Вивчення бізнесу клієнта: чому це важливо для аудитора
“Без інтуїції і ризику не обійтися.“ - Лі Якокка, американський менеджер, колишній президент компанії Ford і голова правління корпорації Chrysler.
Ускладнення бізнес-діяльності сучасних компаній, а також наростання кризових явищ у світовій економіці призвело до змін вимог, що стосуються аудиту. На сьогодні детально перевірити великі обсяги інформації є неможливим, відповідно класичний аудиторський підхід, який був заснований на детальній перевірці первинних документів, у сучасному світі є неефективним. В сучасній ідеології аудиту перше місце відведено поняттю «аудиторський ризик». В попередньому своєму матеріалі «Ризик - це вибір чи жереб?» (https://blog.liga.net/user/orubitel/article/37039) я зупинилася на компонентах аудиторського ризика. У продовження цієї теми зараз хотіла б зупинитися на ризиках суттєвого викривлення.
Сукупність невід'ємного ризику і ризику контролю являє собою ризик суттєвого викривлення. Включення невід’ємного ризику до моделі аудиторського ризику є одним з важливих аспектів аудиту. Це вимагає від аудитора передбачити, які розділи фінансової звітності найбільш або найменш вірогідно можуть мати помилки. Така інформація допомагає аудитору визначити загальну кількість доказів, які він повинен отримати, а також те, яким чином він буде розподіляти свою діяльність зі збору доказів між окремими сегментами аудиту.
Відповідно до МСА 315 (переглянутий) «Ідентифікація та оцінювання ризиків суттєвого викривлення через розуміння суб’єкта господарювання і його середовища» (далі – МСА 315) процедури оцінки ризиків – аудиторські процедури, які виконують для:
1) отримання розуміння суб’єкта господарювання та його середовища, в тому числі системи внутрішнього контролю суб’єкта господарювання;
2) ідентифікації й визначення ризиків суттєвого викривлення внаслідок або шахрайства, або помилки на рівні фінансової звітності та на рівні тверджень.
Процедури оцінки ризиків суттєвого викривлення на рівні фінансової звітності та на рівні тверджень наведені на рис. 1.
Вимоги та рекомендації щодо ідентифікації й оцінювання ризиків суттєвого викривлення на рівні фінансової звітності та на рівні тверджень встановлені МСА 315. Відповідно до цього МСА ідентифікація й оцінка ризиків суттєвого викривлення на рівні фінансової звітності та на рівні тверджень здійснюється через отримання аудитором розуміння суб’єкта господарювання і його середовища, включаючи його внутрішній контроль. Тобто аудитору спершу слід визначитися з переліком факторів ризику суттєвого викривлення (табл. 1), а далі розробити і виконати необхідні процедури оцінки ризиків.
Таблиця 1
Приклад факторів, з якими може бути пов'язаний ризик суттєвого викривлення
Глибина розуміння необхідної інформації є предметом професійного судження. При цьому будьте уважні з постійними клієнтами. Не вводьте себе в оману думкою, що в поточному році ризики суттєвих викривлень будуть такими ж, як у попередньому. МСА 315 прямо попереджає, що у випадку, коли аудитор має намір використати інформацію, отриману під час проведення аудиторських процедур у ході виконання попередніх завдань з аудиту, він повинен визначити, чи відбулися зміни з того часу, які можуть позначитися на доречності такої інформації для поточного аудиту. Тобто аудитор не звільняється від необхідності здійснення ідентифікації й оцінки ризиків суттєвого викривлення, але він може не починати все заново, а зосередитися на тому, що змінилося і як це впливає на ризики. Аналогічна ситуація з суб’єктами господарювання, які є малими за розміром. Думка про те, що в таких підприємствах немає релевантних ризиків, є хибною для аудитора.
Важливим моментом в оцінці ризику суттєвого викривлення є оцінка дієвості системи внутрішнього контролю суб’єкта господарювання. Для цілей МСА 315 внутрішній контроль суб’єкта господарювання, стосовно якого аудитор повинен отримати розуміння, розподілений на п’ять компонентів:
Компонент 1. Середовище контролю
Принципово важливим для забезпечення успішного розвитку будь-якої компанії, досягнення нею стратегічних і інших цілей є створення такого внутрішнього середовища, яке дозволить активно і ефективно управляти результативністю роботи на всіх рівнях: від окремого працівника до компанії в цілому. Поведінка керівництва компанії має бути направлена на мотивацію, задоволеність та продуктивність праці персоналу з метою досягнення цілей компанії. Контрольне середовище включає наступні питання:
1. Питання, що стосуються процесу повідомлення інформації та забезпечення дотримання професійної чесності й етичних цінностей.
