AS 2110: Выявление и оценка рисков существенного искажения

Дата вступления в силу: для проверок финансовых периодов, начинающихся с или после 15 декабря 2010 г.

Введение

.01 Настоящий стандарт устанавливает требования в отношении процесса определения и оценки рисков существенных искажений (1) финансовой отчетности.

.02 В параграфах .04-.58 настоящего стандарта обсуждаются обязанности аудитора по проведению процедур оценки риска (2). В параграфах .59 - .73 настоящего стандарта обсуждаются выявление и оценка рисков существенных искажений с использованием информации, полученной при проведении процедур оценки риска.

Цели

.03 Целью аудитора является выявление и надлежащая оценка рисков существенных искажений, что обеспечивает основу для разработки и реализации мер реагирования на риски существенных искажений.

Выполнение процедур оценки рисков

.04 Аудитору следует выполнять процедуры оценки рисков, достаточные для обеспечения разумной основы выявления и оценки рисков существенных искажений, будь то из-за ошибки или мошенничества, (3) и разработки дальнейших процедур аудита (4).

.05 Риски существенных искажений могут возникать из разных источников, включая внешние факторы, такие как условия в отрасли и бизнес-среде компании, а также факторы, характерные для конкретной компании, такие как характер компании, ее деятельность и внутренний контроль над составлением финансовых отчетов.

Например, внешние или специфические для компании факторы могут влиять на суждения, связанные с определением учетных оценок или создавать возможности для манипулирования финансовой отчетностью для достижения определенных финансовых целей.

Кроме того, риски существенного искажения могут относиться, например, к персоналу, которому не хватает необходимой компетенции в области финансовой отчетности, к информационным системам, которые не могут точно зафиксировать бизнес-операции или к процессам финансовой отчетности, которые недостаточно соответствуют требованиям применяемой структуре финансовой отчетности.

Таким образом, процедуры аудита, необходимые для выявления и надлежащей оценки рисков существенного искажения, включают рассмотрение как внешних факторов, так и факторов, характерных для компании. В этом стандарте рассматриваются следующие процедуры оценки риска:

• a. Понимание компании и ее среды (параграфы .07-.17);
• b. Понимание внутреннего контроля за финансовой отчетностью (параграфы .18-.40);
• c. Принятие во внимание информации, полученной в результате привлечения и удержания клиентов, деятельности по планированию аудита, прошлых аудитов и других услуг, оказываемых компании (параграфы .41-.45);
• d. Выполнение аналитических процедур (параграфы .46 - .48);
• e. Обсуждение аудиторской командой рисков существенных искажений (параграфы .49 - .53); а также
• f. Опрос комитета по аудиту, руководства и других лиц в компании о рисках существенных искажений (параграфы .54-.58).

Примечание. В этом стандарте описывается подход к выявлению и оценке рисков существенных искажений, которые начинаются с оценки финансовой отчетности и общего понимания аудитором компании и ее окружения и сводятся к анализу значительных бухгалтерских счетов, раскрытиям и соответствующим суждениям. (5)

.06 В ходе комплексного аудита риски существенного искажения финансовой отчетности одинаковы как для проверки внутреннего контроля за финансовой отчетностью, так и для аудита финансовой отчетности. Процедуры аудиторской оценки риска должны применяться как к проверке внутреннего контроля за финансовой отчетностью, так и к аудиту финансовой отчетности.

Понимание компании и ее среды

.07 Аудитор должен понять компанию и ее среду («понимание компании») для понимания событий, условий и деятельности компании, которые по разумным ожиданиям могут оказать значительное влияние на риски существенных искажений. Понимание компании включает понимание:

• a. Соответствующих отраслевых, нормативных и другие внешних факторов;
• b. Характера компании;
• c. Выбора и применения компанией принципов бухгалтерского учета, включая соответствующие раскрытия;
• d. Целей и стратегии компании и связанные с этим риски для бизнеса, которые в соответствии с разумными ожиданиями приводят к риску существенных искажений; а также
• e. Оценки компании и анализа ее финансовых показателей.

.08 При обретении понимания компании аудитор должен оценить, влияют ли существенные изменения в компании в предыдущие периоды на существенные искажения, включая изменения в ее внутреннем контроле над финансовой отчетностью.

Отраслевые, регуляторные и другие внешние факторы

.09 Обретение понимания соответствующих отраслевых, нормативных и других внешних факторов охватывает

• отраслевые факторы, в том числе конкурентную среду и технологические разработки;
• нормативную среду, включая применяемую структуру финансовой отчетности (6), правовую и политическую среду (7), и
• внешние факторы, включая общие экономические условия.

Характер компании

.10 Обретение понимания характера компании включает:

• Организационную структуру и управленческий персонал компании;
• Источники финансирования деятельности и инвестиционной деятельности компании, включая структуру капитала компании, некапитальное финансирование (например, субординированный долг или зависимость от финансирования поставщиков) и другие долговые инструменты;
• Значительные инвестиции компании, включая инвестиции в долевые инструменты, совместные предприятия и компании с переменной долей участия;
• Эксплуатационные характеристики компании, включая ее размер и сложность;    

Примечание. Размер и сложность компании могут повлиять на риски искажения и на то, как компания справляется с этими рисками.

• Источники доходов компании, включая относительную доходность ключевых продуктов и услуг; а также
• Ключевые отношения с поставщиками и клиентами.

.10A Чтобы помочь в получении информации для выявления и оценки рисков существенного искажения финансовой отчетности, связанной с финансовыми отношениями и операциями компании с ее исполнительными должностными лицами (например, компенсация менеджменту, включая привилегии и любые другие меры), аудитор должен выполнить процедуры обретения понимания финансовых отношений и сделок с исполнительными должностными лицами компании.

Процедуры должны быть разработаны с целью выявления рисков существенных искажений и должны включать, но не ограничиваться:

• (1) чтением контрактов на трудоустройство и компенсацию между компанией и ее исполнительными должностными лицами и
• (2) чтение прокси-отчетов и других соответствующих заявок компаний в Комиссию по ценным бумагам и биржам и в другие регулирующие органы, которые связаны с финансовыми отношениями и операциями компании со своими должностными лицами.

