Понимание деятельности аудируемого лица и среды, в которой она осуществляется, включая систему внутреннего контроля

 

19. Понимание аудитором деятельности аудируемого лица и среды, в которой она осуществляется, заключается в понимании следующих проблем:

отраслевые, правовые и другие внешние факторы, влияющие на деятельность аудируемого лица, включая применяемые способы ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности аудируемого лица;

характер деятельности аудируемого лица, включая выбор и применение учетной политики;

цели и стратегические планы аудируемого лица, связанные с ними риски хозяйственной деятельности, указывающие на возможное существенное искажение финансовой (бухгалтерской) отчетности;

основные показатели деятельности аудируемого лица и тенденции их изменения;

система внутреннего контроля.

Примеры проблем, которые аудитор может рассматривать в процессе ознакомления с деятельностью аудируемого лица и со средой, в которой она осуществляется, приведены в приложении N 1. Элементы системы внутреннего контроля приведены в приложении N 2.

20. Характер, сроки и объем выполняемых процедур оценки риска зависят от масштаба и сложности деятельности аудируемого лица и опыта работы аудитора с аудируемым лицом. Кроме того, выявление значительных изменений в любом из указанных вопросов по сравнению с предшествующими периодами особенно важно для достижения достаточного понимания деятельности аудируемого лица в целях выявления и оценки рисков существенного искажения.

21. Аудитор должен ознакомиться с соответствующими отраслевыми, правовыми и другими внешними факторами, влияющими на деятельность аудируемого лица, включая применяемые способы ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности. Эти факторы включают следующие отраслевые особенности:

а) конкуренция в отрасли;

б) взаимоотношения с поставщиками и покупателями;

в) изменения в технологии производства;

г) экологические требования, оказывающие влияние на отрасль и аудируемое лицо;

д) применяемые способы ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности;

е) требования нормативных правовых актов, в том числе регулирующих сферу деятельности аудируемого лица;

ж) сложившиеся общие экономические условия.

22. Отрасли, в которой осуществляет свою деятельность аудируемое лицо, могут быть присущи конкретные риски возможного существенного искажения информации, связанные с самим характером деятельности или регулирующими ее рамками. В таких случаях в аудиторскую группу должны входить лица, обладающие надлежащими и достаточными знаниями и опытом.

23. Нормативными правовыми актами устанавливаются применимые способы ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности, которые руководство аудируемого лица должно использовать при подготовке финансовой (бухгалтерской) отчетности и которыми руководствуется аудитор. При этом как аудитор, так и аудируемое лицо должны понимать эти способы.

24. Аудитор должен ознакомиться с особенностями деятельности аудируемого лица. Особенности деятельности аудируемого лица определяются осуществляемыми хозяйственными операциями, формой собственности и способом управления, видом финансовых вложений, которые оно осуществляет и намерено осуществить, его структурой и источником финансирования. Понимание особенностей деятельности аудируемого лица позволяет аудитору разобраться в группах однотипных операций, остатках на счетах бухгалтерского учета и раскрытии информации в финансовой (бухгалтерской) отчетности.

25. Аудируемое лицо может иметь сложную структуру, включающую дочерние организации или территориально отдаленные структурные подразделения, что усложняет процесс консолидации финансовой (бухгалтерской) отчетности и может явиться причиной рисков существенного искажения информации.

26. Понимание того, кто является собственниками аудируемого лица и каковы взаимоотношения между собственниками и другими лицами, важно для определения того, выявлены ли и учтены ли надлежащим образом операции со связанными сторонами.

27. Аудитору необходимо обладать знаниями о выбранной и применяемой аудируемым лицом учетной политике, аудитор также должен установить, уместна ли она для деятельности аудируемого лица и согласуется ли со способами ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности. Знания, необходимые аудитору для выполнения аудиторского задания, охватывают также знание:

способов, которые аудируемое лицо использует для учета сложных или необычных операций;

последствий учета хозяйственных операций, в отношении которых существует неопределенность или неоднозначность в силу противоречивости нормативных требований или их отсутствия;

изменений в учетной политике аудируемого лица.

Аудитор должен также выявлять случаи, когда аудируемое лицо впервые применяет требования новых нормативных правовых актов, регулирующих бухгалтерский учет. Если в учетной политике аудируемого лица произошли изменения, то аудитор должен рассмотреть причины изменений, а также установить, являются ли изменения надлежащими и соответствуют ли они установленным способам ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности.

