Міжнародний стандарт аудиту 315
«ІДЕНТИФІКАЦІЯ ТА ОЦІНКА РИЗИКІВ СУТТЄВИХ ВИКРИВЛЕНЬ ЧЕРЕЗ РОЗУМІННЯ СУБ'ЄКТА ГОСПОДАРЮВАННЯ І ЙОГО СЕРЕДОВИЩА» (чинний для аудитів фінансової звітності за періоди, що починаються з 15 грудня 2009 р. або пізніше) ЗМІСТ
Вступ Сфера застосування цього МСА Дата набрання чинності, Л Мета,) Визначення Вимоги Процедури оцінки ризиків та пов'язані дії 5 III Необхідне розуміння суб'єкта господарювання та його середовища, включаючи внутрішній контроль II Ідентифікація та оцінка ризиків суттєвого викривлення 25)Я Документація.Я Матеріали для застосування та інші пояснювальні матеріали Процедури оцінки ризиків та пов'язані дії Необхідне розуміння суб'єкта господарювання та його середовища, включаючи внутрішній контроль Ідентифікація та оцінка ризиків суттєвого викривлення Документація
Додаток 1. Компоненти внутрішнього контролю Додаток 2. Умови та події, які можуть вказувати на ризики суттєвого викривлення Міжнародний стандарт аудиту (МСА) 315 «Ідентифікація та оцінка ризиків суттєвих викривлень через розуміння суб'єкта господарювання і його середовища» слід застосовувати разом із МСА 200 «Загальні цілі незалежного аудитора та проведення аудиту відповідно до Міжнародних стандартів аудиту».
Вступ Сфера застосування цього МСА Цей Міжнародний стандарт аудиту (МСА) розглядає відповідальність аудитора за ідентифікацію та оцінку ризиків суттєвих викривлень фінансової звітності через розуміння суб'єкта господарювання і його середовища, включаючи внутрішній контроль суб'єкта. І її пі набрання чинності Цей МСА чинний для аудитів фінансової звітності за періоди, що починаються з 15 грудня 2009 р. або пізніше.
Мста Метою аудитора є ідентифікування та оцінка ризиків суттєвого викривлення внаслідок шахрайства чи помилки на рівні фінансового звіту і тверджень через розуміння суб'єкта господарювання і його середовища, включаючи його внутрішній контроль, у такий спосіб забезпечивши основу для розробки і впровадження дій у відповідь на оцінені ризики суттєвого викривлення. Низначення Для цілей цього МСА наведені далі терміни мають такі значення: а) твердження — твердження, надані управлінським персоналом, явні або інші, які містяться у фінансовій звітності та які використовує аудитор для розгляду потенційних викривлень різного типу, що можуть мати місце; б) бізнес-ризик — ризик, що є наслідком значущих умов, подій, обставин, діяльності або бездіяльності, які можуть негативно вплинути на здатність суб'єкта господарювання досягти своїх цілей та реалізувати свої стратегії, а також наслідком встановлення невідповідних цілей і стратегій; в) внутрішній контроль — процес, розроблений, запроваджений і підтримуваний тими, кого наділено найвищими повноваженнями, управлінським персоналом, а також іншими працівниками, для забезпечення обґрунтованої впевненості в досягненні цілей суб'єкта господарювання стосовно достовірності фінансової звітності, ефективності та результативності діяльності, а також дотриманні застосовних законів і нормативних актів. Термін «заходи контролю» стосується будь-яких аспектів одного чи кількох компонентів внутрішнього контролю; г) процедури оцінки ризиків аудп юрські процедури, які викоііуиіц для отримання розуміння суб'єкта господарювання та Ііши середовища, в тому числі внутрішнього контролю суб'їи- господарювання, визначення й оцінки ризиків суті ми ни викривлення внаслідок шахрайства або помилки на рівні фінансові звітності та тверджень; г) значний ризик — ідентифікований та оцінений ризик сути ти* викривлення, що, за судженням аудитора, потребує спеціальної и розгляду аудитором.
Вимоги Процедури оцінки ризиків та пов'язані дії Аудитор повинен виконати процедури оцінки ризиків для забезпеченні основи для ідентифікації й оцінки ризиків суттєвого викривлення на ріМІІІ фінансової звітності та тверджень. Однак процедури оцінки ризиків мімі по собі не надають достатніх та прийнятних аудиторських доказів, мі яких ґрунтується думка аудитора (див. параграфи Д1—Д5). Процедури оцінки ризиків мають включати таке: а) подання запитів до управлінського персоналу та інших працівник)Н суб'єкта господарювання, які, на думку аудитора, можуть мати інформацію, яка, ймовірно, може допомогти при ідентифікіїші ризиків суттєвого викривлення внаслідок шахрайства або помилки (див. параграф Д6); б) аналітичні процедури (див. параграфи Д7—ДЮ); в) спостереження та перевірка (див. параграф Д11). Аудитор повинен визначити, чи є доречною інформація, отримана під чіц затвердження клієнта аудитора або продовження контракту, дли ідентифікації ризиків суттєвого викривлення. Якщо партнер із завдання виконав інші завдання для суб'єкт господарювання, він повинен визначити, чи є отримана інформант доречною для ідентифікації ризиків суттєвого викривлення. Якщо аудитор має намір використати інформацію, яку він отримав під чио своєї минулої роботи із суб'єктом господарювання та під час проведении аудиторських процедур у ході попередніх аудитів, він повинен визначити, чи сталися з моменту проведення попереднього аудиту зміни, які можуть вплинути на доречність такої інформації для поточном» аудиту (див. параграфи Д12—Д13). Партнер із завдання та інші провідні члени аудиторської групи із завдання повинні обговорити чутливість фінансової звітності суб'єкти господарювання до суттєвого викривленим та застосування застосовної концептуальної основи фінансової звітності до фак тів і обставин суб'єкта господарювання. Партнер із завдання повинен визначити, які питання потрібно довести до відома членів аудиторської групи із завдання, які не беруть участі в обговоренні (див. параграфи Д14—Діб). Необхідне розуміння суб'єкта господарювання та його середовища, ііі> лючаючи внутрішній контроль
('»'6 'ект господарювання та його середовище Аудитор повинен отримати розуміння такого: а) доречні галузеві, регуляторні та інші зовнішні чинники, включаючи застосовну концептуальну основу фінансової звітності (див. параграфи Д17—Д22); б) характер суб'єкта господарювання, в тому числі: його діяльність; структуру його власності та корпоративного управління; види інвестицій, які суб'єкт господарювання здійснює та планує здійснити, включаючи інвестиції у підприємства спеціального призначення; та іу) структуру і спосіб фінансування суб'єкта господарювання, для того щоб мати розуміння класів операцій, залишків на рахунках та розкриття інформації, які можна очікувати у фінансовій звітності (див. параграфи Д23—Д27); в) вибір і застосування суб'єктом господарювання облікової політики, включаючи причини для внесення змін до неї. Аудитор повинен оцінити, чи є облікова політика суб'єкта господарювання прийнятною для його діяльності та чи відповідає вона застосовній концептуальній основі фінансової звітності й обліковим політикам, які застосовуються у відповідній галузі (див. параграф Д28); г) цілі та стратегії суб'єкта господарювання і пов'язані з ними бізнес-ризики, які можуть призвести до ризиків суттєвого викривлення (див. параграфи Д29—Д35); г) оцінка та огляд фінансових результатів суб'єкта господарювання (див. параграфи Д36—Д41). Внутрішній контроль су б 'єкта господарювання Аудитор повинен отримати розуміння внутрішнього контролю, доречного для аудиту. Хоча більшість заходів контролю, доречних для аудиту, ймовірно, стосуються фінансової звітності, не всі заходи контролю, що стосуються фінансової звітності, є доречними для аудиту. Рішення, чи є захід контролю окремо або у поєднанні з іншими заходами доречним для аудиту, < питанням професійного судження аудитора (див. параграфи Д42 Д65). МСА 315
