Компоненты системы внутреннего контроля – информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие

Информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие (см. пункт 18)

A89. Информационная система, связанная с финансовой отчетностью, включая систему бухгалтерского учета, состоит из процедур и записей, разработанных и реализуемых с целью:

· инициирования, записи, обработки и обобщения операций организации (а также событий и условий), обеспечения учета соответствующих активов, обязательств и собственного капитала;

· своевременного исправления результатов некорректной обработки операций, например, автоматически созданных промежуточных файлов и последующего закрытия промежуточных счетов;

· обработки и учета фактов обхода или преодоления средств контроля;

· передачи информации из систем обработки операций в основной регистр;

· записи информации, являющейся значимой для отражения в финансовой отчетности – событий и условий, не являющихся операциями, таких как износ и амортизация активов и изменения вероятности погашения дебиторской задолженности;

· обеспечения сбора, записи, обработки, обобщения и надлежащего отражения в финансовой отчетности информации, которая должна раскрываться согласно применимой концепции подготовки финансовой отчетности.

Бухгалтерские записи

A90. Информационная система организации, как правило, предполагает использование стандартных бухгалтерских записей, которые необходимо делать регулярно для отражения операций. Примерами могут служить бухгалтерские записи для отражения в основном регистре продажи, покупки, выплаты наличных или для отражения оценочных значений, которые периодически рассчитываются руководством, таких как изменения в оценке безнадежной дебиторской задолженности.

A91. Процесс подготовки финансовой отчетности организации включает использование нестандартных бухгалтерских записей по учету разовых, нетипичных операций или корректировок. Примерами таких записей являются консолидационные корректировки, объединение или выбытие бизнеса, разовые оценки, такие как при обесценении актива. В ручных системах ведения бухгалтерского учета с использованием основного регистра нестандартные бухгалтерские записи можно выявить инспектированием вспомогательных ведомостей, регистров и подтверждающих документов. При использовании автоматизированных процедур ведения бухгалтерского учета с использованием основного регистра и подготовки финансовой отчетности такие записи могут существовать только в электронной форме, поэтому их легче выявить с использованием автоматизированных способов аудита.

Соответствующие бизнес-процессы

A92. Бизнес-процессы организации – это действия, разработанные с целью:

· разработки, покупки, производства, продажи и распространения продукции и услуг организации;

· обеспечения соблюдения законодательных и нормативных актов;

· записи информации, включая информацию по бухгалтерскому учету и финансовой отчетности. 

Результатом бизнес-процессов являются операции, которые записаны, обработаны и отражены в информационной системе. Получение понимания бизнес-процессов организации, в том числе порядка инициирования операций, помогает аудитору получить понимание информационной системы организации, связанной с финансовой отчетностью способом, соответствующим условиям деятельности организации.

Особенности малых организаций

A93. Информационные системы и соответствующие бизнес-процессы, связанные с финансовой отчетностью, в малых организациях обычно менее сложны, чем в более крупных организациях, но их роль не менее важна. Малым организациям, которым свойственно активное участие руководства в ее деятельности, могут не требоваться подробные описания бухгалтерских процедур, сложные бухгалтерские записи или документально оформленная политика. Поэтому получение понимания систем и процессов организации при проведении аудита малой организации может оказаться более легким и может в большей степени основываться на запросах, а не на изучении документации. Однако это не снижает важности получения такого понимания.

Информирование (см. пункт 19)

A94. Информирование организацией о функциях и обязанностях, связанных с финансовой отчетностью, а также о значимых вопросах, касающихся финансовой отчетности, предполагает передачу информации о функциях и обязанностях отдельных сотрудников в отношении системы внутреннего контроля за составлением финансовой отчетности. Система информирования охватывает степень понимания персоналом связи их действий в информационной системе, используемой для подготовки и представления финансовой отчетности, с работой других лиц, а также способы доведения информации о расхождениях руководителям более высокого уровня в организации. Информирование может иметь форму внутренних регламентов, касающихся политики и подготовки финансовой отчетности. Открытые каналы обмена информацией помогают сообщать об исключительных ситуациях и обеспечивают принятие соответствующих мер.

Особенности малых организаций

A95. В малых организациях процесс обмена информацией может быть менее структурированным и более простым, чем в крупных организациях, в связи с меньшим количеством уровней ответственности, большей близостью и доступностью руководства.

