МСА сегодня и завтра. Система внутреннего контроля (Н.А. Ремизов, Е.Л. Сквирская, "Финансовые и бухгалтерские консультации", N 7, июль 2005 г.)

МСА сегодня и завтра. Система внутреннего контроля*(1)

Новые Международные стандарты аудита (МСА)*(2) изменили многие привычные российским аудиторам определения, классификации и требования в части системы внутреннего контроля (СВК) аудируемых лиц и ее составляющих.

Изменение подходов к анализу СВК обусловлено повышенными требованиями к надежности финансовой отчетности, сформировавшимися в начале 2000-х гг. в связи с крупными корпоративными скандалами - вокруг корпорации "Энрон" в США и компании "Пармалат" в ЕС. Общая концепция мероприятий по повышению надежности финансовой отчетности сводится к ужесточению мер, обеспечивающих подготовку достоверной отчетности, в том числе с учетом процедур внутреннего контроля эмитентов.

Заметно стремление обязать аудиторов давать в своих отчетах и заключениях оценку состояния системы внутреннего контроля клиента и ее описание, включая характеристику степени тестирования (проверки) структуры внутреннего контроля и соответствующих процедур эмитента, а также описание, по крайней мере, существенных нарушений и искажений, выявившихся в рамках такого тестирования.

Реализация подобных мер в рамках МСА выразилась в разработке стандартов, которые должны обеспечивать учет качества внутреннего контроля аудируемых лиц, способности СВК предотвратить существенные искажения финансовой отчетности. Новые стандарты ISA 315 "Понимание деятельности экономического субъекта и его среды и оценка рисков существенного искажения"*(3) и ISA 330 "Аудиторские процедуры, выполненные в ответ на оцененные риски"*(4) увязывают оценку аудиторских рисков и аудиторские процедуры по оцененным рискам с анализом надежности СВК аудируемых лиц с точки зрения возможного искажения финансовой отчетности. Международная федерация бухгалтеров ввела эти МСА в действие для аудиторских проверок за отчетные периоды, начинающиеся после 15 декабря 2004 г., что для России фактически означает - для аудита отчетности за 2005 финансовый год. Принятие данных стандартов привело к внесению дополнений и поправок практически во все МСА.

Прежде всего, следует обратить внимание, что обязанности аудитора в части изучения и анализа СВК клиента претерпели в новых МСА определенные изменения. Рассмотрим, как выглядит соответствующая формулировка в старом МСА 400*(5), в подготовленном на его основе российском ПСАД*(6), посвященном аудиторским рискам и СВК, и в новом ISA 315 (см. табл.).

Можно убедиться, что если в "старых" стандартах СВК определяется как совокупность мероприятий, в которых в первую очередь заинтересовано само аудируемое лицо (экономический субъект), то в новой редакции акцент сделан на надежности составляемой клиентом финансовой отчетности и соответствии ее применяемым законам и нормам, а также на возможности руководителей предприятия снижать с помощью СВК бизнес-риски.

Еще одна особенность заключается в том, что в "старых" стандартах от аудитора требовалось изучать СВК клиента прежде всего потому, что такое изучение было составной частью процесса планирования аудита. Предполагалось, что полученное знание позволит аудитору эффективнее планировать аудит, определять, при проверке каких разделов потребуется проводить большой объем аудиторских процедур по существу, а в каких аудитор сможет ограничиться тестированием надежности средств контроля и свести к некоторому минимуму тестирование по существу. При этом от аудитора требовалось сообщать клиенту о недостатках СВК только в случаях, если эти недостатки послужили причиной существенных искажений.

