Международный стандарт аудита (МСА) 315 «Знание субъекта и его среды, оценка рисков существенных искажений» (Международная федерация бухгалтеров, 2006)

- Суждение аудитора о существенности.

- Размер субъекта.

- Характер бизнеса субъекта, включая его организацию и характеристики собственности.

- Диверсификация и сложность деятельности субъекта. Применение требований законодательства и регулирования.

- Характер и сложность системы, являющейся частью внутреннего контроля субъекта, включая использование обслуживающих организаций.

49. Контроли над полнотой и точностью информации, полученной от субъекта, также относятся к аудиту, если аудитор намеревается использовать информацию при разработке и выполнении процедур. Предыдущий опыт аудитора по субъекту и информации полученной при изучении субъекта и его среды и в ходе аудита помогают аудитору при определении контролей, относящихся к аудиту. Хотя внутренний контроль применяется в отношении всего субъекта или его производственных единиц или бизнес процессов, знание внутреннего контроля, относящегося к каждой из производственных единиц и бизнес процессу, может и не относиться к аудиту.

50. Контроли, связанные с функционированием и соответствием целей могут относиться к аудиту, если они имею отношение к данным, которые аудитор оценивает или использует при применении аудиторских процедур. Например, контроли, имеющие отношение к нефинансовой информации, которую аудитор использует при аналитических процедурах, такую как производственная статистика, или контроли, имеющие отношение к обнаружению несоответствия законам и регулированию, которые могут оказывать прямое и существенное влияние на финансовую отчетность, например, контроли над соответствием законам и регулированию по подоходному налогу, используемым для определения провизии по подоходном у налогу, могут относиться к аудиту.

51. Субъект обычно имеет контроли, связанные с целями, не относящимися к аудиту, и которые, следовательно, не обязательно рассматривать. Например, субъект может полагаться на усложненную систему автоматизированного контроля для обеспечения эффективного функционирования (такие как системы автоматизированного контроля управления, полетами коммерческих авиалиний), но эти контроли обычно не относятся к аудиту.

52. Внутренний контроль над сохранностью активов в отношении несанкционированного приобретения, использования или реализации может включать контроли, связанные с финансовой отчетностью и целями деятельности. При получении знания о каждом компоненте внутреннего контроля, изучение аудитором контролей в отношении сохранности обычно ограничивается контролями, относящимися к надежности финансовой отчетности, например, использование контролей доступа, таких как пароли, ограничивающих доступ к данным и программа, обрабатывающим операции по расходу наличности, может относиться к аудиту финансовой отчетности. И наоборот, контроли, предотвращающие излишнее использование материалов в производстве, обычно не относятся к аудиту финансовой отчетности.

53. Контроли, относящиеся к аудиту, могут существовать в любом компоненте внутреннего контроля и в дальнейшем рассмотрение контролей, относящихся к аудиту, представлены в отдельном параграфе по компонентам внутреннего контроля. Кроме того, параграфы 113 и 115 рассматривают определенные риски, по которым аудитор должен оценить разработку субъектом контролей в отношении таких рисков, и определить были ли они внедрены.

Масштаб знаний о внутреннем контроле

54. Получение знаний о внутреннем контроле включает оценку разработки контролей и определение того были ли они внедрены. Оценка разработки контролей включает изучение вопроса, может ли контроль, в отдельности или в совокупности с другими контролями, эффективно предотвратить, обнаружить и исправить существенные искажения. Дополнительное объяснение представлено в параграфах по каждому компоненту внутреннего контроля. Внедрение контроля означает, что контроль существует и субъект использует его. Аудитор изучает разработку контроля при определении стоит ли рассматривать его внедрение. Контроль, разработанный ненадлежащим образом, может представлять собой существенный недостаток⁴ внутреннего контроля субъекта и аудитор рассматривает вопрос сообщать ли об этом лицам, наделенным руководящими полномочиями, и руководству субъекта в соответствии с параграфом 120.

