Петрик Аудит у заробіжних країнах (2002)
ТЕМА 4. Аудиторський ризик та аудиторські докази. суттєвість помилок
ПЛАН
1. Суть аудиторського ризику.
2. Складові аудиторського ризику.
3. Методика визначення аудиторського ризику.
4. Суттєвість помилок в аудиті.
5. Аудиторські докази та їх види.
Проведення аудиту завжди супроводжується певним ризиком. Аудитор повинен чітко розуміти, у чому полягає аудиторський ризик, його суть, складові, як його визначити і його максимально допустимий рівень. Це дуже важлива проблема, оскільки від розв'язання її залежить: згода аудитора на проведення перевірки фінансової звітності або відмова від неї; складання плану перевірки фінансової звітності та визначення її строків; вибір напрямів, підходів, методів і прийомів аудиторської перевірки.
Про актуальність оцінки аудиторського ризику свідчить той факт, що цьому питанню приділяється увага принаймні в шести діючих на сьогодні міжнародних нормативах аудиту.
У чому ж полягає аудиторський ризик? Яка його суть? Аудиторський ризик являє собою побоювання того, що аудитор може висловити невідповідну думку про фінансову звітність, яка має суттєво недостовірну інформацію. Для того щоб усвідомити й оцінити вирішальне значення визначення аудиторського ризику для належного виконання ним своїх професійних обов'язків, з найменшою вірогідністю допущення помилок або неточностей у роботі, забезпечення найбільшої ефективності перевірки звернемося до історичних етапів розвитку аудиту і професії аудитора.
Із зарубіжної літератури і практики відомо, що аудит має кілька підходів:
1) підтверджуючий аудит;
2) процедурний аудит;
3) системний аудит;
4) аудит зон ризику.
Не вдаючись до докладного висвітлення суті кожного із зазначених підходів, зауважимо, що підтверджуючий аудит полягає у перевірці дуже великої кількості фактичного матеріалу, різних бухгалтерських записів, для того щоб зробити загальний висновок. При цьому має місце майже дублювання бухгалтерських записів клієнта, а отже, і витрата великої кількості праці аудитора. Проте навіть при цьому може мати місце ризик неправильного висновку про фактичний стан справ, наприклад через невідповідність тлумачення добутих даних, узагальнення їх та ін.
З використанням процедурного аудиту обсяг роботи аудитора трохи скорочується у зв'язку з тим, що на підприємстві діють заздалегідь визначені процедури обробки даних, а аудитор перевіряє надійність їх. Однак і в цьому разі аудитор може застосовувати невідповідні методи одержання аудиторських доказів, що також становить аудиторський ризик.
При системному аудиті оцінюють ефективність функціонування систем (системи бухгалтерського обліку і системи внутрішнього контролю) підприємства-клієнта. Тому необхідно передбачити, а отже й оцінити, ризик того, що у цих системах у певних місцях можуть виникнути перебої або що вони є недосконалими, тобто оцінюються не власне самі дані, а якість одержання і контролю їх.
Найбільшу увагу приділяють визначенню величини аудиторського ризику при використанні четвертого із зазначених нами підходів — аудиту зон ризику. При цьому підході визначають найсуттєвіші позиції об'єкта перевірки (фінансової звітності підприємства) з урахуванням особливостей діяльності підприємства, яке перевіряють (галузі; структури управління;
організації систем обліку і контролю, їх методики та ін.), а також зони ризику в усіх напрямках аудиторської перевірки, тобто місця, де вища вірогідність виникнення, допущення і можливого невиявлення помилок або обману. Такий підхід до проведення аудиту є найбільш перспективним, оскільки він дуже економічний у зв'язку з тим, що скорочується строк проведення аудиторської перевірки, її трудомісткість і підвищується ефективність. Проте зазначимо, що аудиторський ризик має місце при використанні всіх чотирьох зазначених підходів, але різною мірою. Особливої ваги визначення аудиторського ризику набуває при застосуванні підходу системного аудиту, а тим більше аудиту зон ризику.
Вище нами було дано визначення загального аудиторського ризику. Згідно з міжнародними нормативами аудиту загальний аудиторський ризик включає:
1) властивий ризик;
2) ризик контролю;
3) ризик невиявлення.
Зазначені складові аудиторського ризику у різних країнах називають по-різному, проте вони мають приблизно однакове тлумачення.
У міжнародних нормативах їх називають компонентами, у франції— елементами, у Шотландії— частинами.
Властивий ризик (внутрішній ризик — у Шотландії; загальні ризики пов'язані з підприємством — у Франції) являє собою всі можливі ризики, пов'язані з функціонуванням підприємства, тобто це всі помилки, неточності, які можуть бути допущені внаслідок діяльності підприємства. Ризик виникнення таких помилок обумовлений дією різних чинників, як зовнішніх, так і внутрішніх, часто безпосередньо не пов'язаних з підприємством-клієнтом (це інфляція, конкуренція, безробіття та ін.). Цей ризик також можуть спричинювати різні фактори, пов'язані з:
— ринком збуту продукції;
— загальною організацією і структурою підприємства;
— політикою управління і господарювання;
— кадровою політикою і штатами;
— кваліфікацією працівників і неналежним виконанням ними своїх обов'язків.
Наприклад: несвоєчасно застраховане майно, яке знищено внаслідок стихійного лиха; підприємство раптово втратило основного постійного клієнта; головний бухгалтер не має необхідного рівня освіти та ін.
Такі фактори особливо повинні враховувати аудитори України, оскільки вітчизняні підприємства перебувають у нелегких економічних умовах функціонування, пов'язаних із загальною економічною ситуацією у країні. Є немала вірогідність, що деякі підприємства можуть збанкрутувати або зазнати певних збитків через зовнішні умови, що склалися, — втрата клієнтів, постачальників, перебої з поставками, зміни умов кредитування, оподаткування та ін. Все це і становить властивий ризик підприємства. Аудитор при цьому не може нічого змінити, проте він повинен оцінити ситуацію, що склалася, для того, як підкреслюють шотландські аудитори, щоб зосередити зусилля у ході перевірки на галузях, пов'язаних з потенційними труднощами.
