Оценка средств контроля в ходе аудита: методические приемы и рекомендации
Е.Л. Сквирская, директор департамента методологии аудита компании ФБК
В данной статье анализируются методы оценки в ходе аудита адекватности и применимости средств контроля, которые использует в процессе своей деятельности аудируемое лицо. Для описываемых методик приводятся образцы подготовки аудитором рабочей документации. Также рассматриваются вопросы проведения выборочных проверок средств контроля, включая методы определения объема выборок при тестировании средств контроля.
В рамках действующих в настоящее время федеральных правил (стандартов) аудиторской деятельности (ФПСАД) на аудитора в ходе получения понимания системы внутреннего контроля (СВК) аудируемого лица возлагается обязанность оценить, как организованы средства контроля, т.е. их адекватность, и установить факт их применения (см. ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности»[1]). Результаты этой оценки аудитор должен документировать.
Аналогичные требования закреплены и в международных стандартах аудита (МСА). Они регламентируются МСА 315 «Выявление и оценивание риска существенного искажения финансовой отчетности в ходе получения понимания деятельности и среды, в которой действует организация»[2]. Требования, установленные МСА 315 и ФПСАД № 8, в основном совпадают, что видно из табл. 1.
Таким образом, и федеральными, и международными стандартами аудита предусмотрено, что в ходе выполнения каждого задания аудитор обязан оценить адекватность средств контроля организации, установить факт их применения и документировать результаты этих процедур.
В системе МСА данные требования увязываются с разработкой дальнейших аудиторских процедур по оцененным рискам, порядок которой регламентирован МСА330 «Аудиторские процедуры по оцененным рискам»[3]. Среди действующих ФПСАД и новых федеральных стандартов аудиторской деятельности аналог данного стандарта на настоящий момент отсутствует, однако ФПСАД № 8 содержит положения, указывающие на необходимость разработки аудиторских процедур, увязанных с оцененными рисками существенного искажения.
Приведем требования в отношении аудиторских процедур по оцененным рискам, содержащиеся в стандартах:
«Аудитор обязан разработать и выполнить дальнейшие аудиторские процедуры, чей характер, сроки проведения и объем зависят от и определяются рисками существенного искажения на уровне предпосылок подготовки финансовой отчетности» (п. 6 МСА 330);
«Аудитору необходимо обладать достаточными знаниями о контрольных действиях аудируемого лица, чтобы оценить риски существенного искажения информации на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности и разработать дальнейшие аудиторские процедуры с учетом оцененных рисков» (п. 88 ФПСАД № 8).
В соответствии с МСА 330 после того, как риски существенного искажения оценены, аудитор на их основе формирует аудиторский подход к проверке, который может либо состоять в проведении проверки по существу, либо быть комбинированным, т.е. использовать процедуры проверки по существу наряду с тестами контроля[4].
Таким образом, в рамках МСА предусматривается, что на основе понимания СВК аудируемого лица аудитор должен:
выявить риски существенного искажения, в том числе значимые;
в отношении этих рисков рассмотреть средства внутреннего контроля аудируемого лица, оценить вид этих средств и определить, применялись ли эти средства на практике;
установить на основе полученной информации характер аудиторского подхода для получения дальнейших надлежащих аудиторских доказательств;
разработать дальнейшие аудиторские процедуры в ответ на оцененные риски.
При определении аудиторского подхода к проверке и разработке дальнейших аудиторских процедур по оцененным рискам аудитор должен основываться на результатах процедур по рассмотрению средств контроля аудируемого лица.
Какими же практическими приемами должен руководствоваться аудитор и какие проводить процедуры в процессе рассмотрения средств контроля и принятия решений об аудиторском подходе? Международная федерация бухгалтеров (англ. International Federation of Accountants (IFAC)) в рамках обобщения наилучшей мировой практики аудита опубликовала на своем сайте «Руководство по применению международных стандартов аудита при аудите малых и средних организаций» (далее — Руководство), в котором рассмотрены методические вопросы, связанные с применением МСА, в том числе относящиеся к оценке и тестированию средств контроля в ходе аудита (главы 12 и 17, том 2 Руководства)[5].
