OpenLEX
Приказ ФОИВ · Административное право

О введении в действие международных стандартов аудита на территории Российской Федерации и о признании утратившими силу отдельных положений приказа Министерства финансов Российской Федерации от 9 января 2019 г. № 2н

действующая редакцияполный текст оригинал

Приказ Министерства финансов Российской Федерации от 27.10.2021 г. № 163н (Официальный интернет-портал правовой информации (www.pravo.gov.ru) от 27.12.2021 г., ст. 0001202112270004)

Исходная редакция

МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

Москва

27 октября 2021 г. № 163н

О введении в действие международных стандартов аудита на территории Российской Федерации и о признании утратившими силу отдельных положений приказа Министерства финансов Российской Федерации от 9 января 2019 г. № 2н

Зарегистрирован Минюстом России 24 декабря 2021 г.

Регистрационный № 66572

В соответствии с пунктом 9 Положения о признании международных стандартов аудита подлежащими применению на территории Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 11 июня 2015 г. № 576 (Собрание законодательства Российской Федерации, 2015, № 25, ст. 3659; 2021, № 3, ст. 556), приказываю:

1. Ввести в действие на территории Российской Федерации:

1) Международный стандарт аудита 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения" (приложение № 1);

2) Международный стандарт сопутствующих услуг 4400 (пересмотренный) "Задания по выполнению согласованных процедур" (приложение № 2);

3) Согласующиеся поправки к другим международным стандартам (приложение № 3).

2. Признать утратившими силу подпункты 11 и 47 пункта 1 приказа Министерства финансов Российской Федерации от 9 января 2019 г. № 2н "О введении в действие международных стандартов аудита на территории Российской Федерации и о признании утратившими силу некоторых приказов Министерства финансов Российской Федерации" (зарегистрирован Министерством юстиции Российской Федерации 31 января 2019 г., регистрационный № 53639) с изменениями, внесенными приказом Министерства финансов Российской Федерации от 30 декабря 2020 г. № 335н (зарегистрирован Министерством юстиции Российской Федерации 4 февраля 2021 г., регистрационный № 62391).

Министр А.Г.Силуанов

Приложение № 1 к приказу Министерства финансов Российской Федерации от 27 октября 2021 г. № 163н

МЕЖДУНАРОДНЫЙ СТАНДАРТ АУДИТА 315 (ПЕРЕСМОТРЕННЫЙ, 2019 Г.)

ВЫЯВЛЕНИЕ И ОЦЕНКА РИСКОВ СУЩЕСТВЕННОГО ИСКАЖЕНИЯ

Международный стандарт аудита (МСА) 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения" следует рассматривать вместе с МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита".

МСА 315 (пересмотренный, 2019 г.) был утвержден Советом по надзору за соблюдением общественных интересов (PIOB), который пришел к выводу о том, что процедура разработки стандарта носила надлежащий характер и общественные интересы были должным образом соблюдены.

Введение

Сфера применения настоящего стандарта

1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по выявлению и оценке рисков существенного искажения финансовой отчетности.

Основные принципы настоящего стандарта

2. МСА 200.1 рассматривает общие цели аудитора при проведении аудита финансовой отчетности, включая получение достаточных надлежащих аудиторских доказательств для снижения аудиторского риска до приемлемо низкого уровня2. Аудиторский риск является функцией риска существенного искажения и риска необнаружения3. В МСА 200.4 разъяснено, что риски существенного искажения могут существовать на двух уровнях: на уровне финансовой отчетности в целом и на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации.

______________________________

1 МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с международными стандартами аудита".

2 МСА 200, пункт 17.

3 МСА 200, пункт 13(c).

4 МСА 200, пункт А36.

3. МСА 200.5 требует, чтобы аудитор применял профессиональное суждение при планировании и проведении аудита, а также планировал и осуществлял аудит с профессиональным скептицизмом, отдавая себе отчет в том, что могут существовать такие обстоятельства, при которых финансовая отчетность окажется существенно искажена.

______________________________

5 МСА 200, пункты 15 - 16.

4. Риски на уровне финансовой отчетности в целом обозначают такие риски существенного искажения, которые всеобъемлющим образом распространяются на финансовую отчетность в целом и потенциально затрагивают целый ряд предпосылок. Риски существенного искажения на уровне предпосылок состоят из двух компонентов: неотъемлемый риск и риск средств контроля.

Неотъемлемый риск - подверженность предпосылки существенному искажению (в отдельности или в МСА 315 совокупности с другими искажениями) в отношении видов операций, остатков по счетам или раскрытия информации до рассмотрения каких-либо соответствующих средств контроля.

Риск средств контроля - риск того, что возможное существенное искажение (в отдельности или в совокупности с другими искажениями) предпосылки в отношении видов операций, остатков по счетам или раскрытия информации не будет своевременно предотвращено или выявлено и исправлено при помощи соответствующих средств контроля организации.

5. МСА 200.6 объясняет, что риски существенного искажения оцениваются на уровне предпосылок для того, чтобы определить характер, сроки и объем дальнейших аудиторских процедур, необходимых для получения достаточного количества надлежащих аудиторских доказательств. Для выявления рисков существенного искажения на уровне предпосылок настоящий МСА требует раздельной оценки неотъемлемого риска и риска средств контроля. Как поясняется в МСА 200, для некоторых предпосылок и соответствующих видов операций, остатков по счетам и раскрытия информации неотъемлемый риск выше, чем для других. В данном стандарте степень изменения неотъемлемого риска называется "диапазон неотъемлемого риска".

6. Риски существенного искажения, выявленные и оцененные аудитором, включают как риски искажения вследствие ошибки, так и риски искажения по причине недобросовестных действий. Хотя оба типа рисков рассматриваются в данном стандарте, недобросовестные действия имеют настолько важное значение, что в МСА 240.7 включены дополнительные требования и рекомендации в отношении процедур оценки рисков и связанных с ними действий по получению информации, которая используется для выявления, оценки рисков и проведения процедур в ответ на риски существенного искажения вследствие недобросовестных действий.

______________________________

6 МСА 200, пункт А43а и МСА 330 "Аудиторские процедуры в ответ на оцененные риски", пункт 6.

7 МСА 240 "Обязанности аудитора в отношении недобросовестных действии при проведении аудита финансовой отчетности".

7. Процесс выявления и оценки рисков аудитором итеративен и динамичен. Понимание аудитором организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации взаимосвязано с принципами, лежащими в основе требований к выявлению и оценке рисков существенного искажения. Для получения понимания, требуемого данным стандартом, может формироваться предварительная оценка рисков, которая впоследствии может быть уточнена по мере осуществления аудитором процесса выявления и оценки рисков. Кроме того, данный стандарт и МСА 330 требуют от аудитора пересматривать оценку риска и изменять дальнейшие аудиторские процедуры общего характера и дальнейшие аудиторские процедуры на основе аудиторских доказательств, полученных в результате дальнейших аудиторских процедур в соответствии с МСА 330, или в случае получения новой информации.

8. МСА 330.8 требует, чтобы аудитор разработал и выполнил аудиторские процедуры общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности. Далее в МСА 330 поясняется, что оценка аудитором рисков существенного искажения на уровне финансовой отчетности и аудиторские процедуры общего характера зависят от его понимания контрольной среды. МСА 330.9 также требует, чтобы аудитор разработал и выполнил дальнейшие аудиторские процедуры, характер, сроки и объем которых определяются с учетом оцененных рисков существенного искажения на уровне предпосылок и в ответ на них.

______________________________

8 МСА 330, пункт 5.

9 МСА 330, пункт 6.

Масштабируемость

9. В МСА 200.10 указывается, что некоторые МСА включают положения о масштабируемости, которые иллюстрируют применение требований ко всем организациям независимо от характера их деятельности и того, являются ли он более или менее сложными. Данный стандарт предназначен для аудита всех организаций независимо от их размера или сложности, и поэтому руководство по его применению предусматривает особенности как менее, так и более сложных организаций в тех случаях, когда это уместно. Хотя размер организации является индикатором уровня ее сложности, некоторые малые организации могут отличаться большей сложностью, а более крупные организации могут являться менее сложными.

______________________________

10 МСА 200, пункт А65а.

Дата вступления в силу

10. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 декабря 2021 года или после этой даты.

Цель

11. Цель аудитора состоит в том, чтобы выявить и оценить риски существенного искажения как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок, таким образом обеспечивая основу для разработки и выполнения аудиторских процедур в ответ на оцененные риски существенного искажения.

Определения

12. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:

(a) предпосылки - заявления, сделанные в явной или иной форме, в отношении признания, оценки, представления и раскрытия информации в финансовой отчетности, которые являются неотъемлемой частью заявления руководства о том, что финансовая отчетность составлена в соответствии с применимой концепцией подготовки финансовой отчетности. Предпосылки используются аудитором для рассмотрения различных типов потенциальных искажений, которые могут возникнуть при выявлении, оценке рисков существенного искажения и принятии мер в ответ на выявленные риски (см. пункт А1);

(b) бизнес-риск - риск, возникающий в результате значительных условий, событий, обстоятельств, действий или бездействия, которые могут оказать негативное влияние на способность организации достичь поставленных целей и реализовать свою стратегию, или возникающий в результате установления ненадлежащих целей и стратегии;

(c) средства контроля - политика или процедуры, установленные организацией для достижения целей системы внутреннего контроля, определенных руководством или лицами, отвечающими за корпоративное управление. В данном контексте (см. пункты А2-А5):

(i) политика - это положения о том, что должно быть реализовано или не должно иметь места в организации в целях осуществления контроля. Такие положения могут быть оформлены документально, четко отражены в информационных сообщениях или подразумеваться при осуществлении действий или принятии решений;

(ii) процедуры - это действия по реализации политики;

(d) общие средства ИТ-контроля - средства контроля за информационно-технологическими процессами (ИТ- процессами) организации, которые поддерживают непрерывное надлежащее функционирование ИТ-среды, включая непрерывное эффективное функционирование средств контроля обработки информации и целостность информации (то есть полноту, точность и достоверность информации) в информационной системе организации. Также см. определение ИТ-среды;

(e) средства контроля обработки информации - средства контроля, относящиеся к обработке информации посредством ИТ-приложений или информационных процессов, выполняемых вручную, в информационной системе организации, которые напрямую снижают риски нарушения целостности информации (то есть полноты, точности и достоверности операций и прочей информации) (см. пункт А6);

(f) факторы неотъемлемого риска - характеристики событий или условий, влияющих на подверженность предпосылки в отношении вида операций, остатков по счетам или раскрытия информации искажению вследствие недобросовестных действий или ошибок, до учета средств контроля. Такие факторы могут иметь качественный или количественный характер и включают сложность, субъективность, изменчивость, неопределенность или подверженность искажению в силу предвзятости руководства или иных факторов риска недобросовестных действий11 в той части, в которой они влияют на неотъемлемый риск (см. пункты А7-А8);

(g) ИТ-среда (Среда информационных технологий) - ИТ-приложения и вспомогательная ИТ-инфраструктура, а также ИТ-процессы и сотрудники, участвующие в этих процессах, используемые организацией для поддержки хозяйственных операций и реализации бизнес-стратегии. Для целей данного стандарта:

(i) ИТ-приложение представляет собой программу или комплекс программ, используемых для инициирования, обработки, учета и отражения в отчетности операций или информации. ИТ- приложения включают хранилища данных и генераторы отчетов;

(ii) ИТ-инфраструктура включает в себя сеть, операционные системы, базы данных и соответствующее аппаратное и программное обеспечение;

(iii) ИТ-процессы - это процессы организации для управления доступом к ИТ-среде, внесением изменений в программы или в ИТ-среду и для контроля за функционированием информационных технологий;

(h) соответствующие предпосылки - такие предпосылки в отношении вида операций, остатка по счету или раскрытия информации, с которыми связан выявленный риск существенного искажения. Соответствие предпосылки определяется до рассмотрения любых соответствующих средств контроля (то есть до оценки неотъемлемого риска) (см. пункт А9);

(i) риски, связанные с использованием информационных технологий - подверженность средств контроля обработки информации неэффективности структуры или функционирования или риски нарушения целостности информации (то есть полноты, точности и достоверности операций и иной информации) в информационной системе организации вследствие неэффективности структуры или функционирования средств контроля в ИТ-процессах организации (см. ИТ-среда);

(j) процедуры оценки рисков - аудиторские процедуры, которые разработаны и проводятся для выявления и оценки рисков существенного искажения вследствие недобросовестных действий или ошибок на уровне финансовой отчетности и предпосылок;

(k) значительный вид операций, остаток по счету или значительное раскрытие информации - вид операций, остаток по счету или раскрытие информации с одной или несколькими соответствующими предпосылками (в отношении которой, для которой есть одна или более соответствующие предпосылки);

(l) значительный риск - выявленный риск существенного искажения (см. пункт А10):

(i) для которого оценка неотъемлемого риска близка к верхней границе диапазона неотъемлемого риска благодаря степени влияния факторов неотъемлемого риска на сочетание вероятности наличия искажения и величины потенциального искажения, если искажение будет иметь место; или

(ii) который подлежит рассмотрению в качестве значительного риска в соответствии с требованиями11 других МСА12;

______________________________

11 МСА 240, пункты А24-А27.

12 МСА 240, пункт 27 и МСА 550 "Связанные стороны", пункт 18.

(m) система внутреннего контроля - система, разработанная, внедренная и поддерживаемая лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками для обеспечения разумной уверенности в достижении целей организации в отношении надежности процесса подготовки финансовой отчетности, эффективности и результативности операций, а также соблюдения применимых законов и нормативных актов. Для целей МСА система внутреннего контроля подразделяется на пять взаимосвязанных компонентов:

(i) контрольная среда;

(ii) процесс оценки рисков в организации;

(iii) процесс мониторинга системы внутреннего контроля организации;

(iv) информационная система и информационное взаимодействие;

(v) контрольные процедуры.