Характер та обсяг розуміння доречних заходів контролю При отриманні розуміння заходів контролю, що є доречними для куди і І аудитор повинен оцінити їх структуру та визначити, чи були тчж впроваджені, через виконання відповідних процедур на додаток і№ подання запиту до персоналу суб'єкта господарювання (див. параї рііф§ І |ці Д66-Д68). МІ,|,ц
Компоненти внутрішнього контролю Середовище контролю Аудитор має отримати розуміння середовища контролю. Для цього мін повинен оцінити таке: а) чи створив та підтримує управлінський персонал під наглядом ІИК кого наділено найвищими повноваженнями, культуру чесноси її етичної поведінки; та б) чи створюють у сукупності елементи середовища контроЩ прийнятну основу для інших компонентів внутрішнього контролі»І Я чи справляють недоліки середовища контролю негативний вплии іні ці інші компоненти (див. параграфи Д69—Д78). Процес оцінки ризиків суб'єкта господарювання Аудитор повинен отримати розуміння того, чи передбачено у суб'гми господарювання процес для: а) ідентифікації бізнес-ризиків, доречних для цілей фінансової звітності; б) оцінки значущості ризиків; в) оцінки ймовірності їх виникнення; та г) прийняття рішень про механізми розгляду цих ризиків (дии параграф Д79). Якщо суб'єкт господарювання встановив такий процес (далі у тексті процес оцінки ризиків суб'єкта господарювання), аудитор повинен отримати розуміння такого процесу та його результатів. Якщо аудитор ідентифікує ризики суттєвого викривлення, які не вдалося ідентифікувати управлінському персоналу, він повинен оцінити, чи існує будь-якиИ основний ризик, який, на думку аудитора, мав бути ідентифікований процесом оцінки ризиків суб'єкта господарювання. Якщо такий ризик існує, аудитор повинен отримати розуміння того, чому цей процес не змії його ідентифікувати та оцінити, чи є цей процес прийнятним за таких обставин, або визначити, чи існують суттєві недоліки внутрішнього контролю щодо процесу оцінки ризиків суб'єкта господарювання. г Якщо суб'єкт господарювання не встановив такого процесу або процес г несистематичним, аудитор повинен обговорити з управлінським персоналом, чи були виявлені доречні для цілей фінансової звітності бізнес-ризики та в який спосіб їх було розглянуто. Аудитор повинен оцінити, чи є прийнятною за таких обставин відсутність задокументованого процесу оцінки ризиків, або визначити, чи є це суттєвим недоліком внутрішнього контролю (див. параграф Д80). |юрмаційна система, включаючи пов'язані бізнес-процеси, доречні для тисової звітності, та повідомлення інформації Аудитор повинен отримати розуміння інформаційної системи, включаючи пов'язані бізнес-процеси, доречні для фінансової звітності, включаючи такі сфери:
а) класи операцій у діяльності суб'єкта господарювання, які є значними для фінансової звітності; б) процедури у рамках як системи інформаційних технологій (ІТ), так і ручних систем для ініціалізації, запису, обробки, коригування цих операцій, у разі потреби перенесення до головної бухгалтерської книги та відображення у фінансовій звітності; в) відповідні облікові записи, підтверджувальна інформація та окремі рахунки у фінансовій звітності, які використовуються для ініціалізації, запису, обробки та реєстрації операцій; це включає виправлення неправильної інформації та те, як інформація переноситься до головної бухгалтерської книги. Записи можуть вестися вручну або в електронній формі; г) як інформаційна система реєструє події та умови, які не є операціями та які є значними для фінансової звітності; г) процес фінансової звітності, який застосовується для складання фінансової звітності суб'єкта господарювання, включаючи значні облікові оцінки та розкриття; і д) заходи контролю за журнальними записами, включаючи нестандартні журнальні записи, які роблять для реєстрації разових, незвичайних операцій або коригувань (див. параграфи Д81—Д85). (>. Аудитор повинен отримати розуміння того, як суб'єкт господарювання повідомляє інформацію про ролі та відповідальність щодо фінансової звітності, та суттєві питання, пов'язані з фінансовою звітністю, включаючи (див. параграфи Д86—Д87): а) обмін інформацією між управлінським персоналом та тими, кого наділено найвищими повноваженнями; і б) зовнішній обмін інформацією, наприклад з регуляторними органами. Чиходи контролю, доречні для аудиту .*(). Ауди тор повинен отримати розуміння заходів контролю, доречних для аудиту, які, за його судженням, необхідно розуміти з метою оцінки ризиків суттєвого викривленим ни рівні 'тверджень і розробки подальших аудиторських процедур у відповідь па оцінені ризики. Дня аудиту н# потрібно розуміння всіх заході» контролю, пов'язаних з кожним суш ним класом операцій, залишком на рахунках та розкриттям інформації V фінансовій звітності або з кожним твердженням щодо них (лиіі параграфи Д88—Д94). Отримуючи розуміння заходів контролю суб'єкта господарювати, аудитор повинен отримати розуміння того, як суб'єкт господарюванні відповів на ризики, що виникають з ІТ (див. параграфи Д95—-Д97). Моніторинг заходів контролю Аудитор повинен отримати розуміння основних заходів, які суб'їм господарювання використовує для моніторингу внутрішнього контроЩ за фінансовою звітністю, включаючи ті, що стосуються доречних дні аудиту заходів контролю, а також те, як суб'єкт господарювання ініиппі заходи з виправлення недоліків у своїх заходах контролю (див. параграфи Д98—Д100). Якщо суб'єкт господарювання має підрозділ внутрішнього аудиту, 1 метою визначення, чи є доречною для аудиту діяльність підрозділу внутрішнього аудиту, аудитор повинен отримати розуміння такого: а) характер відповідальності підрозділу внутрішнього аудиту та ми підрозділ внутрішнього аудиту вписується в організації! ну структуру суб'єкта господарювання; і б) заходи, які вживаються або яких треба вжити підрозділом внутрішнього аудиту (див. параграфи Д101—ДЮЗ). Аудитор повинен отримати розуміння джерел інформації, якії застосовується у моніторинговій діяльності суб'єкта господарювання, їй основу, на підставі якої управлінський персонал вважає цю інформацію достатньо достовірною для цієї мети (див. параграф Д104). Ідентифікація та оцінка ризиків суттєвого викривлення Аудитор повинен ідентифікувати та оцінити ризики суттєвого викривлення: а) на рівні фінансової звітності (див. параграфи Д105—Д108); та б) на рівні твердження для класів операцій, залишків на рахунках І розкриття інформації (див. параграфи Д109—Д113) для того, щоб створити основу для розробки й виконання подальших аудиторських процедур
цією метою аудитор повинен: а) ідентифікувати ризики у процесі отримання розуміння суб'єкта господарювання та його середовища, включаючи доречні заходи контролю, які стосуються ризиків, і через аналіз класів операцій, залишків на рахунках і розкриття інформації у фінансовій звітності (див. параграфи Д114—Д115); б) оцінити ідентифіковані ризики та встановити, чи мають вони більш всеохоплюючий вплив на фінансову звітність у цілому і чи впливають вони потенційно на більшість тверджень; в) ув'язати ідентифіковані ризики із тим, що може бути не так на рівні тверджень, ураховуючи відповідні заходи контролю, які аудитор планує тестувати (див. параграфи Д116—Д118); та г) розглянути ймовірність викривлення, включаючи можливість численних викривлень, і встановити, чи може потенційне викривлення призвести до суттєвого викривлення. І'тики, які потребують спеціального розгляду аудитором В межах оцінки ризиків згідно з процедурою, описаною у параграфі 25, аудитор повинен встановити, чи є будь-які з ідентифікованих ризиків, за судженням аудитора, значними. При здійсненні такого судження аудитор повинен виключити вплив ідентифікованих заходів контролю, що стосуються такого ризику. 2К. При здійсненні судження щодо того, які ризики є значними, аудитор повинен проаналізувати щонайменше таке: а) чи є ризик ризиком шахрайства; б) чи пов'язаний ризик із нещодавніми значними економічними, обліковими та іншими обставинами і, відтак, потребує особливої уваги; в) складність операцій; г) чи має такий ризик відношення до значних операцій з пов'язаними сторонами; ґ) рівень суб'єктивності при здійсненні оцінки фінансової інформації, що стосується ризику, особливо таких оцінок, які пов'язані з високим рівнем невизначеності оцінки; та
д) чи включає ризик значні операції, що виходять за межі звичайної господарської діяльності суб'єкта господарювання або по-іншому є незвичайними (див. параграфи Д119—Д123). 29. Якщо аудитор установив, що існує значний ризик, він повинен отримати розуміння заходів контролю суб'єкта господарювання, включаючи заходи контролю, доречні для такого ризику (див. параграфи ДІ24 -Д126). Ризики, для яких лише процедури перевірки по суті не надають достатня т прийнятних аудиторських доказів СТОСОВНО ДеЯКИХ РИЗИКІВ ауДИТОр можє ВИНеСТИ СуДЖеННЯ Н|ПІ неможливість або недоцільність отримання достатніх та прийнятнії» аудиторських доказів лише за допомогою процедур перевірки по суіі Такі ризики можуть бути пов'язані із неточним або неповним відображенням звичайних та суттєвих класів операцій чи залишкіи їм рахунках, характеристики яких часто дають змогу здійснювати I* автоматизовану обробку без або з незначною кількістю ручних операцій У таких випадках заходи контролю суб'єкта господарювання стосошім таких ризиків є важливими для аудиту, і аудитор повинен отримати и розуміння (див. параграфи Д127—Д129). Перегляд оцінки ризиків Оцінка аудитором ризиків суттєвого викривлення на рівні тверджені, може змінюватися в ході аудиту в міру отримання додатком! и аудиторських доказів. За обставин, коли аудитор отримує аудиторе ми докази під час проведення подальших аудиторських процедур або при отриманні нової інформації, які не відповідають аудиторським доказим на яких ґрунтувалася первинна оцінка аудитора, аудитор повиїнчі переглянути таку оцінку та відповідно модифікувати подальші заплановані аудиторські процедури (див. параграф Д130). Документація Аудитор повинен включити до аудиторської документації таке: а) обговорення з членами аудиторської групи із завдання, якщо по вимагається параграфом 10, та прийняті суттєві рішення; б) основні елементи розуміння, отримані стосовно кожного аспекіу діяльності суб'єкта господарювання та його середовища, які зазначені в параграфі 11, та кожного компонента внутрішнього контролю із зазначених у параграфах 14—24; джерела інформації, і яких було отримано розуміння, та виконані процедури оцінки ризиків; в) ідентифіковані й оцінені ризики суттєвого викривлення на ріши фінансової звітності та на рівні тверджень згідно з параграфом 25; і л г) ідентифіковані ризики та пов'язані заходи контролю, про які аудитор отримав розуміння в результаті виконання вимог параграфів 27- ЗО (див. параграфи Д131—Д134).
Матеріали для застосування та інші пояснювальні матеріали Процедури оцінки ризиків та пов'язані дії (див. параграф 5) ДІ, Отримання розуміння суб'єкта господарювання та його середовища, включаючи внутрішній контроль (далі у тексті — розуміння суб'єкта господарювання), є постійним і динамічним процесом збору, оновлення й аналізу інформації протягом усього аудиту. Таке розуміння формує систему критеріїв, у межах якої аудитор планує аудит та здійснює професійні судження в ході всього аудиту, наприклад при: оцінці ризиків суттєвого викривлення фінансової звітності; визначенні суттєвості відповідно до МСА З203; розгляді прийнятності вибору та застосування облікових політик і достатності розкриття інформації у фінансовій звітності; ідентифікації сфер, які можуть вимагати спеціального розгляду аудитором, наприклад операції з пов'язаними сторонами, прийнятність використання управлінським персоналом припущення щодо безперервності або аналіз ділової мети операцій; формулювання очікувань для використання при виконанні аналітичних процедур; здійсненні дій у відповідь на оцінені ризики суттєвого викривлення, включаючи розробку та виконання подальших аудиторських процедур для отримання достатніх і прийнятних аудиторських доказів; та оцінці достатності та прийнятності отриманих аудиторських доказів, таких як прийнятність припущень, усних і письмових запевнень управлінського персоналу. Д2. Інформація, отримана внаслідок виконання процедур оцінки ризиків і пов'язаних заходів, може використовуватись аудитором як аудиторські докази для підтвердження оцінок ризиків суттєвого викривлення. Крім того, аудитор може отримати аудиторські докази щодо класів операцій, залишків на рахунках або розкриття інформації та відповідних тверджень, а також щодо операційної ефективності заходів контролю, навіть якщо такі процедури не планувались окремо як процедури по суті або тести заходів контролю. Аудитор може також вирішити виконати процедури по суті або тести заходів контролю одночасно з процедурами оцінки ризиків, оскільки це буде ефективно. ДЗ. Аудитор використовує професійне судження для визначення обсягу необхідного розуміння. Основну увагу при розгляді аудитор приділяє визначенню того, чи с отримане розуміння достатнім для досяі іп іімі мети, зазначеної у цьому МСЛ. Глибина загального розумінні необхідного аудитору, є меншою, ніж та, якою володіє управліниьіН персонал при здійсненні управління суб'єктом господарювання. Д4. Ризики, які необхідно оцінити, включають як ті, що спричинені помилкою, так і ті, які спричинені шахрайством та на які поширю«и •«цей МСА. Однак значущість шахрайства є такою, що подальші ви мої н ні рекомендації включені в МСА 240 стосовно процедур оцінки ризик їй їй пов'язаних заходів для отримання інформації, яка використовуєш® Фін ідентифікації ризиків суттєвого викривлення внаслідок шахрайства1, Д5. Хоча від аудитора вимагається виконати всі процедури оцінки ри нікім, зазначені в параграфі 6 у ході отримання необхідного розуміння суб'ї к ти господарювання (див. параграфи 11—24), від аудитора не вимагамм и виконувати усі ці процедури стосовно кожного аспекту такого розумінні Можуть виконуватись інші процедури, і інформація, отримана під час Vfl виконання, може бути корисною при ідентифікації ризиків суттєвої и викривлення. Приклади таких процедур охоплюють: огляд інформації, отриманої із зовнішніх джерел, таких як комерційні та економічні журнали, звіти аналітиків, банків або рейтингові!