.11 В рамках понимания компании, как того требует пункт .07, аудитору следует рассмотреть возможность выполнения следующих процедур и степени, в которой должны выполняться эти процедуры:

• Чтение общедоступной информации о компании, относящейся к оценке вероятности существенных искажений финансовой отчетности, а в ходе комплексного аудита - к эффективности внутреннего контроля над финансовой отчетностью компании. Например, пресс-релизы компании, подготовленные компанией материалы для презентации инвесторам, а также аналитические отчеты;
• Чтение стенограмм доходов и, насколько это доступно, встреч с инвесторами или рейтинговыми агентствами;
• Ознакомление с соглашениями о компенсациях высшему руководству, отличному от компенсации исполнительным должностным лицам, упомянутым в пункте 10А, включая механизмы компенсации стимулов, изменения или корректировки этих соглашений и специальные бонусы;
• Получение информации о продаже ценных бумаг компании существенными владельцами для выявления потенциально значимых необычных событий (например, из форм 3, 4, 5, 13D и 13G);
• Запрос председателю комитета по вознаграждениям или эквивалентного компенсационного комитета и любым консультантам по компенсации, привлеченным либо компенсационным комитетом, либо компанией для структурирования компенсации компании должностным лицам; а также
• Ознакомление с установленными политиками и процедурами, касающимися утверждения возмещения расходов исполнительных должностных лиц.

Выбор и применение принципов бухгалтерского учета, включая соответствующие раскрытия

.12 В рамках обретения понимания выбора и применения компанией принципов бухгалтерского учета, в том числе связанных с ними раскрытий, аудитор должен оценить, подходит ли выбор компанией принципов бухгалтерского учета для ее бизнеса и соответствует ли выбор применяемой структуре финансовой отчетности и принципам бухгалтерского учета, используемым в соответствующей отрасли.

Кроме того, для выявления и оценки рисков существенных искажений, связанных с пропущенными, неполными или неточными раскрытиями, аудитор должен обосновывать ожидания относительно раскрытия, которые необходимы для правильной отчетности компании в соответствии с применяемой структурой финансовой отчетности.

.13 Следующие вопросы, если они имеются, имеют отношение к необходимому пониманию выбора и применения компанией принципов бухгалтерского учета, включая соответствующие раскрытия:

• Существенные изменения в принципах бухгалтерского учета компании, политике финансовой отчетности или раскрытиях и причинах таких изменений;
• Компетенции персонала, участвующего в выборе и применении значительных новых или сложных принципов бухгалтерского учета;
• Счета или раскрытия, для которых используется суждение о применении существенных принципов бухгалтерского учета, особенно при определении оценок и допущений руководства;
• Влияние значительных принципов бухгалтерского учета в противоречивых областях, для которых отсутствует авторитетное руководство или консенсус;
• Методы, которые компания использует для учета значительных транзакций, которые выходят за рамки обычной для компании деятельности, или которые в противном случае выглядят необычными из-за их времени, размера или характера («существенные необычные транзакции»); (7A) и
• Стандарты финансовой отчетности, законы и правила, которые новы для компании, в том числе, когда и как компания принимает такие требования.

Цели и стратегии компании и связанные с этим бизнес-риски.

.14 ​​Целью понимания целей, стратегий и связанных с ними бизнес-рисков является определение бизнес-рисков, которые по разумных ожиданиям могут привести к существенным искажениям финансовой отчетности.

Примечание. Некоторые соответствующие бизнес-риски могут быть идентифицированы с помощью других процедур оценки риска, таких как понимание характера компании и понимание отраслевых, нормативных и других внешних факторов.

.15 Ниже приводятся примеры ситуаций, при которых бизнес-риски могут привести к существенному искажению финансовой отчетности:

• Отраслевые разработки (потенциальный связанный с этим бизнес-риск может быть, например, в том, что у компании нет персонала или опыта для оценки изменений в отрасли).
• Новые продукты и услуги (потенциальный связанный с этим бизнес-риск может быть, например, в том, что новый продукты или услуги не будут успешными).
• Использование информационных технологий (потенциальным связанным с этим бизнес-риском может быть, например, то, что системы и процессы несовместимы).
• Новые требования к учету (потенциальный связанный с этим бизнес-риск может быть, например, в неполном или ненадлежащем исполнением нового требования к учету).
• Расширение бизнеса (потенциальным связанным с этим бизнес-риском может быть, например, то, что спрос на продукты или услуги компании не был точно оценен.)
• Последствия реализации стратегии, в частности любые последствия, которые приведут к новым требованиям к учету (потенциальный связанный с этим бизнес-риск может быть, например, в неполном или ненадлежащем осуществлением стратегии).
• Текущие и предполагаемые потребности в финансировании (потенциальным связанным с этим бизнес-риском может быть, например, потеря финансирования из-за неспособности компании удовлетворить требования к финансированию).
• Нормативные требования (потенциальный связанный с этим бизнес-риск может быть, например, в том, что существует повышенное юридическое воздействие).

Показатели эффективности компании

.16 Целью понимания эффективности деятельности компании является определение показателей эффективности, будь то внешних или внутренних, которые влияют на риски существенных искажений.

.17 Ниже приведены примеры показателей эффективности, которые могут повлиять на риски существенных искажений:

• Меры, которые формируют основу для контрактных обязательств или механизмов поощрительной компенсации;
• Меры, используемые внешними сторонами, такими как аналитики и рейтинговые агентства, для оценки эффективности деятельности компании; а также
• Меры, которые компания использует для мониторинга своих операций, которые указывают на неожиданные результаты или тенденции, которые побуждают руководство расследовать их причину и предпринимать корректирующие действия, включая исправление искажений.

Примечание. Первые два примера представляют собой показатели эффективности, которые могут повлиять на риски существенных искажений, создавая стимулы или давление на управление компанией, чтобы манипулировать определенными счетами или раскрытиями для достижения определенных целевых показателей эффективности (или скрывать неспособность достичь этих целей).

В третьем примере представлены показатели эффективности, которые руководство может использовать для мониторинга рисков, влияющих на финансовую отчетность.

Примечание. Небольшие компании могут иметь менее формальные процессы для измерения и анализа финансовых показателей. В таких случаях аудитор может определить соответствующие показатели эффективности, рассматривая информацию, которую компания использует для управления бизнесом.

Понимание внутреннего контроля за финансовой отчетностью.

.18 Аудитор должен получить достаточное понимание каждого компонента (8) внутреннего контроля над финансовой отчетностью («понимание внутреннего контроля»), чтобы

• (а) определить типы потенциальных искажений,
• (б) оценить факторы, которые влияют на риски существенных искажений , и
• (c) разработать дополнительные процедуры аудита.

