Разработка основных этапов аудита эффективности системы внутреннего контроля клиента (Л.А. Юдинцева, журнал "Аудитор", N 5, май 2017 г.)

Разработка основных этапов аудита эффективности системы внутреннего контроля клиента

Л.А. Юдинцева,

канд. экон. наук, старший преподаватель

кафедры бухгалтерского учета, анализа и аудита,

Вятская государственная сельскохозяйственная академия,

г. Киров

Журнал "Аудитор", N 5, май 2017 г., с. 10-17.

Эффективность системы внутреннего контроля является ключевым признаком стабильности и надежности деятельности экономического субъекта. Повышенный интерес к вопросам аудита системы внутреннего контроля связан с выявлением рисковых обстоятельств в жизнедеятельности организации, что в свою очередь требует создания действенного механизма защиты от рисков в целях продолжения деятельности организации и стабильности ее работы. Изучая организацию системы внутреннего контроля предприятия-клиента, аудитор должен получить достаточные надлежащие доказательства достоверного отражения фактов хозяйственной жизни в бухгалтерской (финансовой) отчетности (БФО). Однако аудиторская практика показывает, что в ряде случаев данному вопросу уделяется недостаточное внимание со стороны руководства и собственников.

Единые требования к исследованию системы внутреннего контроля аудируемого лица устанавливает федеральное правило (стандарт) аудиторской деятельности N 8 "Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности". Согласно данному нормативному документу аудитору следует понять цель, задачи и предназначение конкретной системы внутреннего контроля для выработки определенной стратегии и тактики проведения аудита в этом разрезе. Для этого аудитор должен обладать знаниями о системе внутреннего контроля, необходимыми для проведения аудита, и использовать их для выявления возможных искажений при рассмотрении факторов, которые оказывают влияние на риски существенного искажения информации, и при планировании характера, сроков и объема дальнейших аудиторских процедур [1].

Любое аудиторское обследование принято начинать с изучения и анализа среды, в которой осуществляется деятельность аудируемого лица. Такое изучение позволит получить предварительную оценку организованной на предприятии руководством системы контроля с целью следования определенной политике, предусматривающей упорядоченное и эффективное ведение финансово-хозяйственной деятельности конкретного экономического субъекта. Поэтому на первоначальном этапе аудита предлагается установить основные организационные аспекты работы клиента и оценить влияние указанных факторов на имеющуюся систему внутреннего контроля. Фрагмент рабочего документа аудитора (РДА) представлен в табл. 1.

Таблица 1

РДА N 1 "Предварительное обследование деятельности клиента для общей оценки имеющейся системы внутреннего контроля (СВК)"

Основные организационные аспекты деятельности клиента	Результат аудиторского обследования	Общая предварительная оценка СВК
Размер и сложность структуры организации	Крупная организация с множеством структурных подразделений; соблюдение принципа разделения обязанностей затруднительно в связи с разобщенностью и большой удаленностью структурных подразделений; распорядительные подписи уполномоченных лиц на документах имеются; движение информации автоматизировано	СВК достаточно эффективна; следует акцентировать внимание на инспектировании должностных обязанностей сотрудников
Отраслевая специфика	Стабильное положение в анализируемой отрасли; предприятие конкурентоспособно, имеет достаточное ресурсное обеспечение и определенные условия для развития	Наблюдается достаточная эффективность СВК; необходимо отметить средства и процедуры контроля, способствующие развитию бизнеса

Предварительный анализ имеющейся системы внутреннего контроля должен быть направлен на выявление рисков хозяйственной деятельности аудируемого лица и оценки их влияния на слаженность работы всех звеньев контроля, отвечающих за формирование отчетных показателей. Важно знать, что риски касающиеся подготовки и составления бухгалтерской (финансовой) отчетности, могут существенно повлиять на работоспособность системы внутреннего контроля при отражении как новых фактов хозяйственной жизни в деятельности субъекта, так и уже имеющихся. Руководству необходимо предусмотреть в этой связи соответствующие действия и способы управления возникшими рисками. С этой целью предлагается определить значимость риска и степень его воздействия на всю систему внутреннего контроля в целом и отдельные ее элементы в частности. Фрагмент рабочего документа аудитора представлен в табл. 2.