Компоненты системы внутреннего контроля – контрольные действия, значимые для проводимого аудита (см. пункт 20)

A96. Контрольные действия – это политики и процедуры, которые помогают обеспечивать выполнение распоряжений руководства. Контрольные действия как в системе с применением ИТ, так и в системе ручной обработки данных имеют различные цели и применяются на различных организационных и функциональных уровнях. Примеры конкретных контрольных действий включают действия, связанные:

· с авторизацией;

· проверкой выполнения;

· обработкой информации;

· физическими средствами контроля;

· разделением должностных обязанностей.

A97. Контрольные действия, значимые для аудита:

· контрольные действия, которые необходимо рассматривать как значимые, поскольку они связаны со значительными рисками, а также с рисками, в отношении которых одни только процедуры проверки по существу не обеспечивают достаточных надлежащих аудиторских доказательств, как это требуется согласно пунктов 29 и 30 соответственно;

· контрольные действия, которые расцениваются как значимые согласно профессиональному суждению аудитора.

A98. Суждение аудитора о значимости контрольных действий для аудита зависит от выявленного риска, который может привести к существенному искажению, и от того, считает ли аудитор, что тестирование операционной эффективности средства контроля будет, вероятно, уместным при определении объема проводимых процедур по существу.

A99. Аудитор может сделать акцент на выявлении и получении представления о контрольных действиях, которые проводятся в тех областях, в которых, по мнению аудитора, риски существенного искажения, вероятно, выше. Когда несколько контрольных действий обеспечивают достижение одной и той же цели, аудитору не требуется понимания каждого контрольного действия, связанного с такой целью.

A100. Знания аудитора о наличии или отсутствии контрольных действий, полученные на основе понимания других компонентов системы внутреннего контроля, помогают аудитору при решении вопроса о том, следует ли уделить дополнительное внимание получению представления о контрольных действиях.

Особенности малых организаций

A101. Принципы, лежащие в основе контрольных действий в малых организациях, как правило, аналогичны принципам в более крупных организациях, но степень формализации выполнения контрольных действий будет отличаться. Кроме того, малые организации могут счесть, что некоторые виды контрольных действий не являются уместными. Например, единоличные права руководства по предоставлению кредита покупателям и одобрению значительных закупок могут обеспечить эффективный контроль за значимыми операциями и остатками по счетам, позволяя уменьшить или полностью отказаться от более тщательных контрольных действий. 

A102. Контрольные действия, значимые для аудита малой организации, как правило, относятся к основным операционным циклам, таким как выручка, закупки и затраты на оплату труда. 

Риски, связанные с использованием ИТ (см. пункт 21)

A103. Использование ИТ оказывает влияние на метод практической реализации контрольных действий. С точки зрения аудитора, средства контроля за ИТ-системами эффективны, если они обеспечивают целостность информации и безопасность данных, обрабатываемых такими системами, и включают эффективные общие и прикладные средства контроля за ИТ-системами.

A104. Общие средства контроля за ИТ-системами – это политика и процедуры, которые связаны с многими приложениями и поддерживают эффективное функционирование прикладных средств контроля. Они применяются в отношении главного сервера, иных серверов, а также аппаратно-программных комплексов конечных пользователей. Общие средства контроля за ИТ-системами, которые обеспечивают целостность информации и безопасность данных, как правило, включают средства контроля:

· за центром обработки данных и работой сети;

· приобретением, изменением и обслуживанием системного программного обеспечения;

· изменением программ;

· обеспечением безопасного доступа;

· приобретением, разработкой и обслуживанием прикладных программ.

Они обычно применяются для снижения рисков, описанных выше, в пункте A63.

A105. Прикладные средства контроля – это автоматизированные или осуществляемые вручную процедуры, которые обычно выполняются на уровне бизнес-процессов и применяются для обработки операций отдельными приложениями. Прикладные средства контроля могут быть по своему характеру предотвращающими или обнаруживающими и предназначены для обеспечения целостности данных бухгалтерского учета. Следовательно, прикладные средства контроля относятся к процедурам, используемым для инициирования, регистрации, обработки и обобщения операций или другой финансовой информации. Эти средства контроля помогают убедиться в том, что операция действительно имела место, санкционирована, записана и обработана точно и в полном объеме. Примеры включают отслеживание изменений введенных данных и проверку сквозной нумерации с принимаемыми вручную мерами по отчетам об отклонениях или с исправлением данных на этапе ввода.

