Приложение N 1
к приказу Министерства финансов
Российской Федерации
от 27.10.2021 N 163н
Приказ, Международный стандарт аудита 4400, Согласующиеся поправки к другим международным стандартам включены в систему отдельными документами.
МЕЖДУНАРОДНЫЙ СТАНДАРТ АУДИТА 315 (ПЕРЕСМОТРЕННЫЙ, 2019 Г.) ВЫЯВЛЕНИЕ И ОЦЕНКА РИСКОВ СУЩЕСТВЕННОГО ИСКАЖЕНИЯ
(в ред. Поправок, утв. Приказами Минфина РФ от 16.10.2023 N 166н, от 16.10.2023 N 166н)
Международный стандарт аудита (МСА) 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения" следует рассматривать вместе с МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита". |
МСА 315 (пересмотренный, 2019 г.) был утвержден Советом по надзору за соблюдением общественных интересов (PIOB), который пришел к выводу о том, что процедура разработки стандарта носила надлежащий характер и общественные интересы были должным образом соблюдены. |
Введение
Сфера применения настоящего стандарта
1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по выявлению и оценке рисков существенного искажения финансовой отчетности.
Основные принципы настоящего стандарта
2. МСА 200 <1> рассматривает общие цели аудитора при проведении аудита финансовой отчетности, включая получение достаточных надлежащих аудиторских доказательств для снижения аудиторского риска до приемлемо низкого уровня <2>. Аудиторский риск является функцией риска существенного искажения и риска необнаружения <3>. В МСА 200 <4> разъяснено, что риски существенного искажения могут существовать на двух уровнях: на уровне финансовой отчетности в целом и на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации.
<1> МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с международными стандартами аудита".
<2> МСА 200, пункт 17.
<3> МСА 200, пункт 13(c).
<4> МСА 200, пункт A36.
3. МСА 200 <5> требует, чтобы аудитор применял профессиональное суждение при планировании и проведении аудита, а также планировал и осуществлял аудит с профессиональным скептицизмом, отдавая себе отчет в том, что могут существовать такие обстоятельства, при которых финансовая отчетность окажется существенно искажена.
4. Риски на уровне финансовой отчетности в целом обозначают такие риски существенного искажения, которые всеобъемлющим образом распространяются на финансовую отчетность в целом и потенциально затрагивают целый ряд предпосылок. Риски существенного искажения на уровне предпосылок состоят из двух компонентов: неотъемлемый риск и риск средств контроля.
- Неотъемлемый риск - подверженность предпосылки существенному искажению (в отдельности или в совокупности с другими искажениями) в отношении видов операций, остатков по счетам или раскрытия информации до рассмотрения каких-либо соответствующих средств контроля.
- Риск средств контроля - риск того, что возможное существенное искажение (в отдельности или в совокупности с другими искажениями) предпосылки в отношении видов операций, остатков по счетам или раскрытия информации не будет своевременно предотвращено или выявлено и исправлено при помощи соответствующих средств контроля организации.
5. МСА 200 <6> объясняет, что риски существенного искажения оцениваются на уровне предпосылок для того, чтобы определить характер, сроки и объем дальнейших аудиторских процедур, необходимых для получения достаточного количества надлежащих аудиторских доказательств. Для выявления рисков существенного искажения на уровне предпосылок настоящий МСА требует раздельной оценки неотъемлемого риска и риска средств контроля. Как поясняется в МСА 200, для некоторых предпосылок и соответствующих видов операций, остатков по счетам и раскрытия информации неотъемлемый риск выше, чем для других. В данном стандарте степень изменения неотъемлемого риска называется "диапазон неотъемлемого риска".
<6> МСА 200, пункт A43a и МСА 330 "Аудиторские процедуры в ответ на оцененные риски", пункт 6.
6. Риски существенного искажения, выявленные и оцененные аудитором, включают как риски искажения вследствие ошибки, так и риски искажения по причине недобросовестных действий. Хотя оба типа рисков рассматриваются в данном стандарте, недобросовестные действия имеют настолько важное значение, что в МСА 240 <7> включены дополнительные требования и рекомендации в отношении процедур оценки рисков и связанных с ними действий по получению информации, которая используется для выявления, оценки рисков и проведения процедур в ответ на риски существенного искажения вследствие недобросовестных действий.
<7> МСА 240 "Обязанности аудитора в отношении недобросовестных действий при проведении аудита финансовой отчетности".
7. Процесс выявления и оценки рисков аудитором итеративен и динамичен. Понимание аудитором организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации взаимосвязано с принципами, лежащими в основе требований к выявлению и оценке рисков существенного искажения. Для получения понимания, требуемого данным стандартом, может формироваться предварительная оценка рисков, которая впоследствии может быть уточнена по мере осуществления аудитором процесса выявления и оценки рисков. Кроме того, данный стандарт и МСА 330 требуют от аудитора пересматривать оценку риска и изменять дальнейшие аудиторские процедуры общего характера и дальнейшие аудиторские процедуры на основе аудиторских доказательств, полученных в результате дальнейших аудиторских процедур в соответствии с МСА 330, или в случае получения новой информации.
8. МСА 330 <8> требует, чтобы аудитор разработал и выполнил аудиторские процедуры общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности. Далее в МСА 330 поясняется, что оценка аудитором рисков существенного искажения на уровне финансовой отчетности и аудиторские процедуры общего характера зависят от его понимания контрольной среды. МСА 330 <9> также требует, чтобы аудитор разработал и выполнил дальнейшие аудиторские процедуры, характер, сроки и объем которых определяются с учетом оцененных рисков существенного искажения на уровне предпосылок и в ответ на них.
<8> МСА 330, пункт 5.
<9> МСА 330, пункт 6.
Масштабируемость
9. В МСА 200 <10> указывается, что некоторые МСА включают положения о масштабируемости, которые иллюстрируют применение требований ко всем организациям независимо от характера их деятельности и того, являются ли он более или менее сложными. Данный стандарт предназначен для аудита всех организаций независимо от их размера или сложности, и поэтому руководство по его применению предусматривает особенности как менее, так и более сложных организаций в тех случаях, когда это уместно. Хотя размер организации является индикатором уровня ее сложности, некоторые малые организации могут отличаться большей сложностью, а более крупные организации могут являться менее сложными.
<10> МСА 200, пункт A65a.
Дата вступления в силу
10. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 декабря 2021 года или после этой даты.
Цель
11. Цель аудитора состоит в том, чтобы выявить и оценить риски существенного искажения как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок, таким образом обеспечивая основу для разработки и выполнения аудиторских процедур в ответ на оцененные риски существенного искажения.
Определения
12. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:
(a) предпосылки - заявления, сделанные в явной или иной форме, в отношении признания, оценки, представления и раскрытия информации в финансовой отчетности, которые являются неотъемлемой частью заявления руководства о том, что финансовая отчетность составлена в соответствии с применимой концепцией подготовки финансовой отчетности. Предпосылки используются аудитором для рассмотрения различных типов потенциальных искажений, которые могут возникнуть при выявлении, оценке рисков существенного искажения и принятии мер в ответ на выявленные риски (см. пункт A1);
(b) бизнес-риск - риск, возникающий в результате значительных условий, событий, обстоятельств, действий или бездействия, которые могут оказать негативное влияние на способность организации достичь поставленных целей и реализовать свою стратегию, или возникающий в результате установления ненадлежащих целей и стратегии;
(c) средства контроля - политика или процедуры, установленные организацией для достижения целей системы внутреннего контроля, определенных руководством или лицами, отвечающими за корпоративное управление. В данном контексте (см. пункты A2 - A5):
(i) политика - это положения о том, что должно быть реализовано или не должно иметь места в организации в целях осуществления контроля. Такие положения могут быть оформлены документально, четко отражены в информационных сообщениях или подразумеваться при осуществлении действий или принятии решений;
(ii) процедуры - это действия по реализации политики;
(d) общие средства ИТ-контроля - средства контроля за информационно-технологическими процессами (ИТ-процессами) организации, которые поддерживают непрерывное надлежащее функционирование ИТ-среды, включая непрерывное эффективное функционирование средств контроля обработки информации и целостность информации (то есть полноту, точность и достоверность информации) в информационной системе организации. Также см. определение ИТ-среды;
(e) средства контроля обработки информации - средства контроля, относящиеся к обработке информации посредством ИТ-приложений или информационных процессов, выполняемых вручную, в информационной системе организации, которые напрямую снижают риски нарушения целостности информации (то есть полноты, точности и достоверности операций и прочей информации) (см. пункт A6);
(f) факторы неотъемлемого риска - характеристики событий или условий, влияющих на подверженность предпосылки в отношении вида операций, остатков по счетам или раскрытия информации искажению вследствие недобросовестных действий или ошибок, до учета средств контроля. Такие факторы могут иметь качественный или количественный характер и включают сложность, субъективность, изменчивость, неопределенность или подверженность искажению в силу предвзятости руководства или иных факторов риска недобросовестных действий <11> в той части, в которой они влияют на неотъемлемый риск (см. пункты A7 - A8);
<11> МСА 240, пункты A24 - A27.
(g) ИТ-среда (Среда информационных технологий) - ИТ-приложения и вспомогательная ИТ-инфраструктура, а также ИТ-процессы и сотрудники, участвующие в этих процессах, используемые организацией для поддержки хозяйственных операций и реализации бизнес-стратегии. Для целей данного стандарта:
(i) ИТ-приложение представляет собой программу или комплекс программ, используемых для инициирования, обработки, учета и отражения в отчетности операций или информации. ИТ-приложения включают хранилища данных и генераторы отчетов;
(ii) ИТ-инфраструктура включает в себя сеть, операционные системы, базы данных и соответствующее аппаратное и программное обеспечение;
(iii) ИТ-процессы - это процессы организации для управления доступом к ИТ-среде, внесением изменений в программы или в ИТ-среду и для контроля за функционированием информационных технологий;
(h) соответствующие предпосылки - такие предпосылки в отношении вида операций, остатка по счету или раскрытия информации, с которыми связан выявленный риск существенного искажения. Соответствие предпосылки определяется до рассмотрения любых соответствующих средств контроля (то есть до оценки неотъемлемого риска) (см. пункт A9);
(i) риски, связанные с использованием информационных технологий - подверженность средств контроля обработки информации неэффективности структуры или функционирования или риски нарушения целостности информации (то есть полноты, точности и достоверности операций и иной информации) в информационной системе организации вследствие неэффективности структуры или функционирования средств контроля в ИТ-процессах организации (см. ИТ-среда);
(j) процедуры оценки рисков - аудиторские процедуры, которые разработаны и проводятся для выявления и оценки рисков существенного искажения вследствие недобросовестных действий или ошибок на уровне финансовой отчетности и предпосылок;
(k) значительный вид операций, остаток по счету или значительное раскрытие информации - вид операций, остаток по счету или раскрытие информации с одной или несколькими соответствующими предпосылками (в отношении которой, для которой есть одна или более соответствующие предпосылки);
(l) значительный риск - выявленный риск существенного искажения (см. пункт A10):
(i) для которого оценка неотъемлемого риска близка к верхней границе диапазона неотъемлемого риска благодаря степени влияния факторов неотъемлемого риска на сочетание вероятности наличия искажения и величины потенциального искажения, если искажение будет иметь место; или
(ii) который подлежит рассмотрению в качестве значительного риска в соответствии с требованиями других МСА <12>;
<12> МСА 240, пункт 27 и МСА 550 "Связанные стороны", пункт 18.
(m) система внутреннего контроля - система, разработанная, внедренная и поддерживаемая лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками для обеспечения разумной уверенности в достижении целей организации в отношении надежности процесса подготовки финансовой отчетности, эффективности и результативности операций, а также соблюдения применимых законов и нормативных актов. Для целей МСА система внутреннего контроля подразделяется на пять взаимосвязанных компонентов:
(ii) процесс оценки рисков в организации;
(iii) процесс мониторинга системы внутреннего контроля организации;
(iv) информационная система и информационное взаимодействие;
(v) контрольные процедуры.
Требования
Процедуры оценки рисков и сопутствующие действия
13. Аудитор должен разработать и выполнить процедуры оценки рисков для получения аудиторских доказательств, обеспечивающих надлежащую основу (см. пункты A11 - A18):
(a) выявления и оценки рисков существенного искажения, вызванного недобросовестными действиями или ошибкой, на уровне финансовой отчетности и на уровне предпосылок;
(b) разработки дальнейших аудиторских процедур в соответствии с МСА 330.
Аудитор должен разрабатывать и проводить аудиторские процедуры так, чтобы избежать предвзятости, состоящей в сборе только тех доказательств, которые подтверждают оценки руководства, или в исключении тех доказательств, которые им противоречат (см. пункт A14).
14. Процедуры оценки рисков должны включать следующее (см. пункты A19 - A21):
(a) запросы к руководству и другим соответствующим лицам внутри организации, в том числе к сотрудникам службы внутреннего аудита (если такая служба существует) (см. пункты A22 - A26);
(b) аналитические процедуры (см. пункты A27 - A31);
(c) наблюдение и инспектирование (см. пункты A32 - A36).
Информация из других источников
15. При сборе аудиторских доказательств в соответствии с пунктом 13 аудитор должен рассмотреть информацию, полученную по итогам (см. пункты A37 - A38):
(a) проведения аудитором процедур в отношении принятия или продолжения отношений с клиентами или работы по аудиторским заданиям;
(b) если применимо, выполнения руководителем задания других заданий для организации.
16. Если аудитор планирует использовать информацию, полученную в результате прошлого опыта работы аудитора с организацией и выполнения аудиторских процедур в рамках предыдущих аудиторских заданий, он должен оценить, остается ли такая информация уместной и надежной для использования в качестве аудиторских доказательств для целей текущего аудита (см. пункты A39 - A41).
Обсуждение в аудиторской группе
17. Руководитель задания и другие ключевые члены аудиторской группы должны обсудить вопросы использования применимой концепции подготовки финансовой отчетности и подверженности финансовой отчетности организации существенному искажению (см. пункты A42 - A47).
18. Если есть члены аудиторской группы, которые не участвовали в обсуждении в аудиторской группе, руководитель задания должен определить, какие вопросы должны быть доведены до их сведения.
Получение понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации (см. пункты A48 - A49)
Изучение организации и ее окружения, а также применимой концепции подготовки финансовой отчетности (см. пункты A50 - A55)
19. Аудитор должен выполнить процедуры оценки риска, чтобы получить понимание:
(a) таких аспектов деятельности организации и ее окружения, как:
(i) организационная структура, структура собственности и система корпоративного управления, а также бизнес-модель организации, в том числе то, насколько ее бизнес-модель предусматривает использование информационных технологий (см. пункты A56 - A67);
(ii) отраслевые, регуляторные и иные внешние факторы (см. пункты A68 - A73);
(iii) показатели, используемые при оценке финансовых результатов организации для внутренних и внешних целей (см. пункты A74 - A81);
(b) применимой концепции подготовки финансовой отчетности и учетной политики организации, а также любых причин ее изменения (см. пункты A82 - A84);
(c) характера и степени влияния факторов неотъемлемого риска на подверженность предпосылок искажению при составлении финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, исходя из понимания информации, полученной в соответствии с пунктами (a) и (b) (см. пункты A85 - A89).
20. Аудитор должен оценить, имеет ли учетная политика организации надлежащий характер и соответствует ли она применимой концепции подготовки финансовой отчетности.
Понимание компонентов системы внутреннего контроля организации (см. пункты A90 - A95)
Контрольная среда, процесс оценки рисков и процесс мониторинга системы внутреннего контроля в организации (см. пункты A96 - A98)
Контрольная среда
21. Аудитор должен получить понимание в отношении контрольной среды, связанной с подготовкой финансовой отчетности, в ходе выполнения процедур оценки рисков посредством (см. пункты A99 - A100):
(a) изучения ряда средств контроля, процессов и структур, которые определяют (см. пункты A101 - A102):
(i) как выполняются надзорные функции руководства, например, в части формирования культуры организации и приверженности руководства принципам честности и этическим ценностям;
(ii) насколько независимы лица, отвечающие за корпоративное управление и осуществляющие надзор за системой внутреннего контроля организации, если такие лица не входят в состав руководства;
(iii) как распределяются полномочия и ответственность в организации;
(iv) как организация привлекает, развивает и удерживает компетентных работников;
(v) каким образом организация привлекает работников к ответственности за невыполнение ими своих обязанностей для достижения целей системы внутреннего контроля;
(b) оценки того (см. пункты A103 - A108):
(i) сформировало и поддерживает ли руководство культуру честности и этичного поведения под надзором лиц, отвечающих за корпоративное управление;
(ii) обеспечивает ли контрольная среда надлежащую основу для других компонентов системы внутреннего контроля организации с учетом характера и сложности ее деятельности;
(iii) оказывают ли недостатки системы контроля, выявленные в контрольной среде, отрицательное влияние на другие компоненты системы внутреннего контроля организации.
Процесс оценки рисков в организации
22. Аудитор должен получить понимание процесса оценки рисков в организации, связанного с подготовкой финансовой отчетности, в ходе выполнения процедур оценки рисков посредством:
(a) изучения процессов, используемых в организации для (см. пункты A109 - A110):
(i) выявления бизнес-рисков, связанных с целями подготовки финансовой отчетности (см. пункт A62);
(ii) оценки значительности этих рисков, включая вероятность их возникновения;
(iii) снижения этих рисков;
(b) оценки того, соответствует ли процесс оценки рисков обстоятельствам организации с учетом характера и сложности ее деятельности (см. пункты A111 - A113).
23. Если аудитор выявляет риски существенного искажения, которые не были обнаружены руководством, он должен:
(a) определить, относятся ли они к тем рискам, выявление которых аудитор ожидал бы в рамках процесса оценки рисков в организации, и, если это так, понять, почему в процессе оценки рисков в организации такие риски существенного искажения не были выявлены;
(b) рассмотреть последствия для оценки аудитора, указанной в пункте 22(b).
Процесс мониторинга системы внутреннего контроля организации
24. Аудитор должен получить понимание процесса мониторинга системы внутреннего контроля организации, связанной с подготовкой финансовой отчетности, в ходе выполнения процедур оценки рисков посредством (см. пункты A24 - A115):
(a) изучения тех аспектов процесса организации, которые регламентируют:
(i) проведение систематических и отдельных оценок для целей мониторинга эффективности средств контроля, а также выявления и устранения обнаруженных недостатков системы контроля (см. пункты A116 - A117);
(ii) функции службы внутреннего аудита организации, если такая имеется, в том числе ее характер, обязанности и деятельность (см. пункт A118);
(b) изучения источников информации, используемых в процессе мониторинга системы внутреннего контроля организации, и оснований, исходя из которых руководство считает информацию достаточно надежной для этой цели (см. пункты A119 - A120);
(c) оценки того, соответствует ли процесс мониторинга системы внутреннего контроля обстоятельствам организации с учетом характера и сложности ее деятельности (см. пункты A121 - A122).
Информационная система и информационное взаимодействие, а также контрольные процедуры (см. пункты A123 - A130)
Информационная система и информационное взаимодействие
25. Аудитор должен получить понимание в отношении информационной системы и информационного взаимодействия в организации, связанных с подготовкой финансовой отчетности, в ходе выполнения процедур оценки рисков посредством (см. пункт A131):
(a) изучения деятельности организации по обработке информации, включая ее данные и сведения, ресурсы, используемые в рамках такой деятельности, а также политику, которая для значительных видов операций, остатков по счетам и раскрытия информации определяет (см. пункты A132 - A143):
(i) процесс прохождения информации через информационную систему организации, в том числе:
a. как инициируются операции и как информация о них записывается, обрабатывается, по мере необходимости корректируется, включается в основной регистр и отражается в финансовой отчетности;
b. как собирается, обрабатывается и раскрывается в финансовой отчетности информация о событиях и условиях, помимо операций;
(ii) данные бухгалтерской отчетности, определенные счета финансовой отчетности и иные подтверждающие записи в отношении потоков информации в информационной системе;
(iii) процесс составления финансовой отчетности, используемый для подготовки финансовой отчетности организации, включая раскрытие информации;
(iv) ресурсы организации, включая ИТ-среду, применительно к пунктам (a)(i) - (a)(iii) выше;
(b) изучения того, как в организации осуществляется информационное взаимодействие по значимым вопросам, влияющим на подготовку финансовой отчетности, и соответствующим обязанностям по составлению отчетности в информационной системе и других компонентах системы внутреннего контроля (см. пункты A144 - A145):
(i) между сотрудниками организации, в том числе как передается информация об их функциях и обязанностях по подготовке финансовой отчетности;
(ii) между руководством и лицами, отвечающими за корпоративное управление;
(iii) с внешними сторонами, такими как регулирующие органы;
(c) оценки того, поддерживают ли информационная система и информационное взаимодействие в организации составление ее финансовой отчетности надлежащим образом в соответствии с применимой концепцией подготовки финансовой отчетности (см. пункт A146).
Контрольные процедуры
26. Аудитор должен получить понимание в отношении компонента контрольных процедур в ходе выполнения процедур оценки рисков (см. пункты A147 - A157):
(a) посредством выявления следующих средств контроля, предназначенных для снижения рисков существенного искажения на уровне предпосылок в рамках компонента контрольных процедур:
(i) средств контроля, которые снижают риск, определяемый как значительный (см. пункты A158 - A159);
(ii) средств контроля за бухгалтерскими записями, включая нестандартные бухгалтерские записи, используемые для отражения нерегулярных, необычных операций или корректировок (см. пункты A160 - A161);
(iii) средств контроля, операционную эффективность которых аудитор планирует тестировать при определении характера, сроков и объема тестирования по существу, включая средства контроля, снижающие риски, для которых процедуры проверки по существу в отдельности не обеспечивают достаточные надлежащие аудиторские доказательства (см. пункты A162 - A164);
(iv) прочих средств контроля, которые аудитор считает надлежащими для достижения целей, указанных в пункте 13 в отношении рисков на уровне предпосылок, опираясь на свое профессиональное суждение (см. пункт A165);
(b) на основании средств контроля, выявленных в соответствии с пунктом (a), посредством выявления ИТ-приложений и других аспектов ИТ-среды организации, которые подвержены рискам, возникающим в связи с использованием информационных технологий (см. пункты A166 - A172);
(c) посредством выявления в отношении таких ИТ-приложений и других аспектов ИТ-среды, выявленных в соответствии с пунктом (b) (см. пункты A173 - A174):
(i) соответствующих рисков, возникающих в связи с использованием информационных технологий;
(ii) общих средств ИТ-контроля организации, которые снижают эти риски;
(d) в отношении каждого средства контроля, выявленного при выполнении пункта (a) или (c)(ii) (см. пункты A175 - A181):
(i) оценки того, разработано ли средство контроля для эффективного снижения риска существенного искажения на уровне предпосылок или в действительности разработано для поддержки функционирования других средств контроля;
(ii) определения факта внедрения средства контроля путем выполнения процедур в дополнение к направлению запросов сотрудникам организации.
Недостатки средств контроля в системе внутреннего контроля организации
27. На основании оценки аудитором каждого компонента системы внутреннего контроля организации аудитор должен определить, был ли выявлен один или несколько недостатков в системе контроля (см. пункты A182 - A183).
Выявление и оценка рисков существенного искажения (см. пункты A184, A185)
Выявление рисков существенного искажения
28. Аудитор должен идентифицировать риски существенного искажения и определить, существуют ли они (см. пункты A186 - A192):
(a) на уровне финансовой отчетности (см. пункты A193 - A200);
(b) на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации (см. пункт A201).
29. Аудитор должен определить соответствующие предпосылки и соответствующие значительные виды операций, остатки по счетам и раскрываемую информацию (см. пункты A202 - A204).
Оценка рисков существенного искажения на уровне финансовой отчетности
30. В отношении выявленных рисков существенного искажения на уровне финансовой отчетности аудитор должен оценить риски и (см. пункты A193 - A200):
(a) определить, влияют ли такие риски на оценку рисков на уровне предпосылок;
(b) оценить их характер и то, насколько всеобъемлющим является их влияние на финансовую отчетность.
Оценка рисков существенного искажения на уровне предпосылок
Оценка неотъемлемого риска (см. пункты A205 - A217)
31. В отношении выявленных рисков существенного искажения на уровне предпосылок аудитор должен оценить неотъемлемый риск, определив вероятность и размер искажений. При этом аудитор должен учитывать то, каким образом и в какой мере:
(a) факторы неотъемлемого риска влияют на подверженность соответствующих предпосылок искажению;
(b) риски существенного искажения на уровне финансовой отчетности влияют на оценку неотъемлемого риска для рисков существенного искажения на уровне предпосылок (см. пункты A215 - A216).
32. Аудитор должен определить, являются ли оцененные риски существенного искажения значительными рисками (см. пункты A218 - A221).
33. Аудитор должен определить, могут ли сами по себе процедуры проверки по существу обеспечить получение достаточных надлежащих аудиторских доказательств для любого из рисков существенного искажения на уровне предпосылок (см. пункты A222 - A225).
Оценка риска средств контроля
34. Если аудитор планирует тестирование операционной эффективности средств контроля, он должен оценить риск средств контроля. Если аудитор не планирует тестирование операционной эффективности средств контроля, его оценка риска средств контроля должна быть такой, чтобы оценка риска существенного искажения соответствовала оценке неотъемлемого риска (см. пункты A226 - A229).
Оценка аудиторских доказательств, полученных в результате процедур оценки рисков
35. Аудитор должен оценить, обеспечивают ли аудиторские доказательства, полученные в результате процедур оценки рисков, надлежащую основу для выявления и оценки рисков существенного искажения. В ином случае аудитор должен выполнять дополнительные процедуры оценки рисков до тех пор, пока не будут получены аудиторские доказательства, обеспечивающие такую основу. При выявлении и оценке рисков существенного искажения аудитор должен учитывать все аудиторские доказательства, полученные в результате процедур оценки рисков, независимо от того, подтверждают ли они заявления руководства или противоречат им (см. пункты A230 - A232).
Виды операций, остатки по счетам и раскрытие информации, которые не считаются значительными, но являются существенными
36. В отношении существенных видов операций, остатков по счетам или раскрытия информации, которые не были определены как значительные виды операций, остатки по счетам или раскрытие информации, аудитор должен оценить, является ли такое определение по-прежнему обоснованным (см. пункты A233 - A235).
Пересмотр оценки рисков
37. Если аудитор получает новую информацию, не соответствующую аудиторским доказательствам, исходя из которых аудитор изначально выявлял или оценивал риски существенного искажения, он должен пересмотреть результаты выявления или оценки рисков (см. пункт A236).
Документация
38. В аудиторской документации аудитор обязан отразить <13> (см. пункты A237 - A241):
<13> МСА 230 "Аудиторская документация", пункты 8 - 11 и A6 - A7.
(a) обсуждение в аудиторской группе и принятые значимые решения;
(b) ключевые элементы понимания каждого из аспектов организации и ее окружения, описанные в пунктах 19, 21, 22, 24 и 25, источники информации, из которых было получено такое понимание; а также выполненные процедуры оценки рисков;
(c) оценку структуры идентифицированных средств контроля и определение того, были ли такие средства контроля внедрены в соответствии с требованиями пункта 26;
(d) выявленные и оцененные риски существенного искажения на уровне финансовой отчетности и на уровне предпосылок, включая значительные риски и риски, в отношении которых не могут быть предоставлены достаточные надлежащие аудиторские доказательства исключительно процедурами проверки по существу, а также обоснование вынесенных значительных суждений.
Руководство по применению и прочие пояснительные материалы
Определения (см. пункт 12)
Предпосылки (см. пункт 12(a))
A1. Категории предпосылок используются аудитором для рассмотрения разных типов потенциальных искажений, которые могут возникнуть при выявлении и оценке рисков существенного искажения, а также при проведении процедур в ответ на них. Примеры таких категорий предпосылок приводятся в пункте A190. Предпосылки отличаются от письменных заявлений, которые требуются МСА 580 <14> для подтверждения определенных сведений или подкрепления других аудиторских доказательств.
<14> МСА 580 "Письменные заявления".
Средства контроля (см. пункт 12(c))
A2. Средства контроля относятся к компонентам системы внутреннего контроля организации.
A3. Политика реализуется посредством действий сотрудников организации или запрета для них предпринимать действия, которые противоречат такой политике.
A4. Процедуры могут быть установлены официальным документом или иным сообщением руководства или лиц, отвечающих за корпоративное управление, либо могут быть результатом поведения, которое не предписано, но в значительной степени обусловлено культурой организации. Выполнение процедур может обеспечиваться посредством действий, разрешенных ИТ-приложениями, используемыми организацией, или иными аспектами ее ИТ-среды.
