Международный стандарт аудита (МСА) 330 "Аудиторские процедуры в ответ на оцененные риски" следует рассматривать вместе с МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита".

Введение

Сфера применения настоящего стандарта

1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по разработке и проведению процедур в отношении рисков существенного искажения, выявленных и оцененных аудитором в соответствии с МСА 315 (пересмотренным)*(1) при проведении аудита финансовой отчетности.

Дата вступления в силу

2. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 декабря 2009 года или после этой даты.

Цель

3. Цель аудитора состоит в том, чтобы получить достаточные надлежащие аудиторские доказательства в отношении оцененных рисков существенного искажения путем разработки и проведения соответствующих аудиторских процедур по этим рискам.

Определения

4. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:

(a) процедура проверки по существу - аудиторская процедура, предназначенная для выявления существенных искажений на уровне предпосылок. Процедуры проверки по существу включают:

(i) детальные тесты видов операций, остатков по счетам и раскрытия информации;

(ii) аналитические процедуры проверки по существу;

(b) тестирование средств контроля - аудиторская процедура, предназначенная для оценки операционной эффективности применения средств контроля с целью предотвращения или выявления и устранения существенных искажений на уровне предпосылок.

Требования

Аудиторские процедуры общего характера

5. Аудитор должен разработать и реализовать аудиторские процедуры общего характера в отношении оцененных рисков существенного искажения на уровне финансовой отчетности (см. пункты А1-А3).

Аудиторские процедуры в ответ на оцененные риски существенного искажения на уровне предпосылок

6. Аудитор должен разработать и выполнить последующие аудиторские процедуры, характер, сроки и объем которых определяется с учетом и в ответ на оцененные риски существенного искажения на уровне предпосылок подготовки финансовой отчетности (см. пункты А4-А8).

7. При разработке последующих аудиторских процедур аудитор должен:

(a) рассмотреть основания оценки риска существенного искажения на уровне предпосылок по каждому виду операций, остатку по счету и раскрытию информации, включая:

(i) вероятность существенного искажения, обусловленную особенностями соответствующего вида операций, остатка по счету или раскрытия информации (т. е. неотъемлемый риск);

(ii) проверку того, учтены ли в рамках оценки риска соответствующие средства контроля (т. е. риск средств контроля), что означает требование к аудитору получить аудиторские доказательства для определения того, эффективны ли эти средства контроля (т. е. при определении характера, сроков и объема процедур проверки по существу аудитор полагается на операционную эффективность средств контроля) (см. пункты А9-А18);

(b) получить более убедительные доказательства в ответ на риски, оцененные аудитором как более высокие (см. пункт А19).

Тестирование средств контроля

8. Аудитор должен разработать и провести тестирование средств контроля для сбора достаточных надлежащих аудиторских доказательств в отношении операционной эффективности соответствующих средств контроля, если:

(a) оценка им рисков существенного искажения на уровне предпосылок включает ожидание того, что средства контроля эффективны (т. е. аудитор намерен полагаться на операционную эффективность средств контроля при определении характера, сроков и объема процедур проверки по существу); или

(b) одни лишь процедуры проверки по существу не в состоянии обеспечить получение достаточных надлежащих аудиторских доказательств на уровне предпосылок (см. пункты А20-А24).

9. При разработке и проведении тестирования средств контроля аудитор должен получить тем более убедительные аудиторские доказательства, чем в большей степени он полагается на операционную эффективность средств контроля (см. пункт А25).

Характер и объем тестирования средств контроля

10. При разработке и проведении тестирования средств контроля аудитор должен:

(a) выполнить прочие аудиторские процедуры в сочетании с опросом для того, чтобы получить аудиторские доказательства в отношении операционной эффективности средств контроля, включая выяснение:

(i) каким образом применялись средства контроля в соответствующие моменты аудируемого периода;

(ii) насколько последовательно они применялись;

(iii) кем и посредством чего они применялись (см. пункты А26-А29);

(b) определить, зависят ли тестируемые средства контроля от других средств контроля (косвенных средств контроля) и, если это так, надо ли получить аудиторские доказательства, подтверждающие операционную эффективность этих косвенных средств контроля (см. пункты А30-А31).

Сроки проведения тестирования средств контроля

11. В соответствии с пунктами 12 и 15 настоящего стандарта для того, чтобы надлежащим образом обосновать свое намерение полагаться на средства контроля, аудитор должен проводить тестирование средств контроля в определенный момент или в течение всего периода, в рамках которого он намерен полагаться на эти средства контроля (см. пункт А32).

Использование аудиторских доказательств, полученных в течение промежуточного периода

12. Если аудитор получает аудиторские доказательства в отношении операционной эффективности средств контроля в рамках промежуточного периода, он должен:

(a) получить аудиторские доказательства значительных изменений в данных средствах контроля, произошедших после окончания этого промежуточного периода;

(b) определить, какие дополнительные аудиторские доказательства следует получить в отношении оставшегося периода (см. пункты A33-А34).

Использование аудиторских доказательств, полученных в ходе предшествующих аудиторских заданий

13. При решении вопроса о том, допустимо ли использовать аудиторские доказательства операционной эффективности средств контроля, полученные в ходе предшествующих аудиторских заданий и, если допустимо, какова должна быть продолжительность периода времени, по истечении которого следует заново провести тестирование средств контроля, аудитор должен рассмотреть:

(a) операционную эффективность прочих элементов системы внутреннего контроля, включая контрольную среду организации, мониторинг средств контроля организации, а также процедуры оценки рисков в организации;

(b) риски, возникающие вследствие характерных особенностей рассматриваемого средства контроля, включая вопрос о том, является ли данное средство контроля ручным или автоматизированным;

(c) операционную эффективность общих средств контроля информационных технологий;

(d) операционную эффективность рассматриваемого средства контроля и его применения организацией, включая характер и объем отклонений при применении данного средства контроля, отмеченных в ходе предыдущего аудита, а также установление того, не было ли изменений в составе персонала, которые оказывают значительное влияние на применение данного средства контроля;

(e) вопрос о том, не создает ли дополнительных рисков отсутствие изменений в определенном средстве контроля на фоне происходящих изменений в обстоятельствах;

(f) риски существенного искажения и степень доверия к рассматриваемому средству контроля (см. пункт А35).

