Оценка системы внутреннего контроля в аудите

Блок-схема, используемая для оценки системы, показывает происхождение  каждого документа в системе, его последующую обработку и  конечное месторасположение. Помимо этого  схемы полезны для аудитора тем, что документируют все шаги в  процессе проверки.

Электронные блок-схемы, используемые в качестве документации, первоначально создаются для  документирования логики и существующих потоков электронной информации. Аудитор может использовать такие  схемы для оценки как работы программы, так и средств внутреннего  контроля, относящихся к функции  обработки данных в общем.

Для подготовки блок-схем следует:

- составить схему  документооборота и информационных  потоков;

- начинать с  верхней части страницы и двигаться  сверху вниз и слева направо;

- использовать  описание для лучшего понимания  пользователем;

- избегать разделяющих  линий, если это возможно;

- при необходимости  прочитать заново схему с точки  зрения читателя и устранить  неопределенности.

Анкета по СВК  обычно содержит вопросы, которые предполагают ответы "да" или "нет". Отрицательные  ответы направлены на заострение внимания на возможные недостатки этой системы. По отрицательным ответам необходимо написать объяснение. Анкеты также  имеют дополнительное пространство, для того чтобы опрашиваемый сотрудник  мог разместить там свои пояснения. Вопросы должны быть ориентированы  на конкретные средства внутреннего  контроля, отвечающие за определенный элемент, счет или процесс. Они должны относиться к каждой процедуре уместного  средства.

Описания являются письменной версией блок-схемы. Аудитор  описывает то, как он представляет себе СВК. Изложение фактов производится в последовательности происхождения  событий по определенной операции.

Блок-схемы подходят для документирования более сложных  структур контроля, а письменное изложение  фактов - для менее сложных.

Древо решений  является графической иллюстрацией, которая показывает логику операции или процесса. При этом в основном используются вопросы, на которые должны следовать ответы "да", "нет", направляющие пользователя к логически  следующему вопросу. Таблицы показывают логическую связь компонентов системы  в табличной форме. При помощи этих двух методов аудитор документирует  понимание процесса.

Следующим этапом в изучении и оценке СВК являются оценка контрольного риска, тестирование средств контроля.

Оценка риска  контроля - определение того, насколько  эффективны средства внутреннего контроля при предупреждении или выявлении  существенных искажений в финансовой отчетности. Средства контроля могут  иметь значительный эффект в отношении  многих, одного или нескольких утверждений.

Средства контроля могут прямо либо косвенно относиться к утверждениям. В первом случае средства контроля более эффективны, поэтому аудитор может оценить  риск контроля ниже, чем во втором.

Аудитор может  принять одну или несколько различных  стратегий аудита утверждений.

Оценка риска  контроля как максимальная (или немного  ниже) означает, что аудитор планирует  применить в основном подход проверки по существу. В этом случае средства контроля не тестируются, так как  аудитор не намерен на них полагаться. Максимальный уровень оценки риска  контроля свидетельствует о том, что процедура контроля:

- неуместна либо  неэффективна;

- соотношение  затраты - выгоды мешает проведению  тестирования;

- неэффективна для тестирования средства контроля;

- представляет  собой слабо разработанное средство  контроля.

Оценка риска  контроля ниже максимального означает, что аудитор намерен полагаться на подобные средства внутреннего контроля. Оценка риска ниже максимального  уровня затрагивает:

- идентификацию  определенных уместных средств  контроля, которые, скорее всего,  обнаружат и устранят существенные  искажения;

- проведение  тестирования данных средств  контроля;

- заключение  по оцененному уровню риска  контроля.

Какая стратегия  ни была бы выбрана, она определяет:

- степень понимания  СВК, которую аудитор должен  достичь;

- природу, степень,  время для выполнения процедур  для получения такого понимания;

- документирование  выводов относительно оцененного  уровня риска контроля;

- природу, время  и степень проведения процедур  по существу, которые должны быть  выполнены.

Оценка риска  контроля должна быть оформлена документально, так как любая оценка риска  контроля ниже максимальной должна быть обоснована доказательствами, полученными  в результате тестирования средств  контроля.

Если далее  аудитор предполагает снизить риск контроля до желаемого уровня, то необходимо выполнить дополнительное тестирование средств контроля. В основном дополнительное тестирование проводится, если есть необходимость  получить дополнительные доказательства или аудитор сочтет это достаточно эффективным. Аудитор оценивает, оправдают  ли усилия, требуемые для проведения дополнительного тестирования средств  контроля, ожидаемое сокращение тестирования по существу.

О надежности СВК  свидетельствуют:

- нумерация документов, которая позволяет убедиться  в том, что все операции отражены  в учете (полнота); все операции  отражены в учете только один  раз (существование);

- разрешение  на проведение операции, которое  должно осуществляться до передачи  ресурсов (существование);

- независимые  проверки, включающие проверку работы, выполненной другими лицами (оценка), - сверку банковских выписок, сравнение  субсчетов с синтетическими счетами  главной книги, сравнение данных  проведенной инвентаризации с  данными бухгалтерского учета;

- документирование, которое предоставляет доказательства по совершенным операциям, а также является основой для определения ответственности за исполнение и отражение операций (существование и оценка);

- распределение  обязанностей, дающее уверенность  в том, что отдельные лица  не выполняют не совместимые  с их работой служебные обязанности.  С точки зрения контроля служебные  обязанности считаются несовместимыми, когда, например, конкретное лицо  имеет возможность украсть актив  и в то же время скрыть  эту кражу (существование и  происхождение);

- физические  средства контроля, предполагающие  применение охранных устройств  и средств, а также ограничение  доступа к запрещенным участкам  с использованием определенных  средств и компьютерных программ.

Оценка риска  качества аудита базируется на обратной взаимосвязи риска необнаружения  и комбинации неотъемлемого и  контрольного риска. Высокий уровень  неотъемлемого риска и риска  средств контроля обязывает организовать проверку таким образом, чтобы минимизировать величину риска необнаружения и  тем самым свести аудиторский  риск до приемлемого значения. Низкий уровень неотъемлемого и контрольного риска позволяет допустить в  ходе аудита более высокий риск необнаружения (посредством применения менее трудоемких методов получения аудиторских  доказательств) и достичь приемлемого  значения аудиторского риска. 

О.В.Нестерова

Кафедра налогообложения  и аудита

Самарского государственного

экономического  университета