Системы и методы внутреннего финансового контроля на примере ООО “СТАР - ОИЛ”

     Среда контроля — это обстоятельства и факторы, непосредственно не связанные с учетом, но оказывающие значительное влияние на его эффективность.

     Аудитор изучает среду контроля уже с  момента первого знакомства с  предприятием (его руководителем, бухгалтером). Основными моментами, которые от должен выяснить, являются:

• Влияние организационной структуры, вида и масштабов деятельности предприятия на особенности бухгалтерского учета;
• Структура управленческой системы, разделение полномочий и ответственности;
• Особенности взаимоотношений собственников с непосредственными управляющими делами, между директором и главным бухгалтером, степень взаимного доверия;
• Отношение администрации, директоров и владельцев организации к вопросам бухгалтерского учета;
• Отношение учетного персонала к своим обязанностям.

     Необходимую информацию по перечисленным вопросам получают в результате наблюдения, личных бесед, ознакомления с учредительными документами.

     Субъективно оценив среду, в которой функционирует  учетная система, аудитор изучает саму систему учета. А именно: соответствие организации бухгалтерского учета на конкретном предприятии его отраслевой принадлежности, масштабам деятельности; действующим нормативным актам, регламентирующим бухгалтерский учет в РФ (Закону "О бухгалтерском учете", Положению по бухгалтерскому учету и отчетности в РФ). Особое внимание нужно обратить на уровень профессионализма бухгалтеров, определить их компетентность и, по возможности, честность. В большей степени именно эти качества определяют эффективность роботы всей учетной системы.

     Система внутреннего контроля — это специальные процедуры, введенные руководством (собственниками, директором, главным бухгалтером) для недопущения либо оперативного выявления и устранения как случайных, так и умышленных искажений в учете и отчетности; обеспечения сохранности имущества организации.

     Система внутреннего контроля строится на:

1. разделении обязанностей. Для предотвращения злоупотреблений и хищений необходимо разделение обязанностей по хранению материальных ценностей, совершению сделок и учету. Кроме того, в случае, когда каждый отдел будет вести учет своей деятельности полностью, то возрастает опасность предоставления им ложных данных с целью улучшения показателей.
2. наличии эффективных процедур санкционирования операций. Для осуществления операций необходимо наличие решения ответственных лиц, выполнения всех формальностей.
3. своевременном надлежащем документировании операций. При большом интервале времени между совершением операции и фактом ее учета возрастает вероятность ошибки.
4. фактическом контроле за имуществом и документацией. То есть использование технический средств и процедур, предотвращающих утерю, изъятие или неправомерное изменение учетной документации.
5. осуществлении независимых проверок. Это одна из функций внутреннего аудита.

     Аудитору  следует изучить и понять каждый из элементов системы внутреннего  контроля на данном предприятии. При  этом аудитор должен принять во внимание два аспекта: какие именно методы и процедуры предусмотрены на предприятии и применяются ли они на практике.

     В ходе исследования внутреннего контроля аудитору необходимо принимать во внимание присущие любой системе внутреннего  контроля изъяны. Не может быть системы  эффективной на сто процентов. Наиболее очевидное ограничение обусловлено необходимостью удерживать в разумных, т.е. экономичных, пределах затраты на проведение контрольных процедур, с тем чтобы эти затраты не оказались несоразмерными по отношению к выявляемым убыткам от ошибок и мошенничеств. К числу факторов, сдерживающих эффективность внутреннего контроля, относятся: ориентация большей части видов внутреннего контроля на ожидаемые типы операций, а не на редкие операции; возможность ошибки, которая может быть допущена персоналом внутреннего контроля вследствие небрежности, рассеянности, заблуждения или неверного понимания инструкций; вероятность того, что лицо, ответственное за осуществление контроля, может злоупотребить своим положением. Наконец, внутренний контроль может быть обойден в результате тайного мошеннического сговора ряда лиц как внутри предприятия, так и с участием внешних сторон.

