Лекция 4. МЕЖДУНАРОДНЫЕ СТАНДАРТЫ АУДИТА 402 "СООБРАЖЕНИЯ В ОТНОШЕНИИ АУДИТА ОРГАНИЗАЦИИ, ИСПОЛЬЗУЮЩЕЙ УСЛУГИ ОБСЛУЖИВАЮЩЕЙ ОРГАНИЗАЦИИ" И 450 "ОЦЕНКА ИСКАЖЕНИЙ, ВЫЯВЛЕННЫХ В ХОДЕ АУДИТА"
Изучив главу, вы будете:
знать
• систему международных стандартов аудита, регламентирующих ответственность аудиторов;
• методологию, методику и организацию аудита;
• методики планирования, составления программ и проведения процедур аудита на основе Международных стандартов аудита;
• порядок обобщения и использования результатов аудита;
• порядок проведения аудита всех аспектов бухгалтерского учета и отчетности на предварительной, основной и заключительной ее стадиях;
• права, обязанности и ответственность экономических субъектов и аудиторских фирм в осуществлении внешнего аудита;
уметь
• планировать, организовывать и проводить аудит на основе Международных стандартов аудита;
• разрабатывать программы аудита на основе Международных стандартов аудита;
• обобщать результаты проверок и составлять аудиторское заключение на основе Международных стандартов аудита;
• сопоставлять международные и национальные подходы к аудиту и обосновывать целесообразность их применения;
• разрабатывать рекомендации руководству экономического субъекта по результатам аудита;
• организовывать и осуществлять проверку состояния внутреннего контроля на предприятии;
• проводить аудит на основе Международных стандартов аудита в условиях компьютеризированного учета;
• использовать результаты аудита для совершенствования внутреннего контроля, учета и управления предпринимательской деятельностью;
владеть
• приемами и способами выявления нарушений и противоправных действий в осуществлении хозяйственной деятельности и ведении бухгалтерского учета;
• способами обобщения результатов проверок и составления аудиторского заключения;
• навыками практического решения задач внутреннего контроля;
• приемами использования результатов аудита в управлении повышением эффективности предпринимательской деятельности эконом и веского субъекта.
Основные понятия. Международный стандарт аудита 402 "Соображения в отношении аудита организации, использующей услуги обслуживающей организации", Международный стандарт аудита 450 "Оценка искажений, выявленных в ходе аудита".
Международный стандарт аудита 402 "Соображения в отношении аудита организации, использующей услуги обслуживающей организации"
Международный стандарт аудита 402 должен читаться в контексте MCA 200 "Общие цели независимого аудитора и проведение аудита в соответствии с международными стандартами аудита". Данный международный стандарт аудита (MCA) рассматривает ответственность аудитора в отношении получения достаточных надлежащих аудиторских доказательств в случае, когда основная организация использует услуги одной обслуживающей организации или более. В частности, он расширяет требования к применению аудитором MCA 315 и MCA 330 при достижении понимания основной организации, включая относящийся к аудиту внутренний контроль, достаточного для выявления и оценки рисков существенного искажения и разработки и выполнения дальнейших аудиторских процедур в ответ на эти риски.
В MCA 402 отмечается, что многие организации передают на обслуживание определенные аспекты своего бизнеса организациям, которые оказывают различные обслуживающие услуги – от выполнения конкретных заданий под руководством основной организации до замены деятельности отдельных подразделений основной организации – либо передают этим организациям отдельные функции, такие как функции по соответствию требованиям по налогообложению. Многие из услуг, предоставляемых такими организациями, являются интегральной частью бизнес-процессов основной организации; однако не все такие услуги связаны с аудитом.
