Внутрішній контроль відіграє важливу роль у виявленні та запобіганні шахрайства та захисті ресурсів. Для визначення ефективності внутрішнього контролю аудитори використовують тести заходів контролю.
Внутрішній контроль компанії - це засіб, за допомогою якого ресурси компанії спрямовуються, контролюються та вимірюються. Внутрішній контроль відіграє важливу роль у виявленні та запобіганні шахрайства та захисті ресурсів. Для визначення ефективності внутрішнього контролю компанії аудитори використовують аудиторську процедуру, відому як тести заходів контролю.
Міжнародний стандарт аудиту 330 «Дії аудитора у відповідь на оцінені ризики» (далі – МСА 330) покликаний допомогти аудитору отримати прийнятні та достатні аудиторські докази, що стосуються оцінених ризиків суттєвого викривлення. Досягнення цієї цілі забезпечується через виконання відповідних аудиторських процедур, розроблених аудитором у відповідь на оцінені ризики (рис. 1).
В залежності від мети аудиторські процедури діляться на:
процедури по суті – процедури, призначені зібрати докази, які підтверджують суми у фінансовій звітності (включають тести деталей, тобто тести класів операцій, залишків рахунків та розкриття інформації та аналітичні процедури по суті);
тести заходів контролю – процедура, розроблена аудитором для оцінки ефективності функціонування заходів контролю, що запроваджені суб’єктом господарювання для запобігання або виявлення та виправлення суттєвих викривлень на рівні тверджень.
В яких випадках має бути застосована аудиторська процедура – тести заходів контролю?
Під час планування аудиторських процедур у відповідь на оцінені ризики, аудитор повинен врахувати:
причини оцінки ризиків суттєвого викривлення на рівні тверджень окремо за кожним класом операцій, залишком рахунку та розкриттям інформації, беручи до уваги:
(i) ймовірність суттєвого викривлення інформації внаслідок певних характеристик доречного класу операцій, залишку рахунку або розкриття інформації (невід’ємний ризик); та
(ii) плани аудитора довіряти ефективності функціонування заходів контролю, якщо ризик оцінений ним нижче чім високий унаслідок існування заходів внутрішнього контролю (ризик контролю);
необхідність отримання тим більш переконливих аудиторських доказів, чим вища оцінка.
Оцінка аудитором ризиків контролю на рівні меншому, ніж високий, має підтверджуватися тестами заходів контролю, щоб довести їх ефективність. Отже, тести заходів контролю використовуються лише там, де очікується надійне функціонування внутрішнього контролю. Відповідно, коли аудитор доходить висновку про неефективний внутрішній контроль, він оцінює ризик контролю як високий та може обійтися без такого тестування. Звісно, якщо відсутня друга ситуація при наявності якої аудитор повинен виконати тести заходів контролю. До такої другої ситуації відноситься неможливість запланувати ефективні процедури по суті, що самі по собі нададуть аудитору прийнятні аудиторські докази у достатньому обсязі на рівні тверджень. Приміром це може статися, якщо суб’єкт господарювання здійснює свою діяльність через використання інформаційних технологій і вся документація про операції ведеться тільки через систему ІТ.
Коли виконуються тести заходів контролю?
Тестування заходів контролю проводиться після того, як аудитори отримають розуміння і оцінку структури та застосування заходів контролю. Відповідно не треба плутати тестування ефективності функціонування заходів контролю та отримання розуміння внутрішнього контролю і оцінку його компонентів, про яке йдеться у МСА 315 (переглянутий в 2019 році) «Ідентифікація та оцінювання ризиків суттєвого викривлення». Вивчення внутрішнього контролю з метою визначення, чи впроваджений суб’єктом господарювання контроль в дію є процедурою оцінки ризиків. Метою тестів заходів контрою є оцінити ефективність функціонування заходів контролю для запобігання або виявлення та виправлення суттєвих викривлень на рівні тверджень. При цьому в обох випадках застосовуватися можуть однакові типи аудиторських процедур:
Тести заходів контролю можуть бути виконані аудитором як на проміжну дату, так і на кінець періоду. Якщо аудитор оцінив ефективність функціонування заходів контролю протягом проміжного періоду, йому залишається отримати аудиторські докази стосовно значних змін заходів контролю, які відбулися у період, що настає за проміжним періодом, та визначити, чи потрібно отримати (і якщо так, то які) додаткові аудиторські докази за період, що залишається. Наприклад, поширити тести заходів контролю на період, що залишився.
