В данной статье рассматривается структура рисков существенного искажения отчетности, а также процесс оценки рисков при аудите расходов на разработку программного обеспечения. Кроме того, определены контрольные точки, на которые стоит обратить внимание при оценке рисков, выделены особенности системы внутреннего контроля в компаниях, занимающихся разработкой программного обеспечения.
Ключевые слова: аудит расходов, риски существенного искажения отчетности, неотъемлемый риск, риск средств контроля, оценка рисков.
Процесс оценки расходов организации и экономически обоснованного формирования себестоимости является важным хозяйственным рычагом любой компании в ходе выявления резервов снижения затрат и повышения ее рентабельности. В свою очередь контроль за расходами представляется значимым элементом информационного обеспечения управления деятельностью фирмы. Несмотря на то что вопросы организации и регулирования аудита в России постоянно находятся в центре внимания представителей науки и практики, проблемы проведения аудита расходов и формирования себестоимости выполненных работ не получили должной разработки.
Особую сложность представляет учет и аудит расходов по созданию нематериальных активов, точно оценить которые не всегда представляется возможным. В частности, компании, занимающиеся разработкой программного обеспечения, сталкиваются с трудностью исчисления фактической себестоимости выполняемых ими работ, а аудиторы, проверяющие данные фирмы, должны осуществлять более тщательный контроль за их расходами.
Аудиторская проверка расходов связана с различного рода неопределенностями, которые часто оказывают влияние на характер и методы ее проведения. На практике данные неопределенности вытекают в риски, которые невозможно свести к нулю. Отсюда основная задача аудитора состоит в том, чтобы снизить их до минимального уровня, тем самым достигнув достоверных результатов проверки. Для достижения этой цели, безусловно, необходимо в первую очередь идентифицировать и оценить риски.
Так, согласно ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» аудитор в процессе оценки рисков выполняет следующее:
1) выявляет риски в процессе ознакомления с деятельностью аудируемого лица и его средой, включая средства контроля, относящиеся к этим рискам, а также с группами однотипных операций, остатками по счетам бухгалтерского учета и случаями раскрытия информации в финансовой (бухгалтерской) отчетности;
2) устанавливает соответствие между выявленными рисками и тем, какая информация может быть искажена на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности;
3) рассматривает, не являются ли риски столь большими, чтобы привести к существенному искажению финансовой (бухгалтерской) отчетности [3].
Как известно, риск существенного искажения отчетности состоит из двух рисков: неотъемлемого риска (риска хозяйственной деятельности) и риска средств контроля. Неотъемлемый риск присущ деятельности самой компании, в связи с чем аудитор не может как-либо повлиять на него, но обязан качественно и объективно его протестировать и оценить. В рамках риск-ориентированного подхода неотъемлемый риск рассматривается шире, чем вероятность искажения данных бухгалтерского учета и отчетности организации. Данный риск включает события, обстоятельства, условия, действия или бездействие, которые способны оказать влияние на деятельность аудируемой компании.
В частности, для компаний, занимающихся деятельностью в области IT-разработок, большую роль играет спрос на их услуги, который в условиях наступившего в стране кризиса может резко снизиться. Это связано и с высокой стоимостью разработки программного обеспечения. А в случае потери компанией важных клиентов у нее могут возникнуть проблемы с непрерывностью деятельности и ликвидностью.
Кроме того, особенность IT-отрасли такова, что в ней высока скорость появления новых модулей, программ, информационных систем, в связи с чем на рынке царит жесткая конкуренция. Выходом из этой ситуации для компании является постоянное совершенствование технологий и повышение квалификации сотрудников. В случае отсутствия этих ключевых факторов у компании есть риск потерять своих клиентов и уйти с рынка.
Еще один риск-образующий фактор — это изменения в информационных системах. Так, компания, разрабатывающая программное обеспечение только для ограниченного круга информационных систем, рискует потерять значительную долю выручки в случае перехода большинства пользователей на иные системы.
Не менее важным при оценке рисков является и тот факт, что в компаниях-разработчиках программного обеспечения очень сложно оценить стоимость выполненных работ. Дело в том, что величина расходов на разработку программного обеспечения зависит прежде всего от потраченного сотрудниками времени на выполнение работ. Отслеживать количество человеко-часов, по мнению автора, довольно трудоемкий процесс, затраты на который зачастую не оправдывают себя. Поэтому во многих IT-компаниях учет рабочего времени ведется по установленным заранее нормативам. Если же такого документа в организации нет, то данный процесс не регламентирован, а значит, величина расходов на конкретный вид работ не может быть представлена в отчетности компании точно и достоверно. В связи с этим у компании имеется риск неверного отражения величины затрат на разработку программного обеспечения, а следовательно, и величины финансового результата.
Факторы неотъемлемого риска для компаний, занимающихся разработкой программного обеспечения, представлены на рисунке 1.
Рис. 1. Факторы неотъемлемого риска для компаний-разработчиков программного обеспечения
Аудитор в ходе проверки может столкнуться с отдельной группой рисков, требующих, по его мнению, специальных аудиторских действий. Это так называемые значимые риски, вытекающие, как правило, из рисков хозяйственной деятельности, способные привести к существенным искажениям отчетности. В первую очередь к таким рискам относятся факты, связанные с недобросовестными действиями аудируемого лица или с нетипичными операциями и показателями деятельности компании, сильно отличающимися от отраслевых. Применительно к таким рискам аудитору следует оценить эффективность введенных в отношении них средств контроля, включая контрольные действия, и определить, выполнялись ли они [3]. В случае отсутствия надлежащих средств контроля аудитор должен сообщить об этом представителям собственника.