Требования

Процедуры оценки рисков и сопутствующие действия

13. Аудитор должен разработать и выполнить процедуры оценки рисков для получения аудиторских доказательств, обеспечивающих надлежащую основу (см. пункты A11-А18):

(a) выявления и оценки рисков существенного искажения, вызванного недобросовестными действиями или ошибкой, на уровне финансовой отчетности и на уровне предпосылок;

(b) разработки дальнейших аудиторских процедур в соответствии с МСА 330.

Аудитор должен разрабатывать и проводить аудиторские процедуры так, чтобы избежать предвзятости, состоящей в сборе только тех доказательств, которые подтверждают оценки руководства, или в исключении тех доказательств, которые им противоречат (см. пункт А14).

14. Процедуры оценки рисков должны включать следующее (см. пункты А19-А21):

(a) запросы к руководству и другим соответствующим лицам внутри организации, в том числе к сотрудникам службы внутреннего аудита (если такая служба существует) (см. пункты А22-А26);

(b) аналитические процедуры (см. пункты А27-А31);

(c) наблюдение и инспектирование (см. пункты А32-А36).

Информация из других источников

15. При сборе аудиторских доказательств в соответствии с пунктом 13 аудитор должен рассмотреть информацию, полученную по итогам (см. пункты А37-А38):

(a) проведения аудитором процедур в отношении принятия или продолжения отношений с клиентами или работы по аудиторским заданиям;

(b) если применимо, выполнения руководителем задания других заданий для организации.

16. Если аудитор планирует использовать информацию, полученную в результате прошлого опыта работы аудитора с организацией и выполнения аудиторских процедур в рамках предыдущих аудиторских заданий, он должен оценить, остается ли такая информация уместной и надежной для использования в качестве аудиторских доказательств для целей текущего аудита (см. пункты А39-А41).

Обсуждение в аудиторской группе

17. Руководитель задания и другие ключевые члены аудиторской группы должны обсудить вопросы использования применимой концепции подготовки финансовой отчетности и подверженности финансовой отчетности организации существенному искажению (см. пункты А42-А47).

18. Если есть члены аудиторской группы, которые не участвовали в обсуждении в аудиторской группе, руководитель задания должен определить, какие вопросы должны быть доведены до их сведения.

Получение понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации (см. пункты А48-А49).

Изучение организации и ее окружения, а также применимой концепции подготовки финансовой отчетности (см. пункты А50-А55)

19. Аудитор должен выполнить процедуры оценки риска, чтобы получить понимание:

(a) таких аспектов деятельности организации и ее окружения, как:

(i) организационная структура, структура собственности и система корпоративного управления, а также бизнес-модель организации, в том числе то, насколько ее бизнес-модель предусматривает использование информационных технологий (см. пункты А56-А67);

(ii) отраслевые, регуляторные и иные внешние факторы (см. пункты А68-А73);

(iii) показатели, используемые при оценке финансовых результатов организации для внутренних и внешних целей (см. пункты А74-А81);

(b) применимой концепции подготовки финансовой отчетности и учетной политики организации, а также любых причин ее изменения (см. пункты А82-А84);

(c) характера и степени влияния факторов неотъемлемого риска на подверженность предпосылок искажению при составлении финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, исходя из понимания информации, полученной в соответствии с пунктами (а) и (b) (см. пункты А85-А89).

20. Аудитор должен оценить, имеет ли учетная политика организации надлежащий характер и соответствует ли она применимой концепции подготовки финансовой отчетности.

Понимание компонентов системы внутреннего контроля организации (см. пункты А90-А95)

Контрольная среда, процесс оценки рисков и процесс мониторинга системы внутреннего контроля в организации (см. пункты А96-А98)

Контрольная среда

21. Аудитор должен получить понимание в отношении контрольной среды, связанной с подготовкой финансовой отчетности, в ходе выполнения процедур оценки рисков посредством (см. пункты А99-А100):

(а) изучения ряда средств контроля, процессов и структур, которые определяют (см. пункты А101-А102):

(i) как выполняются надзорные функции руководства, например, в части формирования культуры организации и приверженности руководства принципам честности и этическим ценностям;

(ii) насколько независимы лица, отвечающие за корпоративное управление и осуществляющие надзор за системой внутреннего контроля организации, если такие лица не входят в состав руководства;

(iii) как распределяются полномочия и ответственность в организации;

(iv) как организация привлекает, развивает и удерживает компетентных работников;

(v) каким образом организация привлекает работников к ответственности за невыполнение ими своих обязанностей для достижения целей системы внутреннего контроля;

(b) оценки того (см. пункты А103-А108):

(i) сформировало и поддерживает ли руководство культуру честности и этичного поведения под надзором лиц, отвечающих за корпоративное управление;

(ii) обеспечивает ли контрольная среда надлежащую основу для других компонентов системы внутреннего контроля организации с учетом характера и сложности ее деятельности;

(iii) оказывают ли недостатки системы контроля, выявленные в контрольной среде, отрицательное влияние на другие компоненты системы внутреннего контроля организации.

Процесс оценки рисков в организации

22. Аудитор должен получить понимание процесса оценки рисков в организации, связанного с подготовкой финансовой отчетности, в ходе выполнения процедур оценки рисков посредством:

(a) изучения процессов, используемых в организации для (см. пункты А109-А110):

(i) выявления бизнес-рисков, связанных с целями подготовки финансовой отчетности (см. пункт А62);

(ii) оценки значительности этих рисков, включая вероятность их возникновения;

(iii) снижения этих рисков;

(b) оценки того, соответствует ли процесс оценки рисков обстоятельствам организации с учетом характера и сложности ее деятельности (см. пункты A111-А113).

23. Если аудитор выявляет риски существенного искажения, которые не были обнаружены руководством, он должен:

(a) определить, относятся ли они к тем рискам, выявление которых аудитор ожидал бы в рамках процесса оценки рисков в организации, и, если это так, понять, почему в процессе оценки рисков в организации такие риски существенного искажения не были выявлены;

(b) рассмотреть последствия для оценки аудитора, указанной в пункте 22(b).

Процесс мониторинга системы внутреннего контроля организации

24. Аудитор должен получить понимание процесса мониторинга системы внутреннего контроля организации, связанной с подготовкой финансовой отчетности, в ходе выполнения процедур оценки рисков посредством (см. пункты А24-А115):

(a) изучения тех аспектов процесса организации, которые регламентируют:

(i) проведение систематических и отдельных оценок для целей мониторинга эффективности средств контроля, а также выявления и устранения обнаруженных недостатков системы контроля (см. пункты А116-А117);

(ii) функции службы внутреннего аудита организации, если такая имеется, в том числе ее характер, обязанности и деятельность (см. пункт А118);

(b) изучения источников информации, используемых в процессе мониторинга системы внутреннего контроля организации, и оснований, исходя из которых руководство считает информацию достаточно надежной для этой цели (см. пункты A119-А120);

(c) оценки того, соответствует ли процесс мониторинга системы внутреннего контроля обстоятельствам организации с учетом характера и сложности ее деятельности (см. пункты А121-А122).

Информационная система и информационное взаимодействие, а также контрольные процедуры (см. пункты А123-А130)

Информационная система и информационное взаимодействие

25. Аудитор должен получить понимание в отношении информационной системы и информационного взаимодействия в организации, связанных с подготовкой финансовой отчетности, в ходе выполнения процедур оценки рисков посредством (см. пункт А131):

(a) изучения деятельности организации по обработке информации, включая ее данные и сведения, ресурсы, используемые в рамках такой деятельности, а также политику, которая для значительных видов операций, остатков по счетам и раскрытия информации определяет (см. пункты А132-А143):

(i) процесс прохождения информации через информационную систему организации, в том числе:

a. как инициируются операции и как информация о них записывается, обрабатывается, по мере необходимости корректируется, включается в основной регистр и отражается в финансовой отчетности;

b. как собирается, обрабатывается и раскрывается в финансовой отчетности информация о событиях и условиях, помимо операций;

(ii) данные бухгалтерской отчетности, определенные счета финансовой отчетности и иные подтверждающие записи в отношении потоков информации в информационной системе;

(iii) процесс составления финансовой отчетности, используемый для подготовки финансовой отчетности организации, включая раскрытие информации;

(iv) ресурсы организации, включая ИТ-среду, применительно к пунктам (a)(i) - (a)(iii) выше;

(b) изучения того, как в организации осуществляется информационное взаимодействие по значимым вопросам, влияющим на подготовку финансовой отчетности, и соответствующим обязанностям по составлению отчетности в информационной системе и других компонентах системы внутреннего контроля (см. пункты А144-А145):

(i) между сотрудниками организации, в том числе как передается информация об их функциях и обязанностях по подготовке финансовой отчетности;

(ii) между руководством и лицами, отвечающими за корпоративное управление;

(iii) с внешними сторонами, такими как регулирующие органы;

(c) оценки того, поддерживают ли информационная система и информационное взаимодействие в организации составление ее финансовой отчетности надлежащим образом в соответствии с применимой концепцией подготовки финансовой отчетности (см. пункт А146).

Контрольные процедуры

26. Аудитор должен получить понимание в отношении компонента контрольных процедур в ходе выполнения процедур оценки рисков (см. пункты А147-А157):

(а) посредством выявления следующих средств контроля, предназначенных для снижения рисков существенного искажения на уровне предпосылок в рамках компонента контрольных процедур:

(i) средств контроля, которые снижают риск, определяемый как значительный (см. пункты А158-А159);

(ii) средств контроля за бухгалтерскими записями, включая нестандартные бухгалтерские записи, используемые для отражения нерегулярных, необычных операций или корректировок (см. пункты А160-А161);

(iii) средств контроля, операционную эффективность которых аудитор планирует тестировать при определении характера, сроков и объема тестирования по существу, включая средства контроля, снижающие риски, для которых процедуры проверки по существу в отдельности не обеспечивают достаточные надлежащие аудиторские доказательства (см. пункты А162-А164);

(iv) прочих средств контроля, которые аудитор считает надлежащими для достижения целей, указанных в пункте 13 в отношении рисков на уровне предпосылок, опираясь на свое профессиональное суждение (см. пункт А165);

(b) на основании средств контроля, выявленных в соответствии с пунктом (а), посредством выявления ИТ- приложений и других аспектов ИТ-среды организации, которые подвержены рискам, возникающим в связи с использованием информационных технологий (см. пункты А166-А172);

(c) посредством выявления в отношении таких ИТ-приложений и других аспектов ИТ-среды, выявленных в соответствии с пунктом (b) (см. пункты А173-А174):

(i) соответствующих рисков, возникающих в связи с использованием информационных технологий;

(ii) общих средств ИТ-контроля организации, которые снижают эти риски;

(d) в отношении каждого средства контроля, выявленного при выполнении пункта (а) или (c)(ii) (см. пункты А175-А181):

(i) оценки того, разработано ли средство контроля для эффективного снижения риска существенного искажения на уровне предпосылок или в действительности разработано для поддержки функционирования других средств контроля;

(ii) определения факта внедрения средства контроля путем выполнения процедур в дополнение к направлению запросов сотрудникам организации.

Недостатки средств контроля в системе внутреннего контроля организации

27. На основании оценки аудитором каждого компонента системы внутреннего контроля организации аудитор должен определить, был ли выявлен один или несколько недостатков в системе контроля (см. пункты А182-А183).

Выявление и оценка рисков существенного искажения (см. пункты А184, А185)

Выявление рисков существенного искажения

28. Аудитор должен идентифицировать риски существенного искажения и определить, существуют ли они (см. пункты А186-А192):

(a) на уровне финансовой отчетности (см. пункты А193-А200);

(b) на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации (см. пункт А201).

29. Аудитор должен определить соответствующие предпосылки и соответствующие значительные виды операций, остатки по счетам и раскрываемую информацию (см. пункты А202-А204).

Оценка рисков существенного искажения на уровне финансовой отчетности

30. В отношении выявленных рисков существенного искажения на уровне финансовой отчетности аудитор должен оценить риски и (см. пункты А193-А200):

(a) определить, влияют ли такие риски на оценку рисков на уровне предпосылок;

(b) оценить их характер и то, насколько всеобъемлющим является их влияние на финансовую отчетность.

Оценка рисков существенного искажения на уровне предпосылок

Оценка неотъемлемого риска (см. пункты А205-А217)

31. В отношении выявленных рисков существенного искажения на уровне предпосылок аудитор должен оценить неотъемлемый риск, определив вероятность и размер искажений. При этом аудитор должен учитывать то, каким образом и в какой мере:

(a) факторы неотъемлемого риска влияют на подверженность соответствующих предпосылок искажению;

(b) риски существенного искажения на уровне финансовой отчетности влияют на оценку неотъемлемого риска для рисков существенного искажения на уровне предпосылок (см. пункты А215-А216).

32. Аудитор должен определить, являются ли оцененные риски существенного искажения значительными рисками (см. пункты А218-А221).

33. Аудитор должен определить, могут ли сами по себе процедуры проверки по существу обеспечить получение достаточных надлежащих аудиторских доказательств для любого из рисков существенного искажения на уровне предпосылок (см. пункты А222-А225).

Оценка риска средств контроля

34. Если аудитор планирует тестирование операционной эффективности средств контроля, он должен оценить риск средств контроля. Если аудитор не планирует тестирование операционной эффективности средств контроля, его оценка риска средств контроля должна быть такой, чтобы оценка риска существенного искажения соответствовала оценке неотъемлемого риска (см. пункты А226-А229).

Оценка аудиторских доказательств, полученных в результате процедур оценки рисков

35. Аудитор должен оценить, обеспечивают ли аудиторские доказательства, полученные в результате процедур оценки рисков, надлежащую основу для выявления и оценки рисков существенного искажения. В ином случае аудитор должен выполнять дополнительные процедуры оценки рисков до тех пор, пока не будут получены аудиторские доказательства, обеспечивающие такую основу. При выявлении и оценке рисков существенного искажения аудитор должен учитывать все аудиторские доказательства, полученные в результате процедур оценки рисков, независимо от того, подтверждают ли они заявления руководства или противоречат им (см. пункты А230-А232).

