Регламент оценки системы внутреннего контроля хозяйствующего субъекта

Согласно МСА 315, как уже отмечалось ранее, внутренний контроль представляет собой процесс, который разработан, внедрен и поддерживается представителями собственника, руководством и иными сотрудниками экономического субъекта в целях обеспечения разумной уверенности в достижении целей этого субъекта с позиции достоверности бухгалтерской (финансовой) отчетности, эффективности бизнес-операций, соблюдения действующих законов и иных нормативных актов. Порядок разработки, внедрения и поддержания внутреннего контроля и реализующей его системы зависит от размера и сложности бизнеса экономического субъекта.

Иными словами, внутренний контроль создается и применяется для предотвращения, выявления и снижения до приемлемо низкого уровня коммерческих рисков (бизнес-рисков), которые угрожают достижению любой из целей экономического субъекта.

Таким образом, формирование внутреннего контроля направлено на создание возможности для руководителей хозяйствующего субъекта снижать с его помощью риски существенного искажения и подготавливать надежную бухгалтерскую (финансовую) отчетность, соответствующую применяемым законам и иным нормативным актам.

Аудитору следует учитывать, что система внутреннего контроля, независимо от своей эффективности, позволяет обеспечить только разумное подтверждение достоверности информации, связанной с достижением целей бухгалтерской (финансовой) отчетности. Системе внутреннего контроля, как и системе бухгалтерского учета, присущи неотъемлемые ограничения сопряженные, прежде всего с человеческим фактором. Так, искажения могут возникать вследствие ошибок, которые могут быть допущены еще на этапе разработки системы внутреннего контроля. Кроме того, средства контроля можно обойти посредством сговора двух или более лиц или игнорирования самим руководством экономического субъекта самой системы внутреннего контроля.

В процессе аудита экономического субъекта аудитору необходимо постоянно изучать и анализировать существующую систему внутреннего контроля с позиции значимых для аудиторской проверки аспектов. Одновременно с этим МСА 315 требует увязывать анализ системы внутреннего контроля с оценкой аудиторского риска и аудиторские процедуры по оцененным рискам.

Для целей МСА 315 система внутреннего контроля подразделяется на пять элементов, представляющих аудиторам удобную для аудиторской работы структуру, которая позволяет им анализировать влияние этих элементов на процесс аудита. К ним в данном контексте относят:

  • • контрольную среду;
  • • процесс оценки рисков;
  • • информационную систему, связанную с бухгалтерской (финансовой) отчетностью, включая соответствующие бизнес- процессы и информационное взаимодействие;
  • • контрольные мероприятия;
  • • мониторинг средств контроля.

Контрольная среда согласно МСА 315 включает в себя информационный обмен и воспитание добросовестности и этических ценностей, стремление к компетентности, участие представителей собственника, основные принципы и стиль работы руководства, организационную структуру, распределение полномочий и обязанностей, а также кадровую политику и надлежащую практику1.

Иными словами, эффективность средств контроля применяемых хозяйствующим субъектом, определяется уровнем добросовестности и этических ценностей тех, кто их создает, применяет и проверяет. Добросовестность и этическое поведение являются производным продуктом этических и поведенческих стандартов, эффективности их доведения до сведения всех сотрудников, а также их практической реализации и мониторинга средств контроля.

Компетентность — это знания и навыки, необходимые для выполнения задач, входящих в круг обязанностей любого сотрудника.

Создание в хозяйствующем субъекте атмосферы уважения к системе контроля зависит и от представителей собственников, которые осуществляют надлежащий надзор за разработкой и эффективной реализацией процедур корпоративного информирования и обзорной проверкой системы внутреннего контроля.

Для создания в хозяйствующем субъекте надлежащей организационной структуры требуется учет в ней всех ключевых сфер полномочий и обязанностей, а также существующего порядка подчиненности. Адекватность организационной структуры, как правило, зависит от размера и характера бизнеса субъекта.

В то же время МСА допускает, что распределение полномочий и обязанностей возможно с учетом существующей у экономического субъекта практики, знаний и опыта ведущих специалистов, а также ресурсов выделенных на реализацию этих обязанностей. Кроме того, этот аспект может быть обусловлен созданием определенных правил и документов, которые обязательно должны быть доведены до сведения сотрудников экономического субъекта.

И наконец, принципы и правила кадровой политики должны отражать важные аспекты создания и организации в экономическом субъекте системы внутреннего контроля.

МСА 315 требует от аудитора добиваться надлежащего понимания контрольной среды проверяемого субъекта. При этом особое внимание следует уделять проблемам, связанным с наличием в нем культуры порядочности и этического поведения, а также обеспечивает ли вся совокупность элементов этой среды надлежащее основание для иных элементов всей системы внутреннего контроля.

В ходе оценки контрольной среды аудитору необходимо оценить все указанные выше элементы этой среды, а также понять, каким образом руководство проверяемого субъекта создает условия для честного и этичного поведения и устанавливает адекватные средства контроля для предотвращения и защиты от рисков существенного искажения бухгалтерской (финансовой) информации. Следует помнить, что основная обязанность по выявлению и предотвращению этих фактов лежит на руководстве проверяемого субъекта, а не на аудиторе. Важно учитывать, что некоторые из элементов контрольной среды могут оказывать всеобъемлющее влияние на оценку указанных рисков.

