"Аудит и налогообложение", N 1, 2005

АНАЛИЗ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ

Для чего аудитор изучает систему

внутреннего контроля

Аудитору следует изучать систему внутреннего контроля:

1. Для целей планирования аудита.

Как указывается в международных стандартах аудита, аудитор изучает систему внутреннего контроля субъекта, для того чтобы спланировать аудиторскую проверку и определить природу, степень и время проведения необходимых процедур. В конечном счете такое изучение дает возможность оценить риск искажения в финансовой отчетности. При этом аудитор должен больше уделять внимания средствам контроля, которые имеют отношение к финансовой информации, уместной при обосновании утверждений по финансовой отчетности. Средства контроля, которые не влияют на финансовую информацию, не являются существенными для аудитора, если только они косвенно не затрагивают финансовую отчетность.

2. Для понимания системы внутреннего контроля.

При планировании аудита аудитор изучает все пять компонентов системы внутреннего контроля субъекта, для того чтобы:

- определить тип возможных существенных искажений;

- рассмотреть факторы, приводящие к появлению существенных искажений;

- разработать тесты системы контроля, если это возможно, и определить формы тестирования по существу.

Последовательность действий аудитора

Аудитор должен изучить и оценить систему внутреннего контроля клиента. Этот процесс состоит из следующих стадий:

1. Понимание и документирование:

- Получить понимание системы внутреннего контроля.

Как часть планирования, аудитор должен осуществить процедуры таким образом, чтобы понять схему работы средств контроля и определить, работает ли эта схема фактически:

1) средство контроля, которое субъект начал использовать в определенное время, фактически используется;

2) во время планирования аудитор не должен оценивать текущую эффективность средств контроля за определенный период времени. Он может:

- выбрать выполнение некоторых тестов средств контроля в процессе получения понимания системы внутреннего контроля, если сочтет это необходимым;

- получить некоторые доказательства о текущей эффективности средств контроля, если выполненные процедуры с целью получить понимание системы внутреннего контроля так же дают достаточные доказательства, чтобы выполнять роль процедур тестирования средств контроля.

- Задокументировать это понимание при помощи блок-схем, анкет, описаний и (или) древ-решений.

2. Оценка контрольного риска (тестирование средств контроля).

Необходимо оценить риск контроля и задокументировать эту оценку. Любая оценка риска контроля ниже максимальной должна быть основана на доказательствах, полученных в результате тестирования средств контроля (рассмотрено далее).

3. Тестирование средств контроля (дополнительное тестирование средств контроля).

Необходимо выполнить дополнительное тестирование средств контроля, если далее аудитор предполагает снизить риск контроля до желаемого уровня. В основном дополнительное тестирование проводится в случае, если:

- есть необходимость получить дополнительные доказательства;

- если аудитор сочтет это эффективным. Аудитор оценивает, оправдают ли усилия, требуемые для проведения дополнительного тестирования средств контроля, ожидаемое сокращение тестирования по существу.

4. Оценка результатов и документирование.

Необходимо переоценить риск контроля и задокументировать эту оценку.

5. Тестирование по существу.

Необходимо проверить и пересмотреть (если необходимо) планируемый уровень тестирования по существу, которое должно быть выполнено.

Понимание системы внутреннего контроля

1. Степень анализа, проводимого аудитором.

Аудитор должен получить информацию модели соответствующих средств контроля (в отношении каждого из пяти компонентов) и определить, что используемые средства контроля в действительности применяются субъектом.

Факторы, которые влияют на степень анализа системы внутреннего контроля аудитором, включают:

- размер и производственную сложность субъекта;

- предыдущий опыт работы с субъектом, а также степень понимания сферы деятельности;

- характер отдельных средств контроля (включая использование информационных технологий) и процесс документирования этих средств контроля, осуществляемый субъектом;

- природу и степень любых изменений в системе и видах деятельности;

- суждения по поводу неотъемлемого риска и существенности.

2. Необходимые процедуры.

При получении понимания системы внутреннего контроля аудитору следует:

- опираться на собственный опыт работы с субъектом;

- запрашивать необходимую информацию у руководства, контролеров и персонала;

- исследовать документы и записи;

- изучать характер и виды деятельности;

- задокументировать полученное понимание.

