Аудиторский риск (ПСАД № 8)

Лекция № 2: Риск и оценка существенности в аудите

Вступая в договорные отношения с организацией-клиентом, аудитор исходит из того, что он не в состоянии полностью проверить всю ее отчетность и, следовательно, гарантировать пользователям аб­солютную истинность отчетных данных. А между тем в своем заклю­чении он подтверждает их. В связи с этим в действиях аудитора все­гда присутствует риск, так как он подтверждает то, чего, может быть, подтверждать не следовало. Отсюда очевидно, что мнение аудитора, представленное в его заключении, никогда не может быть абсолютно правильным, но должно быть почти всегда приемлемым для пользо­вателей. Степень этой приемлемости связана с уровнем риска.

Кажется, что аудитор не рискует, если выдает отрицательное за­ключение или вообще отказывается от выдачи заключения, но это ошибочное мнение, так как у него в этом случае возникает риск по­тери организации-клиента. Но это не все. Выдавая любое заключе­ние, даже полностью подтверждающее отчетность организации-кли­ента, аудитор несет риск, связанный с обязательствами, которые он принимает на себя.

Совокупный аудиторский риск определяется как вероятность фор­мирования неверного мнения и, соответственно, составления неправи­льного заключения по результатам проверки. Аудиторы понимают невозможность полного устранения риска, поэтому они предусмотрели приемлемый, с их точки зрения, его уровень, равный 5 %. Это означает, что пять из ста заключений, подписанных аудито­ром, могут содержать неверные выводы по спорным вопросам. Это так называемая магическая цифра аудиторского риска. Полная до­стоверность равна 100 %, следовательно, 95 % — доверительная ве­роятность, аудиторская надежность. Установление риска на более высоком уровне может, во-первых, снизить надежность ранее про­веренной аудиторами отчетности, а во-вторых, отрицательно по­влиять на конкурентоспособность аудиторской фирмы на рынке услуг. Повышение уровня надежности выше 95 % приведет к неразум­ной растрате сил аудитора, что снизит его конкурентоспособность.

В целом на уровень совокупного аудиторского риска основное влияние оказывают следующие условия.

1.       Масштаб бизнеса организации-клиента. Это означает, что чем больше объем, операций организации-клиента, тем выше риск аудитора и тем в большем объеме должна использоваться ее бухгалтерская отчетность. Приоритетным при установлении уровня риска является мнение пользователей бухгалтерской отчетности.
(Если организация не собирается, проводить дополнительную эмиссию акций, то учитывается только мнение фактических акционеров, а если собирается, то в расчет должно приниматься и мнение потенциальных акционеров.) Акционеров можно привлечь высокими дивидендами (соответственно, должна быть больше и сумма прибыли) и положительным аудиторским заключением.

2.       Организационно-правовая форма собственности. Бухгалтер­ские отчеты открытого акционерного общества снижают риск аудитора, так как пользуются большим доверием акционеров по
сравнению с закрытым. Объясняется это тем, что открытые акционерные общества подлежат обязательному аудиту и в них выше степень внутреннего контроля из-за наличия различных собствен­ников, интересы которых не всегда совпадают и которые по этой причине вынуждены контролировать друг друга.

3.       Объемы и характер кредиторской задолженности. Чем более солидные фирмы кредитуют организацию-клиента, тем больше до­верия к представленной ею отчетности и тем меньше риск, связанный с ее проверкой. На аудиторский риск влияют и другие условия: знание специалистами бухгалтерского учета, общий концептуальный подход к аудиторской проверке, изменения в нормативно-правовой систе­ме, степень компьютеризации учета, надежность системы внутрен­него контроля у организации-клиента, степень сменяемости руко­водителей и их личные характеристики, оценка полученных результатов и их полнота, количество необычных для данной организации операций.

Совокупный аудиторский риск складывается из ряда частных рисков. Общая аудиторская практика выработала следующий под­ход к определению совокупного аудиторского риска (AR):

AR = IR ■ CR ■ DR,

где IR (Internal Risk) -  внутренний (внутрихозяйственный) риск;

CR (Control Risk)   - контрольный риск;

DR (Detection Risk) - риск необнаружения.