A5. Средства контроля могут быть прямыми или косвенными. Прямые средства контроля - это средства контроля, которые являются достаточно точными для снижения рисков существенного искажения на уровне предпосылок. Косвенные средства контроля - это средства контроля, которые поддерживают прямые средства контроля.
Средства контроля обработки информации (см. пункт 12(e))
A6. Риски нарушения целостности информации возникают из-за подверженности влиянию неэффективной реализации информационной политики организации, которая определяет информационные потоки, записи и процессы подготовки отчетности в информационной системе организации. Средства контроля обработки информации представляют собой процедуры, которые поддерживают эффективную реализацию информационной политики организации. Средства контроля обработки информации могут быть автоматизированными (то есть встроенными в ИТ-приложения) или применяемыми вручную (например, средства контроля за вводом и выводом данных) и могут зависеть от других средств контроля, включая иные средства контроля обработки информации или общие средства ИТ-контроля.
Факторы неотъемлемого риска (см. пункт 12(f))
В Приложении 2 представлены дополнительные вопросы, которые следует рассмотреть при изучении факторов неотъемлемого риска.
A7. Факторы неотъемлемого риска могут иметь качественный или количественный характер и влиять на подверженность предпосылок искажению. Качественные факторы неотъемлемого риска, относящиеся к подготовке информации, которая требуется в соответствии с применимой концепцией подготовки финансовой отчетности, включают:
- сложность;
- субъективность;
- изменчивость;
- неопределенность или
- подверженность искажению вследствие предвзятости руководства или иных факторов риска недобросовестных действий в той мере, в которой они влияют на неотъемлемый риск.
A8. Другие факторы неотъемлемого риска, которые влияют на подверженность искажению предпосылки в отношении вида операций, остатка по счету или раскрытия информации, могут включать:
- значительность вида операций, остатка по счету или раскрытия информации в количественном или качественном отношении;
- объем или неоднородность состава статей, обрабатываемых по видам операций, остаткам по счетам или отражаемых в раскрываемой информации.
Соответствующие предпосылки (см. пункт 12(h))
A9. Риск существенного искажения может относиться к нескольким предпосылкам, и в этом случае все предпосылки, к которым относится такой риск, являются соответствующими предпосылками. Если в отношении предпосылки не выявлен риск существенного искажения, тогда она не является соответствующей предпосылкой.
Значительный риск (см. пункт 12(i))
A10. Значительность может быть определена как относительная важность вопроса и оценивается аудитором в том контексте, в котором рассматривается вопрос. Значительность неотъемлемого риска может рассматриваться в контексте того, как и в какой мере факторы неотъемлемого риска влияют на сочетание вероятности наличия искажения и величины потенциального искажения, если искажение будет иметь место.
Процедуры оценки рисков и сопутствующие действия (см. пункты 13 - 18)
A11. Выявляемые и оцениваемые риски существенного искажения включают как риски вследствие недобросовестных действий, так и риски в результате ошибок, и оба типа рисков рассматриваются в данном стандарте. Однако значимость недобросовестных действий настолько велика, что в МСА 240 включены дополнительные требования и рекомендации в отношении процедур оценки рисков и связанных с ними действий по получению информации, используемой для выявления и оценки рисков существенного искажения вследствие недобросовестных действий <15>. Кроме того, следующие МСА содержат дополнительные требования и рекомендации по выявлению и оценке рисков существенного искажения в отношении определенных вопросов или обстоятельств:
- МСА 540 (пересмотренный) <16> - в отношении оценочных значений;
<16> МСА 540 (пересмотренный) "Аудит оценочных значений и соответствующего раскрытия информации".
- МСА 550 - в части отношений и операций со связанными сторонами;
- МСА 570 (пересмотренный) <17> - в отношении непрерывности деятельности;
<17> МСА 570 (пересмотренный) "Непрерывность деятельности".
МСА 600 (пересмотренный) <18> - в отношении финансовой отчетности группы. (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
<18> МСА 600 (пересмотренный) "Особенности аудита финансовой отчетности группы (включая работу аудиторов компонентов)". (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
A12. Профессиональный скептицизм необходим для критической оценки аудиторских доказательств, собранных в ходе выполнения процедур оценки рисков, и помогает аудитору проявлять бдительность в отношении аудиторских доказательств, которые однозначно не подтверждают факт существования рисков или могут противоречить ему. Профессиональный скептицизм - это установка, применяемая аудитором при вынесении профессиональных суждений, которые затем становятся основой для действий аудитора. Аудитор применяет профессиональное суждение при определении того, обеспечивают ли полученные им аудиторские доказательства надлежащую основу для оценки рисков.
A13. Проявление аудитором профессионального скептицизма может включать:
- необходимость подвергать сомнению противоречивую информацию и надежность документов;
- рассмотрение ответов на запросы и прочей информации, полученной от руководства и лиц, отвечающих за корпоративное управление;
- проявление бдительности в отношении условий, которые могут указывать на возможное искажение вследствие недобросовестных действий или ошибок;
- рассмотрение вопроса о том, подтверждают ли полученные аудиторские доказательства выявление и оценку рисков существенного искажения с учетом характера и обстоятельств деятельности организации.
Почему отсутствие предвзятости при получении аудиторских доказательств имеет значение (см. пункт 13)
A14. Разработка и выполнение процедур оценки рисков для получения аудиторских доказательств, подтверждающих без предвзятости выявление и оценку рисков существенного искажения, помогают аудитору выявить потенциально противоречивую информацию, которая может способствовать проявлению им профессионального скептицизма в выявлении и оценке рисков существенного искажения.
Источники аудиторских доказательств (см. пункт 13)
A15. Разработка и выполнение процедур оценки рисков в целях получения аудиторских доказательств без предвзятости может предусматривать получение доказательств из многих источников как внутри, так и вне организации. Однако аудитор не должен проводить исчерпывающий поиск, чтобы выявить все возможные источники аудиторских доказательств. В дополнение к информации из других источников <19> источники информации для процедур оценки рисков могут включать:
<19> См. пункты A37 и A38.
- взаимодействие с руководством, лицами, отвечающими за корпоративное управление, и иными ключевыми сотрудниками организации, такими как внутренние аудиторы;
- некоторые внешние стороны, такие как регулирующие органы, независимо от того, была ли информация получена напрямую или опосредованно;
- общедоступную информацию об организации, например выпущенные ею пресс-релизы, материалы для аналитиков или совещаний группы инвесторов, аналитические отчеты или информацию о торговой деятельности.
Независимо от источника информации аудитор рассматривает уместность и надежность информации, используемой в качестве аудиторских доказательств, в соответствии с МСА 500 <20>.
<20> МСА 500 "Аудиторские доказательства", пункт 7.
Масштабируемость (см. пункт 13)
A16. Характер и объем процедур оценки рисков будет зависеть от характера и обстоятельств организации (например, формализации политики и процедур организации, а также процессов и систем). Аудитор применяет профессиональное суждение для определения характера и объема процедур оценки рисков, выполняемых для соблюдения требований данного стандарта.
A17. Хотя степень формализации политики и процедур организации, а также ее процессов и систем может варьироваться, аудитор в любом случае обязан получить понимание в этом отношении в соответствии с пунктами 19, 21, 22, 24, 25 и 26.
A18. Характер и объем процедур оценки рисков, проводимых при выполнении задания в первый раз, могут быть более обширными, чем процедуры при повторном выполнении задания. В последующих периодах аудитор может сосредоточить внимание на изменениях, которые произошли по окончании предыдущего периода.
Виды процедур оценки рисков (см. пункт 14)
A19. В МСА 500 <21> указаны виды аудиторских процедур, которые могут быть выполнены при получении аудиторских доказательств на основе процедур оценки рисков и дальнейших аудиторских процедур. На характер, сроки и объем аудиторских процедур может влиять то, что некоторые данные бухгалтерского учета и другие доказательства могут быть доступны только в электронной форме или только в определенные моменты времени <22>. Аудитор может выполнять процедуры проверки по существу или тесты средств контроля в соответствии с МСА 330 параллельно с процедурами оценки рисков, если это эффективно. Полученные аудиторские доказательства, которые подтверждают выявление и оценку рисков существенного искажения, могут также служить подтверждением искажений, обнаруженных на уровне предпосылки, или оценки операционной эффективности средств контроля.
<21> МСА 500, пункты A14 - A17 и A21 - A25.
<22> МСА 500, пункт A12.
A20. Хотя аудитор должен выполнить все процедуры оценки рисков, описанные в пункте 14, в ходе получения необходимого понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации (см. пункты 19 - 26), от аудитора не требуется выполнять все процедуры в отношении каждого аспекта понимания организации. Для получения информации, которая может быть полезной для выявления рисков существенного искажения, могут применяться и другие процедуры. Примеры таких процедур могут включать направление запросов внешнему юристу организации или ее внешним надзорным органам, или экспертам по оценке, услугами которых пользовалась организация.
Автоматизированные инструменты и методы (см. пункт 14)
A21. Используя автоматизированные инструменты и методы, аудитор может выполнять процедуры оценки рисков на больших объемах данных (из основного регистра, вспомогательных регистров или иных операционных данных), в том числе для целей анализа, пересчета, повторного применения или сверок.
Направление запросов руководству и прочим сотрудникам организации (см. пункт 14(a))
Почему руководству и другим сотрудникам организации направляются запросы
A22. Информация, используемая аудитором, чтобы обеспечить надлежащую основу для выявления и оценки рисков и разработку дальнейших аудиторских процедур, может быть получена путем направления запросов руководству и сотрудникам, ответственным за подготовку финансовой отчетности.
A23. Направление запросов руководству и сотрудникам, ответственным за подготовку финансовой отчетности, а также другим соответствующим лицам внутри организации и прочему персоналу, обладающему полномочиями разного уровня, может ознакомить аудитора с разными точками зрения при выявлении и оценке им риска существенного искажения.
Примеры | ||
- | Запросы, направленные лицам, отвечающим за корпоративное управление, могут помочь аудитору оценить объем надзорных действий за процессом подготовки руководством финансовой отчетности, осуществляемый лицами, отвечающими за корпоративное управление. МСА 260 (пересмотренный) <23> указывает на важность эффективного двустороннего информационного взаимодействия для получения аудитором информации от лиц, отвечающих за корпоративное управление, по данным вопросам. | |
- | Запросы, направленные сотрудникам, ответственным за инициирование, обработку или учет сложных или необычных операций, могут помочь аудитору оценить надлежащий характер выбора и применения определенных принципов учетной политики. | |
- | Запросы, направленные внутреннему юристу, могут предоставить информацию о таких обстоятельствах, как судебные разбирательства, соблюдение законов и нормативных актов, осведомленность о фактических или предполагаемых недобросовестных действиях, влияющих на организацию, гарантиях, послепродажных обязательствах, соглашениях с партнерами по бизнесу (например, о совместных предприятиях) и о содержании договорных условий. | |
- | Запросы, направленные сотрудникам маркетинговых или коммерческих подразделений, могут предоставить информацию об изменениях в маркетинговой стратегии организации, тенденциях в продажах или о договорных отношениях с заказчиками. | |
- | Запросы, направленные службе по управлению рисками (или сотрудникам, выполняющим такие функции), могут предоставить информацию об операционных и регуляторных рисках, которые могут влиять на финансовую отчетность. | |
- | Запросы, направленные сотрудникам подразделений информационных технологий, могут предоставить информацию об изменениях в системах, сбоях в системах или средствах контроля или иных рисках, связанных с информационными технологиями. |
<23> МСА 260 (пересмотренный) "Информационное взаимодействие с лицами, отвечающими за корпоративное управление", пункт 4(b).
Особенности организаций государственного сектора
A24. При направлении запросов лицам, предположительно располагающим информацией, которая, по всей вероятности, поможет в выявлении рисков существенного искажения, аудиторы организаций государственного сектора могут получать информацию из дополнительных источников, например от аудиторов, участвующих в выполнении других аудиторских заданий в отношении организации.
Направление запросов службе внутреннего аудита
Почему запросы направляются службе внутреннего аудита (при наличии таковой)
A25. Если у организации есть служба внутреннего аудита, направление запросов ее сотрудникам может помочь аудитору в изучении организации и ее окружения, а также системы внутреннего контроля организации в процессе выявления и оценки рисков.
Особенности организаций государственного сектора
A26. Аудиторы организаций государственного сектора зачастую имеют дополнительные обязанности в отношении внутреннего контроля и соблюдения применимых законов и нормативных актов. Направление запросов соответствующим сотрудникам службы внутреннего аудита может помочь аудиторам в выявлении риска существенного несоблюдения действующих законов и нормативных актов и риска недостатков системы контроля за подготовкой финансовой отчетности.
Аналитические процедуры (см. пункт 14(b))
Почему аналитические процедуры выполняются в качестве процедуры оценки рисков
A27. Аналитические процедуры помогают выявить несоответствия, необычные операции или события, суммы, коэффициенты и тенденции, указывающие на наличие вопросов, которые могут иметь последствия для аудита. Выявленные необычные или неожиданные соотношения могут помочь аудитору выявить риски существенного искажения, особенно риски существенного искажения вследствие недобросовестных действий.
A28. Следовательно, выполнение аналитических процедур в качестве процедур оценки рисков может помочь в выявлении и оценке рисков существенного искажения путем выявления вопросов об организации, о которых аудитору было неизвестно, или понимания того, как факторы неотъемлемого риска, такие как изменчивость, влияют на подверженность предпосылок искажению.
Виды аналитических процедур
A29. Аналитические процедуры, выполняемые в качестве процедур оценки рисков, могут:
- включать финансовую и нефинансовую информацию, например соотношение между объемом продаж и размерами торговых площадей или объемом реализованных товаров (нефинансовый показатель);
- использовать данные, агрегированные на высоком уровне. Следовательно, результаты выполнения таких аналитических процедур могут дать общее предварительное указание на вероятность существенного искажения.
A30. Данный стандарт регламентирует использование аудитором аналитических процедур в качестве процедур оценки рисков. МСА 520 <24> регламентирует использование аудитором аналитических процедур в качестве процедур проверки по существу ("аналитические процедуры проверки по существу") и обязанность аудитора проводить аналитические процедуры перед завершением аудита. Следовательно, аналитические процедуры, выполняемые в качестве процедур оценки рисков, не обязательно проводить в соответствии с требованиями МСА 520. Однако требования и руководство по применению МСА 520 могут содержать рекомендации, полезные для аудитора при выполнении аналитических процедур в рамках процедур оценки рисков.
<24> МСА 520 "Аналитические процедуры".
Автоматизированные инструменты и методы
A31. Аналитические процедуры могут выполняться с использованием ряда автоматизированных инструментов или методов. Применение автоматизированных аналитических процедур к данным может рассматриваться в качестве анализа данных.
Наблюдение и инспектирование (см. пункт 14(c))
Почему наблюдение и инспектирование проводятся в качестве процедур оценки рисков
A32. Наблюдение и инспектирование могут подтверждать, дополнять или опровергать результаты опроса руководства и других лиц, а также могут предоставлять информацию об организации и ее окружении.
Масштабируемость
A33. Если политика или процедуры не оформлены документально или средства контроля организации являются менее формализованными, аудитор, тем не менее, может получить некоторые аудиторские доказательства, чтобы подтвердить выявление и оценку рисков существенного искажения, путем наблюдения за применением средства контроля или его инспектирования.
Наблюдение и инспектирование в качестве процедур оценки рисков
A34. Процедуры оценки рисков могут включать наблюдение или инспектирование в отношении следующего:
- деятельности организации;
- внутренних документов (таких как бизнес-планы и стратегия), записей и регламентов процедур внутреннего контроля;
- отчетов, подготовленных руководством (таких как ежеквартальные управленческие отчеты и промежуточная финансовая отчетность) и лицами, отвечающими за корпоративное управление (например, протоколов заседаний совета директоров);
- помещений и производственных объектов организации;
- информации, полученной из внешних источников, таких как торговые и экономические журналы, отчеты аналитиков, банков или рейтинговых агентств, публикации регулирующих и финансовых органов или иные внешние документы о финансовых результатах организации (например, указанных в пункте A79);
- поведения и действий руководства или лиц, отвечающих за корпоративное управление (например, наблюдение за проведением заседания комитета по аудиту).
Автоматизированные инструменты и методы
A35. Автоматизированные инструменты и методы также могут использоваться для наблюдения или инспектирования, в частности, активов, например, путем использования средств дистанционного наблюдения (таких как дроны).
Особенности организаций государственного сектора
A36. Процедуры оценки рисков, выполняемые аудиторами организаций государственного сектора, могут также включать наблюдение и инспектирование документов, подготовленных руководством для законодательных органов, например документов, относящихся к обязательной отчетности о результатах.
Информация из других источников (см. пункт 15)
Почему аудитор рассматривает информацию из других источников
A37. Информация, полученная из других источников, может иметь значение для выявления и оценки рисков существенного искажения, предоставляя сведения и аналитическую оценку в отношении:
- характера организации и ее бизнес-рисков, а также возможных изменений относительно предыдущих периодов;
- честности и этических ценностей руководства и лиц, отвечающих за корпоративное управление, что также может иметь значение для понимания аудитором контрольной среды;
- применимой концепции подготовки финансовой отчетности и ее использования с учетом характера и обстоятельств организации.
Прочие имеющиеся источники
A38. Прочие имеющиеся источники информации включают:
- процедуры аудитора по принятию или продолжению отношений с клиентами или аудиторских заданий, проводимые в соответствии с МСА 220 (пересмотренным) <25>, в том числе выводы по их результатам; (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
<25> МСА 220 (пересмотренный) "Управление качеством при проведении аудита финансовой отчетности", пункты 22 - 24. (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
- прочие задания, выполняемые руководителем задания для организации. Руководитель задания мог получить информацию, относящуюся к аудиту, в том числе об организации и ее окружении, при выполнении других заданий для организации. Такие задания могут включать задания по выполнению согласованных процедур или иные аудиторские задания или задания, обеспечивающие уверенность, в том числе задания по выполнению дополнительных требований к отчетности, предъявляемых в юрисдикции.
Информация о прошлом опыте работы аудитора с организацией и предыдущих аудиторских заданиях (см. пункт 16)
Почему информация, полученная по итогам предыдущих аудиторских заданий, имеет большое значение для текущего аудита
A39. Прошлый опыт работы аудитора с организацией и выполнения аудиторских процедур в рамках предыдущих аудиторских заданий может обеспечить аудитора информацией, имеющей значение для определения аудитором характера и объема процедур по оценке рисков и для выявления и оценки рисков существенного искажения.
Характер информации, полученной по итогам предыдущих аудиторских заданий
A40. Благодаря прошлому опыту работы аудитора с организацией и выполнения аудиторских процедур в рамках предыдущих аудиторских заданий аудитор может получить информацию о таких вопросах, как:
- искажения, произошедшие в прошлые периоды, и то, были ли они своевременно скорректированы;
- характер организации и ее окружения, а также система внутреннего контроля организации (включая недостатки системы контроля);
- значительные изменения, которые организация или ее деятельность могли претерпеть по окончании предыдущего финансового периода;
- определенные виды операций и другие события или остатки по счетам (и соответствующее раскрытие информации), если аудитор испытывал трудности при проведении необходимых аудиторских процедур, например, в силу их сложности.
A41. Аудитор обязан определить, остается ли информация, полученная из его прошлого опыта работы с организацией и выполнения аудиторских процедур в рамках предыдущих аудиторских заданий, уместной и надежной, если он планирует использовать ее для целей текущего аудита. Если характер или обстоятельства организации изменились или была получена новая информация, сведения, относящиеся к предыдущим периодам, могут уже не быть надежными или уместными для текущего аудита. Для того чтобы определить, произошли ли изменения, которые могут повлиять на уместность или надежность такой информации, аудитор может направить запросы и выполнить другие надлежащие аудиторские процедуры, такие как сквозное тестирование соответствующих систем. Если информация не является надежной, аудитор может рассмотреть возможность выполнения дополнительных, соответствующих обстоятельствам процедур.
Обсуждение в аудиторской группе (см. пункты 17 - 18)
Почему аудиторская группа должна обсуждать использование применимой концепции подготовки финансовой отчетности и подверженность финансовой отчетности организации существенному искажению
A42. Обсуждение аудиторской группой использования применимой концепции подготовки финансовой отчетности и подверженности финансовой отчетности организации существенному искажению:
- позволяет более опытным членам аудиторской группы, включая руководителя задания, сообщить о своих аналитических выводах, сделанных на основе знания специфики организации. Обмен информацией способствует более глубокому пониманию вопросов всеми членами аудиторской группы;
- позволяет членам аудиторской группы обмениваться информацией о бизнес-рисках, которым подвержена организация, о том, как факторы неотъемлемого риска могут повлиять на подверженность искажению видов операций, остатков по счетам и раскрытия информации, а также о том, как и в какой области финансовая отчетность может оказаться подверженной существенному искажению вследствие недобросовестных действий или ошибок;
- помогает членам аудиторской группы улучшить понимание возможностей существенного искажения финансовой отчетности в тех областях, за которые они отвечают, и получить представление о том, как результаты выполняемых ими аудиторских процедур могут повлиять на другие аспекты аудита, включая решения о характере, сроках и объеме дальнейших аудиторских процедур. В частности, обсуждение помогает членам аудиторской группы в последующем рассмотрении противоречивой информации, исходя из собственного понимания каждым членом группы характера и обстоятельств организации;
- обеспечивает основу для информационного взаимодействия членов аудиторской группы и обмена новой информацией, полученной в ходе аудита, которая может повлиять на оценку рисков существенного искажения или аудиторские процедуры, выполняемые для снижения этих рисков.
МСА 240 требует, чтобы в рамках обсуждения в аудиторской группе особое внимание уделялось тому, как и в какой области финансовая отчетность организации может быть подвержена существенному искажению вследствие недобросовестных действий, а также тому, каким образом могли быть совершены недобросовестные действия <26>.
<26> МСА 240, пункт 16.
A43. Профессиональный скептицизм необходим для критической оценки аудиторских доказательств, и эффективное и открытое обсуждение в аудиторской группе, в том числе в рамках повторных аудиторских заданий, может привести к повышению качества выявления и оценки рисков существенного искажения. Другим результатом обсуждения может быть выявление аудитором определенных областей аудита, где проявление профессионального скептицизма может иметь особое значение и привести к привлечению более опытных членов аудиторской группы, которые обладают надлежащими навыками для участия в выполнении аудиторских процедур в отношении данных областей.
Масштабируемость
A44. Когда задание выполняется одним лицом, например индивидуальным аудитором (то есть когда обсуждение в аудиторской группе невозможно), рассмотрение вопросов, указанных в пунктах A42 и A46, все же может помочь аудитору в выявлении возможных областей, где могут возникать риски существенного искажения.
A45. Когда задание выполняется большой аудиторской группой, как в случае аудита финансовой отчетности группы, не всегда необходимо или полезно проводить одно обсуждение с участием всех членов группы (например, в случае задания в разных территориальных подразделениях), а также нет необходимости информировать всех членов аудиторской группы обо всех решениях, принятых в рамках обсуждения. Руководитель задания может обсуждать вопросы с ключевыми членами аудиторской группы, включая, если это целесообразно, тех, кто обладает специальными навыками или знаниями, а также ответственных за выполняемую работу в отношении аудита компонентов, и поручить проведение обсуждения с другими членами группы с учетом объема информационного взаимодействия, который считается необходимым в рамках аудиторской группы. Целесообразным может быть составление плана информационного взаимодействия, согласованного с руководителем задания. (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
Обсуждение раскрытия информации согласно применимой концепции подготовки финансовой отчетности
A46. В рамках обсуждения в аудиторской группе рассмотрение требований применимой концепции подготовки финансовой отчетности к раскрытию информации помогает выявить на ранних этапах аудита области, где могут возникать риски существенного искажения в отношении раскрытия информации, даже в ситуации, когда применимая концепция подготовки финансовой отчетности требует только упрощенного раскрытия информации. Вопросы, которые аудиторская группа может обсудить, включают:
- изменения требований к подготовке финансовой отчетности, которые могут привести к раскрытию новой или пересмотренной информации в значительном объеме;
- изменения в окружении организации, финансовых условиях или деятельности, которые могут привести к раскрытию новой или пересмотренной информации в значительном объеме, например проведение значительной сделки по объединению бизнеса в аудируемый период;
- раскрытие информации, в отношении которого сложно было получить достаточные надлежащие аудиторские доказательства в прошлом;
- раскрытие информации по сложным вопросам, включая ту, которая требует значимого суждения руководства о том, какую информацию следует раскрывать.
Особенности организаций государственного сектора
A47. В рамках обсуждения в аудиторских группах организаций государственного сектора также можно рассматривать дополнительные, более широкие задачи и соответствующие риски, возникающие в связи с заданием на проведение аудита или обязательствами организаций государственного сектора.
Получение понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации (см. пункты 19 - 27)
Получение необходимого понимания (см. пункты 19 - 27)
A48. Получение понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации является динамичным итеративным процессом сбора, уточнения и анализа информации на всех этапах аудита. Следовательно, по мере получения аудитором новой информации возможно изменение его ожиданий.
A49. Кроме того, получение понимания аудитором деятельности организации и ее окружения, а также применимой концепции подготовки финансовой отчетности помогает аудитору сформировать первоначальные ожидания в отношении того, какие виды операций, остатки по счетам и какое раскрытие информации могут оказаться значительными. На основе этих ожидаемых значительных видов операций, остатков по счетам и раскрытия информации определяются границы изучения аудитором информационной системы организации.
Почему требуется понимание деятельности организации и ее окружения, а также применимой концепции подготовки финансовой отчетности (см. пункты 19 - 20)
A50. Получение понимания деятельности организации и ее окружения, а также применимой концепции подготовки финансовой отчетности помогает аудитору понять события и условия, значимые для организации, а также определить, как и в какой степени факторы неотъемлемого риска влияют на подверженность предпосылок искажению при подготовке финансовой отчетности, в соответствии с применимой концепцией подготовки финансовой отчетности. Данная информация устанавливает систему ориентиров, в рамках которой аудитор выявляет и оценивает риски существенного искажения. Эта система ориентиров облегчает аудитору задачу планирования аудита и применения профессионального суждения и профессионального скептицизма на всех этапах аудита, например при выполнении таких процедур, как:
- выявление и оценка рисков существенного искажения финансовой отчетности в соответствии с МСА 315 (пересмотренным, 2019 г.) или прочими применимыми стандартами (например, рисков, относящихся к категории рисков недобросовестных действий в соответствии с МСА 240, или при выявлении или оценке рисков существенного искажения в отношении оценочных значений в соответствии с МСА 540 (пересмотренным);
- выполнение процедур, способствующих выявлению таких случаев несоблюдения законов и нормативных требований, которые могут оказать существенное влияние на финансовую отчетность, в соответствии с МСА 250 <27>;
<27> МСА 250 (пересмотренный) "Рассмотрение законов и нормативных актов в ходе аудита финансовой отчетности", пункт 14.
- оценка того, обеспечивает ли финансовая отчетность адекватное раскрытие информации в соответствии с МСА 700 (пересмотренным) <28>;
<28> МСА 700 (пересмотренный) "Формирование мнения и составление заключения о финансовой отчетности", пункт 13(e).
- определение существенности для финансовой отчетности в целом или существенности для выполнения аудиторских процедур в соответствии с МСА 320 <29>;
<29> МСА 320 "Существенность при планировании и проведении аудита", пункты 10 - 11.
- рассмотрение надлежащего характера выбора и применения учетной политики и адекватности раскрытия информации в финансовой отчетности.
A51. Кроме того, в результате изучения организации и ее окружения, а также применимой концепции подготовки финансовой отчетности аудитор получает информацию для планирования и выполнения таких дальнейших аудиторских процедур, как:
- формирование ожиданий, которые будут учитываться при проведении аналитических процедур в соответствии с МСА 520 <30>;
<30> МСА 520, пункт 5.
- разработка и выполнение дальнейших аудиторских процедур для получения достаточных надлежащих аудиторских доказательств в соответствии с МСА 330;
- оценка достаточности и надлежащего характера полученных аудиторских доказательств (например, тех, которые относятся к допущениям или устным и письменным заявлениям руководства).
Масштабируемость
A52. Вопрос о том, насколько глубоко требуется изучить организацию, и характер такого изучения являются предметом профессионального суждения аудитора и различаются в разных организациях в зависимости от характера и обстоятельств самой организации, которые включают:
- размер и сложность организации, в том числе ее ИТ-среды;
- предыдущий опыт работы аудитора с данной организацией;
- характер систем и процессов организации, в частности то, оформлены они документально или нет;
- характер и форму документации организации.