55. Процедуры по оценке рисков по получению аудиторских доказательств по разработке и внедрению надлежащих контролей могут включать опросы персонала субъекта, наблюдение за применением определенных контролей, инспектирование документов и отчетов и отслеживание операций в информационной системе, связанной с финансовой отчетности. Одних запросов недостаточно как для оценки разработки контролей, относящихся к аудиту, так для определения того были ли они внедрены.

56. Получение знания о контролях субъекта не является достаточным для тестирования эффективности контролей, если только нет автоматизированного процесса, который обеспечивает согласованное применение контролей (ручные и автоматизированные элементы внутреннего контроля, относящиеся к аудиту, описаны ниже). Например, получение аудиторских доказательств по внедрению осуществляемого вручную контроля на определенную дату не представляет аудиторского доказательства эффективности контроля на другие даты в течение периода аудита. Но ИТ представляют субъекту возможность последовательно обработать большие объемы информации и улучшают способность субъекта осуществлять мониторинг исполнения контролей и достигнуть эффективного распределения обязанностей путем внедрения контроля безопасности в приложениях, базах данных и операционных системах. Таким образом, по причине внутренней согласованности ИТ, обработки выполнение аудиторских процедур по определению того был ли внедрен автоматизированный контроль может выступать в качестве теста эффективности этого контроля в зависимости от оценки аудитора и тестирования контролей, например, контролей над изменениями в программе. Тесты эффективности контролей описаны в МСА 330.

Характеристики ручных и автоматизированных элементов внутреннего контроля, связанных с аудиторской оценкой рисков

57. Большинство субъектов используют ИТ системы в целях финансовой отчетности и операционных целях. Однако, даже если ИТ широко используются, в системе всегда имеются ручные элементы. Баланс между ручными и автоматизированными элементами изменчив. В определенных случаях, в частности в небольших несложных субъектах система могут превалировать ручные элементы. В других случаях масштаб автоматизации может варьироваться от некоторых систем, почти полностью автоматизированных с небольшим количеством связанных ручных элементов, до других систем, даже в пределах одного субъекта, полностью ручных. В связи с этим, система внутреннего контроля субъекта скорей всего будет содержать и ручные, и автоматизированные элементы, характеристики которых связаны с оценкой рисков аудитором и основывающимися на ней аудиторскими процедурами.

58. Использование ручных или автоматизированных элементов внутреннего контроля также влияет на метод инициации, отражения, обработки операций, а также подготовки отчетности по операциям.⁵ Контроли в ручной системе могут включать такие процедуры как утверждение и обзор деятельности, а также сверку и последующие действия по сверенным статьям. Субъект может использовать автоматизированные процедуры для инициации, отражения, обработки операций, а также подготовке отчетности по операциям, если записи в электронном формате замещают документы в бумажном формате, такие как заказы по покупку, инвойсы, отгрузочные документы и связанные бухгалтерские записи. Контроли в ИТ системе состоят из сочетания автоматизированных контролей (например, контроли, встроенные в компьютерную программу) и внутренних контролей. Ручные контроли могут быть независимыми от ИТ, могут использовать информацию, представленную ИТ, или могут быть ограничены мониторингом эффективности функционирования ИТ и автоматизированных контролей, а также обрабатывать исключения. Если ИТ используются для инициирования, отражения, обработки операций, а также подготовки отчетности по операциям или другой финансовой информации для включения в финансовую отчетность, системы и программы могут включать контроли, связанные с соответствующими утверждениями по существенным счетам или могут быть критичны эффективному функционированию ручных контролей, зависящих от ИТ. Сочетание ручных и автоматизированных контролей в субъекте зависит от характера и сложности использования ИТ субъектом.

59. Обычно ИТ показывают потенциальные выгоды от эффективности внутреннего контроля субъекта, так как они предоставляют субъекту возможность:

- последовательно применять предписанные правила ведения бизнеса и выполнять сложные расчеты при обработке больших объемов операций и данных;

- обеспечивать своевременность, доступность и точность информации;

- обеспечить дополнительный анализ информации;

- обеспечить возможность мониторинга результатов субъекта и применения политики и процедур;

- снизить риск игнорирования контролей; и

- обеспечить возможность эффективного распределения обязанностей путем внедрения контролей безопасности в приложениях, базах данных и операционных системах.

