Задай въпрос тук

МОС 315 Разбиране за Предприятието и Неговата Среда, и Оценка на Рисковете от Съществени Неточности, Отклонения и Несъответствия


(В сила за одити на финансови отчети за периоди,започващи на или след 15 декември 2004 г.)


СЪДЪРЖАНИЕ


Параграф

Въведение

1– 5

Процедури за оценка на риска и източници на информация относно предприятието и средата, в която то функционира, включително за неговия вътрешен контрол

6 – 19

Разбиране за предприятието и неговата среда, включително за неговия вътрешен контрол

20 – 99

Оценка на рисковете от съществени неточности, отклонения и несъответствия

100– 119

Комуникиране с лицата, натоварени с общо управление

120– 121

Документация

122– 123

Дата на влизане в сила

124

Приложение 1: Разбиране за предприятието и неговата среда


Приложение 2: Компоненти на вътрешния контрол


Приложение 3: Условия и събития, които могат да бъдат индикатор за рискове от съществени неточности, отклонения и несъответствия Международен одиторски стандарт (МОС) 315 "Разбиране за предприятието и неговата среда, и оценка на рисковете от съществени неточности, отклонения и несъответствия" следва да бъде разглеждан в контекста на "Предговора към Международните стандарти за контрол върху качеството, одита, изразяването на сигурност и свързаните по съдържание услуги", който излага приложението и обхвата на действие на МОС.


  


Въведение

        1. Целта на настоящия Международен одиторски стандарт (МОС) е да установи стандарти и да предостави насоки относно придобиването на разбиране за предприятието и неговата среда, включително за неговия вътрешен контрол, както и относно оценката на рисковете от съществени неточности, отклонения и несъответствия при одита на финансови отчети. Важността на оценката на риска от страна на одитора, като база за допълнителни одиторски процедури, е разгледана в обяснението на одиторския риск в МОС 200 "Цел и общи принципи на одита на финансови отчети".

        2. Одиторът следва да придобие разбиране за предприятието и неговата среда, включително за неговия вътрешен контрол, което да е достатъчно за идентифициране и оценка на рисковете от съществени неточности, отклонения и несъответствия във финансовия отчет, независимо дали се дължат на измама или на грешка, и което да е достатъчно за разработване и изпълнение на допълнителни одиторски процедури. МОС 500 "Одиторски доказателства" изисква от одитора да използва достатъчно детайлни твърдения за вярност,за формиране на база за оценка на рисковете от съществени неточности, отклонения и несъответствия и за разработване и изпълнение на допълнителни одиторски процедури. Настоящият МОС изисква от одитора да направи оценки за риска на ниво финансов отчет и на ниво твърдение за вярност, основани върху едно подходящо разбиране за предприятието и неговата среда, включително неговия вътрешен контрол. МОС 330 "Одиторски процедури в отговор на оценените рискове"

разглежда отговорността на одитора за определяне на общите отговори и за разработване и изпълнение на допълнителните одиторски процедури, чийто характер,време на изпълнение и обхват са в съответствие с оценките на риска. Изискванията и насоките в настоящия МОС следва да бъдат прилагани във връзка с изискванията и насоките, предоставени в други МОС. В частност, в МОС 240 "Отговорност на одитора относно измами при одита на финансови отчети" се разглеждат допълнителните насоки по отношение отговорността на одитора за оценка на рисковете от съществени неточности, отклонения и несъответствия, дължащи се на измама.

        3. Изложеното по-долу е общ преглед на изискванията на настоящия стандарт:

• Процедури за оценка на риска и източници на информация относно предприятието и неговата среда, включително за неговия вътрешен контрол. В този раздел се обясняват одиторските процедури, които се изисква да бъдат изпълнени от одитора за придобиване на разбиране за предприятието и неговата среда, включително за неговия вътрешен контрол (процедури за оценка на риска). Също така се изисква и провеждането на дискусия между членовете на екипа по ангажимента по отношение податливостта на финансовия отчет на предприятието на съществени неточности, отклонения и несъответствия.

• Разбиране на предприятието и неговата среда, включително за неговия вътрешен контрол. Този раздел изисква одиторът да разбере специфичните аспекти на предприятието и неговата среда, и на компонентите на вътрешния му контрол, за да идентифицира и оцени рисковете от съществени неточности, отклонения и несъответствия.

• Оценка на рисковете от съществени неточности, отклонения и несъответствия. Този раздел изисква одиторът да идентифицира и оцени рисковете от съществени неточности, отклонения и несъответствия на ниво финансов отчет и на ниво твърдение за вярност. Одиторът следва да:

° Идентифицира рисковете като разгледа предприятието и неговата среда,включително съществените контроли и като вземе под внимание групите сделки и операции, салдата по сметките и оповестяванията във финансовия отчет.

° Свърже идентифицираните рискове с това, което може да бъде грешно на ниво твърдение за вярност.

° Прецени важността и вероятността на рисковете. Този раздел изисква одиторът да определи и дали някои от оценените рискове представляват съществени рискове, които изискват специално одиторско внимание или рискове, за които единствено процедурите по същество не биха предоставили достатъчни и уместни одиторски доказателства. От одитора се изисква да оцени проектирането на контролите на предприятието, включително съществените контролни дейности, по отношение на тези рискове и да определи дали те са били въведени.

• Комуникиране с лицата, натоварени с общо управление и ръководство. Този раздел разглежда въпроси, свързани с вътрешния контрол, които одиторът следва да комуникира с лицата, натоварени с общо управление и ръководство.

• Документация. Този раздел установява изискванията, свързани с документацията.

        4. Придобиването на разбиране за предприятието и неговата среда е съществен аспект при изпълнението на одит в съответствие с МОС. В частност, това разбиране установява отправни основни критерии, в обхвата на която одиторът планира одита и упражнява професионална преценка за оценяване на рисковете от съществени неточности, отклонения и несъответствия във финансовия отчет и начините за отговор по отношение на тези рискове в процеса на одита, когато например:

• Определя съществеността и оценява дали преценката за нея остава уместна с напредването на работата по одита.

• Разглежда уместността на избора и приложението на счетоводна политика и адекватността на оповестяванията във финансовия отчет.

• Идентифицира области, за които може да е необходимо да се обърне специално внимание по време на одита, например сделки със свързани лица, уместността на ползване от ръководството на принципа-предположение за действащо предприятие или преценката на бизнес целта на сделките и операциите.

• Разработва очаквания, които да бъдат ползвани при изпълнението на аналитични процедури.

• Разработва и изпълнява допълнителни одиторски процедури за свеждане на одиторския риск до приемливо ниско ниво.

• Оценява достатъчността и уместността на събраните одиторски доказателства, като например уместността на предположенията и устните и писмените изявления на ръководството.

        5. Одиторът прилага професионална преценка за определяне степента на разбиране,необходима за предприятието и неговата среда, включително за неговия вътрешен контрол. Основното съображение на одитора е дали разбирането, което е придобито, ще е достатъчно, за да се оценят рисковете от съществени неточности, отклонения и несъответствия във финансовия отчет и за изпълнение на допълнителните одиторски процедури. Дълбочината на цялостното разбиране, което се изисква от одитора при провеждането на одита, е по-малка от притежаваната от ръководството при управлението на предприятието. 


Процедури за оценка на риска и източници на информация относно предприятието и неговата среда, включително за неговия вътрешен контрол

        6. Придобиването на разбиране за предприятието и неговата среда, включително за неговия вътрешен контрол, е непрекъснат, динамичен процес на събиране, актуализация и анализ на информация през целия одит. Както е описано в МОС 500,одиторските процедури за придобиване на разбиране се наричат "процедури за оценка на риска", тъй като част от информацията, получена чрез изпълнението на тази процедури, може да се използва от одитора като одиторски доказателства в подкрепа на оценките на рисковете от съществени неточности, отклонения и несъответствия. В допълнение, при изпълнението на процедурите за оценка на риска одиторът може да получи одиторски доказателства за групи сделки и операции,салда по сметки или оповестявания и свързаните с тях твърдения за вярност, както и за оперативната ефективност на контролите, дори чрез одиторски процедури,които не са специално планирани като процедури по същество или като тестове на контролите. Одиторът може да избере също да изпълни процедури по същество или тестове на контролите успоредно с процедурите за оценка на риска, ако е ефективно това да бъде направено. 


Процедури за оценка на риска

        7. За придобиване на разбиране за предприятието и неговата среда, включително за неговия вътрешен контрол, одиторът следва да изпълни следните процедури за оценка на риска:

          (а) проучващи запитвания към ръководството и други лица в предприятието;

          (б) аналитични процедури;

          (в) наблюдение и фактическа проверка.

От одитора не се изисква да изпълнява всички процедури за оценка на риска, описани по-горе, за всеки аспект от разбирането, посочено в параграф 20. Одиторът,обаче, изпълнява всички процедури за оценка на риска в процеса на придобиване на необходимото разбиране.

        8. В допълнение, одиторът изпълнява други одиторски процедури, когато получената информация може да е полезна за идентифицирането на рискове от съществени неточности, отклонения и несъответствия. Например одиторът може да обмисли отправянето на проучващи запитвания към външния правен съветник (адвокат) на предприятието или към експерти-оценители, ползвани от него. Прегледът на получена от външни източници информация, например доклади от анализатори, банки или рейтингови агенции; търговски и икономически издания; или регулаторни или финансови публикации може също да бъде полезна при получаването на информация за предприятието.

        9. Въпреки че значителна част от информацията, която одиторът получава чрез проучващи запитвания, може да бъде получена от ръководството и лицата, отговорни за финансовата отчетност, проучващи запитвания към други лица в предприятието, като например служители в производството или служители от вътрешния одит и други служители с различни нива на правомощия могат да бъдат полезни на одитора за осигуряване на различни гледни точки при идентифицирането на рисковете от съществени неточности, отклонения и несъответствия. При определянето на други лица в предприятието, към които могат да бъдат отправени проучващи запитвания и на обхвата на тези проучващи запитвания, одиторът взема под внимание естеството на информацията, която може да бъде получена, и която да му помогне при идентифицирането на рискове от съществени неточности, отклонения и несъответствия. Например:

• Проучващите запитвания, отправени към лицата, натоварени с общо управление, могат да помогнат на одитора да разбере средата, в която се изготвят финансовите отчети.

• Проучващите запитвания, отправени към служители от вътрешния одит, могат да бъдат свързани с тяхната дейност по отношение проектирането и ефективността на вътрешния контрол на предприятието и дали ръководството е отговорило по удовлетворителен начин на всякакви констатации в резултат на тези дейности.

• Проучващите запитвания към служители, участващи в инициирането, обработката или отразяването на сложни или необичайни операции, могат да помогнат на одитора при оценката на уместността при подбора и приложението на определени счетоводни политики.

• Проучващите запитвания, отправени към щатния правен съветник (юрисконсулт), могат да бъдат свързани с такива въпроси, като например съдебни процеси, спазването на закони и други нормативни разпоредби, информация за измами или подозрения за измами, засягащи предприятието, гаранции,задължения след продажба, договорености (като например съвместни предприятия) с бизнес партньори и значението на условия по договорите.

• Проучващите запитвания, отправени към служители по маркетинг и продажби, могат да бъдат свързани с промени в маркетинговите стратегии на предприятието, тенденциите в продажбите или договорните споразумения с неговите клиенти.

        10. Аналитичните процедури могат да бъдат полезни при идентифицирането на операции или събития, или на суми, съотношения и тенденции, които може да показват въпроси, имащи последици върху финансовия отчет и одита. При изпълнението на аналитични процедури, като процедури за оценка на риска, одиторът разработва очаквания за приемливи взаимовръзки, съотношения и тенденции, които в разумна степен се очаква да съществуват. Когато при сравнението на тези очаквания с реално отразените суми или показатели, достигнати в резултат от отчетените суми,се получават необичайни или неочаквани връзки, съотношения и тенденции, одиторът взема под внимание тези резултати при идентифицирането на рисковете от съществени неточности, отклонения и несъответствия. Когато, обаче, тези аналитични процедури ползват данни, обобщени на високо ниво (което често е така), резултатите от тези аналитични процедури предоставят единствено една по-широка първоначална индикация относно това дали е възможно да са налице съществени неточности, отклонения и несъответствия. Съответно, при идентифицирането на рисковете от съществени неточности, отклонения и несъответствия одиторът преценява резултатите от тези аналитични процедури наред с другата събрана информация. За допълнителни насоки относно ползването на аналитични процедури вж.МОС 520 "Аналитични процедури".

        11. Наблюдението и фактическата проверка могат да подкрепят проучващите запитвания към ръководството и другите лица, а също и да предоставят информация за предприятието и неговата среда. Тези одиторски процедури обикновено включват следното:

• наблюдение на дейностите и операциите на предприятието;

• фактическата проверка на документи (например бизнес планове и стратегии),досиета и ръководства за вътрешен контрол;

• прочит на доклади, изготвени от ръководството (например тримесечни доклади на ръководството и междинни финансови отчети) и от лицата, натоварени с общо управление (например протоколи от заседания на съвета на директорите);

• посещения в офисите и производствените помещения на предприятието;

• проследяване на операции в информационната система, които са съществени за финансовата отчетност (обхождания).

        12. Когато одиторът възнамерява да използва информацията за предприятието и неговата среда, получена в предходни периоди, той следва да определи дали са възникнали промени, които могат да се отразят на приложимостта и значението на тази информация за текущия одит. За продължаващи ангажименти предишният опит на одитора с предприятието допринася за разбирането му. Например одиторски процедури, изпълнени при предходни одити,обикновено предоставят одиторски доказателства за организационната структура на предприятието, неговия бизнес и контроли, както и информация за минали неточности, отклонения и несъответствия и дали те са били своевременно коригирани или не, което помага на одитора при оценката на рисковете от съществени неточности, отклонения и несъответствия в текущия одит. Тази информация обаче,може да е станала неприложима поради промени в предприятието или неговата среда. Одиторът отправя проучващи запитвания и изпълнява други подходящи одиторски процедури, като например обхождания (прегледи, наблюдения – бел.ред.) на системите (процесите – бел. ред.), с цел определяне дали са възникнали промени, които биха могли да се отразят на значимостта за одита на тази информация.

        13. Когато е уместно за одита, одиторът взема под внимание и друга информация, като например такава, получена в резултат от процеса за приемане или продължаване на клиенти на одитора или, където това е практически приложимо, опитът, придобит в други ангажименти, изпълнени за предприятието, например ангажименти за преглед на междинна финансова информация. 


Обсъждане между членовете на екипа по ангажимента

        14. Членовете на екипа по ангажимента следва да обсъдят податливостта на финансовия отчет на предприятието на съществени неточности, отклонения и несъответствия.

        15. Целта на такава дискусия е членовете на екипа по ангажимента да придобият по-добро разбиране за възможността от съществени неточности, отклонения и несъответствия във финансовия отчет, възникващи в резултат на измама или грешка в специфичните области, които са им възложени, и за разбиране по какъв начин резултатите от одиторските процедури, които те изпълняват, могат да се отразят върху други аспекти на одита, включително решения относно характера, времето на изпълнение и обхвата на допълнителните одиторски процедури.