Виды операций, остатки по счетам и раскрытие информации, которые не считаются значительными, но являются существенными

36. В отношении существенных видов операций, остатков по счетам или раскрытия информации, которые не были определены как значительные виды операций, остатки по счетам или раскрытие информации, аудитор должен оценить, является ли такое определение по-прежнему обоснованным (см. пункты А233-А235).

Пересмотр оценки рисков

37. Если аудитор получает новую информацию, не соответствующую аудиторским доказательствам, исходя из которых аудитор изначально выявлял или оценивал риски существенного искажения, он должен пересмотреть результаты выявления или оценки рисков (см. пункт А236).

Документация

38. В аудиторской документации аудитор обязан отразить13 (см. пункты А237-А241):

______________________________

13 МСА 230 "Аудиторская документация", пункты 8 - 11 и А6-А7.

(a) обсуждение в аудиторской группе и принятые значимые решения;

(b) ключевые элементы понимания каждого из аспектов организации и ее окружения, описанные в пунктах 19, 21, 22, 24 и 25, источники информации, из которых было получено такое понимание; а также выполненные процедуры оценки рисков;

(c) оценку структуры идентифицированных средств контроля и определение того, были ли такие средства контроля внедрены в соответствии с требованиями пункта 26;

(d) выявленные и оцененные риски существенного искажения на уровне финансовой отчетности и на уровне предпосылок, включая значительные риски и риски, в отношении которых не могут быть предоставлены достаточные надлежащие аудиторские доказательства исключительно процедурами проверки по существу, а также обоснование вынесенных значительных суждений.

Руководство по применению и прочие пояснительные материалы

Определения (см. пункт 12)

Предпосылки (см. пункт 12(a))

А1. Категории предпосылок используются аудитором для рассмотрения разных типов потенциальных искажений, которые могут возникнуть при выявлении и оценке рисков существенного искажения, а также при проведении процедур в ответ на них. Примеры таких категорий предпосылок приводятся в пункте А190. Предпосылки отличаются от письменных заявлений, которые требуются МСА 580.14 для подтверждения определенных сведений или подкрепления других аудиторских доказательств.

______________________________

14 МСА 580 "Письменные заявления".

Средства контроля (см. пункт 12(c))

А2. Средства контроля относятся к компонентам системы внутреннего контроля организации.

А3. Политика реализуется посредством действий сотрудников организации или запрета для них предпринимать действия, которые противоречат такой политике.

А4. Процедуры могут быть установлены официальным документом или иным сообщением руководства или лиц, отвечающих за корпоративное управление, либо могут быть результатом поведения, которое не предписано, но в значительной степени обусловлено культурой организации. Выполнение процедур может обеспечиваться посредством действий, разрешенных ИТ-приложениями, используемыми организацией, или иными аспектами ее ИТ-среды.

А5. Средства контроля могут быть прямыми или косвенными. Прямые средства контроля - это средства контроля, которые являются достаточно точными для снижения рисков существенного искажения на уровне предпосылок. Косвенные средства контроля - это средства контроля, которые поддерживают прямые средства контроля.

Средства контроля обработки информации (см. пункт 12(e))

А6. Риски нарушения целостности информации возникают из-за подверженности влиянию неэффективной реализации информационной политики организации, которая определяет информационные потоки, записи и процессы подготовки отчетности в информационной системе организации. Средства контроля обработки информации представляют собой процедуры, которые поддерживают эффективную реализацию информационной политики организации. Средства контроля обработки информации могут быть автоматизированными (то есть встроенными в ИТ-приложения) или применяемыми вручную (например, средства контроля за вводом и выводом данных) и могут зависеть от других средств контроля, включая иные средства контроля обработки информации или общие средства ИТ-контроля.

Факторы неотъемлемого риска (см. пункт 12(f))

В Приложении 2 представлены дополнительные вопросы, которые следует рассмотреть при изучении факторов неотъемлемого риска.

А7. Факторы неотъемлемого риска могут иметь качественный или количественный характер и влиять на подверженность предпосылок искажению. Качественные факторы неотъемлемого риска, относящиеся к подготовке информации, которая требуется в соответствии с применимой концепцией подготовки финансовой отчетности, включают:

сложность;

субъективность;

изменчивость;

неопределенность или

подверженность искажению вследствие предвзятости руководства или иных факторов риска недобросовестных действий в той мере, в которой они влияют на неотъемлемый риск.

А8. Другие факторы неотъемлемого риска, которые влияют на подверженность искажению предпосылки в отношении вида операций, остатка по счету или раскрытия информации, могут включать:

значительность вида операций, остатка по счету или раскрытия информации в количественном или качественном отношении;

объем или неоднородность состава статей, обрабатываемых по видам операций, остаткам по счетам или отражаемых в раскрываемой информации.

Соответствующие предпосылки (см. пункт 12(h))

А9. Риск существенного искажения может относиться к нескольким предпосылкам, и в этом случае все предпосылки, к которым относится такой риск, являются соответствующими предпосылками. Если в отношении предпосылки не выявлен риск существенного искажения, тогда она не является соответствующей предпосылкой.

Значительный риск (см. пункт 12(i))

А10. Значительность может быть определена как относительная важность вопроса и оценивается аудитором в том контексте, в котором рассматривается вопрос. Значительность неотъемлемого риска может рассматриваться в контексте того, как и в какой мере факторы неотъемлемого риска влияют на сочетание вероятности наличия искажения и величины потенциального искажения, если искажение будет иметь место.

Процедуры оценки рисков и сопутствующие действия (см. пункты 13 - 18)

A11. Выявляемые и оцениваемые риски существенного искажения включают как риски вследствие недобросовестных действий, так и риски в результате ошибок, и оба типа рисков рассматриваются в данном стандарте. Однако значимость недобросовестных действий настолько велика, что в МСА 240 включены дополнительные требования и рекомендации в отношении процедур оценки рисков и связанных с ними действий по получению информации, используемой для выявления и оценки рисков существенного искажения вследствие недобросовестных действий 15. Кроме того, следующие МСА содержат дополнительные требования и рекомендации по выявлению и оценке рисков существенного искажения в отношении определенных вопросов или обстоятельств:

МСА 540 (пересмотренный)16 - в отношении оценочных значений;

МСА 550 - в части отношений и операций со связанными сторонами;

МСА 570 (пересмотренный)17 - в отношении непрерывности деятельности;

МСА 600.18 - в отношении финансовой отчетности группы.

______________________________

15 МСА 240, пункты 12 - 27.

16 МСА 540 (пересмотренный) "Аудит оценочных значений и соответствующего раскрытия информации".

17 МСА 570 (пересмотренный) "Непрерывность деятельности".

18 МСА 600 "Особенности аудита финансовой отчетности группы (включая работу аудиторов компонентов)".

А12. Профессиональный скептицизм необходим для критической оценки аудиторских доказательств, собранных в ходе выполнения процедур оценки рисков, и помогает аудитору проявлять бдительность в отношении аудиторских доказательств, которые однозначно не подтверждают факт существования рисков или могут противоречить ему.

Профессиональный скептицизм - это установка, применяемая аудитором при вынесении профессиональных суждений, которые затем становятся основой для действий аудитора. Аудитор применяет профессиональное суждение при определении того, обеспечивают ли полученные им аудиторские доказательства надлежащую основу для оценки рисков.

А13. Проявление аудитором профессионального скептицизма может включать:

необходимость подвергать сомнению противоречивую информацию и надежность документов;

рассмотрение ответов на запросы и прочей информации, полученной от руководства и лиц, отвечающих за корпоративное управление;

проявление бдительности в отношении условий, которые могут указывать на возможное искажение вследствие недобросовестных действий или ошибок;

рассмотрение вопроса о том, подтверждают ли полученные аудиторские доказательства выявление и оценку рисков существенного искажения с учетом характера и обстоятельств деятельности организации.

Почему отсутствие предвзятости при получении аудиторских доказательств имеет значение (см. пункт 13)

А14. Разработка и выполнение процедур оценки рисков для получения аудиторских доказательств, подтверждающих без предвзятости выявление и оценку рисков существенного искажения, помогают аудитору выявить потенциально противоречивую информацию, которая может способствовать проявлению им профессионального скептицизма в выявлении и оценке рисков существенного искажения.

Источники аудиторских доказательств (см. пункт 13)

А15. Разработка и выполнение процедур оценки рисков в целях получения аудиторских доказательств без предвзятости может предусматривать получение доказательств из многих источников как внутри, так и вне организации. Однако аудитор не должен проводить исчерпывающий поиск, чтобы выявить все возможные источники аудиторских доказательств. В дополнение к информации из других источников19 источники информации для процедур оценки рисков могут включать:

взаимодействие с руководством, лицами, отвечающими за корпоративное управление, и иными ключевыми сотрудниками организации, такими как внутренние аудиторы;

некоторые внешние стороны, такие как регулирующие органы, независимо от того, была ли информация получена напрямую или опосредованно;

общедоступную информацию об организации, например выпущенные ею пресс-релизы, материалы для аналитиков или совещаний группы инвесторов, аналитические отчеты или информацию о торговой деятельности.

Независимо от источника информации аудитор рассматривает уместность и надежность информации, используемой в качестве аудиторских доказательств, в соответствии с МСА 500.20.

______________________________

19 См. пункты А37 и А38.

20 МСА 500 "Аудиторские доказательства", пункт 7.

Масштабируемость (см. пункт 13)

А16. Характер и объем процедур оценки рисков будет зависеть от характера и обстоятельств организации (например, формализации политики и процедур организации, а также процессов и систем). Аудитор применяет профессиональное суждение для определения характера и объема процедур оценки рисков, выполняемых для соблюдения требований данного стандарта.

А17. Хотя степень формализации политики и процедур организации, а также ее процессов и систем может варьироваться, аудитор в любом случае обязан получить понимание в этом отношении в соответствии с пунктами 19, 21, 22, 24, 25 и 26.

Примеры

Некоторые организации, в том числе менее сложные, и особенно организации, управляемые собственником, могут не иметь установленных структурированных процессов и систем (например, процесса оценки рисков или процесса мониторинга системы внутреннего контроля) либо могут иметь установленные процессы или системы с ограниченной документацией или недостаточной последовательностью использования. Если такие системы и процессы недостаточно формализованы, аудитор все равно сможет выполнить процедуры оценки рисков посредством наблюдения и направления запросов.

Предполагается, что у других, обычно более сложных организаций будет более формализованная и документально оформленная политика и процедуры. Аудитор может использовать такую документацию при выполнении процедур оценки рисков.

А18. Характер и объем процедур оценки рисков, проводимых при выполнении задания в первый раз, могут быть более обширными, чем процедуры при повторном выполнении задания. В последующих периодах аудитор может сосредоточить внимание на изменениях, которые произошли по окончании предыдущего периода.

Виды процедур оценки рисков (см. пункт 14)

A19. В МСА 500.21 указаны виды аудиторских процедур, которые могут быть выполнены при получении аудиторских доказательств на основе процедур оценки рисков и дальнейших аудиторских процедур. На характер, сроки и объем аудиторских процедур может влиять то, что некоторые данные бухгалтерского учета и другие доказательства могут быть доступны только в электронной форме или только в определенные моменты времени22. Аудитор может выполнять процедуры проверки по существу или тесты средств контроля в соответствии с МСА 330 параллельно с процедурами оценки рисков, если это эффективно. Полученные аудиторские доказательства, которые подтверждают выявление и оценку рисков существенного искажения, могут также служить подтверждением искажений, обнаруженных на уровне предпосылки, или оценки операционной эффективности средств контроля.

______________________________

21 МСА 500, пункты А14-А17 и А21-А25.

22 МСА 500, пункт А12.

А20. Хотя аудитор должен выполнить все процедуры оценки рисков, описанные в пункте 14, в ходе получения необходимого понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации (см. пункты 19 - 26), от аудитора не требуется выполнять все процедуры в отношении каждого аспекта понимания организации. Для получения информации, которая может быть полезной для выявления рисков существенного искажения, могут применяться и другие процедуры. Примеры таких процедур могут включать направление запросов внешнему юристу организации или ее внешним надзорным органам, или экспертам по оценке, услугами которых пользовалась организация.

Автоматизированные инструменты и методы (см. пункт 14)

А21. Используя автоматизированные инструменты и методы, аудитор может выполнять процедуры оценки рисков на больших объемах данных (из основного регистра, вспомогательных регистров или иных операционных данных), в том числе для целей анализа, пересчета, повторного применения или сверок.

Направление запросов руководству и прочим сотрудникам организации (см. пункт 14(a))

Почему руководству и другим сотрудникам организации направляются запросы

А22. Информация, используемая аудитором, чтобы обеспечить надлежащую основу для выявления и оценки рисков и разработку дальнейших аудиторских процедур, может быть получена путем направления запросов руководству и сотрудникам, ответственным за подготовку финансовой отчетности.

А23.

Направление запросов руководству и сотрудникам, ответственным за подготовку финансовой отчетности, а также другим соответствующим лицам внутри организации и прочему персоналу, обладающему полномочиями разного уровня, может ознакомить аудитора с разными точками зрения при выявлении и оценке им риска существенного искажения.

Примеры

Запросы, направленные лицам, отвечающим за корпоративное управление, могут помочь аудитору оценить объем надзорных действий за процессом подготовки руководством финансовой отчетности, осуществляемый лицами, отвечающими за корпоративное управление. МСА 260 (пересмотренный)23 указывает на важность эффективного двустороннего информационного взаимодействия для получения аудитором информации от лиц, отвечающих за корпоративное управление, по данным вопросам.