Услуги, предоставляемые обслуживающей организацией, имеют отношение к аудиту финансовой отчетности основной организации в том случае, когда эти услуги и средства контроля в их отношении являются частью информационных систем основной организации, и среди них связанные с ними бизнес-процессы, которые относятся к финансовой отчетности. Хотя большая часть средств контроля обслуживающей организации, скорее всего, связана с финансовой отчетностью, могут существовать и иные средства контроля, имеющие отношение к аудиту, такие как средства контроля в отношении сохранности активов. Услуги обслуживающей организации являются частью информационной системы основной организации и связанных с ней бизнес-процессов, относящихся к подготовке финансовой отчетности, если эти услуги влияют па что-либо из следующего:
• типы сделок, входящие в операции основной организации, которые являются существенными для финансовой отчетности основной организации;
• процедуры как внутри IT-технологий, так и ручные, используемые для инициирования, записи, проведения и корректировки сделок организации, а также в случае необходимости внесение корректировок, перенесение информации в главную книгу и внесение в финансовую отчетность;
• подтверждающие информацию и конкретные счета в финансовой отчетности основной организации бухгалтерские записи в электронном или бумажном виде, которые используются для инициирования, записи, обработки и составления отчетности по сделкам основной организации, включая внесение корректировок в неверную информацию и то, как информация переносится в главную книгу;
• то, каким образом информационные системы основной организации отслеживают события и условия, помимо сделок, которые значимы для финансовой отчетности;
• процесс, используемый для подготовки финансовой отчетности основной организации, значимые оценочные значения и раскрытия;
• средства контроля в отношении внесения журнальных записей, нестандартные журнальные записи, используемые для записи необычных, неповторяющихся сделок или корректировок.
Характер и объем работы, которую должен выполнить аудитор основной организации в отношении услуг, предоставленных обслуживающей организацией, зависит от характера и значимости предоставленных услуг и их связи с аудитом.
Целями аудитора основной организации, которая использует услуги обслуживающей организации, являются достижение понимания природы и значимости услуг, предоставляемых обслуживающей организацией, и их влияния на внутренний контроль основной организации, имеющий отношение к аудиту, достаточное для выявления и оценки рисков существенного искажения; разработка и выполнение аудиторских процедур в ответ на оцененные риски.
Для целей MCA 402 используются следующие определения.
Дополняющие средства контроля основной организации – средства контроля, которые, по мнению обслуживающей организации, должна установить у себя основная организация и которые в соответствии с необходимостью достичь их целей внесены в описание ее систем.
Отчет обслуживающей организации об описании и разработке средств контроля (в MCA упоминается как отчет типа 1) – отчет, в который входят:
• описание, подготовленное руководством обслуживающей организации, системы контроля обслуживающей организации, целей контроля и связанных с ними контрольных средств, которые были разработаны и применены по состоянию на указанную дату;
• заключение аудитора обслуживающей организации о представлении разумной уверенности, включающее мнение аудитора обслуживающей организации об описании системы обслуживающей организации, целях контроля и связанных с ними контрольных средствах и о соответствии вида контрольных средств достижению определенных целей контроля.
Отчет обслуживающей организации об описании, разработке и операционной эффективности средств контроля (в MCA упоминается как отчет типа 2) – отчет, в который входят:
• описание, подготовленное руководством обслуживающей организации, системы внутреннего контроля обслуживающей организации, целей контроля и связанных с ними контрольных средств, которые были разработаны и применены по состоянию на указанную дату или в течение определенного периода и в некоторых случаях в отношении их операционной эффективности в течение определенного периода;
• заключение аудитора обслуживающей организации о представлении разумной уверенности, включающее мнение аудитора обслуживающей организации об описании системы внутреннего контроля обслуживающей организации, целей контроля и связанных с ними контрольных средств, о соответствии вида контрольных средств достижению определенных целей контроля и об операционной эффективности контрольных средств; описание тестов контроля, проведенных аудитором обслуживающей организации, и их результатов.
Аудитор обслуживающей организации – аудитор, который по заказу обслуживающей организации предоставляет заключение, содержащие уверенность, по средствам контроля обслуживающей организации.
Обслуживающая организация – третья сторона (или сегмент третьей стороны), которая предоставляет основной организации услуги, являющиеся частью ее информационной системы, связанной с подготовкой финансовой отчетности.
Система обслуживающей организации – политики и процедуры, разработанные, применяемые и поддерживаемые обслуживающей организацией для обеспечения основных организаций услугами, покрываемыми заключением аудитора обслуживающей организации.
Субподрядчик обслуживающей организации – обслуживающая организация, используемая другой обслуживающей организацией для выполнения определенных услуг, предоставляемых основным организациям, которые являются частью информационных систем этих основных организаций, связанных с подготовкой финансовой отчетности.
Аудитор основной организации – аудитор, проводящий аудит финансовой отчетности основной организации.
Основная организация – организация, которая использует услуги обслуживающей организации и по чьей финансовой отчетности проводится аудит.