* агенцій; або з нормативних чи фінансових видань; надсилання запитів зовнішньому юридичному консультанту аби експертам з оцінки, послугами яких користувався суб'п. і господарювання. Подання запитів до управлінського персоналу та інших осіб суб 'екпш господарювання (див. параграф 6 а) Д6. Значна частина інформації, отриманої аудитором у ході подання заінп in. надається управлінським персоналом та особами, відповідальними ш фінансову звітність. Однак аудитор може також отримувати інформацію або інші точки зору при ідентифікації ризиків суттєвого викривленим через подання запитів до інших осіб суб'єкта господарювання та інших працівників з різними рівнями повноважень. Наприклад: запити до тих, кого наділено найвищими повноваженнями, можу їі. допомогти аудитору отримати розуміння середовища, в якому складається фінансова звітність; .чкі запити до персоналу підрозділу внутрішнього аудиту можуть надати інформацію щодо процедур внутрішнього аудиту, виконаних протягом року стосовно структури та ефективності внутрішнього контролю суб'єкта господарювання, і можуть дати відповідь на запити до працівників, які займаються ініціюванням, обробкою-або реєстрацією складних чи незвичайних операцій, можуть допомогти аудитору оцінити прийнятність вибору і застосування певної облікової політики; запити до внутрішнього юридичного консультанта суб'єкта господарювання можуть надати інформацію з таких питань, як судові справи, дотримання законів і нормативних актів, знання про шахрайство або підозрюване шахрайство, що може вплинути на суб'єкт господарювання, гарантії, післяпродажні зобов'язання, домовленості (наприклад, про створення спільних підприємств) із діловими партнерами та значення контрактних умов; запити до персоналу відділу маркетингу або від ділу реалізації можуть надати інформацію про зміни у маркетингових стратегіях суб'єкта господарювання, його тенденції реалізації або контрактні домовленості з його клієнтами. Аналітичні процедури (див. параграф 6 б) Д7. Аналітичні процедури, виконані як процедури оцінки ризиків, можуть ідентифікувати ті аспекти діяльності суб'єкта господарювання, про які аудитор не знав, і можуть допомогти при оцінці ризиків суттєвого викривлення для створення основи для розробки і впровадження дій у відповідь на такі оцінені ризики. Аналітичні процедури, виконані як процедури оцінки ризиків, можуть включати як фінансову, так і нефінансову інформацію, наприклад зв'язок між реалізацією та площею торгової точки або обсягами проданих товарів. Д8. Аналітичні процедури можуть допомогти ідентифікувати існування незвичайних операцій або подій та сум, коефіцієнтів і тенденцій, які можуть потребувати аудиторської перевірки. Ідентифіковані незвичайні або неочікувані зв'язки можуть допомогти аудитору при виявленні ризиків суттєвого викривлення, особливо ризиків суттєвого викривлення внаслідок шахрайства. 2Н7 Д9. Проте якщо в таких аналітичних процедурах використовуються дані, зібрані на високому рівні (що спостерігається в тому разі, якщо аналітичні процедури виконуються як процедури оцінки ризиків), результати таких аналітичних процедур є тільки попереднім свідченням того, чи може мати місце суттєве викривлення. Відповідно в таких випадках розгляд іншої інформації, яка була зібрана при ідентифікації ризиків суттєвого викривлення, разом із результатами таких аналітичних процедур може допомогти аудитору отримати розуміння й оцінити результати аналітичних процедур.
Міркування, характерні для малих підприємств Д10. Деякі малі підприємства можуть не мати проміжної або місячної фінансової інформації, яка може використовуватися для аналітичних процедур. За таких обставин, незважаючи на те що аудитор може буї и здатний виконати обмежені аналітичні процедури для цілей плануванні! аудиту або отримання певної інформації через подання запитів, аудитору може бути необхідно спланувати виконання аналітичних процедур дли ідентифікації та оцінки ризиків суттєвого викривлення, якщо доступним г попередній проект фінансової звітності суб'єкта господарювання. Спостереження та перевірка (див. параграф 6 в) ДІЇ. Спостереження та перевірка можуть супроводжувати подання запитів до управлінського персоналу й інших осіб і можуть також надані інформацію про суб'єкт господарювання та його середовище. Приклади таких аудиторських процедур включають спостереження або перевірку такого: операцій суб'єкта господарювання; документів (наприклад, бізнес-планів та стратегій), записів та інструкцій з внутрішнього контролю; звітів, складених управлінським персоналом (наприклад, квартальних звітів управлінського персоналу та проміжної фінансової звітності) і тими, кого наділено найвищими повноваженнями (наприклад, протоколів засідань ради директорів); адміністративних та виробничих приміщень суб'єкта господарювання. Інформація, отримана у попередніх періодах (див. параграф 9) Д12. Попередній досвід роботи аудитора із суб'єктом господарювання та аудиторські процедури, виконані під час попередніх аудитів, можуть надати аудитору інформацію про: попередні викривлення та чи були вони своєчасно виправлені; характер діяльності суб'єкта господарювання та його середовища, а також його внутрішній контроль (включаючи недоліки внутрішнього контролю); суттєві зміни, яких зазнав суб'єкт господарювання або його діяльність з попереднього фінансового періоду, які можуть допомогти аудитору отримати достатнє розуміння суб'єкта господарювання для ідентифікації та оцінки ризиків суттєвого викривлення.
Д13. Аудитор повинен визначити, чи залишається доречною інформація, отримана у попередніх періодах, якщо він має намір використати її для цілей поточного аудиту. Цс погрібно тому, що зміни у середовищі контролю, наприклад, можуть вилинути на доречність інформації, отриманої в попередньому році. Для того щоб визначити, чи відбулися зміни, які можуть вплинути на доречність такої інформації, аудитор може подати запити та виконати інші відповідні аудиторські процедури, такі як наскрізні перевірки відповідних систем. Обговорення з членами аудиторської групи із завдання (див. параграф 10) Д14. Обговорення з членами аудиторської групи із завдання чутливості фінансової звітності суб'єкта господарювання до суттєвого викривлення: дає можливість більш досвідченим членам аудиторської групи із завдання, включаючи партнера із завдання, поділитися своїми думками, які ґрунтуються на їх знанні суб'єкта господарювання; дає змогу членам аудиторської групи із завдання обмінюватись інформацією про бізнес-ризики, яких зазнає суб'єкт господарювання, та про те, як і на якому етапі фінансова звітність може бути чутливою до суттєвого викривлення внаслідок шахрайства або помилок; допомагає членам аудиторської групи із завдання отримати краще розуміння можливості суттєвого викривлення фінансової звітності в окремих сферах, закріплених за ними, та отримати розуміння, як результати виконуваних ними аудиторських процедур можуть вплинути на інші аспекти аудиту, включаючи рішення щодо характеру, строків та обсягу подальших аудиторських процедур; створює основу для повідомлення та обміну новою інформацією, отриманою у ході всього аудиту, що може вплинути на оцінку ризиків суттєвого викривлення або на аудиторські процедури, які виконуються з метою розгляду таких ризиків між членами аудиторської групи із завдання. У МСА 240 викладено подальші вимоги та рекомендації стосовно обговорення серед членів аудиторської групи із завдання питання ризиків шахрайства5.