МСА 330 дозволяє використовувати перерву у контрольних тестуваннях, якщо це не є заходами контролю значного ризику. Мається на увазі, що аудитор може не виконувати під час кожного аудиту тести заходів контролю ефективності яких він планує довіряти. Достатньо їх проводити щонайменше один раз кожного третього року. Наприклад, якщо в 2022 році ви протестували заходи контролю за кредиторською заборгованістю та отримали аудиторські докази щодо ефективності функціонування цих заходів контролю, то ви можете почекати до 2025 року, щоб перевірити їх знову. У 2023 та 2024 роках аудитору потрібно лише:
- підтвердити подальшу доречність цих доказів для поточного аудиту через отримання аудиторських доказів стосовно того, що не відбулися зміни цих заходів контролю після аудиту 2022 року; та
- виконати під час кожного аудиту тести деяких заходів контролю (якщо існує багато заходів контролю, стосовно яких аудитор планує покладатися на аудиторські докази, отримані під час попередніх аудитів) з тим, щоб отримати підтверджувальну інформацію про подальшу ефективність середовища контролю.
Тривалість часу між повторними тестуваннями заходів контролю є питанням професійного судження, на яке можуть впливати різні чинники (рис.2).
рис.2
Загалом, чим вищі ризики суттєвих викривлень та/або чим більша у аудитора довіра до внутрішнього контролю, тим коротший проміжок часу повинен бути між тестами заходів контролю. Крім того, перерва у часі не стосується заходів контролю певного ризику, який аудитор визначив, як значний. Тобто, якщо аудитор планує покластися на перевірку заходів контролю, пов'язаних із значним ризиком, операційну ефективність необхідно перевіряти щороку.
Отже, підведемо проміжний підсумок. Перш ніж приймати рішення щодо виконання тестів заходів контролю надайте відповідь на наступні питання:
• Ви передбачаєте ефективність функціонування заходів контролю? Немає необхідності перевіряти неефективний контроль.
• Чи відноситься контроль до твердження, для якого ви бажаєте знизити ризик контролю? МСА 330 застерігає аудитора щодо зайвого витрачання часу та передбачає, що тести заходів контролю виконуються тільки для тих із них, які, за визначенням аудитора, належно розроблені для запобігання або виявлення чи виправлення суттєвого викривлення у твердженні. Якщо протягом різних періодів часу використовувалися суттєво відмінні заходи контролю (в межах періоду, що перевіряється), кожний із них повинен розглядатися аудитором окремо.
• Як ефективне функціонування контролю зменшить обсяг процедур по суті? Іншими словами, вам потрібно визначитися скільки часу ви заощадите, якщо контроль буде ефективним. В малих підприємствах надійної діяльності з контролю може не існувати або вона може бути досить обмеженою. У цих випадках перевірка по суті може бути єдиною альтернативою.
• Захід контролю є ручним або автоматизованим? Можна очікувати, що автоматизований захід контролю функціонує постійно, якщо не змінюється програма (включаючи таблиці, файли чи інші постійні дані, які використовує програма). Якщо аудитор визначає, що автоматизований захід контролю функціонує за призначенням, він може виконати тести заходів контролю з тим, щоб визначити, чи продовжує захід контролю функціонувати ефективно. В цьому випадку тести заходів контролю можуть включати визначення аудитором що: до програми не були внесені зміни без дотримання прийнятних заходів контролю за змінами програми; для обробки операцій використовується санкціонована версія програми; інші доречні загальні заходи контролю є ефективними.
• Наскільки великим буде обсяг тестування заходів контролю? Деякі контролі відбуваються раз на місяць, інші сотні разів за цей же період. Чим більший обсяг вибірки, тим більше часу буде потрібно на проведення тестів. У той же час через властиву постійність обробки за допомогою ІТ може бути не потрібно збільшувати обсяг тестування автоматизованого контролю.
Які існують заходи контролю?
Заходи контролю (контрольні дії) - політика і процедури компанії, що допомагають упевнитися у виконанні розпоряджень керівництва.