60. ИТ также присущи определенные риски в отношении внутреннего контроля субъекта, включая следующее:

Доверие к системе или программам, которые неточно обрабатывают данные, или и то и другое.

Несанкционированный доступ к данным, который может вызвать уничтожение данных или неправильные изменения в данных, включая отражение несанкционированных или несуществующих операций, или неточное отражение операций. Определенные риски могут возникнуть если к базе данных имеют доступ многочисленные пользователи;

Вероятность приобретения персоналом ИТ привилегий доступа, превышающих привилегии доступа, необходимые для выполнения их обязанностей, тем самым нарушая распределение обязанностей.

Несанкционированные изменения в данных основного файла. Несанкционированные изменения в системе или программах.

Невозможность внесения необходимых изменений в систему или программы.

Ненадлежащее ручное вмешательство.

Потенциальные потери данных или невозможность доступа к данным.

61. Ручные элементы системы могут быть более приемлемы, если требуются суждение и выбор в отношении следующих обстоятельств:

Крупные, необычные неповторяющиеся операции.

Обстоятельства, при которых трудно обнаружить и предсказать ошибки.

При изменении обстоятельств, требующих осуществление контроля вне масштаба существующего автоматизированного контроля.

При мониторинге эффективности автоматизированного контроля.

62. Ручные контроли выполняются людьми и, соответственно, подвержены определенным рискам в отношении внутреннего контроля субъекта. Ручные контроли могут быть менее надежными, чем автоматизированные контроли, так как их легче обойти, проигнорировать, и они более подвержены простым ошибкам. Поэтому невозможно принять допущение о согласованности при применении элемента ручного контроля. Ручные системы менее приемлемы для следующего:

- Большой объем или повторяющиеся операции, или когда ошибки, которые можно прогнозировать, могут быть предотвращены или обнаружены автоматизированными параметрами контроля.

- Контроли, если можно надлежащим образом разработать и автоматизировать выполнение контроля.

63. Масштаб и характер рисков в отношении внутреннего контроля зависят от природы и характеристик информационной системы субъекта. Таким образом при изучении внутреннего контроля аудитор рассматривает правильно ли субъект реагирует на риски, возникающие от использования ИТ или ручной системы путем установления эффективных контролей.

Ограничения внутреннего контроля

64. Внутренний контроль вне зависимости от того насколько хорошо он разработан и функционирует, может предоставить субъекту только разумную уверенность в достижении субъектом целей финансовой отчетности. На вероятность достижения влияют ограничения, присущие внутреннему контролю. Они включают вероятность того, что человеческое суждение при принятии решения может быть неверным, и могут возникнуть нарушения внутреннего контроля по причине человеческих ошибок, таких как простые ошибки. Например, если персонал, работающий с информационными системами, субъекта не полностью понимает систему ввода проводок операций по продаже, то они могут ошибочно разработать изменения в систему для обработки продаж новой лини продукции. С другой стороны, такие изменения могут быть правильно разработаны, но неправильно поняты лицами, пишущими программу. Могут возникнуть ошибки при использовании информации, представленной ИТ. Например, автоматизированный контроль может быть разработан для подготовки отчетности по операциям свыше определенной суммы для обзора руководством, но лица, ответственные за проведение обзора могут не понять цели такого отчета и, соответственно, не смогут проверить его или исследовать необычные статьи.

65. Кроме того, контроли могут быть обойдены путем сговора одного или нескольких лиц или игнорирования руководством внутреннего контроля. Например, руководство может подписать дополнительное соглашение с клиентом, изменяющее условия стандартных контрактов субъекта по продаже, которое может привести к несоответствующему признанию доходов. Также контрольные проверки в программном обеспечении, разработанные для определения и подготовки отчетности по операциям, превышающие определенные кредитные лимиты, могут быть проигнорированы или блокированы.

