Процес незалежного аудиту крізь призму оцінки ризику

Размещено на http://allbest.ru

Донецький національний університет імені Василя Стуса

Процес незалежного аудиту крізь призму оцінки ризику

Гевлич Лариса Леонідівна

Кандидат економічних наук, доцент



Наразі аудит відкритої фінансової інформації суспільно значущих суб'єктів господарювання є основною передумовою бізнес-активності, адже надає зовнішнім користувачам звітності достатню гарантію достовірності представлених показників, а отже, й ефективності прийнятих на їхній основі управлінських рішень.

Ключовим поняттям аудиту є оцінювання ризиків як підґрунтя аудиторської думки. Виходячи з природи аудиторської перевірки, як основна концепція оцінки фінансової інформації й прийом перевірки, методика оцінки ризиків, як і інтерпретація її результатів можуть залежати від закономірностей економічних процесів, що спостерігаються на конкретному етапі розвитку суспільства.

Тож періодичне дослідження проблематики оцінки ризиків є доцільним як з точки зору розуміння сутності сучасного процесу аудиту, так і з погляду на його оптимізацію в існуючих умовах розвитку суб'єктів господарювання певної галузі економіки, регіону чи в рамках викликів макросередовища.

Дослідження питань сутності та методики оцінки ризиків аудиторської діяльності та використання її результатів в аудиторському процесі в Україні проходило кілька стадій:

1) протягом другого десятиріччя із започаткування незалежного вітчизняного аудиту (з 2000 р. до 2010 р.) на основі узагальнених досвіду діяльності державних контрольних органів, Міжнародних стандартів аудиту, надання впевненості та етики та практики аудиту в розвинених країнах світу досліджувалася концепція аудиторського ризику та апробувалася методика його застосування в рамках вітчизняної аудиторської перевірки (роботи таких авторів, як Н. Яцишин, В. Вакаров, І.Вигівська, О. Пономаренко [1-4]). Паралельно професійною спільнотою та державними органами коректувався та актуалізувався Закон України «Про аудиторську діяльність» [5];

2) у період 2010-2018 років продовжилася наукова дискусія щодо сутності аудиторського ризику та його ролі у формуванні аудиторської думки - на основі переглянутих Міжнародних стандартів контролю якості, аудиту, огляду, іншого надання впевненості та супутніх послуг та узагальненого досвіду застосування їх положень у вітчизняній аудиторській практиці (роботи таких авторів, як О. Шерстюк,Л. Голуб, Р. Кулик, Ю. Новак[6-8]). Результатом такої суспільної дискусії стала нова редакція профільного закону - «Про аудит фінансової звітності та аудиторську діяльність» [9];

3) з 2019 року дотепер ідентифікуються проблеми аудиторського процесу, зокрема, з погляду оцінки аудиторського ризику, та досліджуються напрями оптимізації вітчизняної аудиторської діяльності, що знаходить відображення у роботах таких авторів, як М. Михалик, М. Чубай,С. Cеліщев, В. Чубай, О. Грицеляк [10-12].

Разом з тим зазначеними авторами оцінка ризику розглядалася виключно як окрема аудиторська процедура, що застосовується з метою збору аудиторських доказів для обґрунтування думки аудитора. На нашу думку, весь процес аудиторської перевірки доцільно розглядати як процес системної оцінки ризиків, що змінює підхід до організації та проведення аудиту та пропонує нові напрями його удосконалення.

Метою роботи є розгляд процесу аудиту фінансової звітності вітчизняного суб'єкта господарювання крізь призму оцінки ризиків суттєвого викривлення з точки зору ідентифікації напрямів дослідження та методики оцінки. Процес аудиту як цілісний цикл послідовних дій аудитора щодо збору аудиторських доказів, їхньої узагальненої оцінки як основи аудиторської думки та формалізації такої думки може бути структурований у сенсі оцінки ризиків за такими етапами:

1 етап - оцінка ризику прийняття завдання;

2 етап - оцінка ризику системи внутрішнього контролю при плануванні перевірки;

3 етап - оцінка ефективності аудиторських процедур під час збору аудиторських доказів;

4 етап - загальна оцінка аудиторського ризику при формуванні аудиторської думки.

Розглянемо їх детально. Відповідно до МСА 315 «Ідентифікація та оцінка ризиків суттєвих викривлень через розуміння суб'єкта господарювання і його середовища»[13] перед прийняттям завдання аудитор має розглянути питання ризикованості укладання контракту з точки зору можливості надання кваліфікованої послуги в умовах ресурсних обмежень, а також прийнятності такого контракту з погляду на потенціал конфліктів у сенсі професійної відповідальності. Таке оцінювання ризиків вимагає розуміння як діяльності суб'єкта господарювання-потенційного клієнта, так і його середовища.

Напрями дослідження аудитором бізнесу клієнта при цьому доцільно розподілити за різновидами середовища:

1) внутрішнє середовище (суб'єкт господарювання):

а) характеристика потенційного клієнта щодо особливостей діяльності, структури власності та корпоративного управління, видів наявних та майбутніх інвестицій, структури і способу фінансування;

б) бізнес-стратегії потенційного клієнта з погляду на пов'язані з ними бізнес-ризики, які можуть призвести до ризиків суттєвого викривлення;

в) система внутрішнього контролю потенційного клієнта:

- середовище контролю як створена на суб'єкті господарювання та підтримувана управлінським персоналом культура чесності й етичної поведінки;

- процес оцінки ризиків управлінцями суб'єкта господарювання як ідентифікація бізнес-ризиків з точки зору можливого їхнього впливу на показники фінансової звітності, оцінка значущості ризиків, ймовірності їх виникнення, реагування на ризики;

- інформаційна система суб'єкта господарювання як бізнес-процеси створення фінансової звітності, зокрема щодо класифікації операцій; ідентифікація процедур ІТ-систем для ініціалізації, запису, обробки, коригування операцій, відображення у звітності; здійснення облікових записів; виправлення інформації; реєстрація подій та умов, які не є операціями, проте є значними для фінансової звітності; алгоритмізація процесу складання фінансової звітності, включно зі значними обліковими оцінками; визначення заходів контролю за записами, у тому числі для реєстрації разових, незвичайних операцій або коригувань;

- заходи контролю суб'єкта господарювання як верифікація інформації звітності, зокрема щодо їхньої ефективності для досягнення мети;

- моніторинг заходів контролю управлінським персоналом суб'єкта господарювання як наявність системи моніторингу та оцінка її ефективності;

г) облікова політика потенційного клієнта, включно з причинами внесення змін, з погляду на прийнятність для діяльності суб'єкта господарювання та відповідність застосовній концептуальній основі фінансового звітування;

2) мікросередовище потенційного клієнта як доречні галузеві і регуляторні чинники, проблеми та виклики галузі чи регіону функціонування потенційного клієнта.