Заходи контролю умовно можна поділити на наступні чотири групи:
1) спрямовані на перевірку виконання директив, розпоряджень, керівництва, планів і кошторисів, що стосуються фінансово-господарської діяльності тощо;
2) призначені для обробки інформації, спрямовані на перевірку точності, повноти і санкціонування операцій. Ці заходи контролю, в свою чергу, поділяються на загальні та прикладні. Загальні заходи контролю: мають широку область застосування; допомагають пересвідчитися в правильному безперебійному функціонуванні інформаційних систем; призначені забезпечити ефективне функціонування прикладних засобів контролю. Прикладні заходи контролю: допомагають переконатися, що здійснені господарські операції були санкціоновані та/або в повному обсязі і точно зафіксовані і оброблені;
3) заходи перевірки наявності та стану об'єктів - спрямовані на забезпечення збереження активів;
4) розмежування повноважень і ротація обов'язків.
Приклади заходів контролю за наведеними групами представлені в табл. 1.
Таблиця 1. Приклади заходів контролю
Табл.1
За характером реагування заходи контролю поділяються на:
− превентивні – обмежують можливість виникнення ризику, помилки, відхилення (процедури візування, затвердження, погодження тощо);
− директивні – впливають на поведінку персоналу для того, щоб досягати конкретного результату (розподіл обов’язків та повноважень, встановлений режим доступу до матеріальних цінностей та/або інформаційних ресурсів тощо);
− виявляючі – перевіряють результати після того, як були виконані управлінські рішення, здійснені операції чи виникла певна подія, для виявлення відхилень чи небажаних наслідків (перевірка дотримання порядку прийому та зберігання матеріальних цінностей на складах, інвентаризація товарно-матеріальних цінностей тощо);
− коригуючі – усувають відхилення або небажані наслідки, зменшують кількість ризиків втрат чи помилок (охорона приміщень, ротація персоналу, захист від несанкціонованого доступу до бухгалтерських записів, санкціонування доступу до комп’ютерних програм та файлів із даними тощо).
Характер реагування заходів контролю залежить від моменту, в який контроль здійснюється. В залежності від моменту здійснення контролю заходи контролю будуть або попередні, або подальші:
Попередні заходи контролю спрямовані на попередження порушень та помилок (санкціонування угод і операцій, охорона територій та приміщень тощо).
Подальші заходи контролю спрямовані на виявлення порушень і помилок (звірка, нагляд, ін.).
За способом виконання заходи контролю можуть бути ручним, комбінованим, автоматичним.
Автоматичні заходи контролю:
реалізуються через стандартні чи нестандартні алгоритми ІТ-систем;
виконуються без участі співробітників;
як правило спрямовані на попередження, оскільки не дозволяють здійснення некоректних/ помилкових дій.
Ручні заходи контролю:
здійснюються поза ІТ-системами;
повністю виконуються співробітниками вручну;
можуть попереджати та виявляти помилки, однак ефективність запобігання помилкам вважається досить низькою.
Комбіновані заходи контролю:
реалізуються через стандартні чи нестандартні алгоритми ІТ-систем;
реалізуються за участі співробітників;
поділяються на системні і звітні;
можуть попереджати та виявляти помилки та невідповідні дії.
Характер тестів заходів контролю
Характер тестів заходів контролю в значній мірі залежить від характеру певного заходу контролю, що перевіряється, включаючи те, чи доступна або доречна документація стосовно тих чи інших заходів контролю. Деякі типи тестів за своєю природою нададуть більше доказів ефективності функціонування заходів контролю, ніж інші. Наприклад, якщо ефективність функціонування заходів контролю доводиться документацією, аудитор може прийняти рішення перевірити таку документацію для отримання аудиторських доказів щодо ефективності заходу контролю. Проте, стосовно інших заходів контролю, наприклад, таких як філософія керівництва, може не існувати відповідної документації. За таких обставин аудиторські докази щодо ефективності функціонування заходів контролю можна отримати через поєднання запиту з іншими аудиторськими процедурами, приміром, спостереження.
Під час розробки та виконання тестів заходів контролю аудитору потрібно розглянути наступні питання:
як застосовувалися заходи контролю у доречні періоди часу протягом періоду, що перевіряється;
послідовність їх застосування;
хто або за допомогою яких способів їх застосовували.
Існує чотири типи процедур для отримання аудиторських доказів щодо ефективності заходів контролю: запит, спостереження, перевірка відповідної документації і повторне виконання контролю. Ці процедури представлені в порядку доказу, який він зазвичай може надати, від найменшого до найбільшого.
