Первая составляющая — контрольная среда — включает позицию, осведомленность и действия руководства. В составе контрольной среды обозначены положения о том, чтобы руководители предприятий в явном виде сообщали своим подчиненным требования в отношении честности и уважения этических норм. Важно также уделять внимание компетентности. Руководство обязано анализировать, какие качества требуются для выполнения тех или иных работ. Остальные факторы контрольной среды, такие, как философия руководства, организационная структура, полномочия и ответственность, практика и политика в отношении человеческих ресурсов, остались прежними или претерпели исключительно редакционные изменения.
Понимание аудитором контрольной среды имеет особое значение при изучении вопросов, связанных с угрозой мошенничества. Аудитор должен понять, каким образом руководство аудируемого лица создает атмосферу честного, этичного поведения и устанавливает соответствующие средства контроля для предотвращения и защиты от ошибок и мошенничества. Аудитор должен учитывать, как применялись элементы контрольной среды, и определить, используются ли средства контроля на практике.
Вторая составляющая СВК — оценка бизнес-риска аудируемым лицом как процесс выявления рисков, их возможных последствий и реагирование на них. В новых МСА появилось требование к руководителям аудируемого лица самостоятельно оценивать связанные с работой своей организации риски. Аудитор должен понять, каким образом организация выявляет и устраняет бизнес-риски, связанные с целями финансовой отчетности, и к каким результатам это приводит.
Третья составляющая СВК — информационная система, связанная с целями финансовой отчетности и состоящая из процедур и записей. Аудитор должен понимать, как организация доносит информацию о ролях и обязанностях конкретных сотрудников, а также существенных вопросах, имеющих отношение к финансовой отчетности. В бухгалтерии должно быть четко расписано, кто что делает и кто за что отвечает. Аудитору следует проверить, насколько хорошо подготовлены служебные инструкции и насколько добросовестно они выполняются.
Четвертая составляющая СВК — контрольные действия. Под ними понимаются политика и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются. К ним относятся процедуры и мероприятия, проводимые аудируемым лицом и выходящие за пределы непосредственного ведения учета и подготовки отчетности.
-од ним понимается процесс оценки качества функционирования СВК. Он выполняется с помощью постоянного наблюдения, отдельных оценок надежности средств и позволяет убедиться, что средства контроля функционируют эффективно. Аудитор должен понимать основные виды мероприятий, которые проводит организация для мониторинга внутреннего контроля финансовой деятельности.
Что касается оценки риска существенных искажений, то аудитор должен установить, уместно ли при оценке рисков существенных искажений данное средство контроля. Надо принять во внимание оценку уровня существенности, размер аудируемого лица, природу его бизнеса, сложность систем, составляющих СВК. Самый простой, но наименее надежный способ получения аудиторских доказательств об СВК — расспросы сотрудников клиента, а самый надежный — наблюдение аудитора за контрольными процедурами. К сожалению, аудитор физически не в состоянии лично проследить за ними. Внутренний контроль может обеспечить только частичную уверенность в достижении цели. Если в результате проведенных процедур по оценке риска не обнаружено каких-либо эффективных средств контроля, то аудитор исключает эффект контроля из соответствующих оценок рисков. Аудитор должен планировать и осуществлять процедуры проверок по существу для каждой существенной операции.
Проверка процедур контроля проходит две стадии. На первой стадии аудитор выясняет, существует ли данная процедура у аудируемого лица. На второй стадии он устанавливает, выполняют ли процедуры контроля предполагаемые функции. Тесты применяются только для тех составляющих СВК, которые были признаны аудитором надлежащими для предотвращения, обнаружения и исправления. Временные рамки тестов — это период времени, с которым связано проведение аудиторских процедур. Масштаб аудиторских тестов средств контроля напрямую связан с оценкой риска аудитором. Все описанные действия аудитора должны быть отражены в рабочей документации.
В ходе аудиторской проверки аудитор обязан изучить и оценить те средства контроля, на основе которых он собирается определить суть, масштаб и временные затраты предполагаемых аудиторских процедур.
Если аудитор убеждается в том, что он может использовать данные соответствующих средств контроля, он получает возможность проводить аудиторские процедуры менее детально и более выборочно. При оценке эффективности и надежности системы внутреннего контроля в целом, контрольной среды и отдельных средств контроля аудиторская организация использует не менее трех градаций: высокую, среднюю, низкую. Руководство экономического субъекта несет ответственность за разработку и фактическое воплощение системы внутреннего контроля. От него зависит, чтобы система внутреннего контроля отвечала размерам и специфике деятельности экономического субъекта, функционировала регулярно и эффективно. Результатом аудита системы внутреннего контроля является определение риска внутреннего контроля. Степень выбранного риска влияет в дальнейшем на размер статистической выборки, используемой при проверке соответствующей позиции баланса. Необходимо различать аудит системы внутреннего контроля в целом, т. е. общие темы, и аудит ее основных объектов (снабжение, сбыт и т. д.). Проверка системы внутреннего контроля в целом должна обязательно проводиться аудитором, а степень необходимости проверки внутреннего контроля по каждому объекту аудитор устанавливает исходя из соотношения предполагаемых затрат и размера проверяемой совокупности.