Саме на даному етапі аудитор оцінює ризик дотримання принципів Міжнародного кодексу етики професійного бухгалтера [14] при прийнятті завдання, передусім, - принципу незалежності.

У рамках головного алгоритму поведінки аудитора при оцінюванні ризику: «оцінка ризику - відповідь на ризики - підготовка звіту» кінцевим результатом такої попередньої оцінки ризику співробітництва може бути прийняття завдання або відмова від нього.

Міжнародні стандарти аудиту пропонують напрями дослідження спроможності аудитора виконати завдання через відповідь на такі питання [ 15]: контрольний аудит фінансовий інформація

1) чи існують вимоги внутрішньо-фірмового контролю якості в аудиторській фірмі: політики і процедури для забезпечення обґрунтованої впевненості, що вимоги МСА будуть виконані, а ризики аудиту є прийнятними;

2) яка робота в рамках завдання має бути зроблена щодо визначення характеру та масштабу перевірки, ідентифікації стандартів бухгалтерського обліку та напрямів використання фінансової звітності та аудиторського висновку, встановлення граничного терміну завершення аудиту;

3) чи має фірма потрібні компетентність, ресурси та час, зокрема, чи наявний персоналу з необхідною компетенцією, чи він обізнаний щодо галузі, чи є у персоналу досвід роботи з регуляторними актами, чи існує можливість ефективно отримати необхідні навички і знання, наскільки доступні експерти, чи наявний кваліфікований персонал для контролю якості завдання, чи спроможний персонал виконати завдання протягом граничного терміну;

4) чи є аудиторська фірма незалежною, зокрема чи дотримує група із завдання аудиту вимог етики та незалежності, чи вжиті заходи для усунення/зменшення до прийнятного рівня загроз незалежності, якщо останні були виявлені, чи вжиті заходи зі скасування завдання при неможливості дотримання незалежності;

5) чи прийнятні пов'язані ризики, у тому числі чи можливе спілкування з попереднім аудитором щодо існування причин для неприйняття завдання або обговорення з третіми особами щодо існування причин для неприйняття завдання, чи існує у потенційного клієнта культура корпоративних цінностей, яким є рівень компетентності вищого керівництва та персоналу клієнта, чи наявні складні/трудомісткі питання для розгляду, чи були зміни за період перевірки, яким є рівень уваги суспільства до клієнта, чи спроможний клієнт сплатити гонорар за перевірку, чи збирається він надавати допомогу аудиторській фірмі в отриманні інформації та проведенні процедур;

6) чи можна довіряти клієнту, зокрема чи існують обмеження масштабу/процедур перевірки, причини сумніватися у чесності власників, управлінського/вищого управлінського персоналу клієнта, ознаки неправильного розуміння клієнтом облікових регламентів, якою є репутація пов'язаних сторін.

В умовах запланованого співробітництва аудитор переходить до другого етапу - аналізу ризику системи внутрішнього контролю при плануванні перевірки, що вимагає передусім оцінити ризик дотримання передумов аудиту за такими напрямами:

1) прийнятність концептуальної основи фінансового звітування клієнта шляхом розуміння характеру діяльності суб'єкта господарювання, мети надання і характеру самої фінансової звітності, наявності нормативних вимог щодо концептуальної основи;

2) визнання управлінським персоналом клієнта відповідальності за підготовку фінансової звітності відповідно до концептуальної основи,систему внутрішнього контролю клієнта, необхідну для гарантування відсутності у фінансовій звітності суттєвих викривлень, надання аудитору доступу до доречної інформації, працівників та управлінського персоналу клієнта з метою збору додаткових даних.

Міжнародні стандарти фінансової звітності рекомендують використовувати такі запитання при формуванні оцінки ризику:

1. Чи виконуються передумови аудиту?

2. Чи були виконані вимоги Положення з контролю якості аудиторської фірми щодо прийняття завдання?

3. Чи існують зміни в умовах або вимогах до завдання з аудиту?

4. Чи виявлені проблеми незалежності/конфлікт інтересів?

5. Чи існують зміни в умовах/вимогах завдання з аудиту?

6. Чи виявлені обставини, що можуть поставити під сумнів чесність власників/вищого управлінського персоналу клієнта?

7. Чи існують області, в яких потрібні спеціальні експертні знання?

8. Чи має аудиторська фірма час, компетенцію та ресурси, щоб виконати завдання відповідно до міжнародних та внутрішньо-фірмових стандартів аудиту?

9. Чи виявлені проблемні питання у попередніх аудиторських перевірках даного клієнта?

10. Чи з'явилися нові обставини, які підвищують ризик завдання з аудиту?

11. Чи зможе клієнт оплатити аудиторські послуги? [16].

Первинна оцінка аудитором системи внутрішнього контролю суб'єкта господарювання має враховувати повноту охоплення як необхідність перевірки облікових записів та заходів контролю клієнта за весь звітний період, а не за окремі періоди часу;особливості періодів та операцій;можливість різної оцінки окремих складових системи контролю; збереження професійного скептицизму, навіть якщо за підсумками попередньої оцінки аудитор вважає усю систему контролю клієнта та окремі його заходи контролю як надійні; ознаки ефективності контрольної системи клієнта, наприклад, такі: операції зафіксовані повно, достовірно, у правильному періоді, згідно з нормативними вимогами, в необхідних деталях, що мають істотне значення для прийняття управлінських рішень, а можливість викривлення інформації обмежена.