14. Если аудитор намерен использовать полученные в ходе предшествующего аудиторского задания аудиторские доказательства операционной эффективности конкретных средств контроля, он должен убедиться в актуальности этих доказательств путем сбора аудиторских доказательств относительно того, не произошли ли какие-либо значительные изменения в данных средствах контроля после предшествующего аудиторского задания. Аудитор должен получить эти доказательства путем проведения опроса в сочетании с наблюдением или инспектированием, чтобы подтвердить свое понимание определенных средств контроля, а также:

(a) если произошли изменения, в результате которых аудиторские доказательства, собранные в ходе предшествующего аудиторского задания, перестали быть актуальными, аудитор должен протестировать эти средства контроля в ходе текущего аудиторского задания (см. пункт А36);

(b) если таких изменений не происходило, аудитор должен тестировать эти средства контроля, по крайней мере, в ходе каждого третьего аудиторского задания, а также тестировать отдельные средства контроля в ходе каждого аудиторского задания, чтобы избежать ситуации, при которой все средства контроля, на которые он намерен полагаться, тестируются в одном периоде, и никакие средства контроля не тестируются в течение последующих двух аудируемых периодов (см. пункты А37-А39).

Средства контроля за значительными рисками

15. Если аудитор планирует полагаться на средства контроля за тем или иным риском, который он определил как значительный, аудитор должен протестировать эти средства контроля в текущем периоде.

Оценка операционной эффективности средств контроля

16. При оценке операционной эффективности соответствующих средств контроля аудитор должен оценить, указывают ли выявленные в ходе процедур проверки по существу искажения на неэффективность средств контроля. Отсутствие искажений, выявленных в ходе выполнения процедур проверки по существу, однако, не является аудиторским доказательством того, что относящиеся к проверяемой предпосылке средства контроля являются эффективными (см. пункт А40).

17. Если выявлены недостатки в применении средств контроля, на которые аудитор намерен полагаться, он должен сделать специальные запросы, чтобы разобраться в этих недостатках и их возможных последствиях, а также определить (см. пункт А41):

(a) дает ли проведенное тестирование средств контроля надлежащие основания полагаться на данные средства контроля;

(b) есть ли необходимость в проведении дополнительного тестирования средств контроля;

(c) в ответ на возможные риски существенного искажения должны ли быть проведены процедуры проверки по существу.

Процедуры проверки по существу

18. Независимо от оцененных рисков существенного искажения аудитор должен разработать и провести процедуры проверки по существу в отношении каждого существенного вида операций, остатка по счету и раскрытия информации (см. пункты А42-А47).

19. Аудитор должен рассмотреть вопрос о том, следует ли провести в качестве аудиторских процедур проверки по существу процедуры внешнего подтверждения (см. пункты А48-А51).

Процедуры проверки по существу, относящиеся к процессу формирования финансовой отчетности

20. В состав проводимых аудитором процедур проверки по существу должны входить следующие аудиторские процедуры, относящиеся к процессу формирования финансовой отчетности:

(a) согласование или сверка финансовой отчетности с первичными данными бухгалтерского учета;

(b) проверка существенных бухгалтерских записей и прочих корректировок, выполненных при подготовке финансовой отчетности (см. пункт А52).

Процедуры проверки по существу в ответ на значительные риски

21. Если аудитор определил, что тот или иной оцененный риск существенного искажения на уровне предпосылок является значительным, он должен провести процедуры проверки по существу, нацеленные на реагирование именно на этот риск. Когда подход к значительному риску состоит только из процедур проверки по существу, эти процедуры должны включать детальные тесты (см. пункт А53).

Сроки выполнения процедур проверки по существу

22. Если процедуры проверки по существу проводятся на промежуточную дату, аудитор должен охватить оставшийся период, выполнив:

(a) либо процедуры проверки по существу в сочетании с тестами средств контроля в отношении наступающего периода;

(b) либо только последующие процедуры проверки по существу, если аудитор определит, что их достаточно,

что обеспечивает разумные основания для распространения аудиторских выводов с промежуточной даты до конца периода (см. пункты А54-А57).

23. Если на промежуточную дату выявлены искажения, которых аудитор не ожидал при проведении оценки рисков существенного искажения, он должен оценить необходимость изменения соответствующей оценки риска, а также ранее планируемого характера, сроков или объема процедур проверки по существу в отношении оставшегося периода (см. пункт А58).

Адекватность представления и раскрытия информации

24. Аудитор должен провести аудиторские процедуры, чтобы оценить, соответствует ли общее представление финансовой отчетности, включая соответствующее раскрытие информации, применимой концепции подготовки финансовой отчетности (см. пункт А59).

Оценка достаточности и надлежащего характера аудиторских доказательств

25. Основываясь на проведенных аудиторских процедурах и полученных аудиторских доказательствах, аудитор должен до завершения аудита определить, является ли проведенная оценка рисков существенного искажения на уровне предпосылок по-прежнему актуальной (см. пункты А60-А61).

26. Аудитор должен установить, получены ли достаточные надлежащие аудиторские доказательства. При формировании своего мнения аудитор должен принять во внимание все соответствующие аудиторские доказательства независимо от того, подтверждают ли они предпосылки в отношении финансовой отчетности или противоречат им (см. пункт А62).

27. Если аудитор не получил достаточных надлежащих аудиторских доказательств в отношении существенной предпосылки на уровне финансовой отчетности, он должен попытаться получить дополнительные аудиторские доказательства. Если аудитор не может получить достаточные надлежащие аудиторские доказательства, он должен выразить мнение с оговоркой или отказаться от выражения мнения.

Документация

28. Аудитор должен отразить в аудиторской документации*(2):

(a) аудиторские процедуры общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности, а также характер, сроки и объем выполненных дополнительных аудиторских процедур;

(b) связь этих процедур с оцененными рисками на уровне предпосылок;

(c) соответствующие результаты этих аудиторских процедур, включая выводы, если они не очевидны (см. пункт А63).

29. Если аудитор планирует использовать полученные в ходе предшествующих аудиторских заданий аудиторские доказательства операционной эффективности средств контроля, он должен включить в аудиторскую документацию свои выводы относительно того, что он полагается на средства контроля, которые тестировались в ходе предшествующего аудита.

30. Аудиторская документация должна содержать доказательства того, что финансовая отчетность сверена с лежащими в ее основе данными бухгалтерского учета.

