Аудитор должен обладать знаниями о системе внутреннего контроля, необходимыми для проведения аудита, и использовать их для выявления возможных искажений при рассмотрении факторов, которые оказывают влияние на риски существенного искажения информации, и при планировании характера, сроков и объема дальнейших аудиторских процедур. Порядок организации и функционирования системы внутреннего контроля зависит от размеров и сложности структуры аудируемого лица и осуществляется посредством применения соответствующих средств контроля, в том числе в отношении МПЗ. Под применением средства контроля подразумевается, что средство контроля существует и аудируемое лицо использует его.

Между целями аудируемого лица и средствами контроля, которые оно применяет для того, чтобы обеспечить разумную уверенность в их достижении, существует прямая связь. Цели аудируемого лица и его средства контроля связаны с финансовой (бухгалтерской) отчетностью, хозяйственными операциями, соблюдением законодательства РФ, однако некоторые из них могут не иметь отношение к оценке аудиторских рисков.

Как правило, средства контроля, которые уместны для целей аудита, имеют отношение к подготовке аудируемым лицом финансовой (бухгалтерской) отчетности для внешних пользователей, которая дает достоверное во всех существенных отношениях представление, соответствующее применяемым принципам и методам ведения бухгалтерского учета и подготовки финансовой (бухгалтерской) отчетности. Средства контроля влияют на риски существенного искажения этой финансовой (бухгалтерской) отчетности. Предметом профессионального суждения аудитора является вопрос о том, относится ли данное средство контроля в отдельности или в сочетании с другими средствами к целям аудита в части оценки рисков существенного искажения информации и в части планирования, выполнения дальнейших процедур в соответствии с оцененными рисками. Вынося такое суждение, аудитор учитывает конкретные обстоятельства, применяемый элемент контроля и следующие факторы:

а) суждение аудитора о существенности искажения финансовой (бухгалтерской) отчетности;

б) размер и сложную структуру аудируемого лица;

в) характер деятельности аудируемого лица, включая особенности его организационной структуры и формы собственности;

г) степень многообразия и сложность хозяйственных операций аудируемого лица;

д) применяемые требования нормативных правовых актов;

е) характер и сложность информационных систем, которые являются частью системы внутреннего контроля аудируемого лица, включая использование услуг обслуживающих организаций.

Средства контроля, имеющие отношение к целям аудита, могут функционировать в рамках любого элемента системы внутреннего контроля.

Понимание аудитором системы внутреннего контроля аудируемого лица подразумевает осуществляемую аудитором оценку адекватности организации средств контроля и установление факта их применения. Оценка адекватности организации средства контроля включает рассмотрение способности средства контроля в отдельности или в сочетании с другими средствами контроля эффективно предотвращать или обнаруживать и исправлять существенные искажения.

Аудитор знакомится с организацией средства контроля в отношении МПЗ и решает, следует ли его рассматривать, применялось ли такое средство контроля.

Понимание средств контроля аудируемого лица не достаточно без тестирования системы эффективности средств контроля, если только в системе внутреннего контроля нет какого-то автоматического механизма, который обеспечивал бы постоянное функционирование системы контроля.

Аудитор должен выполнять процедуры оценки рисков, в том числе в части МПЗ, в целях ознакомления с деятельностью аудируемого лица и со средой, в которой она осуществляется, включая систему внутреннего контроля, в частности:

запросы в адрес руководства или других сотрудников аудируемого лица;

аналитические процедуры;

наблюдение и инспектирование.

Аудитор может выполнять прочие аудиторские процедуры. Источники получения информации для оценки рисков могут быть внешними, внутренними.

Аудитор должен выявить и оценить риски существенного искажения на уровне финансовой отчетности в целом и на уровне конкретных предпосылок подготовки финансовой отчетности для групп однотипных операций, остатков по счетам бухгалтерского учета и случаев раскрытия информации в финансовой отчетности, в том числе в части МПЗ. Для этой цели аудитор:

выявляет риски в процессе ознакомления с деятельностью аудируемого лица и его средой, включая средства контроля, относящиеся к этим рискам, а также с группами однотипных операций, остатками по счетам бухгалтерского учета и случаями раскрытия информации в финансовой отчетности;

устанавливает соответствие между выявленными рисками и тем, какая информация может быть искажена на уровне предпосылок подготовки финансовой отчетности;

рассматривает, не являются ли риски столь высокими, чтобы привести к существенному искажению финансовой отчетности.

Аудитор использует в качестве аудиторских доказательств для оценки рисков информацию, собранную при выполнении процедур оценки рисков, включая аудиторские доказательства, полученные при исследовании организации средств контроля и определении того, применялись ли они. Аудитор использует оценку рисков для определения характера, сроков и объема аудиторских процедур, которые следует выполнить в дальнейшем.

Аудитор определяет, имеют ли выявленные риски существенного искажения информации, в том числе в части МПЗ: