Следующий этап планирования аудита – оценка аудитором системы внутреннего контроля.
Надежная и эффективная система внутреннего контроля на предприятии снижает до минимума контрольный риск. Если контрольный риск низкий, то и аудиторский риск будет низким, даже при высоких значениях внутреннего риска и риска необнаружения.
Иными словами, если аудитор убежден, что система внутреннего контроля надежна и эффективна, то возможно осуществлять менее трудоемкие и менее длительные аудиторские процедуры, проводить их менее детально или более выборочно.
Вопросу оценки надежности системы внутреннего контроля посвящено общероссийское правило (стандарт) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом».
В соответствии с данным стандартом система внутреннего контроля – это совокупность организационных мер, методик и действий, применяемых руководством экономического субъекта для успешного и эффективного ведения хозяйственной деятельности и обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой (бухгалтерской) отчетности.
Характер, временные рамки и объем процедур, выполняемых аудитором с целью получения понимания систем бухгалтерского учета и внутреннего контроля, изменяются в зависимости от многих факторов, в том числе от:
а) объема и характера деятельности, территориального расположения, структуры аудиторского лица, а также эффективности его компьютерной системы;
б) соображений, связанных с понятием существенности;
в) применяемых средств внутреннего контроля;
г) формы и содержания документирования аудируемым лицом конкретных средств внутреннего контроля;
д) аудиторской оценки неотъемлемого риска.
Понимание аудитором систем бухгалтерского учета и внутреннего контроля, которое является важным для аудита, как правило, приобретается на основе предыдущего опыта работы с аудируемым лицом и дополняется:
a) запросами к надлежащим представителям руководства, персоналу, выполняющему руководящие и контролирующие функции, и другим сотрудникам на разных уровнях организационной структуры аудируемого лица наряду с использованием документации аудируемого лица (пособия по процедурам внутреннего контроля, описания служебных обязанностей);
б) изучением документов и записей, создаваемых в рамках систем бухгалтерского учета и внутреннего контроля;
в) наблюдением за деятельностью и операциями аудируемого лица, включая наблюдение за организацией компьютерных операций.
Аудитору необходимо понимание системы бухгалтерского учета, достаточное, чтобы определить:
a) основные группы и типы операций, осуществляемых аудируемым лицом;
б) способы инициирования таких операций;
в) основные регистры бухгалтерского учета, методы систематизации и хранения первичных документов и счета бухгалтерского учета, используемые при подготовке финансовой (бухгалтерской) либо иной отчетности;
г) процесс ведения бухгалтерского учета и составления финансовой (бухгалтерской) отчетности от момента инициирования важных операций и прочих событий до момента их включения в финансовую (бухгалтерскую) отчетность.
Аудитору необходимо получить понимание контрольной среды, достаточное для оценки отношения к средствам внутреннего контроля руководства аудируемого лица, его осведомленности и предпринимаемых относительно указанных средств действий, а также их значимости для аудируемого лица.
Для разработки плана аудиторской проверки аудитору необходимо достаточное понимание процедур (средств) контроля. При этом аудитору следует учитывать информацию о наличии или отсутствии процедур контроля, полученную в ходе изучения контрольной среды и системы бухгалтерского учета, для определения необходимости дополнительного изучения этих процедур.
Так как процедуры контроля находятся в тесной взаимосвязи с контрольной средой и системой бухгалтерского учета, некоторые знания относительно данных процедур могут быть приобретены в процессе изучения аудитором контрольной среды и системы бухгалтерского учета. При разработке общего плана аудита не требуется понимания всех процедур контроля.