Бухгалтерский учет. Налоги. Аудит

Re: Сравнение IT Audit и AuditXP и других программ для аудиторов

auditsoft  
09.05.2017, 08:31
Александр Орлов
В этом плане, если Вы начинаете не с отчетности в целом, то получается что Вы можете не провести процедуры проверки по существу, т.к. риск будет маленьким. А показатель отчетности окажется существенным. При этом, существенность отобранных операций будет не существенной.

Не вводите людей в заблуждение. У нас есть даже отдельный модуль по оценке отчетности, см. http://audit-soft.ru/reporting-assessment

Каждую строку отчетности можно разложить "по полочкам":
 


- отметить все значительные строки отчетности
- отслеживать стадию их проверки
- закрепить ответственного за проверку строки отчетности
- установить существенность по строке отчетности (подставляется автоматически по результатам распределения общего уровня существенности по строкам отчетности)
- установить предварительную стратегию проверки
- сделать вывод по строке (вывод можно написать самому или выбрать из справочника Выводы аудитора)



По строке отчетности можно оценить риски по предпосылкам



Задокументировать выявленные риски существенного искажения



А уже оценка риска и описание средств контроля аудируемого лица производится в модуле Риски, см. http://audit-soft.ru/risk
Исправлений: 1; последнее - в 09.05.2017, 08:51.
auditsoft  
09.05.2017, 09:35
Раз мы сравниваем программы, то вот еще несколько отличий программы IT Audit от конкурентов.

Раз мы сравниваем программы, то вот еще несколько отличий программы IT Audit от конкурентов. Есть возможность расширить программу дополнительными модулями (при этом даже не надо будет переустанавливать программу):

- Документооборот. Можно настроить свои шаблоны договоров и использовать данный модуль при оказании клиентам сопутствующих услуг (например, при ведение бухучета)

- Занятость (плановая и фактическая загрузка сотрудников по проектам)

- Задачи. Возможность постановки и контроля задач своим сотрудникам.

- Учет клиентов (основные возможности CRM-системы).

Таких возможностей у конкурирующих программ нет смайлик

А модуль Риски можно использовать для оказания клиенту сопутствующих услуг - составление карты рисков аудируемого лица и документирования средств контроля
avatar 09.05.2017, 10:39
А можно ли, не перечитывая длинные инструкции и не просматривая часы вебинара, получить от уважаемых обоих разработчиков краткий однозначный ответ на вопрос: если по строке отчетности  существенность мала, а риск (например, риск СВК ) высок, то она в Ваших программах исключается из плана проверки (так как существенность мала) или не исключается (так как риск высок)? Пример: денег в кассе мало, обороты по кассе несущественные, но контроль никакой - инвентаризации кассы нет, матответственное лицо не назначено, кассовая книга не сшита и не подписана, помещение кассы не запирается...смайлик Если я правильно понял предыдущую дискуссию, то у одного из разработчиков в таком примере касса из плана проверки исключается при нажатии на кнопку в программе - автоматически - так как она несущественна (в количественном выражении). А другой разработчик против такого автоматизма по количественному критерию существенности при формировании плана проверки возражает. Или я что-то не так понял?
Исправлений: 3; последнее - в 09.05.2017, 10:44.
auditsoft  
09.05.2017, 12:33
Грэг
А другой разработчик против такого автоматизма по количественному критерию существенности при формировании плана проверки возражает
Да, позицию IT Audit Вы поняли абсолютно правильно. Автоматизм тут не нужен. Включить или не включить определенную процедуру должен в конечном счете принимать аудитора. Программа ему может лишь рекомендовать, но не делать за него такие значимые выводы.
Грэг
Пример: денег в кассе мало, обороты по кассе несущественные, но контроль никакой - инвентаризации кассы нет, матответственное лицо не назначено, кассовая книга не сшита и не подписана, помещение кассы не запирается... Если я правильно понял предыдущую дискуссию, то у одного из разработчиков в таком примере касса из плана проверки исключается при нажатии на кнопку в программе - автоматически - так как она несущественна (в количественном выражении
Такую позицию мы считаем ошибочной и ее нельзя закладывать в программу. Именно поэтому мною был задан такой вопрос.


Александр Орлов
 auditsoftАлександр, чтобы ответить вам по существу, позволю задать вопрос.

Какую вы закладываете концепцию при разработке программы AuditXP?