     Однако, несмотря на присущие любой системе  контроля изъяны, наличие даже простых  видов контроля может способствовать достижению аудитором уверенности  в том, что все операции надлежащим образом записаны в учетных регистрах. При оценке внутреннего контроля цель аудитора - определение уровня доверия, которое он может оказать этому контролю. Результаты исследования системы внутреннего контроля влияют на определение типа, времени и масштаба независимых аудиторских процедур.

4. Анализ  системы внутреннего  контроля в условиях функционирования на проверяемом предприятии  компьютерной системы.

     Невозможность детальной сплошной проверки в условиях многочисленных и сложных для  адекватного отражения в учете  хозяйственных операций и широкое  применение в связи с этим выборочных методов потребовало на современном  этапе развития аудита совершенствование методик определения рисков, входящих в появившуюся в середине 80 годов модель приемлемого аудиторского риска.

     Аудиторский риск в соответствии с этой моделью, описываемой в специальной англоязычной и отечественной литературе [1], определяется тремя компонентами, то есть разлагается на произведение трех множителей - специальных рисков:

     ПАР = ВР х КР х РН,

     где ПАР - приемлемый аудиторский риск (Desired audit risk),

     ВР - внутрихозяйственный риск (Inherent risk),

     КР - контрольный риск (Control risk),

     РН - риск необнаружения (Detection risk).

     Для определения уровня контрольного риска  аудитор изучает систему контроля на предприятии с точки зрения ее способности предупреждать и  выявлять ошибки в учете. Частью плана  аудита является стремление аудитора установить оценку контрольного риска на уровне как можно меньшим максимума (100%), то есть добиться адекватного понимания того, насколько эффективно работа системы контроля предприятия понижает риск возникновения неточностей в отчетности.

     Современный этап развития аудиторской деятельности связан с использованием для ведения учета современных персональных компьютеров и широкого набора бухгалтерских программ, что предполагает необходимость распространения аудиторских действий на сферу проверки не только данных внутри ЭВМ, но и экспертизы компьютерной системы аудируемого предприятия, в случае ее сложности и тесной взаимосвязи с системой учета и элементами системы внутреннего контроля. Эта необходимость при указанных условиях вызвана появлением дополнительного риска, связанного с техническими аспектами компьютерной системы и ее конкретной эксплуатацией клиентом, а также рисков связанных с организацией учета и контроля при использовании компьютерной системы. К последним из упомянутых рисков относятся следующие риски:

1. Риск появления искажений в учетной информации (злонамеренных или случайных) в результате несанкционированного доступа к компьютерной системе, или неадекватного разделения обязанностей и ответственности работников, имеющих этот доступ.
2. Риск утраты учетных данных в результате их преднамеренного или непреднамеренного стирания (удаления из памяти компьютера).
3. Риск появления ошибочно введенных или неверно обработанных учетных данных в силу недостаточной подготовки персонала предприятия к работе с компьютерной системой и отсутствия соответствующего контроля со стороны специалистов.

     Факторами риска, связанного с техническими аспектами  и конкретной эксплуатацией компьютерной системы клиентом являются следующие:

1. использование клиентом нелегального программного обеспечения;
2. плохая работа аппаратных средств;
3. взаимное несоответствие характеристик аппаратного и программного обеспечения;
4. отсутствие технического контроля и обслуживания;
5. наличие ошибок при разработке программного обеспечения (в том числе связанное с его малотиражностью, поскольку в широко используемом программном обеспечении они скорее всего устранены разработчиками);
6. использование программного обеспечения не по назначению (например, текстовый редактор в качестве бухгалтерской программы).

     Если  первая группа рисков рассматривается при изучении аудитором системы внутреннего контроля предприятия и результат этого рассмотрения влияет на конечную оценку контрольного риска, то риск, связанный с техническими аспектами и конкретной эксплуатации компьютерной системы клиентом (РЭ) уже не вписывается в традиционную модель приемлемого аудиторского риска и прямо указывает на необходимость проведения на этапе планирования аудита исследования компьютерной системы с привлечением технических специалистов. Помощь этих специалистов может стать необходимой и при выявлении значения, которое использование компьютерной системы оказывает на систему бухгалтерского учета и контроля предприятия.

