Понятие и классификация аудиторских рисков
Риск —это вероятность появления нежелательных событий.
Риск в аудиторской деятельности можно рассматривать, как вероятность проведения каких-либо неверных действий или появления неверной информации, в результате чего аудитор способен составить недостаточно объективное мнение. В любом случае мнение аудитора субъективно. Однако при проведении аудиторских проверок ставится цель максимального сокращения доли риска.
Проведение каждой аудиторской проверки сопряжено с определенными группами рисков. За более чем 150-летнюю практику аудиторского дела международными аудиторскими организациями разработан ряд аудиторских рисков.
Основными из них являются:
·бизнес-риск (БР);
·риск неэффективности системы внутреннего контроля или риск контроля (РК);
·риск необнаружения (РН);
·аудиторский риск (АР).
Бизнес риск связан с независимыми от аудитора обстоятельствами в процессе деятельности клиента. Его еще называют предпринимательским, или чистым, риском.
В банковской деятельности Бизнес-риск (БР)– это риск банка, который может возникнуть в результате характера и значения данного вида деятельности банка. Существование риска обусловлено характеристиками банка и условиями его деятельности, которые всегда можно проверить средствами внутреннего контроля. Вероятнее всего, что отрасли высоких технологий, а также деятельность, связанная с проведением финансовых операций, намного больше подвержена факторам внутреннего риска, чем традиционные отрасли. Здесь рассматривают финансовые убытки банка, потерю конкурентоспособности, срыв деятельности банка и т.д.
Насколько рискованна деятельность клиента следует установить до начала аудиторской проверки (на первом этапе аудиторской проверки), что в значительной степени повлияет на план работы аудиторов. Аудитор должен рассмотреть различного рода изменения, происшедшие в течение анализируемого периода. Следует также учитывать, что эти факторы зависят во 1-х, от состояния экономики, политики, нормативной базы, деятельности партнеров в стране и за рубежом и т.д. и во 2-х, от деятельности клиента.
Для определения данного риска аудитору необходимо получить, например, следующую информацию:
·об уровне конкуренции в данной области;
·об особенностях финансовой деятельности;
·о составе акционеров;
·окомпетентности и честности руководства;
·о рискованности политики акционеров или руководства;
·о форме собственности, управления и подчиненности;
·о стратегических и тактических направлениях в работе клиента;
·о кадровой политике;
· о моральном духе персонала;
· о сфере деятельности или основных направлениях работы клиента;
·о выпускаемой продукции или оказываемых услугах;
·об организационной структуре клиента, сети его филиалов;
·окачестве системы внутреннего контроля;
· о недавней перестановке среди ответственных работников (можно рассмотреть в зависимости от того сколько раз они менялись, какого ранга работники, уровень их подготовки и т.д.);
· о недавнем изменение системы учета;
· об объеме доходов (активов);
· об улучшении (ухудшении) экономического состояния подразделения;
· о сложности операций;
· о ликвидность активов;
· о быстром экономическом росте проверяемой структуры (всегда относится к высокому риску);
· о степень компьютеризации обработки информации;
· о дате предыдущей аудиторской проверки (если было давно);
· о давлении на руководство (в том числе на руководство филиала, подразделения);
· о регулирующей деятельность государства;
· об удаленности от головного офиса (для филиалов) и т.д.
Кроме того, необходимо изучить характер информационных систем и систем ведения бухгалтерского учета по следующим направлениям:
- срок использования системы, ее структура и эффективность;
- профессиональный опыт людей, разработавших систему;
- способность ведения операционной деятельности;
- характер, уровень и сложность основных компьютерных программ;
- свобода доступа к использованию систем и учетных записей;
- проблемы, возникшие в последнее время.
Обязательно рассмотрение всех присущих банковской деятельности рисков:
- операционный риск;
- валютный риск;
- процентный риск;
- риск ликвидности;
- кредитный риск;
- информационный риск и т.д.
Информацию о факторах, влияющих на деятельность клиента “извне”, аудиторы получают из различных источников: из журналов экономического профиля, периодической печати, сделанных запросов, встречных проверок, материалов предыдущих проверок, статистических отчетов, отчетности, публикуемой фирмами данной отрасли, и др. Кроме того, необходимая информация может быть получена от клиента: проведенных тестов, бесед с руководством и персоналом, полученных отчетов различного рода, протоколов совещаний, операционных счетов, корреспондентских счетов, договоров и т.д. Все полученные документы (полученные от клиента — по согласованию с ним) аудиторы помещают в ''рабочую документацию'' аудитора.
Аудитор может рассматривать бизнес риск и по отдельным банковским операциям. Можно привести пример рассмотрения факторов бизнес-риска по трем направлениям деятельности банка.