.19 Характер, сроки и объем процедур, необходимые для понимания внутреннего контроля, зависят от

• размера и сложности компании (9);
• знаний аудитора о внутреннем контроле над финансовой отчетностью компании;
• характера контроля компании, включая использование компанией ИТ;
• характера и масштабов изменений в системах и операциях; и
• характера документации компании о ее внутреннем контроле за финансовой отчетностью.

Примечание. Аудитор также может получить представление о некоторых элементах управления, которые не являются частью внутреннего контроля над финансовой отчетностью, например, контроля за полнотой и точностью операционной или иной нефинансовой информации, используемой в качестве аудиторских доказательств. (10)

.20 Понимание внутреннего контроля включает в себя оценку конструкции элементов управления, имеющих отношение к аудиту, и определение того, были ли реализованы средства контроля.

Примечание. Процедуры, которые аудитор выполняет для получения доказательств эффективности, включают опрос соответствующего персонала, наблюдение за деятельностью компании и проверку соответствующей документации. Пошаговые руководства, как описано в пунктах .37 -38, которые включают эти процедуры, как правило, достаточные для оценки эффективности.

Примечание. Определение того, был ли реализован элемент управления, означает определение того, существует ли контроль и используется ли контроль компанией. Процедуры, для определения того, был ли реализован контроль, могут быть выполнены в связи с оценкой его конструкции.

Процедуры, проводимые для определения того, был ли реализован контроль, включают в себя опрос соответствующего персонала в сочетании с наблюдением за применением контроля или проверкой документации. Пошаговые руководства, как описано в пунктах .37 -38, которые включают эти процедуры, обычно достаточные для определения того, был ли реализован контроль.

.21 Внутренний контроль над финансовой отчетностью может быть описан как состоящий из следующих компонентов: (11)

• Контрольная среда,
• Процесс оценки рисков компании,
• Информация и коммуникация,
• Контрольные мероприятия и
• Мониторинг контроля.

.22 Управление может использовать структуру внутреннего контроля с компонентами, которые отличаются от компонентов, указанных в предыдущем абзаце, при создании и поддержании внутреннего контроля над финансовой отчетностью компании.

При оценке дизайна контроля и определении того, был ли он реализован только при аудиторской проверке финансовой отчетности, аудитор может использовать структуру, используемую руководством или другой подходящей признанной структурой. (12)

Для интегрированных аудитов AS 2201 заявляет: «Аудитор должен использовать ту же подходящую признанную систему контроля для проведения своей проверки внутреннего контроля за финансовой отчетностью, поскольку руководство использует ее для ежегодной оценки эффективности внутреннего контроля за финансовой отчетностью компании». (13)

Если аудитор использует подходящую, признанную структуру внутреннего контроля с компонентами, которые отличаются от тех, которые перечислены в предыдущем абзаце, аудитору следует адаптировать требования в параграфах .23-.36 настоящего стандарта для соответствия компонентам в используемой структуре.

Контрольная среда

.23 Аудитор должен получить представление о контрольной среде компании, включая политику и действия руководства, совета директоров и комитета по аудиту в отношении среды контроля компании.

.24 Понимание среды контроля включает в себя оценку того:

• Является ли философия менеджмента и стиль работы способствующим эффективному внутреннему контролю над финансовой отчетностью;
• Что разработаны и поняты здоровые интеграционные и этические ценности, особенно высшего руководства; а также
• Что комиссия или комитет по аудиту понимает ответственность и осуществляет надзор за финансовую отчетность и внутренним контролем.

Примечание. При проверке только финансовых отчетов эта оценка может основываться на доказательствах, полученных при оценке контрольной среды, в соответствии с пунктом .23, и на других соответствующих знаниях, которыми обладает аудитор. При комплексной проверке финансовой отчетности и внутреннем контроле за финансовой отчетностью стандарт AS 2201 (14) описывает ответственность аудитора за оценку среды контроля.

.25 Если аудитор идентифицирует недостаток контроля (15) в контрольной среде компании, аудитор должен оценить степень, в которой этот дефицит контроля указывает на фактор риска мошенничества, как это обсуждается в параграфах .65-.66 настоящего стандарта.

Процесс оценки рисков компании.

.26 Аудитор должен обрести понимание процесса управления для:

• a. Выявления рисков, связанных с задачами финансовой отчетности, включая риски существенного искажения из-за мошенничества («риск мошенничества»);
• b. Оценки вероятности и значимости искажений, вызванных этими рисками; а также
• c. Решения о действиях по устранению этих рисков.

.27 Понимание процесса оценки рисков компании включает в себя понимание рисков существенных искажений, выявленных и оцененных руководством, и действий, предпринятых для устранения этих рисков.

Информация и коммуникация.

.28 Информационная система, относящаяся к финансовой отчетности. Аудитор должен получить понимание информационной системы, включая связанные с ней бизнес-процессы, относящиеся к финансовой отчетности, в том числе:

• a. Классы транзакций в операциях компании, существенные для финансовой отчетности;
• b. Процедуры как в автоматизированных, так и в ручных системах, с помощью которых эти транзакции инициируются, выполняются, обрабатываются, регистрируются и сообщаются;
• c. Связанные учетные записи, вспомогательная информация и конкретные счета в финансовой отчетности, которые используются для инициирования, авторизации, обработки и записи транзакций;
• d. Как информационная система фиксирует события и условия, отличные от транзакций (16), которые являются существенными для финансовой отчетности; а также
• e. Процесс составления финансовой отчетности на конец периода.

Примечание. В Приложении В рассматриваются дополнительные соображения, касающиеся ручных и автоматизированных систем и средств контроля.

.29 Аудитор должен также получить представление о том, как ИТ влияет на поток транзакций компании. (См. Приложение B.)

Примечание. Идентификация рисков и средств контроля в ИТ не является отдельной оценкой. Вместо этого она является неотъемлемой частью подхода, используемого для определения значительных счетов и раскрытий и их соответствующих утверждений и, когда это применимо, для выбора контрольных проверок, а также для оценки риска и распределения усилий по аудиту.

.30 Бизнес-процессы компании - это мероприятия, направленные на:

• Разработку, покупку, производство, продажу и распространение продуктов или услуг компании;
• Запись информации, включая информацию о бухгалтерском учете и финансовой отчетности; а также
• Обеспечение соблюдения законов и положений, относящихся к финансовой отчетности.

.31 Понимание бизнес-процессов компании помогает аудитору в понимании того, как инициируются, выполняются, обрабатываются и регистрируются транзакции.

