а) неотримання аудитором обґрунтованої впевненості;
б) неналежне планування, виконання чи судження;
в) відсутність професійної компетентності та належної уваги; або
г) невідповідність МСА.
Це, зокрема, стосується деяких видів навмисних викривлень, оскільки аудиторські процедури можуть бути неефективними для виявлення навмисного викривлення, прихованого шляхом змови між однією чи кількома особами управлінського персоналу, найвищого управлінського персоналу, працівниками, третіми сторонами або шляхом фальсифікації документів. Згідно з МСА, проведення аудиту окреслюється відповідністю аудиторських процедур, виконаних за цих обставин, і відповідністю аудиторського висновку, який ґрунтується на результатах цих процедур.
Згідно з МСА 200 "Мета та загальні принципи аудиторської перевірки фінансових звітів", аудитор планує і здійснює аудит відповідно до принципу професійного скептицизму. Таке ставлення потрібне, щоб аудитор міг виявити і відповідним чином оцінити, наприклад:
фактори, що збільшують ризик суттєвого викривлення фінансових звітів у результаті шахрайства або помилки (наприклад, характеристики управлінського персоналу та вплив на середовище контролю, умови галузі, характеристики виробництва та фінансової стабільності);
обставини, які породжують в аудитора підозру, що фінансові звіти суттєво викривлені;
одержані докази (включаючи знання аудитора з попередніх аудиторських перевірок), що змушують узяти під сумнів достовірність пояснень управлінського персоналу.
Однак доки аудит не виявить докази протилежного, аудитор повинен сприймати облікові записи й документи як справжні. Відповідно, аудит, що здійснюється згідно з МСА, не часто досліджує автентичність документів, оскільки аудитори не мають такої підготовки і не є експертами з визначення автентичності.
Плануючи аудит, аудитор повинен обговорити з іншими учасниками групи аудиторів чутливість суб'єкта щодо суттєвих викривлень фінансових звітів унаслідок шахрайства або помилок.
Такі обговорення можуть бути пов'язаними з розглядом (наприклад, у випадку конкретного суб'єкта господарювання) того, де виникнення помилок чи скоєння шахрайства є більш імовірним. На підставі цих обговорень члени аудиторської групи можуть краще зрозуміти ймовірність суттєвих викривлень фінансових звітів у результаті шахрайства або помилок в конкретних сферах здійснення аудиту, а також усвідомити те, як результати виконуваних ними аудиторських процедур можуть вплинути на інші аспекти аудиту. Учасники аудиторської групи можуть прийняти рішення, на підставі яких здійснюватимуться запити або виконуватимуться аудиторські процедури, а також рішення про те, як проходитиме обмін результатами цих запитів і процедур.
Плануючи аудит, аудитор повинен провести опитування управлінського персоналу:
а) щоб зрозуміти:
1) оцінку управлінським персоналом ризику суттєвих викривлень фінансовий звітів унаслідок шахрайства;
2) системи бухгалтерського обліку та внутрішнього контролю, які використовуються стосовно такого ризику;
б) щоб визначити, як розуміє управлінський персонал системи бухгалтерського обліку та внутрішнього контролю для попередження і виявлення помилок;
в) щоб визначити, чи відомі управлінському персоналові факти шахрайства на підприємстві або чи є підозра у шахрайстві, яку розслідують на підприємстві;
г) щоб визначити, чи виявив управлінський персонал будь-які суттєві помилки.
Аудитор поповнює свої власні знання бізнесу підприємства шляхом запитів управлінському персоналові стосовно його власної оцінки ризику шахрайства і наявності систем для його попередження і виявлення. Аудитор також здійснює запити управлінському персоналові стосовно діючих систем обліку та контролю для попередження й виявлення помилок. Оскільки управлінський персонал несе відповідальність за системи обліку та контролю підприємства і за підготовку фінансових звітів, то аудиторові доцільно здійснити запити управлінському персоналові про виконання цих обов'язків. До питань, що їх обговорюють як частину запитів, входять такі:
а) чи існують конкретні окремо розташовані підрозділи, сегменти бізнесу, типи операцій, залишки на рахунках або категорії фінансових звітів, де ймовірність помилки може бути високою або де можуть існувати фактори ризику шахрайства, і як управлінський персонал ці питання розв'язує;
б) про функціонування внутрішнього аудиту підприємства та чи виявив внутрішній аудитор шахрайство або будь-які слабкі місця в системі внутрішнього контролю;
в) як управлінський персонал контактує з працівниками щодо своїх поглядів на етичну поведінку й на наявну практику ведення бізнесу в контексті правил етики та норм поведінки.