Д15. Не завжди необхідним або доцільним для обговорення є залучення всіх членів до одного обговорення (як, наприклад, у разі аудиту, що проводиться у багатьох місцях одночасно). Не обов'язково також інформувати усіх членів аудиторської групи із завдання про всі рішення, досягнуті при обговоренні. Партнер із завдання може обговорити питання з провідними членами аудиторської групи із завдання, включаючи, якщо вважається прийнятним, осіб зі спеціальними навичками або знанням та осіб, відповідальних за аудит компонентів, і делегувати проведення обговорень з іншими особами з урахуванням рівня поінформованості членів аудиторської групи із завдання, який вважається необхідним у ї межах. Корисним може бути план повідомленим інформації, узгоджений із партнером із завдання. Аспекти, характерні для малих підприємств Діб. Багато малих аудитів повністю проводиться партнером із завдання (який може бути єдиним фахівцем-практиком). У таких ситуаціях саме партнер із завдання, який особисто здійснював планування аудиту, відповідатиме за розгляд чутливості фінансової звітності суб'єкта господарювання до суттєвих викривлень внаслідок шахрайства або помилок. Необхідне розуміння суб'єкта господарювання та його середовища, включаючи внутрішній контроль Суб'єкт господарювання та його середовище Галузеві, регуляторні та інші зовнішні чинники (див. параграф 11 а) Галузеві чинники Д17. Доречні галузеві чинники включають галузеві умови, такі як конкурентне середовище, відносини між постачальником та клієнтом, а також технологічні розробки. Приклади питань, які аудитор може враховувати, охоплюють: ринок і конкуренцію, включаючи попит, місткість ринку та цінову конкуренцію; циклічну або сезонну діяльність; виробничу технологію, пов'язану із продукцією суб'єкта господарювання; постачання та вартість електроенергії. Д18. Галузь, у якій здійснює діяльність суб'єкт господарювання, може обумовлювати виникнення певних ризиків суттєвого викривлення, які виникають з характеру діяльності або рівня регулювання. Наприклад, довгострокові контракти можуть передбачати значні орієнтовні суми доходів і витрат, які призводять до виникнення ризиків суттєвого викривлення. У таких випадках важливо, щоб до складу аудиторської групи із завдання входили особи, які мають достатні відповідні знання та досвід. Регуляторні чинники Д19. Відповідні регуляторні чинники включають регуляторне середовище. Регуляторне середовище охоплює серед іншого застосовну концептуальну основу фінансової звітності та правове і політичне середовище. Прикладами чинників, які може проаналізувати аудитор, є такі:
РОЗУМІННЯ СУБ'ЄКТА ГОСПОДАРЮВАННЯ ТА ЙОГО СЕРЕДОВИЩА облікові принципи та галузеві практики; нормативна база для регульованої галузі; законодавчі та нормативні положення, які суттєво впливають на діяльність суб'єкта господарювання, включаючи прямий нагляд; оподаткування (корпоративне та інше); урядова політика, що на даний момент впливає на ведення діяльності суб'єкта господарювання, а саме монетарна, включаючи валютний контроль, фіскальна, фінансове стимулювання (наприклад, програми урядової допомоги) і тарифна політика, або політика торгових обмежень; екологічні вимоги, які впливають на галузь або діяльність суб'єкта господарювання. Д20. У МСА 250 наведено деякі конкретні вимоги, які стосуються законодавчої та нормативної бази, що застосовується до суб'єкта господарювання і галузі або сектору, в яких суб'єкт господарювання здійснює діяльність. Аспекти, характерні для суб'єктів господарювання державного сектору Д21. При аудитах суб'єктів господарювання державного сектору закони, нормативні акти або інші керівні документи можуть впливати на діяльність суб'єкта господарювання. Такі елементи важливо враховувати при отриманні розуміння суб'єкта господарювання і його середовища. Інші зовнішні чинники Д22. Прикладами інших зовнішніх чинників, які впливають на суб'єкт господарювання та які аудитор може враховувати, є загальні економічні умови, відсоткові ставки та наявність фінансування, а також інфляція або ревальвація грошової одиниці. Характер суб 'єкта господарювання (див. параграф 116) Д23. Розуміння характеру суб'єкта господарювання дає змогу аудитору отримати розуміння такого: Чи має суб'єкт господарювання складну структуру, наприклад дочірні підприємства або інші компоненти у багатьох місцях. Складна структура часто створює проблеми, які, в свою чергу, можуть спричинити виникнення ризиків суттєвого викривлення. Ці питання можуть включати таке: чи належно враховуються гудвіл, спільні підприємства, інвестиції або суб'єкти господарювання спеціального призначення. Форма власності та відносини між власниками і іншими фізичними особами або суб'єктами господарювання. Розуміння цих чинними допомагає при визначенні того, чи були ідентифіковані та налфміа відображені у звітності операції з пов'язаними сторонами. МСА р5(г встановлює вимоги і надає рекомендації щодо розгляду аудитором питань, які стосуються пов'язаних сторін. Д24. Приклади питань, які аудитор може розглянути при отриманні розуміти суб'єкта господарювання, включають: Бізнес-операції, такі як: о характер джерел прибутку, продуктів або послуг і риикш. включаючи участь в електронній торгівлі, тобто Інтернет-продажах та маркетинговій діяльності; о ведення діяльності (наприклад, етапи та методи виробництва або діяльність, що наражається на природоохоронні ризики); о об'єднання, спільні підприємства та залучення сторонні* виконавців; о географічне поширення і галузева сегментація; о місцезнаходження виробничих приміщень, складів адміністративних приміщень та місцезнаходження і кількість товарно-матеріальних запасів; о основні клієнти та важливі постачальники товарів і послуї. трудові домовленості (включаючи існування угод її профспілками, пенсії та інші винагороди після завершений трудової діяльності, опціони на акції або заохочувальні премії ги урядове регулювання трудової діяльності); о діяльність і витрати на дослідження та розробки; о операції з пов'язаними сторонами. Інвестиції та інвестиційна діяльність, а саме: о заплановані або нещодавно здійснені придбання або відчуження; о інвестиції та розпорядження цінними паперами і позиками; о діяльність з капітального інвестування; о інвестиції у неконсолідовані суб'єкти господарювання, включаючи партнерства, спільні підприємства та суб'єкти господарювання спеціального призначення. Фінансування і фінансова діяльність, а саме: о основні дочірні та асоційовані підприємства, включаючи консолідовані та неконсолідовані структури; о структура боргу та пов'язані умови, включаючи позабалансове фінансування і лізинг; о бенефіціарні власники (місцеві, зарубіжні, ділова репутація і досвід) та пов'язані сторони; о використання похідних фінансових інструментів. • Фінансова звітність, а саме: о облікові принципи і галузеві практики, включаючи важливі галузеві категорії (наприклад, позики та інвестиції для банків або дослідження й розробки для фармацевтичних підприємств); о практика визнання доходів; о облік справедливих цін; о валютні активи, зобов'язання й операції; о облік незвичайних або складних операцій, включаючи операції в неоднозначних або зростаючих сферах (наприклад, облік компенсацій на основі акцій). Д25. Значні зміни в рамках суб'єкта господарювання порівняно з попередніми періодами можуть спричинити або змінити ризики суттєвого викривлення. Характер суб'єктів господарювання спеціального призначення Д26. Суб'єкт господарювання спеціального призначення (іноді іменований цільовою компанією) є суб'єктом господарювання, який зазвичай створюється для вузького та чітко визначеного призначення, наприклад для здійснення оренди або сек'юритизації фінансових активів або для ведення діяльності з досліджень та розробок. Такий суб'єкт може мати форму корпорації, трасту, партнерства або некорпоративного підприємства. Суб'єкт господарювання, за дорученням якого було створене підприємство спеціального призначення, часто може передавати активи останньому (наприклад, частину операції списання з балансу фінансових активів), отримувати право використовувати активи останнього або надавати останньому послуги, тоді як інші сторони можуть надавати фінансування останньому. Як зазначено в МСА 550, за деяких обставин підприємство спеціального призначення може бути пов'язаною стороною суб'єкта господарювання9. Д27. Концептуальні основи фінансової звітності часто визначають детальні умови стосовно контролю або обставини, за яких суб'єкт господарювання спеціального призначення повинен розглядатися для консолідації. Тлумачення вимог таких концептуальних основ часто 4 МСА 330, ішріїфііф Д7 вимагає вичерпного знання відповідних угод із суб'єкти господарювання спеціального призначення. Вибір і застосування облікових політик суб'єктом господарювання (дми параграф 11 в) Д28. Розуміння вибору та застосування суб'єктом господарювання облікоінім політик може охоплювати такі питання: методи, які використовує суб'єкт господарювання для обліку важливих і незвичайних операцій; вплив важливих облікових політик у спірних або зростаючих сфераК, стосовно яких немає офіційних керівництв або згоди; зміни в облікових політиках суб'єкта господарювання; стандарти фінансової звітності, закони та нормативні акти, які «новими для суб'єкта господарювання, і коли та як субв'Кі господарювання прийматиме такі вимоги. Цілі і стратегії та пов 'язані бізнес-ризики (див. параграф 11 г) Д29. Суб'єкт господарювання здійснює свою діяльність у контексті галузевіїх, регуляторних та інших внутрішніх і зовнішніх чинників. Для здійснешім дій у відповідь на такі чинники управлінський персонал суб'єкті! господарювання або ті, кого наділено найвищими повноваженнями, визначають цілі, які є загальними планами суб'єкта господарюванні! Стратегіями слугують підходи, за допомогою яких управлінський персонал має намір досягти своїх цілей. Цілі та стратегії суб'єкт господарювання можуть змінюватись у часі.
