Основы аудита

К числу важнейших целей аудита, ориентированного на процессы, относятся:

       проверка возможности соблюдения технологических параметров;

       документирование параметров производительности и качества процесса;

       определение «узких мест» процесса.

3.       Аудит, ориентированный на систему качества. Этот вид аудита предназначен для обширной оценки эффективности всей системы качества. В ходе аудита анализируется соответствие всех инструкций (методологических и рабочих инструкций, а также инструкций по испытаниям и др.) требованиям взятых за основу нормативных документов, а также соответствие проводимых мероприятий по обеспечению качества на предприятии предписаниям на всех стадиях жизненного цикла продукта.

Основными целями аудита, ориентированного на систему качества, являются:

       регистрация фактического состояния системы качества;

       четкое выделение «узких мест»;

       «активирование» правильного отношения сотрудников;

       предприятия к существующим предписаниям.

2. Чем, на Ваш взгляд, вызвана необходимость появления российского аудиторского стандарта «Характеристика сопутствующих аудиту услуг и требования, предъявляемые к ним», не имеющего аналога в международной практике?

В новой классификации в соответствии с Федеральным законом (ст.9) предусмотрено, что:

1. Правила (стандарты) аудиторской деятельности представляют единые требования к порядку осуществления аудиторской деятельности, оформлению и оценке качества аудита и сопутствующих ему услуг, а также к порядку подготовки аудиторов и оценке их квалификации.

2. Правила (стандарты) аудиторской деятельности подразделяются на:

2.1 федеральные правила (стандарты) аудиторской деятельности;

2.2 внутренние правила (стандарты) аудиторской деятельности, действующие в профессиональных аудиторских объединениях;

2.3 правила (стандарты) аудиторской деятельности аудиторских организаций и индивидуальных аудиторов.

3. Федеральные правила (стандарты) аудиторской деятельности являются обязательными для аудиторских организаций, индивидуальных аудиторов, а также для аудируемых лиц, за исключением положений, в отношении которых указано, что они имеют рекомендательный характер.

4. Федеральные правила (стандарты) аудиторской деятельности утверждаются Правительством РФ.

5. Профессиональные аудиторские объединения вправе, если это предусмотрено их уставами, устанавливать для своих членов внутренние правила (стандарты) аудиторской деятельности, которые не могут противоречить федеральным правилам (стандартам) аудиторской деятельности. При этом требования внутренних правил (стандартов) аудиторской деятельности не могут быть ниже требований федеральных правил (стандартов) аудиторской деятельности.

6. Аудиторские организации и индивидуальные аудиторы вправе устанавливать собственные правила (стандарты) аудиторской деятельности, которые не могут противоречить федеральным правилам (стандартам) аудиторской деятельности. При этом требования правил (стандартов) аудиторской деятельности аудиторских организаций и индивидуальных аудиторов не могут быть ниже требований федеральных правил (стандартов) аудиторской деятельности и внутренних правил (стандартов) аудиторской деятельности профессионального аудиторского объединения, членами которого они являются.

7. Аудиторские организации и индивидуальные аудиторы в соответствии с требованиями законодательных и иных нормативных правовых актов РФ и федеральных правил (стандартов) аудиторской деятельности вправе самостоятельно выбирать приемы и методы своей работы, за исключением планирования и документирования аудита, составления рабочей документации аудитора, аудиторского заключения, которые осуществляются в соответствии с федеральными правилами (стандартами) аудиторской деятельности.

Российские правила (стандарты) в основном имеют единую структуру построения и содержат обычно следующие разделы:

       общие принципы правила (стандарта);

       основные понятия и определения (если необходимо), используемые в стандарте;

       сущность стандарта;

       практические приложения.

Значение аудиторских стандартов состоит в том, что они:

       способствуют обеспечению высокого качества аудиторской проверки;

       содействуют внедрению в практику аудита новых научных достижений;

       определяют действия аудитора в конкретных ситуациях.

