№2(2012)

Сьогодні аудит фінансової звітності виконує важливу функцію відносно достовірності та реалістичності інформації для користувачів, на основі якої вони зможуть прийняти правильне управлінське рішення. Завдяки аудиту фінансової звітності забезпечується суттєве зменшення ризиків, пов’язаних із прийняттям рішень, збільшується довіра до підприємства з боку партнерів, відображається позитивний імідж компанії. Для покращення якості аудиту фінансової звітності перш за все необхідно постійно підвищувати кваліфікацію аудитора, створювати ефективні системи внутрішнього контролю на підприємствах, а також здійснювати нагляд за роботою на всіх рівнях.

При проведенні перевірки аудитор несе відповідальність за свою думку про фінансову звітність клієнта. Висновок про звітність складається на основі професійного судження
аудитора щодо отриманих у ході перевірки доказів. Тому при збиранні доказів аудитор повинен бути ретельним, тобто спланувати свою роботу так, щоб усі суттєві аспекти, які можуть вплинути на рішення користувачів фінансової звітності, були перевірені, а при оцінці доказів – об’єктивним. Ризик того, що аудитор складе невірну думку про фінансову звітність у тих випадках, коли вона містить суттєві викривлення, які можуть вплинути на рішення користувачів фінансової звітності, називається аудиторським ризиком. Ризик проведення аудиторської перевірки – це ризик аудитора, пов’язаний із підготовкою
неправильного висновку за фінансовими звітами.
Згідно з МСА 3151 «Ідентифікація та оцінка ризиків суттєвих викривлень через розуміння суб’єкта господарювання і його середовища», внутрішній конт­роль є процесом, який формують і у який залучають осіб, наділених керівними повноваженнями, та інший персонал, щоб забезпечити впевненість щодо надійності бухгалтерської
(фінансової) звітності та результативності операцій і відповідності їх чинним законам і нормам. Мета внутрішнього контролю – виявлення та запобі­гання бізнес-ризикам, які загро­жують досягненню цілей економіч­ного суб’єкта.

Таким чином, формування внутрішнього контролю спрямоване на створення можливості для керівників економічного суб’єкта знижувати з його допомогою бізнес-ризики та готувати надійну бухгалтерську (фінансову) звітність, що відповідає чинним законам та іншим нормативним актам. У процесі аудиту економічного суб’єкта аудиторові необхідно постійно аналізувати існуючу систему внутрішнього контролю. Водночас МСА 315 вимагає пов’язувати аналіз системи внутрішнього контролю з оцінкою аудиторського ризику й аудиторські процедури по оцінених ризиках, яка містить наступні елементи2:
інформаційні системи, пов’яза­ні з цілями бухгалтерської
(фінансової) звітності3;
контрольне середовище4;
контрольні дії5;
процес оцінки ризику аудитором6;
моніторинг засобів контролю7.

Згідно з МСА 315, аналіз внутрішнього контролю необхідно здійснювати в розрізі п’яти вказаних компонентів. Водночас оцінка системи внутрішнього контролю повинна поєднувати оцінку якості процедур конт­ролю і ефективності їх застосування. При цьому аудитор має оцінювати систему внутрішнього контролю на основі свого професійного судження з точки зору ризику істотного спотворення бухгалтерської (фінансової) звітності.
Аудитор повинен зважати на усю специфіку внутрішнього контролю, здійснюваного за допомогою систем, заснованих на використанні обчислювальної техніки і відповідних технологій. У процесі аналізу системи внутрішнього контролю аудитор має отримати достатнє розуміння усіх контрольних дій, щоб адекватно оцінити ризики істотних спотворень на рівні керівництва економічного суб’єкта, підготовки бухгалтерської (фінансової) звітності та розробити аудиторські процедури, що враховують оцінені
ризики.
У ході розгляду засобів внутрішнього контролю, що запобігають ризикам суттєвого викривлення, аудиторам рекомендується використовувати процедуру, яка включає наступні етапи:
виявлення ризиків суттєвого викривлення (РСВ);
аналіз характеру діючих щодо РСВ засобів контролю;
розгляд застосування засобу контролю;
документування застосування відповідних засобів контролю.
Розглянемо ці етапи більш де­таль­­но.

Етап 1. Виявлення ризиків суттєвого викривлення

Завдання аудитора на даному етапі полягає в тому, аби встановити, чи діють в організації засоби контролю щодо РСВ. Тут аудитору слід розглядати як РСВ по звітності в цілому, так і специфічні ризики стосовно певних передумов підготовки звітності або її розділів. При цьому передбачається, що аудитор виявляє і розглядає винятково ризики, які мають відношення до аудиту. Що стосується цих ризиків у системі внутрішнього контролю (СВК) організації, повинні існувати засоби контролю, спрямовані на їх зниження (табл. 1).