1. Запити
Запит - це аудиторська процедура, в ході якої аудитори отримують від керівництва компанії та інших співробітників пояснення, які стосуються процесів контролю. Хоча запит, відповідно до МСА 330, використовується при тестуванні заходів контролю, це ненадійний спосіб отримання аудиторських доказів, оскільки іноді співробітники або керівництво компанії можуть неохоче ділитися інформацією з аудиторами або, навпаки, можуть розповісти аудиторам не про фактичні контрольні дії, які вони використовують, а про заходи контролю, які є частиною політики компанії. Саме тому МСА 330 передбачає, що використання лише запитів є недостатнім для тестування ефективності функціонування заходів контролю. У поєднанні із запитом потрібно виконувати інші аудиторські процедури. Наприклад, запит може бути поєднаний з перевіркою документів чи повторним виконанням. До речі, таке поєднання може надати більшу впевненість, ніж запит у поєднанні із спостереженням, оскільки спостереження є доречним тільки у той момент часу, коли його здійснюють.
2. Спостереження за заходами контролю
Спостереження - це процес вивчення процедур, що діють в компанії, з перших рук. Звичайно потрібна присутність аудитора, коли клієнт виконує свої контрольні процедури. Кращий приклад для спостереження - коли клієнт проводить інвентаризацію, а аудитори спостерігають за процесом. Спостереження дає аудитору уявлення про те, як виконуються процедури персоналом, відповідальним за виконання цих контрольних заходів. Однак у спостереження є свої недоліки. Спостереження не є письмовою формою доказів і, відповідно, не вважається високонадійним доказом. Спостереження також може дати помилкові результати для аудитора, оскільки воно показує ефективність контролю тільки в його присутності.
3. Перевірка відповідної документації, що стосується заходів контрою
Перевірка записів та документів надає аудитору кращих доказів, ніж запит та спостереження. Це пов'язано з тим, що письмові докази є більш надійними для аудитора в порівнянні з іншими джерелами. Наприклад, аудитор може перевірити звіт про звірку банківських рахунків, підготовлений керівництвом клієнта, щоб визначити його надійність.
4. Повторне виконання контрольних процедур
Ця процедура складається з незалежного виконання аудиторами контрольних дій, які клієнт виконує як частину своєї системи внутрішнього контролю. Процедура повторного виконання проводиться з використанням тих самих вихідних даних для того, щоб підтвердити (або виявити відхилення) раніше отриманий результат (висновок, рішення). Наприклад, аудитори повинні повторно виконати процедури, пов’язані з вивіркою банківських рахунків, щоб перевірити їх на предмет ефективності. Процедура повторного виконання є для аудитора найбільш надійною формою отримання аудиторських доказів. Це пов’язано з тим, що вона включає прямі докази щодо того, як використовуються заходи контролю в роботі клієнта.
Основні етапи процесу тестування заходів контролю
Під час оцінки ефективності функціонування заходу контролю, обраного для тестування, аудитор повинен визначити, чи діє цей захід контролю так, як задумано, і чи має особа, яка здійснює контроль, необхідні повноваження і компетенцію для ефективного здійснення контролю.
Умовно процес тестування заходів контролю можна розділити на чотири основних етапи (рис. 3)
рис.3.
Обсяг тестування заходів контролю
Аудиторська вибірка використовується при здійсненні аудиторських процедур до менш ніж 100% елементів вибірки. ЇЇ мета полягає в отриманні аудитором підстав для обґрунтованих висновків щодо генеральної сукупності, з якої здійснювалась вибірка. Обсяг тестування, який вважається необхідним, визначається аудитором після того, як він розглянув суттєвість, оцінений ризик та ступень впевненості, який аудитор планує отримати. Зазвичай, обсяг аудиторських процедур залежить від оцінки ризику суттєвого викривлення. Тести заходів контролю, які проводяться для зниження ризику до низького рівня, вимагають більшого обсягу вибірки. Отже, обсяг тестування збільшується, коли необхідно зібрати більш переконливі аудиторські докази щодо ефективності заходу контролю. Інші питання, які аудитор розглядає під час визначення обсягу тестів заходів контролю, наведені на рис. 4.
рис.4
Більш детально про застосування вибірки при тестуванні заходів контролю викладено в МСА 530 «Аудиторська вибірка».
З огляду на часові обмеження при проведенні аудиту вибірка є практичним та ефективним засобом тестування. Відносно тестів заходу контролю аудиторська вибірка будується на основі уявлення аудитора про ймовірні відхилення у дизайні заходів контролю та їх застосуванні. Перед визначенням обсягу аудиторської вибірки актуально перевірити генеральну сукупність на однорідність, повноту і коректність. Один із прикладів залежності розміру вибірки від способів та періодичності виконання заходів контролю наведений у табл.2.