Внутренние стандарты аудиторских организаций и индивидуальных аудиторов представляют собой документы, детализирующие и регламентирующие единые требования к осуществлению и оформлению аудиторских услуг. Эти документы, как правило, должны быть приняты и утверждены аудиторской организацией с целью обеспечения эффективности практической работы и ее адекватности принятым российским правилам (стандартам) аудиторской деятельности.

Применение внутренних стандартов в аудиторских организациях способствует:

1.       Соблюдению требований внешних аудиторских правил (стандартов).

2.       Уменьшению трудоемкости аудиторских проверок.

3.       Использованию для проведения аудита аудиторов – ассистентов.

4.       Увеличению объема выполняемых аудиторских услуг.

Использование внутренних стандартов позволяет сформулировать единые базовые требования к сотрудникам аудиторской организации при проведении аудита и выполнении сопутствующих аудиту услуг.

Внутренние (внутрифирменные) стандарты целесообразно разработать в виде следующих блоков:

1.       По структуре фирмы, технологии организации, выполняемым функциям и другим особенностям ее функционирования.

2.       Стандарты, расшифровывающие, дополняющие и уточняющие положения российских правил (стандартов).

3.       Методики проведения аудиторских проверок по разделам и счетам бухгалтерского учета.

4.       По организации сопутствующих аудиту услуг.

В первый блок входят стандарты, определяющие организационно - экономические аспекты деятельности аудиторской фирмы, права и обязанностей сотрудников, оплату труда, организацию планирования, заключение договоров по видам работ и др.

Второй блок внутренних стандартов дополняет и расшифровывает положения российских правил (стандартов), они могут быть классифицированы по таким группам, как:

1.       Ответственность аудиторов.

2.       Планирование аудита.

3.       Изучение и оценка системы внутреннего контроля экономического субъекта.

4.       Получение аудиторских доказательств.

5.       Использование работы третьих лиц.

6.       Порядок формирования выводов и заключений в аудите.

7.       Специализированные внутренние стандарты.

Третий блок стандартов посвящен методикам проведения аудиторских проверок по разделам и счетам бухгалтерского учета. Такие стандарты включают конкретные методики, процедуры, рабочие таблицы, макеты, классификаторы, инструкции. Особенно полезны такие методики для начинающих аудиторов и аудиторов - ассистентов, помогая им застраховаться от грубых ошибок и примерно в 80% случаев принять правильное решение.

Четвертый блок стандартов разрабатывается в тех случаях, когда аудиторские фирмы выполняют сопутствующие аудиту виды услуг. Такие стандарты составляются по организации бухгалтерского учета, принципам восстановления учета, автоматизации учета и др.

Аудиторские внутрифирменные стандарты должны удовлетворять следующим требованиям:

1.       Целесообразность - при разработке стандартов следует учитывать их практическую значимость, актуальность и приоритетность.

2.       Преемственность и непротиворечивость - стандарты должны обеспечивать согласованность и взаимосвязь с остальными внутренними стандартами.

3.       Полнота и детализация - внутренние стандарты должны комплексно охватывать все вопросы исследуемой проблемы и детально их освещать.

4.       Единство терминологической базы - обеспечение единства трактовки терминов во всех стандартах и документах.

Тема 4. Источники информации о финансово-хозяйственной деятельности экономического субъекта при осуществлении аудиторской проверки

Одна из важнейших обязанностей аудитора – собирание доказательств, подтверждающих или опровергающих достоверность бухгалтерской отчетности.

1. Ориентирована ли современная бухгалтерская отчетность на инвесторов, на снижение уровня информационного риска? Как, на Ваш взгляд, решена эта задача?

Понятия "оценка рисков информационной безопасности" (Information Security Risk Assessments) и "управление информационными рисками" (Information Risk Management) появились сравнительно недавно, но уже прочно укоренились среди специалистов в области информационной безопасности, обеспечения непрерывности бизнеса и управления качеством. В мировой практике такая оценка применяется для снижения рисков управления, а точнее сказать, ответственности персонала за внезапно возникшие проблемы. Угрозы безопасности носят вероятностный характер и изменяются в процессе жизнедеятельности компании. Идентифицируя соответствующие угрозы, анализируя сопутствующие риски и принимая затем эффективные контрмеры, удается избежать риска, смягчить его, передать риск третьему лицу в виде эффективной программы страхования.

