Международные стандарты аудита требуют от аудитора выявлять и оценивать риски существенного искажения
отчетности на уровне финансовой отчетности в целом и на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации.
Выявленные риски в программе IT Audit приводятся в едином реестре рисков. Риски выбираются из справочника
типовых рисков или вносятся аудитором самостоятельно по проекту.
Рис. Реестр выявленных рисков
Все выявленные риски выгружаются в рабочий документ аудитора.
Рис. РД со списком рисков
При документировании риска приводятся предпосылки и факторы риска. По умолчанию данные показатели
проставляются автоматически на основании внесенных справочников. Аудитор устанавливает тип риска согласно п.6 МСА 315: ошибки или недобросовестные действия.
При оценке риска аудитор приводит Вероятность риска и Размер искажения (приводится в процентах с учетом
профессионального суждения). При необходимости приводится влияние факторов риска на анализируемый риск (п.19 МСА 315). Рассчитывается Неотъемлемый риск.
Рис. Оценка риска, факторы риска
При идентификации риска приводится информация, выявлен ли риск и является ли анализируемый риск значительным согласно требованиям пп. п 12, п. 22, п. 28, п. 32 МСА 315. Риск существенного искажения (РСИ)
рассчитывается как функция неотъемлемого риска и риска средств контроля.
Рис. Документирование оценки риска
Рабочие документы по рискам
В рабочих документах по рискам приводятся необходимые сведения по документированию и оценке рисков в
соответствии с требованиями МСА 315 "Выявление и оценка рисков существенного искажения". Один из рабочих
документов по рискам - "Описание выявленного риска".
Рис. Отчет Карточка риска
В программе IT Audit по результатам документирования оценки рисков и средств контроля предусмотрены
следующие рабочие документы:
• Реестр рисков / Журнал рисков
• Карточка риска (подробная информация по идентификации и оценке риска)
• Реестр средств контроля / Журнал средств контроля
• Карточка средства контроля (подробная информация по документированию средств контроля)
• Надзорная проверка рисков и средств контроля со стороны руководителя задания
• Проверка качества по рискам и средствам контроля со стороны контролера качества
Процедуры проверки по существу в ответ на значительные риски
Требование п. 21 МСА 330 Аудиторские процедуры в ответ на оцененные риски
Согласно требованиям п. 21 МСА 330 "Аудиторские процедуры в ответ на оцененные риски" если аудитор
определил, что тот или иной оцененный риск существенного искажения на уровне предпосылок является
значительным, он должен провести процедуры проверки по существу, нацеленные на реагирование именно на этот
риск.
Рис. Процедуры в ответ на выявленный риск
В карточке риска приводятся процедуры, которые проводятся в ответ на оцененный риск. По одному риску может
быть запланировано несколько процедур. Данные о рисках и процедурах выгружается в рабочий документ.
Рис. Отчет Процедуры по рискам
Более подробная информация по документированию и оценке рисков приведена на сайте разработчика программы IT Audit
Кушнарев Андрей
Аудитор, руководитель проекта IT Audit