Бухгалтерский учет. Налоги. Аудит

Возможно ли оценить аудиторский риск вообще?

avatar 28.07.2021, 21:54
Вопрос немного сложнее, чем кажется на первый взгляд. Да и тема намного шире чем я в названии указал.

Чтобы получить разумную уверенность, аудитор должен получить достаточное количество надлежащих аудиторских доказательств, снижающих аудиторский риск до приемлемо низкого уровня.

Аудиторский риск напрямую зависит от риска существенного искажения и риска необнаружения.

Риск существенного искажения включает два компонента: неотъемлемый риск и риск средств контроля.

Риск необнаружения – риск, заключающийся в том, что в результате выполнения аудитором процедур с целью снижения аудиторского риска до приемлемо низкого уровня не будет обнаружено существующее искажение, которое может быть существенным по отдельности или в совокупности с другими искажениями.

Если выявить и оценить РСИ через выявление и оценку рисков средств контроля и неотъемлемого риска представляется вполне возможным. То как оценить риск необнаружения?
Да и нужно ли это вообще делать? Особенно учитывая то, что устранить РН вообще невозможно. Его можно только снизить.

В итоге получаем, что аудитору не важно какой аудиторский риск будет при определенных условиях. Ему важно чтобы уровень аудиторского риска был приемлемым.

В связи с чем возникает ряд вопросов:

Какой уровень аудиторского риска приемлем?
Например, средний или 5%, 10%.

Зависит ли величина приемлемого уровня аудиторского риска от каких-то условий?
Например, при аудите банка - 5%, при аудите производства - 10%.

Как вы оцениваете риски?
Качественно (низкий, высокий) или количественно (5%,10%).

Оцениваете ли вы риск необнаружения? Как вы это делаете и зачем?
Хрю  e284  
29.07.2021, 11:46
Риски лучше оценивать качественно.
Цифири - либо от лукавого, либо от недостатка опыта, т. е. в любом случае останутся среднепотолочными величинами.
Теоретически возможно посчитать вероятность с помощью математической статистики и теории вероятности. Но зачем это нужно?
Исправлений: 1; последнее - в 29.07.2021, 11:57.
avatar
Торт  
29.07.2021, 12:41
Проблема больше не с оценкой риска, а с тем, как это оформить на бумаге в РД. То, что в рамках разговоров/рассуждений/мыслей выглядит нормально, на бумаге приобретает вид какой-то ахинеи. Имхо.
Алла  a1e5  
29.07.2021, 13:04
Все эти риски в процентах ахинея для создания РД. А РД для ВККР. 
Алла  a1e5  
29.07.2021, 13:29
Александр, а Вы зачем поднимаете эту тему на форуме? Узнать мнение исполнителей МСА? Здесь регуляторов нет. УЭ по ВККР комментировать нельзя. Зачем Вам наше мнение ? 
avatar
Escapist  
29.07.2021, 14:55
Хрюкман
Риски лучше оценивать качественно.
Цифири - либо от лукавого, либо от недостатка опыта, т. е. в любом случае останутся среднепотолочными величинами.
Теоретически возможно посчитать вероятность с помощью математической статистики и теории вероятности. Но зачем это нужно?
Вариант 1
1. Потратить время на изготовление количественной риск-методики на основе мат статистики
2. Потратить время на обучение всех сотрудников
3. Сотрудникам потратить больше времени на сбор стат. данных и ошибиться в применении методики
4. Внутренним контролерам потратить время на проверку применения методики и исправление.
5. Если к моменту выявления ошибки, успели сделать аудиторские процедуры, полевой команде потратить время на переделку выборок и проведение новых процедур. Если успели вернуться с проверки, скорректировать запланированные процедуры таким образом, чтобы ... (вычеркнуто цензурой)
6. Потратить время на объяснение методики и конкретного ее применения в РД для внешних контролеров
---
Вариант 2. Оценивать риски качественно
avatar 29.07.2021, 15:02
Алла
Александр, а Вы зачем поднимаете эту тему на форуме? Узнать мнение исполнителей МСА? Здесь регуляторов нет. УЭ по ВККР комментировать нельзя. Зачем Вам наше мнение ? 
Тему поднял, т.к. у меня есть гипотеза, что не все по настоящему понимают, что такое риски, зачем их оценивать и на что они и как влияют.