Таблица

Сопоставление определений системы внутреннего контроля

МСА 400 (п. 8)	ПСАД N 8 (п. 8)	ISA 315 (п. 42)
"Система внутреннего контроля" включает всю политику и процеду- ры (средства внутреннего контро- ля), принятые руководством субъ- екта для содействия в реализации целей руководства, предусматри- вающих, насколько это практичес- ки выполнимо, упорядоченное и эффективное ведение бизнеса, включая строгое следование поли- тике руководства, обеспечение сохранности активов, предотвра- щение и обнаружение фактов мо- шенничества и ошибок, аккурат- ность и полноту бухгалтерских записей, а также своевременную подготовку достоверной финансо- вой информации	Термин "система внутреннего кон- троля" означает совокупность организационных мер, методик и процедур, используемых руковод- ством аудируемого лица в качест- ве средств для упорядоченного и эффективного ведения финансо- во-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и пре- дотвращения ошибок и искажения информации, а также своевремен- ной подготовки достоверной фи- нансовой (бухгалтерской) отчет- ности	Внутренний контроль - процесс, который формируют и задействуют лица, наделенные руководящими полномочиями, руководство и дру- гой персонал, чтобы обеспечить разумную уверенность с точки зрения обеспечения надежности финансовой отчетности, эффек- тивности и результативности опе- раций и соответствия их применя- емым законам и нормам. Таким об- разом, внутренний контроль фор- мируется и применяется для пре- дотвращения выявленных бизнес- рисков, которые угрожают дости- жению любой из этих целей

Новые МСА требуют проводить анализ СВК постоянно. Более того, начиная с аудита отчетности за 2006 г. вступает в силу стандарт, регулирующий подготовку аудиторских заключений*(7), в соответствии с п. 28 "a" которого в аудиторском заключении предусматривается изменить действующую в настоящее время формулировку об ответственности руководства аудируемого лица. Вносится дополнение, которым определяется ответственность руководства аудируемого лица за разработку, внедрение и поддержание системы внутреннего контроля, которая бы обеспечивала подготовку и правдивое представление финансовой отчетности, свободной от существенных искажений, возникающих за счет мошенничества или ошибок. В соответствии с п. 37 "b" раздел заключения, посвященный характеристике аудита, дополняется разделом, в котором указывается, что аудит содержит процедуры, отобранные на основании профессионального суждения аудитора, включая оценку риска существенного искажения финансовой отчетности в результате ошибок или мошенничества.

Составные части системы внутреннего контроля

С введением стандарта ISA 315 претерпела изменения и классификация составных частей системы внутреннего контроля.

МСА 400 (п. 8)	ISA 315 (п. 43)
Система внутреннего контроля	Информационные системы, связанные с целями финансовой отчетности
Контрольная среда	Контрольная среда
Процедуры контроля	Контрольные действия
	Процесс оценки риска аудируемым лицом
	Мониторинг средств контроля

Новые МСА рассматривают пять составляющих СВК; изменились и названия существовавших ранее составных частей. Такое изменение классификации связано с тем, что на развитие МСА оказывает существенное влияние система аудита, принятая в США, и именно американскими аудиторскими стандартами была предусмотрена такая классификация составных частей СВК.

Изучение документов показывает, что основные новшества в анализе СВК, предусмотренные требованиями ISA 315, можно свести к тому, что аудитор должен:

проводить анализ внутреннего контроля в разрезе пяти составляющих, предусмотренных п. 43 ISA 315;

вести оценку СВК на основе профессионального суждения с точки зрения риска существенного искажения финансовой отчетности. Оценка СВК должна сочетать оценку качества процедур контроля и эффективности их применения;

учитывать специфику внутреннего контроля, осуществляемого с помощью систем, основанных на применении вычислительной техники;

получить достаточное понимание контрольных действий, чтобы оценить риски существенных искажений на уровне предпосылок подготовки финансовой отчетности и разработать дальнейшие процедуры аудита с учетом оцененных рисков.

Рассмотрим подробнее составные части СВК в порядке их упоминания в ISA 315 и то новое, что в них вносит последняя редакция стандарта.

Контрольная среда

Контрольная среда в соответствии с п. 2 Приложения 2 к ISA 315 включает позицию, осведомленность и действия руководства и лиц, наделенных руководящими полномочиями, относительно внутреннего контроля экономического субъекта и его значения для этого субъекта. Контрольная среда также включает руководящие и управленческие функции и формирует внутреннюю культуру организации, влияя на сознательность ее сотрудников в отношении контроля (в оригинале - control consciousness). Далее в определении говорится, что контрольная среда является основой для эффективного внутреннего контроля, она обеспечивает дисциплину и структурированность.

Сопоставим факторы контрольной среды, прописанные в "старых" и новых МСА.