1. Комплект рабочих документов и внутрифирменных стандартов для прохождения контроля качества:
а) формального
б) реального

2. Комплект рабочих документов и методика, позволяющая аудитору помочь при выполнения задания на аудита и пройти контроль качества:
а) формального
б) реального

3. Третий вариант (тогда опишите)
Вообще не понял о чем Вы!
avatar 09.05.2017, 12:47
auditsoft
Такую позицию мы считаем ошибочной и ее нельзя закладывать в программу. Именно поэтому мною был задан такой вопрос.
То есть, в приведенном мной примере с несущественной высокорискованной кассой она в IT Audit под проверку попадет и в план проверки  вставлена будет на этапе исследования рисков, так? Правильно понял? Если неправильно -поправьте меня.

Если неправильно понял переписку, что в AuditXP в приведенном мной примере с несущественной высокорискованной кассой она будет автоматически исключена из плана проверки (как это было видно по выложенному скрину документа с указанием красным шрифтом на кнопку, которую надо нажать) - поправьте меня. Может быть, исследование кассы в упомянутом случае из плана исключится на одном этапе, но добавится на каком-то другом этапе? Если да, то на каком? Или нет, вообще не попадет под исследование из-за несущественности с количественной точки зрения?

PS - кстати, уважаемые разработчики, а как вы на этом форуме картинки в сообщение вставляете? У меня только прицепить удается...
Исправлений: 2; последнее - в 09.05.2017, 12:56.
Вложения:
открыть | скачать - 2017-05-06_14-21-522267be.png (37.9 KB)
auditsoft  
09.05.2017, 12:59
Грэг
То есть, в приведенном мной примере с несущественной высокорискованний кассой она в IT Audit под проверку попадет и в план проверки  вставлена будет на этапе исследования рисков, так? Правильно понял?Если неправильно -поправьте меня.
В ITAudit необходимая процедура может быть включена на любом из способов формирования плана проверки:
1. Процедуры в отчет на оцененные риски
2. Процедуры по видам операций (остаткам по счетам)
3. Ручное добавление процедуры.

В IT Audit мы исходим из того, что когда пользователь открывает проект у него нет ни одной процедуры (единственный случай, когда он решил формировать проект на основе другого ранее выполненного проекта). А вот в процессе изучения организации, отчетности, выполнения процедур по планированию, изучения данных бухучета и т.д. формируется (уточняется) План аудита.



Если он все-таки хочет при открытии списка процедур видеть сразу все процедуры, а потом ненужные исключить (т.е. наоборот, исключать процедуры из предложенного разработчиками списка из 400 процедур), то он буквально за 20 сек. выбирает процедуры и они добавляются в План аудита.

А бывают случаи, когда аудит вообще проводится по спецзаданию, и заранее включать в такой проект все процедуры из справочника вообще смысла нет. Что проверяем, такие процедуры и добавляем!
auditsoft  
09.05.2017, 13:03
Грэг
PS - кстати, уважаемые разработчики, а как вы на этом форуме картинки в сообщение вставляете? У меня только прицепить удается...
Есть кнопка "Вставить картинку". В открывшейся форме указываем "урл" к картинке (а сама картинка на нашем сервере). Это видимо такая особенность данного движка форума.

Мы когда писали свою систему поддержки пользователей программы IT Audit предоставили пользователям вставить картинку или путем прикрепления или путем ее копирования в тело сообщения.
avatar 09.05.2017, 15:45
auditsoft
Александр, когда вы поучаствуете в реальной проверке, то согласитесь.

Приведу пример. Видите вы по данным ОСВ, отчетности, что есть операции по выручке. Но пока вы не посмотрите данные бухучета по выручке Вы можете не понять какие у них виды операций. Может у них выручка "типа от посреднических услуг" 100 руб. (условно), а фактически это выручка от продаж активов на 100 млн. А это влияет на План аудита. И таких примеров можно привести сотню.
Я не собираюсь участвовать в аудите. У меня другая работа.
Мне достаточно скудного знания МСА и обсуждения вопросов с нашими методологами. Я же не занимаюсь созданием методики аудита или программированием... Я директор, у меня другие обязанности.

Не подменяйте понятия!

Для определения существенности того или иного показателя БФО не нужно загружать и анализировать проводки. Достаточно самой отчетности.

Они уже систематизированы!

Все возможные операции в итоге уже имеют "свое место" в БФО. Посмотрите хотя бы на свои Операции. Они же на строку 2110 БФО (Выручка) влияют?

Приведенный Вами пример не имеет ни какого отношения к существенности! А разговор об этом был.
auditsoft
Приведу пример. Видите вы по данным ОСВ, отчетности, что есть операции по выручке. Но пока вы не посмотрите данные бухучета по выручке Вы можете не понять какие у них виды операций. Может у них выручка "типа от посреднических услуг" 100 руб. (условно), а фактически это выручка от продаж активов на 100 млн. А это влияет на План аудита. И таких примеров можно привести сотню.
На этапе предварительного планирования не важно из каких типов операций состоит строка 2110 БФО. Важно - существенен ли данный показатель отчетности и все.
Про дальнейший анализ и включение в план не существенных показателей БФО речи нет.