ДЗО. Бізнес-ризик є ширшим, ніж ризик суттєвого викривлення фінансової звітності, хоча й включає останній. Бізнес-ризик може виникнути внаслідок зміни або складності. Невизнання необхідності у змінах також може призвести до виникнення бізнес-ризику. Бізнес-ризик може виникати, наприклад, внаслідок: розробки нової продукції або послуг, що можуть зазнати невдачі; ринку, який навіть у разі успішного розвитку є недостатнім дам підтримки продукту чи послуги; або дефектів продукції або послуги, які можуть призвести до відповідальності та ризику погіршення репутації. Д31. Розуміння бізнес-ризиків, на які наражається суб'єкт господарювашої, збільшує ймовірність ідентифікації ризиків суттєвого викривлення, оскільки більшість бізнес-ризиків зрештою матиму ть фінансові наслідки і, отже, вплив на фінансову звітність. Однак аудитор не несе відповідальності за ідентифікацію або оцінку всіх бізнес-ризиків, оскільки не всі бізнсс-ризпки призводять до виникнеипм ризиків суттєвого викри в л єіii їм. Д32. Приклади питань, які аудитор може розглянути при отриманні розуміння цілей, стратегій та пов'язаних бізнес-ризиків суб'єкта господарювання, що можуть призвести до виникнення ризику суттєвого викривлення фінансової звітності, включають: галузеві зміни (потенційний пов'язаний бізнес-ризик може полягати, наприклад, у відсутності у суб'єкта господарювання персоналу або досвіду для реагування на зміни в галузі); нові продукти та послуги (потенційний пов'язаний бізнес-ризик може полягати, наприклад, у підвищенні відповідальності за продукцію); розширення діяльності (потенційний пов'язаний бізнес-ризик може полягати, наприклад, у тому, що попит не був точно оцінений); нові вимоги до обліку (потенційний пов'язаний бізнес-ризик може полягати, наприклад, у неповному або неналежному їх впровадженні чи збільшенні витрат); регуляторні вимоги (потенційний пов'язаний бізнес-ризик може полягати, наприклад, у тому, що існують підвищені юридичні ризики); поточні та перспективні вимоги щодо фінансування (потенційний пов'язаний бізнес-ризик може полягати, наприклад, у втраті фінансування внаслідок недотримання вимог суб'єктом господарювання); застосування ІТ-технологій (потенційний пов'язаний бізнес-ризик може полягати, наприклад, у несумісності систем і процесів) внутрішнього контролю і розглядається в параграфі 15 та парагріфщ Д79—Д80. Аспекти, характерні для суб'єктів господарювання державного сектору Д35. При аудитах суб'єктів господарювання державного сектору управлінського персоналу можуть зазнавати впливу питань нввіи відповідальності державного сектору і можуть включати цілі, обумоіиЛ в законах, нормативних актах та інших керівних документах. Оцінка та огляд фінансових результатів суб'єкта господарювання (ді|| параграф 11 ґ) Д36. Управлінський персонал та інші особи здійснюватимуть оцінку і оі ниц тих питань, які вони вважають важливими. Показники оцінки, внутрішні або зовнішні, створюють тиск на суб'єкт господарювання. Такий тис і», v свою чергу, може мотивувати управлінський персонал вжити заходів дді: поліпшення показників господарської діяльності або викривленні» інформації у фінансовій звітності. Відповідно розуміння показними оцінки суб'єкта господарювання допомагає аудитору при розгляді тої н. чи може тиск у напрямі досягнення намічених завдань призвести до Jjilft управлінського персоналу, які збільшують ризик суттєвого викривленії, включаючи викривлення внаслідок шахрайства. МСА 240 містить більш детальні вимоги та рекомендації стосовно ризику шахрайства. Д37. Оцінка та огляд фінансових результатів не є тим самим, що й монітори ні заходів контролю (описаний як компонент внутрішнього контролю у параграфах Д98—Д104), хоча їхні цілі можуть збігатися: оцінка та огляд результатів спрямовані на визначення того, чи досягаються в ході господарської діяльності цілі, поставлені управлінським персоналом (або третіми сторонами); моніторинг заходів контролю конкретно стосується ефективної роботи внутрішнього контролю. Однак у деяких випадках результати діяльності також надаю і ь інформацію, яка дає змогу управлінському персоналу ідентифікувати недоліки у внутрішньому контролі. Д38. Приклади внутрішньо генерованої інформації, яка використовуєтьсн управлінським персоналом для оцінки та огляду фінансових результатів і яку аудитор може розглянути, включають: основні показники діяльності (фінансові та нефінансові) і основні коефіцієнти, тенденції та операційну статистику; аналізи фінансових результатів за періодом; бюджети, прогнози, варіаційні аналізи, інформацію за сегментами та звіти про діяльність на рівні підрозділу, відділу або на інших рівнях; показники оцінки роботи працівників та політику стимулюючих компенсацій; порівняння оцінки діяльності суб'єкта господарювання з оцінкою конкурентів. Ц ІУ, Зовнішні сторони також можуть здійснювати оцінку та огляд фінансових результатів суб'єкта господарювання. Наприклад, зовнішня інформація, така як звіти аналітиків і кредитно-рейтингових агенцій, може бути корисною для аудитора. Такі звіти часто можна отримати від суб'єкта господарювання, стосовно якого проводиться аудит. /110. Внутрішні оцінки можуть виявити неочікувані результати або тенденції, які вимагають від управлінського персоналу визначення їх причин і вжиття коригувальних заходів (включаючи в деяких випадках своєчасне виявлення та коригування викривлень). Показники оцінки також можуть вказувати аудитору на те, що ризики викривлення пов'язаної фінансової звітності дійсно існують. Наприклад, показники оцінки можуть свідчити про незвичайно швидке зростання прибутковості суб'єкта господарювання порівняно з іншими суб'єктами господарювання такої самої галузі. Така інформація, особливо у поєднанні з іншими чинниками, такими як премії за результатами роботи або стимулюючі винагороди, може свідчити про потенційний ризик упередженості управлінського персоналу при складанні фінансової звітності. А с пекти, характерні для малих підприємств Дії. На малих підприємствах часто не передбачено процесів оцінки та огляду фінансових результатів. Запити до управлінського персоналу можуть виявити той факт, що управлінський персонал покладається на певні основні показники оцінки фінансових результатів і вжиття відповідних заходів. Якщо результати таких запитів вказують на відсутність оцінки або огляду результатів, може мати місце підвищений ризик того, що викривлення не будуть виявлені й виправлені. В Внутрішній контроль суб'єкта господарювання (див. параграф 12) ) 1,42. Розуміння внутрішнього контролю допомагає аудитору при ідентифікації типів потенційних викривлень інформації та чинників, які впливають на ризики суттєвого викривлення, а також при розробці характеру, строків і обсягу подальших аудиторських процедур. ) Н3. І Іаступний матеріал для застосування внутрішнього контролю наведено у чотирьох таких розділах: Загальний характер і характеристики внутрішнього контролю. Важливі для аудиту заходи контролю. Характер та обсяг розуміння важливих заходів контролю. Компоненти ниутріш нього коніролю,