Компоненты системы внутреннего контроля – мониторинг средств контроля (см. пункт 22)

A106. Мониторинг средств контроля – это процесс оценки эффективности системы внутреннего контроля в течение какого-либо периода. Он включает своевременную оценку эффективности средств контроля и осуществление необходимых корректирующих действий. Руководство осуществляет мониторинг средств контроля непрерывно, путем отдельных оценок или сочетая оба подхода. Непрерывные мероприятия по мониторингу часто встроены в обычно повторяющиеся операции организации и включают регулярное выполнение управленческих и надзорных действий.

A107. Мониторинг, осуществляемый руководством организации, может включать использование информации, полученной от внешних сторон, такой как претензии клиентов и комментарии регулирующих органов, которые могут указать на проблемы или области, требующие усовершенствования.

Особенности малых организаций

A108. Мониторинг средств контроля часто выполняется посредством прямого участия руководства или собственника-руководителя в деятельности организации. Такое участие часто выявляет значительные отклонения от ожидаемых финансовых показателей и неточности в финансовых показателях, приводящие к необходимости корректирующих действий в отношении данного средства контроля.

Служба внутреннего аудита организации (см. пункт 23)

A109. Если в организации имеется служба внутреннего аудита, получение представления о ее работе способствует пониманию аудитором организации и ее окружения, в том числе системы внутреннего контроля, и особенно роли этой службы в обеспечении мониторинга внутреннего контроля за составлением финансовой отчетности. Такое понимание в сочетании информацией, получаемой с помощью запросов, описанных в пункте 6(a) настоящего стандарта, может также содержать информацию, непосредственно касающуюся выявления и оценки аудитором рисков существенного искажения.

A110. Цели и объем работы службы внутреннего аудита, характер ее обязанностей и ее статус в организации, в том числе полномочия и подчиненность, очень различны и зависят от размера и структуры организации, а также требований руководства и, в соответствующих случаях, лиц, отвечающих за корпоративное управление. Эти вопросы могут регулироваться положением о службе внутреннего аудита или установленным заданием.

A111. В обязанности службы внутреннего аудита может входить выполнение процедур и оценка их результатов с целью обеспечения уверенности как руководства, так и представителей собственника в отношении структуры и эффективности управления рисками, системы внутреннего контроля и процессов управления организацией. В таком случае служба внутреннего аудита может играть важную роль в мониторинге внутреннего контроля за подготовкой финансовой отчетности. Однако обязанности службы внутреннего аудита могут быть сфокусированы, например, на оценке экономичности, эффективности и результативности операций, и в этом случае работа службы внутреннего аудита может быть напрямую не связана с подготовкой и представлением финансовой отчетности организации.

A112. Направление аудиторских запросов соответствующим сотрудникам службы внутреннего аудита в соответствии с пунктом 6(а) настоящего стандарта помогает аудитору получить понимание характера обязанностей службы внутреннего аудита. Если аудитор устанавливает, что обязанности службы внутреннего аудита связаны с финансовой отчетностью организации, он может получить дополнительное понимание действий, выполненных или планируемых службой внутреннего аудита, путем ознакомления с планом проверки на конкретный период, если такой план существует, и путем его обсуждения с соответствующими работниками службы.

A113. Если обязанности службы внутреннего аудита и ее деятельность по обеспечению уверенности по своему характеру связаны с подготовкой финансовой отчетности организации, аудитор может также использовать работу службы внутреннего аудита с целью изменения характера, сроков или сокращения объема аудиторских процедур, которые должны быть выполнены аудитором для получения аудиторских доказательств. Использование аудитором результатов работы службы внутреннего аудита более вероятно, когда, например, опыт проведения предыдущего аудита или выполненные аудитором процедуры оценки рисков показывают, что служба внутреннего аудита обладает достаточными и надлежащими ресурсами, соответствующими размеру организации и характеру ее деятельности, и подотчетна непосредственно лицам, отвечающим за корпоративное управление.

A114. Если, основываясь на предварительном понимании деятельности службы внутреннего аудита, аудитор собирается использовать ее работу для изменения характера, сроков или сокращения объема планируемых аудиторских процедур, применяются положения стандарта МСА 610 (пересмотренного, 2013 г.)

