Риски, по которым процедуры проверки по существу в отдельности не обеспечивают достаточных надлежащих аудиторских доказательств

30. В отношении некоторых рисков аудитор может прийти к выводу, что собрать достаточные надлежащие аудиторские доказательства только на основе процедур проверки по существу невозможно или практически нецелесообразно. Такие риски могут быть связаны с неточным или неполным учетом обычных и существенных видов операций или остатков по счетам, которые во многих случаях позволяют производить их обработку автоматизировано, с незначительным ручным вмешательством или без него. В таких случаях средства контроля организации за этими рисками являются значимыми для проводимого аудита, и аудитор должен получить их понимание (см. пункты A140–A142).

Пересмотр оценки рисков

31. В ходе проведения аудита по мере сбора дополнительных аудиторских доказательств оценка рисков существенного искажения на уровне предпосылок может меняться. Когда аудитор в ходе выполнения дальнейших аудиторских процедур получает аудиторские доказательства или получает новую информацию и эти доказательства или информация противоречат тем аудиторским доказательствам, на которых аудитор изначально основывал свою оценку, он должен пересмотреть свою оценку и внести изменения в запланированные дальнейшие аудиторские процедуры (см. пункт A143).

Документация

32. Аудитор должен включить в аудиторскую документацию[2]:

(a) обсуждение между членами аудиторской группы, если это требуется в соответствии с пунктом 10, и принятые значимые решения;

(b) ключевые элементы понимания каждого из аспектов организации и ее окружения, описанные в пункте 11, и каждого из элементов ее системы внутреннего контроля, указанные в пунктах 14-24; источники информации, из которых было получено такое понимание; а также выполненные процедуры оценки рисков;

(c) выявленные и оцененные риски существенного искажения на уровне финансовой отчетности и на уровне предпосылок в соответствии с требованиями пункта 25;

(d) выявленные риски и относящиеся к ним средства контроля, по которым у аудитора сложилось понимание в результате применения требований пунктов 27–30 (см. пункты A144–A147).

***

Руководство по применению и прочие пояснительные материалы

Процедуры оценки рисков и сопутствующие действия (см. пункт 5)

A1. Получение понимания аудируемой организации и ее окружения, включая средства внутреннего контроля организации (далее именуемое «понимание организации»), – это непрерывный динамичный процесс сбора, обновления и анализа информации на протяжении всего аудита. Это понимание создает систему критериев, в рамках которой аудитор планирует аудит и выносит профессиональное суждение на протяжении всего аудита, например:

· при оценке рисков существенного искажения финансовой отчетности;

· определении существенности в соответствии с МСА 320[3];

· рассмотрении надлежащего характера выбранной учетной политики и ее применения, а также адекватности раскрытия информации в финансовой отчетности;

· выявлении областей, в которых может потребоваться особое внимание аудитора, таких как операции между связанными сторонами, надлежащее использование руководством допущения о непрерывности деятельности организации, а также рассмотрение деловых целей операций;

· расчете ожидаемых показателей для использования при проведении аналитических процедур;

· проведении процедур в ответ на оцененные риски существенного искажения, включая разработку и выполнение дальнейших аудиторских процедур для получения достаточных надлежащих аудиторских доказательств;

· оценке достаточности и надлежащего характера полученных аудиторских доказательств, таких как надлежащий характер допущений, а также письменные и устные заявления руководства.

A2. Информация, полученная в результате выполнения процедур по оценке рисков и связанных с ними действий, может использоваться аудитором в качестве аудиторских доказательств для подтверждения оценки рисков существенного искажения. Кроме того, аудитор может получить аудиторские доказательства в отношении видов операций, остатков по счетам или раскрытия информации, а также связанных с ними предпосылок и эффективности средств контроля, даже если такие процедуры не были специально запланированы как процедуры проверки по существу или как тесты средств контроля. Аудитор может решить выполнять процедуры проверки по существу или тесты средств контроля параллельно процедурам оценки рисков, поскольку это может оказаться более эффективным.

A3. Для определения необходимой степени понимания организации аудитор применяет профессиональное суждение. Основной критерий для аудитора состоит в определении того, достаточно ли полученное понимание для достижения целей, заявленных в настоящем стандарте. Степень общего понимания организации, которая необходима аудитору, меньше, чем степень понимания организации, которой обладает ее руководство.