.32 Процесс составления финансовой отчетности на конец периода, упомянутый в пункте .28е, включает следующее:

• Процедуры, используемые для ввода итогов транзакций в общую книгу;
• Процедуры, связанные с выбором и применением принципов бухгалтерского учета (17);
• Процедуры, используемые для инициирования, авторизации, записи и обработки бухгалтерских записей в Главной книге;
• Процедуры, используемые для записи повторяющихся и разовых корректировок годовой финансовой отчетности (и ежеквартальной финансовой отчетности, если применимо); а также
• Процедуры составления годовой финансовой отчетности и соответствующих раскрытий (ежеквартальная финансовая отчетность, если применимо).

.33 Коммуникация. Аудитор должен получить представление о том, как компания выполняет коммуникации по ролям, обязанностями и важным вопросам, связанным с финансовой отчетностью, между соответствующим персоналом компании и другими лицами, в том числе:

• Коммуникации между руководством, комитетом по аудиту и советом директоров; а также
• Коммуникации с внешними сторонами, включая регулирующие органы и акционеров.

Контрольные мероприятия

.34 Аудитор должен получить представление о контрольных мероприятиях, достаточных для оценки факторов, которые влияют на риски существенного искажения, и разработать дополнительные процедуры аудита, как описано в пункте 18 этого стандарта (18).

Поскольку аудитор обретает понимание других компонентов внутреннего контроля над финансовой отчетностью, он также может получить информацию о некоторых контрольных мероприятиях.

Аудитор должен использовать свои знания о наличии или отсутствии контрольной деятельности, полученные из оценки других компонентов внутреннего контроля за финансовой отчетностью, в определении того, в какой степени необходимо уделять дополнительное внимание изучению контрольных мероприятий для оценки факторов, которые влияют на риски существенных искажений, и на разработку дополнительных процедур аудита.

Примечание. Более широкое понимание контрольных действий необходимо для соответствующих суждений, на которые аудитор планирует полагаться. Кроме того, при проверке внутреннего контроля за финансовой отчетностью понимание аудитором контрольных мероприятий охватывает более широкий круг счетов и раскрытий, чем тот, который обычно получается в результате аудита финансовой отчетности.

Мониторинг контроля

.35 Аудитор должен понять основные виды деятельности, которые компания использует для контроля за эффективностью своего внутреннего контроля над финансовой отчетностью и то, как компания инициирует корректирующие действия, связанные с ее контролем. (19)

.36 Понимание деятельности компании по мониторингу включает понимание источника информации, используемой в деятельности по мониторингу.

Выполнение пошаговых инструкций

.37 Как обсуждалось в пункте .20, аудитор может выполнять пошаговые руководства в рамках обретения понимания внутреннего контроля за финансовой отчетностью.

Например, аудитор может выполнять пошаговые инструкции в связи с пониманием потока транзакций в информационной системе, относящихся к финансовой отчетности, оценивая дизайн контроля, относящегося к аудиту, и определяет, были ли эти средства контроля реализованы.

При проведении пошагового аудита аудитор следует за транзакцией с момента ее создания через процессы компании, включая информационные системы, до тех пор, пока она не будет отражена в финансовых отчетах компании, используя те же документы и ИТ-системы, что и сотрудники компании. Пошаговые процедуры обычно включают комбинацию запроса, наблюдения, проверки соответствующей документации и повторной работы элементов управления.

Примечание. Для интегрированных аудитов стандарт AS 2201 устанавливает определенные цели, которые аудитор должен достичь, чтобы лучше понять вероятные источники потенциальных искажений. Стандарт AS 2201 утверждает, что выполнение пошаговых инструкций часто является наиболее эффективным способом достижения этих целей. (20)

.38 При выполнении пошагового руководства в точках, где происходят важные процедуры обработки, аудитор опрашивает персонал компании, чтобы составить мнение о том, что требуется в соответствии с предписанными процедурами и средствами контроля компании.

Эти вопросы в сочетании с другими процедурами позволяют аудитору получить достаточное понимание процесса и определить важные моменты, когда необходимый контроль отсутствует или не разработан эффективно. Кроме того, вопросы, выходящие за рамки единственной транзакции, позволяют аудитору получить представление о различных типах значимых транзакций, обрабатываемых процессом.

Взаимосвязь понимания внутреннего контроля с тестированием контроля

.39 Цель понимания внутреннего контроля, как обсуждается в параграфе .18 настоящего стандарта, отличается от тестирования контроля с целью оценки риска контроля (21) или с целью выражения мнения о внутреннем контроле за финансовой отчетностью при аудите внутреннего контроля за финансовой отчетностью. (22)

Аудитор может получить представление о внутреннем контроле одновременно с выполнением тестов контроля, если он или она получает достаточные соответствующие доказательства для достижения целей обеих процедур.

Кроме того, аудитор должен учитывать доказательства, полученные при изучении внутреннего контроля для оценки риска контроля и при проверке внутреннего контроля над финансовой отчетностью формируют мнение об эффективности внутреннего контроля за финансовой отчетностью.

.40 Связь понимания внутреннего контроля с оценкой органов управления при аудите внутреннего контроля за финансовой отчетностью. Стандарт AS 2201 утверждает: «Аудитор должен проверить те средства контроля компании, которые важны для заключения аудитора о том, имеет ли компания эффективный внутренний контроль над финансовой отчетностью». (23)

Процедуры, выполняемые для понимания определенных компонентов внутреннего контроля в соответствии с с этим стандартом, например, среда контроля, процесс оценки рисков компании, информация и коммуникации, а также мониторинг контроля, могут предоставить доказательства, которые имеют отношение к оценке аудитором органов управления. (24)

Аудитор должен учитывать доказательства, полученные при изучении внутреннего контроля для определения характера, сроков и объема процедур, необходимых для поддержки выводов аудитора об эффективности контроля предприятия при проверке внутреннего контроля за финансовой отчетностью.

Учет информации, полученной от оценки привлечения и удержания клиентов, деятельности по планированию аудита, прошлых аудитов и других обязательств.

.41 Деятельность по привлечению и удержанию клиентов и планированию аудита. Аудитор должен оценить, что информация, полученная от процесса привлечения и удержания клиента, или деятельность по планированию аудита, релевантна выявлению рисков существенных искажений.

Риски существенных искажений, выявленные в ходе этих мероприятий, должны оцениваться, как описано начиная с параграфа .59 настоящего стандарта.

.42 Прошлые аудиты. В последующие годы аудитор должен использовать знания, полученные в ходе прошлых аудитов, в процесс определения аудитором рисков существенных искажений, в том числе при определении значительных текущих вопросов, которые влияют на риски существенного искажения или для определения того, как изменения в компании или ее среде влияют на риски существенных искажений, как об этом говорится в параграфе .08 настоящего стандарта.

