Мудрый Экономист

О методических подходах к выявлению и оценке аудиторских рисков

"Аудитор", 2014, N 9

В статье рассматриваются классификации и методики выявления и оценки рисков, возникающих при аудите финансовой отчетности организаций. Автор проводит сравнительный анализ различных подходов к выявлению и оценке аудиторских рисков, в том числе риска мошенничества. В статье также анализируются некоторые различия в классификации аудиторских рисков в международных стандартах аудита и отечественных стандартах аудиторской деятельности.

Стандарты аудиторской деятельности - как международные стандарты аудита (МСА), так и отечественные Федеральные правила (стандарты) аудиторской деятельности (ФПСАД) и федеральные стандарты аудиторской деятельности (ФСАД) - требуют проведения оценки рисков при аудите бухгалтерской (финансовой) отчетности в качестве обязательных процедур. Обширность и многогранность данной проблемы выходит далеко за рамки настоящей статьи, которая ограничена лишь ее отдельными аспектами, касающимися составляющих аудиторского риска и методик выявления и оценки рисков на уровне утверждений (предпосылок составления отчетности).

Несмотря на то обстоятельство, что отечественные ФПСАД, а затем и ФСАД изначально разрабатывались на основе международных стандартов аудита, положения отечественных стандартов и МСА в данном вопросе далеко не всегда совпадают, что в ряде случаев может приводить к весьма серьезным для аудиторов и аудиторских организаций последствиям.

Представляется, что различия отечественных стандартов аудиторской деятельности и МСА в части аудиторских рисков проистекают прежде всего из следующих основных причин.

Во-первых, это значительное отставание разработки и принятия отечественных стандартов от соответствующих международных аналогов. Так, в частности, действующая ныне версия МСА, регламентирующих вопросы аудиторских рисков, была введена в действие еще 15 декабря 2009 г. При этом с 2013 г. в силу вступила новая редакция с изменениями и дополнениями, связанными с принятием нового МСА 610 "Использование работы внутреннего аудитора".

В отличие от двух регламентирующих вопросы аудиторских рисков МСА, МСА 315 "Выявление и оценка рисков существенного искажения посредством понимания деятельности аудируемого лица и среды, в которой она осуществляется" и МСА 330 "Действия аудитора в ответ на выявленные риски", в РФ до сих пор действует лишь один стандарт, посвященный данному вопросу, аналог МСА 315, - ФПСАД N 8 "Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности", принятый в 2008 г. (в ред. от 27 января 2011 г.).

Во-вторых, это отсутствие комплексного характера разработки и принятия отечественных стандартов. Международные стандарты, регулирующие аудиторскую деятельность, представляют собой систему. При этом даже при наличии специального стандарта какой-либо вопрос может регулироваться не только положениями этого специального стандарта, но и другими стандартами и документами, входящими в систему международных стандартов. Вопросы, рассматриваемые в каком-либо стандарте, не исчерпываются им. Требования в данной области могут содержаться и в других стандартах. Поэтому для правильного применения необходимо понимать весь текст МСА целиком (МСА 200, п. п. 19, A58).

Так, в частности, отечественный ФПСАД N 8, как и его аналог МСА 315, оперирует понятием "риск существенного искажения", но при этом не содержит определения данного понятия.

В системе международных стандартов это определение содержится и используется в других документах. Так, в Глоссарии терминов, используемых в МСА, термин "риск существенного искажения" определен как "риск того, что до проведения аудита финансовая отчетность существенно искажена. Он включает два компонента, соответствующим образом описываемые на уровне утверждений (предпосылок):

а) внутренне присущий (неотъемлемый) риск - подверженность на уровне утверждения класса операций, сальдо счета или раскрытия информации искажению, которое может оказаться существенным в отдельности или в совокупности с другими искажениями, оставляя в стороне соответствующие средства контроля;

б) риск контроля - риск того, что искажение на уровне утверждения класса операций, сальдо счета или раскрытия информации может оказаться существенным в отдельности или в совокупности с другими искажениями, не будет своевременно предотвращено, выявлено и исправлено системой внутреннего контроля".

Аналогичная трактовка содержится и в МСА 200 "Общие цели независимого аудитора и проведение аудита в соответствии с международными стандартами аудита", п. A40: "МСА обычно упоминают неотъемлемый риск и риск контроля не раздельно, а совмещенно как риск существенного искажения. Однако аудитор может использовать как раздельную, так и совмещенную оценку неотъемлемого риска и риска контроля в зависимости от применяемой им техники или методологии аудита и практических соображений". Отечественным аналогом МСА 200 является ФПСАД N 1 "Цель и основные принципы аудита финансовой (бухгалтерской) отчетности", принятый еще в 2002 г., объем которого примерно в десять раз меньше действующей версии МСА 200.