Первый блок практических рекомендаций для аудиторов, содержащихся в главе 12 данного Руководства, связан собственно с оценкой аудитором адекватности и применимости средств контроля. Такая оценка, как уже указывалось, является обязанностью аудитора и должна проводиться в ходе каждого аудита.
Второй блок рекомендаций (глава 17 Руководства) относится к случаю, когда аудитор определил аудиторский подход как комбинированный и должен перейти к тестированию соответствующих средств контроля.
Далее на основе положений, содержащихся в главах 12 и 17 Руководства, рассмотрим, каковы же методические рекомендации аудитору по вопросам оценки средств контроля и дальнейшему их тестированию.
Методические приемы оценки адекватности и факта применения средств контроля
В ходе рассмотрения средств внутреннего контроля, действующих применительно к оцененным рискам существенного искажения, аудиторам рекомендуется использовать процедуру, включающую следующие этапы:
выявление рисков существенного искажения (РСИ);
рассмотрение характера действующих в отношении РСИ средств контроля;
рассмотрение применяемости средства контроля;
документирование применения соответствующих средств контроля.
Этап 1. Выявление рисков существенного искажения
Задача аудитора на данном этапе заключается в том, чтобы установить, действуют ли в организации средства контроля в отношении РСИ. Здесь аудитору следует рассматривать как РСИ по отчетности в целом, так и специфические риски — в отношении определенных предпосылок подготовки отчетности или ее разделов. При этом предусматривается, что аудитор выявляет и рассматривает исключительно риски, имеющие отношение к аудиту. В отношении этих рисков в СВК организации должны существовать средства контроля, направленные на их снижение (табл. 2).
После того как аудитор подготовил перечень РСИ в разрезе основных бизнес-процессов организации, необходимо:
проверить, рассмотрены ли все предпосылки подготовки финансовой отчетности;
выяснить, существуют ли дополнительные риски (на уровне операций или организации в целом), которые могут привести к существенному искажению финансовой отчетности, если их не устранить.
Этап 2. Рассмотрение характера действующих в отношении РСИ средств контроля
Оценка адекватности разработки руководством контрольных средств, действующих в отношении РСИ, включает оценку того, сможет ли это средство контроля (рассмотренное отдельно или в совокупности с другими средствами) сократить соответствующий риск существенного искажения. При этом необходимо учитывать, что средства контроля делятся на две категории:
превентивные, т.е. предотвращающие появление существенных искажений;
выявляющие и корректирующие существенные искажения, если они имеют место.
Средства контроля обычно выявляются в ходе обсуждений (интервью) с персоналом, который ответствен за управление рисками конкретного бизнес-процесса. Для малых организаций это часто может быть интервью с собственником-руководителем или со старшим руководителем. Типичный подход к выявлению средств контроля показан в табл. 3.
Оценку адекватности средств контроля рекомендуется начинать со средств контроля в отношении искажения отчетности в целом. Эти виды средств контроля формируют основу для функционирования специфических средств контроля, действующих в отношении операций и предпосылок подготовки отчетности.
Существует два общепризнанных подхода к рассмотрению аудитором средств контроля — это подходы, ориентированные на рассмотрение средств контроля в отношении:
РСИ, которые приводят к искажению отчетности в целом;
специфических операционных РСИ на уровне предпосылок подготовки финансовой отчетности.
Первый подход заключается в том, что:
каждый риск рассматривается отдельно;
аудитор идентифицирует все средства контроля, которые относятся к каждому отдельному риску.
В рамках второго подхода разрабатывается так называемая матрица рисков, которая позволяет аудитору выявить:
множество взаимозависимостей, существующих между рисками и средствами контроля;
области, для которых внутренний контроль силен;
области, для которых внутренний контроль слаб;
ключевые средства контроля в отношении многих рисков (предпосылок), которые должны тестироваться на эффективность функционирования.
Подход, ориентированный на рассмотрение средств контроля в отношении РСИ, которые приводят к искажению отчетности в целом. В рамках данного подхода описание средств контроля, как правило, может строиться так, как показано в табл. 4.