        16. Обсъждането дава възможност на по-опитните членове на екипа по ангажимента,включително на съдружника, отговорен за ангажимента, да споделят своите виждания, въз основа на познанията си за предприятието, а за членовете на екипа да обменят информация относно бизнес рисковете1, на които е изложено предприятието и за начина, по който и кога финансовият отчет може да е податлив на съществени неточности, отклонения и несъответствия. Както се изисква от МОС 240,особен акцент се поставя върху податливостта на финансовия отчет на предприятието на съществени неточности, отклонения и несъответствия, дължащи се на измама. Дискусията също адресира прилагането на приложимата обща рамка за финансова отчетност спрямо фактите и обстоятелствата, свързани с предприятието.

        17. За определяне кои членове на екипа по ангажимента да бъдат включени в обсъждането, по какъв начин и кога тя да бъде проведена и какъв да бъде нейният обхват се прилага професионална преценка. Ключовите членове на екипа по ангажимента обикновено се включват в обсъждането; не е необходимо обаче всички членове на екипа да притежават изчерпателни познания за всички аспекти на одита.

Обхватът на дискусията се влияе от ролите, опита и потребността от информация на членовете на екипа по ангажимента. В случаите на одит, провеждащ се на няколко места, например, е възможно да се проведат няколко обсъждания, включващи ключовите членове от екипа по ангажимента във всяко съществено местоположение. Друг фактор, който следва да бъде разгледан при планирането на дискусиите, е дали експертите, включени в екипа по ангажимента, също да участват. Например одиторът може да определи, че в екипа по ангажимента е необходимо включването на професионалист, притежаващ специализирани умения по информационни технологии (ИТ)2 или други умения и съответно да включи това лице в дискусията.

        18. Както това се изисква от МОС 200, одиторът планира и изпълнява одита с отношение на професионален скептицизъм. В обсъждането между членовете на екипа по ангажимента се набляга върху необходимостта да се запази професионалният скептицизъм през целия ангажимент, да се остане с повишено внимание за информация или други условия, които показват, че е възможно да са възникнали съществени неточности, отклонения и несъответствия, дължащи се на измама или грешка и да се проявява взискателност при проследяването на тези индикации.

        19. В зависимост от обстоятелствата, свързани с одита, е възможно да бъдат проведени допълнителни дискусии за улесняване текущия обмен на информация между членовете на екипа по ангажимента по отношение податливостта на финансовия отчет на предприятието на съществени неточности, отклонения и несъответствия.

Целта е членовете на екипа по ангажимента да комуникират и обменят информация, получавана през целия одит, която би могла да се отрази върху оценката на рисковете от съществени неточности, отклонения и несъответствия, дължащи се на измама или грешка, или върху одиторските процедури, изпълнени за адресиране на рисковете. 


Разбиране за предприятието и неговата среда, включително за неговия вътрешен контрол

        20. Разбирането на одитора за предприятието и неговата среда включва разбиране на следните аспекти:

               (а) отраслови, регулаторни и други външни фактори, включително приложимата обща рамка за финансова отчетност;

               (б) характер на предприятието, включително избор и приложение на счетоводна политика от страна на предприятието;

               (в) цели и стратегии и свързаните с тях бизнес рискове, които могат да доведат до съществени неточности, отклонения и несъответствия във финансовия отчет;

               (г) оценка и преглед на финансовите резултати от дейността на предприятието;

               (д) вътрешен контрол.

Приложение 1 съдържа примери на въпроси, които одиторът може да вземе под внимание при придобиването на разбиране за предприятието и неговата среда,свързани с категориите, изброени в подточки (a) до (д) по-горе. Приложение 2 съдържа подробно обяснение за компонентите на вътрешния контрол.

        21. Характерът, времето на изпълнение и обхватът на изпълняваните процедури за оценка на риска зависят от обстоятелствата, свързани с ангажимента, като например размер и сложност на предприятието и опита на одитора с него. В допълнение,установяването на съществени промени в който и да било от изброените по-горе аспекти на предприятието спрямо предходни периоди е особено важно при придобиването на достатъчно разбиране за него, с цел идентифициране и оценка на рисковете от съществени неточности, отклонения и несъответствия. 


Отраслови, регулаторни и други външни фактори, включително приложимата обща рамка за финансова отчетност

        22. Одиторът следва да придобие разбиране за съществените отраслови, регулаторни и други външни фактори, включително приложимата обща рамка за финансова отчетност. Тези фактори включват условия в отрасъла, като например конкурентна среда, взаимоотношения с доставчици и клиенти и технологично развитие; регулаторната среда, наред с редица други неща, обхваща приложимата обща рамка за финансова отчетност, правната и политическата среда и изискванията, свързани с околната среда, които влияят върху отрасъла и предприятието; както и други външни фактори, като например общите икономически условия.

За допълнителни изисквания, свързани с правната и регулаторна рамка, приложима към предприятието и отрасъла, вж. МОС 250 "Съобразяване със закони и други нормативни разпоредби при одита на финансови отчети".

        23. Отрасълът, в който оперира предприятието, може да породи специфични рискове от съществени неточности, отклонения и несъответствия, възникващи в резултат на характера на бизнеса или степента на регулация. Например дългосрочни договори може да включват съществени приблизителни оценки за приходи и разходи, които пораждат рискове от съществени неточности, отклонения и несъответствия. При такива обстоятелства одиторът преценява дали в екипа по ангажимента да включи членове с достатъчно подходящи познания и опит.

        24. Законодателни и регулаторни изисквания често определят приложимата обща рамка за финансова отчетност, която следва да се използва от ръководството при изготвянето на финансовия отчет на предприятието. В повечето случаи приложимата обща рамка за финансова отчетност е рамката на юрисдикцията, в която е регистрирано или функционира предприятието и одиторът и предприятието притежават общо разбиране за тази обща рамка. В някои случаи е възможно да няма местна обща рамка за финансова отчетност, в който случай изборът на предприятието се ръководи от местната практика, практиката в отрасъла, потребностите на потребителите или други фактори. Например конкурентите на предприятието могат да прилагат Международните стандарти за финансови отчети (МСФО) и предприятието може да определи, че МСФО са подходящи и за неговите изисквания за финансова отчетност. Одиторът преценява дали другите местни нормативни разпоредби посочват определени изисквания за финансова отчетност за отрасъла, в който функционира предприятието, тъй като финансовият отчет може да съдържа съществени неточности, отклонения и несъответствия в контекста на приложимата обща рамка за финансова отчетност, ако ръководството не успее да изготви финансовия си отчет в съответствие с тези други нормативни разпоредби.


Характер на предприятието

        25. Одиторът следва да придобие разбиране за характера на предприятието.

Характерът на предприятието е свързан с неговата дейност, собственост и общо управление, видове инвестиции, които то реализира и планове, които прави, начина на структурирането и финансирането му. Разбирането за характера на предприятието дава възможност на одитора да разбере групите сделки и операции, салда по сметки и оповестявания, които следва да се очакват във финансовия отчет.

        26. Предприятието може да има сложна структура с дъщерни дружества или с други компоненти в редица местоположения. В допълнение към трудностите, свързани с консолидацията в тези случаи, други въпроси по отношение на сложните структури, които могат да породят рискове от съществени неточности, отклонения и несъответствия включват: разпределението на репутацията между бизнес секторите и нейната обезценка; дали инвестициите представляват съвместни предприятия, дъщерни дружества или инвестиции, отчетени по метода на собствения капитал; и дали предприятията със специално предназначение са отчетени счетоводно по подходящ начин.

        27. Разбирането за собствеността и връзките между собствениците и други лица или предприятия също е важно за определянето дали по подходящ начин са идентифицирани и отчетени счетоводно сделките със свързани лица. МОС 550 "Свързани лица" предоставя допълнителни насоки за съображенията на одитора по отношение на свързаните лица.

        28. Одиторът следва да придобие разбиране за избора и приложението на счетоводна политика от страна на предприятието и да прецени дали тя е подходяща за неговия бизнес и е в съответствие с приложимата обща рамка за финансова отчетност и счетоводните политики, използвани в съответния отрасъл. Разбирането обхваща методите, които предприятието използва за счетоводно отчитане на съществени и необичайни сделки и операции; ефекта от съществените счетоводни политики за спорни или нововъзникващи области, за които няма установени насоки или консенсус от съответния счетоводен орган (организация в държавата), отрасъла и промените в счетоводната политика на предприятието. Одиторът идентифицира и стандартите за финансова отчетност и другите нормативни разпоредби, които са нови за предприятието и преценява кога и по какъв начин то ще приложи тези изисквания. Когато предприятието е променило избора си или метода на приложение на съществена счетоводна политика, одиторът разглежда причините за промяната и дали тази промяна е подходяща и в съответствие с изискванията на приложимата обща рамка за финансова отчетност.

        29. Представянето на финансовия отчет в съответствие с приложимата обща рамка за финансова отчетност включва и подходящо оповестяване на съществени въпроси.

Тези въпроси са свързани с формата, структурирането и съдържанието на финансовия отчет и приложените към него пояснителни приложения, включително например,използваната терминология, обема и детайлността на предоставените данни, класификацията на обектите в отчетите и базата за представените суми. Одиторът преценява и дали предприятието е оповестило по подходящ начин конкретен въпрос в светлината на обстоятелствата и фактите, които са му известни към този момент.


Цели и стратегии и свързаните с тях бизнес рискове

        30. Одиторът следва да придобие разбиране за целите и стратегиите на предприятието и свързаните с тях бизнес рискове, които могат да доведат до съществени неточности, отклонения и несъответствия във финансовия отчет. Предприятието реализира бизнеса си в контекста на отрасловите, регулаторни и други вътрешни и външни фактори. За да отговори на тези фактори, ръководството на предприятието и лицата, натоварени с общо управление, определят цели, които представляват общи планове за него. Стратегиите представляват оперативни подходи, чрез които ръководството възнамерява да постигне целите си. Бизнес рисковете възникват в резултат на съществени условия, събития, обстоятелства, действия или бездействия, които биха могли да имат негативен ефект върху способността на предприятието да постигне целите си и да изпълни стратегиите си, или поради определянето на неподходящи цели и стратегии. Също както се променя външната среда, така и реализирането на бизнеса на предприятието е динамичен процес и стратегиите и целите му се променят във времето.

        31. Бизнес рискът е по-широкообхватен от риска от съществени неточности, отклонения и несъответствия във финансовия отчет, въпреки че той включва и него. В частност, бизнес риск може да възникне в резултат на промяна или усложнение, въпреки че и невъзможността да се отчете необходимостта от промяна също може да породи риск. Например промяна може да възникне в резултат на разработването на нови продукти, които може да не постигнат успех; в резултат на неподходящ пазар, дори и ако е успешно разработен; или в резултат на недостатъци, които могат да доведат до задължения и риск за репутацията. Разбирането на бизнес рисковете увеличава вероятността от идентифициране на рискове от съществени неточности, отклонения и несъответствия. Одиторът, обаче, не носи отговорност да идентифицира или оценява всички бизнес рискове.

        32. Повечето бизнес рискове евентуално имат финансови последици и следователно ефект върху финансовия отчет. Не всички бизнес рискове обаче пораждат рискове от съществени неточности, отклонения и несъответствия. Даден бизнес риск може да има като непосредствена последица риск от неточност, отклонение и несъответствие за групи сделки и операции, салда по сметки и оповестявания на ниво твърдение за вярност или за финансовия отчет като цяло. Например бизнес риск, възникващ в резултат на свиваща се клиентска база поради консолидация на отрасъла, може да увеличи риска от неточности, отклонения и несъответствия, свързани с оценката на вземанията. Същият риск, обаче, особено в комбинация със свиваща се икономика, може също да има по-дългосрочна последица, която одиторът взема под внимание, когато оценява уместността на принципа-предположение за действащо предприятие. Следователно преценката на одитора за това дали даден бизнес риск може да доведе до съществена неточност, отклонение и несъответствие се прави в светлината на обстоятелствата, свързани с предприятието. Примери за условия и събития, които може да показват рискове от съществени неточности, отклонения и несъответствия, са представени в Приложение 3.

        33. Обикновено ръководството идентифицира бизнес рисковете и разработва подходи за тяхното адресиране. Този процес на оценка на риска представлява част от вътрешния контрол и се разглежда в параграфи 7679.

        34. По-малките предприятия често не определят целите и стратегиите си или не управляват свързаните с тях рискове посредством официални планове и процеси. В редица случаи е възможно по тези въпроси да не е налицедокументация. За такива предприятия разбирането на одитора обикновено се придобива посредством проучващи запитвания до ръководството и наблюдение на начините, по които предприятието отговаря на тези въпроси.


Оценка и преглед на финансовите резултати от дейността на предприятието

        35. Одиторът следва да придобие разбиране за оценката и прегледа на финансовите резултати от дейността на предприятието. Оценките на резултатите от дейността и техният преглед показва на одитора аспекти от резултатите на предприятието, които ръководството и други лица считат за важни. Оценките на резултатите от дейността, независимо външни или вътрешни, оказват натиск върху предприятието, който на свой ред мотивира ръководството да предприеме действия за подобряване на резултатите от дейността или за допускане на неточности, отклонения и несъответствия във финансовия отчет. Придобиването на разбиране за оценките на резултатите на предприятието помага на одитора при преценката дали този натиск води до действия на ръководството, които биха могли да повишат риска от съществени неточности, отклонения и несъответствия.

        36. Оценката и прегледът от страна на ръководството на финансовите резултати от дейността на предприятието следва да се разграничават от текущото наблюдение върху контролите (разглеждано като компонент от вътрешния контрол в параграфи 9699), въпреки че техните цели може да се припокриват. Текущото наблюдение на контролите, обаче, е конкретно свързано с ефективното действие на вътрешния контрол чрез вземане под внимание на информацията за контрола. Оценката и прегледът на резултатите са насочени към това дали резултатите от дейността удовлетворяват поставените от ръководството (или от трети страни) цели, но в някои случаи показателите за резултатност също предоставят информация, която дава възможност на ръководството да идентифицира недостатъци във вътрешния контрол.

        37. Вътрешногенерираната информация, използвана от ръководството за тази цел, може да включва основни показатели за резултатност (финансови и нефинансови), бюджети, анализ на отклоненията, информация по сектори и отчети за резултатите по поделения, звена, отдели или други нива и сравнение на резултатите на предприятието с тези на конкурентите. Външни страни може също да оценят и прегледат финансовите резултати от дейността на предприятието. Например външна информация, като например доклади на анализатори и агенции за кредитен рейтинг могат да предоставят информация, полезна за разбирането на одитора за предприятието и неговата среда. Такива доклади често биват получавани от предприятието, предмет на одита.

        38. Вътрешните оценки може да очертаят неочаквани резултати или тенденции, налагащи отправянето на проучващи запитвания към други лица от страна на предприятието, за да се определи тяхната причина и да се предприемат корективни мерки(включително, в някои случаи своевременно установяване и корекция на неточности, отклонения и несъответствия). Оценките на резултатите от дейността могат да покажат на одитора риска от неточности, отклонения и несъответствия в свързаната с финансовия отчет информация. Например оценките на резултатите от дейността могат да покажат, че предприятието отчита необичайно бърз растеж или рентабилност в сравнение с други предприятия в същия отрасъл. Тази информация, особено в комбинация с други фактори, като например бонус или мотивационно възнаграждение, свързано с резултатите от дейността, може да покаже потенциален риск от предубеденост на ръководството при изготвянето на финансовия отчет.