Вы вообще постоянно перепрыгиваете с одного на другое. Я так не привык! Если мы говорим об программах, то логичнее структурировать свои мысли так, как делается аудит в программе. Это же алгоритмы. Как можно в программу заложить алгоритм "туда-сюда"? Должна быть какая-то структура.
Или у Вас и в программе все "прыгает" с конца на начало и обратно?
auditsoft
Конечно же стратегия аудита первичней чем загрузка данных бухчета. Только Стратегия документ более верхнего уровня и пока аудитор не окунется в данные бухучета он ни как не сможет сформировать реальный план аудита.

В программе IT Audit в можно идти как от общего к частному, так и наоборот.
Как так то? А МСА говорят по другому!

МСА 300
7. Аудитор должен разработать общую стратегию аудита, отражающую объем, сроки проведения и общую направленность аудита, а также являющуюся основой для разработки плана аудита.
8. При разработке общей стратегии аудита аудитор должен:
(a) выявить особенности аудиторского задания, имеющие определяющее значение для его объема;
(b) подтвердить цели отчетности по аудиторскому заданию для планирования сроков проведения аудита и характера необходимого информационного взаимодействия;
(c) проанализировать факторы, которые в соответствии с суждением аудитора являются значимыми для определения направления деятельности аудиторской группы;
(d) изучить результаты предварительной работы по аудиторскому заданию и, если уместно, определить, окажется ли полезен опыт, полученный ранее руководителем задания при выполнении других заданий в интересах данной организации, для выполнения этого задания;
(e) установить характер, сроки использования и объем ресурсов, необходимых для проведения данного аудита (см. пункты A8 - A11).

Возвращаясь к Вашему примеру, могу сказать только одно: Да, процесс планирования в ходе проведения аудита не останавливается, планирование заканчивается с выдачей АЗ. Если на первом этапе аудитор не запланировал какую-то процедуру по Вашему примеру: "Может у них выручка "типа от посреднических услуг" 100 руб. (условно), а фактически это выручка от продаж активов на 100 млн. А это влияет на План аудита.", то это он может сделать позже, когда поймет, что нужно проверить эти операции.

МСА 300
A2. Планирование не является отдельным этапом аудита, а, скорее, носит непрерывный и циклический характер и во многих случаях начинается сразу по завершении (или в связи с завершением) предыдущего аудиторского задания и продолжается вплоть до выполнения текущего аудиторского задания. Планирование предполагает анализ сроков определенных работ и аудиторских процедур, которые должны быть завершены до начала выполнения последующих аудиторских процедур. Например, планирование включает необходимость еще до выявления и оценки аудитором рисков существенного искажения проанализировать такие вопросы, как:
- перечень аналитических процедур, которые необходимо выполнить в качестве процедур оценки рисков;
- получение общего представления о нормативно-правовых актах, относящихся к деятельности организации, и того, каким образом организация выполняет требования этих актов;
- порядок определения существенности;
- целесообразность привлечения экспертов;
- порядок выполнения прочих процедур оценки рисков.
avatar 09.05.2017, 15:56
auditsoft
Александр Орлов
В этом плане, если Вы начинаете не с отчетности в целом, то получается что Вы можете не провести процедуры проверки по существу, т.к. риск будет маленьким. А показатель отчетности окажется существенным. При этом, существенность отобранных операций будет не существенной.

Не вводите людей в заблуждение. У нас есть даже отдельный модуль по оценке отчетности,

Ни кого я в заблуждение не ввожу!


Я написал Вам конкретный пример, как подход не от отчетности в целом может привести к пропуску искажения.

Модуль у Вас, конечно, есть! Иначе я бы так прямо и написал. Но дело не в модуле, а в том, что Вы настаиваете на позиции, что нужно/можно идти не от отчетности в целом, а наоборот.