Примечание: С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования и А — предпосылка в отношении точности.
Поясним, как работает этот метод. Пусть аудитор рассматривает функционирование контрольной среды организации в качестве основы снижения рисков искажения финансовой отчетности в целом. Цель контрольной среды заключается в необходимости для руководства и представителей собственника создать и поддерживать культуру честного и этичного поведения. Некоторые средства контроля, обычно применяемые руководством в отношении данного риска, могут включать:
последовательную демонстрацию руководством приверженности высоким этическим стандартам;
снижение руководством такого рода стимулов, которые могли бы побудить сотрудников к нечестным или неэтичным действиям;
наличие кодекса поведения, устанавливающего этичные и моральные стандарты;
наличие четкого понимания персоналом того, какое поведение считается приемлемым (неприемлемым) и что они должны сделать, если сталкиваются с неприемлемым поведением;
производственные дисциплинарные меры в случае неприемлемого поведения.
Аудитор сначала должен сформулировать цель контроля и затем определить, существуют или нет какие-либо средства контроля, снижающие риски. В результате процедур проверки может подготавливаться рабочая документация (табл. 5).
После того как средства контроля выявлены, аудитор на основе профессионального суждения делает вывод, является ли их характер надлежащим для снижения соответствующих РСИ, т.е. адекватны ли они. Формулируя вывод о контрольной среде, аудитор должен оценить следующее:
создана ли руководством под надзором представителей собственника культура честности и этичного поведения;
создает ли совокупность элементов контрольной среды надлежащий фундамент для других компонентов внутреннего контроля и не подрываются ли эти другие компоненты слабостью элементов контрольной среды.
Такой вывод может оказать большое влияние на оценку аудитором риска для финансовой отчетности в целом.
Подход, ориентированный на рассмотрение средств контроля в отношении специфических РСИ на уровне предпосылок подготовки финансовой отчетности. Данный подход, как правило, применяется на уровне бизнес-процесса и может быть наглядно проиллюстрирован следующей матрицей (см. рис.).
Примечание:С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования; А — предпосылка в отношении точности; П — превентивные средства контроля (направлены на недопущение искажений); ВИ — выявляющие и исправляющие средства контроля.
Как же определить на основании приведенной матрицы слабости внутреннего контроля и ключевые средства контроля?
Выявление слабости внутреннего контроля происходит следующим образом:
по каждому столбцу риска необходимо определить, какие контрольные процедуры действуют для его снижения — если существуют достаточные средства контроля, то слабости контроля нет;
если для риска существует мало процедур или они отсутствуют, может иметь место существенная слабость (например, это риск С, в отношении которого средства контроля не выявлены и для которого имеет место существенная слабость внутреннего контроля) — в такой ситуации от аудитора требуется:
– запросить о наличии любых иных процедур СВК, в том числе компенсирующих; если таковых нет, может иметь место существенная слабость СВК, о которой следует сообщить руководству и представителям собственника как можно раньше, чтобы можно было предпринять корректирующие действия,
– рассмотреть, требуются ли дальнейшие аудиторские процедуры в ответ на выявленный риск.
Компенсирующие процедуры контроля — это такие процедуры, которые могут быть связаны с данным риском опосредованно. Так, риск отправления готовой продукции заказчику без оформления документов может быть выявлен менеджером по продажам в ходе ежеквартальной проверки объемов продаж. Однако очевидно, что такая контрольная процедура сама по себе не является достаточной для снижения данного риска.
Выявление ключевого средства внутреннего контроля.Ключевые средства внутреннего контроля — это средства, действующие одновременно в отношении нескольких РСИ. Для их выявления следует рассмотреть матрицу средств контроля и выявить те процедуры, которые работают в отношении нескольких факторов риска. Например, процедура 3 относится к трем рискам и трем предпосылкам, что является примером средства контроля (часто называемого ключевым), которое при условии его надежности может тестироваться на операционную эффективность, особенно когда такое тестирование способно привести к снижению объема детальных тестов.
Если у аудитора возникают любые сомнения в том, что выявленные средства контроля действительно применяются, ему следует переходить к оценке и документированию функционирования средства контроля только после того, как он убедится, что эти средства контроля применяются на практике.
