Аудиторские риски и методы их оценки

     Итак, на присущий риск также могут влиять внешние факторы, которые служат причиной рисков бизнеса. Например, усовершенствование технологии может сделать определенный продукт устаревшим и быть тем  самым причиной большей склонности к завышению запасов.

     Кроме факторов внешней среды на присущий риск могут влиять факторы, которые формируют внутреннюю среду функционирования предприятия. Эти факторы могут охватывать, например, отсутствие рабочего капитала, достаточного для продолжения деятельности, или спад в отрасли, которые характеризуется большим количеством банкротств;

     Риск  контроля - это риск того, что нельзя будет своевременно предотвратить  искривление, которое может произойти  в утверждении и быть существенным отдельно или в совокупности с  другими искривлениями, или его нельзя будет своевременно обнаружить и исправить с помощью системы внутреннего контроля предприятия. Этот риск является функцией эффективности структуры и функционирования системы внутреннего контроля в достижении целей субъекта хозяйствования относительно составления его финансовых отчетов. Некоторый риск контроля существует всегда вследствие присущих ограничений системы внутреннего контроля. Оценка риска неэффективности внутреннего контроля базируется на изучении его структуры, составных элементов: среды контроля, учетной системы и контрольных моментов. Т.е., риск контроля представляет собой оценку эффективности системы внутреннего контроля клиента с точки зрения ее способности предупреждать и обнаруживать ошибки.

     Следует обратить внимание, что указанные составные аудиторского риска в разных странах и в работах многих авторов называются по-разному, тем не менее они имеют приблизительно одинаковое толкование. В международных стандартах их называют компонентами, во Франции - элементами, в Шотландии - частями и т.п.

     Аудитор  должен обнаружить, распознать, оценить  аудиторский риск и выбрать такой  метод управления, который сведет к минимуму отрицательные следствия  от распознавания  рискованных событий.

     Таким образом, правильно определенный уровень  аудиторского риска  разрешит надлежащим образом спланировать и качественно провести аудиторскую проверку. Соблюдение аудитором принципа репрезентативности отбора данных для проверки разрешит снизить уровень риска.

     Глава 2. Методические подходы  к расчету аудиторского риска

     Современные авторы сводят риск к вероятности наступления  события, которое может произойти  или нет, результат которого может  быть положительным (прибыли, выигрыш), отрицательным (потери, проигрыш) и  нулевым⁶. Тем не менее аудиторский риск нельзя рассматривать как обычный риск, поскольку ничего положительного он в своей природе не несет. Положительным является процесс выявления, оценивания и минимизации аудиторского риска, ведь именно это защитит аудиторскую фирму и аудитора, в частности от наступления отрицательного события (предоставление неправильного аудиторского заключения).

     Избегнуть аудиторского риска невозможно, поскольку  его избежание означает отказ  от аудиторской проверки или предоставления сопутствующих услуг. Поэтому аудиторы стараются минимизировать значение этого риска, а для этого сперва нужно правильно определить его уровень.

     В современной научной литературе методы оценивания риска объединяют в четыре группы:

     экспертные - дают возможность определить уровень  риска в случае, если отсутствует необходимая информация для осуществления расчетов или сравнения (основываются на опросе квалифицированных специалистов со следующей обработкой результатов);

     экономико-статистические - применяются лишь при наличии  достаточно большого объема статистической информации для получения большого количества величин уровня риска;

     расчетно-аналитические - предназначены для расчета относительно точного количественного выражения  уровня риска на основе внутренней информационной базы самого предприятия;

     аналоговые - дают возможность оценить уровень риска за отдельными операциями на основе сравнения с аналогичными⁷.

     На  сегодня активно применяют модель количественной оценки аудиторского риска, которую предложил Американский институт дипломированных общественных бухгалтеров. Публикации этой организации, как авторитетной и влиятельной в мире, используют руководители практического аудиту во многих странах мира. Соответственно ее рекомендациям, аудиторский риск (АР) рассчитывают за формулой (2.1)

     АР = ПР РК РН,          (2.1)

     где: ПР - присущий риск; РК - риск контроля; РН - риск необнаружения.