Властивий ризик оцінюється аудитором ще на підготовчій, початковій стадії аудиту, коли він тільки ознайомлюється з діяльністю підприємства, структурою та організацією управління, місцезнаходженням його складових та іншими питаннями. Аудитор для цього використовує як інформацію, подану підприємством-клієнтом, так і інформацію із зовнішніх джерел.
Оцінюючи властивий ризик, аудитор повинен звертати увагу на ті моменти, які можуть впливати на якість бухгалтерської звітності, тобто ризик оцінюється на рівні фінансової звітності. А це означає, що з усієї сукупності виокремлюється коло ризиків підприємства, не пов'язаних зі складанням бухгалтерської звітності, підтвердити яку і повинен аудитор.
Наступною складовою аудиторського ризику є ризик контролю.
Ризиком контролю є побоювання того, що недостовірна інформація, яка може виникнути і бути суттєвою окремо або разом з іншою недостовірною інформацією, не буде виявлена або своєчасно застережена системою внутрішнього контролю. Нагадаємо, що виходячи із зарубіжного досвіду суттєвою або матеріальною .вважають помилку, яка сама або в сукупності з іншими спотворює фінансову звітність на 4—5% від загального підсумку звітності, або сама по собі незначна, проте змінює фінансовий результат на протилежний — збиток на прибуток, і навпаки.
Ризик контролю у Шотландії називають ризиком, пов'язаним з контролем, а у Франції — ризиком, пов'язаним з характером оброблюваних операцій, а також зі створенням і функціонуванням систем, що трохи відрізняються від міжнародних нормативів. З наведеного визначення ризику контролю можна зробити висновок, що він складається з двох компонентів — ризику системи бухгалтерського обліку і ризику систем внутрішнього контролю.
Як вважають шотландські фахівці, є ризик того, що помилкам не вдасться запобігти завчасно і що вони будуть допущені або їх не буде виявлено після виникнення. Аудитор мало що може зробити для того, щоб виправити таку ситуацію у короткий термін, проте він повинен її оцінити, щоб правильно спланувати аудиторську перевірку. Тому аудитор повинен при визначенні ризику контролю оцінити надійність, ефективність і дієвість систем бухгалтерського обліку і внутрішнього контролю підприємства-клієнта.
Ризик системи бухгалтерського обліку полягає в тому, що, можливо, будуть допущені помилки або обман унаслідок документування господарських операцій, неправильного відображення їх у регістрах бухгалтерського обліку і складання фінансової звітності. Інакше кажучи, це означає, що система обліку є неефективною, не повністю надійною. Оцінка такого ризику особливо важлива нині для аудиторів України. Тепер перед бухгалтерами України поставлено завдання правильного ведення бухгалтерського обліку в ситуації, що склалася, коли часто змінюється законодавство, нормативи інструкції. Це потребує великої уваги, сумлінності, чесності аудиторів, водночас збільшує обсяг облікових робіт, що, у свою чергу, зумовлює збільшення можливості допущення помилок як унаслідок недостатнього розуміння суті, так і арифметичних неточностей, пропусків інформації та ін. Усе це посилює і збільшує ризик для аудитора у системі бухгалтерського обліку підприємства-клієнта.
Для оцінки величини ризику системи бухгалтерського обліку аудитор повинен вивчити характер діяльності підприємства-клієнта, господарські операції (звичайні), які найчастіше повторюються, а також виділити незвичайні, нетрадиційні, надзвичайні операції і причини, що зумовили їх; вивчити систему бухгалтерського обліку, яка застосовується на підприємстві, і сам процес ведення обліку та складання звітності; склад і кваліфікацію працівників бухгалтерії, особливо головного бухгалтера, а також посадові інструкції і розподіл функціональних обов'язків між обліковим персоналом та інші важливі питання.
На величину ризику контролю впливає також факт виявлення під час попередньої аудиторської перевірки помилок, неточностей у веденні бухгалтерського обліку, що знижує довіру до нього збільшує ризик (це повинні враховувати аудитори при проведенні наступних аудиторських перевірок).
У зарубіжній літературі і практиці, зокрема в США, виділяється ВДнцепція відносного ризику щодо умов, при яких збільшується або зменшується ефективність і надійність обліку, й виділяються статті активів і пасивів балансу, які являють собою зону ризиків, тобто за якими вірогідність помилки або обману більша, ніж за іншими статтями або показниками. До статей високого ризику можна віднести, наприклад, такі: «Каса», «Розрахунковий рахунок», «Матеріальні запаси», «Дебітори», «Кредитори», «Нематеріальні активи» та ін. Тому аудиторська перевірка має бути проведена більш ретельно за статтями з відносно високим ризиком, особливо в разі низької оцінки загальної ефективності систем обліку.
Все ж навіть якщо система є надійною за своєю будовою, як вважають аудитори Франції, вона може бути неповноцінною у своєму функціонуванні. Незалежно від будь-якого бажання вийти за межі системи, може статися порушення її функціонування. У зв'язку з цим аудитору важливо оцінити ризик самої системи внутрішнього контролю підприємства-клієнта, але передусім переконатися в її наявності, існуванні і використанні. В основу оцінки ефективності дії системи внутрішнього контролю покладено передбачення аудитора, що існуюча система внутрішнього контролю не зможе виявити допущені суттєві помилки в системі бухгалтерського обліку або не зможе запобігти їм.
Для того щоб дійти певного висновку з цього питання, аудитор повинен докладно вивчити (ще на підготовчому етапі аудиторської перевірки) систему внутрішнього контролю. З цією метою він вивчає порядок обробки даних на підприємстві і встановлює, як здійснюється внутрішній контроль (у ручну або автоматизовано) і його дієвість. Це дуже важливо, оскільки аудитор у своїй роботі багато в чому може покластися (довіряти) на результати внутрішнього контролю, якщо він матиме до нього високий ступінь довіри.
