Система внутреннего контроля в соответствии с МСА

Система внутреннего контроля – разработанные, внедренные и осуществляемые руководством субъекта и другими лицами, наделенными руководящими полномочиями, процессы с целью обеспечения разумной уверенности в достижении целей субъекта в контексте надежности финансовой отчетности, а также соблюдения законодательства и нормативных актов.

Получая представление о средствах контроля, которые являются значимыми для аудита, аудитор должен оценить организацию таких средств контроля и определить, были ли они внедрены.

Компоненты системы внутреннего контроля согласно МСА

Контрольная среда

Контрольная среда охватывает следующие элементы:

(а) Информирование о принципах честности и этических ценностях и воплощение таких принципов и ценностей. Внедрение принципа честности и этических ценностей предполагает, например, действия руководства субъекта, направленные на устранение или снижение стимулов и соблазнов, которые могут подтолкнуть персонал к участию в нечестной, незаконной или неэтичной деятельности.

(б) Приверженность принципам профессиональной компетентности.

(в) Участие лиц, наделенных руководящими полномочиями. На осознание субъектом необходимости контроля значительно влияют лица, наделенные руководящими полномочиями.

(г) Философия и стиль работы руководства субъекта. Философия и стиль работы руководства субъекта охватывают широкий спектр различных характеристик. Например, отношение и действия руководства субъекта, связанные с представлением финансовой отчетности субъекта, могут проявить себя в консервативном или агрессивном выборе из числа доступных альтернативных принципов бухгалтерского учета или в добросовестности и консерватизме, с учетом которых разрабатываются расчетные оценки.

(д) Организационная структура. Установление надлежащей организационной структуры подразумевает учет ключевых полномочий и ответственности, а также соответствующих линий подотчетности.

(е) Делегирование полномочий и ответственности. Делегирование может включать политику и коммуникации, направленные на то, чтобы весь персонал понимал цели субъекта, знал, как индивидуальные действия сотрудников взаимосвязаны и какой вклад они вносят в достижение целей, а также осознавал, как и за что он отвечает.

(ж) Политика и практика по управлению человеческими ресурсами. Политика и практика управления человеческими ресурсами часто выявляет важные аспекты контрольного самосознания субъекта. Например, существующие у субъекта стандарты, требующие набирать наиболее квалифицированный персонал с акцентом на образовании, предыдущем опыте, прошлых достижениях, доказательствах порядочности и этического поведения, демонстрируют стремление компании нанимать компетентных, с профессиональной точки зрения, и надежных людей. Политика по обучению, которая принимает во внимание будущие функции и обязанности, включает обучение в образовательных центрах и участие в семинарах, иллюстрирует ожидаемый уровень профессиональной деятельности и поведения. Повышение по службе, проводимое на основе периодической оценки результатов, демонстрирует стремление субъекта продвигать квалифицированный персонал на более высокие уровни ответственности.

Процесс оценки риска, используемый субъектом. Аудитор должен получить представление о том, имеется ли у субъекта данный процесс.

Процесс оценки рисков субъектом включает то, как руководство субъекта определяет предпринимательские риски, связанные с подготовкой финансовой отчетности в соответствии с применимой основой представления финансовой отчетности, оценивает их значительность, определяет вероятность их возникновения и принимает решение в отношении действий по управлению такими рисками, а также в отношении результатов таких действий. Например, процесс оценки рисков субъектом может включать то, как руководство субъекта учитывает возможность существования неотраженных в учете операций или определяет и анализирует значительные оценки, отраженные в финансовой отчетности.

16. Если субъект установил такой процесс, аудитор должен получить представление о таком процессе и его результатах. Если аудитор идентифицирует риски существенных искажений, которые не смогло идентифицировать руководство субъекта, аудитор должен оценить, принадлежал ли риск, лежащий в основе такого риска существенных искажений, к видам риска, которые, согласно ожиданиям аудитора, должны были быть идентифицированы в рамках процесса оценки риска субъектом. Если отмечен такой риск, то аудитор должен получить представление о том, почему процесс оказался не в состоянии идентифицировать его, и оценить, соответствует ли процесс обстоятельствам, при которых он используется, или имеются существенные недостатки в процессе оценки риска субъектом.

17. Если субъект не установил такой процесс или имеет какой-либо специальный процесс, аудитор должен обсудить с руководством субъекта вопрос о том, были ли идентифицированы предпринимательские риски, являющиеся значимыми для целей финансовой отчетности, и какие действия были предприняты в ответ на такие риски. Аудитор должен дать оценку в отношении того, является ли отсутствие задокументированного процесса оценки риска правомерным в сложившейся ситуации или представляет собой существенный недостаток в системе внутреннего контроля субъекта.

Информационная система, включая соответствующие бизнес процессы, связанные с подготовкой и представлением финансовой отчетности, и обмен информацией

Информационные системы состоят из инфраструктуры (физических компонентов и компонентов аппаратного обеспечения), программного обеспечения, людей, процедур и данных. Многие информационные системы широко используют информационные технологии (ИТ).

Качество генерируемой системой информации оказывает влияние на способность руководства субъекта принимать надлежащие решения в рамках управления и контролирования деятельности субъекта, а также подготавливать надежные финансовые отчеты. 

Действия по контролю, которые являются значимыми для аудита

При получении представления о действиях по контролю субъекта аудитор должен получить представление о том, как субъект отвечает на риски, являющиеся результатом использования информационных технологий.

Как правило, действия по контролю, которые могут оказаться значимыми для аудита, относятся к категории процедур, регламентирующих следующие мероприятия:

• Обзор результатов деятельности. Эти действия по контролю включают обзор и анализ фактических результатов по сравнению с бюджетами, прогнозами и результатами прошлого периода.

Обработка информации. Две большие группы средств контроля над информационными системами – это средства контроля над прикладными программами и общие средства контроля в информационных технологиях. В качестве примеров прикладных средств контроля можно назвать проверку арифметической точности записей, автоматизированные средства контроля. Примеры общих средств контроля включают средства контроля над изменениями программного обеспечения; средства контроля, ограничивающие доступ к программам или данным.

• Физический контроль. Степень значимости физических средств контроля, направленных на предотвращение кражи активов, для надежности подготовки финансовой отчетности и, следовательно, аудита, зависит от таких обстоятельств, как высокая предрасположенность активов к незаконному присвоению.

• Разделение обязанностей. Разделение обязанностей имеет своей целью уменьшить возможности определенных лиц по совершению или сокрытию ошибок или мошенничества в ходе выполнения своих обязанностей такими лицами.

Мониторинг средств контроля

Важной обязанностью руководства субъекта является разработка и поддержание системы внутреннего контроля на постоянной основе. Мониторинг средств контроля, осуществляемый руководством субъекта, подразумевает рассмотрение вопроса о том, функционируют ли они надлежащим образом и были ли они соответствующим образом модифицированы, принимая во внимание изменение условий. (например, проверка руководством, были ли своевременно подготовлены банковские сверки). Мониторинг также проводится, чтобы гарантировать, что средства контроля продолжают эффективно функционировать во времени. Например, если своевременность и точность банковских сверок не отслеживается, персонал может прекратить их подготовку.