        39. Голяма част от информацията, използвана в оценката на резултатите от дейността,може да бъде изготвена от информационната система на предприятието. Ако ръководството приеме, че данните, използвани за прегледа на резултатите от дейността на предприятието, са верни, без да има основа за това предположение, е възможно да са налице грешки в информацията, които потенциално да доведат ръководството до неточни заключения по отношение на резултатите. Когато одиторът възнамерява да използва оценките на резултатите от дейността за целта на одита(например за аналитични процедури), той преценява дали информацията, свързана с прегледа на ръководството на резултатите от дейността на предприятието, предоставя надеждна база и е достатъчно прецизна за тази цел. Ако ползва оценките на резултатите от дейността, одиторът преценява дали те са достатъчно прецизни за установяване на съществени неточности, отклонения и несъответствия.

        40. Обикновено по-малките предприятия нямат официално обособен процес за оценка и преглед на финансовите резултати от дейността им. Независимо от това ръководството често се позовава на определени основни показатели, за които познанията и опита му в бизнеса предполагат, че са надеждна база за оценка на финансовите резултати от дейността и за предприемане на подходящи мерки. 


Вътрешен контрол

        41. Одиторът следва да придобие разбиране за вътрешния контрол, свързан с одита. Одиторът използва разбирането си за вътрешния контрол, за да идентифицира видовете потенциални неточности, отклонения и несъответствия, за разглеждане на факторите, които влияят върху рисковете от съществени неточности, отклонения и несъответствия, и за проектиране на характера, времето на изпълнение и обхвата на допълнителните одиторски процедури. Вътрешният контрол, свързан с одита, се разглежда в параграфи 4753 по-долу. В допълнение, дълбочината на разбирането е представена в параграфи 5456 по-долу.

        42. Вътрешният контрол е процесът, разработен и приложен от лицата, натоварени с общо управление, ръководството и други служители, с цел предоставяне на разумна степен на сигурност по отношение постигането на целите на предприятието, с оглед надеждността на финансовата отчетност, ефективността и ефикасността на дейността и спазването на приложимите закони и други нормативни разпоредби.Следователно вътрешният контрол се разработва и прилага за адресиране на идентифицираните бизнес рискове, които застрашават постигането на която и да било от тези цели.

        43. Вътрешният контрол, както е представен в настоящия МОС, включва следните компоненти:

               (а) контролна среда;

               (б) процес на оценка на рисковете на предприятието;

               (в) информационна система, включително свързаните с нея бизнес процеси, съществени за финансовата отчетност, и комуникация ;

               (г) контролни дейности;

               (д) текущо наблюдение на контролите.

Приложение 2 съдържа подробна дискусия относно компонентите на вътрешния контрол.

        44. Разделянето на вътрешния контрол на пет компонента предоставя полезна рамка за одиторите за преценка относно начина, по който различните аспекти от вътрешния контрол на предприятието могат да повлияят върху одита. Разделението не отразява непременно начина, по който предприятието разглежда и прилага вътрешния контрол. Също така основното съображение на одитора е дали и по какъв начин специфичният контрол по-скоро предотвратява, или установява и коригира съществени неточности, отклонения и несъответствия в групи сделки и операции,салда по сметки или оповестявания и свързаните с тях твърдения за вярност, отколкото неговата класификация по конкретен компонент. Съответно, одиторите могат да използват различна терминология или рамки за описание на различните аспекти на вътрешния контрол и техния ефект върху одита от използваните в настоящия МОС, при условие че са адресирани всички компоненти, описани в него.

        45. Начинът, по който е проектиран и приложен вътрешният контрол, е различен в зависимост от размера и сложността на предприятието. В частност, по-малките предприятия могат да ползват не толкова формални средства и по-опростени процеси и процедури за постигане на целите си. Например по-малките предприятия с активно участие на ръководството в процеса на финансова отчетност може да не разполагат с подробни описания на счетоводните процедури или подробна политика в писмена форма. За някои предприятия, особено много малки предприятия, собственикът – управляващ ръководител3, може да изпълнява функции, които в едно по-голямо предприятие биха били разглеждани като отнасящи се до няколко компонента на вътрешния контрол. Следователно компонентите на вътрешния контрол не могат да бъдат ясно разграничени в по-малките предприятия, но залегналите в тях цели имат еднаква валидност.

        46. За целите на настоящия МОС терминът "вътрешен контрол" обхваща всичките пет компонента на вътрешния контрол, посочени по-горе. В допълнение, терминът"контроли" се отнася за един или повече компоненти или всеки негов аспект.


Контроли, свързани с одита

        47. Съществува пряка връзка между целите на предприятието и контролите, които то прилага за осигуряване на разумна степен на сигурност за тяхното постигане. Целите на предприятието и следователно контролите са свързани с финансовата отчетност, дейността и спазването на изискванията; но не всички тези цели и контроли, обаче, са свързани с оценката на риска от страна на одитора.

        48. Обикновено контролите, които са свързани с одита, се отнасят за целта на предприятието при изготвяне на финансов отчет за външни цели, който да дава вярна и честна представа (или, да е представен достоверно, във всички съществени аспекти) в съответствие с приложимата обща рамка за финансова отчетност и с управлението на риска, който може да породи съществени неточности, отклонения и несъответствия в тези финансови отчети. Въпрос на професионална преценка от страна на одитора е и съгласно изискванията на настоящия МОС, дали контролът, индивидуално или в комбинация с други, е съществен за съображенията на одитора при оценката на рисковете от съществени неточности, отклонения и несъответствия и разработването и изпълнението на допълнителните процедури в отговор на оценените рискове. При упражняването на тази преценка одиторът взема под внимание обстоятелствата, приложимия компонент и фактори, като посочените по-долу:

• преценката на одитора по отношение на съществеността;

• размера на предприятието;

• характера на бизнеса на предприятието, включително неговата организация и характеристики на собствеността;

• разнообразието и сложността на дейностите на предприятието;

• приложимите правни и регулаторни изисквания;

• характера и сложността на системите, които представляват част от вътрешния контрол на предприятието, включително ползването на обслужващи организации.

        49. Контролите върху изчерпателността и точността на информацията, изготвяна от предприятието, може също да са съществени за одита, ако одиторът възнамерява да ползва информацията при разработването и изпълнението на допълнителните процедури. Предишният опит на одитора с предприятието и информацията, получена при разбирането на предприятието и неговата среда, както и в хода на одита,подпомагат одитора при идентифицирането на контролите, свързани с одита. В допълнение, въпреки че вътрешният контрол се прилага за цялото предприятие или за някое от неговите оперативни звена или бизнес процеси, разбирането за вътрешния контрол, свързан с всяко от оперативните звена или бизнес процеси на предприятието, може да не е от практическо значение с одита.

        50. Контролите, свързани с дейността, и целите за поддържане на съответствие с изискванията могат обаче да бъдат съществени за одита, ако те се отнасят за данни, които одиторът оценява или използва при приложението на одиторските процедури. Например контроли, отнасящи се до нефинансови данни, които одиторът използва в аналитични процедури, като например производствена статистика или контроли, свързани с установяването на несъответствие с изискванията на закони и други нормативни разпоредби, които могат да имат пряк и съществен ефект върху финансовия отчет, като например контроли върху спазването на изискванията на законите за данък върху доходите/печалбата и може да са съществени по отношение на одита.

        51. Като цяло предприятието има и контроли, свързани с целите, които не са от пряко значение за одита и следователно тяхното разглеждане не необходимо. Например предприятието може да се позовава на усъвършенствана система от автоматизирани контроли за осигуряване на ефективна и ефикасна дейност (като например системата за автоматизиран контрол за поддържане на летателните разписания на една търговска авиолиния), но тези контроли обикновено не са от пряко значение за одита.

        52. Вътрешният контрол за опазване на активите срещу неоторизирано придобиване,ползване или разпореждане може да включва контроли, свързани с целите за финансовата отчетност и за дейността. При придобиването на разбиране за всеки от компонентите на вътрешния контрол, разглеждането от одитора на контролите по опазването обикновено се ограничава до свързаните с надеждността на финансовата отчетност. Например ползването на контроли за достъп, като пароли, които ограничават достъпа до данни и програми, които обработват паричните преводи, може да бъде важно значение за одита на финансовия отчет. Обратното, контроли за предотвратяване на свръхупотреба на материали в производството обикновено не са от значение за одита на финансовия отчет.

        53. Контроли от съществено значение за одита може да съществуват във всеки от компонентите на вътрешния контрол и по-долу в раздела за всеки вътрешен контрол е включена допълнителна дискусия за контролите от значение за одита. В допълнение, в параграфи 113 и 115 се разглеждат някои рискове, за които от одитора се изисква да оцени проектирането на контроли от страна на предприятието за тези рискове и да определи дали те са били въведени за приложение.


Дълбочина на разбирането за вътрешния контрол

        54. Придобиването на разбиране за вътрешния контрол включва оценка на разработения модел на контрол и определянето дали той е бил въведен за приложение и функционира. Оценката на проектирането на контрола включва преценка дали контролът, индивидуално или в комбинация с други контроли, е в състояние ефективно да предотврати или установи и коригира съществени неточности, отклонения и несъответствия. Допълнително обяснение е включено по-долу в дискусията за всеки компонент на вътрешния контрол. Въвеждането за приложение на даден контрол означава, че контролът съществува и че предприятието го използва. Одиторът разглежда проектирането на даден контрол при определянето дали да вземе под внимание неговото приложение. Неподходящо разработен контрол може да представлява съществена слабост 4 във вътрешния контрол на предприятието и одиторът преценява дали да съобщи това на лицата, натоварени с общо управление, и ръководството, както това се изисква от параграф 120.

        55. Процедурите за оценка на риска за събиране на одиторски доказателства относно проектирането и приложението на контроли със съществено значение може да включва отправяне на проучващи запитвания към персонала на предприятието,наблюдение на приложението на специфични контроли, фактическа проверка на документи и доклади и проследяването на операциите, съществени за финансовата отчетност, в информационната система. Проучващото запитване само по себе си не е достатъчно за оценка на проектирането на система за контрол, уместна за одита, както и за определянето дали тя е въведена и функционира.

        56. Придобиването на разбиране за контролите на предприятието не е достатъчно, за да послужи като тестване на оперативната им ефективност, освен ако не е налице автоматизиран процес, осигуряващ последователното приложение на работата на контрола (неавтоматизираните и автоматизираните елементи на вътрешния контрол, от значение за одита, са описани допълнително по-долу). Например събирането на одиторски доказателства относно приложението на неавтоматизиран контрол, действащ в определен момент от време, не предоставя одиторски доказателства относно оперативната ефективност на контрола в други моменти по време на периода, предмет на одита. ИТ, обаче, дават възможност на предприятието да обработва последователно големи обеми данни и да подобрява способността на предприятието текущо да наблюдава изпълнението на контролните дейности и да постига ефективно разделение на задълженията чрез въвеждането на контроли за сигурност (защита) за приложните програми, базите данни и на оперативните системи. Следователно поради вътрешноприсъщата последователност на ИТ обработката, изпълнението на одиторски процедури за това дали е въведен за приложение автоматизиран контрол могат да служат и като тест за оперативната ефективност на този контрол, в зависимост от оценката на одитора и тестването на контролите,като например тези, свързани с промени в дадена програма. Тестовете за оперативната ефективност на контролите са описани допълнително в МОС 330. 


Характеристики на неавтоматизираните и автоматизираните елементи на вътрешния контрол от значение за оценката на риска от страна на одитора

        57. Повечето предприятия използват ИТ системи за целите на финансовата отчетност и за оперативни цели. Дори когато ИТ се използват в изключително голяма степен,обаче, в системите са налице и неавтоматизирани елементи. Балансът между неавтоматизирани и автоматизирани елементи варира. В някои случаи особено в по-малките и не толкова сложни предприятия системите могат да бъдат основно неавтоматични. В други случаи степента на автоматизация може да варира като някои системи са в значителна степен автоматизирани и в тях има много малко свързани неавтоматизирани елементи, а други, дори и в същото предприятие, са основно неавтоматизирани. В резултат на това системата за вътрешен контрол на предприятието вероятно съдържа неавтоматизирани и автоматизирани елементи,характеристиките на които са от значение за оценката на риска от страна на одитора и допълнителните одиторски процедури за тях.

        58. Ползването на неавтоматизирани или автоматизирани елементи във вътрешния контрол се отразява и на начина, по който операциите се инициират, записват, обработват и отчитат. Контролите в една неавтоматизирана система могат да включват такива процедури като одобрения и прегледи на действия и дейностите, равнения и проследяване на равняващите се обекти. Алтернативно, предприятието може да ползва автоматизирани процедури за иницииране, записване, обработка и отчитане на операциите, в които случаи записите в електронен формат заменят такива документи на хартия като например поръчки за закупуване, фактури, експедиционни документи и свързаните счетоводни записвания. Контролите в ИТ системата включват комбинация от автоматизирани контроли (например контроли, заложени в компютърни програми) и неавтоматизирани контроли. В допълнение, неавтоматизираните контроли могат да бъдат независими от ИТ, могат да използват информация, изготвена от ИТ или могат да бъдат ограничени до текущо наблюдение на ефективното функциониране на ИТ и на автоматизираните контроли и обработка на изключения. Когато ИТ се използва за иницииране, записване, обработка или отчитане на операции или други финансови данни, които следва да се включат във финансовия отчет, системите и програмите могат да включват контроли, свързани със съответните твърдения за вярност за съществените сметки или могат да бъдат от изключително значение за ефективното функциониране на неавтоматизираните контроли, които зависят от ИТ. Комбинацията от неавтоматизирани и автоматизирани контроли на предприятието варира според характера и сложността на ползването на ИТ от негова страна.

        59. Обикновено ИТ осигуряват потенциални ползи за ефективността и ефикасността на вътрешния контрол на предприятието, тъй като те му дават възможност:

• последователно да прилага предварително зададени бизнес правила и да изпълнява сложни изчисления при обработката на големи обеми операции или данни;

• да подобрява своевременното предоставяне, наличие и точност на информацията;

• да улеснява допълнителния анализ на информацията;

• да повишава възможността за текущо наблюдение на резултатите от дейностите на предприятието и неговите политика и процедури;

• да намали риска, че контролите могат да бъдат заобиколени и пренебрегнати;

• да повиши способността за ефективно разделение на задълженията чрез въвеждане на контроли на сигурност (защита) в приложните програми, базите данни и оперативните системи.

        60. ИТ също пораждат специфични рискове за вътрешния контрол на предприятието,включително следните:

• Позоваване на системи или програми, които обработват данните неточно, обработват неточни данни или и двете.

• Неоторизиран достъп до данни, който може да доведе до унищожаване на данни или неподходящи промени в данните, включително записване на неоторизирани или несъществуващи операции, или неточно записване на операции. Конкретни рискове могат да възникнат, когато множество потребители имат достъп до обща база данни.