З практичного досвіду французьких аудиторських фірм аудитор оцінює такі складові внутрішнього контролю (попередньо визначивши його спрямованість і вплив на систему бухгалтерського обліку і якість складання фінансової звітності):
Організаційну систему — розподіл повноважень між керівництвом підприємства, кваліфікація і компетентність штату, виконання обов'язків, а також взаємний контроль за роботою управлінського персоналу;
Систему документації й інформації— правильність документального оформлення господарських операцій, відображення їх в облікових регістрах; простежування шляху проходження документа з моменту одержання дозволу на здійснення господарської операції і його складання до здавання в архів; попередня нумерація бланків документів та ін.; форма поширення, обробки і класифікації інформації; можливість швидкого пошуку необхідної інформації, здійснення аналізу наявної інформації і використання добутих даних для прийняття управлінських рішень; контроль за можливим допущенням неточностей або виявленням помилок;
Матеріальні засоби захисту — наявність спеціально обладнаних приміщень, надійних стін, дверей, сейфів, огорож, сигналізації, охорони, вказівних знаків, що дає певну гарантію збереження активів підприємства (запасів товарно-матеріальних цінностей, готової продукції, коштів у касі); застосування системи кодів, паролів та інших засобів несанкціонованого доступу до інформації на персональних автоматизованих робочих місцях;
Штат — політика підприємства стосовно кваліфікації і компетентності фахівців; процедура приймання на роботу (найкраще на конкурсній основі); заходи щодо підвищення кваліфікації персоналу; розмір оплати праці; перевірка виконання покладених обов'язків;
Систему спостереження — заходи щодо перевірки дієвості системи контролю, що передбачає безперервну дію її, пристосовуваність до ситуацій, які виникли, актуалізація завдань і проблем, які повинен розв'язувати внутрішній контроль, наприклад, зі зміною стратегії подальшої діяльності підприємства-клієнта.
Усі зазначені напрями оцінки системи внутрішнього контролю є надзвичайно важливими для аудиторів України, оскільки, крім визначення її ефективності і ступеня довіри до неї, вони повинні передусім під час попереднього ознайомлення з підприємством допомогти правильно організувати таку систему у клієнта, бо на дуже небагатьох вітчизняних підприємствах вона перебуває на належному рівні організації і використання, і у зв'язку з цим виникає чимало проблем, яких можна було б уникнути при надійній системі внутрішнього контролю.
Після оцінки системи внутрішнього контролю (яка часто оцінюється аудитором разом з системою бухгалтерського обліку внаслідок тісного взаємозв'язку їх) аудитор може приступити до планування аудиторської перевірки, маючи вже можливість обгрунтованого вибору напрямів аудиту і необхідних для його здійснення методів і прийомів, кількості потрібних аудиторських процедур, найбільш прийнятних видів аудиторських доказів (добутих аудитором унаслідок незалежних аудиторських процедур; від третіх незаінтересованих осіб; наданих підприємством-клієнтом).
Допоміжним інструментом при оцінці систем бухгалтерського обліку і внутрішнього контролю, як свідчить зарубіжний досвід, є так звані анкети внутрішнього контролю, де викладені запитання, які аудитор повинен поставити у ході перевірки зазначених систем. Структура таких анкет, набір запитань не стандартні. Як правило, кожною аудиторською фірмою розробляються базові анкети, які потім конкретизуються аудитором відповідно до кожного конкретного підприємства-клієнта. Такі анкети особливо важливі як робочі документи аудитора під час використання даних внутрішнього контролю.
Зазначимо, що згідно з міжнародними нормативами аудиту, аудитора не стосуються ті рішення і процедури у рамках систем обліку і внутрішнього контролю, які не належать до фінансової інформації.
У випадку, якщо аудитор перевіряє підприємство тривалий час (протягом 4—6 років), то визначення ступеня ризику систем обліку і внутрішнього контролю дещо полегшується, проте з'являється вірогідність того, що аудитор не помітить зниження ефективності такого контролю в цілому або за окремими його напрямками, використовуючи дані про систему внутрішнього контролю, одержані під час попередніх перевірок.
Зі схеми аудиторського ризику, видно, що третім компонентом, складовою аудиторського ризику є ризик невиявлення.
Ризик невиявлення (ризик, пов'язаний з можливістю невиявлення помилок — у Шотландії, ризик невиявлення помилок, пов'язаний з аудитом, — у Франції) означає, що суттєві помилки можуть залишитися невиявленими у ході аудиторської перевірки.
Певний ризик невиявлення завжди матиме місце, навіть якщо аудитор повинен буде обстежити 100% залишків за рахунками, оскільки він може вибрати невідповідну аудиторську процедуру або неправильно інтерпретувати результати аудиту.
Визначення аудитором величини ризику невиявлення (тобто він установлює його сам для себе) тісно пов'язане з величиною ризику систем обліку і внутрішнього контролю. Чим вищий ризик останніх, що означає невисокий ступінь довіри аудитора до систем обліку і внутрішнього контролю, тим менший ризик невиявлення необхідно встановити для цієї перевірки. А це означає, що аудитор повинен запланувати і виконати значний обсяг підтверджуючих і незалежних процедур, інакше кажучи, ризик невиявлення — це та частка похибки аудиторської перевірки, яку аудитор може собі дозволити при системах обліку і внутрішнього контролю, що склалися на підприємстві-клієнті, у разі додержання умови якості проведення робіт і відповідності їх установленим аудиторським нормативам.
