Основная цель оценки системы внутреннего контроля компании — создать основу для планирования аудита, а также для определения вида, времени проведения и объема аудиторских процедур, которые находят свое отражение в аудиторской программе. Предполагается, что аудитором подготовлена предварительная аудиторская программа, и он имеет определенное представление о ходе предстоящей работы. В качестве предварительной программы может выступать прошлогодняя аудиторская программа или “стандартная программа”, нуждающаяся в некоторой корректировке в соответствии с результатами предварительного анализа и оценкой риска неэффективности контроля компании-клиента.
Аудиторская программа представляет собой перечень процедур, направленных на получение подтверждения достоверности информации, содержащейся в финансовых отчетах. Для каждой процедуры определены вид, время и масштаб проведения, она непосредственно связана с одним или несколькими показателями финансовой отчетности. Существуют семь основных видов аудиторских процедур: пересчет, наблюдение, подтверждение, устный запрос, проверка документации, сканирование и аналитические процедуры. Время проведения процедур может быть разным: до или после даты составления баланса. Масштаб процедур зависит от объема работ, который должен быть выполнен в ходе реализации этих процедур.
Ограничение аудиторских процедур
Процедуры ограничены по времени проведения и объему работы, что предполагает низкий уровень риска неэффективности контроля, а именно:
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
- подтверждение выполняется по выборке счетов к получению, а не по всем счетам за весь отчетный период;
- подтверждаются накладными продажи, зарегистрированными за последние 5 дней, а не за последние 15 дней до окончания отчетного периода;
- сверяются с данными счета-фактуры фактические данные об отгрузках за последние 5 дней, а не за последние 15 дней до окончания отчетного периода.
Предполагается, что аудитор считает эту программу эффективной.
В альтернативную программу, реализация которой требует большего времени и больших затрат:
1) будет включено подтверждение всех счетов к получению;
2) будет опущено аналитическое сравнение сальдо счетов к получению за декабрь, так как подтверждение было сделано на 31 декабря;
3) все счета-фактуры за последние 15 дней будут подтверждены накладными за декабрь;
4) будут посланы позитивные подтверждения заказчикам, имеющим небольшие и нулевые сальдо на счетах;
5) все накладные за последние 15 дней будут сверены со счетами-фактурами за декабрь.
Итак, применение именно такой аудиторской программы. Объясняется низким уровнем риска неэффективности контроля, связанным со структурой системы внутреннего контроля компании. Задача аудитора состоит в том, чтобы оценить этот риск, связанный с возможностью существенной ошибки в итоговых данных на счетах дебиторов из-за неправильного или неполного учета продаж и обязательств заказчиков. Если уровень риска очень высок, то некоторые процедуры могут быть изменены с целью увеличить объем (больший размер выборок) и изменить время проведения процедуры (подтверждение переносится на 31 декабря). Аналогично, если риск того, что не все продажи учтены, невелик, подтверждение дебиторских счетов с нулевым сальдо можно не получать.
Сообщение о недостатках системы внутреннего контроля
Еще одна цель, преследуемая аудитором при оценке системы внутреннего контроля, — это выработка конструктивных предложений по его совершенствованию. Аудитор принимает участие в разработке системы контроля, высказывая свои предложения в специальном письме, адресованном клиенту. Официально аудиторы определяют эти предложения как элемент аудиторской проверки, не включая их в консультационные услуги. Клиент сам решает, следовать ли внесенным предложениям. Письмо с изложением предложений пишется по окончании процесса ревизии.
В письме могут быть изложены факты, связанные с проблемами внутреннего контроля, о которых аудитор считает нужным довести до сведения аудиторского комитета компании-клиента, поскольку они свидетельствуют о существенных недостатках структуры и функционирования системы внутреннего контроля и могут отрицательно повлиять на способность компании регистрировать, обрабатывать, обобщать финансовую информацию в финансовых отчетах.
В качестве примера таких недостатков можно привести:
- отсутствие должного контроля и санкционирования хозяйственных операций;
- неэффективность процедур контроля;
- намеренное нарушение процедур контроля должностными лицами с целью избежать контроля;
- намеренные нарушения руководства или персонала компании, например фальсификация или подмена бухгалтерских записей.
Отчет о существенных недостатках системы внутреннего контроля
Факты, о которых необходимо сообщить, — это существенные недостатки системы внутреннего контроля. Они характеризуются тем, что структура или функционирование определенных элементов системы внутреннего контроля (контрольная среда, система бухгалтерского учета, процедуры контроля) не уменьшают до относительно низкого уровня вероятность того, что существенные ошибки или искажения информации могут появиться в проверяемых финансовых отчетах, и эти ошибки не будут обнаружены в должный срок персоналом компании в ходе выполнения своих повседневных обязанностей. Хотя аудитор не обязан искать или идентифицировать негативные факты, он должен сообщить руководству, что он обнаружил в ходе обычной проверки. Предпочтительно письменное изложение, хотя аудитор может изложить эти обстоятельства и устно. Во втором случае должна быть составлена докладная записка об устном отчете. Однако, поскольку велика вероятность неправильной интерпретации, аудитор не должен выпускать отчеты, где утверждается, что никаких “обстоятельств, о которых необходимо сообщить”, не было обнаружено в ходе ревизии. Руководитель, получивший такого рода отчет, может заключить (безосновательно), что аудитор констатирует отсутствие в компании каких-либо проблем, связанных с внутренним контролем.
Ответственность руководства. Ответственность аудитора
Руководители компании несут ответственность за системы учета и внутреннего контроля. В некоторых случаях постоянный надзор за системой контроля и ее совершенствование являются обязанностями руководителей. Выше было показано, что предложения аудиторов должны помочь руководителям в выполнении их обязанностей.
Аудитор не несет ответственности за разработку эффективной системы внутреннего контроля для клиента. Создание системы предполагает разработку организационной структуры компании, контрольных процедур и документации. Аудиторские фирмы разрабатывают системы контроля — это консультационные услуги, которые фирмы не включают в собственно аудиторские функции. В обязанности аудитора входит оценка существующих систем внутреннего контроля, а не разработка новых.
Оценка риска неэффективности контроля
Риск неэффективности контроля был определен как вероятность того, что система внутреннего контроля компании-клиента не позволит выявить существенные ошибки, возникающие в системе бухгалтерского учета этой компании. Чтобы оценить этот риск, аудитор должен, прежде всего, знать, какие виды ошибок или искажений информации могут появиться в том или ином счете или при отражении группы хозяйственных операций. Эти ошибки могут быть сгруппированы по семи основным категориям.
В задачу оценки риска входит выяснение того, что делается в компании для предотвращения, выявления и исправления потенциальных ошибок и искажений информации. В связи с этим можно дать следующее определение системы внутреннего контроля: “Все процедуры и политика компании, направленные на предотвращение, выявление и исправление существенных ошибок и искажений информации, которые могут появиться в финансовых отчетах”. Нужно отметить, что такой контроль позволяет компании обеспечивать сохранность активов и составлять финансовую отчетность в соответствии с общепринятыми принципами бухгалтерского учета. Оценка риска неэффективности контроля завершена, когда аудитором выявлена вероятность (в количественном выражении или описательно) того, что существующие в компании политика и процедуры контроля не помогут обнаружить существенные ошибки в информации и ее искажения.
Структура внутреннего контроля
Структура внутреннего контроля может быть подразделена на три составляющих: контрольная среда — набор характеристик, который определяет служебные взаимоотношения, благоприятные для контроля в компании; система бухгалтерского учета компании — политика и процедуры, касающиеся соответствующей записи хозяйственных операций; процедуры контроля — специальные проверки, выполняемые персоналом компании. Эти три составляющих во взаимосвязи обеспечивают предотвращение, выявление и исправление существенных ошибок информации и ее искажения.
Контрольная среда
Состояние контрольной среды зависит от стиля работы руководителей, их философии и эффективной системы разъяснения целей контроля и надзора за деятельностью персонала.
Контрольная среда состоит из следующих элементов:
- политика и методы управления;
- организационная структура компании;
- деятельность Совета директоров, особенно его аудиторского комитета;
- методы распределения функций управления и ответственности;
- управленческие методы контроля, в том числе внутренний аудит;
- кадровая политика и практика;
- внешние воздействия (например, проверка со стороны банковских органов).
Процедуры контроля в контрольной среде
В аудиторских стандартах контрольная среда описана в указанных выше терминах.
Этой контрольной среде присущи некоторые черты процедур контроля.
Общи положения. Подход менеджеров и директоров к контролю оказывает наибольшее влияние на контрольную среду. Верхний эшелон управления определяет отношение служащих к контролю. Благоприятная управленческая среда характеризуется системой управления, обеспечивающей высокий уровень внутренней системы коммуникаций, способствующей эффективной работе аудиторского комитета при Совете директоров, использующего систему бюджетов и отчетов об их исполнении, обеспечивающую эффективность внутреннего аудита. Помимо этого, контрольная среда определяется компетентностью персонала компании, разделением обязанностей, контролем доступа к активам, документам и осуществлением периодических сравнений учетных данных.
Записаны хозяйственные операции, которых не было в действительности: продажи и обязательства несуществующих заказчиков.
Фактически свершившиеся хозяйственные операции не записаны на счетах: не зафиксирована отгрузка партии товара заказчику.
Совершены и записаны несанкционированные хозяйственные операции: продажа в кредит не санкционирована, но товары отгружены и заказчику выставлен счет без требования предварительной оплаты.
Записанные суммы не точны: заказчику выставлен счет и записана неверная сумма продажи, так как отгруженное количество и количество на счете не совпадают и зафиксирована цена за единицу другого продукта.
Хозяйственные операции зарегистрированы не на тех счетах: продажа филиалу учтена как продажа независимым лицам, а не как межфирменная реализация, или сумма занесена не на тот дебиторский счет.
Учет хозяйственных операций не завершен: данные о продажах в целом записаны на контрольный дебиторский счет, но некоторые из них не отражены на индивидуальных счетах дебиторской задолженности.
Хозяйственные операции учтены не на тот период: отгрузки товара в январе (следующего года) записаны как продажи, и предъявление счетов к оплате отнесено за декабрь. Отгрузки за декабрь записаны как продажи января, и предъявление счетов к оплате отмечено за январь.
Компетентность персонала. Важнейшей характеристикой системы внутреннего контроля компании является компетентность персонала, осуществляющего функции контроля. Кадровые проблемы компании отражаются на системе внутреннего контроля. Так, частая смена бухгалтеров ведет к тому, что функции учета и контроля выполняются людьми, не имеющими достаточного опыта и делающими в силу этого больше ошибок. Новые руководители и должностные лица (вице-президент по финансовым вопросам, контролер, главный бухгалтер, руководитель по обработке информации) могут быть не в должной степени знакомы с системой учета компании и совершать технические и другие ошибки. Иногда служащие бухгалтерии увольняются, так как не хотят следовать некорректным процедурам учета, которые предписываются высшим управленческим звеном. В целом, частая сменяемость бухгалтерского персонала может быть тревожным фактом.
Разделение обязанностей. Очень важной характеристикой эффективной системы внутреннего контроля является должное разделение функциональной ответственности. Иногда эта характеристика называется разделением обязанностей. Соответствующее разделение обязанностей является обязательным условием эффективности процедур контроля.
Перечисленные ниже четыре вида функций должны входить в обязанность различных подразделений или различных служащих бухгалтерии:
1. Санкционирование хозяйственных операций. Эту обязанность выполняют служащие, которые имеют право инициировать запись хозяйственных операций. Санкционирование бывает общее, касающееся определенного вида операций (например, всех продаж) или специальное (например, санкционирование продажи важного актива).
2. Регистрация хозяйственных операций. Учет и запись операций (ведение отчетности) в большинстве компаний выполняет компьютерная система.
3. Обеспечение сохранности активов в ходе хозяйственных операций. Подразумевается фактическое распоряжение принадлежащими компании активами или контроль за ними.
4. Периодическое сопоставление существующих активов с суммами, записанными на счетах. Здесь предполагается регулярная инвентаризация активов и принятие соответствующих мер в случае обнаружения расхождений.
Несовместимость обязанностей — это такая их комбинация, при которой служащий, совершивший ошибку или исказивший информацию, может скрыть этот факт в ходе своей обычной деятельности. Обязанности должны быть распределены таким образом, чтобы никто из служащих не выполнял две и более из вышеперечисленных четырех функций. Первая и четвертая функции являются управленческими, вторая функция — учетная, а третья — функция хранения.
Разделение этих функций между разными лицами и подразделениями имеет два преимущества:
1) труднее преднамеренно исказить информацию, так как потребовало бы сговора двух или более лиц;
2) за счет координации действий (рассмотрение различных аспектов одной и той же хозяйственной операции) легче обнаружить и исправить непреднамеренные ошибки. “Одна голова хорошо, а две лучше” — гласит старая пословица.
Надзор является важным элементом контрольной среды. Персонал компании и компьютерная система выполняют функции учета и процедуры контроля компании. Не менее важно обеспечение надзора за выполнением этих функций со стороны менеджеров. Контролер, осуществляя надзор за работой менеджера по кредитованию, может, например, периодически сравнивать сальдо на счетах дебиторов с итоговыми данными контрольного счета. Контролеры или руководители подразделений могут исправлять ошибки, найденные служащими, а также принимать и санкционировать решения, касающиеся системы учета в компании. Надзор является важным средством управленческого контроля и условием функционирования системы внутреннего контроля в целом.
Контроль доступа и активам. Реальный доступ к активам, документам, важным записям и бланкам должен быть ограничен уполномоченными на то лицами. Такие активы, как запасы и ценные бумаги, не должны быть доступны тем, кто ими не распоряжается. Так, не должен быть разрешен доступ к записям о затратах и учету полученных счетов тем лицам, которые не отвечают за ведение учета.
Некоторые бланки очень важны для учета и контроля и доступ к ним следует ограничить. Тот, кто не отвечает за учет продаж, не должен иметь возможность свободно брать бланки счетов-фактур и накладных. Лицо, не занимающееся выплатами наличных, не может получать чеки (включая компьютерные). Иногда доступ к бланкам равносилен доступу к важным активам. Например, лицо, имеющее доступ к чистым бланкам чеков, фактически имеет доступ к наличным денежным средствам.
Периодическое сравнение. Менеджеры несут ответственность за учет и регистрацию активов и обязательств. Менеджеры должны проводить периодическое сравнение записанных сумм с данными документов, подтверждающих их существование и оценку. Внутренние аудиторы либо другие служащие бухгалтерии могут осуществлять периодическое сравнение. При этом лица, проводящие сравнение, не должны заниматься санкционированием соответствующих хозяйственных операций, учетом и регистрацией операций или отвечать за хранение активов.
Периодически проверяется наличие денежных средств в кассе, ценных бумаг, подтверждаются суммы на счетах к получению и на счетах к оплате, а также другие операции. Цель этих операций — определить, отражает ли бухгалтерская документация фактические активы и пассивы компании. При частых сопоставлениях легче обнаружить ошибки в бухгалтерских документах. Очевидно, что частота проведения сопоставлений должна определяться соотношением размеров затрат и прибыли. Очень частые (например, раз в неделю) подсчет, сопоставление и подтверждение активов обычно не делаются, кроме исключительных случаев (очень большая ценность активов, большая вероятность потерь или ошибок).
Принятие мер по исправлению найденных расхождений также очень важно. Периодические сопоставления и принятие соответствующих мер снижают вероятность существенных ошибок в финансовых отчетах. Такие сопоставления обычно являются функцией внутреннего аудитора или других служащих.
Система бухгалтерского учета и процедуры контроля
В системе бухгалтерского учета обрабатывается информация о хозяйственных операциях, регистрируются операции в журналах и книгах (обычных или компьютеризированных) и составляется финансовая отчетность. При этом нет гарантии 100%-ной точности. Тем не менее, учетная политика и процедуры составляют важные элементы системы контроля. Так, правило: “Счет-фактура выписывается только после того, как товар отгружен”, — является отчасти и процедурой контроля. Связанное с контролем положение этой инструкции выглядит следующим образом: “Счет-фактура выписывается только в случае, когда прилагается соответствующий документ об отгрузке”.
Процедуры контроля (обычные и компьютерные) — это процедуры, направленные на предотвращение, выявление и исправление ошибок и искажений информации в системе бухгалтерского учета. Так, процедура контроля вышеупомянутой учетной операции будет следующая: “В конце каждого дня контролер просматривает все счета-фактуры, чтобы убедиться в том, что к каждому счету прилагается копия накладной”.
Минимальные требования к системе учета, с точки зрения контроля, включают в себя план счетов, а также некоторые письменные определения и инструкции, касающиеся классификации хозяйственных операций. Такого рода материалы могут содержаться в компьютерных системах, программах, в различных руководствах, в блок-схемах по обработке учетной информации и других документах. Внутренний аудитор компании и персонал, отвечающий за систему обработки информации, часто рассматривают и оценивают эту документацию. Внешний аудитор может изучить результаты их работы вместо того, чтобы выполнять ее заново.
В руководстве по бухгалтерскому учету компании должны быть зафиксированы цели учета, политика и отражены учетные процедуры. Менеджеры должны установить специфические направления контроля и обеспечить проведение соответствующих процедур. Направления контроля могут быть детализированными и специфическими.
Направления и процедуры контроля
Кроме учетных процедур, компании применяют процедуры контроля. Процедуры контроля направлены на предотвращение, выявление и исправление ошибок и искажений, которые могут возникнуть в ходе учета хозяйственных операций. Существует много различных процедур контроля, каждая из которых должна предотвратить ошибки определенного вида (или нескольких видов) и искажения информации.
Вместо длинных перечней процедур контроля на данном этапе изучения аудита рекомендуется исследовать те направления, для достижения которых применяются процедуры контроля.
Реальность хозяйственных операций. Применение процедуры контроля для проверки того, что зарегистрированные операции действительно должны были быть зарегистрированы. Процедура контроля может состоять в сверке документов об отгрузке со счетами фактурами до того, как продажа зафиксирована. Предполагается, что эта процедура предотвратит запись не подтвержденной документами (возможно, фиктивной) продажи.
Полнота. Посредством процедур контроля проверяется, не пропущены ли при регистрации фактически совершенные хозяйственные операции. Если товары отгружены, то каждый документ об отгрузке должен сверяться со счетом-фактурой. Документы, подтверждающие операцию (в данном случае документы об отгрузке), часто нумеруют. Учет последовательности номеров документов об отгрузке — соответствующая процедура контроля.
Разрешение. При помощи процедур контроля проверяется, санкционировались ли хозяйственные операции до того, как они были учтены. Примером может служить санкционирование продажи в кредит. В некоторых случаях санкционирование операций не столь очевидно. Например, какая “санкция” нужна для регистрации получения компанией платежа? Обычно никакой. Однако для предоставления скидки какому-либо заказчику после того, как сроки предоставления формально истекли, нужна санкция менеджера по продажам.
Менеджеры должны установить определенные критерии регистрации операций в системе учета и для управленческого санкционирования операций. Система контроля должна предотвращать регистрацию несанкционированных операций в учетной системе.
Санкционирование может быть общим, а может делегироваться более низкому звену управления. Например:
1) все продажи в кредит на сумму свыше 1000 дол. должны быть санкционированы;
2) все продажи должны быть зарегистрированы по мере получения бухгалтерией копий документов на отгрузку и т. д.
В некоторых случаях практически нет необходимости в специальном санкционировании. Например, список полученных на счет компании платежей является достаточным основанием для регистрации полученной суммы. В других случаях санкционирование — очень важный момент, и осуществляется
Советом директоров. Так, продажа важных активов или подписание соглашения о займе санкционирует исключительно Совет директоров.
Точность. Применяются процедуры, направленные на проверку правильности исчисления записанных сумм. Проверка правильности отраженного в накладной количества отгруженной продукции, цены единицы продукции и итоговых данных является примером такого рода контрольной процедуры.
Классификация. Реализуются процедуры контроля того, что операции отнесены на соответствующие счета, что дебетуются или кредитуются счета соответствующих заказчиков, в том числе дочерних компаний и филиалов, и т. д. Классификацию иногда смешивают с точностью записей, однако отличие состоит в том, что точность относится исключительно к правильности записанных сумм.
Учет включает контрольные процедуры проверки того, полностью ли завершен процесс учета данной операции и соответствует ли учет общепринятым бухгалтерским стандартам. Примером может служить сличение итоговых данных индивидуальных счетов к получению с данными контрольного счета с целью определить, все ли записи на контрольном счете были отнесены на индивидуальные счета заказчиков. (Классификация представляет собой проверку правильности отнесения сумм на соответствующие счета, а точность — проверку правильности сумм на счетах.) Если конкретное направление контроля не может быть отнесено к одному из вышеперечисленных видов, то, скорее всего оно относится именно к контролю системы учета компании.
Периодизация предполагает контроль того, чтобы операции записывались в том периоде, в котором были совершены. Это направление контроля тесно связано с проблемой реальности и полноты отражения операций после балансовой даты. Эта проблема очень важна и имеет отношение ко всем видам хозяйственных операций — продажам, покупкам, учету МПЗ, начислению расходов, доходов и т. д.
Компании используют многочисленные процедуры учета и контроля. Все эти процедуры, так или иначе, нацелены на предотвращение, выявление и исправление ошибок семи основных видов и искажений информации, которые могут возникнуть в финансовых отчетах.
Оценка риска неэффективности контроля
Важным моментом оценки внутреннего контроля является составление предварительной аудиторской программы, цель которой — собрать необходимые документы, подтверждающие данные финансовой отчетности. Следующий шаг в оценке — определение видов возможных ошибок и искажений информации. Аудитор должен оценить контрольную среду, систему учета и процедуры контроля, которые компания использует, чтобы предотвратить, выявить эти потенциальные ошибки.
Результатами этой оценки являются:
1) изменение аудиторской программы;
2) частичное выполнение функций аудитора по выявлению ошибок и искажений информации;
3) выработка конструктивных предложений по улучшению системы контроля;
4) изложение в случае необходимости “обстоятельств, подлежащих сообщению”.
Предварительная аудиторская программа очень важна, так как она представляет
собой план получения необходимых документов, подтверждающих данные финансовой отчетности. Оценка риска неэффективности контроля связана с аудиторской программой через согласование одного или нескольких направлений контроля с одной или несколькими предпосылками финансовой отчетности. Компания должна реализовывать все направления контроля, чтобы обеспечить правильность сальдо счетов.
Например, компания может иметь эффективную систему контроля за реальностью зарегистрированных продаж и получением денежных средств, санкционированием и учетом операций в соответствующем периоде. Тогда риск неэффективности контроля продаж и счетов к получению оценивается как низкий.
Однако аудитор может выявить, что не все, а лишь некоторые направления контроля реализованы в отношении конкретных счетов. Например, при описанной выше ситуации может отсутствовать контроль за полнотой учета продаж и сумм на счетах к получению. В этом случае предварительная аудиторская программа может быть изменена: больше внимания будет уделено проверке полноты учета сумм на счетах к получению, так как риск неэффективности контроля очень высок. Что касается проверки существования счетов к получению, программа останется прежней, поскольку риск низок.
Конечная оценка системы внутреннего контроля компании — определение уровня риска неэффективности контроля (CR) по всем направлениям. Этот риск служит элементом в модели аудиторского риска: AR = R х CR х DR. Эта оценка выражает мнение аудитора об эффективности системы контроля компании. Кроме того, аудитор должен оценить риск неэффективности системы внутреннего контроля), который был определен как вероятность возникновения существенных ошибок и искажений информации в системе учета. R обычно трудно оценить, и аудитор рассматривает его в комбинации с оценкой риска неэффективности контроля. При изучении описанных ниже методов необходимо помнить, что система контроля начинает работать только при появлении ошибки в системе учета.
Этапы оценки системы контроля
В следующих разделах рассматриваются три этапа процесса оценки контроля. Основная цель проверок — определение эффективности. Это означает, что осуществляются проверки за минимальное время и с минимальными затратами. При этом должны быть получены необходимые подтверждающие документы. Распределение времени работы между оценкой системы контроля и аудиторской проверкой в конце года, т. е. процедурами — модель соотношения затрат и прибыли. Чем больше аудитор знает об эффективности контроля, тем меньше объем работы в конце года. Однако аудитору не обязательно определять фактическое качество структуры системы внутреннего контроля компании. Но он должен знать достаточно, чтобы планировать
аудиторскую деятельность. Аудитор может получить лишь первое представление о структуре системы контроля, оценить риск неэффективности контроля как высокий и выполнить обширную проверку в конце года. Либо он может провести детальную оценку системы контроля, оценить риск неэффективности контроля как низкий и минимизировать объем работ в конце года.
В теории три стадии оценки системы контроля, описанные как отдельные и независимые, выполняются до того, как началась проверка сальдо счетов. На практике стадии оценки часто “переплетаются”, и сальдо счетов часто проверяются до конца налогового года, в одно время с оценкой системы контроля.
Стадии изучения структур систем внутреннего контроля
На первой стадии аудитор должен документально подтвердить полученное представление о структуре контроля. Но аудитор может отложить процесс оценки контроля, исходя из соображений эффективности, описанных ниже. Тем не менее, если аудитор хочет оценить риск как низкий с тем, чтобы сократить аудиторские процедуры, процесс оценки должен быть выполнен до конца.
Сущность и время проведения работ на первой стадии
На первой стадии процесса оценки системы внутреннего контроля вырабатываются представления о структуре контроля компании. Аудитор получает представление о контрольной среде, о способах обработки информации в системе учета компании, о некоторых процедурах контроля.
На этой стадии аудитор должен сделать выводы относительно контрольной среды:
- о подходе менеджеров и Совета директоров к организации системы внутреннего контроля;
- об организационной структуре компании и функциях персонала;
- о разделении обязанностей;
- о методах распределения функций управления и ответственности;
- об управленческих методах контроля системы учета, контрольных процедур и доступа к активам и документам;
- о функциях внутренних аудиторов.
Аудитор также должен получить представление о характеристиках системы учета в компании:
- об основных видах хозяйственных операций;
- о возможных видах значительных ошибок и искажений информации;
- о методах учета каждого из основных видов хозяйственных операций санкционировании; документировании и регистрации; дальнейшей обработке информации в системе учета; отражении информации в финансовой отчетности.
Информацию о структуре системы контроля компании аудитор получает из нескольких источников:
1) предшествующего опыта работы в компании в ходе прошлогодней аудиторской проверки;
2) ответов персонала компании на запросы;
3) соответствующей документации;
4) наблюдений за ходом действий персонала в отношении одной или нескольких хозяйственных операций.
Аудитор может завершить работу по оценке риска на первой стадии по двум причинам, связанным с конечной аудиторской программой.
Во-первых, аудитор может заключить, что не нужны дальнейшие доказательства риска неэффективности системы контроля. Такой вывод равносилен оценке риска как 1 (100%). Это вызывает необходимость проведения обширных процедурно проверке сальдо счетов, например, всех счетов к получению на 31 декабря. Очевидно, это решение связано с вопросом об эффективности аудиторской проверки.
Во-вторых, аудитор может прийти к выводу, что нет смысла тратить время на оценку системы контроля с целью снизить риск неэффективности, а можно сэкономить время за счет сокращения работы по проверке сальдо счетов (при условии эффективного функционирования системы контроля). Этот вывод также равносилен оценке риска как 1 (100%), но исключительно потому, что аудитор не может получить достаточной информации о системе контроля, а не потому, что считает ее неэффективной. Тем не менее, результат один и тот же в обоих случаях: необходимо широкое использование процедур по проверке сальдо счетов на конец года. Например, для детальной проверки контроля за реальностью счетов к получению потребуется 40 часов. При условии, что система контроля эффективна, допустим, что выборочное подтверждение счетов на 1 ноября (с последующим рассмотрением пробного баланса на 31 декабря) займет на 30 часов меньше, чем подтверждение всех счетов на 31 декабря. Тогда дополнительная работа по оценке системы контроля нерациональна. Решение прекратить работу по оценке риска продиктовано соображениями экономии трудозатрат: неэффективно работать 40 часов с тем, чтобы сэкономить в будущем 30 часов.
Стадия 1. Документирование данных о системе контроля
Документирование оценки риска неэффективности контроля как 1 (100%) (аудиторские процедуры не могут быть ограничены, так как система ненадежна) может состоять просто в фиксации самого этого факта. Однако для использования в ходе следующих проверок должны также быть объяснены, с точки зрения эффективности, причины прекращения работы по оценке риска неэффективности контроля. Информация, полученная аудитором о системе внутреннего контроля, может обобщаться в виде анкет, описаний, блок схем.
Анкеты и описания
Наиболее эффективным методом получения необходимой информации о структуре системы внутреннего контроля являются опросы опытных работников, проводимые при помощи специальной анкеты. Вопросы анкеты относятся к характеристикам контрольной среды и к основным направлениям контроля. Аудитор должен знать основные направления контроля с тем, чтобы составляемые им анкеты были полными.
Такого рода анкеты помогают аудитору получить необходимое представление о контрольной среде, а также о процедурах учета и контроля. Ответы на поставленные вопросы не должны, однако, рассматриваться в качестве окончательного доказательства того, насколько эффективно функционирует система внутреннего контроля. Информация, полученная из анкет, представляет собой “свидетельство с чужих слов”, так как заполняет анкету обычно человек компетентный, но не участвующий лично в выполнении функций контроля. Он может ответить на вопрос, какой должна быть система контроля с его точки зрения, а не какова она есть на самом деле. Заполняющий анкету может не знать о всех деталях функционирования системы, например, о неформальном перераспределении обязанностей. Тем не менее, анкетирование представляется полезным, особенно когда заполняющий высказывает мнение о слабых сторонах системы контроля. Письменное признание руководством слабости контроля является убедительным подтверждающим документом.
Еще одним преимуществом анкеты является то, что в ней затрагиваются все важные стороны системы контроля. Вопросы обычно поставлены так, что отрицательный отчет указывает на какую-либо слабую сторону системы, облегчая тем самым ее анализ.
Чтобы приспособить процедуру опроса к особенностям конкретной компании, обычно составляют описания каждой важной подсистемы внутреннего контроля. Такие описания содержат характеристику элементов контрольной среды системы учета и процедур контроля. Описания особенно полезны при аудите мелких компаний.
Блок-схемы систем учета и контроля
Другим методом документирования информации о системах учета и контроля является составление блок-схем. Блок-схемы широко используются аудиторами. Преимущество блок-схем состоит в том, что наглядное изображение всегда лучше, чем словесное описание. Блок-схемы облегчают оценку системы контроля. В них легко вносить изменения, добавляя необходимые линии и символы.
Для построения блок-схемы аудитор должен получить информацию о персонале, обслуживающем системы учета и контроля, и изучить соответствующую документацию. Таким образом, составление блок-схемы предполагает достаточно большой объем работ. Однако в результате мы имеем полное информативное описание системы.
Блок схемы должны быть достаточно просты для понимания. Чтобы понять блок-схему, не нужен длинный перечень условных обозначений. Блок-схемы строятся при помощи лекала и линейки — беспорядочные изображения трудны для понимания. Начальный пункт изображаемой системы помещается в левом верхнем углу листа. Читается блок схема слева направо и сверху вниз. Необходимые описания прилагаются в качестве сносок либо в виде отдельного списка ссылок.
Блок-схема должна содержать всю необходимую информацию о разделении обязанностей, санкционировании операций, а также о процедурах учета и контроля и представлять эту информацию в легкой для понимания, наглядной форме.
Стадия 2. Оценка риска неэффективности контроля
После завершения первой стадии — получения представления о структуре системы внутреннего контроля и разработки предварительной аудиторской программы — аудитор должен сделать предварительную оценку риска неэффективности контроля. Одним из способов оценки является анализ сильных и слабых сторон системы контроля. Сильные стороны — это надежный и детальный контроль, а слабые стороны — недостаток или отсутствие контроля в определенных областях. Предварительные выводы аудитора должны быть отражены в рабочих документах.
Рабочий документ, в котором отражаются сильные и слабые стороны системы контроля, иногда называют связующим документом, так как он связывает оценку контроля с последующими аудиторскими процедурами. Основные сильные и слабые стороны системы контроля, показанные на блок-схеме. На блок-схеме сильные стороны обозначены С, а слабые — Сл. В связующем рабочем документе графа “Аудиторская программа” содержит описание проверки сильных сторон системы контроля и список основных аудиторских процедур (проверка сальдо счетов на конец года), которые определяют, исходя из слабых сторон. Проводить проверку слабых сторон контроля лишь для того, чтобы убедиться в их существовании, не имеет смысла.
На данной стадии риск неэффективности контроля запасов может быть оценен как очень высокий (0,8 или 0,9). Тем не менее, три сильные стороны системы свидетельствуют о надежности контроля за реальностью продаж и правильностью счетов к получению. Это может позволить аудитору сократить объем работ по проверке сальдо счетов к получению. Проверку контрольных процедур проводят с целью определить, действительно ли предполагаемые сильные стороны контроля функционируют эффективно. В графе “Аудиторская программа” каждой сильной стороне соответствует определенная аудиторская процедура. Проверка системы контроля (стадия 3) включает в себя процедуры, при помощи которых определяют, насколько эффективно эти система работает на практике. Если функционирование этой системы контроля соответствует определенным аудиторским критериям (требуемый уровень соответствия), то риск неэффективности контроля может быть оценен как низкий. Если требуемый уровень соответствия не достигнут, то риск оценивается как высокий, план проверки балансов счетов пересматривается с учетом сторон системы контроля, и затем начинается непосредственно проверка.
Стадия 3. Аудиторские процедуры проверки системы контроля
На третьей стадии оценки системы внутреннего контроля аудитор уже определил те ее элементы, для которых риск неэффективности контроля может быть оценен как низкий.
Чтобы снизить конечную оценку риска неэффективности контроля, аудитор должен определить:
1) требуемый уровень соответствия ведения дел в компании политике и процедурам контроля;
2) фактический уровень соответствия.
Требуемый уровень соответствия — критерий для принятия аудиторами решения об оценке системы контроля.
Поскольку соответствие установленным критериям не может быть идеальным, аудитор может заключить, что накладных (отгрузочных документов) в 96 случаях из 100 достаточно для того, чтобы оценить риск неэффективности контроля при проверке счетов к получению (с целью выявить завышение сумм) как низкий.
На данной стадии аудитор может выполнить проверку процедур контроля, чтобы определить, насколько эффективно функционировала система внутреннего контроля компании. Проверку процедур контроля проводят в два этапа: на первом этапе отбирают группу данных, из которой будет сделана аудиторская выборка; на втором этапе — действия, направленные на получение соответствующих подтверждающих документов.
Эти действия состоят в следующем:
1) определяют, соответствуют ли проверяемые данные стандарту (т. е. математическую правильность);
2) выясняют, согласуются ли проверяемые данные с другой группой данных.
Другим важным аспектом проведения этих аудиторских процедур является направление проверки. При помощи процедур можно проверить эффективность контроля за реальностью продаж. Однако они не дают никакой информации об эффективности контроля за полнотой регистрации всех поставок. Для этого нужно сделать выборку из другой группы сведений — данных отгрузочных документов. Если контроль за полнотой регистрации операций является эффективным, то аудитор может не проводить подтверждение счетов с нулевым балансом для выявления незарегистрированных операций.
В некоторых случаях проверка процедур контроля требует их повторного выполнения. Например, аудитор делает арифметические вычисления и сравнения, которые уже были сделаны персоналом компании. Некоторые аудиторы полагают, что достаточно простого наблюдения: аудитор смотрит, есть ли на документах подписи или печати, подтверждающие, что эти документы были проверены. Они считают, что повторное выполнение процедур необязательно. Однако мы придерживаемся мнения, что для получения надежного подтверждения повторное выполнение вычислительных процедур необходимо.
При проверке некоторых процедур контроля можно использовать подтверждающие документы, например регистрация продажи подтверждается накладной. Документальные подтверждения в форме подписей, инициалов, контрольных списков и т.п. представляют собой наиболее надежный вид подтверждения. Но существуют процедуры контроля, о которых нет никаких документальных свидетельств, например, разделение обязанностей между служащими. В этом случае невозможно прибегнуть к наиболее надежному способу проверки (повторному выполнению), и нужен второй способ, т. е. наблюдение. Эта процедура состоит в непредвзятом наблюдении аудитора за выполнением персоналом компании процедур контроля.
Проверка должна распространяться на процедуры и операции, выполнявшиеся в течение всего проверяемого периода. Данное требование основано на том, что выводы о функционировании системы внутреннего контроля должны относиться ко всему проверяемому периоду.
Оценка контроля и соотношение затраты результат: выводы
Оценка риска неэффективности контроля должна быть связана с окончательным планом аудита. План аудиторской проверки сальдо счетов представляет собой перечень основных аудиторских процедур, которые были определены как детальная проверка хозяйственных операций, а также аналитические процедуры, направленные на получение документов, подтверждающих основные предпосылки финансовых отчетов и приложений к ним.
Системы контроля создают с учетом соотношения затрат на их создание и отдачи от их функционирования. Наверное, может быть создана идеальная система контроля, но с очень большими затратами. Запасы могут совсем не сохранятся (в этом случае нет контроля и связанных с ним издержек); или могут быть установлены замки, ночное освещение, телемониторы, нанята вооруженная охрана. Все эти меры требуют затрат, так же как и осуществление постоянного надзора за работой персонала. В некоторой точке затраты на охрану запасов (или постоянный надзор) становятся более весомыми, чем те преимущества, которые дает система контроля. В силу этого создание системы контроля обычно не дает абсолютных гарантий того, что по всем направлениям внутренний контроль будет совершенным. Достаточной считается приемлемая степень надежности контроля, при которой согласно аудиторским стандартам затраты на систему контроля должны быть меньше тех преимуществ, которые даст ее функционирование.
Несмотря на очевидность определения “приемлемой степени надежности контроля”, аудитор должен быть очень внимателен при выявлении слабых сторон системы контроля. Менеджеры компании оценивают преимущества системы контроля и сравнивают их с затратами на ее функционирование. Менеджеры свободны в определении необходимого уровня контроля и соответствующей степени риска.
Поскольку подготовка плана аудиторской проверки сальдо счетов является основной целью, оценка системы внутреннего контроля должна быть отражена в рабочих документах аудитора. Документирование информации о структуре внутреннего контроля и уровне риска неэффективности контроля является обязательным требованием. Аудиторские рабочие документы могут включать в себя анкеты с опросами, относящимися к внутреннему контролю, описания, блок-схемы, характеристики процедур контроля и документы, где устанавливаются критерии соответствия, а также подтверждающие документы, полученные в результате аудиторской проверки процедур контроля.
До сих пор проверка системы контроля и основные аудиторские процедуры (проводимые в конце года) рассматривались раздельно. Однако, правильнее использовать семь аудиторских процедур и для проверки системы контроля, и в качестве основных процедур. Более правомерно говорить о двух направлениях каждой аудиторской процедуры (проверка системы контроля и основное направление), а не о проверке системы контроля и основных процедурах как отдельных элементах аудита. При помощи одной процедуры могут выполняться две задачи.
Например, выборка зарегистрированных продаж может быть использована с тем, чтобы:
1) сверить данные о продажах с подтверждающими накладными;
2) исчислить сумму продаж в стоимостном выражении.
Выполнение задачи дает возможность судить об эффективности контроля, а информация о сумме продаж позволяет выявить возможную ошибку в сальдо соответствующего счета. Другим примером является процедура подтверждения счетов к получению. Эта процедура относится к основным. Однако в случае обнаружения существенных или повторяющихся ошибок можно сделать заключение о плохой работе системы контроля, а не только об ошибках в суммах, указанных на соответствующих счетах. Большинство аудиторских процедур позволяет решить двойственную задачу и получить информацию, как о системе контроля, так и об утверждениях, сделанных в финансовой отчетности.
Можно выделить следующие этапы в процессе оценки внутреннего контроля:
1. Получение или подготовка предварительной программы проверки сальдо счетов и оценка уровня риска неэффективности контроля.
2. Определение ошибок и искажений информации, которые могут возникнуть в данных счетах.
3. Определение элементов структуры контроля (контрольная среда, система учета, процедуры контроля), при помощи которых можно предотвратить, выявить и исправить эти ошибки и искажения информации.
4. Оценка структуры контроля компании с характеристикой ее элементов (стадия оценки) и эффективности ее функционирования (стадия проверки).
5. Завершение оценки риска неэффективности контроля и при необходимости внесение изменений в программу проверки сальдо счетов.
Внутренний контроль на небольших предприятиях
Выше приведены характеристики структуры внутреннего контроля больших организаций. Для соответствующего разделения обязанностей по учету и контролю компания должна быть достаточно большой (10 или более человек соответствующего персонала). Работа по надзору также требует дополнительного персонала, как и большая “бумажная” работа. Согласно теории контроля желательно также, чтобы не было частых личных контактов, которые выходили бы за рамки функциональных обязанностей служащих, осуществляющих учет и контроль в компании. Ни одна из этих теоретических предпосылок не подходит для малого бизнеса.
Аудитор должен понимать, что теория внутреннего контроля применима к большим организациям. Когда речь идет о малом бизнесе, во внимание должен быть принят размер предприятия, число занятых, а также общий подход менеджеров и владельцев к организации контроля в компании.
Основным действующим лицом при осуществлении внутреннего контроля на небольшом предприятии является его владелец (он же в данном случае и менеджер). На таких предприятиях система контроля несложная. Владелец-менеджер способен реализовать все основные функции по санкционированию и регистрации операций, а также по обеспечению сохранности активов. Он также может обеспечить правильность обработки информации о хозяйственных операциях. Поэтому при оценке риска неэффективности контроля аудитор должен определить степень участия владельца-менеджера в осуществлении учета и контроля и оценить его компетентность. Значит, в данном случае такая качественная характеристика системы внутреннего контроля, как “компетентность персонала” выступает на первый план. Анкеты по внутреннему контролю, разрабатываемые для небольших предприятий специально, включают в себя больше вопросов их менеджерам и владельцам, чем аналогичные анкеты для крупных компаний.
По мере расширения небольшого предприятия, например с 4 чел. численность работающих увеличивается до 15 чел., ускорение процесса перехода к более формализованной системе внутреннего контроля, как правило, отстает от роста предприятия. У владельца-менеджера может оказаться слишком много функций по контролю, и он негласно передаст часть из них другим лицам. Поэтому в отношении предприятий среднего размера и владелец-менеджер, и аудитор должны быть особенно внимательны. В таком случае частичная специализация персонала может помочь совершить необходимый переход, и аудитор в качестве дополнительной услуги может внести по этому поводу предложения.
Отчеты о внутреннем контроле
SEC поощряет публикацию отчетов о внутреннем контроле и подтверждение данных отчетов аудиторским заключением. В настоящее время в отчетность многих компаний включается отчет менеджеров, содержащий краткий комментарий о системе внутреннего контроля. Кроме данного вида отчетов, прочая отчетность о внутреннем контроле обычно не публикуется.
Существуют различные виды отчетов о внутреннем контроле, для составления которых прибегают к изучению системы контроля аудиторском стандарте “Отчетность о внутреннем контроле” описаны следующие формы отчетности:
- публикуемый отчет о контроле на определенную дату;
- публикуемый отчет о контроле за определенный период;
- отчет ДСП, составленный на основании критериев, установленных контролирующими организациями;
- специальный отчет ДСП, основанный на применении ограниченного числа процедур по проверке системы контроля.
Отчет о внутреннем контроле, составляемый по результатам специальной проверки системы контроля, также изложен в стандарте. Нужно отметить, что последний параграф данного отчета должен содержать положительное заключение о системе внутреннего контроля.
При предоставлении отчетности контролирующей организацией может быть использована данная стандартная форма. В противном случае, должен быть составлен специальный отчет, в котором нужно указать, что он составлен на основании критериев, установленных определенной организацией, и предназначен для использования в рамках этой организации. Такие отчеты обычно требуются в связи с аудитом организаций, ведающих государственными субсидиями.
Существуют также другие специальные отчеты о системах контроля, обычно не охватывающие систему контроля в целом.
В таких отчетах должны:
а) наличествовать информация об объеме проведенной работы;
б) содержаться отказ от заключения по поводу системы контроля в целом;
в) отражаться сделанные аудитором выводы;
г) указываться исключительные пользователи отчета — менеджеры компании либо определенные третьи стороны.
Специальные отчеты организаций, оказывающих услуги
В ряде случаев операции клиента осуществляются другими компаниями, которые проводят и/или регистрируют операции от имени клиента. Примерами таких организаций могут быть компьютерные центры, трастовые отделы банков, страховые компании, ведущие операции по перестраховке, банки, занимающиеся ипотечными операциями, сберегательные и кредитные ассоциации и т.п.
Аудитору может понадобиться информация о системе внутреннего контроля организации, оказывающей услуги, поскольку это касается операций компании-клиента. Однако аудитор может не иметь доступа к этой информации.
В таких случаях все участвующие стороны — аудитор-пользователь и его компания клиент, аудитор, проверяющий компанию в сфере услуг, и эта компания — должны согласовывать свои действия с тем, чтобы аудитор-пользователь мог получить необходимую информацию о системе внутреннего контроля компании, оказывающей услуги.
Специальные отчеты о внутреннем контроле (более полно описанные в SAS 44) использует аудитор-пользователь при оценке системы внутреннего контроля компании-клиента. Такие отчеты содержат заключение о тех процедурах контроля в компании, оказывающей услуги, которые связаны с операциями компании-клиента. Обычно такие отчеты не публикуются, а используются самими аудиторами.
Заключение: отчеты о контроле
Аудиторские стандарты проведения ревизии и формирования отчетности о внутреннем контроле дают характеристику отчетности, которая может быть использована за пределами компании-клиента: публикуемая отчетность или отчетность ДСП. Этот вид отчетности не следует смешивать с изложением аудитором обстоятельств, о которых необходимо сообщить и которые представляют собой внутренний отчет, предназначенный исключительно для Совета директоров и аудиторского комитета компании.
Статью подготовил категорийный менеджер по работе с ключевыми клиентами Умберг Эмиль Дмитриевич. 