2. Питання, які стосуються рівня компетентності для певних посад та необхідних навичок і знань.
3. Питання, які стосуються тих, кого наділено найвищими повноваженнями, а саме їх:
- незалежності від управлінського персоналу;
- досвіду і статусу;
- ступені участі та отримуваної інформації, а також ретельного розгляду діяльності;
- прийнятності дій, включаючи рівень, до якого піднімаються та відпрацьовуються з управлінським персоналом складні питання.
4. Питання, які стосуються філософії та стилю роботи управлінського персоналу (у тому числі підхід до прийняття бізнес-ризиків та управління ними; ставлення та дії стосовно фінансового звітування; ставлення до обробки інформації, облікової діяльності та персоналу бухгалтерії).
5. Питання, які стосуються організаційної структури, що є основою, в рамках якої плануються, виконуються, контролюються та перевіряються дії, направлені на досягнення поставлених цілей підприємства.
6. Питання, які стосуються повноважень і відповідальності, а саме, у який спосіб надаються повноваження та відповідальність за операційну діяльність і як встановлюються ієрархічні відносини щодо звітування та надання дозволів.
7. Питання, які стосуються кадрової політики (найм, профорієнтація, професійна підготовка, оцінка, консультування, просування по службі, компенсації та винагороди і виправлення проблем, що виникають на робочих місцях).
Отримання аудитором розуміння по цьому компоненту допомагає в оцінюванні, чи :
- створена і чи підтримується на підприємстві культура чесності і етичної поведінки;
- належний рівень компетентності у певних посад;
- створюють елементи контрольного середовища фундамент для побудови інших компонентів внутрішнього контролю.
Аудитору потрібно брати до уваги, що контрольне середовище малого підприємства та великого суб’єкта господарювання буде завжди відрізнятися. Також мале підприємство скоріш за все не буде мати документальних доказів створення середовища контролю. Проте, аудитору все одно важливим є отримати розуміння щодо ставлення, інформованості та дії управлінського персоналу або власника-керівника.
Компонент 2. Процес оцінки ризиків підприємства
Оцінка ризиків включає в себе динамічний і ітеративний процес ідентифікації, оцінки та аналізу ризиків, плануванню заходів по їх зменшенню, вибору і використанню методів нейтралізації їх негативних наслідків. Такі ризики розглядаються у відношенні з встановленим рівнем толерантності до ризику. Отже, оцінка ризиків створює основу для визначення підходів управління ними. В свою чергу процес управління ризиками підприємства також можна поділити на компоненти, які є взаємозалежними:
• Внутрішнє середовище. Це та атмосфера на підприємстві, яка визначає, яким чином ризик сприймається співробітниками підприємства, і як вони на нього реагують.
• Постановка цілей підприємства. Цілі визначаються до того, як керівництво почне виявляти події, які потенційно можуть вплинути на їх досягнення.
• Визначення подій. Події (внутрішні та зовнішні), що впливають на досягнення цілей підприємства.
• Оцінка ризиків. Ризики аналізуються з урахуванням ймовірності їх виникнення та впливу (наслідків) з метою визначення того, які дії щодо них необхідно зробити. Для оцінки ризиків одні підприємства використовують градацію «високий-низький», інші підприємства застосовують систему «світлофора» - червоний, жовтий, зелений, або кількісні показники, наприклад, відсоток.
• Реагування на ризик. Підприємство вибирає метод реагування на ризик (приміром, ухилення від ризику, прийняття, скорочення або перерозподіл ризику) та розробляє ряд заходів, які дозволять привести виявлений ризик у відповідність з допустимим рівнем ризику.
• Засоби контролю. Розроблені політики і процедури з метою забезпечення «розумної» гарантії того, що реагування на ризик відбувається ефективно і своєчасно.
• Інформація і комунікації. Встановлюється процес фіксації і передачі необхідної інформації в такій формі і в такі терміни, які дозволяють співробітникам виконувати їх функціональні обов'язки належним чином. Також повинен бути забезпечений ефективний обмін інформацією в рамках підприємства як по вертикалі зверху вниз і знизу вгору, так і по горизонталі.
• Моніторинг. Весь процес управління ризиками підприємства відстежується і в разі потреби коригується.
