Приложение N 1
к приказу Министерства финансов
Российской Федерации
от 27 октября 2021 года N 163н
Международный стандарт аудита 315
(пересмотренный, 2019 г.)
Выявление и оценка рисков существенного искажения
Международный стандарт аудита (МСА) 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения" следует рассматривать вместе с МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита". |
МСА 315 (пересмотренный, 2019 г.) был утвержден Советом по надзору за соблюдением общественных интересов (PIOB), который пришел к выводу о том, что процедура разработки стандарта носила надлежащий характер и общественные интересы были должным образом соблюдены. |
Введение
Сфера применения настоящего стандарта
1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по выявлению и оценке рисков существенного искажения финансовой отчетности.
Основные принципы настоящего стандарта
2. МСА 200 рассматривает общие цели аудитора при проведении аудита финансовой отчетности, включая получение достаточных надлежащих аудиторских доказательств для снижения аудиторского риска до приемлемо низкого уровня
. Аудиторский риск является функцией риска существенного искажения и риска необнаружения
. В МСА 200
разъяснено, что риски существенного искажения могут существовать на двух уровнях: на уровне финансовой отчетности в целом и на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации.
________________
3. МСА 200 требует, чтобы аудитор применял профессиональное суждение при планировании и проведении аудита, а также планировал и осуществлял аудит с профессиональным скептицизмом, отдавая себе отчет в том, что могут существовать такие обстоятельства, при которых финансовая отчетность окажется существенно искажена.
________________
4. Риски на уровне финансовой отчетности в целом обозначают такие риски существенного искажения, которые всеобъемлющим образом распространяются на финансовую отчетность в целом и потенциально затрагивают целый ряд предпосылок. Риски существенного искажения на уровне предпосылок состоят из двух компонентов: неотъемлемый риск и риск средств контроля.
Неотъемлемый риск - подверженность предпосылки существенному искажению (в отдельности или в совокупности с другими искажениями) в отношении видов операций, остатков по счетам или раскрытия информации до рассмотрения каких-либо соответствующих средств контроля.
Риск средств контроля - риск того, что возможное существенное искажение (в отдельности или в совокупности с другими искажениями) предпосылки в отношении видов операций, остатков по счетам или раскрытия информации не будет своевременно предотвращено или выявлено и исправлено при помощи соответствующих средств контроля организации.
5. МСА 200 объясняет, что риски существенного искажения оцениваются на уровне предпосылок для того, чтобы определить характер, сроки и объем дальнейших аудиторских процедур, необходимых для получения достаточного количества надлежащих аудиторских доказательств. Для выявления рисков существенного искажения на уровне предпосылок настоящий МСА требует раздельной оценки неотъемлемого риска и риска средств контроля. Как поясняется в МСА 200, для некоторых предпосылок и соответствующих видов операций, остатков по счетам и раскрытия информации неотъемлемый риск выше, чем для других. В данном стандарте степень изменения неотъемлемого риска называется "диапазон неотъемлемого риска".
________________
МСА 200, пункт А43а и МСА 330 "Аудиторские процедуры в ответ на оцененные риски", пункт 6.
6. Риски существенного искажения, выявленные и оцененные аудитором, включают как риски искажения вследствие ошибки, так и риски искажения по причине недобросовестных действий. Хотя оба типа рисков рассматриваются в данном стандарте, недобросовестные действия имеют настолько важное значение, что в МСА 240 включены дополнительные требования и рекомендации в отношении процедур оценки рисков и связанных с ними действий по получению информации, которая используется для выявления, оценки рисков и проведения процедур в ответ на риски существенного искажения вследствие недобросовестных действий.
________________
7. Процесс выявления и оценки рисков аудитором итеративен и динамичен. Понимание аудитором организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации взаимосвязано с принципами, лежащими в основе требований к выявлению и оценке рисков существенного искажения. Для получения понимания, требуемого данным стандартом, может формироваться предварительная оценка рисков, которая впоследствии может быть уточнена по мере осуществления аудитором процесса выявления и оценки рисков. Кроме того, данный стандарт и МСА 330 требуют от аудитора пересматривать оценку риска и изменять дальнейшие аудиторские процедуры общего характера и дальнейшие аудиторские процедуры на основе аудиторских доказательств, полученных в результате дальнейших аудиторских процедур в соответствии с МСА 330, или в случае получения новой информации.
8. МСА 330 требует, чтобы аудитор разработал и выполнил аудиторские процедуры общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности. Далее в МСА 330 поясняется, что оценка аудитором рисков существенного искажения на уровне финансовой отчетности и аудиторские процедуры общего характера зависят от его понимания контрольной среды. МСА 330
также требует, чтобы аудитор разработал и выполнил дальнейшие аудиторские процедуры, характер, сроки и объем которых определяются с учетом оцененных рисков существенного искажения на уровне предпосылок и в ответ на них.
________________
Масштабируемость
9. В МСА 200 указывается, что некоторые МСА включают положения о масштабируемости, которые иллюстрируют применение требований ко всем организациям независимо от характера их деятельности и того, являются ли он более или менее сложными. Данный стандарт предназначен для аудита всех организаций независимо от их размера или сложности, и поэтому руководство по его применению предусматривает особенности как менее, так и более сложных организаций в тех случаях, когда это уместно. Хотя размер организации является индикатором уровня ее сложности, некоторые малые организации могут отличаться большей сложностью, а более крупные организации могут являться менее сложными.
________________
МСА 200, пункт А65а.
Дата вступления в силу
10. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 декабря 2021 года или после этой даты.
