Підсумком аудиторської перевірки є аудиторський висновок про достовірність, повноту та відповідність чинному законодавству і встановленим нормативам фінансової звітності підприємства. Але проведення аудиту завжди супроводжується певним ризиком. Тому аудитор повинен чітко оцінити такий аудиторський ризик, усвідомити його сутність і складові частини, визначити його максимально допустимий рівень. Це дуже важлива проблема, оскільки від розв'язання ЇЇ в значній мірі залежить якість наданих аудиторських послуг.
Національні нормативи аудиту визначають ризик аудиту або загальний ризик як такий, коли аудитор може висловити неадекватну думку в документах бухгалтерської звітності, в якій існують суттєві перекручення, інакше кажучи, за неправильно підготовленою звітністю буде представлено аудиторський висновок без зауважень.
Ризик аудиту має три складові частини:
o властивий ризик;
o ризик, пов'язаний з невідповідністю функціонування внутрішнього контролю;
o ризик невиявлення помилок та перекручень. Властивий ризик — це здатність залишку по певному бухгалтерському рахунку або певній категорії операцій до суттєвих перекручень показників фінансової звітності підприємства, або здатність до перекручень за цими показниками у комплексі з перекрученнями в інших рахунках чи операціях, з припущенням, що до них не застосовувалися заходи внутрішнього контролю підприємства.
Властивий ризик - це всі можливі ризики, пов'язані з діяльністю підприємства, тобто це всі помилки та некоректності, які можуть бути допущені внаслідок функціонування як підприємства в цілому, так і окремих його систем. Ризик виникнення таких помилок пов'язаний з дією різних факторів — зовнішніх та внутрішніх, таких, як:
загальна організація і структура підприємства;
політика управління та господарювання;
кадрова політика;
кваліфікація працівників і неналежне виконанням ними своїх обов'язків;
маркетингова стратегія та збут продукції тощо.
Такі фактори та обставини особливо мають враховувати аудитори України, оскільки вітчизняні підприємства перебувають у нелегких умовах функціонування, пов'язаних з загальною економічною ситуацією в країні. Є чимала вірогідність того, що деякі підприємства можуть збанкрутувати або зазнати збитків у зв'язку з зовнішніми умовами: зміною податкового законодавства, умовами кредитування, втратою клієнтів тощо. Все це і становить властивий ризик підприємства.
Властивий ризик оцінюється аудитором ще на підготовчій стадії аудиту, коли він тільки ознайомлюється з діяльністю підприємства, умовами його роботи, структурою й організацією управління та іншими питаннями. Під час оцінки властивого ризику, аудитор повинен звертати увагу на ті моменти, які можуть впливати на якість бухгалтерського обліку, тобто ризик оцінюється тільки на рівні фінансової звітності.
Ризик, пов'язаний з невідповідністю функціонування системи внутрішнього контролю, — це ризик неефективності внутрішнього контролю. Він полягає в тому, що системи бухгалтерського обліку та внутрішнього контролю не завжди можуть функціонувати настільки ефективно, щоб помилки, які можуть трапитися в залишку на певному бухгалтерському рахунку або у певній категорії операцій, були своєчасно попереджені, викриті, виправлені персоналом підприємства.
Ризик системи бухгалтерського обліку полягає в тому, що можуть бути допущені помилки або ошуканство внаслідок документування господарських операцій, неправильного відображення їх у регістрах бухгалтерського обліку і під час складання фінансової звітності. Оцінка такого ризику особливо важлива в момент трансформації обліку, та переходу його на нові національні Положення (стандарти) бухгалтерського обліку.
Оцінювання ефективності дії системи внутрішнього контролю ґрунтується на передбаченні аудитора можливості запобігання виявлення допущених суттєвих помилок у системі бухгалтерського обліку або можливості запобігання їм.
Система внутрішнього контролю виходить за межі аспектів, які безпосередньо стосуються тільки бухгалтерського обліку, і включає в себе:
а) середовище контролю, де відбуваються операції — заходи і записи, які характеризують загальне ставлення керівництва і власників підприємства до чинної системи внутрішнього контролю, важливість такої системи для підприємства.