В рамках отримання розуміння процесу оцінки ризиків аудитору потрібно переконатися в тому, що підприємством:
- ідентифікуються ризики бізнесу, які мають безпосереднє відношення до цілей підготовки фінансової звітності;
- здійснюється оцінка ймовірності їх виникнення;
- оцінюється їхній вплив (наслідки) ;
- приймаються рішення, спрямовані на їх усунення (зменшення);
- процес управління ризиками постійно відстежується та коригується у разі потреби.
Питання, чи є процес оцінки ризиків, впроваджений підприємством, прийнятним за певних обставин, є питанням професійного судження аудитора. МСА 315 застерігає щодо суб’єктів господарювання, які є малими за розміром. Скоріш за все таке підприємство не буде мати формальний процес оцінки ризиків. Ідентифікувати ризики швидше за все управлінський персонал буде шляхом прямої особистої участі в бізнесі. Однак це не звільняє аудитора від необхідності виконання процедур, направлених на отримання розуміння процесу оцінки ризиків управлінським персоналом.
Компонент 3. Інформаційна система, включаючи пов’язані бізнес-процеси, доречні для фінансової звітності, та повідомлення інформації
Інформаційна система складається з інфраструктури (фізичні та апаратні компоненти), програмного забезпечення, персоналу, процедур і баз даних. Якість інформації, яка генерується інформаційною системою, чине вплив на здатність управлінського персоналу приймати відповідні рішення при управлінні та контролі та складати достовірну фінансову звітність.
Відповідно до МСА 315 інформаційна система, що відповідає цілям фінансового звітування, складається з процедур і записів, розроблених та встановлених суб’єктом господарювання задля:
• ініціювання, реєстрації, обробки та ведення обліку операцій (подій і умов), а також пов’язаних активів, зобов’язань і ресурсів власного капіталу;
• виправлення некоректної обробки операцій, приміром застосування файлів, де накопичуються відкладені операції, та процедур, що призначені для своєчасного з’ясування таких операцій;
• обробки та обліку випадків нехтування або уникнення заходів контролю;
• перенесення інформації із систем обробки операцій до Головної книги;
• реєстрації інформації щодо подій та умов окрім бізнесових операцій, важливих для фінансового звітування, такої як знос та амортизація активів, і зміна у можливості стягнення дебіторської заборгованості;
• забезпечення збирання, запису, обробки, узагальнення й належного розкриття у фінансової звітності інформації, що має бути розкрита відповідно до застосовної концептуальної основи фінансового звітування.
Головною складовою інформаційної системи є функція інформування персоналу про значення його участі в процесах та зв'язок його дій в цій системі з роботою інших співробітників, а також розуміння персоналом способів доведення до керівництва відповідного рівня інформації про виняткові ситуації, що відбуваються на підприємстві.
Вивчаючи цей компонент внутрішнього контролю аудитор повинен бути уважним до наступних аспектів:
- класи господарських операцій суб’єкта господарювання, які є суттєвими для фінансової звітності;
- процедури, що виконуються з допомогою інформаційних технологій та вручну, та за допомогою яких операції виникають (тобто ініціюються), записуються, виконуються, за потреби коригуються, переносяться в Головну книгу і знаходять відображення у фінансовій звітності;
- яким чином інформаційна система фіксує події, що є суттєвими для фінансової звітності;
- як організований суб’єктом господарювання процес підготовки фінансової звітності, включаючи необхідні розкриття;
- яким чином здійснюються контрольні дії слідом за відображенням бухгалтерських записів, а також виявляються нестандартні, нетипові записи або коригування (виправлення).
Знов ж таки МСА 315 застерігає аудиторів: розуміння інформаційної системи, що стосується фінансового звітування, малих підприємств звісно буде простішим, однак необхідність отримання розуміння залишається в силі. Це ж стосується і процесу повідомлення інформації, який в малих підприємствах скоріш за все є менш структурованим і простішим в порівнянні з великими суб’єктами господарювання.
Компонент 4. Заходи контролю
Це розроблені політики та процедури, що забезпечують реалізацію директив управлінського персоналу. Існує п'ять основних типів методів і процедур контролю (з безліччю їх різновидів), що можуть бути застосовані будь-яким суб’єктом господарювання незалежно від виду його діяльності:
1. Розподіл обов'язків або подвійний контроль. Будь-яка діяльність краще контролюється, якщо є розподіл обов'язків або подвійний контроль. Тобто, коли вся операція не може відбуватися одним працівником. Приміром, подвійний контроль забезпечує щоб одну і ту ж операцію виконували дві людини, причому їхні обов'язки повинні бути розподілені таким чином, щоб жоден з них не міг виконати по даній операції всі дії самостійно Наочним прикладом є видача готівки з каси, коли документи на видачу готівки обов’язково підписуються головним бухгалтером або особою, уповноваженою керівником. Обидва різновиди такого типу контролю переслідують одну і ту ж мету: не дозволити одній людині мати неконтрольований доступ до активів.
