Поясним, как работает этот метод. Пусть аудитор рассматривает функционирование контрольной среды организации в качестве основы снижения рисков искажения финансовой отчетности в целом. Цель контрольной среды заключается в необходимости для руководства и представителей собственника создать и поддерживать культуру честного и этичного поведения. Некоторые средства контроля, обычно применяемые руководством в отношении данного риска, могут включать:
последовательную демонстрацию руководством приверженности высоким этическим стандартам;
снижение руководством такого рода стимулов, которые могли бы побудить сотрудников к нечестным или неэтичным действиям;
наличие кодекса поведения, устанавливающего этичные и моральные стандарты;
наличие четкого понимания персоналом того, какое поведение считается приемлемым (неприемлемым) и что они должны сделать, если сталкиваются с неприемлемым поведением;
производственные дисциплинарные меры в случае неприемлемого поведения.
Аудитор сначала должен сформулировать цель контроля и затем определить, существуют или нет какие-либо средства контроля, снижающие риски. В результате процедур проверки может подготавливаться рабочая документация (табл. 5).
После того как средства контроля выявлены, аудитор на основе профессионального суждения делает вывод, является ли их характер надлежащим для снижения соответствующих РСИ, т.е. адекватны ли они. Формулируя вывод о контрольной среде, аудитор должен оценить следующее:
создана ли руководством под надзором представителей собственника культура честности и этичного поведения;
создает ли совокупность элементов контрольной среды надлежащий фундамент для других компонентов внутреннего контроля и не подрываются ли эти другие компоненты слабостью элементов контрольной среды.
Такой вывод может оказать большое влияние на оценку аудитором риска для финансовой отчетности в целом.
Подход, ориентированный на рассмотрение средств контроля в отношении специфических РСИ на уровне предпосылок подготовки финансовой отчетности. Данный подход, как правило, применяется на уровне бизнес-процесса и может быть наглядно проиллюстрирован следующей матрицей (см. рис.).
Примечание:С, Е, А — предпосылки руководства в отношении подготовки финансовой отчетности, где С — предпосылка в отношении полноты; Е — предпосылка в отношении существования; А — предпосылка в отношении точности; П — превентивные средства контроля (направлены на недопущение искажений); ВИ — выявляющие и исправляющие средства контроля.
Как же определить на основании приведенной матрицы слабости внутреннего контроля и ключевые средства контроля?
Выявление слабости внутреннего контроля происходит следующим образом:
по каждому столбцу риска необходимо определить, какие контрольные процедуры действуют для его снижения — если существуют достаточные средства контроля, то слабости контроля нет;
если для риска существует мало процедур или они отсутствуют, может иметь место существенная слабость (например, это риск С, в отношении которого средства контроля не выявлены и для которого имеет место существенная слабость внутреннего контроля) — в такой ситуации от аудитора требуется:
– запросить о наличии любых иных процедур СВК, в том числе компенсирующих; если таковых нет, может иметь место существенная слабость СВК, о которой следует сообщить руководству и представителям собственника как можно раньше, чтобы можно было предпринять корректирующие действия,
– рассмотреть, требуются ли дальнейшие аудиторские процедуры в ответ на выявленный риск.
Компенсирующие процедуры контроля — это такие процедуры, которые могут быть связаны с данным риском опосредованно. Так, риск отправления готовой продукции заказчику без оформления документов может быть выявлен менеджером по продажам в ходе ежеквартальной проверки объемов продаж. Однако очевидно, что такая контрольная процедура сама по себе не является достаточной для снижения данного риска.
Выявление ключевого средства внутреннего контроля.Ключевые средства внутреннего контроля — это средства, действующие одновременно в отношении нескольких РСИ. Для их выявления следует рассмотреть матрицу средств контроля и выявить те процедуры, которые работают в отношении нескольких факторов риска. Например, процедура 3 относится к трем рискам и трем предпосылкам, что является примером средства контроля (часто называемого ключевым), которое при условии его надежности может тестироваться на операционную эффективность, особенно когда такое тестирование способно привести к снижению объема детальных тестов.