Аудитор, який за підсумками процедури первинної оцінки прийняв рішення про довіру системі внутрішнього контролю клієнта, зобов'язаний під час перевірки здійснювати процедури підтвердження достовірності такої оцінки, а якщо в ході перевірки виявиться, що поточна оцінка аудитора виявилася нижче первинної, скоригувати порядок здійснення аудиторських процедур та/або передбачити додаткові аудиторські процедури, щоб підвищити достовірність своїх висновків за результатами аудиту. Слід зазначити, що всі етапи оцінки системи внутрішнього контролю клієнта мають бути задокументовані із зазначенням аргументів, якими керувався аудитор при оцінці всієї системи або окремих заходів контролю.

Саме на основі результатів первинної оцінки ризиків системи внутрішнього контролю клієнта аудитор розробляє загальну стратегію перевірки, що формалізує такі ключові питання:

1) характеристики завдання: концептуальну основа фінансового звітування, додаткові звіти, необхідні для розгляду, потребу у спеціальних знаннях/досвіді для розгляду специфічних чи високоризикових ділянок, можливість використання доказів, отриманих у попередніх аудиторських перевірках, вплив інформаційних технологій на аудиторські процедури, наявність персоналу;

2) цілі звітності: графік подання звітності суб'єкта господарювання, розклад зустрічей з управлінським/найвищим управлінським персоналом для обговорення характеру, часу, масштабу аудиторської роботи, повідомлень, звіту аудитора тощо, графік зустрічей/обміну інформацією між членами аудиторської групи для обговорення чинників ризику суб'єкта господарювання, характеру, часу, масштабу робіт, огляду виконаної роботи, повідомлень інформації третіми сторонами;

3) суттєві чинники: величину загальної, спеціальної, робочої суттєвості, попередню оцінку ризику на рівні фінансової звітності в її впливі на аудит, попередню ідентифікацію суттєвих класів операцій, залишків на рахунках, показників звітності, облікових ділянок з високим ризиком суттєвого викривлення, формат нагадувань членам аудиторської групи про необхідність застосування професійного скептицизму при оцінці аудиторських доказів, доречні результати попередніх аудиторських перевірок, включаючи виявлені недоліки контролю та заходи, вжиті управлінським персоналом клієнта для їх вирішення, докази ставлення управлінського персоналу до внутрішнього контролю;

4) значні зміни та події: бізнес-події, що впливають на суб'єкт господарювання, в тому числі зміни в ІТ та бізнес-процесах, ключовому керівництві, придбанні та продажу активів, значні зміни у галузі, у правовому середовищі тощо, значні зміни у концептуальній основі фінансової звітності, наприклад, стандартах обліку;

5) характер, час та обсяг необхідних ресурсів: призначення роботи членам аудиторської групи, бюджет завдання з урахуванням ділянок з високими ризиками суттєвого викривлення [15].

Безумовною необхідністю є застосування на етапі планування аудиторської перевірки концепції прийнятного аудиторського ризику та оцінки таких його складових:

1. Ризику суттєвого викривлення як ризику наявності значущого викривлення у фінансовій звітності суб'єкта господарювання до початку аудиту:

а) властивого ризику як можливості існування суттєвого викривлення класу операції, залишку на рахунку або показника звітності незалежно від існування відповідних заходів контролю суб'єкта господарювання;

6) ризику контролю як ризику того, що потенційне суттєве викривлення класу операцій, залишку на рахунку або показника звітності не буде попередженим або своєчасно виявленим та виправленим за допомогою внутрішнього контролю суб'єкта господарювання.

2. Ризику невиявлення як ризику того, що процедури, виконані аудитором для зменшення аудиторського ризику до прийнятно низького рівня, не дадуть змоги виявити наявне суттєве викривлення класу операцій, залишку на рахунку або показника звітності суб'єкта господарювання:

а) ризику вибірки як ризику того, що зроблений на основі вибірки аудиторський висновок відрізнятиметься від висновку, який можна було б отримати, застосувавши такі ж аудиторські процедури до всієї генеральної сукупності;

б) ризику завдання з надання впевненості як ризику того, що аудитор надасть невідповідний висновок щодо класу операцій, залишку на рахунку або показника звітності суб'єкта господарювання.

Процедури оцінки ризиків (які, як вже зазначалося, починаються на стадії підготовки до аудиту, повторюються протягом перевірки за результатами отриманих доказів та остаточно формуються при винесенні думки щодо якості інформації, що перевірялася аудитором) зазвичай містять подання запитів до управлінського/вищого управлінського персоналу, працівників суб'єкта господарювання, третіх осіб у пошуку аудиторських доказів,спостереження, інспектування,аналітичні процедури як пошук взаємозв'язків між фінансовою та нефінансовою інформацією. Конкретний набір аудиторських процедур оцінки ризиків визначається особливостями завдання з надання впевненості, особливостями суб'єкта господарювання, фінансова звітність якого аудіюється, та наявними досвідом та кваліфікацією аудитора-керівника групи із завдання.

Дії аудитора в межах оцінки ризиків спрямовуються на визначення значущості викривлень безпосередньо або в сукупності з іншими викривленнями як спроможності впливати на прийняття управлінських рішень, базованих на такій інформації. Аудитор бере на себе відповідальність представляти інтереси найбільш поширеної групи зовнішніх користувачів фінансової звітності суб'єкта господарювання у такій оцінці впливу на прийняття рішень.

Питання, на які має відповісти аудитор при оцінці значущості ризиків, представлені, зокрема, такими:

1. Чи є виявлений ризик ризиком шахрайства, а не помилки?

2. Чи пов'язаний виявлений ризик із нещодавніми значними економічними, обліковими та іншими змінами і тому потребує особливої уваги?

3. Наскільки складними є бізнес-процеси суб'єкта господарювання?

4. Чи має виявлений ризик відношення до значних операцій з пов'язаними сторонами?

5. Яким є рівень суб'єктивності при оцінці фінансової інформації стосовно виявленого ризику?

6. Чи включає виявлений ризик значні операції, що є незвичними для суб'єкта господарювання?

