Згідно МСА 315 внутрішній контроль є процесом, який формують і задіюють осіб, наділені керуючими повноваженнями, керівництво і інший персонал, щоб забезпечити розумну упевненість з точки зору забезпечення надійності бухгалтерської (фінансовою) звітності і результативності операцій і відповідності їх вживаним законам і нормам [151 - Іншими словами, внутрішній контроль створиться і застосовується для запобігання виявленим бізнес-ризикам, які погрожують досягненню будь-якої з цих цілей.
Таким чином, формування внутрішнього контролю спрямоване на створення можливості для керівників економічного суб'єкта знижувати з його допомогою бізнес-риски і готувати надійну бухгалтерську (фінансову) звітність, що відповідає вживаним законам і іншим нормативним актам.
В процесі аудирования економічного суб'єкта аудиторові необхідно постійно аналізувати існуючу систему внутрішнього контролю. Одночасно з цим МСА 315 вимагає пов'язувати аналіз системи внутрішнього контролю з оцінкою аудиторського ризику і аудиторські процедури по оцінених рисках.
З введенням МСА 315 зазнала зміни і класифікація складових частин системи внутрішнього контролю. Вона містить наступні елементи:
■ інформаційні системи, пов'язані з цілями бухгалтерської (фінансовою) звітності;
■ контрольне середовище;
■ контрольні дії;
- процес оцінки ризику аудируемым особою;
■ моніторинг засобів контролю.
Згідно МСА 315 аналіз внутрішнього контролю необхідно здійснювати в розрізі п'яти вказаних компонент. В той же час оцінка системи внутрішнього контролю повинна поєднувати оцінку якості процедур контролю і ефективності їх застосування. При цьому аудитор повинен оцінювати систему внутрішнього контролю на основі свого професійного судження з точки зору ризику істотного спотворення бухгалтерської (фінансовою) звітності.
Аудитор повинен зважати на усю специфіку внутрішнього контролю, здійснюваного за допомогою систем, заснованих на застосуванні обчислювальної техніки і відповідних технологій.
В процесі аналізу системи внутрішнього контролю аудитор повинен отримати достатнє розуміння усіх контрольних дій, щоб адекватно оцінити риски істотних спотворень на рівні передумов керівництва економічного суб'єкта підготовки бухгалтерської (фінансовою) звітності і розробити аудиторські процедури, що враховують оцінені риски.
Отже, система внутрішнього контролю в новій редакції МСА складається з п'яти елементів.
Інформаційні системи, пов'язані з цілями бухгалтерської (фінансовою) звітності, згідно з Додатком 2 до МСА 315, складаються з процедур і відповідних записів, встановлених для ініціації, занесення, обробки і узагальнення операцій економічного суб'єкта.
Аудитор повинен отримати належне розуміння інформаційної системи аудируемого суб'єкта, бухгалтерської (фінансовою) звітності, що відноситься до підготовки, і пов'язаних з цим бізнес-процесів, у тому числі що стосуються наступних аспектів:
■ класів операцій, істотних для бухгалтерської (фінансовою) звітності;
■ внутрішніх процедур як комп'ютерних, так і ручних систем обліку, за допомогою яких вказані операції ініціюються, записуються, обробляються і узагальнюються в результативні показники бухгалтерської (фінансовою) звітності;
■ пов'язаних з цими операціями облікових записів як що підтверджують інформацію, і конкретні рахунки обліку в звітності, що стосуються ініціації, запису, обробки і узагальнення операцій;
■ того, як інформаційна система виявляє події або умови, окрім однотипних операцій, які значущі для бухгалтерської (фінансовою) звітності;
■ процесу підготовки бухгалтерської (фінансовою) звітності, включаючи дії з підготовки оцінних значень і по розкриттю необхідної інформації.
Аудитор повинен розуміти, як керівництво аудируемого економічного суб'єкта інформує про ролі і функції конкретних співробітників, пов'язаних з підготовкою бухгалтерської (фінансовою) звітності, а також про їх обов'язки і істотні аспекти, пов'язані з цією звітністю. Іншими словами, аудитор повинен розуміти, як розподіляються повноваження і обов'язки і розуміння співробітниками характеру своєї участі в процесі підготовки бухгалтерської (фінансовою) звітності.
З цією метою аудиторові необхідно утямити:
■ характер спілкування між керівництвом економічного суб'єкта і співробітниками, наділеними керівними повноваженнями;
■ порядок обміну інформацією із зовнішнім оточенням економічного суб'єкта.
Контрольне середовище, згідно з Додатком 2 до МСА 315, включає відношення, обізнаність і дії керівництва і інших співробітників, наділених керівними повноваженнями, відносно внутрішнього контролю економічного суб'єкта і його значущості для цього суб'єкта. Одночасно з цим контрольне середовище включає управлінські функції і формує внутрішню культуру економічного суб'єкта, впливаючи на свідомість її співробітників відносно контролю. Крім того, контрольне середовище є основою для ефективного внутрішнього контролю і забезпечує дисципліну і структурованість.