Таблица 2

РДА N 2 "Анализ возможных рисков хозяйственной деятельности экономического субъекта и предполагаемая степень их влияния на СВК клиента"

Предполагаемые риски хозяйственной деятельности экономического субъекта	Значимость риска	Предполагаемая степень воздействия на СВК клиента	Выводы аудитора
Разработка нового вида продукции	Значимый	Отсутствие опыта работы в данной сфере; недостаточная квалификация персонала; неизбежность оформления дополнительной документации; больший объем работы; значительные изменения в информационной системе	Следует убедиться в готовности имеющейся СВК к существенным преобразованиям; выяснить способность оценки данного риска аудируемым лицом
Реорганизация аудируемого лица	Значимость определяется в зависимости от вида реорганизации	Сокращение или увеличение численности персонала; рост или спад объема выполняемых операций; перераспределение должностных обязанностей и контрольных функций	Необходимо проследить внесенные коррективы в должностные обязанности сотрудников; приоритетность отдельных элементов СВК

Вопросы, связанные с появляющимися рисками хозяйственной деятельности, требуют в большинстве случаев кардинального пересмотра отдельных элементов системы внутреннего контроля. При этом не исключена вероятность игнорирования отдельных аспектов, например, из-за высоких материальных затрат на приобретение возможных средств контроля, способных предотвратить или устранить ряд негативных последствий в отношении того или иного рискового события. В данной ситуации аудитору следует оценить все компоненты аудиторского риска, стараясь минимизировать риск необнаружения (РНо), иначе определенная часть аудиторского риска будет являться информационным риском заинтересованных пользователей. В частности, необходимо уделить более пристальное внимание неотъемлемому риску (РН) при выяснении возможного отсутствия (временного или постоянного) соответствующих средств и процедур внутреннего контроля. Данный компонент аудиторского риска может быть доминирующим, так как напрямую связан с воздействием внешних факторов. Выяснение состояния средств контроля приводит к необходимости анализа риска средств контроля (РСК) для снижения возможных угроз надежности рассматриваемой системы. Таким образом, логичен обобщающий вывод относительно риска существенного искажения информации (РСИИ), представляющего собой произведение указанных выше компонентов. Исследовать степень риска существенного искажения информации предлагается путем тестирования, что позволит комплексно охарактеризовать систему организации внутреннего контроля (табл. 3).

Таблица 3

РДА N 3 "Анкета тестов оценки СВК с целью выявления основных РСИИ"

Направление тестирования	Полученный ответ	Наличие риска			Выводы аудитора
		РН	РСК	РСИИ
Действенна ли организационная структура предприятия?	Организационная структура предприятия утверждена; уточнены права и обязанности руководителей разного уровня; определен круг лиц, способных влиять на разработанную политику предприятия	-	-	-	РСИИ низок; организационная структура предприятия эффективна
Соблюдается ли принцип разделения обязанностей между персоналом предприятия?	Соблюдение принципа затруднительно в связи с разобщенностью и удаленностью структурных подразделений	+	+	+	РСИИ достаточно высок; необходимо изучить должностные инструкции и документы о квалификации сотрудников

Получение максимального количества положительных ответов в тесте будет свидетельствовать о предварительном подтверждении эффективности и надежности рассматриваемой системы внутреннего контроля клиента. Достаточно высокий уровень риска существенного искажения информации по отдельным позициям теста напротив потребует более детального изучения обстоятельств его возникновения, поскольку может явиться причиной значимых искажений как на уровне конкретных предпосылок подготовки финансовой (бухгалтерской) отчетности, так и отчетных показателей в целом. Для более подробной оценки системы внутреннего контроля в части сомнительной, по мнению аудитора, информации, рекомендуется протестировать определенный сегмент учета, отдельный счет или группу счетов. Пример разработки рабочего документа аудитора представлен в табл. 4.