МСА 315 допомагає в ідентифікації подібних обставин, надаючи приклади умов та подій, які можуть вказувати на ризики суттєвого викривлення, зокрема:

1) пов'язані із загрозами середовища: діяльність в економічно нестабільних регіонах, обмеження доступності капіталу та кредиту, зміни в галузі, в якій працює суб'єкт господарювання, зміни в ІТ середовищі, подання запитів щодо діяльності чи фінансових результатів суб'єкта господарювання регуляторними або урядовими органами, застосування нових стандартів бухгалтерського обліку;

2) пов'язані з особливостями діяльності суб'єкта господарювання: діяльність, чутлива до нестабільних ринків, діяльність, яка значною мірою підлягає заходам із комплексного регулювання, існування складних альянсів і спільних підприємств, використання позабалансових фінансів, підприємств спеціального призначення та інших складних фінансових угод, значні операції з пов'язаними сторонами;

3) пов'язані із системою внутрішнього контролю суб'єкта господарювання: недоліки у внутрішньому контролі, зокрема ті, на які не реагує управлінський персонал, недостатня кількість персоналу з відповідними навиками ведення обліку та складання фінансової звітності, невідповідність між ІТ стратегією суб'єкта господарювання та його бізнес - стратегіями, попередні викривлення, історія помилок або суттєва кількість коригувань на кінець періоду, значна кількість незвичайних або несистематичних операцій, включно з операціями між компаніями та операціями зі значними прибутками на кінець періоду, операції, які реєструються на основі намірів управлінського персоналу, зокрема, рефінансування боргу, активи для продажу, класифікація ринкових цінних паперів;

4) пов'язані із рішеннями суб'єкта господарювання: припущення щодо безперервності діяльності та питання ліквідності, включно із втратою значних клієнтів зміни в логістичному ланцюзі, розробка або пропонування нових продуктів чи послуг або започаткування нових видів діяльності, розширення у нові регіони, зміни суб'єкта господарювання, зокрема, великі придбання, реорганізації, інші незвичайні події, ймовірний продаж суб'єкта господарювання або сегментів бізнесу, встановлення значних нових ІТ систем, пов'язаних із фінансовою звітністю, зміни у складі основного персоналу, включно із виходом основних керівників, облікові оцінки, які містять складні процеси, події або операції, які містять значну невизначеність оцінки, включно з обліковими оцінками, позови та умовні зобов'язання, зокрема, гарантії продажу, фінансові гарантії, відновлення навколишнього середовища [13].

Важливу роль для ідентифікації суттєвих ризиків грає виявлення їхніх джерел, в якості яких можуть виступати такі:

1) цілі і стратегії бізнесу: невідповідні, нереальні або надмірно ризиковані цілі і стратегії, нові продукти, послуги, напрямки бізнесу, невідповідності між ІТ та бізнес-стратегіями, дії у відповідь на швидке зростання/зменшення обсягів продажів, які можуть перевантажити систему внутрішнього контролю та персонал суб'єкта господарювання, використання складних механізмів фінансування, корпоративна реструктуризація;

2) зовнішні чинники: стан економіки та зміни в державному регулюванні, зниження попиту на продукцію або послуги підприємства, складне регулювання діяльності, облікових процесів та формування звітності, зміни у галузі, неможливість отримати необхідні ресурси, навмисний саботаж продукції або послуг суб'єкта господарювання, обмежена доступність капіталу та кредитних коштів;

3) характер суб'єкта господарювання: слабка корпоративна

культура та управління, некомпетентний персонал на ключових посадах, зміни в ключовому персоналі, у тому числі топ-менеджменті, складна операційна діяльність, організаційна структура, продукція, недоліки продукції/послуг, які можуть призвести до зобов'язань та ризику втрати репутації, неспроможність визнати необхідність змін (навички або технологія), недоліки в системі внутрішнього контролю, погані відносини із банками, проблеми безперервності діяльності та ліквідності, в тому числі втрата значних клієнтів, встановлення нових систем, пов'язаних з фінансовою звітністю;

4) показники діяльності: відсутність набору показників, які використовуються управлінським персоналом для оцінки діяльності підприємства і досягнення цілей, відсутність використання оцінки показників для покращення операційної діяльності або вжиття коригувальних дій;

5) облікові політики: непослідовне та/або невідповідне застосування облікової політики;

6) внутрішній контроль: неналежний нагляд управлінського персоналу за поточною діяльністю, слабкі/відсутні процедури контролю за діяльністю на рівні суб'єкта господарювання, слабкі/відсутні процедури контролю над операціями, поганий захист активів.

Слід пам'ятати що хоча аудитор не бере на себе відповідальність ідентифікації шахрайства як причини викривлення інформації суб'єкта господарювання, він змушений визначати фактори шахрайства у межах викривлення як такі, що спричиняють більші ризики у порівнянні із факторами помилки. У цьому аспекті аудитор визначає три групи умов, що створюють середовище для шахрайства - тиск, можливість та виправдання:

1 група - стимули і тиск може бути охарактеризована такими обставинами: фінансовій стабільності або прибутковості суб'єкта господарювання загрожують економічні, галузеві, регуляторні, операційні умови; існує надмірний тиск на управлінський персонал для виконання вимог та/або очікувань третіх осіб, власників, вищого управлінського персоналу (наприклад, щодо зростання доходів, прибутків, рентабельності, зниження витрат, дотримання обтяжливих екологічних норм тощо); особисті фінансові зобов'язання створюють тиск на управлінський персонал та/або працівників суб'єкта господарювання, які мають доступ до готівки та/або інших активів, з метою привласнення останніх;існують несприятливі відносини між суб'єктом господарювання і працівниками, які мають доступ до готівки або інших активів, наприклад, очікуване звільнення працівника, недавні або очікувані зміни в оплаті праці або системі надбавок, оплата праці не відповідає очікуванням; особиста фінансова ситуація управлінського та/або вищого управлінського персоналу може загрожувати фінансовим результатам суб'єкта господарювання;

2 група - ставлення і виправдання може бути представлена такими ситуаціями:

а) виправдання: управлінський персонал зацікавлений у використанні неналежних засобів коректування звітності-мінімізації прибутків для оптимізації оподаткування, збільшення доходів для укладення угоди з банком, збільшення ціни продажу цілісного майнового комплексу для досягнення цілей, встановлених третіми особами; поведінка працівників вказує на невдоволеність суб'єктом господарювання; присутній низький моральний дух серед вищого управлінського персоналу; управлінський персонал терпимо ставиться до крадіжок, не вживає дисциплінарних заходів до працівників, помічених у розкраданні майна, не втілює у життя цінності, принципи, етичні стандарти суб'єкта господарювання, нехтує необхідністю моніторингу та зниження ризиків, пов'язаних з розкраданням активів;

