Приложение N 11
к приказу Министерства финансов
Российской Федерации
от 9 января 2019 года N 2н

Международный стандарт аудита 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения"

____________________________________________________________________
Утратил силу с 7 января 2022 года в связи
с введением в действие на территории Российской Федерации
Международного стандарта аудита 315 (пересмотренный, 2019 г.)
"Выявление и оценка рисков существенного искажения",
утвержденного приказом Минфина России от 27 октября 2021 года N 163н
____________________________________________________________________

     Введение

Сфера применения настоящего стандарта

1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по выявлению и оценке рисков существенного искажения финансовой отчетности посредством изучения организации и ее окружения, включая систему внутреннего контроля организации.

Дата вступления в силу

2. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, заканчивающиеся 15 декабря 2013 года или после этой даты.

     Цель

3. Цель аудитора состоит в том, чтобы выявить и оценить риски существенного искажения, как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок, посредством изучения организации и ее окружения, включая систему внутреннего контроля организации, таким образом обеспечивая основу для разработки и осуществления аудиторских процедур в ответ на оцененные риски существенного искажения.

     Определения

4. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:

(a) предпосылки - заявления руководства, сделанные в явной или иной форме, которые включены в финансовую отчетность и используются аудитором для рассмотрения различных типов потенциально возможных искажений;

(b) бизнес-риск - риск, возникающий в результате значительных условий, событий, обстоятельств, действий или бездействия, которые могут оказать негативное влияние на способность организации достичь поставленных целей и реализовать свою стратегию, или возникающий в результате установления ненадлежащих целей и стратегии;

(c) система внутреннего контроля - процессы, разработанные, внедренные и поддерживаемые лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками организации для обеспечения разумной уверенности в отношении достижения целей организации в области подготовки надежной финансовой отчетности, результативности и эффективности деятельности и соблюдения применимых законов и нормативных актов. Термин "средства контроля" относится к любым аспектам одного или нескольких компонентов системы внутреннего контроля;

(d) процедуры оценки рисков - процедуры, проводимые с целью получения понимания организации и ее окружения, включая систему внутреннего контроля организации, направленные на выявление и оценку рисков существенного искажения, как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок;

(e) значительный риск - выявленный и оцененный риск существенного искажения, который, согласно суждению аудитора, требует особого рассмотрения при аудите.

     Требования

Процедуры оценки рисков и сопутствующие действия

5. Аудитор должен выполнить процедуры оценки рисков для того, чтобы создать основу для выявления и оценки рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок. Процедуры оценки рисков, однако, сами по себе не обеспечивают достаточных надлежащих аудиторских доказательств, на основе которых может быть сформировано аудиторское мнение (см. пункты А1-А5).

6. Процедуры оценки рисков должны включать следующее:

(a) направление запросов руководству, надлежащим сотрудникам службы внутреннего аудита (при наличии), а также другим лицам в организации, которые, по мнению аудитора, могут владеть информацией, способствующей выявлению рисков существенного искажения вследствие недобросовестных действий или ошибки (см. пункты А6-А13);

(b) аналитические процедуры (см. пункты А14-А17);

(c) наблюдение и инспектирование (см. пункт А18).

7. Аудитор должен рассмотреть вопрос, является ли значимой для выявления рисков существенного искажения информация, полученная при выполнении аудитором процедуры принятия или продолжения отношений с клиентом.

8. Если руководитель задания выполнял другие задания для организации, то он должен рассмотреть, является ли полученная им информация значимой для выявления рисков существенного искажения.

9. В тех случаях, когда аудитор планирует использовать информацию, полученную из предыдущего опыта его работы с организацией и аудиторских процедур, выполненных в ходе предыдущих аудиторских заданий, он должен установить, произошли ли какие-либо изменения со времени проведения предыдущего задания, которые могут повлиять на применимость такой информации для текущего аудита (см. пункты А19-А20).