МСА 400 (п. 8 "а")	ISA 315 (п. 69)
	Сообщение требований в отношении честности и этических ценностей, а также меры по обеспечению этих требований
	Внимание, уделяемое компетентности
Функции совета директоров и его комитетов	Участие лиц, наделенных руководящими полномочиями
Философия руководства и стиль его работы	Философия руководства и стиль его работы
Организационная структура субъекта, а также методы наделения полномочиями и от- ветственностью	Организационная структура Делегирование полномочий и ответственности
Система контроля со стороны руководства, включая функцию внутреннего аудита, кад- ровую политику и процедуры, а также разделение обязанностей	Политика и практика в области людских ресурсов Делегирование полномочий и ответственности

В составе контрольной среды появились отсутствовавшие ранее положения о том, чтобы руководители предприятия в явном виде сообщали своим подчиненным требования в отношении честности и уважения этических ценностей. Выполнению этой задачи обычно служит кодекс корпоративного поведения, который должен существовать на предприятии не просто в качестве несбыточного идеала или оторванного от жизни набора инструкций, а как руководство к действию.

Важным является и положение о том, что следует уделять внимание компетентности. В МСА компетентность определяется как знания и навыки, необходимые для достижения задач, предусмотренных служебными обязанностями данного индивидуума. Смысл данного положения заключается в том, что руководство обязано анализировать, какие качества требуются для выполнения тех или иных работ, и должно поручать конкретные виды работ тем лицам, которые наиболее подходят для этого.

Формулировка о функциях совета директоров предприятия в новых МСА была преобразована в требование об участии лиц, наделенных руководящими полномочиями. Напомним, что в отличие от "руководителей" под "лицами, наделенными руководящими полномочиями" (those charged with governance) в МСА понимаются лица или коллегиальные органы (совет директоров, комитет по аудиту), которые осуществляют общий надзор и стратегическое руководство деятельностью аудируемого лица, а также в соответствии с учредительными документами могут контролировать текущую деятельность его руководства, в том числе назначать и освобождать от должности представителей высшего руководства. Имеется в виду, что акционеры должны быть заинтересованы в честности, порядочности и компетентности высшего руководства своего предприятия, и аудитор может взаимодействовать с ними для достижения данной цели.

Остальные факторы контрольной среды (философия руководства, организационная структура, полномочия и ответственность, практика и политика в отношении человеческих ресурсов) остались прежними или претерпели исключительно редакционные изменения.

ISA 315 предписывает аудитору получить понимание контрольной среды, уделяя особое внимание вопросам, связанным с угрозой мошенничества. По ходу оценки характера и применения элементов контрольной среды аудитор должен понять, каким образом руководство аудируемого лица создает атмосферу честного, этичного поведения и устанавливает соответствующие средства контроля для предотвращения и защиты от ошибок и мошенничества. Необходимо помнить, что обязанность по выявлению и предотвращению ошибок и мошенничества в первую очередь лежит не на аудиторе, а на руководстве аудируемого лица.

При понимании элементов контрольной среды аудитор также должен учитывать то, как эти элементы применялись. Обычно аудитор получает соответствующие аудиторские доказательства, опрашивая персонал и проводя наблюдение и инспектирование документов. С помощью ответов на запросы руководству и сотрудникам соответствующих подразделений аудитор может понять, как руководство общается с работниками, каковы его взгляды на бизнес и этику. В дальнейшем аудитор определяет, используются ли средства контроля на практике, например, установило ли руководство формальный кодекс поведения и ведет ли оно себя сообразно этому кодексу или допускает нарушения и отступления от него.

Процесс оценки риска аудируемым лицом

Процесс оценки риска аудируемым лицом понимается как процесс выявления бизнес-рисков, их возможных последствий, а также как реагирование на них (п. 5 Приложения 2 к ISA 315). Для целей финансовой отчетности процесс оценки риска включает:

выявление рисков, связанных с подготовкой правдивой и достоверной финансовой отчетности в соответствии с применимыми принципами ее подготовки (т.е. в соответствии с установленными в стране стандартами, подходами, в нашем случае - Положениями по бухгалтерскому учету), и реакцию руководства на эти риски;

предположения о важности рисков;

оценку вероятности возникновения соответствующих неблагоприятных последствий;

принятие решения о мерах, которые следует принять для управления рисками.

Обращаем внимание, что в новых МСА появилось требование к руководителям аудируемого лица самостоятельно оценивать связанные с работой своего предприятия риски. Последующее применение новых стандартов в России непременно потребует внесения дополнений в нормативную базу (например, в обновленный закон о бухгалтерском учете), где руководителям было бы вменено в обязанность не только вести учет, готовить отчетность, добросовестно рассчитывать налоги и т.п., но еще и оценивать риски, связанные со своей предпринимательской деятельностью. В условиях не всегда стабильной российской экономики и присущих многим отечественным деловым людям безалаберности и авантюризма это приобретает большое значение.