66. Небольшие субъекты часто имеют небольшое количество персонала, которые могут ограничить приемлемость распределения обязанностей. Однако, по ключевым статьям, даже если в очень небольшом субъекте, необходимо применить определенное распределение обязанностей или другую форму несложного, но эффективного контроля. Возможность игнорирования контролей владельцем-руководителем зависит в большей степени от контрольной среды и, в частности, от отношения владельца-руководителя к важности внутреннего контроля.

Контрольная среда

67. Аудитор должен получить знание контрольной среды. Контрольная среда включает в себя функции руководства и управления, а также отношение, знание и действия лиц, наделенных руководящими полномочиями, и руководства субъекта в отношении внутреннего контроля субъекта и его важности в субъекте. Контрольная среда устанавливает общую атмосферу организации, влияющую на контроль сознания внутреннего персонала. Это является базой для эффективного внутреннего контроля, разрабатывающей дисциплину и структуру.

68. Лица, наделенные руководящими полномочиями, и руководство субъекта несут основную ответственность за предотвращение и обнаружение мошенничества и ошибок. При оценке разработки контрольной среды и определении была ли внедрена контрольная система, аудитор изучает как руководство при надзоре со стороны лиц, наделенных руководящими полномочиями, создало и поддерживало культуру честности и этического поведения, установило надлежащие контроли для предотвращения и обнаружения мошенничества и ошибок внутри субъекта.

69. При оценке разработки контрольной среды субъекта аудитор рассматривает следующие элементы и то, как они были внедрены в процесс субъекта:

(а) Информирование и внедрение честности и этических ценностей - основные элементы, влияющие на эффективность разработки, администрирования и мониторинга контролей.

(б) Обязательства по профессиональной компетентности - рассмотрение руководством уровней профессиональной компетентности для определенных должностей и как эти уровни трансформируются в требуемые навыки и знания.

(в) Участие лиц, наделенных руководящими полномочиями - независимость от руководства субъекта, их опыта и статуса, масштаб их участия и наблюдение за деятельностью, информация, которую они получают, как определяются и рассматриваются сложные вопросы руководством и их взаимодействие с внутренними и внешними аудиторами.

(г) Философия и стиль руководства субъекта - подход руководства субъекта к определению и управлению бизнес рисками, отношение и действия руководства субъекта по финансовой отчетности, обработке информации, бухгалтерской деятельности и персоналу.

(д) Организационная структура - основа, в рамках которой планируется, выполняется, контролируется и проверяется деятельность субъекта.

(е) Делегирование полномочий и обязательств - метод делегирования полномочий и обязательств по деятельности, установления отношений по отчетности и иерархии санкционирования.

(ж) Политика и практика в отношении человеческих ресурсов - рекрутинг, ориентирование, обучение, оценка, консультации, повышение, компенсации и оздоровительные меры.

70. При изучении элементов контрольной среды, аудитор также рассматривает, были ли они внедрены. Обычно аудитор получает надлежащие аудиторские доказательства путем сочетания запросов и прочих процедур по оценке рисков, например, подтверждение запросов наблюдением или проверкой документов. Также, путем опросов руководства субъекта и сотрудников аудитор может получить знание о том, как руководство сообщает своим сотрудникам свое видение деловой практики и этического поведения. Аудитор определяет, были ли внедрены контроли путем изучения, например, разработало ли руководство формальный кодекс поведения и осуществляет ли оно свою деятельность в соответствии с кодексом или потворствует нарушениям кодекса или санкционирует исключения к кодексу.

71. Аудиторские доказательства по элементам контрольной среды могут быть недоступны в документарной форме, в частности в небольших субъектах, где контакты руководства субъекта с персоналом могут носить неформальный, но в тоже время эффективный характер. Например, взгляды руководства субъекта в отношении этических требований и профессиональной компетентности часто внедряются через поведение и отношение, которое они демонстрируют при управлении субъектом вместо разработки письменного кодекса поведения. Следовательно, отношение руководства субъекта, знание и действия имеют определенную важность при разработке контрольной среды небольшого субъекта. Кроме того, роль лиц, наделенных руководящими полномочиями, часто выполняется владельцем-руководителем, если не имеется других владельцев.