28. Финансовая (бухгалтерская) отчетность, составленная в соответствии с применяемыми способами ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности, должна включать надлежащее раскрытие существенной информации. Эта информация касается форм, структуры представления и содержания финансовой (бухгалтерской) отчетности, примечаний, включая используемую терминологию, уровень детализации, классификацию статей в отчетности и основания для представленных числовых показателей. Аудитор обращает внимание на то, раскрыло ли аудируемое лицо надлежащим образом какую-либо проблему в свете обстоятельств и фактов, о которых аудитору стало известно к моменту проведения аудита.

29. Аудитору необходимо обладать знаниями о целях и стратегических планах аудируемого лица и связанных с ними рисках хозяйственной деятельности, которые могут привести к существенному искажению финансовой (бухгалтерской) отчетности. Деятельность аудируемого лица подвержена влиянию отраслевых, правовых и прочих внутренних и внешних факторов. В условиях воздействия указанных факторов руководство аудируемого лица или представители собственника определяют цели, которые могут быть подготовлены в виде общего плана действий аудируемого лица. Стратегические планы включают в себя подходы, с помощью которых руководство намеревается достичь своих целей. Риски хозяйственной деятельности являются результатом существенных условий, событий, обстоятельств, действия или бездействия, которые могут негативно повлиять на способность аудируемого лица достигать своих целей и реализовывать свои стратегии, или результатом выбора ненадлежащих целей и стратегий. В деятельности аудируемого лица также происходят изменения под воздействием изменений внешней среды и, соответственно, меняются с течением времени стратегические планы и цели.

30. Риск хозяйственной деятельности представляет собой более широкое понятие, чем риск существенного искажения финансовой (бухгалтерской) отчетности. Риск хозяйственной деятельности может возникнуть вследствие каких-либо изменений или возникших сложностей в деятельности, в то же время неспособность распознать необходимость внесения изменения в деятельность может также привести к риску. Изменение в деятельности может произойти, в частности, в результате разработки нового вида продукции, которая может оказаться неудачной, непредсказуемой реакции рынка, даже если разработан удачный вид продукции, а также упущений, которые приведут к возникновению обязательств и риску ухудшения репутации.

Понимание аудитором рисков хозяйственной деятельности аудируемого лица повышает вероятность выявления рисков существенного искажения информации в финансовой (бухгалтерской) отчетности. Однако в обязанность аудитора не входит выявление и оценка всех рисков хозяйственной деятельности.

31. Большинство рисков хозяйственной деятельности будут с большой вероятностью иметь финансовые последствия и, следовательно, оказывать влияние на финансовую (бухгалтерскую) отчетность, хотя не все риски хозяйственной деятельности обязательно ведут к рискам ее существенного искажения. Следствием риска хозяйственной деятельности может стать риск существенного искажения однотипных операций, остатков по счетам бухгалтерского учета и случаев раскрытия информации на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности и финансовой (бухгалтерской) отчетности в целом.

Риск хозяйственной деятельности, обусловленный сокращением числа клиентов, возникшим в результате произошедших слияний организаций отрасли, может повысить риск искажения оценки дебиторской задолженности. Однако тот же самый риск в сочетании со снижением спроса (потребностей рынка) может привести к более серьезным последствиям - риску непрерывности деятельности аудируемого лица. Суждение аудитора о том, может ли риск хозяйственной деятельности привести к существенному искажению отчетности, выносится с учетом знания аудитором обстоятельств, в которых находится аудируемое лицо. Примеры условий и событий, которые могут указывать на риски существенного искажения информации, приведены в приложении N 3.

32. Выявление рисков хозяйственной деятельности руководством аудируемого лица и разработка подходов для их устранения является частью системы внутреннего контроля.

33. Аудируемые лица, относящиеся к субъектам малого предпринимательства, как правило, не устанавливают долгосрочных целей и не разрабатывают стратегических планов, а управляют рисками с помощью конкретных действий или процедур. Во многих случаях у аудируемого лица может не быть документации, касающейся подобных вопросов. В таких случаях аудитор обычно получает сведения из письменных заявлений и разъяснений, запрашиваемых у руководства аудируемого лица, и наблюдения за тем, как руководство аудируемого лица реагирует на такие проблемы.

