Аудиторський ризик: поняття, методика визначення, управління

Протягом останнього десятиліття методологія Value-at-Risk здобула шалену популярність у всьому світі як підхід до вимірювання ризиків. Особливістю Value-at-Risk є те, що вона представляє собою не єдиний показник, а цілий методологічний комплекс, що надає широкий спектр можливостей, в тому числі щодо оцінки ризиків в умовах трансформаційної економіки. Дана методологія дає змогу оцінити величину максимально можливих втрат при нормальних ринкових умовах на визначеному горизонті планування з визначеним рівнем ймовірності. Оцінка Value-at-Risk може відбуватися як шляхом визначення величини абсолютних збитків, так і шляхом визначення величини втрат відносно середнього доходу. Існує три основних методи розрахунку Value-at-Risk:

                  метод історичного моделювання;

                  метод параметричної оцінки, який більш поширений у вигляді варіаційно-кореляційної моделі;

                  метод імітаційного моделювання.

На практиці існує чимало методів оцінки ризиків, які різняться один від одного не лише алгоритмом застосування, а й складністю проведення, фінансовими втратами та отриманими результатами. У зв'язку з чим у керівників виникають труднощі, пов'язані з вибором найбільш оптимальної методики проведення оцінки виявлених ризиків[8, c.60-63].

Аудитори використовують два основних методи оцінювання аудиторського ризику :

-         оціночний (експертний, інтуїтивний);

-         кількісний.

Оціночний метод полягає в тому, що аудиторські фірми в більшості не намагаються вираховувати числові значення загального аудиторського ризику, а визначають його як “високий”, “середній”, “низький”. Загальним інструментом при цьому виступають анкети ризику аудиту та детальна інформація про клієнта, що використовується при оцінці аудиторського ризику [6, с.55].

Кількісний можна представити в вигляді моделі припустимого аудиторського ризику:

                                       ПАР = ВР•РК•РН, де                                          (3.1)

ПАР — припустимий аудиторський ризик (ступінь готовності аудитора признати, що фінансова звітність може містити суттєві похибки після завершення аудиту і висловлення стандартного аудиторського висновку без обумовлень);

ВР — властивий ризик (ступінь очікування аудитором того, що існує похибка в сегменті і що вона перевищує припустиму величину до перевірки системи внутрігосподарського контролю);

РК — ризик контролю (ступінь очікування аудитором, що похибки в сегменті, що перевищують припустиму величину, не будуть попереджені, ні виявлені системою внутрігосподарського контролю);

РН — ризик невиявлення (ступінь готовності аудитора признати, що аудиторські свідоцтва того або іншого сегменту не дозволять виявити похибки, що перевищують припустиму величину, якщо ці похибки мають місце).

Для визначення ПАР при плануванні аудиту можна використовувати один із двох шляхів.

1. Аудитор передбачає, наприклад, що ВР = 80 %, РК = 50 %, РН = 10 % і тоді ПАР = 0,8*0,5*0,1 = 4 %.

Якщо аудитор прийшов до висновку, що рівень ПАР = 4 % задовольняє його і клієнта, то потенційний план перевірки можна вважати в якійсь мірі ефективним.

2.Щоб скласти більш ефективний план, аудитори визначають РН і відповідну кількість необхідних свідоцтв

                                                      РН = ПАР/ВР•РК.                                (3.2)

Якщо аудитор встановив для себе ПАР = 5 %, то РН = 0,05/0,8*0,5 = =0,125. При цій формі ключовим чинником стає РН, тому що він передбачає необхідну кількість свідоцтв, яка обернено пропорційна рівню РН. Чим менше РН, тим більше необхідно свідоцтв.

ПАР — це суб'єктивно встановлений рівень ризику. Бажаним є розумно низький рівень ПАР. Це залежить від того:

                  по-перше, до якого ступеню зовнішні користувачі покладаються на фінансову звітність;

                  по-друге, наскільки вірогідно виникнення у клієнта фінансових труднощів після надання аудиторського висновку.