Контрольне середовище, згідно МСА 315, визначають наступні чинники:
■ повідомлення вимог відносно чесності і етичних цінностей, а також міри по забезпеченню цих вимог;
■ увага, що приділяється компетентності;
■ участь співробітників, наділених керівними повноваженнями;
■ філософія керівництва і стиль його роботи;
■ організаційна структура;
■ делегування повноважень і відповідальності;
■ політика і практика в області людських ресурсів.
МСА 315 вимагає від аудитора отримувати належне розуміння контрольного середовища аудируемого економічного суб'єкта. При цьому особливу увагу слід приділяти проблемам, пов'язаним із загрозою шахрайства.
В ході оцінки характеру, особливостей і застосування елементів контрольного середовища аудитор повинен зрозуміти, яким чином керівництво аудируемого економічного суб'єкта створює умови для чесної і етичної поведінки і встановлює адекватні засоби контролю для запобігання і захисту від шахрайства і помилок. При цьому слід пам'ятати, що основний обов'язок по виявленню і запобіганню цим фактам лежить на керівництві економічного суб'єкта, а не на аудиторові.
Під контрольними діями в Додатку 2 до МСА 315 розуміються політика і процедури, які допомагають переконатися, що розпорядження керівництва економічного суб'єкта виконуються. Контрольні дії, як з використанням комп'ютерних систем бухгалтерського обліку, так і ручної обробки інформації, мають різні цілі і застосовуються на різних організаційних і функціональних рівнях.
МСА 315 вимагає від аудитора отримання достатнього розуміння контрольних дій економічного суб'єкта, щоб оцінити існуючі риски спотворень на рівні передумов підготовки бухгалтерської (фінансовою) звітності і розробити подальші належні аудиторські процедури з урахуванням оцінених ризиків. При цьому необхідно аналізувати тільки ті статті обліку і передумови, які можуть послужити джерелом істотних спотворень.
При винесенні професійного судження відносно контрольних дій аудиторові необхідно брати до уваги :
■ свою оцінку рівня істотності;
■ розмір аудируемого економічного суб'єкта;
■ характер бізнесу суб'єкта;
■ різноманітність і складність операцій, що проводяться суб'єктом;
■ складність елементів, що утворюють систему внутрішнього контролю, і так далі
Для отримання належних аудиторських доказів відносно форми і ефективності застосування контрольних дій аудитор може проводити наступні процедури оцінки істотних ризиків :
■ зробити запити відповідним наділеним певними повноваженнями співробітникам аудируемого суб'єкта;
■ здійснити спостереження за виконанням конкретних контрольних дій;
■ перевірити відповідні документи і звіти;
■ провести відстежування угод за допомогою інформаційних систем, що відносяться до підготовки бухгалтерської (фінансовою) звітності.
В той же час необхідно враховувати, що система внутрішнього контролю будь-якого економічного суб'єкта, через існуючі (властивих внутрішньому контролю) обмеження, не дозволяє забезпечити повну упевненість в досягненні цілей, що стоять при підготовці бухгалтерської (фінансовою) звітності. Тому, незалежно тому як був оцінений ризик істотних спотворень, аудитор повинен планувати і виконувати аудиторські процедури перевірки по суті для усіх істотних сальдо рахунків, класів операцій і розкриваної в звітності інформації.
MCA 330 допускає два етапи аудиторської перевірки контрольних дій, здійснюваних аудируемым економічним суб'єктом. Аудиторові необхідно передусім визначити наявність і вживаність досліджуваної контрольної дії. Далі аудитор повинен оцінити міру ефективності контрольних дій, тобто визначити, чи виконують вони передбачувані функції. Для цього стандарт допускає застосування спеціальних тестів контролю для отримання належних аудиторських доказів того, що система внутрішнього контролю ефективно функціонувала впродовж аудируемого періоду.
З точки зору характеру (nature) тестів засобів контролю аудитор повинен переконатися, що вони застосовуються тільки для тих елементів системи внутрішнього контролю, які визнані ним належними при реалізації цілей їх застосування.
Під часовими рамками (liming) тестів засобів контролю в МСА 330 розуміється період часу, до якого відноситься проведення аудиторських процедур, а також період або дата, до яких відносяться отримані аудиторські докази. Стандарт вимагає від аудитора:
■ якщо аудитор отримує докази ефективного функціонування контрольних дій на проміжну дату, то він повинен визначити, які ще аудиторські докази необхідно отримати стосовно цих же дій для аудируемого періоду, що залишився (не охопленого ними);
■ якщо аудитор планує використовувати аудиторські докази ефективності функціонування системи внутрішнього контролю, отримані за попередні періоди, то він повинен отримати аудиторські докази того, чи сталися які-небудь зміни в системі внутрішнього контролю з моменту проведення попереднього аудиту;
■ якщо аудитор спирається на аудиторські докази відносно системи внутрішнього контролю, що змінилася, то він повинен протестувати ефективність цієї системи в поточному періоді;
■ якщо аудитор планує узяти за основу систему внутрішнього контролю, яка не змінилася з моменту попереднього аудиту, то допускається перевірка її ефективності мінімум один раз в три аудиторські перевірки.