2. Система підтвердження повноважень. Процедури контролю, що основані на системі підтвердження повноважень мають багато різновидів. Так, спеціальна система паролів дає повноваження тій чи іншій особі користуватися комп'ютером і отримати доступ до певних баз даних. Спеціальна картка з власноручним підписом дозволяє людині входити в приміщення або здійснювати певні операції в фінансових установах. Таким чином, встановлена межа повноважень тих чи інших співробітників змушує їх не виходити за межі свого бюджету або влади.
3. Система незалежних перевірок. Форми незалежних перевірок можуть бути різні: приміром, періодична ротація кадрів, звірка готівки, проведення атестацій персоналу, проведення ревізій, організація «гарячих ліній», проведення аудиторських перевірок тощо. Ще одним видом незалежної перевірки може стати обов’язкове заміщення працівника під час відпустки, коли роботу виконує інший співробітник. В основі незалежних перевірок лежить той факт, що якщо люди знають, що їхня робота контролюється кимось іншим, то можливості для здійснення і приховування шахрайства різко скорочуються.
4. Фізичні способи охорони і контролю. Фізична охорона часто застосовується для захисту коштів та інших активів підприємства від розкрадань або інших зловживань. Прикладом фізичних способів охорони і контролю є: банківські сховища, сейфи, решітки на вікнах, закрепи, відповідні ключі тощо.
5. Документальний контроль. Документальним контролем у певному сенсі служить досконала система фінансової та іншої звітності. Відсутність налагодженої системи документообігу дозволяє зловживати і залишитися безкарним.
Заходи контролю як у рамках ІТ, так і в ручних системах мають різні цілі та застосовуються на різних організаційних і функціональних рівнях, тому МСА 315 звільняє аудитора від необхідності вивчати всі заходи контролю, що впроваджені на підприємстві. До того ж аудитору для цілей аудиту немає потреби отримувати розуміння щодо всіх заходів контролю, пов’язаних із кожним суттєвим класом операцій, залишком рахунку та розкриттям інформації у фінансовій звітності або з кожним твердженням щодо них. Аудитор може присвятити основну увагу заходам контролю, які стосуються тих ділянок, де, на його думку, ризики суттєвого викривлення, ймовірно, будуть вищими.
На думку аудитора стосовно того, чи є захід контролю важливим для аудиту, можуть вплинути такі чинники:
- суттєвість;
- значущість пов’язаного ризику;
- розмір підприємства, характер його діяльності, включаючи його організаційну структуру та структуру власності;
- різноманітність і складність операцій;
- застосовні законодавчі та нормативні вимоги;
- обставини і застосовний компонент внутрішнього контролю;
- характер і складність систем, що становлять частину внутрішнього контролю;
- чи запобігає або виявляє та коригує певний захід контролю окремо або в комбінації з іншими заходами суттєве викривлення і якщо це так, то в який спосіб.
Процедура застосування заходів контролю в малих підприємствах може відрізнятися від великих суб’єктів господарювання. Але все одно концепція, яка покладена малими підприємствами в основу заходів контролю, вірогідно, буде подібна до концепції, що застосовується великими суб’єктами господарювання. Тому отримання розуміння заходів контролю при аудиті малих підприємств залишається актуальним для аудитора. При цьому заходи контролю, доречні для аудиту малого підприємства, ймовірно, будуть пов’язані з доходами, придбаннями та витратами на оплату праці.
Компонент 5. Моніторинг заходів контролю
Це процес оцінки ефективності функціонування внутрішнього контролю у часі. Моніторинг включає своєчасну оцінку ефективності заходів контролю та виконання необхідних виправних дій. Зазвичай управлінським персоналом моніторинг заходів контролю здійснюється через
- постійні дії (як правило, вони є частиною поточної діяльності підприємства і включають регулярні дії з управління та нагляду);
- окремі оцінки; або
- поєднання одного та іншого.
Прикладами заходів, пов'язаних з моніторингом заходів контролю можуть стати:
- спостереження керівництва за своєчасністю проведення вивірки розрахунків;
- нагляд за відповідністю дій персоналу політиці компанії в області етики або ділової практики;
- оцінка внутрішніми аудиторами (іншими відповідними посадовими особами) відповідності дій персоналу, який займається продажами / закупівлями, політиці компанії відносно певних умов договорів з покупцями / постачальниками;
- регулярна оцінка застосування засобів контролю і проведення відповідних коригувальних заходів щодо засобів контролю, якщо змінюються умови діяльності.