34. Аудитор должен ознакомиться с оценкой и анализом финансовых результатов деятельности аудируемого лица. Финансовые результаты деятельности аудируемого лица и их анализ помогают аудитору распознать области деятельности аудируемого лица, которые руководство и другие сотрудники считают важными. Ознакомление аудитора с оценками финансовых результатов деятельности аудируемого лица дает возможность понять, может ли воздействие этих оценок привести к таким действиям руководства, которые увеличивают риски существенного искажения информации.

35. Оценку финансовых результатов деятельности аудируемого лица и их анализ, осуществляемые руководством аудируемого лица, следует отличать от действий руководства, связанных с мониторингом эффективности средств контроля, хотя их цели могут частично совпадать. Регулярное наблюдение за адекватностью и операционной эффективностью средств контроля посредством анализа информации об их функционировании в первую очередь направлено на обеспечение эффективной работы системы внутреннего контроля. В то же время оценка финансовых результатов деятельности и их анализ имеют целью определить, отвечают ли результаты деятельности целям, поставленным руководством (или третьей стороной). Тем не менее в некоторых случаях показатели результатов деятельности также содержат информацию, которая дает возможность руководству выявить недостатки системы внутреннего контроля.

36. Учетные данные для управленческих целей, формируемые аудируемым лицом, могут содержать:

ключевые показатели результатов деятельности (финансовые и нефинансовые);

сметы;

анализ различных вариантов развития деятельности;

информацию по сегментам деятельности;

отчетность отделов или иных подразделений разного уровня;

информацию, содержащую сравнительный анализ результатов деятельности аудируемого лица с аналогичными показателями конкурентов.

Может существовать информация об оценке финансовых результатов деятельности аудируемого лица, произведенная сторонними лицами, в частности аналитические материалы и отчеты, подготовленные банками и участниками рынка ценных бумаг, которые могут содержать информацию, полезную для аудитора с точки зрения понимания деятельности аудируемого лица и среды, в которой она осуществляется. Такие материалы аудитору следует попытаться получить непосредственно от аудируемого лица.

37. Внутренние оценки могут выявить неожиданные результаты или тенденции, в связи с которыми аудитору может потребоваться получение у руководства аудируемого лица соответствующих разъяснений для выяснения причины таких результатов и тенденций и осуществления соответствующих действий (включая в некоторых случаях выявление и своевременное исправление искажений информации в финансовой (бухгалтерской) отчетности). Оценка финансовых результатов деятельности аудируемого лица может также указать аудитору на риск искажения соответствующей информации в финансовой (бухгалтерской) отчетности.

Показатели оценки результатов деятельности, в частности, могут указывать на то, что у аудируемого лица наблюдается необычно быстрое развитие или значительный рост прибыли по сравнению с аналогичными показателями других хозяйствующих субъектов в той же отрасли. Такая информация в сочетании с другими факторами, такими, как премиальные выплаты, размер которых зависит от показателей финансовых результатов деятельности аудируемого лица, или стимулирующие выплаты, может свидетельствовать о возможном риске негативного воздействия руководства на процесс подготовки финансовой (бухгалтерской) отчетности.

38. Значительный объем информации, используемой для оценки финансовых результатов деятельности аудируемого лица, может быть получен из информационных систем аудируемого лица. Если руководство аудируемого лица допускает, что исходные данные, используемые для оценки результатов деятельности, являются точными, не имея достаточных на то оснований, то в случае наличия в этой информации ошибок руководство аудируемого лица может прийти к неправильным выводам о результатах деятельности аудируемого лица. Если аудитор предполагает использовать оценки финансовых результатов деятельности аудируемого лица в целях аудита (при выполнении аналитических процедур), то аудитор должен убедиться в надежности и достаточности информации, на основании которой руководство аудируемого лица осуществляло оценку. Используя оценки финансовых результатов деятельности, аудитор также устанавливает, являются ли они достаточно точными, чтобы на их основании делать выводы о возможных существенных искажениях.

39. Аудируемые лица, относящиеся к субъектам малого предпринимательства, как правило, не имеют установленного порядка проведения процедур по оценке и анализу финансовых результатов деятельности. Тем не менее руководство таких субъектов, как правило, полагается на некоторые ключевые показатели, которые, исходя из опыта и знания деятельности, являются надежной базой для оценки финансовых результатов деятельности и принятия надлежащих действий.