3. Понимание модели системы внутреннего контроля.

Анализ аудитором текущих средств внутреннего контроля производится путем исследования данных из нескольких источников, как прошлых, так и настоящих. Аудитор должен проанализировать рабочие документы по предыдущей аудиторской проверке, запросить дополнительную информацию у персонала клиента и внутренних аудиторов, изучить руководства по процедурам и пронаблюдать деятельность компании. Аудитор должен принимать во внимание, что структура средств внутреннего контроля предыдущих периодов может не соответствовать требованиям текущего периода.

4. Документирование полученного понимания.

Аудитор должен задокументировать свое понимание средств внутреннего контроля. Это может быть сделано путем подготовки блок-схем, заполненных анкет, подготовленных описаний и древ-решений. Такие формы документирования доказывают, что достаточное понимание и оценка системы внутреннего контроля были фактически осуществлены.

Блок-схемы.

Блок-схемы представляют собой символические диаграммы, отражающие последовательный процесс системы управления, обработки и документирования. Это может оказать существенную помощь для понимания и оценки системы внутреннего контроля.

Блок-схемы могут использоваться аудитором двумя путями:

- во-первых, они составляются, чтобы оценить систему внутреннего контроля;

- во-вторых, составленные в электронном виде, используемые как средства документирования при программировании, весьма полезны аудитору для оценки системы внутреннего контроля в автоматизированной учетной среде.

Блок-схемы, используемые для оценки системы.

Соответствующая схема показывает происхождение каждого документа в системе, его последующую обработку и конечное месторасположение. Помимо этого схемы полезны для аудитора при оценке системы внутреннего контроля, так как они документируют все шаги в процессе и используемой практике. Использование стандартных символов в схемах облегчает их понимание.

Электронные блок-схемы, используемые в качестве документации.

Электронные схемы первоначально создаются для документирования логики и существующих потоков электронной информации. Аудитор может использовать такие схемы для оценки как работы программы, так и средств внутреннего контроля, относящихся к функции обработки данных в общем.

Для подготовки блок-схем следует:

- составить схему документооборота и информационных потоков;

- начинать с верхней части страницы и двигаться сверху вниз слева направо;

- использовать описание для лучшего понимания пользователем;

- избегать разделяющих линий, если это возможно. Использовать ссылки на другие страницы и стрелки, по необходимости;

- прочитать заново схему с точки зрения читателя и устранить неопределенности.

Анкеты по системе внутреннего контроля.

Анкета обычно содержит вопросы, которые предполагают ответы "да" или "нет". Отрицательные ответы направлены на заострение внимания на возможные недостатки системы внутреннего контроля. По отрицательным ответам необходимо написать объяснение. Анкеты также имеют дополнительное пространство, для того чтобы опрашиваемый сотрудник мог поместить туда свои пояснения.

Вопросы должны быть ориентированы на конкретные средства внутреннего контроля, отвечающие за определенный элемент, счет или процесс. Они должны относиться к каждой процедуре уместного средства.

Описания.

Описания являются письменной версией блок-схемы. Здесь аудитор описывает то, как он представляет себе систему внутреннего контроля. Изложение фактов производится в последовательности происхождения событий по определенной операции.

Блок-схемы подходят для документирования более сложных структур контроля, а письменное изложение фактов - для менее сложных.

Пример. Описание системы по обработке продаж.

При поступлении заказа на покупку оформляется накладная в двух экземплярах. Заказы новых покупателей отправляются в кредитный отдел на рассмотрение, постоянные покупатели автоматически получают товарный кредит. Отдел готовой продукции заполняет накладную и направляет ее в отдел доставки, где составляется товарно-транспортная накладная, копия которой передается в бухгалтерию, где составляется счет-фактура. Копия счета-фактуры передается в отдел учета дебиторов, где он учитывается в регистре дебиторов.

Таблица или древа решений.

Древо решений является графической иллюстрацией, которая показывает логику операции или процесса. Здесь в основном используются вопросы, на которые должны следовать ответы "да" или "нет", которые направляют пользователя к следующему уместному вопросу. Таблицы являются графической иллюстрацией, которая показывает логическую связь компонентов системы в табличной форме. При помощи этих двух методов аудитор документирует понимание процесса.

Оценка риска контроля

1. Определение.