Из-за всего этого получается:
Алла
Все эти риски в процентах ахинея для создания РД. А РД для ВККР
и
Торт
Проблема больше не с оценкой риска, а с тем, как это оформить на бумаге в РД. То, что в рамках разговоров/рассуждений/мыслей выглядит нормально, на бумаге приобретает вид какой-то ахинеи. Имхо.

В итоге аудиторы тратят время на оформление "ненужных РД", которые ни на что не влияют и существуют лишь для ВККР.

Вот для подтверждения своей гипотезы (для себя лично) я и задал такой вопрос на форуме.ржу во весь рот
avatar 29.07.2021, 15:26
Escapist
Вариант 2. Оценивать риски качественно
С этим вариантом тоже есть нюанс...
Т.к. выявление и оценка рисков - это очень сложный и многоступенчатый процесс, отнесенный МСА к значимым вопросам аудита и обязательным к документированию.

Задокументировать профсуждение иногда намного сложнее, чем следовать математической модели.

Опишите из чего Вы исходили, когда оценили какой-то риск как "низкий".

Да и что потом делать с этим значением?
avatar 29.07.2021, 15:28
На эти вопросы никто ответить не может?
Александр Орлов
Какой уровень аудиторского риска приемлем?
Например, средний или 5%, 10%.

Зависит ли величина приемлемого уровня аудиторского риска от каких-то условий?
Например, при аудите банка - 5%, при аудите производства - 10%.

Оцениваете ли вы риск необнаружения? Как вы это делаете и зачем?
Алла  a1e5  
29.07.2021, 15:38
Александр Орлов
Вот для подтверждения своей гипотезы (для себя лично) я и задал такой вопрос на форуме.
А я думала чтобы сотрудники отдела ВККР СРО это прочитали и сделали оргвыводы…
avatar 29.07.2021, 15:46
Хрюкман
Риски лучше оценивать качественно.
Цифири - либо от лукавого, либо от недостатка опыта, т. е. в любом случае останутся среднепотолочными величинами.
Насчет лучше не уверен.
Все-таки риски это вероятностное понятие. Математика с вероятностями работает лучше.

Хрюкман
Теоретически возможно посчитать вероятность с помощью математической статистики и теории вероятности. Но зачем это нужно?
Это нужно для дальнейшего использования полученного значения при оценке других рисков или расчета объема выборки. Можно для уточнения уровня существенности использовать еще например.

Как изменится риск выборки и как следствие объем выборки, если аудитор провел Тесты средств контроля и/или Аналитические процедуры?

Достаточно проделанной работы? Нужно детальные тесты делать?

Сколько выбрать элементов для проверки если риск "средний"? А если "низкий"?
avatar 29.07.2021, 15:52
Алла
Александр Орлов
Вот для подтверждения своей гипотезы (для себя лично) я и задал такой вопрос на форуме.
А я думала чтобы сотрудники отдела ВККР СРО это прочитали и сделали оргвыводы…
Алла, я к счастью (или сожалению) не имею права оценивать сотрудников ВККР СРО или Казначейство...
Мое личное наблюдение заключается в том, что как и везде все очень сильно зависит от конкретного исполнителя.смайлик Это, кстати, я и считаю основной проблемой КК, в том числе и внутреннего.
avatar 29.07.2021, 15:56
Давайте разобьем проблему на составляющие?!

Какой уровень аудиторского риска приемлем?

Если мы каким-то образом получили Аудиторский риск = 20% или "высокий". Такой уровень приемлем?

Возвращаясь к ВККР...
Приходит УЭ и видит Аудиторский риск = 20%. Что будет?
Хрю  e284  
29.07.2021, 16:11
Александр Орлов
Как изменится риск выборки и как следствие объем выборки, если аудитор провел Тесты средств контроля и/или Аналитические процедуры?

Достаточно проделанной работы? Нужно детальные тесты делать?