Под процессом оценки рисков для целей бухгалтерской (финансовой) отчетности в МСА 315 понимается изучение порядка выявления руководством проверяемого субъекта коммерческих рисков (бизнес-рисков), связанных с подготовкой этой отчетности согласно применяемым принципам ее подготовки, оценки их значимости и вероятности возникновения, а также принятия решений о мерах противодействия этим рискам и их последствиям, и наконец, процесс управления ими[1].

Риски, связанные с достоверностью бухгалтерской (финансовой) отчетности, обусловлены как внешними, так и внутренними событиями, операциями и обстоятельствами, которые потенциально могут сказаться на способности хозяйствующего субъекта инициировать, учитывать, обрабатывать и включать в эту отчетность финансовые данные, согласующиеся с утверждениями руководства этого субъекта. Руководство субъекта может инициировать планы, программы и действия по устранению определенных рисков или принять какой-либо риск по причине несоизмеримости расходов по его устранению. Сами риски обычно возникают или меняются в результате:

  • • изменений условий бизнеса (в частности, изменение нормативно-правового поля могут привести к изменению конкурентного давления и появлению существенно отличающихся рисков);
  • • появления нового персонала, (в частности, новые сотрудники могут иметь иные представления о системе внутреннего контроля);
  • • новых или модернизированных информационных систем (в частности, существенное и быстрое развитие информационных технологий и, как следствие, информационных систем способно полностью изменить риски сопряженные с системой внутреннего контроля);
  • • быстрого роста (расширение масштабов бизнеса может привести к перегрузке системы внутреннего контроля и в частности средств контроля, что приведет неминуемо к их сбою);
  • • новых технологий (внедрение новых технологий как в производственные, так и в информационные процессы (ИТ- процессы) неминуемо приводит к риску, связанному с системой внутреннего контроля);
  • • появления новых бизнес-моделей, продуктов и видов деятельности (в частности, расширение бизнеса или проведение операций, в которых экономический субъект не имеет надлежащего опыта, может привести к появлению абсолютно новых рисков, связанных с системой внутреннего контроля);
  • • реорганизации экономического субъекта (в частности, сокращение персонала, изменение в порядке надзора и разделении обязанностей приводят, как правило, к изменению риска, связанного с системой внутреннего контроля);
  • • расширения внешнеэкономической деятельности (в частности, приобретения иностранных субъектов связано с проявлением абсолютно новых и порой уникальных рисков, что, как следствие, затронет систему внутреннего контроля);
  • • новых принципов бухгалтерского учета (в частности, их введение и изменение уже действующих принципов бухгалтерского учета, как правило, влияют на риски, связанные с подготовкой бухгалтерской (финансовой) отчетности).

Аудитор должен добиться понимания того, применяются ли в экономическом субъекте процедуры:

  • • по выявлению коммерческих рисков (бизнес-рисков), значимых для целей бухгалтерской (финансовой) отчетности;
  • • оценке значимости рисков;
  • • оценки вероятности возникновения рисков;
  • • принятию решений о мерах борьбы с указанными рисками.

В том случае, если перечисленные процедуры применяются в

экономическом субъекте, аудитор должен изучить их, а также исследовать результаты их применения. В случае выявления аудитором рисков существенного искажения, не обнаруженных руководством проверяемого субъекта, ему необходимо оценить возможность существования некоего базового риска, который, по его мнению, должен быть выявлен. При существовании такого риска аудитор должен определить причины его невыявления руководством хозяйствующего субъекта в процессе оценки рисков и определить соответствие этого процесса обстоятельствам его применения или установить, существует ли в системе внутреннего контроля какой- либо значимый недостаток, оказывающий влияние на этот процесс.

Если процесс оценки рисков не применяется в проверяемом субъекте или применяется эпизодически, то аудитор должен обсудить с руководством этого субъекта, выявлены ли коммерческие риски и какие меры приняты по их устранению. Аудитор должен понять, является отсутствие регламентированного процесса оценки рисков целесообразным в конкретных обстоятельствах или представляет собой весьма значимый недостаток всей системы внутреннего контроля этого субъекта.

Информационные системы, связанные с целями бухгалтерской (финансовой) отчетности, включая бизнес-процессы и информационное взаимодействие согласно МСА 315 представляют собой набор процедур и записей, разработанных и реализуемых в целях:

  • • инициирования, учета, обработки операций (в том числе событий или условий) и формирования по ним отчетов, а также составления отчетности по соответствующим активам, обязательствам и собственному капиталу;
  • • исправления ошибочных записей в учете операций;
  • • обработки данных;
  • • создания отчетов по фактам перехода на ручное управление системой или обхода средств контроля;
  • • переноса информации из систем обработки операций в главную бухгалтерскую книгу;
  • • сбора значимой для бухгалтерской (финансовой) отчетности информации о событиях и обстоятельствах, отличающихся от традиционных операций;
  • • обеспечения сбора, учета, обработки, обобщения и надлежащим образом раскрытия информации, которая должна быть раскрыта в соответствии с применяемыми принципами бухгалтерской (финансовой) отчетности[2].

