5.3. Аудиторський ризик. Види ризику
Аудиторський ризик - це суб'єктивно встановлений рівень ризику, який готовий взяти на себе аудитор. Якщо аудитор визначить для себе менший рівень аудиторського ризику, то це означатиме, що він прагне до більшої впевненості у тому, що фінансова звітність не містить суттєвих помилок.
Нульовий ризик означає повну впевненість аудитора в тому, що фінансова звітність не містить суттєвих помилок. Однак аудитор не може гарантувати повної відсутності істотних помилок.
На величину прийнятного аудиторського ризику можуть впливати такі основні фактори:
рівень компетентності аудитора;
фінансовий стан аудитора;
ступінь довіри зовнішніх користувачів до фінансової (бухгалтерської) звітності;
масштаб бізнесу підприємства;
організаційно-правова форма підприємства;
форма власності та розподіл часток у статутному капіталі підприємства;
характер і сума зобов'язань підприємства;
рівень внутрішнього контролю підприємства;
ймовірність банкрутства підприємства і т. д.
Аудиторський ризик полягає в тому, що висловлена думка про достовірність аудируемой звітності може виявитися невірним. Аудитор завжди повинен прагнути до максимального зниження ризику шляхом врахування всіляких факторів при плануванні аудиту.
Прийнято виділяти такі основні види ризику.
1) Існують два основні методи оцінки аудиторського ризику: кількісний і оцінний.
Кількісний метод передбачає розрахунок ризику за формулою:
АР = В Р - КР - НР,
де АР - аудиторський ризик, ВР - внутрішній ризик, КР - ризик контролю, РН - ризик невиявлення.
Дана формула описує взаємозв'язки між трьома видами ризику.
Загальний аудиторський ризик залежить від оцінок кожної зі складових ризику.
При оцінці ризику контролю прийнято вважати, що чим вище рівень надійності внутрішнього контролю, тим нижче ризик аудитора. Водночас аудитор ніколи не повинен повною мірою покладатися на систему внутрішнього контролю підприємства. Помилки у бухгалтерському обліку завжди можливі, оскільки жодна система внут-рішнього контролю не може бути ефективною на 100%.
Для визначення, погано чи добре працює система внутрішнього контролю, аудитору необхідно визначити вірність її концепції.
Як переоцінка, так і недооцінка ризику невиявлення може призвести до фінансових або іміджевих втрат для аудитора. Таким чином, правильна оцінка ризику невиявлення є показником ефективності і якості роботи аудитора.
Оціночний метод визначення ризику будується на професійному судженні і розумінні взаємозв'язків різних типів ризиків. Наприклад, при високому рівні внутрішнього ризику і ризику контролю аудитору необхідно збільшити кількість аудиторських процедур з метою зниження до мінімуму величини ризику невиявлення і таким чином отримати прийнятний розмір загального аудиторського ризику.
У сучасних умовах слід враховувати також ризики ком-комп'ютерного обробки даних (КОД).
Застосування системи КОД істотно впливає на організаційну структуру підприємства, вносячи такі ризики в сипе му бухгалтерського обліку і внутрішнього контролю:
концентрація функцій управління;
концентрація даних і програм для їх обробки.
Концентрація (зосередження) бази даних в одному або декількох місцях, де вона зазвичай зберігається разом з програмами, що забезпечують доступ до неї, підвищує ризик втрати інформації і несанкціонованого доступу до неї.
Використання системи КОД змінює процедури запису облікових даних і розширює коло осіб, які отримують доступ до бухгалтерських записів. Це може привести до появи наступних ризиків:
відсутність первинних документів;
відсутність можливості спостереження за рознесенням облікових даних по регістрах, їх закриттям і складанням звітності;
відсутність регістрів обліку;
доступ до бази даних і програмами системи КОД несанкціонованих користувачів.
Внутрішній контроль в умовах застосування системи КОД повинен поєднувати звичайні методи контролю, застосовні в відсутність системи КОД, і спеціальні програмні засоби контролю. Всі використовувані засоби контролю за системою КОД можна розділити на загальні та спеціальні.
Загальні засоби контролю являють собою процедури перевірки правил системи КОД, а також надійності функціонування системи КОД. Вони можуть включати в себе наступні процедури:
контроль за підтриманням і розвитком системи КОД, який полягає в перевірці того, що всі зміни, що вносяться в систему, і операції з нею належним чином дозволені (застосування такого контролю необхідно у випадках тестування, внесення змін, впровадження нових систем КОД, надання доступу до їх документації); операційний контроль, який передбачає перевірку того, що система КОД виконує лише авторизовані операції, доступ до неї мають тільки особи, що володіють на це дозволом, і помилки в обробці даних визначаються і виправляються;
контроль за програмним забезпеченням, який передбачає перевірку того, що використовується тільки дозволене і ефективне програмне забезпечення (з цією метою аналізується система візування, тестування, перевірки, впровадження та документування нових систем і модифікацій вже діючих, а також обмеження на доступ до документації про них тільки особам, які мають спеціальний дозвіл);
контроль за введенням і обробкою даних, який полягає в перевірці того, що існує система попереднього візування операцій до їх введення в систему КОД, і введення інформації можливий тільки тими особами, які мають на це відповідні дозволи.
Спеціальний контроль за застосуванням системи КОД в системі бухгалтерського обліку підприємства передбачає спеціальні перевірочні процедури, що дозволяють упевнитися, що всі бухгалтерські операції належним чином авторизуються і відображаються в обліку своєчасно і без помилок. До перевірочним процедур відносять:
контроль за введенням інформації;
контроль за обробкою і зберіганням інформації;
контроль за виведенням інформації.
Аудитор повинен протестувати систему внутрішнього контролю за системою КОД, якщо передбачається, що без перевірки неможливо отримати достатню впевненість в тому, що фінансова (бухгалтерська) звітність підприємства, що перевіряється не містить суттєвих викривлень.