Загальний характер і характеристики внутрішнього контролю Призначення внутрішнього контролю Д44. Внутрішній контроль розробляється, запроваджується та ведеться для реагування на виявлені бізнес-ризики, які перешкоджають досягненню будь-якої мети суб'єкта господарювання, яка стосується: достовірності фінансової звітності суб'єкта господарювання; ефективності та результативності його діяльності; і дотримання суб'єктом господарювання застосовних законів І нормативних актів. Спосіб розробки, запровадження та ведення внутрішнього контролю змінюються залежно від розміру і складності суб'єкта господарювання. Аспекти, характерні для малих підприємств Д45. Малі підприємства можуть використовувати менш структуровані заходи та простіші процеси і процедури для досягнення своїх цілей. Обмеження внутрішнього контролю Д46. Внутрішній контроль незалежно від його ефективності може надані суб'єкту господарювання лише обґрунтовану впевненість щодо досягнення цілей фінансової звітності суб'єкта господарювання. Ні ймовірність досягнення цих цілей впливають властиві обмеженим внутрішнього контролю. Ці обмеження включають реальність того, що людське судження при прийнятті рішень може бути помилковим і що збої у внутрішньому контролі можуть виникати внаслідок людської помилки Наприклад, може бути помилка у структурі контролю або в зміні такої *о контролю. Так само робота контролю може не бути ефективною, як і у випадку, коли інформація, яка створюється в цілях внутрішнього контролю (наприклад, оперативний звіт про відхилення), не і ефективною, оскільки особа, відповідальна за огляд інформації, но розуміє її призначення або не вживає відповідних заходів. Д47. Крім того, заходи контролю можуть бути обійдені внаслідок змови дво* чи більше осіб або неприйнятного нехтування внутрішнім контролем і боку управлінського персоналу. Наприклад, управлінський персона н може укладати додаткові угоди з клієнтами, які змінюють умови стандартних угод купівлі-продажу суб'єкта господарювання, що може призвести до неналежного визнання прибутків. Може бути також обійдений або відключений контроль результатів редагування комп'ютерної програми, призначений для ідентифікації та реєстрації операцій, що перевищують встановлені кредитні ліміти. 20Н Д48. Водночас при розробці та запровадженні заходів контролю управлінський персонал може здійснювати судження щодо характеру іа обсягу заходів контролю, які він обирає для запровадження, а також щодо характеру й обсягу ризиків, які він приймає. Аспекти, характерні для малих підприємств Д49. Малі підприємства часто мають менше працівників, що може обмежити обсяг розподілу обов'язків. Проте власник-керівник малого підприємства може бути спроможний здійснювати більш ефективний нагляд, ніж керівник більшого за розміром суб'єкта господарювання. Такий нагляд може компенсувати в цілому більш обмежені можливості для розподілу обов'язків. Д50. З іншого боку, власник-керівник може бути більш здатним обійти заходи контролю, оскільки система внутрішнього контролю підприємства менш структурована. Цей факт бере до уваги аудитор при ідентифікації ризиків суттєвого викривлення внаслідок шахрайства. Розподіл внутрішнього контролю на компоненти Д51. Розподіл внутрішнього контролю на такі 5 компонентів для цілей цього МСА створює корисну базу для розгляду аудиторами того, як різні аспекти внутрішнього контролю суб'єкта господарювання можуть впливати на аудит: а) середовище контролю; б) процес оцінки ризиків суб'єкта господарювання; в) інформаційна система, включаючи пов'язані бізнес-процеси, доречні для фінансової звітності, та повідомлення інформації; г) заходи контролю; та г) моніторинг заходів контролю. Цей розподіл не обов'язково відображає те, як суб'єкт господарювання розробляє, запроваджує та веде внутрішній контроль, або те, як він може класифікувати будь-який окремий компонент. Аудитори можуть використовувати різну термінологію або концептуальні основи для описання різних аспектів внутрішнього контролю та їх впливу на аудит, які відрізняються від використаних у цьому МСА, за умови, що розглянуті та враховані всі компоненти, описані у цьому МСА. Д52. Матеріали для застосування, які стосуються п'яти компонентів внутрішнього контролю та їх зв'язку з аудитом фінансової звітності, викладено далі в параграфах Д69—Д104. У додатку 1 викладено подальше пояснення цих компонентів внутрішнього контролю. Характеристики ручних та автоматизованих елементів внутрішнього контролю, важливих для оцінки ризиків аудитором зоу Д53. Система внутрішнього контролю суб'єкта господарювання включає ручні і часто автоматизовані елемент. Характеристики ручних або автоматизованих елементів є важливими для оцінки ризиків аудиторски подальших аудиторських процедур, які на ній ґрунтуються.
Д54. Використання ручних або автоматизованих елементів у внутрішньому контролі також впливає на спосіб ініціації, реєстрації, обробки та обліт операцій: Заходи контролю у ручній системі можуть включати такі процедури як затвердження й огляди операцій, звірка та відстеження звіренії«статей. У противному разі суб'єкт господарювання маж» використовувати автоматизовані процедури для ініціації, реєстрації, обробки та обліку операцій; при цьому записи у електронному форматі замінюють паперові документи. Заходи контролю в ІТ-системах складаються з комбінації автоматизованих (наприклад, засоби контролю, вбудовані я комп'ютерні програми) і ручних засобів контролю. Крім того, ручні засоби контролю можуть бути незалежними від ІТ, можуїь використовувати інформацію, створену ІТ, або можуть обмежувати моніторингом ефективного функціонування ІТ та іншиі автоматизованих засобів контролю і обробкою винятків. Якщо 11 використовується для ініціації, реєстрації, обробки чи обліку операцій або інших фінансових даних для включення у фінансоиу звітність, системи і програми можуть містити засоби контролю, пов'язані з відповідними твердженнями щодо матеріальних рахунк і и або бути критичними для ефективного функціонування ручних засобів контролю, які залежать від ІТ. Поєднання ручних та автоматизованих елементів у внутрішньому контролі суб'єкта господарювання варіюється залежно від характеру І складності використання ІТ суб'єктами господарювання. Д55. Загалом ІТ сприяє внутрішньому контролю суб'єкта господарювати! через надання можливості суб'єкту господарювання: послідовно застосовувати попередньо визначені бізнес-правила ги виконувати складні розрахунки при обробці великих обсягів операції! або даних; поліпшувати своєчасність, доступність і точність інформації; спрощувати додатковий аналіз інформації; посилювати здатність моніторингу результатів діяльності суб'єкти господарювання та його політик і процедур; зменшувати ризик обходу заходів контролю; та посилювати здатність досягати ефективного розподілу обов'язків через запровадження засобів контролю безпеки у програмах, батах даних та операційних системах. Д56. ІТ також накладає певні ризики на внутрішній контроль суб'єкта господарювання, включаючи, наприклад: покладання на системи або програми, які неточно обробляють дані, обробляють неточні дані, або і те, й інше; неавторизований доступ до даних, що може призвести до знищення даних або їх неналежної зміни, включаючи реєстрацію неавторизованих або неіснуючих операцій, або неточну реєстрацію операцій; окремі ризики можуть виникати у разі доступу багатьох користувачів до спільної бази даних; можливість отримання ІТ персоналом прав доступу, які перевищують права, необхідні для виконання ними своїх обов'язків, що порушує розподіл обов'язків; неавторизоване внесення змін у дані в базових файлах; неавторизоване внесення змін до систем або програм; невнесення необхідних змін до систем або програм; неналежне ручне втручання; потенційна втрата даних або неможливість доступу до даних у разі потреби. ) 1,57. Ручні елементи у внутрішньому контролі можуть бути більш доцільними, якщо вимагається здійснювати судження або діяти на власний розсуд щодо таких обставин: великі, незвичайні або разові операції; обставини, за яких складно визначити, передбачити або спрогнозувати помилки; за змінних обставин, які вимагають дій у відповідь, що виходять за межі існуючого автоматизованого контролю; у разі моніторингу ефективності автоматизованих засобів