A115. Как более подробно рассматривается в стандарте МСА 610 (пересмотренном, 2013 г.), деятельность службы внутреннего аудита отлична от других средств контроля по мониторингу, которые могут иметь отношение к финансовой отчетности, таких как проверка данных управленческой отчетности, проводимая с целью определить, каким образом организация предотвращает или выявляет искажения.

A116. Установление информационного взаимодействия с соответствующими работниками службы внутреннего аудита на ранних этапах выполнения аудиторского задания и поддержание такого взаимодействия в течение всего аудита способствует эффективному обмену информацией. Это создает среду, в которой аудитор может быть проинформирован о важных вопросах, которые привлекли внимание службы внутреннего аудита, если они могут повлиять на результаты работы аудитора. Важность планирования и проведения аудита с профессиональным скептицизмом, включая поддержание бдительности в отношении информации, которая ставит под вопрос надежность документов и ответов на запросы, которые предполагается использовать в качестве аудиторских доказательств, описывается в МСА 200. Следовательно, информационное взаимодействие со службой внутреннего аудита в течение всего аудита может дать внутренним аудиторам возможность довести такую информацию до сведения аудитора. После чего аудитор может принять во внимание эту информацию при выявлении и оценке рисков существенного искажения.

Источники информации (см. пункт 24)

A117. Большая часть информации, используемой для мониторинга, может создаваться информационной системой организации. Если руководство организации без достаточных оснований предполагает, что данные, используемые для мониторинга, точны, то ошибки в таких данных могут потенциально привести руководство организации к неправильным выводам по результатам его действий по мониторингу. Следовательно, понимание:

· источников информации, связанной с действиями по мониторингу, выполняемыми организацией;

· оснований, на которых руководство считает информацию достаточно надежной для данных целей,

необходимо как часть понимания аудитором выполняемых организацией действий по мониторингу, являющихся компонентом системы внутреннего контроля.

Выявление и оценка рисков существенного искажения

Оценка рисков существенного искажения на уровне финансовой отчетности (см. пункт 25(a))

A118. Риски существенного искажения на уровне финансовой отчетности – такие риски, которые распространяются на финансовую отчетность в целом и потенциально затрагивают целый ряд предпосылок. Риски такого характера не обязательно являются рисками, которые можно выявить по определенным предпосылкам на уровне вида операций, остатка по счету, или раскрытия информации. Они, вероятнее всего, отражают обстоятельства, которые могут увеличивать риски существенного искажения на уровне предпосылок, например, вследствие обхода руководством системы внутреннего контроля. Риски на уровне финансовой отчетности могут иметь особое значение при рассмотрении аудитором рисков существенного искажения вследствие недобросовестных действий.

A119. Риски на уровне финансовой отчетности могут возникать, в частности, из-за недостатков контрольной среды (хотя эти риски также могут быть связаны с другими факторами, такими как ухудшение экономических условий). Например, недостатки, такие как недостаточный уровень компетентности руководства, могут оказывать всеобъемлющий эффект на финансовую отчетность и могут потребовать ответных действий общего характера со стороны аудитора.

A120. Понимание аудитором системы внутреннего контроля может вызвать сомнения относительно самой возможности проведения аудита финансовой отчетности организации. Например:

· сомнения по поводу честности руководства организации могут быть настолько серьезными, что приведут аудитора к выводу, что риск неверного представления руководством информации в финансовой отчетности настолько высок, что аудит не может быть проведен;

· сомнения по поводу состояния и надежности записей организации могут привести аудитора к выводу, что получение достаточных надлежащих аудиторских доказательств для выражения немодифицированного мнения о финансовой отчетности маловероятно.

A121. В МСА 705[15] установлены требования и приводится руководство по определению необходимости выражения аудиторского мнения с оговоркой или отказа от выражения мнения либо, что может потребоваться в некоторых обстоятельствах, отказа от выполнения задания, если такой отказ возможен в соответствии с действующими законами и нормативными актами,

Оценка рисков существенного искажения на уровне предпосылок (см. пункт 25(b))

A122. Необходимо рассмотреть риски существенного искажения на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации, потому что именно такое рассмотрение помогает при определении характера, сроков и объема дальнейших аудиторских процедур на уровне предпосылок, необходимых для получения достаточных надлежащих аудиторских доказательств. При выявлении и оценке рисков существенного искажения на уровне предпосылок аудитор может прийти к заключению, что выявленные риски всеобъемлюще распространяются на финансовую отчетность в целом и потенциально затрагивают многие предпосылки.