Запросы, направленные сотрудникам, ответственным за инициирование, обработку или учет сложных или необычных операций, могут помочь аудитору оценить надлежащий характер выбора и применения определенных принципов учетной политики.

______________________________

23 МСА 260 (пересмотренный) "Информационное взаимодействие с лицами, отвечающими за корпоративное управление", пункт 4(b).

Запросы, направленные внутреннему юристу, могут предоставить информацию о таких обстоятельствах, как судебные разбирательства, соблюдение законов и нормативных актов, осведомленность о фактических или предполагаемых недобросовестных действиях, влияющих на организацию, гарантиях, послепродажных обязательствах, соглашениях с партнерами по бизнесу (например, о совместных предприятиях) и о содержании договорных условий.

Запросы, направленные сотрудникам маркетинговых или коммерческих подразделений, могут предоставить информацию об изменениях в маркетинговой стратегии организации, тенденциях в продажах или о договорных отношениях с заказчиками.

Запросы, направленные службе по управлению рисками (или сотрудникам, выполняющим такие функции), могут предоставить информацию об операционных и регуляторных рисках, которые могут влиять на финансовую отчетность.

Запросы, направленные сотрудникам подразделений информационных технологий, могут предоставить информацию об изменениях в системах, сбоях в системах или средствах контроля или иных рисках, связанных с информационными технологиями.

Особенности организаций государственного сектора

А24. При направлении запросов лицам, предположительно располагающим информацией, которая, по всей вероятности, поможет в выявлении рисков существенного искажения, аудиторы организаций государственного сектора могут получать информацию из дополнительных источников, например от аудиторов, участвующих в выполнении других аудиторских заданий в отношении организации.

Направление запросов службе внутреннего аудита

В Приложении 4 представлены вопросы, которые необходимо рассмотреть при изучении службы внутреннего аудита организации.

Почему запросы направляются службе внутреннего аудита (при наличии таковой)

А25. Если у организации есть служба внутреннего аудита, направление запросов ее сотрудникам может помочь аудитору в изучении организации и ее окружения, а также системы внутреннего контроля организации в процессе выявления и оценки рисков.

Особенности организаций государственного сектора

А26. Аудиторы организаций государственного сектора зачастую имеют дополнительные обязанности в отношении внутреннего контроля и соблюдения применимых законов и нормативных актов.

Направление запросов соответствующим сотрудникам службы внутреннего аудита может помочь аудиторам в выявлении риска существенного несоблюдения действующих законов и нормативных актов и риска недостатков системы контроля за подготовкой финансовой отчетности.

Аналитические процедуры (см. пункт 14(b))

Почему аналитические процедуры выполняются в качестве процедуры оценки рисков

А27. Аналитические процедуры помогают выявить несоответствия, необычные операции или события, суммы, коэффициенты и тенденции, указывающие на наличие вопросов, которые могут иметь последствия для аудита. Выявленные необычные или неожиданные соотношения могут помочь аудитору выявить риски существенного искажения, особенно риски существенного искажения вследствие недобросовестных действий.

А28. Следовательно, выполнение аналитических процедур в качестве процедур оценки рисков может помочь в выявлении и оценке рисков существенного искажения путем выявления вопросов об организации, о которых аудитору было неизвестно, или понимания того, как факторы неотъемлемого риска, такие как изменчивость, влияют на подверженность предпосылок искажению.

Виды аналитических процедур

А29. Аналитические процедуры, выполняемые в качестве процедур оценки рисков, могут:

включать финансовую и нефинансовую информацию, например соотношение между объемом продаж и размерами торговых площадей или объемом реализованных товаров (нефинансовый показатель);

использовать данные, агрегированные на высоком уровне. Следовательно, результаты выполнения таких аналитических процедур могут дать общее предварительное указание на вероятность существенного искажения.

Пример

В случае аудита большого числа организаций, в том числе с менее сложными бизнес-моделями и процессами и менее сложной информационной системой, аудитор может провести простое сравнение информации, например изменений в остатках по счетам за промежуточный период или по месяцам с остатками за предыдущие периоды, чтобы получить представление о возможных областях повышенного риска.

А30. Данный стандарт регламентирует использование аудитором аналитических процедур в качестве процедур оценки рисков. МСА 520.24 регламентирует использование аудитором аналитических процедур в качестве процедур проверки по существу ("аналитические процедуры проверки по существу") и обязанность аудитора проводить аналитические процедуры перед завершением аудита. Следовательно, аналитические процедуры, выполняемые в качестве процедур оценки рисков, не обязательно проводить в соответствии с требованиями МСА 520. Однако требования и руководство по применению МСА 520 могут содержать рекомендации, полезные для аудитора при выполнении аналитических процедур в рамках процедур оценки рисков.

______________________________

24 МСА 520 "Аналитические процедуры".

Автоматизированные инструменты и методы

А31. Аналитические процедуры могут выполняться с использованием ряда автоматизированных инструментов или методов. Применение автоматизированных аналитических процедур к данным может рассматриваться в качестве анализа данных.

Пример

Аудитор может использовать электронную таблицу для сравнения фактических, отраженных в учете сумм с показателями бюджета или может выполнить более сложную процедуру по извлечению данных из информационной системы организации и дальнейшему анализу этих данных с использованием методов визуализации, чтобы выявить виды операций, остатки по счетам или раскрытие информации, для которых использование дальнейших процедур оценки конкретных рисков может быть обоснованным.

Наблюдение и инспектирование (см. пункт 14(c))

Почему наблюдение и инспектирование проводятся в качестве процедур оценки рисков

А32. Наблюдение и инспектирование могут подтверждать, дополнять или опровергать результаты опроса руководства и других лиц, а также могут предоставлять информацию об организации и ее окружении.

Масштабируемость

А33. Если политика или процедуры не оформлены документально или средства контроля организации являются менее формализованными, аудитор, тем не менее, может получить некоторые аудиторские доказательства, чтобы подтвердить выявление и оценку рисков существенного искажения, путем наблюдения за применением средства контроля или его инспектирования.

Примеры

Аудитор может получить понимание в отношении средств контроля за проведением инвентаризации запасов даже в случае, если они не были документально оформлены организацией, путем непосредственного наблюдения.

Аудитор может наблюдать, как осуществляется разделение обязанностей.

Аудитор может наблюдать за порядком введения паролей.

Наблюдение и инспектирование в качестве процедур оценки рисков

А34. Процедуры оценки рисков могут включать наблюдение или инспектирование в отношении следующего:

деятельности организации;

внутренних документов (таких как бизнес-планы и стратегия), записей и регламентов процедур внутреннего контроля;

отчетов, подготовленных руководством (таких как ежеквартальные управленческие отчеты и промежуточная финансовая отчетность) и лицами, отвечающими за корпоративное управление (например, протоколов заседаний совета директоров);

помещений и производственных объектов организации;

информации, полученной из внешних источников, таких как торговые и экономические журналы, отчеты аналитиков, банков или рейтинговых агентств, публикации регулирующих и финансовых органов или иные внешние документы о финансовых результатах организации (например, указанных в пункте А79);

поведения и действий руководства или лиц, отвечающих за корпоративное управление (например, наблюдение за проведением заседания комитета по аудиту).

Автоматизированные инструменты и методы

А35. Автоматизированные инструменты и методы также могут использоваться для наблюдения или инспектирования, в частности, активов, например, путем использования средств дистанционного наблюдения (таких как дроны).

Особенности организаций государственного сектора

А36. Процедуры оценки рисков, выполняемые аудиторами организаций государственного сектора, могут также включать наблюдение и инспектирование документов, подготовленных руководством для законодательных органов, например документов, относящихся к обязательной отчетности о результатах.

Информация из других источников (см. пункт 15)

Почему аудитор рассматривает информацию из других источников

А37. Информация, полученная из других источников, может иметь значение для выявления и оценки рисков существенного искажения, предоставляя сведения и аналитическую оценку в отношении:

характера организации и ее бизнес-рисков, а также возможных изменений относительно предыдущих периодов;

честности и этических ценностей руководства и лиц, отвечающих за корпоративное управление, что также может иметь значение для понимания аудитором контрольной среды;

применимой концепции подготовки финансовой отчетности и ее использования с учетом характера и обстоятельств организации.

Прочие имеющиеся источники

А38. Прочие имеющиеся источники информации включают:

процедуры аудитора по принятию или продолжению отношений с клиентами или аудиторских заданий, проводимые в соответствии с МСА 220.25, в том числе выводы по их результатам;

______________________________

25 МСА 220 "Контроль качества при проведении аудита финансовой отчетности", пункт 12.

прочие задания, выполняемые руководителем задания для организации. Руководитель задания мог получить информацию, относящуюся к аудиту, в том числе об организации и ее окружении, при выполнении других заданий для организации. Такие задания могут включать задания по выполнению согласованных процедур или иные аудиторские задания или задания, обеспечивающие уверенность, в том числе задания по выполнению дополнительных требований к отчетности, предъявляемых в юрисдикции.

Информация о прошлом опыте работы аудитора с организацией и предыдущих аудиторских заданиях (см. пункт 16)

Почему информация, полученная по итогам предыдущих аудиторских заданий, имеет большое значение для текущего аудита

А39. Прошлый опыт работы аудитора с организацией и выполнения аудиторских процедур в рамках предыдущих аудиторских заданий может обеспечить аудитора информацией, имеющей значение для определения аудитором характера и объема процедур по оценке рисков и для выявления и оценки рисков существенного искажения.

Характер информации, полученной по итогам предыдущих аудиторских заданий

А40. Благодаря прошлому опыту работы аудитора с организацией и выполнения аудиторских процедур в рамках предыдущих аудиторских заданий аудитор может получить информацию о таких вопросах, как:

искажения, произошедшие в прошлые периоды, и то, были ли они своевременно скорректированы;

характер организации и ее окружения, а также система внутреннего контроля организации (включая недостатки системы контроля);

значительные изменения, которые организация или ее деятельность могли претерпеть по окончании предыдущего финансового периода;

определенные виды операций и другие события или остатки по счетам (и соответствующее раскрытие информации), если аудитор испытывал трудности при проведении необходимых аудиторских процедур, МСА 315 например, в силу их сложности.

А41. Аудитор обязан определить, остается ли информация, полученная из его прошлого опыта работы с организацией и выполнения аудиторских процедур в рамках предыдущих аудиторских заданий, уместной и надежной, если он планирует использовать ее для целей текущего аудита. Если характер или обстоятельства организации изменились или была получена новая информация, сведения, относящиеся к предыдущим периодам, могут уже не быть надежными или уместными для текущего аудита. Для того чтобы определить, произошли ли изменения, которые могут повлиять на уместность или надежность такой информации, аудитор может направить запросы и выполнить другие надлежащие аудиторские процедуры, такие как сквозное тестирование соответствующих систем. Если информация не является надежной, аудитор может рассмотреть возможность выполнения дополнительных, соответствующих обстоятельствам процедур.

Обсуждение в аудиторской группе (см. пункты 17 - 18)

Почему аудиторская группа должна обсуждать использование применимой концепции подготовки финансовой отчетности и подверженность финансовой отчетности организации существенному искажению

А42. Обсуждение аудиторской группой использования применимой концепции подготовки финансовой отчетности и подверженности финансовой отчетности организации существенному искажению:

позволяет более опытным членам аудиторской группы, включая руководителя задания, сообщить о своих аналитических выводах, сделанных на основе знания специфики организации. Обмен информацией способствует более глубокому пониманию вопросов всеми членами аудиторской группы;

позволяет членам аудиторской группы обмениваться информацией о бизнес-рисках, которым подвержена организация, о том, как факторы неотъемлемого риска могут повлиять на подверженность искажению видов операций, остатков по счетам и раскрытия информации, а также о том, как и в какой области финансовая отчетность может оказаться подверженной существенному искажению вследствие недобросовестных действий или ошибок;

помогает членам аудиторской группы улучшить понимание возможностей существенного искажения финансовой отчетности в тех областях, за которые они отвечают, и получить представление о том, как результаты выполняемых ими аудиторских процедур могут повлиять на другие аспекты аудита, включая решения о характере, сроках и объеме дальнейших аудиторских процедур. В частности, обсуждение помогает членам аудиторской группы в последующем рассмотрении противоречивой информации, исходя из собственного понимания каждым членом группы характера и обстоятельств организации;

обеспечивает основу для информационного взаимодействия членов аудиторской группы и обмена новой информацией, полученной в ходе аудита, которая может повлиять на оценку рисков существенного искажения или аудиторские процедуры, выполняемые для снижения этих рисков.

МСА 240 требует, чтобы в рамках обсуждения в аудиторской группе особое внимание уделялось тому, как и в какой области финансовая отчетность организации может быть подвержена существенному искажению вследствие недобросовестных действий, а также тому, каким образом могли быть совершены недобросовестные действия26.

______________________________

26 МСА 240, пункт 16.

А43. Профессиональный скептицизм необходим для критической оценки аудиторских доказательств, и эффективное и открытое обсуждение в аудиторской группе, в том числе в рамках повторных аудиторских заданий, может привести к повышению качества выявления и оценки рисков существенного искажения. Другим результатом обсуждения может быть выявление аудитором определенных областей аудита, где проявление профессионального скептицизма может иметь особое значение и привести к привлечению более опытных членов аудиторской группы, МСА 315 которые обладают надлежащими навыками для участия в выполнении аудиторских процедур в отношении данных областей.

Масштабируемость

А44. Когда задание выполняется одним лицом, например индивидуальным аудитором (то есть когда обсуждение в аудиторской группе невозможно), рассмотрение вопросов, указанных в пунктах А42 и А46, всё же может помочь аудитору в выявлении возможных областей, где могут возникать риски существенного искажения.