Требования, предъявляемые международным стандартом 402, заключаются в следующем.
Достижение понимания услуг, предоставляемых обслуживающей организацией, включая внутренний контроль. При достижении понимания основной организации в соответствии с MCA 315[1] аудитор основной организации обязан добиться понимания того, каким образом основная организация использует в своих операциях услуги обслуживающей организации, изучив:
• природу услуг, оказываемых обслуживающей организацией и значимость этих услуг для основной организации, а также воздействие этого на внутренний контроль основной организации;
• природу и существенность обслуживаемых сделок или счетов, или процессов подготовки отчетности, на которые влияет обслуживающая организация;
• степень взаимодействия между деятельностью обслуживающей и основной организации;
• природу взаимосвязей между основной и обслуживающей организацией, связанные с этим условия контракта, регулирующего деятельность обслуживающей организации.
При достижении понимания внутреннего контроля в ходе аудита в соответствии с MCA 315[2] аудитор основной организации обязан оценить разработку и применение контрольных средств основной организации в отношении услуг обслуживающей организации, и те из них, которые применяются в отношении сделок, обслуживаемых обслуживающей организацией.
Аудитор основной организации обязан определить, было ли достигнуто достаточное понимание природы и значимости услуг, предоставляемых обслуживающей организацией, и их влияния на внутренний контроль, связанный с аудитом, в степени, которая может обеспечить основу для выявления и оценки рисков существенного искажения.
Если аудитор основной организации не в состоянии добиться достаточного понимания от основной организации, то он обязан добиться понимания в ходе одной из следующих процедур или более:
• получения заключений типа 1 или типа 2, если это возможно;
• обращения к обслуживающей организации через посредство основной организации для получения специальной информации;
• посещения обслуживающей организации и выполнения процедур, которые обеспечат необходимую информацию о средствах контроля обслуживающей организации;
• использования другого аудитора для выполнения процедур, которые предоставят необходимую информацию о контрольных средствах обслуживающей организации.
Использование отчетов типа 1 и типа 2 для достижения аудитором основной организации понимания обслуживающей организации. При определении достаточности и надлежащего характера аудиторских доказательств, предоставляемых отчетами типа 1 и типа 2, аудитор обязан убедиться в следующем:
• в профессиональной компетентности аудитора обслуживающей организации и его независимости от обслуживающей организации;
• адекватности стандартов, в соответствии с которыми был подготовлен отчет типа 1 или 2.
Если аудитор основной организации планирует использовать отчет типа 1 или типа 2 в качестве аудиторского доказательства в отношении понимания им разработки и поддержания средств контроля обслуживающей организации, то он обязан:
• оценить, соответствует ли дата или период, на который дается описание разработки и поддержания средств контроля обслуживающей организации, целям аудитора основной организации;
• оценить, являются ли достаточными и надлежащими доказательства, предоставляемые отчетом, для понимания связанного с аудитом внутреннего контроля основной организации;
• определить, являются ли надлежащими для основной организации дополняющие средства контроля основной организации; если ответ положительный, то добиться понимание того, были ли разработаны и внедрены основной организацией такие средства контроля.
Действия в ответ на оцененные риски существенного искажения.
В ответ на оцененные риски в соответствии с MCA 330 аудитор основной организации обязан:
• определить, доступны ли на основе записей, содержащихся в основной организации, достаточные надлежащие аудиторские доказательства в отношении предпосылок финансовой отчетности;
• выполнить дальнейшие аудиторские процедуры для получения достаточных надлежащих аудиторских доказательств либо использовать для их выполнения в обслуживающей организации другого аудитора.
В разделе "Тесты контроля" в стандарте даются методические подходы к оценке риска путем тестирования.
Если оценка риска аудитора основной организации включает ожидания того, что средства контроля обслуживающей организации работают эффективно, он обязан получить аудиторские доказательства в отношении операционной эффективности этих средств контроля путем осуществления одной (или более) из нижеследующих процедур:
• получения в случае доступности отчета типа 2;
• выполнения надлежащих тестов контроля обслуживающей организации;
• использования другого аудитора для выполнения тестов контроля в обслуживающей организации от имени аудитора основной организации.