40. Аудитор должен обладать знаниями о системе внутреннего контроля, необходимыми для проведения аудита, и использовать их для выявления возможных искажений при рассмотрении факторов, которые оказывают влияние на риски существенного искажения информации, и при планировании характера, сроков и объема дальнейших аудиторских процедур.

41. Система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Это означает, что организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению любой из этих целей.

42. Система внутреннего контроля включает следующие элементы:

контрольная среда;

процесс оценки рисков аудируемым лицом;

информационная система, в том числе связанная с подготовкой финансовой (бухгалтерской) отчетности;

контрольные действия;

мониторинг средств контроля.

Описание элементов системы внутреннего контроля приведено в приложении N 2.

43. Разделение системы внутреннего контроля на 5 элементов предоставляет аудиторам удобный подход для анализа того, каким образом различные элементы системы внутреннего контроля аудируемого лица могут влиять на аудит. Такой подход необязательно отражает то, каким образом аудируемое лицо организовало и применяет систему внутреннего контроля. Аудитору важно установить, что конкретные средства контроля эффективно предотвращают или выявляют и устраняют существенные искажения на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности в группах однотипных операций, остатках по счетам бухгалтерского учета или случаях раскрытия информации. Аудитор может использовать иную терминологию и подходы при рассмотрении системы внутреннего контроля и для описания разных элементов системы внутреннего контроля и их влияния на аудит при условии, что в ходе аудита будут рассмотрены все элементы, указанные в настоящем правиле (стандарте).

44. Порядок организации и функционирования системы внутреннего контроля зависит от размеров и сложности структуры аудируемого лица. В частности, аудируемые лица, относящиеся к субъектам малого предпринимательства, могут использовать в меньшей степени формализованные средства контроля, заменяя их более простыми процессами и процедурами для достижения своих целей.

Аудируемые лица, относящиеся к субъектам малого предпринимательства, в которых руководство активно участвует в процессе составления финансовой (бухгалтерской) отчетности, могут и не иметь подробных описаний учетных процедур или детально составленной учетной политики. У некоторых аудируемых лиц, в частности относящихся к субъектам малого предпринимательства, собственник и руководитель может являться одним лицом и выполнять функции, которые в аудируемом лице более крупного размера считаются относящимися к нескольким элементам системы внутреннего контроля. Поэтому внутри аудируемых лиц, относящихся к субъектам малого предпринимательства, нет четкой границы между элементами системы внутреннего контроля, однако их основные цели совпадают с целями аудируемых лиц более крупного размера.

45. Между целями аудируемого лица и средствами контроля, которые оно применяет для того, чтобы обеспечить разумную уверенность в их достижении, существует прямая связь. Цели аудируемого лица и его средства контроля связаны с финансовой (бухгалтерской) отчетностью, хозяйственными операциями и соблюдением законодательства Российской Федерации, однако не все эти цели и средства контроля имеют отношение к оценке аудиторских рисков.

46. Как правило, средства контроля, которые являются уместными для целей аудита, имеют отношение к подготовке аудируемым лицом финансовой (бухгалтерской) отчетности для внешних пользователей, которая дает достоверное во всех существенных отношениях представление, соответствующее применяемым принципам и методам ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности. Средства контроля влияют на риски существенного искажения этой финансовой (бухгалтерской) отчетности. В соответствии с требованиями настоящего правила (стандарта) предметом профессионального суждения аудитора является вопрос о том, относится ли данное средство контроля в отдельности или в сочетании с другими средствами к целям аудита в части оценки рисков существенного искажения информации и в части планирования и выполнения дальнейших процедур в соответствии с оцененными рисками. Вынося такое суждение, аудитор учитывает конкретные обстоятельства, применяемый элемент контроля и следующие факторы:

а) суждение аудитора о существенности искажения финансовой (бухгалтерской) отчетности;

б) размер и сложная структура аудируемого лица;

в) характер деятельности аудируемого лица, включая особенности его организационной структуры и формы собственности;

г) степень многообразия и сложность хозяйственных операций аудируемого лица;

д) применяемые требования нормативных правовых актов;

е) характер и сложность информационных систем, которые являются частью системы внутреннего контроля аудируемого лица, включая использование услуг обслуживающих организаций.