б) ставлення: управлінський персонал має історію порушення норм і правил або обвинувачення у шахрайстві, демонструє зміни в способі життя, які можуть вказувати на незаконне привласнення активів суб'єкта господарювання, порушує існуючі процедури контролю, не вживає відповідних заходів щодо виправлення відомих недоліків у системі внутрішнього контролю, робить регулярні спроби виправдати неналежний бухгалтерський облік на основі суттєвості; вищий управлінський персонал демонструє поганий етичний приклад, зокрема, завищує рахунки витрат, здійснює дрібні крадіжки; існують суперечки між акціонерами суб'єкта господарювання; існують напружені відносини між вищим управлінським персоналом та чинним/попереднім аудитором;

3 група - можливості представляє підкатегорії активів, вразливих до незаконного привласнення, неналежного внутрішнього контролю та особливо вразливих ділянок:

а) активи, вразливі до незаконного привласнення: великі суми готівки на руках, легко конвертовані активи (облігації на пред'явника, діаманти, комп'ютерні чипи); невеликі за розміром товарно-матеріальні цінності, що мають високу вартість та користуються високим попитом на ринку; майно і обладнання невеликі за розміром та не мають ідентифікованої власності;

б) неналежний внутрішній контроль: недостатній контроль з боку вищого управлінського персоналу над процесами управління для виявлення та відповіді на ризики шахрайства; неналежний розподіл обов'язків або неналежний контроль, неадекватний нагляд над витратами вищого керівництва; неналежний нагляд управлінського персоналу над працівниками, що мають матеріальну відповідальність, неналежний попередній відбір кандидатів на посади з матеріальною відповідальністю; неналежний облік активів, недостатнє санкціонування та затвердження операцій, недостатній фізичний захист коштів, інвестицій, запасів, майна і устаткування; відсутність повної і своєчасної перевірки активів, своєчасного і належного документування операцій (наприклад, поверненої продукції); недостатнє розуміння управлінським персоналом ІТ, що дає можливість ІТ-співробітникам здійснити розкрадання; недостатній контроль над доступом до автоматизованого обліку, в тому числі процедури контролю та перевірка журналів подій комп'ютерних систем;

в) особливо вразливі ділянки: облікові оцінки управлінського персоналу; ділянки визнання витрат і доходів; операції з пов'язаними сторонами.

Хоча аудитор не має конкретної мети чітко ідентифікувати ризики шахрайства, його дії у відповідь на виявлені викривлення щодо терміновості повідомлення вищому керівництву клієнта визначаються саме впевненістю щодо схожості конкретного виявленого викривлення на помилку або шахрайство. Загальний алгоритм дій аудитора в ході ідентифікації ризиків шахрайства може бути представлений покроково, де:

1 крок - збір релевантної інформації як відправна точка судження про шахрайство. Саме на цій інформації аудитор буде засновувати перелік додаткових процедур, які повинні бути виконані для підтвердження чи спростування підозри у шахрайстві.

2 крок - розробка, виконання та документування намічених аудиторських процедур. Останні мають бути виконані таким чином, щоб визначити джерела ризиків суттєвого викривлення внаслідок шахрайства і отримати відповідне розуміння обґрунтованості підозр у шахрайстві на основі аудиторських доказів. Зазвичай аудитор отримує колективну думку стосовно даного предмета дослідження шляхом обговорення у групі із завдання та спрямовує запити управлінському/вищому управлінському персоналу щодо виявлених відхилень. Безумовною вимогою є документування усіх етапів: проведення процедур, отриманих доказів, обговорення, запитів, відповідей на них, зроблених проміжних та остаточних висновків.

3 крок - встановлення взаємозв'язків інформації, виходячи з логіки як господарських операцій клієнта, так і алгоритмів її обробки в обліковій системі. Доцільно для кожного встановленого чинника ризику визначити ефект - конкретні викривлення класу операцій, залишку рахунку або показника фінансової звітності, який міг би виникнути як результативний.

Наочне представлення зроблених висновків у вигляді карти виявлених ризиків з суттєвими ділянками фінансової звітності може пришвидшити процес подальшої перевірки за рахунок розуміння взаємозв'язків членами аудиторської групи. Крім переліку виявлених чинників ризику бізнесу та шахрайства у такій карті мають бути присутньою якісна оцінка (високий, середній, низький ступінь ризику) щодо ймовірності настання виявленого ризику викривлення та суттєвості для фінансової звітності ризику у разі, якщо він викривлений.

Слід пам'ятати, що безумовне дотримання принципу відображення у думці тільки суттєвих викривлень стосується представлення інформації в аудиторському висновку, призначеному для оприлюднення разом із фінансовою звітністю, а у випадку підозри викривлення внаслідок шахрайства розмір загальної, спеціальної та робочої суттєвостей має бути понижений у порівнянні із суттєвістю щодо викривлення внаслідок помилки.

Застосування інструментів SWOT-аналізу дозволяє побудувати діаграму взаємозв'язку ймовірності настанні ризику та його впливу (величини), виділивши такі ділянки: низький вплив низька ймовірність, низький вплив висока ймовірність, високий вплив низька ймовірність та високий вплив висока ймовірність. Ризики, які потрапили в останню область (високий вплив висока ймовірність) вимагатимуть заходів з боку управлінського/вищого управлінського персоналу щодо зниження ймовірності та пом'якшення впливу. Саме ці ідентифіковані ризики мають бути визначені як суттєві, такі, що потребують особливої уваги під час аудиту.

На третьому етапі оцінки ризиків - оцінка ефективності аудиторських процедур під час збору аудиторських доказів, слід пам'ятати, що міжнародні стандарти аудиту дають узагальнені, а не детальні перелік та трактування аудиторських процедур. Так, МСА 330 «Дії аудитора у відповідь на оцінені ризики» [17] розглядає:

1) процедури по суті як аудиторські процедури, що призначені для виявлення суттєвих викривлень на рівні тверджень та містять тести деталей (класів операцій, залишків рахунків та показників фінансової звітності) та аналітичні процедури по суті;

2) тести заходів контролю як аудиторські процедури, що розробляються з метою оцінки ефективності функціонування заходів контролю для запобігання або виявлення та виправлення суттєвих викривлень на рівні тверджень.