Вот и все! Я не обсуждал конкретно Вашу программу. Я говорил о подходе в конкретном примере, который Вы сами, тут же, и привели.
avatar 09.05.2017, 16:27
Александр Орлов
 Если на первом этапе аудитор не запланировал какую-то процедуру по Вашему примеру: "Может у них выручка "типа от посреднических услуг" 100 руб. (условно), а фактически это выручка от продаж активов на 100 млн. А это влияет на План аудита.", то это он может сделать позже, когда поймет, что нужно проверить эти операции.
Я прошу прощения, что вмешиваюсь в вашу дискуссию друг с другом, но как раз в этом мой вопрос и состоит - КАК ИМЕННО в AuditXP аудитор может, исключив некий раздел аудита на этапе предварительного планирования из-за несущественности в количественном выражении, впоследствии СНОВА ВКЛЮЧИТЬ его в план аудита из-за, скажем, высоких рисков СВК.
Мой пример - с несущественной и высокорискованной кассой. Я ткнул на кнопку, и он у меня автоматически вылетел из плана проверки из-за несущественности в количественном выражении. Хорошо. Дальше я проверил СВК и схватился за голову. Что я должен сделать, чтобы этот раздел снова попал в план проверки? Какие РД заполнить, на какие кнопки нажать?
avatar 09.05.2017, 19:01
Грэг
А можно ли, не перечитывая длинные инструкции и не просматривая часы вебинара, получить от уважаемых обоих разработчиков краткий однозначный ответ на вопрос: если по строке отчетности  существенность мала, а риск (например, риск СВК ) высок, то она в Ваших программах исключается из плана проверки (так как существенность мала) или не исключается (так как риск высок)?
Можно! А вебинар, на который я тут ссылаюсь длится 30 минут.подмигнул

Если отвечать "в лоб" и коротко на Ваш вопрос, то существенность и оценка рисков может как влиять, так и не влиять на включение в План какого-то показателя.ржу во весь рот

Т.е. аудитор может восстановить, ранее исключенный раздел, в Плане.

Если подробнее, то:

Алгоритм по шагам. Постараюсь коротко и без воды. Предполагается, что все необходимые процедуры по МСА делаются, даже если о них я тут не говорю.

1. Аудитор определил общий уровень существенности по отчетности в целом.

Скриншот со всеми показателями:


2. Указал сколько показателей оставить для определения общего уровня существенности.

Скриншот с 4 наиболее существенными показателями:


После сохранения бланка, общий уровень существенности (средне арифметическое значение промежуточных уровней существенности) сохраняется как "Общий уровень существенности".

Примечание! Доли, как и сами показатели, для показателей хранятся в методике. Их можно менять как в самой методике, так и в самом РДА при расчете. Т.е. аудитор может как согласиться с нашими долями и набором показателей, так и изменить их и создать новые.

3. Дальше программа распределяет Общий уровень существенности по элементами (строкам) отчетности.

Скриншот со всеми показателями:


Скриншот с показателями, которые больше критерия 1%


Аудитор может как согласиться с предложенным программой распределением, так и изменить существенность каждого показателя вручную. Использовать ли Критерий существенности решает, так же, сам аудитор, как и определяет размер самого критерия.

Т.е. можно оставить хоть все элементы, хоть только один. Как это зачастую делается в западной практике.

4. Дальше аудитор, если считает нужным, применяет Критерий существенности к Плану или не применяет. Если применяет - разделы меньше Критерия удалятся из Плана. Если не применяют - все останутся.

5. Потом оценивает Риски...

Организация и ее окружение.


Получаем Неотъемлемый риск


Система внутреннего контроля


Получаем риск СВК


Получаем Аудиторский риск


Оцениваем риск Существенного искажения по предпосылкам


6. Определяем Основные направления

Понимание задания


7. И вот только сейчас аудитор переходит к Плану. До этого Разделы аудита в Плане без прямого участия аудитора включались и исключались.

В Плане аудитор может как убрать не нужные разделы (даже существенные, это решение самого аудитора), так и восстановить ранее убранные. Для этого есть соответствующая кнопка.



В Плане кстати отражается Общий уровень существенности. А не по элементам! Думаю уберем, т.к. эта информация лишняя.ржу во весь рот

Вот и все.

P.S.
А вообще! Я уже отмечал, что это интересный вопрос. Но он больше методологический нежели относящийся с программе. Смотрите...

Существенность по сути влияет на включение или не включение в План конкретного показателя. Если показатель существенный, то аудитор обязан проверить его. Причем нужно именно процедуры по существу провести.

Т.е. по всем существенным разделам нужно провести процедуры по существу.

А вот риск влияет не на включение в План, а на объем конкретных процедур, для его снижения до приемлемого уровня. Причем, в зависимости от конкретных обстоятельств набор этих процедур может значительно отличаться.

Если вернуться к Вашему вопросу, то зачем проверять не существенный раздел? Даже если риски по нему большие.

На ум приходит только то, что этот раздел может быть либо  ключевым (по какой-то другой причине), либо есть обстоятельства, которые могут служить основанием для оценки аудитором таких искажений как существенных.

Т.е. "не существенный" показатель на самом деле существенный!ржу во весь рот Вот мы и вернулись к существенности.ура!
avatar 09.05.2017, 19:06
Грэг
PS - кстати, уважаемые разработчики, а как вы на этом форуме картинки в сообщение вставляете? У меня только прицепить удается...
Я использую для этих целей сервис - [screenshot.ru]

Нужно на нем зарегистрироваться и авторизоваться. Тогда скриншоты не будут потом удаляться.

После загрузки туда картинок их можно вставлять в виде ВВ кода. Это специальный формат для форумов.
avatar 09.05.2017, 19:10
Александр Орлов
В Плане аудитор может как убрать не нужные разделы (даже существенные, это решение самого аудитора), так и восстановить ранее убранные. Для этого есть соответствующая кнопка.
Теперь понятно, спасибо!
Значит, обе программы позволяют учесть ситуацию выявления повышенного риска и корректировки ранее составленного (на этапе первоначального планирования) плана проверки. Это хорошо.
avatar 09.05.2017, 19:21
Александр Орлов
Если вернуться к Вашему вопросу, то зачем проверять не существенный раздел? Даже если риски по нему большие.
А как насчет риска мошенничества?

МСА 230


A51.   Поскольку недобросовестные действия подразумевают побуждение к совершению недобросовестных действий или давление, осознаваемую возможность их совершения или некое оправдание этих действий, случай недобросовестных действий вряд ли будет носить единичный характер. Следовательно, искажения, такие как многочисленные искажения в определенном подразделении, даже если их суммарный эффект не является существенным, могут служить признаком риска существенного искажения вследствие недобросовестных действий.
A52.   Последствия выявленных недобросовестных действий зависят от обстоятельств. Например, в целом незначительные недобросовестные действия могут оказаться значительными, если в их совершении участвует высшее руководство. В таких обстоятельствах надежность ранее собранных доказательств может вызвать вопросы, поскольку могут возникнуть сомнения в полноте и правдивости сделанных заявлений или в подлинности данных бухгалтерского учета и документации. Может также существовать возможность сговора с участием сотрудников, руководства или сторонних лиц.


A60.       Когда аудитор получил доказательства наличия или возможного наличия недобросовестных действий, важно довести эту информацию до сведения членов руководства соответствующего уровня настолько оперативно, насколько позволяют обстоятельства. Это должно быть сделано, даже если это не имеет существенного значения (например, в случае мелкой растраты, совершенной сотрудником, занимающим незначительную должность в организационно-штатной структуре организации)....
avatar 09.05.2017, 19:29
Грэг
Александр Орлов
Если вернуться к Вашему вопросу, то зачем проверять не существенный раздел? Даже если риски по нему большие.
А как насчет риска мошенничества?

МСА 230


A51.   Поскольку недобросовестные действия подразумевают побуждение к совершению недобросовестных действий или давление, осознаваемую возможность их совершения или некое оправдание этих действий, случай недобросовестных действий вряд ли будет носить единичный характер. Следовательно, искажения, такие как многочисленные искажения в определенном подразделении, даже если их суммарный эффект не является существенным, могут служить признаком риска существенного искажения вследствие недобросовестных действий.
A52.   Последствия выявленных недобросовестных действий зависят от обстоятельств. Например, в целом незначительные недобросовестные действия могут оказаться значительными, если в их совершении участвует высшее руководство. В таких обстоятельствах надежность ранее собранных доказательств может вызвать вопросы, поскольку могут возникнуть сомнения в полноте и правдивости сделанных заявлений или в подлинности данных бухгалтерского учета и документации. Может также существовать возможность сговора с участием сотрудников, руководства или сторонних лиц.


A60.       Когда аудитор получил доказательства наличия или возможного наличия недобросовестных действий, важно довести эту информацию до сведения членов руководства соответствующего уровня настолько оперативно, насколько позволяют обстоятельства. Это должно быть сделано, даже если это не имеет существенного значения (например, в случае мелкой растраты, совершенной сотрудником, занимающим незначительную должность в организационно-штатной структуре организации)....

Я в том числе и про это говорил, когда говорил про обстоятельства...

Александр Орлов
На ум приходит только то, что этот раздел может быть либо  ключевым (по какой-то другой причине), либо есть обстоятельства, которые могут служить основанием для оценки аудитором таких искажений как существенных.

Еще раз. Интересный пример!смайлик
avatar 09.05.2017, 19:35
Еще раз: пример с кассой, возможные искажения - несущественные. Пример - маленькая касса, существенного влияния на отчетность оказать не может, даже если всю кассу украли. Однако, риск мошенничества зашкаливает. Вы считаете, что кассу не надо проверять?
avatar 09.05.2017, 19:51
auditsoft

Грэг
А другой разработчик против такого автоматизма по количественному критерию существенности при формировании плана проверки возражает
Да, позицию IT Audit Вы поняли абсолютно правильно. Автоматизм тут не нужен. Включить или не включить определенную процедуру должен в конечном счете принимать аудитора. Программа ему может лишь рекомендовать, но не делать за него такие значимые выводы.