Ризик контролю і властивий ризик не залежать від аудитора і рій не може на них вплинути. Як зазначено у міжнародному нормативі, ці ризики існують незалежно від аудиторської перевірки фінансової звітності і є результатом діяльності клієнта незалежно від проведення аудиту. На відміну від цих двох складових аудиторського ризику, ризик невиявлення є результатом аудиторської перевірки, наслідком виконаної аудитором роботи. За цей ризик аудитор несе повну відповідальність, тобто ризик визначає ступінь якості, рівень його діяльності.
Отже, аудитор повинен зробити все можливе (провести аудиторську перевірку так, щоб це давало найбільшу вірогідність невиявлення суттєвих помилок), щоб звести ризик невиявлення до мінімуму. Цього можна досягти, проводячи більшу кількість аудиторських процедур і правильно вибравши спосіб одержання аудиторських доказів. Так, аудиторські докази, добуті самим аудитором, вважають більш достовірними порівняно, наприклад, з одержаними від підприємства.
В аудиторів України, на жаль, і це зрозуміло, ще недостатній досвід у визначенні аудиторського ризику. Тому необхідно використовувати найкраще у зарубіжному досвіді з цього питання, особливо при використанні такого підходу до проведення аудиту, як аудит зон ризику. Як стверджують видатні професійні аудитори Шотландії; за умови надійних систем обліку і внутрішнього контролю, як правило, встановлюють високий поріг виявлення помилок, що дає змогу скоротити обсяг аудиторських процедур, тестів і зосередити увагу на галузях, пов'язаних з найбільшим ризиком, ураховуючи специфіку конкретного підприємства (це запаси, кошти та ін.). При цьому здебільшого використовуються такі методи і прийоми, які спрямовані на виявлення помилок після здійснення їх, а не на запобігання їм.
Як свідчить зарубіжна спеціальна література (Р. Додж, Дж. Робертсон), ризик невиявлення складається з ризику аналітичного огляду і ризику неефективності тестового контролю, що обов'язково необхідно враховувати.
Визначений таким чином на підготовчому етапі аудиторський ризик не є величиною сталою. Його значення може змінюватися, коригуватися під час проведення аудиторської перевірки. Тобто може збільшуватися кількість аудиторських процедур, змінюватися напрям аудиторської перевірки, коригуватися план роботи.
Звертаємо увагу на те, що не слід ототожнювати розглянутий нами аудиторський ризик із загальним ризиком аудиторської фірми, безумовно, тісно пов'язаним з ризиком невиявлення. Це означає, що аудиторська фірма ризикує втратити або погіршити свою репутацію, імідж у разі низької якості проведення аудиту, що призводить до втрати потенційних клієнтів, а в гіршому випадку до припинення її діяльності й позбавлення права проводити аудит. Якщо помилку не виявлено, але вона передбачається, то це має бути обов'язково застережене аудитором у його звіті й аудиторському висновку, що стало правилом у зарубіжній практиці.
Дуже важливим питанням для аудитора є методика визначення величини аудиторського ризику. Зазначимо, що єдиної такої методики немає. Вона, як правило, розробляється кожною аудиторською фірмою або окремим аудитором відповідно до умов конкретної перевірки. З цією метою створюють так звані моделі аудиторського ризику, які постійно удосконалюються.
Як свідчить зарубіжний досвід, прийнятна величина загального аудиторського ризику становить 1—5% (0,01—0,05). Вибираючи методику визначення аудиторського ризику і його допустиму величину, необхідно враховувати конкретні умови перевірки, ЇЇ термін, характер діяльності клієнта, компетентність і кваліфікацію аудитора, його попередній досвід аудиторських перевірок і багато інших факторів.
Проте на підставі вивчення спеціальної зарубіжної літератури (Р. Додж, Дж. Робертсон), можна подати найбільш загальну методику (модель) розрахунку аудиторського ризику, яка може бути виражена такою формулою:
АР = РО • РК • РВ,
де АР — аудиторський ризик;
РО — ризик системи обліку;
РК— ризик системи внутрішнього контролю;
РВ— ризик невиявлення помилок аудитором.
Найбільш повно методику розрахунку аудиторського ризику розкрив Дж. Робертсон, який зазначив ряд важливих моментів:
— аудитор не може повністю довіряти системам обліку і внутрішнього контролю підприємства-клієнта. У такому разі ризик системи обліку або внутрішнього контролю зводиться до нуля (РО = 0, РК = 0), а це означає, що і загальний аудиторський ризик, виходячи з формули, дорівнюватиме нулю, чого не може бути, оскільки кожна аудиторська перевірка супроводжується певним ризиком;
— аудитор не може дозволити собі встановити високий рівень ризику невиявлення (наприклад, більш як 50%) при високих ризиках систем обліку і внутрішнього контролю, оскільки у цьому разі загальний аудиторський ризик буде також дуже високим (більш як 5%), чого допустити не можна, бо перевірку вважатимуть проведеною не на належному рівні.
Наприклад:
АР = РО (0,8) • РК (0,9) • РВ (0,5) = 0,36;
— аудиторську перевірку вважатимуть проведеною на належному рівні, якщо аудитор установить низький ризик невиявлення (0,01) за умови повної недовіри до систем обліку і внутрішнього контролю клієнта.
Так,
АР = РО (1,0) • РК(1,0) • РВ (0,01) = 0,01.
З урахуванням поданої вище загальної моделі аудиторського ризику і того, що ризик невиявлення, як уже було зазначено, складається з ризику тестового контролю і ризику аналітичного огляду, розрахунок може бути таким:
АР = РО • РО • РК • РАО • РТ,
де РАО— ризик аналітичного огляду;
РТ— ризик тестового контролю.
Такий принцип оцінки аудиторського ризику широко використовується на практиці, наприклад аудиторською фірмою КРМО у Німеччині.
Зарубіжний досвід свідчить, що величину оцінки аудиторського ризику можна не тільки виражати у процентах, коефіцієнтах, абсолютному числовому значенні, вона може бути визначена аудитором і словами: «низький», «середній», «високий», що часто використовується на практиці.