До факторів середовища контролю належать:
організаційна система — розподіл обов'язків між керівництвом підприємства, кваліфікація і компетентність штату, взаємний контроль за роботою управлінського персоналу;
система документації та інформації — правильність документального оформлення господарських операцій, відображення їх в облікових регістрах; попередня нумерація бланків документів; можливість швидкого пошуку необхідної інформації тощо;
матеріальні засоби захисту — наявність спеціально обладнаних приміщень, сейфів, огорож, сигналізації, охорони, вказівних знаків, що дає певну гарантію у зберіганні активів підприємства; застосування системи кодів, паролів та інших засобів несанкціонованого доступу до інформації на персональних комп'ютерах;
штат — політика підприємства стосовно кваліфікації і компетентності фахівців; процедура приймання на роботу (найкраще — на конкурсній основі); заходи щодо підвищення кваліфікації персоналу і розмір оплати праці; перевірка виконання покладених обов'язків;
система спостереження — заходи щодо перевірки системи контролю;
б) специфічні заходи контролю, які включають:
періодичне зіставлення, аналіз і перевірку рахунків;
перевірку арифметичної точності записів;
контроль за умовами функціонування та використання комп'ютерних інформаційних систем, зокрема підтримання контролю над періодичними змінами комп'ютерних програм, доступом до бази інформаційних даних;
ведення і перевірка контрольних рахунків і перевірних облікових реєстрів по рахунках;
порядок проходження та затвердження документів (графік документообігу);
зіставлення прийнятих внутрішніх правил з вимогами законодавчих актів та зовнішніми джерелами інформації;
порівняння загальної суми наявних грошових коштів, вартості цінних паперів і товарно-матеріальних запасів із записами в облікових реєстрах;
аналіз фінансових результатів діяльності підприємства і порівняння із показниками фінансового плану (прогнозу).
Внутрішній контроль за функціонуванням системи обліку на підприємстві, необхідний для досягнення таких цілей:
дозвіл на проведення облікових операцій, який має здійснюватися у відповідності із загальним або спеціальним розпорядженням керівництва;
необхідність відображення всіх облікових операцій у вигляді точних підсумкових показників на відповідних рахунках обліку і у відповідний час, що дає можливість спеціалістам підготувати фінансову звітність згідно з встановленими вимогами;
доступ до облікових записів, який дозволяється тільки після погодження з керівництвом;
система обліку передбачає порядок, за якого записані активи зіставляються з активами, що є в наявності, через певні інтервали часу до всіх виявлених розбіжностей вживаються необхідні та своєчасні заходи щодо їх усунення.
Через існування звичайних обмежень наявні системи обліку і внутрішнього контролю не можуть дати аудитору доказів того, що поставлені перед внутрішнім контролем завдання виконані.
Існують такі звичайні обмеження: вимоги керівництва, полягають у тому, що витрати на внутрішній контроль не можуть перевищувати корисний ефект від його функціонування; більшість процедур внутрішнього контролю скеровані на
звичайні, а не на неординарні операції; можливість припущення помилки якоюсь службовою особою з причин необачності, неуважності, неправильного судження і неправильного розуміння законодавства, норм і правил; можливість уникнути проведення заходів внутрішнього контролю шляхом змови членів керівництва або співробітників з персоналом підприємства і третіми особами; можливість нехтування принципами внутрішнього контролю особами, відповідальними за забезпечення внутрішнього контролю; з причини несвоєчасного врахування змін певних обставин існує можливість проведення неадекватних процедур внутрішнього контролю.
У випадках, коли аудитор перевіряє підприємство тривалий час, визначення ступеня ризику систем обліку і внутрішнього контролю дещо полегшується, проте з'являється ймовірність того, що аудитор не помітить зниження ефективності внутрішнього контролю в цілому або по окремих його напрямках, використовуючи для оцінки дані про систему внутрішнього контролю, добуті під час попередніх перевірок.
Ризик невиявлення помилок полягає в тому, що аудиторські процедури підтвердження не завжди можуть виявити помилки, які існують у залишку на певному рахунку або в комплексі з перекрученнями в інших залишках бухгалтерських рахунків чи операцій.
Ризик системи внутрішнього контролю та властивий ризик не залежать від аудитора. Вони є результатом діяльності клієнта незалежно від проведення аудиту. На відміну від цих двох складових загального аудиторського ризику, ризик невиявлених помилок є наслідком виконаної аудитором роботи. За цей ризик аудитор несе повну відповідальність, тобто він визначає ступінь якості своєї діяльності.