Під масштабом (extent) аудиторських процедур розуміється кількісна складова необхідних процедур. Масштаб аудиту визначається професійним судженням аудитора, заснованим на розгляді істотності, оцінених ризиків і рівні достовірності, який планується досягти. При збільшенні ризику істотних спотворень необхідно збільшити масштаб аудирования. Проте це має сенс лише у тому випадку, якщо аудиторська процедура призначена для певного виду ризику істотних спотворень.
При визначенні масштабів тестів контролю аудитор повинен враховувати наступні чинники:
■ частоту контрольних заходів, виконуваних аудируемым економічним суб'єктом;
■ інтервал часу у рамках звітного періоду, упродовж якого аудитор оцінює працездатність контрольних дій;
■ доцільність і надійність аудиторських доказів, які необхідно отримати для підтвердження того, що контрольні дії економічного суб'єкта запобігають, виявляють і виправляють істотні спотворення на рівні передумов підготовки бухгалтерської (фінансовою) звітності;
■ те, в якій мірі аудитор планує покладатися на працездатність контрольних дій аудируемого економічного суб'єкта при оцінках ризиків істотних спотворень з метою зниження об'єму перевірок по суті, заснованих на довірі до внутрішнього контролю;
■ міру відхилень від контрольних дій, тобто частоту їх недотримання економічним суб'єктом.
Крім того, аудитор повинен враховувати пряму залежність оцінки ризику істотних спотворень від масштабу аудиторських тестів засобів контролю. Іншими словами, чим більше аудитор спирається на факт ефективного функціонування контрольних дій при оцінці ризику істотних спотворень, тим більше необхідний масштаб аудиторських тестів контролю.
Під процесом оцінки ризику аудируемым особою в Додатку 2 до МСА 315 розуміється як процес виявлення бізнес-ризиків і їх можливих наслідків, так і процес реагування на ці риски.
Для цілей бухгалтерської (фінансовою) звітності процес оцінки ризику аудируемым особою полягає:
■ з виявлення і реакції керівництва економічного суб'єкта на ризики, пов'язані з підготовкою достовірної бухгалтерської (фінансовою) звітності відповідно до вживаних принципів це підготовки;
■ припущення про важливість цих ризиків;
■ опеньки вірогідності виникнення відповідних несприятливих наслідків;
■ ухвалення рішення про заходи, які потрібні для управління цими рисками.
Аудитор повинен отримати розуміння того, яким чином аудируемый економічний суб'єкт виявляє бізнес-риски, пов'язані з цілями бухгалтерської (фінансовою) звітності, і до якого результату призводять його дії. Для цього аудитор повинен визначити і оцінити:
■ процес виявлення керівництвом економічного суб'єкта бізнес-ризиків, що відносяться до бухгалтерської (фінансовою) звітності;
■ значущість цих ризиків;
■ вірогідність появи бізнес-ризиків;
- заходи, що робляться, з протидії їм.
У разі належного підходу до побудови процесу оцінки ризиків аудируемым особою аудитор може використовувати цей процес для визначення ризиків істотних спотворень. Якщо ні, то аудиторові необхідно зробити керівництву економічного суб'єкта зауваження або рекомендації по поліпшенню процесу оцінки ризиків. Якщо керівництво економічного суб'єкта ніяк не реагує на побажання аудитора або реагує неналежно, він повинен проінформувати про це власників економічного суб'єкта.
Під моніторингом засобів контролю в Додатку 2 до МСА 315 розуміється процес оцінки якості функціонування системи внутрішнього контролю після часу, що має на увазі своєчасну оцінку особливостей і працездатності засобів контролю і внесення в них відповідних адекватних змін в міру необхідності. Моніторинг засобів контролю виконується за допомогою постійних моніторингових дій, окремих оцінок надійності засобів або їх поєднання.
Аудитор повинен розуміти основні види заходів, які застосовує економічний суб'єкт для моніторингу засобів контролю бухгалтерської (фінансовою) звітності.
МСА 315 допускає проведення аналізу системи внутрішнього контролю як по усіх вказаних компонентах, так і із застосуванням альтернативної класифікації (наприклад, МСА 2001 року), але за умови повного охоплення усіх встановлених стандартом аспектів.
Схожі матеріали- Оцінка системи внутрішнього контролю клієнта
- Вивчення системи внутрішнього аудиту економічного суб'єкта
- Види аудиту
- Суть технологічної стадії аудиту
- Внутрішній контроль
- Аудиторські докази - сучасний підхід
- Ризик контролю
- Організація внутрішнього аудиту
- Професійні стандарти внутрішнього аудиту
- Особливості облікових систем в країнах Європи - Німеччина