Подходы к анализу системы внутреннего контроля клиента

    - бесед с компетентными работниками экономического субъекта;

    - проверки документов;

    - наблюдения за применением конкретных  мероприятий и процедур;

    - аналитических процедур.

    Рассмотрим  более подробно процесс изучения и оценки СВК, который состоит  из понимания и документирования этой системы, оценки контрольного риска, тестирования средств контроля, оценки результатов тестирования и их документирования, тестирования по существу.

    Для анализа СВК аудитору следует:

    - опираться на собственный опыт  работы с субъектом;

    - запрашивать необходимую информацию у руководства, контролеров и персонала;

    - исследовать документы и записи;

    - изучать характер и виды деятельности;

    - задокументировать полученное понимание.

    Текущие средства внутреннего контроля исследуются  аудитором на основе данных из нескольких источников - как прошлых, так и настоящих. Аудитор должен проанализировать рабочие документы по предыдущей аудиторской проверке, запросить дополнительную информацию у персонала клиента и внутренних аудиторов, изучить руководства по процедурам и пронаблюдать деятельность компании. Однако следует учитывать, что структура средств внутреннего контроля предыдущих периодов может не соответствовать текущему периоду.

    Документирование  понимания СВК может быть сделано  аудитором путем подготовки блок-схем, заполнения анкет, описаний и составления древа-решений и таблиц. Такие формы документирования доказывают, что достаточное понимание и оценка СВК были фактически осуществлены.

    Блок-схемы  представляют собой символические  диаграммы, отражающие последовательный процесс системы управления, обработки и документирования. Блок-схемы могут использоваться, во-первых, для оценки СВК, во-вторых, - как средства документирования в электронном виде при программировании.

    Блок-схема, используемая для оценки системы, показывает происхождение каждого документа в системе, его последующую обработку и конечное месторасположение. Помимо этого схемы полезны для аудитора тем, что документируют все шаги в процессе проверки.

    Электронные блок-схемы, используемые в качестве документации, первоначально создаются для документирования логики и существующих потоков электронной информации. Аудитор может использовать такие схемы для оценки как работы программы, так и средств внутреннего контроля, относящихся к функции обработки данных в общем.

    Для подготовки блок-схем следует:

    - составить схему документооборота  и информационных потоков;

    - начинать с верхней части страницы  и двигаться сверху вниз и  слева направо;

    - использовать описание для лучшего  понимания пользователем;

    - избегать разделяющих линий, если это возможно;

    - при необходимости прочитать  заново схему с точки зрения  читателя и устранить неопределенности.

    Анкета  по СВК обычно содержит вопросы, которые  предполагают ответы "да" или "нет". Отрицательные ответы направлены на заострение внимания на возможные недостатки этой системы. По отрицательным ответам необходимо написать объяснение. Анкеты также имеют дополнительное пространство, для того чтобы опрашиваемый сотрудник мог разместить там свои пояснения. Вопросы должны быть ориентированы на конкретные средства внутреннего контроля, отвечающие за определенный элемент, счет или процесс. Они должны относиться к каждой процедуре уместного средства.

    Описания  являются письменной версией блок-схемы. Аудитор описывает то, как он представляет себе СВК. Изложение фактов производится в последовательности происхождения событий по определенной операции.

    Блок-схемы  подходят для документирования более  сложных структур контроля, а письменное изложение фактов - для менее сложных.

    Древо решений является графической иллюстрацией, которая показывает логику операции или процесса. При этом в основном используются вопросы, на которые должны следовать ответы "да", "нет", направляющие пользователя к логически следующему вопросу. Таблицы показывают логическую связь компонентов системы в табличной форме. При помощи этих двух методов аудитор документирует понимание процесса.

    Следующим этапом в изучении и оценке СВК являются оценка контрольного риска, тестирование средств контроля.

    Оценка  риска контроля - определение того, насколько эффективны средства внутреннего  контроля при предупреждении или  выявлении существенных искажений  в финансовой отчетности. Средства контроля могут иметь значительный эффект в отношении многих, одного или нескольких утверждений.

    Средства  контроля могут прямо либо косвенно относиться к утверждениям. В первом случае средства контроля более эффективны, поэтому аудитор может оценить риск контроля ниже, чем во втором.

    Аудитор может принять одну или несколько  различных стратегий аудита утверждений.

    Оценка  риска контроля как максимальная (или немного ниже) означает, что  аудитор планирует применить  в основном подход проверки по существу. В этом случае средства контроля не тестируются, так как аудитор не намерен на них полагаться. Максимальный уровень оценки риска контроля свидетельствует о том, что процедура контроля:

    - неуместна либо неэффективна;

    - соотношение затраты - выгоды  мешает проведению тестирования;

    - неэффективна для тестирования  средства контроля;

    - представляет собой слабо разработанное  средство контроля.

    Оценка  риска контроля ниже максимального  означает, что аудитор намерен  полагаться на подобные средства внутреннего  контроля. Оценка риска ниже максимального уровня затрагивает:

    - идентификацию определенных уместных  средств контроля, которые, скорее  всего, обнаружат и устранят  существенные искажения;

    - проведение тестирования данных  средств контроля;

    - заключение по оцененному уровню риска контроля.

    Какая стратегия ни была бы выбрана, она  определяет:

    - степень понимания СВК, которую  аудитор должен достичь;

    - природу, степень, время для  выполнения процедур для получения  такого понимания;

    - документирование выводов относительно оцененного уровня риска контроля;

    - природу, время и степень проведения  процедур по существу, которые  должны быть выполнены.