47. Применяемые аудируемым лицом средства контроля за полнотой и точностью формируемой им информации могут также иметь отношение к целям аудита, если аудитор намерен использовать эту информацию при планировании и выполнении дальнейших аудиторских процедур. Предыдущий опыт аудитора, касающийся аудируемого лица, и информация, полученная при ознакомлении с его деятельностью и средой и в ходе проведения аудита, помогают аудитору в выявлении средств контроля, имеющих отношение к целям аудита.

Хотя внутренний контроль применяется ко всей организации и к любому ее подразделению или группе хозяйственных операций, понимание аудитором средства внутреннего контроля, относящегося к каждому подразделению или группе хозяйственных операций, может не потребоваться.

48. Средства контроля за хозяйственными операциями и соблюдением целей деятельности могут быть актуальными и полезными для аудита, если они имеют отношение к исходным данным, которые аудитор оценивает или использует при выполнении аудиторских процедур.

Примером являются средства контроля, относящиеся к нефинансовым показателям, используемым аудитором в аналитических процедурах, таким, как данные об объемах продаж (статистика продаж). Другим примером являются средства контроля за соблюдением соответствия подготовки финансовой (бухгалтерской) отчетности требованиям нормативных правовых актов, которые могут иметь непосредственное и существенное влияние на финансовую (бухгалтерскую) отчетность (в частности, средства контроля за соблюдением законодательства Российской Федерации, относящегося к расчетам и начислению налога на прибыль) и которые могут быть актуальными для целей аудита.

49. Часто аудируемое лицо применяет средства контроля в целях, которые могут и не иметь отношения к целям аудита, в этом случае в рассмотрении их аудитором нет необходимости.

В частности, аудируемое лицо может полагаться на сложную систему автоматизированных средств контроля для обеспечения выполнения хозяйственных операций и эффективного использования ресурсов (например, автоматизированная система средств контроля коммерческой авиалинии за соблюдением графика полетов), такие средства контроля не являются актуальными и полезными для целей аудита.

50. Система внутреннего контроля за защитой активов от несанкционированного приобретения, использования или распоряжения ими может включать средства контроля, относящиеся к финансовой (бухгалтерской) отчетности и целям хозяйственных операций. При ознакомлении с каждым из элементов такой системы внутреннего контроля рассмотрение аудитором средств защиты активов обычно ограничивается теми из них, целью которых является обеспечение достоверности финансовой (бухгалтерской) отчетности.

В частности, использование таких средств контроля, как пароли, ограничивающие доступ к исходным данным и программам, в которых обрабатываются выплаты денежных средств, может быть актуальным и полезным для целей аудита финансовой (бухгалтерской) отчетности. Напротив, средства контроля, предотвращающие перерасход материалов в производстве, как правило, не актуальны для целей аудита финансовой (бухгалтерской) отчетности.

51. Средства контроля, имеющие отношение к целям аудита, могут функционировать в рамках любого элемента системы внутреннего контроля.

52. Понимание аудитором системы внутреннего контроля аудируемого лица подразумевает осуществляемую аудитором оценку адекватности организации средств контроля и установление факта их применения. Оценка адекватности организации средства контроля включает рассмотрение способности средства контроля в отдельности или в сочетании с другими средствами контроля эффективно предотвращать или обнаруживать и исправлять существенные искажения. Под применением средства контроля подразумевается, что средство контроля существует и аудируемое лицо использует его. Аудитор знакомится с организацией средства контроля и решает, следует ли рассматривать, применялось ли такое средство контроля. Ненадлежащим образом организованное средство контроля может свидетельствовать о существенном недостатке системы внутреннего контроля аудируемого лица, и аудитор решает, следует ли обсуждать этот вопрос с представителями собственника.

53. Процедуры оценки риска с целью получения аудиторских доказательств относительно организации и применения уместных средств контроля могут включать получение информации от сотрудников аудируемого лица, наблюдение за функционированием конкретных средств контроля, проверку документов и отчетов, а также прослеживание отражения хозяйственных операций в информационных системах, имеющих отношение к подготовке финансовой (бухгалтерской) отчетности. Для оценки надлежащей организации средства контроля, имеющего отношение к целям аудита, и определения того, применялось ли такое средство контроля, составление аудитором одних только запросов не будет являться достаточным.