Характер, обсяг і періодичність оцінювання управлінським персоналом таких систем та ризик варіюються на різних підприємствах. На деяких підприємствах такі оцінювання відбуваються щорічно або вони можуть бути частиною постійного моніторингу. На інших підприємствах оцінювання управлінським персоналом може бути менш формальним і не так часто здійснюватися. Характер, обсяг і періодичність оцінювання управлінським персоналом допомагають аудиторові зрозуміти стан контролю на підприємстві. Наприклад, той факт, що управлінський персонал не здійснив оцінювання ризику шахрайства, може свідчити про недостатню увагу до внутрішнього контролю з його боку.
Важливим також є розуміння аудитором систем обліку та внутрішнього контролю на підприємстві. Створюючи ці системи, управлінський персонал висловлює думку про характер і обсяг обраних для впровадження процедур контролю та про характер і серйозність передбачуваних ризиків. Ставлячи такі запитання управлінському персоналові, аудитор може дізнатися, наприклад, що управлінський персонал свідомо вибрав прийняття ризику, пов'язаного з відсутністю розподілу обов'язків. Інформація, отримана в результаті таких запитань, може також бути корисною при визначені факторів ризику шахрайства, які можуть вплинути на аудиторську оцінку ризику суттєвих викривлень унаслідок шахрайства фінансової звітності.
Для аудитора також важливо дізнатися, чи відомі управлінському персоналові факти шахрайства на підприємстві, підозри у шахрайстві, що розслідуються, або виявлення суттєвих помилок. У результаті таких запитів можуть з'явитися докази про слабкість процедур контролю, якщо, наприклад, кількість виявлених помилок на деяких ділянках є великою. І, навпаки, запити можуть свідчити, що процедури контролю діють ефективно, оскільки аномалії розпізнаються й розслідуються негайно.
Хоч аудиторські запити управлінському персоналові можуть надати корисну інформацію стосовно ризику суттєвих викривлень фінансових звітів унаслідок шахрайства працівників, такі запити навряд чи нададуть корисну інформацію стосовно ризику суттєвих викривлень фінансових звітів унаслідок шахрайства управлінського персоналу. Тому постійна увага аудитора до факторів ризику шахрайства, особливо доцільна стосовно шахрайства управлінського персоналу.
Вищий управлінський персонал підприємства повинен наглядати за системами моніторингу ризиків, фінансового контролю та за дотриманням законодавства. У багатьох країнах практика корпоративного управління добре розвинена і найвищий управлінський персонал відіграє активну роль у нагляді за тим, як управлінський персонал нижчого рівня виконав свої обов'язки. За таких обставин аудитори повинні ознайомитися з поглядами найвищого управлінського персоналу стосовно відповідності наявних систем обліку та внутрішнього контролю для запобігання шахрайству та помилкам, виявлення їх, ризику шахрайства та помилок, а також компетентності і чесності управлінського персоналу. Запити з цих питань можуть дати змогу зрозуміти, наприклад, чутливість підприємства до шахрайства управлінського персоналу. Аудитор може дізнатися про погляди найвищого управлінського персоналу, наприклад, під час зустрічей з найвищим управлінським персоналом для обговорення загального підходу й загального обсягу аудиту. Таке обговорення дає також можливість найвищому керівництву звернути увагу аудитора на питання, які його цікавлять.
Оскільки відповідальність найвищого управлінського персоналу та управлінського персоналу може варіюватися залежно від підприємства, важливо, щоб аудитор розумів характер їх обов'язків на підприємстві і був упевнений, що запити та контакти, про які йшлося вище, спрямовані на відповідних осіб.
Крім того, після запитів управлінському персоналові, аудитор розглядає, чи є питання, що цікавлять найвищий управлінський персонал, які треба обговорити з найвищим управлінським персоналом суб'єкта. Такі обговорення можуть охоплювати:
питання, що стосуються характеру, обсягу та періодичності управлінських оцінювань наявних систем обліку та контролю для запобігання шахрайству та помилкам і для виявлення їх, а також ризику викривлень фінансових звітів;
неусунення управлінським персоналом суттєвих недоліків внутрішнього контролю, виявлених під час аудиту попередніх періодів;
оцінювання аудитором середовища контролю на підприємстві, включаючи питання стосовно компетентності й чесності управлінського персоналу;
вплив будь-яких питань, зазначених вище, на загальний підхід і обсяг аудиту, включаючи виконання додаткових процедур, що можуть бути потрібні аудиторові.
У параграфі 3 МСА 400 "Оцінки ризику та внутрішній контроль" зазначено, що "аудиторський ризик" - це ризик того, що аудитор висловить неналежну аудиторську думку в разі, якщо фінансові звіти містять суттєво викривлену інформацію. Такі викривлення можуть з'явитися внаслідок шахрайства або помилок. МСА 400 визначає три компоненти аудиторського ризику: властивий ризик, ризик контролю та ризик невиявлення і подає рекомендації стосовно оцінювання таких ризиків.