Таким образом, использование раздельной либо совмещенной оценки элементов риска существенных искажений есть право аудитора, хотя в некоторых случаях, например при аудите небольших организаций (групп), совмещенная оценка и представляется более целесообразной. Однако такое понимание вопроса напрямую не вытекает из отечественного ФПСАД N 8, ограниченного рамками только МСА 315.

Приведенное выше различие в использовании понятия "риск существенных искажений" между отечественными стандартами и МСА может получить вполне практическую окраску при внешнем контроле качества работы аудиторской организации. В практике встречаются случаи, когда контролирующие органы усматривают в использовании аудиторскими организациями раздельной оценки неотъемлемого риска и риска контроля отступление либо даже нарушение требований отечественного ФПСАД N 8, тогда как ни теория аудита, ни МСА, ни даже российское законодательство (ст. 13 Федерального закона "Об аудиторской деятельности") не ограничивают аудитора в выборе форм и методов аудита на основе федеральных стандартов аудиторской деятельности.

20 декабря 2012 г. Совет по аудиторской деятельности при Минфине России принял решение о приостановке дальнейшей разработки федеральных стандартов аудиторской деятельности и рекомендовал аудиторским организациям, индивидуальным аудиторам при планировании и осуществлении аудиторских процедур в ходе аудита бухгалтерской (финансовой) отчетности аудируемых лиц по вопросам (этапам), в отношении которых федеральными стандартами аудиторской деятельности (федеральными правилами (стандартами) аудиторской деятельности) не установлены конкретные требования, руководствоваться соответствующими международными стандартами аудита.

1 октября 2013 г. рабочий орган Совета по аудиторской деятельности (протокол N 25) рекомендовал Совету по аудиторской деятельности одобрить проект положения о признании документов международных стандартов аудита для применения на территории Российской Федерации. Признание международных стандартов аудита находит отражение и в проекте изменений Федерального закона "Об аудиторской деятельности".

Вне зависимости от использования аудитором раздельной либо совмещенной оценки элементов риска существенных искажений в методическом отношении можно выделить два основных подхода к выявлению и оценке аудиторских рисков. В целях дальнейшего рассмотрения в настоящей статье назовем их постатейным и попроцессным.

Постатейный подход представлен, в частности, в [2, 2005, гл. 2], а также документах проекта ТАСИС [3, 2006].

При постатейном подходе изучение и оценка рисков осуществляются, во-первых, на уровне аудируемой финансовой отчетности в целом и, во-вторых, на уровне отдельных ее статей, которые могут по отдельности либо в совокупности содержать существенное искажение, в разрезе утверждений (предпосылок). Пример фрагмента такой оценки приведен ниже, в таблице 1. В данном примере использована балльная оценка рисков, где 1 - низкий уровень риска, 2 - средний, 3 - высокий.

Таблица 1

ОАО "XYZ", 20XX год Матрица рисков <*> (фрагмент)

Статья отчетности

Пн

Пр

ПиО

Описание (ссылка на РД)

Число единиц

Тип и объем процедур

Примечание

Основные средства

С - 5%

О - 5%

С - десятки тысяч;

О - тысячи

Выборка из Сн 120 - 150 ед.

Од - 80 ед.

Ок - 80 ед.

Ск - 20 ед.

Незавершенное строительство

С - 5%

О - 5%

С - ок. 700 объектов

О - более 500

Од, Ок - от 80 объектов

Финансовые вложения

С - 5%

57 объектов, оборота нет

Выборка по сумме

Запасы

Не сущ.

Несколько тысяч номенклатурных номеров

АП;

малые выборки

<*> М - существенность;

Сн, Ск - сальдо начальное и конечное;

Од, Ок - обороты по дебету, по кредиту;

АП - аналитические процедуры;

ТД - детальное тестирование (тестирование деталей);

РД - рабочий документ;

Пн - полнота;

Н - наличие, существование;

Пр - периодизация;

З - соблюдение законодательства;

ПиО - права и обязательства;

К - классификация;

Р - раскрытие информации;

О - оценка;

x - неприменимо к данной статье, предпосылке либо процедуры не проводятся.

При этом сама оценка риска должна содержать как количественную (уровень риска), так и качественную (характер, содержание риска в разрезе утверждений) характеристику. Она может осуществляться с использованием как эмпирической (описательной), так и вероятностной и балльной моделей.

Эмпирическая модель предполагает описание уровней риска с помощью качественных характеристик, например таких, как низкий, средний, высокий, ниже среднего, выше среднего и т.п. Вероятностная модель предполагает оценки уровней риска в процентах или долях единицы. Балльная модель строится на использовании для обозначения определенных уровней риска установленных баллов, например: низкий - один балл, средний - три балла, высокий - пять баллов и т.п.

Удобным инструментом оценки уровня рисков может являться цветовая гамма светофора - использование красных, желтых и зеленых оттенков для соответственно рисков высокого, среднего и низкого уровня [2, с. 75]. Число градаций определяется используемой аудиторской организацией методикой, но в целях практического удобства оно не должно быть слишком большим.

Таким образом, при постатейном подходе выявление и оценка обусловленных деятельностью аудируемого лица аудиторских рисков осуществляются в преломлении к статьям его бухгалтерской отчетности и раскрываемой в ней информации.

Попроцессный подход в методическом отношении значительно отличается от только что рассмотренного постатейного. При попроцессном подходе исходным пунктом анализа являются не статьи бухгалтерской (финансовой) отчетности аудируемого лица, а его бизнес-процессы и выявляемые в ходе их изучения бизнес-риски.

То есть постатейный и попроцессный подходы к изучению аудиторских рисков иллюстрируют два противоположных направления анализа - от отчетности к процессам и от процессов к отчетности соответственно.

Примером попроцессного подхода может служить материал, содержащийся в Руководстве по применению Международных стандартов аудита при аудите малых и средних аудируемых лиц, разработанном Комитетом по малой и средней практике Международной федерации бухгалтеров (см. табл. 2) [4, p. 111 - 113].

Таблица 2

Реестр рисков и ответ на выявленные риски

Бизнес-риски

Оценка неотъемлемого риска

Является ли риск значимым?

Процедуры контроля

Процедуры в ответ на выявленные риски

Фактор (источник) риска

Область влияния фактора риска

Утверждение <*>

Возможность

Влияние

Комбинированная оценка

Какие области финансовой отчетности могут быть искажены и каким образом?

P CAEV

Продолжающийся рост (несмотря на спад в экономике) и слабый контроль запасов

Нарушение долговых ковенант

P

20

Да

Сотрудник, учитывающий запасы, часто делает ошибки

Сальдо запасов может быть завышено или занижено и искажена их оценка

CAEV

15

Нет

IT-контроль ослаблен в ряде областей

Данные могут быть утрачены или вызывать сомнение

P

15

Нет



Спад в экономике

Может потребоваться уменьшение статьи "Запасы"

V

Нет

Продажи в новых странах

Валютные риски в части дебиторской задолженности

A



Нет

Спад в экономике

Трудности получения дебиторской задолженности

V

Нет

<*> P - все утверждения;

C - полнота;

A - точность;



E - существование;

V - оценка.

Как видно из таблицы 2, данная методика также использует балльную систему оценки уровня риска, в которой применяется шкала от одного до пяти баллов и комбинированная оценка риска с учетом возможности его реализации и возможного эффекта. При этом весьма широкий спектр утверждений (предпосылок), в разрезе которых надлежит оценивать риски применительно к классам операций, сальдо счетов и раскрытию информации, содержащийся в п. A111 МСА 315 и п. 4 ФСАД 7/2011 "Аудиторские доказательства", сведены всего к четырем. Это: C - полнота, E - существование, V - оценка и A - точность, причем в последнюю категорию объединены все остальные утверждения (предпосылки) помимо первых трех.

Напомним, что и отечественные стандарты - п. 4 ФСАД 7/2011, и МСА - п. A112 МСА 315 оставляют за аудитором возможность изменения группировки предпосылок составления бухгалтерской (финансовой) отчетности (утверждений).

Однако, какую бы методику выявления и оценки рисков ни применял аудитор, в любом случае документирование аудита должно демонстрировать связь проведенных процедур с оцененными рисками на уровне финансовой отчетности в целом и на уровне отдельных ее показателей (сальдо, оборотов) и раскрытия информации с определенными в разрезе предпосылок (утверждений) рисками.

При изучении и оценке аудиторских рисков особого внимания требуют вопросы, связанные с риском недобросовестных действий - мошенничества (в МСА - fraud risk).



Согласно п. 31 ФСАД 5/2010 "Обязанности аудитора по рассмотрению недобросовестных действий в ходе аудита", "аудитор должен выявлять и оценивать риски существенного искажения в результате недобросовестных действий на уровне бухгалтерской отчетности в целом и на уровне предпосылок составления бухгалтерской отчетности в отношении групп однотипных операций, остатков по счетам бухгалтерского учета и раскрытий информации". Это требование практически идентично положению п. 25 МСА 240 "Обязанности аудитора по рассмотрению вопросов мошенничества в ходе аудита".

В связи с этим в методическом отношении возможно как встраивание вопросов оценки риска недобросовестных действий (мошенничества) в приведенные выше методики постатейной и попроцессной оценки рисков в разрезе утверждений (предпосылок), так и отдельная оценка рисков мошенничества с формированием отдельного документа, например реестра рисков мошенничества.

Так, например, упомянутое выше Руководство по применению МСА при аудите малых и средних аудируемых лиц приводит следующий пример реестра рисков мошенничества (см. табл. 3) [4, p. 192].

Таблица 3

Реестр рисков мошенничества и ответ на выявленные риски (фрагмент)

Бизнес-риски

Оценка неотъемлемого риска

Является ли риск значимым?

Процедуры контроля

Процедуры в ответ на выявленные риски

Вид риска

Фактор (источник) риска

Область влияния фактора риска

Утверждение <*>

Возможность

Влияние

Комбинированная оценка

Какие области финансовой отчетности могут быть искажены и каким образом?

P CAEV

Давление



Искажение отчетности

Снижение налогов

Предвзятость руководства при формировании оценочных значений

CAV

16

Да

Искажение отчетности

Бонусы руководства зависят от уровня продаж

Завышение продаж

E

Нет

Возможности

Искажение отчетности

Признание выручки

Ненадлежащее применение учетной политики

CAE

12

Да

Присвоение активов

Частые продажи за наличные

Возможность хищений товаров и денежных средств

E

12

Нет

Способность

Присвоение активов

Низкий уровень временных работников

Возможность хищений товаров и денежных средств

E

Нет

<*> P - все утверждения;

C - полнота;

A - точность;

E - существование;

V - оценка.

Постатейный и попроцессный подходы характеризуются не только противоположностью направлений анализа рисков. Представляется, что они отличаются и разной трудоемкостью и сами могут не обнаружить риски искажения аудируемой отчетности.

Постатейный подход позволяет проиллюстрировать целостную картину рисков в разрезе статей аудируемой отчетности, уделяя сравнительно меньшее внимание детальному описанию процессов формирования и прохождения информации на уровне конкретных исполнителей.

Попроцессный подход основан на выявлении и оценке рисков в ходе изучения и описания формирования и прохождения информации на уровне конкретных исполнителей. Отсюда вытекает возможность выявления и оценки только тех рисков, которые обнаруживаются при анализе основных бизнес-процессов в весьма условной привязке к конкретным статьям отчетности без построения картины рисков в формате, приближенном к ее статьям.

Отсюда его более высокая трудоемкость при аудите крупных организаций и групп с большим числом звеньев в прохождении информации и, наоборот, большая простота в применении к малым аудируемым лицам с ограниченным количеством сотрудников в системах бухгалтерского учета и внутреннего контроля.

Выбор конкретных методик выявления и оценки аудиторских рисков является безусловной прерогативой аудиторской организации. Однако представляется, что в связи с более высокой трудоемкостью и риском пропуска факторов риска попроцессный подход более целесообразен в применении к небольшим аудитам либо в случае обусловленности детального изучения бизнес-процессов аудируемого лица смежными целями и задачами (например, необходимость выражения мнения о системе внутреннего контроля, консалтинг в данной области и т.п.). Равно как и одна и та же аудиторская организация может применять разные методики выявления и оценки рисков к разным аудитам.

Список литературы

  1. Федеральные стандарты аудиторской деятельности и Федеральные правила (стандарты) аудиторской деятельности // www.minfin.ru.
  2. Массарыгина В.Ф. Финансовая информация в условиях реформ: учет, отчетность, аудит. М.: Финансы и кредит, 2005. 234 с.
  3. Проект ТАСИС "Осуществление реформы аудита в Российской Федерации". Июнь 2006. Сборник типовых аудиторских рабочих документов для проведения аудита "Учет и оценка рисков" // www.minfin.ru.
  4. Guide to Using International Standards on Auditing in the Audits of Small and Medium-Sized Entities. Vol. 2 // www.ifac.org.
  5. Handbook of International Quality Control, Auditing, Review, Other Assurance and Related Services Pronouncements. 2012 // www.ifac.org.

В.Ф.Массарыгина

К. э. н.,

доцент,

председатель

Комитета по нормативному регулированию (стандартам)

НП "Институт профессиональных аудиторов"