Риск средств контроля должен быть соответствующим образом задокументирован. В документации должно быть отражено понимание системы бухгалтерского учета и СВК, а также оценка риска средств контроля. Методы документирования аудитор выбирает по своему усмотрению. Это могут быть: описание, различные вопросники, схемы и т. д.
Тесты средств контроля должны быть направлены на выявление действенности СВК в системе бухгалтерского учета. К тестам могут относиться различные запросы и наблюдения. Чем ниже оценка риска средств контроля, тем больше нужно получить подтверждений по структуре системы контроля и системе бухгалтерского учета.
Окончательная оценка риска средств контроля должна быть подтверждена на основании процедур проверки по существу и других доказательств.
Между неотъемлемым риском и риском средств контроля существует тесная прямая связь. Как правило, это связано с тем, что мероприятия руководства, направленные на снижение неотъемлемого риска, приводят к усилению контрольной среды и уменьшают риск средств контроля. В этих случаях оценка аудиторского риска, как правило, производится комбинированно.
В отличие от первых двух видов аудиторского риска риск необнаружения прямо связан с аудиторскими процедурами проверки по существу. Особенностью риска необнаружения является то, что он может сохраняться, даже если проверены все 100 % сальдо счетов.
Связь между риском необнаружения и первыми двумя видами рисков обратная. При высоком неотъемлемом риске и риске средств контроля риск необнаружения должен быть низким. Это позволяет снизить АР до низкого уровня.
Если неотъемлемый риск и риск средств контроля на низком уровне, то аудитор может повысить риск необнаружения, что также может привести к снижению аудиторского риска.
Оценка компонентов аудиторского риска может изменяться в ходе проверки. При этом необходимо вносить соответствующие корректировки в программу проверки в части состава аудиторских процедур.
При оценке аудиторского риска следует руководствоваться МСА 400 «Оценка рисков и внутренний контроль» и на основании имеющихся ограничений надежности СВК и бухгалтерского учета полагаться не на систему внутреннего контроля, а на проведение аудиторских процедур по существу.
30. ОСОБЕННОСТИ ОЦЕНКИ АУДИТОРСКОГО РИСКА В СРЕДЕ КОМПЬЮТЕРНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ
При проведении аудита в условиях использования компьютера оценка аудиторского риска усложняется. Для установления стандартов и предоставления руководства в отношении процедур, которые надо соблюдать при аудите в среде компьютерных информационных систем (КИС), аудитор должен применять рекомендации МСА 401 «Аудит в среде компьютерных информационных систем».
В ходе проверки аудитор должен определить, как КИС влияет на аудит. Это влияние может сказаться на: аудиторских процедурах и понимании аудитором системы бухгалтерского учета и СВК; на рассмотрении и оценке неотъемлемого риска и риска средств контроля; на разработке и осуществлении тестов средств контроля и процедур проверки по существу.
В ходе проверки аудитор не обязательно непосредственно сам должен обладать соответствующими квалификацией и умением в области компьютерных технологий. Для этого могут привлекаться работники аудиторской фирмы или профессионалы со стороны. В этом случае работа такого специалиста должна оцениваться как работа эксперта, которая должна регулироваться МСА 620 «Использование работы эксперта».
При планировании тех этапов проверки, на которые может повлиять среда КИС, аудитор должен иметь представление о значимости и сложности функционирования КИС. Термины значимость и сложность связаны с существенностью предпосылок подготовки финансовой отчетности, с объемом выполняемых операций и т. д.
В тех случаях, когда КИС играет значительную роль в ходе проверки, аудитор должен получить представление о среде КИС и о возможности ее влияния на характеристики внутреннего контроля в среде КИС. В этой связи необходимо обратить внимание на специфику формирования прикладных компьютерных программ и систем; на ошибки программирования; на отсутствие в среде КИС разделения контрольных функций; на наличие возможных ошибок в ходе обслуживания и эксплуатации КИС.