• Възможност за ИТ персонала да получи привилегии за достъп, превишаващи необходимите му за изпълнение на възложените му задължения, като по този начин се наруши разделението на задълженията.

• Неоторизирани промени на данни в мастър файлове.

• Неоторизирани промени в системи или програми.

• Невъзможност да бъдат направени необходимите промени в системи или програми.

• Неподходяща ръчна намеса.

• Потенциална загуба на данни или невъзможност за достъп до данни, както това е необходимо.

        61. Неавтоматизираните аспекти на системите могат да бъдат по-подходящи, когато е необходимо упражняване на преценка и усмотрение при обстоятелства като:

• големи, необичайни или неповтарящи се операции;

• обстоятелства, където грешките е трудно да бъдат дефинирани, очаквани или предвиждани;

• при променящи се обстоятелства, които изискват отговор чрез контрол, извън обхвата на съществуващия автоматизиран контрол;

• при текущо наблюдение на автоматизирани контроли.

        62. Неавтоматизираните контроли се извършват от хора и следователно пораждат специфични рискове за вътрешния контрол на предприятието. Неавтоматизираните контроли могат да бъдат по-малко надеждни от автоматизираните, тъй като те могат по-лесно да бъдат пренебрегнати, игнорирани или подчинени и са по-предразположени към прости грешки. Следователно не може да се предположи последователност в приложението на неавтоматизираните контроли. Неавтоматизираните системи може да бъдат по-неподходящи за:

• Операции с голям обем или повтарящи се такива, или в ситуации, където грешките, които могат да се очакват или предвидят, могат да бъдат предотвратени или установени чрез параметри на контрола, които са автоматизирани.

• Контролни дейности, при които специфичните начини за изпълнение на контрола, могат адекватно да бъдат разработени и автоматизирани.

        63. Степента и характерът на рисковете за вътрешния контрол варират в зависимост от характера и характеристиките на информационната система на предприятието.

Следователно за разбирането на вътрешния контрол одиторът взема под внимание дали предприятието е отговорило по подходящ начин на рисковете, възникващи в резултат на ползването на ИТ или неавтоматизирани системи, чрез установяването на ефективни контроли. 


Ограничения на вътрешния контрол

        64. Вътрешният контрол, независимо колко добре е проектиран и функциониращ, може да осигури на предприятието единствено разумна степен на сигурност за постигането на целите на финансовата му отчетност. Вероятността за постигането се влияе от ограничения, вътрешноприсъщи на вътрешния контрол. Те включват реалността, че човешката преценка в процеса на вземане на решения може да бъде погрешна и, че поради човешки грешки могат да възникнат нарушения във вътрешния контрол, като например прости грешки. Например, ако персоналът по информационни системи на предприятието не разбира напълно по какъв начин системата за въвеждане на поръчки обработва операциите по продажби, този персонал може погрешно да проектира промени в системата за обработка на продажби за нова линия продукти. От друга страна, такива промени могат да бъдат коректно проектирани, но погрешно разбрани от лицата, които превръщат разработката в програмен код.

Грешки могат да възникнат и при ползването на информацията, изготвена от ИТ. Например могат да бъдат разработени автоматични контроли за отчитане на операции над определена сума за преглед от ръководството, но лицата, отговорни за извършването на прегледа може да не разбират целта на тези отчети и, съответно, те може да не им правят преглед или да не правят проучване за необичайни обекти.

        65. В допълнение, контролите могат да бъдат пренебрегнати чрез тайно споразумение на две или повече лица, или чрез неподходящо незачитане или заобикаляне на вътрешния контрол от страна на ръководството. Например ръководството може да сключи странични споразумения с клиентите, които променят условията на стандартните договори за продажби на предприятието, което може да доведе до неподходящо признаване на приходи. Също така, проверки в дадена софтуерна програма,които са разработени за идентифициране и отчитане на операции, надвишаващи определени кредитни лимити, могат да бъдат незачетени или деактивирани.

        66. По-малките предприятия често имат по-малко служители, което ограничава степента, в която разделението на задълженията е практически възможно. За основни области, обаче, дори и в много малкото предприятие може да бъде практически възможно да се приложи известна степен на разделение на задълженията или друга форма на несложни, но ефективни контроли. Потенциалът от риск за незачитане на контролите от собственика – управляващ ръководител, зависи в голяма степен от контролната среда и в частност от отношението на собственика – управляващ ръководител, към важността на вътрешния контрол. 


Контролна среда

        67. Одиторът следва да придобие разбиране за контролната среда. Контролната среда включва общото управление, ръководните функции и начина на мислене и отношение, съзнаването и действията на лицата, натоварени с общо управление и ръководство, по отношение на вътрешния контрол на предприятието и неговото значение за предприятието. Контролната среда определя духа на организацията като влияе върху съзнанието за контрол на нейните служители. Тя представлява основата за ефективен вътрешен контрол, като осигурява дисциплина и структурност.

        68. Основната отговорност за предотвратяване и установяване на измами и грешки се носи както от лицата, натоварени с общо управление, така и от ръководството на предприятието. При оценката на проектирания модел на контролната среда и при определяне дали той е въведен за приложение, одиторът разбира по какъв начин ръководството, под надзора на лицата, натоварени с общо управление, е създало и поддържа култура на честност и етично поведение и е установило подходящи контроли за предотвратяване и установяване на измама и грешка в предприятието.

        69. При оценката на проектирания модел на контролната среда на предприятието одиторът взема под внимание следните елементи и по какъв начин те са включени в неговите процеси:

               (а) Комуникация и налагане на изпълнението на ценностите за почтеност и етичност – съществени елементи, които влияят върху ефективността на модела, администрирането и текущото наблюдение върху контролите.

               (б) Ангажимент за компетентност – разглеждане от страна на ръководството на нивата на компетентност за конкретните позиции и начините, по които тези нива се превръщат в реквизити за необходими умения и познания.

               (в) Участие на лицата, натоварени с общо управление – независимост от ръководството, техния опит и позиция, степента на тяхното участие и критична преценка за дейностите, информацията, която получават, степента, до която трудни въпроси биват повдигани и проследявани с ръководството и тяхното взаимодействие с вътрешните и външните одитори.

               (г) Философията и оперативния стил на ръководството – подход на ръководството към поемането и управлението на бизнес рисковете и отношението и действията на ръководството към финансовата отчетност, обработката на информация и към счетоводните функции и персонал.

               (д) Организационна структура – рамката, в която дейностите на предприятието за постигане на неговите цели се планират, изпълняват, контролират и преглеждат.

               (е) Възлагане на правомощия и отговорности – начин, по който правомощията и отговорностите за оперативните дейности са възложени и по какъв начин са установени взаимоотношенията за отчетност и докладване, и йерархията за оторизация.

               (ж) Политика и практика по отношение на човешките ресурси – подбор, ориентиране, обучение, оценка, консултиране, повишение, компенсиране и мерки за отстраняване на слабости.

        70. При разбирането на елементите на контролната среда одиторът взема под внимание и дали те са въведени за приложение. Обичайно, одиторът получава уместни одиторски доказателства чрез комбинация от проучващи запитвания и други процедури за оценка на риска, например подкрепящи проучващи запитвания чрез наблюдение или фактическа проверка на документи. Например чрез проучващи запитвания към ръководството и служителите, одиторът може да придобие разбиране за начина, по който ръководството съобщава на служителите вижданията си по отношение на бизнес практиката и етичното поведение. Одиторът определя дали контролите са приложени чрез вземане под внимание, например на това дали ръководството е установило официален кодекс за поведение и дали действа по начин, който подкрепя кодекса или извинява нарушенията, или оторизира изключения от него.

        71. Одиторски доказателства за елементите на контролната среда може да не са на разположение в документален формат, особено в по-малките предприятия, където комуникацията между ръководството и останалите служители може да бъде неофициална, но ефективна. Например ангажиментите на ръководството за спазване на етични ценности и компетентност често се въвеждат чрез поведението и отношението, което то демонстрира при управлението на бизнеса на предприятието,

вместо с писмен кодекс за поведение. Следователно отношението, информираността и действията на ръководството са от особено значение при проектирането на модела на контролната среда в едно по-малко предприятие. В допълнение, ролята на лицата, натоварени с общо управление, често се поема от собственика – управляващ ръководител, в случаите, когато няма други собственици.

        72. Общите отговорности на лицата, натоварени с общо управление, се представят в кодекси за практика и други правилници или насоки, изготвяни, за да се ползват от тези лица. Една, но не и единствената роля на лицата, натоварени с общо управление, е да балансират натиска върху ръководството по отношение на финансовата отчетност. Например базата за възнаграждението на ръководството може да го подложи на натиск, възникващ в резултат на противоречащите изисквания за достоверна отчетност и вижданите ползи за него от подобрени резултати. При разбирането на разработения модел на контролната среда одиторът взема под внимание такива въпроси като независимостта на директорите и тяхната способност да оценят действията на ръководството. Одиторът взема под внимание и дали е налице одиторски комитет, който разбира бизнес операциите на предприятието и оценява дали финансовият отчет дава вярна и честна представа (или е представен достоверно, във всички съществени аспекти) в съответствие с приложимата обща рамка за финансова отчетност.

        73. Естеството на контролната среда на предприятието е такова, че има разпространяващ се ефект върху оценката на рисковете от съществени неточности, отклонения и несъответствия. Например контролите на собственика – управляващия ръководител, могат да смекчат липсата на разделение на задълженията в едно малко предприятие или един активен и независим съвет на директорите може да повлияе върху философията и оперативния стил на висшето ръководство в по-големите предприятия. Оценката на одитора за разработения модел на контролната среда на предприятието включва вземане под внимание дали силните страни на елементите є, разглеждани като цяло, осигуряват подходяща основа за другите компоненти на вътрешния контрол и пък те не са засегнати от слабости в контролната среда.

Например политиката и практиките за човешките ресурси, насочени към наемане на компетентен финансов, счетоводен и ИТ персонал, не могат да смекчат силна предубеденост и желание от страна на висшето ръководство за надценяване на печалбата. Промени в контролната среда могат да се отразят върху значимостта на информацията, получена при предишни одити. Например решението на ръководството да задели допълнителни ресурси за обучение и информираност по отношение дейностите, свързани с финансовата отчетност, може да намали риска от грешки при обработката на финансова информация. Алтернативно, невъзможността на ръководството да ангажира достатъчно ресурси за адресиране на рисковете за сигурността, породени от ИТ, може да има негативен ефект върху вътрешния контрол, като позволи да бъдат направени неподходящи промени в компютърни програми или данни, или като позволи да бъдат обработени неоторизирани операции.

        74. Наличието на задоволителна контролна среда може да бъде положителен фактор,когато одиторът оценява рисковете от съществени неточности, отклонения и несъответствия и както е обяснено в параграф 5 на МОС 330 и оказва влияние върху характера, времето на изпълнение и обхвата на допълнителните процедури на одитора. В частност, тя може да намали риска от измама, въпреки че задоволителната контролна среда не е абсолютна спирачка за измама. Обратно, слабостите в контролната среда може да подкопаят ефективността на контролите и следователно да представляват негативни фактори в оценката на одитора за риска от съществени неточности, отклонения и несъответствия, в частност по отношение на измама.

        75. Контролната среда сама по себе си не предотвратява или установява и коригира съществени неточности, отклонения и несъответствия в групи сделки и операции,салда по сметки и оповестявания и свързаните с тях твърдения за вярност. Следователно одиторът обикновено взема под внимание ефекта и на други компоненти,наред с контролната среда при оценката на рисковете от съществени неточности,отклонения и несъответствия; например текущото наблюдение на контролите и работата на специфични контролни дейности. 


Процес на оценка риска на предприятието

        76. Одиторът следва да придобие разбиране за процеса на предприятието за идентифициране на бизнес рисковете, свързани с целите на финансовата отчетност и вземане на решение относно действия за адресиране на тези рискове и резултатите от тях. Процесът е описан като "процес на оценка на риска на предприятието" и формира базата за начина, по който ръководството определя рисковете, които да бъдат управлявани.

        77. При оценката на проектирането модела и приложението на процеса на предприятието за оценка на рисковете одиторът определя по какъв начин ръководството идентифицира бизнес рисковете, свързани с финансовата отчетност, изготвя приблизителна оценка на съществеността на рисковете, преценява вероятността за тяхното възникване и решава какви действия да бъдат предприети за тяхното управление. Ако процесът за оценка на риска на предприятието е подходящ и адекватен при съществуващите обстоятелства, той помага на одитора при идентифицирането на рисковете от съществени неточности, отклонения и несъответствия.

        78. Одиторът отправя проучващи запитвания относно бизнес рисковете, които ръководството е идентифицирало и преценява дали те могат да доведат до съществени неточности, отклонения и несъответствия. По време на одита одиторът може да идентифицира рискове от съществени неточности, отклонения и несъответствия,които ръководството не е успяло да установи. В такива случаи одиторът преценява дали е налице залегнал риск от вид, който следва да бъде идентифициран от процеса на предприятието за оценка на риска и ако това е така, защо този процес не е успял да ги идентифицира и дали процесът е подходящ при съществуващите обстоятелства. Ако в резултат на това одиторът прецени, че съществува съществена слабост в процеса на предприятието за оценка на риска, той комуникира този въпрос с лицата, натоварени с общо управление, както това се изисква от параграф 120.

        79. В по-малко предприятие ръководството може да не установило официален процес за оценка на риска, както той е описан в параграф 76. За такива предприятия одиторът обсъжда с ръководството по какъв начин то идентифицира рисковете за бизнеса и как ги адресира. 


Информационна система, включително свързаните с нея бизнес процеси, съществени за финансовата отчетност и комуникация

        80. Информационната система, свързана с целите на финансовата отчетност, която включва счетоводната система, се състои от процедури, данни и документация, установени за иницииране, записване, обработка и отчитане на операциите и сделките на предприятието (както и събития и условия) и за поддържане отговорността за свързаните с тях активи, пасиви и собствен капитал.

        81. Одиторът следва да придобие разбиране за информационната система,включително свързаните с нея бизнес процеси, от значение за финансовата отчетност, включително за следните области:

• Групи сделки и операции от дейността на предприятието, които са съществени за финансовия отчет.

• Процедури, както в рамките на ИТ, така и на неавтоматичните системи, чрез които тези сделки и операции се инициират, отразяват, обработват и отчитат във финансовия отчет.

• Свързаните счетоводни данни и документи, независимо дали електронни или неавтоматични, подкрепящата информация ,и специфичните сметки във финансовия отчет по отношение на инициирането, записването, обработката и отчитането на операциите и сделките.

• По какъв начин информационната система обхваща събития и условия, различни от групи сделки и операции, които са съществени за финансовия отчет.

• Процесът за финансова отчетност, използван за изготвяне на финансовия отчет на предприятието, включително съществените приблизителни счетоводни оценки и оповестявания.

        82. При придобиване на това разбиране одиторът взема под внимание процедурите,използвани за трансфер на информация от системите за обработка на операциите към главната книга или системите за финансова отчетност за изготвяне на отчети.

Одиторът също разбира процедурите на предприятието за обхващане на информация, от значение за финансовата отчетност, по отношение на събития и условия,различни от сделки и операции, като например амортизацията на активите и промените в събираемостта на вземанията.

