Аудиторська діяльність, як правило, зв'язана з цілим поруч неопределенностей, які часто чинять вплив на досягнення її цільових установок. У аудиторській практиці ці невизначеності зазвичай називають рисками.
Нині практично відсутні сумніви як серед західних, так і серед вітчизняних учених у тому, що прийняття зацікавленими користувачами бухгалтерської (фінансовою) звітності будь-яких економічних рішень зв'язане з так званим інформаційним ризиком, що виникає, як правило, із-за окремих неопределенностей, пов'язаних з тими або іншими обмеженнями. Останні впливають на інформаційні потоки, на основі яких приймаються рішення.
Ці обмеження наступні. По-перше, сама бухгалтерська (фінансова) інформація відносно важко сприймається некваліфікованими користувачами із-за специфіки її формування. При цьому найчастіше облікову інформацію формують з метою досягнення якого-небудь ефекту. Іншими словами, інформаційний потік не зовсім нейтральний, а значить, і не зовсім надійний.
По-друге, будь-яка облікова інформація, а отже, і її результативні показники схильні до впливу як людського чинника, що є предметом окремих досліджень, так і неточностей, властивих недосконалості самої системи бухгалтерського обліку. Це не дозволяє нею бути настільки достовірною, як слід було б чекати.
По-третє, значний вплив на ухвалення ефективних управлінських рішень чинить проблема істотності облікової інформації (див. параграф 4.1). Нині не встановлений єдиний критерій, що дозволяє однозначно оцінити міру істотності облікової інформації як самими укладачами, так і зацікавленими користувачами, що безпосередньо приймають економічні рішення.
Незважаючи на те що система бухгалтерського обліку постійно удосконалюється, її прямі функції через вищезгадані причини, а також нормативної бази, що постійно міняється, не дозволяють в достатній мірі сформувати достовірну, відбиваючу об'єктивні фінансово-господарські процеси бухгалтерську (фінансову) інформацію.
Аудитори завжди переслідують дві основних мети:
■ оцінити умови виникнення і зниження інформаційного ризику до прийнятного рівня;
■ оцінити і понизити до прийнятного рівня аудиторський ризик.
Можливість одночасного досягнення цих цільових установок, як правило, зв'язана з рядом труднощів і обмежень, які обумовлені в першу чергу різними поглядами на цю проблему з боку аудируемого економічного суб'єкта і аудиторської організації, що здійснює аудит цього суб'єкта.
Теоретичні і практичні дослідження відомих зарубіжних учених в області аудиту [1, 2, 3, 4, 5 та ін.] підтверджують, що проблема дійсно існує і знаходиться на стику інтересів названих структур.
В той же час оцінка величини і значущості того або іншого ризику, а також пошук підходів до їх зниження при виконанні різних аудиторських завдань є первинним завданням аудиторів, а не системи управління аудируемого економічного суб'єкта.
Аудитор не може бути абсолютно упевнений в тому, що в інформаційних потоках, що піддаються аудированию, не містяться різні по своєму характеру спотворення.
Аналіз досліджень в цій області [1, 2, 3, 4, 5, 13] свідчить: сукупний ризик, який зазвичай називають аудиторським ризиком, не можна звести до нуля. Тому завдання полягає лише в тому, щоб, по можливості, знизити його до найбільш прийнятного мінімуму, що дозволяє отримувати відносно достовірні і оптимальні результати.
Згідно з аудиторською практикою, що склалася, аудиторський ризик складається з трьох основних компонентів:
■ невід'ємний ризик;
■ ризик системи контролю;
■ ризик невиявлення.
Кожен з перерахованих ризиків обумовлений сукупним впливом цілого ряду чинників, які несуть в собі різну ступінь невизначеності, що не дає можливості у кожному конкретному випадку дати однозначні відповіді з приводу міри їх впливу як на перелічені вище приватні ризики, так і на аудиторський ризик в цілому.
В зв'язку з цим аудитор починаючи з етапу планування, а також на всьому протязі своєї діяльності повинен здійснювати збір і аналіз інформації про можливі чинники, які чинять як прямий, так і непрямий вплив на загальний аудиторський ризик.
