№8(19)(2013)

Міжнародні стандарти аудиту, яких потрібно чітко дотримуватись аудитору, виписані у справжній талмуд. Нижче розглянемо застосування Міжнародного стандарту аудиту (далі – МСА) 315 «Ідентифікація та оцінка ризиків суттєвих викривлень через розуміння суб’єкта господарювання (далі – клієнта) і його середовища» в частині вивчення аудитором системи внутрішнього контролю клієнта. У МСА 315 висвітлюється питання відповідальності аудитора за розпізнавання та градацію ризиків суттєвих викривлень через розуміння господарюючого суб’єкта і його середовища. Процитуємо з МСА 315 визначення мети: «Метою аудитора є ідентифікувати та оцінити ризики суттєвого викривлення внаслідок шахрайства чи помилки на рівні фінансового звіту і тверджень через розуміння суб’єкта господарювання і його середовища включаючи його внутрішній контроль, у такий спосіб забезпечивши основу для розробки і впровадження дій у відповідь на оцінені ризики суттєвого викривлення». 

Отже, маємо досить мудроване визначення мети, з якого можна дійти висновку, що розуміння внутрішнього контролю є складовою (можливо, основною складовою) розуміння середовища клієнта.

Чинники, які впливають на формування системи заходів внутрішнього контролю

Система заходів, які становлять внутрішній конт­роль, розробляється і запроваджується клієнтом самостійно та виконується його вищим управлінським персоналом і управлінцями середньої ланки. При цьому враховуються зовнішні чинники, які спричиняють чи можуть спричинити вплив на господарську діяльність – політичні, регуляторні, галузеві, природні, міжнародні, соціальні тощо – та не можуть бути підконтрольні клієнту. Також система заходів клієнта створюється, спираючись на внутрішні чинники – структуру управління, здійснені інвестиції, види отримуваних доходів і способи фінансування, правила облікової політики, цілі та стратегії діяльності.
Вплив перелічених чинників зазвичай стосується безпосередніх результатів діяльності клієнта через співвідношення доходи/витрати і результат/мета та проявляється через витрати або відстрочення в часі (періоді) досягнення цілей. Окремі чинники можуть впливати опосередковано, створюючи потреби додаткового планування, узгодження дій або нагляду за їх виконанням, тобто змінюючи стратегію діяльності. У звичайній практиці аудитор виявляє зовнішні чинники на етапі затвердження клієнта або продовження контракту. А от встановити внутрішні чинники та зробити оцінку ефективності системи внутрішнього контро­лю з позиції її можливості забезпечити надання достовірної фінансової інформації можливо і потрібно вже під час планування виконання завдання.

З чого почати?

Аудитор повинен виявити види операцій, результати яких мають значну питому вагу у фінансовій звітності, а також зважити, чи є облікова політика клієнта прий­нятною для виду його діяльності та чи відповідає узгодженій системі принципів складання та подання фінансової звітності, яка застосовується у відповідній галузі.
Щоб зрозуміти, як відбувається процес внутрішнього контролю клієнта, потрібно отримати інформацію про його бізнес-плани та бюджети, мати знання й розуміння бізнес-процесів та комунікацій їхніх учасників і взаємодій між їхніми ланками; моніторинг та управління. Так, можна звернутися із запитом до керівниц­тва і визначити, чи встановлені на певний період часу плани діяльності та бюджети витрат, чи призначено відповідального за їх виконання, чи є затверджені внутрішні правила взаємодії всіх учасників бізнес-процесів та чи визначено їхні повноваження і відповідальність; звірити отримані відповіді від керівництва з реаліями шляхом спостереження та опитування, як працівники клієнта виконують свої обов’язки і дотримуються внутрішніх процедур. Аудитор з’ясовує, чи достатньо знань і досвіду окремих працівників для виконання покладених на них завдань; як клієнтом реалізується кадрова політика (критерії відбору кандидатів при прийомі на роботу, організація професійного підвищення знань, наявність періодичних атестацій працівників, системи заохочення працівників, можливість кар’єрного зростання).

