«Дії, які ми повинні зробити в залежності від наявної

у нас свободи вибору, - ось що таке ризик насправді»

(Пітер Бернстайн, автор книги «Проти богів: приборкання ризику»)

Здатність наважуватися на ризик - один із шляхів вдалої діяльності підприємців. Разом з тим, ризик може виступати і дестабілізуючим чинником. Це можливо у випадках, коли прийняття рішення здійснюється в умовах неповної інформації або без належного врахування законів розвитку явища. Аудит пов'язаний з цілою низкою невизначеностей, які мають вплив на досягнення цілей аудита. Ці невизначеності в практиці аудиту прийнято називати аудиторським ризиком. Цей ризик не можна звести до нуля. Тому основне завдання аудитора полягає в тому, щоб, по можливості, знизити аудиторський ризик до найбільш прийнятного мінімуму, що дозволить отримати відносно достовірні і оптимальні результати. Концепція прийнятного ризику реалізується у вигляді двох стадій комплексу процедур: оцінка ризику і контроль (рис. 1).

рис.1- оценка рисков.jpg

Значимість правильно організованого і ефективного процесу оцінки і контролю аудиторського ризику визначається загрозою пред'явлення претензій клієнтами та іншими сторонами, які зацікавлені в результатах аудиту.

Ризик аудитора потрібно розглядати в трьох напрямках. За першим напрямком ризик є економічною категорією з позиції результатів підприємницької діяльності. В даному випадку ризик розглядається як ймовірність або загроза втрати аудитором своєї репутації, неотримання запланованих доходів, або появи неочікуваних витрат. За другим напрямком ризик є відхиленням від мети. В даному випадку метою аудитора є досягнення прийнятно низького аудиторського ризику. І за третім напрямком  ризик є імовірнісною категорією з позиції настання будь-якої події, що приведе до висловлювання аудитором позитивної думки про «погану» звітність або висловлювання негативної думки про «хорошу» звітність. Тобто це ймовірність того, що аудитор може допустити деякі похибки в своїй роботі і при підведенні загальних підсумків аудиту зробити невірні висновки.

Міжнародні стандарти аудиту[i] (далі – МСА) містять наступне визначення аудиторському ризику - це ризик того, що аудитор висловить невідповідну аудиторську думку в разі, якщо фінансова звітність суттєво викривлена. Це пов’язано з тим, що підґрунтям для аудиторської думки є обґрунтована впевненість аудитора у тому, що фінансова звітність у цілому не містить суттєвого викривлення внаслідок шахрайства або помилки. Обґрунтована впевненість досягається, якщо аудитор одержує прийнятні аудиторські докази у достатньому обсязі для зменшення аудиторського ризику до прийнятно низького рівня. Оцінка і контроль аудиторського ризику лежать в основі кожного етапу аудиторського процесу, про що свідчать нижче наведені  приклади. Приміром, завершення аудитором виконання процедур оцінювання ризиків дозволяє йому під час планування визначитися із питаннями щодо: ресурсів, необхідних для конкретних ділянок аудиту, у тому числі використання персоналу з відповідним досвідом на ділянках з високим ризиком, або залучення експертів зі складних питань; кількості ресурсів, необхідних для використання на конкретних ділянках аудиту (для спостереження за процесом інвентаризації, для перевірки роботи інших аудиторів у випадку аудиту групи, для перевірки ділянок з підвищеним ризиком тощо); часу використання ресурсів на проміжних етапах аудиту або на ключових датах закриття періоду; управління, керівництва та нагляду за такими ресурсами (проведення інструктажів і нарад аудиторської групи, проведення огляду партнером та керівником із завдання результатів роботи, проведення перевірки якості виконання завдання тощо). Результати процедур оцінювання ризиків впливають також і на характер, час й обсяг конкретних подальших аудиторських процедур, що аудитор планує до виконання. Розуміння суб’єкта господарювання, що доповнюється результатами виконаних процедур оцінки ризиків, впливає на визначення аудитором суттєвості для виконання аудиторських процедур. Від оцінки ризиків суттєвого викривлення залежить доречність застосування будь-якого методу вибірки елементів для тестування та обсяг  аудиторської вибірки. Виявлені ризики суттєвого викривлення є одним із чинників, що розглядаються аудитором при формулюванні звернень щодо  зовнішнього підтвердження. Отримання аудитором розуміння вимог застосовної концептуальної основи фінансового звітування щодо облікових оцінок та як управлінський персонал робить облікові оцінки забезпечує такому аудитору основу для ідентифікації та оцінки ризиків суттєвого викривлення в облікових оцінках. Оцінений ризик суттєвого викривлення впливає на визначення характеру та обсягу роботи, яка може бути доручена внутрішнім аудиторам суб’єкта господарювання.