Суттєвою вважається помилка виявлена в процесі аудиту, яка значно викривлює фінансовий стан підприємства, змінює результат його діяльності або розмір якої більше 5% підсумку балансу.
Аудиторські докази — це інформація, що її отримує аудитор під час аудиторської перевірки з метою підтвердження бухгалтерської звітності.
Види аудиторських доказів:
—отримані самим аудитором;
—надані підприємством-клієнтом;
—отримані від третіх осіб.
1. Суть аудиторського ризику.
2. Складові аудиторського ризику.
3. Методика визначення аудиторського ризику.
4. Суттєвість помилок в аудиті.
5. Аудиторські докази та їх види.
Проведення аудиту завжди супроводжується певним ризиком. Аудитор повинен чітко розуміти, у чому полягає аудиторський ризик, його суть, складові, як його визначити і його максимально допустимий рівень. Це дуже важлива проблема, оскільки від розв'язання її залежить: згода аудитора на проведення перевірки фінансової звітності або відмова від неї; складання плану перевірки фінансової звітності та визначення її строків; вибір напрямів, підходів, методів і прийомів аудиторської перевірки.
Про актуальність оцінки аудиторського ризику свідчить той факт, що цьому питанню приділяється увага принаймні в шести діючих на сьогодні міжнародних нормативах аудиту.
У чому ж полягає аудиторський ризик? Яка його суть? Аудиторський ризик являє собою побоювання того, що аудитор може висловити невідповідну думку про фінансову звітність, яка має суттєво недостовірну інформацію. Для того щоб усвідомити й оцінити вирішальне значення визначення аудиторського ризику для належного виконання ним своїх професійних обов'язків, з найменшою вірогідністю допущення помилок або неточностей у роботі, забезпечення найбільшої ефективності перевірки звернемося до історичних етапів розвитку аудиту і професії аудитора.
1) підтверджуючий аудит;
2) процедурний аудит;
3) системний аудит;
4) аудит зон ризику.
Не вдаючись до докладного висвітлення суті кожного із зазначених підходів, зауважимо, що підтверджуючий аудит полягає у перевірці дуже великої кількості фактичного матеріалу, різних бухгалтерських записів, для того щоб зробити загальний висновок. При цьому має місце майже дублювання бухгалтерських записів клієнта, а отже, і витрата великої кількості праці аудитора. Проте навіть при цьому може мати місце ризик неправильного висновку про фактичний стан справ, наприклад через невідповідність тлумачення добутих даних, узагальнення їх та ін.
З використанням процедурного аудиту обсяг роботи аудитора трохи скорочується у зв'язку з тим, що на підприємстві діють заздалегідь визначені процедури обробки даних, а аудитор перевіряє надійність їх. Однак і в цьому разі аудитор може застосовувати невідповідні методи одержання аудиторських доказів, що також становить аудиторський ризик.
При системному аудиті оцінюють ефективність функціонування систем (системи бухгалтерського обліку і системи внутрішнього контролю) підприємства-клієнта. Тому необхідно передбачити, а отже й оцінити, ризик того, що у цих системах у певних місцях можуть виникнути перебої або що вони є недосконалими, тобто оцінюються не власне самі дані, а якість одержання і контролю їх.
Найбільшу увагу приділяють визначенню величини аудиторського ризику при використанні четвертого із зазначених нами підходів — аудиту зон ризику. При цьому підході визначають найсуттєвіші позиції об'єкта перевірки (фінансової звітності підприємства) з урахуванням особливостей діяльності підприємства, яке перевіряють (галузі; структури управління;
організації систем обліку і контролю, їх методики та ін.), а також зони ризику в усіх напрямках аудиторської перевірки, тобто місця, де вища вірогідність виникнення, допущення і можливого невиявлення помилок або обману. Такий підхід до проведення аудиту є найбільш перспективним, оскільки він дуже економічний у зв'язку з тим, що скорочується строк проведення аудиторської перевірки, її трудомісткість і підвищується ефективність. Проте зазначимо, що аудиторський ризик має місце при використанні всіх чотирьох зазначених підходів, але різною мірою. Особливої ваги визначення аудиторського ризику набуває при застосуванні підходу системного аудиту, а тим більше аудиту зон ризику.
Вище нами було дано визначення загального аудиторського ризику. Згідно з міжнародними нормативами аудиту загальний аудиторський ризик включає:
1) властивий ризик;
2) ризик контролю;
3) ризик невиявлення.
Зазначені складові аудиторського ризику у різних країнах називають по-різному, проте вони мають приблизно однакове тлумачення.
Властивий ризик (внутрішній ризик — у Шотландії; загальні ризики пов'язані з підприємством — у Франції) являє собою всі можливі ризики, пов'язані з функціонуванням підприємства, тобто це всі помилки, неточності, які можуть бути допущені внаслідок діяльності підприємства. Ризик виникнення таких помилок обумовлений дією різних чинників, як зовнішніх, так і внутрішніх, часто безпосередньо не пов'язаних з підприємством-клієнтом (це інфляція, конкуренція, безробіття та ін.). Цей ризик також можуть спричинювати різні фактори, пов'язані з:
— ринком збуту продукції;
— загальною організацією і структурою підприємства;
— політикою управління і господарювання;
— кадровою політикою і штатами;
— кваліфікацією працівників і неналежним виконанням ними своїх обов'язків.
Наприклад: несвоєчасно застраховане майно, яке знищено внаслідок стихійного лиха; підприємство раптово втратило основного постійного клієнта; головний бухгалтер не має необхідного рівня освіти та ін.
Такі фактори особливо повинні враховувати аудитори України, оскільки вітчизняні підприємства перебувають у нелегких економічних умовах функціонування, пов'язаних із загальною економічною ситуацією у країні. Є немала вірогідність, що деякі підприємства можуть збанкрутувати або зазнати певних збитків через зовнішні умови, що склалися, — втрата клієнтів, постачальників, перебої з поставками, зміни умов кредитування, оподаткування та ін. Все це і становить властивий ризик підприємства. Аудитор при цьому не може нічого змінити, проте він повинен оцінити ситуацію, що склалася, для того, як підкреслюють шотландські аудитори, щоб зосередити зусилля у ході перевірки на галузях, пов'язаних з потенційними труднощами.