.43 Если аудитор планирует ограничить характер, сроки или степень процедур оценки риска, полагаясь на информацию прошлых аудитов, аудитор должен оценить, остается ли информация прошлых лет актуальной и надежной.

.44 Другие процедуры. Когда аудитор провел проверку промежуточной финансовой информации в соответствии со стандартом AS 4105 «Проверка промежуточной финансовой информации», аудитор должен оценить, релевантна ли информация, полученная в ходе проверки, выявлению рисков существенных искажений в ходе аудита на конец года.

.45 Аудитор должен получить представление о характере услуг, которые были оказаны компании аудитором или аффилированными лицами аудиторской фирмы (25), и должен учитывать соответствующую информацию, полученную при выполнении этих аудиторских заданий по выявлению рисков существенных искажений. (26)

Выполнение аналитических процедур.

.46 Аудитор должен выполнить аналитические процедуры, которые предназначены для:

• a. Повышения осведомленности аудитором о бизнесе клиента и значительных транзакциях и событиях, произошедших с конца предыдущего года; а также
• b.Определения областей, которые могут представлять конкретные риски, связанные с аудитом, включая наличие необычных транзакций и событий, а также сумм, коэффициентов и тенденций, которые требуют расследования.

.47 При проведении аналитических процедур в качестве процедур оценки риска аудитор должен выполнять аналитические процедуры, касающиеся доходов, с целью выявления необычных или неожиданных связей с бухгалтерскими записями о доходах, которые могут указывать на существенное искажение, в том числе существенное искажение из-за мошенничества.

Кроме того, когда аудитор провел проверку промежуточной финансовой информации в соответствии со стандартом AS 4105, он или она должен учитывать аналитические процедуры, применяемые в этом обзоре, при разработке и применении аналитических процедур в качестве процедур оценки рисков.

.48 При выполнении аналитической процедуры аудитор должен использовать свое понимание компании для выработки ожиданий относительно правдоподобных соотношений между данными, которые будут использоваться в процедуре (27).

Когда сравнение этих ожиданий с соотношениями, полученными из зарегистрированных сумм, дает необычные или неожиданные результаты, аудитор должен учитывать эти результаты при определении рисков существенных искажений.

Примечание. Аналитические процедуры, выполняемые в качестве процедур оценки риска, часто используют предварительные данные или данные, которые агрегируются на высоком уровне, и в этих случаях такие аналитические процедуры не разрабатываются с уровнем точности, необходимой для основных аналитических процедур.

Обсуждение участниками аудиторской команды рисков существенного искажения.

.49 Ключевые участники аудиторской команды должны обсудить

• (1) выбор и применение компанией принципов бухгалтерского учета, включая соответствующие требования к раскрытию информации, и
• (2) подверженность финансовой отчетности компании существенным искажениям из-за ошибок или мошенничества.

Примечание. Ключевые участники аудиторской команды должны обсудить потенциал существенных искажений из-за мошенничества либо в рамках обсуждения относительно рисков существенных искажений, либо в отдельном обсуждении. (28)

Примечание. Как указано в параграфе .67, финансовая отчетность может быть восприимчивой к искажению из-за исключения необходимых раскрытий или представления неточных или неполных раскрытий.

.50 Ключевыми участниками аудиторской команды являются все члены аудиторской команды, у которых есть значительные обязанности, включая партнера. Порядок проведения обсуждения зависит от вовлеченных лиц и обстоятельств по аудиторскому заданию.

Например, если аудит проводится более чем в одном месте, может быть несколько обсуждений с членами аудиторской команды в разных местах. Партнер или другие члены аудиторской команды должны сообщать о важных вопросах другим членам команды, которые не участвуют в обсуждении.

Примечание. Если аудит полностью выполняется партнером, этот партнер лично проводит планирование аудита и несет ответственность за оценку подверженности финансовой отчетности компании существенным искажениям.

.51 Коммуникация между членами аудиторской команды по существенным вопросам, влияющим на риски существенных искажений, должна продолжаться на протяжении всего аудита, в том числе при изменении условий. (29)

Обсуждение потенциального существенного искажения из-за мошенничества.

.52 Обсуждение ключевыми участниками аудиторской команды возможного существенного искажения из-за мошенничества должно происходить с отношением, которое включает в себя вопросительный ум. При этом члены аудиторской команды должны отбросить любые предыдущие убеждения в честности и прямоте руководства компании. Обсуждение должно включать:

• Обмен идеями или «мозговой штурм» среди ключевых участников команды, включая партнера по взаимодействию, о том, как и где, по их мнению, финансовые отчеты компании могут быть подвержены существенным искажениям из-за мошенничества, как руководство может совершать и скрывать мошенничество в финансовой отчетности и о том, как активы компании могут быть незаконно присвоены, в том числе
  • (а) подверженность финансовой отчетности существенным искажениям посредством сделок со связанными сторонами и
  • (б) как мошенничество может быть совершено или скрыто путем пропуска сведений или представления неполных или неточных сведений;
• Рассмотрение известных внешних и внутренних факторов, влияющих на компанию, которые могут
  • (а) создавать стимулы или оказывать давление на руководство и других лиц для совершения мошенничества,
  • (б) предоставлять возможность совершения мошенничества и
  • (c) определять культуру или окружающую среду, что позволяет руководству рационализировать совершение мошенничества;
• Рассмотрение риска переоценки управления; а также
• Рассмотрение потенциальных ответов аудита на восприимчивость финансовой отчетности компании к существенным искажениям из-за мошенничества.

.53 Аудитор должен подчеркнуть следующие вопросы для всех членов команды:

• Необходимость придерживаться устного опроса во время аудита и проявления профессионального скептицизм при сборе и оценке доказательств, как описано в стандарте AS 2401; (30)
• Необходимость быть внимательным в отношении информации или других условий (например, тех вопросов, которые представлены в Приложении C стандарта AS 2810), которые могут повлиять на оценку рисков мошенничества; а также
• Если информация или другие условия указывают на то, что могло произойти существенное искажение из-за мошенничества, необходимо исследовать проблемы, при необходимости получить дополнительные доказательства и проконсультироваться с другими членами аудиторской команды и, в случае необходимости, с другими сотрудниками аудиторской фирмы, включая специалистов. (31)

Запрос в комитет по аудиту, к менеджменту и другим лицам компании о рисках существенного искажения.

.54 Аудитор должен получить информацию в комитете по аудиту или его эквиваленте (или у его председателя), у руководства, отделов внутреннего аудита и других лиц компании, от которых можно разумно ожидать получения информации, которая важна для идентификации и оценки рисков существенного искажения.

Примечание. Запросы аудитора о рисках существенного искажения должны включать в себя запросы о рисках мошенничества.

.55 Аудитор должен использовать свои знания о компании и ее окружении, а также информацию из других процедур оценки риска, чтобы определить характер запросов о рисках существенных искажений.

Запросы о риске мошенничества.

.56 Запросы аудитора относительно рисков мошенничества должны включать следующее:

• a. Запросы к руководству:
  • (1) Имеет ли руководство знание о мошенничестве или предполагаемом мошенничестве, затрагивающем компанию;
  • (2) Процесса выявления и реагирования на риски мошенничества в компании, включая любые риски, связанные с мошенничеством, выявленные компанией, или остатки на счетах или раскрытия информации, для которых вероятен риск мошенничества, а также характер, степень и частота процесса оценки риска мошенничества;
  • (3) Контроль, установленный компанией для устранения рисков мошенничества, выявленных компанией, которые помогают предотвратить и выявить мошенничество, в том числе о том, как руководство контролирует эти меры контроля;
  • (4) Для компании с несколькими местоположениями (а) характер и масштабы мониторинга рабочих мест или бизнес-сегментов и (б) наличие конкретных рабочих мест или бизнес-сегментов, для которых вероятность возникновения мошенничества может быть более вероятной;
  • (5) Как руководство выясняет взгляды сотрудников на деловую практику и этическое поведение;
  • (6) Получало ли руководство советы или жалобы относительно финансовой отчетности компании (в том числе полученные через внутреннюю программу осведомления комитета по аудиту, если такая программа существует) и, если это так, ответы руководства на такие советы и жалобы;
  • (7) Сообщало ли руководство аудиторскому комитету о том, как внутренний контроль компании служит для предотвращения и выявления существенных искажений из-за мошенничества; а также
  • (8) Проводила ли компания какие-либо существенные необычные транзакции и, если да, характер, условия и деловые цели (или их отсутствие) этих операций и связаны ли такие операции с аффилированными сторонами. (31A)
• b. Запросы в комитет по аудиту или его эквивалент или его председателю:
  • (1) Мнения комитета по аудиту о рисках мошенничества в компании;
  • (2) Имеет ли аудиторский комитет сведения о мошенничестве или предполагаемом мошенничестве, затрагивающем компанию;
  • (3) Знает ли комитет по аудиту о советах или жалобах относительно финансовой отчетности компании (в том числе полученные через внутреннюю программу осведомителя комитета по аудиту, если такая программа существует) и, если это так, ответы комитета по аудиту на такие советы и жалобы;
  • (4) Как комитет по аудиту осуществляет надзор за оценкой компанией рисков мошенничества и установлением контроля для устранения рисков мошенничества; а также
  • (5) Выполняла ли компания какие-либо существенные необычные транзакции.
• c. Если у компании есть функция внутреннего аудита, запросы соответствующему персоналу по внутреннему аудиту:
  • (1) Мнения внутренних аудиторов о рисках мошенничества в компании;
  • (2) Имеют ли внутренние аудиторы сведения о мошенничестве или предполагаемом мошенничестве, затрагивающем компанию;
  • (3) Проводили ли внутренние аудиторы процедуры выявления мошенничества в течение года и удовлетворило ли руководство результаты, полученные в результате этих процедур;
  • (4) Осведомлены ли внутренние аудиторы о случаях нарушения контроля, а также характера и обстоятельств таких нарушений; а также
  • (5) Выполняла ли компания какие-либо существенные необычные транзакции.

.57 В дополнение к запросам, изложенным в предыдущем абзаце, аудитор должен запросить у других сотрудников компании информацию об их взглядах на риски мошенничества, в том числе о том, знают ли они о мошенничестве или предполагаемом мошенничестве.

Аудитор должен идентифицировать других лиц в компании, которым должны быть направлены запросы, и определять объем таких запросов, рассмотрев, могут ли другие лица в компании иметь дополнительные сведения о мошенничестве или предполагаемом мошенничестве или могут ли их сведения подкрепить риски мошенничества, выявленные в ходе обсуждений с руководством или комитетом по аудиту.

Примеры других лиц в компании, к которым могут быть направлены запросы, включают:

• Сотрудники с различным уровнем полномочий внутри компании, включая, например, персонал компании, с которым аудитор входил в контакт в ходе аудита
  • (а) при оценке внутреннего контроля,
  • (б) при наблюдении за инвентаризацией или
  • (c) при получении объяснений о значительных различиях, выявленных при выполнении аналитических процедур;
• Оперативный персонал, не принимающий непосредственного участия в процессе создания финансовой отчетности;
• Сотрудники, участвующие в инициировании, регистрации или обработке сложных или необычных транзакций, например транзакции продаж с несколькими элементами, существенной необычной транзакции или значительной транзакции со связанными сторонами; а также
• Внутренний юрисконсульт.

.58 Оценивая ответы руководства на запросы о рисках мошенничества и получая, когда это необходимо подтверждения ответам руководства, аудитор должен учитывать тот факт, что руководство часто находится в лучшем положении для совершения мошенничества. Кроме того, аудитор должен получить доказательства для устранения несоответствий в ответах на запросы.

Определение и оценка рисков существенного искажения.

.59 Аудитор должен определить и оценить риски существенных искажений на уровне финансовой отчетности и уровне утверждения. При определении и оценке рисков существенных искажений аудитор должен:

• a. Определить риски искажения, используя информацию, полученную в результате проведения процедур оценки риска (как описано в параграфах .04-.58), и учитывая характеристики счетов и раскрытий в финансовой отчетности.

Примечание. Факторы, связанные с выявлением рисков мошенничества, описаны в параграфах .65-.69 настоящего стандарта.

• b. Оценить, относятся ли выявленные риски к финансовой отчетности в целом и могут ли они потенциально повлиять на многие утверждения.
• c. Оценить типы потенциальных искажений, которые могут возникнуть в результате выявленных рисков, раскрытий и утверждений.

Примечание. При определении и оценке рисков на уровне утверждения аудитор должен оценить, как риски на уровне финансовой отчетности могут повлиять на риски искажения на уровне утверждения.