        83. Информационната система на предприятието обикновено включва ползването както на стандартни записвания в регистрите, които се изисква непрекъснато да се извършват за записване на сделки и операции като продажби, покупки и парични плащания в главната книга, или на записване на приблизителни счетоводни оценки, които периодично се правят от ръководството, като например промяна в приблизителната оценка за несъбираемите вземания.

        84. Процесът на финансова отчетност за изготвянето на отчети на предприятието включва и използване на нестандартни записвания в счетоводните регистри за отразяване на единични, необичайни операции или корекции. Примерите за такива записвания включват консолидационни корекции и записвания по бизнескомбинации или освобождаване на предприятие, или неповтарящи се приблизителни оценки, като например обезценка на активи. При неавтоматизирани системи на главни книги на хартиен носител, нестандартни записи в регистрите могат да бъдат идентифицирани чрез фактическа проверка на хронологичните и систематични регистри и на поддържащата документация. Когато за поддържане на главната книга и за изготвяне на финансови отчети се използват автоматизирани процедури, обаче,тези записвания може да съществуват единствено в електронен формат и идентифицирането им може да бъде по-лесно чрез използването на компютърно подпомогнати одиторски техники.

        85. Изготвянето на финансови отчети на предприятието включва процедури, които са разработени с цел гарантиране, че информацията, която се изисква да бъде оповестена съгласно приложимата обща рамка за финансова отчетност, е събрана, отразена, обработена, обобщена и подходящо отчетена във финансовия отчет.

        86. При придобиването на разбиране одиторът взема под внимание рисковете от съществени неточности, отклонения и несъответствия, свързани с неподходящо незачитане или пренебрегване на контролите върху записванията в регистрите и на контролите, свързани с нестандартните счетоводни записвания. Например автоматизираните процеси и контроли могат да намалят риска от грешка поради невнимание, но не могат да преодолеят риска, че определени лица могат неправилно да пренебрегнат тези автоматизирани процеси, например чрез промяна на сумите, които се прехвърлят автоматично в главната книга или в системата за финансова отчетност. Затова в допълнение, одиторът подхожда с особено внимание, че когато ИТ се използват за автоматично прехвърляне на информацията, е възможно да са налице малко или никакви видими доказателства за такъв тип намеса в информационните системи.

        87. Одиторът също разбира по какъв начин се разрешават случаи на неправилна обработка на операциите, например дали съществува автоматичен файл за нерешени въпроси и по какъв начин той се използва от предприятието за гарантиране, че нерешените въпроси се изясняват своевременно, както и как игнорирането или за обикалянето на контролите в системата се обработва и отчита.

        88. Одиторът придобива разбиране за информационната система на предприятието,свързана с финансовата отчетност, по начин, който е подходящ за свързаните с предприятието обстоятелства. Това включва придобиване на разбиране за начина,по който възникват операциите в бизнес процесите на предприятието. Бизнес процесите на предприятието представляват дейности за развойна работа, покупки,производство, продажби и дистрибуция на продуктите и услугите на предприятието; за гарантиране спазването на закони и други нормативни разпоредби; и регистриране и документиране на информация, включително счетоводна и информация за финансовата отчетност.

        89. Одиторът следва да разбере по какъв начин предприятието комуникира ролите и отговорностите за финансовата отчетност и съществените въпроси, свързани с нея.

Комуникирането включва осигуряване на разбиране за индивидуалната роля и отговорности, свързани с вътрешния контрол върху финансовата отчетност и може да бъде под формата ръководства за счетоводна политика и за изготвяне на финансови отчети. То включва степента, до която персоналът разбира по какъв начин неговите действия в информационната система за финансова отчетност са свързани с работата на други служители и кои са средствата за отчитане на изключенията пред подходящо по-високо ниво в предприятието. Откритите канали за комуникация помагат за гарантиране, че изключенията са докладвани и са взети мерки по тях. Разбирането на одитора за комуникацията, свързана с въпросите за финансовата отчетност, също включва обмена на информация между ръководството и лицата, натоварени с общо управление, особено с одиторския комитет, както и външен обмен на информация, като например с регулаторни органи. 


Контролни дейности

        90. Одиторът следва да придобие достатъчно разбиране за контролните дейности, за да оцени рисковете от съществени неточности,отклонения и несъответствия на ниво твърдение за вярност и да разработи допълнителните одиторски процедури, в отговор на оценените рискове. Контролните дейности представляват политика и процедури, които помагат да се гарантира, че нарежданията на ръководството се изпълняват; например, че са предприети необходимите действия за адресиране на рискове, които застрашават постигането на целите на предприятието. Контролните дейности, независимо дали в ИТ или в неавтоматизирани системи, имат различни цели и се прилагат на различни организационни и функционални нива. Примерите за специфични контролни дейности включват такива, свързани с изброените по-долу:

• оторизация (одобрение и потвърждаване – бел. ред.);

• прегледи на изпълнението и резултатите от дейността;

• обработка на информацията;

• физически контроли;

• разделяне на задълженията.

        91. При придобиването на разбиране за контролните дейности първостепенното съображение на одитора е дали и по какъв начин дадена специфична контролна дейност, самостоятелно или в комбинация с други, предотвратява или установява и коригира съществени неточности, отклонения и несъответствия в групи сделки и операции, салда по сметки или оповестявания. Контролните дейности, свързани с одита, са онези, за които одиторът преценява, че е необходимо да придобие разбиране, за да оцени рисковете от съществени неточности, отклонения и несъответствия на ниво твърдение за вярност, и да разработи и изпълни допълнителни одиторски процедури, в отговор на оценените рискове. Одитът не изисква получаване на разбиране за всички контролни дейности, свързани с всяка съществена група сделки и операции, салда по сметки и оповестяване във финансовия отчет или за всяко твърдение за вярност, свързано с тях. Фокусът на одитора е върху идентифицирането и придобиването на разбиране за контролни дейности, които адресират области, в които той счита, че е най-вероятно да възникнат съществени неточности, отклонения и несъответствия. Когато множество контролни дейности постигат една и съща цел, не е необходимо да се придобие разбиране за всяка от тях, свързана с тази цел.

        92. При определянето дали е необходимо да се отдели допълнително внимание за придобиване на разбиране за контролните дейности, одиторът взема под внимание познанията си за наличието или липсата на контролни дейности, придобити от разбирането на другите компоненти на вътрешния контрол. При преценката дали контролните дейности са свързани с одита, одиторът взема под внимание рисковете,които той е идентифицирал, че могат да породят съществени неточности, отклонения и несъответствия. Също така, контролните дейности са свързани с одита, ако от одитора се изисква да ги оцени, както това е представено в параграфи 113 и 115.

        93. Одиторът следва да придобие разбиране за начина, по който предприятието е отговорило на рисковете, възникващи в резултат на ИТ. Използването на ИТ се отразява върху начина, по който се изпълняват контролните дейности. Одиторът преценява дали предприятието е отговорило по подходящ начин на рисковете, възникващи в резултат на ИТ чрез установяване на ефективни общи ИТ контроли и контроли на приложните програми. От гледна точка на одитора, контролите върху ИТ системите са ефективни, когато поддържат целостта на информацията и сигурността (защитата) на данните, които тези системи обработват.

        94. Общите ИТ контроли представляват политика и процедури, които са свързани с много приложни програми и подпомагат ефективното функциониране на контролите на приложните програми, като помагат да се гарантира непрекъснато правилно опериране на информационните системи. Общите ИТ контроли, които поддържат целостта на информацията и сигурността на данните, обикновено включват контроли върху изброеното по-долу:

• център за данни и мрежови операции;

• придобиване, промяна и поддръжка на системен софтуер;

• сигурност (защита) на достъпа;

• придобиване, разработване и поддръжка на приложни системи.

Те обикновено се въвеждат, за да се постигне справяне с рисковете, посочени в параграф 60 по-горе.

        95. Контролите на приложните програми са неавтоматизирани или автоматизирани процедури, които обикновено действат на ниво бизнес процес. По своя характер контролите на приложните програми могат да бъдат предотвратяващи/превантивни или разкриващи и се разработват с цел гарантиране целостта на счетоводните данни. Съответно, контролите на приложните програми са свързани с процедури,използвани за иницииране, записване, обработка и отчитане на операции или на други финансови данни. Тези контроли помагат за гарантиране, че възникналите операции са одобрени и са напълно и точно отразени и обработени. Примерите включват проверки на входящите данни и проверки за последователността на номерацията с неавтоматизирано проследяване на отчетите за изключения, или корекция на мястото при въвеждането на данните. 


Текущо наблюдение на контролите

        96. Одиторът следва да придобие разбиране за основните видове дейности, които предприятието използва за текущо наблюдение на вътрешния контрол върху финансовата отчетност, включително тези, свързани с онези контролни дейности, съществени за одита, и начина, по който предприятието инициира корективни мерки по отношение на контролите си.

        97. Текущото наблюдение на контролите е процес за оценка на ефективността от функционирането на вътрешния контрол във времето. То включва своевременна оценка на проектирания модел и функционирането на контролите, и предприемането на необходимите корективни действия, модифицирани спрямо промените в условията. Ръководството реализира текущо наблюдение на контролите чрез непрекъснати дейности, специални оценки или комбинация от двете. Непрекъснатите дейности по текущо наблюдение често са вградени в нормалните повтарящи се дейности на предприятието и включват регулярни управленски и надзорни дейности.

        98. В редица предприятия вътрешните одитори или персонал, изпълняващ сходни функции, допринасят в процеса за текущото наблюдение на контролите на предприятието. За допълнителни насоки вж. МОС 610 "Ползване работата на вътрешния одит". Дейностите на ръководството по текущото наблюдение могат да включват и ползване на информация от комуникация с външни страни, като например оплаквания от клиенти и коментари от регулаторни органи, които могат да показват проблеми или да очертават области, нуждаещи се от подобрение.

        99. Голяма част от информацията, използвана при текущото наблюдение, може да бъде изготвена от информационната система на предприятието. Ако ръководството приеме, че данните, ползвани за текущо наблюдение, са точни, без да има база за това предположение, е възможно в информацията да съществуват грешки, потенциално водещи ръководството до неправилни заключения за резултатите от дейностите по текущото наблюдение. Одиторът придобива разбиране за източниците на информация, свързани с дейностите по текущо наблюдение на контролите на предприятието и основата, върху която ръководството преценява, дали информацията е достатъчно надеждна за тази цел. Когато одиторът възнамерява да ползва информацията на предприятието, изготвена за дейностите по текущото наблюдение, като например доклади на вътрешния одитор, той преценява дали тази информация предоставя надеждна база и дали е достатъчно детайлна за целите на одитора. 


Оценка на рисковете от съществени неточности, отклонения и несъответствия

        100. Одиторът следва да идентифицира и оцени рисковете от съществени неточности, отклонения и несъответствия на ниво финансов отчет и на ниво твърдение за вярност за групи сделки и операции, салда по сметки и оповестявания. За тази цел одиторът:

• Идентифицира рисковете през целия процес на придобиване на разбиране за предприятието и неговата среда, включително съответните контроли, обвързани към рисковете и чрез разглеждане на групите сделки и операции, салда по сметки и оповестявания във финансовия отчет.

• Свързва идентифицираните рискове с това, което може да се сгреши на ниво твърдение за вярност.

• Преценява дали рисковете са от такава величина, че биха могли да доведат до съществени неточности, отклонения и несъответствия във финансовия отчет.

• Преценява вероятността рисковете да доведат до съществени неточности,отклонения и несъответствия във финансовия отчет.

        101. Одиторът използва информацията, събрана чрез извършването на процедури за оценка на риска, включително одиторските доказателства, получени при оценката на разработения модел на контролите и определянето дали те са били внедрени за приложение, като одиторски доказателства в подкрепа на оценката на риска. Одиторът използва оценката на риска за определяне характера, времето на изпълнение и обхвата на допълнителните одиторски процедури, които да бъдат изпълнени.

        102. Одиторът определя дали идентифицираните рискове от съществени неточности,отклонения и несъответствия са свързани с конкретни групи сделки и операции,салда по сметки и оповестявания и свързаните с тях твърдения за вярност или дали те са по-всеобхватни и влияят на финансовия отчет като цяло, като потенциално засягат много твърдения за вярност. Последните рискове (рисковете на ниво финансов отчет) могат да възникват особено от слаба контролна среда.

        103. Естеството на рисковете, възникващи в резултат на слаба контролна среда, е такова, че не е вероятно те да бъдат ограничени в рамките на конкретни индивидуални рискове от съществени неточности, отклонения и несъответствия в специфични групи сделки и операции, салда по сметки и оповестявания. По-скоро слабости като липса на компетентност в ръководството могат да имат по-всеобхватен ефект върху финансовия отчет и могат да изискват общ отговор от страна на одитора.

        104. При извършването на оценки на риска одиторът може да идентифицира контроли,които е вероятно, че ще предотвратят или разкрият и коригират съществени неточности, отклонения и несъответствия в специфични твърдения за вярност. Обикновено одиторът придобива разбиране за контролите и ги свързва с твърдения за вярност в контекста на процесите и системите, в които те съществуват. Да се направи това е полезно, тъй като индивидуалните контролни дейности често сами по себе си не адресират даден риск. Често единствено множество контролни дейности, наред с други елементи на вътрешния контрол, ще бъдат достатъчни за адресиране на даден риск.

        105. Обратно, някои контролни дейности могат да имат специфичен ефект върху отделно твърдение за вярност, заложено в конкретна група сделки и операции или салдо по сметка. Например контролните дейности, които предприятието установява с цел гарантиране, че неговият персонал правилно преброява и отразява резултатите от годишната инвентаризация, са свързани директно със съществуването и пълнотата на твърденията за вярност на салдото по сметките за материални запаси.

        106. Контролите могат да бъдат или пряко, или косвено свързани с дадено твърдение за вярност. Колкото по-косвена е взаимовръзката, толкова по-малко ефективен може да бъде този контрол за предотвратяването или установяването и корекцията на неточности, отклонения и несъответствия в това твърдение за вярност. Например прегледът от страна на мениджъра по продажби на обобщението на продажбите за конкретни магазини по региони обикновено е свързано само косвено с твърдението за вярност "пълнота" на приходите от продажби. Съответно, може да е по-малко ефективно за намаляване риска за това твърдение за вярност, отколкото контролите, които са по-пряко свързани с това твърдение за вярност, като например съпоставяне на експедиционните документи с документите за фактуриране.

        107. Разбирането на одитора за вътрешния контрол може да породи съмнения относно възможността за извършване на одит на финансовия отчет на предприятието. Опасенията относно почтеността на ръководството на предприятието могат също да бъдат толкова сериозни, че да накарат одитора да заключи, че рискът от неподходящо представяне на финансовия отчет от страна на ръководството е такъв, че не може да бъде проведен одит. Също така опасенията относно състоянието и надеждността на документацията на предприятието могат да станат причина одиторът да заключи, че е малко вероятно на разположение да бъдат достатъчни и уместни одиторски доказателства в подкрепа на неквалифицирано мнение върху финансовия отчет. При такива обстоятелства одиторът обмисля квалификация или отказ от изразяване на мнение, но в някои случаи единственият му ход може да бъде да се оттегли от ангажимента.


