзору руководством результатов субъекта надежную основу и
достаточно
ли она точна для этой цели. При использовании оценки
результатов деятельности аудитор должен определить достаточно
ли она точна для обнаружения существенных искажений.
40. Небольшие субъекты обычно не разрабатывают формальный
процесс по оценке и обзору финансовых результатов субъекта. Но,
тем не менее, руководство часто полагается на определенные
ключевые показатели, которые в соответствии со знаниями и
опытом по этому субъекту являются надежной основой для оценки
финансовых результатов деятельности и осуществления
надлежащих действий.
41.
Внутренний контроль
41. Аудитор должен получить знание внутреннего контроля,
относящегося к аудиту. Аудитор использует знание внутреннего
контроля для определения типов потенциальных искажений,
изучает факторы, влияющие на риски существенных искажений, и
разрабатывает характер, сроки и масштаб аудиторских процедур.
Внутренний контроль, относящийся к аудиту, рассмотрен в
параграфах 47-53. Кроме того, масштаб знаний также
рассматривается в параграфах
54-56.
42. Внутренний контроль является процессом, разработанным и
осуществляемым лицами, наделенными руководящими
полномочиями, руководством субъекта и прочим персоналом для
представления разумной уверенности в достижении целей субъекта
в отношении надежности финансовой отчетности, эффективности
функционирования и соответствия установленным законам и
регулированию. Внутренний контроль разрабатывается и
внедряется с целью выявления бизнес рисков, мешающих
достижение любой
из этих целей.
43. Внутренний контроль, в соответствии с данным МСА, состоит из
следующих компонентов:
(а) Контрольная среда.
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
453 МСА 315
(б) Процесс оценки рисков субъектом.
(в) Информационная система, включая связанные бизнес
процессы, относящиеся к финансовой отчетности и
информирование.
(г) Деятельность по контролю.
(д) Мониторинг контролей.
Приложение 2 содержит подробное рассмотрение компонентов
внутреннего контроля.
44. Разделение внутреннего контроля на пять компонентов
представляет приемлемую основу для аудиторов для рассмотрения
того, как различные аспекты внутреннего контроля субъекта могут
повлиять на аудит. Такое разделение не обязательно отражает то,
как субъект разрабатывает и внедряет внутренний контроль.
Основное внимание аудитор уделяет тому, как определенные
контроли предотвращают, обнаруживают и исправляют
существенные
искажения в классе операций, сальдо счетов и
раскрытиях, а также связанных утверждениях, но не их
классификации по определенным компонентам. Соответственно,
аудиторы могут использовать различную терминологию или основы
для описания различных аспектов внутреннего контроля и их
влияния на аудит, отличные от используемых в данном МСА, при
условии, что все компоненты, описанные
в данном МСА были
рассмотрены.
45. Метод разработки и внедрения внутреннего контроля зависит от
размера и сложности субъекта. Небольшие субъекты могут
использовать менее формальные методы и более простые процессы
и процедуры для достижения этой цели. Например, небольшие
субъекты с активным участием руководства субъекта в процессе
финансовой отчетности могут и не иметь подробного описания
учетных процедур или
подробной учетной политики. В некоторых
субъектах, в частности в очень маленьких компаниях, владельцы-
руководители
3
могут выполнять функции, которые в крупных
субъектах будут относиться к нескольким компонентам
внутреннего контроля. Таким образом, компоненты внутреннего
3
Данный МСА использует термин «владелец-руководитель» для указания собственников
субъекта, участвующих в ежедневном управлении субъектом.
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
МСА 315 454
контроля не могут быть четко разделены в случае с небольшими
субъектами, но их цели остаются действительными.
46. В целях данного МСА, термин «внутренний контроль» охватывает
все пять вышеуказанных компонентов внутреннего контроля.
Кроме того, термин «контроли» относится к одному или более
компонентам или любым их аспектам.
Контроли, относящиеся к аудиту
47. Существует прямая связь между целями субъекта и внедряемыми
им контролями для представления разумной уверенности в их
достижении. Цели субъекта, следовательно, контроли относятся к
финансовой отчетности, функционированию и соответствию; но не
все эти цели и контроли связаны с оценкой риска аудитором.