• d. Оценить вероятность искажения, в том числе возможность множественных искажений, и величину потенциального искажения для оценки вероятности того, что риск может привести к существенному искажению финансовой отчетности.

Примечание. При оценке вероятности и величины возможных искажений аудитор может учитывать планируемую степень зависимости от процедур контроля, отобранных для тестирования. (32)

• e. Определить существенные бухгалтерские записи и раскрытия информации (33) и их соответствующие утверждения (34) (параграфы .60-.64 настоящего стандарта).

Примечание. Определение того, является ли бухгалтерская запись или раскрытие существенным, или того, что утверждение является релевантным, основано на неотъемлемом риске, независимо от эффекта контроля.

• f. Определить, являются ли какие-либо из выявленных и оцененных рисков существенных искажений значительными рисками (параграфы .70-.71 настоящего стандарта).

Определение значимых счетов, раскрытий информации и их соответствующих утверждений.

.60 Для определения значимых счетов, раскрытий информации и их соответствующих утверждений в соответствии с пунктом .59e аудитор должен оценить качественные и количественные факторы риска, связанные со статьями финансовой отчетности и раскрытиями.

Факторы риска, связанные с идентификацией значимых счетов и раскрытий информации, включают:

• Размер и состав бухгалтерской записи;
• Восприимчивость к искажению из-за ошибки или мошенничества;
• Объем деятельности, сложность и однородность отдельных транзакций, обрабатываемых посредством счета или отражаемых в раскрытии;
• Характер бухгалтерской записи или раскрытия;
• Учет и отчетность, связанные со счетом или раскрытием;
• Раскрытие убытков на счете;
• Возможность значительных условных обязательств, возникающих в результате деятельности, отраженной в счете или раскрытии;
• Существование операций со связанными сторонами на счете; а также
• Изменения за предыдущий период на бухгалтерском счете и в раскрытии.

.61 В рамках определения значимых бухгалтерских счетов, раскрытий и их соответствующих утверждений аудитор должен также определить вероятные источники возможных искажений, которые могут привести к существенным искажениям финансовой отчетности.

Аудитор может определить вероятные источники возможных искажений, спросив себя: «Что может пойти не так?» в пределах определенной значимой бухгалтерской записи или раскрытия.

.62 Факторы риска, которые аудитор должен оценивать при определении значимых бухгалтерских счетов, раскрытий и их соответствующих утверждений, одинаковы как при аудите внутреннего контроля за финансовой отчетностью, так и при аудите финансовой отчетности. Соответственно, значимые бухгалтерские счета, раскрытия информации и их соответствующие утверждения одинаковы для обоих аудитов.

Примечание. При аудите финансовой отчетности аудитор может выполнять аудиторские процедуры для проверки финансовой отчетности, раскрытий и утверждений, которые не определены как существенные бухгалтерские счета, раскрытия и соответствующие утверждения. (35)

.63 Компоненты потенциального значимого счета или раскрытия могут подвергаться значительно отличающимся рискам.

.64 Когда компания имеет несколько местоположений или бизнес-единиц, аудитор должен идентифицировать значительные счета, раскрытия информации и их соответствующие утверждения на основе консолидированной финансовой отчетности.

Факторы, связанные с выявлением рисков мошенничества.

.65 Аудитор должен оценить, соответствует ли информация, собранная при процедурах оценки риска, одному или нескольким факторам риска мошенничества и должна ли она учитываться при определении и оценке рисков мошенничества.

Факторы риска мошенничества - это события или условия, которые указывают на

• (1) стимул или давление с целью совершения мошенничества,
• (2) возможность совершить мошенничество или
• (3) отношение или рационализацию, которая оправдывает мошеннические действия.

Факторы риска мошенничества не обязательно указывают на наличие мошенничества, однако они часто присутствуют в обстоятельствах, когда существует мошенничество. Примеры факторов риска мошенничества, связанных с мошеннической финансовой отчетностью и незаконным присвоением активов, перечислены в AS 2401.85.

Эти иллюстративные факторы риска классифицируются на основе трех условий, обсуждаемых в этом параграфе, которые обычно присутствуют, когда существует мошенничество.

Примечание. Факторы, перечисленные в AS 2401.85, охватывают широкий диапазон ситуаций и являются только примерами. Соответственно, аудитор может определить дополнительные или различные факторы риска мошенничества.

.66 Все три условия, обсуждаемые в предыдущем абзаце, не обязательно должны быть соблюдены или очевидны, чтобы заключить, что существует риск мошенничества. Аудитор может сделать вывод о том, что риск мошенничества существует даже тогда, когда присутствует только одно из этих трех условий.

.67 Рассмотрение риска пропущенных, неполных или неточных раскрытий. Аудиторская оценка факторов риска мошенничества в соответствии с параграфом .65 должна включать в себя оценку того, как мошенничество может быть совершено или скрыто путем предоставления неполных или неточных сведений о раскрытии информации или путем исключения раскрытий, которые необходимы, чтобы финансовая отчетность была представлена ​​достаточно в соответствии с применяемыми стандартами финансовой отчетности.

.68 Презумпция риска мошенничества, связанного с ненадлежащим признанием доходов. Аудитор должен исходить из того, что существует риск мошенничества, связанный с ненадлежащим признанием доходов, и оценивать, какие виды доходов, транзакций доходов или утверждений могут привести к возникновению таких рисков.

.69 Рассмотрение риска нарушения контроля менеджментом. Аудиторская идентификация рисков, связанных с мошенничеством, должна включать риск нарушения контроля менеджментом.

Факторы, связанные с выявлением значительных рисков.

.70 Чтобы определить, является ли идентифицированный и оцененный риск значительным риском, аудитор должен оценить, требует ли риск специального аудиторского рассмотрения из-за характера риска или его вероятности и из-за потенциальной величины искажений, связанных с риском.

Примечание. Определение того, является ли риск существенного искажения значительным риском, основывается на неотъемлемом риске, независимо от эффекта контроля.

.71 Факторы, которые должны оцениваться при определении того, какие риски представляют собой значительные риски, включают:

• a. Влияние количественных и качественных факторов риска, обсуждаемых в пункте .60 на вероятность и потенциальную величину искажений;
• b. Является ли риск риском мошенничества;

Примечание. Риск мошенничества представляет собой значительный риск.

• c. Связан ли этот риск с недавними значительными экономическими, бухгалтерскими или другими событиями;
• d. Сложность транзакций;
• e. Приводит ли риск к значительными транзакциям со связанными сторонами;
• f. Степень сложности или суждения при распознавании или измерении финансовой информации, связанной с риском, особенно те измерения, которые связаны с широким диапазоном неопределенности измерений; а также
• g. Приводит ли риск к значительным необычным транзакциям.

