Особенности методики оценки рисков средств внутреннего контроля и пути ее совершенствования

Имеющиеся рекомендации и разъяснения по оценке риска средств внутреннего контроля (СВК) предприятия недостаточно структурированы, что затрудняет их применение в практической деятельности. Рассмотрим особенности методики оценки риска средств внутреннего контроля и пути ее совершенствования.

Чтобы идентифицировать и оценить риски системы внутреннего контроля, аудитору необходимо исследовать все ее элементы, а именно, контрольную среду, процесс оценки рисков аудируемым лицом, информационная система, в том числе связанная с подготовкой бухгалтерской (финансовой) отчетности, контрольные действия и мониторинг средств контроля [1].

Роль информационных систем и технологий

Контрольная среда представляет собой осведомленность и действия представителей собственника и руководства компании в отношении системы внутреннего контроля, а также уровень понимания значения такой системы для коммерческой организации. Аудитор должен получить представление о процессе оценки рисков самим руководством аудируемого лица, так как такой процесс может быть организован и функционировать надлежащим образом, что окажется полезным источником информации о рисках компании.

Особую актуальность в системе внутреннего контроля в последнее время приобретают информационные системы и технологии, связанные с ведением бухгалтерского учета и подготовкой бухгалтерской (финансовой) отчетности. Аудитор должен или получить уверенность, что информационная система имплементирована и функционирует таким образом, что обеспечивает подготовку отчетности, свободную от существенных искажений, или выделить риски и разработать ответные процедуры, если такие риски можно снизить до приемлемого уровня.

В большинстве крупных компаний степень зависимости хозяйственной деятельности от компьютерных информационной систем можно охарактеризовать как высокую. Такая тенденция характерна и для процесса ведения учета и составления отчетности.

Следовательно, необходимо осуществить процедуры по оценке рисковых областей в компьютерной системе информационного обеспечения. Для этого зачастую требуется привлечение независимых специалистов в данной области, которые обладают набором компьютерных программ и приложений для осуществления такой оценки, ровно как и знаниями в сфере современного программного обеспечения.

Концептуальный подход к оценке системы внутреннего контроля

Контрольные действия как элемент СВК включают в себя политики и процедуры, которые позволяют следить за тем, что директивы руководства выполняются.

Наличие и функционирования элементов СВК еще не дает нужной степени уверенности в том, что конкретные средства контроля эффективно предотвращают или устраняют существенные искажения на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности в группах однотипных операций, остатках по счетам бухгалтерского учета или случаях раскрытия информации. Для этого со стороны руководства коммерческой организации необходима деятельность, направленная на поддержание эффективного функционирования средств внутреннего контроля.

Такая деятельность включает в себя наблюдение за функционированием средств внутреннего контроля и за тем, были ли они изменены соответствующим образом в случае необходимости. Такие мероприятия должны носить регулярный характер, и результатом таких проверок должны становится внесенные руководством аудируемого лица корректировки в работу средств внутреннего контроля.

Таким образом, концептуальный подход к оценке системы внутреннего контроля можно свести к следующим утверждениям:

– риск средств внутреннего контроля оценивается на уровне подготовки бухгалтерской (финансовой) отчетности в целом в разрезе конкретных обнаруженных аудитором рисков;

– при оценке аудиторских рисков аудитор должен выявить отдельные средства внутреннего контроля, которые способны предотвратить или исправить искажение на уровне предпосылок подготовки бухгалтерской (финансовой) отчетности для групп однотипных операций, остатков по счетам бухгалтерского учета и случаев раскрытия информации;

– аудитор получает понимание средств контроля и устанавливает соответствие между ними и предпосылками подготовки финансовой (бухгалтерской) отчетности в контексте процессов и систем, в которых они существуют;

– отдельные средства внутреннего контроля подлежат обязательной оценке в случае, когда аудитор признает связанный с этим элементом СВК риск значимым или планирует полагаться на надежность таких элементов в той или иной степени при проведении процедур аудиторских;

– особого рассмотрения заслуживают информационные системы, применяемые в хозяйственной деятельности, в особенности для ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности.

Ранее в российских и международных стандартах аудиторской деятельности аудитору разрешалось по своему усмотрению признавать систему внутреннего контроля аудируемого лица, подверженной высокому риску. Этим самым существенно сокращается объем работ, направленный на понимание системы внутреннего контроля и ее документирование.

