— аудиторська перевірка вважатиметься незадовільною, якщо аудитор встановить низький ризик виявлення за повної недовіри до систем обліку й внутрішнього контролю підприємства.
Наведену загальну модель аудиторського ризику можна розкласти на складові:
1) властивий ризик (BP), що виникає в результаті діяльності підприємства;
2) ризик контролю (РК), що складається з ризику системи контролю та ризику організації бухгалтерського обліку;
3) ризик невиявлення (РН) — значні помилки залишаться не виявленими при проведенні аудиту внаслідок недостатнього аналітичного огляду та тестового контролю.
Отже, розрахунок загального аудиторського ризику може бути подано так:
АР = BP ∙ РК ∙ РСО ∙ РАЛ ∙ РТ,
де ВP — властивий ризик;
РК — ризик системи контролю;
РСО — ризик системи організації обліку;
РАП — ризик аналітичних процедур;
РТ — ризик тестового контролю.
Багато фірм взагалі не роблять спроб застосувати числові значення для визначення рівнів ризику і просто визначають їх як "високий", "середній" і "низький". Американські фахівці вважають, що немає потреби кількісно визначати аудиторський ризик або його складові за допомогою математично обґрунтованих моделей оцінки, оскільки неможливо об'єктивно враховувати визначені компоненти аудиторського ризику в зв'язку з великою кількістю змінних, що впливають на них; та суб'єктивного характеру багатьох із цих змінних.
Відповідно багато аудиторів не вдаються до спроб розподілити визначені розміри за чинниками ризику. Вважається, що аудитор завжди повинен розглядати ризик за кожним класом суджень, пов’язаним із кожним значним рахунком або класом операцій.
Оцінка ризику — це процес прийняття рішення виходячи з можливостей викривлень у фінансових документах. Такий ризик має дві складові — властивий ризик і ризик при здійсненні контролю. Аудитор оцінює їх у контексті обставин, що склалися.
Підставою для оцінки аудитором рівня внутрішнього ризику і ризику при здійсненні контролю є інформація про клієнта та його бізнес. Значна частина такої інформації має загальний характер і залежить від особливостей діяльності підприємства, галузі промисловості, в якій воно працює, законодавчих та нормативних документів, які стосуються галузі промисловості, а також особливостей фінансової діяльності підприємства і зв'язку між даними фінансового й оперативного характеру. Аудитор повинен також розуміти структуру контролю на підприємстві, що необхідно для правильної оцінки ризику при проведенні контролю та складанні плану проведення перевірки.
Оцінка властивого ризику.
Властивий ризик виникає за умов, не пов'язаних з особливостями контролю на підприємстві. Умови для нього існують на макроекономічному рівні, і визначений вплив справляють зовнішні чинники, наприклад, зміни обставин, пов'язаних із веденням бізнесу, урядових рішень та ін. Такий вид ризику характерний для різноманітних господарських операцій підприємства. При плануванні перевірки аудитор розглядає обидва види ризику. Інформація про умови властивого ризику надходить в основному із зовнішніх джерел. Властивий ризик, звичайно, не є причиною використання особливих процедур контролю і бухгалтерського обліку.
Для визначення рівня властивого ризику американські фахівці пропонують збирати й вивчати інформацію про бізнес клієнта та галузі промисловості, останню інформацію фінансового характеру, знання бухгалтерського обліку підприємства.
Інформація про бізнес клієнта та галузь промисловості, в якій він працює. Необхідна інформація про бізнес, яким займається клієнт, містить дані про його виробництво, джерела й способи поставки матеріалів, маркетингу і способи реалізації, джерела фінансування та методи виробництва. Аудитор повинен також отримати інформацію про розміщення і потужність діючих підприємств клієнта, їх відділень і філій, а також децентралізації процесу керівництва. Аудитор досягає поставленої мети, використовуючи різноманітні джерела інформації, в тому числі урядові статистичні дані, журнали з економіки, фінансів, промисловості, торгівлі, звіти про проведення внутрішньої аудиторської перевірки, звіти, підготовлені за результатами діяльності підприємства його конкурентів або галузі промисловості.