Таблица 4

РДА N 4 "Тестирование системы внутреннего контроля в части операций по оплате труда"

Контролируемый параметр	Результат обследования	Возможные нарушения	Решение аудитора
Соответствует ли квалификация бухгалтера выполняемой им работе?	Бухгалтер имеет высшее образование, но стаж работы на данном участке незначительный	Квалификация бухгалтера не соответствует уровню сложности выполняемой им работы	Требуется детальная проверка средств контроля выполняемой бухгалтером работы
Достоверно ли отражают факты хозяйственной жизни в отчетности применяемые компьютерные средства и информационные технологии?	Используется две базы данных; инициирование хозяйственных операций производится автоматически; функция проверки не предусмотрена	Изменения в информационной системе могут быть не учтены из-за отсутствия проверки обработки данных	Необходимо разработать систему информирования персонала с целью понимания сотрудниками данной ответственности

Аудиторская практика показывает, что в большинстве случаев искажения отчетных данных связаны с комплексом нарушений в различных элементах системы внутреннего контроля. Поэтому, оценив предварительные результаты тестирования системы внутреннего контроля в целом, аудитору следует проанализировать эффективность каждого ее элемента в отдельности. Такой подход позволит определить слабые места при формировании показателей отчетности, устранить выявленные риски, угрожающие достижению целей клиента, и проанализировать влияние каждого элемента системы внутреннего контроля на процесс аудита.

Основой для эффективной системы внутреннего контроля является контрольная среда аудируемого лица. Обладание знаниями о распределении и выполнении функций между руководством и сотрудниками, осведомленности и действиях собственников, политике в кадровой сфере, подходе руководства к выявлению и оценке рисков позволит аудитору понять важность и значение данного элемента для деятельности аудируемого лица. Фрагмент рабочего документа аудитора по обследованию элементов контрольной среды предприятия-клиента представлен в табл. 5.

Таблица 5

РДА N 5 "Оценка элементов контрольной среды аудируемого лица"

Элемент контрольной среды	Внедрение в деятельность аудируемого лица	Выводы и решения аудитора
Доведение до сведения сотрудников принципа честности, других этических ценностей и их поддержание	Разработка и утверждение стандартов поведения и этических принципов; доведение их до сознания персонала при трудоустройстве	Элемент контрольной среды эффективен; следует провести наблюдение за его выполнением на практике
Приверженность профессионализму	Утверждены квалификационные требования к отдельным категориям персонала; поиск дополнительных ресурсов для обучения персонала	Элемент контрольной среды эффективен; следует проверить соответствие квалификации сотрудника уровню сложности выполняемой им работы

Одним из средств эффективной работы системы внутреннего контроля является умение аудируемого лица оценивать возможные риски хозяйственной деятельности и определять их последствия. Используя данные РДА N 2 "Анализ возможных рисков хозяйственной деятельности экономического субъекта и предполагаемая степень их влияния на СВК клиента", аудитору необходимо понять, как представители руководства аудируемого лица определяют значение таких рисков и пытаются управлять ими с целью последующей возможной минимизации подобных ситуаций. Фрагмент рабочего документа аудитора представлен в табл. 6.

Таблица 6

РДА N 6 "Анализ оценки возможных рисков хозяйственной деятельности аудируемым лицом"

Обстоятельства, связанные с возникновением рисков	Ответные действия аудируемого лица	Эффективность ответных действий	Выводы и решения аудитора
Изменения в нормативной среде	Обучение персонала; внесение соответствующих изменений в учетную политику; настройка соответствующих параметров информационной системы, связанной с подготовкой ФБО	Действия эффективны	Аудируемое лицо способно оценить возможные влияния возникшего риска на процесс формирования ФБО; следует проверить реальность отражения сальдо по отдельным счетам учета в связи с выявленным риском
Осуществление операций за рубежом впервые	Анализ нормативно-правовой базы; повышение квалификации персонала; изучение методики учета; введение в учетную политику новых положений; внесение соответствующих изменений в рабочий план счетов	Действия эффективны	Оценка риска достаточно результативна; следует проверить корректность бухгалтерских записей по внешнеэкономической деятельности