***

Руководство по применению и прочие пояснительные материалы

Аудиторские процедуры общего характера (см. пункт 5)

А1. Аудиторские процедуры общего характера в отношении оцененных рисков существенного искажения на уровне финансовой отчетности могут включать:

- акцентирование внимания аудиторской группы на необходимости поддерживать профессиональный скептицизм;

- задействование более опытного персонала или лиц, обладающих специальными навыками, либо привлечение экспертов;

- осуществление более тщательного контроля за работой менее опытных членов аудиторской группы;

- включение дополнительных элементов непредсказуемости при выборе последующих аудиторских процедур;

- внесение общих изменений в характер, сроки или объем аудиторских процедур, например: проведение процедур проверки по существу не на промежуточную дату, а в конце периода или видоизменение характера аудиторских процедур для получения более убедительных аудиторских доказательств.

А2. Оценка рисков существенного искажения на уровне финансовой отчетности и, следовательно, аудиторские процедуры общего характера зависят от понимания аудитором контрольной среды. Эффективная контрольная среда может дать аудитору более высокую степень уверенности в системе внутреннего контроля и надежности аудиторских доказательств, полученных внутри организации, и, таким образом, позволить аудитору, например, провести некоторые аудиторские процедуры на промежуточную дату, а не на конец периода. Недостатки же контрольной среды приводят к противоположным последствиям; так, например, аудитор может отреагировать на неэффективную контрольную среду:

- проведением большего количества аудиторских процедур на конец периода, а не на промежуточную дату;

- сбором большего объема аудиторских доказательств в результате проведения процедур проверки по существу;

- увеличением количества территориальных подразделений, подлежащих аудиту.

A3. Эти факторы, таким образом, в значительной степени влияют на общий подход аудитора, обусловливая, например, акцент на процедуры проверки по существу (подход, основанный на процедурах проверки по существу), или подход, использующий как тестирование средств контроля, так и процедуры проверки по существу.

Аудиторские процедуры в ответ на оцененные риски существенного искажения на уровне предпосылок

Характер, сроки и объем последующих аудиторских процедур (см. пункт 6)

А4. Оценка аудитором выявленных рисков на уровне предпосылок создает основу для формирования надлежащего аудиторского подхода к разработке и проведению последующих аудиторских процедур. Например, аудитор может установить:

(a) что только выполнение тестирования средств контроля позволит ему разработать эффективный ответ на оцененный риск существенного искажения в отношении определенной предпосылки;

(b) что для определенных предпосылок окажется достаточным проведение только процедур проверки по существу и, следовательно, аудитор исключает воздействие средств контроля из оценки соответствующих рисков. Причиной этого может послужить то, что аудиторские процедуры оценки рисков не выявили каких бы то ни было эффективных средств контроля, имеющих отношение к данной предпосылке, или что в случае, если тестирование средств контроля будет неэффективным, аудитор не будет полагаться на операционную эффективность средств контроля при определении характера, сроков и объема процедур проверки по существу;

(c) что наиболее эффективным будет комбинированный подход, при котором применяется как тестирование средств контроля, так и процедуры проверки по существу.

Однако, в соответствии с требованиями пункта 18, независимо от выбранного подхода аудитор разрабатывает и проводит процедуры проверки по существу в отношении каждого существенного вида операций, остатка по счету и раскрытия информации.

А5. Под характером аудиторской процедуры понимается ее назначение (то есть тестирование средств контроля или процедура проверки по существу) и ее вид (то есть инспектирование, наблюдение, опрос, подтверждение, пересчет, повторное применение средства контроля или аналитическая процедура). Характер аудиторских процедур наиболее важен при реагировании на оцененные риски.

A6. Под сроками проведения аудиторской процедуры понимается момент ее проведения, а также период или дата, к которым применимы соответствующие аудиторские доказательства.

А7. Под объемом аудиторской процедуры понимается количество действий, которые надо выполнить, например, размер выборки или количество наблюдений за тем или иным контрольным действием.

А8. Разработка и проведение последующих аудиторских процедур, характер, сроки проведения и объем которых основаны на оцененных рисках и соответствуют оцененным рискам существенного искажения на уровне предпосылок, обеспечивают четкую связь между последующими аудиторскими процедурами и оценкой рисков.

Процедуры в ответ на оцененные риски на уровне предпосылок подготовки финансовой отчетности (см. пункт 7(a))

Характер

А9. Оцененные аудитором риски могут влиять как на виды проводимых аудиторских процедур, так и на их сочетание. Например, когда выявленный риск высок, аудитор может подтвердить у контрагента полноту изложения условий договора, не ограничиваясь инспектированием этого документа. Кроме того, определенные аудиторские процедуры могут оказаться более подходящими для одних предпосылок, чем для других. Например, наиболее приемлемыми процедурами в ответ на оцененный риск искажения выручки в части предпосылки ее полноты может оказаться тестирование средств контроля, в то время как в отношении оцененного риска искажения предпосылки наличия выручки наиболее приемлемыми могут оказаться процедуры проверки по существу.

А10. При определении характера аудиторских процедур имеют значение причины той или иной оценки риска. Например, если тот или иной риск оценивается как низкий по причине определенных особенностей какого-либо вида операций без учета соответствующих средств контроля, тогда аудитор может решить, что для сбора достаточных надлежащих аудиторских доказательств можно провести только аналитические процедуры. Однако, если этот риск оценивается как низкий из-за влияния средств внутреннего контроля и аудитор планирует выполнять процедуры проверки по существу на основе этой низкой оценки, тогда аудитор должен провести тестирование таких средств контроля, как это требуется в соответствии с пунктом 8(a). Это может иметь место, например, в отношении достаточно однородных и несложных операций, которые регулярно обрабатываются и контролируются информационной системой организации.

Сроки

А11. Аудитор может провести тестирование средств контроля или процедуры проверки по существу на промежуточную дату или на конец периода. Чем выше риск существенного искажения, тем больше вероятность того, что аудитор может решить, что более эффективно выполнить процедуры проверки по существу ближе к концу или в конце периода, а не на более раннюю дату, или провести аудиторские процедуры, не объявив об этом заранее, или в непредсказуемые даты (например, провести аудиторские процедуры в отдельных выбранных территориальных подразделениях без предварительного уведомления). Это особенно применимо при проведении процедур в ответ на риски недобросовестных действий. Например, аудитор может прийти к выводу, что если выявлены риски умышленного искажения или манипуляции, то аудиторские процедуры по распространению аудиторских выводов с промежуточного периода на конец периода окажутся неэффективными.