10. Руководитель задания и другие ключевые члены аудиторской группы должны обсудить степень подверженности финансовой отчетности организации существенному искажению и возможность использование применимой концепции подготовки финансовой отчетности к фактам деятельности и обстоятельствам организации. Руководитель задания должен определить, какие вопросы должны быть доведены до сведения членов аудиторской группы, которые не участвовали в обсуждении (см. пункты А21-А24).

Необходимое понимание организации и ее окружения, включая систему внутреннего контроля организации

Организация и ее окружение

11. Аудитор должен получить понимание следующих вопросов:

(a) соответствующие отраслевые, регуляторные факторы и прочие внешние факторы, включая применимую концепцию подготовки финансовой отчетности (см. пункты А25-А30);

(b) характер организации, включая:

(i) ее операционную деятельность;

(ii) ее структуру собственности и корпоративного управления;

(iii) виды инвестиций, которые организация осуществляет и планирует осуществлять, включая инвестиции в организации специального назначения;

(iv) структуру организации и способы ее финансирования, которые дадут возможность аудитору понять виды операций, остатки по счетам и раскрытие информации, которые ожидаются в финансовой отчетности (см. пункты А31-А35):

(с) выбор и применение организацией учетной политики, включая обоснование вносимых в нее изменений. Аудитор должен оценить, соответствует ли учетная политика организации ее деятельности и применимой концепции подготовки финансовой отчетности, а также учетной политике, используемой в соответствующей отрасли (см. пункт А36);

(d) цели и стратегии организации, а также сопутствующие им бизнес-риски, которые могут привести к рискам существенного искажения (см. пункты А37-А43);

(е) оценка и анализ финансовых результатов деятельности организации (см. пункты А44-А49).

Система внутреннего контроля организации

12. Аудитор должен получить понимание системы внутреннего контроля организации в части, значимой для проведения аудита. Несмотря на то, что большинство средств контроля, которые являются значимыми для аудита, как правило, связаны с финансовой отчетностью, не все средства контроля, связанные с финансовой отчетностью, являются значимыми для аудита. Вопрос о том, является ли средство контроля в отдельности или в сочетании с другими значимым для проводимого аудита, представляет собой предмет применения профессионального суждения аудитора (см. пункты А50-А73).

Характер и объем понимания соответствующих средств контроля

13. При получении понимания значимых для проводимого аудита средств контроля аудитор должен проанализировать их структуру и с помощью дополнительных процедур, помимо направления запросов персоналу организации, установить, внедрены ли они на практике (см. пункты А74-А76).

Компоненты системы внутреннего контроля

Контрольная среда

14. Аудитор должен получить понимание контрольной среды. В ходе получения такого понимания контрольной среды аудитор должен оценить:

(a) была ли создана и поддерживается ли руководством под надзором лиц, отвечающих за корпоративное управление, культура честности и этического поведения;

(b) обеспечивают ли сильные стороны элементов контрольной среды в совокупности надлежащую основу для других компонентов внутреннего контроля, а также не оказывают ли недостатки контрольной среды негативного влияния на другие компоненты внутреннего контроля (см. пункты А77-А87).

Процесс оценки рисков в организации

15. Аудитор должен получить понимание того, осуществляются ли в организации следующие процессы:

(a) выявление бизнес-рисков, значимых для целей финансовой отчетности;

(b) оценка значительности рисков;

(c) оценка вероятности возникновения рисков;

(d) принятие решений о мерах по снижению таких рисков (см. пункт А88).

16. Если в организации применяется такой процесс (далее по тексту он называется "процессом оценки рисков организации"), аудитор должен достичь понимания как самого процесса, так и результатов его применения. Если аудитор выявляет риски существенного искажения, которые не смогло выявить руководство, он должен оценить, нет ли в основе этих рисков такого типа риска, который, согласно ожиданиям аудитора, должен был быть выявлен процессом оценки рисков организации. Если такой риск существует, аудитор должен получить понимание того, почему он не был выявлен в процессе оценки рисков, и оценить, соответствуют ли процессы обстоятельствам, или определить, имеются ли в организации значительные недостатки в системе внутреннего контроля в части процесса оценки рисков.