Съществени рискове, които изискват специално обмисляне при одита 

        108. Като част от оценката на риска, както това е описано в параграф 100, одиторът следва да определи кои от идентифицираните рискове, по преценка на одитора, са рискове, изискващи специално обмисляне и внимание при одита (тези рискове са дефинирани като "съществени рискове"). В допълнение МОС 330, параграфи 44 до 51 описват последиците за допълнителните одиторски процедури в резултат на идентифицирането на даден риск като съществен.

        109. Определянето на съществените рискове, които възникват при повечето одити, е въпрос на професионална преценка от страна на одитора. При упражняването на тази преценка одиторът изключва ефекта на идентифицираните контроли, свързани с риска, за да определи дали естеството на риска, вероятният обхват на потенциалната неточност, отклонение и несъответствие, включително вероятността този риск да породи множество неточности, отклонения и несъответствия и вероятността от възникването на риска, са такива, че да налагат специално внимание и разглеждане в процеса на одита. Рутинни, прости операции, които са предмет на систематична обработка, е по-малко вероятно да породят съществени рискове, тъй като при тях вътрешноприсъщите рискове са по-ниски. От друга страна, съществените рискове често се пораждат от бизнес рискове, които могат да доведат до съществена неточност, отклонение и несъответствие. При разглеждането на характера на рисковете одиторът преценява редица въпроси, включително:

• Дали рискът е риск от измама.

• Дали рискът е свързан със скорошни съществени икономически, счетоводни или други развития и следователно изисква специално внимание.

• Сложността на операциите.

• Дали рискът включва съществени сделки със свързани лица.

• Степента на субективност при оценката на финансовата информация, свързана с риска, особено при висока степен на несигурност в оценката.

• Дали рискът включва съществени сделки и операции, които са извън обичайния ход на дейност на предприятието или по друг начин изглеждат необичайни.

        110. Съществените рискове често са свързани със съществени нерутинни сделки и операции и въпроси, свързани с преценка. Нерутинни сделки и операции са сделки и операции, които са необичайни или поради размера, или поради характера и следователно възникват рядко. Въпросите, свързани с преценка, могат да включват разработването на приблизителни счетоводни оценки, за които съществува съществена несигурност на оценяването.

        111. Рисковете от съществени неточности, отклонения и несъответствия могат да бъдат по-големи за рискове, свързани със съществени нерутинни сделки и операции,възникващи в резултат на въпроси като посочените по-долу:

• По-голяма намеса на ръководството за избор и определяне на счетоводното третиране.

• По-голяма неавтоматизирана намеса за събиране и обработка на данните.

• Сложни изчисления или счетоводни принципи.

• Естество на нерутинните сделки и операции, което може да затрудни предприятието при прилагането на ефективни контроли върху рисковете.

        112. Рисковете от съществени неточности, отклонения и несъответствия могат да бъдат по-големи за рискове, свързани с въпроси на съществена преценка, които изискват разработването на приблизителни счетоводни оценки, възникващи в резултат на въпроси като изброените по-долу:

• Счетоводните принципи за приблизителни счетоводни оценки или за признаване на приходите могат да бъдат предмет на различни тълкувания.

• Изискваната преценка може да е субективна, комплексна или да налага предположения относно ефектите от бъдещи събития, например преценка за справедлива стойност.

        113. За съществени рискове, до степента, в която той вече не е направил това,одиторът следва да оцени проектирания модел на свързаните с тези рискове контроли на предприятието, включително уместните контролни дейности и да определи дали са внедрени за приложение. Разбиране за контролите на предприятието, свързани със съществените рискове, се изисква, за да предостави на одитора подходяща информация за разработване на ефективен одиторски подход. Ръководството следва да бъде информирано за съществените рискове; като рискове, свързани със съществени нерутинни въпроси или въпроси, свързани със субективна преценка, често е по-малко вероятно да бъдат предмет на рутинни контроли. Следователно разбирането на одитора дали предприятието е разработило и внедрило за приложение контроли за такива съществени рискове включва това дали и по какъв начин ръководството отговаря на рисковете и дали с цел адресиране на рисковете са въведени контролни дейности, като преглед на предположенията от висшето ръководство или от експерти, формализирани процеси за изготвяне на приблизителни оценки или одобрение от лицата, натоварени с общо управление. Например, когато са налице еднократни събития, като получаване на уведомление за важен съдебен процес, разглеждането на отговора на предприятието ще включва такива въпроси като дали то се е отнесло към подходящи експерти (като например вътрешен или външен правен съветник), дали е направена оценка на потенциалния ефект и по какъв начин се предлага обстоятелствата да бъдат оповестени във финансовия отчет.

        114. Ако ръководството не е отговорило по подходящ начин чрез приложение на контроли върху съществените рискове и, ако в резултат на това одиторът прецени, че е налице съществена слабост във вътрешния контрол на предприятието, той комуникира въпроса пред лицата, натоварени с общо управление, както това се изисква в параграф 120. При тези обстоятелства одиторът взема под внимание и последиците за неговата оценка на риска.


Рискове, за които само процедурите по същество не предоставят достатъчни и уместни одиторски доказателства

        115. Като част от оценката на риска, описана в параграф 100, одиторът следва да оцени проектирането на модела и да определи приложението на контролите на предприятието, включително съществените контролни дейности за онези рискове, за които по преценка на одитора не е възможно или практически не може да се сведат рисковете от съществени неточности, отклонения и несъответствия на ниво твърдение за вярност до приемливо ниско ниво с одиторски доказателства, получени само от процедури по същество. Последиците за допълнителните одиторски процедури за идентифициране на такива рискове са описани в параграф 25 на МОС 330.

        116. Разбирането за информационната система на предприятието, свързана с финансовата отчетност, дава възможност на одитора да идентифицира рисковете от съществени неточности, отклонения и несъответствия, пряко свързани с отразяването на рутинните групи сделки и операции или салда по сметки и изготвянето на надежден финансов отчет; те включват рискове от неточна или непълна обработка.

Обикновено тези рискове са свързани със съществени групи сделки и операции като такива, които са свързани с продажбите (приходите), покупките и паричните постъпления или парични плащания на предприятието.

        117. Характеристиките на рутинните ежедневни бизнес операции често позволяват високо автоматизирана обработка с малка или никаква неавтоматизирана намеса.

При такива обстоятелства може да не е възможно извършването единствено на процедури по същество във връзка с риска. Например при обстоятелства, където съществен обем от информацията на предприятието се инициира, отразява, обработва или отчита електронно, като например при интегрирана система, одиторът може да определи, че не е възможно да се разработят ефективни процедури по същество, които сами да предоставят достатъчни и уместни одиторски доказателства,че свързаните групи сделки и операции или салда по сметки не се съдържат съществени неточности, отклонения и несъответствия. В такива случаи одиторски доказателства могат да бъдат на разположение единствено в електронен формат и тяхната достатъчност и уместност обикновено зависи от ефективността на контролите върху тяхната точност и изчерпателност. Затова в допълнение, потенциалът за възникване и неразкриване на неправилно иницииране или промяна на информация може да е по-голям, ако информацията се инициира, записва, обработва или отчита единствено в електронен формат и съответните контроли не действат ефективно.

        118. Примерите за ситуации, при които одиторът може да установи, че е невъзможно да разработи ефективни процедури по същество, чрез които само да се предоставят достатъчни и уместни одиторски доказателства, че някои твърдения за вярност не съдържат съществени неточности, отклонения и несъответствия, включват следните:

• Предприятие, което изпълнява дейността си като използва ИТ за иницииране на поръчки за покупка и доставка на стоки, въз основа на предварително определени правила за това какво да бъде поръчано и в какви количества и за плащане на свързаните задължения въз основа на решения, генерирани от системата, инициирани при потвърдено получаване на стоките и условия на плащане. Освен чрез ИТ системата друга документация за направените поръчки или получените стоки не се изготвя или поддържа.

• Предприятие, което предоставя услуги на клиентите чрез електронна медия(например доставчик на интернет услуги или телекомуникационна компания) и използва ИТ за създаване на регистър (лог) на услугите, предоставени на клиентите, инициира и обработва фактурите си за услугите и автоматично отразява тези суми в електронни счетоводни документи, които са част от системата, използвана за изготвяне на финансовия отчет на предприятието.

        119. Повторен преглед на оценката на риска. Оценката на одитора за рисковете от съществени неточности, отклонения и несъответствия на ниво твърдение за вярност се базира на наличните одиторски доказателства и може да се промени в процеса на одита с получаването на допълнителни одиторски доказателства. По-специално,оценката на риска може да е базирана на очакването, че контролите действат ефективно за предотвратяване или установяване и коригиране на съществени неточности, отклонения и несъответствия на ниво твърдение за вярност. При изпълнението на тестове на контролите за получаване на одиторски доказателства относно тяхната оперативна ефективност одиторът може да получи одиторски доказателства, че контролите не действат ефективно на съответен етап по време на одита. Аналогично, при изпълнението на процедурите по същество одиторът може да установи неточности, отклонения и несъответствия в суми или с честота, по-голяма от считаната за последователна с оценките на риска на одитора. При обстоятелства, при които одиторът получава одиторски доказателства от изпълнението на допълнителните одиторски процедури, при които има тенденция да са в противоречие с одиторските доказателства, въз основа на които той първоначално е базирал оценката си, одиторът прави повторен преглед на оценката и модифицира планираните допълнителни одиторски процедури по подходящ начин. За допълнителни насоки вж. параграфи 66 и 70 от МОС 330.


Комуникация с лицата, натоварени с общото управление

        120. Одиторът следва да информира лицата, натоварени с общо управление,веднага щом е практически възможно и на подходящото ниво на отговорност, за съществени слабости в проектирания модел или в приложението на вътрешния контрол, които са му станали известни.

        121. Ако одиторът идентифицира рискове от съществени неточности, отклонения и несъответствия, които предприятието или не е контролирало, или за които свързаният контрол е неподходящ, или ако по преценка на одитора е налице съществена слабост в процеса за оценка на риска на предприятието, то той включва такива слабости във вътрешния контрол в комуникацията по одиторските въпроси от интерес за общото управление. Вж. МОС 260 "Комуникация на одиторски въпроси с лицата, натоварени с общо управление". 


Документация

        122. Одиторът следва да документира:

               (а) Обсъждането в екипа по ангажимента относно податливостта на финансовия отчет на предприятието на съществени неточности, отклонения и несъответствия поради грешка или измама и достигнатите решения от съществено значение.

               (б) Основните елементи от разбирането, получено по отношение на всеки аспект от предприятието и неговата среда, идентифицирани в параграф 20, включително за всеки от компонентите на вътрешния контрол,идентифицирани в параграф 43, с цел оценка на рисковете от съществени неточности, отклонения и несъответствия във финансовия отчет; източниците на информация, от които е придобито разбирането; и процедурите за оценка на риска.

               (в) Идентифицираните и оценените рискове от съществени неточности, отклонения и несъответствия на ниво финансов отчет и на ниво твърдение за вярност, както това се изисква от параграф 100 и.

               (г) Идентифицираните рискове и оценените свързани с тях контроли в резултат на изискванията на параграфи 113 и 115.

        123. Начинът, по който тези въпроси се документират, се определя от одитора при упражняване на професионална преценка. В частност, резултатите от оценката на риска могат да бъдат документирани отделно или като част от одиторската документация за допълнителните процедури (за допълнителни насоки вж. параграф 73от МОС 330). Примерите за общи техники, използвани самостоятелно или в комбинация, включват текстови описания, въпросници, списъци за проверка и графики. Такива техники могат също да бъдат полезни при документирането на оценката на одитора за рисковете от съществени неточности, отклонения и несъответствия на ниво финансов отчет като цяло и на ниво твърдение за вярност. Формата и обхватът на тази документация се влияят от характера, размера и сложността на предприятието и неговия вътрешен контрол, наличието на информация от предприятието и специфичната одиторска методология и технология, използвана в процеса на одита. Например, документация за разбирането на сложна информационна система, в която голям обем операции се инициират, отразяват, обработват или отчитат по електронен начин, може да включва графики, въпросници или таблици на решения. За информационна система, в която е налице ограничено ползване или не се ползват ИТ, или в която се обработват малко операции (например, дългосрочен дълг), документация под формата на меморандум може да е достатъчна. Обикновено колкото по-сложно е предприятието и колкото по-широкообхватни са одиторските процедури, изпълнявани от одитора, толкова по-обемна е одиторската документация. МОС 230 "Одиторска документация" предоставя насоки относно документацията в контекста на одита на финансовия отчет.


Дата на влизане в сила

        124. Настоящият МОС е в сила за одити на финансови отчети за периоди, започващи на или след 15 декември 2004 г.


Перспектива за публичния сектор

        1. При изпълнение на одити в предприятия от публичния сектор одиторът взема под внимание законодателната рамка и всякакви други свързани други нормативни разпоредби, наредби или министерски постановления, които засягат одиторското назначение и всякакви други специални изисквания за одита. Следователно при придобиване на разбиране за регулаторната рамка, изисквано в параграф 22 на настоящия МОС, одиторът взема под внимание законодателството и съответния орган, ръководещ дейността на предприятието. Аналогично, по отношение на параграф 30 от настоящия МОС одиторът следва да бъде информиран, че "целите на ръководството" за предприятия от публичния сектор могат да бъдат повлияни от съображения, свързани с отговорността пред обществото и могат да включват цели, чийто източник е законодателството, другите нормативни разпоредби, правителствените наредби и министерските постановления.

        2. Параграфи 4753 от настоящия МОС обясняват контролите, свързани с одита. Одиторите в публичния сектор често имат допълнителни отговорности по отношение на вътрешните контроли, например да докладват относно спазването на установения Кодекс за практика. Одиторите в публичния сектор могат да имат и отговорност да докладват за спазването на законодателни изисквания. Техният преглед на вътрешните контроли може да бъде по-широкообхватен и по-детайлен.

        3. Параграфи 120 и 121 от настоящия МОС разглеждат комуникирането на слабости. За одитори в публичния сектор е възможно да има допълнителни изисквания за комуникация или докладване. Например може да се наложи слабости във вътрешния контрол да бъдат докладвани на законодателен или друг управляващ орган.

Приложение 1

Разбиране на предприятието и неговата среда

Настоящото приложение предоставя допълнителни насоки по въпроси, които одиторът може да вземе под внимание при придобиването на разбиране за отрасловите, регулаторните и другите външни фактори, които засягат предприятието, включително приложимата обща рамка за финансова отчетност; характера на предприятието; целите и стратегиите и свързаните с тях бизнес рискове; и оценката и прегледа на финансовите резултати от дейността на предприятието. Предоставените примери обхващат широка гама въпроси, приложими за редица ангажименти; но не всички въпроси обаче, са съществени за всеки ангажимент и списъкът с примерите не е непременно изчерпателен. Допълнителни насоки по отношение на вътрешния контрол се съдържат в Приложение 2.