Более глубокое понимание внутреннего контроля

Риск-ориентированный подход запрещает аудитору присваивать СВК высокий риск по умолчанию. Как упоминалось ранее, в ходе аудиторской проверки аудитор должен оценить разработку и внедрение внутренних контролей, чтобы правильно выявить и оценить аудиторский риск.

Внедрение и применение новых стандартов может вызывать затруднение у многих практикующих аудиторов и аудиторских организаций с точки зрения интеграции процедур, связанных с системой внутренних контролей и аудиторских процедур по существу.

Как выход из данной ситуации вицепрезидент Института профессиональных бухгалтеров США Чарльз Лендс призывает аудиторов получать более глубокое понимание внутреннего контроля на основе интегрированной концепции COSO – комитета организаций-спонсоров Комиссии Тредвея [2].

Такой подход предполагает, что аудитор начинает с самого высокого уровня – бухгалтерской (финансовой) отчетности. Далее необходимо провести ряд анализов, которые становятся все более и более детализированными до тех пор, пока аудитор сможет оценить отдельные средства контроля.

Используя данную методику выявления средств внутреннего контроля (см. рис. на с. 57), непосредственно связанных с обнаруженным риском, позволяет связать бухгалтерскую (финансовую) отчетность и систему внутреннего контроля. Более того, это позволит сэкономить время, не рассматривая элементы СВК, относящиеся к несущественным сальдо и оборотам, что повысит эффективность аудиторской проверки.

Далее необходимо оценить сам элемент внутреннего контроля. Такая оценка должна проводиться в три этапа:

– эффективность модели внутреннего контроля, то есть позволяет ли процедура как таковая выявлять и устранять соответствующие риски;

– эффективность внедрения процедуры контроля, то есть насколько правильно такая процедура имплементирована в хозяйственную деятельность коммерческой организации;

– операционная эффективность процедуры контроля, что требует оценки качества выявления и устранения целевых рисков установленной процедурой контроля.

Рис. Схема оценки средств внутреннего контроля COSO

Оценка эффективности модели

Эффективность модели внутреннего контроля можно оценить посредством анализа и осмысления рисковой ситуации и действий, которые выполняются для предотвращения ее наступления. Эта процедура целиком зависит от профессионального суждения аудитора. Для того, чтобы минимизировать возможность неверного решения в отношении той или иной модели, целесообразно проводить оценку проделанной работы другим аудитором, задействованным в проверке.

Эффективность внедрения может быть оценена посредством получения аудиторских доказательств об исполнении процедуры контроля. К таким доказательствам можно отнести подписи проверяющих лиц на документах, разрешительные отметки в компьютерных программах, переписка по электронной почте.

Если на первых двух этапах аудитор получает уверенность в том, что процедура контроля адекватно прописана и корректно внедрена, можно переходить к процессу оценки эффективности ее функционирования в течение аудируемого периода.

Отличие третьего этапа от второго в том, что здесь аудитору необходимо получить уверенность, что процедура контроля функционировала эффективно в течение всего периода, точно так же как операции, относящиеся к рисковой области, скорее всего, осуществлялись на протяжении всего аудируемого периода. Для этого необходимо применить выборочный метод, причем наиболее эффективным, по нашему мнению, будет нестатистический метод, основанный на профессиональном суждении.

Так, аудитор сможет выбрать свидетельства выполнения контрольной процедуры, которые будут находиться в наиболее рисковых периодах (например, в конце отчетного периода, в течение периода, когда ответственное лицо находилось в отпуске или на больничном), то есть в ситуациях, когда сама процедура контроля наиболее подвержена риску невыполнения. Однако стоит обращать внимание на то, что выборка, тем не менее, должна быть распределена достаточно равномерно в течение аудируемого периода.

Вывод

Предложенная методика оценки риска средств внутреннего контроля позволит:

1) сократить время, отведенное на исследование СВК;

2) внедрить систематизированные инструменты оценки элементов СВК;

3) прояснить методику выявления взаимосвязи контрольных процедур и финансовой (бухгалтерской) отчетности;

4) оптимизировать непосредственное тестирование контрольных процедур на предмет их эффективности.