     Процедуры специального тестирования компьютерной системы предполагают выдачу аудитором  профессиональных заданий техническим специалистам. Такое положение вещей требует от аудитора навыков работы с компьютерными системами. Минимальными требованиями, предъявляемыми к аудитору, признаются следующие: владение терминологией, умение читать и понимать системные и логические блок - схемы, умение понимать последовательность выполняемых операций [2]. Отсутствие этих навыков может привести к неверной формулировке заданий для технических специалистов и ошибочной трактовке полученных ими результатов.

     Таким образом, последней группой рисков аудитора, возникающих в результате применения клиентом компьютерной системы являются риски, связанные с недостаточной квалификацией аудитора:

1. риск некорректного построения тестов компьютерной системы, используемой клиентом (РТ);
2. риск ошибочного толкования этих тестов (РО).

     Оценивая  влияние перечисленных выше факторов риска РЭ и принимая во внимание уровень своей компетенции, аудитор  может дать субъективную оценку дополнительного  риска (ДР), являющегося произведением  числовых величин трех указанных рисков:

     ДР = РЭ х РТ х РО

     Дополнительный  риск, таким образом, представляет собой субъективно установленный уровень риска, отражающий вероятность появления дополнительных существенных ошибок в финансовой отчетности при использовании на предприятии неэффективной компьютерной системы и недостаточной способности аудитора оценить степень этой неэффективности.

     Такое определение дополнительного риска  позволяет включить его в модель приемлемого аудиторского риска  следующим образом:

     ПАР = ВР х КР х ДР х РН

     Как и в случае контрольного риска, аудитору следует, на наш взгляд, стремиться к установлению оценки дополнительного  риска ниже максимальной (100%). Этому  желанию соответствует стремление аудитора добиться понимания технических  аспектов эксплуатации компьютерной системы клиента, повысить уровень своей компетенции в этих вопросах.

     Под системой внутрихозяйственного контроля аудируемого предприятия мы понимаем совокупность организационной структуры, методик и процедур, принятых руководством предприятия в качестве средств для ведения эффективной хозяйственной деятельности [3]. В соответствии со сложившейся международной практикой и российским Правилом (стандартом) аудиторской деятельности "Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита" [4], она включает в себя три составляющие: среду контроля, учетную систему и контрольные процедуры.

     Согласно  п 5.1. вышеуказанного стандарта аудитор  обязан оценивать систему внутреннего  контроля проверяемого экономического субъекта не менее чем в три этапа:

1. общее знакомство с системой внутреннего контроля;
2. первичная оценка надежности системы внутреннего контроля;
3. подтверждение достоверности оценки системы внутреннего контроля.

     Осуществление аудитором оценки системы внутреннего  контроля в полном объеме (то есть последовательное прохождение всех указанных этапов) подчинено цели установления оценки контрольного риска ниже максимальной (100 %) и обоснования этой полученной оценки. Оценка контрольного риска будет различной для разных сегментов системы бухгалтерского учета, причем ее числовая величина может (при исключительной организации контроля на данном сегменте) достигать 20 % или даже 10 % (соответствуя "низкому" уровню контрольного риска в субъективной оценке) и теоретически приближаться к нулю.

     Поэтому получение и обоснование аудитором  оценки контрольного риска должно носить длительный и тщательный характер, выходить за рамки этапа планирования аудита и осуществляться также на этапе непосредственного тестирования хозяйственных операций. Если предприятие ведет учет преимущественно в компьютерной системе (что на практике означает исключительную взаимосвязь двух анализируемых систем - внутреннего контроля и компьютерной), то методы ознакомления с этими системами и получения предварительной оценки контрольного и дополнительного риска, по нашему мнению, должны представлять единый неразрывный процесс. Мы рассмотрим его на примере ООО «СТАР - ОИЛ».