72. Общая ответственность лиц, наделенных руководящими полномочиями, признается в процессуальном кодексе и прочем регулировании или руководствах, разработанных для лиц, наделенных руководящими полномочиями. Одной из функций лиц наделенных руководящими полномочиями, является уравновешивание давления на руководство субъекта в отношении финансовой отчетности. Например, база для вознаграждения руководства субъекта может оказывать влияние на руководство из-за конфликта необходимости справедливого представления отчетности и реальных выгод от более лучших результатов. При изучении разработки контрольной среды аудитор рассматривает такие вопросы как независимость директоров и их способность оценивать действия руководства субъекта. Аудитор также рассматривает наличие аудиторского комитета, знакомого с деятельностью субъекта и оценивающего финансовую отчетность на предмет достоверного и справедливого взгляда (или справедливого представления во всех существенных аспектах) в соответствии с применяемой основой представления финансовой отчетности.

73. Характер контрольной среды субъекта таков, что он оказывает сильное влияние на оценку рисков существенных искажений. Например, владелец-руководитель может смягчить риск недостаточного распределения обязанностей в небольших субъектах, или активный и независимый совет директоров может повлиять на философию и стиль старшего руководства субъекта в крупных субъектах. Оценка аудитором разработки контрольной среды субъекта, включает рассмотрение, представляют ли сильные стороны в элементах контрольной среды в совокупности надлежащую базу для других компонентов внутреннего контроля и не ослаблены ли они слабыми сторонами контрольной среды. Например, политика и практика в отношении человеческих ресурсов, предназначенная для найма профессионально компетентного финансового, бухгалтерского и ИТ персонала, может и не смягчить риск сговора высшего руководства субъекта по завышению доходов. Изменения в контрольной среде могут повлиять на соответствие информации, полученной при предыдущем аудите. Например, решение руководства субъекта по использованию дополнительных ресурсов для проведения обучения и изучения процесса подготовки финансовой отчетности может снизить риски ошибок при обработке финансовой информации. Невозможность обеспечения достаточных источников для реагирования на риски безопасности, выявленные ИТ, могут негативно повлиять на внутренний контроль путем внедрения неправильных изменений в компьютерную программу или в данные или в обработки несанкционированной операции.

74. Существование удовлетворительной контрольной среды может являться позитивным фактором при оценке аудитором рисков существенных искажений и в соответствии с параграфом 5 МСА 330, повлиять на характер, сроки и масштаб аудиторских процедур. В частности это может помочь снизить риск мошенничества, хотя удовлетворительная контрольная среда не является абсолютной защитой против мошенничества. И наоборот, слабые стороны в контрольной среде могут уменьшить эффективность контролей и, соответственно, являться негативным фактором при оценке аудитором рисков существенных искажений, в частности в отношении мошенничества.

75. Контрольная среда сама по себе не предотвращает, не обнаруживает и не исправляет существенные искажения в классе операций, сальдо счетов, раскрытиях и связанных утверждениях. Аудитор обычно рассматривает влияние прочих компонентов вместе с контрольной средой при оценке рисков существенных искажений; например, мониторинг контролей и функционирование определенных контролей.

Процесс оценки рисков субъектом

76. Аудитор должен получить знание о процессе, используемом субъектом для определения бизнес рисков, относящихся к целям финансовой отчетности, и определения действий в отношении этих рисков и полученных результатов. Процесс определяется как «процесс оценки рисков субъектом» и формирует базу, на основе которой руководство определяет риски.

77. При оценке разработки и внедрения процесса оценки рисков субъектом, аудитор определяет, как руководство выявляет бизнес риски, относящиеся к финансовой отчетности, оценивает значительность этих рисков и вероятность их возникновения, а также определяет действия, которые необходимо предпринять в отношении этих рисков. Если процесс оценки рисков субъектом соответствует обстоятельствам, он помогает аудитору при определении рисков существенных искажений.