Таким чином, ризик невиявлення безпосередньо пов'язаний з проведенням незалежних процедур перевірки. Здійснені аудитором оцінки невідповідності внутрішнього контролю і оцінка внутрішнього ризику впливають на характер, строки і обсяг процедур, які виконуються аудитором з метою зменшення ймовірності невиявлення помилок і перекручень і доводять ризик аудиту до прийнятого рівня. Певний ризик невиявлення помилок існує завжди, навіть коли аудитор перевірить 100 % залишків за рахунками або всі види операцій, тому що більша частина аудиторських доказів має більш запевнюючий (аргументний), ніж підсумковий характер.
Отже, аудитор має зробити все можливе (провести аудиторську перевірку так, щоб це давало йому найбільшу вірогідність виявлення суттєвих помилок), аби звести ризик невиявлення помилок до мінімуму. Цього можна досягти, проводячи більшу кількість аудиторських процедур і правильно обравши спосіб одержання аудиторських доказів. Таким чином, якість проведення аудиту може значною мірою оцінюватися ступенем прийнятного аудиторського ризику.
Прийнятний аудиторський ризик — це суб'єктивно встановлений рівень ризику, котрий готовий прийняти на себе аудитор. І якщо аудитор визначає для себе менший рівень аудиторського ризику, то це означає, що він прагне до більшої впевненості в тому, що фінансова звітність не має істотних помилок.
Для того щоб зовнішні користувачі повністю покладалися на достовірність фінансової звітності, аудитору необхідно намагатися якомога більше знизити рівень аудиторського ризику. Якщо за умови високої довіри до фінансової звітності у ній залишаться значні помилки, то це може завдати значної шкоди іміджу аудитора (аудиторської фірми). Наприклад, якщо після завершення аудиту і видачі позитивного висновку клієнт буде змушений заплатити значні фінансові санкції внаслідок перевірки податкових органів, то в аудитора виникне потреба захищати якість аудиту. Підприємство, яке втрачає свої гроші внаслідок фінансових санкцій, цілком природно може порушити судовий позов проти аудитора. Це може бути наслідком упевненості клієнта в тому, що аудитор не зумів провести аудиторську перевірку відповідним чином та згідно з бажанням замовника аудиту, і замовник може відшкодувати хоча б частину своїх втрат.
Як свідчить зарубіжний досвід, прийнятна величина загального аудиторського ризику становить 1 - 5 %. Тому під час оцінювання результатів перевірки надзвичайно важливою для аудитора є методика визначення розміру аудиторського ризику. До цього часу єдиної такої методики немає. Вона, як правило, розробляються кожною аудиторською фірмою самостійно. Вибираючи методику визначення аудиторського ризику та його
допустимий рівень, необхідно врахувати конкретні умови перевірки, її строк, характер діяльності клієнта, компетентність і кваліфікацію аудитора, його попередній досвід та багато інших чинників.
Найбільш загальна модель розрахунку аудиторського ризику має вид:
РА = РВ*РК*РН, (7.1)
де РА — загальний ризик аудиту;
РВ — властивий ризик;
РК — ризик системи контролю;
РН — ризик невиявлення помилок.
Ступінь аудиторського ризику за цією моделлю ґрунтується на експертній оцінці аудитора. Припустимо, що аудитор, оцінюючи напередодні програму аудиту, визначив, що властивий ризик клієнта становить 50%, ризик системи контролю — 70% і ризик помилок —10%. Тоді розрахунковий ризик аудиту становить:
РА = 0,5 • 0,7 • 0,1 = 0,035 (або 3,5 %).
Якщо рівень прийнятного для аудиторської фірми ризику становить 5%, то для цієї конкретної перевірки такий рівень аудиторського ризику може вважатися цілком задовільним.
Оцінка аудитором розміру складових частин аудиторського ризику може змінюватися протягом проведення аудиту, тому що в час виконання незалежних процедур перевірки до відома аудитора може дійти інформація, котра значно відрізняється від тієї, на підставі якої аудитор зробив попередню оцінку властивого ризику і ризику невідповідності внутрішнього контролю. В таких випадках аудиторові необхідно поміняти заплановані незалежні процедури перевірки, виходячи з переглянутої оцінки властивого ризику і ризику невідповідності внутрішнього контролю.
Причому, під час аудиту як великих, так і малих підприємств, де існують абсолютно різні якісні системи внутрішнього контролю, аудитор повинен мати однакову впевненість у можливості складення якісного позитивного висновку.