A53. Процедуры оценки рисков, которые выполняет аудитор для получения необходимого представления об организации, могут быть менее детальными при аудите менее сложных организаций и более детальными - при аудите более сложных организаций. Предполагается, что аудитору требуется менее глубокое понимание по сравнению с членами руководства, которые управляют организацией.
A54. Некоторые концепции подготовки финансовой отчетности позволяют малым организациям раскрывать более простую и менее детальную информацию в финансовой отчетности. Однако это не освобождает аудитора от ответственности за получение понимания деятельности организации и ее окружения, а также применимой к организации концепции подготовки финансовой отчетности.
A55. Использование организацией информационных технологий, а также характер и степень изменений в ИТ-среде тоже могут влиять на то, какие требуются особые навыки, которые помогли бы аудитору получить необходимое понимание организации.
Организация и ее окружение (см. пункт 19(a))
Организационная структура, структура собственности и корпоративного управления, а также бизнес-модель (см. пункт 19(a)(i))
Организационная структура и структура собственности организации
A56. Изучение организационной структуры и структуры собственности организации позволит аудитору понять такие вопросы, как:
- сложность структуры организации;
- структура собственности и взаимоотношения между собственниками и другими лицами или организациями, включая связанные стороны. Понимание данных аспектов помогает определить, были ли надлежащим образом выявлены, учтены и адекватно раскрыты в финансовой отчетности операции со связанными сторонами <31>;
<31> В МСА 550 установлены требования и представлены рекомендации в отношении рассмотрения аудитором вопросов, касающихся связанных сторон.
- проведение различия между лицами, отвечающими за корпоративное управление, и руководством;
<32> В МСА 260 (пересмотренном) в пунктах A1 и A2 представлено руководство по выявлению лиц, отвечающих за корпоративное управление, и поясняется, что в некоторых случаях некоторые или все лица, отвечающие за корпоративное управление, могут участвовать в управлении организацией.
- структура и сложность ИТ-среды в организации.
Автоматизированные инструменты и методы
A57. Аудитор может использовать автоматизированные инструменты и методы, чтобы понять потоки операций и порядок их обработки, в рамках выполнения процедур, направленных на изучение информационной системы. Результатом выполнения этих процедур может быть получение аудитором информации об организационной структуре организации или тех организаций, с которыми она ведет свою деятельность (например, поставщиков, клиентов, связанных сторон).
Особенности организаций государственного сектора
A58. Права собственности в организации государственного сектора могут не иметь такого же значения, как в организации частного сектора, потому что решения, относящиеся к организации, могут приниматься вне организации в результате происходящих политических процессов. Следовательно, руководство может не контролировать принятие определенных решений. Среди важных вопросов можно отметить понимание способности организации принимать решения в одностороннем порядке, а также возможности других организаций государственного сектора осуществлять контроль над организацией или влиять на политику организации или стратегическое направление ее развития.
Корпоративное управление
Почему аудитор изучает систему корпоративного управления
A59. Изучение системы корпоративного управления в организации поможет аудитору понять возможности организации в части осуществления надлежащего надзора за ее системой внутреннего контроля. Однако данное понимание может обеспечить и доказательства наличия недостатков, которые могут указывать на усиление подверженности финансовой отчетности организации рискам существенного искажения.
Получение понимания системы корпоративного управления в организации
A60. Вопросы, которые может быть уместно рассмотреть аудитору при получении понимания системы корпоративного управления в организации, включают следующее:
- участвуют ли в руководстве организацией некоторые или все лица, отвечающие за корпоративное управление;
- имеется ли совет, в который входят неисполнительные директора (при наличии), и отделен ли он от исполнительного руководства;
- занимают ли лица, отвечающие за корпоративное управление, должности, являющиеся неотъемлемой частью организационно-правовой формы организации, например должности директоров;
- имеются ли подгруппы лиц, отвечающих за корпоративное управление, например комитет по аудиту, и в чем состоят обязанности такой группы;
- каковы обязанности лиц, отвечающих за корпоративное управление, в части надзора за подготовкой финансовой отчетности, включая утверждение финансовой отчетности.
Бизнес-модель организации
Почему аудитор изучает бизнес-модель организации
A61. Изучение целей, стратегии и бизнес-модели организации помогает аудитору изучить организацию на стратегическом уровне и понять бизнес-риски, которые принимает на себя организация и с которыми она сталкивается. Понимание бизнес-рисков, влияющих на финансовую отчетность, способствует выявлению аудитором рисков существенного искажения, так как основная часть бизнес-рисков в тот или иной момент будет иметь финансовые последствия, а следовательно, отразится на показателях финансовой отчетности.
Изучение бизнес-модели организации
A62. Не все аспекты бизнес-модели организации важны для аудитора при ее изучении. Бизнес-риски - это более широкое понятие, чем риски существенного искажения финансовой отчетности, хотя последние входят в число бизнес-рисков. Аудитор не обязан изучать или выявлять все бизнес-риски, потому что не все бизнес-риски приводят к возникновению рисков существенного искажения.
A63. Бизнес-риски, которые увеличивают подверженность рискам существенного искажения, могут возникать в следующих случаях:
- ненадлежащие цели или стратегии, неэффективная реализация стратегий, либо изменение, либо сложность;
- непризнание потребности в изменениях тоже может привести к возникновению бизнес-риска, например, по следующим причинам:
-- разработка новых продуктов или услуг, которые могут потерпеть неудачу при их выводе на рынок;
-- наличие рынка (даже если это хорошо развитый рынок), который недостаточен для поддержания продаж данного продукта или данной услуги, или
-- недостатки продукта или услуги, которые могут привести к возникновению юридической ответственности или репутационного риска;
- стимулирующие вознаграждения и давление на руководство, которые могут привести к возникновению умышленной или неумышленной предвзятости руководства, а следовательно, повлиять на обоснованность значительных допущений и ожиданий руководства и лиц, отвечающих за корпоративное управление.
A64. Примеры вопросов, которые аудитор может принять во внимание при получении понимания бизнес-модели, целей, стратегий и соответствующих бизнес-рисков организации, способных привести к риску существенного искажения финансовой отчетности, включают:
- изменения в отрасли, например, нехватка персонала или квалифицированных кадров для решения вопросов, связанных с развитием отрасли;
- новые продукты и услуги, в результате появления которых может возникнуть повышенная ответственность за качество продукции (услуг);
- расширение бизнеса организации при отсутствии точной оценки спроса;
- новые требования к бухгалтерскому учету при их неполном или ненадлежащем внедрении в организации;
- нормативные требования, которые приводят к повышенным юридическим рискам;
- текущие и будущие потребности в финансировании, например потеря финансирования в результате несоблюдения организацией установленных требований;
- использование ИТ, например внедрение новой ИТ-системы, которое повлияет как на деятельность, так и на финансовую отчетность, или
- последствия внедрения стратегии, особенно те, которые приведут к появлению новых требований к бухгалтерскому учету.
A65. Как правило, руководство выявляет бизнес-риски и разрабатывает подходы к управлению ими. Данный процесс оценки риска является составной частью системы внутреннего контроля организации. Он рассматривается в пункте 22 и пунктах A109 - A113.
Особенности организаций государственного сектора
A66. Организации, осуществляющие деятельность в государственном секторе, могут создавать ценность и приносить пользу иным образом, чем организации, которые создают стоимость для своих собственников, однако у них все равно есть бизнес-модель, которая реализуется с конкретной целью. К вопросам, которые могут изучить аудиторы организаций государственного сектора в отношении бизнес-модели организации, относятся следующие:
- понимание соответствующих видов деятельности в государственном секторе, в том числе соответствующих программ;
- цели и стратегии программ, включая элементы государственной политики.
A67. При аудите организаций государственного сектора необходимо учитывать, что цели управления могут зависеть от требований демонстрировать публичную ответственность и включать цели, которые установлены законом, нормативным актом или иным регламентирующим документом.
Отраслевые, регуляторные и иные внешние факторы (см. пункт 19(a)(ii))
Отраслевые факторы
A68. Значимые отраслевые факторы включают сложившиеся в отрасли условия, такие как конкурентная среда, отношения с поставщиками и покупателями, а также развитие технологий. Примеры вопросов, которые может рассмотреть аудитор:
- рынок и конкурентная среда, включая спрос, производительность и ценовую конкуренцию;
- цикличная или сезонная деятельность;
- производственные технологии, относящиеся к продукции организации.
- энергоснабжение и его стоимость.
A69. В отрасли, в которой организация ведет деятельность, могут возникать специфические риски существенного искажения финансовой отчетности, обусловленные характером деятельности, или уровнем регулирования.
(в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
<33> МСА 220 (пересмотренный), пункты 25 - 28. (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
Регуляторные факторы
A70. К значимым регуляторным факторам относится регуляторная среда. Регуляторная среда охватывает, в частности, применимую концепцию подготовки финансовой отчетности, а также правовую и политическую среду и соответствующие изменения в них. Примеры вопросов, которые может рассмотреть аудитор:
- нормативная база регулируемой отрасли, например пруденциальные нормы, включая соответствующие требования к раскрытию информации;
- законодательство и нормативные акты, которые оказывают значительное влияние на деятельность организации, включая трудовое законодательство и нормативные акты;
- законодательство и нормативные акты о налогообложении;
- государственная политика, в данный момент влияющая на ведение бизнеса организацией, в частности денежно-кредитная политика, включая систему валютного контроля, налоговые, финансовые льготы (например, программы государственной помощи), а также политика в области тарифов и ограничения торговли;
- требования по охране окружающей среды, связанные с отраслью и бизнесом организации.
A71. Некоторые конкретные требования, связанные с правовым регулированием, применимым к организации и отрасли или сектору экономики, в которых она ведет деятельность, приводятся в МСА 250 (пересмотренном) <34>.
<34> МСА 250 (пересмотренный), пункт 13.
Особенности организаций государственного сектора
A72. При аудите организаций государственного сектора следует учитывать влияние специфических законов или нормативных актов на деятельность организации. Эти элементы необходимо рассмотреть при получении понимания деятельности организации и ее окружения.
Прочие внешние факторы
A73. К числу прочих внешних факторов, которые влияют на организацию и которые может учитывать аудитор, относятся общие экономические условия, процентные ставки и доступность финансирования, а также инфляция и переоценка валюты.
Показатели, используемые руководством при оценке финансовых результатов организации (см. пункт 19(a)(iii))
Почему аудитору необходимо изучать показатели, используемые руководством
A74. Понимание показателей деятельности организации помогает аудитору при рассмотрении вопроса о том, могут ли эти показатели, используемые как за пределами, так и внутри организации, создавать давление на организацию в достижении целевых показателей. Такое давление может побудить руководство совершить действия, которые повышают подверженность искажению в результате предвзятости руководства или недобросовестных действий (например, для улучшения результатов деятельности или умышленного искажения финансовой отчетности) (см. МСА 240, в котором содержатся требования и рекомендации в отношении рисков недобросовестных действий).
A75. Показатели деятельности могут также указать аудитору на наличие вероятности рисков существенного искажения соответствующей информации в финансовой отчетности. Например, оценка результатов деятельности может показать, что у организации необычайно быстрый рост или прибыльность по сравнению с ростом и прибыльностью других организаций, работающих в этой же отрасли.
Показатели, используемые руководством
A76. Как правило, руководство организации и прочие лица проводят оценку и анализ тех вопросов, которые они считают важными. Опрос руководства может показать, что оно полагается на определенные ключевые показатели (как из открытых, так и из других источников) для оценки финансовых результатов и принятия мер. В таких случаях аудитор может выявить соответствующие показатели результатов деятельности (как внутренние, так и внешние), рассмотрев информацию, которую организация использует для управления своей деятельностью. Если такой опрос указывает на отсутствие оценки или анализа результатов деятельности, возможно, существует повышенный риск того, что искажения не будут обнаружены и исправлены.
A77. Ключевые показатели, которые используются для оценки финансовых результатов, могут включать:
- ключевые показатели деятельности (финансовые и нефинансовые) и ключевые коэффициенты, тенденции и операционную статистику;
- анализ финансовых результатов в сопоставлении с предыдущим периодом;
- бюджеты, прогнозы, анализ отклонений, информацию по сегментам, отчеты подразделений, департаментов и других организационных структур;
- оценку результатов работы сотрудников и политику в области материальных поощрений;
- сравнение результатов деятельности организации с результатами деятельности конкурентов.
Масштабируемость (см. пункт 19(a)(iii))
A78. Процедуры, проводимые с целью изучения показателей деятельности организации, могут различаться в зависимости от размера и сложности организации, а также участия собственников или лиц, отвечающих за корпоративное управление, в управлении организацией.
Прочие вопросы
A79. Оценивать и проводить анализ финансовых результатов деятельности организации могут третьи стороны, в частности, это касается тех организаций, финансовая информация которых находится в открытом доступе. Аудитор может рассмотреть информацию из открытых источников, которая поможет ему лучше понять бизнес организации или выявить противоречивую информацию из таких источников, как:
- отчеты аналитиков и отчеты кредитных рейтинговых агентств;
- новостные и прочие средства массовой информации, включая социальные сети;
- налоговые органы;
- регулирующие органы;
- профсоюзы;
- финансирующие организации.
Такую финансовую информацию часто можно получить от аудируемой организации.
A80. Оценка и анализ финансовых результатов не тождественны мониторингу системы внутреннего контроля (который рассматривается в качестве компонента системы внутреннего контроля в пунктах A114 - A122), хотя их цели могут частично совпадать:
- оценка и анализ финансовых результатов направлены на определение того, соответствуют ли результаты деятельности целям, установленным руководством организации (или третьими лицами);
- напротив, мониторинг системы внутреннего контроля связан с мониторингом эффективности средств контроля, в том числе относящихся к оценке и анализу финансовых результатов деятельности организации.
В некоторых случаях, однако, показатели деятельности также обеспечивают информацией, которая позволяет руководству организации выявлять недостатки системы контроля.
Особенности организаций государственного сектора
A81. В дополнение к рассмотрению соответствующих показателей деятельности, используемых организацией государственного сектора при оценке финансовых результатов своей деятельности, аудиторы организаций государственного сектора могут рассматривать и нефинансовую информацию, такую как достижение общественно-полезных результатов (например, количество охваченных какой-либо конкретной программой людей, которым она помогла).
Применимая концепция подготовки финансовой отчетности (см. пункт 19(b))
Изучение применимой концепции подготовки финансовой отчетности и учетной политики организации
A82. Примеры вопросов, которые может рассмотреть аудитор при изучении применимой концепции подготовки финансовой отчетности организации и порядка ее применения с учетом характера и обстоятельств организации и ее окружения:
- практика представления организацией финансовой отчетности в части применимой концепции подготовки финансовой отчетности, например:
-- принципы бухгалтерского учета и особенности отраслевой практики, в том числе в части значительных отраслевых видов операций, остатков по счетам и раскрытия соответствующей информации в финансовой отчетности (например, займов и инвестиций для банков или исследований и разработок для фармацевтических компаний);
-- признание выручки;
-- порядок учета финансовых инструментов, включая соответствующие кредитные убытки;
-- активы, обязательства и операции в иностранной валюте;
-- порядок учета необычных или сложных операций, включая те, которые связаны со спорными или новыми областями деятельности (например, учет криптовалюты);
- понимание выбора и применения организацией учетной политики, в том числе внесенных в нее изменений, а также причин данных изменений, может охватывать такие вопросы, как:
-- методы, используемые организацией для признания, оценки, представления значительных и необычных операций, а также раскрытия информации о них;
-- влияние основных положений учетной политики в спорных или новых областях, где недостаточно официальных рекомендаций или отсутствует консенсус;
-- изменения в окружении организации, например изменения в применимой концепции подготовки финансовой отчетности или реформы в области налогообложения, которые могут потребовать изменения учетной политики организации;
-- стандарты, законы и нормативные акты, которые касаются финансовой отчетности и являются новыми для организации, а также сроки и порядок применения или соблюдения организацией таких требований.
A83. Получение понимания деятельности организации и ее окружения может облегчить аудитору рассмотрение вопроса о том, в каких областях ее финансовой отчетности можно ожидать изменений (например, относительно прошлых периодов).
Особенности организаций государственного сектора
A84. Применимая концепция подготовки финансовой отчетности для организаций государственного сектора устанавливается законодательной и нормативной базой, действующей в каждой юрисдикции или в каждом географическом регионе. Вопросы, которые могут быть рассмотрены в отношении соблюдения организацией применимых требований к подготовке финансовой отчетности и порядка их применения организацией в контексте характера и обстоятельств организации и ее окружения, включают вопрос о том, применяет ли организация полностью учет по методу начисления или по кассовому методу в соответствии с Международными стандартами финансовой отчетности для государственного сектора либо использует сочетание двух методов.
Как факторы неотъемлемого риска влияют на подверженность предпосылок искажению (см. пункт 19(c))
Почему аудитор изучает факторы неотъемлемого риска при получении понимания организации и ее окружения, а также применимой концепции подготовки финансовой отчетности
A85. Изучение организации и ее окружения, а также применимой концепции подготовки финансовой отчетности помогает аудитору выявить события и условия, характеристики которых могут повлиять на подверженность предпосылок в отношении видов операций, остатков по счетам и раскрытия информации искажению. Данные характеристики представляют собой факторы неотъемлемого риска. Факторы неотъемлемого риска могут оказать влияние на подверженность предпосылок искажению за счет воздействия на вероятность возникновения искажения или величину искажения, если оно будет иметь место. Понимание того, как факторы неотъемлемого риска влияют на подверженность предпосылок искажению, поможет аудитору составить предварительное представление о вероятности или величине искажений, что поможет аудитору в выявлении рисков существенного искажения на уровне предпосылок в соответствии с пунктом 28(b). Кроме того, понимание степени, в которой факторы неотъемлемого риска влияют на подверженность предпосылок искажению, облегчает аудитору оценку вероятности и величины возможного искажения при оценке неотъемлемого риска в соответствии с пунктом 31(a). Следовательно, понимание факторов неотъемлемого риска может также помочь аудитору в разработке и выполнении дальнейших аудиторских процедур в соответствии с МСА 330.
A86. На выявление аудитором рисков существенного искажения на уровне предпосылок и оценку неотъемлемого риска могут оказывать влияние и аудиторские доказательства, полученные аудитором при выполнении других процедур оценки рисков, дальнейших аудиторских процедур или при выполнении других требований, содержащихся в МСА (см. пункты A95, A103, A111, A121, A124 и A151).
Влияние факторов неотъемлемого риска на виды операций, остатки по счетам или раскрытие информации
A87. Степень подверженности искажению вида операций, остатка по счету или раскрытия информации в связи с уровнем сложности или субъективности часто тесно коррелирует с той степенью, в которой они подвержены изменению или воздействию факторов неопределенности.
A88. Чем выше степень подверженности искажению вида операций, остатка по счету или раскрытия информации в связи с уровнем сложности и субъективности, тем больше от аудитора требуется проявление профессионального скептицизма. Кроме того, когда вид операций, остаток по счету или раскрытие информации подвержены искажению в связи со сложностью, субъективностью, изменчивостью или неопределенностью, данные факторы неотъемлемого риска могут создавать возможность для предвзятости руководства (как неумышленной, так и умышленной) и воздействовать на подверженность искажению в результате предвзятости руководства. Выявление аудитором рисков существенного искажения и оценка неотъемлемого риска на уровне предпосылок также зависят от взаимосвязей между факторами неотъемлемого риска.
A89. События или условия, способные повлиять на подверженность искажению из-за предвзятости руководства, могут также оказать воздействие на подверженность искажению в результате действия других факторов риска недобросовестных действий. Следовательно, эта информация может быть значимой для использования в соответствии с пунктом 24 МСА 240, согласно которому аудитор должен оценить, указывает ли информация, полученная в результате выполнения процедур оценки рисков и сопутствующих действий, на то, что существует фактор риска недобросовестных действий или несколько таких факторов.
Получение понимания системы внутреннего контроля организации (см. пункты 21 - 27)
A90. Аудитор получает понимание системы внутреннего контроля организации путем выполнения процедуры оценки рисков с целью изучения и оценки каждого компонента системы внутреннего контроля, как указано в пунктах 21 - 27.
A91. Компоненты системы внутреннего контроля организации для целей данного МСА не всегда отражают, каким образом организация разрабатывает, внедряет и поддерживает систему внутреннего контроля или каким образом она классифицирует тот или иной компонент. Для описания различных аспектов системы внутреннего контроля организации могут применять иные термины или принципы. Для целей аудита аудиторы тоже могут использовать иные термины или принципы при условии, что все компоненты, описанные в данном МСА, будут рассмотрены.
Масштабируемость
A92. Разработка и внедрение системы внутреннего контроля может различаться в зависимости от размера и уровня сложности организации, ее поддержка также может осуществляться по-разному. Например, менее сложные организации могут использовать менее структурированные и более простые средства контроля (то есть политику и процедуры) для достижения своих целей.
Особенности организаций государственного сектора
A93. Аудиторы организаций государственного сектора зачастую имеют дополнительные обязанности в отношении системы внутреннего контроля, например, обязанность подготовить отчет о соблюдении организацией установленных норм и правил или требований представлять отчет о фактическом расходовании средств в сопоставлении с бюджетными параметрами. Аудиторы организаций государственного сектора также могут быть обязаны подготовить отчет о соблюдении требований законодательства, нормативных и иных актов. В результате проводимая ими проверка системы внутреннего контроля может оказаться более обширной и подробной.
Информационные технологии в компонентах системы внутреннего контроля организации
A94. Общая цель и объем аудита не различаются в зависимости от того, ведет ли организация деятельность преимущественно в среде, предусматривающей осуществление операций вручную, автоматизированной среде или среде, сочетающей элементы, выполняемые вручную, и автоматизированные элементы (то есть средства контроля, применяемые вручную, и автоматизированные средства контроля, а также другие ресурсы, которые используются в системе внутреннего контроля организации).
Изучение характера компонентов системы внутреннего контроля организации
A95. При оценке эффективности разработки средств контроля и оценке того, были ли они внедрены (см. пункты A175 - A181), изучение аудитором каждого компонента системы внутреннего контроля организации обеспечивает ему предварительное понимание того, как организация выявляет бизнес-риски и какие ответные меры она принимает. Это понимание также различными способами влияет на выявление и оценку аудитором рисков существенного искажения (см. пункт A86). Оно помогает аудитору разработать и выполнить дальнейшие аудиторские процедуры, включая планы тестирования операционной эффективности средств контроля. Например:
- понимание аудитором контрольной среды организации, процесса оценки рисков в организации и процесса мониторинга компонентов средств контроля с большей вероятностью повлияет на выявление и оценку рисков существенного искажения на уровне финансовой отчетности;
- понимание аудитором информационной системы и информационного взаимодействия в организации, а также компонента контрольных процедур в организации с большей вероятностью повлияет на выявление и оценку рисков существенного искажения на уровне предпосылок.
Контрольная среда, процесс оценки рисков и процесс мониторинга системы внутреннего контроля в организации (см. пункты 21 - 24)
A96. Средства контроля в контрольной среде, процесс оценки рисков в организации и внедренный в организации процесс мониторинга системы внутреннего контроля являются преимущественно косвенными средствами контроля (то есть средствами контроля, которые недостаточно точны для предотвращения, обнаружения или исправления искажений на уровне предпосылок, однако являются вспомогательными для других средств контроля, а следовательно, могут оказывать опосредованное влияние на вероятность своевременного обнаружения и предотвращения искажения). Однако некоторые средства контроля в этих компонентах также могут быть прямыми средствами контроля.
Почему аудитор обязан изучить контрольную среду, процесс оценки рисков в организации и внедренный в организации процесс мониторинга системы внутреннего контроля
A97. Поскольку эти компоненты лежат в основе системы внутреннего контроля организации, любые недостатки в их работе могут оказать всеобъемлющее воздействие на подготовку финансовой отчетности. Контрольная среда сама по себе не предотвращает, не обнаруживает и не исправляет искажения. Тем не менее она может повлиять на эффективность средств контроля в других компонентах системы внутреннего контроля. Так, процесс оценки рисков в организации и процесс мониторинга системы внутреннего контроля построены таким образом, чтобы при функционировании они также поддерживали всю систему внутреннего контроля.
A98. Поскольку эти компоненты лежат в основе системы внутреннего контроля организации, любые недостатки в их работе могут оказать всеобъемлющее влияние на подготовку финансовой отчетности. Следовательно, изучение и оценка аудитором данных компонентов влияют на выявление и оценку аудитором риска существенного искажения на уровне финансовой отчетности, а также могут повлиять на выявление и оценку риска существенного искажения на уровне предпосылок. Риски существенного искажения на уровне финансовой отчетности влияют на разработку аудитором процедур общего характера, в том числе, как объясняется в МСА 330, на характер, сроки и объем дальнейших аудиторских процедур <35>.
Получение понимания контрольной среды (см. пункт 21)
Масштабируемость
A99. Контрольная среда в организациях с менее сложной структурой, скорее всего, будет отличаться от контрольной среды в организациях с более сложной структурой. Например, состав лиц, отвечающих за корпоративное управление, в менее сложных организациях может не включать независимых членов или сторонних лиц, а при отсутствии других собственников выполнение функций корпоративного управления берет на себя непосредственно руководитель-собственник. Следовательно, некоторые вопросы, касающиеся контрольной среды в организации, могут быть менее значимы или неприменимы.
A100. Кроме того, аудиторские доказательства в отношении элементов контрольной среды в менее сложных организациях могут не быть доступны в документированной форме, особенно если обмен информацией между руководством и другими сотрудниками является неформальным, однако доказательства все равно могут быть значимыми и надежными, учитывая обстоятельства.
Понимание контрольной среды (см. пункт 21(a))
A101. Аудиторские доказательства, необходимые для понимания аудитором контрольной среды, могут быть получены посредством направления запросов в сочетании с выполнением других процедур оценки рисков (например, подтверждение информации, полученной по запросам, посредством наблюдения или инспектирования документации).
A102. При рассмотрении вопроса о том, насколько руководство демонстрирует приверженность честности и этическому поведению, аудитор может получить понимание посредством направления запросов руководству и сотрудникам, а также путем рассмотрения информации, полученной из внешних источников, в отношении следующих аспектов:
- доведение руководством до сведения сотрудников своих взглядов на деловую практику и этическое поведение;
- инспектирование документально оформленного руководством кодекса поведения и наблюдение за тем, действует ли руководство в соответствии с этим кодексом.
Оценка контрольной среды (см. пункт 21(b))
Почему аудитор проводит оценку контрольной среды
A103. Оценка аудитором того, как организация демонстрирует поведение, соответствующее ее приверженности соблюдению принципов честности и этических ценностей, обеспечивает ли контрольная среда надлежащую основу для других компонентов системы внутреннего контроля организации и не оказывают ли выявленные недостатки системы контроля негативного влияния на другие компоненты системы внутреннего контроля, помогает аудитору выявить потенциальные проблемы в других компонентах системы внутреннего контроля. Это связано с тем, что контрольная среда лежит в основе других компонентов системы внутреннего контроля организации. Данная оценка может облегчить аудитору задачу понимания рисков, с которыми сталкивается организация, а следовательно, выявление и оценку рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок (см. пункт A86).
Оценка аудитором контрольной среды
A104. Оценка аудитором контрольной среды основана на понимании, полученном в соответствии с пунктом 21(a).
A105. В некоторых организациях возможно доминирование одного человека, который может действовать в значительной степени по собственному усмотрению. Действия и отношение такого человека могут оказывать всеобъемлющее влияние на корпоративную культуру организации, что, в свою очередь, может оказать всеобъемлющее влияние на контрольную среду. Данное влияние может быть позитивным или негативным.
A106. Аудитор может рассмотреть вопрос о том, как на разные элементы контрольной среды могут влиять философия и стиль управления высшего руководства, принимая во внимание участие независимых членов из числа лиц, отвечающих за корпоративное управление.
A107. Хотя контрольная среда может обеспечивать надлежащую основу для системы внутреннего контроля и способствовать снижению риска недобросовестных действий, надлежащая контрольная среда не всегда является эффективным препятствием для недобросовестных действий.
