Аудит рисков

3.1 Оценка дополнительного риска

Дополнительный риск представляет собой субъективно установленный  уровень риска, отражающий вероятность  появления дополнительных существенных ошибок в финансовой отчетности при  использовании на предприятии неэффективной  компьютерной системы и недостаточной  способности аудитора оценить степень  этой неэффективности.

Такое определение дополнительного  риска позволяет включить его  в модель приемлемого аудиторского риска следующим образом:

ПАР = ВР * КР * РН * ДР

Дополнительный риск имеет в  свою очередь следующие составляющие:

х х =

Рис. 4. Модель дополнительного риска.

Факторами риска, связанного с техническими аспектами и конкретной эксплуатацией  компьютерной системы клиентом являются следующие:

использование клиентом нелегального программного обеспечения;

плохая работа аппаратных средств;

взаимное несоответствие характеристик  аппаратного и программного обеспечения;

отсутствие технического контроля и обслуживания;

наличие ошибок при разработке программного обеспечения (в том числе связанное  с его малотиражностью, поскольку в широко используемом программном обеспечении они скорее всего устранены разработчиками);

использование программного обеспечения  не по назначению (например, текстовый  редактор в качестве бухгалтерской  программы).

Возникновение риска эксплуатации компьютерной системы клиентом указывает  на необходимость проведения на этапе  планирования аудита исследования компьютерной системы с привлечением технических  специалистов.

Процедуры специального тестирования компьютерной системы предполагают выдачу аудитором профессиональных заданий техническим специалистам. Такое положение вещей требует  от аудитора навыков работы с компьютерными  системами. Минимальными требованиями, предъявляемыми к аудитору, признаются следующие: владение терминологией, умение читать и понимать системные и  логические блок-схемы, умение понимать последовательность выполняемых операций. Отсутствие этих навыков может привести к неверной формулировке заданий  для технических специалистов (риск некорректного построения тестов компьютерной системы, используемой клиентом (РТ)) и  ошибочной трактовке полученных ими результатов (риск ошибочного толкования этих тестов (РО)).

Рассмотрение характеристик компьютерной системы следует начинать с выяснения  вопросов, связанных с факторами  риска эксплуатации - основной составляющей дополнительного риска. Этот риск, связанный с техническими аспектами и конкретной эксплуатацией компьютерной системы, можно вычислить по формуле:

РЭ = К * (D1P1 + D2P2 + … + DkPk),

где положительным ответам на вопросы  соответствующего специального теста  приписываются значения Di = 0, а отрицательным Di = 1; P - вес, оценивающий влияние i-го вопроса, приписываемый аудитором; К - специальный коэффициент, учитывающий недостатки составления теста.

Если риск эксплуатации превысит 100 % (при подавляющем количестве отрицательных  ответов), то оценка всего дополнительного  риска, являющегося произведением  трех рисков:

ДР = РЭ * РТ * РО

не может быть ниже максимума (100 %) и устанавливается на этом уровне. Такая трактовка, означает достаточную  корректность тестирования компьютерной системы при выявлении ее глобальных недостатков.

При этом риски некорректного построения тестов и ошибочного толкования этих тестов могут принимать значения ниже максимального (100 %) при следующих  альтернативных условиях:

Для тестирования компьютерной системы  и проверки самих операций привлекается независимый специалист высокой  квалификации (например, программист, достаточное время занимавшийся настройкой данного программного обеспечения  под других заказчиков). Понимание  им стоящих учетных задач и  методов их решения программным  путем предполагает определенное доверие  аудитора к используемым им методам  обнаружения проблемных областей в  компьютерном учете.

Аудитор сам является таким специалистом, то есть его знания алгоритмов и  принципов работы компьютерной программы, используемой клиентом, является достаточно глубоким и взаимосвязанным с  его профессиональными знаниями в области аудита.

К тому же применение компьютерной системы  бухгалтерского учета тесно взаимосвязано  с оценкой системы внутреннего  контроля.