48. Обычно контроли, относящиеся к аудиту, имеют отношение к
целям субъекта по подготовке финансовой отчетности для
внешнего пользования, которые дают достоверный и справедливый
взгляд (или представлены справедливо во всех существенных
аспектах) в соответствии с применяемой основой представления
финансовой отчетности, а также к управлению рисками, которые
могут вызвать существенные искажения в этой
финансовой
отчетности. Учитывается ли контроль в отдельности или в
совокупности с другими, при рассмотрении оценки рисков
существенных искажений и разработке и выполнении процедур в
отношении оцененных рисков, является предметом
профессионального суждения при условии выполнения требований
данного МСА. При выражении профессионального суждения
аудитор учитывает обстоятельства, установленные компоненты и
факторы, такие как:
•
Суждение аудитора о существенности.
•
Размер субъекта.
•
Характер бизнеса субъекта, включая его организацию и
характеристики собственности.
•
Диверсификация и сложность деятельности субъекта.
•
Применение требований законодательства и регулирования.
•
Характер и сложность системы, являющейся частью
внутреннего контроля субъекта, включая использование
обслуживающих организаций.
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
455 МСА 315
49. Контроли над полнотой и точностью информации, полученной от
субъекта, также относятся к аудиту, если аудитор намеревается
использовать информацию при разработке и выполнении процедур.
Предыдущий опыт аудитора по субъекту и информации полученной
при изучении субъекта и его среды и в ходе аудита помогают
аудитору при определении контролей, относящихся к
аудиту. Хотя
внутренний контроль применяется в отношении всего субъекта или
его производственных единиц или бизнес процессов, знание
внутреннего контроля, относящегося к каждой из
производственных единиц и бизнес процессу, может и не
относиться к аудиту.
50. Контроли, связанные с функционированием и соответствием целей
могут относиться к аудиту, если они имею отношение к данным,
которые аудитор оценивает или использует при применении
аудиторских процедур. Например, контроли, имеющие отношение к
нефинансовой информации, которую аудитор использует при
аналитических процедурах, такую как производственная
статистика, или контроли, имеющие отношение к обнаружению
несоответствия
законам и регулированию, которые могут оказывать
прямое и существенное влияние на финансовую отчетность,
например, контроли над соответствием законам и регулированию
по подоходному налогу, используемым для определения провизий
по подоходном у налогу, могут относиться к аудиту.
51. Субъект обычно имеет контроли, связанные с целями, не
относящимися к аудиту, и которые, следовательно, не обязательно
рассматривать. Например, субъект может полагаться на
усложненную систему автоматизированного контроля для
обеспечения эффективного функционирования (такие как системы
автоматизированного контроля управления полетами коммерческих
авиалиний), но эти контроли обычно не относятся к аудиту.
52. Внутренний контроль над сохранностью активов в отношении
несанкционированного приобретения, использования или
реализации может включать контроли, связанные с финансовой
отчетностью и целями деятельности. При получении знания о
каждом компоненте внутреннего контроля, изучение аудитором
контролей в отношении сохранности обычно ограничивается
контролями, относящимися к надежности финансовой отчетности,
например, использование контролей доступа, таких как
пароли,
ограничивающих доступ к данным и программа, обрабатывающим
операции по расходу наличности, может относиться к аудиту
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
МСА 315 456
финансовой отчетности. И наоборот, контроли, предотвращающие
излишнее использование материалов в производстве, обычно не
относятся к аудиту финансовой отчетности.
53. Контроли, относящиеся к аудиту, могут существовать в любом
компоненте внутреннего контроля и в дальнейшем рассмотрение
контролей, относящихся к аудиту, представлены в отдельном
параграфе по компонентам внутреннего контроля. Кроме того,
параграфы 113 и 115 рассматривают определенные риски, по
которым аудитор должен оценить разработку субъектом контролей
в отношении таких рисков, и определить были ли
они внедрены.
Масштаб знаний о внутреннем контроле
54. Получение знаний о внутреннем контроле включает оценку
разработки контролей и определение того были ли они внедрены.
Оценка разработки контролей включает изучение вопроса, может
ли контроль, в отдельности или в совокупности с другими
контролями, эффективно предотвратить, обнаружить и исправить
существенные искажения. Дополнительное объяснение
представлено в параграфах по каждому компоненту внутреннего
контроля
. Внедрение контроля означает, что контроль существует и
субъект использует его. Аудитор изучает разработку контроля при
определении стоит ли рассматривать его внедрение. Контроль,
разработанный ненадлежащим образом, может представлять собой
существенный недостаток
4
внутреннего контроля субъекта и
аудитор рассматривает вопрос сообщать ли об этом лицам,
наделенным руководящими полномочиями, и руководству субъекта
в соответствии с параграфом 120.