78. Аудитор проводит опрос руководства субъекта, в отношении бизнес рисков, выявленных руководством, и изучает, могут ли они вызвать риск существенных искажений. В ходе аудита аудитор может определить риск существенного искажения, который не смогло обнаружить руководство. В таких случаях аудитор должен определить является ли такой риск основополагающим риском, который должен был быть обнаружен в процессе оценки риска субъектом, и если да, то почему этот процесс не обнаружил этот риск и соответствует ли процесс обстоятельствам. Если в результате аудитор заключает, что имеются существенные недостатки в процессе оценки риска субъектом, то аудитор сообщает об этом лицам, наделенным руководящими полномочиями, в соответствии с параграфом 120.

79. В небольших субъектах руководство может и не иметь формального процесса по оценке рисков в соответствии с параграфом 76. В отношении таких субъектов аудитор должен обсудить с руководством как определяются бизнес риски и как они устраняются.

Информационная система, включающая связанные бизнес процессы, относящаяся к финансовой отчетности и процессу информирования

80. Информационная система, связанная с целями финансовой отчетности, и включающая в себя бухгалтерскую систему, состоит из процедур и записей, разработанных для инициирования, отражения, записи, обработки операций и процесса подготовки отчетности по операциям (а также, событиям и условиям) и ведения учета соответствующих активов, обязательств и капитала.

81. Аудитор должен получить знание об информационной системе, включая связанные бизнес процессы, относящиеся к финансовой отчетности, включая следующее:

Классы операций, являющиеся значительными для финансовой отчетности.

Процедуры, и в ручной, и в автоматизированной системе, посредством которых операции инициируются, отражаются, обрабатываются и предоставляются в финансовой отчетности.

Как информационная система фиксирует события и условия, отличные от класса операций, являющихся значительными для финансовой отчетности.

Соответствующие учетные записи, в электронной форме или на бумажных носителях, подтверждающую информацию, и специфические счета финансовой отчетности, с точки зрения инициирования, отражения, обработки и представления информации об операциях.

Процесс подготовки финансовой отчетности, используемый для подготовки финансовой отчетности субъекта, включая значительные расчетные оценки и раскрытия.

82. При получении этого знания аудитор учитывает процедуры, используемые для передачи информации из системы обработки информации в главную книгу или систему подготовки финансовой отчетности. Аудитор также изучает процедуры, используемые субъектом для получения информации, относящейся к финансовой отчетности, т.е. события и условия, отличные от операций, такие как амортизация и износ активов и изменения в погашаемости дебиторской задолженности.

83. Информационная система субъекта обычно включает использование стандартных журнальных проводок, применяемых на постоянной основе для отражения в главной книге операций, таких как продажи, закуп, выплата наличных или для отражения расчетных оценок, периодически производимых руководством, например, изменения в оценке безнадежно задолженности.

84. Процесс подготовки финансовой отчетности субъекта также включает использование нестандартных журнальных проводок для отражения редких, необычных операций или корректировок. Примерами таких проводок являются корректировки при консолидации и проводки по слиянию бизнеса, выбытия или периодически проводимые оценки, такие как обесценение активов. В ручной системе, основанной на документах в бумажном формате, нестандартные журнальные проводки могут определяться путем проверки главных книг, журналов и подтверждающей документации. Однако, при использовании автоматизированных процедур в отношении главной книги и подготовке финансовой отчетности, такие проводки могут существовать только в электронной форме и их легче определить с помощью компьютеризированных приемов аудита (КПА).

85. Подготовка финансовой отчетности субъекта включает в себя процедуры, разработанные для обеспечения сбора, отражения, обработки, обобщения и соответствующего признания в финансовой отчетности информации, которая должна быть раскрыта в соответствии с применяемой основой предоставления финансовой отчетности.