Сколько выбрать элементов для проверки если риск "средний"? А если "низкий"?
00
  От всего этого попахивает бюрократией.
  Лучший прием для снижения рисков это чутье опытного аудитора, с мозгами и со стажем. Он сам сообразит, какой риск (высокий, средний) и свои качественные оценки задокументирует в РД.
avatar 29.07.2021, 18:23
Хрюкман
Александр Орлов
Как изменится риск выборки и как следствие объем выборки, если аудитор провел Тесты средств контроля и/или Аналитические процедуры?

Достаточно проделанной работы? Нужно детальные тесты делать?

Сколько выбрать элементов для проверки если риск "средний"? А если "низкий"?
00
  От всего этого попахивает бюрократией.
  Лучший прием для снижения рисков это чутье опытного аудитора, с мозгами и со стажем. Он сам сообразит, какой риск (высокий, средний) и свои качественные оценки задокументирует в РД.
Не думаю, что это чисто "бюрократия". Иначе сложно понять, что аудитор реально что-то делал.
С тем, что аудитор способен оценить риски исходя из своего опыта и т.п. я не спорю.

Меня интересует, в частности, конкретный вопрос: Какой уровень аудиторского риска приемлем?
Не важно каким образом аудитор пришел к самому значению данного риска.
avatar
Escapist  
29.07.2021, 23:11
Это вопрос ровно такой же, как про расчёт существенности. Ответы являются обобщением опыта и методической политики как фирмы, так и отдельного аудитора. Аналогичным ноу-хау является и матрица для перевода качественных оценок риска в установленные  виды процедур и размеры выборки. Общие рекомендации есть в стандартах, но универсальных правильных ответов там не найти. 
30.07.2021, 01:56
Александр Орлов
Меня интересует, в частности, конкретный вопрос: Какой уровень аудиторского риска приемлем?
Не важно каким образом аудитор пришел к самому значению данного риска.
Аудиторский риск- это риск предпринимательской деятельности аудитора, аудитор сам решает какой риск он готов принять на себя,    логично, что чем ниже тем лучше. 
30.07.2021, 05:05
Александр Орлов
Сколько выбрать элементов для проверки если риск "средний"? А если "низкий"?
Аудитор не может повлиять на РСИ, соответственно  , чтобы привести значение АР до приемлемого, он снижает РН. Снизить можно путём увеличения количества проверенных элементов, т.о. чем выше РСИ тем короче шаг интервала при формировании выборки. 
30.07.2021, 05:11
Александр, а как Вы бы ответили на свои вопросы? Ведь в Audit XP есть расчёт всех составляющих АР и присутствует взаимосвязь риска с существенностью и  выборкой или нет? Или Вы не согласны с тем как это реализовано в программе?
Исправлений: 1; последнее - в 30.07.2021, 06:33.
30.07.2021, 06:49
Хрюкман
Он сам сообразит, какой риск (высокий, средний) и свои качественные оценки задокументирует в РД.
Качественная оценка- это формула три П "пол-палец-потолок", любое профессиональное суждение должно иметь документально оформленное обоснование , должны быть зафиксированы границы когда вдруг низкий риск становится средним, а средний высоким. Без цифирок никак эээ
Хрю  e284  
30.07.2021, 10:44
elena-kuch, Если цифирок не будет, что будет?
30.07.2021, 13:12
Хрюкман, будет анархия нет!
avatar 30.07.2021, 13:13
elena-kuch
Александр Орлов
Меня интересует, в частности, конкретный вопрос: Какой уровень аудиторского риска приемлем?
Не важно каким образом аудитор пришел к самому значению данного риска.
Аудиторский риск- это риск предпринимательской деятельности аудитора, аудитор сам решает какой риск он готов принять на себя,    логично, что чем ниже тем лучше. 
Зрите в корень. ржу во весь рот

Мы уже давно в нашей методике не оцениваем аудиторский риск.