Отже, аудиторський ризик це дії, які повинен зробити аудитор в залежності від наявної у нього свободи вибору і він має вирішальне значення для всього аудиторського процесу. Оцінка аудиторського ризику не є питанням, що піддається точній оцінці, це питання професійного судження аудитора. При цьому, слід враховувати, що  аудиторський ризик є технічним терміном, який пов’язаний із процесом аудиту. Отже, він не стосується бізнес-ризиків аудитора, приміром коли ім'я аудиторської фірми може виявитися пов'язаним з несприятливою репутацією клієнта, або аудиторська фірма може отримати збитки внаслідок судового процесу, який виник у зв’язку з аудитом фінансової звітності.

рис.2- оценка рисков.jpg

Компоненти аудиторського ризику, зазначені на рис. 2, наочно демонструють, що аудиторський ризик базується на оцінці:

- ризику неефективності системи обліку, який ведеться клієнтом;

- ризику неефективності системи внутрішнього контролю клієнта; та

- ризику невиявлення аудиторами під час виконання аудиторських процедур помилок клієнта.

Отже, під час аудиту аудитор стикається з трьома видами ризиків: обліку, контролю і аудиторських процедур.

Перший компонент аудиторського ризику (РИЗИК СУТТЄВОГО ВИКРИВЛЕННЯ)  пов'язаний з особливостями функціонування підприємства-клієнта, його системи бухгалтерського обліку і внутрішнього контролю. Іншими словами ризик суттєвого викривлення - це ймовірність наявності суттєвих перекручень у фінансовій звітності до проведення аудиту, але після здійснення контрольних процедур, запроваджених суб’єктом господарювання. На ці ризики аудитор не може вплинути жодним чином, оскільки вони існують незалежно від аудиту фінансової звітності. Він лише може провести оцінку рівня цих ризиків, що допомагає їх кращому розумінню, але він не здатний зменшити їх або  змінити. Вважається, що невід'ємний ризик є більш високим якщо потрібна висока ступінь судження й оцінки або якщо операції підприємства є дуже складними.

Ризики суттєвого викривлення існують на двох рівнях:

• на загальному рівні фінансової звітності; та

• на рівні тверджень щодо класів операцій, залишків рахунків і розкриття інформації.

На першому рівні ризики суттєвого викривлення означають ризики суттєвого викривлення, які пов’язані з фінансовою звітністю у цілому та потенційно мають вплив на велику кількість тверджень. Оцінка ризиків суттєвого викривлення на другому рівні, тобто на рівні тверджень, потрібна для того, щоб визначити характер, час та обсяг подальших аудиторських процедур, які необхідні для отримання аудитором прийнятних аудиторських доказів у достатньому обсязі.

Для певних тверджень і пов’язаних із ними класів операцій, залишків рахунків та розкриття інформації невід’ємний ризик може бути вищим, ніж для інших. Приміром, невід’ємний ризик є вищим для рахунків, що складаються із сум, які отримані на основі облікових оцінок, що чутливі до значної невизначеності оцінювання. На невід’ємний ризик також можуть здійснювати вплив зовнішні обставини, які викликають бізнес-ризики. Так, певний продукт може стати застарілим через розвиток технологій, що збільшить чутливість запасів до завищення. На невід’ємний ризик щодо конкретного твердження  можуть впливати також і чинники суб’єкта господарювання та його середовища, які пов’язані з окремими або усіма класами операцій, залишками рахунків або розкриттям інформації. До таких чинників можна зарахувати відсутність обігового капіталу, якого було б достатньо для продовження діяльності, або велику кількість банкрутств у галузі, в якій працює клієнт, тощо.