Якщо при високому ступені довіри до фінансової звітності в ній залишаться невиявленими значні похибки, то це може призвести до великих втрат для користувачів. Витрати на додаткові свідоцтва виправдаються тим, що без цього користувачі зазнають збитків через суттєві похибки в звітності.

Якщо після завершення аудиту клієнт вимушений об'явити про свою неплатоспроможність, або він несе значні втрати, то у аудитора зростає необхідність захищати якість аудиту.

Аудитор повинен дослідити і оцінити всі чинники, що впливають на рівень довіри зовнішніх користувачів до фінансової звітності (масштаби бізнесу, характер і суми зобов'язань) та вірогідність фінансового краху клієнта після завершення аудиту (стан ліквідності, збитки попередніх періодів, компетентність менеджерів). На підставі таких досліджень аудитор гіпотетично і суб'єктивно встановлює ПАР. При цьому слід пам'ятати, що аудитор не може повністю довіряти системам обліку і внутрішнього контролю підприємства-клієнта. У такому випадку ризик контролю зводиться до нуля (РК = 0), а це означає, що і припустимий аудиторський ризик дорівнюватиме нулю, чого не може бути.

Аудитор не може дозволити собі встановити високий рівень ризику невияв-лення помилок (РН > 50 %) при високих ризиках систем обліку і внутрішнього контролю.

Аудиторська перевірка вважається проведеною на належному рівні, якщо аудитор встановить низький ризик невиявлення (РН = 1 %) за умови повної недовіри до систем обліку і внутрішнього контролю підприємства-клієнта.

В процесі перевірки, отримуючи додаткову інформацію про клієнта, аудитор може змінити свою оцінку ПАР [5, с.35-36].

Багато фірм взагалі не роблять спроб застосувати числові значення для визначення рівнів ризику і просто визначають їх як "високий", "середній" і "низький". Американські фахівці вважають, що немає необхідності кількісно визначати аудиторський ризик або його складові за допомогою математично обгрунтованих моделей оцінки, оскільки неможливо об'єктивно враховувати визначені компоненти аудиторського ризику в зв'язку з великою кількістю змінних, що впливають на них, і суб'єктивного характеру багатьох із цих змінних.

Відповідно багато аудиторів не вдаються до спроб розподілити визначені розміри зачинниками ризику. Вважається що аудитор завжди повинен розглядати ризик за кожним класом суджень, пов'язаним з кожним значним рахунком або класом операцій.

Оцінка ризику — це процес прийняття рішення виходячи з можливостей викривлень у фінансових документах. Такий ризик має дві сторони — властивий ризик і ризик при здійсненні контролю. Аудитор оцінює їх у контексті обставин, що склалися.

Підставою для оцінки аудитором рівня внутрішнього ризику і ризику при здійсненні контролю є інформація про клієнта та його бізнес. Значна частина такої інформації має загальний характер і залежить від особливостей діяльності підприємства, галузі промисловості, в якій воно працює, законодавчих та нормативних документів, які стосуються галузі промисловості, а також особливостей фінансової діяльності підприємства і зв'язку між даними фінансового і оперативного характеру. Аудитор повинен також розуміти структуру контролю на підприємстві, що необхідно для правильної оцінки ризику при проведенні контролю і складанні плану проведення перевірки[6, с.56-57].

3.1 Оцінювання властивого ризику

Властивий ризик виникає за умов, не пов'язаних з особливостями контролю на підприємстві. Умови для нього існують на макроекономічному рівні і визначений вплив справляють зовнішні чинники, наприклад, зміни обставин, пов'язаних з веденням бізнесу, урядових рішень та інших чинників економічного характеру. Такий вид ризику характерний для різноманітних господарських операцій підприємства. При плануванні перевірки аудитор розглядає обидва види ризику. Інформація про умови властивого ризику надходить в основному із зовнішніх джерел. Властивий ризик, звичайно, не є причиною використання особливих процедур контролю і бухгалтерського обліку.