Использование отчета типа 2 в качестве аудиторского доказательства эффективности контрольных средств обслуживающей организации. Если аудитор основной организации планирует использовать отчет типа 2 в качестве аудиторского доказательства эффективности контрольных средств обслуживающей организации, он обязан определить, предоставляет ли отчет обслуживающей организации достаточные надлежащие аудиторские доказательства в отношении эффективности контрольных средств обслуживающей организации для того, чтобы обосновать оценку риска аудитора основной организации путем:
• оценки того, соответствует ли дата или период, на который дается описание разработки и поддержания средств контроля обслуживающей организации, целям аудитора основной организации;
• определения того, являются ли надлежащими для основной организации дополняющие средства контроля основной организации; если ответ положительный, то достижения понимания того, были ли разработаны и внедрены основной организацией такие средства контроля, и проведения тестирования их операционной эффективности;
• оценки адекватности временного периода, покрытого тестами контроля, и времени, прошедшего после выполнения тестов контроля;
• оценки того, соответствуют ли тесты контроля, выполненные аудитором обслуживающей организации и их результаты, как описано в заключении этого аудитора, предпосылкам подготовки финансовой отчетности основной организации и предоставляют ли они достаточные надлежащие аудиторские доказательства в отношении оценки риска, проведенной аудитором основной организации.
Отчеты типа 1 и типа 2, которые исключают услуги субподрядчика обслуживающей организации. Если аудитор предполагает использовать отчеты типа 1 и типа 2, которые исключают услуги субподрядчика обслуживающей организации, и эти услуги имеют отношение к аудиту финансовой отчетности основной организации, аудитор основной организации обязан применить требования данного стандарта в отношении услуг, оказываемых субподрядчиком обслуживающей организации.
Отдельным разделом стандарт представляет "Недобросовестные действия, несоответствие требованиям законодательства и регулирующих органов и неоткорректированные искажения в отношении деятельности обслуживающей организации".
Аудитор основной организации обязан запросить руководство основной организации о том, сообщала ли обслуживающая организация основной или стало основной организации каким-либо иным способом известно о любых недобросовестных действиях, несоответствии требованиям законодательства и регулирующих органов или о неоткорректированных искажениях, влияющих на финансовую отчетность основной организации. Аудитор основной организации обязан оценить то, каким образом эти вопросы влияют на природу, сроки и объемы дальнейших аудиторских процедур, а также на выводы аудитора основной организации и его аудиторское заключение.
В разделе "Представление отчетности аудитору основной организации" излагается обязанность аудитора основной организации модифицировать мнение в аудиторском заключении в соответствии с требованиями MCA 7051, если он не в состоянии получить достаточные надлежащие аудиторские доказательства в отношении услуг, предоставляемых обслуживающей организацией, связанных с аудитом финансовой отчетности основной организации (см. п. А42).
Аудитор основной организации не может ссылаться на работу аудитора обслуживающей организации в своем заключении, содержащем немодифицированное мнение, кроме случаев, когда иное предусмотрено в требованиях законодательства или регулирующих органов. Если такое указание предусмотрено в требованиях законодательства или регулирующих органов, то в заключении аудитора основной организации должно быть указано на то, что данная ссылка не снижает степени сто ответственности за выражение аудиторского мнения (см. п. А43).
Если ссылка на работу аудитора обслуживающей организации связана с пониманием модификации мнения аудитора основной организации, то заключение аудитора основной организации должно содержать указание на то, что такая ссылка не снижает степени его ответственности за выражение аудиторского мнения.
Информация о характере услуг, предоставляемых обслуживающей организацией, может быть доступна из широкого круга источников, таких как:
• руководство пользователя;
• обзоры систем;
• технические руководства;
• контракт или соглашение об услугах основной и обслуживающей организаций;
• отчеты обслуживающей организации, внутренних аудиторов или регулирующих органов по средствам контроля обслуживающей организации;
• заключения аудитора обслуживающей организации, если возможно, письмо руководству.
Основная организация может использовать обслуживающую организацию для занесения данных о сделках и поддержания системы счетов или записи сделок и занесения соответствующей этому информации. Обслуживающие организации, предоставляющие услуги такого рода, включают, например, банковские департаменты по трастовому управлению, которые инвестируют и обслуживают активы в отношении планов участия сотрудников в доходах или иных планов; банки, специализирующиеся на закладных, которые обслуживают закладные для других, и провайдеры по обслуживанию систем, предоставляющие приложения пакетного программного обеспечения и технологическую поддержку, которые позволяют клиентам обрабатывать финансовые и операционные сделки.