А12. Проведение аудиторских процедур до завершения периода может помочь аудитору выявить значительные проблемы на раннем этапе аудита и, таким образом, разрешить их при содействии руководства или разработать эффективный аудиторский подход в отношении этих проблем.

А13. Кроме того, некоторые аудиторские процедуры могут проводиться только в конце периода или по его завершении, например:

- сверка финансовой отчетности с данными бухгалтерского учета;

- исследование корректировок, сделанных в ходе подготовки финансовой отчетности;

- процедуры в ответ на риск того, что в конце периода организация может заключить неправомерные договоры купли-продажи или что операции могут оказаться незавершенными.

A14. Другие важные факторы, влияющие на решение аудитора в отношении того, когда проводить аудиторские процедуры, включают следующее:

- контрольная среда;

- время, когда становится доступной необходимая информация (например, электронные файлы впоследствии могут оказаться перезаписанными или процедуры, требующие наблюдения, могут проводиться только в определенное время);

- характер риска (например, если существует риск завышения показателей выручки для достижения ожидаемых показателей прибыли путем последующей фабрикации поддельных договоров купли-продажи, аудитор может принять решение изучить договоры, имеющиеся на дату окончания периода);

- период или дата, к которым относятся аудиторские доказательства.

Объем

А15. Необходимый, по мнению аудитора, объем аудиторской процедуры, определяется с учетом анализа существенности, оцененного риска и той степени уверенности, которую аудитор планирует получить. Когда для достижения одной цели применяется сочетание процедур, объем каждой процедуры рассматривается отдельно. Обычно объем аудиторских процедур увеличивается по мере повышения риска существенного искажения. Например, в ответ на оцененный риск существенного искажения вследствие недобросовестных действий может оказаться целесообразным увеличение размеров выборки или проведение аналитических процедур по существу с большей степенью детализации. Однако увеличение объема аудиторской процедуры будет эффективным лишь в том случае, когда эта процедура отвечает на конкретный риск.

А16. Применение автоматизированных способов аудита (СААТ) может позволить проводить тестирование большего объема электронных операций и учетных файлов, что может оказаться полезным, когда аудитор принимает решение пересмотреть объем тестирования, например, в ответ на риски существенного искажения вследствие недобросовестных действий. Эти способы могут применяться для выбора отдельных операций из ключевых электронных файлов, для сортировки операций по тем или иным признакам или для тестирования всей генеральной совокупности, а не только выборки.

Особенности организаций государственного сектора

А17. При проведении аудита организаций государственного сектора на определение характера, сроков и объема последующих аудиторских процедур могут оказывать влияние условия задания на проведение аудита и прочие специальные требования к проведению аудита.

Особенности малых организаций

А18. В совсем небольших организациях может существовать немного контрольных действий, которые аудитор мог бы идентифицировать, либо степень, до которой их наличие и проведение задокументированы организацией, может оказаться ограниченной. В таких случаях наиболее эффективным будет проведение аудитором последующих аудиторских процедур, являющихся в основном процедурами проверки по существу. Тем не менее в некоторых редких случаях отсутствие контрольных действий или прочих компонентов контроля может не позволить получить достаточные надлежащие аудиторские доказательства.

Высокая оценка риска (см. пункт 7(b))

А19. При получении более убедительных аудиторских доказательств вследствие высокой оценки риска аудитор может увеличить количество доказательств или получить более уместные или надежные доказательства, например, уделяя больше внимания получению доказательств от третьих лиц или подтверждающих данных из нескольких независимых источников.

Тестирование средств контроля

Разработка и проведение тестирования средств контроля (см. пункт 8)

А20. Тестирование средств контроля проводится лишь в отношении тех средств контроля, которые аудитор определил как разработанные надлежащим образом с целью предотвращения или выявления и исправления существенного искажения той или иной предпосылки. Если в течение аудируемого периода в разное время использовались значительно отличающиеся друг от друга средства контроля, следует проанализировать каждое средство контроля отдельно.

А21. Тестирование операционной эффективности средств контроля отличается от получения понимания и оценки разработки и внедрения средств контроля. Тем не менее в этих случаях применяются одни и те же виды аудиторских процедур. Аудитор может, таким образом, решить, что целесообразнее будет тестировать операционную эффективность средств контроля одновременно с оценкой их структуры и установлением факта их внедрения.

А22. Кроме того, хотя некоторые процедуры оценки рисков могли не разрабатываться специально для тестирования средств контроля, они, тем не менее, могут предоставить аудиторские доказательства об операционной эффективности этих средств контроля и в силу этого обстоятельства могут служить для тестирования средств контроля. Например, аудиторские процедуры оценки рисков могли включать:

- запросы о том, как руководство использовало бюджеты;

- изучение подготовленного руководством сопоставления ежемесячных плановых и фактических расходов;

- проверку отчетов, касающихся исследования расхождений между плановыми и фактическими показателями.

Эти аудиторские процедуры дают информацию о разработанной организацией бюджетной политике и о том, была ли она внедрена, но также могут предоставить аудиторские доказательства эффективности применения бюджетной политики для предотвращения или выявления существенных искажений в классификации затрат.

А23. Кроме того, аудитор может разработать тест средств контроля, который должен выполняться одновременно с детальными тестами по одной и той же операции. Несмотря на то, что цель тестирования средств контроля отличается от цели детального теста, оба они могут применяться одновременно путем проведения тестирования средств контроля и детального теста одной и той же операции, что также называется тестом двойного назначения. Например, аудитор может разработать тест выставленного счета с целью установления факта его утверждения и получения аудиторских доказательств операции по существу, а также оценить результаты этого теста. При разработке и оценке теста двойного назначения каждая из целей анализируется отдельно.

А24. В некоторых случаях аудитор может счесть невозможной разработку таких эффективных процедур проверки по существу, которые сами по себе обеспечивают достаточные надлежащие аудиторские доказательства на уровне предпосылок*(3). Это может происходить, когда организация в своей деятельности использует информационные технологии и никакие документы по операциям не оформляются и не хранятся, кроме содержащихся в ИТ-системе. В таких случаях пункт 8(b) требует от аудитора провести тестирование соответствующих средств контроля.