Последний момент в оценке средства контроля — это формулирование аудитором вывода о том, снижают ли выявленные средства контроля конкретные РСИ. Такая оценка требует применения профессионального суждения. Для каждой предпосылки или РСИ аудитору следует рассмотреть, является ли реакция на него руководства достаточной для снижения риска до приемлемо низкого уровня.
Когда аудитор использует матрицу средств контроля, то нижний ряд матрицы может применяться для документирования вывода о надлежащем характере средств контроля для снижения каждого из факторов риска.
Если аудитор считает, что характер средств контроля не является адекватным, нет необходимости идти дальше и оценивать операционную эффективность. Вполне вероятно, что уже имеет место существенная слабость СВК.
Этап 3. Рассмотрение применяемости средства контроля
Для определения того, применяются ли на практике выявленные средства контроля, аудитору недостаточно провести только опрос персонала. Объясняется это следующим: люди, как правило, могут надеяться на то, что предусмотренное СВК средство контроля действительно применяется, но на практике это не так. Документально описанное средство контроля, которое не применяется на практике или не работает надлежащим образом при применении, не имеет ценности для аудита.
Оценка фактического применения средств контроля может проводиться с помощью:
опроса персонала;
наблюдения или повторного выполнения процедуры;
инспектирования документов и отчетов;
прослеживания внутри информационной системы подготовки отчетности отражения одной или более операций (прослеживание не является тестом операционной эффективности средства контроля).
Существует несколько причин для проведения наблюдений за функционированием СВК. Это:
изменение бизнес-процессов — со временем бизнес-процессы изменяются в силу перехода к производству новых продуктов (оказанию новых видов услуг), изменений в персонале или перехода на новые IT-программы;
неправильное описание — персонал организации может объяснять аудитору, как система должна работать, а не то, как она работает на практике;
недостаток информации — некоторые аспекты системы могут быть ненамеренно недостаточно изучены при получении понимания СВК.
Проверка применяемости средства контроля представляет аудиторские доказательства того, что выявленное средство было применено в определенный момент времени, но не рассматривает операционную эффективность этого средства. Свидетельства операционной эффективности (если это предусмотрено стратегией аудита и аудиторским подходом) будут получены в ходе проведения тестов контроля, которые рассматривают доказательства в отношении действия средства в течение определенного периода времени, например года.
Только после того, как установлено, что средства контроля, имеющие отношение к аудиту, правильно разработаны и применяются на практике, рассматривается:
какие тесты операционной эффективности средств контроля позволят сократить объем тестирования по существу;
какие из средств контроля нужно тестировать, поскольку нет иного способа получить достаточные надлежащие аудиторские доказательства.
Оценка адекватности и применяемости средств контроля принципиально отличается от проведения тестирования операционной эффективности средств контроля. Так, в отношении:
адекватности средств контроля аудитор должен определить, разработаны ли в организации средства контроля, направленные на снижение РСИ;
применяемости средств контроля аудитор должен выяснить, действуют ли на практике разработанные средства контроля, причем процедуры в отношении применения средств контроля с целью выявления изменений в СВК должны проводиться для каждого аудируемого периода;
тестирования операционной эффективности средств контроля от аудитора требуется ответить на вопрос, действуют ли средства контроля эффективно в течение определенного периода времени. При этом у аудитора нет обязанности проводить тестирование эффективности средств контроля, кроме тех случаев, когда нет иного способа получить достаточные надлежащие аудиторские доказательства (т.е. для высокоавтоматизированных или бездокументарных систем учета); таким образом, принятие решения о проверке операционной эффективности средств контроля является вопросом профессионального суждения аудитора.
Для повторных аудитов рекомендуется начать рассмотрение средств контроля с их применяемости с целью понять, что изменилось в СВК организации. При этом в качестве отправной точки следует использовать полученную по аудитам за прошлые периоды документацию о характере средств контроля. Если выявлены изменения в СВК, необходимо определить, что пересмотренные либо новые средства контроля продолжают снижать РСИ или что суще
Если стратегия аудита предполагает, что аудитор полагается на операционную эффективность средств контроля, и имели место изменения в СВК, то аудитору рекомендуется проследить ход операций, которые имели место до и после внесенных изменений.