Пункт 76 ISA 315 требует, чтобы аудитор получил понимание того, каким образом предприятие выявляет и устраняет бизнес-риски, связанные с целями финансовой отчетности, и к каким это приводит результатам. Если процесс оценки рисков построен адекватно, он помогает аудитору определить риски существенных искажений; если нет - аудитор должен делать руководителям предприятия замечания или рекомендации по улучшению. Когда руководитель не реагирует должным образом на пожелания, аудитор может информировать представителя собственника.

Информационные системы

В прежнем стандарте содержалась фраза, что СВК выходит за рамки тех вопросов, которые непосредственно относятся к функциям бухгалтерского учета, и включает контрольную среду и процедуры контроля (МСА 400, п. 8). Тем самым в стандарте косвенно указывалось, что система бухгалтерского учета является важной неотъемлемой частью СВК. В новых стандартах об этом сказано уже напрямую. Обратим внимание, что теперь в МСА говорится не просто о бухгалтерском учете, а об информационных системах, связанных с целями финансовой отчетности. В соответствии с п. 8, 9 Приложения 2 к ISA 315 эти системы состоят из процедур и записей, установленных для инициирования, занесения, обработки и обобщения операций предприятия.

Пункт 81 ISA 315 предусматривает, что аудитор должен получить понимание информационной системы, включая соответствующие бизнес-процессы, имеющие отношение к подготовке финансовой отчетности, в том числе в следующих областях:

классы операций, существенных для финансовой отчетности (в российских ПСАД они называются группами однотипных операций);

процедуры внутри как компьютерных, так и ручных систем учета, с помощью которых эти операции инициируются, записываются, обрабатываются и обобщаются в финансовой отчетности;

учетные записи, связанные с указанными операциями (как электронные, так и бумажные, подтверждающие информацию), и конкретные счета учета в отчетности, касающиеся инициирования, записи, обработки и обобщения операций;

информация о том, каким образом информационная система улавливает события и условия, помимо классов операций, существенных для финансовой отчетности (в оригинале используется слово capture - схватить, поймать; хорошая система должна предусматривать отражение в учете не только очевидных операций - получение или уплата денежных средств, получение или отгрузка материальных ценностей, но и менее очевидных - разного рода уценки, переоценки, действия с аффилированными лицами, условные факты хозяйственной деятельности, события после отчетной даты и т.п.);

- процесс подготовки финансовой отчетности, включая действия по подготовке оценочных значений и по раскрытию необходимой информации.

Аудитор должен понимать, каким образом предприятие доносит информацию о ролях и обязанностях конкретных сотрудников, а также о существенных вопросах, имеющих отношение к финансовой отчетности (п. 89 ISA 315). Такие процессы обычно связаны с распределением полномочий и обязанностей по внутреннему контролю, связанному с подготовкой финансовой отчетности, а также с пониманием персоналом характера своего участия в ее подготовке. Понимание аудитором процессов обмена информацией, связанной с финансовой отчетностью, включает понимание характера общения руководства и лиц, наделенных руководящими полномочиями (представителями собственника), с комитетом по аудиту, а также обмен информацией с внешними по отношению к аудируемому лицу организациями, например с регулирующими инстанциями. В идеале в бухгалтерии должно быть четко расписано, кто что делает и кто за что отвечает, а аудитору следует проверить, насколько хорошо подготовлены служебные инструкции и насколько добросовестно они выполняются в реальной жизни.

Контрольные действия

Под контрольными действиями понимаются политика и процедуры, которые помогают удостовериться, что распоряжения руководства исполняются. Контрольные действия (с использованием ручных или компьютеризированных систем бухгалтерского учета) имеют разнообразные цели и применяются на разных организационных и функциональных уровнях.

В "старых" стандартах использовался термин controls*(8). Поскольку в русском языке слово "контроль" не имеет множественного числа, в российских ПСАД было решено переводить это слово как "средства контроля" или "процедуры контроля". В новых МСА решили перейти к термину control activities, что логично переводить как "контрольные действия (процедуры, мероприятия)". Вместе с тем в ISA 315 и ISA 330 по-прежнему используется устоявшийся термин test of controls (тест средств контроля), хотя в связи с появлением нового термина можно было бы ожидать возникновения какого-то нового словосочетания вроде "тест контрольных действий".