Властивий ризик оцінюється аудитором ще на підготовчій, початковій стадії аудиту, коли він тільки ознайомлюється з діяльністю підприємства, структурою та організацією управління, місцезнаходженням його складових та іншими питаннями. Аудитор для цього використовує як інформацію, подану підприємством-клієнтом, так і інформацію із зовнішніх джерел.
Оцінюючи властивий ризик, аудитор повинен звертати увагу на ті моменти, які можуть впливати на якість бухгалтерської звітності, тобто ризик оцінюється на рівні фінансової звітності. А це означає, що з усієї сукупності виокремлюється коло ризиків підприємства, не пов'язаних зі складанням бухгалтерської звітності, підтвердити яку і повинен аудитор.
Наступною складовою аудиторського ризику є ризик контролю.
Ризиком контролю є побоювання того, що недостовірна інформація, яка може виникнути і бути суттєвою окремо або разом з іншою недостовірною інформацією, не буде виявлена або своєчасно застережена системою внутрішнього контролю. Нагадаємо, що виходячи із зарубіжного досвіду суттєвою або матеріальною .вважають помилку, яка сама або в сукупності з іншими спотворює фінансову звітність на 4—5% від загального підсумку звітності, або сама по собі незначна, проте змінює фінансовий результат на протилежний — збиток на прибуток, і навпаки.
Ризик контролю у Шотландії називають ризиком, пов'язаним з контролем, а у Франції — ризиком, пов'язаним з характером оброблюваних операцій, а також зі створенням і функціонуванням систем, що трохи відрізняються від міжнародних нормативів. З наведеного визначення ризику контролю можна зробити висновок, що він складається з двох компонентів — ризику системи бухгалтерського обліку і ризику систем внутрішнього контролю.
Як вважають шотландські фахівці, є ризик того, що помилкам не вдасться запобігти завчасно і що вони будуть допущені або їх не буде виявлено після виникнення. Аудитор мало що може зробити для того, щоб виправити таку ситуацію у короткий термін, проте він повинен її оцінити, щоб правильно спланувати аудиторську перевірку. Тому аудитор повинен при визначенні ризику контролю оцінити надійність, ефективність і дієвість систем бухгалтерського обліку і внутрішнього контролю підприємства-клієнта.
Ризик системи бухгалтерського обліку полягає в тому, що, можливо, будуть допущені помилки або обман унаслідок документування господарських операцій, неправильного відображення їх у регістрах бухгалтерського обліку і складання фінансової звітності. Інакше кажучи, це означає, що система обліку є неефективною, не повністю надійною. Оцінка такого ризику особливо важлива нині для аудиторів України. Тепер перед бухгалтерами України поставлено завдання правильного ведення бухгалтерського обліку в ситуації, що склалася, коли часто змінюється законодавство, нормативи інструкції. Це потребує великої уваги, сумлінності, чесності аудиторів, водночас збільшує обсяг облікових робіт, що, у свою чергу, зумовлює збільшення можливості допущення помилок як унаслідок недостатнього розуміння суті, так і арифметичних неточностей, пропусків інформації та ін. Усе це посилює і збільшує ризик для аудитора у системі бухгалтерського обліку підприємства-клієнта.
Для оцінки величини ризику системи бухгалтерського обліку аудитор повинен вивчити характер діяльності підприємства-клієнта, господарські операції (звичайні), які найчастіше повторюються, а також виділити незвичайні, нетрадиційні, надзвичайні операції і причини, що зумовили їх; вивчити систему бухгалтерського обліку, яка застосовується на підприємстві, і сам процес ведення обліку та складання звітності; склад і кваліфікацію працівників бухгалтерії, особливо головного бухгалтера, а також посадові інструкції і розподіл функціональних обов'язків між обліковим персоналом та інші важливі питання.
На величину ризику контролю впливає також факт виявлення під час попередньої аудиторської перевірки помилок, неточностей у веденні бухгалтерського обліку, що знижує довіру до нього збільшує ризик (це повинні враховувати аудитори при проведенні наступних аудиторських перевірок).
У зарубіжній літературі і практиці, зокрема в США, виділяється ВДнцепція відносного ризику щодо умов, при яких збільшується або зменшується ефективність і надійність обліку, й виділяються статті активів і пасивів балансу, які являють собою зону ризиків, тобто за якими вірогідність помилки або обману більша, ніж за іншими статтями або показниками. До статей високого ризику можна віднести, наприклад, такі: «Каса», «Розрахунковий рахунок», «Матеріальні запаси», «Дебітори», «Кредитори», «Нематеріальні активи» та ін. Тому аудиторська перевірка має бути проведена більш ретельно за статтями з відносно високим ризиком, особливо в разі низької оцінки загальної ефективності систем обліку.
Все ж навіть якщо система є надійною за своєю будовою, як вважають аудитори Франції, вона може бути неповноцінною у своєму функціонуванні. Незалежно від будь-якого бажання вийти за межі системи, може статися порушення її функціонування. У зв'язку з цим аудитору важливо оцінити ризик самої системи внутрішнього контролю підприємства-клієнта, але передусім переконатися в її наявності, існуванні і використанні. В основу оцінки ефективності дії системи внутрішнього контролю покладено передбачення аудитора, що існуюча система внутрішнього контролю не зможе виявити допущені суттєві помилки в системі бухгалтерського обліку або не зможе запобігти їм.
