Международный стандарт аудита 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения"
____________________________________________________________________
Утратил силу с 12 февраля 2019 года на основании
приказа Минфина России от 9 января 2019 года N 2н
____________________________________________________________________
Международный стандарт аудита (МСА) 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения" следует рассматривать вместе с МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита". |
1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по выявлению и оценке рисков существенного искажения финансовой отчетности посредством изучения организации и ее окружения, включая систему внутреннего контроля организации.
2. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, заканчивающиеся 15 декабря 2013 года или после этой даты.
3. Цель аудитора состоит в том, чтобы выявить и оценить риски существенного искажения, как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок, посредством изучения организации и ее окружения, включая систему внутреннего контроля организации, таким образом обеспечивая основу для разработки и осуществления аудиторских процедур в ответ на оцененные риски существенного искажения.
4. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:
(a) предпосылки - заявления руководства, сделанные в явной или иной форме, которые включены в финансовую отчетность и используются практикующим специалистом для рассмотрения различных типов потенциально возможных искажений;
(b) бизнес-риск - риск, возникающий в результате значительных условий, событий, обстоятельств, действий или бездействия, которые могут оказать негативное влияние на способность организации достичь поставленных целей и реализовать свою стратегию, или возникающий в результате установления ненадлежащих целей и стратегии;
(c) система внутреннего контроля - процессы, разработанные, внедренные и поддерживаемые лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками организации для обеспечения разумной уверенности в отношении достижения целей организации в области подготовки надежной финансовой отчетности, результативности и эффективности деятельности и соблюдения применимых законов и нормативных актов. Термин "средства контроля" относится к любым аспектам одного или нескольких компонентов системы внутреннего контроля;
(d) процедуры оценки рисков - процедуры, проводимые с целью получения понимания организации и ее окружения, включая систему внутреннего контроля организации, направленные на выявление и оценку рисков существенного искажения, как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок;
(e) значительный риск - выявленный и оцененный риск существенного искажения, который, согласно суждению аудитора, требует особого рассмотрения при аудите.
5. Аудитор должен выполнить процедуры оценки рисков для того, чтобы создать основу для выявления и оценки рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок. Процедуры оценки рисков, однако, сами по себе не обеспечивают достаточных надлежащих аудиторских доказательств, на основе которых может быть сформировано аудиторское мнение (см. пункты А1-А5).
6. Процедуры оценки рисков должны включать следующее:
(a) направление запросов руководству, соответствующим сотрудникам службы внутреннего аудита (при наличии), а также прочим лицам в организации, которые, по мнению аудитора, могут владеть информацией, способствующей выявлению рисков существенного искажения вследствие недобросовестных действий или ошибки (см. пункты А6-А13);
(b) аналитические процедуры (см. пункты А14-А17);
(c) наблюдение и инспектирование (см. пункт А18).
7. Аудитор должен рассмотреть вопрос, является ли значимой для выявления рисков существенного искажения информация, полученная при выполнении аудитором процедуры принятия или продолжения отношений с клиентом.
8. Если руководитель задания выполнял другие задания для организации, то он должен рассмотреть, является ли полученная им информация значимой для выявления рисков существенного искажения.
9. В тех случаях, когда аудитор планирует использовать информацию, полученную из предыдущего опыта его работы с организацией и аудиторских процедур, выполненных в ходе предыдущих аудиторских заданий, он должен установить, произошли ли какие-либо изменения со времени проведения предыдущего задания, которые могут повлиять на применимость такой информации для текущего аудита (см. пункты А19-А20).
10. Руководитель задания и другие ключевые члены аудиторской группы должны обсудить степень подверженности финансовой отчетности организации существенному искажению и использование применимой концепции подготовки финансовой отчетности к фактам и обстоятельствам организации. Руководитель задания должен определить, какие вопросы должны быть доведены до сведения членов аудиторской группы, которые не участвовали в обсуждении (см. пункты А21-А23).
Организация и ее окружение
11. Аудитор должен получить понимание следующих вопросов:
(a) соответствующие отраслевые и регуляторные факторы и прочие внешние факторы, включая применимую концепцию подготовки финансовой отчетности (см. пункты А24-А29);
(b) характер организации, включая:
(i) ее операционную деятельность;
(ii) ее структуру собственности и корпоративного управления;
(iii) виды инвестиций, которые организация осуществляет и планирует осуществлять, включая инвестиции в организации специального назначения;
(iv) структуру организации и способы ее финансирования,
которые дадут возможность аудитору понять виды операций, остатки по счетам и раскрытие информации, которые ожидаются в финансовой отчетности (см. пункты А30-А34):
(c) выбор и применение организацией учетной политики, включая обоснование вносимых в нее изменений. Аудитор должен оценить, соответствует ли учетная политика организации ее деятельности и применимой концепции подготовки финансовой отчетности, а также учетной политике, используемой в соответствующей отрасли (см. пункт А35);
(d) цели и стратегии организации, а также связанные с ними бизнес-риски, которые могут привести к рискам существенного искажения (см. пункты А36-А42);
(e) оценка и анализ финансовых результатов деятельности организации (см. пункты А43-А48).