На практике к контрольным (управляющим) действиям относятся многие процедуры и мероприятия, проводимые аудируемым лицом и выходящие за пределы непосредственного ведения учета и подготовки отчетности: сверки, перепроверки, инвентаризации, разрешающие визы на документах, протоколирование, актирование, брошюровка документов, опечатывание, опломбирование и т.п.

В соответствии с требованиями п. 90 ISA 315 аудитор должен получить достаточное понимание контрольных действий, чтобы оценить риски искажений на уровне предпосылок подготовки финансовой отчетности и разработать дальнейшие процедуры аудита с учетом оцененных таким образом рисков. При этом следует анализировать только те статьи учета и предпосылки, которые могут послужить источником появления существенных искажений.

Мониторинг средств контроля

Под мониторингом средств контроля (п. 19 Приложения 2 к ISA 315) понимается процесс оценки качества функционирования СВК по прошествии времени, что подразумевает своевременную оценку особенностей и работоспособности средств контроля и внесение в них изменений по мере необходимости. Мониторинг средств контроля выполняется с помощью постоянного наблюдения, отдельных оценок надежности средств или сочетания того и другого подхода и позволяет убедиться в том, что средства контроля продолжают функционировать эффективно.

Нельзя сказать, что недавно появившийся в МСА мониторинг является для предприятий чем-то новым. Любая нормальная система управления предприятием предполагает, что руководитель не только отдает команды, но и периодически проверяет, как они выполняются. Если в ходе нормальной производственной деятельности вскрываются ошибки, недостатки и злоупотребления, хороший руководитель не ограничивается выявлением и наказанием виновных лиц, а пытается понять причины возникновения этих ошибок, а также особенности функционирования механизмов, которые были призваны своевременно предотвратить искажения, но не сделали этого. После чего логичным было бы внести корректировки в обязанности и функции соответствующих сотрудников, чтобы вся система функционировала более надежно.

В соответствии с п. 96 ISA 315 аудитор должен понимать основные виды мероприятий, которые предприятие проводит для мониторинга внутреннего контроля финансовой деятельности, включая мероприятия, относящиеся к аудиту, и то, как предприятие инициирует корректирующие действия относительно своих средств контроля.

Оценки риска существенных искажений

ISA 315 требует, чтобы независимо от используемой терминологии и принципов описания анализ внутреннего контроля велся в разрезе приведенных в п. 43 составляющих внутреннего контроля, хотя аудитору не возбраняется использовать иную классификацию и подходы, лишь бы охватить все установленные стандартом аспекты.

Согласно п. 48 аудитор на основании профессионального суждения должен установить, уместно ли для него при оценке рисков существенных искажений в некоторой области данное средство контроля, взятое само по себе или в сочетании с другими. При выработке суждения аудитор принимает во внимание такие моменты, как оценка уровня существенности, размер аудируемого лица, природа его бизнеса, многообразие и сложность операций, сложность систем, составляющих СВК аудируемого лица. "Оценить процедуру контроля" означает понять, можно ли с помощью этой либо нескольких процедур контроля эффективно предотвратить или выявить и исправить существенные искажения.

Процедуры оценки риска для получения аудиторских доказательств относительно формы и применения соответствующих средств контроля могут включать (см. п. 55 ISA 315):

запросы персоналу аудируемого лица;

наблюдение за применением конкретных средств контроля;

проверку документов и отчетов;

отслеживание сделок с помощью информационных систем, относящихся к подготовке финансовой отчетности.

Самый простой, но одновременно и наименее надежный способ получения аудиторских доказательств об СВК - расспросы сотрудников клиента. Сотрудники бухгалтерии скорее всего будут рассказывать аудитору о том, какой порядок должен был бы существовать на предприятии, а это не означает, что он там реально применяется. Самым надежным способом получения доказательств является наблюдение аудитора за контрольными процедурами. К сожалению, аудитор посещает клиента в течение всего одной или нескольких недель в году, поэтому он физически не в состоянии лично проследить, как контрольные действия проводятся на протяжении всего года. В наиболее важных случаях аудитор может специально подъехать к клиенту в период проведения ежегодной инвентаризации, но большинство других контрольных процедур клиента аудитор имеет возможность пронаблюдать исключительно в ходе выполнения иных своих мероприятий. Проверка документов и прослеживание операций занимают промежуточное положение: они менее надежны, чем наблюдение, но более надежны, чем результаты расспросов. В то же время проверить документы, отражающие контрольные действия клиента за целый квартал или год, аудитор может при очередном выезде к клиенту.