Использование предпосылок

A123. Заявляя о том, что финансовая отчетность подготовлена в соответствии с применяемой концепцией подготовки финансовой отчетности, руководство прямо или косвенно формирует предпосылку о признании, оценке, представлении и раскрытии различных элементов финансовой отчетности и соответствующей раскрываемой информации.

A124. Предпосылки, используемые аудитором для анализа различных видов потенциальных искажений, которые могут произойти, подразделяются на следующие три категории и могут принимать следующие формы:

(a) предпосылки о видах операций и событиях за аудируемый период:

(i) наличие – операции и события, зарегистрированные в учете, имели место и имеют отношение к организации;

(ii) полнота – все операции и события, которые должны быть учтены, были учтены;

(iii) точность – суммы и прочие данные, касающиеся учтенных операций и событий, отражены надлежащим образом;

(iv) своевременность признания – операции и события отражены в надлежащем отчетном периоде; 

(v) классификация – операции и события отражены на надлежащих счетах; 

(b) предпосылки об остатках по счетам на конец периода:

(i) существование – активы, обязательства и доли участия в капитале действительно существуют; 

(ii) права и обязанности – организация владеет правами на активы или контролирует их, и обязательства представляют собой законные обязанности организации;

(iii) полнота – все активы, обязательства и доли участия в капитале, которые необходимо было учесть, были учтены;

(iv) оценка и распределение – активы, обязательства и доли участия в капитале включены в финансовую отчетность в соответствующих суммах, и все соответствующие корректировки в связи с оценкой или распределением надлежащим образом отражены;

(c) предпосылки о представлении и раскрытии информации:

(i) наличие, права и обязанности – раскрываемые события, операции и прочие вопросы имели место и имеют отношение к организации;

(ii) полнота – вся информация, которая должна была быть раскрыта в финансовой отчетности, в нее включена;

(iii) классификация и понятность – финансовая информация представлена и описана надлежащим образом, раскрытие информации ясно изложено;

(iv) точность и оценка – финансовая и прочая информация раскрыта достоверно и в надлежащих суммах.

A125. Аудитор может использовать предпосылки, описанные выше, или может сформулировать их другим способом, при условии что все описанные выше аспекты были охвачены. Например, аудитор может объединить предпосылки по операциям и событиям с предпосылками об остатках по счетам.

Особенности организаций государственного сектора

A126. Формируя предпосылки о финансовой отчетности организаций государственного сектора, в дополнение к предпосылкам, изложенным в параграфе A124, руководство организации часто может утверждать, что операции и события были осуществлены в соответствии с законодательством, нормативными актами или иными актами. Такие предпосылки могут входить в число вопросов, подлежащих аудиту финансовой отчетности.

Процесс выявления рисков существенного искажения (см. пункт 26(a))

A127. Информация, собранная посредством выполнения процедур оценки рисков, включая аудиторские доказательства, полученные при оценке структуры средств контроля и определении того, были ли они внедрены, используется в качестве аудиторских доказательств для подтверждения оценки риска. Оценка риска определяет характер, сроки и объем дальнейших аудиторских процедур, которые должны быть выполнены.

A128. Приложение 2 содержит примеры условий и событий, которые могут указывать на существование рисков существенного искажения.

Соотнесение средств контроля с предпосылками (см. пункт 26(c))

A129. При проведении оценки рисков аудитор может выявить средства контроля, которые могут предотвратить или обнаружить и исправить существенные искажения, относящиеся к определенным предпосылкам. Как правило, полезно получить понимание средств контроля и соотнести их с предпосылками в контексте тех процессов и систем, в рамках которых они существуют, поскольку отдельные контрольные действия во многих случаях не могут сами по себе снизить риск. Часто только различные контрольные действия совместно с другими компонентами системы внутреннего контроля могут оказаться достаточными для снижения риска.

A130. Кроме того, некоторые контрольные действия могут оказывать определенное влияние на конкретную предпосылку в отношении определенного вида операций или остатка по счету. Например, контрольные действия, установленные организацией для подтверждения того, что ее персонал надлежащим образом проводит пересчет запасов и учитывает результаты ежегодной инвентаризации запасов, непосредственно связаны с предпосылками о существовании и полноте учета в отношении остатков по счету запасов.