55. Процедуры по оценке рисков по получению аудиторских
доказательств по разработке и внедрению надлежащих контролей
могут включать опросы персонала субъекта, наблюдение за
применением определенных контролей, инспектирование
документов и отчетов и отслеживание операций в информационной
системе, связанной с финансовой отчетности. Одних запросов
недостаточно как для оценки разработки контролей, относящихся к
аудиту, так
для определения того были ли они внедрены.
4
Существенный недостаток внутреннего контроля – это те слабые стороны, которые
могут оказать существенное влияние на финансовую отчетность.
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
457 МСА 315
56. Получение знания о контролях субъекта не является достаточным
для тестирования эффективности контролей, если только нет
автоматизированного процесса, который обеспечивает
согласованное применение контролей (ручные и
автоматизированные элементы внутреннего контроля, относящиеся
к аудиту описаны ниже). Например, получение аудиторских
доказательств по внедрению осуществляемого вручную контроля на
определенную дату не представляет аудиторского
доказательства
эффективности контроля на другие даты в течение периода аудита.
Но ИТ представляют субъекту возможность последовательно
обработать большие объемы информации и улучшают способность
субъекта осуществлять мониторинг исполнения контролей и
достигнуть эффективного распределения обязанностей путем
внедрения контроля безопасности в приложениях, базах данных и
операционных системах. Таким образом, по причине внутренней
согласованности ИТ
, обработки выполнение аудиторских процедур
по определению того был ли внедрен автоматизированный
контроль может выступать в качестве теста эффективности этого
контроля в зависимости от оценки аудитора и тестирования
контролей, например, контролей над изменениями в программе.
Тесты эффективности контролей описаны в МСА 330.
Характеристики ручных и автоматизированных элементов
внутреннего контроля, связанных с аудиторской оценкой рисков
57. Большинство субъектов используют ИТ системы в целях
финансовой отчетности и операционных целях. Однако, даже если
ИТ широко используются, в системе всегда имеются ручные
элементы. Баланс между ручными и автоматизированными
элементами изменчив. В определенных случаях, в частности в
небольших несложных субъектах система могут превалировать
ручные элементы. В других случаях масштаб автоматизации
может
варьироваться от некоторых систем, почти полностью
автоматизированных с небольшим количеством связанных ручных
элементов, до других систем, даже в пределах одного субъекта,
полностью ручных. В связи с этим, система внутреннего контроля
субъекта скорей всего будет содержать и ручные, и
автоматизированные элементы, характеристики которых связаны с
оценкой рисков аудитором и основывающимися
на ней
аудиторскими процедурами.
58. Использование ручных или автоматизированных элементов
внутреннего контроля также влияет на метод инициации,
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
МСА 315 458
отражения, обработки операций, а также подготовки отчетности по
операциям.
5
Контроли в ручной системе могут включать такие
процедуры как утверждение и обзор деятельности, а также сверку и
последующие действия по сверенным статьям. Субъект может
использовать автоматизированные процедуры для инициации,
отражения, обработки операций, а также подготовке отчетности по
операциям, если записи в электронном формате замещают
документы в бумажном формате, такие как
заказы по покупку,
инвойсы, отгрузочные документы и связанные бухгалтерские
записи. Контроли в ИТ системе состоят из сочетания
автоматизированных контролей (например, контроли, встроенные в
компьютерную программу) и внутренних контролей. Ручные
контроли могут быть независимыми от ИТ, могут использовать
информацию, представленную ИТ, или могут быть ограничены
мониторингом эффективности функционирования ИТ и
автоматизированных контролей
, а также обрабатывать исключения.
Если ИТ используются для инициирования, отражения, обработки
операций, а также подготовки отчетности по операциям или другой
финансовой информации для включения в финансовую отчетность,
системы и программы могут включать контроли, связанные с
соответствующими утверждениями по существенным счетам или
могут быть критичны эффективному функционированию ручных
контролей, зависящих от
ИТ. Сочетание ручных и
автоматизированных контролей в субъекте зависит от характера и
сложности использования ИТ субъектом.