Подальші аудиторські процедури отримання доказів у міжнародних регламентах аудиторської діяльності представлені спостереженням як наглядом за процесом чи процедурою, яку виконують інші особи, наприклад, за виконанням заходів внутрішнього контролю; інспектуванням як вивченням записів/документів (внутрішніх, зовнішніх, у паперовій, електронній або іншій формі) або фізичним оглядом активу; запитом як пошуком фінансової та нефінансової інформації від обізнаних осіб як у самого суб'єкта господарювання, так і за його межами; повторним виконанням як незалежним виконанням аудитором процедур або заходів внутрішнього контролю, які вже виконувалися як частина заходів внутрішнього контролю суб'єкта господарювання; зовнішнім підтвердженням як доказами, отриманими у вигляді прямої письмової відповіді від третьої сторони у паперовій, електронній, іншій формах; повторним обчисленням як перевіркою арифметичної правильності розрахунків у документах чи записах; аналітичними процедурами як оцінкою фінансової інформації через аналіз правдоподібного взаємозв'язку між фінансовими та нефінансовими даними, зокрема, дослідженням ідентифікованих коливань чи взаємозв'язків, що суперечать іншій доречній інформації або значно відрізняються від очікуваних показників.

Конкретних рекомендацій щодо застосування тої чи іншої процедури стосовно облікових об'єктів, напрямів перевірки, галузевих суб'єктів господарювання тощо міжнародні стандарти аудиту не дають.

Більш того, методичне узагальнення доцільності застосування тої чи іншої процедури/їх сполучення, отримане на основі практичного досвіду, є ключовим фактором успіху суб'єктів аудиторської діяльності в усьому світі. У вітчизняній практиці аудиторські процедури деталізуються чи укрупнюються, виконуються у взаємозв'язку та почасти мають інші назви, наприклад, інвентаризація, зустрічна, взаємна, логічна, формальна, арифметична перевірка первинних документів, облікових регістрів, форм звітності.

Деякі дослідники називають процедурою перевірки також аудиторську вибірку, натомість остання є лише методом проведення аудиторських процедур. МСА 530 «Аудиторська вибірка» [18] констатує, що вибірка дає змогу аудитору отримати й оцінити аудиторські докази щодо характеристик окремих елементів, відібраних з генеральної сукупності, при чому вибір способу формування самої вибірки, її розміру, прийняття рішення щодо необхідності попередньої стратифікації генеральної сукупності, оцінка допустимого викривлення та визначення інших показників, пов'язаних із вибірковим дослідженням, як і загальна оцінка ризику вибірки є відповідальністю аудитора, результатом прийнятого ним судження і не регламентуються міжнародними стандартами аудиту.

Алгоритм дій аудитора при роботі з вибіркою може бути представлений такими кроками:

1 крок. Організація вибірки, в рамках якої визначаються мета аудиторської процедури та характеристики генеральної сукупності, з якої буде здійснюватися вибірка, розмір вибірки, достатньої для зменшення ризику вибірки до прийнятно низького рівня, а також відбираються елементи вибірки у такий спосіб, щоб кожен мав шанс бути відібраним.

2 крок. Виконання аудиторських процедур, яке передбачає проведення аудиторських процедур щодо кожного відібраного елемента та розгляд дій у кожному випадку, коли це зробити неможливо: виконати таку процедуру щодо іншого елемента вибірки або вважати елемент таким, що містить відхилення від установлених заходів контролю (у разі тестів контролю) або викривлення (у разі тесту деталей).

3 крок. Визначення причин відхилень та викривлень: розгляд характеру та причини будь-яких ідентифікованих відхилень і викривлень, оцінка їх можливого впливу на мету аудиторської процедури й інші сфери аудиту,отримання високого рівня впевненості у випадку, коли аудитор вважає, що викривлення або відхилення, знайдені у вибірці, є аномалією.

4 крок. Прогнозна оцінка викривлень як проєктування викривлень, виявлених у вибірці, на генеральну сукупність.

5 крок. Оцінювання результатів аудиторської вибірки, в ході якого здійснюється оцінка результатів вибірки і визначення того, чи надало використання аудиторської вибірки достатні підстави для висновків щодо генеральної сукупності, яка пройшла тестування.

Як і у випадку застосування аналітичних процедур, робота з аудиторською вибіркою має ризики того, що результати не надають достатніх підстав для обґрунтованих висновків, не узгоджуються з іншою відповідною інформацією чи значно відрізняються від очікуваних величин. У такому разі аудитор має звернутися із запитом до управлінського/вищого управлінського персоналу щодо вивчення ідентифікованого викривлення та можливості існування інших викривлень, здійснити необхідні коригування або модифікувати характер, час та обсяг подальших аудиторських процедур для якнайкращого отримання потрібної впевненості.

Як вже зазначалося, незважаючи на те, що аудитор не має професійного обов'язку розпізнавати, наступили суттєві викривлення внаслідок помилки чи шахрайства, його дії та перелік аудиторських процедур можуть відрізнятися у випадку підозри у шахрайстві.

Спроможність аудитора виявити шахрайство залежить від таких чинників, як досвідченість порушника, періодичність та обсяг маніпулювань, ступінь змови, відносний розмір окремих сум, якими маніпулюють, а також від посадового рівня причетних осіб.

Звичайний порядок дій аудитора, якщо ідентифіковано шахрайство або існує обґрунтована підозра, що шахрайство може бути, представлений такими операціями:

1) своєчасно повідомити управлінський персонал відповідного рівня;

2) своєчасно повідомити тих, кого наділено найвищими повноваженнями, якщо ідентифіковане або підозрюється шахрайство за участі управлінського персоналу, працівників, які відіграють значні ролі у внутрішньому контролі,інших працівників, якщо шахрайство призводить до суттєвого викривлення фінансової звітності;

3) визначити, чи несе аудитор відповідальність за надання звіту про випадок/підозру шахрайства стороні поза межами суб'єкта господарювання.