А45. Когда задание выполняется большой аудиторской группой, как в случае аудита финансовой отчетности группы, не всегда необходимо или полезно проводить одно обсуждение с участием всех членов группы (например, в случае задания в разных территориальных подразделениях), а также нет необходимости информировать всех членов аудиторской группы обо всех решениях, принятых в рамках обсуждения. Руководитель задания может обсуждать вопросы с ключевыми членами аудиторской группы, включая, если это целесообразно, тех, кто обладает специальными навыками или знаниями, а также ответственных за аудит компонентов, и поручить проведение обсуждения с другими членами группы с учетом объема информационного взаимодействия, который считается необходимым в рамках аудиторской группы. Целесообразным может быть составление плана информационного взаимодействия, согласованного с руководителем задания.

Обсуждение раскрытия информации согласно применимой концепции подготовки финансовой отчетности

А46.

В рамках обсуждения в аудиторской группе рассмотрение требований применимой концепции подготовки финансовой отчетности к раскрытию информации помогает выявить на ранних этапах аудита области, где могут возникать риски существенного искажения в отношении раскрытия информации, даже в ситуации, когда применимая концепция подготовки финансовой отчетности требует только упрощенного раскрытия информации. Вопросы, которые аудиторская группа может обсудить, включают:

изменения требований к подготовке финансовой отчетности, которые могут привести к раскрытию новой или пересмотренной информации в значительном объеме;

изменения в окружении организации, финансовых условиях или деятельности, которые могут привести к раскрытию новой или пересмотренной информации в значительном объеме, например проведение значительной сделки по объединению бизнеса в аудируемый период;

раскрытие информации, в отношении которого сложно было получить достаточные надлежащие аудиторские доказательства в прошлом;

раскрытие информации по сложным вопросам, включая ту, которая требует значимого суждения руководства о том, какую информацию следует раскрывать.

Особенности организаций государственного сектора

А47. В рамках обсуждения в аудиторских группах организаций государственного сектора также можно рассматривать дополнительные, более широкие задачи и соответствующие риски, возникающие в связи с заданием на проведение аудита или обязательствами организаций государственного сектора.

Получение понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации (см. пункты 19 - 27)

В Приложениях 1 - 6 представлены дополнительные вопросы, которые необходимо рассмотреть в связи с получением понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации.

Получение необходимого понимания (см. пункты 19 - 27)

А48. Получение понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации является динамичным итеративным процессом сбора, уточнения и анализа информации на всех этапах аудита. Следовательно, по мере получения аудитором новой информации возможно изменение его ожиданий.

А49. Кроме того, получение понимания аудитором деятельности организации и ее окружения, а также применимой концепции подготовки финансовой отчетности помогает аудитору сформировать первоначальные ожидания в отношении того, какие виды операций, остатки по счетам и какое раскрытие информации могут оказаться значительными. На основе этих ожидаемых значительных видов операций, остатков по счетам и раскрытия информации определяются границы изучения аудитором информационной системы организации.

Почему требуется понимание деятельности организации и ее окружения, а также применимой концепции подготовки финансовой отчетности (см. пункты 19 - 20)

А50. Получение понимания деятельности организации и ее окружения, а также применимой концепции подготовки финансовой отчетности помогает аудитору понять события и условия, значимые для организации, а также определить, как и в какой степени факторы неотъемлемого риска влияют на подверженность предпосылок искажению при подготовке финансовой отчетности, в соответствии с применимой концепцией подготовки финансовой отчетности. Данная информация устанавливает систему ориентиров, в рамках которой аудитор выявляет и оценивает риски существенного искажения.

Эта система ориентиров облегчает аудитору задачу планирования аудита и применения профессионального суждения и профессионального скептицизма на всех этапах аудита, например при выполнении таких процедур, как:

выявление и оценка рисков существенного искажения финансовой отчетности в соответствии с МСА 315 (пересмотренным, 2019 г.) или прочими применимыми стандартами (например, рисков, относящихся к категории рисков недобросовестных действий в соответствии с МСА 240, или при выявлении или оценке рисков существенного искажения в отношении оценочных значений в соответствии с МСА 540 (пересмотренным);

выполнение процедур, способствующих выявлению таких случаев несоблюдения законов и нормативных требований, которые могут оказать существенное влияние на финансовую отчетность, в соответствии с МСА 250.27;

оценка того, обеспечивает ли финансовая отчетность адекватное раскрытие информации в соответствии с МСА 700 (пересмотренным)28;

определение существенности для финансовой отчетности в целом или существенности для выполнения аудиторских процедур в соответствии с МСА 320.29;

рассмотрение надлежащего характера выбора и применения учетной политики и адекватности раскрытия информации в финансовой отчетности.

А51. Кроме того, в результате изучения организации и ее окружения, а также применимой концепции подготовки финансовой отчетности аудитор получает информацию для планирования и выполнения таких дальнейших аудиторских процедур, как:

формирование ожиданий, которые будут учитываться при проведении аналитических процедур в соответствии с МСА 520.30;

разработка и выполнение дальнейших аудиторских процедур для получения достаточных надлежащих аудиторских доказательств в соответствии с МСА 330;

оценка достаточности и надлежащего характера полученных аудиторских доказательств (например, тех, которые относятся к допущениям или устным и письменным заявлениям руководства).

______________________________

27 МСА 250 (пересмотренный) "Рассмотрение законов и нормативных актов в ходе аудита финансовой отчетности", пункт 14.

28 МСА 700 (пересмотренный) "Формирование мнения и составление заключения о финансовой отчетности", пункт 13(e).

29 МСА 320 "Существенность при планировании и проведении аудита", пункты 10 - 11.

30 МСА 520, пункт 5.

Масштабируемость

А52. Вопрос о том, насколько глубоко требуется изучить организацию, и характер такого изучения являются предметом профессионального суждения аудитора и различаются в разных организациях в зависимости от характера и обстоятельств самой организации, которые включают:

размер и сложность организации, в том числе ее ИТ-среды;

предыдущий опыт работы аудитора с данной организацией;

характер систем и процессов организации, в частности то, оформлены они документально или нет;

характер и форму документации организации.

А53. Процедуры оценки рисков, которые выполняет аудитор для получения необходимого представления об организации, могут быть менее детальными при аудите менее сложных организаций и более детальными - при аудите более сложных организаций. Предполагается, что аудитору требуется менее глубокое понимание по сравнению с членами руководства, которые управляют организацией.

А54. Некоторые концепции подготовки финансовой отчетности позволяют малым организациям раскрывать более простую и менее детальную информацию в финансовой отчетности. Однако это не освобождает аудитора от ответственности за получение понимания деятельности организации и ее окружения, а также применимой к организации концепции подготовки финансовой отчетности.

А55.

Использование организацией информационных технологий, а также характер и степень изменений в ИТ-среде тоже могут влиять на то, какие требуются особые навыки, которые помогли бы аудитору получить необходимое понимание организации.

Организация и ее окружение (см. пункт 19(a))

Организационная структура, структура собственности и корпоративного управления, а также бизнес-модель (см. пункт 19(a)(1))

Организационная структура и структура собственности организации

А56. Изучение организационной структуры и структуры собственности организации позволит аудитору понять такие вопросы, как:

сложность структуры организации;

Пример

Организация может представлять собой обособленную экономическую единицу, либо в структуру организации могут входить дочерние организации, подразделения и прочие компоненты, расположенные в разных точках. Кроме того, организационно-правовая форма может отличаться от операционной структуры. В сложных структурах часто начинают действовать факторы, которые могут повысить подверженность организации рискам существенного искажения. К таким аспектам относятся следующие: надлежащим ли образом учитываются гудвил, совместные предприятия, инвестиции или организации специального назначения и адекватно ли раскрыта информация по таким вопросам в финансовой отчетности.

структура собственности и взаимоотношения между собственниками и другими лицами или организациями, включая связанные стороны. Понимание данных аспектов помогает определить, были ли надлежащим образом выявлены, учтены и адекватно раскрыты в финансовой отчетности операции со связанными сторонами31;

проведение различия между лицами, отвечающими за корпоративное управление, и руководством;

Пример

В менее сложных организациях их собственники могут принимать участие в управлении организацией, а следовательно, различие отсутствует или оно незначительное. И наоборот, например, в некоторых организациях, ценные бумаги которых допущены к организованным торгам, может существовать четкое разделение между руководством, собственниками организации и лицами, отвечающими за корпоративное управление32.

______________________________

31 В МСА 550 установлены требования и представлены рекомендации в отношении рассмотрения аудитором вопросов, касающихся связанных сторон.

32 В МСА 260 (пересмотренном) в пунктах А1 и А2 представлено руководство по выявлению лиц, отвечающих за корпоративное управление, и поясняется, что в некоторых случаях некоторые или все лица, отвечающие за корпоративное управление, могут участвовать в управлении организацией.

структура и сложность ИТ-среды в организации.

Пример

Организация может:

поддерживать несколько устаревших ИТ-систем в разных направлениях деятельности, которые не интегрированы должным образом в общую ИТ-систему, что приводит к сложной ИТ-среде;

привлекать внешних или внутренних поставщиков услуг для поддержки определенных аспектов своей ИТ-среды (например, передавать на аутсорсинг третьей стороне хостинг своей ИТ-среды или использовать общий центр обслуживания для централизованного управления ИТ-процессами в группе).

Автоматизированные инструменты и методы

А57. Аудитор может использовать автоматизированные инструменты и методы, чтобы понять потоки операций и порядок их обработки, в рамках выполнения процедур, направленных на изучение информационной системы. Результатом выполнения этих процедур может быть получение аудитором информации об организационной структуре организации или тех организаций, с которыми она ведет свою деятельность (например, поставщиков, клиентов, связанных сторон).

Особенности организаций государственного сектора

А58. Права собственности в организации государственного сектора могут не иметь такого же значения, как в организации частного сектора, потому что решения, относящиеся к организации, могут приниматься вне организации в результате происходящих политических процессов. Следовательно, руководство может не контролировать принятие определенных решений. Среди важных вопросов можно отметить понимание способности организации принимать решения в одностороннем порядке, а также возможности других организаций государственного сектора осуществлять контроль над организацией или влиять на политику организации или стратегическое направление ее развития.

Пример

На организацию государственного сектора могут распространяться законы или прочие директивы государственных органов, требующие получения одобрения стратегии и целей организации от внешних для организации сторон, прежде чем организация начнет их реализовывать. Следовательно, вопросы, относящиеся к изучению организационно-правовой формы организации, могут включать применимые законы и нормативные акты и отнесение организации к определенной категории (то есть является ли она министерством, ведомством, агентством или относится к иному типу организаций).

Корпоративное управление

Почему аудитор изучает систему корпоративного управления

А59. Изучение системы корпоративного управления в организации поможет аудитору понять возможности организации в части осуществления надлежащего надзора за ее системой внутреннего контроля. Однако данное понимание может обеспечить и доказательства наличия недостатков, которые могут указывать на усиление подверженности финансовой отчетности организации рискам существенного искажения.

Получение понимания системы корпоративного управления в организации

А60. Вопросы, которые может быть уместно рассмотреть аудитору при получении понимания системы корпоративного управления в организации, включают следующее:

участвуют ли в руководстве организацией некоторые или все лица, отвечающие за корпоративное управление;

имеется ли совет, в который входят неисполнительные директора (при наличии), и отделен ли он от исполнительного руководства;

занимают ли лица, отвечающие за корпоративное управление, должности, являющиеся неотъемлемой частью организационно-правовой формы организации, например должности директоров;

имеются ли подгруппы лиц, отвечающих за корпоративное управление, например комитет по аудиту, и в чем состоят обязанности такой группы;

каковы обязанности лиц, отвечающих за корпоративное управление, в части надзора за подготовкой финансовой отчетности, включая утверждение финансовой отчетности.

Бизнес-модель организации

В Приложении 1 представлены дополнительные вопросы, которые необходимо рассмотреть для изучения организации и ее бизнес-модели, а также дополнительные вопросы, которые следует учитывать при аудите организаций специального назначения.

Почему аудитор изучает бизнес-модель организации

А61. Изучение целей, стратегии и бизнес-модели организации помогает аудитору изучить организацию на стратегическом уровне и понять бизнес-риски, которые принимает на себя организация и с которыми она сталкивается. Понимание бизнес-рисков, влияющих на финансовую отчетность, способствует выявлению аудитором рисков существенного искажения, так как основная часть бизнес-рисков в тот или иной момент будет иметь финансовые последствия, а следовательно, отразится на показателях финансовой отчетности.

Примеры

Бизнес-модель организации может опираться на использование ИТ разными способами:

организация реализует обувь в офлайн-магазине и применяет продвинутую систему учета запасов и реализации в точке продаж для отражения продаж обуви либо

организация реализует обувь в онлайн-режиме таким образом, что все операции по продаже обрабатываются в ИТ-среде, в том числе и инициирование операций на веб-сайте.

Бизнес-риски, которые возникают у обеих организаций в рамках существенно разных бизнес-моделей, будут значительно отличаться, несмотря на то, что обе организации занимаются продажей обуви.

Изучение бизнес-модели организации

А62. Не все аспекты бизнес-модели организации важны для аудитора при ее изучении. Бизнес-риски - это более широкое понятие, чем риски существенного искажения финансовой отчетности, хотя последние входят в число бизнес-рисков. Аудитор не обязан изучать или выявлять все бизнес-риски, потому что не все бизнес-риски приводят к возникновению рисков существенного искажения.

А63. Бизнес-риски, которые увеличивают подверженность рискам существенного искажения, могут возникать в следующих случаях:

ненадлежащие цели или стратегии, неэффективная реализация стратегий, либо изменение, либо сложность;

непризнание потребности в изменениях тоже может привести к возникновению бизнес-риска, например, по следующим причинам:

разработка новых продуктов или услуг, которые могут потерпеть неудачу при их выводе на рынок;

наличие рынка (даже если это хорошо развитый рынок), который недостаточен для поддержания продаж данного продукта или данной услуги, или

недостатки продукта или услуги, которые могут привести к возникновению юридической ответственности или репутационного риска;

стимулирующие вознаграждения и давление на руководство, которые могут привести к возникновению умышленной или неумышленной предвзятости руководства, а следовательно, повлиять на обоснованность значительных допущений и ожиданий руководства и лиц, отвечающих за корпоративное управление.

