Анализ структуры внутреннего контроля и оценка связанных с ней рисков определяются спецификой проверяемой организации.
Существует три основных подхода к оценке системы внутреннего контроля:
• детальный анализ среды контроля и системы бухгалтерского учета;
• идентификация (определение или установление) контрольных процедур, снижающих возможные риски;
• проверка эффективности работы системы внутреннего контроля.
Анализ среды контроля. Для того чтобы понять систему внутреннего контроля организации, контролер должен сначала определить ее элементы, удостовериться в том, что они реально функционируют, и отразить полученную информацию в соответствующих документах.
Рассмотрим факторы, влияющие на составление и исполнение программы контроля:
1)Предшествующий опыт. Если проверка проводится одной и той же государственной структурой или аудиторской организацией ежегодно, то контролер имеет доступ к значительному объему информации о системе внутреннего контроля клиента.
2)Проверка первичных документов и их учета. Функционирование системы бухгалтерского учета и системы контроля, а также механизмов их реализации требует создания системы документооборота, которая закрепляется в инструкциях организации. Проверка этой документации служит основанием для заключения о том, насколько полно и правильно реализуются процедуры контроля.
3)Внутрифирменные инструкции. Контролер может воспользоваться внутрифирменными инструкциями, к которым относятся, например, правила поведения, документация, определяющая порядок ведения бухгалтерского учета, организационную структуру фирмы. Эти документы должны быть проанализированы контролером и затем обсуждены с персоналом организации для того, чтобы определить, насколько правильно они поняты и каким образом реализуется система контроля.
4)Опрос персонала организации. Опрос и обсуждение системы должны быть проведены с персоналом организации на всех управленческих уровнях с целью получения полного и правильного мнения об уровне эффективности внутреннего контроля.
5)Анализ деятельности организации. Контролер может ознакомиться с работой персонала по подготовке документов, ведению бухгалтерского учета и контроля в процессе ее осуществления. Это помогает более глубоко понять суть системы внутреннего контроля и обеспечить большую уверенность в том, что контрольные процедуры эффективны.
Идентификация контрольных процедур, снижающих возможные риски. Оценка рисков, связанных с функционированием системы внутреннего контроля, может быть произведена после того, как контролер ознакомился с описанием системы и убедился в ее существовании. Эта оценка должна быть сделана по каждому из операционных циклов организации.
Например, в цикл реализации и расчетов с поставщиками и подрядчиками, как правило, включаются следующие типы операций: реализация, возврат (если имеет место) ранее реализованной продукции, получение платежей, создание резервов по сомнительным долгам и списание безнадежной дебиторской задолженности.
Первым шагом в оценке является определение целей, ради которых выработаны те или иные контрольные процедуры. Затем должен быть изучен механизм, обеспечивающий их достижение. При этом контролер должен выявить и проанализировать только самые важные элементы системы контроля, оказывающие наибольшее влияние на достижение поставленных целей.
Вероятность возникновения ошибок в бухгалтерской (финансовой) отчетности возрастает, если контрольные процедуры не адекватны предъявляемым требованиям.
Для выявления недостатков контрольных процедур применяют следующий четырехэтапный подход.
1. Идентификация существующих процедур контроля.
2. Идентификация недостающих ключевых элементов контроля.
3. Выявление потенциальных материально-значимых ошибок.
4. Возможность использования компенсационных процедур контроля.
Проверка эффективности работы системы внутреннего контроля. Элементы системы контроля, идентифицированные контролером при оценке риска, должны быть проверены на предмет эффективности функционирования на протяжении периода, за который проводится проверка.
Для тестирования элементов состояния контроля могут применяться следующие методы контроля:
• опрос персонала организации;
• проверка процесса обработки данных о хозяйственных операциях;
• наблюдение;
• повторение процесса исполнения.
Оценка уровня риска, связанного с функционированием системы контроля, определяет подход к проведению проверки. Чем ниже оценка риска контроля, тем больше количество тестируемых элементов и более детально проверяется каждый элемент.
Рассмотрим примеры подобных тестов.
Использование результатов проверки за предыдущие годы. Если результаты ревизии за предыдущие годы свидетельствуют об эффективности работы основных участков системы контроля, и контролер определил, что в текущем году в систему не были внесены изменения, то он может сократить объем выборки элементов системы контроля, либо использовать одни и те же тесты на протяжении ряда лет, меняя лишь область их приложения.
Сокращение тестируемого периода. В идеале тестирование системы контроля должно охватывать операции и элементы контроля за весь проверяемый период. Однако если это нецелесообразно, контролер должен определить, были ли внесены изменения в систему контроля за период, не включенный в тестируемый, и получить подтверждения, касающиеся характера и степени этих изменений.
Методы контроля, используемые при проведении анализа среды контроля, тестировании конкретных элементов системы контроля и определении их эффективности, в значительной степени совпадают. Но между ними существуют два важных отличия:
1) при проведении анализа среды контроля указанные выше процедуры относятся ко всем элементам системы, определенным в качестве составляющих единого целого. С другой стороны, тестирование процедур контроля применимо к ключевым элементам системы, в отношении которых оцененный риск ниже максимального в случае, когда тесты контроля относятся только к основным участкам контроля, где планируемый уровень риска контроля ниже максимального;
2) анализ среды контроля базируется на рассмотрении единичных проводок либо привязан к определенному временному моменту. Тестирование элементов контроля проводится только на больших выборках операций (от 20 до 100) применительно к нескольким временным интервалам.
При проведении проверки, когда не требуется подробного изучения системы внутреннего контроля, контролер должен ознакомиться с хозяйственными операциями организации и проверить большую выборку документов для определения эффективности работы системы.
Для уточнения программы проверки ревизору необходимо получить достаточное понимание внутренних процедур (средств) контроля в проверяемой организации. При этом ревизору следует учитывать информацию о наличии или отсутствии процедур контроля, полученную в ходе изучения контрольной среды и системы бухгалтерского учета, для определения необходимости дополнительного изучения этих процедур.