В процессе обновления рабочих документов по СВК аудитору следует тщательно рассмотреть изменения в превентивных средствах контроля на уровне организации. Эти изменения могут оказать существенное воздействие на эффективность операционных средств контроля и повлиять на реагирование аудитора на оцененные риски.
Так, решение руководства о найме высококвалифицированного специалиста для подготовки финансовой отчетности может понизить риски ошибок в финансовой информации и повысить эффективность средств контроля в отношении операций, которые ранее могли обходиться вниманием. И наоборот, неспособность руководства заменить некомпетентного менеджера по IT или направить существенные ресурсы на сокращение рисков, связанных с IT-системами, может привести к снижению эффективности прочих контрольных процедур. В любом случае эти моменты приведут к значительным изменениям характера реагирования аудитора на оцененные риски.
Этап 4. Документирование применения соответствующих средств контроля
Документация в отношении применения средств контроля поможет аудитору:
понять природу, функционирование и контекст (кто использует средство контроля, где, как часто и какова документация об этом), в котором применяются выявленные средства контроля;
определить, насколько надежны средства контроля и возможно ли положиться на их эффективность.
Если ответ на последний вопрос будет положительным, то средства контроля можно тестировать в ходе ответных процедур на оцененные риски. Документация о тестировании также поможет аудитору разработать конкретный тест, т.е. определить выборочную совокупность, объем выборки, какие приложения средства контроля будут тестироваться, кто выполняет контрольную процедуру.
Объем документирования определяется профессиональным суждением аудитора. Наиболее распространенными формами документации, подготавливаемой руководством для аудитора, являются:
описательные материалы или меморандумы по СВК;
блок-схемы;
сочетание описательных материалов и блок-схем;
вопросники и проверочные листы.
Объем и характер требуемой документации — предмет профессионального суждения аудитора. При определении этого объема следует учитывать:
природу, величину и сложность организации и ее СВК;
доступность информации от организации;
методологию аудита и используемые в ходе аудита технологии.
Объем документирования может отражать также опыт и возможности аудиторской группы. Аудит, проводимый менее опытной группой, может потребовать подготовки более детальной документации, нежели в случае, когда группа состоит из профессионалов.
Как уже отмечалось, при планировании текущего аудита аудитор может использовать документацию, подготовленную в ходе предшествующих аудитов. Обновление такой документации потребует:
сделать копии рабочих документов по СВК за прошлые периоды для их последующего обновления; если ничего не изменилось, вначале рассматривается применяемость средств контроля; если средство контроля действительно применялось и риск не менялся, то характер средства контроля можно считать надлежащим;
обновить перечень факторов риска, которые должны понижаться посредством СВК;
выявить изменения в СВК на уровне организации и операций в ходе процедур проверки применяемости средств контроля;
определить, являются ли выявленные новые средства контроля надлежащими и применяются ли они;
обновить описание соответствия средств контроля РСИ;
обновить вывод о риске контроля.
Тестирование средств контроля
Аудиторские процедуры, используемые для проверки средств контроля, относятся к одному из четырех типов:
запросы персоналу надлежащего уровня;
инспектирование соответствующей документации;
наблюдение за операциями организации;
повторное выполнение контрольной процедуры.
Тесты контроля представляют аудиторские доказательства того, работают средства контроля эффективно или нет. Соответственно они могут использоваться, только когда на основе рассмотрения адекватности и фактического применения средства контроля ожидается, что его функционирование надежно. В связи с этим допустимый уровень ошибки или искажения для тестов контроля очень мал. Обычно это либо полное отсутствие отклонений в функционировании средства контроля, либо одно отклонение.
Рассмотрение искажений средств контроля на уровне организации
Проверка наличия искажения (отклонений в функционировании) средств контроля на уровне организации (например, проверка приверженности компетентности или понимание политики организации в отношении приемлемого поведения) может оказаться более субъективной процедурой, чем проверка средств контроля в отношении конкретных операций. Однако эти средства контроля в совокупности обеспечивают надлежащий фундамент функционирования для остальных компонентов СВК.