Первинне, отримане на етапі планування судження про приватні риски, що становлять сукупний аудиторський ризик, більшою мірою схильне до професійного суб'єктивізму, ніж уточнені дані, що отримуються в ході виконання аудиторських завдань.В зв'язку з цим МСА 400 "Оцінка ризиків і внутрішній контроль" встановив єдині вимоги і рекомендації з питань, пов'язаних з отриманням аудитором знань про системи бухгалтерського обліку і внутрішнього контролю, а також про аудиторський ризик, що складається з сукупності вищезгаданих приватних ризиків.
Стандарт вимагає, щоб еше на початковій стадії планування аудиту аудитор отримав достатні знання про системи бухгалтерського обліку і внутрішнього контролю економічного суб'єкта. Крім того, на цьому етапі він повинен застосувати свій професіоналізм для оцінки аудиторського ризику і розробки певних аудиторських процедур, що дозволяють знизити цей ризик до найбільш прийнятного рівня.
Під аудиторським ризиком для цілей справжнього стандарту розуміється ризик можливого вираження аудитором невідповідної думки за наявності в бухгалтерській (фінансовою) звітності істотних спотворень.
Як було вказано вище, аудиторський ризик включає три основні компоненти: невід'ємний ризик, ризик засобів контролю і ризик невиявлення.
Невід'ємним ризиком визнається можливість спотворень як сальдо рахунків, так і відповідних ним класів операцій, які можуть бути істотними як окремо, так і в сукупності з можливими спотвореннями інших сальдо рахунків або класів операцій у разі відсутності належних засобів внутрішнього контролю.
Поя ризиком засобів контролю розуміється ризик того, що спотворення сальдо рахунку або класу операцій, являючись досить cyщественными як окремо, так і в сукупності з іншими сальдо рахунків або класами операцій, не будуть своєчасно відвернені, виявлені або виправлені за допомогою систем бухгалтерського обліку і внутрішнього контролю економічного суб'єкта.
Ризиком невиявлення вважається ризик того, що аудиторські процедури, вживані при перевірці по суті, в достатній мірі не сприятимуть виявленню істотних спотворень як в сальдо рахунків, так і класах операцій.
І нарешті, під системою внутрішнього контролю розуміються політика або певні процедури (засоби внутрішнього контролю), які керівництво економічного суб'єкта застосовує для цілей найбільш ефективного ведення фінансово-господарської діяльності, забезпечення збереження активів, запобігання і виявлення фактів шахрайства і помилок, дотримання точності і повноти бухгалтерських записів і своєчасного формування відносно достовірної бухгалтерської (фінансовою) звітності.
Система внутрішнього контролю поширюється далеко за рамки тих аспектів, які охоплює система бухгалтерського обліку, і включає:
■ контрольне середовище, що складається із загального відношення, обізнаності і дій керівництва економічного суб'єкта по відношенню до усієї системи внутрішнього контролю, що має велике значення для економічного суб'єкта. При цьому контрольне середовище покликане чинити певну дію на ефективність контрольних процедур;
■ процедури контролю, які є політикою і процедурами в сукупності з контрольним середовищем, розроблені керівництвом економічного суб'єкта для досягнення конкретних цілей цього суб'єкта.
Контрольне середовище, як правило, визначають наступні чинники:
■ діяльність ради директорів і його комітетів;
■ філософія керівництва і стиль його роботи;
■ організаційна структура економічного суб'єкта, зокрема вживані прийоми наділу повноваженнями і відповідальністю;
■ система контролю з боку керівництва, у тому числі через систему внутрішнього аудиту, кадрову політику і розподіл обов'язків.
До процедур контролю МСА 400 відносить:
■ звіти, перевірку і затвердження проведених звірянь;
■ перевірку арифметичної точності записів;
■ контроль над прикладними програмами і середовищем комп'ютерних інформаційних систем;
■ ведення і перевірку аналітичних рахунків і оборотних відомостей;
■ контроль над документами і їх твердження;
■ порівняння внутрішньої інформації з даними, отриманими із зовнішніх джерел;
■ інвентаризацію;
■ обмеження доступу осіб до активів і записів;
■ порівняння і аналіз результативних показників фінансово-господарської діяльності з витратами, передбаченими кошторисами.