86. При получении знания, аудитор рассматривает риски существенных искажений, связанных с игнорированием контролей над журнальными проводками и контролями над нестандартными журнальными проводками. Например, автоматизированные процессы и контроли могут снизить риск игнорирования автоматизированных процессов, путем изменения сумм автоматически переходящих в главную книгу или систему финансовой отчетности. Более того, аудитор поддерживает, что при использовании ИТ для автоматической передачи информации, видимы доказательства вмешательства в информационную систему или их нет вообще, или они незначительны.

87. Аудитор также, изучает, как исправляется неправильная обработка операций, например, воздаются ли в автоматическом режиме файлы с реестром операций вызывающие сомнения и как они используются субъектом для подтверждения своевременного рассмотрения таких файлов реестров, а так же как обрабатывается и учитывается игнорирование или обход системы.

88. Аудитор должен получить знание об информационной системе субъекта, связанной с финансовой отчетности соответствующей внутренним обстоятельствам. Такие знания включают знание того, как операции возникают в бизнес процессе субъекта. Бизнес процесс субъекта трактуется как деятельность, направленная на разработку, покупку, производство, продажу и распределение продукции и услуг субъекта; на обеспечение соответствия законам и регулированию; на отражение информации, включая бухгалтерскую и финансовую информацию.

89. Аудитор должен изучить, как субъект сообщает об ответственности за подготовку финансовой отчетности, а также о значительных вопросах, связанных с финансовой отчетностью. Процесс информирования включает изучение отдельных ролей и ответственности, имеющих отношение к внутреннему контролю над финансовой отчетностью и может быть представлен в форме руководства субъекта по политике и финансовой отчетности. Он также включает степень знания персонала о том, как их деятельность в разрезе информационной системы по подготовке финансовой отчетности связана с работой других сотрудников и о способах информирования об исключениях руководству более высокого уровня. Отрытые каналы информирования помогают обеспечить подготовку соответствующей отчетности и совершить последующие действия по ней. Знание аудитора о процессе информирования, имеющего отношение к вопросам финансовой отчетности, также включает коммуникации между руководством субъекта и лицами, наделенными руководящими полномочиями, в частности аудиторским комитетом, а также внешние способы информирования, например, с регулирующими органами.

Контроли

90. Аудитор должен получить достаточное знание контролей для оценки рисков существенных искажений на уровне утверждений и разработки аудиторских процедур по оцененным рискам. Контроли представляют собой политику и процедуры, помогающие выполнение директив руководства субъекта, например, что были предприняты необходимые действия в отношении рисков, которые могут помешать в достижении субъектом своих целей. Контроли, в рамках автоматизированной или ручной системы, имеют разные цели и применяются на разном организационном и функциональном уровне. Примерами специфических контролей являются следующие контроли:

- Санкционирование;

- Выполнение обзора;

- Обработка информации;

- Физический контроль;

- Распределение обязанностей.

91. При получении знаний о контролях, аудитор основное внимание уделяет тому, могут ли специфические контроли, в отдельности или в совокупности с другими, предотвратить, или обнаружить и исправить существенные искажения в классах операций, сальдо счетов или раскрытиях и как они это делают. Контроли, относящиеся к аудиту, это те контроли, по которым аудитор считает необходимым получить знание для оценки рисков существенных искажений на уровне утверждений и для разработки и выполнения аудиторских процедур по оцененным рискам. Аудит не требует знания всех контролей, связанных с каждым значительным классом операций, сальдо счетов и раскрытиям в финансовой отчетности или со связанными утверждениями. Особое внимание должно уделяться определению и получению знания о контролях, относящихся к тем областям, в которых вероятность возникновения существенных искажений наиболее высока в соответствии с суждением аудитора. Если несколько контролей преследуют одни и те же цели, необходимо получить знания о каждом контроле, связанном с такой целью.