Разработанный документ позволяет аудитору осуществить комплексный подход к областям повышенных рисков хозяйственной деятельности клиента с целью выявления существенных искажений в каждом информационном разрезе. Анализ ответных действий аудируемого лица свидетельствует об оценке значимости рисков для отдельных аспектов деятельности и способах управления ими, разработанных специально для этих целей. Надлежащий характер оценки рисков аудируемым лицом позволит аудитору выявить скрытые риски существенного искажения информации и установить обстоятельства и причины их длительного необнаружения.

Как правило, ключевым ответным действием на обнаруженные риски любой степени сложности является модификация работы информационной системы, связанной с подготовкой отчетных показателей и спецификой деятельности аудируемого лица. Данный процесс требует особых знаний аудитора об инициации, регистрации, обработке и обобщении значимой информации в разрезе всех групп предпосылок формирования финансовой (бухгалтерской) отчетности. Для оценки работы информационной системы аудируемого лица предлагается использовать РДА N 7 (табл. 7).

Таблица 7

РДА N 7 "Оценка работы информационной системы аудируемого лица"

Потенциальные риски	Элемент информационной системы, наиболее подверженный риску (по мнению аудитора)	Система информирования персонала	Выводы аудитора
Обработка неточных данных	Программное обеспечение, персонал, соответствующие процедуры	Выявление областей риска путем ежемесячной сверки учетных данных; доведение информации до сведения сотрудников	Достаточная эффективность информационной системы; просмотреть ввод разнородной информации и проанализировать ее инициирование
Внесение модификаций в основные файлы	Программное обеспечение, персонал, базы данных	Контроль должностных инструкций, система контроля и управления доступом к информации	Достаточная эффективность информационной системы; проанализировать настройку программного обеспечения

При формировании выводов по данному этапу проверки аудитору следует оценить адекватность реагирования аудируемого лица на потенциальные риски путем разработки и внедрения эффективных средств контроля. Исходя из целей аудита, результативность таких действий может быть признана, если исходные данные надежно защищены и обеспечивают достоверность информации в системе. Поэтому следующим этапом аудита будет являться оценка контрольных действий аудируемого лица.

Методы и процедуры контрольных действий необходимо анализировать в тесной связи с целями аудируемого лица, возможными рисками и предпосылками подготовки бухгалтерской (финансовой) отчетности, которые могут быть искажены вследствие непринятых или несвоевременно принятых мер. Применение контрольных действий требует понимания их внедрения и реакции на изменение привычной ситуации в работе системы внутреннего контроля в целом. Пример фрагмента рабочего документа аудитора представлен в табл. 8.

Таблица 8

РДА N 8 "Анализ разработки контрольных действий аудируемым лицом в ответ на возможные риски"

Объект проверки	Возможные риски	Влияние на предпосылки подготовки БФО	Разработанные контрольные действия	Оценка контрольных действий
Система обработки данных	Потеря существенной информации, сбой в работе, отсутствие возможности внесения модификаций в систему, стороннее вмешательство в работу системы	Выявленные риски окажут наибольшее влияние на предпосылки возникновение, полнота, точность в части всех групп	Видеофиксация данных, ограничение должностных полномочий сотрудников, создание центра разъяснения информации, ежемесячная проверка учетных записей	Контрольные действия достаточно эффективны; следует проверить стабильность контрольных действий
Работа персонала	Отсутствие определенного опыта, большой объем работы, незнание ряда нормативных документов	Наиболее подвержены рискам следующие предпосылки: точность, оценка и распределение, классификация и понятность.	Разработка должностных обязанностей, кадровый контроль при приеме на работу, постоянное обучение, ежемесячная проверка работы	Контрольные действия достаточно эффективны; следует проверить соответствие объема и сложности работ уровню квалификации персонала

Эффективность разработанных контрольных действий является ключевым элементом в принятии необходимых мер в отношении потенциальных рисков деятельности аудируемого лица. Аудитору следует установить уровень применения контрольных действий (организационный или функциональный), характер использования (вручную или с применением информационных систем) и цель разработки. Данные процедуры помогут установить реальность эффективности предложенных действий и оценить степень минимизации потенциальных рисков.