A131. Средства контроля могут быть прямо или косвенно связаны с предпосылками. Чем более косвенный характер имеет такая связь, тем менее эффективным будет средство контроля в предотвращении или обнаружении и исправлении искажений в отношении этой предпосылки. Например, анализ менеджером по продажам отчетов о продажах в отдельных магазинах по регионам, как правило, лишь косвенно связан с предпосылками о полноте отражения выручки от продаж. Следовательно, такое средство контроля является менее эффективным для снижения рисков по этой предпосылке, чем те, которые более непосредственно связаны с этой предпосылкой, такие как сверка отгрузочных документов со счетами.

Значительные риски

Выявление значительных рисков (см. пункт 28)

A132. Значительные риски во многих случаях относятся к значительным нестандартным операциям или вопросам, которые являются предметом суждения. Нестандартные операции – это операции, которые являются необычными либо в силу размера, либо вследствие их характера и поэтому происходят нечасто. Вопросы, связанные с суждением, могут включать расчет оценочных значений, в отношении которых существует значительная неопределенность оценки. Стандартные, несложные, систематически обрабатываемые операции с меньшей вероятностью могут привести к возникновению значительных рисков.

A133. Риски существенного искажения по значительным нестандартным операциям могут быть выше в связи со следующими обстоятельствами:

· большее вмешательство руководства организации в определение порядка учета;

· большее ручное вмешательство в сбор и обработку данных;

· сложность расчетов или принципов бухгалтерского учета;

· характер нестандартных операций, который может усложнить для организации внедрение эффективных средств контроля за этими рисками.

A134. Риски существенных искажений по значимым вопросам, которые являются предметом суждения и требуют расчета оценочных значений, могут быть выше в связи со следующими обстоятельствами:

· принципы бухгалтерского учета в отношении оценочных значений или признания выручки могут интерпретироваться по-разному;

· требуемое суждение может быть субъективными, сложным или требовать допущений в отношении влияния будущих событий, например, суждение о справедливой стоимости.

A135. Последствия определения какого-либо риска как значительного для целей дальнейших аудиторских процедур рассмотрены в МСА 330[16].

Значительные риски, связанные с рисками существенного искажения по причине недобросовестных действий

A136. В МСА 240 приведены дальнейшие требования и указания в отношении выявления и оценки рисков существенного искажения по причине недобросовестных действий[17].

Понимание средств контроля, относящихся к значительным рискам (см. пункт 29)

A137. Хотя риски, связанные со значительными нестандартными вопросами или вопросами, составляющими предмет суждения, с меньшей вероятностью попадают в сферу действия стандартных средств контроля, руководство организации может предпринимать другие меры в ответ на такие риски. Следовательно, понимание аудитором вопроса о том, разработала и внедрила ли организация средства контроля в отношении значительных рисков, являющихся результатом нестандартных операций, или вопросов, которые составляют предмет суждения, включает понимание того, принимает ли руководство организации какие-либо меры в ответ на эти риски и, если да, какие. Такие меры могут включать:

· контрольные действия, такие как проверка допущений старшим руководством или экспертами;

· документально оформленные процессы выполнения оценок;

· подтверждение лицами, отвечающими за корпоративное управление.

A138. Например, в случае единичных событий, таких как получение уведомления о значительном судебном иске, рассмотрение ответных мер организации может включать такие вопросы, как: было ли такое уведомление направлено соответствующим экспертам (например, внутреннему или внешнему юристу), выполнена ли оценка возможных последствий и каким образом организация предполагает раскрывать данные обстоятельства в финансовой отчетности.

A139. В некоторых случаях руководство организации могло не ответить соответствующим образом на значительные риски существенного искажения посредством внедрения средств контроля над такими значительными рисками. Факт того, что руководство не внедрило такие средства контроля, указывает на существенный недостаток в системе внутреннего контроля[18].

Риски, по которым процедуры проверки по существу в отдельности не обеспечивают достаточных надлежащих аудиторских доказательств (см. пункт 30)

A140. Риски существенного искажения могут быть непосредственно связаны с учетом обычных видов операций или остатков по счетам и подготовкой достоверной финансовой отчетности. Такие риски могут включать риски неточной или неполной обработки стандартных и значительных классов операций, таких как выручка, закупки, денежные поступления или выплаты организации.