A108. Оценка аудитором контрольной среды в той части, в которой она относится к использованию ИТ организацией, может охватывать следующие вопросы:
- соизмеримо ли корпоративное управление в сфере ИТ с характером и сложностью структуры организации и ее операционной деятельностью, осуществляемой на основе использования ИТ, включая уровень сложности или зрелости технологической платформы или архитектуры, используемой в организации, и тем, насколько организация полагается на ИТ-приложения при подготовке своей финансовой отчетности;
- организационная структура управления в сфере ИТ и выделяемые ресурсы (например, вложила ли организация средства в развитие надлежащей ИТ-среды и необходимые обновления или принято ли на работу достаточное количество специалистов надлежащей квалификации, в частности, в том случае, если организация применяет коммерческое программное обеспечение (без или с ограниченным количеством модификаций)).
Получение понимания процессов оценки рисков в организации (см. пункты 22 - 23)
Понимание процессов оценки рисков в организации (см. пункт 22(a))
A109. Как поясняется в пункте A62, не все бизнес-риски приводят к возникновению рисков существенного искажения. При получении понимания того, как руководство и лица, отвечающие за корпоративное управление, выявили бизнес-риски, связанные с подготовкой финансовой отчетности, и приняли решение о необходимых действиях для снижения этих рисков, аудитор также может рассмотреть вопрос о том, как руководство и, если уместно, лица, отвечающие за корпоративное управление:
- указали цели организации с достаточной степенью точности и ясности, чтобы можно было выявить и оценить риски, связанные с этими целями;
- выявили риски недостижения целей организации и проанализировали риски, определив на их основе методы управления рисками;
- рассмотрели возможности для совершения недобросовестных действий при рассмотрении рисков, связанных с достижением целей организации <36>.
<36> МСА 240, пункт 19.
A110. Аудитор может рассмотреть последствия таких бизнес-рисков для подготовки финансовой отчетности организации и другие аспекты ее системы внутреннего контроля.
Анализ процесса оценки рисков в организации (см. пункт 22(b))
Почему аудитор оценивает, является ли процесс оценки рисков в организации надлежащим
A111. Анализ аудитором оценки рисков в организации может помочь ему понять, в каких областях организация выявила риски, которые могут реализоваться, и какие меры приняла организация в ответ на эти риски. Оценка аудитором того, как организация выявляет, оценивает данные риски и принимает меры по их снижению, помогает аудитору понять, были ли выявлены и оценены риски, с которыми сталкивается организация, и были ли приняты меры по их снижению с учетом характера и сложности организации. Кроме того, данная оценка поможет аудитору выявить и оценить риски существенного искажения на уровне финансовой отчетности и на уровне предпосылок (см. пункт A86).
Оценка надлежащего характера процесса оценки рисков в организации (см. пункт 22(b))
A112. Аудитор оценивает надлежащий характер процесса оценки рисков в организации на основании полученного понимания в соответствии с пунктом 22(a).
Масштабируемость
A113. Вопрос о том, соответствует ли процесс оценки рисков организации сложившимся обстоятельствам с учетом характера и сложности ее деятельности, является предметом профессионального суждения аудитора.
Получение понимания внедренного в организации процесса мониторинга ее системы внутреннего контроля (см. пункт 24)
Масштабируемость
A114. В менее сложных организациях и особенно в организациях, которыми руководит собственник, изучение аудитором внедренного в организации процесса мониторинга системы внутреннего контроля часто сконцентрировано на том, как руководство или руководитель-собственник непосредственно участвует в деятельности, потому что, возможно, какие-либо иные мероприятия по мониторингу отсутствуют.
A115. Для организаций, в которых отсутствует формализованный процесс мониторинга системы внутреннего контроля, понимание процесса мониторинга системы внутреннего контроля может подразумевать, в частности, изучение периодических проверок данных управленческого учета, которые должны способствовать предотвращению и обнаружению искажений организацией.
Понимание внедренного в организации процесса мониторинга системы внутреннего контроля (см. пункт 24(a))
A116. Примеры вопросов, которые могут быть значимыми для рассмотрения аудитором при изучении внедренного в организации процесса мониторинга системы внутреннего контроля:
- разработка мероприятий по мониторингу, например, проводится ли мониторинг на периодической или непрерывной основе;
- проведение мероприятий по мониторингу и периодичность их проведения;
- своевременная оценка результатов мероприятий по мониторингу, чтобы установить, эффективно ли функционировали средства контроля;
- какие надлежащие меры были приняты для устранения выявленных недостатков, включая своевременное информирование лиц, отвечающих за меры по устранению недостатков.
A117. Кроме того, аудитор может рассмотреть, как в рамках процесса мониторинга системы внутреннего контроля решается вопрос о мониторинге средств контроля обработки информации, которые функционируют с использованием ИТ. Это может включать, например, следующее:
- средства контроля для мониторинга сложной ИТ-среды, которые предназначены для:
-- оценки непрерывной эффективности организации средств контроля обработки информации и их соответствующей модификации с учетом изменения условий или
-- оценки операционной эффективности средств контроля обработки информации;
- средства контроля, которые отвечают за мониторинг прав доступа, применяемых в автоматизированных средствах контроля обработки информации и обеспечивающих разделение должностных обязанностей;
- средства контроля, которые отвечают за мониторинг выявления и устранения ошибок или недостатков системы контроля, связанных с автоматизацией подготовки финансовой отчетности.
Получение представления о работе службы внутреннего аудита в организации (см. пункт 24(a)(ii))
A118. Направление аудиторских запросов соответствующим сотрудникам службы внутреннего аудита помогает аудитору получить понимание характера обязанностей службы внутреннего аудита. Если аудитор устанавливает, что обязанности службы связаны с подготовкой финансовой отчетности организации, он может дополнительно ознакомиться с проведенными или планируемыми службой внутреннего аудита мероприятиями путем анализа плана аудита на конкретный период (при наличии такого плана) и путем его обсуждения с соответствующими сотрудниками службы. Такое понимание в сочетании с информацией, полученной с помощью направления запросов аудитором, может также предоставить информацию, непосредственно касающуюся выявления и оценки аудитором рисков существенного искажения. Если на основании предварительно полученного аудитором понимания службы внутреннего аудита аудитор предполагает использовать работу службы внутреннего аудита для изменения характера или сроков проведения или сокращения объема планируемых аудиторских процедур, применяется МСА 610 (пересмотренный, 2013 г.) <37>.
<37> МСА 610 (пересмотренный, 2013 г.) "Использование работы внутренних аудиторов".
Прочие источники информации, используемые в рамках внедренного в организации процесса мониторинга системы внутреннего контроля
Изучение источников информации (см. пункт 24(b))
A119. При осуществлении действий по мониторингу руководство может использовать информацию, содержащуюся в сообщениях от внешних сторон, например жалобы клиентов или замечания регулирующих органов. Такая информация может указывать на наличие проблем или областей, где требуются улучшения.
Почему аудитору необходимо понять, какие источники информации используются для целей мониторинга организацией системы внутреннего контроля
A120. Понимание аудитором источников информации, используемых организацией для целей мониторинга системы внутреннего контроля, в том числе понимание того, является ли используемая информация уместной и надежной, помогает аудитору оценить, является ли внедренный в организации процесс мониторинга системы внутреннего контроля организации надлежащим. Если руководство исходит из того, что информация, используемая для целей мониторинга, является уместной и надежной при отсутствии оснований для такого допущения, то ошибки, которые, возможно, существуют в данной информации, могли бы потенциально привести руководство к неправильным выводам в результате проведения своих мероприятий по мониторингу.
Оценка внедренного в организации процесса мониторинга системы внутреннего контроля (см. пункт 24(c))
Почему аудитор оценивает, является ли внедренный в организации процесс мониторинга системы внутреннего контроля организации надлежащим
A121. Оценка аудитором того, как организация проводит текущие и отдельные оценки с целью мониторинга эффективности средств контроля, помогает аудитору понять, имеются ли и функционируют ли другие компоненты системы внутреннего контроля организации, а следовательно, помогает ему понять другие компоненты системы внутреннего контроля организации. Кроме того, данная оценка поможет аудитору выявить и оценить риски существенного искажения на уровне финансовой отчетности и на уровне предпосылок (см. пункт A86).
Оценка того, является ли внедренный в организации процесс мониторинга системы внутреннего контроля организации надлежащим (см. пункт 24(c))
A122. Оценка аудитором надлежащего характера внедренного в организации процесса мониторинга системы внутреннего контроля основывается на понимании аудитором внедренного в организации процесса мониторинга системы внутреннего контроля.
Информационная система, информационное взаимодействие и контрольные процедуры (см. пункты 25 - 26)
A123. Средства контроля в таких компонентах, как информационная система, информационное взаимодействие и контрольные процедуры, в основном являются прямыми средствами контроля (то есть средствами контроля, которые достаточно точны для предотвращения, обнаружения или исправления искажений на уровне предпосылок).
Почему аудитору необходимо получить понимание об информационной системе и информационном взаимодействии, а также средствах контроля в компоненте контрольных процедур
A124. Аудитору необходимо получить понимание об информационной системе и информационном взаимодействии в организации, потому что понимание политики организации, определяющей потоки операций и другие аспекты деятельности организации по обработке информации, которые являются значимыми для подготовки финансовой отчетности, и оценка того, облегчает ли данный компонент подготовку финансовой отчетности организации, помогают аудитору выявить и оценить риски существенного искажения на уровне предпосылки. Кроме того, такое понимание и такая оценка могут привести к выявлению рисков существенного искажения на уровне финансовой отчетности в тех случаях, когда результаты процедур, выполненных аудитором, не соответствуют ожиданиям относительно системы внутреннего контроля в организации, которые были определены на основании информации, полученной в процессе принятия решения о начале и (или) продолжении работы по данному заданию (см. пункт A86).
A125. Аудитору необходимо выявить конкретные средства контроля в компоненте контрольных процедур и оценить их структуру, а также определить, были ли средства контроля внедрены. Такие действия помогают аудитору понять, какой подход применяет руководство к снижению определенных рисков, а следовательно, обеспечивают основу для разработки и выполнения дальнейших аудиторских процедур в ответ на эти риски, в соответствии с требованиями МСА 330. Чем выше значение оцененного риска в диапазоне значений неотъемлемого риска, тем более всеобъемлющими должны быть аудиторские доказательства. Даже если аудитор не планирует тестировать операционную эффективность выявленных средств контроля, понимание аудитора, тем не менее, может повлиять на определение характера, сроков и объема аудиторских процедур проверки по существу, которые выполняются в ответ на соответствующие риски существенного искажения.
Итеративный характер изучения и оценки аудитором информационной системы, информационного взаимодействия и контрольных процедур
A126. Как поясняется в пункте A49, понимание аудитором деятельности организации и ее окружения, а также применимой концепции подготовки финансовой отчетности помогает аудитору сформировать первоначальные ожидания в отношении того, какие виды операций, остатки по счетам и раскрытие информации могут оказаться значительными. При получении понимания в отношении информационной системы и информационного взаимодействия в соответствии с пунктом 25(a), аудитор может использовать эти первоначальные ожидания для целей определения той степени понимания деятельности организации по обработке информации, которой необходимо добиться.
A127. Понимание аудитором информационной системы включает понимание политики, определяющей потоки информации, относящейся к значительным видам операций, остаткам по счетам и раскрытию информации, а также иным связанным аспектам деятельности организации по обработке информации. Данная информация, а также информация, полученная в результате проведения аудитором оценки информационной системы, могут подтвердить или оказать дальнейшее влияние на ожидания аудитора в отношении первоначально выявленных значительных видов операций, остатков по счетам и раскрытия информации (см. пункт A126).
A128. При изучении того, как информация, относящаяся к значительным видам операций, остаткам по счетам и раскрытию информации, попадает в информационную систему организации, как происходит ее перемещение внутри системы и выход из системы, аудитор может также выявить средства контроля в компоненте контрольных процедур, которые требуется выявить согласно пункту 26(a). Выявление и оценка аудитором средств контроля в компоненте контрольных процедур могут быть сначала сконцентрированы на средствах контроля бухгалтерских записей и средствах контроля, операционную эффективность которых аудитор планирует протестировать при разработке характера, сроков и объема процедур проверки по существу.
A129. Кроме того, оценка аудитором неотъемлемого риска может влиять на выявление средств контроля в компоненте контрольных процедур. Например, выявление аудитором средств контроля, относящихся к значительным рискам, возможно только в том случае, если аудитор оценил неотъемлемый риск на уровне предпосылок в соответствии с пунктом 31. Кроме того, средства контроля, снижающие риски в отношении которых аудитор установил, что одни только процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства (в соответствии с пунктом 33), также могут быть выявлены только в том случае, если аудитор провел оценку неотъемлемого риска.
A130. На выявление и оценку аудитором рисков существенного искажения на уровне предпосылок влияют оба фактора:
- понимание аудитором политики организации в отношении деятельности по обработке информации в компоненте информационной системы и информационного взаимодействия и
- выявление и оценка аудитором средств контроля в компоненте контрольных процедур.
Получение понимания в отношении информационной системы и информационного взаимодействия (см. пункт 25)
Масштабируемость
A131. Информационная система и соответствующие бизнес-процессы в менее сложных организациях, как правило, не такие усложненные, как в более крупных организациях, и, как правило, предполагают менее сложную ИТ-среду; однако это не умаляет роли информационной системы. Менее сложным организациям, в управлении которыми руководство принимает непосредственное участие, возможно, не требуются подробные описания процедур бухгалтерского учета, сложных данных бухгалтерского учета или документально оформленной политики. Следовательно, при аудите организаций с менее сложной структурой изучение соответствующих аспектов информационной системы организации может требоваться в меньшем объеме и подразумевать больше запросов, чем наблюдений или инспектирования документации. Однако необходимость получения понимания в отношении информационной системы остается актуальной, потому что оно служит основой для разработки дальнейших аудиторских процедур в соответствии с МСА 330 и может еще больше облегчить аудитору задачу выявления и оценки рисков существенного искажения (см. пункт A86).
Получение понимания в отношении информационной системы (см. пункт 25(a))
A132. В систему внутреннего контроля организации входят аспекты, которые относятся к целям отчетности организации, включая цели финансовой отчетности, но также могут входить аспекты, связанные с целями ее операционной деятельности или соблюдением законов и нормативных актов, если такие аспекты относятся к подготовке финансовой отчетности. В рамках изучения аудитором информационной системы понимание им порядка инициирования операций и сбора информации организацией может включать информацию о системах организации (ее политику), предназначенных для обеспечения соблюдения законов и нормативных актов и достижения целей операционной деятельности, поскольку данная информация является значимой для подготовки финансовой отчетности. Кроме того, в некоторых организациях могут быть высоко интегрированные информационные системы, когда средства контроля разработаны таким образом, чтобы параллельно обеспечить достижение целей финансовой отчетности, соблюдение законов и нормативных актов, достижение целей операционной деятельности, а также эти задачи могут выполняться в сочетании друг с другом.
A133. Изучение информационной системы организации включает также изучение ресурсов, которые будут использоваться в процессе обработки информации в организации. Информация о привлекаемых кадровых ресурсах, которая может быть важной для понимания рисков нарушения целостности информационной системы, охватывает следующее:
- какова компетентность лиц, выполняющих работу;
- имеются ли достаточные ресурсы;
- имеется ли надлежащее разделение должностных обязанностей.
A134. Вопросы, которые может рассмотреть аудитор при изучении политики, которая определяет потоки информации, относящиеся к значительным видам операций, остаткам по счетам и раскрытию информации в составе информационной системы и информационного взаимодействия, включают характер следующей информации и процессов:
(a) подлежащих обработке данных или информации, относящейся к операциям, прочим событиям и условиям;
(b) обработки информации для сохранения целостности указанных данных или информации;
(c) информационных процессов, персонала и прочих ресурсов, используемых в процессе обработки информации.
A135. Получение понимания бизнес-процессов организации, в том числе порядка их инициирования, помогает аудитору получить понимание в отношении информационной системы организации способом, соответствующим обстоятельствам организации.
A136. Аудитор может получить понимание в отношении информационной системы разными способами, включая следующие:
- направление запросов соответствующему персоналу относительно процедур, которые используются для инициирования, отражения, обработки и представления в отчетности операций, или относительно процесса подготовки финансовой отчетности организации;
- инспектирование регламентов по соблюдению политики или процедур или иной документации по информационной системе организации;
- наблюдение за выполнением политики или процедур персоналом организации;
- выбор операций и их отслеживание в рамках применимого процесса в информационной системе (то есть выполнение сквозной проверки).
Автоматизированные инструменты и методы
A137. Кроме того, аудитор может использовать автоматизированные методы для получения прямого доступа к базам данных в информационной системе, в которых хранятся данные бухгалтерского учета операций, или для выгрузки цифровых данных из таких баз. С применением к данной информации автоматизированных инструментов или методов аудитор может подтвердить свое понимание в отношении потока операций в информационной системе, отследив бухгалтерские записи или иные цифровые записи, относящиеся к конкретной операции, либо всю совокупность операций с момента ввода в состав данных бухгалтерского учета и до момента отражения в основном регистре. Анализ полных или больших групп операций тоже может привести к выявлению отклонений от обычных или ожидаемых процедур обработки этих операций, в результате чего могут быть выявлены риски существенного искажения.
Информация, полученная не из основного регистра и вспомогательных ведомостей
A138. Финансовая отчетность может содержать информацию, которая получена не из основного регистра и вспомогательных ведомостей. Примеры такой информации, которую может рассмотреть аудитор:
- информация, полученная из договоров аренды, которые важны для раскрытия информации в финансовой отчетности;
- информация, раскрытая в финансовой отчетности, которую предоставляет система управления рисками организации;
- информация о справедливой стоимости, предоставляемая экспертами руководства и раскрытая в финансовой отчетности;
- информация, раскрытая в финансовой отчетности, которая получена на основе моделирования или иным расчетным способом и используется для формирования оценочных значений, признанных или раскрытых в финансовой отчетности, включая информацию, которая относится к базовым данным и допущениям, используемым при таком моделировании, например:
-- принятые внутри организации допущения, способные повлиять на срок полезного использования актива;
-- информация, такая как процентные ставки, которая подвержена влиянию факторов, находящихся вне сферы контроля организации;
- информация, раскрытая в финансовой отчетности, касающаяся анализа чувствительности, выполненного на основе финансовых моделей, которые показывают использование руководством альтернативных допущений;
- информация, признанная или раскрытая в финансовой отчетности, которая получена из налоговых деклараций или налогового учета организации;
- информация, раскрытая в финансовой отчетности, которая получена на основе аналитических данных, подготовленных для подтверждения сделанной руководством оценки в отношении способности организации продолжать непрерывно свою деятельность, такая как раскрытие информации (если имеется), относящееся к событиям или условиям, которые были идентифицированы и могут вызвать значительные сомнения относительно способности организации непрерывно продолжать свою деятельность <38>.
<38> МСА 570 (пересмотренный), пункты 19 - 20.
A139. Некоторые суммы или раскрытие информации в финансовой отчетности организации (такие как раскрытие информации о кредитном риске, риске ликвидности и рыночном риске) могут быть основаны на информации, полученной из системы управления рисками организации. Однако от аудитора не требуется понимания всех аспектов системы управления рисками, и он использует профессиональные суждения для определения тех областей, которые требуют понимания.
Использование организацией информационных технологий в информационной системе
Почему аудитору необходимо понимать ИТ-среду, относящуюся к информационной системе
A140. Получение понимания аудитором информационной системы охватывает ИТ-среду, относящуюся к потокам операций и обработке информации в информационной системе организации, так как в результате использования организацией ИТ-приложений или других аспектов ИТ-среды могут возникнуть риски, связанные с использованием ИТ.
A141. Изучение бизнес-модели организации и того, как в ней интегрировано использование ИТ, тоже может быть полезным для понимания ожидаемого характера и объема ИТ в информационной системе.
Понимание использования ИТ в организации
A142. При изучении ИТ-среды аудитор может сконцентрировать внимание на выявлении и изучении характера и количества конкретных ИТ-приложений и других аспектов ИТ-среды, относящихся к потокам операций и обработке информации в информационной системе. Изменения в потоке операций или информации в информационной системе могут произойти в результате программных изменений в ИТ-приложениях или изменений непосредственно в данных, содержащихся в базах данных, которые задействованы в обработке или хранении данных по операциям или иной информации.
A143. Аудитор может выявить ИТ-приложения и поддерживающую ИТ-инфраструктуру одновременно с изучением того, как информация, относящаяся к значительным видам операций, остаткам по счетам и раскрытию информации, попадает в информационную систему организации, как происходит ее перемещение внутри системы и что получается на выходе из системы.
Получение понимания информационного взаимодействия в организации (см. пункт 25(b))
Масштабируемость
A144. В более крупных, более сложных организациях, информация, которую аудитор может рассмотреть при изучении информационного взаимодействия в организации, может содержаться во внутренних регламентах, касающихся политики и подготовки финансовой отчетности.
A145. У менее сложной организации информационное взаимодействие может быть менее структурированным (например, могут не использоваться официальные руководства) в связи с меньшим количеством уровней ответственности и более высокой степенью прозрачности, а также большей близостью и доступностью руководства. Независимо от размера организации открытые каналы информационного взаимодействия помогают сообщать об исключительных ситуациях и обеспечивают принятие соответствующих мер.
Оценка того, поддерживают ли соответствующие аспекты информационной системы подготовку финансовой отчетности организации (см. пункт 25(c))
A146. Оценка аудитором того, поддерживает ли информационная система организации надлежащим образом подготовку финансовой отчетности, основывается на понимании, полученном в соответствии с пунктами 25(a) - (b).
Контрольные процедуры (см. пункт 26)
Средства контроля в компоненте контрольных процедур
A147. К компоненту контрольных процедур относятся средства контроля, разработанные для обеспечения надлежащего применения политики (которая тоже является средством контроля) во всех остальных компонентах системы внутреннего контроля организации. Данные средства контроля включают как прямые, так и косвенные средства контроля.
A148. При выявлении и оценке аудитором средств контроля в компоненте контрольных процедур аудитор уделяет особо пристальное внимание средствам контроля обработки информации, которые представляют собой средства контроля, применяемые при обработке информации в информационной системе организации, и которые непосредственно снижают риски, связанные с целостностью информации (то есть полнотой, точностью и достоверностью операций и прочей информации). Однако аудитор не обязан выявлять и оценивать все средства контроля обработки информации, относящиеся к политике организации, которая определяет потоки операций и другие аспекты ее деятельности по обработке информации в отношении значительных видов операций, остатков по счетам или раскрытия информации.
A149. Возможно также наличие прямых средств контроля, которые существуют в контрольной среде, процессе оценки рисков в организации или во внедренном в организации процессе мониторинга системы внутреннего контроля и которые могут быть выявлены в соответствии с пунктом 26. Однако чем более опосредована связь между средствами контроля, которые являются вспомогательными для других средств контроля, и рассматриваемым средством контроля, тем менее эффективным может оказаться это средство контроля в предотвращении или обнаружении и исправлении соответствующих искажений.
A150. В соответствии с пунктом 26 аудитору требуется выявить и оценить общие средства ИТ-контроля для ИТ-приложений и другие аспекты ИТ-среды, которые, как установил аудитор, подвержены рискам, возникающим вследствие использования ИТ, так как общие средства ИТ-контроля поддерживают непрерывное эффективное функционирование средств контроля обработки информации. Одного только общего средства ИТ-контроля, как правило, недостаточно для управления риском существенного искажения на уровне предпосылок.
A151. Средства контроля, которые аудитор обязан выявить, оценив их структуру и определив, были ли они внедрены в соответствии с пунктом 26, - это средства контроля, в отношении которых:
- аудитор планирует протестировать операционную эффективность при определении характера, сроков и объема процедур проверки по существу. Оценка таких средств контроля обеспечивает основу для разработки аудитором тестирования процедур контроля в соответствии с МСА 330. Данные средства контроля также включают средства контроля, снижающие риски, для которых одни только процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства;
- средства контроля включают средства контроля, снижающие значительные риски, и средства контроля в отношении бухгалтерских записей. Выявление и оценка аудитором таких средств контроля могут также влиять на понимание аудитором рисков существенного искажения, в том числе выявление дополнительных рисков существенного искажения (см. пункт A95). На основе данного понимания аудитор определяет характер, сроки и объем процедур проверки по существу в ответ на связанные с ними оцененные риски существенного искажения;
- прочие средства контроля, которые аудитор считает надлежащими для того, чтобы он мог выполнить задачи, указанные в пункте 13, в отношении рисков на уровне предпосылок, основываясь на своем профессиональном суждении.
A152. Средства контроля в компоненте контрольных процедур необходимо выявить в том случае, если данные средства контроля удовлетворяют одному или нескольким критериям, указанным в пункте 26(a). Однако, если каждое из разных средств контроля направлено на достижение одной и той же цели, тогда нет необходимости выявлять каждое из этих средств контроля, относящихся к такой цели.
Виды средств контроля в компоненте контрольных процедур (см. пункт 26)
A153. Примеры средств контроля в компоненте контрольных процедур включают санкционирование и утверждение, сверку, верификацию (например, проверку внесения изменения и подтверждения правильности или автоматизированный расчет), разделение должностных обязанностей и средства физического и логического контроля, включая средства контроля, связанные с обеспечением сохранности активов.
A154. Кроме того, средства контроля в компоненте контрольных процедур могут включать установленные руководством средства контроля, снижающие риски существенного искажения, связанные с раскрытием информации, подготовленной не в соответствии с применимой концепцией подготовки финансовой отчетности. Такие средства контроля могут относиться к включенной в финансовую отчетность информации, которая получена не из основного регистра и вспомогательных ведомостей.
A155. Независимо от того, функционируют ли средства контроля в рамках ИТ-среды или систем, в которых операции осуществляются вручную, у средств контроля могут быть различные цели и они могут применяться на разных организационных и функциональных уровнях.
Масштабируемость (см. пункт 26)
A156. Средства контроля в компоненте контрольных процедур в менее сложных организациях с большой вероятностью будут теми же, что и в более крупных организациях, однако степень документального оформления порядка их функционирования может разниться. Кроме того, в менее сложных организациях возможно применение большего числа средств контроля непосредственно руководством.
A157. Возможно, вводить разделение должностных обязанностей в менее сложных организациях с меньшим штатом сотрудников менее целесообразно. Однако в организациях, которыми руководит собственник, он может осуществлять более эффективный надзор за счет своей непосредственной вовлеченности, что может компенсировать наличие в целом более ограниченных возможностей для разделения должностных обязанностей. В то же время, как разъясняется также в МСА 240, доминирование в руководстве одного человека может считаться потенциальным недостатком средства контроля, поскольку руководство может действовать в обход средств контроля <39>.
<39> МСА 240, пункт A28.
Средства контроля, предназначенные для снижения рисков существенного искажения на уровне предпосылок (см. пункт 26(a))
Средства контроля, предназначенные для снижения рисков, которые определены как значительные риски (см. пункт 26(a)(i))
A158. Вне зависимости от того, планирует ли аудитор тестировать операционную эффективность средств контроля, предназначенных для снижения значительных рисков, полученное понимание подхода, который применяется руководством для снижения данных рисков, может обеспечить основу для разработки и выполнения процедур проверки по существу в ответ на значительные риски, в соответствии с требованиями МСА 330 <40>. Несмотря на то, что риски, связанные со значимыми нестандартными вопросами или вопросами, требующими суждения, с меньшей вероятностью попадают в сферу действия стандартных средств контроля, руководство может применить другие меры в ответ на такие риски. Следовательно, представление аудитора о том, разработала и внедрила ли организация средства контроля в отношении значительных рисков, возникающих в связи с нестандартными вопросами или вопросами, требующими суждения, может включать понимание того, принимает ли руководство какие-либо меры в ответ на эти риски, и если да, то какие. Такие меры могут включать следующее:
<40> МСА 330, пункт 21.
- средства контроля, такие как проверка допущений высшим руководством или экспертами;
- документально оформленные процессы учета оценочных значений;
- подтверждение лицами, отвечающими за корпоративное управление.
A159. В соответствии с требованиями МСА 240 <41> аудитор обязан изучить средства контроля, связанные с оцененными рисками существенного искажения вследствие недобросовестных действий (которые считаются значительными рисками). Далее в стандарте поясняется, что аудитору важно получить понимание, какие средства контроля разработаны, внедрены и поддерживаются руководством для предотвращения и обнаружения недобросовестных действий.
<41> МСА 240, пункты 28 и A33.
Средства контроля за бухгалтерскими записями (см. пункт 26(a)(ii))
A160. Средства контроля, предназначенные для снижения рисков существенного искажения на уровне предпосылок, которые, как предполагается, должны быть выявлены в рамках всех проверок, - это средства контроля за бухгалтерскими записями, так как способ внесения информации организацией в результате обработки операций в основной регистр, как правило, подразумевает использование бухгалтерских записей, будь то стандартные или нестандартные записи, автоматизированные записи или записи, осуществляемые вручную. Объем выявления других средств контроля может варьироваться в зависимости от характера организации и планируемого аудитором подхода к проведению дальнейших аудиторских процедур.