Примерами услуг обслуживающих организаций, относящихся к аудиту, являются:
• поддержание бухгалтерских записей основной организации;
• управление активами;
• заключение, запись или обслуживание сделок в качестве агента основной организации.
Основная организация может установить средства контроля в отношении услуг обслуживающей организации, которые могут проверяться аудитором основной организации и которые могут дать ему возможность прийти к выводу, что средства контроля основной организации в отношении некоторых или всех утверждений в финансовой отчетности работают эффективно вне зависимости от того, какие средства контроля действуют на месте в обслуживающей организации. Если основная организация, например, использует обслуживающую организацию для проведения операций по выплате заработной платы, основная организация может установить средства контроля в отношении передачи и отчета об информации о выплатах, которые могут предотвратить или выявить существенные искажения.
Эти средства контроля могут проводить:
• сравнение информации, переданной в обслуживающую организацию, с отчетами об информации, полученной от обслуживающей организации после того, как данные были обработаны;
• выборочную перепроверку вычислений в отношении выплаченных сумм для проверки точности операций и обзора общей выплаченной суммы заработной платы на обоснованность.
В такой ситуации аудитор основной организации может выполнить тесты в отношении тестов контроля основной организации за выплатой заработной платы, которые дадут ему основание прийти к выводу о том, что средства контроля основной организации работают эффективно в отношении операций, связанных с выплатой заработной платы.
Как сказано в MCA 315[3], в отношении некоторых рисков аудитор основной организации может прийти к выводу, что невозможно или непрактично в их отношении получать достаточные надлежащие аудиторские доказательства только на основании процедур проверки по существу. Такие риски могут относиться к неточным или неполным записям рутинных и значимых типов операций и к балансовым счетам, характеристики которых часто позволяют обрабатывать их с помощью автоматизированных процедур с небольшим человеческим участием или вообще без него. Такие автоматизированные характеристики обработки особенно часто встречаются, когда основная организация использует услуги обслуживающей организации. В таких случаях средства контроля основной организации в отношении таких рисков имеют отношение к аудиту и аудитор основной организации должен добиться понимания и оценить такие средства контроля в соответствии с п. 9 и 10 данного MCA.
Сообщение о слабостях внутреннего контроля, выявленных в ходе аудита. От аудитора основной организации требуется регулярно в письменном виде сообщать о значимых слабостях внутреннего контроля, выявленных в ходе аудита и руководству, и представителям собственника[4]. От аудитора основной организации также требуется регулярно сообщать руководству надлежащего уровня о других слабостях в системе внутреннего контроля, выявленных в ходе аудита, которые в соответствии с профессиональным суждением аудитора достаточно важны, чтобы привлечь к ним внимание руководства[5]. Вопросы, которые аудитор основной организации может выявить в ходе аудита и сообщить о них руководству и представителям собственника, включают:
• любой мониторинг средств контроля, который может быть применен основной организацией, средства контроля, выявленные на основе полученных отчетов типа 1 или типа 2;
• случаи, когда упомянутые в отчетах типа 1 и типа 2 дополнительные средства контроля не применяются основной организацией;
• средства контроля, которые могут быть необходимы обслуживающей организации, но которые, судя по всему, ею не применяются или специально не рассмотрены в отчете типа 2.
От обслуживающей организации по условиям контракта с основной организацией может требоваться раскрытие для основной организации любой информации в отношении обслуживающей организации и ее сотрудников, связанной с недобросовестными действиями, несоответствием требованиям законодательства и регулирующих органов и неоткорректированными искажениями в отношении деятельности обслуживающей организации. Как требуется в п. 19, аудитор основной организации направляет запросы руководству основной организации в отношении того, сообщила ли обслуживающая организация о любых таких обстоятельствах, и оценивает, влияют ли любые вопросы, о которых сообщила обслуживающая организация, на характер, сроки проведения и объемы дальнейших аудиторских процедур основного аудитора. В определенных обстоятельствах аудитору основной организации может потребоваться дополнительная информация для выполнения такой оценки, и он может запросить основную организацию связаться с обслуживающей организацией для получения необходимой информации.