В общем виде современная информационная система представляет собой модель действующей системы управления любого хозяйствующего субъекта и ее бизнес-процессов, состоящую из информационной инфраструктуры, предметных областей, персонала, процедур и данных.

Иными словами, информационная система для любого экономического субъекта является инструментом информационного обеспечения сотрудников управленческих служб и выполняет технологические функции по накоплению, классификации, обработке, хранению и передаче информации. Система функционирует в том регламенте, который определен конкретными методами и структурой управленческой деятельности, принятыми в этом субъекте в соответствии со стоящими перед ним целями и задачами.

Под информационной инфраструктурой в данном контексте следует понимать отлаженную систему, выполняющую функции обслуживания, документирования, учета, контроля и анализа всех процессов, происходящих с информационными потоками экономического субъекта. Иными словами, инфраструктура — это технология и устройства (например, аппаратное обеспечение, операционные системы, системы управления базами данных, сетевое оборудование, мультимедиа, а также та среда, в которой все эти элементы находится и поддерживается), которые обеспечивают работу приложений[3].

Под информационной технологией понимают систему правил, определяющих способы сбора, накопления, регистрации, передачи, обработки, хранения, поиска, модификации, анализа, защиты, выдачи необходимой информации всем заинтересованным подразделениям или отдельным пользователям[4].

Под данными обычно понимают сообщения о фактах, объектах, ситуациях, условиях и процессах представленные на каком-либо носителе (бумажном, электронном или ином удобном для работы виде).

Потребность быть уверенным в полезности, которую дают информационные системы, управление связанными с ними рисками и растущие требования к контролю над информацией в настоящее время считаются ключевыми элементами корпоративного управления. Ценность, риск и контроль определяют суть корпоративного управления информационными системами.

Корпоративное управление информационной системой есть не что иное, как ответственность руководства хозяйствующего субъекта, которая включает в себя лидерство, организационную структуру и процессы, обеспечивающие соответствие информационных технологий текущим и стратегическим целям этого субъекта в целом и его информационной системы в частности.

В современных условиях управление информационными системами, как правило, интегрирует лучший практический опыт для того, чтобы эти системы оказывали адекватную и оптимальную помощь в достижении целевых установок хозяйствующего субъекта, поддерживая процессы принятия управленческих решений. Надлежащее управление информационными системами позволяет экономическому субъекту пользоваться всеми преимуществами своих информационных потоков и тем самым оптимизировать выгоды, извлекать прибыли из потенциальных возможностей, адаптироваться к постоянным изменениям и получать конкурентные преимущества. В настоящее время построение надлежащей структуры управления, создание эффективной системы принятия управленческих решений и внутреннего контроля напрямую зависят от состояния информационных систем, от их эффективности, безопасности и надежности. В то же время в условиях стремительно возрастающей роли современных информационных технологий профессиональный подход к управлению и систематическое их совершенствование не позволяют компенсировать существенные недостатки в организации бизнес-процессов. Это связано прежде всего со значительным разнообразием внешних и внутренних информационных потоков, циркулирующих в информационной системе экономического субъекта. Широкое развитие аппаратно-программных средств дает возможность собирать, хранить, обрабатывать и передавать информацию в значительных объемах и с большей оперативностью, чем это происходило ранее в недалеком прошлом. Ориентация деятельности экономического субъекта на потребителя требует, чтобы любое управленческое решение опиралось на результаты исследования надлежащим образом подготовленной релевантной и достоверной информации. Кроме того, важно учитывать и вероятные реакции на указанные решения со стороны коммерческого (внешнего) окружения этого субъекта. Таким образом, основой всех этих процессов является своевременная, надежная и релевантная информация. Поэтому сбор, обработка, передача, интерпретация, контроль и хранение информации занимают одно из ведущих мест функционирования современных экономических субъектов.

Однако данные, поступающие в экономический субъект, отражают факты, ситуации и условия в той последовательности, в которой они проявляются во времени. Поэтому они не систематизированы и не классифицированы в соответствии с потребностями заинтересованных в них пользователей. Для того чтобы поступающие потоки данных могли быть использованы в целях управления экономическим субъектом, их необходимо обработать и превратить в достаточную, уместную и релевантную информацию.

Именно информационная система экономического субъекта должна обеспечивать управленческие структуры надлежащим образом обработанной и полезной информацией, необходимой как для принятия новых, так и для корректировки уже принятых управленческих решений.

Иными словами информационная система любого экономического субъекта является системой информационного обеспечения сотрудников управленческих служб; она выполняет технологические функции по накоплению, классификации, обработке, хранению, корректировке и передаче информации. Система функционирует в том регламенте, который определен конкретными методами и структурой управленческой деятельности принятой в экономическом субъекте в соответствии со стоящими перед ним целями и задачами.

Современные информационные системы весьма сложны по своей структуре; в них используются как ручные, так и аппаратно- программные средства обработки непрерывно поступающих в них потоков данных. Некоторые данные очень часто невозможно формализовать, что не позволяет обрабатывать их с использованием аппаратно-программных средств, поэтому их подвергают ручной обработке.