Слід зазначити, що аудитор при аудировании бухгалтерської (фінансовою) звітності повинен приділяти увагу лише тим аспектам систем бухгалтерського обліку і внутрішнього контролю, які безпосередньо відносяться до формування цієї звітності.
Рішення аудитором проблеми розуміння систем бухгалтерського обліку і внутрішнього контролю економічного суб'єкта у взаємозв'язку з оцінкою невід'ємного ризику і ризику системи контролю, а також здійснення аналізу ряду додаткових чинників дозволяють йому:
■ визначити види можливих істотних спотворень;
■ врахувати чинники, що впливають на ризик появи цих спотворень;
■ розробити відповідні аудиторські процедури.
На стадії розробки загального плану аудиту аудитор повинен оцінити невід'ємний ризик, спираючись лише на дані бухгалтерської (фінансовою) звітності. При розробці програми аудиту він зіставляє вищезгадану оцінку з істотними сальдо рахунків і класів операцій або припускає високий рівень невід'ємного ризику.
Розробляючи загальний план аудиту, аудитор формулює професійне судження по наступних напрямах:
■ чесність керівництва економічного суб'єкта;
■ досвід і компетентність керівництва економічного суб'єкта;
■ незвичайний тиск на керівництво;
■ характер бізнесу економічного суб'єкта;
■ чинники, що впливають на галузь.
На стадії розробки програми аудиту аудитор повинен підготувати професійне судження:
■ по рахунках бухгалтерської (фінансовою) звітності, відносно яких існує вірогідність спотворень (рахунки, пов'язані зі значним об'ємом бухгалтерських розрахунків);
■ складним операціям або подіям, що вимагають залучення експертів;
■ суб'єктивності суджень при визначенні сальдо рахунків;
■ схильності активів втратам або привласненню;
■ незвичайним або складним операціям, особливо у кінці звітного періоду;
■ операціям, які неможливо обробити за допомогою звичайних процедур.
Аудиторові слід також пам'ятати, що існують певного роду обмеження, обумовлені системами бухгалтерського обліку і внутрішнього контролю, які не дозволяють представити керівництву економічного суб'єкта вичерпні докази досягнення цілей.
До них, як правило, відносяться (разом з вищезгаданими) обмеження, пов'язані, :
■ із загальноприйнятими вимогами керівництва економічного суб'єкта про пониження рівня витрат на внутрішній контроль, тобто щоб вони були нижче очікуваних економічних вигод;
■ зосередженням засобів внутрішнього контролю на поточних, а не на рідкісних операціях;
■ людським чинником (суб'єктивність суджень, помилки, недбалість і ін.);
■ вірогідністю обходу процедур внутрішнього контролю за допомогою змови як з внутрішніми, так і зовнішніми особами;
■ із зловживаннями повноваженнями при здійсненні внутрішнього контролю;
■ з можливістю зниження ефективності процедур внутрішнього контролю при зміні тих або інших обставин.
На характер, терміни і об'єм процедур отримання знань про системи бухгалтерського обліку і внутрішнього контролю робить вплив значне число чинників :
■ розміри і складність економічного суб'єкта і його комп'ютерної інформаційної системи;
■ міркування, пов'язані з поняттям істотності;
■ засоби внутрішнього контролю;
■ характер віддзеркалення економічним суб'єктом інформації про конкретні засоби внутрішнього контролю;
■ оцінка аудитором невід'ємного ризику.
Спираючись на вже наявні знання систем бухгалтерського обліку і внутрішнього контролю економічного суб'єкта, аудитор повинен поповнити ці знання для якнайповнішого і достатнього визначення і розуміння :
■ основних класів операцій економічного суб'єкта;
■ значущих бухгалтерських записів, підтверджувальних документів і рахунків бухгалтерської (фінансовою) звітності;
■ усього процесу ведення бухгалтерського обліку важливих операцій до моменту їх визнання в бухгалтерській (фінансовою) звітності.