Рассмотрим подробнее, что представляет собой каждая состав­ляющая совокупного аудиторского риска.

Внутренний (внутрихозяйственный риск) — первая составляющая совокупного аудиторского риска. Под внутрихозяйственным рис­ком понимают субъективно определяемую аудиторам вероятность появления существенных искажений в данном бухгалтерском счете, статье баланса, однотипной группе хозяйственных операций, отчет­ности экономического субъекта в целом, до того как такие искаже­ния будут выявлены средствами системы внутреннего контроля или при условии допущения отсутствия таких средств. При оценке внутреннего риска аудитор должен принимать во внимание неско­лько групп факторов:

Первая группа связана с условиями и методами ведения произ­водства. К ней относятся: жесткая конкуренция; быстрые измене­ния в технологии производства, установление новых информаци­онных систем; изменение рынков сбыта и смена спроса клиентов; общее состояние отрасли и количество банкротств; быстрые изме­нения в законодательстве, за которыми не успевают следить бухгалтеры; законодательные ограничения или ограничения, связан­ные с охраной окружающей среды либо другими условиями.

Вторая группа факторов внутреннего риска связана с место­расположением производственной деятельности. Сюда можно отне­сти такие факторы, как политическая нестабильность, осуществле­ние больших объемов реализации в районах с нестабильной ситуа­цией, транспортные проблемы.

Третья группа факторов определяется штатом и организацией бизнеса. Здесь важное значение могут иметь: доминирующая роль президента и неэффективная деятельность совета директоров; пе­реоценка руководством деятельности внутреннего контроля; лич­ные проблемы финансового характера у президента; частые споры и проблемы, возникающие в отношениях между акционерами и руководством, в результате чего руководство действует не в инте­ресах собственников, преследуя свои цели, под которыми могут скрываться мошенничество и злоупотребления.

К этой же группе факторов внутреннего риска относятся: не­высокий квалификационный уровень руководства и персонала, что сказывается на эффективности производства; слишком опти­мистичный прогноз на будущее; чрезмерная децентрализация ру­ководства, что приводит к отсутствию единого контроля за рабо­той бухгалтерии, где каждый перекладывает ответственность на другого.

Здесь же надо отметить: нехватку персонала; слишком боль­шую ротацию кадров на такой ключевой позиции, как финансо­вый директор; частую смену аудиторов или юристов; наем новых работников, плохо знакомых со спецификой производства и веде­нием учета; мошенничество и злоупотребления; наличие конфлик­тов по операциям, которые носят существенный характер; необыч­но высокую оплату за ординарные услуги юристов, консультантов, агентов и других специалистов.

Нельзя не отметить также сложности с получением аудитор­ских доказательств по таким причинам, как наличие необычных и необъяснимых операций, неполнота документов, отсутствие на них санкций руководства и исправлений, а также непредвиденные аудиторские проблемы, заключающиеся в давлении клиента, стре­мящегося быстрее завершить проверку, в неблагоприятных усло­виях работы, в неожиданных отсрочках, нереалистичных ответах руководства на запросы аудитора.

Следует обратить самое серьезное внимание на такие факто­ры, как крупные непредвиденные сделки по реализации продук­ции; необычное ведение операций (новые агенты, новые условия сделки); распродажа продукции по демпинговым ценам за грани­цей; ориентация на поглощение других предприятий или на то обстоятельство, что организация сама является возможным объ­ектом поглощения. К факторам риска, связанным со штатом и организацией бизнеса, также следует отнести: большой удельный вес в деятельности организации операций с дочерними общества­ми; зависимость вознаграждения руководства от финансовых по­казателей деятельности организации; плохая репутация руковод­ства в деловых кругах; наличие фиктивных, нефункционирующих, филиалов, секретных банковских показателей деятельности организации.