Як продовжити?

Аудитору потрібно ознайомитися з інформаційною системою клієнта:
– чи затверджений чіткий розподіл обов’язків (посадові інструкції), за яким порядком дій відбувається отримання дозволу на проведення і узгодження умов при здійсненні операцій;
– який порядок процедур у межах системи інформаційних технологій та ручних систем для ініціалізації, запису, обробки, коригування операцій, їх відображення у бухгалтерських записах та перенесення у фінансову звітність;
– наявність підтверджувальної інформації (структуровані первинні та розпорядчі документи (записи)) для відповідних записів у бухгалтерському обліку;
– встановити, як інформаційна система реєструє події та умови, які не є операціями, але які є важливими для фінансової звітності;
– процедура формування фінансової звітності, яка застосовується перед її поданням, включаючи вагомі облікові оцінки та розкриття;
– виявити методи та правила, розроблені керівником/головним бухгалтером для перевірки бухгалтерських записів, включаючи нестандартні записи, які робляться для реєстрації разових, нетипових операцій або коригувань.

Крім того, аудитор з’ясовує, в який спосіб у клієнта відбувається внутрішній (між вищим управлінським персоналом і управлінцями середньої ланки) та зовнішній (наприклад, з регуляторними органами) обмін інформацією; як при внутрішньому обміні повідомляється про суттєві питання (зокрема, конфіденційні для широкого кола учасників бізнес-процесів), що можуть вплинути на фінансову звітність, але не є операціями.

При внутрішньому обміні інформацією в системі внут­рішнього контролю дуже важливу роль відіграють людські ресурси та їх культура чесності й етичної поведінки, оскільки існує ймовірність прояву нехтування системою заходів з боку вищого управлінського персоналу або змови кількох осіб серед управлінців середньої ланки.
Прикладом може бути така ситуація: вищим керівниц­твом укладено договір із замовником на постачання товарів на умовах післяплати з графіком погашення заборгованості та нарахуванням відсотків на фактичний залишок заборгованості за кожен день, починаючи з певної дати. Всім управлінцям середньої ланки про це повідомлено і на одного з них видана довіреність, що уповноважує його бути представником компанії під час виконання договору. Головний бухгалтер (середня ланка) отримав копію основного договору для використання в роботі. Але за змовою юриста та уповноваженого (середня ланка) із замовником була підписана додаткова угода, в якій умова нарахування відсотків на залишок боргу виключена; дана додаткова угода головному бухгалтеру та вищому керівництву не була надана. Результатом такої змови буде відображений головним бухгалтером в обліку нарахований дохід та, як наслідок, завищений прибуток у фінансовій звітності, який насправді не зароблений. Факт наявності таких діянь при виконанні довгострокових договорів та частих поставках, найімовірніше, стане відомим вже на етапі завершення співпраці, після закінчення звітного періоду (а може, і не одного).
Інший приклад змови: вищим керівництвом укладено договір із замовником на систематичне постачання товарів на умовах післяплати із зафіксованим лімітом заборгованості, при досягненні якого постачання припиняється до моменту сплати замовником необхідної суми. За змовою працівників відділу продажу та інформаційних технологій (середня ланка) із замовником у системі обліку відображено значно більший дозволений ліміт заборгованості. Результатом такої змови буде недостатність обігових коштів та необхідність у запозиченні ресурсів на платній основі, що призведе до збільшення витрат (яких можливо було б уникнути) та втрати частини прибутку.
Отже, обсяг заходів контролю при складній структурі управління має бути розширений.

Додатково аудитор з’ясовує, чи розробив і запровадив клієнт заходи контролю при здійсненні незвичайних операцій (наприклад: при виході одного із учасників з виділенням його частки в натурі майном підприємства – чи були залучені зовнішні юристи і експерти для оцінки).