Под влиянием внешних и внутренних непрерывно меняющихся и порой агрессивных факторов (усиления конкурентных отношений, стремительного развития и применения более современных технологий, компьютерных информационных систем и пр.) экономические субъекты превращаются во все более сложные бизнес- системы. Для обеспечения управляемости этих систем необходимы совершенно новые подходы и инструменты, позволяющие им эффективно функционировать не только в текущий момент времени, но и в долгосрочной перспективе. Это требует кардинального пересмотра и совершенствования всего механизма управления и контроля указанными субъектами.

Иными словами, чтобы только продолжать свою деятельность и тем более развиваться, современные экономические субъекты должны постоянно адаптироваться к изменениям рынка. Внедрение и совершенствование информационных технологий требует четкого осознания сущности деятельности этих субъектов в целом и их бизнес-процессов в частности.

Непрерывное развитие бизнес-систем, взаимосвязей и взаимодействий с их коммерческим (внешним) окружением, а также усложнение и ускорение реализуемых в них бизнес-процессов приводят к тому, что существующая в них информационная система перестает отвечать требованиям бизнеса, в том числе не позволяет получать, обрабатывать, хранить и передавать достаточную и надлежащую информацию для принятия новых и корректировке уже принятых управленческих решений. Иными словами, сохранение неадекватного уровня информационных систем влечет за собой принятие неадекватных или несвоевременных управленческих решений, что рано или поздно приведет к полному разрушению всего бизнеса.

Одной из причин недооценки важности информационной системы в современном управлении экономическими субъектами является слабая информированность лиц, принимающих управленческие решения, о возможностях информационных технологий и о рисках, которые вероятны при неадекватности информационной инфраструктуры постоянно изменяющимся потребностям деятельности этих субъектов. Обычно эти лица не понимают теснейшей взаимосвязи информационных технологий с процессами управления. Учитывается только лишь их техническая составляющая, а организующая роль полностью игнорируется. Иными словами, недооценка роли информационных технологий приводит к непониманию того, что развитие информационной системы и ее инфраструктуры должно планироваться заблаговременно и так же тщательно, как и развитие основных бизнес-процессов. Это происходит главным образом потому, что системой управления экономическим субъектом не осознается необходимость увязки целевых установок развития информационной системы с целями деятельности всего хозяйствующего субъекта. Поэтому информационная инфраструктура этой системы часто вбирает в себя практически разнородные технологии, по ряду причин не совместимые друг с другом, что приводит к возникновению рисков, которые оказывают существенное влияние на принимаемые управленческие решения, связанные не только с развитием деятельности экономических субъектов, но и с развитием информационной системы и ее инфраструктуры.

Основной целью информационной системы любого хозяйствующего субъекта в современных условиях развития общества являются автоматизация управленческих функций и предоставление системе управления этим субъектом оптимальной и своевременной информации. Для этого создается так называемый информационный сервис (информационная услуга), обеспечивающей основой которого является информационная инфраструктура.

Под информационным сервисом обычно понимается комплекс услуг, предназначенный для автоматизации какой-либо управленческой деятельности.

Передовой опыт организации такого сервиса опирается на следующие принципы:

  • • информационная служба любого экономического субъекта должна являться подрядчиком, а все остальные структурные подразделения бизнес-системы — заказчиком информационных услуг;
  • • должен существовать конечный продукт информационной системы — информационная услуга.

Примерами таких сервисов могут быть управление себестоимостью продукции, управление поставщиками, управление потребителями продукции и услуг, управление бизнес-процессами и пр. При этом в современных условиях развития информационных систем информационные сервисы подразделяют на аналитический, маркетинговый, почтовый, интернет-сервис, мультимедийный и пр.

Аудитор должен добиться надлежащего понимания информационной системы проверяемого субъекта, относящейся к подготовке бухгалтерской (финансовой) отчетности и связанных с этим бизнес- процессов, в том числе касающихся следующих аспектов:

  • • классов операций, существенных для бухгалтерской (финансовой) отчетности;
  • • внутренних процедур (с применением как автоматизированной (ИТ-технологии), так и ручных систем учета, с помощью которых указанные операции инициируются, учитываются, обрабатываются, корректируются и обобщаются в результативные показатели в бухгалтерской главной книге и как следствие в бухгалтерской (финансовой) отчетности;
  • • связанных с этими операциями учетных записей как подтверждающих информацию, и конкретные счета учета в отчетности, включая их корректировку, касающиеся инициирования, учета, обработки и отражения их в отчетности. МСА допускает представлять документы в бумажной или электронной форме;
  • • того, как информационная система выявляет события или условия, помимо однотипных операций, которые значимы для бухгалтерской (финансовой) отчетности;
  • • процесса подготовки бухгалтерской (финансовой) отчетности, включая действия по подготовке оценочных значений и по раскрытию необходимой информации;
  • • средств контроля за журнальными проводками, включая нестандартные (например, проводки по учету слияния или отчуждения субъектов и пр.), используемые для учета разовых и нетипичных для проверяемого субъекта операций или корректировок.