Таблица 5.1
| Коммерческие ссуды | Межбанковские ссуды | Валютные операции | |
| Природа | -кредитование компаний, которым прежде кредиты не предоставлялись -принятие неадекватного залогового обеспечения -высокий уровень кредитования близко связанных компаний | -концентрация риска на нескольких клиентах -фиксированные процентные ставки -высокие лимиты клиентам | -неустойчивость валютных курсов -арбитражные операции с высоким риском -длительность рублевых счетов |
| Важность | -большой объем операций -направление развития в соответствии со стратегическим планом | -большой объем и сумма операций -самый крупный источник дохода | -большой объем и сумма операций -большие открытые позиции |
Возможны и другие факторы, которые имеют значение при оценке бизнес-риска.
Для получения информации по определению бизнес-риска аудиторы часто используют метод сравнительного анализа. С этой целью информация текущего года сравнивается с сопоставимыми данными прошлых лет. При этом можно выявить благоприятные и неблагоприятные тенденции в развитии деятельности клиента, отклонения в ожидаемых результатах деятельности, особенности в финансовой отчетности, неожиданные операции по счетам и взаимосвязь между ними и т.д. Кроме того, всегда полезно сравнение финансовой и нефинансовой информации (например, большая спонсорская помощь и получение убытков, прибыльность и негативная репутация о банке и т.д.).
Обладая достаточным опытом, аудитор по рассмотренной информации может определить риск бизнеса клиента, который позволит ему составить программу работы и наиболее эффективно провести проверку, снизив, в конечном счете, аудиторский риск.
На основании оценки факторов риска аудитор определяет средний уровень риска по данному клиенту, рассматривая некоторые вопросы с точки зрения их важности и по тому насколько хорошо это может контролироваться.
Все риски мы можем определять, как: Н- риск низкий; В — высокий; С — средний. Уровень риска может выражаться в процентах, но чаще его оценка приводится в виде коэффициента, можно оценивать все по 5 бальной системе или по 10 бальной и т.д.
Как было указано ранее, с последней четверти ХХ в. стал развиваться системо-ориентированный и вероятностный подход в проведении аудита. Он базируется на изучении системы внутреннего контроля и определении риска неэффективности системы внутреннего контроля (РК).Аудитор должен изучить каждую из систем внутреннего контроля или, если они отсутствуют, их составить. Проводя анализ системы контроля клиента, аудитор должен оценить ее надежность и определить, предотвращает ли она ошибки и злоупотребления; обеспечивает ли полноту записей по счетам, исполнение законодательных и нормативных актов, и т.д. В результате изучения этих систем необходимо сделать вывод об эффективности внутреннего контроля, т.е. на него можно или нельзя положиться. В первом случае число детальных проверок финансовой отчетности по существу можно сократить. Во втором случае число проверок по существу можно увеличить. Однако, изучение системы внутреннего контроля и определения риска его неэффективности нельзя делать только на основании предварительного анализа, производимого по средством тестов, опросов и т.д. его изучение необходимо также проводить и на втором этапе аудиторской проверки т.е. во время сбора материала для аудиторского заключения.
Для эффективности работы аудитора, анализировать СВК целесообразно на основании одной и той же выборки данных, где мы проводим проверку и на соответствие и по существу. Проведение проверки в целом на правильность выполнения какой-либо операции и ее санкционирования — есть проверка на соответствие. Детальная проверка законности этой операции — проверка по существу. Проведение проверки на соответствие вообще не целесообразно при недоверии к внутреннему контролю. Если внутренний контроль является эффективным, число детальных проверок финансовой отчетности по существу можно сократить.
Понятие ''проверка по существу'' включает определение не только абсолютного размера отклонений, но и определяет нарушения, являющиеся существенными по качеству, которые влияют на искажение финансовой отчетности. Например, несоблюдение закона повлияет на неправильное отражение операций в финансовой отчетности.
Аудит на предмет ''соответствия'' — это простой, распространенный аудит. В данном случае речь идет о существующей практике. При этом аудиторы:
- определяют специфические требования соответствий, где устанавливают приоритетность (важность этих требований). Они излагаются в логической последовательности. Часто необходимо перекомпоновать их с точки зрения значимости для аудиторской проверки;
- планируют работу (оценивают имеющийся риск). Определяют, что необходимо делать, где и сколько времени. Разработку системы делают централизовано. Планирование должно производиться так, чтобы снизить риск (например, рассматривают — работают ли компетентные люди, как производится контроль и т.д.;
- определяют соответствующие меры контроля. Необходимо понять применяемые меры контроля, определить систему контроля и ее действенность;
- разрабатывают направления проверки. Определяют направления работы т.е. обобщают все выше рассмотренное для того, чтобы действовать в направлении ''найти'';
- собирают информацию, свидетельствующую о соответствии;
- думают о последующих событиях. Подготовленный отчет необходимо проверить — изменилось ли что-то по проверяемым ''требованиям''. В таких случаях делается оговорка, и аудиторы считают, что деятельность банка в этом направлении не связана с высокой степенью риска;
- формируют мнение.
Финансовая отчетность может быть неидеальной, но вполне приемлемой. Считается, что финансовая отчетность тем ближе к истине, чем эффективнее внутренний контроль, а это значит, что аудитор может затратить значительно меньше усилий для определения объективного аудиторского заключения и риск его работы может быть низким. Кроме того, чем эффективнее контроль, тем больше оснований утверждать, что информация финансового отчета может быть полезной для лиц, принимающих ответственные решения.