     По  необходимости, аудитор может использовать методику и технику, которая имеет  больше степеней детализации. Ведь в  приведенной модели может быть не только три, но и четыре и больше составных. Так, риск контроля делят на: риск системы бухгалтерского учета (РСУ), риск системы внутреннего контроля (РСК) и риск внешнего контроля (РВК), а риск необнаружения - на риск аналитического обзора (РАО) и риск тестирования (РТ)⁸.

     АР = ПР РСУ РСК РВК РАО РТ.       (2.2)

     В свою очередь, риск тестирования зависит  от риска выборки (РВ) и риска, не связанного с выборочным исследованием (НРВ).

     РТ=РВ НРВ          (2.3)

     Тем не менее такой вид формулы (2.2) является не окончательным, поскольку и в дальнейшем ее продолжают дополнять новыми составными, что лишь усложняет процесс оценки аудиторского риска.

     Современный этап развития аудиторской деятельности связан с использованием для ведения  учета современных персональных компьютеров и широкого набора бухгалтерских программ, что предусматривает необходимость распространения аудиторских действий на сферу проверки не только данных внутри ЭВМ, но и экспертизы компьютерной системы проверяемого предприятия, в случае ее сложности и тесной взаимозависимости с системой учета и элементами системы внутреннего контроля⁹.

     Эта необходимость при указанных  условиях вызвана появлением риска  информационных систем (РИС), связанного с техническими аспектами компьютерной системы и ее эксплуатацией клиентом, а также рисков, связанных с организацией учета и контроля при использовании компьютерной системы.

     Риск  информационных систем - субъективно  установленный уровень риска, который  отображает достоверность появления  дополнительных существенных искривлений  в финансовой отчетности при использовании на предприятии неэффективной компьютерной системы и недостаточных способностей аудитора оценить степень этой неэффективности.

     Такое определение риска позволяет  включить его в модель допустимого  аудиторского риска следующим образом:

     ПАР =ПР РК РН РИС ,         (2.4)

     Риск  информационных систем, в свою очередь, имеет такие составные¹⁰:

     РИС=РЭКС РНТ РОТ ,         (2.5)

     где, РЭКС - риск эксплуатации компьютерной системы;

     РНТ - риск некорректного построения тестов компьютерной системы, которую использует клиент;

     РОТ - риск ошибочного толкования этих тестов.

     Считаем необходимым объединить РНТ и  РОТ, поскольку второй напрямую зависит  от первого (РНОТ).

     Итак, исходную модель аудиторского риска, учитывая все ее составные, целесообразно  представить следующим образом:

     ПАР = ПР • РК • РНАП • (РВ • НРВ) •  РЭКС • (РРН • РПТ) ,  (2.6)

     Таким образом, основной проблемой учета  рисков является то, что они лежат  в несколько другой плоскости, чем три основных компонента аудиторского риска: присущий риск, риск контроля и риск необнаружения; и не имеют с ними более или менее четкой функциональной связи, что приводит к необходимости опираться прежде всего на профессиональное суждение и опыт аудитора.

     Анализируя  общий аудиторский риск, аудитор  обязан принять во внимание каждый из вышеупомянутых элементов.

     Поскольку аудитор не отвечает за неточности, которые возникают в учете  клиента через ошибки персонала  и несовершенство внутреннего контроля, то от аудитора непосредственно зависит лишь риск необнаружения.

     Итак, чем ниже уровень аудиторского риска, тем больше аудитор должен быть уверенным  в том, что отчетность не содержит ошибок. Нулевой риск означает абсолютную уверенность в достоверности информации, однако на практике аудитор не может быть полностью уверенным в достоверности отчетности, поэтому аудиторский риск всегда находится между 0 и 1 (или 0 и 100 %).