Аудитору потрібно отримати розуміння:
- заходів, які суб’єкт господарювання використовує для моніторингу внутрішнього контролю за фінансовим звітуванням, включаючи тих, що стосуються заходів контролю, доречних для аудиту; та
- того, як суб’єкт господарювання ініціює заходи щодо виправлення недоліків у своїх заходах контролю.
МСА 315 застерігає, що такий розподіл внутрішнього контролю за компонентами не обов’язково відображає те, як суб’єкт господарювання розробляє та впроваджує власну систему внутрішній контроль. МСА 315 дозволяє аудиторам використовувати різну термінологію та різні підходи для опису різних аспектів внутрішнього контролю суб’єкта господарювання, за умови, що аудитором будуть розглянуті та враховані усі компоненти, наведені в МСА 315.
За підсумками вивчення систем контролю визначається ймовірність того, що існуючі і регулярно застосовані суб’єктом господарювання засоби внутрішнього контролю не будуть своєчасно виявляти і виправляти порушення, що є суттєвими окремо або в сукупності і (або) перешкоджати виникненню таких порушень, тобто визначається ризик засобів контролю.
Використання сучасних персональних комп'ютерів і широкого кола бухгалтерських програм вимагає від аудитора врахувати додаткові ризики, що вносяться до функції системи внутрішнього контролю наявністю у суб’єктів господарювання середовища комп'ютерної обробки даних, а також оцінити дієвість засобів контролю в цьому середовищі. Для цього, аудитору потрібно, приміром, отримати розуміння щодо:
- засобів контролю прикладних програм, зокрема для запобігання внесення змін до програмного забезпечення без відповідного дозволу;
- засобів контролю вхідних даних, для забезпечення правильності введення даних в програму вручну або шляхом перенесення з інших програм;
- засобів контролю обробки даних, що забезпечують цілісність та інтегрованість цих даних;
- засобів контролю вихідних даних, зокрема для забезпечення правильності формування звітів та передачі інформації в іншу програму.
Комп’ютеризована система обліку суб’єкта господарювання також вимагає від аудитора отримати розуміння щодо інших питань, які можуть мати значення для ідентифікації та оцінки ризиків суттєвого викривлення (рис. 2).
Щоб переконатися, що автоматизований захід контролю функціонує належним чином аудитор виконує тести заходів контролю. Завдяки таким тестам аудитор може визначити, що:
• до програми не вносилися зміни без дотримання прийнятних заходів контролю за змінами програми;
• для обробки операцій застосовується санкціонована версія програми;
• інші доречні загальні заходи контролю є ефективними.
Як я вже сказала на початку, інформація про середовище контролю суб’єкта господарювання та його внутрішній контроль є основою для ідентифікації та оцінки можливих факторів ризику. Отже збір або оновлення (якщо йдеться про постійних клієнтів) релевантної інформації про суб’єкта господарювання є першим кроком у процесі оцінки ризиків суттєвого викривлення. Цю інформацію аудитор отримує із внутрішніх та зовнішніх джерел (табл. 2).
Таблиця 2
Приклади потенційних джерел інформації про суб’єкта господарювання
Як правило, спочатку аудитор працює з інформацією із внутрішніх джерел інформації, яка потім перевіряється на відповідність через отримання інформації з зовнішніх джерел інформації.
На основі отриманої інформації щодо суб’єкта господарювання, аудитор переходить до наступного етапу процедур оцінки ризику - ідентифікація та оцінка ризиків суттєвого викривлення.
Не оминув своєю увагою МСА 315 і склад аудиторської документації на етапі отримання розуміння суб’єкта господарювання та його середовища. Аудиторський файл з завдання повинен містити:
1) основні елементи розуміння, отримані аудитором стосовно:
- кожного аспекту діяльності суб’єкта господарювання та його середовища; і
- кожного компонента внутрішнього контролю;
2) джерела інформації, з яких було отримано розуміння, та виконані процедури оцінки ризиків.
Закінчити за традицією хочу цитатою. Сьогодні це буде книга Пітера Л. Бернстайна "Проти богів. Приборкання ризику": "Для прийняття рішення в умовах невизначеності однаково важливі вимірювання і розважливість. Розумні люди намагаються об'єктивно оцінювати інформацію: якщо їх прогнози і виявляються помилковими, то це скоріш випадкові помилки, ніж результат наполегливої схильності до оптимізму або песимізму. "