Что касается второй составляющей риска существенного искажения — риска средств контроля (контрольного риска), то данный вид риска характеризует внутреннюю структуру управления компанией. Для его оценки аудитору нужно получить достаточную информацию о системе внутреннего контроля (СВК) организации и объективно оценить ее как качественно, так и количественно [3]. Результаты этой оценки обязательно должны использоваться в процессе планирования сроков, объема и характера аудиторских процедур.
Рассмотрим конкретные элементы СВК в свете оценки рисков существенного искажения в ходе аудита расходов компании-разработчика программного обеспечения. Так, при анализе процесса оценки рисков проверяемым субъектом аудитору следует изучить, какие существуют риски в отношении финансовой отчетности фирмы, как они оцениваются и какие меры принимает организация по их снижению или устранению.
В частности, для компании, работающей в сфере IT-разработок, существуют риски изменений законодательства не в ее пользу; риски внедрения новых технологий, что усложнит контроль над ними; валютные риски в случае выхода на международный рынок и т. д.
В свете оценки контрольных действий аудируемой компании аудитору необходимо получить представление о процедурах клиента, направленных на получение уверенности в том, что распоряжения руководства и все необходимые действия по снижению рисков компании выполняются. Здесь важно отметить, что для повышения эффективности аудита и сокращения затрат на его проведение аудитору следует оценить те контрольные действия, которые относятся к наиболее подверженным искажениям областям.
Так, при аудите расходов компании-разработчика программного обеспечения стоит обратить внимание на процедуры по контролю за списанием рабочего времени сотрудников, проверить, существует ли в компании регламент по нормативам выработки. Кроме того, целесообразно проанализировать выполнение смет и технических заданий по конкретным видам программного обеспечения, а также выяснить, есть ли ответственные лица по каждому проекту.
В связи с тем, что IT-компания пользуется большим количеством облачных сервисов, аккаунтов и лицензий, аудитору необходимо проверить, санкционирован ли доступ к компьютерным программам и файлам с данными. Важно также выяснить, есть ли в организации средства контроля, фиксирующие данные о лице, внесшем изменения в базу данных, и времени внесения этого изменения.
Поскольку в IT-компаниях значительные суммы тратятся на покупку компьютеров, аудитору целесообразно проверить, существуют ли в организации контрольные действия, направленные на обеспечение сохранности активов, в том числе проводятся ли периодические инвентаризации основных средств. Соответственно необходимо выяснить список материально ответственных лиц и состав инвентаризационной комиссии.
Оценив риск хозяйственной деятельности и контрольный риск, аудитор получает представление о риске существенного искажения отчетности. При этом ему необходимо идентифицировать и оценить риски существенных искажений как на уровне финансовой отчетности в целом, так и на уровне предпосылок по каждому сальдо счета и группе операций [5].
Оцененный уровень риска аудитору следует принимать во внимание при определении характера, сроков и объема дальнейших аудиторских процедур [5].
Аудитору также необходимо определить, относятся ли выявленные риски существенных искажений к определенным типам операций, сальдо по счетам или же в большей степени ко всей отчетности. Важно отметить, что во втором случае риски могут быть следствием недостатков СВК клиента.
Кроме того, в ходе проверки аудитор на основе своего профессионального суждения должен выявить значимые риски, требующие специального рассмотрения, и риски, в отношении которых достаточные аудиторские доказательства не могут быть получены обычными процедурами проверки по существу. Применительно к таким рискам необходимо проанализировать, были ли разработаны и использовались ли клиентом средства контроля, в частности контрольные действия, снижающие риск существенного искажения финансовой отчетности до приемлемого уровня.
В завершение необходимо отметить, что аудитору следует знать как уровень неотъемлемого риска в деятельности аудируемого лица, так и применяемые клиентом средства контроля рисков. Это играет важную роль, поскольку является базой для эффективного проведения аудиторской проверки.
Литература:
- Федеральный закон от 30.12.2008 № 307-ФЗ (ред. от 01.12.2014) «Об аудиторской деятельности»
- ФПСАД 4 «Существенность в аудите» (утв. Постановлением Правительства РФ от 23.09.2002 № 696)
- ФПСАД 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» (утв. Постановлением Правительства РФ от 23.09.2002 № 696)
- Булыга Р. П. Аудит. Учебник для вузов. — 4-е изд. — М.: ЮНИТИ-ДАНА, 2015. — 432 с.
- Стандарты по аудиторской деятельности. Сборник нормативных актов. Под ред. Невешкиной Е. В. — М.: Омега-Л, 2015. — 452 с.
- Подольский В. И. Оценка и использование составляющих аудиторского риска [Электронный ресурс] // «КонсультантПлюс». URL: www.consultant.ru
- Сергеева Т. В. Планирование аудита затрат на производство продукции (выполнение работ, оказание услуг) // Аудит и финансовый анализ. — 2011. — № 4. — С.11–19
- Сергеева Т. В. Процедуры получения аудиторских доказательств при аудите затрат на производство продукции (работ, услуг) // Аудит и финансовый анализ. — 2011. –№ 6. — С.1–7
- Справочная правовая система «КонсультантПлюс» //URL: www.consultant.ru