Внутренний контроль, вне зависимости от того, насколько хорошо он организован и действует, может обеспечить предприятию только частичную уверенность в достижении целей, поставленных при подготовке финансовой отчетности. Вероятность достижения таких целей зависит от ограничений, присущих внутреннему контролю. С одной стороны, при принятии решений можно столкнуться с неверным человеческим суждением или с отклонениями и сбоями, произошедшими из-за человеческих ошибок. С другой стороны, средства контроля можно обойти путем сговора двух или более лиц либо в случае ненадлежащего руководства. Например, руководитель может перепродавать продукцию своего предприятия по сниженным ценам через подставную аффилированную фирму, искажая и перераспределяя тем самым прибыль, на которую могли бы рассчитывать акционеры.

Если в результате проведенных процедур по оценке риска не обнаружено каких-либо эффективных средств контроля, аудитор может прийти к выводу, что только выполнение процедур проверок по существу является адекватным, и, таким образом, аудитор исключает эффект контроля из соответствующих оценок рисков. Вне зависимости от того, как был оценен риск существенных искажений, аудитор обязан планировать и осуществлять процедуры проверок по существу для каждой существенной операции, сальдо счетов и случаев раскрытия в отчетности информации (п. 49 ISA 330).

Тестирование внутреннего контроля

ISA 330 детально рассматривает характер, временные рамки и масштаб (nature, timing and extent) тестов средств контроля.

МСА указывают, что проверка процедур контроля проходит две стадии. На первой стадии аудитор выясняет, существует ли данная процедура у аудируемого лица в принципе (по-английски это называется implementation, т.е. внедрение или применение): для этого достаточно определить, что соответствующее контрольное действие существует и что предприятие его использует. На второй стадии аудитор устанавливает, выполняют ли процедуры контроля предполагаемые функции (в английском используется термин operational effectiveness, дословно "операционная эффективность", что мы предлагаем переводить просто как "работоспособность"). Если для того, чтобы убедиться в применении контрольных действий, иногда оказывается достаточно изучить СВК, то для проверки работоспособности аудитору необходимо применять специальные тесты контроля для получения достоверных аудиторских доказательств того, что СВК эффективно функционировала в течение аудируемого периода.

О характере тестов средств контроля следует сказать, что тесты применяются только для тех составляющих СВК, которые были признаны аудитором надлежащими для предотвращения, обнаружения и исправления существенных искажений финансовой отчетности. Использование при тестировании работоспособности СВК запросов в совокупности с инспектированием и повторным выполнением обычно обеспечивает большую достоверность, чем тестирование СВК, при котором применялись лишь методы изучения и наблюдения. Так как наблюдение возможно только в момент времени, когда происходит событие, аудитору следует совмещать наблюдение с запросами персоналу или изучением документации по этим операциям для иных периодов времени для получения достаточных надлежащих аудиторских доказательств.

Под временными рамками тестов средств контроля (п. 14 ISA 330) понимается период времени, с которым связано проведение аудиторских процедур, или период или дата, к которым относятся полученные аудиторские доказательства. ISA 330 содержит ряд обязательных требований касательно временных рамок тестов контроля:

если аудитор получает доказательства эффективного функционирования контрольной процедуры на промежуточную дату, он должен определить, какие еще аудиторские доказательства необходимо получить в отношении этой же процедуры для оставшегося периода (п. 37);

если аудитор планирует использовать аудиторские доказательства эффективности функционирования СВК, полученные за предшествующие периоды, он должен получить аудиторские доказательства того, произошли ли какие-либо изменения в СВК с момента прошедшего аудита (п. 39);

если аудитор основывается на аудиторских доказательствах в отношении изменившейся СВК, он должен провести тестирование эффективности СВК в текущем периоде (п. 40);

если аудитор планирует брать за основу СВК, которая не претерпевала изменений, МСА рекомендует ему проверять эффективность контроля как минимум один раз в три аудиторские проверки (п. 41).