З практичного досвіду французьких аудиторських фірм аудитор оцінює такі складові внутрішнього контролю (попередньо визначивши його спрямованість і вплив на систему бухгалтерського обліку і якість складання фінансової звітності):
Організаційну систему — розподіл повноважень між керівництвом підприємства, кваліфікація і компетентність штату, виконання обов'язків, а також взаємний контроль за роботою управлінського персоналу;
Систему документації й інформації— правильність документального оформлення господарських операцій, відображення їх в облікових регістрах; простежування шляху проходження документа з моменту одержання дозволу на здійснення господарської операції і його складання до здавання в архів; попередня нумерація бланків документів та ін.; форма поширення, обробки і класифікації інформації; можливість швидкого пошуку необхідної інформації, здійснення аналізу наявної інформації і використання добутих даних для прийняття управлінських рішень; контроль за можливим допущенням неточностей або виявленням помилок;
Матеріальні засоби захисту — наявність спеціально обладнаних приміщень, надійних стін, дверей, сейфів, огорож, сигналізації, охорони, вказівних знаків, що дає певну гарантію збереження активів підприємства (запасів товарно-матеріальних цінностей, готової продукції, коштів у касі); застосування системи кодів, паролів та інших засобів несанкціонованого доступу до інформації на персональних автоматизованих робочих місцях;
Штат — політика підприємства стосовно кваліфікації і компетентності фахівців; процедура приймання на роботу (найкраще на конкурсній основі); заходи щодо підвищення кваліфікації персоналу; розмір оплати праці; перевірка виконання покладених обов'язків;
Систему спостереження — заходи щодо перевірки дієвості системи контролю, що передбачає безперервну дію її, пристосовуваність до ситуацій, які виникли, актуалізація завдань і проблем, які повинен розв'язувати внутрішній контроль, наприклад, зі зміною стратегії подальшої діяльності підприємства-клієнта.
Усі зазначені напрями оцінки системи внутрішнього контролю є надзвичайно важливими для аудиторів України, оскільки, крім визначення її ефективності і ступеня довіри до неї, вони повинні передусім під час попереднього ознайомлення з підприємством допомогти правильно організувати таку систему у клієнта, бо на дуже небагатьох вітчизняних підприємствах вона перебуває на належному рівні організації і використання, і у зв'язку з цим виникає чимало проблем, яких можна було б уникнути при надійній системі внутрішнього контролю.
Після оцінки системи внутрішнього контролю (яка часто оцінюється аудитором разом з системою бухгалтерського обліку внаслідок тісного взаємозв'язку їх) аудитор може приступити до планування аудиторської перевірки, маючи вже можливість обгрунтованого вибору напрямів аудиту і необхідних для його здійснення методів і прийомів, кількості потрібних аудиторських процедур, найбільш прийнятних видів аудиторських доказів (добутих аудитором унаслідок незалежних аудиторських процедур; від третіх незаінтересованих осіб; наданих підприємством-клієнтом).
Допоміжним інструментом при оцінці систем бухгалтерського обліку і внутрішнього контролю, як свідчить зарубіжний досвід, є так звані анкети внутрішнього контролю, де викладені запитання, які аудитор повинен поставити у ході перевірки зазначених систем. Структура таких анкет, набір запитань не стандартні. Як правило, кожною аудиторською фірмою розробляються базові анкети, які потім конкретизуються аудитором відповідно до кожного конкретного підприємства-клієнта. Такі анкети особливо важливі як робочі документи аудитора під час використання даних внутрішнього контролю.
Зазначимо, що згідно з міжнародними нормативами аудиту, аудитора не стосуються ті рішення і процедури у рамках систем обліку і внутрішнього контролю, які не належать до фінансової інформації.
У випадку, якщо аудитор перевіряє підприємство тривалий час (протягом 4—6 років), то визначення ступеня ризику систем обліку і внутрішнього контролю дещо полегшується, проте з'являється вірогідність того, що аудитор не помітить зниження ефективності такого контролю в цілому або за окремими його напрямками, використовуючи дані про систему внутрішнього контролю, одержані під час попередніх перевірок.
Зі схеми аудиторського ризику, видно, що третім компонентом, складовою аудиторського ризику є ризик невиявлення.
Ризик невиявлення (ризик, пов'язаний з можливістю невиявлення помилок — у Шотландії, ризик невиявлення помилок, пов'язаний з аудитом, — у Франції) означає, що суттєві помилки можуть залишитися невиявленими у ході аудиторської перевірки.
Певний ризик невиявлення завжди матиме місце, навіть якщо аудитор повинен буде обстежити 100% залишків за рахунками, оскільки він може вибрати невідповідну аудиторську процедуру або неправильно інтерпретувати результати аудиту.
Визначення аудитором величини ризику невиявлення (тобто він установлює його сам для себе) тісно пов'язане з величиною ризику систем обліку і внутрішнього контролю. Чим вищий ризик останніх, що означає невисокий ступінь довіри аудитора до систем обліку і внутрішнього контролю, тим менший ризик невиявлення необхідно встановити для цієї перевірки. А це означає, що аудитор повинен запланувати і виконати значний обсяг підтверджуючих і незалежних процедур, інакше кажучи, ризик невиявлення — це та частка похибки аудиторської перевірки, яку аудитор може собі дозволити при системах обліку і внутрішнього контролю, що склалися на підприємстві-клієнті, у разі додержання умови якості проведення робіт і відповідності їх установленим аудиторським нормативам.
Ризик контролю і властивий ризик не залежать від аудитора і рій не може на них вплинути. Як зазначено у міжнародному нормативі, ці ризики існують незалежно від аудиторської перевірки фінансової звітності і є результатом діяльності клієнта незалежно від проведення аудиту. На відміну від цих двох складових аудиторського ризику, ризик невиявлення є результатом аудиторської перевірки, наслідком виконаної аудитором роботи. За цей ризик аудитор несе повну відповідальність, тобто ризик визначає ступінь якості, рівень його діяльності.