A4. Оцениваемые риски включают как риски искажения вследствие ошибки, так и риски искажения по причине недобросовестных действий, и в настоящем стандарте рассматриваются оба типа рисков. Однако значимость недобросовестных действий настолько велика, что в МСА 240 включены дополнительные требования и рекомендации в отношении процедур оценки рисков и связанных с этим действий для получения информации, используемой для выявления рисков существенного искажения по причине недобросовестных действий[4].

A5. Несмотря на то, что аудитор должен выполнить все процедуры оценки рисков, описанные в пункте 6, в ходе получения необходимого понимания организации (см. пункты 11–24) от аудитора не требуется выполнять все указанные процедуры применительно к каждому аспекту понимания организации. Для получения информации, которая может быть полезна при выявлении рисков существенного искажения, могут применяться и другие процедуры. Примеры таких процедуры включают:

· анализ информации из внешних источников, таких как отраслевые и экономические журналы, аналитические отчеты, исследования банков и рейтинговых агентств, а также издания регулирующих органов и финансовые публикации;

· направление запросов внешнему юристу организации или оценщикам, услугами которых пользовалась организация.

Запросы руководству, в службу внутреннего аудита и другим лицам внутри организации (см. пункт 6(a))

A6. Большую часть запрашиваемой информации аудитор получает от руководства и лиц, ответственных за подготовку финансовой отчетности. Аудитор может также получить информацию посредством запросов в службу внутреннего контроля (при ее наличии) и другим сотрудникам организации.

A7. Аудитор может получить информацию или другие точки зрения при выявлении рисков существенного искажения, направляя запросы другим лицам внутри организации и другим сотрудникам, имеющим иные полномочия. Например:

· запросы, направленные лицам, отвечающим за корпоративное управление, могут помочь аудитору понять среду, в которой происходит подготовка финансовой отчетности организации. В этом отношении МСА 260[5] указывает на важность эффективного двустороннего информационного взаимодействия для оказания содействия аудитору для получения информации у лиц, отвечающих за корпоративное управление;

· запросы сотрудникам, осуществляющим инициирование, обработку и учет сложных или необычных операций, могут помочь аудитору оценить надлежащий характер соответствующей выбранной учетной политики и ее применения;

· запросы внутреннему юристу могут предоставить информацию о таких вопросах, как судебные разбирательства, соблюдение законодательства и нормативных актов, сведения о недобросовестных действиях или подозрениях в недобросовестных действиях, влияющих на организацию, гарантийные, послепродажные обязательства, соглашения с деловыми партнерами (такими как совместные предприятия), а также толкование условий контрактов;

· запросы, направленные сотрудникам, занимающимся маркетингом или продажами, могут предоставить информацию об изменениях маркетинговой стратегии организации, о тенденциях продаж или договорных отношениях с покупателями;

· запросы в службу управления рисками (или отвечающим за управление рисками сотрудникам) могут представить информацию об операционных и регуляторных рисках, которые могут оказать воздействие на финансовую отчетность;

· запросы персоналу, обслуживающему информационные системы, могут предоставить информацию об изменениях в системе, сбоях в ее работе и работе средств контроля и другие сведения о рисках, связанных с информационными системами.

A8. Так как получение понимания аудируемой организации и ее окружения является непрерывным динамичным процессом, аудиторские запросы могут направляться на протяжении всего аудита.

Запросы в службу внутреннего аудита

A9. В том случае, когда в организации имеется служба внутреннего аудита, запросы ее сотрудникам могут дать полезную информацию для получения понимания об организации и ее окружении, а также для выявления и оценки рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок. В ходе выполнения своей работы служба внутреннего аудита, скорее всего, получила понимание операционной деятельности организации и ее бизнес-рисков и может сделать выводы по результатам своей работы в отношении выявленных недостатков или рисков системы внутреннего контроля, которые могут оказаться ценными для понимания аудитором организации, оценки им рисков и других аспектов проводимого аудита. Такие аудиторские запросы направляются вне зависимости от того, планирует ли аудитор использовать работу службы внутреннего аудита для изменения характера или сроков либо сокращения объема выполняемых аудиторских процедур^[6]. Особенно значимыми могут оказаться запросы о проблемах, на которые служба внутреннего аудита уже обращала внимание лиц, отвечающих за корпоративное управление, а также о результатах выполненной ею оценки рисков.