Если у аудитора возникают любые сомнения в том, что выявленные средства контроля действительно применяются, ему следует переходить к оценке и документированию функционирования средства контроля только после того, как он убедится, что эти средства контроля применяются на практике.
Последний момент в оценке средства контроля — это формулирование аудитором вывода о том, снижают ли выявленные средства контроля конкретные РСИ. Такая оценка требует применения профессионального суждения. Для каждой предпосылки или РСИ аудитору следует рассмотреть, является ли реакция на него руководства достаточной для снижения риска до приемлемо низкого уровня.
Когда аудитор использует матрицу средств контроля, то нижний ряд матрицы может применяться для документирования вывода о надлежащем характере средств контроля для снижения каждого из факторов риска.
Если аудитор считает, что характер средств контроля не является адекватным, нет необходимости идти дальше и оценивать операционную эффективность. Вполне вероятно, что уже имеет место существенная слабость СВК.
Этап 3. Рассмотрение применяемости средства контроля
Для определения того, применяются ли на практике выявленные средства контроля, аудитору недостаточно провести только опрос персонала. Объясняется это следующим: люди, как правило, могут надеяться на то, что предусмотренное СВК средство контроля действительно применяется, но на практике это не так. Документально описанное средство контроля, которое не применяется на практике или не работает надлежащим образом при применении, не имеет ценности для аудита.
Оценка фактического применения средств контроля может проводиться с помощью:
опроса персонала;
наблюдения или повторного выполнения процедуры;
инспектирования документов и отчетов;
прослеживания внутри информационной системы подготовки отчетности отражения одной или более операций (прослеживание не является тестом операционной эффективности средства контроля).
Существует несколько причин для проведения наблюдений за функционированием СВК. Это:
изменение бизнес-процессов — со временем бизнес-процессы изменяются в силу перехода к производству новых продуктов (оказанию новых видов услуг), изменений в персонале или перехода на новые IT-программы;
неправильное описание — персонал организации может объяснять аудитору, как система должна работать, а не то, как она работает на практике;
недостаток информации — некоторые аспекты системы могут быть ненамеренно недостаточно изучены при получении понимания СВК.
Проверка применяемости средства контроля представляет аудиторские доказательства того, что выявленное средство было применено в определенный момент времени, но не рассматривает операционную эффективность этого средства. Свидетельства операционной эффективности (если это предусмотрено стратегией аудита и аудиторским подходом) будут получены в ходе проведения тестов контроля, которые рассматривают доказательства в отношении действия средства в течение определенного периода времени, например года.
Только после того, как установлено, что средства контроля, имеющие отношение к аудиту, правильно разработаны и применяются на практике, рассматривается:
какие тесты операционной эффективности средств контроля позволят сократить объем тестирования по существу;
какие из средств контроля нужно тестировать, поскольку нет иного способа получить достаточные надлежащие аудиторские доказательства.
Оценка адекватности и применяемости средств контроля принципиально отличается от проведения тестирования операционной эффективности средств контроля. Так, в отношении:
адекватности средств контроля аудитор должен определить, разработаны ли в организации средства контроля, направленные на снижение РСИ;
применяемости средств контроля аудитор должен выяснить, действуют ли на практике разработанные средства контроля, причем процедуры в отношении применения средств контроля с целью выявления изменений в СВК должны проводиться для каждого аудируемого периода;
тестирования операционной эффективности средств контроля от аудитора требуется ответить на вопрос, действуют ли средства контроля эффективно в течение определенного периода времени. При этом у аудитора нет обязанности проводить тестирование эффективности средств контроля, кроме тех случаев, когда нет иного способа получить достаточные надлежащие аудиторские доказательства (т.е. для высокоавтоматизированных или бездокументарных систем учета); таким образом, принятие решения о проверке операционной эффективности средств контроля является вопросом профессионального суждения аудитора.
Для повторных аудитов рекомендуется начать рассмотрение средств контроля с их применяемости с целью понять, что изменилось в СВК организации. При этом в качестве отправной точки следует использовать полученную по аудитам за прошлые периоды документацию о характере средств контроля. Если выявлены изменения в СВК, необходимо определить, что пересмотренные либо новые средства контроля продолжают снижать РСИ или что существуют новые РСИ, которые следует понижать.