Автоматизированные инструменты и методы
A161. В системах, в которых основной регистр ведется вручную, нестандартные бухгалтерские записи могут быть выявлены в результате инспектирования регистров, журналов и подтверждающей документации. В тех случаях, когда для ведения основного регистра и подготовки финансовой отчетности используются автоматизированные процедуры, такие записи могут существовать только в электронной форме, а следовательно, их легче выявить за счет использования автоматизированных методов.
Средства контроля, в отношении которых аудитор планирует протестировать операционную эффективность (см. пункт 26(a)(iii))
A162. Аудитор устанавливает, имеются ли риски существенного искажения на уровне предпосылок, для которых невозможно получить достаточные надлежащие аудиторские доказательства только путем выполнения процедур проверки по существу. В соответствии с МСА 330 <42> аудитор должен разработать и выполнить тесты средств контроля, предназначенные для снижения таких рисков существенного искажения, если одни только процедуры проверки по существу не обеспечивают получение достаточных аудиторских доказательств на уровне предпосылок. В результате в тех случаях, когда существуют такие средства контроля, которые снижают данные риски, их необходимо выявить и оценить.
<42> МСА 330, пункт 8(b).
A163. В других случаях, когда аудитор планирует принять во внимание операционную эффективность средств контроля при определении характера, сроков и объема процедур проверки по существу в соответствии с МСА 330, такие средства контроля также необходимо выявить, потому что в соответствии с МСА 330 <43> аудитор должен разработать и выполнить тесты в отношении данных средств контроля.
<43> МСА 330, пункт 8(a).
A164. На планы аудитора протестировать операционную эффективность средств контроля могут также повлиять выявленные риски существенного искажения на уровне финансовой отчетности. Например, выявление недостатков, связанных с контрольной средой, может повлиять на общие ожидания аудитора относительно операционной эффективности прямых средств контроля.
Прочие средства контроля, которые аудитор считает надлежащими (см. пункт 26(a)(iv))
A165. К прочим средствам контроля, которые, по мнению аудитора, необходимо выявить, оценив их структуру и определив, были ли они внедрены, можно отнести следующие:
- средства контроля, предназначенные для снижения рисков, которые оценены как повышенные в диапазоне значений неотъемлемого риска, но которые не были определены как значительные риски;
- средства контроля, связанные со сверкой детализированных записей с основным регистром, или
- дополнительные средства контроля организации-пользователя в случае использования услуг обслуживающей организации <44>.
<44> МСА 402 "Особенности аудита организации, пользующейся услугами обслуживающей организации".
Выявление ИТ-приложений и других аспектов ИТ-среды, рисков, возникающих вследствие использования информационных технологий и общих средств IT-контроля (см. пункты 26(b) - (c))
Выявление ИТ-приложений и других аспектов ИТ-среды (см. пункт 26(b))
Почему аудитор выявляет риски, возникающие вследствие использования информационных технологий, и общие средства ИТ-контроля, относящиеся к выявленным ИТ-приложениям и прочим аспектам ИТ-среды
A166. Понимание рисков, возникающих вследствие использования информационных технологий, и общих средств ИТ-контроля, внедренных в организации для управления данными рисками, может влиять на:
- решение аудитора в отношении того, тестировать ли операционную эффективность средств контроля, предназначенных для снижения рисков существенного искажения на уровне предпосылок;
- оценку аудитором риска средств контроля на уровне предпосылок;
- стратегию аудитора в отношении тестирования предоставленной организацией информации, которая сформирована в ИТ-приложениях организации или включает информацию из этих приложений;
- оценку аудитором неотъемлемого риска на уровне предпосылок или
- разработку дальнейших аудиторских процедур.
Выявление ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ
A167. Для ИТ-приложений, связанных с информационной системой, понимание характера и сложности конкретных ИТ-процессов и общих средств ИТ-контроля, внедренных организацией, может облегчить аудитору задачу определения, на какие ИТ-приложения полагается организация в части точной обработки и сохранения целостности информации в информационной системе организации. Такие ИТ-приложения могут быть подвержены рискам, возникающим вследствие использования ИТ.
A168. При выявлении ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ, учитываются средства контроля, выявленные аудитором, потому что данные средства контроля могут использовать ИТ или полагаться на ИТ. Аудитор может сконцентрировать внимание на том, включает ли ИТ-приложение автоматизированные средства контроля, на которые полагается руководство и которые выявил аудитор, в том числе средства контроля, снижающие риски, для которых одни только процедуры проверки по существу не обеспечивают достаточных надлежащих аудиторских доказательств. Кроме того, аудитор может рассмотреть порядок хранения и обработки информации в информационной системе в части значительных видов операций, остатков по счетам и раскрытия информации. Аудитор может также рассмотреть вопрос о том, полагается ли руководство на общие средства ИТ-контроля с целью сохранения целостности данной информации.
A169. Средства контроля, выявленные аудитором, могут зависеть от отчетов, сформированных системой. В таком случае ИТ-приложения, которые формируют данные отчеты, могут быть подвержены рискам, возникающим вследствие использования ИТ. В других случаях аудитор может не планировать, что он будет полагаться на средства контроля в отношении отчетов, сформированных системой, и планировать тестирование непосредственно исходных данных и результатов, представленных в данных отчетах. В таком случае аудитор может не выявить соответствующие ИТ-приложения как приложения, подверженные рискам, которые возникают вследствие использования ИТ.
Масштабируемость
A170. Степень понимания аудитором ИТ-процессов, в том числе объема внедрения организацией общих средств ИТ-контроля, будет различаться в зависимости от характера и обстоятельств организации и ее ИТ-среды, а также в зависимости от характера и объема средств контроля, выявленных аудитором. Количество ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ, также будет варьироваться в зависимости от данных факторов.
A171. Если в организации более сложная ИТ-среда, для выявления ИТ-приложений и других аспектов ИТ-среды, определения связанных рисков, возникающих вследствие использования ИТ, и выявления общих средств ИТ-контроля, скорее всего, потребуется участие членов аудиторской группы, обладающих специальной квалификацией в области ИТ. Такое участие с большой вероятностью будет необходимым и в условиях сложной среды информационных технологий, возможно, будет значительным.
Выявление прочих аспектов ИТ-среды, которые подвержены рискам, возникающим вследствие использования ИТ
A172. Другие аспекты ИТ-среды, которые могут быть подвержены рискам, возникающим вследствие использования ИТ, включают сеть, операционную систему и базы данных, а также при определенных обстоятельствах интерфейсы между ИТ-приложениями. Другие аспекты ИТ-среды, как правило, не идентифицируются, если аудитор не выявляет ИТ-приложения, которые подвержены рискам, возникающим вследствие использования ИТ. Если аудитор выявил ИТ-приложения, которые подвержены рискам, возникающим вследствие использования ИТ, другие аспекты ИТ-среды (например, база данных, операционная система, сеть), скорее всего, будут выявлены, потому что данные аспекты являются вспомогательными для выявленных ИТ-приложений и взаимодействуют с ними.
Выявление рисков, возникающих вследствие использования ИТ, и общих средств ИТ-контроля (см. пункт 26(c))
A173. При выявлении рисков, возникающих вследствие использования ИТ, аудитор может рассмотреть характер выявленного ИТ-приложения или иного аспекта ИТ-среды, а также причины, по которым они подвержены рискам, возникающим вследствие использования ИТ. По некоторым выявленным ИТ-приложениям и другим аспектам ИТ-среды аудитор может выявить применимые риски, возникающие вследствие использования ИТ и относящиеся в основном к несанкционированному доступу или неавторизованным программным изменениям, а также риски, связанные с ненадлежащими изменениями данных (например, риск внесения ненадлежащих изменений в данные посредством получения прямого доступа к базам данных или возможности непосредственного манипулирования информацией).
A174. Объем и характер применимых рисков, возникающих вследствие использования ИТ, различны в зависимости от характера и характеристик выявленных ИТ-приложений и других аспектов ИТ-среды. Применимые ИТ-риски могут возникать в тех случаях, когда организация привлекает внешних или внутренних поставщиков услуг для поддержки выявленных аспектов своей ИТ-среды (например, передает на аутсорсинг третьей стороне хостинг своей ИТ-среды или использует общий центр обслуживания для централизованного управления ИТ-процессами в группе). Применимые риски, возникающие вследствие использования ИТ, также могут быть выявлены в части кибербезопасности. Скорее всего, при использовании ИТ возникает больше рисков в тех случаях, когда объем автоматизированных прикладных средств контроля больше или уровень их сложности выше и руководство в большей степени полагается на эти средства контроля для эффективной обработки операций или эффективного обеспечения целостности базовой информации.
Оценка структуры и определение внедрения выявленных средств контроля в компоненте контрольных процедур (см. пункт 26(d))
A175. Оценка структуры выявленного средства контроля включает рассмотрение аудитором вопроса о том, способно ли средство контроля в отдельности или в сочетании с другими средствами контроля эффективно предотвратить либо обнаружить и исправить существенные искажения (то есть цель контроля).
A176. Аудитор определяет, что выявленное средство контроля внедрено, если устанавливает, что данное средство контроля имеется в наличии и что организация его применяет. Едва ли аудитору целесообразно оценивать внедрение средства контроля, если оно разработано неэффективно. Следовательно, аудитор сначала оценивает структуру средства контроля. Разработанное ненадлежащим образом средство контроля может представлять собой недостаток средства контроля.
A177. Процедуры оценки рисков, направленные на получение аудиторских доказательств в отношении структуры и внедрения выявленных средств контроля в компоненте контрольных процедур, могут включать следующее:
- направление запросов сотрудникам организации;
- наблюдение за применением конкретных средств контроля;
- инспектирование документов и отчетов.
Однако одних только запросов недостаточно для достижения указанных целей.
A178. Аудитор может предположить, основываясь на опыте проведения предыдущего аудита или на результатах процедур оценки рисков в текущем периоде, что руководство не обеспечило эффективную разработку и не внедрило средства контроля, предназначенные для снижения значительного риска. В таких случаях выполненные процедуры в части требования, содержащегося в пункте 26(d), могут состоять в определении того, что данные средства контроля не были эффективно разработаны или внедрены. Если результаты процедур указывают на то, что средства контроля были разработаны или внедрены недавно, аудитор обязан выполнить процедуры, указанные в пунктах 26(b) - (d), в отношении только что разработанных или внедренных средств контроля.
A179. Аудитор может прийти к выводу о том, что тестирование средства контроля, которое эффективно разработано и внедрено, вероятно, будет необходимо для того, чтобы учесть его операционную эффективность при разработке процедур проверки по существу. Однако, если средство контроля не разработано или не внедрено эффективно, его тестирование нецелесообразно. Если аудитор планирует тестировать средство контроля, полученные данные о том, насколько средство контроля снижает риск (риски) существенного искажения, представляют собой исходные данные для оценки аудитором риска средств контроля на уровне предпосылок.
A180. Оценки структуры и определения внедрения выявленных средств контроля в компоненте контрольных процедур недостаточно для тестирования их операционной эффективности. Однако для автоматизированных средств контроля аудитор может запланировать тестирование их операционной эффективности посредством выявления и тестирования общих средств ИТ-контроля, которые обеспечивают последовательное функционирование автоматизированного средства контроля, вместо выполнения тестирования операционной эффективности непосредственно автоматизированных средств контроля. Получение аудиторских доказательств в отношении внедрения в определенный момент времени средства контроля, применяемого вручную, не является аудиторским доказательством операционной эффективности средства контроля в другие моменты в течение периода, в отношении которого проводится аудит. Более детальная информация о тестах операционной эффективности средств контроля, включая тесты косвенных средств контроля, содержится в МСА 330 <45>.
A181. Если аудитор не планирует тестировать операционную эффективность выявленных средств контроля, их понимание, тем не менее, может помочь ему при разработке характера, сроков и объема аудиторских процедур проверки по существу, которые выполняются в ответ на соответствующие риски существенного искажения.
Недостатки средств контроля в системе внутреннего контроля организации (см. пункт 27)
A182. При выполнении оценки каждого компонента системы внутреннего контроля организации <46> аудитор может определить, что отдельные положения политики организации в компоненте являются ненадлежащими с учетом характера и обстоятельств организации. Такое заключение может служить признаком, который помогает аудитору в выявлении недостатков системы контроля. Если аудитор выявил один или более недостатков системы контроля, он может рассмотреть их влияние на разработку дальнейших аудиторских процедур, в соответствии с МСА 330.
<46> Пункты 21(b), 22(b), 24(c), 25(c) и 26(d).
A183. Если аудитор выявил один или более недостаток системы контроля, в соответствии с МСА 265 <47> требуется, чтобы он определил, представляют ли собой недостатки, как каждый в отдельности, так и в сочетании с другими, значительный недостаток.
<47> МСА 265 "Информирование лиц, отвечающих за корпоративное управление, и руководства о недостатках в системе внутреннего контроля", пункт 8.
Для того чтобы определить, является ли недостаток средств контроля значительным недостатком, аудитор применяет профессиональное суждение <48>.
<48> В МСА 265 в пунктах A6 - A7 установлены признаки значительных недостатков и вопросы, которые необходимо рассмотреть для определения, является ли недостаток или сочетание недостатков системы внутреннего контроля значительным недостатком.
Выявление и оценка рисков существенного искажения (см. пункты 28 - 37)
Почему аудитор выявляет и оценивает риски существенного искажения
A184. Аудитор выявляет и оценивает риски существенного искажения для определения характера, сроков проведения и объема дальнейших аудиторских процедур, которые необходимы для получения достаточных надлежащих аудиторских доказательств. Эти доказательства позволяют аудитору выразить мнение о финансовой отчетности при приемлемо низком уровне аудиторского риска.
A185. Информация, собранная при выполнении процедур оценки рисков, используется в качестве аудиторских доказательств с целью обеспечения основы для выявления и оценки рисков существенного искажения. Например, аудиторские доказательства, полученные при оценке структуры выявленных средств контроля и определении того, были ли данные средства контроля внедрены в компоненте контрольных процедур, используются в качестве аудиторских доказательств для подтверждения оценки рисков. Кроме того, данные доказательства обеспечивают основу для разработки аудитором аудиторских процедур общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности, а также для разработки и выполнения дальнейших аудиторских процедур, которые по своему характеру, срокам и объемам представляют собой процедуры в ответ на оцененные риски существенного искажения на уровне предпосылок, согласно МСА 330.
Выявление рисков существенного искажения (см. пункт 28)
A186. Выявление рисков существенного искажения осуществляется до рассмотрения каких-либо связанных средств контроля (например, неотъемлемого риска) и основывается на предварительном рассмотрении аудитором искажений, у которых есть обоснованная возможность как реализоваться, так и оказаться существенными, если они реализуются <49>.
<49> МСА 200, пункт A15a.
A187. Кроме того, выявление рисков существенного искажения обеспечивает основу для определения аудитором соответствующих предпосылок составления финансовой отчетности, что облегчает аудитору задачу определения значительных видов операций, остатков по счетам и раскрытия информации.
Предпосылки составления финансовой отчетности
Почему аудитор использует предпосылки составления финансовой отчетности
A188. При выявлении и оценке рисков существенного искажения аудитор использует предпосылки составления финансовой отчетности для рассмотрения разных видов искажений, которые гипотетически могут иметься. Предпосылки, для которых аудитор выявил соответствующие риски существенного искажения, являются соответствующими предпосылками составления финансовой отчетности.
Использование предпосылок составления финансовой отчетности
A189. При выявлении и оценке рисков существенного искажения аудитор может использовать категории предпосылок, описанные в пунктах A190(a) - (b) ниже, или сформулировать их другим способом при условии, что все описанные ниже аспекты охвачены. Аудитор может принять решение использовать сочетание предпосылок в отношении видов операций и событий и соответствующего раскрытия информации с предпосылками в отношении остатков по счетам и соответствующего раскрытия информации.
A190. Предпосылки, используемые аудитором при рассмотрении разных видов искажений, которые гипотетически могут иметься, подразделяются на следующие категории:
(a) предпосылки в отношении видов операций и событий, а также соответствующего раскрытия информации за аудируемый период:
(i) наличие - операции и события, отраженные в учете и раскрытые в отчетности, имели место, и данные операции и события имеют отношение к организации;
(ii) полнота - все операции и события, которые должны быть учтены, были учтены, и все соответствующее раскрытие информации, которое должно быть включено в финансовую отчетность, включено;
(iii) точность - суммы и прочие данные, касающиеся учтенных операций и событий, отражены надлежащим образом, и соответствующее раскрытие информации правильно оценено и описано;
(iv) своевременность признания - операции и события отражены в надлежащем отчетном периоде;
(v) классификация - операции и события отражены на надлежащих счетах;
(vi) представление - операции и события должным образом сгруппированы или разгруппированы и ясно описаны, а соответствующее раскрытие информации является надлежащим и понятным в контексте требований применимой концепции подготовки финансовой отчетности;
(b) предпосылки в отношении остатков по счетам и соответствующего раскрытия информации на конец периода:
(i) существование - активы, обязательства и доли участия в капитале действительно существуют;
(ii) права и обязанности - организация владеет правами на активы или контролирует их, а обязательства представляют собой законные обязательства организации;
(iii) полнота - все активы, обязательства и доли участия в капитале, которые необходимо было учесть, учтены, и все соответствующее раскрытие информации, которое должно быть включено в финансовую отчетность, включено;
(iv) точность, оценка и распределение - активы, обязательства и доли участия в капитале включены в финансовую отчетность в соответствующих суммах, надлежащим образом отражены все соответствующие корректировки в связи с оценкой и распределением, и правильно оценено или описано соответствующее раскрытие информации;
(v) классификация - активы, обязательства и доли участия в капитале отражены на соответствующих счетах;
(vi) представление - активы, обязательства и доли участия в капитале должным образом сгруппированы или разгруппированы и ясно описаны, и связанное раскрытие информации является уместным и понятным в контексте требований применимой концепции подготовки финансовой отчетности.
A191. Примененные надлежащим образом предпосылки, описанные в пунктах A190(a) - (b) выше, могут также быть использованы аудитором при рассмотрении различных видов искажений, которые гипотетически могут иметься в раскрытии информации, не относящемся напрямую к отраженным видам операций, событиям или остаткам по счетам.
Особенности организаций государственного сектора
A192. При формулировании предпосылок составления финансовой отчетности в организациях государственного сектора в дополнение к предпосылкам, указанным в пунктах A190(a) - (b), руководство может нередко исходить из того, что операции и события соответствовали требованиям, установленным законом, нормативным актом или иным регламентирующим документом. Данные предпосылки могут включаться в объем аудита финансовой отчетности.
Риски существенного искажения на уровне финансовой отчетности (см. пункты 28(a) и 30)
Почему аудитор выявляет и оценивает риски существенного искажения на уровне финансовой отчетности
A193. Аудитор выявляет риски существенного искажения на уровне финансовой отчетности, чтобы определить, оказывают ли риски всеобъемлющее влияние на финансовую отчетность, а следовательно, потребуют ли они принятия ответных мер общего характера в соответствии с МСА 330 <50>.
<50> МСА 330, пункт 5.
A194. Кроме того, риски существенного искажения на уровне финансовой отчетности могут повлиять на отдельные предпосылки и выявление данных рисков может облегчить аудитору задачу оценки рисков существенного искажения на уровне предпосылок и задачу разработки дальнейших аудиторских процедур для снижения выявленных рисков.
Выявление и оценка рисков существенного искажения на уровне финансовой отчетности
A195. Риски существенного искажения на уровне финансовой отчетности относятся к рискам, которые всеобъемлющим образом распространяются на финансовую отчетность в целом и потенциально затрагивают целый ряд предпосылок. Риски такого характера не обязательно являются рисками, которые можно выявить по определенным предпосылкам на уровне вида операций, остатка по счету или раскрытия информации (например, риск обхода средств контроля руководством). Они, вероятнее всего, отражают обстоятельства, которые могут увеличивать риски существенного искажения на уровне предпосылок, и такое увеличение носит всеобъемлющий характер. Оценка аудитором того, носит ли влияние выявленных рисков на финансовую отчетность всеобъемлющий характер, подтверждает оценку аудитором рисков существенного искажения на уровне финансовой отчетности. В других случаях также может быть выявлен ряд предпосылок, которые подвержены риску, а следовательно, могут повлиять на выявление и оценку аудитором рисков существенного искажения на уровне предпосылок.
A196. На выявление и оценку аудитором рисков существенного искажения на уровне финансовой отчетности влияет понимание аудитором системы внутреннего контроля организации, особенно понимание аудитором контрольной среды, процесса оценки рисков в организации и внедренного в ней процесса мониторинга системы внутреннего контроля, а также:
- результаты соответствующей оценки, требуемой в соответствии с пунктами 21(b), 22(b), 24(c) и 25(c);
- любые недостатки системы контроля, выявленные в соответствии с пунктом 27.
В частности, риски на уровне финансовой отчетности могут возникать в связи с недостатками в контрольной среде или в связи с внешними событиями или условиями, такими как ухудшение экономической ситуации.
A197. Риски существенного искажения вследствие недобросовестных действий могут иметь особое значение при рассмотрении аудитором рисков существенного искажения на уровне финансовой отчетности.
A198. Понимание, включая соответствующую оценку, аудитором контрольной среды и других компонентов системы внутреннего контроля может вызвать у него сомнение относительно возможности получить аудиторские доказательства, на основании которых он может сформировать аудиторское мнение, или стать причиной отказа от выполнения задания в случаях, если это возможно в соответствии с применимыми законами или нормативными актами.
A199. В МСА 705 (пересмотренном) <51> устанавливаются требования и предоставляются рекомендации, касающиеся определения необходимости выразить мнение с оговоркой, или отказаться от выражения мнения, или (что может требоваться в некоторых случаях) отказаться от выполнения задания, если это разрешено применимыми законами или нормативными актами.
<51> МСА 705 (пересмотренный) "Модифицированное мнение в аудиторском заключении".
Особенности организаций государственного сектора
A200. Для организаций государственного сектора выявление рисков на уровне финансовой отчетности может включать рассмотрение вопросов, связанных с их подверженностью рискам в связи с политическим климатом, общественными интересами или государственной программой.
Риски существенного искажения на уровне предпосылок (см. пункт 28(b))
A201. Риски существенного искажения, которые не носят всеобъемлющий характер для финансовой отчетности, являются рисками существенного искажения на уровне предпосылок.
Соответствующие предпосылки составления финансовой отчетности и значительные виды операций, остатки по счетам и раскрытие информации (см. пункт 29)
Почему необходимо определять соответствующие предпосылки составления финансовой отчетности и значительные виды операций, остатки по счетам и раскрытие информации
A202. Определение соответствующих предпосылок составления финансовой отчетности и значительных видов операций, остатков по счетам и раскрытия информации обеспечивает основу для определения объема, в котором аудитору необходимо получить понимание информационной системы организации в соответствии с пунктом 25(a). Такое понимание может в дальнейшем помочь аудитору выявить и оценить риски существенного искажения (см. пункт A86).
Автоматизированные инструменты и методы
A203. Аудитор может применять автоматизированные методы, которые облегчают выявление значительных видов операций, остатков по счетам и раскрытия информации.
Раскрытие информации, которая может оказаться значимой
A204. Раскрытие значимой информации может включать раскрытие информации как количественного, так и качественного характера, к которой могут относиться одна или несколько соответствующих предпосылок. Примеры раскрытия информации, которая имеет качественные аспекты и к которой могут относиться соответствующие предпосылки, а следовательно, которая может рассматриваться аудитором как значимая, включают раскрытие информации в отношении следующих вопросов:
- ликвидности и ограничительных условий кредитных договоров организации, которая находится в тяжелом финансовом положении;
- событий и обстоятельств, которые привели к признанию убытка от обесценения;
- ключевых источников неопределенности оценки, включая допущения относительно будущих событий;
- характера изменения учетной политики и прочей соответствующей информации, раскрытие которой требуется в соответствии с применимой концепцией подготовки финансовой отчетности, например, если предполагается, что новые требования к подготовке финансовой отчетности окажут значительное влияние на финансовое положение и финансовые результаты организации;
- соглашений о выплатах на основе акций, включая информацию о том, как были рассчитаны те или иные суммы, признанные в бухгалтерском учете, и прочее соответствующее раскрытие информации;
- связанных сторон и операций со связанными сторонами;
- анализа чувствительности, включая влияние изменений в допущениях, используемых организацией в моделях оценки, направленных на удовлетворение интересов пользователей в понимании неопределенности, связанной с оценками сумм, отраженных или раскрытых в отчетности.
Оценка рисков существенного искажения на уровне предпосылок
Оценка неотъемлемого риска (см. пункты 31 - 33)
Оценка вероятности и величины искажения (см. пункт 31)
Почему аудитор оценивает вероятность и величину искажения
A205. Аудитор оценивает вероятность и величину искажения по выявленным рискам существенного искажения, так как от того, насколько значимым будет сочетание вероятности наличия искажения и величины потенциального искажения, если искажение будет иметь место, зависит, где в диапазоне значений неотъемлемого риска будет находиться оцененный выявленный риск, в результате чего аудитор получит необходимую информацию для разработки дальнейших аудиторских процедур в ответ на риск.
A206. Кроме того, оценка неотъемлемого риска существенного искажения помогает аудитору определить значительные риски. Аудитор определяет значительные риски, потому что согласно требованиям МСА 330 и других МСА аудитор должен разработать конкретные процедуры в ответ на значительные риски.
A207. Факторы неотъемлемого риска влияют на оценку аудитором вероятности и величины искажения по выявленным рискам существенного искажения на уровне предпосылок. Чем больше вид операций, остаток по счету или раскрытие информации подвержены риску существенного искажения, тем, вероятно, выше будет оценка неотъемлемого риска. Рассмотрение вопроса о том, в какой степени факторы неотъемлемого риска влияют на подверженность предпосылки искажению, помогает аудитору надлежащим образом оценить неотъемлемый риск в части рисков существенного искажения на уровне предпосылок и более точно разработать процедуры в ответ на такой риск.
Диапазон значений неотъемлемого риска
A208. При оценке неотъемлемого риска аудитор применяет профессиональное суждение для определения значимости сочетания вероятности и величины искажения.
A209. Оцененный неотъемлемый риск, относящийся к конкретному риску существенного искажения на уровне предпосылок, представляет собой профессиональное суждение в рамках диапазона значений неотъемлемого риска - от более низкого значения к более высокому. Суждение в отношении того, где в диапазоне значений неотъемлемого риска находится оцененный риск, может разниться в зависимости от характера, размера и сложности деятельности организации. При этом учитывается оценка вероятности и величины искажения, а также факторы неотъемлемого риска.
A210. При оценке вероятности искажения аудитор оценивает вероятность того, что искажение имеется, исходя из факторов неотъемлемого риска.
A211. При оценке величины искажения аудитор рассматривает качественные и количественные аспекты возможного искажения (то есть искажения в предпосылках, касающихся видов операций, остатков по счетам и раскрытия информации, можно оценить как существенные из-за их суммы, характера или конкретных обстоятельств).
A212. Для того чтобы установить, где в диапазоне значений неотъемлемого риска будет находиться неотъемлемый риск, аудитор учитывает, насколько значимым является сочетание вероятности и величины возможного искажения. Чем значительнее сочетание вероятности и величины, тем выше оценка неотъемлемого риска; чем незначительнее сочетание вероятности и величины, тем ниже оценка неотъемлемого риска.
A213. Для того чтобы оценка неотъемлемого риска была ближе к верхнему значению диапазона, необязательно, чтобы и величина, и вероятность были оценены как высокие. Скорее, для того чтобы установить, находится ли оцененный неотъемлемый риск выше или ниже в диапазоне значений неотъемлемого риска, определяется расположение точки пересечения величины и вероятности существенного искажения в диапазоне неотъемлемого риска. Повышенная оценка неотъемлемого риска может возникать и вследствие различных сочетаний вероятности и величины, например, повышенная оценка неотъемлемого риска может быть получена при более низкой вероятности и очень высокой величине.
A214. Для разработки надлежащих стратегий действий в ответ на риски существенного искажения аудитор может распределить риски существенного искажения по категориям в рамках диапазона неотъемлемого риска на основе оценки неотъемлемого риска. Эти категории могут быть описаны по-разному. Вне зависимости от используемого метода разделения на категории оценка аудитором неотъемлемого риска является надлежащей, если разработка и внедрение дальнейших аудиторских процедур для снижения выявленных рисков существенного искажения на уровне предпосылок надлежащим образом учитывает оценку неотъемлемого риска и причины, по которым данная оценка проводится.