Цель
11. Цель аудитора состоит в том, чтобы выявить и оценить риски существенного искажения как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок, таким образом обеспечивая основу для разработки и выполнения аудиторских процедур в ответ на оцененные риски существенного искажения.
Определения
12. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:
(a) предпосылки - заявления, сделанные в явной или иной форме, в отношении признания, оценки, представления и раскрытия информации в финансовой отчетности, которые являются неотъемлемой частью заявления руководства о том, что финансовая отчетность составлена в соответствии с применимой концепцией подготовки финансовой отчетности. Предпосылки используются аудитором для рассмотрения различных типов потенциальных искажений, которые могут возникнуть при выявлении, оценке рисков существенного искажения и принятии мер в ответ на выявленные риски (см. пункт А1);
(b) бизнес-риск - риск, возникающий в результате значительных условий, событий, обстоятельств, действий или бездействия, которые могут оказать негативное влияние на способность организации достичь поставленных целей и реализовать свою стратегию, или возникающий в результате установления ненадлежащих целей и стратегии;
(c) средства контроля - политика или процедуры, установленные организацией для достижения целей системы внутреннего контроля, определенных руководством или лицами, отвечающими за корпоративное управление. В данном контексте (см. пункты А2-А5):
(i) политика - это положения о том, что должно быть реализовано или не должно иметь места в организации в целях осуществления контроля. Такие положения могут быть оформлены документально, четко отражены в информационных сообщениях или подразумеваться при осуществлении действий или принятии решений;
(ii) процедуры - это действия по реализации политики;
(d) общие средства ИТ-контроля - средства контроля за информационно-технологическими процессами (ИТ-процессами) организации, которые поддерживают непрерывное надлежащее функционирование ИТ-среды, включая непрерывное эффективное функционирование средств контроля обработки информации и целостность информации (то есть полноту, точность и достоверность информации) в информационной системе организации. Также см. определение ИТ-среды;
(e) средства контроля обработки информации - средства контроля, относящиеся к обработке информации посредством ИТ-приложений или информационных процессов, выполняемых вручную, в информационной системе организации, которые напрямую снижают риски нарушения целостности информации (то есть полноты, точности и достоверности операций и прочей информации) (см. пункт А6);
(f) факторы неотъемлемого риска - характеристики событий или условий, влияющих на подверженность предпосылки в отношении вида операций, остатков по счетам или раскрытия информации искажению вследствие недобросовестных действий или ошибок, до учета средств контроля. Такие факторы могут иметь качественный или количественный характер и включают сложность, субъективность, изменчивость, неопределенность или подверженность искажению в силу предвзятости руководства или иных факторов риска недобросовестных действий в той части, в которой они влияют на неотъемлемый риск (см. пункты А7-А8);
________________
(g) ИТ-среда (Среда информационных технологий) - ИТ-приложения и вспомогательная ИТ-инфраструктура, а также ИТ-процессы и сотрудники, участвующие в этих процессах, используемые организацией для поддержки хозяйственных операций и реализации бизнес-стратегии. Для целей данного стандарта:
(i) ИТ-приложение представляет собой программу или комплекс программ, используемых для инициирования, обработки, учета и отражения в отчетности операций или информации. ИТ-приложения включают хранилища данных и генераторы отчетов;
(ii) ИТ-инфраструктура включает в себя сеть, операционные системы, базы данных и соответствующее аппаратное и программное обеспечение;
(iii) ИТ-процессы - это процессы организации для управления доступом к ИТ-среде, внесением изменений в программы или в ИТ-среду и для контроля за функционированием информационных технологий;
(h) соответствующие предпосылки - такие предпосылки в отношении вида операций, остатка по счету или раскрытия информации, с которыми связан выявленный риск существенного искажения. Соответствие предпосылки определяется до рассмотрения любых соответствующих средств контроля (то есть до оценки неотъемлемого риска) (см. пункт А9);
(i) риски, связанные с использованием информационных технологий - подверженность средств контроля обработки информации неэффективности структуры или функционирования или риски нарушения целостности информации (то есть полноты, точности и достоверности операций и иной информации) в информационной системе организации вследствие неэффективности структуры или функционирования средств контроля в ИТ-процессах организации (см. ИТ-среда);
(j) процедуры оценки рисков - аудиторские процедуры, которые разработаны и проводятся для выявления и оценки рисков существенного искажения вследствие недобросовестных действий или ошибок на уровне финансовой отчетности и предпосылок;
(k) значительный вид операций, остаток по счету или значительное раскрытие информации - вид операций, остаток по счету или раскрытие информации с одной или несколькими соответствующими предпосылками (в отношении которой, для которой есть одна или более соответствующие предпосылки);
(l) значительный риск - выявленный риск существенного искажения (см. пункт А10):
(i) для которого оценка неотъемлемого риска близка к верхней границе диапазона неотъемлемого риска благодаря степени влияния факторов неотъемлемого риска на сочетание вероятности наличия искажения и величины потенциального искажения, если искажение будет иметь место; или
(ii) который подлежит рассмотрению в качестве значительного риска в соответствии с требованиями других МСА;
________________
МСА 240, пункт 27 и МСА 550 "Связанные стороны", пункт 18.
(m) система внутреннего контроля - система, разработанная, внедренная и поддерживаемая лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками для обеспечения разумной уверенности в достижении целей организации в отношении надежности процесса подготовки финансовой отчетности, эффективности и результативности операций, а также соблюдения применимых законов и нормативных актов. Для целей МСА система внутреннего контроля подразделяется на пять взаимосвязанных компонентов:
(i) контрольная среда;
(ii) процесс оценки рисков в организации;
(iii) процесс мониторинга системы внутреннего контроля организации;
