Риск внутреннего контроля

«Риск внутреннего контроля» - это риск, который заключается в том, что ошибки в остатках счетов или видах операций могут быть существенными в отдельности или в совокупности с другими ошибками до выявления или исправления с помощью систем учета и внутреннего контроля.

Предварительная оценка риска внутреннего контроля является оценкой эффективности систем учета и внутреннего контроля индивидуальных предпринимателей и организаций, направленных на предотвращение, выявление и исправление существенных искажений. Определенный риск внутреннего контроля всегда будет присутствовать из-за неотъемлемых ограничений, свойственных любой системе учета и внутреннего контроля.

Получив представление о системе учета и внутреннего контроля, аудитор должен составить предварительную оценку риска внутреннего контроля на уровне утверждений для каждого существенного сальдо баланса или вида операций.

Аудитор обычно оценивает риск внутреннего контроля как высокий для некоторых или всех утверждений, если: а) системы учета и внутреннего контроля неэффективны; б) оценка эффективности систем учета и внутреннего контроля потребует больше затрат, чем это может принести пользы.

Предварительная оценка риска внутреннего контроля в отношении ут­верждений финансовой отчетности будет высокой, если аудитор: а) не в состоянии определить процедуры внутреннего контроля относи­тельно утверждений руководства, которые направлены на предотвращение, выявление и исправление существенных искажений; б) не планирует провести тесты внутреннего контроля для подтвержде­ния оценки.

Аудитор должен изложить в своих рабочих документах: а) полученное представление о системах учета и внутреннего контроля; б) оценку риска внутреннего контроля. Если риск внутреннего контроля оценивается как менее чем высокий, то аудитор также должен изложить в документах обоснование своих выводов.

Существуют различные способы документирования информации в от­ношении систем учета и внутреннего контроля. Выбор особой методики яв­ляется предметом аудиторского суждения. Обычные способы, используемые по отдельности или в комбинациях, представляют собой описательные отче­ты, анкеты, контрольные перечни и блок-схемы. Форма и объем этой доку­ментации зависят от размера и сложности деятельности индивидуальных предпринимателей и организаций, харак­тера ведения бухгалтерского учета на хозяйствующем субъекте и систем внутреннего контроля. Обычно, чем сложнее системы учета и внутреннего контроля и чем масштабнее аудиторские процедуры, тем больше будет объем документации аудитора.

Тесты внутреннего контроля проводятся с целью получения аудитор­ских доказательств эффективности: а) структуры систем учета и внутреннего контроля, то есть насколько эта структура служит для предотвращения, выявления и исправления сущест­венных искажений; б) функционирования внутреннего контроля в течение какого-либо пе­риода.

Некоторые процедуры, выполняемые с целью понимания систем учета и внутреннего контроля, могут не планироваться специально, как тесты внут­реннего контроля, но могут предоставить аудиторские доказательства эффек­тивности, как структуры, так и функционирования внутреннего контроля по отношению к определенным утверждениям и, следовательно, служить теста­ми внутреннего контроля. Например, в процессе изучения систем бухгалтер­ского учета и внутреннего контроля, связанных с наличностью, аудитор мо­жет получить аудиторские доказательства эффективности контрольной вы­верки счетов в банке с помощью опроса и наблюдения.

Если аудитор приходит к выводу, что процедуры, выполняемые с целью получения представления о системе бухгалтерского учета и внутреннего контроля, также предоставляют аудиторские доказательства соответствия мето­дики процедур по отношению к какому-либо утверждению финансовых отчетов, то аудитор может использовать эти аудиторские доказательства при условии, что они являются достаточными для подтверждения оценки риска внутреннего контроля, установленной как менее чем высокая.

Тесты внутреннего контроля могут включать в себя: проверку документов, подтверждающих операции и другие coбытия для получения аудиторских доказательств правильного функционирования внутреннего контроля, например, проверку санкционирования на проведение операций; проведение опроса и наблюдения в отношении процедур внутреннего контроля, не поддающегося сквозной аудиторской проверке, например, при определении действительного исполнителя каждой функции, а не только предполагаемого исполнителя; повторное выполнение процедур внутреннего контроля, например, приведение в соответствие банковских счетов для подтверждения правильного выполнения хозяйствующим субъектом.

Аудитору необходимо получить аудиторское доказательство с помощь тестов внутреннего контроля для подтверждения любой оценки риска внутреннего контроля, определяемой как менее чем высокая. Чем ниже оценка риска внутреннего контроля, тем больше подтверждений необходимо получить аудитору относительно того, что структура и функционирование систем бухгалтерского учета и внутреннего контроля эффективны.