54. Понимание средств контроля аудируемого лица не является достаточным без тестирования системы эффективности средств контроля, если только в системе внутреннего контроля нет какого-то автоматического механизма, который обеспечивал бы постоянное функционирование системы контроля.

Получение аудиторского доказательства о факте единичного применения средства контроля, выполняемого вручную, не является аудиторским доказательством эффективности системы этого средства контроля в течение всего аудируемого периода. Однако информационные системы, позволяя аудируемому лицу постоянно обрабатывать значительные объемы информации, тем самым расширяют его возможности осуществления мониторинга выполнения контрольных действий и достижения эффективного разграничения обязанностей посредством применения средств контроля за надежностью применяемых программ, баз данных и операционных систем. Поэтому вследствие устойчивости, присущей компьютеризированной системе обработки информации, выполнение аудиторских процедур, целью которых является определение, применялся ли автоматизированный контроль, может служить свидетельством эффективности системы такого средства контроля при условии, что в программы не были внесены изменения.

55. Большинство аудируемых лиц использует компьютеризированные информационные системы для составления финансовой (бухгалтерской) отчетности и отчетов для управленческих целей. Однако даже при широком применении информационных технологий в системах внутреннего контроля будут существовать элементы, выполняемые вручную. Соотношение между автоматизированными и выполняемыми вручную элементами бывает различным. В некоторых случаях у аудируемых лиц, относящихся к субъектам малого предпринимательства, системы внутреннего контроля в основном реализуются вручную. В других случаях у аналогичных по деятельности аудируемых лиц масштабы автоматизации могут варьироваться от систем со значительной автоматизацией и небольшим объемом элементов, выполняемых вручную, до систем с преобладанием автоматизированных элементов. Таким образом, система внутреннего контроля аудируемого лица включает и автоматизированные и выполняемые вручную элементы системы внутреннего контроля, характеристики которых актуальны и полезны при аудиторской оценке рисков и выполнении дальнейших аудиторских процедур.

56. Использование автоматизированных или осуществляемых вручную средств внутреннего контроля влияет на то, каким образом хозяйственные операции инициируются, регистрируются, обрабатываются и включаются в финансовую (бухгалтерскую) отчетность. Средства контроля, осуществляемые вручную, могут включать такие процедуры, как контроль за санкционированием и выполнением операций, а также сверка и рассмотрение связанных статей. Чтобы инициировать хозяйственную операцию, отразить ее в учете, обработать и отчитаться по ней, аудируемое лицо может использовать в качестве альтернативы автоматизированные процедуры. В этом случае регистрация в электронном виде является аналогом таких документов на бумажных носителях, как заказы на поставку, счета, отгрузочные документы и относящиеся к ним бухгалтерские записи. Средства контроля за информационными системами состоят из сочетания автоматизированных средств контроля (например, средства контроля, встроенные в компьютерные программы) и средств контроля, осуществляемых вручную. Средства контроля, осуществляемые вручную, могут быть независимыми от информационных систем и использовать информацию, получаемую из этих систем, или их функции могут быть ограничены мониторингом эффективного функционирования информационных систем и средств автоматизированного контроля. В случаях, когда информационные системы используются для того, чтобы инициировать хозяйственные операции и другие исходные финансовые данные, отражать их в учете, обрабатывать и включать в финансовую (бухгалтерскую) отчетность, эти системы и программы могут включать в себя средства контроля в отношении связанных с ними предпосылок подготовки финансовой (бухгалтерской) отчетности на уровне существенных счетов бухгалтерского учета или играть важную роль в отношении эффективного функционирования средств контроля, осуществляемых вручную, зависящих от информационных систем. Сочетание автоматизированных средств контроля и средств контроля, осуществляемых вручную, варьируется в зависимости от характера и сложности используемых аудируемым лицом информационных систем.

57. В целом информационные системы обеспечивают системе внутреннего контроля аудируемого лица потенциальное преимущество в результативности и эффективности, поскольку они позволяют аудируемому лицу:

а) последовательно применять заранее установленные правила деятельности и выполнять сложные расчеты при обработке больших объемов хозяйственных операций или исходных данных;

б) увеличить временные рамки, доступность и точность информации;

в) способствовать дополнительному анализу информации;

г) расширить возможности мониторинга осуществления деятельности аудируемого лица, его политики и процедур;

д) сократить риск того, что средства контроля могут быть обойдены;

е) расширить возможности эффективного разграничения обязанностей путем введения средств контроля защиты применяемых программ, баз данных и операционных систем.