РИЗИК КОНТРОЛЮ є функцією ефективності системи внутрішнього контролю, що впроваджується та підтримується управлінським персоналом для того, щоб вирішувати проблеми ідентифікованих ризиків, доречних для складання фінансової звітності, які загрожують досягненню цілей суб’єкта господарювання. Тобто підприємства повинні мати належний внутрішній контроль для запобігання та виявлення випадків шахрайства і помилок.

Складність оцінки ризику контролю для аудитора пов'язана з тим, що більша частина суб’єктів господарювання не має формалізованої системи внутрішнього контролю або нехтує документуванням його результатів.

Ризик контролю характеризує ступінь надійності системи внутрішнього контролю. Якщо суб’єкт господарювання  має строгі засоби контролю і керівництво ефективно їх застосовує, у нього відносно низький ризик контролю. І навпаки, якщо підприємство не має адекватного внутрішнього контролю для запобігання та виявлення випадків шахрайства і помилок у фінансовій звітності, ризик контролю вважається високим.  При цьому аудитор має пам’ятати,  що чим нижче він оцінює ризик невідповідності контролю, тим більше аргументів, які підтверджують обґрунтованість такої оцінки, він повинен надати. Тобто чим нижче оцінка ризику контролю, тим більше аудиторських доказів треба зібрати аудитору щодо ефективності функціонування системи внутрішнього контролю.  Підтвердження тому знаходиться в МСА 330 «Дії аудитора у відповідь на оцінені ризики». Зокрема, цей МСА у випадку, коли аудитор планує довіряти ефективності функціонування заходів контролю під час визначення характеру, часу й обсягу процедур по суті, вимагає від аудитора розробити та виконати тести заходів контролю для отримання прийнятних аудиторських доказів у достатньому обсязі щодо ефективності функціонування доречних заходів контролю.

Тести заходів контролю - це набір дій, що здійснюються аудитором з метою отримання аудиторських доказів щодо належної організації та ефективності функціонування заходів контролю, включених в будь-який з п’яти елементів внутрішнього контролю: середовище контролю; оцінку ризиків; засоби контролю; інформацію та комунікації; моніторинг.

Термін «тест» має декілька значень. В контексті процедури «тест заходів контролю» під терміном «тест» мається на увазі не тестування як метод опитування, а слово, що означає «випробування», «перевірку». Тобто це спосіб вивчення процесів діяльності системи, в нашому випадку це вивчення аудитором заходів внутрішнього контролю з метою отримання аудиторських доказів щодо ефективності функціонування заходів контролю.

При тестуванні заходів контролю аудитору не потрібно шукати помилки і порушення. Головним завданням аудитора в цьому випадку є виявлення слабких ланок в обліку і контролі, які можуть перешкоджати своєчасному виявленню та усуненню цих помилок. При виконанні тестів заходів контролю МСА вимагає від аудитора не обмежуватися тільки запитами, оскільки запити самі по собі є недостатніми для тестування ефективності функціонування заходів контролю. Аудитору необхідно виконати також інші аудиторські процедури (наприклад, інспектування, спостереження чи повторне виконання) у поєднанні із запитами. Як це буде виглядати на практиці? Приміром, візьмемо перший елемент внутрішнього контролю - середовище контролю. Цей елемент вимагає, щоб управлінський персонал робив акцент на необхідності дотримання працівниками чесності та етичних цінностей компанії. Як проходить тестування  заходів контролю в цьому випадку показано на рис. 3.