Четвертая группа связана с доходами и планами оперативной де­ятельности. В эту группу факторов риска входят такие составляю­щие: снижение количества или качества реализуемой продукции; значительные изменения в процессе производства; чрезмерная за­висимость от производства одного или нескольких продуктов, опе­раций, дебиторов, кредиторов; слабая (неэффективная) маркетин­говая политика; недостаточное использование мощностей; нереа­льные цели развития производства; медленная замена устаревшего оборудования и снижение темпов начисления амортизационных отчислений. В этой группе необходимо выделить также спорные положения, которые не могут найти объяснения, например не­обычные суммы сальдо по счетам, необычные отклонения по резу­льтатам инвентаризации, необычные коэффициенты оборачивае­мости, а кроме того, крупные или необычные операции, особенно на конец года, с существенным результатом.

Пятая группа факторов риска, связанная с имуществом, вклю­чает значительное снижение стоимости имущества и недостаточ­ную его сохранность.

Шестая группа возникает в связи с ликвидностью и финансированием: неадекватный денежный поток; недостаток оборотного капитала; недостаточная гибкость в привлечении заемных средств; нехватка акционерного капитала и проблемы с его привлечением. Седьмая группа факторов связана с неожиданными убытками, которые возникают в связи с договорами на покупку и реализа­цию, гарантиями третьим лицам, договорами аренды, операциями с иностранными партнерами, какими-либо исключительными об­стоятельствами.

В качестве составного элемента внутреннего риска выступает также предпринимательский риск, связанный с: предъявлением пре­тензий клиентами и другими сторонами, заинтересованными в ре­зультатах аудита; возможностью возникновения финансовых по­терь от занятий аудиторской деятельностью исходя из сложной си­туации, возникшей как внутри предприятия, так и в отрасли в целом.

В работе аудитора важную роль занимает анализ: политиче­ских, экономических, социальных и технологических факторов (ПЭСТ); достоинств, недостатков, возможностей и неблагоприят­ных обстоятельств (ДНВН), а также так называемых пяти сил рын­ка (суть этого термина будет раскрыта далее).

К политическим фактором относят: отраслевое регулирование, законодательство, цены, налогообложение; к экономическим — уро­вень инфляции, процентные ставки по кредитам в банках, уровень безработицы, курс валюты, "потребительскую корзину" населения; к социальным — рост и движение населения, уровень жизни, здра­воохранение и образование, прочие виды социального обеспече­ния; к технологическим — уровень развития информационно-ком­муникационных технологий, компьютерных систем, механизацию и автоматизацию производства, подход к распределению продукта.

При анализе достоинств и недостатков организации-клиента необходимо изучить такие составляющие, как персонал (уровень квалификации, отношение к работе); структура и сложившиеся связи; продукция (качество, срок использования, прибыльность) производство (технология производства, объем мощностей), фи­нансы (наличие источников финансирования); гудвил, информа­ционное обеспечение (технические, маркетинговые данные).

Анализ возможностей и неблагоприятных обстоятельств орга­низации-клиента предполагает принять во внимание: динамику на рынке (рост, спад, колебания конъюнктуры); изменения в техно­логии (разработка новых продуктов); экономическое положение (подъем, спад); социальные факторы (сложившаяся система обще­ственных институтов и отношений); законодательные ограничения (движение "зеленых", защита прав потребителей); экологию (ути­лизация отходов и зашита окружающей среды).

Наконец, следует осуществить анализ "пяти сил рынка", к ко­торому относят: обычную конкуренцию, появление на рынке но­вых конкурентов, товаров-заменителей, рыночную власть покупа­телей или поставщиков.

Контрольный риск — второй элемент совокупного аудиторского риска. "Под риском средств контроля (контрольным риском) пони­мают субъективно определяемую аудитором вероятность того, что существующие на предприятии и регулярно применяемые средства системы бухгалтерского учета и системы внутреннего контроля не будут своевременно обнаруживать и исправлять нарушения, являю­щиеся существенными по отдельности или в совокупности, и (или) препятствовать возникновению таких нарушении". Значение про­верки системы внутреннего контроля состоит в том, что именно от ее надежности зависят объем работ, выполняемых внешним аудитором, и, следовательно, сроки и стоимость проверки. Поэ­тому следует рассмотреть этот вопрос более детально.