К тестам контроля политики и практики в области управления человеческими ресурсами можно отнести рассмотрение:
действующих в организации политик и практик их применения на основе соответствующей документации;
файлов персонала на наличие документов, подтверждающих проведение аттестаций, тренингов и пр.
Примером теста контроля процедуры распределения полномочий на уровне организации является рассмотрение любой документации, в частности должностных инструкций, на наличие соответствующих требований.
Поясним, как рекомендуется проводить тестирование средств контроля на уровне организации. Допустим, для проверки того, действительно ли руководство сообщает персоналу о необходимости следовать этическим требованиям и проводит соответствующую политику, аудитору необходимо сформировать выборку сотрудников организации для проведения интервью. У сотрудников следует узнать, имели ли место рассматриваемые сообщения руководства, какие действуют политики и процедуры, какими ценностями руководствуются в повседневной деятельности управляющие. Если общий ответ сотрудников подтверждает наличие рассматриваемых сообщений руководства и проведения в жизнь соответствующих политик и практик, то тест следует считать успешно пройденным. Описания интервью с каждым сотрудником и подтверждающая документация (соответствующие политики организации, данные о сообщении информации интервьюируемым) должны отражаться в отчете и храниться в аудиторском файле.
Хотя в основном искажение средств контроля на уровне организации и в информационных системах обычно тестируется путем выражения профессионального суждения, в некоторых случаях можно применять статистические выборки. Например, такой подход используется для получения доказательств о проведении проверок ежемесячной отчетности и принятии необходимых мер по их результатам.
Процесс документирования результатов тестирования средств контроля на уровне организации может оказаться сложнее, чем для тестирования средств контроля на уровне бизнес-процессов. В силу этого тестирование искажений средств контроля на уровне организации обычно документируется в виде отдельных отчетов в файле с приложением подтверждающих доказательств.
Построение выборок при проверке средства контроля в отношении операций
Тесты контроля представляют доказательства того, что средство контроля функционирует эффективно в течение рассматриваемого периода времени, определенного, к примеру, как отчетный год.
Эффективный набор аудиторских процедур, разработанных в ответ на оцененные риски для определенных предпосылок, может состоять из сочетания тестов контроля и процедур проверки по существу. В данном случае при разработке тестов контроля аудитор может исходить из того, что они способны обеспечить средний уровень уверенности.
Поскольку средства контроля в отношении операций или работают эффективно, или не работают вовсе, не имеет смысла проверять работу средства контроля, которое ранее оценено как ненадежное. Ненадежные средства контроля — это те средства, в отношении которых существует вероятность обнаружения отклонений. Таким образом, если в ходе оценки у аудитора формируется суждение о ненадежности средства контроля (т.е. вероятности выявления более чем одного отклонения в его функционировании), то тестирование его эффективности не будет действенным с точки зрения аудита. На самом деле размер выборок для средств контроля в большинстве случаев невелик, поскольку они основываются на предположении, что в работе средства контроля не будет выявлено никаких отклонений. Иначе необходимо было бы рассмотреть существенно бóльшие по объему выборки, что привело бы к резкому увеличению трудозатрат.
Грамотно разработанные тесты контроля должны обеспечивать низкий или средний уровень риска того, что проверяемое средство контроля работает неэффективно. При разработке тестов контроля аудитору рекомендуется рассмотреть два уровня уверенности, которую предполагается получить:
высокий уровень уверенности (низкий остаточный риск) используется при получении в ходе тестов контроля основных аудиторских доказательств по проверяемому разделу отчетности;
средний уровень уверенности (средний остаточный риск) используется при сочетании тестов контроля с проведением в отношении конкретной предпосылки процедур проверки по существу.
Также при разработке теста аудитору полезно будет использовать три уровня снижения риска — низкий, средний и высокий. Разница между этими уровнями основывается на так называемом факторе уверенности, применяемом для построения выборки. В таблице 6 показаны типичные величины фактора уверенности, применяемые для получения высокого, среднего или низкого уровня снижения аудиторского риска.