Система внутреннего контроля организации
12. Аудитор должен получить понимание системы внутреннего контроля организации в части, значимой для проведения аудита. Несмотря на то, что большинство средств контроля, которые являются значимыми для аудита, как правило, связаны с финансовой отчетностью, не все средства контроля, связанные с финансовой отчетностью, являются значимыми для аудита. Вопрос о том, является ли средство контроля в отдельности или в сочетании с другими значимым для проводимого аудита, представляет собой предмет применения профессионального суждения аудитора (см. пункты А49-А72).
Характер и объем понимания соответствующих средств контроля
13. При получении понимания значимых для проводимого аудита средств контроля аудитор должен проанализировать их структуру и с помощью дополнительных процедур, помимо направления запросов персоналу организации, установить, внедрены ли они на практике (см. пункты А73-А75).
Компоненты системы внутреннего контроля
Контрольная среда
14. Аудитор должен получить понимание контрольной среды. В ходе получения такого понимания контрольной среды аудитор должен оценить:
(a) была ли создана и поддерживается ли руководством под надзором лиц, отвечающих за корпоративное управление, культура честности и этического поведения;
(b) обеспечивают ли сильные стороны элементов контрольной среды в совокупности надлежащую основу для других компонентов внутреннего контроля, а также не оказывают ли недостатки контрольной среды негативного влияния на другие компоненты внутреннего контроля (см. пункты А76-А86).
Процесс оценки рисков в организации
15. Аудитор должен получить понимание того, осуществляются ли в организации следующие процессы:
(a) выявление бизнес-рисков, значимых для целей финансовой отчетности;
(b) оценка значительности рисков;
(c) оценка вероятности возникновения рисков;
(d) принятие решений о мерах по снижению таких рисков (см. пункт А87).
16. Если в организации применяется такой процесс (далее по тексту он называется "процессом оценки рисков организации"), аудитор должен достичь понимания как самого процесса, так и результатов его применения. Если аудитор выявляет риски существенного искажения, которые не смогло выявить руководство, он должен оценить, нет ли в основе этих рисков такого типа риска, который, согласно ожиданиям аудитора, должен был быть выявлен процессом оценки рисков организации. Если такой риск существует, аудитор должен получить понимание того, почему он не был выявлен в процессе оценки рисков, и оценить, соответствуют ли процессы обстоятельствам, или определить, имеются ли в организации значительные недостатки в системе внутреннего контроля в части процесса оценки рисков.
17. Если такой процесс в организации не осуществляется или применяется в отношении отдельного случая, аудитор должен обсудить с руководством вопрос о том, были ли выявлены бизнес-риски, являющиеся значимыми для целей финансовой отчетности, и какие меры приняты по их устранению. Аудитор должен оценить, является ли отсутствие документально оформленного процесса оценки риска надлежащим в данных обстоятельствах или это является значительным недостатком системы внутреннего контроля (см. пункт А88).
Информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие
18. Аудитор должен получить понимание информационной системы, включая соответствующие бизнес-процессы, относящиеся к подготовке финансовой отчетности, в том числе следующих аспектов:
(a) виды операций в рамках деятельности организации, являющиеся значительными для финансовой отчетности;
(b) процедуры, как в системе с применением информационных технологий (ИТ), так в системе ручной обработки данных, с помощью которых такие операции инициируются, записываются, обрабатываются и по мере необходимости корректируются, переносятся в основной регистр и отражаются в финансовой отчетности;
(c) соответствующие данные бухгалтерского учета, подтверждающая информация и конкретные счета, которые используются для инициирования, учета, обработки и отражения в финансовой отчетности; в том числе исправление ошибочных данных и способы переноса информации в основной регистр. Записи могут выполняться как вручную, так и в электронном формате;
(d) то, каким образом информационная система фиксирует события и условия, помимо операций, которые являются значимыми для финансовой отчетности;
(e) процесс подготовки финансовой отчетности, в том числе значительные оценочные значения и раскрытия информации;
(f) средства контроля в отношении бухгалтерских записей, включая нестандартные бухгалтерские записи, применяемые для учета разовых, необычных операций или корректировок (см. пункты А89-А93).
19. Аудитор должен получить понимание того, каким образом организация сообщает информацию о функциях и обязанностях при подготовке финансовой отчетности, а также о значимых вопросах, связанных с финансовой отчетностью, включая следующие (см. пункты А94-А95):
(a) информационное взаимодействие с руководством и лицами, отвечающими за корпоративное управление;
(b) сообщение информации третьим сторонам, например, регулирующим органам.
Контрольные действия, значимые для проводимого аудита
20. Аудитор должен получить понимание тех контрольных действий, значимых для проводимого аудита, которые, по мнению аудитора, необходимо изучить, чтобы оценить риски существенного искажения на уровне предпосылок и разработать дальнейшие аудиторские процедуры в ответ на оцененные риски. Для проведения аудита не требуется изучение всех контрольных действий, связанных с каждым значительным видом операций, остатком по счету и раскрытием в финансовой отчетности или с каждой соответствующей предпосылкой (см. пункты А96-А102).
21. При изучении контрольных действий в организации аудитор должен получить понимание того, каким образом организация отвечает на риски, возникающие вследствие использования ИТ (см. пункты А103-А105).
Мониторинг средств контроля
22. Аудитор должен получить понимание основных действий, которые используются организацией для мониторинга внутреннего контроля за финансовой отчетностью, включая те действия, которые относятся к контрольным, значимым для аудита, а также понимания порядка инициирования действий по устранению недостатков в средствах контроля организации (см. пункты А106-А108).