A141. Если обработка таких обычных операций в высокой степени автоматизирована и предполагает лишь незначительное ручное вмешательство или не предполагает его вовсе, то выполнение одних только процедур проверки по существу в отношении риска может оказаться невозможным. Например, аудитор может прийти к такому выводу в обстоятельствах, когда значительный объем информации организации инициируется, записывается, обрабатывается и обобщается только в электронном виде, например в интегрированных системах. В таких случаях:

· аудиторские доказательства могут быть доступны только в электронной форме, а их достаточность и надлежащий характер обычно зависят от эффективности средств контроля за их точностью и полнотой;

· вероятность неправомерного инициирования или изменения информации и его необнаружения может оказаться выше, если соответствующие средства контроля неэффективны.

A142. Последствия выявления таких рисков для дальнейших аудиторских процедур описаны в стандарте МСА 330[19].

Пересмотр оценки рисков (см. пункт 31)

A143. Аудитор в ходе аудита может получить информацию, которая в значительной степени отличается от той, на которой основывалась оценка рисков. Например, оценка рисков может быть основана на ожидании, что определенные средства контроля функционируют эффективно. При выполнении тестов таких средств контроля аудитор может получить аудиторские доказательства, свидетельствующие о том, что эти средства контроля не функционировали эффективно в соответствующие периоды в ходе аудита. Также при выполнении процедуры проверки по существу аудитор может обнаружить искажения в суммах или периодичности, превышающей значения, установленные им в результате оценки рисков. В таких случаях оценка риска может не отражать надлежащим образом реальные обстоятельства организации и дальнейшие запланированные аудиторские процедуры могут не оказаться эффективными для обнаружения существенного искажения. Дополнительные рекомендации приведены в МСА 330.

Документация (см. пункт 32)

A144. Способ документирования требований пункта 32 определяется аудитором с применением профессионального суждения. Например, при аудите малой организации соответствующая документация может быть включена в состав документации аудитора в отношении общей стратегии и плана аудита[20]. Также, например, результаты оценки рисков могут быть задокументированы отдельно или в составе документации аудитора в отношении дальнейших процедур[21]. На форму и объем документации влияют характер, размер, сложность организации и ее систем внутреннего контроля, доступности информации от организации, а также используемых в ходе аудита методологии и технологии.

A145. При аудите организаций с несложными деятельностью и процессами подготовки финансовой отчетности документация может быть простой по форме и относительно краткой. В таком случае нет необходимости полностью документировать понимание аудитором организации и вопросов, связанных с ней. К ключевым элементам понимания, подлежащим документированию, относятся те, на которых аудитором была основана оценка рисков существенного искажения.

A146. Объем документации может также отражать опыт и способности членов аудиторской группы. При условии, что требования МСА 230 выполняются во всех случаях, при аудите, проводимом аудиторской группой, в состав которой входят менее опытные лица, может потребоваться более детальная документации, чтобы это помогло им в получении надлежащего понимания организации, чем в случае с группой, в состав которой входят более опытные специалисты.

A147. При повторном аудите определенная документация может переноситься на следующие периоды и обновляться по мере необходимости, чтобы отразить изменения в бизнесе или процессах организации.

Приложение 1

(см. пункты 4(c), 14–24, A76–A117)

Компоненты системы внутреннего контроля

1. Настоящее Приложение содержит пояснения относительно компонентов системы внутреннего контроля, описанных в пунктах 4(c), 14–24 и А76–А117, с учетом их связи с аудитом финансовой отчетности.

Контрольная среда

2. Контрольная среда охватывает следующие элементы:

(a) Информирование о принципе честности и этических ценностях. Эффективность средств контроля определяется уровнем честности и этическими ценностями людей, которые создают, применяют и осуществляют их мониторинг. Честность и этическое поведение являются результатом этических и поведенческих стандартов организации, способов их доведения до сведения персонала и продвижения на практике. Продвижение честности и этических ценностей предполагает, например, действия руководства, направленные на устранение или снижение стимулов и соблазнов, которые могут подтолкнуть персонал к участию в нечестной, незаконной или неэтичной деятельности. Информирование о политике организации в отношении честности и этических ценностей может включать доведение до персонала стандартов поведения с помощью сформулированных положений политики, кодексов поведения и личного примера.

(b) Приверженность профессиональной компетентности. Профессиональная компетентнос<