Зависимость объема аудиторских доказательств эффективности средств контроля от степени, в которой аудитор намеревается на них полагаться (см. пункт 9)

А25. Когда принятый подход состоит преимущественно из тестирования средств контроля, может потребоваться более высокая степень уверенности в отношении операционной эффективности средств контроля, в особенности в тех случаях, когда получить достаточные надлежащие аудиторские доказательства только в результате процедур проверки по существу невозможно или практически нецелесообразно.

Характер и объем тестирования средств контроля

Прочие аудиторские процедуры в сочетании с опросом (см. пункт 10(a))

А26. Использование одного только опроса недостаточно для тестирования операционной эффективности средств контроля. Следовательно, в сочетании с опросом проводятся прочие аудиторские процедуры. В этом отношении опрос в сочетании с инспектированием или повторным применением процедуры может дать больше уверенности, чем опрос и наблюдение, поскольку наблюдение подтверждает только то, что происходит в момент его проведения.

A27. Характер того или иного средства контроля влияет на тип процедуры, необходимой для получения аудиторских доказательств операционной эффективности этого средства контроля. Например, если операционная эффективность подтверждается документами, аудитор может решить изучить такие документы, чтобы получить аудиторские доказательства операционной эффективности. Однако в отношении других средств контроля документы могут отсутствовать или быть неуместными. Например, могут отсутствовать документы по функционированию отдельных элементов контрольной среды, таких как распределение полномочий, или по определенным видам контрольных действий, в частности контрольных действий, выполняемых компьютером. В таких обстоятельствах аудиторские доказательства операционной эффективности могут быть получены посредством проведения опросов в сочетании с другими аудиторскими процедурами, например, наблюдением или использованием СААТ.

Объем тестирования средств контроля

А28. Когда необходимы более убедительные аудиторские доказательства в отношении операционной эффективности того или иного средства контроля, может оказаться целесообразным увеличить объем тестирования такого средства контроля. Помимо степени, в которой аудитор планирует полагаться на средства контроля, при определении объема тестирования средств контроля он может рассмотреть следующие факторы:

- частота применения организацией данного средства контроля в течение периода;

- длительность промежутка времени в ходе аудита, в течение которого аудитор полагается на операционную эффективность данного средства контроля;

- ожидаемая частота некорректного функционирования средства контроля;

- уместность и надежность аудиторских доказательств, которые необходимо получить в отношении операционной эффективности данного средства контроля на уровне предпосылок;

- объем аудиторских доказательств, полученных в отношении той же предпосылки путем тестирования других средств контроля.

MCA 530*(4) содержит дополнительные рекомендации в отношении объема тестирования.

А29. Вследствие более высокой надежности обработки данных средствами ИТ, может не потребоваться увеличение объема тестирования автоматизированных средств контроля. Можно ожидать, что автоматизированное средство контроля будет работать последовательно, если только программа (включая таблицы, файлы или прочие постоянные данные, используемые программой) не будет изменена. Если аудитор установил, что автоматизированное средство контроля работает должным образом (в момент внедрения средства контроля или на иную дату), он может рассмотреть вопрос о проведении тестирования для определения того, что данное средство контроля продолжает работать эффективно. Такое тестирование может включать определение того, что:

- никакие изменения не вносятся в программу без применения по отношению к ним надлежащих средств контроля за изменениями программы;

- для обработки операций используется авторизованная версия программы;

- иные соответствующие общие средства контроля являются эффективными.

Такое тестирование также может включать определение того, что никакие изменения в программы не вносились, что обычно происходит, когда организация пользуется пакетным программным обеспечением, не модифицируя или не поддерживая его. Например, аудитор может проверить записи администратора, отвечающего за безопасность ИТ, чтобы получить аудиторские доказательства отсутствия несанкционированного доступа в течение определенного периода.

Тестирование косвенных средств контроля (см. пункт 10(b))

A30. В некоторых обстоятельствах может оказаться необходимым получить аудиторские доказательства, подтверждающие операционную эффективность косвенных средств контроля. Например, при тестировании эффективности пользовательской проверки отчетов об отклонениях, содержащих перечень продаж, по которым был превышен кредитный лимит, такая пользовательская проверка и связанные с ней корректирующие действия представляют собой средство контроля, имеющее непосредственное значение для аудитора. Средства же контроля за точностью информации в отчетах (например, общие средства контроля ИТ), называются косвенными средствами контроля.

А31. Вследствие более высокой надежности обработки данных средствами ИТ, аудиторские доказательства в отношении применения автоматизированных прикладных средств контроля при их рассмотрении в сочетании с аудиторскими доказательствами в отношении операционной эффективности общих средств контроля организации (в частности, средств контроля за внесением изменений) также могут давать весомые аудиторские доказательства их операционной эффективности.

Сроки проведения тестирования средств контроля

Период, в течение которого аудитор намерен полагаться на средства контроля (см. пункт 11)

А32. Аудиторские доказательства, относящиеся лишь к определенному моменту времени, могут быть достаточны для целей аудитора, например, при тестировании средств контроля за инвентаризацией в конце отчетного периода. Если же аудитор намерен полагаться на какое-либо средство контроля в течение определенного периода времени, целесообразно провести тестирование, способное дать аудиторские доказательства операционной эффективности применения данного средства контроля в соответствующие моменты на протяжении данного периода. Такое тестирование может включать тестирование мониторинга средств контроля организации.

Использование аудиторских доказательств, полученных в течение промежуточного периода (см. пункт 12(b))

А33. Факторы, имеющие отношение к определению того, какие дополнительные аудиторские доказательства необходимо получить в отношении средств контроля, которые работали в течение времени после промежуточного периода, включают:

- значительность оцененных рисков существенного искажения на уровне предпосылок;

- конкретные средства контроля, которые тестировались в течение промежуточного периода, и значительные изменения в них, имевшие место после тестирования, включая изменения в информационной системе, процессах и персонале;

- меру, в которой были получены аудиторские доказательства в отношении операционной эффективности этих средств контроля;

- продолжительность оставшегося периода;

- степень, до которой аудитор намерен сократить объем последующих процедур проверки по существу на основании надежности средств контроля;

- контрольную среду.