Аудитор должен добиться и надлежащего понимания бизнес- процессов экономического субъекта, которые для целей МСА 315, представляют собой мероприятия, разработанные:

  • • для совершенствования, приобретения, производства, продажи и распространения продукции, работ или услуг. Иными словами потребительского результата;
  • • обеспечения соблюдения законодательных и нормативных актов;
  • • учета данных.

Результатом бизнес-процессов являются операции, учтенные, обработанные и внесенные в отчетность информационной системы хозяйствующего субъекта. Поэтому исследование бизнес-процессов проверяемого субъекта позволяет аудитору получить надлежащее представление всей информационной системы функционирующей в этом субъекте.

Наряду с перечисленными аспектами аудитор должен понимать, как руководство проверяемого экономического субъекта информирует о роли и функциях конкретных сотрудников связанных с подготовкой бухгалтерской (финансовой) отчетности, а также об их обязанностях и существенных аспектах, связанных с этой отчетностью. Иными словами, аудитор должен представлять, каким образом распределяются полномочия и обязанности, а также как понимают сотрудники характер своего участия в процессе подготовки бухгалтерской (финансовой) отчетности.

С этой целью аудитору необходимо уяснить:

  • • характер общения между руководством экономического субъекта и сотрудниками, наделенными руководящими полномочиями;
  • • порядок обмена информацией с коммерческим (внешним) окружением этого субъекта.

Оценка системы внутреннего контроля должна сочетать оценку качества процедур контроля и эффективности их применения. Аудитор должен оценивать систему внутреннего контроля на основе своего профессионального суждения с точки зрения риска существенного искажения бухгалтерской (финансовой) отчетности.

Аудитор должен учитывать всю специфику внутреннего контроля, осуществляемого с помощью систем, основанных на применении вычислительной техники и информационных технологий.

В процессе анализа системы внутреннего контроля аудитору необходимо получить достаточное понимание всех контрольных мероприятий, чтобы иметь возможность адекватно оценить риски существенного искажения на уровне установок руководства проверяемого субъекта подготовки бухгалтерской (финансовой) отчетности и разработать аудиторские процедуры, учитывающие оцененные риски.

Под контрольными мероприятиями в МСА 315 понимаются правила и процедуры, которые помогают убедиться, что распоряжения руководства хозяйствующего субъекта исполняются. Контрольные мероприятия, как с использованием автоматизированных систем, так и при ручной обработке информации, имеют разные цели и применяются на разных организационных и функциональных уровнях[5].

МСА 315 требует от аудитора достаточного понимания контрольных мероприятий проверяемого субъекта, чтобы иметь возможность оценить существующие риски существенного искажения на уровне утверждений и разработать дальнейшие надлежащие аудиторские процедуры с учетом оцененных рисков, которые способны противодействовать этим рискам. При этом необходимо анализировать только те статьи учета и утверждения, которые могут являться источником существенного искажения. Иными словами, аудитор должен исследовать только те контрольные мероприятия, которые, по его мнению, значимы для конкретной аудиторской проверки.

При вынесении профессионального суждения контрольных мероприятиях, значимых для целей аудита, аудитору необходимо принимать во внимание:

  • • его оценку существенности;
  • • значимость риска;
  • • размер проверяемого субъекта;
  • • характер бизнеса субъекта;
  • • разнообразие и сложность проводимых субъектом операций;
  • • применимые к субъекту требования действующих законодательных и нормативных актов;
  • • характер и сложность элементов и систем, образующих систему внутреннего контроля и т.д.

Для получения надлежащих аудиторских доказательств формы и эффективности применения контрольных мероприятий аудитор может проводить следующие процедуры оценки рисков существенного искажения:

  • • сделать запросы наделенным должными полномочиями сотрудникам проверяемого субъекта;
  • • осуществить наблюдение за выполнением конкретных средств контроля;
  • • проверить необходимые документы и отчеты;
  • • провести отслеживание операций через информационную систему, относящуюся к подготовке бухгалтерской (финансовой) отчетности.

Необходимо учитывать, что система внутреннего контроля любого хозяйствующего субъекта в силу существующих (присущих внутреннему контролю) ограничений не позволяет обеспечить полную уверенность в достижении целей, стоящих при подготовке бухгалтерской (финансовой) отчетности. Поэтому независимо от того, как был оценен риск существенного искажения, аудитор должен планировать и осуществлять аудиторские процедуры проверки по существу аудиторского задания для всех существенных сальдо счетов, классов операций и раскрываемой в отчетности информации.

MCA 330 допускает два этапа аудиторской проверки контрольных действий осуществляемых экономическим субъектом. Аудитору необходимо прежде всего определить наличие и применяемость исследуемого контрольного действия. Затем аудитор должен оценить степень эффективности контрольных действий, т.е. определить, выполняют ли они предполагаемые функции. Для этого стандарт допускает применение специальных тестов контроля для получения надлежащих аудиторских доказательств того, что система внутреннего контроля эффективно функционировала в течение проверяемого периода.