A10. В случае, когда из полученных ответов следует, что служба внутреннего аудита обладает значимыми для финансовой отчетности и проводимого аудита выводами, аудитор может счесть целесообразным ознакомиться с соответствующими отчетами службы внутреннего аудита. Примерами отчетов службы внутреннего аудита, которые могут оказаться значимыми для проводимого аудита, являются документы о стратегии и планах работы службы внутреннего аудита, а также отчеты, подготовленные для руководства или лиц, отвечающих за корпоративное управление, содержащие выводы по уже проведенным службой внутреннего аудита проверкам.

A11. В соответствии с МСА 240[7], если служба внутреннего аудита представляет аудитору информацию о любых фактах недобросовестных действий, а также подозрениях или заявлениях о недобросовестных действиях, аудитор принимает во внимание такую информацию при выявлении рисков существенного искажения по причине недобросовестных действий.

A12. Аудиторские запросы следует направлять тем сотрудникам службы внутреннего аудита, которые, по мнению аудитора, обладают надлежащими знаниями, опытом и полномочиями, таким как руководитель службы внутреннего аудита или, в зависимости от обстоятельств, другие сотрудники. Аудитор также может счесть целесообразным проводить периодические встречи с этими лицами.

Особенности организаций государственного сектора (см. пункт 6(a))

A13. Аудиторы организаций государственного сектора во многих случаях имеют дополнительные обязанности в отношении внутреннего контроля и соблюдения действующих законодательных и нормативных актов. Направление запросов соответствующим сотрудникам службы внутреннего аудита может помочь аудитору в выявлении риска существенного несоблюдения действующих законодательных и нормативных актов и риска недостатков системы внутреннего контроля при подготовке финансовой отчетности.

Аналитические процедуры (см. пункт 6(b))

A14. Аналитические процедуры, выполняемые в качестве процедур оценки рисков, могут выявить вопросы, о которых аудитору не было известно, и помочь в оценке рисков существенного искажения с целью обеспечения основы для разработки и осуществления аудиторских процедур в ответ на выявленные риски. Аналитические процедуры, выполняемые в качестве процедур оценки рисков, могут включать как финансовую, так и нефинансовую информацию, например, соотношение между объемом продаж и размерами торговых площадей или объемом проданной продукции.

A15. Аналитические процедуры могут помочь выявить необычные операции или события, а также суммы, коэффициенты и тенденции, которые могут свидетельствовать о наличии вопросов, способных оказать влияние на проводимый аудит. Обнаруженные необычные или неожиданные соотношения могут помочь аудитору выявить риски существенного искажения, в особенности риски существенного искажения по причине недобросовестных действий.

A16. В случае, когда аналитические процедуры выполняются с использованием данных, обобщенных на высоком уровне (что может иметь место, когда аналитические процедуры выполняются как процедуры оценки рисков), результаты таких аналитических процедур могут служить только приблизительным и предварительным индикатором наличия существенного искажения. Следовательно, в таких случаях рассмотрение прочей информации, которая была собрана при выявлении рисков существенного искажения в совокупности с результатами таких аналитических процедур, может помочь аудитору в понимании и оценке результатов этих аналитических процедур.

Особенности малых организаций

A17. Некоторые малые организации могут не иметь промежуточной или ежемесячной финансовой информации, которую можно было бы использовать для проведения аналитических процедур. В таких обстоятельствах, несмотря на то, что аудитор может провести ограниченные аналитические процедуры в целях планирования аудита или получить определенную информацию при помощи запросов, ему может понадобиться запланировать выполнение аналитических процедур для выявления и оценки рисков существенного искажения на этапе подготовки предварительного проекта финансовой отчетности организации.

Наблюдение и инспектирование (см. пункт 6(c))

A18. Наблюдение и инспектирование могут подтверждать информацию из запросов, направленных руководству организации и иным лицам, а также предоставить информацию об организации и ее окружении. Примеры таких аудиторских процедур включают наблюдение или инспектирование:

· операционной деятельности организации;

· документов (таких как бизнес-планы и стратегии), бухгалтерских записей и регламентов по внутреннему контролю;

· отчетов, подготовленных руководством (таких как квартальные отчеты руководства и промежуточная финансовая отчетность) и лицами, отвечающими за корпоративное управление (таких как протоколы заседаний совета директоров);

· помещений и производственных сооружений организации.