Отже, аудитор повинен зробити все можливе (провести аудиторську перевірку так, щоб це давало найбільшу вірогідність невиявлення суттєвих помилок), щоб звести ризик невиявлення до мінімуму. Цього можна досягти, проводячи більшу кількість аудиторських процедур і правильно вибравши спосіб одержання аудиторських доказів. Так, аудиторські докази, добуті самим аудитором, вважають більш достовірними порівняно, наприклад, з одержаними від підприємства.
В аудиторів України, на жаль, і це зрозуміло, ще недостатній досвід у визначенні аудиторського ризику. Тому необхідно використовувати найкраще у зарубіжному досвіді з цього питання, особливо при використанні такого підходу до проведення аудиту, як аудит зон ризику. Як стверджують видатні професійні аудитори Шотландії; за умови надійних систем обліку і внутрішнього контролю, як правило, встановлюють високий поріг виявлення помилок, що дає змогу скоротити обсяг аудиторських процедур, тестів і зосередити увагу на галузях, пов'язаних з найбільшим ризиком, ураховуючи специфіку конкретного підприємства (це запаси, кошти та ін.). При цьому здебільшого використовуються такі методи і прийоми, які спрямовані на виявлення помилок після здійснення їх, а не на запобігання їм.
Як свідчить зарубіжна спеціальна література (Р. Додж, Дж. Робертсон), ризик невиявлення складається з ризику аналітичного огляду і ризику неефективності тестового контролю, що обов'язково необхідно враховувати.
Визначений таким чином на підготовчому етапі аудиторський ризик не є величиною сталою. Його значення може змінюватися, коригуватися під час проведення аудиторської перевірки. Тобто може збільшуватися кількість аудиторських процедур, змінюватися напрям аудиторської перевірки, коригуватися план роботи.
Звертаємо увагу на те, що не слід ототожнювати розглянутий нами аудиторський ризик із загальним ризиком аудиторської фірми, безумовно, тісно пов'язаним з ризиком невиявлення. Це означає, що аудиторська фірма ризикує втратити або погіршити свою репутацію, імідж у разі низької якості проведення аудиту, що призводить до втрати потенційних клієнтів, а в гіршому випадку до припинення її діяльності й позбавлення права проводити аудит. Якщо помилку не виявлено, але вона передбачається, то це має бути обов'язково застережене аудитором у його звіті й аудиторському висновку, що стало правилом у зарубіжній практиці.
Дуже важливим питанням для аудитора є методика визначення величини аудиторського ризику. Зазначимо, що єдиної такої методики немає. Вона, як правило, розробляється кожною аудиторською фірмою або окремим аудитором відповідно до умов конкретної перевірки. З цією метою створюють так звані моделі аудиторського ризику, які постійно удосконалюються.
Як свідчить зарубіжний досвід, прийнятна величина загального аудиторського ризику становить 1—5% (0,01—0,05). Вибираючи методику визначення аудиторського ризику і його допустиму величину, необхідно враховувати конкретні умови перевірки, ЇЇ термін, характер діяльності клієнта, компетентність і кваліфікацію аудитора, його попередній досвід аудиторських перевірок і багато інших факторів.
Проте на підставі вивчення спеціальної зарубіжної літератури (Р. Додж, Дж. Робертсон), можна подати найбільш загальну методику (модель) розрахунку аудиторського ризику, яка може бути виражена такою формулою:
АР = РО • РК • РВ,
де АР — аудиторський ризик;
РО — ризик системи обліку;
РК— ризик системи внутрішнього контролю;
РВ— ризик невиявлення помилок аудитором.
Найбільш повно методику розрахунку аудиторського ризику розкрив Дж. Робертсон, який зазначив ряд важливих моментів:
— аудитор не може повністю довіряти системам обліку і внутрішнього контролю підприємства-клієнта. У такому разі ризик системи обліку або внутрішнього контролю зводиться до нуля (РО = 0, РК = 0), а це означає, що і загальний аудиторський ризик, виходячи з формули, дорівнюватиме нулю, чого не може бути, оскільки кожна аудиторська перевірка супроводжується певним ризиком;
— аудитор не може дозволити собі встановити високий рівень ризику невиявлення (наприклад, більш як 50%) при високих ризиках систем обліку і внутрішнього контролю, оскільки у цьому разі загальний аудиторський ризик буде також дуже високим (більш як 5%), чого допустити не можна, бо перевірку вважатимуть проведеною не на належному рівні.
Наприклад:
АР = РО (0,8) • РК (0,9) • РВ (0,5) = 0,36;
— аудиторську перевірку вважатимуть проведеною на належному рівні, якщо аудитор установить низький ризик невиявлення (0,01) за умови повної недовіри до систем обліку і внутрішнього контролю клієнта.
Так,
АР = РО (1,0) • РК(1,0) • РВ (0,01) = 0,01.
З урахуванням поданої вище загальної моделі аудиторського ризику і того, що ризик невиявлення, як уже було зазначено, складається з ризику тестового контролю і ризику аналітичного огляду, розрахунок може бути таким:
АР = РО • РО • РК • РАО • РТ,
де РАО— ризик аналітичного огляду;
РТ— ризик тестового контролю.
Такий принцип оцінки аудиторського ризику широко використовується на практиці, наприклад аудиторською фірмою КРМО у Німеччині.
Зарубіжний досвід свідчить, що величину оцінки аудиторського ризику можна не тільки виражати у процентах, коефіцієнтах, абсолютному числовому значенні, вона може бути визначена аудитором і словами: «низький», «середній», «високий», що часто використовується на практиці.
Суттєвою вважається помилка виявлена в процесі аудиту, яка значно викривлює фінансовий стан підприємства, змінює результат його діяльності або розмір якої більше 5% підсумку балансу.
Аудиторські докази — це інформація, що її отримує аудитор під час аудиторської перевірки з метою підтвердження бухгалтерської звітності.
Види аудиторських доказів:
—отримані самим аудитором;
—надані підприємством-клієнтом;
—отримані від третіх осіб.