При разработке эффективной системы внутреннего контроля администрация организации-клиента полагает, что это поможет ей обеспечить: сохранность имущества и документов организации; получение надежной информации, необходимой для управления ею; повышение эффективности производства; соблюдение требо­ваний законодательных актов и положений учетной политики. Основным правилом, регулирующим процедуру организации и функционирования внутреннего контроля, является следующее: сумма затрат на его поддержание не должна превышать величины ожидаемых убытков в данный период по причине его слабости.

Существуют четыре основополагающих принципа, на которых базируется изучение системы внутреннего контроля.

1. Ответственность администрации за организацию и функционирование внутреннего контроля.

2. Достаточная степень уверенности в том, что система внутреннего контроля обеспечивает пусть не полную, но достаточную объективность и достоверность бухгалтерской отчетности.

3. Существующие ограничения: система внутреннего контроля не может рассматриваться как эффективная, если она не учитыва­ет особенностей, связанных с ее разработкой и практическим применением.

4. Метод обработки информации: внутренний контроль должен обеспечивать эффективную обработку информации как вруч­ную, так и с использованием вычислительной техники.

К элементам системы внутреннего контроля относятся среда контроля, система учета и процедуры контроля.

Риск необнаружения — третий элемент формулы совокупного аудиторского риска. Под риском необнаружения понимают субъек­тивно определяемую аудитором вероятность того, что применяе­мые аудитором в ходе проверки аудиторские процедуры не позволят обнаружить реально существующие нарушения, имеющие существен­ный характер по отдельности либо в совокупности.

На величину уровня риска необнаружения оказывает влияние фактор повторности проверки. Если аудитор проводит проверку у организации-клиента не в первый раз, то он лучше знаком с осо­бенностями бизнеса и знает большинство "узких мест". Если же проверка проходит в первый раз, то риск необнаружения ошибки аудитором более высок.

Риск необнаружения подразделяется на: аналитический риск, который подразумевает опасность пропуска ошибок при проведе­нии процедур анализа; риск при выборке, предполагающий вероят ность необнаружения существенных ошибок при выборочной про­верке совокупности операций.

Приведем примеры исчисления совокупного аудиторского риска.

Пример 1. Организация-клиент характеризуется низким уровнем риска. Макси­мально возможный совокупный аудиторский риск составляет 5 %. Внутренний риск - 80 % (организация-клиент успешно работает в стабильной отрасли про­мышленности). Контрольный риск равен 30 % (у клиента четкая система внут­реннего контроля и нет замечаний со стороны аудиторов по результатам преды­дущих проверок). Исходя из формулы

AR = IR ■ CR ■ DR,

DR = AR : (IR ■ CR),

риск необнаружения составит 20,83 %: 15:(80•30). Таким образом, уровень аудиторской надежности (минимальный доверите­льный интервал), ожидаемый от тестов по существу, относительно низок: 100 % - 20,83 % = 79,17 %.

Пример 2. Организация-клиент характеризуется высоким уровнем риска. Максимально возможный совокупный аудиторский риск составляет 5 %. Внутренний риск - 100 %, так как клиент новый, а сфера его деятельности — высокотехнологичная отрасль. Контрольный риск составляет 70 %, поскольку предварительная оценка обнаружила слабость системы внутреннего контроля и сильное давление на аудитора со стороны руководства. Отсюда

DR =. 5 : (100 ■ 70) = 7,14 %.

Уровень аудиторской надежности (минимальный доверительный интервал), ожидаемый от проведения тестов по существу, в этом примере значительно выше, составляет 92,86 % (100 % - 7,14 %), и соответственно здесь больше размер выборки.

Пример 3. Организация-клиент характеризуется высоким уровнем риска (так называемый сокращенный риск). Максимально возможный совокупный аудиторский риск - 2 %. Внутренний риск (как в примере 2) - 100 %. Конт­рольный риск (тоже как в примере 2) - 70 %. Отсюда

DR = 2 : (100 ■  70) = 2,85 %.

Уровень аудиторской надежности (минимальный доверительный интервал), ожи­даемый от проведения аудиторских тестов по существу, снова возрастает и дости­гает 97,15 % (100 % — 2,85 %), и соответственно увеличивается размер выборки.