Крім того, аудитор зобов'язаний визначити міру відношення керівництва економічного суб'єкта до засобів внутрішнього контролю і їх значущості для суб'єкта, тобто отримати уявлення про контрольне середовище. Потім він повинен зробити попередню оцінку ризику системи контролю по кожному істотному сальдо рахунків або класу операцій.
Цей процес є визначенням ефективності як системи бухгалтерського обліку, так і системи внутрішнього контролю економічного суб'єкта з метою запобігання або виявлення і виправлення істотних спотворень.
Ризик системи контролю необхідно оцінювати як високий, якщо:
■ системи бухгалтерського обліку і внутрішнього контролю економічного суб'єкта неефективні;
■ оцінка ефективності систем бухгалтерського обліку і внутрішнього контролю недоцільна.
У випадках, коли аудитор здатний визначити засоби контролю, які з певною часткою ймовірності можуть запобігти або виявити і виправити істотні спотворення, а також якщо він планує проводити тести контролю підтвердження попередньої оцінки, рівень ризику системи контролю може бути знижений.
У робочих документах аудиту економічного суб'єкта аудитор повинен відбити:
■ отримані відомості про системи бухгалтерського обліку і внутрішнього контролю;
■ оцінку ризику системи контролю.
При оцінці ризику системи контролю нижче високого в робочих документах слід відбити обгрунтування такого висновку. Чим нижче оцінка ризику системи контролю, тим більше обгрунтованими мають бути виводи.
До завершення аудиторської перевірки аудитор, спираючись на результати аудиторських процедур і аудиторські докази, повинен підтвердити або уточнити попередню оцінку ризику системи контролю.
Важливо також пам'ятати, що керівництво економічного суб'єкта, як правило, розробляє системи бухгалтерського обліку і внут-реннсго контролю, спрямовані на запобігання або виявлення і виправлення спотворень. Ці заходи пов'язані головним чином з невід'ємним ризиком, і аудитор повинен враховувати цю обставину при оцінці ризику системи контролю і невід'ємного ризику. Тільки системний підхід до оцінки дозволяє з найбільшою мірою точність визначити рівень аудиторського ризику. Ризик невиявлення пов'язаний безпосередньо з аудиторськими процедурами по суті. Як було відмічено раніше, оцінка невід'ємного ризику і ризику системи контролю чинить вплив на характер, терміни і об'єм аудиторських процедур по суті, які проводять з метою зниження ризику невиявлення і сукупного аудиторського ризику до прийнятно низького рівня. Між ризиком невиявлення і сукупністю невід'ємного ризику і ризику системи контролю існує зворотний зв'язок.
В той же час невід'ємний ризик і ризик системи контролю як в сукупності, так і окремо не можуть бути гранично низькими, що як би взагалі заперечує проведення яких-небудь аудиторських процедур по суті. Навіть при дуже низькому рівні цих ризиків аудитор зобов'язаний провести ряд процедур по суті відносно сальдо рахунків і класів операцій.
Слід також відмітити, що аудиторська оцінка усіх ризиків може мінятися в ході аудиторської перевірки. Якщо аудитор встановив, що ризик невиявлення в частині твердження, на якому формується бухгалтерська (фінансова) звітність, стосовно істотних сальдо рахунків або класів операцій не може бути понижений до прийнятно низького рівня, то йому необхідно висловити умовно-позитивну думку або взагалі відмовитися від висловлювання якої-небудь думки.
Аудитор може визначити, які недоліки існують в системах бухгалтерського обліку і внутрішнього контролю економічного суб'єкта, і в найбільш короткий термін повідомити про них керівництву цього суб'єкта. Зазвичай таке повідомлення має письмову форму.
Сучасний розвиток технологій обробки інформаційних потоків пов'язаний із застосуванням комп'ютерів різних моделей і потужності. В зв'язку з цим аудитор при аудиті бухгалтерської (фінансовою) звітності зобов'язаний виробити і дотримувати певні процедури, що враховують застосування економічним суб'єктом різних комп'ютерних інформаційних систем (КИЦЬ).