     Приемлемой  величину аудиторского риска считают  от 1 до 5 % от базы расчета (итог баланса, товарооборот и финансовый результат предприятия и т.п.), которую аудитор избирает сам. Так, Ерофеева В.А. в своей работе¹¹ предлагает унифицировать или вообще отказаться от количественной оценки аудиторского риска, обосновывая такое мнение неоднозначным трактованием и не полностью понятной сущностью такой оценки.

     Считаем, что в случае использования формулы (2.1), а также моделей, которые на ней базируются, аудитор получает неадекватный реальности уровень аудиторского риска. Для подтверждения наших слов целесообразно привести несколько примеров определения аудиторского риска с использованием этой формулы:

     пример 1: если ПР = 0,9, РК = 0,9 и РН = 0,9, то соответственно

     АР = 0,9-0,9-0,9 = 0,729;

     пример 2: если ПР = 1, РК = 1 и РН = 1, то АР = 1-1-1=1 (в примере 2 взяты максимальные значения составляющих аудиторского риска).

     По  всей видимости, уровень аудиторского риска из примера 1 не соответствует  действительности, поскольку логически  он должен был бы составлять 0,9. Такие  результаты показывают то, что хотя аудиторский риск сводится к вероятности наступления события это не означает, что его расчет должен базироваться на теории вероятности. Для применения теории вероятности обязательным условием являются применения генеральной совокупности статистически однородных случайных событий. Аудиторский же риск заключается в наличии необнаруженного искривления информации в финансовой отчетности после проведения аудита. Если для оценки аудиторского риска непосредственно применять статистический метод, то генеральная совокупность должна была быть определена как общая совокупность операций, осуществленных проверяемым предприятием за определенный период.

     Также не следует определять уровень аудиторского риска путем вычисления среднеарифметического  значения, его трех составляющих, поскольку нельзя прибавлять значения, которые имеют разную природу возникновения и разное влияние на предприятии. Например, найдя среднеарифметическое значение показателей уровня инфляции в стране, уровня платежеспособности предприятия и уровня квалификации работников финансово-аналитического отдела предприятия, мы не сможем целостно оценить финансовое состояние исследуемого предприятия. Аналогично нельзя для определения аудиторского риска сводить к среднеарифметического его составные риски.

     Тем не менее среднее арифметическое значение целесообразно применять  при предварительном определении  уровней присущего риска, риска  контроля и риска необнаружение, предварительно проведя тестирование с использованием 100-балльной шкалы. Также можно при этом применять коэффициенты весомости воздействия каждого фактора на уровень каждой составляющей аудиторского риска, что в своих работах предложил профессор В.С. Рудницкий. Тем не менее нецелесообразным является применение этих коэффициентов во время определения общего уровня аудиторского риска, поскольку аудитор не может заранее определить, которая из его составных будет иметь большее влияние на риск предоставления неправильного аудиторского заключения.

     Процесс анализа и оценки составных частей аудиторского риска может основываться на модели, которая раскрывается Роем Доджем и Джоном Робертсоном. Эта модель базируется на использовании таких исходных условий:

     1. Аудитор не может полностью  доверять системам учета и  внутреннего контроля предприятия,  отчетность которого проверяется. В таком случае риск существенных искривлений полностью сводится к нулю, а это, в свою очередь, означает, что значение аудиторского риска будет равняться также нулю (АР (0,0) х РН (0,0) = 0,0), чего, как известно, не может быть.

     2. Аудитор не может разрешить  себе принять высокий уровень  риска необнаружения (например, больше 50%) для случаев высокого значения  риска существенных искривлений,  поскольку в этом случае общее  значение аудиторского риска  будет высоким (больше 5%), чего  допускать нельзя, потому, что проверка не будет проведена качественно.

     Например:

     АР = РСИ (0,72) х РН (0,5) = 0,36.

     3. Аудиторская проверка будет проведена  соответствующей степени качества, если аудитор примет низкое  значение риска необнаружения  при полном недоверии к системе внутреннего контроля предприятия.