58. Информационные системы создают определенные риски для системы внутреннего контроля аудируемого лица, включая следующие:

а) приходится полагаться на системы или программы, которые могут неточно обрабатывать данные, обрабатывать неточные данные либо делать то и другое одновременно;

б) возможен несанкционированный доступ к исходным данным, что может привести к уничтожению данных или их ненадлежащим модификациям, включая отражение в бухгалтерском учете несанкционированных или несуществующих хозяйственных операций либо неточное отражение в бухгалтерском учете данных о них (такие риски могут возникнуть там, где к общей базе данных имеет доступ большое количество пользователей);

в) возможно получение персоналом, отвечающим за функционирование информационных систем, более расширенного доступа сверх того, который необходим ему для выполнения возложенных на него обязанностей, что может повлечь нарушение установленного порядка разграничения обязанностей;

г) возможно внесение несанкционированных модификаций в основные файлы баз данных, компьютерные системы или программы;

д) неспособность произвести модификации в системах или программах, когда это действительно необходимо;

е) неуместное стороннее вмешательство;

ж) потенциальная возможность потери информации.

59. Использование средств контроля, осуществляемого вручную, может быть более предпочтительным в том случае, когда требуется проявить суждение и свободу выбора в следующих случаях:

а) крупные, необычные или неповторяющиеся операции;

б) обстоятельства, при которых сложно выявить, предположить или предсказать ошибки;

в) изменение обстоятельств, которое требует реакции средств контроля, отсутствующих в сфере существующего автоматизированного контроля;

г) при мониторинге эффективности средств автоматизированного контроля.

60. Средства контроля, реализуемого вручную, содержат определенные риски для системы внутреннего контроля вследствие наличия рисков, связанных с человеческим фактором. Они могут быть менее надежными, чем средства автоматизированного контроля, поскольку могут быть более легко обойдены, проигнорированы или быть подвержены внешнему вмешательству, в том числе ошибкам и искажениям. Вследствие этого нельзя полагаться на стабильность применяемых средств контроля, реализуемого вручную, которые оказываются менее пригодными:

а) при большом объеме или повторяемости операций или в ситуациях, при которых ожидаемые или прогнозируемые ошибки могут быть эффективно предотвращены или обнаружены именно с помощью средств автоматизированного контроля;

б) для контрольных действий, при осуществлении которых могут быть разработаны специальные автоматизированные средства контроля.

61. Масштаб и характер рисков системы внутреннего контроля меняются в зависимости от типа и характеристик информационных систем аудируемого лица. Поэтому при ознакомлении с системой внутреннего контроля аудитор обращает внимание на то, реагировало ли аудируемое лицо адекватно на риски, возникающие при использовании информационных систем или систем, реализуемых вручную, путем создания эффективных средств контроля.

62. Система внутреннего контроля может только в разумных пределах обеспечить аудируемому лицу уверенность в достижении им целей при составлении финансовой (бухгалтерской) отчетности в силу влияния ограничений, присущих системе внутреннего контроля. Также ограничения обусловлены тем, что суждение человека при принятии решения может оказаться ошибочным и что в системе внутреннего контроля могут возникнуть сбои вследствие человеческого фактора, выразившиеся в виде простых ошибок и искажений.

В случае если сотрудники, работающие с информационными системами аудируемого лица, не полностью понимают, каким образом система ввода заказа обрабатывает операции по продажам, эти сотрудники могут в целях обработки продаж новых видов продукции разработать ошибочные изменения системы ввода заказа. С другой стороны, необходимые изменения системы ввода заказа могут быть разработаны правильно, но они могут быть не понятны лицам, которые осуществляют перевод этих изменений на язык компьютерной программы. Ошибки могут возникнуть и при использовании информации, сформированной информационными системами. Средства автоматизированного контроля могут быть организованы так, чтобы привлекать специальным сообщением внимание руководящих сотрудников об имевших место определенных операциях на сумму, превышающую некоторое предельное значение, а руководящие сотрудники могут не понят