Якщо через викривлення внаслідок шахрайства/підозри у шахрайстві аудитор виявляє обставини, які ставлять під сумнів його спроможність продовжувати аудиторську перевірку, він повинен:

1) визначити свою професійну та юридичну відповідальність, зокрема чи існує вимога надання звіту регуляторним органам;

2) розглянути, чи є прийнятною відмова від завдання згідно із законодавчими або нормативними актами;

3) у разі прийняття рішення про відмову обговорити з управлінським персоналом відповідного рівня та з тими, кого наділено найвищими повноваженнями, свою відмову від завдання та її причини; визначити, чи існує професійна або юридична вимога надавати звіт особам, які призначили його на аудит, або регуляторним органам.

Аудиторські процедури з виявлення шахрайства можуть бути представлені такими прийомами:

1) тестування відповідності проводок Головної книги та коригувань, зроблених при складанні фінансової звітності, зокрема, запити працівникам, залученим до складання звітності, щодо неналежної або незвичайної обробки проводок та коригувань, відбір записів та коригувань, зроблених на кінець звітного періоду, розгляд необхідності тестування проводок та коригувань протягом періоду;

2) огляд облікових оцінок на наявність упередженості та її можливого впливу на ризик суттєвого викривлення внаслідок шахрайства, у тому числі оцінка того, чи свідчать судження та рішення, зроблені управлінським персоналом при визначенні облікових оцінок, про можливу упередженість, яка може бути ризиком суттєвого викривлення внаслідок шахрайства, ретроспективний огляд суджень і припущень управлінського персоналу, пов'язаних із суттєвими обліковими оцінками, відображеними у фінансовій звітності попереднього року;

3) оцінка незвичайних операцій з погляду можливості їх виконання з метою шахрайства, що вимагає оцінити, чи свідчать аналітичні процедури, які виконуються наприкінці аудиту, про попередньо нерозпізнаний ризик суттєвого викривлення внаслідок шахрайства;

4) оцінка ідентифікованих викривлень: оцінити, чи свідчить таке викривлення про шахрайство, оцінити наслідки викривлення стосовно інших аспектів аудиту, зокрема надійності запевнень управлінського персоналу, розглянути, чи свідчать обставини про можливу змову за участю працівників, управлінського персоналу або третіх сторін.

Міжнародні стандарти аудиту пропонують також приклади можливих аудиторських дій у відповідь на оцінені ризики суттєвого викривлення внаслідок шахрайства [15]:

1) розгляд на рівні тверджень: відвідування підрозділів або виконання тестів без попередження; вимога проведення інвентаризації на кінець періоду для мінімізації ризику маніпулювання залишками в період між датою інвентаризації та кінцем періоду; зміна аудиторського підходу в поточному році; детальний перегляд коригувань на кінець періоду, вивчення незвичайних за характером або сумою записів; вивчення можливої наявності пов'язаних сторін, які підтверджують операції; виконання аналітичних процедур по суті з використанням деталізованих даних; опитування персоналу, який бере участь у видах діяльності, де було ідентифіковано ризик суттєвого викривлення внаслідок шахрайства; порівняння відібраних рахунків балансу на початок періоду з рахунками попередньо перевіреної фінансової звітності; застосування комп'ютеризованих методів; тестування цілісності записів та операцій, виконаних за допомогою комп'ютера; пошук додаткових аудиторських даних із джерел поза межами суб'єкта господарювання;

2) розгляд на рівні фінансової звітності:

а) щодо визнання доходів: виконання аналітичних процедур по суті; використання деталізованих даних, комп'ютерних методів аудиту; запити підтвердження клієнтами певних умов угод; запити персоналу відділу збуту та маркетингу, штатним юристам щодо продажів або відвантаження товарів; спостереження за товарами, які відвантажують; тестування заходів контролю для визначення, чи надають вони впевненість, що такі операції відбулися та належно записані;

б) щодо кількості запасів:перевірка інвентаризаційних відомостей для ідентифікації підрозділів або статей, які потребують особливої уваги; спостереження інвентаризації у певних підрозділах без попередження або у всіх підрозділах в один і той самий день; проведення підрахунку залишків на кінець звітного періоду для мінімізації ризику неналежного маніпулювання протягом періоду; залучення експертів; порівняння кількості за поточний період із попередніми періодами за класом, категорією запасів, місцем розташування; застосування комп'ютерних методів для тестування даних інвентаризації;

в) щодо оцінок управлінського персоналу: залучення експерта для розробки незалежної оцінки та порівняння з оцінками управлінського персоналу; надання запитів іншим особам для підтвердження спроможності управлінського персоналу здійснювати оцінки;

3) розгляд незаконного привласнення активів: підрахунок грошових коштів або цінних паперів на кінець року; безпосереднє підтвердження клієнтами операцій з ними; аналіз нестачі запасів за місцем розташування або типом товарів; порівняння основних показників запасів із галузевою нормою; комп'ютерний пошук платіжних відомостей для ідентифікації повторення адрес, ідентифікаційних номерів працівників тощо; аналіз роздрібних знижок і повернень товарів на наявність незвичайних схем або незвичайних тенденцій; огляд правильності великих або незвичайних витрат; огляд дозволів на позики управлінському персоналу та пов'язаним сторонам; огляд авансових звітів, поданих старшим управлінським персоналом.

Як вже вказувалося, відповіддю на ризики аудиту має бути організація заходів, що зменшать ризики до прийнятної величини, або, у критичних випадках, відмова від подальшого проведення перевірки/надання послуг клієнтові. Разом з тим універсальною відповіддю на ризики в ході аудиту є дотримання професійного скептицизму, в якості складових якого можуть виступати такі елементи:

1) визнання, що управлінський персонал завжди може скоїти помилку та/або шахрайство, що вимагає від членів аудиторської групи ігнорування минулого досвіду аудитора стосовно чесності і порядності працівників клієнта;

2) критичне ставлення, що вимагає від членів аудиторської групи критичної оцінки вагомості отриманих аудиторських доказів;

3) пильність як відповідь на питання: чи не ставлять аудиторські докази під сумнів надійність документів, відповідей на запити, іншої інформації, отриманої від управлінського/вищого управлінського персоналу клієнта;

4) обережність, що вимагає від членів аудиторської групи уникати ігнорування незвичайних обставин, а також надмірного узагальнення висновківна основі аудиторських спостережень, використання хибних припущень у визначенні характеру, часу, масштабу процедур, оцінки їх результатів, прийняття менш переконливих аудиторських доказів/заяв від управлінського/вищого управлінського персоналу як заміни достатнім аудиторським доказам [15].