    Оценка  риска контроля должна быть оформлена  документально, так как любая  оценка риска контроля ниже максимальной должна быть обоснована доказательствами, полученными в результате тестирования средств контроля.

    Если  далее аудитор предполагает снизить  риск контроля до желаемого уровня, то необходимо выполнить дополнительное тестирование средств контроля. В  основном дополнительное тестирование проводится, если есть необходимость получить дополнительные доказательства или аудитор сочтет это достаточно эффективным. Аудитор оценивает, оправдают ли усилия, требуемые для проведения дополнительного тестирования средств контроля, ожидаемое сокращение тестирования по существу.

    О надежности СВК свидетельствуют:

    - нумерация документов, которая позволяет  убедиться в том, что все  операции отражены в учете  (полнота); все операции отражены  в учете только один раз  (существование);

    - разрешение на проведение операции, которое должно осуществляться до передачи ресурсов (существование);

    - независимые проверки, включающие  проверку работы, выполненной другими  лицами (оценка), - сверку банковских  выписок, сравнение субсчетов  с синтетическими счетами главной  книги, сравнение данных проведенной инвентаризации с данными бухгалтерского учета;

    - документирование, которое предоставляет  доказательства по совершенным  операциям, а также является  основой для определения ответственности  за исполнение и отражение  операций (существование и оценка);

    - распределение обязанностей, дающее  уверенность в том, что отдельные  лица не выполняют не совместимые  с их работой служебные обязанности.  С точки зрения контроля служебные  обязанности считаются несовместимыми, когда, например, конкретное лицо имеет возможность украсть актив и в то же время скрыть эту кражу (существование и происхождение);

    - физические средства контроля, предполагающие  применение охранных устройств  и средств, а также ограничение  доступа к запрещенным участкам  с использованием определенных средств и компьютерных программ.

    Оценка  риска качества аудита базируется на обратной взаимосвязи риска необнаружения  и комбинации неотъемлемого и  контрольного риска. Высокий уровень  неотъемлемого риска и риска  средств контроля обязывает организовать проверку таким образом, чтобы минимизировать величину риска необнаружения и тем самым свести аудиторский риск до приемлемого значения. Низкий уровень неотъемлемого и контрольного риска позволяет допустить в ходе аудита более высокий риск необнаружения (посредством применения менее трудоемких методов получения аудиторских доказательств) и достичь приемлемого значения аудиторского риска.

     6. Итоги оценки системы  внутреннего контроля  в ходе аудита

 

     В ходе аудиторской проверки аудитор  обязан изучить и оценить те средства контроля, на основе которых он собирается определить суть, масштаб и временные затраты предполагаемых аудиторских процедур. Масштаб и особенности системы внутреннего контроля, а также степень их формализации должны соответствовать размерам экономического субъекта и особенностям его деятельности.

     Оценивая  эффективность построения и функционирования внутрихозяйственного контроля, аудитор  должен установить эффективность организационной  структуры, роль руководства и место  внутреннего контроля в данной организации. Так, если внутрихозяйственный контроль возложен на ревизионную комиссию организации на общественных началах, то, как показывает практика многих лет, руководство может игнорировать систему контроля или преднамеренно привести ложные сведения в финансовой отчетности. Другое дело, когда внутрихозяйственный контроль в организации осуществляется службой (специальным отделом) внутреннего аудита, являющейся самостоятельным подразделением аппарата управления и созданной с целью обеспечения эффективности деятельности всех служб по защите законных имущественных интересов собственников.

     Важное  значение для определения эффективности  системы внутрихозяйственного контроля имеет оценка того, насколько обоснованно  составлены планы ревизии внутреннего контроля и четко выполняются все запланированные работы по отношению к отдельным объектам контроля во времени. Какие при этом процедуры проверки использованы и насколько они были эффективны; насколько можно доверять надежности информации по результатам внутрихозяйственного контроля.

     Система внутрихозяйственного контроля требует: наличия компетентного, заслуживающего доверия персонала с четко  определенными правами и обязанностями; разделения обязанностей; создания необходимых  условий для работы службы внутреннего аудита (выделение помещения, специалистов, транспорта, наличие укомплектованной или программной, нормативной и справочной базы данных и т. п.); организации охраны труда, повышения квалификации членов штатного аппарата службы; определения уровня оплаты труда работников службы внутреннего контроля в штатном расписании. Иметь следующие права: проверять первичные документы, бухгалтерские регистры, наличие денег, ценностей и ценных бумаг в кассе, проверять сметы, планы и другие документы финансово-хозяйственной деятельности; знакомиться с приказами, постановлениями собрания акционеров, учредителей, распоряжениями правления и должностных лиц, проектами и уже заключенными с другими организациями договорами; обследовать объекты строительства, территорию, склады, мастерские и другие производственные, хозяйственные и служебные помещения, места хранения товарно-материальных ценностей; проверять наличие, состояние и сохранность имущества у материально-ответственных лиц; требовать проведения или проводить полную или частичную инвентаризацию имущества и обязательств организации, в необходимых случаях опечатывать сейфы, кассы, склады, кладовые, архивы и др.; требовать от руководителей структурных подразделений, специалистов организации необходимые справки, расчеты, заверенные копии документов для приложения к акту, устные и письменные объяснения по вопросам, возникающим в ходе проверки; организовывать подготовку к проверкам внешнего аудита и налоговой инспекции; проводить проверки выполнения обязанностей.