Всеобъемлющие риски существенного искажения на уровне предпосылок (см. пункт 31(b))
A215. При оценке выявленных рисков существенного искажения на уровне предпосылок аудитор может сделать вывод о том, что некоторые риски существенного искажения носят более всеобъемлющий характер для финансовой отчетности в целом и потенциально оказывают влияние на многие предпосылки. В таком случае аудитор может уточнить идентификацию рисков существенного искажения на уровне финансовой отчетности.
A216. В тех случаях, когда риски существенного искажения выявлены как риски на уровне финансовой отчетности в связи с их всеобъемлющим влиянием на целый ряд предпосылок и эти риски выявляются по конкретным предпосылкам, аудитору необходимо принять во внимание данные риски при оценке неотъемлемого риска в отношении рисков существенного искажения на уровне предпосылок.
Особенности организаций государственного сектора
A217. При применении профессионального суждения в отношении оценки риска существенного искажения аудиторы организаций государственного сектора могут рассмотреть степень сложности нормативных актов и директив, а также риски несоблюдения требований уполномоченных органов.
Значительные риски (см. пункт 32)
Для чего определять значительные риски и каково их влияние на аудит
A218. Определение значительных рисков позволяет аудитору уделить больше внимания тем рискам, которые расположены в верхней части диапазона значений неотъемлемого риска, с помощью выполнения определенных необходимых ответных действий, включая указанные ниже:
- Средства контроля, предназначенные для снижения значительных рисков, должны быть выявлены в соответствии с требованиями пункта 26(a)(i), а оценку эффективной разработки и внедрения средства контроля требуется провести в соответствии с пунктом 26(d).
- Согласно требованиям МСА 330 средства контроля, предназначенные для снижения значительных рисков, необходимо протестировать в текущем периоде (если аудитор планирует полагаться на операционную эффективность данных средств контроля), а также необходимо запланировать и выполнить процедуры проверки по существу непосредственно в ответ на выявленный значительный риск <52>.
- Согласно требованиям МСА 330, чем выше аудитор оценивает риск, тем более убедительные аудиторские доказательства он должен получить <53>.
<53> МСА 330, пункт 7(b).
- Согласно требованиям МСА 260 (пересмотренного) аудитор должен информировать лиц, отвечающих за корпоративное управление, о выявленных им значительных рисках <54>.
<54> МСА 260 (пересмотренный), пункт 15.
В соответствии с МСА 701 аудитор обязан учитывать значительные риски при определении вопросов, требующих его значительного внимания, которые могут оказаться ключевыми вопросами аудита <55>.
<55> МСА 701 "Информирование о ключевых вопросах аудита в аудиторском заключении", пункт 9.
- Своевременная проверка аудиторской документации руководителем задания на соответствующих этапах аудита позволяет своевременно разрешать значимые вопросы, в том числе вопросы значительных рисков, давая возможность руководителю задания убедиться в этом не позднее даты аудиторского заключения <56>. (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
<56> МСА 220 (пересмотренный), пункты 32 и A87 - A89. (в ред. Поправок, утв. Приказами Минфина РФ от 16.10.2023 N 166н)
- В соответствии с МСА 600 (пересмотренным) аудитор группы должен оценить уместность разработки и выполнения дальнейших аудиторских процедур для областей повышенных оцененных рисков существенного искажения финансовой отчетности группы или значительных рисков, в отношении которых аудитор компонента принимает решение о выполнении дальнейших аудиторских процедур <57>. (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
<57> МСА 600 (пересмотренный), пункт 42. (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
Определение значительных рисков
A219. При определении значительных рисков аудитор может сначала выявить те риски существенного искажения, которые были оценены как повышенные в диапазоне значений неотъемлемого риска, чтобы понять, какие из них могут оказаться ближе к верхней границе диапазона. Расположение ближе к верхней границе диапазона неотъемлемого риска у разных организаций будет разным и не всегда будет совпадать у одной организации в разные периоды. Оно может зависеть от характера и обстоятельств организации, для которой проводится оценка риска.
A220. Определение того, какие из оцененных рисков существенного искажения расположены близко к верхней границе диапазона значений неотъемлемого риска, а следовательно, относятся к значительным рискам, является предметом профессионального суждения, за исключением случаев, когда риск относится к определенному виду, который необходимо рассматривать как значительный риск, в соответствии с требованиями другого МСА. В МСА 240 содержатся дополнительные требования и рекомендации относительно выявления и оценки рисков существенного искажения вследствие недобросовестных действий <58>.
A221. Кроме того, при оценке неотъемлемого риска аудитор принимает во внимание относительное влияние факторов неотъемлемого риска. Чем ниже уровень влияния факторов неотъемлемого риска, тем, вероятно, ниже будет величина оцененного риска. Риски существенного искажения, которые могут быть оценены как риски с более высоким значением неотъемлемого риска, а следовательно, могут быть отнесены к категории значительных рисков, могут возникать в результате следующих причин:
- операции, которые могут учитываются с использованием разных методов, а следовательно, учет которых связан с субъективными оценками;
- оценочные значения, которые имеют высокую степень неопределенности оценки или для определения которых используются сложные модели расчета;
- трудности, связанные со сбором и обработкой данных для подтверждения остатков по счетам;
- остатки по счетам или раскрытие количественной информации, подразумевающие сложные расчеты;
- принципы бухгалтерского учета, которые могут быть истолкованы по-разному;
- изменения в деятельности организации, подразумевающие изменения в порядке бухгалтерского учета, например слияния и поглощения.
Риски, по которым процедуры проверки по существу в отдельности не обеспечивают достаточные надлежащие аудиторские доказательства (см. пункт 33)
Почему необходимо выявлять риски, по которым сами по себе процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства
A222. В связи с характером риска существенного искажения и контрольных процедур в отношении данного риска в некоторых ситуациях единственным способом получения достаточных надлежащих аудиторских доказательств является тестирование операционной эффективности средств контроля. Следовательно, аудитору необходимо выявить все риски такого рода в связи с их влиянием на разработку и выполнение дальнейших аудиторских процедур в соответствии с МСА 330 для снижения рисков существенного искажения на уровне предпосылок.
A223. Кроме того, в соответствии с пунктом 26(a)(iii) требуется выявить средства контроля, предназначенные для снижения рисков, для которых выполнение одних только процедур проверки по существу не может обеспечить достаточные надлежащие аудиторские доказательства, так как в соответствии с МСА 330 <59> аудитор обязан разработать и выполнить тестирование данных средств контроля.
<59> МСА 330, пункт 8.
Определение рисков, для которых проведение одних только процедур проверки по существу не может обеспечить достаточные надлежащие аудиторские доказательства
A224. Если при проведении обычных видов операций допускается высокоавтоматизированная обработка с незначительным ручным вмешательством или без него, то не всегда бывает возможно выполнить одни только процедуры проверки по существу в отношении риска. Такая ситуация может иметь место в том случае, если значительный объем информации организации инициируется, записывается, обрабатывается или обобщается только в электронной форме, например в информационной системе, предполагающей высокую степень интеграции всех ИТ-приложений. В таких случаях:
- аудиторские доказательства могут быть доступны только в электронной форме, а их достаточность и надлежащий характер обычно зависят от эффективности средств контроля за их точностью и полнотой;
- вероятность неправомерного инициирования или изменения информации и его необнаружения может оказаться выше, если соответствующие средства контроля неэффективны.
A225. В МСА 540 (пересмотренном) представлены дополнительные рекомендации, связанные с оценочными значениями в отношении рисков, для которых сами по себе процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства <60>. В части оценочных значений это может быть справедливо не только для автоматизированной обработки, а может применяться и к сложным моделям.
<60> МСА 540 (пересмотренный), пункты A87 - A89.
Оценка риска средств контроля (см. пункт 34)
A226. При планировании тестирования операционной эффективности средств контроля аудитор исходит из того, что средства контроля работают эффективно и это предположение ляжет в основу оценки аудитором риска средств контроля. Первоначальное ожидание относительно операционной эффективности средств контроля основано на оценке аудитором структуры выявленных средств контроля в компоненте контрольных процедур и установлении факта их внедрения. После того как аудитор протестирует операционную эффективность средств контроля в соответствии с МСА 330, он сможет подтвердить свое первоначальное ожидание относительно операционной эффективности средств контроля. В том случае, если средства контроля не работают эффективно, как ожидалось, аудитору потребуется пересмотреть оценку риска средств контроля согласно пункту 37.
A227. Оценка аудитором риска средств контроля может быть выполнена разными способами в зависимости от его предпочтений в области методов или методологии проведения аудита и может быть выражена по-разному.
A228. Если аудитор планирует протестировать операционную эффективность средств контроля, ему может потребоваться тестирование комбинации средств контроля, чтобы подтвердить свое ожидание относительно того, что средства контроля работают эффективно. Аудитор может запланировать тестирование как прямых, так и косвенных средств контроля, включая общие средства ИТ-контроля, и в таком случае при оценке риска средств контроля принять во внимание ожидаемое совокупное влияние средств контроля. Если средство контроля, которое планируется протестировать, не в полной мере отвечает на оцененный неотъемлемый риск, аудитор устанавливает, какие последствия это имеет для разработки дальнейших аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня.
A229. Если аудитор планирует протестировать операционную эффективность автоматизированного средства контроля, он может также запланировать тестирование операционной эффективности соответствующих общих средств ИТ-контроля, которые обеспечивают непрерывное функционирование данного автоматизированного средства контроля в ответ на риски, возникающие вследствие использования ИТ, и на этой основе сформировать свое ожидание в отношении того, что автоматизированное средство контроля работало эффективно на протяжении всего периода. Если, согласно ожиданиям аудитора, соответствующие общие средства ИТ-контроля неэффективны, установление данного факта может повлиять на оценку аудитором риска средств контроля на уровне предпосылок, и, возможно, в дальнейшие аудиторские процедуры аудитору потребуется включить процедуры проверки по существу, снижающие применимые риски, возникающие вследствие использования ИТ. Более детальные рекомендации в отношении процедур, которые может выполнить аудитор в данных обстоятельствах, приведены в МСА 330 <61>.
<61> МСА 330, пункты A29 - A30.
Оценка аудиторских доказательств, полученных в результате выполнения процедур оценки рисков (см. пункт 35)
Почему аудитор проводит оценку аудиторских доказательств, полученных в результате выполнения процедур оценки рисков
A230. Аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, обеспечивают основу для выявления и оценки рисков существенного искажения. На этой основе аудитор определяет характер, сроки и объем дальнейших аудиторских процедур в ответ на оцененные риски существенного искажения на уровне предпосылок, в соответствии с МСА 330. Таким образом, аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, обеспечивают основу для выявления и оценки рисков существенного искажения вследствие недобросовестных действий или ошибок на уровне финансовой отчетности и на уровне предпосылок.
Оценка аудиторских доказательств
A231. Аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, включают как информацию, которая подтверждает и подкрепляет предпосылки руководства, так и информацию, которая противоречит таким предпосылкам <62>.
<62> МСА 500, пункт A1.
Профессиональный скептицизм
A232. При оценке аудиторских доказательств, полученных в результате выполнения процедур оценки рисков, аудитор учитывает, получил ли он достаточное понимание деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации для возможности выявления рисков существенного искажения. Аудитор также оценивает, имеются ли какие-либо противоречивые доказательства, которые могут указывать на наличие риска существенного искажения.
Виды операций, остатки по счетам и раскрытие информации, которые не считаются значительными, но являются существенными (см. пункт 36)
A233. Как указано в МСА 320 <63>, существенность и аудиторский риск рассматриваются при выявлении и оценке рисков существенного искажения по видам операций, остаткам по счетам и раскрытию информации. Определение существенности аудитором является предметом профессионального суждения и зависит от понимания аудитором того, какая финансовая информация требуется пользователям финансовой отчетности <64>. Для целей данного МСА и пункта 18 МСА 330 виды операций, остатки по счетам или раскрытие информации являются существенными, если можно обоснованно предположить, что их пропуск, искажение или затруднение понимания информации по ним могут повлиять на экономические решения пользователей, принимаемые на основе финансовой отчетности в целом.
<63> МСА 320, пункт A1.
<64> МСА 320, пункт 4.
A234. Возможно наличие видов операций, остатков по счетам или раскрытия информации, которые являются существенными, хотя не были определены как значительные (то есть отсутствуют выявленные соответствующие предпосылки составления финансовой отчетности).
A235. Аудиторские процедуры в отношении видов операций, остатков по счетам или раскрытия информации, которые являются существенными, хотя не было установлено, что они являются значительными, рассматриваются в МСА 330 <65>. Если было установлено, что какой-либо вид операций, остаток по счету или какое-либо раскрытие информации являются значительными в соответствии с требованиями пункта 29, то такой вид операций, остаток по счету или такое раскрытие информации являются также существенными для целей пункта 18 МСА 330.
<65> МСА 330, пункт 18.
Пересмотр оценки рисков (см. пункт 37)
A236. В ходе аудита аудитор может обратить внимание на новую или прочую информацию, которая значительно отличается от той информации, на основе которой проводилась оценка рисков.
Пример | |
Оценка рисков организации может основываться на ожидании эффективного функционирования определенных средств контроля. При выполнении тестирования этих средств контроля аудитор может получить аудиторские доказательства, свидетельствующие о том, что данные средства контроля не функционировали эффективно в соответствующие периоды в ходе аудита. Также при выполнении процедур проверки по существу аудитор может обнаружить искажения в суммах или периодичности, которые превышают значения, установленные им в результате оценки рисков. В таких случаях оценка риска может не отражать надлежащим образом реальные обстоятельства организации и дальнейшие запланированные аудиторские процедуры, возможно, не будут эффективными для обнаружения существенных искажений. В пунктах 16 и 17 МСА 330 представлены дальнейшие рекомендации в отношении оценки операционной эффективности средств контроля. |
Документация (см. пункт 38)
A237. При повторном аудиторском задании определенную документацию можно переносить на следующие периоды и обновлять по мере необходимости для отражения изменений в деятельности и процессах организации.
A238. В МСА 230 отмечается, в частности, что может и не существовать единого способа документирования профессионального скептицизма, однако аудиторская документация может обеспечить доказательства проявления аудитором профессионального скептицизма <66>. Например, если полученные в результате выполнения процедур оценки рисков аудиторские доказательства включают как доказательства, которые подтверждают предпосылки руководства, так и доказательства, которые противоречат им, документация может включать то, как аудитор оценивал эти доказательства, в том числе профессиональные суждения, примененные при оценке того, обеспечивают ли аудиторские доказательства надлежащую основу для выявления и оценки аудитором рисков существенного искажения. Примеры других требований настоящего МСА, для которых документация может дать доказательства проявления аудитором профессионального скептицизма:
<66> МСА 230, пункт A7.
- пункт 13, согласно которому аудитор обязан разработать и выполнить процедуры оценки рисков таким образом, чтобы избежать предвзятости в отношении получения аудиторских доказательств, которые могут подтверждать существование рисков, или исключения аудиторских доказательств, которые могут отрицать наличие рисков;
- пункт 17, согласно которому требуется обсуждение ключевыми членами аудиторской группы использования применимой концепции подготовки финансовой отчетности и подверженности финансовой отчетности организации риску существенного искажения;
- пункты 19(b) и 20, согласно которым аудитор обязан получить понимание причин, вызвавших изменения в учетной политике организации, и оценить, является ли надлежащей учетная политика организации и соответствует ли она применимой концепции подготовки финансовой отчетности;
- пункты 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) и 27, согласно которым аудитор обязан на основе полученного необходимого понимания оценить, являются ли компоненты системы внутреннего контроля организации надлежащими с учетом обстоятельств организации, а также характера и степени сложности ее деятельности, и определить, были ли выявлены какие-либо недостатки системы контроля;
- пункт 35, согласно которому аудитор обязан принимать во внимание все аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, независимо от того, подтверждают ли они предпосылки руководства или противоречат им. Аудитор также обязан оценить, обеспечивают ли аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, надлежащую основу для выявления и оценки рисков существенного искажения;
- пункт 36, согласно которому аудитор обязан оценить, если применимо, остается ли актуальным его вывод об отсутствии рисков существенного искажения по какому-либо существенному виду операций, остатку по счету или раскрытию информации.
Масштабируемость
A239. Аудитор самостоятельно на основе профессионального суждения определяет порядок документального оформления информации в соответствии с требованиями пункта 38.
A240. Для подтверждения обоснования примененных суждений по сложным вопросам может потребоваться более детальная документация, которой будет достаточно для того, чтобы опытный аудитор, ранее не связанный с данным аудитом, мог понять характер, сроки и объем выполненных аудиторских процедур.
A241. При аудите менее сложных организаций документация может быть простой по форме и относительно краткой по содержанию. На форму и содержание аудиторской документации влияет характер, размер и уровень сложности организации и ее системы внутреннего контроля, доступность предоставляемой организацией информации, а также методология аудита и технологии, используемые в процессе проведения аудита. Нет необходимости документально оформлять в полном объеме понимание аудитором организации и связанных с ней вопросов. Ключевые элементы <67> понимания, задокументированные аудитором, могут включать те элементы, на основе которых аудитор провел оценку рисков существенного искажения. Тем не менее аудитор не обязан документировать каждый фактор неотъемлемого риска, который был принят во внимание в ходе выявления и оценки рисков существенного искажения на уровне предпосылок.
<67> МСА 230, пункт 8.
<68> МСА 300 "Планирование аудита финансовой отчетности", пункты 7, 9 и A11.
<69> МСА 330, пункт 28.
Приложение 1
(См. пункты A61 - A67)
ВОПРОСЫ ДЛЯ РАССМОТРЕНИЯ ПРИ ПОЛУЧЕНИИ ПОНИМАНИЯ ОРГАНИЗАЦИИ И ЕЕ БИЗНЕС-МОДЕЛИ
В настоящем приложении объясняются цели и область применения бизнес-модели организации и приведены примеры вопросов, которые может рассмотреть аудитор при изучении деятельности организации, которую может охватывать бизнес-модель. Понимание аудитором бизнес-модели организации, а также понимание того, как на бизнес-модель влияют стратегия и цели бизнеса организации, может облегчить аудитору задачу выявления бизнес-рисков, которые могут оказывать воздействие на финансовую отчетность. Кроме того, такое понимание будет полезным аудитору при выявлении им рисков существенного искажения финансовой отчетности.
Цели и область применения бизнес-модели организации
1. Бизнес-модель организации описывает, как организация рассматривает, например, свою организационную структуру, деятельность или масштаб деятельности, направления деятельности (включая конкурентов и клиентов по ним), процессы, возможности расширения деятельности, глобализацию, нормативные требования и технологии. Бизнес-модель организации описывает, как организация создает, сохраняет и обеспечивает финансовые выгоды или ценность в более широком смысле для своих заинтересованных сторон.
2. Стратегии - это подходы, с использованием которых руководство планирует обеспечить достижение целей организации, в том числе планируемые подходы организации к рискам, с которыми она сталкивается, и возможностям, которые перед ней открываются. С течением времени руководство меняет стратегии с учетом изменения целей организации, а также внутренних и внешних условий, в которых организация осуществляет свою деятельность.
3. Как правило, описание бизнес-модели включает следующие позиции:
- сфера деятельности организации и цели, с которыми она осуществляет данную деятельность;
- структура организации и масштаб ее деятельности;
- рынки сбыта или географическая либо демографическая сфера, а также элементы цепочки создания стоимости, в которых она работает, как осуществляется ее взаимодействие с участниками этих рынков или сфер (основные виды продукции, сегментация клиентов и методы сбыта) и на какой основе она ведет конкурентную борьбу;
- бизнес-процессы и операционные процессы организации (например, процессы инвестиционной, финансовой и операционной деятельности), используемые при осуществлении ее деятельности, с акцентом на тех элементах бизнес-процессов, которые важны для создания и сохранения ценности и получения выгод;
- ресурсы (например, финансовые, человеческие, интеллектуальные, экологические и технологические), а также другие факторы производства и взаимоотношения (например, клиенты, конкуренты, поставщики и работники), которые необходимы или важны для ведения успешной деятельности организацией;
- то, как посредством ИТ-интерфейсов и использования других технологий в бизнес-модель организации интегрировано применение ИТ в рамках взаимодействия организации с клиентами, поставщиками, кредиторами и прочими заинтересованными сторонами.
4. Бизнес-риск может незамедлительно отразиться на риске существенного искажения для видов операций, остатков по счетам и раскрытия информации на уровне предпосылок или на уровне финансовой отчетности. Например, бизнес-риск, возникающий в результате значительного снижения рыночной стоимости недвижимости, может привести к повышению риска существенного искажения, связанного с предпосылками в отношении оценки, для кредитора, предоставляющего среднесрочные ипотечные кредиты. Однако тот же самый риск, особенно в сочетании с серьезным экономическим спадом, который одновременно повышает соответствующий риск кредитных убытков за весь срок по его кредитам, может иметь последствия и в долгосрочной перспективе. В результате чистая подверженность риску кредитных убытков может поставить под сомнение возможность организации продолжать непрерывно свою деятельность. В таком случае эти факторы будут иметь последствия для вывода руководства, а впоследствии - аудитора о правомерности применения допущения о непрерывности деятельности и для оценки наличия или отсутствия существенной неопределенности. Следовательно, вопрос о том, может ли бизнес-риск привести к риску существенного искажения финансовой отчетности, рассматривается с учетом конкретных обстоятельств в организации. Примеры событий и условий, которые могут приводить к рискам существенного искажения, представлены в Приложении 2.
Деятельность организации
5. Ниже приведены примерные вопросы, которые аудитор может рассмотреть при получении понимания деятельности организации (охватываемой бизнес-моделью).
(a) Коммерческая деятельность, например:
-- характер источников формирования выручки, продуктов и услуг, а также рынков, включая использование продаж через интернет и деятельность по продвижению товара на рынок;
-- способы ведения деятельности (например, стадии или методы производства или деятельность, подверженная рискам, связанным с охраной окружающей среды);
-- альянсы, совместные предприятия или передача выполнения определенных функций субподрядчикам;
-- географическое рассредоточение и отраслевая сегментация;
-- место нахождения производственных мощностей, складов и офисов, место нахождения и количество запасов;
-- основные клиенты и важные поставщики товаров и услуг, трудовые отношения (включая наличие коллективных договоров, пенсионных и прочих выплат после окончания трудовой деятельности, опционных программ или механизмов поощрительных вознаграждений, государственного регулирования вопросов трудоустройства);
-- деятельность и расходы на НИОКР;
-- значительные операции со связанными сторонами.
(b) Инвестиции и инвестиционная деятельность, например:
-- запланированные или недавно проведенные сделки приобретения или продажи;
-- инвестиции или продажа ценных бумаг и кредиты;
-- осуществление капитальных вложений.
-- инвестиции в неконсолидируемые организации, включая неконтролируемые партнерства, совместные предприятия и организации специального назначения.
(c) Финансирование и финансовая деятельность, например:
-- структура собственности крупных дочерних и ассоциированных организаций, включая консолидируемые и неконсолидируемые структуры;
-- структура задолженности и соответствующие условия, включая забалансовые схемы финансирования и арендные договоренности;
-- бенефициарные собственники (например, местные, зарубежные, деловая репутация и опыт) и связанные стороны;
-- использование производных финансовых инструментов.
Характер организаций специального назначения
6. Организация специального назначения - это организация, созданная, как правило, для конкретной, четко определенной цели, например для передачи в аренду или секьюритизации финансовых активов либо для проведения исследований и разработок. Такие организации могут быть созданы в форме корпорации, траста, товарищества или организации без образования юридического лица. Организация, в интересах которой была создана организации специального назначения, нередко может передавать последней активы (например, в рамках прекращения признания операции с финансовыми активами), получать право использования активов последней или оказывать услуги последней, при этом другие стороны могут обеспечивать финансирование последней. Как указано в МСА 550, в некоторых случаях организация специального назначения может быть связанной стороной организации <70>.
<70> МСА 550, пункт A7.
7. Концепции подготовки финансовой отчетности нередко предусматривают детальные условия, которые определяют наличие контроля, или обстоятельства, при которых необходимо рассмотреть вопрос о включении организации специального назначения в консолидированную финансовую отчетность. Толкование требований таких концепций часто предписывает тщательно изучать соответствующие соглашения, стороной которых выступает организация специального назначения.
Приложение 2
(см. пункты 12(f), 19(c), A7 - A8,
A85 - A89)
ПОЛУЧЕНИЕ ПОНИМАНИЯ В ОТНОШЕНИИ ФАКТОРОВ НЕОТЪЕМЛЕМОГО РИСКА
В данном приложении приводятся дополнительные разъяснения в отношении факторов неотъемлемого риска, а также сведений, которые аудитор может учитывать при изучении и применении факторов неотъемлемого риска в процессе выявления и оценки рисков существенного искажения на уровне предпосылок.
Факторы неотъемлемого риска
1. Факторы неотъемлемого риска - характеристики событий или условий, влияющих на подверженность предпосылки в отношении вида операций, остатка по счету или раскрытия информации искажению вследствие недобросовестных действий или ошибок, до рассмотрения средств контроля. Такие факторы могут иметь качественный или количественный характер и включать сложность, субъективность, изменчивость, неопределенность или подверженность искажению в силу предвзятости руководства или иных факторов риска недобросовестных действий <71> в той части, в которой они влияют на неотъемлемый риск. При получении понимания организации и ее окружения, применимой концепции подготовки финансовой отчетности и учетной политики организации в соответствии с пунктами 19(a) - (b) аудитор также изучает, как факторы неотъемлемого риска влияют на подверженность предпосылок искажению при подготовке финансовой отчетности.
<71> МСА 240, пункты A24 - A27.
2. Факторы неотъемлемого риска, относящиеся к подготовке информации, которая требуется применимой концепцией подготовки финансовой отчетности (именуемой в данном пункте "необходимая информация"), включают:
- сложность, которая возникает в связи с характером сведений или процессом подготовки необходимой информации, в том числе в случаях, когда такие процессы подготовки могут быть связаны с неизбежными трудностями в их применении. Например, сложности могут возникать:
-- при расчете резервов под возвратные скидки поставщиков, так как при этом может быть необходимо учитывать разные коммерческие условия множества различных поставщиков или множество взаимосвязанных коммерческих условий, которые имеют значение для расчета выплачиваемых возвратных скидок, или
-- в том случае, когда имеется много потенциальных источников данных с разными характеристиками, используемых при расчете оценочных значений, и обработка таких данных включает много взаимосвязанных этапов, а следовательно, такие данные по определению сложнее идентифицировать, собрать, получить к ним доступ, а также понять их или обработать;
- субъективность, которая возникает в результате неотъемлемых ограничений возможности объективной подготовки необходимой информации в силу ограниченности имеющихся знаний или сведений, которые могут потребоваться руководству для осуществления выбора или вынесения субъективного суждения в отношении применения надлежащего подхода и включения полученной информации в финансовую отчетность. В силу различий в подходах к подготовке необходимой информации надлежащее применение требований применимой концепции подготовки финансовой отчетности может привести к разным результатам. По мере повышения уровня ограниченности знаний или данных субъективность суждений, которые могут быть вынесены достаточно сведущими и независимыми лицами, а также расхождения между возможными результатами таких суждений также будут возрастать;
- изменчивость, которая является результатом событий или условий, влияющих на деятельность организации или экономические, бухгалтерские, регуляторные, отраслевые или иные аспекты среды, в которой она осуществляет свою деятельность, когда последствия таких событий или условий отражаются в необходимой информации. Такие события или условия могут иметь место в течение отчетных периодов или в интервале между ними. Например, изменчивость может быть результатом обновления требований применимой концепции подготовки финансовой отчетности или изменений в организации и ее бизнес-модели, или в среде, в которой организация осуществляет свою деятельность. Такая изменчивость может повлиять на допущения и суждения руководства, в том числе в отношении того, как руководство выбирает учетную политику или рассчитывает оценочные значения, или определяет соответствующую информацию для раскрытия;
- неопределенность возникает, когда необходимая информация не может быть подготовлена на основе одних только достаточно точных и исчерпывающих данных, которые можно подтвердить путем непосредственного наблюдения. В таких обстоятельствах может потребоваться подход с применением имеющихся знаний для подготовки информации на основе достаточно точных и исчерпывающих наблюдаемых данных, насколько это возможно, и разумных допущений, подтверждаемых наиболее уместными имеющимися данными, когда наблюдаемые данные отсутствуют. Ограниченность имеющихся знаний или данных, которая не контролируется руководством (при условии ограничений на затраты, если они предусмотрены), является источником неопределенности, и ее влияние на подготовку необходимой информации нельзя исключать. Например, неопределенность оценки возникает в случаях, когда необходимую сумму нельзя точно определить в денежном выражении и результат оценки остается неизвестным до даты окончательного составления финансовой отчетности;
- подверженность искажению вследствие предвзятости руководства или иных факторов риска недобросовестных действий в той части, в которой они влияют на неотъемлемый риск - подверженность предвзятости руководства является результатом обстоятельств, которые обусловливают чувствительность к неспособности руководства сохранять объективность при подготовке информации, будь то умышленно или неумышленно. Предвзятость руководства во многих случаях связана с определенными обстоятельствами, которые потенциально могут стать причиной необъективности руководства при вынесении суждений (признаки возможной предвзятости руководства), что может привести к существенному искажению информации, которая являлась бы фиктивной в случае умышленных действий. Такие признаки включают побуждение или давление в той мере, в которой они влияют на неотъемлемый риск (например, в результате мотивации к достижению желательного результата, такого как плановая норма прибыли или коэффициент достаточности капитала), а также возможность не придерживаться объективности. Факторы, относящиеся к подверженности искажению вследствие недобросовестных действий в форме недобросовестного составления финансовой отчетности или неправомерного присвоения активов, указаны в пунктах A1 - A5 МСА 240.