Для каждого доверительного интервала существует свое значение фактора уверенности (например, для 90-процентного доверительного интервала нужно использовать коэффициент уверенности, равный 2,3), они показаны в табл. 7.
Определение объема выборки. Объем выборки рассчитывается по следующей формуле:
Объем выборки = Фактор уверенности : Допустимый уровень отклонения. |
(1) |
При тестировании операционной эффективности средств контроля часто используется 90-процентный доверительный интервал (фактор уверенности — 2,3 при среднем требуемом уровне снижения риска). Максимальный допустимый уровень отклонения для такого доверительного интервала составит 10% (100% – 90%). Объем выборки в данном случае составит 23 элемента (2,3 : 0,1).
Если для рассматриваемой предпосылки получены аудиторские доказательства из иных источников, например при проведении процедур проверки по существу, фактор уверенности можно понизить так, что на основе тестирования средств контроля будет получен только средний уровень снижения риска. В этом случае можно использовать 80-процентный доверительный интервал (соответствующий фактор уверенности 1,6), что приведет к размеру выборки в 8 элементов. Некоторые аудиторские фирмы используют более высокие значения фактора уверенности, приводящие к наименьшему объему выборки в 10 элементов для среднего уровня снижения риска и 30 элементов для высокого уровня снижения риска.
Приемы построения выборки.В ходе построения выборки для проведения тестов контроля аудитору рекомендуется действовать следующим образом:
определить цель процедуры и то, какие доказательства она предоставит в отношении предпосылок, для которых действуют контрольные средства;
сформировать надлежащую выборку, чтобы достичь цели теста, — выборка может зависеть от предпосылки, в отношении которой проводится тестирование (например, для проверки существования продаж можно проверить формирование заказов или соответствие выставленным счетам документов на отгрузку, а затем сумм, отраженных в составе дебиторской задолженности);
определить минимально необходимый размер выборки, обеспечивающий требуемое снижение риска, — это может быть высокий или средний уровень снижения риска;
использовать генератор случайных чисел либо иной надлежащий способ отбора для формирования выборки — каждый элемент должен иметь равную вероятность быть отобранным.
При формировании выборок для контрольных процедур, применяемых реже чем ежедневно, аудитору рекомендуется руководствоваться рекомендациями в отношении объема выборки, приведенными в табл. 8. Однако конкретный объем выборки будет определяться аудитором на основе профессионального суждения.
Если для тестирования эффективности внутреннего контроля применяется статистическая выборка, то требуемый размер выборки не увеличивается с ростом совокупности. Случайная выборка размером в 30 элементов, для которой не обнаружено отклонений, дает высокий уровень уверенности в том, что средство контроля функционирует эффективно.
При разработке тестов контроля рекомендуется уделить время тому, чтобы определить, какой факт, выявленный при тестировании, будет представлять собой ошибку или отклонение. Это позволит сократить время в ходе выполнения теста или при проведении оценки результатов и избежать сомнений при определении того, что такое отклонение существует в функционировании средства контроля.
Если ожидается наличие отклонений в функционировании средства контроля, рекомендуется провести альтернативные процедуры для сбора аудиторских доказательств, т.е. аналитические процедуры или детальные тесты.
Обычно при формировании выборки исходя из 95-процентного уровня уверенности (т.е. при наличии 5% отклонений) предполагается, что:
выборка в 10 элементов при отсутствии выявленных искажений предоставит средний уровень снижения риска; если найдено хотя бы одно отклонение, то снижение риска не будет обеспечено;
выборка в 30 элементов при отсутствии выявленных искажений предоставит высокий уровень снижения риска; если найдено одно отклонение, то будет обеспечен средний уровень снижения риска; если найдено более чем одно отклонение, то снижение риска не будет обеспечено;
выборка в 60 элементов при наличии одного отклонения предоставит высокий уровень снижения риска; если найдено два отклонения, то будет обеспечен средний уровень снижения риска; если найдено более двух отклонений, то снижение риска обеспечено не будет.