Выводы о функционировании системы внутреннего контроля должны относиться ко всему проверяемому периоду (порядок визирования, изменяются ли внутренние положения периодически, раз в год и т.д.).
В зависимости от оценки системы внутреннего контроля мы определяем степень доверия к проводимой операции (проверка по существу) и определяет риск контроля.
Ко второму этапу аудиторской проверки в большей степени относится определение риска необнаружения (РН). Риск необнаружения — это вероятность того, что существует возможность значительного количества неточной или неправильной информации, которая может пройти незамеченной через аналитические и практические процедуры проверки аудиторов. Риск необнаружения свидетельствует о том, что проверка по существу не выявила серьезных ошибок. Оценка риска необнаружения проводится по документам делового характера, по бухгалтерским счетам, по отклонениям в них. По искажению в финансовых отчетах определяют степень допустимости риска такого искажения.
Риск необнаружения возникает главным образом в связи с тем, что аудиторская проверка проводится выборочным методом. Выборочная проверка обычно проводится в случаях, когда совокупность составляется из большого количества аналогичных статей. Если совокупность не является однородной, предпочтение следует отдать исследованию исключительных или материально существенных статей, или определить выборки по группам аналогичных статей.
Аудиторский риск (АР) представляет собой риск (ответственность), которую берет на себя аудитор, давая заключение о полной достоверности представленной информации. Его еще называют риском неэффективности аудита (контроля).
Аудиторский риск возникает в связи с тем, что действия аудитора относительно проверки отчетности субъективны. Чем ниже величина желаемого риска для аудитора, тем больше он должен быть уверен в том, что отчетность не содержит ошибок и пропусков. Нулевой риск будет означать абсолютную уверенность в достоверности информации. На практике аудитор не может быть полностью уверен в аккуратности отчетности, поэтому риск всегда имеется. Желаемый аудиторский риск и планируемая информационная база для проведения аудита находятся в обратной зависимости — чем меньше аудиторский риск, тем большее количество информации необходимо привлечь для проверки.
Аудиторский риск непосредственно связан с тем, что проверка проводится не сплошная, а выборочная. При этом риск определяется как вероятность того, что заключения аудитора, основанные на выборочной проверке, могут отличаться от выводов, сделанных после сплошной проверки. Как правило, контрольную выборку планируют так, чтобы проверить систему внутреннего контроля и правильность отражения операций по счетам. На объем выборки может влиять бизнес-риск клиента, эффективность системы внутреннего контроля, объем генеральной совокупности и т.д. При достаточно большой или тщательно просчитанной выборке риск неэффективности выборочной проверки можно контролировать.
Однако, если аудитор дает оценку на основе этих данных, есть вероятность сделать одну из двух ошибок — оценить риск неэффективности аудита как слишком низкий или, наоборот, как слишком высокий. Слишком низкий риск неэффективности аудита — вероятность того, что данные, полученные от выборки, укажут на низкий риск, тогда как на самом деле (но это может быть неизвестно аудитору) нет оснований для такой низкой оценки его. Это может привести к тому, что не будет проведена какая-либо дополнительная работа, которая повысит эффективность проверки аудитора и даст возможность более правильно оценить риск и дать объективное аудиторское заключение.
Слишком высокий риск неэффективности аудита — это вероятность того, что данные выборки укажут на наличие высокого риска, тогда как реально, судя по качеству данных, есть основания для более низкой оценки риска. Слишком высокая оценка риска приводит к тому, что заказывается больший объем аудиторской работы, чем планировалось первоначально и чем необходимо фактически, т.е. появляется угроза снижения экономической эффективности аудиторской проверки. Экономическая эффективность аудиторской проверки, конечно, очень важна, но эффективность ее проведения все-таки важнее. По этой причине, согласно аудиторским стандартам, требуется принимать в расчет нижнюю границу вероятности, т.е. слишком низкой оценки риска.
Аудиторский риск является предпринимательским риском аудиторской фирмы, поэтому его величина отражает положение фирмы на рынке аудиторских услуг, степень конкурентности рынка, что также нужно учитывать.
Определяя аудиторский риск, необходимо решить, выполнена ли спланированная аудиторская проверка достаточно хорошо, чтобы утверждать о достаточно низком аудиторском риске. Коэффициент аудиторского риска определяется как произведение составляющих рисков, рассчитанных во время аудиторской проверки:
АР = БР . РН . РК,
Официального стандарта приемлемого значения вероятности ошибки аудиторов при составлении заключения не существует, считается, что оно должно быть достаточно низким. Как правило, аудиторские фирмы сами определяют этот уровень исходя из опыта своей работы, основанного на профессиональных знаниях, опыте общения с клиентами и деловом чутье.
Так как сплошная проверка нереальна, то при условии выборочной проверки общепринято считать, что допустимый аудиторский риск вынесения неправильного мнения может составлять до 5%.
В целом оценка аудиторского риска проводится на последнем 3 этапе аудиторской проверки.