3. Когда сложность является фактором неотъемлемого риска, может возникать естественная необходимость использовать более сложные процессы при подготовке информации, и такие процессы могут быть связаны с неизбежными трудностями в их применении. Как следствие, их применение может потребовать специальных знаний или навыков и привлечения эксперта руководства.
4. Подверженность искажению вследствие предвзятости руководства, будь то умышленно или неумышленно, может также возрасти в случае, когда суждение руководства носит более субъективный характер. Например, в расчете оценочных значений, которые были определены как характеризующиеся высокой неопределенностью оценки, могут использоваться значимые суждения руководства, и выводы в отношении методов, данных и допущений могут отражать умышленную или неумышленную предвзятость руководства.
Примеры событий или условий, которые могут быть причиной наличия рисков существенного искажения
5. Ниже приводятся примеры событий (включая операции) и условий, которые могут свидетельствовать о наличии рисков существенного искажения в финансовой отчетности на уровне финансовой отчетности или на уровне предпосылок. Примеры, представленные по факторам неотъемлемого риска, охватывают широкий круг событий или условий, однако не все они применимы к каждому аудиторскому заданию, и перечень примеров необязательно является полным. События и условия были разделены на категории по факторам неотъемлемого риска, которые могут оказывать наибольшее влияние в конкретных обстоятельствах. Важно отметить, что в силу взаимосвязи факторов неотъемлемого риска события и условия в примерах также, по всей вероятности, будут зависеть от других факторов неотъемлемого риска или подвергаться их влиянию в той или иной степени.
Прочие события или условия, которые могут свидетельствовать о рисках существенного искажения на уровне финансовой отчетности:
- недостаточное количество сотрудников, имеющих надлежащую квалификацию в области бухгалтерского учета и составления финансовой отчетности;
- недостатки системы контроля, в частности в контрольной среде, в процессе оценки рисков и в процессе осуществления мониторинга, особенно те, в отношении которых руководством не были приняты меры;
- искажения, которые имелись в прошлых периодах, история ошибок или значительное количество корректировок в конце периода.
Приложение 3
(см. пункты 12(m), 21 - 26, A90 - A181)
ПОЛУЧЕНИЕ ПОНИМАНИЯ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ ОРГАНИЗАЦИИ
1. Организация системы внутреннего контроля может быть отражена в руководствах по политике и процедурам в области внутреннего контроля, в соответствующих системах и формах, в том числе в содержащейся в них информации. Функционирование системы обеспечивается персоналом организации. Система внутреннего контроля организации внедряется руководством, лицами, отвечающими за корпоративное управление, и прочими сотрудниками в соответствии со структурой организации. Система внутреннего контроля может применяться к операционной модели организации, структуре юридического лица или к их совокупности на основании решений руководства, лиц, отвечающих за корпоративное управление, и прочих сотрудников, а также в контексте законодательных или нормативных требований.
2. В настоящем приложении представлены дополнительные разъяснения в отношении компонентов и ограничений системы внутреннего контроля организации, указанных в пунктах 12(m), 21 - 26 и A90 - A181, применительно к аудиту финансовой отчетности.
3. В систему внутреннего контроля организации входят аспекты, которые относятся к целям отчетности организации, включая цели финансовой отчетности, а также могут входить аспекты, относящиеся к целям ее деятельности или соблюдению законов и нормативных актов, когда такие аспекты имеют значение для составления финансовой отчетности.
Компоненты системы внутреннего контроля организации
Контрольная среда
4. Контрольная среда включает функции административного и корпоративного управления, отношение руководства и лиц, отвечающих за корпоративное управление, к системе внутреннего контроля организации, их осведомленность в этой области и соответствующие действия, а также значение, придаваемое организацией системе внутреннего контроля. Контрольная среда задает тон в организации, влияя на осознание сотрудниками необходимости контроля, и обеспечивает общую основу для функционирования других компонентов ее системы внутреннего контроля.
5. На осознание организацией необходимости контроля оказывают влияние лица, отвечающие за корпоративное управление, так как одной из их функций является нейтрализация давления, оказываемого на руководство в связи с составлением финансовой отчетности, которое может возникать в результате требований рынка или реализации программ вознаграждения. Следовательно, на эффективность структуры контрольной среды применительно к участию лиц, отвечающих за корпоративное управление, влияют такие вопросы, как:
- их независимость от руководства и способность оценивать действия руководства;
- понимание ими деятельности организации;
- то, насколько они могут оценить, подготовлена ли финансовая отчетность в соответствии с применимой концепцией подготовки финансовой отчетности, в том числе раскрыта ли в ней надлежащая информация.
6. Контрольная среда охватывает следующие элементы:
(a) как выполняются функции руководства, например, в части формирования и поддержания культуры организации и демонстрации приверженности руководства принципам честности и этическим ценностям. Эффективность средств контроля определяется уровнем честности и этическими ценностями людей, которые разрабатывают, применяют и осуществляют их мониторинг. Честность и этическое поведение являются результатом этических и поведенческих стандартов организации, способов их доведения до сведения персонала (например, с помощью положений политики) и продвижения на практике (например, посредством действий руководства по исключению или снижению стимулов или соблазнов, которые могут подтолкнуть сотрудников к участию в нечестной, незаконной или неэтичной деятельности). Информирование о политике организации в отношении честности и этических ценностей может включать доведение до сотрудников стандартов поведения с помощью сформулированных положений политики, кодексов поведения и личного примера;
(b) как лица, отвечающие за корпоративное управление, демонстрируют независимость от руководства и осуществляют надзор за системой внутреннего контроля организации в случаях, когда они не входят в состав руководства. Лица, отвечающие за корпоративное управление, оказывают влияние на осознание организацией необходимости контроля. Факторы, которые необходимо учитывать, могут включать наличие достаточного числа лиц, независимых от руководства, и цель их оценок и принятия решений, а также то, как лица, отвечающие за корпоративное управление, определяют и принимают на себя обязанности по осуществлению надзора и выполняют ли они свои обязанности по надзору в отношении разработки и внедрения руководством системы внутреннего контроля и управления ею. Важность обязанностей лиц, отвечающих за корпоративное управление, признается в корпоративных кодексах и других законах и нормативных актах или руководствах, разработанных для лиц, отвечающих за корпоративное управление. Прочие обязанности лиц, отвечающих за корпоративное управление, включают надзор за разработкой и эффективным функционированием процедур информирования сотрудниками о нарушениях;
(c) как организация распределяет полномочия и ответственность, чтобы обеспечить достижение своих целей.
Это может включать следующие аспекты:
- основные области полномочий и ответственности и соответствующий порядок подотчетности;
- политика в отношении надлежащей практики ведения бизнеса, знаний и опыта ключевого персонала и ресурсов, предоставляемых для выполнения обязанностей;
- политика и информирование, призванные обеспечить понимание всеми сотрудниками целей организации, того, как их действия взаимосвязаны и способствуют достижению этих целей, а также осознание ими того, как и за что они будут нести ответственность;
(d) как организация привлекает, развивает и удерживает компетентных сотрудников в соответствии со своими целями. Это включает то, как она обеспечивает наличие у сотрудников знаний и навыков, необходимых для выполнения задач, определяющих должностные обязанности сотрудника, например:
- стандарты по набору наиболее квалифицированного персонала с особым вниманием к образованию, предыдущему опыту работы, прошлым достижениям и доказательствам честности и этического поведения;
- политика по обучению, которая информирует о будущих функциях и ответственности, включая практические занятия, такие как тренинги и семинары, которые иллюстрируют ожидаемый уровень результатов работы и поведения;
- повышение в должности на основе периодической оценки результатов работы, что демонстрирует приверженность организации принципу продвижения квалифицированных сотрудников на более высокие уровни ответственности;
(e) как организация требует от работников отчета о выполнении своих обязанностей в рамках задач ее системы внутреннего контроля. Это может быть реализовано, например, посредством:
- механизмов информирования и требования от сотрудников отчета о выполнении обязанностей по осуществлению контроля, а также принятия необходимых мер для исправления ситуации;
- установления показателей деятельности, стимулов и вознаграждений лицам, ответственным за систему внутреннего контроля организации, включая механизм оценки и поддержания актуальности этих показателей;
- влияния давления, связанного с необходимостью достижения целей контроля, на обязанности и показатели деятельности сотрудников;
- применения дисциплинарных мер к сотрудникам по мере необходимости.
Вышеуказанные сведения будут в разной степени применимы к каждой организации в зависимости от ее размера, сложности структуры и характера деятельности.
Процесс оценки рисков в организации
7. Процесс оценки рисков организации является итеративным процессом выявления и анализа рисков для достижения целей организации и служит основой для определения руководством и лицами, отвечающими за корпоративное управление, рисков, которыми необходимо управлять.
8. Для целей составления финансовой отчетности процесс оценки рисков организации включает то, каким образом руководство определяет бизнес-риски, связанные с составлением финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, оценивает их значительность и вероятность возникновения, а также принимает решения в отношении действий по управлению ими и полученных результатов. Например, процесс оценки рисков в организации может быть направлен на рассмотрение того, как организация учитывает возможность существования не отраженных в учете операций или определяет и анализирует оценочные значения, отраженные в финансовой отчетности.
9. Риски, связанные с заслуживающей доверия финансовой отчетностью, относятся к внешним и внутренним событиям, операциям или обстоятельствам, которые могут возникать и отрицательно влиять на способность организации инициировать, учитывать, обрабатывать и включать в отчетность финансовую информацию, соответствующую предпосылкам руководства, использованным при составлении финансовой отчетности. Руководство может разрабатывать планы, программы или действия в ответ на отдельные риски или может решить принять риск в силу возможных издержек или по иным соображениям. Риски могут возникать или изменяться как следствие ряда обстоятельств:
- изменения в операционной среде. Изменения в нормативном регулировании, экономических условиях или операционной среде могут привести к изменениям давления со стороны конкурентов и значительно изменить риски;
- новый персонал. Новый персонал может относиться иначе к системе внутреннего контроля или иметь другое ее понимание;
- новая или обновленная информационная система. Значительные и быстрые изменения в информационных системах могут изменить риски, связанные с системой внутреннего контроля организации;
- быстрый рост. Значительное и быстрое расширение деятельности организации может перегрузить средства контроля и увеличить риск сбоев в системе контроля;
- новые технологии. Внедрение новых технологий в производственный процесс или информационные системы может изменить риск, связанный с системой внутреннего контроля организации;
- новые бизнес-модели, продукты и виды деятельности. Расширение деятельности организации на новые сферы бизнеса или появление операций, в которых у организации мало опыта, может вызвать новые риски, связанные с системой внутреннего контроля;
- корпоративная реструктуризация. Реструктуризация может сопровождаться сокращением штата и изменениями в порядке осуществления надзора и разделения должностных обязанностей, что может изменить риск, связанный с системой внутреннего контроля организации;
- расширение зарубежных операций. Расширение деятельности или приобретение подразделений за рубежом создает новые и во многих случаях уникальные риски, которые могут повлиять на систему внутреннего контроля, например дополнительные или измененные риски, связанные с операциями в иностранной валюте;
- новые стандарты и разъяснения в сфере бухгалтерского учета. Принятие новых принципов бухгалтерского учета или изменение бухгалтерских принципов может повлиять на риски, связанные с подготовкой финансовой отчетности;
- использование информационных технологий. Риски, связанные с:
-- сохранением целостности данных и обработкой информации;
-- рисками для бизнес-стратегии организации, которые возникают в случае, если ИТ-стратегия организации неэффективно поддерживает ее бизнес-стратегию, или
-- изменениями или сбоями в ИТ-среде организации, или текучестью сотрудников ИТ-отдела, или случаями, когда организация не проводит необходимых обновлений своей ИТ-среды или проводит их несвоевременно.
Процесс мониторинга системы внутреннего контроля организации
10. Процесс мониторинга системы внутреннего контроля является непрерывным процессом оценки эффективности системы внутреннего контроля организации и своевременного принятия необходимых корректирующих действий. Процесс мониторинга системы внутреннего контроля организации может включать непрерывную деятельность, отдельные оценки (проводимые на периодической основе) или какое-то их сочетание. Во многих случаях непрерывный мониторинг является частью обычной текущей деятельности организации и может включать регулярные управленческие и надзорные действия. По всей вероятности, масштаб и регулярность процесса, используемого организацией, будут варьироваться в зависимости от ее оценки рисков.
11. Цели и объемы функций службы внутреннего аудита обычно включают действия, направленные на оценку или мониторинг эффективности системы внутреннего контроля организации <72>. Процесс мониторинга организацией своей системы внутреннего контроля может включать такие действия, как проверка руководством своевременной подготовки банковских сверок, оценка внутренними аудиторами соблюдения сотрудниками службы продаж политики организации в отношении условий договоров купли-продажи, а также надзор, осуществляемый юридической службой, за соблюдением политики организации в отношении этики и практики ведения бизнеса. Мониторинг также проводится для непрерывного обеспечения долгосрочного эффективного функционирования средств контроля. Например, если мониторинг своевременности и точности банковских сверок не осуществляется, персонал может прекратить их подготовку.
<72> МСА 610 (пересмотренный, 2013 г.) и Приложение 4 к настоящему стандарту содержат дополнительные указания в отношении внутреннего аудита.
12. Средства контроля, относящиеся к процессу мониторинга организацией ее системы внутреннего контроля, включая те, которые осуществляют мониторинг базовых автоматизированных средств контроля, могут быть автоматизированными или применяться вручную, или представлять собой комбинированный вариант. Например, организация может использовать автоматизированные средства контроля мониторинга доступа к определенной технологии с автоматизированной подготовкой отчетов о необычных действиях для руководства, которое вручную проводит расследование выявленных аномалий.
13. При разграничении действий по мониторингу и контролю в отношении информационной системы учитывается базовая информация о действиях, особенно в случаях, когда такие действия включают надзорную проверку того или иного уровня. Надзорные проверки автоматически не классифицируются как действия по мониторингу, и классификация проверки как средства контроля в отношении информационной системы или действия по мониторингу может потребовать применения суждения. Например, целью ежемесячного контроля полноты было бы выявление и исправление ошибок, тогда как действия по мониторингу изучали бы причины возникновения ошибок и обязывали бы руководство скорректировать процесс так, чтобы предотвратить возникновение ошибок в будущем. В самом общем виде средство контроля, относящееся к информационной системе, реагирует на конкретный риск, тогда как действия по мониторингу оценивают, функционируют ли средства контроля в рамках каждого из пяти компонентов системы внутреннего контроля организации надлежащим образом.
14. Действия по мониторингу могут включать использование информации из сообщений внешних сторон, которые могут указывать на наличие проблем или областей, где требуются улучшения. Клиенты косвенно подтверждают данные биллинга, оплачивая свои счета или выражая недовольство по поводу начислений. Кроме того, регулирующие органы могут информировать организацию о вопросах, которые влияют на функционирование ее системы внутреннего контроля, например, путем уведомления о проверках банковскими регулирующими органами. Руководство также может учитывать в своих действиях по мониторингу всю информацию о системе внутреннего контроля организации, предоставленную внешними аудиторами.
Информационная система и информационное взаимодействие
15. Информационная система, связанная с подготовкой финансовой отчетности, включает действия и политику, а также данные бухгалтерского учета и подтверждающие записи, предназначенные для того, чтобы:
- инициировать, отражать и обрабатывать операции организации (а также собирать, обрабатывать и раскрывать информацию о событиях и условиях, отличных от операций) и обеспечивать учет соответствующих активов, обязательств и собственного капитала;
- своевременно исправлять результаты некорректной обработки операций, например автоматически созданные промежуточные файлы и последующее закрытие промежуточных счетов;
- обрабатывать и учитывать факты обхода систем или преодоления средств контроля;
- передавать информацию из систем обработки операций в основной регистр (например, передача накопленных операций из вспомогательной ведомости);
- собирать и обрабатывать информацию, имеющую значение для подготовки финансовой отчетности, в отношении событий и условий, не являющихся операциями, таких как амортизация основных средств и нематериальных активов и изменения в возмещаемости активов;
- обеспечивать сбор, учет, обработку, обобщение и надлежащее отражение в финансовой отчетности информации, подлежащей раскрытию в соответствии с применимой концепцией подготовки финансовой отчетности.
16. Бизнес-процессы организации включают действия, направленные на то, чтобы:
- разрабатывать, закупать, производить, продавать и распространять продукцию и услуги организации;
- обеспечивать соблюдение законов и нормативных актов;
- отражать информацию, включая информацию по бухгалтерскому учету и финансовой отчетности.
Результатом бизнес-процессов являются операции, которые записаны, обработаны и отражены в информационной системе.
17. Качество информации влияет на способность руководства принимать надлежащие решения по управлению и контролю деятельности организации и подготовке заслуживающих доверия финансовых отчетов.
18. Информирование, которое обеспечивает понимание отдельных функций и обязанностей в рамках системы внутреннего контроля организации, может иметь такие формы, как внутренние регламенты, руководство по бухгалтерскому учету и составлению финансовой отчетности и меморандумы. Информирование может также осуществляться в электронной или устной форме или посредством действий руководства.
19. Информирование организацией о функциях и обязанностях по составлению финансовой отчетности и о значительных вопросах, касающихся финансовой отчетности, предполагает передачу информации о функциях и обязанностях отдельных сотрудников в отношении системы внутреннего контроля за составлением финансовой отчетности. Оно может охватывать такие вопросы, как степень понимания персоналом связи своих действий в информационной системе с работой других лиц, а также способы доведения информации о расхождениях до сведения соответствующих руководителей более высокого уровня в организации.
Контрольные действия
20. Средства контроля в компоненте контрольных процедур определяются в соответствии с пунктом 26. Такие средства контроля включают средства контроля обработки информации и общие средства ИТ-контроля, притом что те и другие по своему характеру могут применяться вручную или автоматизированно. Чем больше руководство использует автоматизированные средства контроля или средства контроля с автоматизированными аспектами и полагается на них при составлении финансовой отчетности, тем важнее становится для организации внедрение общих средств ИТ-контроля, которые призваны обеспечить непрерывное функционирование автоматизированных аспектов средств контроля обработки информации. Средства контроля в компоненте контрольных процедур могут относиться к следующим действиям.
- Санкционирование и утверждение. Санкционирование подтверждает обоснованность сделки (то есть то, что она отражает фактическое экономическое событие или осуществляется в рамках политики организации). Санкционирование обычно имеет форму утверждения руководством более высокого уровня или проверки и определения факта обоснованности операции. Например, ответственный руководитель утверждает авансовый отчет после проверки расходов с точки зрения их разумности и соответствия политике. Примером автоматизированного утверждения является ситуация, когда стоимость единицы товара по счету автоматически сопоставляется с соответствующей стоимостью единицы товара в заказе на закупку в рамках предварительного установленного допустимого уровня. Счета в пределах допустимого уровня автоматически утверждаются для оплаты. Счета, выходящие за допустимый уровень, помечаются для дополнительного изучения.
- Сверки обеспечивают сопоставление двух или больше элементов данных. При выявлении расхождений предпринимаются действия по приведению данных в соответствие. Сверки обычно проверяют полноту или точность обработки операций.
- Проверки предусматривают сравнение двух или больше статей друг с другом или сопоставление статьи с политикой и, по всей вероятности, будут включать последующие действия, если две статьи не совпадают или статья не соответствует политике. Проверки обычно направлены на обеспечение полноты, точности или правильности обработки операций.
- Физические или логические средства контроля, в том числе обеспечивающие защиту активов от несанкционированного доступа, приобретения, использования или продажи. Средства контроля охватывают:
-- физическую безопасность активов, включая надлежащие меры предосторожности, такие как устройства, регламентирующие доступ к активам и записям;
-- санкционирование доступа к компьютерным программам и файлам данных (то есть логический доступ);
-- периодический пересчет и сравнение с суммами, указанными в контрольных записях (например, сравнение результатов инвентаризации денежных средств, ценных бумаг и запасов с данными бухгалтерского учета).
Степень значимости физических средств контроля, призванных предотвратить хищение активов, для надежности подготовки финансовой отчетности зависит от такого обстоятельства, как высокая подверженность активов угрозе незаконного присвоения.
- Разделение должностных обязанностей. Назначение разных лиц для выполнения обязанностей по санкционированию операций, записи операций, обеспечению сохранности активов. Разделение должностных обязанностей направлено на снижение возможностей любого лица совершить или скрыть ошибки или недобросовестные действия в процессе выполнения им своих обязанностей.
Например, менеджер, санкционирующий продажи в кредит, не отвечает за ведение записей дебиторской задолженности или обработку поступлений денежных средств. Если один сотрудник может выполнять все эти действия, он может, например, осуществить фиктивную продажу, которая может остаться незамеченной. Аналогичным образом сотрудники службы продаж не должны иметь возможности вносить изменения в файлы с ценами на продукцию или ставки комиссионных.
В некоторых случаях разделение обязанностей не является целесообразным, экономически эффективным или возможным. Например, у малых организаций и менее сложных организаций могут отсутствовать достаточные ресурсы для обеспечения идеального разделения обязанностей, а стоимость привлечения дополнительного персонала может быть чрезмерно высокой. В таких ситуациях руководство может ввести альтернативные средства контроля. В приведенном выше примере, если сотрудник службы продаж может вносить изменения в файлы с ценами на продукцию, можно применить обнаруживающие контрольные действия, чтобы сотрудники, не связанные со службой продаж, периодически проверяли, изменял ли сотрудник службы продаж цены и при каких обстоятельствах.
21. Некоторые средства контроля могут зависеть от наличия надлежащих надзорных средств контроля, установленных руководством или лицами, отвечающими за корпоративное управление. Например, контроль за санкционированием операций может быть делегирован согласно установленным директивам (принципам), в частности, установление инвестиционных критериев может быть делегировано лицам, отвечающим за корпоративное управление; в свою очередь нестандартные операции, такие как крупные приобретения или изъятие инвестиций, могут потребовать утверждения на более высоком уровне, в том числе в некоторых случаях - утверждения акционерами.
Ограничения системы внутреннего контроля
22. Независимо от степени эффективности система внутреннего контроля организации может обеспечить лишь разумную уверенность в достижении организацией целей финансовой отчетности. На вероятность их достижения влияют присущие системе внутреннего контроля ограничения. Они связаны с тем, что суждение человека при принятии решения может оказаться неверным и что в системе внутреннего контроля могут возникнуть сбои из-за влияния человеческого фактора. Например, ошибка может быть допущена при разработке средства контроля или при внесении в него изменений. Также функционирование того или иного средства контроля может оказаться неэффективным, в частности, когда информация, полученная для целей внутреннего контроля (например, отчет об отклонениях), используется недостаточно эффективно, поскольку лицо, ответственное за анализ такой информации, не понимает ее назначения или не в состоянии предпринять соответствующие действия.
23. Кроме того, средства контроля можно обойти посредством сговора двух или более лиц или за счет неправомерных действий руководства в обход действующей системы внутреннего контроля. Например, руководство может заключить с покупателями дополнительные соглашения, изменяющие условия типовых договоров купли-продажи организации, что может привести к неправомерному признанию выручки. Кроме того, контрольные проверки в ИТ-приложении, разработанные для выявления и получения отчетов об операциях, превышающих определенные кредитные лимиты, можно обойти или заблокировать.
24. Более того, при разработке и внедрении средств контроля руководство может формировать суждения о характере или объеме средств контроля, которые оно намерено внедрить, а также о характере и объеме рисков, которые оно готово принять.
Приложение 4
(см. пункты 14(a), 24(a)(ii),
A25 - A28, A118)
ВОПРОСЫ ДЛЯ РАССМОТРЕНИЯ ПРИ ПОЛУЧЕНИИ ПРЕДСТАВЛЕНИЯ О РАБОТЕ СЛУЖБЫ ВНУТРЕННЕГО АУДИТА ОРГАНИЗАЦИИ
В настоящем приложении представлены дополнительные вопросы, которые необходимо рассмотреть при получении представления о работе службы внутреннего аудита организации, если она имеется.
Цели и объем работы службы внутреннего аудита
1. Цели и объем работы службы внутреннего аудита, характер ее обязанностей и ее статус в организации, в том числе полномочия и подчиненность, сильно различаются и зависят от размера, сложности операций и структуры организации, а также требований руководства и, в соответствующих случаях, лиц, отвечающих за корпоративное управление. Эти вопросы могут регулироваться положением о службе внутреннего аудита или установленным заданием.
2. В обязанности службы внутреннего аудита может входить выполнение процедур и оценка их результатов с целью обеспечения уверенности как руководства, так и лиц, отвечающих за корпоративное управление, в отношении структуры и эффективности управления рисками, системы внутреннего контроля и процессов корпоративного управления в организации. В таком случае служба внутреннего аудита может играть важную роль в процессе мониторинга системы внутреннего контроля организации. Однако обязанности службы внутреннего аудита могут быть сосредоточены на оценке экономичности, эффективности и результативности операций, и в этом случае работа службы внутреннего аудитора может быть напрямую не связана с составлением финансовой отчетности организации.
Направление запросов службе внутреннего аудита
3. Если у организации имеется служба внутреннего аудита, направление запросов соответствующим сотрудникам службы может обеспечить предоставление информации, которая будет полезна аудитору в получении понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации, а также в выявлении и оценке рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок. При выполнении своей работы служба внутреннего аудита, по всей вероятности, глубоко изучила деятельность и бизнес-риски организации и могла получить результаты по итогам проделанной работы, такие как выявленные недостатки системы контроля или риски, которые могут быть значимы для получения аудитором понимания деятельности организации и ее окружения, применимой концепции финансовой отчетности и системы внутреннего контроля организации, а также для оценки аудитором рисков и других аспектов аудита. Следовательно, запросы аудитора направляются независимо от того, предполагает ли он использовать работу службы внутреннего аудита с целью изменения характера или сроков проведения или сокращения объема планируемых аудиторских процедур <77>. Особое значение могут иметь запросы в отношении вопросов, которые служба внутреннего аудита обсуждала с лицами, отвечающими за корпоративное управление, и результатов процесса собственной оценки рисков внутреннего аудита.
<77> Соответствующие требования содержатся в МСА 610 (пересмотренном, 2013 г.).
4. Если с учетом ответов на запросы аудитора становится очевидно, что есть результаты, которые могут иметь отношение к составлению финансовой отчетности организации и аудиту финансовой отчетности, аудитор может счесть целесообразным ознакомиться с соответствующими отчетами службы внутреннего аудита. Примеры отчетов службы внутреннего аудита, которые могут иметь значение, включают документы по планированию и стратегии деятельности службы и отчеты, подготовленные для руководства или лиц, отвечающих за корпоративное управление, с описанием результатов проверок, проведенных службой внутреннего аудита.
5. Кроме того, в соответствии с МСА 240 <78>, если служба внутреннего аудита предоставляет аудитору информацию о фактических, потенциальных или предполагаемых недобросовестных действиях, аудитор учитывает ее при выявлении риска существенных искажений вследствие недобросовестных действий.
<78> МСА 240, пункт 19.
6. Соответствующие сотрудники службы внутреннего аудита, которым направляются запросы, являются лицами, которые, согласно суждению аудитора, имеют надлежащие знания, опыт и полномочия, например руководитель службы внутреннего аудита или, в зависимости от обстоятельств, иные сотрудники службы. Аудитор также может счесть целесообразным проводить периодически встречи с этими сотрудниками.