Для визначення рівня властивого ризику американські фахівці пропонують зібрати і вивчити інформацію про бізнес клієнта і галузі промисловості, останню інформацію фінансового характеру, знання бухгалтерського обліку підприємства.

Інформація про бізнес клієнта і галузь промисловості у якій він працює. Необхідна інформація з бізнесу, яким займається клієнт, містить дані про його виробництво, джерела і способи поставки матеріалів, маркетингу і способи реалізації, джерела фінансування і методи виробництва. Аудитор повинен також отримати інформацію про розміщення і потужність діючих підприємств клієнта, їх відділень і філій, а також децентралізації процесу керівництва. Аудитор досягає поставленої мети, використовуючи різноманітні джерела інформації, у тому числі урядові статистичні дані, журнали з економіки, фінансів, промисловості, торгівлі, звіти про проведення внутрішньої аудиторської перевірки, звіти, підготовлені за результатами діяльності підприємства його конкурентів або галузі промисловості.

Аналіз останньої фінансової інформації. Розуміння аудитором бізнесу передбачає також знання заходів і процедур бухгалтерського обліку, що використовуються клієнтом. Аудитор повинен визначити, чи відповідають наявні заходи і процедури фактичному веденню бізнесу і загальним принципам бухгалтерського обліку. Дуже уважно слід вивчити зміни, що відбулися в організації бухгалтерського обліку за час перевірки [6, с.57-58].

Оцінюючи властивий ризик, аудитор покладається на своє професійне міркування, враховуючи такі фактори (табл. 3.1).

Таблиця 3.1 – Фактори оцінювання властивого ризику

3.2 Оцінювання ризику при контролі

Положення національного нормативу аудиту вимагають від аудитора оцінювання ризику невідповідності внутрішнього контролю в два етапи: попереднє та остаточне оцінювання ризику невідповідності внутрішнього контролю.

Система внутрішнього контролю – це сукупність правил та процедур контролю, запроваджених керівництвом підприємства для досягнення поставленої мети, а саме  забезпечення стабільного й ефективного функціонування підприємства.

Уся система внутрішнього контролю спрямована на реалізацію наступних задач:

1)     забезпечити послідовну та ефективну діяльність фірми;

2)     дотримуватися основної стратегії фірми;

3)     забезпечувати збереження активів;

4)     сприяти вчасному і повному відображенню операцій в обліку.

Питання про необхідність внутрішнього контролю та  про обсяг перевірки ним різних сторін діяльності підприємства розв’язується керівництвом фірми самостійно. Адміністрація малих підприємств  меншою мірою потребує внутрішнього контролю, тому що безпосередньо бере участь у поточній діяльності фірми. Але існують певні обмеження ефективності внутрішнього контролю:

-         не можна бути впевненим у відсутності корисливих намірів у керівництва;

-         керівництво часто ігнорує контроль, який само встановило;

-         розподіл контролюючої функції може бути проігнорований;

-         не дивлячись на відбір кваліфікованих кадрів, можливий вплив на них як зсередини фірми, так і зовні;

-         можливі помилки та неточності у записах, підрахунках, у результаті нерозуміння завдання, втоми або неохайності[7, с.27-32] .

Стадії оцінювання ризику внутрішнього контролю

1.                  Перша стадія.

Аудитор повинен оцінити ризик невідповідності внутрішнього контролю для кожного суттєвого залишку за бухгалтерськими рахунками або суттєвою операцією.

Проводячи попереднє оцінювання, аудитор використовує такі тести (рис3.2.1).

Рис.3.2.1 – Тести, які використовує аудитор проводячи попереднє оцінювання

Під час збирання доказів функціонування системи внутрішнього контролю аудитор враховує спосіб їх отримання, послідовність, з якою вони накопичувалися протягом певного періоду, та досвід особи, яка отримала такі докази.

Аудитор фіксує у робочих документах зібрані відомості про систему обліку і внутрішнього контролю, розраховує ризик невідповідності внутрішнього контролю. Якщо ризик невідповідності внутрішнього контролю оцінюється аудитором як незначний, він пояснює в документах обгрунтування своїх висновків.