Після того як аудитор підготував перелік РСВ в розрізі основних бізнес-процесів організації, необхідно:
перевірити, чи розглянуто всі передумови підготовки фінансової звітності;
з’ясувати, чи існують додаткові ризики (на рівні операцій або організації в цілому), які можуть призвести до істотного викривлення фінансової звітності, якщо їх не усунути.
Етап 2. Аналіз характеру діючих щодо РСВ засобів контролю

Оцінка адекватності розробки керівництвом контрольних засобів, які діють щодо РСВ, включає аналіз того, чи зможе цей засіб контролю (розглянутий окремо або в сукупності з іншими методами) скоротити відповідний ризик суттєвого викривлення. При цьому необхідно враховувати, що засоби контролю поділяються на дві категорії:
• превентивні, тобто такі, що запобігають появі суттєвих спотворень;
• ті, що виявляють та корегують значні викривлення, якщо вони мають місце.
Засоби контролю зазвичай
виявляються в ході обговорень (інтерв’ю) з персоналом, який відповідальний за управління ризиками конкретного бізнес-процесу. Для малих організацій це може бути інтерв’ю
з власником-керівником або
зі старшим керівником. Типо­вий підхід до виявлення
засобів контролю показаний
в табл. 2.

Оцінку адекватності засобів контролю рекомендується починати із засобів контролю щодо спотворення звітності в цілому. Ці види засобів контролю формують основу для функціонування специфічних засобів контролю, які діють відносно операцій і передумов підготовки
звітності.
Існує два загальновизнаних підходи до розгляду аудитором засобів контролю — це підходи, орієнтовані на розгляд засобів контролю щодо:
1) РСВ, які призводять до спотворення звітності в цілому;
2) специфічних операційних РСВ на рівні передумов підготовки фінансової звітності.
Перший підхід полягає в тому, що:
• кожен ризик розглядається окремо;
• аудитор ідентифікує всі засоби контролю, які належать до кожного окремого ризику.
У рамках другого підходу розробляється так звана матриця ризиків, яка дозволяє аудитору виявити:
• взаємозалежності, що існують між ризиками і засобами контролю;
• області, для яких внутрішній контроль сильний;
• сфери, для яких внутрішній контроль слабкий;
• ключові засоби контролю щодо багатьох ризиків (передумов), що повинні тестуватися на ефективність функціонування.
Підхід орієнтований на розгляд засобів контролю щодо РСВ, які призводять до спотворення звітності в цілому. У рамках даного підходу опис засобів контролю, як правило, може будуватися так, як показано в табл. 3.

Примітка: С, Е, А – передумови керівництва щодо підготовки фінансової звітності, де С – передумова щодо повноти, Е – передумова щодо існування,
А – передумова щодо точності.

Розглянемо, як працює цей метод. Аудитор розглядає функціонування контрольного середовища організації як основи зниження ризиків викривлення фінансової звітності в цілому. Мета конт­рольного середовища полягає в необхідності для керівництва та представників власника створити й підтримувати культуру чесної та етичної поведінки. Деякі засоби контролю, які зазвичай використовуються керівництвом щодо даного ризику, можуть включати:
• послідовну демонстрацію керівництвом прихильності до високих етичних стандартів;
• зниження керівництвом такого роду стимулів, які могли б спонукати працівників до нечесних або неетичних дій;
• наявність кодексу поведінки, який встановлює етичні та моральні стандарти;
• присутність чіткого розуміння персоналом того, яка поведінка вважається прийнятною (неприйнятною) і що вони повинні зробити,
якщо стикаються з неетичною по­ве­дін­­кою;
• виробничі дисциплінарні заходи у випадку неприйнятної поведінки.

Аудитор спочатку повинен сформулювати мету контролю і потім визначити, чи існують будь-які засоби контролю, що знижують ризики. У результаті процедур перевірки може готуватися
робоча документація (табл. 4).

Після того як засіб контролю виявлено, аудитор на основі професійного судження робить
висновок, чи є їх характер достатнім для зниження відповідних РСВ, тобто наскільки вони адекватні. Формулюючи висновок про контрольне середовище, ауди­тор повинен оцінити наступне:
чи організована керівництвом під наглядом представників власника культура чесності
й етичної поведінки;
чи створює сукупність елементів контрольного середовища належний фундамент для інших компонентів внутрішнього контролю і чи не підриваються ці та інші компоненти слабкістю елемен­тів контрольного
середовища.
Такий висновок може суттєво вплинути на оцінку аудитором ризику для фінансової звітності в цілому.
Розглянемо підхід, орієнтований на розгляд засобів контролю щодо специфічних РСВ на рівні передумов підготовки фінансової звітності. Даний засіб, як правило, застосовується на рівні бізнес-процесу і може бути наочно проілюстрований наступною матрицею.