Отраслови, регулаторни и други външни фактори, включително приложимата обща рамка за финансова отчетност

Примерите за въпроси, които одиторът може да вземе под внимание, включват следните:

• Отраслови условия:

° Пазар и конкуренция, включително търсене, капацитет и ценова конкуренция.

° Цикличност или сезонност на дейността.

° Технологии за продукти, свързани с продуктите на предприятието.

° Снабдяване с енергия и цена.

• Регулаторна среда:

° Счетоводни принципи и специфични за отрасъла практики.

° Регулаторна рамка за регулирана дейност или отрасъл.

° Законодателство и други нормативни разпоредби, които оказват съществено влияние върху дейността на предприятието.

– регулаторни изисквания;

– дейности по директен надзор;

° Данъчно облагане (корпоративно и друго).

° Правителствени политики, понастоящем засягащи провеждането на бизнеса на предприятието.

– монетарни, включително валутен контрол;

– фискални;

– фискални стимули (например програми за правителствена помощ);

– тарифи, търговски рестрикции.

° Изисквания, свързани с околната среда, засягащи отрасъла и бизнеса на предприятието.

• Други външни фактори, понастоящем засягащи бизнеса на предприятието:

° Общо ниво на стопанска дейност (например рецесия, растеж).

° Лихвени проценти и наличие на финансиране.

° Инфлация, валутна регулация.


Характер на предприятието

Примерите за въпроси, които одиторът може да вземе под внимание, включват следното:

Стопанска дейност

• Характер на източниците на приходи (например производител, предприятие за търговия на едро, предприятие, предлагащо банкови, застрахователни или други финансови услуги, внос/износ, предприятие за комунални услуги, транспортно предприятие и предприятие за технологични продукти и услуги).

• Продукти или услуги и пазари (например, големи клиенти и договори, условия на плащане, маржове на печалба, пазарен дял, конкуренция, износ, ценова политика, репутация на продуктите, гаранции, регистър за поръчки, тенденции, маркетингови стратегия и цели, производствени процеси).

• Провеждане на дейността (например етапи и методи за производство, бизнес сектори,доставка или продукти и услуги, подробна информация за замиращи или разширяващи се дейности).

• Сдружения, съвместни предприятия и други дейности, изнасяни извън предприятието.

• Участие в електронна търговия, включително продажби по интернет и маркетингови дейности.

• Географско разпространение и сегментация на отрасъла.

• Местоположение на производствените съоръжения, складове и офиси.

• Основни клиенти.

• Важни доставчици на стоки и услуги (например дългосрочни договори, стабилност на доставките, условия на плащане, внос, начини на доставка като например "точно навреме").

• Персонал (например по местоположение, наличие, нива на заплащане, договори с профсъюзи, пенсионни доходи и други доходи след прекратяване на трудова заетост

               (при пенсиониране – бел. ред.), опции за акции или договорености за мотивиращи бонуси и правителствена регулация, свързана с въпроси относно персонала).

• Изследователска и развойна дейност и разходи.

• Сделки със свързани лица.

Инвестиции

• Придобивания, сливания или освобождаване на стопански дейности (планирани или неотдавна реализирани).

• Инвестиции и разполагане с ценни книжа и заеми.

• Дейности по капиталови инвестиции, включително инвестиции в машини и оборудване и технологии и всички скорошни или планирани промени.

• Инвестиции в неконсолидирани предприятия, включително сдружения, съвместни предприятия и предприятия със специално предназначение.

Финансиране

• Структура на групата – основни дъщерни дружества и асоциирани предприятия, включително консолидирани и неконсолидирани структури.

• Структура на привлечения капитал, включително клаузи, ограничения, гаранции и задбалансови споразумения за финансиране.

• Лизинг на имоти, машини или съоръжения за ползване в дейността.

• Собственици, получаващи ползи (местни, чуждестранни, бизнес репутация и опит).

• Свързани лица.

• Ползване на деривативни финансови инструменти.

Финансова отчетност и отчети

• Счетоводни принципи и специфични за отрасъла практики.

• Практики за признаване на приходи.

• Счетоводно отчитане на справедливи стойности.

• Материални запаси (например местоположения, количества).

• Валутни активи, пасиви и операции.

• Специфични за отрасъла съществени категории (например заеми и инвестиции за банки, вземания и материални запаси за производители, изследователска и развойна дейност за предприятия, занимаващи се с лекарствени средства).

• Счетоводно отчитане на необичайни или сложни операции, включително такива в спорни или нововъзникващи области (например счетоводно отчитане на компенсации, базирани на акции).

• Представяне и оповестяване на финансови отчети.


Цели и стратегии и свързаните с тях бизнес рискове

Примерите за въпроси, които одиторът може да вземе под внимание, включват следното:

• Съществуване на цели (т.e., по какъв начин предприятието адресира отрасловите, регулаторни и други външни фактори), свързани например със следното:

° Развития в отрасъла (потенциален риск, свързан с бизнеса, може да бъде например,че предприятието не разполага с персонал или експертни познания за справяне с промените в отрасъла).

° Нови продукти и услуги (потенциален риск, свързан с бизнеса, може да бъде например, че е налице нарастваща отговорност за продуктите).

° Разширяване на бизнеса (потенциален риск, свързан с бизнеса, може да бъде например, че търсенето не е точно преценено).

° Нови счетоводни изисквания (потенциален риск, свързан с бизнеса, може да бъде например, непълно или неподходящо приложение или увеличени разходи).

° Регулаторни изисквания (потенциален риск, свързан с бизнеса, може да бъде например, че е налице повишена експозиция по правни въпроси).

° Текущи и бъдещи изисквания за финансиране (потенциален риск, свързан с бизнеса,може да бъде например, загубата на финансиране, поради невъзможността на предприятието да удовлетвори изискванията).

° Ползване на ИТ (потенциален риск, свързан с бизнеса, може да бъде например, че системите и процесите са несъвместими).

• Ефекти от изпълнението на дадена стратегия, особено каквито и да било ефекти, които ще доведат до нови счетоводни изисквания (потенциален риск, свързан с бизнеса, може да бъде например, непълно или неподходящо приложение).


Оценка и преглед на финансовите резултати от дейността на предприятието

Примерите за въпроси, които одиторът може да вземе под внимание, включват следното:

• Основни съотношения и оперативна статистика.

• Основни показатели за резултатност от дейността (за изпълнение).

• Измерители на резултатите от работата на служителите и политика за мотивираща компенсация.

• Тенденции.

• Ползване на прогнози, бюджети и анализ на отклоненията.

• Доклади на анализатори и доклади за кредитен рейтинг.

• Анализ на конкурентите.

• Финансови резултати по периоди (ръст на приходите, рентабилност, задлъжнялост).


Приложение 2

Компоненти на вътрешния контрол

        1. Както е посочено в параграф 43 и е описано в параграфи 6799, вътрешният контрол включва следните компоненти :

               (а) контролна среда;

               (б) процес на оценка на рисковете на предприятието;

               (в) информационна система, включително свързаните с нея бизнес процеси, съществени за финансовата отчетност, и комуникация;

               (г) контролни дейности;

               (д) текущо наблюдение на контролите.

Настоящото приложение обяснява допълнително посочените по-горе компоненти по начина, по който те са свързани с одита на финансовия отчет.


Контролна среда

        2. Контролната среда включва начина на мислене и отношението, съзнаването и мерките на ръководството и лицата, натоварени с общо управление, по отношение на вътрешния контрол на предприятието и неговата важност за предприятието.

Контролната среда включва и управленски и ръководни функции и определя атмосферата в организацията, като по този начин влияе върху съзнанието на персонала по отношение на контрола. Тя е основата за ефективен вътрешен контрол, като осигурява дисциплина и структура.

        3. Контролната среда обхваща следните елементи:

               (а) Комуникиране и налагане на ценностите за почтеност и етично поведение.

Ефективността на контролите не може да надмине почтеността и етичните ценности на хората, които ги създават, администрират и наблюдават. Ценностите за почтеност и етика са съществени елементи на контролната среда, които влияят върху ефективността на проектирането на модела, администрирането и текущото наблюдение на други компоненти на вътрешния контрол. Почтеността и етичното поведение са продукт на етичните и поведенчески стандарти на предприятието, на начина, по който те са комуникирани, както и на начина, по който се те утвърждават на практика. Те включват мерките на ръководството за премахване или намаляване на стимулите и изкушенията, които биха могли да подтикнат персонала да се ангажира в непочтени, незаконни или неетични действия. Те включват и комуникиране на ценностите на предприятието и стандартите за поведение пред персонала чрез изложения за политиката и кодекси за поведение и даване на пример.

               (б) Ангажимент за компетентност. Компетентността представлява познанията и уменията, необходими за изпълнение на задачите, които определят длъжността на дадено лице. Ангажиментът по отношение на компетентността включва вземането под внимание от страна на ръководството на нивата на компетентност за конкретни работни места и начините, по които тези нива се превръщат в изисквани реквизити за умения и познания.

               (в) Участие на лицата, натоварени с общо управление. Съзнанието за контрол в предприятието се повлиява в значителна степен от лицата, натоварени с общо управление. Качествата на лицата, натоварени с общо управление, включват независимост от ръководството, техния опит и капацитет, степента на тяхното участие и критичния и внимателен поглед към дейностите, уместността на техните действия, информацията, която получават, степента, в която пред ръководството се повдигат и проследяват трудни въпроси, и тяхното взаимодействие с вътрешните и външни одитори. Значението на отговорностите на лицата, натоварени с общо управление, се отчитат в кодекси за практика и други правилници или насоки, изготвяни в помощ на тези лица. Другите отговорности на лицата, натоварени с общо управление, включват надзор върху проектирането на модела и ефективното функциониране на процедурите за предупреждение и процеси за преглед на ефективността на вътрешния контрол.

               (г) Философия и оперативен стил на ръководството. Философията и оперативният стил на ръководството обхващат широка гама характеристики. Тези характеристики могат да включват следното: подход на ръководството към поемането и текущото наблюдение на бизнес рисковете; отношение и мерки на ръководството по отношение на финансовата отчетност и изготвянето на отчетите (консервативен или агресивен подбор от възможните алтернативни счетоводни принципи, съзнание и консерватизъм, с които се разработват приблизителните счетоводни оценки); и отношение на ръководството към обработката на информацията, и към счетоводните функции и персонал.

               (д) Организационна структура. Организационната структура на предприятието предоставя рамката, в която се планират, изпълняват, контролират и преглеждат неговите дейности за постигане на целите за цялото предприятие. Установяването на подходяща организационна структура включва вземане под внимание на основни области на правомощия и отговорности и подходящи йерархични нива на отчетност и докладване. Предприятието разработва организационна структура, подходяща за неговите нужди. Уместността на организационната структура на предприятието зависи отчасти от неговия размер и характера на неговите дейности.

               (е) Възлагане на правомощия и отговорности. Този фактор включва начина, по който се възлагат правомощията и отговорностите за оперативната дейност и по какъв начин се установяват взаимоотношенията по отчетността и докладването и йерархията на правомощията. Той включва също и политиката, свързана с подходящи бизнес практики, познания и опит на основния персонал и ресурси, предоставени за изпълнението на задълженията. В допълнение, той включва политика и комуникации, насочени към гарантиране, че целият персонал разбира целите на предприятието, знае по какъв начин индивидуалните действия на всеки са вътрешно обвързани и допринасят за тези цели, и кой и по какъв начин се отчита и за какво носи отговорност.

               (ж) Политика и практика, свързани с човешките ресурси. Политиката и практиката, свързани с човешките ресурси, се отнасят за подбора, ориентацията, обучението, оценката, консултирането, повишението, компенсирането и мерките по отстраняване на слабостите и грешките. Например стандартите за подбор на най-квалифицирани лица – с фокус върху образователния ценз, предишен професионален опит, минали постижения и доказателства за почтеност и етично поведение – демонстрират ангажимента на предприятието да назначава компетентни и надеждни служители. Политиката за обучение, която съобщава бъдещите роли и отговорности и включва практики като например школи и семинари за обучение, илюстрира очакваните нива на резултатност от работата и поведение. Повишенията, задействани посредством периодични оценки на резултатите от работата, показват ангажимента на предприятието за повишение на квалифицирания персонал на по-високоотговорни нива.

        4. Малките предприятия могат да прилагат елементите на контролната среда по начин, различен от този в по-големите предприятия. Например малките предприятия може да не разполагат с писмен кодекс за поведение, а вместо това да развиват култура, която поставя ударението върху важността на почтеността и етичното поведение чрез устни комуникации и пример от страна на ръководството. Аналогично, лицата, натоварени с общо управление, може да не включват независим или външен член.


Процес за оценка на рисковете в предприятието

        5. Процесът за оценка на рисковете на предприятието представлява неговият процес за идентифициране и отговор спрямо бизнес рисковете и резултатите от него. За целите на финансовата отчетност, процесът на предприятието за оценка на риска включва начина, по който ръководството идентифицира рисковете, съществени за изготвянето на финансов отчет, който да дава вярна и честна представа (или да е представен достоверно, във всички съществени аспекти) в съответствие с приложимата за предприятието обща рамка за финансова отчетност, оценява тяхното значение, оценява вероятността от тяхното възникване и взема решения за действия за тяхното управление. Например процесът на предприятието за оценка на риска може да адресира начина, по който предприятието разглежда възможността за съществуване на неотразени операции или идентифицира и анализира съществените приблизителни оценки, отразени във финансовия отчет. Рисковете, със значение за надеждната финансова отчетност, са свързани също и с конкретни събития или операции.

        6. Рисковете, съществени за финансовата отчетност, включват външни и вътрешни събития и обстоятелства, които могат да възникнат и да се отразят негативно върху способността на предприятието да инициира, регистрира, обработи и отчете финансови данни, съответстващи на твърденията за вярност, направени от ръководството във финансовия отчет. След идентифицирането на рисковете ръководството преценява тяхната важност, вероятността от тяхното възникване и по какъв начин те следва да бъдат управлявани. Ръководството може да инициира планове, програми или мерки за адресиране на специфични рискове или може да реши да приеме риска, поради размера на разходите или други съображения. Рисковете могат да възникнат или да се променят поради обстоятелства като изброените по-долу:

• Промени в оперативната среда. Промените в регулаторната или оперативната среда могат да доведат до промени в натиска от конкуренти и съществено различни рискове.

• Нов персонал. Новият персонал може да има друг фокус върху, или разбиране за вътрешния контрол.

• Нови или обновени информационни системи. Съществените и бързи промени в информационните системи могат да променят риска, свързан с вътрешния контрол.

• Бърз растеж. Значителното и бързо разширяване на дейността може да ограничат контролите и да увеличат риска от прекъсване (повреда, пропуск –бел. ред.) в тях.

• Нова технология. Въвеждането на нови технологии в производствените процеси или информационни системи може да промени риска, свързан с вътрешния контрол.

• Нови бизнес модели, продукти или дейности. Навлизането в бизнес области или сделки и операции, с които предприятието има малък опит, може да породи нови рискове, свързани с вътрешния контрол.

• Корпоративни преструктурирания. Преструктуриранията могат да бъдат съпроводени със съкращения на персонал и промени в надзора и разделението на задълженията, което може да промени риска, свързан с вътрешния контрол.