Рассмотрение функций службы внутреннего аудита в процессе получения понимания в отношении контрольной среды
7. В процессе получения понимания в отношении контрольной среды аудитор может рассмотреть вопрос о том, какие меры были приняты руководством в ответ на результаты работы и рекомендации службы внутреннего аудита в отношении выявленных недостатков системы контроля, относящихся к подготовке финансовой отчетности, в частности, были ли такие меры реализованы и каким образом, а также проводилась ли их последующая оценка службой внутреннего аудита.
Рассмотрение роли службы внутреннего аудита в процессе мониторинга системы внутреннего контроля организации
8. Если обязанности службы внутреннего аудита и ее деятельность по обеспечению уверенности по своему характеру связаны с составлением финансовой отчетности организации, аудитор может также использовать работу службы внутреннего аудита, чтобы изменить характер, сроки или сократить объем аудиторских процедур, которые должны быть выполнены непосредственно аудитором для получения аудиторских доказательств. Использование аудиторами результатов работы службы внутреннего аудита организации более вероятно, когда, например, опыт проведения предыдущего аудита или выполненные аудитором процедуры оценки рисков свидетельствуют, что служба внутреннего аудита обладает достаточными и надлежащими ресурсами, соответствующими сложности структуры организации и характеру ее деятельности, и подотчетна непосредственно лицам, отвечающим за корпоративное управление.
9. Если, основываясь на предварительном понимании деятельности службы внутреннего аудита, аудитор планирует использовать ее работу для изменения характера, сроков или сокращения объема планируемых аудиторских процедур, применяется МСА 610 (пересмотренный, 2013 г.).
10. Как более подробно рассматривается в МСА 610 (пересмотренном, 2013 г.), деятельность службы внутреннего аудита отлична от других средств контроля по мониторингу, которые могут иметь отношение к составлению финансовой отчетности, таких как проверки данных управленческой отчетности, проводимые с целью определить, каким образом организация предотвращает или выявляет искажения.
11. Установление информационного взаимодействия с соответствующими сотрудниками службы внутреннего аудита на ранних этапах выполнения задания и поддержание такого взаимодействия в течение всего аудита способствует эффективному обмену информацией. Это создает среду, в которой аудитор может быть проинформирован о значимых вопросах, которые могли привлечь внимание службы внутреннего аудита, если они могут повлиять на работу аудитора. Важность планирования и проведения аудита с профессиональным скептицизмом <79>, включая сохранение бдительности в отношении информации, которая ставит под вопрос надежность документов и ответов на запросы, которые предполагается использовать в качестве аудиторских доказательств, рассматривается в МСА 200. Следовательно, информационное взаимодействие со службой внутреннего аудита в течение всего аудита может предоставить внутренним аудиторам возможность довести такую информацию до сведения аудитора. После чего аудитор может принять во внимание эту информацию при выявлении и оценке рисков существенного искажения.
<79> МСА 200, пункт 7.
Приложение 5
(см. пункты 25(a), 26(b) - (c),
A94, A166 - A172)
ВОПРОСЫ ДЛЯ РАССМОТРЕНИЯ ПРИ ПОЛУЧЕНИИ ПОНИМАНИЯ В ОТНОШЕНИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ (ИТ)
В настоящем приложении представлены дополнительные вопросы, которые аудитор может рассмотреть при получении понимания того, как организация использует ИТ в своей системе внутреннего контроля.
Изучение использования организацией информационных технологий в компонентах системы внутреннего контроля
1. Система внутреннего контроля организации содержит осуществляемые вручную и автоматизированные элементы (то есть применяемые вручную и автоматизированные средства контроля и другие ресурсы, используемые в системе внутреннего контроля организации). Сочетание осуществляемых вручную и автоматизированных элементов в организации зависит от характера и сложности используемых организацией ИТ. Использование организацией ИТ влияет на то, как обрабатывается, хранится и передается информация, имеющая значение для составления финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, и, следовательно, оказывает воздействие на разработку и внедрение системы внутреннего контроля организации. ИТ могут в той или иной степени использоваться в каждом компоненте системы внутреннего контроля организации.
В целом ИТ обеспечивают преимущества системе внутреннего контроля, позволяя организации:
- последовательно применять заранее определенные правила ведения деятельности и выполнять сложные расчеты при обработке больших объемов операций или данных;
- повышать точность, доступность и своевременность предоставления информации;
- обеспечивать проведение дополнительного анализа информации;
- расширять возможности по мониторингу ее деятельности и выполнения политики и процедур;
- снижать риск обхода средств контроля;
- расширять возможности достижения эффективного разделения должностных обязанностей путем внедрения средств контроля безопасности в ИТ-приложения, базы данных и операционные системы.
2. Характеристики осуществляемых вручную или автоматизированных элементов имеют значение для выявления и оценки аудитором рисков существенного искажения и проведения на их основе дальнейших аудиторских процедур. Автоматизированные средства контроля могут быть надежнее, чем средства контроля, осуществляемые вручную, так как их нельзя легко обойти, оставить без внимания или преодолеть, кроме того, они менее подвержены простым ошибкам и погрешностям. Автоматизированные средства контроля могут быть эффективнее, чем средства контроля, применяемые вручную, в следующих обстоятельствах:
- при наличии большого объема повторяющихся операций или в ситуациях, когда ошибки, которые можно ожидать или прогнозировать, могут быть предотвращены или выявлены и исправлены за счет автоматизации;
- при наличии средств контроля, когда определенный порядок осуществления контроля может быть соответствующим образом организован и автоматизирован.
Получение понимания в отношении использования организацией информационных технологий в информационной системе (см. пункт 25(a))
3. Информационная система организации может предусматривать использование осуществляемых вручную и автоматизированных элементов, которые также влияют на то, как операции инициируются, учитываются, обрабатываются и отражаются в отчетности. В частности, процедуры инициирования, учета, обработки и отражения операций в отчетности могут регламентироваться ИТ-приложениями, используемыми организацией, и тем, каким образом организация настроила эти приложения. Кроме того, записи в форме цифровой информации могут заменять или дополнять записи, выполненные в форме документов на бумажном носителе.
4. При получении понимания ИТ-среды, относящейся к потокам операций и обработке информации в информационной системе, аудитор собирает информацию о характере и характеристиках используемых ИТ-приложений, а также вспомогательной ИТ-инфраструктуры и информационных технологий. В таблицу ниже включены примеры вопросов, которые аудитор может рассмотреть при изучении среды информационных технологий, и примеры типичных характеристик среды информационных технологий, учитывающие сложность ИТ-приложений, используемых в информационной системе организации. Однако такие характеристики являются ориентировочными и могут различаться в зависимости от характера определенных ИТ-приложений, используемых организацией.
<80> Хранилище данных обычно определяется как центральный репозиторий интегрированных данных из одного или нескольких различных источников (например, большого количества баз данных), на основе которых могут формироваться отчеты или которые могут использоваться организацией для осуществления другой деятельности по анализу данных. Генератор отчетов - это ИТ-приложение, которое используется для извлечения данных из одного или нескольких источников (таких как хранилище данных, база данных или ИТ-приложение) и представления данных в определенном формате.
Новые технологии
5. Организации могут использовать новые технологии (например, блокчейн, робототехнику или искусственный интеллект), так как такие технологии могут открывать определенные возможности для повышения операционной эффективности или усовершенствования процесса составления финансовой отчетности. При использовании новых технологий в информационной системе организации, относящейся к подготовке финансовой отчетности, аудитор может рассматривать такие технологии в процессе выявления ИТ-приложений и других аспектов ИТ-среды, которые подвергаются рискам, возникающим в связи с использованием информационных технологий. Хотя новые технологии могут считаться более сложными или более совершенными по сравнению с существующими технологиями, обязанности аудитора в отношении ИТ-приложений и выявленных общих средств ИТ-контроля согласно пунктам 26(b) - (c) остаются неизменными.
Масштабируемость
6. Получение понимания ИТ-среды организации может требовать меньше усилий в случае менее сложной организации, которая использует коммерческое программное обеспечение, когда у организации нет доступа к исходному коду программы для внесения в нее изменений. Такие организации могут не иметь специальных ИТ-ресурсов, но у них может быть сотрудник, выполняющий функции администратора, для целей предоставления персоналу доступа или установки обновлений ИТ-приложений, предоставляемых поставщиком. Конкретные вопросы, которые аудитор может рассмотреть в рамках изучения характера пакета коммерческого программного обеспечения по бухгалтерскому учету, который может представлять собой одно ИТ-приложение, используемое в информационной системе менее сложной организации, могут включать следующие:
- насколько общепризнанным является программное обеспечение и имеет ли оно репутацию надежного;
- насколько возможно изменение исходного кода программного обеспечения организацией для включения дополнительных модулей (то есть дополнительных компонентов) в базовое программное обеспечение или для внесения непосредственных изменений в данные;
- характер и объем изменений, внесенных в программное обеспечение. Хотя организация может не иметь возможности изменять исходный код программного обеспечения, многие пакеты программного обеспечения предусматривают возможность их конфигурации (то есть установки или изменения параметров отчетов). Это обычно не предполагает внесения изменений в исходный код, однако аудитор может рассмотреть вопрос о том, в какой мере организация может конфигурировать программное обеспечение при рассмотрении полноты и точности информации, предоставляемой программным обеспечением, которая используется в качестве аудиторских доказательств;
- в какой мере возможен непосредственный доступ к данным, относящимся к подготовке финансовой отчетности (то есть непосредственный доступ к базе данных без использования ИТ-приложения), и каков объем обрабатываемых данных. Чем больше объем данных, тем выше вероятность того, что организации могут потребоваться средства контроля для обеспечения целостности данных, которые могут включать общие средства ИТ-контроля за несанкционированным доступом и внесением изменений в данные.
7. Сложные ИТ-среды могут включать в значительной степени адаптированные или высокоинтегрированные ИТ-приложения и, следовательно, могут требовать больше усилий при их изучении. Процессы или ИТ-приложения для составления финансовой отчетности могут быть интегрированы с другими ИТ-приложениями. Такая интеграция может включать ИТ-приложения, используемые в хозяйственной деятельности организации, которые предоставляют данные ИТ-приложениям в отношении потоков операций и обработки информации в информационной системе организации. В такой ситуации некоторые ИТ-приложения, используемые в хозяйственной деятельности организации, также могут иметь значение для подготовки финансовой отчетности. Сложные ИТ-среды также могут требовать наличия специальных ИТ-отделов со структурированными ИТ-процессами, поддерживаемыми персоналом, обладающим навыками разработки программного обеспечения и обслуживания ИТ-среды. В других случаях организация может использовать внутренних или внешних поставщиков услуг для управления определенными аспектами или ИТ-процессами своей ИТ-среды (например, сторонний хостинг).
Выявление ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ
8. Изучая характер и сложность ИТ-среды, включая характер и уровень средств контроля обработки информации, аудитор может определить, на какие ИТ-приложения полагается организация в части точной обработки и сохранения целостности финансовой информации. Выявление ИТ-приложений, на которые полагается организация, может повлиять на решение аудитора по тестированию автоматизированных средств контроля, используемых в таких ИТ-приложениях, с учетом того, что такие автоматизированные средства контроля реагируют на выявленные риски существенного искажения. Напротив, если организация не полагается на ИТ-приложение, автоматизированные средства контроля, используемые в таком ИТ-приложении, вряд ли являются надлежащими или достаточно точными для целей тестирования операционной эффективности. Автоматизированные средства контроля, которые могут быть выявлены согласно пункту 26(b), могут включать, например, автоматизированные расчеты или средства контроля за вводом, обработкой и выводом данных, такие как тройное сопоставление заказа на закупки, грузового документа поставщика и счета поставщика. Когда аудитор выявляет автоматизированные средства контроля и определяет путем изучения ИТ-среды, что организация полагается на ИТ-приложение, которое включает такие автоматизированные средства контроля, аудитор с большей вероятностью будет рассматривать это ИТ-приложение как подверженное рискам, возникающим вследствие использования ИТ.
9. При определении подверженности ИТ-приложений, для которых аудитор выявил автоматизированные средства контроля, рискам, возникающим вследствие использования ИТ, аудитор, по всей вероятности, рассмотрит вопрос о том, может ли организация иметь доступ к исходному коду, позволяющему руководству вносить изменения в программу в отношении таких средств контроля или ИТ-приложений, и в каком объеме. Также может быть уместно рассмотреть объем изменений, которые организация вносит в программу или конфигурацию, а также то, насколько формализованы ИТ-процессы в отношении таких изменений. Аудитор также, по всей вероятности, рассмотрит риск ненадлежащего доступа к данным или внесения в них ненадлежащих изменений.
10. Сформированные системой отчеты, которые аудитор может планировать использовать в качестве аудиторских доказательств, могут включать, например, отчет об анализе торговой дебиторской задолженности по срокам возникновения или отчет об оценке запасов. Для таких отчетов аудитор может получить аудиторские доказательства в отношении полноты и точности отчетов путем тестирования по существу входных и выходных данных отчета. В иных случаях аудитор может планировать тестирование операционной эффективности средств контроля за подготовкой и корректировкой отчета, и тогда ИТ-приложение, с помощью которого он был сформирован, по всей вероятности, будет подвержено рискам, возникающим вследствие использования ИТ. В дополнение к тестированию полноты и точности отчета, аудитор может планировать тестирование операционной эффективности общих средств ИТ-контроля, которые реагируют на риски, связанные с внесением ненадлежащих или несанкционированных изменений в программу или данных в отчет.
11. Некоторые ИТ-приложения могут иметь функционал генератора отчетов, тогда как некоторые организации также могут использовать отдельные приложения, создающие отчеты (то есть генераторы отчетов). В таких случаях аудитору может потребоваться определить источники отчетов, формируемых системой (то есть приложение, которое подготавливает отчет, и источники данных, используемые в отчете), чтобы решить, подвержены ли ИТ-приложения рискам, возникающим вследствие использования ИТ.
12. Источники данных, используемые ИТ-приложениями, могут представлять собой базы данных, которые, например, доступны только через ИТ-приложение или для сотрудников ИТ-отдела, имеющих права администратора базы данных. В иных случаях источником данных может быть хранилище данных, которое может само рассматриваться как ИТ-приложение, подверженное рискам, возникающим вследствие использования ИТ.
13. Аудитор мог выявить риск, для которого выполнение только процедур проверки по существу недостаточно по причине использования организацией высокоавтоматизированной и безбумажной обработки операций, которая может требовать применения большого числа интегрированных ИТ-приложений. В таких обстоятельствах средства контроля, выявленные аудитором, по всей вероятности, будут включать автоматизированные средства контроля. Кроме того, организация может полагаться на общие средства ИТ-контроля в целях обеспечения целостности обрабатываемых операций и иной информации, используемой в процессе обработки. В таких случаях ИТ-приложения, применяемые для обработки и хранения информации, по всей вероятности, будут подвергаться рискам, возникающим вследствие использования ИТ.
Вычисления конечного пользователя
14. Хотя аудиторские доказательства также могут быть получены в форме созданных системой выходных данных, которые используются в расчетах, осуществляемых инструментом для вычислений конечного пользователя (например, программой для работы с электронными таблицами или простыми базами данных), такие инструменты обычно не определяются как ИТ-приложения в контексте пункта 26(b). Разработка и внедрение средств контроля за доступом к инструментам для вычислений конечного пользователя и внесением в них изменений могут быть затруднительными, и такие средства контроля в редких случаях являются эквивалентными общим средствам ИТ-контроля или столь же эффективными. Скорее всего, аудитор может рассмотреть комбинацию средств контроля обработки информации с учетом целей и сложности применяемых вычислений конечного пользователя, таких как:
- средства контроля обработки информации в отношении инициирования и обработки исходных данных, включая соответствующие автоматизированные или интерфейсные средства контроля до момента извлечения данных (то есть хранилища данных);
- средства контроля, которые проверяют надлежащее функционирование логической схемы, например средства контроля, которые "подтверждают" извлечение данных, такие как сверка отчета с данными, на основании которых он был составлен, сравнение отдельных данных отчета с источником и наоборот, а также средства контроля, которые проверяют формулы или макроэлементы, или
- использование инструментов подтверждения соответствия программного обеспечения, которые проверяют формулы или макроэлементы на систематической основе, например инструменты проверки целостности электронных таблиц.
Масштабируемость
15. Способность организации обеспечивать целостность информации, которая хранится и обрабатывается в информационной системе, может зависеть от сложности и объема соответствующих операций и прочей информации. Чем выше уровень сложности и чем больше объем данных, которые лежат в основе значительного вида операций, остатка по счету или раскрытия информации, тем меньше будет вероятность того, что организация сможет обеспечить целостность этой информации только за счет средств контроля обработки информации (например, средств контроля за вводом и выводом данных или средств контроля за осуществлением проверки). Также снижается вероятность того, что аудитор сможет получить аудиторские доказательства в отношении полноты и точности такой информации только посредством тестирования по существу в случаях, когда такая информация используется в качестве аудиторских доказательств. В некоторых обстоятельствах, при меньших объемах и более низком уровне сложности операций, руководство может иметь средство контроля обработки информации, которое является достаточным для проверки точности и полноты данных (например, отдельные заказы на продажу, которые обрабатываются и по которым выставляются счета, могут сверяться с печатной копией, данные которой были первоначально введены в ИТ-приложение). Когда организация полагается на общие средства ИТ-контроля в целях обеспечения целостности определенной информации, используемой в ИТ-приложениях, аудитор может определить, что ИТ-приложения, которые поддерживают такую информацию, подвергаются рискам, возникающим вследствие использования ИТ.
Прочие аспекты ИТ-среды, которые подвержены рискам, возникающим вследствие использования ИТ
16. Когда аудитор выявляет ИТ-приложения, которые подвергаются рискам, возникающим вследствие использования ИТ, обычно иные аспекты ИТ-среды также подвергаются рискам, возникающим вследствие использования ИТ. ИТ-инфраструктура включает базы данных, операционную систему и сеть. В базах данных хранятся данные, используемые ИТ-приложениями, и они могут состоять из большого числа взаимосвязанных таблиц данных. Доступ к данным в базах данных могут иметь сотрудники ИТ-отдела или иной персонал с правами администратора базы данных непосредственно через системы управления базами данных. Операционная система отвечает за управление информационным взаимодействием между аппаратными средствами, ИТ-приложениями и другим программным обеспечением, используемым в сети. По существу, непосредственный доступ к ИТ-приложениям и базам данных можно получить через операционную систему. Сеть используется в ИТ-инфраструктуре для передачи данных и обмена информацией, ресурсами и услугами через общий канал связи. В сети также обычно устанавливается уровень логической безопасности, обеспечиваемый через операционную систему, для доступа к базовым ресурсам.
17. Когда аудитор выявляет ИТ-приложения, подверженные рискам, возникающим вследствие использования ИТ, он также обычно выявляет базу или базы данных, в которых хранятся данные, обрабатываемые такими ИТ-приложениями. Аналогично, так как возможность функционирования ИТ-приложения во многих случаях зависит от операционной системы и непосредственный доступ к ИТ-приложениям и базам данных может осуществляться через операционную систему, операционная система обычно подвергается рискам, возникающим вследствие использования ИТ. Сеть может быть определена как подверженная рискам использования ИТ, если она является центральной точкой доступа к выявленным ИТ-приложениям и соответствующим базам данных, или если ИТ-приложение взаимодействует с поставщиками или внешними сторонами через интернет, или если аудитор выявляет ИТ-приложения с выходом в интернет.
Выявление рисков, возникающих вследствие использования ИТ, и общие средства ИТ-контроля
18. Примеры рисков, возникающих вследствие использования ИТ, включают риски, связанные с ненадлежащим использованием ИТ-приложений, которые неточно обрабатывают данные, обрабатывают неточные данные или делают возможным то и другое, в частности:
- несанкционированный доступ к данным, который может привести к уничтожению данных или ненадлежащим изменениям в данных, включая отражение несанкционированных или несуществующих операций, или к неточному отражению операций. Определенные риски могут возникать в случае доступа к общей базе данных большого числа пользователей;
- возможность получения персоналом ИТ-отдела прав доступа, превышающих уровень, необходимый для выполнения порученных им обязанностей, что нарушает принцип разделения должностных обязанностей;
- внесение несанкционированных изменений в данные в главных файлах;
- внесение несанкционированных изменений в ИТ-приложения или другие аспекты ИТ-среды;
- невнесение необходимых изменений в ИТ-приложения или другие аспекты ИТ-среды;
- ненадлежащее вмешательство, осуществленное вручную;
- потенциальная потеря данных или невозможность получить доступ к данным, когда это необходимо.
19. Рассмотрение аудитором несанкционированного доступа может включать риски, связанные с несанкционированным доступом внутренних или внешних сторон (часто именуемые "риски кибербезопасности"). Такие риски необязательно могут влиять на составление финансовой отчетности, так как ИТ-среда организации может также включать ИТ-приложения и соответствующие данные, связанные с ее операционными потребностями или соблюдением законов или нормативных актов. Важно отметить, что киберинциденты обычно сначала возникают в периметре и на уровнях внутренней сети, которые затем исключаются из ИТ-приложения, базы данных и операционных систем, влияющих на подготовку финансовой отчетности. Следовательно, если была выявлена информация о нарушении системы безопасности, аудитор обычно рассматривает, в какой мере такое нарушение может повлиять на составление финансовой отчетности. Если возможны последствия для составления финансовой отчетности, аудитор может принять решение изучить и провести тестирование соответствующих средств контроля, чтобы определить возможное влияние или масштаб потенциальных искажений в финансовой отчетности, или может определить, что организация раскрыла надлежащую информацию в отношении такого нарушения системы безопасности.
20. Кроме того, законы и нормативные акты, которые могут напрямую или косвенно влиять на финансовую отчетность организации, могут включать законодательство о защите данных. Рассмотрение вопроса о соблюдении организацией таких законов или нормативных актов в соответствии с МСА 250 (пересмотренным) <81> может включать изучение ИТ-процессов организации и общих средств ИТ-контроля, которые организация внедрила в целях соблюдения соответствующих законов или нормативных актов.
<81> МСА 250 (перерассмотренный).
21. Общие средства ИТ-контроля внедряются в целях реагирования на риски, возникающие вследствие использования ИТ. Следовательно, аудитор использует понимание, полученное в отношении выявленных ИТ-приложений и других аспектов ИТ-среды, а также применимых рисков, возникающих вследствие использования ИТ, при принятии решения об определении общих средств ИТ-контроля. В некоторых случаях организация может использовать общие ИТ-процессы своей ИТ-среды или определенных ИТ-приложений, и тогда могут быть выявлены общие риски, возникающие вследствие использования ИТ, и единые для таких процессов общие средства ИТ-контроля.
22. В целом в отношении ИТ-приложений и баз данных, по всей вероятности, выявляется больше общих средств ИТ-контроля, чем в отношении других аспектов ИТ-среды. Это объясняется тем, что такие аспекты наиболее тесно связаны с обработкой и хранением информации в информационной системе организации. При выявлении общих средств ИТ-контроля аудитор может рассматривать средства контроля за действиями как конечных пользователей, так и сотрудников ИТ-отдела организации или поставщиков ИТ-услуг.
23. В Приложении 6 дополнительно разъясняется характер общих средств ИТ-контроля, обычно используемых для различных аспектов ИТ-среды. Кроме того, приводятся примеры общих средств ИТ-контроля для различных ИТ-процессов.
Приложение 6
(см. пункты 25(c)(ii), A173 - A174)
ВОПРОСЫ ДЛЯ РАССМОТРЕНИЯ ПРИ ПОЛУЧЕНИИ ПОНИМАНИЯ В ОТНОШЕНИИ ОБЩИХ СРЕДСТВ ИТ-КОНТРОЛЯ
В данном приложении рассматриваются дополнительные вопросы, которые аудитор может рассмотреть при получении понимания в отношении общих средств ИТ-контроля.
1. Характер общих средств ИТ-контроля, обычно используемых для каждого из аспектов ИТ-среды
(a) Приложения
Общие средства ИТ-контроля на уровне ИТ-приложения будут соответствовать характеру и объему функционала приложения, а также путям доступа, разрешенным технологией. Например, для высокоинтегрированных ИТ-приложений со сложными параметрами безопасности будет актуально больше средств контроля, чем для устаревшего ИТ-приложения, обрабатывающего небольшое количество остатков по счетам с применением метода доступа путем использования операций.
(b) База данных
Общие средства ИТ-контроля на уровне базы данных обычно реагируют на риски, возникающие вследствие использования ИТ в связи с несанкционированным обновлением информации для финансовой отчетности в базе данных посредством прямого доступа к базе данных или выполнения сценария или программы.
(c) Операционная система
Общие средства ИТ-контроля на уровне операционной системы обычно реагируют на риски, возникающие вследствие использования ИТ в части административного доступа, что может способствовать обходу других средств контроля. Это включает такие действия, как получение несанкционированного доступа к учетным данным другого пользователя, добавление новых, несанкционированных пользователей, загрузка вредоносного программного обеспечения или выполнение сценариев или других несанкционированных программ.
(d) Сеть
Общие средства ИТ-контроля на уровне сети обычно реагируют на риски, возникающие вследствие использования ИТ в отношении сегментации сети, удаленного доступа и аутентификации. Сетевые средства контроля могут быть применимыми в случаях, когда у организации имеются приложения с выходом в интернет, используемые при составлении финансовой отчетности. Сетевые средства контроля также могут быть уместными в случаях, когда организация имеет значительные отношения с партнерами по бизнесу или операции, переданные на аутсорсинг третьим лицам, что может привести к увеличению объема передаваемых данных и необходимости удаленного доступа.
2. Примеры существующих общих средств ИТ-контроля, сгруппированных по ИТ-процессам, следующие
(a) Процесс управления доступом:
- Аутентификация
Средства контроля, которые обеспечивают доступ пользователя к ИТ-приложению или другому аспекту ИТ-среды, предусматривают использование собственных учетных данных пользователя (то есть пользователь не использует учетные данные другого пользователя).
- Авторизация
Средства контроля, которые позволяют пользователям получить доступ к информации, необходимой исключительно для выполнения их должностных обязанностей, что способствует надлежащему разделению должностных обязанностей.
- Инициализация
Средства контроля, авторизующие новых пользователей и изменения в правах доступа существующих пользователей.
- Деинициализация
Средства контроля, отзывающие права доступа пользователя после прекращения трудового договора или перевода.
Средства контроля за доступом администраторов или ключевых пользователей.
- Проверки пользовательского доступа
Средства контроля, предусматривающие повторную сертификацию или оценку пользовательского доступа для продолжения авторизации в течение продолжительного периода.
- Средства контроля за настойками безопасности
Как правило, в каждой технологии предусмотрены основные параметры настойки, которые помогают ограничить доступ к среде.
- Физический доступ
Средства контроля за физическим доступом к центру обработки и передачи данных и аппаратным средствам. По существу, доступ может быть использован для обхода других средств контроля.
(b) Процесс управления внесением изменений в программы и других изменений в ИТ-среду:
- Процесс управления изменениями
Средства контроля за процессом разработки, программирования, тестирования и перенесения изменений в производственную среду (то есть для конечного пользователя).
- Разделение должностных обязанностей по переносу изменений
Средства контроля, которые разделяют доступ в целях проведения и переноса изменений в производственную среду.
- Разработка, приобретение или внедрение систем
Средства контроля за первоначальной разработкой или внедрением ИТ-приложений (или в отношении других аспектов ИТ-среды).
- Преобразование данных
Средства контроля за преобразованием данных в ходе разработки, внедрения или обновления ИТ-среды.
(c) Процесс управления ИТ-операциями:
Планирование заданий
Средства контроля за доступом в целях планирования и инициирования заданий или программ, которые могут влиять на финансовую отчетность.
- Мониторинг заданий
Средства контроля, осуществляющие мониторинг заданий или программ по составлению финансовой отчетности в целях их успешного выполнения.
- Резервное копирование и восстановление
Средства контроля, обеспечивающие резервное копирование данных финансовой отчетности в соответствии с планом, наличие и доступность таких данных в целях своевременного восстановления в случае сбоя системы или атаки.
- Обнаружение вторжений
Средства контроля по мониторингу уязвимостей и (или) вторжений в ИТ-среду.
В таблице ниже приведены примеры общих средств ИТ-контроля, используемых для реагирования на типовые риски, возникающие вследствие использования ИТ, в том числе для разных ИТ-приложений, с учетом их характера.