 

Вибір певних аудиторських процедур, які необхідно виконати для отримання аудиторських доказів щодо ефективності функціонування заходів контролю, завжди буде залежати від  характеру того чи іншого заходу контролю. Наприклад, якщо на підтвердження ефективності функціонування заходів контролю на підприємстві існує документація, аудитор може прийняти рішення перевірити її, щоб отримати аудиторські докази ефективності функціонування заходу контролю. Стосовно інших заходів контролю, де документація може бути не доступною або не доречною (наприклад, підприємство є малим за розмірами і середовище контролю не містить елементу «розподіл повноважень і відповідальності»), аудитор може поєднати запит з процедурою спостереження.

Незалежно від того, наскільки добре розроблений та функціонує внутрішній контроль, він може лише зменшити, але не усунути ризики суттєвого викривлення у фінансовій звітності. Це пов’язане з невід’ємними обмеженнями внутрішнього контролю (можливість помилок або непорозумінь, які пов’язані із людським чинником, уникнення заходів контролю через змову чи нехтування ними управлінським персоналом тощо). Отже, ризик контролю існує завжди.

МСА, як правило, не посилаються окремо на невід’ємний ризик та ризик контролю, а роблять посилання на комбіновану оцінку ризиків суттєвого викривлення. При цьому МСА 200 «Загальні цілі незалежного аудитора та проведення аудиту відповідно до Міжнародних стандартів аудиту» припускає, що спосіб виконання оцінки ризиків (окремо оцінювати невід’ємний ризик та ризик контролю чи здійснювати комбіновану оцінку ризиків суттєвого викривлення) залежить від практичних міркувань аудитора та від методів та методологій, які він вважає для себе більш кращими.

Другий компонент аудиторського ризику (РИЗИК НЕВИЯВЛЕННЯ) є обернено пропорційним до оцінених ризиків суттєвого викривлення на рівні тверджень: чим вищим є ризик суттєвого викривлення, тим меншим є ризик невиявлення. Характер зв'язку між рівнем ризику невиявлення та необхідною кількістю аудиторських доказів та також є обернено пропорційний. Відповідно чим меншим є ризик невиявлення, тим більш вагомі аудиторські докази аудитору потрібно отримати.

Ризик невиявлення - це функція ефективності аудиторської процедури (рис. 4), оскільки він пов’язаний із характером, часом та обсягом процедур, що визначаються аудитором для зменшення аудиторського ризику до прийнятно низького рівня.

 

 При цьому ризик невиявлення існуватиме завжди, оскільки його не можна усунути через наявність обмежень, що властиві аудиту. Основним завданням аудитора є мінімізація ризику невиявлення.

У разі якщо аудитору потрібно знизити ризик невиявлення, він зобов'язаний:

- переглянути та забезпечити достатній обсяг аудиторських процедур на основі застосування грамотно складених внутріфірмових  методик аудиту;

- збільшити витрати часу на перевірку;

- підвищити обсяг аудиторських вибірок.

До невід’ємних обмежень аудиту входять:

1) Характер фінансової звітності.

Під час складання фінансової звітності управлінський персонал використовує професійне судження. До того ж в фінансовій звітності існують статті, які пов’язані із суб’єктивними рішеннями або оцінками або щодо яких існує діапазон прийнятних тлумачень та суджень. Таким статтям фінансової звітності притаманний рівень змінюваності, який аудитору не усунути через застосування додаткових аудиторських процедур. Приміром, це нерідко виникає стосовно певних облікових оцінок. Від аудитора  ж в цьому випадку МСА вимагають приділити особливу увагу обґрунтованості облікових оцінок у контексті застосовної концептуальної основи фінансового звітування та відповідному розкриттю інформації, а також якісним аспектам облікових практик суб’єкта господарювання, приймаючи до уваги ознаки можливої упередженості суджень, зроблених управлінським персоналом.

2) Характер аудиторських процедур.