Под масштабом аудиторских процедур понимается количественная характеристика необходимых процедур, например, объем аудиторской выборки в конкретном случае или количество наблюдений за контрольной средой. Аудитор определяет масштаб аудита исходя из собственного профессионального суждения, основанного на рассмотрении существенности, оцененных рисков и уровня достоверности, который планируется достичь. В частности, аудитор расширяет масштаб аудита при увеличении риска существенных искажений, но это имеет смысл, только если аудиторская процедура предназначена для определенного вида риска.

В пункте 45 ISA 330 приведен перечень факторов, которые следует учитывать аудитору при определении масштабов тестов контроля. К этим факторам относятся:

частота выполнения аудируемым лицом контрольных мероприятий за период;

интервал времени в рамках отчетного периода, на протяжении которого аудитор оценивает работоспособность средства контроля;

уместность и надежность аудиторских доказательств, которые следует получить для подтверждения того, что данное средство контроля предотвращает, обнаруживает и исправляет существенные искажения на уровне предпосылки подготовки финансовой отчетности;

количество аудиторских доказательств, полученных на основе тестов других средств контроля, относящихся к той же самой предпосылке подготовки финансовой отчетности;

то, в какой степени аудитор планирует полагаться на работоспособность средства контроля при оценке рисков (ради снижения объема проверок по существу, основанных на доверии к этому контролю);

мера отклонения от средства контроля (то, как часто средство контроля не соблюдается).

В пункте 46 указывается на прямую зависимость масштаба аудиторских тестов средств контроля от оценки риска аудитором: чем больше аудитор основывается на факте эффективного функционирования контрольного действия при оценке риска существенного искажения отчетности, тем больше требуемый масштаб аудиторских тестов контроля.

В заключение следует отметить, что все описанные в настоящей статье действия аудитора (изучение и характеристика СВК в целом и ее отдельных частей, оценки рисков, характер, временные рамки и масштаб тестов средств контроля, результаты проведения этих тестов) должны быть отражены аудитором в составе его рабочей документации.

Н.А. Ремизов,

директор по специальным проектам компании "ФБК"

Е.Л. Сквирская,

старший менеджер департамента методологии аудита

компании "ФБК"

"Финансовые и бухгалтерские консультации", N 7, июль 2005 г.

-------------------------------------------------------------------------

*(1) Статья продолжает серию публикаций, посвященных изменениям, которые претерпевают Международные стандарты аудита. Предыдущие статьи опубликованы в журналах "ФБК" N 5 и 6, 2005 г.

*(2) Handbook of International Auditing, Assurance, and Ethics Pronouncements. - 2005 Edition, New York: IFAC, 2005.

*(3) ISA 315 Understanding the Entity and Its Environment and Assessing the Risks of Material Misstatement, Handbook of International Auditing, Assurance, and Ethics Pronouncements. - 2005 Edition, New York: IFAC, 2005. - P. 349-397. Далее по тексту - ISА 315.

*(4) ISA 330 The Auditor's Procedures in Response to Assessed Risks, Handbook of International Auditing, Assurance, and Ethics Pronouncements. - 2005 Edition, New York: IFAC, 2005. - P. 403-424. Далее по тексту - ISА 330.

*(5) МСА 400. Оценка рисков и внутренний контроль. В кн. Кодекс этики профессиональных бухгалтеров и Международные стандарты аудита, 2001 год. - Москва, МЦРСБУ, 2002, C. 277-293. Далее по тексту - МСА 400.

*(6) Правило (стандарт) N 8 "Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом". Утверждено Постановлением Правительства РФ от 04.07.2003 г. N 405. Далее по тексту - ПСАД N 8.

*(7) ISA 700R The Independent Auditor's Report on a Complete Set of General Purpose Financial Statements (Отчет (заключение) независимого аудитора по полному комплекту финансовой отчетности общего назначения), Handbook of International Auditing, Assurance, and Ethics Pronouncements. - 2005 Edition, New York: IFAC, 2005. - P. 585-602.

*(8) В пункте 9 ПСАД N 8, подготовленном в близком соответствии с МСА 400, в самом определении "потерялось" упоминание процедур (средств) контроля как составной части СВК. По мнению авторов, здесь речь скорее идет о технической ошибке, а не о каких-то принципиальных различиях между МСА и российскими ПСАД, поскольку ниже в п. 11 ПСАД эти процедуры упоминаются и подробно перечисляются.