А34. Дополнительные аудиторские доказательства могут быть получены, например, за счет распространения результатов тестирования средств контроля на оставшийся период или за счет тестирования мониторинга средств контроля организацией.

Использование аудиторских доказательств, полученных в ходе предшествующих аудиторских заданий (см. пункт 13)

A35. В определенных обстоятельствах полученные в ходе предшествующих аудиторских заданий аудиторские доказательства могут являться аудиторскими доказательствами при проведении аудитором аудиторских процедур по определению актуальности таких доказательств. Например, при проведении предшествующего аудиторского задания аудитор мог установить, что автоматизированные средства контроля работают должным образом. Аудитор может получить аудиторские доказательства того, были ли внесены какие-либо изменения в эти автоматизированные средства контроля, которые влияют на их эффективное функционирование, путем, например, проведения опроса руководства организации и путем проверки журналов регистрации доступа, чтобы определить, в какие средства контроля были внесены изменения. Рассмотрение аудиторских доказательств, касающихся таких изменений, может свидетельствовать о необходимости как увеличения, так и уменьшения предполагаемого объема аудиторских доказательств операционной эффективности таких средств контроля, которые необходимо получить в текущем периоде.

Средства контроля, изменившиеся после предшествующих аудиторских заданий (см. пункт 14(a))

A36. Изменения, которые могут повлиять на уместность аудиторских доказательств, полученных в ходе выполнения предыдущих аудиторских заданий, не могут рассматриваться в качестве оснований для надежности аудиторских доказательств в дальнейшем. Например, изменения в системе, позволяющие организации получать новый отчет, генерируемый системой, вероятно, не затрагивают актуальность аудиторских доказательств предшествующего аудита, однако изменение способов сбора и обработки данных, несомненно, затрагивает ее.

Средства контроля, не изменившиеся после предшествующих аудиторских заданий (см. пункт 14(b))

А37. Решение аудитора о том, полагаться ли на аудиторские доказательства, полученные в ходе предшествующих аудиторских заданий, в отношении средств контроля, которые:

(a) не изменились с момента их последнего тестирования;

(b) не являются средствами контроля, предназначенными для снижения значительного риска, составляет предмет профессионального суждения. Кроме того, продолжительность времени между повторными тестами таких средств контроля также является предметом профессионального суждения, однако, в соответствии с пунктом 14 (b), они должны проводиться не реже одного раза в три года.

А38. Обычно чем выше риск существенного искажения или чем больше аудитор полагается на средства контроля, тем короче должен быть этот промежуток времени, если он имеется. Факторы, которые могут сократить период между повторными тестами средств контроля, или привести к полному отказу от использования аудиторских доказательств, полученных в ходе выполнения предшествующих аудиторских заданий, включают:

- несовершенство контрольной среды;

- недостаточный мониторинг средств контроля;

- значительную долю ручных операций в применимых средствах контроля;

- кадровые изменения или изменения в составе персонала, существенно влияющие на применение средства контроля;

- изменения в обстоятельствах, свидетельствующие о необходимости изменений в средстве контроля;

- несовершенство основных средств контроля ИТ.

А39. Если есть целый ряд средств контроля, в отношении которых аудитор намерен полагаться на аудиторские доказательства, полученные в ходе предыдущего аудита, тестирование некоторых из этих средств контроля в ходе проведения каждого аудита дает подтверждающий материал относительно сохранения операционной эффективности контрольной среды. Это помогает аудитору решить, нужно ли полагаться на аудиторские доказательства, полученные в ходе предшествующих аудиторских заданий.

Оценка операционной эффективности средств контроля (см. пункты 16-17)

А40. Существенное искажение, выявленное в ходе аудиторских процедур, однозначно свидетельствует о существовании значительных недостатков в системе внутреннего контроля.

А41. Понятие операционной эффективности средств контроля учитывает возможность возникновения некоторых отклонений в ходе их применения организацией. Отклонения от предписанных средств контроля могут быть вызваны такими факторами, как изменения в составе ключевого персонала, значительные сезонные колебания в объеме операций и человеческий фактор. Выявленный уровень отклонения, особенно в сравнении с ожидаемым уровнем, может указывать на невозможность полагаться на данное средство контроля для снижения риска на уровне предпосылок до оцененного аудитором уровня.

Процедуры проверки по существу (см. пункт 18)

А42. Пункт 18 требует от аудитора разработать и провести процедуры проверки по существу в отношении каждого существенного вида операций, остатка по счету и раскрытия информации, независимо от оцененных рисков существенного искажения. Это требование отражает тот факт, что: (а) оценка аудитором рисков существенного искажения основана на профессиональном суждении и, таким образом, не может выявить все риски существенного искажения; (b) существуют неотъемлемые ограничения системы внутреннего контроля, включая возможность ее обхода руководством.

Характер и объем процедур проверки по существу

А43. В зависимости от обстоятельств, аудитор может определить, что:

- выполнения лишь аналитических процедур проверки по существу будет достаточно для снижения аудиторского риска до приемлемо низкого уровня. Например, когда оценка риска аудитором подтверждается аудиторским доказательством, полученным в результате тестирования средств контроля;

- надлежащий характер будет носить только применение детальных тестов;

- наиболее подходящим ответом на оцененные риски будет сочетание аналитических процедур проверки по существу с детальными тестами.

А44. Аналитические процедуры проверки по существу обычно более применимы к большим объемам операций, которым свойственна тенденция быть предсказуемыми во времени. MCA 520*(5) устанавливает требования и содержит рекомендации по применению аналитических процедур в ходе проведения аудита.

А45. При разработке детальных тестов важное значение имеет характер риска и предпосылки. Например, с одной стороны, детальные тесты, связанные с предпосылками существования или наличия, могут предполагать выборку из статей, входящих в ту или иную сумму финансовой отчетности, и сбор соответствующих аудиторских доказательств. С другой стороны, детальные тесты, связанные с предпосылкой полноты, могут предполагать выборку элементов, которые должны быть включены в соответствующую сумму, представляемую в финансовой отчетности, и исследование того, были ли они включены.

А46. Поскольку при оценке риска существенного искажения принимается во внимание система внутреннего контроля, может возникнуть необходимость увеличить объем процедур проверки по существу в тех случаях, когда получены неудовлетворительные результаты тестов средств контроля. Однако увеличение объема аудиторской процедуры будет носить надлежащий характер лишь в том случае, когда аудиторская процедура применима к конкретному риску.