В основном это связано с тем, что объективно оценить риск необнаружения (РН) на практике невозможно, т.к. это риск того, что в результате выполнения аудитором процедур с целью снижения аудиторского риска до приемлемо низкого уровня не будет обнаружено существующее искажение, которое может быть существенным по отдельности или в совокупности с другими искажениями. А формула АР = РСИ * РН * 100% включает в себя тот самый РН.жаль
 
Кроме того, РН нельзя полностью исключить (снизить до 0) в силу ограничений аудита.

elena-kuch
Александр, а как Вы бы ответили на свои вопросы? Ведь в Audit XP есть расчёт всех составляющих АР и присутствует взаимосвязь риска с существенностью и  выборкой или нет? Или Вы не согласны с тем как это реализовано в программе?

Что мы делаем?

Мы используем математическую модель.

Выявляем и оцениваем неотъемлемый риск (НР) в процедуре 315.1 "Организация и ее окружение". Границы данного риска от 0,8 до 1, т.е. риск не может быть низким. Это связано с самой природой данного риска.
Подробнее - [auditxp.ru]

Выявляем и оцениваем риск средств контроля (РСК) в процедуре 315.2 "Система внутреннего контроля организации". Границы данного риска от 0,2 до 1, т.е. риск может быть и низким и высоким, но его не может не быть вообще.
Подробнее - [auditxp.ru]

Получаем (не оцениваем, а именно получаем) по формуле РСИ = НР * РСК риск существенных искажений. Он всегда будет ниже любого из предыдущих рисков из-за логического умножения.
После чего, внимание, аудитор сам задает приемлемый уровень аудиторского риска (АР). Например, 5% или 10%.
Т.к. фактически аудитору все равно какой конкретно уровень АР при конкретных условиях у него получается (главное чтобы уровень АР был не выше того, который определил сам аудитор).
Дальше по формуле РН =  АР / 100 / РСИ получаем риск необнаружения. Границы РН варьируется от 0,05 до 0,8  (то есть если риск выйдет за обозначенные пределы, то он примет значение одной из границ).
Все это делается автоматически в процедуре 315.3 "Аудиторский риск".
Подробнее - [auditxp.ru]

В итоге уровень АР задает сам аудитор, и проведя только 2 процедуры получаем оценку НР, РСК, РСИ и РН. Причем, РСИ и РН получаются автоматически.

Т.е. проведя меньше процедур получает значения всех необходимых рисков и одновременно избегаем сложного суждения об уровне РН, который фактически невозможно оценить на этапе планирования. Да и после завершения аудита есть проблемы с объективностью такой оценки.

П.С.
На сайте сейчас переделываем раздел с документацией, могут быть проблемы с приведенными ссылками. Заранее извиняюсь.
avatar 30.07.2021, 13:27
elena-kuch
Хрюкман
Он сам сообразит, какой риск (высокий, средний) и свои качественные оценки задокументирует в РД.
Качественная оценка- это формула три П "пол-палец-потолок", любое профессиональное суждение должно иметь документально оформленное обоснование , должны быть зафиксированы границы когда вдруг низкий риск становится средним, а средний высоким. Без цифирок никак эээ
Кстати, можно без цифирок! Но с результатом будут проблемы.

АР = РСИ * РН, РСИ = НР * РСК, т.е. АР = НР * РСК * РН.

Предположим, что мы оценили НР как "высокий", РСК как "низкий", РН как "средний". Получаем АР = "высокий" * "низкий" * "средний". Какой АР получим? "Ниже низкого"?
Да и при любом раскладе риск выше "среднего" не поднимется. Т.е. мы всегда будем работать с какой-нибудь градацией низкого риска. Не очень удобно. Правда?

В принципе при качественной оценке на практике всегда будем получать АР = "низкий".
avatar 30.07.2021, 13:36
Кстати, мы используем и качественную оценку рисков в одном месте - РД 315.4 «Оценка рисков существенного искажения по предпосылкам».
Правда в итоге он все равно становится количественным.

Дело в том, что риск - это вероятность. А вероятность всегда от 0 до 1 (от 0% до 100%). Т.е. качественная оценка результата не отражает суть вероятности. Низкий это сколько? 0,1 или 0,5?

В нашей методике предполагается, что низкий риск имеет значения от 0.2 до 0.4, средний риск от 0.4 до 0.6, а высокий риск от 0.6 и более.
Только зарегистрированные пользователи могут писать в этот форум.