• Разширени операции в чужбина. Разширението или придобиването на операции в чужбина носят нови и често уникални рискове, които могат да се отразят върху вътрешния контрол, например допълнителни или променени рискове в резултат на валутни операции.

• Нови счетоводни изложения. Възприемането на нови счетоводни принципи или промени в счетоводните принципи може да се отрази на рисковете при изготвянето на финансовия отчет.

        7. Основните концепции за процеса за оценка на риска на предприятието са съществени за всяко предприятие независимо от размера, но процесът на оценка на риска вероятно е не толкова официализиран и е по-неструктуриран при малките предприятия, отколкото в по-големите. Всички предприятия следва да разполагат с установени цели за финансова отчетност, но в малките предприятия те могат да бъдат приети по подразбиране, а не изрично. Ръководството може да е информирано за рисковете, свързани с тези цели, без да използва формален процес, а чрез пряко лично участие заедно със служителите и с външни страни.


Информационна система, включително свързаните с нея бизнес процеси, съществени за финансовата отчетност и комуникация

        8. Информационната система включва инфраструктура (физически и хардуерни компоненти), софтуер, хора, процедури и данни. Инфраструктурата и софтуерът отсъстват или имат по-малко значение в системи, които са изключително или основно неавтоматизирани. Редица информационни системи ползват активно информационни технологии (ИТ).

        9. Информационната система, съществена за целите на финансовата отчетност, които включва системата за финансова отчетност, обхваща процедури и данни, и документи, установени за иницииране, записване, обработка и отчитане на операциите на предприятието (както и събития и условия) и за поддържане отговорността за свързаните активи, пасиви и собствен капиталa. Операциите могат да бъдат инициирани ръчно или автоматично чрез програмирани процедури. Записването включва идентифициране и събиране на информацията, съществена за операции или събития. Обработката включва функции като редакция и потвърждение, изчисление, измерване, оценка, обобщаване и равняване, независимо дали те се изпълняват посредством автоматизирани или неавтоматизирани процедури. Отчитането е свързано с изготвянето на финансови доклади и отчети, както и друга информация в електронен формат или на хартия, които предприятието използва при оценката и прегледа на финансовите си резултати от дейността си и в други функции. Качеството на системно генерираната информация се отразява върху способността на ръководството да вземе подходящи решения при управлението и контрола върху дейностите на предприятието и да изготвя надеждни финансови доклади и отчети.

        10. Съответно, информационната система обхваща методи и данни, които:

• идентифицират и отразяват всички валидни операции;

• описват своевременно операциите с достатъчно детайли, позволяващи подходяща класификация на операциите за целите на финансовата отчетност;

• измерват стойността на операциите по начин, който позволява отразяване на тяхната подходяща парична стойност във финансовия отчет;

• определят времевия период, в която са възникнали операциите, за да позволят записването им в подходящия счетоводен период;

• представят подходящо операциите със свързаните с тях оповестявания във финансовия отчет.

        11. Комуникацията включва предоставяне на разбиране за индивидуалната роля и отговорности, свързани с вътрешния контрол върху финансовата отчетност. Тя включва степента, до която персоналът разбира по какъв начин дейностите му в информационната система за финансова отчетност са свързани с работата на други лица, и средствата за отчитане на изключенията пред подходящо по-високо ниво в предприятието. Откритите канали за комуникация помагат да се гарантира, че изключенията са докладвани и за тях са взети мерки.

        12. Комуникацията може да е под формата на наръчници за счетоводната политика,ръководства за счетоводна и финансова отчетност по изготвянето на отчети, и меморандуми. Комуникацията може да бъде и в електронен вид, устна и чрез действия на ръководството.

        13. Информационните системи и свързаните с тях бизнес процеси, съществени за финансовата отчетност в малките предприятия, е вероятно да бъдат по-малко формални, отколкото тези в по-големите, но тяхната роля е също точно толкова важна.

Малките предприятия с активно участие на ръководството може да не се нуждаят от подробни описания на счетоводните процедури, сложни счетоводни данни или писмени политики. Комуникацията може да е по-малко официална и по-лесно постижима в малко предприятие, отколкото в по-голямо, поради размера на малкото предприятие и по-малкото нива на общуване, както и повишената възможност на ръководството за пряк поглед над процесите.


Контролни дейности

        14. Контролните дейности представляват политика и процедури, които помагат за гарантиране, че нарежданията на ръководството се изпълняват, например, че са предприети необходимите мерки за адресиране на рисковете, които застрашават постигането на целите на предприятието. Контролните дейности, независимо дали в рамките на ИТ или на неавтоматизираните системи, имат различни цели и се прилагат на различни организационни и функционални нива.

        15. Обикновено контролните дейности, които са свързани с одита, могат да бъдат категоризирани като политика и процедури, свързани със следното:

• Прегледи на изпълнението и резултатите от дейността. Тези контролни дейности включват прегледи и анализи на реалните резултати спрямо бюджети, прогнози и резултати от предходни периоди; обвързването на различни набори от данни – оперативни или финансови – едни с други, заедно с анализи на взаимовръзки, съотношения и тенденции и проучвателни и корективни мерки; сравнение на вътрешни данни с външни източници на информация; и преглед на функционални резултати или резултатите по дейности, като например прегледът на доклади по клонове, региони и видове заеми от страна на мениджъра на банката за потребителски заеми, с цел одобрения на заемите и тяхното събиране.

• Обработка на информацията. Изпълняват се разнообразни контроли за проверка на точността, изчерпателността и одобрението на операциите. Двете общи групирания на контролните дейности в информационните системи са контролите на приложните програми и общите ИТ контроли. Контролите на приложните програми са приложими към обработката на индивидуални приложни програми. Тези контроли помагат за гарантиране, че операциите, които са възникнали, са одобрени и са напълно и точно отразени и обработени.

Примерите за контроли на приложните програми включват проверка на математическата точност на записите, поддържане и преглед на сметки и оборотни ведомости, автоматизирани контроли като проверки на входящите данни и проверки за последователността на номерацията и неавтоматично проследяване на докладите за изключения. Общите ИТ контроли представляват политика и процедури, които се отнасят за редица приложни програми и подпомагат ефективното функциониране на контролите на приложните програми,като спомагат за гарантиране на непрекъснатата правилна работа на информационните системи. Общите ИТ контроли обичайно включват контроли върху работата на центъра за данни и мрежата; придобиването, промяната и поддръжката на системен софтуер; сигурността (защитата) на достъпа; и придобиването, разработването и поддръжката на приложни системи. Тези контроли са приложими за среди с основна рамка, мини рамка и краен потребител.

Примерите за такива общи ИТ контроли са контроли върху промяната на програмите, контроли, които ограничават достъпа до програми или данни,контроли върху внедряването на нови издания пакетни софтуерни приложни програми и контроли върху системен софтуер, които ограничават достъпа до или текущото наблюдение върху ползването на системните помощни функции, които биха могли да променят финансови данни или записи, без да оставят одиторска следа.

• Физически контроли. Тези дейности обхващат физическата сигурност на активите, включително подходящи мерки за опазване, като например обезопасени съоръжения и условия за достъп до активи и документи; одобрение на достъп до компютърни програми и файлове с данни; и периодично преброяване и сравнение със сумите, отразени в контролните документи (например сравняване на резултатите от преброяванията на паричните средства, резултатите от инвентаризациите и охраната със счетоводните документи). Степента, до която физическите контроли, целящи предотвратяването на кражба на активи, са свързани с надеждността при изготвянето на финансовия отчет и следователно с одита, зависи от обстоятелства като например, когато активите са изключително податливи на злоупотреба. Например тези контроли обикновено не биха били съществени, когато загуби на материални запаси са установени вследствие на периодична физическа проверка и са отразени във финансовия отчет. Ако, обаче за целите на финансовата отчетност ръководството разчита единствено на складовите документи за материални запаси,физическите контроли за сигурност биха били уместни за одита.

• Разделение на задълженията. Възлагането на отговорностите за одобрение на операции, записването им и поддържането на отговорност за активите на различни лица е предвидено с цел намаляване възможностите да се позволи на някое лице да бъде в позиция както да извърши, така и да прикрие грешки или измама в обичайния ход на изпълнение на задълженията си. Примерите за разделение на задълженията включват отчитане, преглед и одобрение на равненията и одобрение и контрол върху документите.

        16. Някои контролни дейности може да зависят от съществуването на подходяща политика на по-високо ниво, установена от ръководството или лицата, натоварени с общо управление. Например контролите върху одобренията могат да бъдат делегирани съгласно установени насоки, като инвестиционни критерии, определени от лицата, натоварени с общо управление; алтернативно, нерутинни операции, като големи придобивания или продажби могат да изискват конкретно одобрение на високо ниво, включително в някои случаи това на акционерите.

        17. Концепциите, залегнали в контролните дейности в малки предприятия, е вероятно да бъдат сходни с тези при по-големите, но степента на официализирано представяне, с която те действат, е различна. В допълнение, в малките предприятия може да се реши, че определени видове контролни дейности не са съществени, тъй като контролите се прилагат от ръководството. Например запазването от страна на ръководството на правомощието да одобрява продажби на кредит, значителни покупки и кредитни лимити (линии), могат да осигурят стабилен контрол върху тези дейности, намалявайки или премахвайки необходимостта от по-детайлни контролни дейности. Често изглежда, че подходящото разделение на задълженията поражда затруднения в малките предприятия. Дори компании, които имат само няколко служители, обаче, може да са в състояние да възлагат отговорностите за постигането на подходящо разделение или, ако това не е възможно, да прилагат надзор от страна ръководството по отношение на несъвместими дейности с цел постигане целите на контрола.


Текущо наблюдение на контролите

        18. Важна отговорност на ръководството е да установи и поддържа непрекъснат вътрешен контрол. Текущото наблюдение на контролите от страна на ръководството включва преценка дали те работят, както това е предвидено, и дали са модифицирани, както това е целесъобразно и уместно спрямо промените в условията. Текущото наблюдение на контролите може да включва дейности, като например преглед от ръководството дали своевременно се изготвят банковите равнения, оценка от вътрешните одитори на спазването на политиката на предприятието от страна на персонала по продажбите относно условията по договори за продажби, както и пренебрегване на надзора от страна на правния отдел за спазването на политиката за етична или бизнес практика на предприятието.

        19. Текущото наблюдение на контролите е процес за оценка на качеството на резултатите от вътрешния контрол във времето. То включва своевременна оценка на проектирането на модела и функционирането на контролите, а и предприемането на необходимите корективни мерки. Текущото наблюдение се извършва с цел гарантиране, че контролите продължават да действат ефективно. Например, ако не се наблюдават текущо навременността и точността на банковите равнения, съществува вероятност персоналът да престане да ги изготвя. Текущото наблюдение на контролите се постига чрез непрекъснати дейности по текущо наблюдение, специални оценки и комбинация от двете.

        20. Непрекъснатите дейности по текущото наблюдение са вградени в обичайните повтарящи се дейности на предприятието и включват редовни ръководни и надзорни дейности. Мениджърите по продажби, покупки и производство на ниво поделение и корпоративно ниво, имат пряк досег с дейността и могат да поставят под въпрос данни в отчети и доклади, които съществено се различават от техните познания за дейността.

        21. В редица предприятия вътрешните одитори или персонал, изпълняващ сходни функции, допринасят за текущото наблюдение върху контролите на предприятието чрез отделни оценки. Те редовно предоставят информация относно функционирането на вътрешния контрол, фокусирайки значително внимание върху оценката на разработения модел и функционирането на вътрешния контрол. Те комуникират информацията за силните и слабите страни и отправят препоръки за подобряване на вътрешния контрол.

        22. Дейностите по текущо наблюдение могат да включват ползването на информация от комуникация от външни страни, които могат да покажат проблеми или да очертаят области, нуждаещи се от подобрение. Клиентите по подразбиране потвърждават данните за фактуриране, като плащат фактурите си или отправят оплаквания за фактурираните към тях суми. В допълнение, регулаторните органи могат да комуникират с предприятието по отношение на въпроси, които засягат функционирането на вътрешния контрол, например, обмен на информация, свързан с проверки от банкови регулаторни агенции. Също така при изпълнение на дейностите по текущо наблюдение ръководството може да вземе под внимание комуникацията, свързано с вътрешния контрол с външните одитори.

        23. Дейностите по текущо наблюдение в малките предприятия е вероятно да бъдат неофициални и обикновено се изпълняват като част от общото управление на дейността на предприятието. Активното участие на ръководството в дейността често идентифицира съществените отклонения от очакванията и неточности във финансовите данни, които водят до корективни мерки в контрола.


Приложение 3


Условия и събития, които могат да са индикатор за рискове от съществени неточности, отклонения и несъответствия

Представените по-долу са примери за условия и събития, които могат да покажат наличието на рискове от съществени неточности, отклонения и несъответствия. Представените примерите обхващат широка гама условия и събития; но не всички условия и събития обаче са съществени за всеки одиторски ангажимент и списъкът с примерите не е непременно изчерпателен.

• Дейности в региони, които са икономически нестабилни, например държави със сериозна девалвация на валутата или изключително инфлационни икономики.

• Дейности, изложени на променливи пазари, например търговия с фючърси.

• Висока степен на сложна регулация.

• Въпроси, свързани с принципа за действащо предприятие и ликвидността, включително загуба на важни клиенти.

• Ограничения върху наличието на капитал и кредит.

• Промени в отрасъла, в който работи предприятието.

• Промени във веригата за доставки.

• Разработване или предлагане на нови продукти или услуги или преминаване към нови бизнес линии.

• Разширяване в нови местоположения.

• Промени в предприятието като например големи придобивания или реорганизации или други необичайни събития.

• Предприятия или сектори от бизнеса, които е вероятно да бъдат продадени.

• Сложни сдружавания и съвместни предприятия.

• Ползване на задбалансово финансиране, предприятия със специално предназначение и други сложни договорености за финансиране.

• Съществени сделки със свързани лица.

• Липса на персонал с подходящи умения за счетоводна и финансова отчетност.

• Промени в ключовия персонал, включително напускане на основни ръководни кадри.

• Слабости във вътрешния контрол, особено такива, които не са адресирани от ръководството.

• Непоследователност между ИТ стратегията на предприятието и неговите бизнес стратегии.

• Промени в ИТ средата.

• Инсталиране на съществени нови ИТ системи, свързани с финансовата отчетност.

• Запитвания за дейността на предприятието или неговите финансови резултати от регулаторни или правителствени органи.

• Минали неточности, отклонения и несъответствия, исторически данни за грешки или съществени суми на корекции в края на периода.

• Съществена сума на нерутинни или несистематични сделки и операции, включително вътрешногрупови сделки и операции, и сделки и операции с големи приходи в края на периода.

• Операции, които са отразени на база намеренията на ръководството, например рефинансиране на дълга, активи, които ще бъдат продадени и класификация на търгуеми ценни книжа.

• Приложение на нови счетоводни становища и тълкувания.

• Счетоводни оценки, които включват сложни процеси.

• Събития или сделки и операции, които включват съществена несигурност в оценката,включително приблизителни счетоводни оценки.

• Неприключени съдебни процеси и условни задължения, например гаранции по продажби, финансови гаранции и възстановяване на околната среда.