Таблиця 2 Приклад визначення розміру вибірки в залежності від способів та періодичності виконання заходів контролю
Але слід не забувати про існування випадків, коли аудиторську вибірку застосовувати недоцільно. Це може статися, коли, наприклад, генеральна сукупність є занадто малою і, відповідно, аудитор може протестувати заходи контролю суцільним способом.
Оцінка ефективності дизайну заходу контролю
Тестування заходу контролю насамперед передбачає оцінку дизайну заходу контролю. Дизайном заходу контролю є сукупність в структурі процесу таких елементів, як захід контролю (тобто фактичний зміст) та місце (тобто етап застосування цього заходу контролю). Приклад елементів дизайну заходу контролю наведений на рис. 5.
рис.5.
Ефективне функціонування заходів контролю досягається через дотримання наступних вимог:
- наявність внутрішніх документів, якими визначається порядок виконання заходів контролю;
- наявність доказів, що підтверджують виконання заходів контролю відповідно до внутрішніх регламентів;
- через виконання заходів контролю досягається ціль контролю (тобто захід контролю забезпечує покриття наявного ризику).
Отже, під час оцінки ефективності дизайну заходу контролю аудитору потрібно буде проаналізувати наступні аспекти:
- взаємозв’язок заходу контролю з ризиками;
- здатність контролю покривати ризик, тобто своєчасно попереджувати чи виявляти події, що можуть впливати на виконання завдань та досягнення поставлених цілей;
- знання і досвід виконавців контрольних дій;
- розмежування повноважень серед учасників процесу;
- своєчасність усунення невідповідностей, що виявляються в результаті виконання заходу контролю;
- надійність інформації, яка використовується під час контрольних дій.
Під час проведення оцінки дизайну контролю в робочих документах аудитора буде доречним та корисним зафіксувати наступне:
Описати контрольний процес, який досліджується, та його «вузькі» місця (якщо аудитор їх визначив).
Проаналізувати наявність регламентації дизайну заходу контролю, який досліджується, тобто, визначити, чи наявні у внутрішніх регламентуючих документах складові елементи дизайну заходу контролю (рис. 5).
Оцінити ефективність дизайну заходу контролю, тобто чи ці складові здатні забезпечити надійність та ефективність контролю. В таблиці 3 наведений приклад критеріїв за допомогою яких аудитор може оцінити ефективність дизайну заходу контролю.
Таблиця 3. Критерії оцінки дизайну заходу контролю
Оцінка ефективності функціонування заходів контролю
Після оцінки дизайну заходів контролю здійснюється оцінка фактичного впровадження цих заходів контролю. На цьому етапі аудитору потрібно дослідити, як фактично здійснюється захід контролю (тобто, чи здійснюється він у відповідності до встановленого порядку) та впевнитись в тому, що виконання заходу контролю забезпечує досягнення відповідної цілі. Концепція ефективності функціонування заходів контролю, закладена в МСА 330, допускає, що інколи можуть відбуватися деякі відхилення у способі, яким суб’єкт господарювання застосовує заходи контролю. Такі відхилення від установлених заходів контролю можуть бути спричинені такими чинниками:
зміна провідного персоналу;
значні сезонні коливання обсягу операцій;
помилки, пов’язані з людським чинником.
Виявлена величина відхилення у порівнянні з очікуваною величиною може надати аудитору свідчення, що такому заходу контролю не можна довіряти, щоб зменшити ризик на рівні тверджень до ризику, оціненого аудитором. Крім того, під час оцінювання ефективності функціонування доречних заходів контролю аудитор повинен оцінити, чи свідчать викривлення, які були виявлені за допомогою виконаних процедур по суті, про те, що заходи контролю не функціонують ефективно. Зокрема, виявлене аудитором за допомогою аудиторських процедур суттєве викривлення є важливим показником існування значного недоліку внутрішнього контролю. У той же час МСА 330 попереджає, аудитору не можна судити про ефективність заходів контролю по відсутності викривлень у фінансовій звітності.
На останок, хотілось би зауважити наступне. Якщо дизайн заходу контролю оцінений аудитором як неефективний, то немає сенсу оцінювати фактичне впровадження такого заходу. Але в українських реаліях аудитору буває важко користуватися цим правилом, оскільки доволі часто українські підприємства не документують заходи контролю. В цій ситуації аудитори потрапляють в пастку – для того, щоб оцінити захід контролю він має залишити «слід». Неможливо оцінити те, що немає доказів.
