Документирование и оценка рисков по МСА
МСА требуют от аудитора выявлять и оценивать риски существенного искажения отчетности (п. 2, п. 5 МСА 315):
- на уровне финансовой отчетности в целом
- на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации
Выявленные риски существенного искажения на уровне отчетности и на уровне предпосылок в программе IT Audit приводятся в едином реестре рисков. Риски могут быть выбраны из справочника типовых рисков или внесены аудитором самостоятельно. Риски можно отобрать по различным критериям:
- риск, относящийся к определенной строке отчетности
- уровень риска (риск на уровне отчетности и на уровне предпосылок)
- тип риска (ошибки и недобросовестные действия)
- оценка риска (риск не выявлен, риск незначительный, риск значительный)
Выявленные и оцененные риски выгружаются в рабочий документ аудитора.
Документирование и оценка рисков
Документирование оценки выявленного риска производится в форме Карточка риска.
При документировании риска приводятся предпосылки и факторы риска. По умолчанию данные показатели проставляются автоматически на основании внесенных справочников.
Аудитор устанавливает тип риска согласно п. 6 МСА 315: ошибки или недобросовестные действия.
При оценке риска аудитор приводит Вероятность риска и Размер искажения (приводится в процентах с учетом профессионального суждения). При необходимости приводится влияние факторов риска на анализируемый риск (п. 19 МСА 315). Рассчитывается Неотъемлемый риск.
Приводится информация, выявлен ли риск и является ли анализируемый риск значительным. Требование по оценке значительности риска установлена пп. п 12, п. 22, п. 28, п. 32 МСА 315.
Рассчитывается Риск существенного искажения (РСИ) как функция неотъемлемого риска и риска средств контроля.
Рабочие документы по рискам
В рабочих документах по рискам соблюдаются необходимые требования по документированию и оценке рисков в соответствии с требованиями МСА 315 "Выявление и оценка рисков существенного искажения". Ниже приводится пример одного из документов.
В программе IT Audit по результатам документирования оценки рисков и средств контроля предусмотрены следующие рабочие документы:
- Реестр рисков / Журнал рисков
- Карточка риска (подробная информация по идентификации и оценке риска)
- Реестр средств контроля / Журнал средств контроля
- Карточка средства контроля (подробная информация по документированию средств контроля)
- Надзорная проверка рисков и средств контроля со стороны руководителя задания
- Проверка качества по рискам и средствам контроля со стороны контролера качества
Процедуры проверки по существу в ответ на значительные риски
В программе IT Audit в карточке риска на вкладке Процедуры можно задокументировать процедуры в ответ именно на данный риск. Выбранные процедуры автоматически будет добавлены в план аудита.
В программе IT Audit предусмотрено, что по одному риску может быть запланировано несколько процедур. Одна процедура может быть выполнена и задокументирована по нескольким выявленным рискам.
По результатам документирования процедур в ответ на оцененные риски в программе формируется отчет, в котором содержится:
- Информация о выявленных рисках
- Оценка риска
- Предпосылки
- Процедуры в ответ на оцененные риски
- Вывод по выявленному риску
Выявление и оценка рисков по строке отчетности
В программе IT Audit риски могут быть задокументированы на уровне строк отчетности. В методике программы по рискам предусмотрены соответствующие процедуры (процедуры в ответ на оцененные риски). Это позволяет выбрать процедуры по выявленному риску и сформировать план аудита по проверке разделов аудита (строк отчетности) с учетом оцененных рисков.
Выявление и оценка рисков по видам операций
В программе IT Audit предусмотрено документирование и оценка рисков по видам операций, остаткам по счетам. По одному классу операций (вид операции) может быть идентифицировано несколько рисков.
Реестр выявленных рисков | Карта рисков
Проделанная аудитором работа по выявлению и оценке рисков позволяет сформировать реестр рисков по заданию (Карта рисков).
При необходимости реестр рисков можно сформировать по разделам аудита или отдельным бизнес-процессам - бизнес-риск. Находять на необходимом разделе или бизнес-процессе можно посмотреть и сразу же открыть карточку с подробной информаций о риске.
Ознакомление и оценка средств контроля по выявленным рискам | Тестирование средств контроля
По выявленному риску аудитор может задокументировать применяемые аудируемым лицом средства контроля. Программа позволяет по одному риску внести несколько контролей.
Документирование понимания и оценка средств контроля организации приводится в форме карточка средства контроля.
Для документирования тестирования средства контроля аудитор создает необходимую аудиторскую процедуру и вносит ее на вкладку Процедуры карточки средства контроля. Собранные аудиторские доказательства и выводы относительно операционной эффективности соответствующего средства контроля хранятся в карточке процедуры.
Для выполнения требований п. 10 МСА 330 "Аудиторские процедуры в ответ на оцененные риски" заполняется рабочий документ Тестирование средства контроля.