А64. Примеры вопросов, которые аудитор может принять во внимание при получении понимания бизнес-модели, целей, стратегий и соответствующих бизнес-рисков организации, способных привести к риску существенного искажения финансовой отчетности, включают:

изменения в отрасли, например, нехватка персонала или квалифицированных кадров для решения вопросов, связанных с развитием отрасли;

новые продукты и услуги, в результате появления которых может возникнуть повышенная ответственность за качество продукции (услуг);

расширение бизнеса организации при отсутствии точной оценки спроса;

новые требования к бухгалтерскому учету при их неполном или ненадлежащем внедрении в организации;

нормативные требования, которые приводят к повышенным юридическим рискам;

текущие и будущие потребности в финансировании, например потеря финансирования в результате несоблюдения организацией установленных требований;

использование ИТ, например внедрение новой ИТ-системы, которое повлияет как на деятельность, так и на финансовую отчетность, или

последствия внедрения стратегии, особенно те, которые приведут к появлению новых требований к бухгалтерскому учету.

А65. Как правило, руководство выявляет бизнес-риски и разрабатывает подходы к управлению ими. Данный процесс оценки риска является составной частью системы внутреннего контроля организации. Он рассматривается в пункте 22 и пунктах А109-А113.

Особенности организаций государственного сектора

А66.

Организации, осуществляющие деятельность в государственном секторе, могут создавать ценность и приносить пользу иным образом, чем организации, которые создают стоимость для своих собственников, однако у них все равно есть бизнес-модель, которая реализуется с конкретной целью. К вопросам, которые могут изучить аудиторы организаций государственного сектора в отношении бизнес-модели организации, относятся следующие:

понимание соответствующих видов деятельности в государственном секторе, в том числе соответствующих программ;

цели и стратегии программ, включая элементы государственной политики.

А67. При аудите организаций государственного сектора необходимо учитывать, что цели управления могут зависеть от требований демонстрировать публичную ответственность и включать цели, которые установлены законом, нормативным актом или иным регламентирующим документом.

Отраслевые, регуляторные и иные внешние факторы (см. пункт 19(a)(ii))

Отраслевые факторы

А68. Значимые отраслевые факторы включают сложившиеся в отрасли условия, такие как конкурентная среда, отношения с поставщиками и покупателями, а также развитие технологий. Примеры вопросов, которые может рассмотреть аудитор:

рынок и конкурентная среда, включая спрос, производительность и ценовую конкуренцию;

цикличная или сезонная деятельность;

производственные технологии, относящиеся к продукции организации.

энергоснабжение и его стоимость.

А69. В отрасли, в которой организация ведет деятельность, могут возникать специфические риски существенного искажения финансовой отчетности, обусловленные характером деятельности, или уровнем регулирования.

Пример

В строительной отрасли расчет значительных оценочных значений выручки и расходов по долгосрочным контрактам может приводить к рискам существенного искажения. В таких случаях важно, чтобы в состав аудиторской группы входили члены с достаточным знанием и опытом в соответствующей области33.

______________________________

33 МСА 220, пункт 14.

Регуляторные факторы

А70. К значимым регуляторным факторам относится регуляторная среда. Регуляторная среда охватывает, в частности, применимую концепцию подготовки финансовой отчетности, а также правовую и политическую среду и соответствующие изменения в них. Примеры вопросов, которые может рассмотреть аудитор:

нормативная база регулируемой отрасли, например пруденциальные нормы, включая соответствующие требования к раскрытию информации;

законодательство и нормативные акты, которые оказывают значительное влияние на деятельность организации, включая трудовое законодательство и нормативные акты;

законодательство и нормативные акты о налогообложении;

государственная политика, в данный момент влияющая на ведение бизнеса организацией, в частности денежно-кредитная политика, включая систему валютного контроля, налоговые, финансовые льготы (например, программы государственной помощи), а также политика в области тарифов и ограничения торговли;

требования по охране окружающей среды, связанные с отраслью и бизнесом организации.

А71. Некоторые конкретные требования, связанные с правовым регулированием, применимым к организации и отрасли или сектору экономики, в которых она ведет деятельность, приводятся в МСА 250 (пересмотренном)34.

______________________________

34 МСА 250 (пересмотренный), пункт 13.

Особенности организаций государственного сектора

А72. При аудите организаций государственного сектора следует учитывать влияние специфических законов или нормативных актов на деятельность организации. Эти элементы необходимо рассмотреть при получении понимания деятельности организации и ее окружения.

Прочие внешние факторы

А73. К числу прочих внешних факторов, которые влияют на организацию и которые может учитывать аудитор, относятся общие экономические условия, процентные ставки и доступность финансирования, а также инфляция и переоценка валюты.

Показатели, используемые руководством при оценке финансовых результатов организации (см. пункт 19(a)(iii))

Почему аудитору необходимо изучать показатели, используемые руководством

А74. Понимание показателей деятельности организации помогает аудитору при рассмотрении вопроса о том, могут ли эти показатели, используемые как за пределами, так и внутри организации, создавать давление на организацию в достижении целевых показателей. Такое давление может побудить руководство совершить действия, которые повышают подверженность искажению в результате предвзятости руководства или недобросовестных действий (например, для улучшения результатов деятельности или умышленного искажения финансовой отчетности) (см. МСА 240, в котором содержатся требования и рекомендации в отношении рисков недобросовестных действий).

А75. Показатели деятельности могут также указать аудитору на наличие вероятности рисков существенного искажения соответствующей информации в финансовой отчетности. Например, оценка результатов деятельности может показать, что у организации необычайно быстрый рост или прибыльность по сравнению с ростом и прибыльностью других организаций, работающих в этой же отрасли.

Показатели, используемые руководством

А76. Как правило, руководство организации и прочие лица проводят оценку и анализ тех вопросов, которые они считают важными. Опрос руководства может показать, что оно полагается на определенные ключевые показатели (как из открытых, так и из других источников) для оценки финансовых результатов и принятия мер. В таких случаях аудитор может выявить соответствующие показатели результатов деятельности (как внутренние, так и внешние), рассмотрев информацию, которую организация использует для управления своей деятельностью. Если такой опрос указывает на отсутствие оценки или анализа результатов деятельности, возможно, существует повышенный риск того, что искажения не будут обнаружены и исправлены.

А77. Ключевые показатели, которые используются для оценки финансовых результатов, могут включать:

ключевые показатели деятельности (финансовые и нефинансовые) и ключевые коэффициенты, тенденции и операционную статистику;

анализ финансовых результатов в сопоставлении с предыдущим периодом;

бюджеты, прогнозы, анализ отклонений, информацию по сегментам, отчеты подразделений, департаментов и других организационных структур;

оценку результатов работы сотрудников и политику в области материальных поощрений;

сравнение результатов деятельности организации с результатами деятельности конкурентов.

Масштабируемость (см. пункт 19(a)(iii))

А78. Процедуры, проводимые с целью изучения показателей деятельности организации, могут различаться в зависимости от размера и сложности организации, а также участия собственников или лиц, отвечающих за корпоративное управление, в управлении организацией.

Примеры

У некоторых менее сложных организаций условия банковских кредитов (то есть ограничительные условия по договорам с банками) могут быть увязаны с конкретными показателями деятельности, связанными с финансовыми результатами деятельности или финансовым положением организации (например, максимальная сумма оборотного капитала). Понимание используемых банком показателей деятельности, возможно, облегчит аудитору задачу выявления областей, где имеется повышенная подверженность риску существенного искажения.

У некоторых организаций с более сложным характером и обстоятельствами деятельности, например у организаций, работающих в страховой или банковской сфере, финансовые результаты деятельности или финансовое положение могут оцениваться в соответствии с требованиями регулятора (например, на предмет выполнения требований к уровню собственного капитала, таких как соблюдение обязательных нормативов достаточности капитала и ликвидности). Понимание этих показателей деятельности, возможно, облегчит аудитору задачу выявления областей, где имеется повышенная подверженность риску существенного искажения.

Прочие вопросы

А79. Оценивать и проводить анализ финансовых результатов деятельности организации могут третьи стороны, в частности, это касается тех организаций, финансовая информация которых находится в открытом доступе. Аудитор может рассмотреть информацию из открытых источников, которая поможет ему лучше понять бизнес организации или выявить противоречивую информацию из таких источников, как:

отчеты аналитиков и отчеты кредитных рейтинговых агентств;

новостные и прочие средства массовой информации, включая социальные сети;

налоговые органы;

регулирующие органы;

профсоюзы;

финансирующие организации.

Такую финансовую информацию часто можно получить от аудируемой организации.

А80. Оценка и анализ финансовых результатов не тождественны мониторингу системы внутреннего контроля (который рассматривается в качестве компонента системы внутреннего контроля в пунктах А114-А122), хотя их цели могут частично совпадать:

оценка и анализ финансовых результатов направлены на определение того, соответствуют ли результаты деятельности целям, установленным руководством организации (или третьими лицами);

напротив, мониторинг системы внутреннего контроля связан с мониторингом эффективности средств контроля, в том числе относящихся к оценке и анализу финансовых результатов деятельности организации.

В некоторых случаях, однако, показатели деятельности также обеспечивают информацией, которая позволяет руководству организации выявлять недостатки системы контроля.

Особенности организаций государственного сектора

А81. В дополнение к рассмотрению соответствующих показателей деятельности, используемых организацией государственного сектора при оценке финансовых результатов своей деятельности, аудиторы организаций государственного сектора могут рассматривать и нефинансовую информацию, такую как достижение общественно-полезных результатов (например, количество охваченных какой-либо конкретной программой людей, которым она помогла).

Применимая концепция подготовки финансовой отчетности (см. пункт 19(b))

Изучение применимой концепции подготовки финансовой отчетности и учетной политики организации

А82. Примеры вопросов, которые может рассмотреть аудитор при изучении применимой концепции подготовки финансовой отчетности организации и порядка ее применения с учетом характера и обстоятельств организации и ее окружения:

практика представления организацией финансовой отчетности в части применимой концепции подготовки финансовой отчетности, например:

принципы бухгалтерского учета и особенности отраслевой практики, в том числе в части значительных отраслевых видов операций, остатков по счетам и раскрытия соответствующей информации в финансовой отчетности (например, займов и инвестиций для банков или исследований и разработок для фармацевтических компаний);

признание выручки;

порядок учета финансовых инструментов, включая соответствующие кредитные убытки;

активы, обязательства и операции в иностранной валюте;

порядок учета необычных или сложных операций, включая те, которые связаны со спорными или новыми областями деятельности (например, учет криптовалюты);

понимание выбора и применения организацией учетной политики, в том числе внесенных в нее изменений, а также причин данных изменений, может охватывать такие вопросы, как:

методы, используемые организацией для признания, оценки, представления значительных и необычных операций, а также раскрытия информации о них;

влияние основных положений учетной политики в спорных или новых областях, где недостаточно официальных рекомендаций или отсутствует консенсус;

изменения в окружении организации, например изменения в применимой концепции подготовки финансовой отчетности или реформы в области налогообложения, которые могут потребовать изменения учетной политики организации;

стандарты, законы и нормативные акты, которые касаются финансовой отчетности и являются новыми для организации, а также сроки и порядок применения или соблюдения организацией таких требований.

А83. Получение понимания деятельности организации и ее окружения может облегчить аудитору рассмотрение вопроса о том, в каких областях ее финансовой отчетности можно ожидать изменений (например, относительно прошлых периодов).

Пример

Если организация провела в отчетном периоде значительную операцию по объединению бизнеса, с большой вероятностью аудитору следует ожидать изменения в видах операций, остатках по счетам и раскрытии информации, связанных с объединением бизнеса; и наоборот, если в течение отчетного периода отсутствовали значительные изменения в концепции подготовки финансовой отчетности, то имеющееся у аудитора понимание, возможно, будет способствовать подтверждению того факта, что понимание, полученное в прошлом периоде, остается в силе.

Особенности организаций государственного сектора

А84. Применимая концепция подготовки финансовой отчетности для организаций государственного сектора устанавливается законодательной и нормативной базой, действующей в каждой юрисдикции или в каждом географическом регионе. Вопросы, которые могут быть рассмотрены в отношении соблюдения организацией применимых требований к подготовке финансовой отчетности и порядка их применения организацией в контексте характера и обстоятельств организации и ее окружения, включают вопрос о том, применяет ли организация полностью учет по методу начисления или по кассовому методу в соответствии с Международными стандартами финансовой отчетности для государственного сектора либо использует сочетание двух методов.

Как факторы неотъемлемого риска влияют на подверженность предпосылок искажению (см. пункт 19(c))

В Приложении 2 приведены примеры событий и условий, которые могут приводить к рискам существенного искажения. Данные события и условия представлены в разбивке по факторам неотъемлемого риска.

Почему аудитор изучает факторы неотъемлемого риска при получении понимания организации и ее окружения, а также применимой концепции подготовки финансовой отчетности

А85. Изучение организации и ее окружения, а также применимой концепции подготовки финансовой отчетности помогает аудитору выявить события и условия, характеристики которых могут повлиять на подверженность предпосылок в отношении видов операций, остатков по счетам и раскрытия информации искажению. Данные характеристики представляют собой факторы неотъемлемого риска. Факторы неотъемлемого риска могут оказать влияние на подверженность предпосылок искажению за счет воздействия на вероятность возникновения искажения или величину искажения, если оно будет иметь место.