Виявлення слабкості внутрішнього контролю на підставі наведеної матриці відбувається наступним чином:
за кожним стовпцем ризику необхідно визначити, які конт­рольні процедури діють для його зниження. Якщо існують достатні засоби контролю, то слабкості контролю немає;
якщо для оцінки ризику недостатньо процедур або вони взагалі відсутні, може мати місце істотна слабкість СВК (це, наприклад, ризик С, щодо якого засоби контролю не виявлені та для якого має місце суттєва слабкість внутрішнього контролю). У такій ситуації від аудитора вимагається:
– запитати про наявність будь-яких інших процедур СВК, в тому числі компенсуючих; якщо таких немає, може мати місце істотна слабкість СВК, про яку слід повідомити керівництво і представників власника якомога раніше, щоб можна було вжити корегувальні заходи;
– розглянути, чи потрібні по­даль­ші аудиторські про­це­дури, спричинені виявленим ризиком.
Компенсуючі процедури конт­ролю — це такі процедури, які можуть бути пов’язані з даним ризиком опосередковано. Так, ризик відправлення готової продукції замовнику без оформлення документів може бути виявлений менеджером із продажу в ході щоквартальної перевірки обсягів продажів. Однак очевидно, що така контрольна процедура
сама по собі не є достатньою для зниження даного ризику.
Ключові засоби внутрішнього контролю — це засоби, що діють одночасно стосовно кількох РСВ. Для їх виявлення слід розглянути матрицю засобів контролю і виявити ті процедури, які працюють стосовно кількох факторів ризику. Наприклад, процедура 3 належить до трьох ризиків і трьох передумов, що є ознакою ключового засобу контролю, який за умови його надійності може тестуватися на операційну ефективність, особливо коли таке тестування здатне спричинити зниження обсягу детальних тестів.
Якщо в аудитора виникають будь-які сумніви в тому, що виявлені засоби контролю дійсно застосовуються, йому слід переходити до оцінки і документування функціонування засобів контролю лише після того, як він переконається, що ці засоби дійсно використовуються на практиці.
Останній момент в оцінці засобів контролю — це формулювання аудитором висновку про те, чи знижують виявлені засоби контролю конкретні РСВ. Така оцінка потребує застосування професійного судження. Для кожної передумови або РСВ аудитору слід розглянути, чи є реакція на нього керівництва достатньою для зниження ризику до прийнятного рівня.
Коли аудитор використовує матрицю засобів контролю, то нижній ряд матриці може застосовуватися для документування висновку про належний характер засобів контролю для зниження кожного з факторів ризику. Якщо аудитор вважає, що характер засобів контролю не є адекватним, немає необхідності йти далі й оцінювати операційну ефективність. Цілком імовірно, що вже має місце істотна слабкість СВК.

Етап 3. Розгляд застосування засобу контролю

Для визначення того, чи використовуються на практиці виявлені засоби контролю, аудитору недостатньо провести тільки опитування персоналу. Пояснюється це тим, що люди, як правило, можуть сподіватися на те, що передбачений СВК засіб контролю дійсно застосовується, але на практиці це не так. Документально описаний засіб контролю, який не використовується на практиці або не працює належним чином, не має цінності для аудиту.
Оцінка фактичного застосування засобів контролю може проводитися за допомогою:
опитування персоналу;
спостереження або повторного виконання процедури;
інспектування документів і звітів;
простежування усередині інформаційної системи підготовки звітності відображення однієї або більше операцій (але це не є тестом операційної ефективності засобу контролю).
Існує декілька причин для проведення спостережень за функціо­нуванням СВК. До них належать:
зміна бізнес-процесів, які з часом трансформуються через перехід до виробництва нових продуктів (надання нових видів послуг), штатні зміни або переходу на інші IT-програми;
неправильний опис — персонал організації може пояснювати аудитору, як система повинна функціонувати, а не те, як вона працює насправді;
брак інформації — деякі аспекти системи випадково можуть бути недостатньо вивчені при створенні СВК.
Перевірка застосовності засобів контролю показує, що даний метод було використано в певний момент часу, але не розглядає операційну ефективність цього засобу. Підтвердження операційної ефективності (якщо це передбачено стратегією аудиту та аудиторським підходом) будуть отримані в ході проведення тестів контролю, які містять докази дії засобу протягом певного періоду, наприклад, року. Тільки після встановлення того, що засоби контролю, які мають відношення до аудиту, правильно розроблені та застосовуються на практиці, розглядається:
які тести операційної ефективності засобів контролю дозволять скоротити обсяг тестування по суті;
які засоби контролю потрібно тестувати, оскільки немає іншого способу отримати достатні належні аудиторські докази.
Оцінка адекватності та застосовності засобів контролю принципово відрізняється від проведення тестування операційної ефективності зазначених засобів. Так, щодо:
адекватності аудитор повинен визначити, чи розроблені в організації засоби контролю, спрямовані на зниження РСВ;
застосовності аудитор має з’ясувати, чи діють на практиці розроблені засоби конт­ролю, причому процедури щодо застосування цих засобів із метою виявлення змін у СВК повинні проводитися для кожного періоду аудиту;
тестування операційної ефективності аудитор дає відповідь на питання, чи діють засоби контролю ефективно протягом певного періоду. При цьому
аудитор не повинен проводити тестування ефективності засобів контролю, крім тих випадків, коли немає іншого способу отримати достатні належні
ау­­­ди­­­торські докази, тобто для високоавтоматизованих або без­доку­­­ментарних систем обліку.
Таким чином, ухвалення рішення про перевірку операційної ефективності засобів контролю є питанням професійного судження аудитора.
Для повторних аудитів рекомендується почати розгляд засобів контролю з їх застосовності, аби зрозуміти, що змінилося в СВК організації. При цьому як відправну точку слід використовувати отриману по аудитах за минулі періоди документацію про характер засобів контролю. Якщо стратегія аудиту передбачає, що аудитор покладається на операційну ефективність засобів конт­ролю і мали місце зміни в СВК, то аудитору рекомендується простежити хід операцій, які відбулися до і після внесених змін.