При получении аудиторских доказательств эффективного функционирования внутреннего контроля аудитор учитывает способ их применения, последовательность, с которой они применялись в течение определенного периода, и кем они применялись. Отклонения от предписанного контроля могут вызываться такими факторами, как изменения в основном персонале, значительные сезонные колебания в масштабе операций и ошибки отдельных лиц. Обнаружив отклонения, аудитор наводит справки относительно данных пунктов, в частности, определения сроков замены сотрудников, выполняющих основные функции внутреннего контроля. После этого аудитору необходимо убедиться в том, чтобы тесты внутреннего контроля соответственно охватывали период изменений и колебаний.

В компьютерной среде цели тестов внутреннего контроля остаются теми же, что и в обычной среде, однако некоторые аудиторские процедуры могут быть изменены. Аудитор может посчитать необходимым или может предпочесть использование аудиторской компьютерной методики. Использовать такую методику, например, программы опроса файла или данные аудиторского теста, можно в том случае, если системы бухгалтерского учета и внутреннего контроля не предоставляют видимого доказательства, документально подтверждающего выполнение процедур внутреннего контроля, который запрограммирован в компьютерной системе бухгалтерского учета.

Основываясь на результатах тестов внутреннего контроля, аудитору необходимо определить, насколько его структура, функционирование соответствуют предварительной оценке риска внутреннего контроля. Оценка отклонений может предоставить в итоге аудиторское заключение о том, что определенный уровень риска внутреннего контроля следует пересмотреть. В таких случаях аудитору следует видоизменить характер, сроки, масштаб запла­нированных процедур проверки на существенность.

Определенные виды аудиторских доказательств являются более надеж­ными по сравнению с другими. Обычно аудиторское наблюдение предостав­ляет более достоверное аудиторское доказательство, чем только наведение справок, например, аудитор может получить аудиторское доказательство правильного распределения обязанностей, наблюдая за лицами, применяю­щими процедуру контроля, или наводя справки о соответствующих сотруд­никах. Однако аудиторское доказательство, полученное с помощью тестов внутреннего контроля, таких, как наблюдение, имеет отношение только к моменту применения процедуры. Аудитор может посчитать необходимым дополнить эти процедуры другими тестами внутреннего контроля, которые могут предоставить аудиторское доказательство относительно других периодов времени.

При определении соответствующего аудиторского доказательства в це­лях подтверждения заключения о риске внутреннего контроля аудитор может учитывать аудиторское доказательство, полученное в ходе предыдущих про­верок. В таком случае аудитор имеет сведения о системах бухгалтерского учета и внутреннего контроля, полученные ранее, но ему нужно будет обно­вить полученные знания и рассмотреть вопрос о необходимости получения дополнительных аудиторских доказательств любых изменений в контроле. Прежде чем полагаться на процедуры, выполненные в ходе предыдущих проверок, аудитору необходимо получить аудиторские доказательства в пользу этого доверия. Аудитору необходимо получить аудиторские доказа­тельства, имеющие отношения к любым изменениям в системах бухгалтер­ского учета и внутреннего контроля индивидуальных предпринимателей и организаций, имевшим место со времени предыдущих аудитов и оценить степень доверия к ним. Чем дольше срок, истекший с момента выполнения таких процедур, тем меньше будет степень уверенности в них. Аудитору необходимо учитывать, использовались ли процедуры внут­реннего контроля в течение всего периода. Если достаточно разные процеду­ры контроля использовались в течение различных периодов времени, то ау­дитору необходимо рассматривать каждый из них в отдельности. Выход из строя внутреннего контроля на определенный период времени требует отдельного учета характера, сроков и масштабов процедур в отношении операций и других событий данного периода. Перед составлением выводов по аудиту, основанных на результатах процедур проверки на существенность и других полученных доказательствах, следует учесть, была ли подтверждена оценка риска внутреннего контроля.

Руководство зачастую реагирует на ситуации, вызывающие неотъемлемый риск, созданием структуры систем бухгалтерского учета и внутреннего контроля, способствующих предотвращению, обнаружению и исправлению искажений, и поэтому в большинстве случаев неотъемлемый риск и риск внутреннего контроля тесно взаимосвязаны. В таких ситуациях при попытке аудитора оценить неотъемлемый риск и риск внутреннего контроля отдельно друг от друга оценка риска может быть неправильной. В таких случаях аудиторский риск можно определить более точно с помощью комбинированной оценки.