Існують практичні та правові обмеження щодо здатності аудитора отримувати аудиторські докази: управлінський персонал або інші працівники суб’єкта господарювання можуть навмисно/ ненавмисно не надавати повну інформацію, про яку аудитор зробив запит або яка є доречною для складання фінансової звітності; аудиторські процедури можуть виявитися неефективними для виявлення навмисного викривлення, якщо в шахрайстві використані ретельно організовані та складні схеми, спрямовані на його приховування; у аудитора відсутня професійна підготовка експерта для встановлення справжності документів (доречі, це від нього не очікується); аудит – це не офіційне розслідування передбачуваного правопорушення, тому аудитор не наділений юридичними повноваженнями, які можуть бути необхідними для такого розслідування тощо.

3)  Потреба проводити аудит у межах розумного періоду часу та при обґрунтованій вартості.

Належне планування аудиту допоможе аудитору забезпечити достатній час і ресурси для виконання завдання. Проте МСА застерігає, що питання складності, часу або передбачуваних витрат самі по собі не вважаються обґрунтованою підставою  для аудитора не виконувати аудиторської процедури, що не має альтернативи, або бути задоволеним менш переконливими аудиторськими доказами. Отже, властиві обмеження аудиту не виправдовують аудитора, який задовільнився меншим, ніж переконливі аудиторські докази.

Оцінка аудиторського ризику здійснюється із застосуванням кількісного чи якісного методів. Незважаючи на те, що відповідно до МСА 200 «Загальні цілі незалежного аудитора та проведення аудиту відповідно до міжнародних стандартів аудиту» оцінка аудиторського ризику є питанням професійного судження, використання моделі, яка показує взаємозв’язок між компонентами аудиторського ризику мовою математики, теж є припустимим. Для кількісного методу оцінки доволі часто використовується наступна широко відома математична модель:

рис.5. формула 1.jpg

Друга математична модель розрахунку аудиторського ризику активно використовується в зв'язку з можливістю розкладання ризику суттєвого викривлення на складові компоненти, тому небезпека наявності у фінансовій звітності суттєвих перекручень представлена двома співмножники: невід’ємним ризиком та ризиком контролю.

В даному випадку аудитор визначає рівень аудиторського ризику після того, як він встановив значення невід'ємного ризику, ризику контролю та ризику невиявлення.

Також визначити аудиторський ризик із застосуванням кількісного методу можна застосувавши таку формулу:

рис.5. формула 2.jpg

У даній моделі аудиторського ризику акцент перенесений на розрахунок значення ризику невиявлення і відповідну кількість необхідних аудиторських доказів. Як я вже писала вище, належна кількість аудиторських доказів обернено пропорційна рівню ризику невиявлення. Чим менше рівень ризику невиявлення, тим більше аудитору потрібно зібрати доказів. Вважається, що ця модель аудиторського ризику є більш ефективною.

Якісний метод полягає в тому, що, аудитор для оцінки аудиторського ризику використовує трирівневу шкалу: високий, середній, низький. 

В аудиторській практиці досі немає єдиної думки про доцільність того чи іншого підходу до оцінки аудиторського ризику, тому право на вибір залишається за аудитором.

У будь-якому разі для аудитора є важливішим здійснення відповідної оцінки ризику, ніж підходи, за допомогою яких здійснюється така оцінка. Але в будь-якому випадку аудитору не варто нехтувати наступними правилами оцінки аудиторського ризику:

-  не можна повністю покладатися на ефективність бізнесу і системи обліку клієнта, тобто припустити відсутність невід'ємного ризику;

- не можна повністю покладатися на ефективність системи внутрішнього контролю клієнта;

- не можна допускати ситуації, при якій, висока ймовірність невиявлення суттєвих викривлень.

Основною проблемою при оцінці аудиторського ризику і його компонентів є суб'єктивізм, тому доцільно розробити методику його оцінки, яка може вирішити цю проблему. Нівелювати фактор суб'єктивності досить складно, але можливо шляхом розробки покрокових дій аудитора щодо оцінки ризиків.

 [i] Міжнародні стандарти контролю якості, аудиту, огляду, іншого надання впевненості та супутніх послуг. [Електронний ресурс]. – Режим доступу:  https://mof.gov.ua/uk/mizhnarodni-standarti-auditu