Аналіз останньої фінансової інформації. Розуміння аудитором бізнесу передбачає також вміння вживати заходів і знання процедур бухгалтерського обліку, що використовуються клієнтом. Аудитор повинен визначити, чи відповідають вжиті заходи і виконані процедури фактичному веденню бізнесу та загальним принципам бухгалтерського обліку. Дуже уважно слід вивчити зміни, що відбулися в організації бухгалтерського обліку за час перевірки. ННА№ 12 "Оцінка системи внутрішнього контролю підприємства та ризику, пов'язаного з ефективністю її функціонування" та CAE № 400 "Оцінка ризиків та внутрішній контроль" передбачають врахування таких чинників оцінки властивого ризику:
а) на рівні фінансової звітності:
— освіта і фаховий досвід керівництва, його чесність, компетентність;
— неординарні обов'язки керівництва (пов'язані з обставинами, які провокують керівництво до перекручення фінансової звітності);
— характер діяльності підприємства (стан техніки, технології, вплив пов'язаних сторін і конкурентів на його діяльність, попит на продукцію тощо);
б) нарівні показників фінансових звітів і категорій операцій:
— перекручення можуть вплинути на показники фінансових звітів (рахунки, які були раніше скориговані, складність основних операцій);
- тенденції до збиткової діяльності або незаконного привласнення активів тощо.
Оцінка ризику при контролі
Положення ННА№ 12 "Оцінка системи внутрішнього контролю підприємства та ризику, пов'язаного з ефективністю її функціонування" та
САЕ№ 400 "Оцінка ризиків та внутрішній контроль" потребують від аудитора оцінки ризику невідповідності внутрішнього контролю в два етапи: попередня та остаточна оцінка ризику невідповідності внутрішнього контролю.
На першому етапі аудитор повинен оцінити ризик невідповідності внутрішнього контролю для кожного суттєвого залишку за бухгалтерськими рахунками або суттєвою операцією.
Проводячи попередню оцінку, аудитор використовує такі тести:
— перевірку первинних документів;
— опитування й спостереження щодо процедур внутрішнього контролю, щодо яких немає змоги провести наскрізну перевірку;
— повторення процедур внутрішнього контролю.
Під час збирання доказів функціонування системи внутрішнього контролю аудитор враховує спосіб їх отримання, послідовність, з якою вони накопичувалися протягом певного періоду, та досвід особи, яка отримала такі докази.
Аудитор фіксує у робочих документах зібрані відомості про систему обліку та внутрішнього контролю, розраховує ризик невідповідності внутрішнього контролю. Якщо ризик невідповідності внутрішнього контролю оцінюється аудитором як незначний, він наводить у документах обгрунтування своїх висновків.
На другому етапі аудитор постійно переглядає правильність зробленої ним оцінки ризику невідповідності внутрішнього контролю аж до моменту завершення підготовки аудиторського висновку, та вносить відповідні корективи.
Оцінку властивого ризику, ризику невідповідності внутрішнього контролю бажано проводити згідно з дод. № 16 і 17 ННА № 12 "Оцінка системи внутрішнього контролю підприємства та ризику, пов'язаного з ефективністю її функціонування".
Оцінка ризику невиявлення викривлень у фінансових документах
Ризик невиявлення безпосередньо пов'язаний з проведенням незалежних процедур перевірки. Ризик невиявлення, встановлений проведенням перевірок на суттєвість, дає змогу заручитися необхідним рівнем упевненості щодо різноманітної інформації, яка міститься у фінансових документах.
Результати оцінки властивого ризику і внутрішнього контролю перебувають у зворотній залежності від прийнятого рівня невиявлення викривлень. Це означає, що чим нижчий ризик викривлення матеріалів, тим вищим є прийнятий рівень невиявлення викривлень при плануванні аудитором перевірок на суттєвість, які спрямовані на обмеження обсягу аудиту, і навпаки.
Вибір стратегії аудиту для кожного класу господарських операцій або бухгалтерських розрахунків залежить від розуміння аудитором ефективності побудови відповідних процедур контролю і від того, що він вважає ефективнішим: перевірки процедур контролю або самих бухгалтерських розрахунків. Аудитор може отримати необхідні йому докази проведенням перевірок бухгалтерських рахунків на суттєвість, але не може повністю вилучити проведення перевірок на суттєвість щодо всіх цілей, які ставляться при проведенні аудиту, і таких, що стосуються важливих бухгалтерських документів або класів господарських операцій. Результати перевірок на суттєвість або підтвердять правильність висновків аудитора, зроблених за оцінки властивого ризику і ризику контролю, або не підтвердять його.
Єдиних науково обґрунтованих методів визначення як сумарного аудиторського ризику, так і його компонентів не існує. Немає однакового простого, математично вивіреного підходу до об'єднання окремих рівнів ризику. Аудитори розходяться в питаннях щодо розмірів достатньо низького або високого ризику. Тому на сьогодні розробка науково обґрунтованих підходів для оцінки аудиторського ризику та його компонентів, а також нормативних моделей визначення важливості і об'єднання значень ризику для фінансових звітів є дуже важливим питанням.