Понимание того, как факторы неотъемлемого риска влияют на подверженность предпосылок искажению, поможет аудитору составить предварительное представление о вероятности или величине искажений, что поможет аудитору в выявлении рисков существенного искажения на уровне предпосылок в соответствии с пунктом 28(b). Кроме того, понимание степени, в которой факторы неотъемлемого риска влияют на подверженность предпосылок искажению, облегчает аудитору оценку вероятности и величины возможного искажения при оценке неотъемлемого риска в соответствии с пунктом 31(a). Следовательно, понимание факторов неотъемлемого риска может также помочь аудитору в разработке и выполнении дальнейших аудиторских процедур в соответствии с МСА 330.

А86. На выявление аудитором рисков существенного искажения на уровне предпосылок и оценку неотъемлемого риска могут оказывать влияние и аудиторские доказательства, полученные аудитором при выполнении других процедур оценки рисков, дальнейших аудиторских процедур или при выполнении других требований, содержащихся в МСА (см. пункты А95, А103, A111, А121, А124 и А151).

Влияние факторов неотъемлемого риска на виды операций, остатки по счетам или раскрытие информации

А87. Степень подверженности искажению вида операций, остатка по счету или раскрытия информации в связи с уровнем сложности или субъективности часто тесно коррелирует с той степенью, в которой они подвержены изменению или воздействию факторов неопределенности.

Пример

Если организация использует оценочное значение на основе допущений, выбор которых осуществлялся с применением значительного суждения, то на величину оценочного значения с большой вероятностью будут влиять как субъективность, так и неопределенность.

А88. Чем выше степень подверженности искажению вида операций, остатка по счету или раскрытия информации в связи с уровнем сложности и субъективности, тем больше от аудитора требуется проявление профессионального скептицизма. Кроме того, когда вид операций, остаток по счету или раскрытие информации подвержены искажению в связи со сложностью, субъективностью, изменчивостью или неопределенностью, данные факторы неотъемлемого риска могут создавать возможность для предвзятости руководства (как неумышленной, так и умышленной) и воздействовать на подверженность искажению в результате предвзятости руководства. Выявление аудитором рисков существенного искажения и оценка неотъемлемого риска на уровне предпосылок также зависят от взаимосвязей между факторами неотъемлемого риска.

А89. События или условия, способные повлиять на подверженность искажению из-за предвзятости руководства, могут также оказать воздействие на подверженность искажению в результате действия других факторов риска недобросовестных действий. Следовательно, эта информация может быть значимой для использования в соответствии с пунктом 24 МСА 240, согласно которому аудитор должен оценить, указывает ли информация, полученная в результате выполнения процедур оценки рисков и сопутствующих действий, на то, что существует фактор риска недобросовестных действий или несколько таких факторов.

Получение понимания системы внутреннего контроля организации (см. пункты 21 - 27)

В Приложении 3 представлено дальнейшее описание характера системы внутреннего контроля организации и присущих ей неотъемлемых ограничений внутреннего контроля соответственно. Кроме того, в Приложении 3 приводится дальнейшее объяснение компонентов системы внутреннего контроля для целей МСА.

А90.

Аудитор получает понимание системы внутреннего контроля организации путем выполнения процедуры оценки рисков с целью изучения и оценки каждого компонента системы внутреннего контроля, как указано в пунктах 21- 27.

А91. Компоненты системы внутреннего контроля организации для целей данного МСА не всегда отражают, каким образом организация разрабатывает, внедряет и поддерживает систему внутреннего контроля или каким образом она классифицирует тот или иной компонент. Для описания различных аспектов системы внутреннего контроля организации могут применять иные термины или принципы. Для целей аудита аудиторы тоже могут использовать иные термины или принципы при условии, что все компоненты, описанные в данном МСА, будут рассмотрены.

Масштабируемость

А92. Разработка и внедрение системы внутреннего контроля может различаться в зависимости от размера и уровня сложности организации, ее поддержка также может осуществляться по-разному. Например, менее сложные организации могут использовать менее структурированные и более простые средства контроля (то есть политику и процедуры) для достижения своих целей.

Особенности организаций государственного сектора

А93. Аудиторы организаций государственного сектора зачастую имеют дополнительные обязанности в отношении системы внутреннего контроля, например, обязанность подготовить отчет о соблюдении организацией установленных норм и правил или требований представлять отчет о фактическом расходовании средств в сопоставлении с бюджетными параметрами. Аудиторы организаций государственного сектора также могут быть обязаны подготовить отчет о соблюдении требований законодательства, нормативных и иных актов. В результате проводимая ими проверка системы внутреннего контроля может оказаться более обширной и подробной.

Информационные технологии в компонентах системы внутреннего контроля организации

В Приложении 5 представлены дальнейшие рекомендации в отношении изучения применения организацией ИТ в компонентах системы внутреннего контроля.

А94. Общая цель и объем аудита не различаются в зависимости от того, ведет ли организация деятельность преимущественно в среде, предусматривающей осуществление операций вручную, автоматизированной среде или среде, сочетающей элементы, выполняемые вручную, и автоматизированные элементы (то есть средства контроля, применяемые вручную, и автоматизированные средства контроля, а также другие ресурсы, которые используются в системе внутреннего контроля организации).

Изучение характера компонентов системы внутреннего контроля организации

А95. При оценке эффективности разработки средств контроля и оценке того, были ли они внедрены (см. пункты А175-А181), изучение аудитором каждого компонента системы внутреннего контроля организации обеспечивает ему предварительное понимание того, как организация выявляет бизнес-риски и какие ответные меры она принимает. Это понимание также различными способами влияет на выявление и оценку аудитором рисков существенного искажения (см. пункт А86). Оно помогает аудитору разработать и выполнить дальнейшие аудиторские процедуры, включая планы тестирования операционной эффективности средств контроля. Например:

понимание аудитором контрольной среды организации, процесса оценки рисков в организации и процесса мониторинга компонентов средств контроля с большей вероятностью повлияет на выявление и оценку рисков существенного искажения на уровне финансовой отчетности;

понимание аудитором информационной системы и информационного взаимодействия в организации, а также компонента контрольных процедур в организации с большей вероятностью повлияет на выявление и оценку рисков существенного искажения на уровне предпосылок.

Контрольная среда, процесс оценки рисков и процесс мониторинга системы внутреннего контроля в организации (см. пункты 21 - 24)

А96. Средства контроля в контрольной среде, процесс оценки рисков в организации и внедренный в организации процесс мониторинга системы внутреннего контроля являются преимущественно косвенными средствами контроля (то есть средствами контроля, которые недостаточно точны для предотвращения, обнаружения или исправления искажений на уровне предпосылок, однако являются вспомогательными для других средств контроля, а следовательно, могут оказывать опосредованное влияние на вероятность своевременного обнаружения и предотвращения искажения). Однако некоторые средства контроля в этих компонентах также могут быть прямыми средствами контроля.

Почему аудитор обязан изучить контрольную среду, процесс оценки рисков в организации и внедренный в организации процесс мониторинга системы внутреннего контроля

А97. Поскольку эти компоненты лежат в основе системы внутреннего контроля организации, любые недостатки в их работе могут оказать всеобъемлющее воздействие на подготовку финансовой отчетности. Контрольная среда сама по себе не предотвращает, не обнаруживает и не исправляет искажения. Тем не менее она может повлиять на эффективность средств контроля в других компонентах системы внутреннего контроля. Так, процесс оценки рисков в организации и процесс мониторинга системы внутреннего контроля построены таким образом, чтобы при функционировании они также поддерживали всю систему внутреннего контроля.

А98. Поскольку эти компоненты лежат в основе системы внутреннего контроля организации, любые недостатки в их работе могут оказать всеобъемлющее влияние на подготовку финансовой отчетности. Следовательно, изучение и оценка аудитором данных компонентов влияют на выявление и оценку аудитором риска существенного искажения на уровне финансовой отчетности, а также могут повлиять на выявление и оценку риска существенного искажения на уровне предпосылок. Риски существенного искажения на уровне финансовой отчетности влияют на разработку аудитором процедур общего характера, в том числе, как объясняется в МСА 330, на характер, сроки и объем дальнейших аудиторских процедур35.

______________________________

35 МСА 330, пункты А1-А3.

Получение понимания контрольной среды (см. пункт 21)

Масштабируемость

А99. Контрольная среда в организациях с менее сложной структурой, скорее всего, будет отличаться от контрольной среды в организациях с более сложной структурой. Например, состав лиц, отвечающих за корпоративное управление, в менее сложных организациях может не включать независимых членов или сторонних лиц, а при отсутствии других собственников выполнение функций корпоративного управления берет на себя непосредственно руководитель-собственник. Следовательно, некоторые вопросы, касающиеся контрольной среды в организации, могут быть менее значимы или неприменимы.

А100. Кроме того, аудиторские доказательства в отношении элементов контрольной среды в менее сложных организациях могут не быть доступны в документированной форме, особенно если обмен информацией между руководством и другими сотрудниками является неформальным, однако доказательства все равно могут быть значимыми и надежными, учитывая обстоятельства.

Примеры

Организационная структура организации с менее сложной структурой, скорее всего, будет проще и может предусматривать меньшее число сотрудников, выполняющих функции, которые связаны с финансовой отчетностью.

Если функцию корпоративного управления берет на себя непосредственно руководитель-собственник, аудитор может установить, что независимость лиц, отвечающих за корпоративное управление, не является значимым вопросом.

Менее сложная организация может не иметь документально оформленного кодекса поведения, но вместо этого может обладать корпоративной культурой, в рамках которой в устном общении и личным примером, подаваемым руководством, подчеркивается важность честности и этического поведения. Следовательно, отношение руководства или руководителя-собственника к контрольной среде, их осведомленность и действия имеют особое значение для понимания аудитором контрольной среды организации с менее сложной структурой.

Понимание контрольной среды (см. пункт 21(a))

А101. Аудиторские доказательства, необходимые для понимания аудитором контрольной среды, могут быть получены посредством направления запросов в сочетании с выполнением других процедур оценки рисков (например, подтверждение информации, полученной по запросам, посредством наблюдения или инспектирования документации).

А102. При рассмотрении вопроса о том, насколько руководство демонстрирует приверженность честности и этическому поведению, аудитор может получить понимание посредством направления запросов руководству и сотрудникам, а также путем рассмотрения информации, полученной из внешних источников, в отношении следующих аспектов:

доведение руководством до сведения сотрудников своих взглядов на деловую практику и этическое поведение;

инспектирование документально оформленного руководством кодекса поведения и наблюдение за тем, действует ли руководство в соответствии с этим кодексом.

Оценка контрольной среды (см. пункт 21(b))

Почему аудитор проводит оценку контрольной среды

А103. Оценка аудитором того, как организация демонстрирует поведение, соответствующее ее приверженности соблюдению принципов честности и этических ценностей, обеспечивает ли контрольная среда надлежащую основу для других компонентов системы внутреннего контроля организации и не оказывают ли выявленные недостатки системы контроля негативного влияния на другие компоненты системы внутреннего контроля, помогает аудитору выявить потенциальные проблемы в других компонентах системы внутреннего контроля. Это связано с тем, что контрольная среда лежит в основе других компонентов системы внутреннего контроля организации. Данная оценка может облегчить аудитору задачу понимания рисков, с которыми сталкивается организация, а следовательно, выявление и оценку рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок (см. пункт А86).

Оценка аудитором контрольной среды

А104. Оценка аудитором контрольной среды основана на понимании, полученном в соответствии с пунктом 21(a).

А105. В некоторых организациях возможно доминирование одного человека, который может действовать в значительной степени по собственному усмотрению. Действия и отношение такого человека могут оказывать всеобъемлющее влияние на корпоративную культуру организации, что, в свою очередь, может оказать всеобъемлющее влияние на контрольную среду. Данное влияние может быть позитивным или негативным.

Пример

Непосредственное участие одного человека может быть ключевым фактором для достижения организацией своих целей роста и иных целей, а также может вносить значительный вклад в обеспечение эффективности системы внутреннего контроля. С другой стороны, такая концентрация информации и полномочий может приводить и к повышенной подверженности искажению в результате обхода средств контроля руководством.

А106. Аудитор может рассмотреть вопрос о том, как на разные элементы контрольной среды могут влиять философия и стиль управления высшего руководства, принимая во внимание участие независимых членов из числа лиц, отвечающих за корпоративное управление.

А107. Хотя контрольная среда может обеспечивать надлежащую основу для системы внутреннего контроля и способствовать снижению риска недобросовестных действий, надлежащая контрольная среда не всегда является эффективным препятствием для недобросовестных действий.

Пример

Кадровая политика и процедуры, нацеленные на привлечение квалифицированных специалистов в области финансов, бухгалтерского учета и ИТ, могут снизить риск ошибок при обработке и отражении финансовой информации. Однако такая политика и процедуры не способны снизить риск обхода средств контроля высшим руководством (например, для завышения прибыли).

А108. Оценка аудитором контрольной среды в той части, в которой она относится к использованию ИТ организацией, может охватывать следующие вопросы:

соизмеримо ли корпоративное управление в сфере ИТ с характером и сложностью структуры организации и ее операционной деятельностью, осуществляемой на основе использования ИТ, включая уровень сложности или зрелости технологической платформы или архитектуры, используемой в организации, и тем, насколько организация полагается на ИТ-приложения при подготовке своей финансовой отчетности;

организационная структура управления в сфере ИТ и выделяемые ресурсы (например, вложила ли организация средства в развитие надлежащей ИТ-среды и необходимые обновления или принято ли на работу достаточное количество специалистов надлежащей квалификации, в частности, в том случае, если организация применяет коммерческое программное обеспечение (без или с ограниченным количеством модификаций)).