Важливим моментом на етапі планування виконання завдання є визначення умов використання ручних та автоматизованих елементів:
– чи авторизований доступ до інформаційних систем; яка градація користувачів по правах доступу до програмного забезпечення, правах перегляду та внесення даних до інформаційних систем, правах на внесення змін та коригувань; чи є обмеження доступу до внесення інформації датою, що передує поточній даті або поточному періоду; хто дає розпорядження ІТ-персоналу на створення доступу для користувача та формує технічні завдання для їхньої реалізації в інформаційній системі;
– який порядок документообігу – порядок створення, терміни розгляду, затвердження, опрацювання і архівації документів; наявність системи «approval», тобто кінцевого погодження, яким регламентується проходження ініційованим документом всіх етапів контролю та перевірок до фактичного здійснення господарської операції, а також відображення її в бухгалтерських записах через дозвільні написи на паперових документах та інші види повідомлень (наприклад, електронне листування);
– які методи розроблені для проміжного (оперативного, щоденного, щомісячного) контролю та фіксації результатів (наприклад, звірка між відділами по ініційованих та затверджених докумен­тах; щоденний моніторинг дебіторської та кредиторської заборгованості; звірка даних бухгалтерського обліку розрахунків та обліку ПДВ; звірка між даними складського обліку та даними бухгалтерського обліку по окремих групах товарів у натуральних одиницях виміру; інвентаризація каси; тощо);
– чи відбувається моніторинг заходів контролю (оцінка функціональності внутрішнього контролю у часі, зокрема, своєчасна оцінка ефективності заходів та здійснення коригувань); чи береться до уваги зовнішня інформація, отримана в процесі господарської діяльності (наприклад, результати перевірки контролюючими органами, претензії та позови від контрагентів).

Як не змарнувати свій час?

Між цілями клієнта, що стосуються фінансової звітності та збереження активів, і застосовуваними ним заходами контролю існує прямий зв’язок. Тому розуміння таких заходів важливе для аудитора, якщо він планує використати дані інформаційної системи клієнта при розробці та виконанні подальших процедур. Але розуміння внутрішнього контролю по кожному бізнес-процесу необов’язкове під час проведення аудиту. До питань професійного судження аудитора відноситься рішення, чи є захід контролю клієнта окремо або у поєднанні з іншими заходами доречним для аудиту. Адже досить часто клієнт має заходи контролю для цілей, які не можна вважати значущими для аудиту (наприклад, контроль за швидкістю постановки на складі причепів під завантаження товаром, щоб уникнути витрат за простій чи інших санкцій; контроль за вагою і габаритами товару з точки зору місткості причепа та правил перевезення вантажів). Серед заходів контролю, які можуть бути важливими для аудиту, МСА 315 виокремлює такі:
огляди результатів – порівняння фактичних показників з плановими та фактичними за попередній період, розробка показників (коефіцієнтів) діяльності та прагнення їх дотримуватись, аналіз недоліків;
обробка інформації – перевірка арифметичної точності записів, звірка залишків з підтверджуючими документами;
фізичні заходи контролю – авторизація доступу до комп’ютерних програм і файлів та доступу до окремих територій (приміщень), інвентаризація майна;
розподіл обов’язків – різні особи відповідають за надання дозволів на ініціалізацію, створення, реєстрацію, запис операції, тому особа, що обіймає одну посаду, не може робити та приховувати помилки чи шахрайські дії при звичному виконанні своїх обов’язків.

Окресливши заходи контролю, що є доречними для аудиту, аудитор оцінює, чи були вони якісно впроваджені клієнтом.
Підсумовуючи все сказане вище, можна зазначити, що отриманого розуміння системи внутрішнього контролю клієнта недостатньо для тестування його операційної ефективності. Проте таке розуміння впливає на оцінку аудитора щодо ризиків суттєвого викривлення.
Також не забуваємо про необхідність документування аудиторських доказів.