Автоматизация нужна, но в конечном счете решение принимает аудитор. AuditXP дает инструментарий, а пользоваться им или все процедуры вручную добавлять в План решает сам аудитор.

Грэг
Значит, обе программы позволяют учесть ситуацию выявления повышенного риска и корректировки ранее составленного (на этапе первоначального планирования) плана проверки. Это хорошо.

Иначе быть и не могло! Решать за аудитора программа не должна. Она должна помогать принимать решения, и автоматизировать реализацию данного решения.

Грэг
Еще раз. Возможные искажения - несущественные. Пример - маленькая касса, существенного влияния на отчетность оказать не может, даже если всю кассу украли. Пример с кассой. Однако, риск мошенничества зашкаливает. Вы считаете, что кассу не надо проверять?

Грэг, я не имею права отвечать на данный вопрос. Я не аудитор! Я, лишь, указываю на интересные аспекты МСА, а конкретные примеры обсуждать аудиторы должны.ржу во весь рот

Если вопрос в том, включит ли программа Кассу в План, когда существенность маленькая, а аудитор обнаружил высокие риски, то НЕТ. Аудитор сам должен восстановить раздел, если до этого он его исключил.

Пока инструмента для автоматизации этого процесса нет, но мы работаем над ним. Дело ОЧЕНЬ не простое! Все очень взаимосвязано и не определенно за ранее. Т.е. разработать алгоритм, который бы заранее предусмотрел все особенности очень сложно. Но, думаю, уже в этом году мы предложим кое-что на этот счет.подмигнул
Исправлений: 1; последнее - в 09.05.2017, 19:58.
avatar
Escapist  
09.05.2017, 22:16
"5. Потом оценивает Риски..."

Вы уверены, что предложенный механизм оценки рисков в виде чеклистов из готового закрытого перечня вариантов ответа соответствует МСА315, а именно пункту 122 по объёму документирования проведённых аудитором процедур? Например, предполагается выбор вариант ответа, что информационнная система "стандартная". Что это означает эта "стандартность" и как влияет на предположительный расчёт веса риска СВК, остается только гадать. В моем профессиональном мнении, если данные чеклисты - это единственное, что сделает и задокументирует аудитор, исполняя требования МСА315, то:
- оценка риска СВК следует принять высокой (так как доказательств для более низкого уровня риска не собрано)
- полагаться на контрольную среду не следует (так как оценка дизайна контрольных процедур не выполнена).

Итого аудитор должен (и это вполне нормально и привычно для небольших проектов) 100% полагаться на процедуры по существу, в основном детальное тестирование.
avatar 09.05.2017, 23:29
Escapist
Вы уверены, что предложенный механизм оценки рисков в виде чеклистов из готового закрытого перечня вариантов ответа соответствует МСА315, а именно пункту 122 по объёму документирования проведённых аудитором процедур?
Я не уверен. Именно по этим причинам предложенный механизм оценки рисков сделан нами НЕ в виде чеклистов с закрытым перечнем вариантов ответа, а в виде настраиваемого справочника.

Собственно, любой РДА в котором можно выбирать готовые вопросы и ответы является таким справочником. Т.е. список вопросов и ответов на них задается изначально методологом компании (первоначальный перечень даем мы в типовой методике), и в ходе проведения процедуры может дополняться/изменяться аудитором.

Тут нужно отметить, что набор всех возможных процедур проверки, тестов с ответами, строк отчетности и их связь со счетами, доли существенности и т.п. содержится в полностью настраиваемой методике аудита. Методику можно (я считаю нужно) менять не только под конкретную АО, но и под конкретный тип клиента или проверки, и сохранять как шаблон. При создании новой проверки именно этот шаблон и используется для формирования методики новой проверки.

Идея в том, что таких методик в каждой АО должно быть много. Под разные типы проверок, разные виды клиентов и т.п. Например, Шаблон для аудита небольшого предприятия, Шаблон для среднего завода, Шаблон для тестирования СВК и т.д. и т.п.

Если говорить о тестах по рискам, то принцип заложен следующий: есть положительный (низкий риск), отрицательный (высокий риск) и нейтральный (средний риск) ответ. Дальше по формуле с верхней и нижней границей риска определяем текущий риск.