В аспекте характера (в MCA 330 — nature) тестов средств контроля аудитор должен убедиться в том, что они применяются только для тех элементов системы внутреннего контроля, которые признаны им надлежащими при реализации целей их применения.

Кроме того, аудитор должен учитывать прямую зависимость оценки риска существенных искажений от масштаба аудиторских тестов средств контроля. Иными словами, чем больше аудитор опирается на факт эффективного функционирования контрольных действий при оценке риска существенного искажения, тем больше требуется масштаб аудиторских тестов контроля.

Под масштабом аудиторских процедур в MCA 330 понимается количественная составляющая необходимых аудиторских процедур. Масштаб аудита определяется профессиональным суждением аудитора, основанным на уровне существенности оцененных рисков и уровне достоверности, который планируют достичь. При увеличении риска существенного искажения необходимо увеличить масштаб проверки. Однако это имеет смысл лишь в том случае, если аудиторская процедура предназначена для определенного вида риска существенного искажения.

При определении масштабов тестов контроля аудитор должен учитывать следующие факторы:

  • • частоту контрольных мероприятий, выполняемых хозяйствующим субъектом;
  • • интервал времени в рамках отчетного периода, на протяжении которого аудитор оценивает работоспособность контрольных мероприятий;
  • • уместность и надежность аудиторских доказательств, которые необходимо получить для подтверждения того, что контрольные мероприятия проверяемого субъекта предотвращают, обнаруживают и исправляют существенные искажения на уровне утверждений;
  • • то, в какой степени аудитор планирует полагаться на работоспособность контрольных мероприятий проверяемого субъекта при оценках рисков существенных искажений с целью снижения объема проверок по существу аудиторского задания, основанных на доверии к системе внутреннего контроля;
  • • меру отклонений от контрольных мероприятий, т.е. частоту их не соблюдения экономическим субъектом.

Получая представление о каждом компоненте системы внутреннего контроля, при аудиторском исследовании особое внимание следует уделить анализу средств контроля, связанных с надежностью защиты активов. Например, использование субъектом средств контроля прав доступа, таких как пароли, ограничивающие доступ к данным и программным продуктам, обрабатывающим операциям, может являться значимым для аудита информационной системы.

Для получения аудитором представления о системе внутреннего контроля необходима оценка организации контрольных мероприятий и определение их фактического применения. Деятельность по контролю, организованная ненадлежащим образом, может представлять собой существенный недостаток системы внутреннего контроля проверяемого субъекта, и аудитору необходимо рассмотреть вопрос о необходимости подготовки и передачи сообщения об этом лицам, наделенным руководящими полномочиями этого субъекта.

Однако следует помнить, что получение аудитором представления о средствах контроля недостаточно, чтобы заменить собой тестирование их эффективности, если только не существует автоматизированного процесса, который обеспечивает последовательное применение этих средств. Например, получение аудиторских доказательств в отношении применения ручного контроля на определенную дату не характеризует эффективности функционирования средств контроля на другие даты проверяемого периода. Современные информационные технологии предоставляют субъекту возможность последовательно обрабатывать большие объемы данных и повышают возможности субъекта в области мониторинга деятельности по контролю и достижения эффективного распределения обязанностей посредством внедрения средств контроля информационной безопасности в прикладных программных продуктах, базах данных и операционных системах.

Таким образом, выполнение аудитором процедур, направленных на выявление применения проверяемым субъектом последовательного автоматизированного контроля, может являться тестом эффективности такого средства контроля, например средств контроля над изменениями в программном продукте.

Современным информационным системам присущи автоматизированные информационные технологии, однако даже при их всеобъемлющем использовании в них всегда применяются ручные элементы. Баланс между ручными и автоматизированными элементами изменчив. Так, в небольших (малых) экономических субъектах с несложной организационной структурой могут преобладать именно ручные элементы. В более крупных субъектах и особенно корпорациях масштаб автоматизации может варьироваться от систем, которые практически полностью автоматизированы, до систем, которые полностью ручные. Поэтому аудитор должен учитывать и оценивать указанные обстоятельства при оценке бизнес- и ИТ- рисков, а также применения аудиторских процедур, основанных на такой оценке.

В то же время аудитору следует помнить, что контрольные мероприятия в ручной системе могут включать такие процедуры, как одобрение и обзор всей деятельности, отдельных бизнес-процессов и даже отдельных бизнес-операций, а также сверку и последующие действия по сверенной информации. Проверяемый субъект может использовать автоматизированные процедуры для инициирования, отражения и обработки бизнес-операций, а также при подготовке бухгалтерской (финансовой) отчетности. В этом случае электронная форма записей замещает документы на бумажных носителях, такие как заказы на покупку ресурсов, инвойсы, отгрузочные документы и бухгалтерские записи.

Сами средства контроля в современной информационной системе обычно представляют собой сочетание (некий синтез) автомагазированных средств (например, средства контроля встроенные в программные продукты) и ручных. При этом ручные средства контроля могут быть относительно независимыми от автоматизированных информационных технологий, а также могут использовать информацию, генерированную этими технологиями, или могут быть направлены только лишь на мониторинг эффективности функционирования ИТ, автоматизированных средств контроля и обработку отклонений. Сочетание ручных и автоматизированных средств контроля зависит, как правило, от характера и сложности использования субъектом информационных технологий.