17. Если такой процесс в организации не осуществляется или применяется в отношении отдельного случая, аудитор должен обсудить с руководством вопрос о том, были ли выявлены бизнес-риски, являющиеся значимыми для целей финансовой отчетности, и какие меры приняты по их устранению. Аудитор должен оценить, является ли отсутствие документально оформленного процесса оценки риска надлежащим в данных обстоятельствах или это является значительным недостатком системы внутреннего контроля (см. пункт А89).

Информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие

18. Аудитор должен получить понимание информационной системы, включая соответствующие бизнес-процессы, относящиеся к подготовке финансовой отчетности, в том числе следующих аспектов (см. пункты А90-А92 и А95-А96):

(a) виды операций в рамках деятельности организации, являющиеся значительными для финансовой отчетности;

(b) процедуры, как в системе с применением информационных технологий (ИТ), так в системе ручной обработки данных, с помощью которых такие операции инициируются, записываются, обрабатываются и по мере необходимости корректируются, переносятся в основной регистр и отражаются в финансовой отчетности;

(c) соответствующие данные бухгалтерского учета, подтверждающая информация и конкретные счета, которые используются для инициирования, учета, обработки и отражения в финансовой отчетности; в том числе исправление ошибочных данных и способы переноса информации в основной регистр. Записи могут выполняться как вручную, так и в электронном формате;

(d) то, каким образом информационная система фиксирует события и условия, помимо операций, которые являются значимыми для финансовой отчетности;

(e) процесс подготовки финансовой отчетности, в том числе значительные оценочные значения и раскрытия информации;

(f) средства контроля в отношении бухгалтерских записей, включая нестандартные бухгалтерские записи, применяемые для учета разовых, необычных операций или корректировок (см. пункты А93-А94).

Это понимание информационной системы, относящейся к подготовке финансовой отчетности, должно включать соответствующие аспекты, связанные с раскрываемой в финансовой отчетности информацией, которая получена из или извне основного регистра и вспомогательных ведомостей.

19. Аудитор должен получить понимание того, каким образом организация сообщает информацию о функциях и обязанностях при подготовке финансовой отчетности, а также о значимых вопросах, связанных с финансовой отчетностью, включая следующие (см. пункты А97-А98):

(a) информационное взаимодействие с руководством и лицами, отвечающими за корпоративное управление;

(b) сообщение информации третьим сторонам, например, регулирующим органам.

Контрольные действия, значимые для проводимого аудита

20. Аудитор должен получить понимание тех контрольных действий, значимых для проводимого аудита, которые, по мнению аудитора, необходимо изучить, чтобы оценить риски существенного искажения на уровне предпосылок и разработать дальнейшие аудиторские процедуры в ответ на оцененные риски. Для проведения аудита не требуется изучение всех контрольных действий, связанных с каждым значительным видом операций, остатком по счету и раскрытием в финансовой отчетности или с каждой соответствующей предпосылкой (см. пункты А99-А106).

21. При изучении контрольных действий в организации аудитор должен получить понимание того, каким образом организация отвечает на риски, возникающие вследствие использования ИТ (см. пункты А107-А109).

Мониторинг средств контроля

22. Аудитор должен получить понимание основных действий, которые используются организацией для мониторинга внутреннего контроля за финансовой отчетностью, включая те действия, которые относятся к контрольным, значимым для аудита, а также понимания порядка инициирования действий по устранению недостатков в средствах контроля организации (см. пункты А110-А112).

23. Если в организации есть служба внутреннего аудита, аудитор должен получить понимание обязанностей этой службы, а также ее статуса в структуре организации и характера осуществляемой или планируемой деятельности (см. пункты А113-А120).