контролю. Д58. Ручні елементи у внутрішньому контролі можуть бути менш надійними, ніж автоматизовані, оскільки їх можна простіше обійти, проігнорувати або відмінити, вони також є більш схильними до простих помилок і неточностей. Отже, послідовність застосування елементу ручного контролю не може бути передбачена. Елементи ручного контролю можуть бути менш доцільними для таких обставин: операції великого обсягу або постійні операції чи в ситуаціях, коли помилок, які можна передбачити або спрогнозувати, можна уникнути, виявити ні викривити їх контрольними параметрами, які автомат і понині; заходи контролю, якщо особливі методи виконання контрощ можуть бути належно сплановані й ав томатизовані. Д59. Обсяг і характер ризиків внутрішнього контролю варіюються залежно нМ характеру та характеристик інформаційної системи суб'гкЦ господарювання. Суб'єкт господарювання діє у відповідь на ризики. иМ виникають із використання ІТ або ручних елементів у внутрішньої контролі, через встановлення ефективних засобів контролю» урахуванням характеристик своєї інформаційної системи. Важливі для аудиту заходи контролю Д60. Існує прямий зв'язок між цілями суб'єкта господарювання та заходами контролю, які він запроваджує для забезпечення обгрунтованій впевненості їх досягнення. Цілі суб'єкта господарювання і відповіднії його заходи контролю стосуються фінансової звітності, операцій ні дотримання вимог; проте не всі з цих цілей та заходів контролю і важливими для оцінки ризиків аудитором. Д61. Чинники, важливі для судження аудитора стосовно того, чи є чняід контролю окремо або в комбінації з іншими заходами важливим длі аудиту, можуть включати такі проблемні питання: суттєвість; значущість пов'язаного ризику; розмір суб'єкта господарювання; характер діяльності суб'єкта господарювання, включаючи йот організаційну структуру та структуру власності; різноманітність і складність операцій суб'єкта господарювання; застосовні законодавчі та нормативні вимоги; обставини і застосовний компонент внутрішнього контролю; характер і складність систем, які є частиною внутрішнього контро; по суб'єкта господарювання, включаючи використання організацій, що надають послуги; чи запобігає або виявляє та коригує певний захід контролю окремо або в комбінації з іншими заходами суттєве викривлення і якщо це так, то в який спосіб. Д62. Заходи контролю за повнотою та точністю інформації, яка формується суб'єктом господарювання, можуть бути важливими для аудиту, якщо аудитор має намір скористатися цією інформацією при розробці тії виконанні подальших процедур. Заходи контролю, які стосуються цілей діяльності та дотримання вимог, також можуть бути важливими для аудиту, якщо вони пов'язані з даними, які аудитор оцінює або використовує при застосуванні аудиторських процедур.
Д63. Внутрішній контроль за захистом активів від неавторизованого придбання, використання або розпорядження може включати заходи контролю, що стосуються цілей як фінансової звітності, так і діяльності. Розгляд таких заходів контролю аудитором зазвичай обмежується тими, що стосуються достовірності фінансової звітності. Д64. Зазвичай суб'єкт господарювання має заходи контролю, пов'язані з цілями, які не є важливими для аудиту, тому їх не слід розглядати. Наприклад, суб'єкт господарювання може покладатися на складну систему автоматизованих засобів контролю для забезпечення ефективної та результативної роботи (наприклад, застосовна в авіакомпаніях система автоматизованих засобів контролю за дотриманням графіків рейсів), але ці засоби контролю звичайно не будуть важливими для аудиту. Крім того, хоча внутрішній контроль застосовується до всього суб'єкта господарювання або до будь-якого його операційного підрозділу чи бізнес-процесу, розуміння внутрішнього контролю, пов'язаного із кожним операційним підрозділом або бізнес-процесом суб'єкта господарювання, може не бути важливим для аудиту. Аспекти, характерні для суб'єктів господарювання державного сектору Д65. Аудитори державного сектору часто несуть додаткову відповідальність щодо внутрішнього контролю, наприклад вони зобов'язані звітувати про відповідність встановленому кодексу практики. Аудитори державного сектору можуть також нести відповідальність за звітування про дотримання вимог законів, нормативних актів та інших керівних документів. У результаті їх огляд внутрішнього контролю може бути ширшим і більш детальним. Характер та обсяг розуміння відповідних заходів контролю (див. параграф 13) Д66. Оцінка структури заходу контролю включає розгляд того, чи здатний захід контролю окремо або у поєднанні з іншими заходами контролю ефективно запобігти або виявити та виправити суттєві викривлення. Запровадження заходу контролю означає, що контроль існує і що суб'єкт господарювання його використовує. Оцінка запровадження неефективного заходу контролю навряд чи має рацію, тому насамперед розглядається структура заходу контролю. Неналежно розроблений захід контролю може відображати суттєвий недолік у внутрішньому контролі. Д67. Процедури оцінки ризику для отримання аудиторських доказів щодо структури і запровадження відповідних засобів контролю можуть включати: подання запитів до персоналу суб'єкта господарювання; спостереження за застосуванням певних заходів контролю; • відстеження операцій через інформаційну систему, що стосуєім* фінансової звітності. Проте лише подання запитів є недостат нім для таких цілей. Д68. Отримання розуміння заходів контролю суб'єкта господарювання і недостатнім для тестування їх операційної ефективності, якщо тільки систематична робота таких заходів контролю забезпечується автоматикою Наприклад, отримання аудиторських доказів про запровадження ручном» заходу контролю в будь-який час не надає аудиторських доказів щодо операційної ефективності заходу контролю у будь-який інший чиї протягом періоду аудиту. Однак у зв'язку із властивою послідовнії: і їм обробки IT (див. параграф Д55) виконання аудиторських процедур дли того, щоб визначити, чи запроваджений автоматизований захід контролі и може слугувати тестом операційної ефективності такого заходу контролі! залежно від оцінки аудитора та тестування заходів контролю, таких ИИ контроль за змінами програм. Тестування операційної ефективної111 заходів контролю більш детально описано в МСА 33010. Компоненти внутрішнього контролю—середовище контролю (див. параграф М) Д69. Середовище контролю включає функції тих, кого наділено найвищими повноваженнями, та управлінського персоналу, відношення, інформованіетії і дії тих, кого наділено найвищими повноваженнями, та управлінської п персоналу стосовно внутрішнього контролю суб'єкта господарювання і йоі 11 важливості для суб'єкта господарювання. Середовище контролю задає шм організації, впливаючи на усвідомлення контролю її працівниками. Д70. Елементи середовища контролю, які можуть бути доречними при отриманні розуміння середовища контролю, включають: а) Повідомлення інформації та забезпечення дотримання професійної чесності й етичних цінностей—це основні елементи, які впливаю 11, на ефективність розробки, адміністрування та моніторингу заході! контролю. б) Прихильність до компетентності — питання, такі як урахуванні! управлінським персоналом рівня компетентності для певних посид та необхідних навичок і знань. в) Участь тих, кого наділено найвищими повноваженнями — ознаки тих, кого наділено найвищими повноваженнями, такі як: незалежність від управлінського персоналу; досвід і статус; ступінь участі та отримуваної інформації
Читайте также: Generally Accepted Auditing Standards (GAAS) (Общепринятые стандарты аудиторской деятельности). Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|