Современные информационные технологии предоставляют потенциальные преимущества и повышают эффективность системы внутреннего контроля любого экономического субъекта, так как они дают возможность:

  • • последовательно применять предписанные правила ведения бизнеса и выполнять сложные расчеты при обработке значительных объемов данных;
  • • обеспечивать своевременность, доступность и точность информации;
  • • облегчать дополнительный анализ информации;
  • • усиливать мониторинг результатов деятельности экономического субъекта, а также его политики и процедур;
  • • понижать риск игнорирования системы внутреннего контроля и, что весьма значимо для субъекта, регламентированных в ней контрольных процедур;
  • • обеспечивать эффективное распределение обязанностей посредством внедрения средств контроля информационной безопасности в прикладных программных продуктах, базах данных и операционных системах.

Однако аудитор должен учитывать, что современные информационные технологии накладывают определенные риски на всю систему внутреннего контроля любого экономического субъекта. К ним следует отнести:

  • • неточность обработки данных применяемыми программными продуктами;
  • • несанкционированный доступ к данным, что может привести к их уничтожению или ненадлежащему изменению, включая отражение несанкционированных или неточных операций;
  • • вероятность приобретения ИТ-сотрудниками прав доступа, превышающих их полномочия, необходимые для выполнения их обязанностей, тем самым нарушая распределение этих обязанностей;
  • • несанкционированные изменения в данных основного файла;
  • • несанкционированные изменения в системах или программных продуктах;
  • • ненадлежащее ручное вмешательство;
  • • потенциальные потери данных или невозможность доступа к ним.

Ручные элементы системы внутреннего контроля наиболее приемлемы в случаях, если требуется суждение и некая доля осторожности, например в случаях, когда возникают:

  • • крупные, необычные, или единичные операции;
  • • обстоятельства, при которых трудно определить, обнаружить или предсказать вероятность ошибок;
  • • ситуации, требующие незамедлительной реакции со стороны системы внутреннего контроля, которые выходят за рамки возможностей существующих автоматизированных средств контроля.

Однако аудитору следует помнить, что ручные средства контроля менее надежны, чем автоматизированные, так как их легче обойти, проигнорировать, и они более подвержены элементарным ошибкам, сопряженным с человеческим фактором. Кроме того ручные средства контроля менее приемлемы, если существует:

  • • большой объем операций или повторяющихся операций, или в ситуации, когда ошибки, которые можно прогнозировать могут быть предотвращены или обнаружены при помощи автоматизированных средств контроля;
  • • возможность разработки и автоматизации надлежащих средств контроля.

Система внутреннего контроля независимо от того, насколько хорошо она организована и функционирует, предоставляет только разумную уверенность в достижении целей экономического субъекта. На вероятность достижения такой уверенности влияет целый ряд ограничений присущих системе внутреннего контроля. Они включают:

  • • вероятность наличия субъективного суждения (например, если ИТ-сотрудники не до конца понимают, как система ввода заказов обрабатывает операции по продажам, они могут ввести ошибочные изменения в систему для обработки продаж абсолютно новых потребительски результатов (продукции, товаров, услуг). Кроме того, несмотря на то, что изменения могут быть правильно разработаны, они могут быть неправильно поняты программистами);
  • • вероятность возникновения ошибок при использовании информации, генерированной с помощью автоматизированных информационных технологий используемых информационной системой.

Особое место при аудите информационных систем занимает исследование того, как система управления проверяемого субъекта реагирует на риски, сопряженные с информационной системой этого субъекта и применяемыми в ней информационными технологиями.

Использование различных информационных технологий (ручных, автоматизированных) обусловливает способ осуществления мероприятий по контролю. Аудитор должен всесторонне изучить, адекватно ли проверяемый субъект реагирует на ИТ-риски посредством установления эффективных средств контроля в информационных технологиях и прикладных программных продуктах.

Аудитор может признать средства контроля информационной системы эффективными, если они поддерживают целостность информации и безопасность данных, которые эта система обрабатывает.

Общие средства контроля в информационных системах представляют собой правила и процедуры, связанные с прикладными программными продуктами и поддерживающими эффективное функционирование средств контроля над ними, содействуя надлежащей работе этой системы. Эти средства контроля, как правило, должны поддерживать целостность информации и безопасность данных; они включают в себя средства контроля над следующими компонентами:

  • • информационными центрами и сетями (планированием и организацией, приобретением и внедрением, эксплуатацией и сопровождением, мониторингом и оценкой системного программного обеспечения);
  • • информационной безопасностью;
  • • планированием и организацией, приобретением и внедрением, эксплуатацией и сопровождением, мониторингом и оценкой программного обеспечения.

Средства контроля над прикладными программными продуктами представляют собой ручные или автоматизированные процедуры, которые применяются на уровне бизнес- и ИТ-процессов. Их основная целевая направленность — предупреждение или обнаружение различных отклонений и обеспечение целостности информации. Примерами таких средств являются средства контроля ввода данных и проверки числовой последовательности посредством ручной проверки отчетов по отклонениям или исправлениям на дату их ввода.