Дальнейшее рассмотрение контроля

.72 Когда аудитор определил, что существует значительный риск, в том числе риск мошенничества, аудитор должен оценить структуру контроля компании, которая предназначена для устранения рисков мошенничества и других значительных рисков, и определить, были ли эти средства контроля реализованы, если аудитор еще не сделал этого, когда оценивал внутренний контроль, как описано в пунктах .18-.40 настоящего стандарта (36).

.73 Элементы управления, которые учитывают риски мошенничества, включают:

• (a) конкретные меры контроля, направленные на смягчение конкретных рисков мошенничества, например, меры контроля для устранения рисков преднамеренного искажения конкретных счетов и
• (б) меры контроля, предназначенные для предотвращения, сдерживания и обнаружения мошенничества, контроль за культурой честности и этическим поведением (37).

Такие меры контроля также включают в себя те, которые направлены на устранение риска нарушения контроля менеджментом.

.73A Аудитор должен получить представление о контроле, который руководство установило для идентификации, авторизации и одобрения, учета и раскрытия существенных необычных транзакций в финансовой отчетности, если аудитор еще этого не сделал при оценке внутреннего контроля, как описано в параграфах .18-.40 и .72-.73 настоящего стандарта.

Пересмотр оценки рисков.

.74 Аудиторская оценка рисков существенных искажений, включая риски мошенничества, должна продолжаться на протяжении всего аудита. Когда аудитор получает аудиторские доказательства в ходе аудита, которые противоречат аудиторским доказательствам, на которых аудитор первоначально основывал свою оценку риска, аудитор должен пересмотреть оценку риска и изменить плановые процедуры аудита или выполнить дополнительные процедуры в ответ на пересмотренные оценки рисков (38).

Приложение A - Определения

.A1 Для целей настоящего стандарта термины, перечисленные ниже, определяются следующим образом:

.A2 Бизнес-риски - риски, которые возникают в результате значительных условий, событий, обстоятельств, действий или бездействия, которые могут отрицательно повлиять на способность компании достигать своих целей и выполнять ее стратегии.

Бизнес-риски также могут возникать в результате установления неприемлемых целей и стратегий или изменений в деятельности или управлении компании.

.A3 Цели и стратегии компании - общие планы компании, установленные руководством или советом директоров. Стратегии - это подходы, с помощью которых руководство намерено достичь своих целей.

.A3A Исполнительный директор -

• для эмитентов, президент;
• любой вице-президент компании, отвечающей за основную бизнес-единицу, подразделение или функцию (например, продажи, администрирование или финансы);
• любое другое должностное лицо, выполняющее функцию разработки политики; или
• любое другое лицо, которое выполняет аналогичные функции, определяющие политику компании.

Исполнительные должностные лица дочерних компаний могут считаться исполнительными должностными лицами компании, если они выполняют такие директивные функции для компании. (См. правило 3b-7 в соответствии с Законом об обмене).

Для брокеров и дилеров термин «исполнительный директор» включает в себя главного исполнительного директора брокера или дилера, главного финансового директора, главного операционного директора, главного юрисконсульта, главного сотрудника по вопросам соблюдения, директора и лиц с аналогичным статусом или функциями. (См. график A формы BD.)

.A4 Процедуры оценки рисков. Процедуры, выполняемые аудитором при получении информации для определения и оценки рисков существенных искажений в финансовой отчетности вследствие ошибок или мошенничества.

Примечание. Процедуры оценки рисков сами по себе не дают достаточных соответствующих доказательств, на которых основывается мнение аудитора.

.A5 Значительный риск - риск существенных искажений, требующих специального аудита.

Приложение B - Рассмотрение ручных и автоматизированных систем и элементов управления.

.B1 При ознакомлении с информационной системой компании, связанной с финансовой отчетностью, аудитор должен получить представление о том, как компания использует информационные технологии (ИТ) и как ИТ влияет на финансовую отчетность (1).

Аудитор также должен получить понимание объема ручного управления и автоматизированных средств контроля, используемых компанией, включая общие средства управления ИТ, которые важны для эффективной работы автоматизированных средств контроля. Эта информация должна учитываться при оценке рисков существенных искажений (2).

.B2 Элементы управления в ручной системе могут включать такие процедуры, как утверждения и проверки транзакций, а также выверки и последующие действия по согласованию.

.B3 В качестве альтернативы, компания может использовать автоматизированные процедуры для инициирования, регистрации, обработки и отправки отчетов, и в этом случае записи в электронном формате заменяют бумажные документы.

Когда ИТ используется для инициирования, записи, обработки и отправки отчетов, ИТ-системы и программы могут включать в себя элементы управления, связанные с соответствующими утверждениями значимых учетных записей и раскрытия информации, или могут иметь решающее значение для эффективного функционирования ручного управления, зависящего от ИТ.

.B4 Аудитор должен получить представление о конкретных рисках для внутреннего контроля компании за финансовой отчетностью в результате использования ИТ. Примерами таких рисков являются:

• Применение систем или программ, которые неточно обрабатывают данные, обрабатывают неточные данные или и то, и другое;
• Несанкционированный доступ к данным, который могут привести к уничтожению данных или неправильным изменениям данных, включая запись несанкционированных или несуществующих транзакций или неточную запись транзакций (могут возникнуть определенные риски, когда несколько пользователей обращаются к общей базе данных);
• Возможность того, что ИТ-персонал получит привилегии доступа сверх тех, которые необходимы для выполнения возложенных на них обязанностей, тем самым нарушая разделение обязанностей;
• Несанкционированные изменения данных в основных файлах;
• Несанкционированные изменения систем или программ;
• Невыполнение необходимых изменений в системах или программах;
• Неправильное ручное вмешательство; а также
• Потенциальная потеря данных или невозможность доступа к данным по мере необходимости.

.B5 При ознакомлении с системами контроля компании аудитор должен получить представление о том, как компания отреагировала на риски, связанные с ИТ.

.B6 Когда компания использует ручные элементы в системах внутреннего контроля, и аудитор планирует полагаться на эти ручные средства контроля и, следовательно, проверять их, аудитор должен разработать процедуры для проверки согласованности в применении этих ручных элементов управления.

Сноски (AS 2110 - Выявление и оценка рисков существенного искажения):

Сноски (Приложение B - Рассмотрение ручных и автоматизированных систем и элементов управления):