3.2 Оценка системы  внутреннего контроля в связи с компьютерным ведением бухгалтерского учета

Если предприятие ведет учет преимущественно в компьютерной системе (что на практике означает исключительную взаимосвязь двух анализируемых  систем - внутреннего контроля и  компьютерной), то методы ознакомления с этими системами и получения  предварительной оценки контрольного и дополнительного риска должны представлять единый неразрывный процесс.

И благодаря предварительному тестированию квалифицированным специалистом компьютерной системы с целью оценки дополнительного  риска основные слабые стороны системы  внутрихозяйственного контроля также  могут быть выявлены на этом же этапе.

Поэлементное исследование системы  внутреннего контроля опирается  на взаимосвязи с компьютерной системой.

Рис. 5. Элементы системы внутрихозяйственного контроля.

Среда контроля.

Представляя себе структуру компьютерной системы по автоматизированным рабочим  местам и пользователям, аудитор  может более определенно представлять себе влияние организационной структуры, стиля управления, кадровой политики предприятия на уменьшение возникающего контрольного риска. Например, наличие службы внутреннего аудита, независимые (подотчетные только ревизионной комиссии) сотрудники которой могут наблюдать процесс отражения хозяйственных операций по реализации продукции при регулярном обращении к общей базе данных, означает оперативное выявление реальных и предотвращение потенциальных искажений в учете - возможных хищений и ошибок при отпуске товаров со склада.

Учетная система.

Целью учетной системы является регистрация, накопление, классификация, анализ и предоставление отчетности о хозяйственных операциях и  обеспечении учета связанных  с хозяйственной деятельностью  предприятия активов. Информационная прозрачность для аудитора системы  применяемых при компьютерном учете  регистров создает предпосылки  для быстрого сквозного прослеживания  хозяйственных операций и соотнесения  данных с элементами принятой на предприятии  учетной политики и прочими методологическими  аспектами. Если, например, реальный срок погашения стоимости нематериальных активов, размер создаваемых резервов по сомнительным долгам определяется по машиночитаемым данным оборотов по соответствующим счетам, то реальное применение конкретного метода оценки производственных запасов, метода учета  реализации можно установить еще  проще - из значений соответствующих  параметров начальной настройки  алгоритмов компьютерной системы.

Контрольные процедуры.

Основными моментами компьютерного  контроля являются:

Ограничение доступа к компьютерам, файлам данных, программам и документации по ним с целью недопущения  к ним лиц, не имеющих соответствующие  обязанности:

физические средства защиты компьютерного  оборудования: специальные замки  на терминалах, дверях, наличие достаточного контроля помещений для хранения, а также систем противопожарной  безопасности;

паролирование модулей используемой компьютерной программы;

авторизация сделанных изменений  в компьютерной базе данных программы;

шифрование файлов и целых логических дисков компьютера с подключением пользователям  для доступа своего электронного идентификатора.

Дублирование, архивирование данных компьютерного учета на случай потери, уничтожения.

Качественная система документирования - непрерывная, последовательная нумерация  документов, продуманная структура  их правильного оформления, включающая определенные контрольные моменты  в формы документов, например, пробелы  для отметок о санкционировании операций, специальные графы цифровой информации.

Периодическая проверка безопасности компьютерной системы, функционального  соответствия программного обеспечения  информационно-технической службой; проверка соответствия данных на машинных носителях входным и выходным документам внутрихозяйственными ревизорами.

Получая оценки контрольного риска  в проверяемых сегментах, аудитор, выполнив аналогичное предварительное  тестирование в отношении внутрихозяйственного и дополнительного риска, может  получить соответствующее распределение  по учетным сегментам риска необнаружения.

Таким образом, применение компьютерной системы на аудируемом предприятии оказывает существенное влияние на изменение величины приемлемого аудиторского риска.

Заключение

В связи с вступлением в силу закона "Об аудиторской деятельности" и утверждением общих стандартов аудиторской деятельности повышаются требования к аудиторским организациям. Первоочередной задачей в организации аудиторской проверки является ограничение аудиторского риска в отдельных счетах или операциях таким образом, чтобы при завершении аудита суммарный аудиторский риск был сведен до достаточно низкого уровня или, чтобы уровень уверенности аудитора в своих выводах был достаточно высок, чтобы позволить ему выразить мнение относительно финансовой отчетности в целом. Вторичная задача - достижение желаемой уверенности наиболее эффективным путем.

Аудиторский риск базируется на оценке риска неэффективности системы  учета клиента, риска неэффективности  системы внутреннего контроля клиента, риска невыявления ошибок клиента аудиторами. Аудиторские организации могут принять решение о применении в своей деятельности большего количества градаций при оценках рисков либо об использовании для оценки рисков количественных показателей (процентов или долей единицы).

При планировании аудита аудитор обязан учесть факторы, которые могут вызвать существенные искажения бухгалтерской отчетности. На основе того, какое значение уровня существенности принимает аудитор для проверки и каковы особенности остатков и оборотов по счетам бухгалтерского учета, он обязан решить, какие статьи учета следует изучать особенно внимательно и в каких случаях надо использовать аудиторскую выборку или аналитические процедуры с тем, чтобы снизить общий аудиторский риск до приемлемо низкого уровня.

На данном этапе в России законодательно не закреплено, как, какими методами должен измеряться аудиторский риск. Каждый аудитор, аудиторская фирма, производит расчет по методике, разработанной  самостоятельно, самостоятельно оценивает  свой риск и несет за это ответственность. Аудитор может использовать различные  методики оценки аудиторского риска. Он может определить свой риск интуитивно, исходя из собственного опыта и знания клиента. Но этот метод оценки весьма приближенный. Наиболее эффективен количественный метод оценки аудиторского риска, основанный на математических расчетах многочисленных моделей аудиторского риска.

Именно данный метод оценки приемлемого  аудиторского риска все усложняется  с введением большего количества градаций при оценках рисков (введение в модель аудиторского риска дополнительных рисков). Это связано с научно-техническим  прогрессом, влияющим и на область  бухгалтерского учета. В частности, как рассмотрено в данной работе, внедрение компьютерных систем для  ведения бухгалтерского учета и  широкого набора бухгалтерских программ является дополнительным риском, который  аудитор должен оценить. Так как  этот факт может существенно повлиять на мнение аудитора о достоверности  бухгалтерской отчетности.

Аудитор должен спланировать аудит таким образом, чтобы риск неправильного суждения был минимальным. Мнение, выраженное при аудиторской  проверке, означает для пользователя, что профессиональные стандарты  были выдержаны, значительные данные накоплены  и оценены для подтверждения  этого мнения.

В связи с изменениями  законодательства в области бухгалтерского учета, экономической деятельности, аудиторской деятельности, в связи  с дальнейшим научно-техническим  прогрессом, его внедрением во все  области жизнедеятельности общества методики расчета приемлемого аудиторского риска будут изменяться и совершенствоваться дальше.

Библиография

1. Правило (стандарт) №  4. Существенность в аудите (в ред.  Постановления Правительства РФ  от 07.10.2004 № 532)

2. Правило (стандарт) №  8. Оценка аудиторских рисков и  внутренний контроль, осуществляемый  аудируемым лицом (введено Постановлением Правительства РФ от 04.07.2003 № 405)

3. Аудит: Учебник / Под ред. М.В. Мельник. - М.: Экономистъ, 2004

4. Аудит: Учебник для  ВУЗов / В.И. Подольский, Г.Б. Поляк,  А.А. Савин и др.; Под ред.  проф. В.И. Подольского. - М.: ЮНИТИ-ДАНА, 2001

5. Крупченко Е.А., Замыцкова О.И. Аудит. - Ростов-на-Дону.: Изд-во "Феникс", 2000

6. Терехов А.А., Терехов  М.А. Контроль и аудит. - М.: Финансы  и статистика, 1999

7. Шеремет А.Д., Суйц В.П. Аудит. - М.: ИНФРА-М, 2001

8. Андреев Д.М. Модель  аудиторского риска. // Аудиторские  ведомости - 2001 - № 12

9. Бондаренко В.И. Зависимость  между оценкой риска при планировании аудиторской проверки и её качеством // Аудитор. - 2002. - N 9

10. Бычкова С.М. Методы  оценки аудиторских рисков // Аудитор. - 2002. - N 5 - 7