Оценка риска контроля - процесс определения того, насколько эффективны средства внутреннего контроля при предупреждении или выявлении существенных искажений в финансовой отчетности.

2. Взаимосвязь между средствами контроля и утверждениями.

Средства контроля могут иметь немалый эффект по многим утверждениям или могут влиять только на одно или несколько утверждений.

Средства контроля могут прямо либо косвенно относиться к утверждениям. Напрямую связанные средства контроля более эффективны (и поэтому аудитор может оценить риск контроля ниже максимального).

3. Стратегия аудита утверждений.

Аудитор может принять одну или несколько различных стратегий аудита утверждений:

1. Оценка риска контроля как максимальная (или немного ниже); аудитор планирует применить в основном подход проверки по существу. В этом случае средства контроля не тестируются, так как аудитор не намерен на них полагаться.

Оценка риска контроля на максимальном уровне говорит о том, что процедура контроля:

- неуместна либо неэффективна;

- соотношение затраты - выгоды мешает проведению тестирования;

- неэффективна для тестирования средства контроля;

- слабо разработанное средство контроля.

2. Оценка риска контроля ниже максимального означает, что аудитор намерен полагаться на подобные средства внутреннего контроля.

Оценка риска ниже максимального уровня затрагивает:

- идентификацию определенных уместных средств контроля, которые, скорее всего, обнаружат и устранят существенные искажения;

- проведение тестирования данных средств контроля;

- заключение по оцененному уровню риска контроля.

4. Влияние стратегии.

Какая бы стратегия ни была выбрана, она влияет или определяет:

- степень понимания системы внутреннего контроля, которую аудитор должен достичь;

- природу, степень, время для выполнения процедур для получения такого понимания;

- документирование выводов относительно оцененного уровня риска контроля;

- природу, время и степень проведения процедур по существу, которые должны быть осуществлены.

5. Основные признаки надежной системы внутреннего контроля.

О надежности системы внутреннего контроля свидетельствуют:

1) нумерация документов.

Нумерация документов позволяет убедиться в том, что:

- все операции отражены в учете (полнота);

- все операции отражены в учете только один раз (существование);

2) разрешение на проведение операции.

Разрешение должно осуществляться до передачи ресурсов (существование);

3) независимые проверки.

Независимые проверки включают в себя проверку работы, выполненной другими лицами (оценка):

- сверку банковских выписок;

- сравнение субсчетов с синтетическими счетами главной книги;

- сравнение данных проведенной инвентаризации с данными бухгалтерского учета;

4) документирование.

Документирование предоставляет доказательства по совершенным операциям, а также является основой для определения ответственности за исполнение и отражение операций (существование и оценка);

5) распределение обязанностей.

Распределение обязанностей дает уверенность в том, что отдельные лица не выполняют несовместимых с их работой служебных обязанностей. Служебные обязанности считаются несовместимыми с точки зрения контроля, когда, например, определенное лицо имеет возможность украсть актив и в то же время скрыть эту кражу (существование и происхождение).

Служебные обязанности должны быть распределены таким образом, чтобы работа одного лица одновременно контролировалась работой другого лица. В целом наделение различных работников обязанностями по проведению операций, их отражение на счетах бухгалтерского учета, ведение регистров по учету соответствующих активов служат для достижения указанной цели (существование и происхождение);

6) анализ и проверка работы.

Анализ и проверка похожи на аудиторские аналитические процедуры. Они также могут включать в себя нефинансовые данные. Например, отчеты по продажам, отчеты по дебиторской задолженности и т.д. могут быть также использованы для анализа работы и нахождения ошибок. Такие проверки могут включать в себя анализ фактических показателей и сравнение их с ожидаемыми показателями (прогнозными или предполагаемыми) или сравнение фактических показателей с показателями за предыдущие периоды, что предполагает использование нефинансовой информации. Например, руководство спортивной команды может использовать данные по посещению соревнований для оценки правильности информации о продаже билетов;

7) физические средства контроля.

Физические средства контроля предполагают применение охранных устройств и средств, а также ограничение доступа к запрещенным участкам с использованием определенных средств и компьютерных программ.

Ю.Ильина

Аспирант

кафедры бухгалтерского учета

и аудита МЭСИ

Подписано в печать

24.12.2004

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——