Разработанные и применяемые контрольные действия, средства и процедуры контроля должны подвергаться обязательному мониторингу с целью внесения необходимых корректировок в их работу вследствие изменения внешних условий. На данном этапе аудитору следует установить формы контроля, периодичность работ и провести анализ источников информации, являющихся основанием для проведения таких мероприятий. Фрагмент рабочего документа аудитора по оценке работ в области мониторинга средств контроля представлен в табл. 9.

Таблица 9

РДА N 9 "Оценка мониторинга средств контроля аудируемого лица"

Тестируемое средство контроля	Основание для проведения мониторинга	Разработанные мероприятия	Периодичность мероприятий	Оценка аудитора
Сверка данных складского и бухгалтерского учета материалов	Переход на другую программу учета; сбой в системе данных; ротация сотрудников	Выборочное тестирование автоматических процедур учета, пересчет данных, пересмотр должностных инструкций	1 раз в год	Действия руководства непостоянны, возможны неточности при подготовке БФО
Идентификация хозяйственных операций в первичных учетных документах	Внедрение новых технологий, замена персонала, появление новых операций	Обучение персонала, внесение модификаций в систему обработки информации, контроль доступа к базам данных	Ежемесячно	Достаточно полный мониторинг тестируемого средства контроля; следует проверить реальность выполнения

Осуществление мониторинга средств контроля аудируемым лицом является наиболее продуктивным при использовании полноценной автоматизированной системы обработки данных. Устойчивость данного процесса позволяет считать полученные аудиторские доказательства свидетельством надежности и адекватности разработанных действий, средств и процедур контроля.

На заключительном этапе проверки аудитору необходимо сравнить полученный и предварительный результаты и представить общую оценку эффективности системы внутреннего контроля клиента. Анализ пяти основных сегментов системы внутреннего контроля способствует установлению степени влияния каждого элемента на процесс подготовки и формирования отчетных показателей. Повышенное внимание следует уделить тем средствам и процедурам контроля, работа которых признана адекватной в процессе проведенного аудита. Фрагмент обобщающего результаты аудита рабочего документа представлен в табл. 10.

Таблица 10

РДА N 10 "Общая оценка эффективности системы внутреннего контроля клиента"

Элемент СВК	Предварительная оценка СВК	Уровень риска	Оценка адекватности средств контроля	Общая оценка СВК
Контрольная среда	Эффективна	Средний	Средства контроля активно предотвращают выявленные риски	Достаточно эффективна
Процесс оценки рисков аудируемым лицом	Достаточно эффективна	Низкий	Средства контроля в достаточной мере способствуют выявлению и устранению рисков	Достаточно эффективна

Эффективность всех элементов системы внутреннего контроля, характеризующих данный процесс, позволяет считать, что создание данного механизма отвечает специфике деятельности организации и условиям управления. Нестабильная работа отдельных элементов снижает надежность системы внутреннего контроля и увеличивает ее уязвимость.

Предложенная автором методика позволяет сформировать комплексный подход к исследованию и оценке системы внутреннего контроля клиента, способствуя выявлению и анализу уместных для целей аудита средств и процедур контроля. Последовательный анализ системы внутреннего контроля способствует выявлению и более детальному изучению аудитором отдельных элементов, непосредственно имеющих отношение к ведению бухгалтерского учета и составлению бухгалтерской (финансовой) отчетности.

Разработанный комплект документации аудитора может быть дополнен или модифицирован в зависимости от специфики объекта проверки.

Литература

1. Федеральный закон от 30 декабря 2008 г. N 307-ФЗ "Об аудиторской деятельности" [Электронный ресурс].

2. Правило (стандарт) аудиторской деятельности N 8 "Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности": Постановление Правительства Российской Федерации N 863 от 19 ноября 2008 г. [Электронный ресурс].