У процесі оновлення робочих документів по СВК аудитору слід ретельно розглянути нововведення в превентивних засобах контролю на рівні організації. Ці зміни можуть істотно вплинути на ефективність операційних засобів контролю та на реагування аудитора на оцінені ризики.
Так, рішення керівництва про наймання висококваліфікованого фахівця для підготовки фінансової звітності може знизити ризики помилок у фінансовій інформації та підвищити ефективність засобів контролю щодо операцій, які раніше не були враховані. І навпаки, нездатність керівництва замінити некомпетентного менеджера по IT або направити істотні ресурси на скорочення ризиків, пов’язаних з IT-системами, може спровокувати зниження ефективності інших контрольних процедур.
У будь-якому випадку ці моменти приведуть до значних змін характеру реагування аудитора на оцінені ризики.

Етап 4. Документування застосування відповідних засобів контролю

Документація щодо використання засобів контролю допоможе аудитору:
• зрозуміти природу функціонування і контекст (хто використовує засіб контролю, де, як часто і яка є документація про це), в якому застосовуються виявлені засоби контролю;
• визначити рівень їх надійності та ефективності.
Якщо відповідь на останнє питання буде позитивною, то засоби контролю можна тестувати в ході відповідних процедур на оцінені ризики. Документація про тестування також допоможе аудитору розробити конкретний тест, тобто визначити вибіркову сукупність, обсяг вибірки, які додаткові засоби контролю будуть тестуватися, хто виконує конт­рольну процедуру.
Обсяг документування визначається професійним судженням аудитора. Найбільш поширеними формами документації, що готуєть­ся керівництвом для аудитора, є:
описові матеріали або меморандуми по СВК;
блок-схеми;
поєднання описових матеріалів і блок-схем;
запитальники та перевірочні листи.
Обсяг і характер необхідної документації — предмет судження аудитора. При визначенні цього об’єму слід враховувати:
природу, величину і складність організації та її СВК;
доступність інформації від організації;
методологію аудиту та використовувані під час аудиту технології.

Обсяг документування може відображати також досвід і можливості аудиторської групи. Аудит, проведений менш досвідченою групою, потребує підготовки більш детальної документації, ніж у випадку, коли група складається з
професіоналів.

Як уже зазначалося, при плануванні поточного аудиту фахівець може використовувати документацію, підготовлену в ході попередніх аудитів. Оновлення такої документації
вимагатиме:
зробити копії робочих документів з СВК за минулі періоди для їх подальшого оновлення;
у випадку, коли нічого не змінилося, спочатку розглядається застосування засобів контролю;
якщо засіб контролю дійсно застосовувався і ризик не змінювався, то характер засобу контролю можна вважати належним;
оновити перелік факторів ризику, які повинні знижуватися за допомогою СВК;
виявити зміни в СВК на рівні організації та операцій в ході процедур перевірки застосування засобів контролю;
визначити, чи є виявлені нові засоби контролю належними та чи застосовуються вони;
оновити опис відповідності засобів контролю РСВ;
оновити висновок про ризик контролю.

Таким чином, у разі належного підходу до побудови процесу оцінки ризиків аудитор може використовувати цей процес для визначення ризиків істотних спотворень. Якщо ні, то аудиторові необхідно зробити керівництву економічного суб’єкта зауваження або рекомендації з поліпшення процесу оцінки ризиків. Якщо керівництво ніяк не реагує на побажання аудитора або реагує неналежно, він повинен проінформувати про це власників економічного суб’єкта.