Оценка отклонений. В ходе оценки отклонений, выявленных при проведении тестов контроля, аудитору рекомендуется:
внимательно изучить природу и характер каждого выявленного отклонения — например, указывает оно на наличие обхода руководством средства контроля либо на наличие недобросовестных действий или же является просто результатом того, что ответственное лицо находилось в отпуске;
рассмотреть выборочный риск — если обнаружены отклонения, необходимо решить, следует ли понизить уверенность в эффективности средства контроля, увеличить объем выборки или провести альтернативные процедуры.
Корректирование объемов выборки при обнаружении отклонений. Как уже отмечалось, тестирование эффективности средств контроля проводится тогда, когда ожидается, что в выборочной совокупности не будут найдены отклонения. Это связано с тем, что для получения надлежащей уверенности в случае обнаружения отклонений придется увеличивать объем выборки. Обычно же для аудитора предпочтительнее перейти к выполнению альтернативных процедур проверки по существу.
Возможным исключением будет ситуация, когда конкретный тип отклонения легко выявить и это учитывается при разработке теста. Например, отклонения в течение определенного периода времени, когда ответственное за выполнение контрольной процедуры лицо находится в отпуске, могут быть рассмотрены в рамках выполнения каких-либо процедур проверки по существу.
Результаты выборочной проверки могут оцениваться путем сравнения максимально допустимого уровня отклонения с так называемым верхним уровнем отклонения, который рассчитывается следующим образом:
Верхний уровень отклонения = Скорректированный фактор уверенности : Объем выборки. |
(2) |
Значения скорректированного фактора уверенности, определяемого исходя из количества найденных отклонений, приведены в табл. 9.
Приведем пример. Для выборки объемом в 30 элементов (т.е. соответствующей требуемому высокому уровню снижения риска при 90-процентном доверительном интервале и 10-процентном максимальном уровне наличия отклонений) обнаружено два отклонения. Верхний уровень отклонения в данном случае будет равен 17% (5,3 : 30).
Полученный результат (17%) намного превышает максимально допустимый уровень отклонения в 10%. Это означает, что необходимо понизить оценку надежности эффективности средств контроля. Если тем не менее принято решение об увеличении объема выборки, то ее объем должен составить 60 элементов при отсутствии новых нарушений. Это понизит верхний уровень отклонения до приемлемого уровня (т.е. близкого к 10%). В этом случае он будет равен 9% (5,3 : 60).
Однако если далее будет выявлено хотя бы одно отклонение, то потребуется новое увеличение объема выборки для достижения желаемого результата, что, скорее всего, не будет эффективно для аудита. Определить новое увеличение выборки можно с помощью формулы, полученной из формулы (2):
Объем выборки = Скорректированный фактор уверенности : Верхний уровень отклонения. |
(3) |
Объем выборки будет равен 75 (6,7 : 0,09).
В заключение еще раз отметим, что в ходе формирования эффективного подхода к аудиту аудитору рекомендуется:
основываться на оценке адекватности и фактической применяемости средств контроля и полученном представлении о надежности средств контроля;
применять комбинированный аудиторский подход в ситуации, когда выявлены надежные средства контроля;
проводить тестирование эффективности в отношении тех средств контроля, которые были признаны аудитором надежными;
в отсутствие надежных средств контроля использовать аудиторский подход, состоящий в проведении проверки по существу.
Список литературы
[1] Утверждено Постановлением Правительства РФ от 23 сентября 2002 г. № 696.
[2] См. ISA 315. Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment. In Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements, 2010. http://web.ifac.org/clarity-center/the-clarified-standards
[3] См. ISA 330. The Auditor’s Responses to Assessed Risks. In Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements, 2010. http://web.ifac.org/clarity-center/the-clarified-standards
[4] См. п. А3 ISA 330. The Auditor’s Responses to Assessed Risks. http://web.ifac.org/clarity-center/the-clarified-standards
[5] См. Guide to Using International Standards on Auditing in the Audits of Small – and Medium-Sized Entities, 2010, Second Edition, V. 2, ch. 12, 17. http://web.ifac.org/publications/small-and-medium-practices-committee/implementation-guides