системи кодів, паролів та інших засобів несанкціонованого доступу до інформації на персональних автоматизованих робочих місцях;
Штат — політика підприємства стосовно кваліфікації і компетентності фахівців; процедура приймання на роботу (найкраще на конкурсній основі); заходи щодо підвищення кваліфікації персоналу; розмір оплати праці; перевірка виконання покладених обов’язків;
Систему спостереження — заходи щодо перевірки дієвості системи контролю, що передбачає безперервну дію її, пристосовуваність до ситуацій, які виникли, актуалізація завдань і проблем, які повинен розв’язувати внутрішній контроль, наприклад, зі зміною стратегії подальшої діяльності підприємства-клієнта.
Усі зазначені напрями оцінки системи внутрішнього контролю є надзвичайно важливими для аудиторів України, оскільки, крім визначення її ефективності і ступеня довіри до неї, вони повинні передусім під час попереднього ознайомлення з підприємством допомогти правильно організувати таку систему у клієнта, бо на дуже небагатьох вітчизняних підприємствах вона перебуває на належному рівні організації і використання, і у зв’язку з цим виникає чимало проблем, яких можна було б уникнути при надійній системі внутрішнього контролю.
Після оцінки системи внутрішнього контролю (яка часто оцінюється аудитором разом з системою бухгалтерського обліку внаслідок тісного взаємозв’язку їх) аудитор може приступити до планування аудиторської перевірки, маючи вже можливість обґрунтованого вибору напрямів аудиту і необхідних для його здійснення методів і прийомів, кількості потрібних аудиторських процедур, найбільш прийнятних видів аудиторських доказів (добутих аудитором унаслідок незалежних аудиторських процедур; від третіх незаінтересованих осіб; наданих підприємством-клієнтом).
Допоміжним інструментом при оцінці систем бухгалтерського обліку і внутрішнього контролю, як свідчить зарубіжний досвід, є так звані анкети внутрішнього контролю, де викладені запитання, які аудитор повинен поставити у ході перевірки зазначених систем. Структура таких анкет, набір запитань не стандартні. Як правило, кожною аудиторською фірмою розробляються базові анкети, які потім конкретизуються аудитором відповідно до кожного конкретного підприємства-клієнта. Такі анкети особливо важливі як робочі документи аудитора під час використання даних внутрішнього контролю.
Зазначимо, що згідно з міжнародними нормативами аудиту, аудитора не стосуються ті рішення і процедури у рамках систем обліку і внутрішнього контролю, які не належать до фінансової інформації.
У випадку, якщо аудитор перевіряє підприємство тривалий час (протягом 4—6 років), то визначення ступеня ризику систем обліку і внутрішнього контролю дещо полегшується, проте з’являється вірогідність того, що аудитор не помітить зниження ефективності такого контролю в цілому або за окремими його напрямками, використовуючи дані про систему внутрішнього контролю, одержані під час попередніх перевірок.
Зі схеми аудиторського ризику (рис. 2.4.1), видно, що третім компонентом, складовою аудиторського ризику є ризик невиявлення.
Ризик невиявлення (ризик, пов’язаний з можливістю невиявлення помилок — у Шотландії, ризик невиявлення помилок, пов’язаний з аудитом, — у Франції) означає, що суттєві помилки можуть залишитися невиявленими у ході аудиторської перевірки.
Певний ризик невиявлення завжди матиме місце, навіть якщо аудитор повинен буде обстежити 100% залишків за рахунками, оскільки він може вибрати невідповідну аудиторську процедуру або неправильно інтерпретувати результати аудиту.
Визначення аудитором величини ризику невиявлення (тобто він установлює його сам для себе) тісно пов’язане з величиною ризику систем обліку і внутрішнього контролю. Чим вищий ризик останніх, що означає невисокий ступінь довіри аудитора до систем обліку і внутрішнього контролю, тим менший ризик невиявлення необхідно встановити для цієї перевірки. А це означає, що аудитор повинен запланувати і виконати значний обсяг підтверджуючих і незалежних процедур, інакше кажучи, ризик невиявлення — це та частка похибки аудиторської перевірки, яку аудитор може собі дозволити при системах обліку і внутрішнього контролю, що склалися на підприємстві-клієнті, у разі додержання умови якості проведення робіт і відповідності їх установленим аудиторським нормативам.
Ризик контролю і властивий ризик не залежать від аудитора і він не може на них вплинути. Як зазначено у міжнародному нормативі, ці ризики існують незалежно від аудиторської перевірки фінансової звітності і є результатом діяльності клієнта незалежно від проведення аудиту. На відміну від цих двох складових аудиторського ризику, ризик невиявлення є результатом аудиторської перевірки, наслідком виконаної аудитором роботи. За цей ризик аудитор несе повну відповідальність, тобто ризик визначає ступінь якості, рівень його діяльності.
Отже, аудитор повинен зробити все можливе (провести аудиторську перевірку так, щоб це давало найбільшу вірогідність невиявлення суттєвих помилок), щоб звести ризик невиявлення до мінімуму. Цього можна досягти, проводячи більшу кількість аудиторських процедур і правильно вибравши спосіб одержання аудиторських доказів. Так, аудиторські докази, добуті самим аудитором, вважають більш достовірними порівняно, наприклад, з одержаними від підприємства.
В аудиторів України, на жаль, і це зрозуміло, ще недостатній досвід у визначенні аудиторського ризику. Тому необхідно використовувати найкраще у зарубіжному досвіді з цього питання,