Escapist
Итого аудитор должен (и это вполне нормально и привычно для небольших проектов) 100% полагаться на процедуры по существу, в основном детальное тестирование.
Насколько я понимаю - это одна из основных проблем небольших АО. С одной стороны АО занижают количество процедур предварительного планирования и оценки рисков, с другой компенсируют это бОльшим объемом процедур по существу.

Соглашусь, это нормально при небольших проектах (причем лучше по ФСАД), а в условиях применения МСА, скорее всего, эта особенность будет приводить либо к недостаточности доказательств по оценке рисков (по ФСАД-овской привычке), либо к занижению стоимости аудита (по крайней мере сначала). Т.к. многие аудиторы ранее уделяли рискам намного меньше внимания.
Исправлений: 1; последнее - в 10.05.2017, 21:07.
avatar 10.05.2017, 09:22
Итак, в AuditXP метод оценки рисков - заполнение чек-листов (опросников) с тремя вариантами ответа в них. Набор вопросов разработчик предложил, но вопросы можно изменить через справочник. Все так? А что в IT Audit, каким способом оцениваются риски? Тоже через заполнение чек-листов с настраиваемого текстами вопросов или по-другому?
10.05.2017, 21:03
Грэг
Итак, в AuditXP метод оценки рисков - заполнение чек-листов (опросников) с тремя вариантами ответа в них. Набор вопросов разработчик предложил, но вопросы можно изменить через справочник. Все так? 
Да. Уточняю методику определения рисков по тестам. В тестах три ответа риск низкий, средний , высокий. Несложной формулой по числу оценок и  границам определяется количественное значение риска.
10.05.2017, 21:20
Грэг
Еще раз: пример с кассой, возможные искажения - несущественные. Пример - маленькая касса, существенного влияния на отчетность оказать не может, даже если всю кассу украли. Однако, риск мошенничества зашкаливает. Вы считаете, что кассу не надо проверять?
Кассу можно не проверять, т.к. ее искажение мало. НО!! Если украли немного из кассы , могли и украсть МНОГО по безналичным операциям. Необходимо провести процедуры по расчетам с кредиторами. 
avatar 10.05.2017, 21:41
Гольдберг
Грэг
Итак, в AuditXP метод оценки рисков - заполнение чек-листов (опросников) с тремя вариантами ответа в них. Набор вопросов разработчик предложил, но вопросы можно изменить через справочник. Все так? 
Да. Уточняю методику определения рисков по тестам. В тестах три ответа риск низкий, средний , высокий. Несложной формулой по числу оценок и  границам определяется количественное значение риска.
Действительно не правильно описал алгоритм по рискам...жаль Не нужно ночью на форум заходит видимо. ржу во весь рот Исправил!

Кстати, если я правильно понимаю, такое определение рисков есть только в AuditXP.
Это наше ноу-хау!

Помню, что Гольдберг еще в 2004 году предложил определять риски в количественном (процентами, а не средний, низкий, высокий) выражении на основании качественных оценок в тестах. Идея просто супер для автоматизации аудита (при ручной работе слишком трудоемкая технология просто).

Эта методика по рискам была заложена еще в самую первую версию AuditXP, которую мы выпустили на смену программы "Помощника аудитора" в 2005 году.

Ни чего подобного до сих пор в других методиках, которые я видел, НЕТ.

Вот что получается, когда методолог (Гольдберг) одновременно: аудитор, кандидат физико-математических наук и программист. ржу во весь рот
russar  
11.05.2017, 17:07
Уважаемые коллеги и разработчики ПО!
Возник вопрос об определении существенности. Я вижу, что их несколько видов.
Так, по МСА 320.10: При формировании общей стратегии аудита аудитор должен определить существенность для финансовой отчетности в целом-ЭТО ОДИН ОБЩИЙ (ПЕРВЫЙ) ВИД СУЩ-ТИ
Далее, по МСА 320.11 еще один вид существенности:Аудитор должен определить существенность для выполнения аудиторских процедур в целях оценки рисков существенного искажения и определения характера, сроков и объема последующих аудиторских процедур (см. пункт А12). ЭТО ДРУГОЙ РАБОЧИЙ (ВТОРОЙ) ВИД СУЩ-ТИ
Согласно МСА 320.12: ... существенность для выполнения аудиторских процедур означает величину или величины, установленные аудитором меньше существенности для финансовой отчетности в целом ... Т.Е. ДРУГОЙ РАБОЧИЙ (ВТОРОЙ) ВИД СУЩ-ТИ ДОЛЖЕН БЫТЬ МЕНЬШЕ ОБЩЕГО (ПЕРВОГО) ВИДА СУЩ-ТИ.