Что такое риски?

Общее определение риска дает Федеральный закон "О техническом регулировании" (№ 184-ФЗ от 27 декабря 2002 г.) в ст. 2: "…вероятность причинения вреда… с учетом тяжести этого вреда". Здесь риск рассматривается как некоторая вероятностная категория, ассоциированная с понятием вреда и соответственно с возникающими финансовыми потерями.

Данный закон представляет собой базовый правовой документ в вопросах технического регулирования. С его введением фактически утратили силу Законы РФ "О стандартизации" и "О сертификации продукции и услуг". Основная цель этого закона - создание двухуровневой системы нормативных документов, состоящей из технических регламентов, которые будут содержать обязательные требования безопасности, и добровольных стандартов, содержащих требования к качеству (до принятия закона все действующие в нашей стране ГОСТы были обязательны для исполнения). Изменился правовой статус стандартов - из обязательных они превратились в добровольно применяемые. Иными словами, стандарты, даже государственные, перестают быть обязательными для субъектов хозяйствующей деятельности. Сам термин "государственный стандарт" выходит из обращения (хотя, наверное, еще долго будет фигурировать в неофициальной форме и в виде аббревиатуры ГОСТ). Вместо него введены новые понятия: "национальный стандарт", "международный стандарт". Теперь, в соответствии с п. 8 ст. 7 закона "О техническом регулировании", в качестве основы (полностью или частично) могут использоваться международные стандарты.

Как можно "управлять" рисками?

Под термином "управление информационными рисками" обычно понимают комплекс мер по идентификации, анализу и устранению выявленных в структуре информационной безопасности недостатков, которые связаны с разработкой, эксплуатацией и утилизацией информационно-вычислительных комплексов, в соответствии с существующей нормативно-правовой базой и корпоративной политикой безопасности.

Этот процесс можно разбить на следующие этапы:

1.       Определение и оценка информационных рисков.

2.       Выбор и применение контрмер, структурированных по уровням: административному, процедурному, программно-техническому.

3.       Финансирование рисков.

4.       Контроль рисков на всех этапах жизненного цикла.

Рассмотрим упрощенную структурную схему управления информационными рисками компании (рис. 1). Стрелочками на схеме показаны информационные и финансовые потоки. Схема будет справедлива почти на всех этапах жизненного цикла информационной системы (ИС), с той только разницей, что будет меняться масштабность тех или иных мер. Скажем, если на этапе сертификации ИС на соответствие стандартам в качестве аудиторов будут выступать специалисты сертификационного центра, то в процессе дальнейшей эксплуатации это могут быть штатные специалисты компании, ответственные за безопасность. На этапе утилизации может отсутствовать элемент финансирования, если та или иная система продается по остаточной стоимости.

Рис. 1. Структурная схема управления информационными рисками.

Важнейший элемент управления информационными рисками - аудит безопасности. Существуют различные методологии такого аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные. В России применение отечественных стандартов упрощает многие процедуры, связанные с сертификацией и лицензированием по линии Гостехкомиссии (ныне ФСТЭК РФ)*.

2. Каковы основные причины, вынуждающие аудируемых лиц искажать бухгалтерскую отчетность? Какие факторы влияют на увеличение риска искажений бухгалтерской отчетности?

3. Каковы особенности действий аудитора при выявлении искажений бухгалтерской отчетности согласно правилам (стандарта) аудиторской деятельности «Действия аудитора при выявлении искажений бухгалтерской отчетности»? Как часто они используются на практике?

Действия аудитора в случае выявления им искажений бухгалтерской отчетности в ходе и по результатам аудиторской проверки определены российским стандартом «Действия аудитора при выявлении искажений бухгалтерской отчетности».