Властивий ризик і ризик контролю. Оцінюючи властивий ризик і ризик контролю (згідно з МСА 400 "Оцінки ризику та внутрішній контроль"), аудитор повинен розглянути, яким чином фінансові звіти могли б бути суттєво викривлені внаслідок шахрайства чи помилок. Розглядаючи ризик суттєвого викривлення внаслідок шахрайства, аудитор має розглянути, чи наявні фактори ризику шахрайства, які свідчать про можливість оманливої фінансової звітності, або фактори незаконного привласнення активів.
У МСА 400 "Оцінки ризику та внутрішній контроль" обговорюється аудиторська оцінка властивого ризику та ризику контролю, а також те, як оцінки впливають на характер, час та обсяг процедур аудиту. Проводячи такі оцінювання, аудитор розглядає, як фінансові звіти могли б бути суттєво викривлені внаслідок шахрайства або помилок.
Той факт, що шахрайство, як правило, приховується, може значно ускладнити його виявлення. А проте, користуючись своїм знанням бізнесу, аудитор може виявити події чи обставини, що дають можливість, мотив або засоби для скоєння шахрайства, або свідчать про те, що шахрайство, можливо, вже скоєно. Такі події або обставини називають "факторами ризику шахрайства". Наприклад, відсутність документа, розходження в Головній книзі або недоцільність аналітичної процедури. Однак ці умови можуть бути результатом інших обставин, а не шахрайства. Тому фактори ризику шахрайства не обов'язково свідчать про існування шахрайства, однак вони часто бувають при його скоєнні. Наявність факторів ризику шахрайства може вплинути на аудиторську оцінку властивого ризику або ризику контролю.
Фактори ризику шахрайства важко розташувати у порядку їх важливості або включити до ефективних прогнозних моделей. Важливість факторів ризику шахрайства широко варіюється. Деякі з цих факторів будуть наявні на підприємствах, де специфічні умови не несуть ризику суттєвих викривлень. Відповідно, аудитор має професійне судження, розглядаючи фактори ризику шахрайства окремо або у поєднанні, беручи до уваги те, чи існують засоби контролю, що зменшують цей ризик.
Характеристики розміру, складності та виду власності підприємства мають значний вплив під час розгляду відповідних факторів ризику шахрайства. Наприклад, на великому підприємстві аудитор, як правило, розглядає фактори, що обмежують загальні можливості зловживань з боку управлінського персоналу, такі як ефективність діяльності найвищого управлінського персоналу та функції внутрішнього аудиту. Аудитор також розглядає, які кроки були зроблені для забезпечення дотримання формального кодексу поведінки та ефективності бюджетної системи. На невеликих підприємствах деякі або всі з цих міркувань можуть бути недоречними чи менш важливими. Наприклад, невелике підприємство може й не мати задокументованого кодексу поведінки, а натомість може мати розвинену культуру, яка надає особливого значення чесності та етичній поведінці, доведену до відома працівників усно й особистим прикладом управлінського персоналу. Зосередження управлінських функцій у руках однієї особи на невеликому підприємстві само по собі ще не означає відсутності в управлінського персоналу необхідного ставлення до внутрішнього контролю і процесу складання фінансової звітності. Більше того, розгляд факторів ризику шахрайства рівня середньої управлінської ланки підприємницького сегмента може давати іншу картину, ніж для підприємства в цілому.
Наявність факторів ризику шахрайства може призвести до того, що аудитор не зможе оцінити ризик контролю для певних тверджень фінансових звітів як невисокий. З іншого боку, аудитор може знайти засоби внутрішнього контролю для зменшення цих факторів ризику шахрайства, тестування яких може підтвердити попередню оцінку ризику.
Ризик не виявлення. На основі аудиторської оцінки властивого ризику та ризику контролю (включаючи результати будь-яких тестувань засобів контролю) аудитор повинен розробити процедури по суті, які б зменшували до допустимо низького рівня ризик того, що викривлення внаслідок шахрайства або помилок, які є суттєвими для фінансових звітів у цілому, не будуть виявлені. Розробляючи процедури по суті, аудитор має звернутися до наявних, визначених аудитором факторів ризику шахрайства.
МСА 400 пояснює, що аудиторська оцінка ризику контролю (разом з оцінкою властивого ризику) впливає на характер, час і обсяг процедур по суті для зменшення ризику невиявлення до прийнятно низького рівня. Розробляючи процедури по суті, аудитор звертається до наявних факторів ризику шахрайства, виявлених аудитором. Адекватні заходи або оцінка цих факторів залежить від їх характеру і значущості. У деяких випадках, навіть якщо фактори ризику шахрайства і були виявлені, аудитор може вирішити, що аудиторські процедури, включаючи тестування контролю, а також раніше заплановані процедури по суті, є достатніми для відповіді на ці фактори ризику шахрайства.
За інших обставин аудитор може дійти висновку, що треба модифікувати характер, час і обсяг процедур по суті, щоб вивчити виявлені фактори ризику шахрайства. У цьому випадку аудитор вирішує, чи потребує оцінка ризику суттєвих викривлень усебічного реагування, реагування на конкретний залишок на рахунку, клас операцій чи твердження або обох типів реагування. Реагуючи на визначені фактори ризику шахрайства, аудитор розглядає, чи буде ефективнішим модифікувати характер аудиторських процедур, а не їх обсяг.
Коли аудитор стикається з обставинами, що можуть свідчити про суттєве викривлення у фінансових звітах унаслідок шахрайства або помилок, він повинен виконати процедури, щоб визначити, чи містять фінансові звіти такі викривлення.
Під час аудиту аудитор може виявити обставини, які свідчать про те, що фінансові звіти можуть містити суттєві викривлення внаслідок шахрайства або помилки.
Якщо аудитор враховує такі обставини, то характер, час і обсяг процедур, що їх треба виконати, залежать від аудиторського судження щодо типу шахрайства або помилки, ймовірності їх існування, а також імовірності того, що конкретний тип шахрайства або помилки міг призвести до суттєвого впливу на фінансові звіти. Як правило, аудитор має змогу виконати процедури, достатні для підтвердження або спростування підозри, що фінансові звіти мають суттєві викривлення внаслідок шахрайства або помилки.
Аудитор повинен з`ясувати, чи може виявлене викривлення свідчити про шахрайство, з огляду на достовірність наданої управлінським персоналом інформації.
Також аудитор оцінює вплив характеру викривлень на висновок аудитора. Аудитору обов`язково необхідно задокументувати визначені фактори ризику шахрайства та документально оформити відповідь стосовно будь-яких таких факторів.
Аудитору слід отримати письмові пояснення управлінського персоналу, що він підтверджує відповідальність за систему обліку і внутрішнього контролю, що невиправлені викривлення є несуттєвими, що всі випадки шахрайства повідомлені аудитору, що розкрив аудиторові власну оцінку ризику того, що фінансові звіти можуть бути суттєво викривлені внаслідок шахрайства.
Якщо аудитор виявляє викривлення внаслідок шахрайства (чи підозри шахрайства) або помилки, йому слід розглянути власну відповідальність за інформування про це управлінського персоналу, найвищого управлінського персоналу, і, за деяких обставин, регулювальних і правоохоронних органів.
Договірні відносини процесу аудиту та аудиторських послуг регламентуються Міжнародним стандартом аудиту „Умови домовленості про аудиторську перевірку".
Метою цього Міжнародного стандарту аудиту (МСА) є встановлення положень та надання рекомендацій щодо:
а) погодження умов завдання із замовником;
б) складання відповіді аудитора на прохання замовника змінити умови завдання на такі, що забезпечать нижчий рівень упевненості.
Аудитор і замовник повинні погодити умови перевірки. Погоджені умови треба задокументувати в листі-зобов'язанні або в будь-якій іншій договірній формі, яка є зручною.
В інтересах і замовника, і аудитора доцільно, щоб аудитор (бажано до початку проведення аудиторської перевірки) надіслав замовникові лист-зобов'язання, що допоможе уникнути непорозумінь щодо завдання. Лист-зобов'язання документує і підтверджує прийняття призначення аудитором, мету та обсяг аудиторської перевірки, ступінь відповідальності аудитора перед клієнтом і форму будь-яких звітів та висновків.
Форма і зміст листів-зобов'язань про проведення аудиторської j перевірки для різних замовників можуть різнитися, але в них обов'язково зазначають:
мету аудиторської перевірки фінансових звітів;
відповідальність управлінського персоналу за фінансові звіти;
обсяг аудиторської перевірки, в тому числі посилання на чинне законодавство, положення та норми професійних організацій, яких дотримується аудитор;
форму будь-яких звітів і висновків чи інший спосіб повідомлення результатів завдання;
той факт, що у зв'язку з тестовим характером аудиторської перевірки та іншими властивими аудиторській перевірці обмеженнями, разом з обмеженнями, властивими будь-якій системі бухгалтерського обліку та внутрішнього контролю, існує неминучий ризик того, що навіть деякі суттєві викривлення можуть залишитися невиявленими;
вимогу про вільний доступ до всіх бухгалтерських записів, документації та іншої інформації, що її запитуватимуть у зв'язку з проведенням аудиторської перевірки.
Аудитор може також указати в листі на:
заходи, пов'язані з плануванням аудиторської перевірки;
можливу необхідність отримання від управлінського персоналу письмових підтверджень, які стосуються пояснень, зроблених у зв'язку з аудиторською перевіркою;