59. Обычно ИТ показывают потенциальные выгоды от эффективности
внутреннего контроля субъекта, так как они предоставляют
субъекту возможность:
•
последовательно применять предписанные правила ведения
бизнеса и выполнять сложные расчеты при обработке больших
объемов операций и данных;
•
обеспечивать своевременность, доступность и точность
информации;
•
обеспечить дополнительный анализ информации;
5
Параграф 9 Приложения 2 определяет инициирование, отражение, обработку и
подготовку отчетности в соответствии с интерпретацией, используемой в данном МСА.
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
459 МСА 315
• обеспечить возможность мониторинга результатов субъекта и
применения политики и процедур;
•
снизить риск игнорирования контролей; и
•
обеспечить возможность эффективного распределения
обязанностей путем внедрения контролей безопасности в
приложениях, базах данных и операционных системах.
60. ИТ также присущи определенные риски в отношении внутреннего
контроля субъекта, включая следующее:
•
Доверие к системе или программам, которые неточно
обрабатывают данные, или и то и другое.
•
Несанкционированный доступ к данным, который может
вызвать уничтожение данных или неправильные изменения в
данных, включая отражение несанкционированных или
несуществующих операций, или неточное отражение операций.
Определенные риски могут возникнуть если к базе данных
имеют доступ многочисленные пользователи;
•
Вероятность приобретения персоналом ИТ привилегий доступа,
превышающих привилегии доступа, необходимые для
выполнения их обязанностей, тем самым нарушая
распределение обязанностей.
•
Несанкционированные изменения в данных основного файла.
•
Несанкционированные изменения в системе или программах.
•
Невозможность внесения необходимых изменений в систему или
программы.
•
Ненадлежащее ручное вмешательств.
•
Потенциальные потери данных или невозможность доступа к
данным.
61. Ручные элементы системы могут быть более приемлемы, если
требуются суждение и выбор в отношении следующих обстоятельств:
•
Крупные, необычные неповторяющиеся операции.
•
Обстоятельства, при которых трудно обнаружить и предсказать
ошибки.
•
При изменении обстоятельств, требующих осуществление
контроля вне масштаба существующего автоматизированного
контроля.
ЗНАНИЕ СУБЪЕКТА И ЕГО СРЕДЫ, ОЦЕНКА РИСКОВ
СУЩЕСТВЕННЫХ ИСКАЖЕНИЙ
МСА 315 460
•
При мониторинге эффективности автоматизированного
контроля.
62. Ручные контроли выполняются людьми и, соответственно,
подвержены определенным рискам в отношении внутреннего
контроля субъекта. Ручные контроли могут быть менее надежными,
чем автоматизированные контроли, так как их легче обойти,
проигнорировать и они более подвержены простым ошибкам.
Поэтому невозможно принять допущение о согласованности при
применении элемента ручного контроля. Ручные системы менее
приемлемы
для следующего:
•
Большой объем или повторяющиеся операции, или когда
ошибки, которые можно прогнозировать, могут быть
предотвращены или обнаружены автоматизированными
параметрами контроля.
•
Контроли, если можно надлежащим образом разработать и
автоматизировать выполнение контроля.
63. Масштаб и характер рисков в отношении внутреннего контроля
зависят от природы и характеристик информационной системы
субъекта. Таким образом при изучении внутреннего контроля
аудитор рассматривает правильно ли субъект реагирует на риски,
возникающие от использования ИТ или ручной системы путем
установления эффективных контролей.
Ограничения внутреннего контроля
64. Внутренний контроль вне зависимости от того насколько хорошо
он разработан и функционирует, может предоставить субъекту
только разумную уверенность в достижении субъектом целей
финансовой отчетности. На вероятность достижения влияют
ограничения, присущие внутреннему контролю. Они включают
вероятность того, что человеческое суждение при принятии
решения может быть неверным, и могут возникнуть нарушения
внутреннего
контроля по причине человеческих ошибок, таких как
простые ошибки. Например, если персонал, работающий с
информационными системами субъекта не полностью понимает
систему ввода проводок операций по продаже, то они могут
ошибочно разработать изменения в систему для обработки продаж
новой лини продукции. С другой стороны, такие изменения могут
быть правильно разработаны, но
неправильно поняты лицами,
пишущими программу. Могут возникнуть ошибки при