Виходячи з вищевикладеного аудиторові необхідно виявити, яким чином комп'ютерна система аудируемого економічного суб'єкта впливає на проведення аудиту. Звертаючись до вимог і рекомендацій Міжнародного стандарту аудиту 401 "Аудит в середовищі комп'ютерних інформаційних систем", аудитор повинен враховувати, що об'єм аудиту не міняється в середовищі КИЦЬ.
Проте застосування комп'ютерних інформаційних систем вносить цілий ряд змін в сам процес обробки, зберігання і передачі бухгалтерської (фінансовою) інформації. Тому середовище КИЦЬ може не лише впливати на інформаційні потоки, але і чинити істотний вплив:
■ на процедури, вживані аудитором для отримання достатнього уявлення про існуючі у аудируемого суб'єкта системи бухгалтерського обліку і внутрішнього контролю;
■ аналіз і оцінку невід'ємного ризику і системи внутрішнього контролю;
■ розробку і застосування тестів контролю і процедур перевірки по суті, необхідних для досягнення основної мети аудиту.
Для проведення аудиту в умовах застосування економічним суб'єктом комп'ютерних інформаційних систем аудитор повинен мати достатні знання в цій області, що дозволяє йому здійснювати на належному рівні планування, координацію робіт, контроль і перевірку виконання аудиторських завдань. При цьому аудитор повинен акцентувати увагу:
■ на системах бухгалтерського обліку і внутрішнього контролю, на які чинить вплив КИЦЬ;
■ визначенні міри впливу КИЦЬ і оцінці загального аудиторського ризику;
■ оцінці ризику на рівні сальдо рахунків і класів операцій;
■ розробці і проведенні відповідних тестів контролю і процедур перевірки по суті.
В той же час не можна вимагати від аудитора знань в усіх областях, відмінних від бухгалтерського обліку і аудиту. З цієї причини він повинен мати можливість притягати для відповідної роботи фахівця-експерта, що має достатню компетентність в області комп'ютерних інформаційних систем.
Ще на етапі планування аудиторської перевірки необхідно виявити ті аспекти функціонування КИЦЬ, які можуть істотно вплинути на аудиторські процедури. З цією метою необхідно отримати представлення:
- про складність комп'ютерної обробки в кожній прикладній бухгалтерській програмі, вживаній економічним суб'єктом;
- про організаційну структуру КИЦЬ і міри її концентрації або розподілу у рамках економічного суб'єкта;
- про доступність даних.
Якщо комп'ютерна інформаційна система економічного суб'єкта грає значну роль в обробці його інформаційних потоків, то аудитор зобов'язаний оцінити її вплив на невід'ємний ризик і ризик системи контролю. При цьому необхідно проаналізувати характер ризику і характеристики внутрішнього контролю у відношенні:
■ відсутності проміжних етапів обробки даних, які не дозволяють своєчасно виявити помилки в логіці прикладної програми за допомогою ручних операцій;
■ наявність єдності обробки усіх однотипних операцій, що дозволяє унеможливити описок, властивих ручній обробці, але збільшує вірогідність виникнення помилок програмування в усіх результативних показниках;
■ відсутності розподілу функцій обробки інформації і контролю;
■ вірогідність здійснення помилок під впливом людського чинника;
■ можливості несанкціонованого доступу до інформації і її зміни без очевидних доказів;
■ зниження вірогідності виявлення помилок із-за малої міри участі в процесі обробки інформації співробітників економічного суб'єкта;
■ залежності засобів контролю від КИЦЬ;
■ вдосконалення і розширення аналітичних можливостей засобів контролю за допомогою КИЦЬ;
■ можливості застосування комп'ютерного аудиту.
Аудитор може застосовувати методи ручної і комп'ютерної обробки даних. Крім того, стандарт допускає застосування комбінованої обробки з метою отримання достатніх доказів для висловлювання думки аудитора.