92. Аудитор рассматривает знание о наличии или отсутствии контроле, полученных в ходе изучения других компонентов внутреннего контроля при определении необходимости получения дополнительных знаний о контролях. При изучении того, относятся ли контроли к аудиту, аудитор рассматривает выявленные им риски, которые могут вызвать риски существенных искажений. Также, контроли относятся к аудиту, если аудитор должен оценить их в соответствии с параграфами 113 и 115.

93. Аудитор должен получить знание о том, как субъект реагирует на риски, возникающие в связи с использованием ИТ. Использование ИТ влияет на способ внедрения контроля. Аудитор должен изучить правильно ли субъект реагирует на риски, возникающие из ИТ, путем установления эффективных общих средств контроля в информационных технологиях и контролей над приложениями. С точки зрения аудитора, контроли над ИТ системами, являются эффективными если они поддерживают целостность информации и безопасность данных, которые данная система обрабатывает.

94. Общие средства контроля в информационных технологиях представляют собой политику и процедуры, связанные со многими приложениями и поддерживающими эффективное функционирование контролей над приложениями путем содействия обеспечению надлежащей работы информационной системы. Общие средства контроля в информационных технологиях, поддерживающие целостность информации и безопасность данных обычно включают контроли над следующим:

Информационными центрами и сетями.

Приобретением, изменением и обслуживанием системного программного обеспечения.

Безопасностью доступа.

Приобретением, разработкой и обслуживанием прикладных систем.

Обычно они внедряются для решения проблем с рисками, описанными в параграфе 60.

95. Контроли над приложениями представляют собой ручные или автоматизированные процедуры, которые обычно применяются на уровне бизнес процессов. Контроли над приложениями могут быть предупредительными и обнаружительными по характеру, и разработаны для обеспечения целостности бухгалтерских записей. Соответственно, контроли над приложениями относятся к процедурам, используемым для инициации, отражения, обработки и подготовки отчетности по операциям или прочей финансовой информации. Эти контроли уверяют, что возникшая операция санкционирована, полностью и точно отражена и обработана. Примеры таких контролей включают контрольные проверки ввода данных и проверки числовой последовательности путем ручной проверки отчетов по исключениям или исправлениям на дату ввода данных.

Мониторинг контролей

96. Аудитор должен получить знание об основных типах деятельности, которые субъект использует для мониторинга внутреннего контроля над финансовой отчетностью, включая деятельность, связанную с контролями, относящимися к аудиту, и о том, как субъект инициирует действия по устранению в отношении контролей.

97. Мониторинг контролей представляет собой процесс оценки эффективности внутреннего контроля с течением времени. Он включает своевременную оценку разработки и функционирования контролей и выполнение необходимых исправительных действий, модифицированных на изменения в условиях. Руководство совершенствует мониторинг контролей посредством постоянных мер, отдельных оценок, или их сочетания. Постоянный мониторинг часто является неотъемлемой частью обычных повторяющихся действий субъекта и включает регулярное управление и надзор.

98. У большинства субъектов, внутренние аудиторы или персонал, выполняющий схожие функции, вносят свой вклад в мониторинг деятельности субъекта. См. МСА 610 «Рассмотрение Работы Внутреннего Аудита», где содержится дополнительное руководство. Мониторинг деятельности, осуществляемый руководством, может также включать использование информации, полученной от внешних сторон, таких как жалобы заказчиков и постоянные комментарии, которая может указывать на проблемы или выделять области, нуждающиеся в усовершенствовании.

99. Большая часть информации, используемой при мониторинге, может быть представлена информационной системой субъекта. Если руководство допускает, что информация, используемая для мониторинга, является точно без обоснования этого допущения, может существовать ошибка в информации, потенциально ведущая руководство к неправильным заключениям по мониторингу деятельности. Аудитор должен получить знания об источниках информации, связанной с мониторингом деятельности субъекта, и об обосновании допущения руководства субъекта, что информация является достаточно надежной для этих целей. Если аудитор намеревается использовать информацию о субъекте, представленную для мониторинга, такую как отчеты внутренних аудиторов, аудитор должен изучить, достаточно ли надежна и подробна информация для целей аудитора.