Также в МСА 320 рассматриваются коэффициенты, контрольные показатели для расчета общего уровня сущ-ти для ФО и поправочные проценты к ним.
МСА 320.А3, 320.А7: 
- Определение существенности предполагает применение профессионального суждения. Во многих случаях в качестве точки отсчета при определении существенности для финансовой отчетности в целом применяется определенный процент выбранного контрольного показателя...
- Определение процента, который будет применяться к выбранному контрольному показателю, предполагает применение профессионального суждения... САМОСТОЯТЕЛЬНО ВЫБИРАЕМ % ДЛЯ КАЖДОГО ИЗ ПРИМЕНЯЕМЫХ КОНТР ПОКАЗАТЕЛЕЙ (ПРОФ.СУЖДЕНИЕ). 
МСА 320.А4: Примерами надлежащих контрольных показателей, в зависимости от обстоятельств той или иной организации, можно считать категории отраженного в отчетности дохода, такие как прибыль до налогообложения, выручка, валовая прибыль и совокупные расходы, собственный капитал или стоимость чистых активов. В коммерческих организациях часто используется такой контрольный показатель, как прибыль до налогообложения от операционной деятельности. Если прибыль до налогообложения от операционной деятельности волатильна, более подходящими контрольными показателями могут оказаться, например, валовая прибыль или совокупная выручка.-УКАЗАНЫ КОНТР ПОКАЗАТЕЛИ ДЛЯ ПРИМЕРА, НО ВЕДЬ МЫ МОЖЕМ ВЗЯТЬ ИЗ ФО И ИНЫЕ КОНТР ПОКАЗАТЕЛИ, ЗАПРЕТА НА ЭТО НЕ ВИЖУ. ДЛЯ РАСЧЕТА ОБЩ УРОВНЯ СУЩ-ТИ МЫ ДЛЯ КОНКР ПРОЕКТА МЫ МЫ БЕРЕМ ТОЛЬКО ОДИН КОНТРОЛЬНЫЙ ПОКАЗАТЕЛЬ.
МСА 320.А12: ...Определение существенности для выполнения аудиторских процедур не является простым механическим подсчетом, а предполагает применение профессионального суждения. Оно зависит от полученного аудитором понимания организации, уточненного в ходе выполнения процедур оценки рисков, а также от характера и объема искажений, выявленных в ходе предшествующих аудиторских заданий, и, таким образом, от ожиданий аудитора в отношении искажений в текущем периоде. ДЛЯ ОПРЕДЕЛЕНИЯ РАБОЧЕГО УРОВНЯ СУЩ-ТИ ВВОДИТСЯ ПОПРАВОЧНЫЙ КОЭФФИЦИЕНТ "ОЖИДАНИЕ ИСКАЖЕНИЙ" К ОБЩ УРОВНЮ СУЩ-ТИ, КОТОРЫЙ, КАК Я ПОНИМАЮ, АУДИТОР ОПРЕДЕЛЯЕТ САМОСТОЯТЕЛЬНО.


Поправьте, пожалуйста, меня, если я ошибаюсь в своих выводах. 
Т.о. для определения существенных строк ФО мы используем общий (первый) вид сущ-ти, поправленный на % .
Т.о. для проведения ауд. процедур мы используем рабочий (второй) вид сущ-ти, определенный с помощью % ожидаемых искажений.

Как я вижу, что в AuditXP расчет сущ-ти не соответствует МСА. 
1. Т.е. в расчете общей сущ-ти нет возможности: выбрать один конкретный показатель отчетности в соот с МСА 320.А4 ,указать % в соот с МСА 320.А4, а есть возможность только выбрать количество (число) базовых показателей. Эта методика перешла из прош версий программы, в самой методике указано "Расчет общего уровня существенности не отличается от ФПСАД". Как я помню в ФПСАД № 4 Существенность в аудите не было конкретного указания на метод расчета существенности.
2. Нет РД по расчету рабочего уровня существенности в соот с МСА 320.11, 320.12.


Как обстоят дела с сущ-ю в  IT Audit?
 Кто-нибудь может поделиться РД по расчету существенности по МСА?
avatar 11.05.2017, 17:38
russar
. ДЛЯ РАСЧЕТА ОБЩ УРОВНЯ СУЩ-ТИ МЫ ДЛЯ КОНКР ПРОЕКТА МЫ МЫ БЕРЕМ ТОЛЬКО ОДИН КОНТРОЛЬНЫЙ ПОКАЗАТЕЛЬ.
Из чего следует, что это может быть только один контрольный показатель, а не совокупность нескольких контрольных показателей? Где указание в МСА на то, что такой показатель может быть ТОЛЬКО один?
Только зарегистрированные пользователи могут писать в этот форум.