И наконец, под мониторингом средств контроля в МСА 315 понимается процесс оценки эффективности функционирования системы внутреннего контроля за период времени, включающий своевременную оценку эффективности средств контроля и внесение в них адекватных изменений по мере необходимости. Мониторинг средств контроля выполняется с помощью постоянных мероприятий, отдельных оценок надежности средств или их сочетания. Постоянный мониторинг обычно является неотъемлемой частью повседневной деятельности экономического субъекта и включает в себя систематические управленческие и надзорные действия[6].

Аудитор должен понимать основные виды мероприятий, которые применяет хозяйствующий субъект для мониторинга средств контроля бухгалтерской (финансовой) отчетности, включая мероприятия по устранению недостатков в этих средствах.

МСА 315 допускает применение и иной классификации системы внутреннего контроля, а также иные термины или принципы, при условии, что все указанные элементы будут раскрыты и исследованы надлежащим образом.

Аудитор, выполняя аудиторское задание, может выявить недостатки системы внутреннего контроля. Это может произойти не только во время оценки рисков, но и на любом другом этапе аудиторской проверки. МСА 265 «Доведение информации о недостатках в системе внутреннего контроля до представителей собственника и руководства организации» устанавливает, что аудитор должен обязательно и надлежащим образом довести до представителей собственника и руководства проверяемого субъекта информацию об указанных аспектах, которые согласно его профессиональному суждению являются в достаточной степени важными.

При установлении хотя бы одного факта недостатка в системе внутреннего контроля МСА 265 допускает возможность обсуждения этого обстоятельства с руководством должного уровня, который может обеспечить знания рассматриваемой области указанной системы, а также принимать меры по устранению этих недостатков. В ходе обсуждения аудитор может получить дополнительную информацию:

  • • о причинах такого недостатка и мнение руководителей проверяемого субъекта по указанному аспекту;
  • • о возражениях руководителей по поводу недостатков;
  • • о возможных мерах по устранению этих недостатков.

Если аудитор выявил недостатки в элементах системы внутреннего контроля, он должен определить, являются ли они по отдельности или в совокупности значимыми.

Под значимыми недостатками в системе внутреннего контроля понимаются недостатки или отдельный недостаток в системе, которые согласно профессиональному суждению аудитора важны в достаточной степени, чтобы информация о них была доведена до представителей собственника[7].

Значимые недостатки могут существовать даже в том случае, если аудитор не выявил каких-либо искажений в ходе выполнения аудиторского задания.

Для определения значимости недостатков системы внутреннего контроля аудитор должен проанализировать:

  • • вероятность того, что указанные недостатки могут привести к существенным искажениям в бухгалтерской (финансовой) отчетности в будущем;
  • • возможность утраты актива или обязательства, а также осуществления мошеннических действий с ним;
  • • субъективность и сложность определения расчетных величин;
  • • статьи бухгалтерской (финансовой) отчетности подверженные воздействию недостатков системы внутреннего контроля;
  • • масштаб операций с остатками по счетам или классами сделок, которые подвержены воздействию указанных недостатков;
  • • важность средств контроля (например, средств общего мониторинга или средств контроля за предотвращением и обнаружением мошеннических действий и пр.);
  • • причины и частоту возражений, обнаруженных вследствие недостаточности средств контроля;
  • • взаимосвязь недостатков системы внутреннего контроля.

Признаками наличия значимых недостатков в системе внутреннего контроля в МСА 265 названы:

  • • доказательства наличия неэффективных аспектов общей контрольной политики;
  • • отсутствие процесса оценки рисков там, где он необходим;
  • • доказательства неэффективности процесса оценки рисков;
  • • свидетельства неэффективности мер по устранению выявленных значительных рисков;
  • • выявленные в ходе аудита искажения, которые не были предотвращены;
  • • пересмотр ранее выпущенной бухгалтерской (финансовой) отчетности;
  • • доказательства неспособности руководства контролировать подготовку бухгалтерской (финансовой) отчетности.

Аудитор должен своевременно и в письменной форме уведомить руководителей соответствующего уровня и представителей собственника о всех значимых недостатках системы внутреннего контроля, выявляемых им в ходе выполнения аудиторского задания. В письменном уведомлении должны быть отражены как само описание всех недостатков и объяснение последствий, так и достаточная информация для понимания уведомляемыми сложившейся ситуации.

  • [1] Международные стандарты аудита и контроля качества. Ч. 1. Т. 2. Киров.С. 641.
  • [2] Международные стандарты аудита и контроля качества. Ч. 1. Т. 2. Киров.С. 643-645.
  • [3] Ситное А.Л. Особенности аудита информационных инфраструктур // Аудитор.2011. № 11. С. 26.
  • [4] Там же.
  • [5] Международные стандарты аудита и контроля качества. Ч. 1. Т. 2. Киров.С. 619.
  • [6] Международные стандарты аудита и контроля качества. Ч. 1. Т. 2. Киров.С. 623.
  • [7] Международные стандарты аудита и контроля качества. Ч. 1. Т. 1. Киров.С. 507.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >