"МСФО и МСА в кредитной организации", 2007, N 1

ПОДХОД К АУДИТУ, ОСНОВАННЫЙ НА ОЦЕНКЕ РИСКОВ:

НОВЫЙ ВЗГЛЯД НА ЗНАКОМЫЕ ВЕЩИ

Данная статья посвящается изменениям в Международных стандартах аудита (ISA), а именно: ISA 315, ISA 330 и ISA 402, определившим новую идеологию аудиторской проверки, центральной идеей которой стало понятие "аудиторский риск" (risk-based approach).

Развитие и усложнение бизнес-деятельности современных компаний привело к изменению требований к аудиту. Это особенно сильно ощущается в банковской сфере, традиционно, пожалуй, наиболее динамичной и автоматизированной. Количество транзакций, осуществляемых ежедневно современными банками, может исчисляться миллионами, ими предоставляется множество высокотехнологичных услуг, которые постоянно совершенствуются (например, оплатой мобильных телефонов, внедренной "Мастер-Банком" пару лет назад, уже никого не удивить), информационные потоки в банках становятся все сложнее и требуют все меньшего участия человека. Естественно, детально проверить такие объемы информации (либо осуществить хоть сколько-нибудь репрезентативные выборки) не представляется возможным, а значит, классический аудиторский подход, основанный на детальной проверке первичных документов, стал недостаточно эффективным.

Это потребовало кардинального пересмотра процесса аудита отчетности, стандартизации и усиления контроля над деятельностью аудитора. Решение было предложено Международной федерацией бухгалтеров (International Federation of Accountants, IFAC), основанной в 1977 г. Результатом стали Международные стандарты аудита (International Standards of Auditing, ISA), которые в данный момент инкорпорированы в методологии ведущих мировых аудиторских компаний.

На первом месте в современной идеологии аудита стоит понятие "аудиторский риск". Таким образом, подход, основанный на детальном тестировании, сменился подходом, основанным на оценке риска. IFAC использует следующее определение понятия "аудиторский риск": это риск того, что финансовая отчетность может содержать невыявленные существенные ошибки и (или) искажения после подтверждения ее достоверности внешними аудиторами, или признание, что отчетность содержит существенные искажения, когда на самом деле таких искажений в отчетности нет. При этом аудиторский риск распадается на три составляющие:

- присущий риск, то есть риск совершения ошибки из-за игнорирования контрольных процедур;

- риск средств контроля, то есть риск того, что контрольные процедуры не помогут заметить и исправить ошибку либо они отсутствуют в принципе;

- риск необнаружения, то есть риск того, что ошибка не будет замечена (и, соответственно, исправлена) аудитором.

Существует мнение, что присущие риски одинаковы для всех банков. В качестве примера присущего риска может выступать риск расчета процентов по депозитам с использованием неверной ставки процента. Этот риск, присущий всем банкам, работающим с депозитами физических лиц, в большинстве случаев снимается при наличии соответствующей контрольной процедуры. Такая процедура может выглядеть следующим образом: процентная ставка устанавливается автоматически на этапе регистрации вклада исходя из типа договора, и ее изменение происходит только при соблюдении принципа разделения обязанностей между сотрудником, который осуществляет операции по изменению процентных ставок, сотрудником, который контролирует эти операции, а также сотрудником, утверждающим изменения на соответствующем уровне. Возможным риском в таком случае может быть, например, присвоение ставки, не соответствующей типу депозита, вследствие возможности операциониста редактировать процентную ставку.

Таким образом, аудитор должен начинать работу с анализа рисков преимущественно в области информационных технологий (IT) и бизнес-процессов, но не ограничиваясь ими. Затем, сделав заключение о рисках, присущих бизнесу, и надежности системы внутреннего контроля, он должен оптимизировать аудиторские процедуры, чтобы проработать выявленные риски. Естественно, чем больше уверенность в эффективности системы внутреннего контроля, тем меньше потребуется работы в отношении прочих аудиторских процедур (и тем выше будет эффективность аудита). Детальное описание процесса аудита приводится в ISA.

До октября 2003 г. внутреннему контролю были посвящены 3 стандарта аудита - ISA 400 "Оценка рисков и системы внутреннего контроля", ISA 401 "Аудит в среде компьютерных информационных систем", ISA 402 "Учет при аудите особенностей субъектов, использующих обслуживающие организации". Также важен был стандарт 500 "Аудиторские доказательства", который описывал требования к качеству информации, на которую должен был опираться аудитор в своих заключениях, и определял, какую информацию может принять аудитор в качестве доказательства.

В 2003 г. с внедрением новых стандартов концепция кардинально изменилась. ISA 500 был переработан, а вместо ISA 400 и ISA 401 были разработаны ISA 315 "Понимание хозяйствующего субъекта и его окружения, а также оценка рисков существенных искажений" и ISA 330 "Процесс проведения аудита и оценка рисков". ISA 402 был сохранен в своей оригинальной форме.

Таким образом, классификация стандартов на "IT" - "не-IT" была заменена на "Анализ рисков" - "Методы действий". Такое деление представляется более логичным, ведь аудит IT-процессов методологически не сильно отличается от аудита бизнес-процессов: здесь также применяется тестирование контрольных процедур, анализ рисков, а также прочие аудиторские процедуры, такие как детальное тестирование и аналитика или их комбинация.

ISA 400 и ISA 401 применяются для аудита финансовой отчетности, если аудируемый период заканчивается до 31 декабря 2004 г. В противном случае аудитор должен применять новый вариант стандартов. В данной статье рассматриваются только ISA 315, ISA 330, ISA 402, так как на данный момент подавляющее большинство аудиторских проверок затрагивает периоды начиная с 2005 г.

ISA 315 "Понимание хозяйствующего субъекта и его

окружения, а также оценка рисков существенных искажений"

ISA 315 определяет процесс анализа системы внутреннего контроля и описывает, какие шаги должен предпринять аудитор в процессе анализа. Кроме того, стандарт устанавливает процедуру взаимодействия внутри команды аудиторов и формулирует требования к документации (не к уровню ее детализации а скорее к тому, что должно быть задокументировано). Важно, что он описывает процесс проведения аудита системы внутреннего контроля полностью, начиная с этапа анализа страновых или отраслевых рисков (в нашем случае рисков банковской системы) и до этапа подготовки документации о надежности системы внутреннего контроля аудируемой компании (банка или другого финансового учреждения). При этом определение действий, которые должен осуществить аудитор для того, чтобы снизить влияние обнаруженных рисков, вынесено в ISA 330.

ISA 315 не ограничивается какими-то общепринятыми типами рисков (вопреки сложившемуся мнению, что в процессе анализа рисков затрагиваются только операционные и информационные риски), предлагая рассматривать деятельность аудируемой компании по следующим областям:

- страновые риски;

- отраслевые риски;

- стратегические риски;

- операционные риски;

- информационные риски.

Важно отметить, что ISA 315 требует проведения анализа рисков не только на этапе обзора бизнес-процессов, то есть собственно того, как работает компания, но и на этапе анализа среды (политической ситуации в стране, изменений в законодательстве и пр.), в которой ей приходится работать. Например, для всех российских банков характерно сильное влияние со стороны регулятора, что требует от кредитных организаций постоянного контроля соответствия их деятельности меняющемуся законодательству. А при проведении аудита в 2007 г. стоит оценить готовность банков к возможным изменениям в процедуре расчета резервов (в настоящее время данные процедуры регулируются Положением ЦБ РФ от 26.03.2004 N 254-П "О порядке формирования кредитными организациями резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности" в ред. от 20.03.2006 N 1671-У).

Также важным моментом является обзор стратегических рисков и оценка их влияния на финансовую отчетность. Как правило, это касается адекватности оценки сумм вложений, отраженных в финансовой отчетности. Таким образом, ISA подчеркивает, что проведение аудита невозможно без понимания особенностей бизнеса аудируемой компании и специфики индустрии.

Естественно, обзор бизнес-процессов занимает большую часть времени при проведении анализа рисков. ISA не дает указаний по поводу уровня детализации при обзоре бизнес-процессов, однако де-факто ведущие аудиторские компании, проводя работу, оценивают только те аспекты деятельности аудируемой компании, которые могут оказать значительное влияние на подготовку достоверной финансовой отчетности.

Для каждого из идентифицированных рисков аудитор должен получить информацию о построении процедур внутреннего контроля, направленных на покрытие идентифицированного риска, и провести их тестирование.

Тестирование осуществляется в два этапа. Сначала аудитор должен оценить процессы построения и внедрения контрольной процедуры, затем протестировать, насколько они эффективны для достижения поставленной цели по подготовке достоверной финансовой отчетности. Фактически аудитор должен удостовериться в том, что контрольная процедура:

1) была построена (на момент проведения аудита);

2) была внедрена (на момент проведения аудита);

3) эффективно функционировала в течение всего аудируемого периода.

ISA 315 рассматривает только вопрос оценки построения и внедрения контрольных процедур. Подробное описание требований по тестированию операционной эффективности представлено в стандарте ISA 330.

Для оценки построения и внедрения контрольной процедуры очень важным является проведение интервью с руководителем соответствующего уровня, отвечающего за бизнес-процесс (операции), или с сотрудником, осуществляющим контрольную процедуру. Однако стандарт не разрешает, чтобы аудитор ограничивался только проведением интервью, требуя более основательного подтверждения построения и внедрения контрольной процедуры. В качестве такого подтверждения может выступать, например, наблюдение за тем, как на практике осуществляется та или иная контрольная процедура. Для тестирования операционной эффективности контрольных процедур применяются более сложные аудиторские подходы, требующие составления выборок (об этом ниже).

Также стоит отметить, что не все аудиторские компании применяют двухэтапное тестирование (построение и внедрение; операционная эффективность), сразу переходя к этапу тестирования операционной эффективности. Такой подход снижает эффективность аудита, так как риск бездействия контрольной процедуры часто можно зафиксировать еще на этапе оценки ее построения и внедрения, и тогда операционную эффективность можно не тестировать.

В ISA 315 неоднократно подчеркивается, что аудитор должен ограничиться выявлением только тех рисков, которые могут повлиять на достоверность финансовой отчетности. В этом кроется один из тонких нюансов анализа рисков - ведь определить, может ли риск повлиять на финансовую отчетность, а значит, и ответить на вопрос, предоставлять ли соответствующую информацию аудитору, подчас очень непросто. Таким образом, очень много зависит не только от аудитора, но и от аудируемой компании и от ее понимания подхода, основанного на рисках.

Что касается уровня детализации материалов, полученных аудитором от аудируемой компании, ISA не дает подробной информации на этот счет, однако в данном вопросе ведущие аудиторские компании мира руководствуются требованиями Аудиторского стандарта N 2 Совета по надзору за учетом в публичных компаниях США (PCAOB Auditing Standard N 2), которые формулируются так: в аудиторских документах информации должно быть достаточно, чтобы при необходимости в точности повторить процедуру тестирования. В большинстве случаев требования к детализации четко сформулированы в методологии аудиторской компании.

ISA 315 также содержит в себе раздел, посвященный обзору IT, которому до 2003 г. был посвящен ISA 401. Вероятно, это изменение было продиктовано тем, что методологически процесс оценки рисков IT ничем не отличается от анализа прочих рисков, влияющих на финансовую отчетность. По этой же причине части аудита, посвященной IT, стандарт не уделяет много внимания, ограничиваясь лишь информацией о том, какие аспекты IT должны быть проверены в ходе анализа.

Однако поскольку обзор IT содержит в себе сложности, присущие только этому разделу аудита, стоит уделять ему особое внимание. Самые большие трудности заключаются в понимании роли обзора IT как части аудита. Дело в том, что в случае с высокотехнологичной организацией (какими и являются почти все банки) бизнес-процессы сильно зависят от корректного функционирования IT. А если от этого зависят бизнес-процессы, значит, от этого зависит и достоверность соответствующих статей финансовой отчетности, основанных на определенных бизнес-процессах. Поэтому аудитор должен концентрировать свое внимание прежде всего на тех аспектах IT, которые влияют на бизнес аудируемой компании и на ее финансовую отчетность. В то же время необходимо помнить, что в большинстве своем IT-процессы влияют на все бизнес-процессы банка и локализовать эффект от какого-либо риска в IT в рамках одного бизнес-процесса подчас не представляется возможным.

В результате модификации идеологии аудита аудиторам все больше приходится заниматься работой, отличной от классического понимания (подтверждение достоверности отчетности); со временем их деятельность все больше включает в себя анализ рисков и аналитические исследования (процедуры) и все меньше - проверку первичных документов. В связи с этим ISA 315 предлагает привлечение в ходе аудита специалистов по риск-менеджменту и IT (по аналогии с тем, как к каждому аудиторскому проекту привлекаются налоговые специалисты). По сути дела это означает внутренний аутсорсинг функций, относящихся к риск-менеджменту, подразделению, которое специализируется на оказании такого рода услуг. Такое привлечение человеческих ресурсов из других департаментов позволяет значительно повысить качество и снизить время проведения аудита. На практике чаще всего на аутсорсинг отдается анализ IT и бизнес-процессов либо (что бывает реже) анализ данных.

Очень важно понимать, что специалисты по риск-менеджменту, являясь чаще всего сотрудниками консалтинговых подразделений, входят в команду аудиторов наравне с остальными ее членами и выполняют только работу, связанную с аудитом. Это означает, что, несмотря на то что в большинстве случаев по результатам аудита составляется отчет с рекомендациями, специалисты по риск-менеджменту не проводят полный анализ рисков в бизнес-процессах или IT-аудит по стандарту CobiT. Оказание таких услуг является отдельным проектом, который осуществляется вне рамок аудита, нацеленного только на подтверждение финансовой отчетности.

К сожалению, ISA 315 уделяет совсем немного внимания привлечению специалистов по риск-менеджменту, говоря, что "участие таких специалистов во встречах команды является необязательным", и акцентируя внимание на аутсорсинге анализа IT-процессов. Такая позиция представляется не совсем соответствующей сложившейся практике и, вероятно, в скором времени будет пересмотрена.

ISA 330 "Процесс проведения аудита и оценка рисков"

Этот стандарт содержит в основном информацию о процедурах, которые может использовать аудитор для покрытия рисков. Согласно ISA 330 такие процедуры делятся на два вида: тестирование операционной эффективности контрольных процедур и детальное тестирование. При этом на практике обычно поступают следующим образом. Аудитор проводит анализ рисков, определяет области бизнеса компании (банка или другого финансового учреждения), где он планирует полагаться на эффективные контрольные процедуры, затем применяет детальное тестирование, чтобы покрыть оставшиеся риски. Таким образом, тестирование контрольных процедур и детальное тестирование неравнозначны: в современном аудите превалирует методика работы с аудиторским риском, основанная на тестировании контрольных процедур.

В ISA 330 не содержится формального списка доступных действий для тестирования операционной эффективности контрольных процедур, однако говорится, что это, как правило, те же методы, которые применяются для оценки построения и внедрения контрольных процедур и, в дополнение, повторение аудитором соответствующих процедур вслед за сотрудниками аудируемой компании. Однако важно отметить, что большинство аудиторских компаний для тестирования операционной эффективности использует только повторение процедуры аудитором (то есть если, например, контрольная процедура заключается в сверке данных бэк-офиса с данными Расчетной палаты, аудитор повторяет эту процедуру определенное количество раз в соответствии с методологией, используя данные аудируемого периода).

В случае если контрольная процедура признается неэффективной, аудитор выбирает соответствующую процедуру для снятия риска. В основном это поиск новой контрольной процедуры, детальное тестирование или автоматизированная обработка данных. Важно, что в любом случае неэффективность контрольной процедуры приведет к запросу у аудируемой компании дополнительной информации, что снизит эффективность и увеличит время аудита, кроме того, неэффективность контрольной процедуры должна быть отражена в отчете руководству. Здесь важен и тот факт, что стандарты (ISA 315 и ISA 330) требуют отражения в отчете как минимум всех тех рисков, которые могут исказить финансовую отчетность.

В отношении процедур детального тестирования представляется целесообразным остановиться лишь на принципиальных моментах. Во-первых, для статей отчетности, которые признаются существенными в соответствии с МСА и МСФО, стандарт не допускает использования одного только тестирования контрольных процедур, требуя применения также и детального тестирования. Это требование внедрено в целях снижения вероятности недооценки аудиторского риска. Во-вторых, степень детального тестирования устанавливается аудитором в зависимости от степени риска: чем выше риск, тем больше объем детального тестирования. И в-третьих, стандарт допускает использование в качестве детального тестирования аналитических процедур, так как на практике аналитические процедуры являются очень действенным методом нахождения систематических ошибок в наборе однотипных транзакций. Причем тестированию достоверности также необходимо подвергать и базовые данные, на основании которых проводится тестирование аналитических процедур.

Важным моментом является использование результатов предыдущего аудита. В ISA 315 не содержится информация об использовании документации прошлых лет для оценки построения и внедрения контрольных процедур, что предполагает необходимость проведения анализа каждый раз заново, однако использование документации прошлых лет для тестирования операционной эффективности согласно ISA 330 требует либо приведения аудиторского доказательства, что контрольная процедура не изменилась, либо повторного тестирования процедуры. При этом аудитор обязан тестировать неменяющиеся контрольные процедуры как минимум раз в три года и в рамках текущей аудиторской проверки обязан тестировать хотя бы один процесс, в случае если аудируемая компания использует большое количество контрольных процедур.

Стоит упомянуть о таком основополагающем понятии, как "контрольная среда", фигурирующем в самом начале ISA 330. Формально уровень эффективности контрольной среды влияет на объем тестирования и на то, насколько полно аудитор "доверяет" контрольным процедурам. Это понятие является относительно новым для России, и формированием эффективной контрольной среды занялись не так много банков, однако количество таких банков растет и, более того, требования к контрольной среде фигурируют в новых редакциях нормативных документов Банка России. Однако в этой статье не представляется возможным останавливаться на данном вопросе более подробно, так как он требует отдельного обстоятельного рассмотрения.

ISA 402 "Учет при аудите особенностей субъектов,

использующих обслуживающие организации"

ISA 402 ориентирован исключительно на аудиторов и посвящен довольно узкому вопросу - особенностям проверки тех компаний, которые используют услуги сторонней обслуживающей организации. Стандарт содержит указания о получении информации о специфике таких услуг, условиях контракта, компетентности обслуживающей организации и т.д.

Обслуживающая организация - сторонняя организация, предоставляющая услуги компании в ходе подготовки финансовой отчетности, например по выполнению операций и ведению соответствующих учетных записей, а также по обработке соответствующих данных.

Аудитор, выполняющий проверку аудируемой компании (банка или другого финансового учреждения), возможно, столкнется с проблемой следующего характера: риски, реализующиеся в бизнес-процессах сторонней организации, могут оказать влияние на достоверность аудируемой финансовой отчетности. А значит, часть аудиторских рисков (как правило, присущих и средств контроля) будет реализовываться в сторонней организации, и их придется принимать во внимание.

ISA 402 описывает также последовательность шагов, которые необходимо предпринять аудитору, чтобы получить достаточную уверенность в том, что работа сторонней организации не содержит в себе аудиторских рисков. При этом важно отметить, что в стандарте сформулированы лишь основные идеи, предлагается план действий. Детальная же разработка плана аудита предоставляется аудитору, принимая во внимание тот факт, что каждый случай передачи процессов на аутсорсинг индивидуален.

Самый распространенный пример - аутсорсинг процессингового центра. В этом случае возможно наличие следующих рисков: транзакции, полученные из процессингового центра, могут иметь неверные суммы, информация о части транзакций может быть не передана сторонней организацией частично или полностью, часть транзакций может быть учтена на неверных счетах и т.п. Возможен и такой пример, как предоставление услуг информационных компьютерных систем. Нередки случаи, когда контроль доступа сотрудников в информационные системы обеспечивается обслуживающей компанией, в то время как среди сотрудников аудируемой компании вообще нет администраторов информационных систем.

Не все услуги, предоставляемые компании сторонней организацией, являются существенными в рамках проводимого аудита. Например, обеспечение питания для сотрудников компании или оказание услуг по уборке помещений не влияет на достоверность финансовой отчетности аудируемой компании, тогда как передача на аутсорсинг функций казначейства или проведение инвестиционных операций сторонней обслуживающей организации может оказывать существенное влияние на аудируемую отчетность.

Таким образом, сначала аудитор должен оценить масштаб (существенность) влияния деятельности обслуживающей организации на отчетность и систему внутреннего контроля аудируемой компании и разработать эффективный подход к аудиту.

Важно отметить, что в соответствии с ISA 402 аудитор должен оценивать риски, возникающие у сторонней организации, предоставляющей соответствующие услуги аудируемой компании, даже если часть процесса, реализуемая у компании, не содержит в себе компонентов аудиторского риска (исключая контрольные процедуры, встроенные в процессы, передаваемые на аутсорсинг, - эта тема рассматривается ниже). То есть при обнаружении аудитором допущенных обслуживающей организацией ошибок, не влияющих на достоверность аудируемой финансовой отчетности в рамках анализа влияния рисков существенных процессов, например, методологического характера, аудитор будет обязан информировать аудируемую компанию об их наличии.

Затем работа должна выполняться в два этапа.

1. Аудитор пытается определить возможность возникновения риска в процессе, передаваемом на аутсорсинг, используя доступную ему информацию. Такой информацией могут быть отчеты перед банком или публикуемая отчетность, отчет, составленный на основе стандарта аудита 70 "Обслуживающие организации" (SAS 70) Положений о стандартах аудита Американского института присяжных бухгалтеров (AICPA), договоры между организациями, информация о дополнительных контрольных процедурах в банке и т.п.

2. Если полученной информации недостаточно, аудитор может воспользоваться помощью аудитора организации, предоставляющей услуги по аутсорсингу, запросив соответствующий отчет. Получив отчет, аудитор банка должен оценить его полезность и достаточность для принятия решения о вероятности возникновения риска.

В стандарте не говорится прямо о тестировании контрольных процедур по операциям, переданным на аутсорсинг (предполагается, что это само собой разумеющееся действие и исследование сторонней организации должно начинаться только после того, как становится очевидной недостаточность контрольных процедур внутри аудируемого банка). В то же время обнаружения и тестирования таких контрольных процедур может оказаться достаточно для покрытия части или всех аудиторских рисков, реализующихся в сторонней организации.

В отношении указанных фактов следует отметить, что стандарт запрещает ссылаться в аудиторских отчетах на отчет аудитора соответствующей сторонней организации.

Второй этап содержит в себе две принципиальные трудности. Во-первых, может потребоваться предоставление дополнительной информации, которую обслуживающая организация не захочет предоставлять. Это особенно актуально, например, в случае аутсорсинга процессингового центра одним банком у другого банка, так как в этом случае, по сути дела, банк будет предоставлять информацию о себе конкурентам. Во-вторых, возможна разница в методологиях, например, в объемах выборки для тестирования контрольных процедур (эти объемы не устанавливаются ISA, а в большинстве случаев определяются подходами аудиторских компаний). В этом случае отчет аудитора, предоставляющего информацию о сторонней организации, формально (с точки зрения методологии) будет содержать необоснованное заключение.

П.А.Волков

Старший консультант

отдел управления рисками

Делойт СНГ

Подписано в печать

07.02.2007

————