На основе трех приведенных примеров можно сделать вывод, что чем надежнее система внутреннего контроля и выше уровень гарантии, получаемый из других источников окружающей среды (изучение отрасли, прошлый опыт работы клиента, полное анали­тическое рассмотрение), тем меньше следует акцентировать внимание на детальных тестах по существу. Чем слабее и менее надеж­ны доказательства, получаемые от внутреннего контроля, тем дета­льнее надо проводить проверки по существу (это позволит снизить аудиторский риск до максимально допустимого уровня).

В данных примерах риск рассматривается в отношении бухгал­терской отчетности в целом. Однако более целесообразно прово­дить оценку степени возникновения неверной информации по от­дельным статьям баланса. Причина заключается, во-первых, в раз­личной вероятности возникновения данного рода явлений у отдельных видов активов и обязательств, во-вторых, в степени их влияния на результаты. Для этого достаточно сравнить стандарт­ные анкеты проверки (например, кассы, запасов) в динамике по годам. Следует, однако, отметить, что это возможно лишь при дол­говременном обслуживании организации-клиента, поскольку ан­кеты относятся к рабочим бумагам аудитора и находятся в собст­венности аудиторской фирмы.

Оценка аудитором уровня риска является одним из важнейших этапов проверки, поскольку от нее в конечном счете зависит не то­лько вид получаемого заключения, но и дальнейшее благосостояние как аудиторской фирмы, так и организации-клиента. При благо­приятном исходе проверки и отсутствии претензий со стороны на­логовых инспекций к организации-клиенту аудитор не только полу­чает гонорар, но также не платит штрафы. Кроме того, он получает возможность продлить договор с этим клиентом и привлечь новых, поскольку аудиторский мир невелик и хорошая реклама так же, как, впрочем, и плохая, распространяется очень быстро. Благосостояние организации-клиента зависит от оценки аудиторского риска в том смысле, что качественно проведенная проверка при низкой оценке риска позволяет не только получить положительное заключение, но и сделать благоприятный прогноз о возможности функционирова­ния в будущем, что неизбежно привлечет новых инвесторов.

Постулаты аудита

В основе любой научной дисциплины лежат постулаты. Посту­лат - это положение, принимаемое как истинное до тех пор, пока  не будет доказано иное. Постулаты должны быть очевидны, даже если их истинность не может быть доказана. Отсюда их огромное практическое значение.

Впервые систему аудиторских постулатов сформулировали американцы Р. К. Маутц и Г. А. Шараф. Условно можно сказать, что концепция американских авторов - это постулаты доверия, мы же, скорее, исходим из концепции недоверия.

Осознание содержания постулатов исключительно важно в связи с тем риском, который возникает у аудитора, приступающего к проверке.

Разберем предлагаемую нами систему постулатов.

1. Отчет должен быть проверен.

Это исходный постулат, который означает, что, если аудитор даст заключение, не проверив бух­галтерский отчет, и в результате этого пострадают пользователи подтвержденной им отчетности, он, аудитор, рискует понести убытки. Отсюда следует, что аудитор не может дать заключения,
если ему не были предоставлены все заинтересовавшие его документы или были вскрыты серьезные искажения отчетности. Цель постулата: оказать давление на аудитора, заставляя его проявлять
максимальную требовательность, а также на клиентов, чтобы они лучше понимали условия работы аудитора.

2.Непроверенный отчет не заслуживает доверия. Из этого сле­дует, что пользователь непроверенного или ненадлежащим образом проверенного бухгалтерского отчета рискует понести убытки в
максимально возможной степени, принимая решения по данным искаженной отчетности.

Этот постулат является обратным по отношению к первому и подчеркивает необходимость для клиента получить от аудиторской фирмы не только подтверждение правильности составленного от­чета, но и гарантию в виде моральной и экономической ответст­венности, принимаемой на себя аудитором за возможные послед­ствия данного заключения.

3.       Каждая последующая проверка может снижать ценность предыдущей. Постулат связан с планированием аудита и предполагает, что если установлено несколько проверок одного и того же объекта, чтобы минимизировать риск необнаружения, то каждый проверяющий должен думать, что в случае пропуска ошибки он будет наказан. В противном случае он будет уверен, что последую­щие контролеры исправят пропуски. Опасность состоит в том, что последующие контролеры, полагаясь на проведенную проверку, могут пропустить эти ошибки.