А47. При разработке детальных тестов объем тестирования, как правило, представлен в виде размера выборки. Однако имеют значение и другие вопросы, в частности, является ли более эффективным использование других методов выборки для тестирования (см. МСА 500)*(6).

Рассмотрение вопроса о необходимости проведения процедур внешнего подтверждения (см. пункт 19)

А48. Процедуры внешнего подтверждения во многих случаях являются уместными при рассмотрении предпосылок, связанных с остатками по счетам и их элементами, однако они не обязательно ограничиваются только этими статьями. Например, аудитор может запросить внешнее подтверждение условий соглашений, договоров или сделок между организацией и другими сторонами. Процедуры внешнего подтверждения также могут проводиться для получения аудиторских доказательств отсутствия определенных условий. Например, запрос может содержать просьбу о подтверждении факта отсутствия дополнительных соглашений, которые могут иметь отношение к предпосылкам закрытия периода по признанию выручки организации. Процедуры внешнего подтверждения могут предоставить уместные аудиторские доказательства в ответ на оцененные риски существенного искажения в ряде случаев, включая подтверждение:

- остатков по банковским счетам и прочей информации, связанной с взаимоотношениями с банками;

- остатков по счетам дебиторской задолженности и сроков ее погашения;

- запасов, хранящихся на таможенных складах третьих лиц, предоставленных для переработки или реализации;

- наличия правоустанавливающих документов о праве собственности на имущество, находящихся на ответственном хранении или в качестве залогового обеспечения у юристов или финансистов;

- инвестиций, находящихся на ответственном хранении у третьих лиц, или купленных у биржевых брокеров, но не доставленных на отчетную дату;

- сумм к оплате заимодавцам, включая соответствующие условия погашения и ограничительные условия;

- остатков по счетам кредиторской задолженности и сроков ее погашения.

А49. Несмотря на то, что внешние подтверждения могут предоставить уместные аудиторские доказательства определенных предпосылок, существуют такие предпосылки, по которым внешние подтверждения дают менее уместные аудиторские доказательства. Например, внешние подтверждения дают менее уместные аудиторские доказательства вероятности взыскания дебиторской задолженности, чем ее наличия.

А50. Аудитор может определить, что процедуры внешнего подтверждения, выполняемые с одной целью, дают возможность получить аудиторские доказательства в отношении других вопросов. Например, запросы о предоставлении подтверждения остатков на счетах в банках часто включают запрос о предоставлении информации, имеющей отношение и к другим предпосылкам финансовой отчетности. Такие соображения могут повлиять на решение аудитора о том, следует ли проводить процедуры внешнего подтверждения.

А51. Факторы, которые могут помочь аудитору при определении того, следует ли выполнять процедуры внешнего подтверждения в качестве аудиторских процедур проверки по существу:

- осведомленность подтверждающей стороны о предмете задания - ответы могут быть более надежными, если они предоставлены тем лицом подтверждающей стороны, которое надлежащим образом осведомлено о подтверждаемой информации;

- способность или желание предполагаемой подтверждающей стороны дать ответ. Так, например, подтверждающая сторона:

- может не принять на себя ответственность за ответ на запрос о подтверждении;

- может счесть подготовку ответа излишне затратной или отнимающей много времени;

- может иметь опасения относительно потенциальной юридической ответственности, которая может возникнуть в связи с предоставлением ответа;

- может вести учет операций в других валютах;

- может вести свою деятельность в среде, в которой ответы на запросы о подтверждении не являются значительным аспектом повседневной деятельности.

В таких ситуациях подтверждающая сторона может не ответить, или может ответить в неофициальной манере, или может попытаться ограничить уверенность в ответе;

- объективность предполагаемой подтверждающей стороны - если подтверждающая сторона является связанной стороной организации, ее ответы на запросы о подтверждении могут быть менее надежны.

Процедуры проверки по существу, относящиеся к процессу закрытия финансовой отчетности (см. пункт 20(b))

А52. Характер, а также объем изучения аудитором бухгалтерских записей и иных корректировок зависят от характера и сложности процесса подготовки финансовой отчетности организации и соответствующих рисков существенного искажения.

Процедуры проверки по существу в ответ на значительные риски (см. пункт 21)

А53. Пункт 21 настоящего стандарта требует от аудитора проводить процедуры проверки по существу, относящиеся именно к тем рискам, которые аудитор определил как значительные. Аудиторские доказательства в форме внешнего подтверждения, полученные аудитором непосредственно от соответствующего подтверждающего лица, могут помочь аудитору в получении аудиторских доказательств высокого уровня надежности, необходимых ему для принятия мер в ответ на значительные риски существенного искажения как по причине недобросовестных действий, так и вследствие ошибки. Например, если аудитор выявляет, что руководство находится под давлением с целью достижения ожидаемого показателя прибыльности, может иметь место связанный с этим риск того, что руководство завышает показатели продаж путем ненадлежащего признания выручки, относящейся к договорам купли-продажи, условия которых исключают признание выручки, или путем выставления счетов, не дожидаясь поставки. В этих обстоятельствах аудитор может, например, разработать процедуры внешнего подтверждения не только с целью подтвердить суммы задолженности, но также и условия договоров купли-продажи, включая дату, наличие прав возврата и условия поставки. Кроме того, аудитор может счесть эффективным дополнить такие процедуры внешнего подтверждения направлением запросов персоналу организации, не связанному с финансами, в отношении любых изменений в договорах купли-продажи и условиях поставки.

Сроки выполнения процедур проверки по существу (см. пункты 22-23)

А54. В большинстве случаев аудиторские доказательства в результате процедур проверки по существу в ходе предшествующего аудита не предоставляют достаточных аудиторских доказательств в отчетном периоде. Существуют, однако, и исключения: например, полученное в ходе предшествующего аудита юридическое заключение, относящееся к структуре секьюритизации, которая осталась неизменной, может оказаться актуальным и в текущем периоде. В таких случаях может оказаться правильным воспользоваться аудиторскими доказательствами, полученными в результате выполнения процедур проверки по существу в ходе предшествующего аудита, если данные доказательства и соответствующий предмет задания не претерпели коренных изменений, а в течение текущего периода были выполнены аудиторские процедуры с целью подтверждения актуальности этих доказательств.