У сенсі відповідей на суттєві ризики викривлення дії аудитора та управлінського персоналу різняться, що видно на таких прикладах:

Приклад 1. Якщо ризик представлений можливим порушенням умов фінансування суб'єкта господарювання фінансовою установою, діями управлінського персоналу можуть бути моніторинг підготовлених прогнозів грошових потоків, а також перегляд обсягів та умов кредитування на основі результатів моніторингу. Аудитор же має проаналізувати плани клієнта щодо зростання стосовно реалістичності прогнозованих грошових потоків, здійснити порівняльний аналіз фактичних грошових потоків, впевнитися в обгрунтованості оцінки клієнтом своєї дебіторської заборгованості та майна, що може виступити заставою під кредити, промоніторити заявки клієнта на рефінансування, подані фінансовій установі, разом із відповідями/листуванням з банком. Доцільним буде також формування запитів банку для отримання зовнішнього підтвердження щодо величини заборгованості за позичками. На ризик маніпулювання фінансовою звітністю для уникнення порушення зобов'язань за позиками перед банком відповіді управлінського персоналу немає, адже клієнт не розглядає це у якості ризику. У той же час аудитор має ретельно перевірити припущення, що використовувалися при прогнозуванні грошових потоків, достовірність інформації, на основі якої складено форму № 3 «Звіт про рух грошових коштів», коректність застосованої клієнтом основи оцінки дебіторської заборгованості та майна (потенційної застави), здійснити тестування показника доходів від реалізації з причини існування тиску для підтримування та зростання рівнів продажів.

Приклад 2. В якості дій у відповідь на ризики шахрайства через викривлення доходів суб'єкта господарювання управлінський персонал може промоніторити найбільш вартісні контракти, а аудитор - проінспектувати суцільним чином основні контракти, вибірково - інші (невеликі) контракти та обговорити з менеджером з продажів ситуацію, що склалася, для отримання впевненості щодо відображення доходів у звітному періоді клієнта у повній та реальній сумі.

Приклад 3. Якщо значний ризик представлений вірогідністю несанкціонованих проводок (викривленням інформації синтетичних облікових регістрів), вищий управлінський персонал має внести зміни у середовище внутрішнього контролю, запровадивши такі політики, які будуть вимагати затвердження відповідних бухгалтерських проводок посадовими особами, а аудитор змушений буде ідентифікувати і проаналізувати усі значні проводки не тільки фінансового періоду, а і календарного місяця до та після кінця періоду.

Приклад 4. Якщо значний ризик представлений збільшенням операцій з пов'язаними сторонами, персонал має забезпечити моніторинг доказів, що вказані операції проводяться на звичайних умовах, зокрема, щодо реалізації товарів, робіт і послуг, а аудитор шляхом застосування спостереження і опитування - впевнитися, що працівники суб'єкта господарювання правильно інтерпретують такі політики, а також здійснити пошук доказів того, що умови продажу, характер операції і дати трансфертів з пов'язаними сторонами є відповідними.

Беззаперечним є факт, що відповідь аудитора на виявлені ризики залежить від його оцінки ефективності системи внутрішнього контролю суб'єкта господарювання. В ефективному середовищі контролю аудитор більше довіряє аудиторським доказам, згенерованим всередині суб'єкта господарювання, тому загальна його відповідь на суттєві ризики викривлення може включати окремі аудиторські процедури, виконані не на кінець періоду, а на проміжну дату. У неефективному середовищі контролю аудитор змушений набрати у групу із завдання більш кваліфікований і досвідчений персонал, модифікувати характер, час та/або обсяг запланованих аудиторських процедур,більшу кількість аудиторських процедур виконати не на проміжну дату, а на кінець періоду, запланувати отримання більш широких аудиторських доказів від процедур по суті.

Оцінені ризики суттєвого викривлення розглядаються аудитором не тільки на рівні окремих тверджень, а й в цілому, - на рівні фінансової звітності. У першому випадку мова йде про аудиторські процедури по суті (тести деталей та аналітичні процедури по суті), а також тести контролю. У випадку рівня фінансової звітності мова йде про загальні дії: вже вказані професійний скептицизм, рівень кваліфікації та досвіду членів аудиторської групи, а також постійний нагляд над членами групи, характер, масштаб, час, непередбачуваність запланованих аудиторських процедур. Сукупність таких дій дозволять аудитору знизити ризик невиявлення суттєвих викривлень до прийнятно низького рівню.

Остаточна оцінка ефективності системи внутрішнього контролю та в цілому, ризиків суттєвого викривлення формується аудитором вже при формалізації аудиторської думки у звіті. Остаточний алгоритм здійснення оцінки системи внутрішнього контролю клієнта можна представити покроково:

Крок 1. Ідентифікація ризику

Аудитор має визначити бізнес-ризики та ризики шахрайства,які при відсутності певних процедур контролю можуть призвести до суттєвого викривлення. Також оцінюється вірогідність поширеності ризиків та їхнього впливу: усеохоплюючий або обмежений.

Крок 2. Оцінка структури контролю - чи здатні процедури контролю ефективно запобігти або виявити та виправити ризики суттєвого викривлення.

Спочатку аудитор має ідентифікувати формалізацію конкретних бізнес-процесів, запроваджених управлінським/вищим управлінським персоналом клієнта для зниження ризиків суттєвого викривлення через запити інформації у персоналу. Далі аудитор має застосувати аналітичні процедури для оцінки ступеню зменшення ризиків через запровадження процедур контролю і зафіксувати виявлені слабкі місця і недоліки системи внутрішнього контролю.

Крок 3. Оцінка здійснення контролю

Через спостереження та повторне виконання процедур внутрішнього контролю аудитор має впевнитися, що такі процедури є реальними та ефективними щодо зниження ризиків суттєвого викривлення.

...