4. Отчет составлен неверно. Это важнейший постулат, вытека­ющий из самой роли аудита, так как если бы все отчеты составля­лись правильно, сама надобность в аудите отпала бы. Именно из
этого постулата главным образом вытекает проблема аудиторского риска. Если предположить обратное, то аудит не нужен и проблема аудиторского риска снимается.

5. Мнение аудитора зависит от его интересов. У аудитора, как и у всякого другого человека, есть свои профессиональные, моральные и материальные интересы, которые требуют от него полной
объективности в выводах и независимости в суждениях. Чем больше аудитор достигает в своих суждениях объективности и незави­симости, тем меньшим становится его профессиональный риск.

6.Никто не свободен от ошибочных выводов. Мы уяснили, что в бухгалтерской отчетности есть неточности, но и у аудитора в его работе тоже могут быть неточности. Следовательно, он сам постоянно рискует ошибиться. (В данном случае речь идет о его профессиональном риске, ибо этот риск присутствует в каждом аудиторском заключении.)

7. Интересы администрации организации-клиента, ее собственников и кредиторов не должны совпадать. Конфликт интересов лиц, участвующих в хозяйственном процессе, может служить гарантией
объективности данных, представленных в отчете. Если участники хозяйственного процесса не умеют читать бухгалтерскую отчет­ность, то бухгалтер представит отчет, составленный только в интересах администрации, а учетная политика организации-клиента в этом случае будет отражать влияние интересов администрации и
будет направлена на сокрытие налоговых платежей. Эта цель, которой нередко подчиняют учетную политику, тем опаснее, что она объединяет интересы всех участников хозяйственного процесса
против государства. Сложность позиции аудиторов заключается в  том, что он должен защищать интересы собственников и кредито­ров, а последние, как правило, и приглашают аудиторов именно для этой цели. На самом деле цель аудитора — дать независимое заключение, и он должен, взвешивая интересы всех, выражать объективное мнение об отчетности клиента, ибо только в этом случае он по-настоящему защитит его интересы и максимально снизит свой собственный совокупный риск.

8. Чем больше конфликтов внутри организации-клиента, тем надежнее ее отчетность. Предыдущий постулат указывал на внешние конфликты, этот же подчеркивает роль внутренних кон­фликтов. К сожалению, очень часто сама инициатива проведения аудиторской проверки исходит от тех или иных конфликтующих в
правлении фирмы лиц, и аудитор призывается стать третейским судьей в дискуссиях, ведущихся в правлении организации-клиента. Однако, готовясь к аудиторской проверке, стороны постараются
или достичь компромисса при заполнении отчетных форм, или представят аудитору альтернативные варианты. Таким образом, конфликт будет объективно способствовать правдивости отчетных данных и снижению аудиторского риска.

9. Чем больше конфликтов внутри организации-клиента, тем менее надежна ее отчетность. Этот постулат является обратным по отношению к предыдущему. Вообще, на основании постулатов
(8) и (9) можно сделать такой вывод: достоверность отчетности организации-клиента прямо пропорциональна величине имею­щихся в ней конфликтов. Если конфликтов нет, то это говорит о том, что лица, призванные контролировать друг друга, вступили в сговор и отчетность, даже при ее формальной чисто бухгалтерской
правильности, уже не отражает адекватно хозяйственные процессы. В этом случае отчетность может быть идеально составлена, но при этом множество фактов хозяйственной жизни организации не
документируется. Следовательно, аудиторский риск в этом случае резко возрастает.

10. Каждое утверждение аудитора должно иметь определенную степень убедительности (аргументации). Это значит, что каждое утверждение, а не только общее мнение аудитора несет для него ту
или иную степень риска. Следовательно, в своей работе аудитор должен отказаться от романтических идеалов абсолютной истинности той отчетности, которую он подтверждает, и довольствовать­ся принципом достаточной убедительности.

Знание постулатов позволяет аудитору лучше понимать проб­лему риска и существенности, поэтому они должны приниматься во внимание при аттестации.