Использование аудиторских доказательств, полученных в течение промежуточного периода (см. пункт 22)

А55. В некоторых обстоятельствах аудитор может определить, что более эффективным будет провести процедуры проверки по существу на промежуточную дату, а также выполнить сравнение и выверку данных об остатках по состоянию на конец периода с сопоставимыми данными по состоянию на промежуточную дату с целью:

(a) выявить суммы, которые представляются необычными;

(b) исследовать все такие суммы;

(c) провести аналитические процедуры проверки по существу или детальные тесты с целью проверки промежуточного периода.

А56. Проведение процедур проверки по существу на промежуточную дату без проведения дополнительных процедур на более позднюю дату увеличивает риск того, что аудитор не выявит искажения, которые могут иметь место на конец периода. Этот риск увеличивается с увеличением длительности оставшегося периода. На решение о необходимости выполнения процедур проверки по существу на промежуточную дату могут оказать влияние следующие факторы:

- контрольная среда и прочие соответствующие средства контроля;

- доступность в более поздние сроки информации, необходимой для выполнения аудиторских процедур;

- назначение процедуры проверки по существу;

- оцененный риск существенного искажения;

- характер вида операций или остатка по счету и соответствующих предпосылок;

- способность аудитора провести надлежащие процедуры проверки по существу или процедуры проверки по существу в сочетании с тестами средств контроля, охватывающие оставшийся период, с целью снизить риск невыявления искажений, которые могут существовать на конец периода.

А57. На решение о том, выполнять ли аналитические процедуры проверки по существу в отношении периода между промежуточной датой и датой окончания периода, могут оказать влияние следующие соображения:

- можно ли обоснованно спрогнозировать остатки на конец периода для определенных видов операций или остатков по счетам в отношении сумм, их сравнительной значимости и структуры;

- являются ли надлежащими процедуры организации по анализу и корректированию таких видов операций или остатков по счетам на промежуточные даты, а также процедуры по закрытию периодов;

- обеспечит ли информационная система, связанная с финансовой отчетностью, предоставление таких данных об остатках по счетам на конец периода и операциях, которые были бы достаточны, чтобы позволить аудитору исследовать следующие вопросы:

(a) значимые необычные операции или записи (включая те, что имеют место на конец периода или незадолго до конца периода);

(b) другие причины существенных колебаний или ожидаемых колебаний, которые не состоялись;

(c) изменения в составе видов операций или остатков по счетам.

Искажения, выявленные на промежуточную дату (см. пункт 23)

А58. Когда аудитор приходит к заключению, что запланированный характер, сроки выполнения и объем процедур проверки по существу, охватывающих оставшийся период, должны быть пересмотрены с учетом неожиданных искажений, выявленных на промежуточную дату, такой пересмотр может включать расширение процедур, выполненных на промежуточную дату, или их повторное проведение на конец периода.

Адекватность представления и раскрытия информации (см. пункт 24)

А59. Оценка общего представления финансовой отчетности, включая соответствующее раскрытие информации, касается вопроса о том, представлена ли отдельная финансовая отчетность таким образом, чтобы она отражала надлежащую классификацию и описание финансовой информации, а также форму, структуру и содержание финансовой отчетности и примечаний к ней. Это включает, например, оценку используемой терминологии, степень детализации данных, классификацию статей в отчетности и основания расчета указанных сумм.

Оценка достаточности и надлежащего характера аудиторских доказательств (см. пункты 25-27)

А60. Аудит финансовой отчетности представляет собой накопительный и циклически повторяющийся процесс. По мере того, как аудитор выполняет запланированные аудиторские процедуры, получаемые им аудиторские доказательства могут убедить его изменить характер, сроки и объем других запланированных аудиторских процедур. В поле зрения аудитора может попасть информация, которая в значительной степени отличается от той, на которой основывалась оценка рисков. Например:

- объем искажений, которые выявляет аудитор при выполнении процедур проверки по существу, может изменять его мнение об оценке рисков и может указывать на значительные недостатки в системе внутреннего контроля;

- аудитор может узнать о несоответствиях в данных бухгалтерского учета или о противоречивых либо отсутствующих доказательствах;

- аналитические процедуры, выполняемые на стадии общего обзора в ходе аудита, могут указывать на ранее не выявленный риск существенного искажения.

В таких обстоятельствах аудитору может потребоваться провести повторный анализ планируемых аудиторских процедур на основании пересмотренных оцененных рисков для всех или отдельных видов операций, остатков по счетам или раскрытия информации и относящихся к ним предпосылок. МСА 315 (пересмотренный) содержит дополнительные рекомендации по пересмотру аудиторской оценки рисков*(7).

А61. Аудитор не может руководствоваться допущением, что факты недобросовестных действий или ошибка являются единичными случаями. Поэтому для определения того, сохраняет ли оценка рисков существенного искажения актуальность, необходимо понять, как выявление искажения воздействует на оцененные риски существенного искажения.

А62. Суждение аудитора о том, что является достаточным надлежащим аудиторским доказательством, зависит от следующих факторов:

- значимость возможного искажения в предпосылке и вероятность того, что его влияние, отдельно или в совокупности с другими потенциальными искажениями, существенно повлияет на финансовую отчетность;

- операционная эффективность ответных действий и средств контроля руководства по противодействию рискам;

- полученный в ходе предшествующих аудиторских заданий опыт в отношении подобных возможных искажений;

- результаты выполненных аудиторских процедур, включая информацию о том, выявили ли такие аудиторские процедуры конкретные случаи недобросовестных действий или ошибок;

- источник и надежность имеющейся информации;

- убедительность аудиторских доказательств;

- изучение аудируемой организации и ее окружения, включая средства внутреннего контроля организации.

Документация (см. пункт 28)

А63. Форма и объем аудиторской документации составляет предмет профессионального суждения и зависит от характера, размера и сложности организации и ее системы внутреннего контроля, доступности ее информации, а также применяемых методов и технологий аудита.

______________________________

*(1) МСА 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения".

*(2) МСА 230 "Аудиторская документация", пункты 8-11 и А6.

*(3) МСА 315 (пересмотренный), пункт 30.

*(4) МСА 530 "Аудиторская выборка".

*(5) МСА 520 "Аналитические процедуры".

*(6) МСА 500 "Аудиторские доказательства", пункт 10.

*(7) МСА 315 (пересмотренный), пункт 31.