Получение понимания процессов оценки рисков в организации (см. пункты 22 - 23)

Понимание процессов оценки рисков в организации (см. пункт 22(a))

А109. Как поясняется в пункте А62, не все бизнес-риски приводят к возникновению рисков существенного искажения. При получении понимания того, как руководство и лица, отвечающие за корпоративное управление, выявили бизнес-риски, связанные с подготовкой финансовой отчетности, и приняли решение о необходимых действиях для снижения этих рисков, аудитор также может рассмотреть вопрос о том, как руководство и, если уместно, лица, отвечающие за корпоративное управление:

указали цели организации с достаточной степенью точности и ясности, чтобы можно было выявить и оценить риски, связанные с этими целями;

выявили риски недостижения целей организации и проанализировали риски, определив на их основе методы управления рисками;

рассмотрели возможности для совершения недобросовестных действий при рассмотрении рисков, связанных с достижением целей организации36.

______________________________

36 МСА 240, пункт 19.

А110. Аудитор может рассмотреть последствия таких бизнес-рисков для подготовки финансовой отчетности организации и другие аспекты ее системы внутреннего контроля.

Анализ процесса оценки рисков в организации (см. пункт 22(b))

Почему аудитор оценивает, является ли процесс оценки рисков в организации надлежащим

А111.

Анализ аудитором оценки рисков в организации может помочь ему понять, в каких областях организация выявила риски, которые могут реализоваться, и какие меры приняла организация в ответ на эти риски. Оценка аудитором того, как организация выявляет, оценивает данные риски и принимает меры по их снижению, помогает аудитору понять, были ли выявлены и оценены риски, с которыми сталкивается организация, и были ли приняты меры по их снижению с учетом характера и сложности организации. Кроме того, данная оценка поможет аудитору выявить и оценить риски существенного искажения на уровне финансовой отчетности и на уровне предпосылок (см. пункт А86).

Оценка надлежащего характера процесса оценки рисков в организации (см. пункт 22(b))

А112. Аудитор оценивает надлежащий характер процесса оценки рисков в организации на основании полученного понимания в соответствии с пунктом 22(a).

Масштабируемость

А113. Вопрос о том, соответствует ли процесс оценки рисков организации сложившимся обстоятельствам с учетом характера и сложности ее деятельности, является предметом профессионального суждения аудитора.

Пример

В некоторых менее сложных организациях и особенно в организациях, которыми руководит собственник, надлежащая оценка рисков может выполняться с непосредственным участием руководства или руководителя- собственника (например, руководитель или руководитель-собственник может регулярно выделять время на мониторинг деятельности конкурентов и других изменений на рынке с целью выявления появляющихся бизнес- рисков). Доказательства проведения такой оценки рисков в подобных организациях часто не оформлены документально, но из обсуждений, которые аудитор проводит с руководством, может ясно следовать, что руководство на самом деле выполняет процедуры оценки рисков.

Получение понимания внедренного в организации процесса мониторинга ее системы внутреннего контроля (см. пункт 24) Масштабируемость

А114. В менее сложных организациях и особенно в организациях, которыми руководит собственник, изучение аудитором внедренного в организации процесса мониторинга системы внутреннего контроля часто сконцентрировано на том, как руководство или руководитель-собственник непосредственно участвует в деятельности, потому что, возможно, какие-либо иные мероприятия по мониторингу отсутствуют.

Пример

Руководство может получать от клиентов жалобы на неточности в их ежемесячных выписках, что привлекает внимание руководителя-собственника к вопросам, связанным с моментом признания произведенных клиентом платежей в бухгалтерском учете.

А115. Для организаций, в которых отсутствует формализованный процесс мониторинга системы внутреннего контроля, понимание процесса мониторинга системы внутреннего контроля может подразумевать, в частности, изучение периодических проверок данных управленческого учета, которые должны способствовать предотвращению и обнаружению искажений организацией.

Понимание внедренного в организации процесса мониторинга системы внутреннего контроля (см. пункт 24(a))

А116. Примеры вопросов, которые могут быть значимыми для рассмотрения аудитором при изучении внедренного в организации процесса мониторинга системы внутреннего контроля:

разработка мероприятий по мониторингу, например, проводится ли мониторинг на периодической или непрерывной основе;

проведение мероприятий по мониторингу и периодичность их проведения;

своевременная оценка результатов мероприятий по мониторингу, чтобы установить, эффективно ли функционировали средства контроля;

какие надлежащие меры были приняты для устранения выявленных недостатков, включая своевременное информирование лиц, отвечающих за меры по устранению недостатков.

А117. Кроме того, аудитор может рассмотреть, как в рамках процесса мониторинга системы внутреннего контроля решается вопрос о мониторинге средств контроля обработки информации, которые функционируют с использованием ИТ. Это может включать, например, следующее:

средства контроля для мониторинга сложной ИТ-среды, которые предназначены для:

оценки непрерывной эффективности организации средств контроля обработки информации и их соответствующей модификации с учетом изменения условий или

оценки операционной эффективности средств контроля обработки информации;

средства контроля, которые отвечают за мониторинг прав доступа, применяемых в автоматизированных средствах контроля обработки информации и обеспечивающих разделение должностных обязанностей;

средства контроля, которые отвечают за мониторинг выявления и устранения ошибок или недостатков системы контроля, связанных с автоматизацией подготовки финансовой отчетности.

Получение представления о работе службы внутреннего аудита в организации (см. пункт 24(a)(ii))

В Приложении 4 более детально излагаются особенности получения представления о работе службы внутреннего аудита организации.

А118. Направление аудиторских запросов соответствующим сотрудникам службы внутреннего аудита помогает аудитору получить понимание характера обязанностей службы внутреннего аудита. Если аудитор устанавливает, что обязанности службы связаны с подготовкой финансовой отчетности организации, он может дополнительно ознакомиться с проведенными или планируемыми службой внутреннего аудита мероприятиями путем анализа плана аудита на конкретный период (при наличии такого плана) и путем его обсуждения с соответствующими сотрудниками службы. Такое понимание в сочетании с информацией, полученной с помощью направления запросов аудитором, может также предоставить информацию, непосредственно касающуюся выявления и оценки аудитором рисков существенного искажения. Если на основании предварительно полученного аудитором понимания службы внутреннего аудита аудитор предполагает использовать работу службы внутреннего аудита для изменения характера или сроков проведения или сокращения объема планируемых аудиторских процедур, применяется МСА 610 (пересмотренный, 2013 г.)37.

______________________________

37 МСА 610 (пересмотренный, 2013 г.) "Использование работы внутренних аудиторов".

Прочие источники информации, используемые в рамках внедренного в организации процесса мониторинга системы внутреннего контроля

Изучение источников информации (см. пункт 24(b))

А119. При осуществлении действий по мониторингу руководство может использовать информацию, содержащуюся в сообщениях от внешних сторон, например жалобы клиентов или замечания регулирующих органов. Такая информация может указывать на наличие проблем или областей, где требуются улучшения.

Почему аудитору необходимо понять, какие источники информации используются для целей мониторинга организацией системы внутреннего контроля

А120. Понимание аудитором источников информации, используемых организацией для целей мониторинга системы внутреннего контроля, в том числе понимание того, является ли используемая информация уместной и надежной, помогает аудитору оценить, является ли внедренный в организации процесс мониторинга системы внутреннего контроля организации надлежащим.

Если руководство исходит из того, что информация, используемая для целей мониторинга, является уместной и надежной при отсутствии оснований для такого допущения, то ошибки, которые, возможно, существуют в данной информации, могли бы потенциально привести руководство к неправильным выводам в результате проведения своих мероприятий по мониторингу.

Оценка внедренного в организации процесса мониторинга системы внутреннего контроля (см. пункт 24(c))

Почему аудитор оценивает, является ли внедренный в организации процесс мониторинга системы внутреннего контроля организации надлежащим

А121. Оценка аудитором того, как организация проводит текущие и отдельные оценки с целью мониторинга эффективности средств контроля, помогает аудитору понять, имеются ли и функционируют ли другие компоненты системы внутреннего контроля организации, а следовательно, помогает ему понять другие компоненты системы внутреннего контроля организации. Кроме того, данная оценка поможет аудитору выявить и оценить риски существенного искажения на уровне финансовой отчетности и на уровне предпосылок (см. пункт А86).

Оценка того, является ли внедренный в организации процесс мониторинга системы внутреннего контроля организации надлежащим (см. пункт 24(c))

А122. Оценка аудитором надлежащего характера внедренного в организации процесса мониторинга системы внутреннего контроля основывается на понимании аудитором внедренного в организации процесса мониторинга системы внутреннего контроля.

Информационная система, информационное взаимодействие и контрольные процедуры (см. пункты 25-26)

А123. Средства контроля в таких компонентах, как информационная система, информационное взаимодействие и контрольные процедуры, в основном являются прямыми средствами контроля (то есть средствами контроля, которые достаточно точны для предотвращения, обнаружения или исправления искажений на уровне предпосылок).

Почему аудитору необходимо получить понимание об информационной системе и информационном взаимодействии, а также средствах контроля в компоненте контрольных процедур

А124. Аудитору необходимо получить понимание об информационной системе и информационном взаимодействии в организации, потому что понимание политики организации, определяющей потоки операций и другие аспекты деятельности организации по обработке информации, которые являются значимыми для подготовки финансовой отчетности, и оценка того, облегчает ли данный компонент подготовку финансовой отчетности организации, помогают аудитору выявить и оценить риски существенного искажения на уровне предпосылки. Кроме того, такое понимание и такая оценка могут привести к выявлению рисков существенного искажения на уровне финансовой отчетности в тех случаях, когда результаты процедур, выполненных аудитором, не соответствуют ожиданиям относительно системы внутреннего контроля в организации, которые были определены на основании информации, полученной в процессе принятия решения о начале и (или) продолжении работы по данному заданию (см. пункт А86).

А125. Аудитору необходимо выявить конкретные средства контроля в компоненте контрольных процедур и оценить их структуру, а также определить, были ли средства контроля внедрены. Такие действия помогают аудитору понять, какой подход применяет руководство к снижению определенных рисков, а следовательно, обеспечивают основу для разработки и выполнения дальнейших аудиторских процедур в ответ на эти риски, в соответствии с требованиями МСА 330. Чем выше значение оцененного риска в диапазоне значений неотъемлемого риска, тем более всеобъемлющими должны быть аудиторские доказательства.

Даже если аудитор не планирует тестировать операционную эффективность выявленных средств контроля, понимание аудитора, тем не менее, может повлиять на определение характера, сроков и объема аудиторских процедур проверки по существу, которые выполняются в ответ на соответствующие риски существенного искажения.

Итеративный характер изучения и оценки аудитором информационной системы, информационного взаимодействия и контрольных процедур

А126. Как поясняется в пункте А49, понимание аудитором деятельности организации и ее окружения, а также применимой концепции подготовки финансовой отчетности помогает аудитору сформировать первоначальные ожидания в отношении того, какие виды операций, остатки по счетам и раскрытие информации могут оказаться значительными. При получении понимания в отношении информационной системы и информационного взаимодействия в соответствии с пунктом 25(a), аудитор может использовать эти первоначальные ожидания для целей определения той степени понимания деятельности организации по обработке информации, которой необходимо добиться.

А127. Понимание аудитором информационной системы включает понимание политики, определяющей потоки информации, относящейся к значительным видам операций, остаткам по счетам и раскрытию информации, а также иным связанным аспектам деятельности организации по обработке информации. Данная информация, а также информация, полученная в результате проведения аудитором оценки информационной системы, могут подтвердить или оказать дальнейшее влияние на ожидания аудитора в отношении первоначально выявленных значительных видов операций, остатков по счетам и раскрытия информации (см. пункт А126).

А128. При изучении того, как информация, относящаяся к значительным видам операций, остаткам по счетам и раскрытию информации, попадает в информационную систему организации, как происходит ее перемещение внутри системы и выход из системы, аудитор может также выявить средства контроля в компоненте контрольных процедур, которые требуется выявить согласно пункту 26(a). Выявление и оценка аудитором средств контроля в компоненте контрольных процедур могут быть сначала сконцентрированы на средствах контроля бухгалтерских записей и средствах контроля, операционную эффективность которых аудитор планирует протестировать при разработке характера, сроков и объема процедур проверки по существу.

А129. Кроме того, оценка аудитором неотъемлемого риска может влиять на выявление средств контроля в компоненте контрольных процедур. Например, выявление аудитором средств контроля, относящихся к значительным рискам, возможно только в том случае, если аудитор оценил неотъемлемый риск на уровне предпосылок в соответствии с пунктом 31. Кроме того, средства контроля, снижающие риски в отношении которых аудитор установил, что одни только процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства (в соответствии с пунктом 33), также могут быть выявлены только в том случае, если аудитор провел оценку неотъемлемого риска.

А130. На выявление и оценку аудитором рисков существенного искажения на уровне предпосылок влияют оба фактора:

понимание аудитором политики организации в отношении деятельности по обработке информации в компоненте информационной системы и информационного взаимодействия и

выявление и оценка аудитором средств контроля в компоненте контрольных процедур.

Получение понимания в отношении информационной системы и информационного взаимодействия (см. пункт 25)

В Приложении 3 в пунктах 15 - 19 представлены дополнительные вопросы, которые необходимо рассмотреть в отношении информационной системы и информационного взаимодействия.

Масштабируемость

А131. Информационная система и соответствующие бизнес-процессы в менее сложных организациях, как правило, не такие усложненные, как в более крупных организациях, и, как правило, предполагают менее сложную ИТ-среду; однако это не умаляет роли информационной системы. Менее сложным организациям, в управлении которыми руководство принимает непосредственное участие, возможно, не требуются подробные описания процедур бухгалтерского учета, сложных данных бухгалтерского учета или документально оформленной политики. Следовательно, при аудите организаций с менее сложной структурой изучение соответствующих аспектов информационной системы организации может требоваться в меньшем объеме и подразумевать больше запросов, чем наблюдений или инспектирования документации. Однако необходимость получения понимания в отношении информационной системы остается актуальной, потому что оно служит основой для разработки дальнейших аудиторских процедур в соответствии с МСА 330 и может еще больше облегчить аудитору задачу выявления и оценки рисков существенного искажения (см. пункт А86).

Получение понимания в отношении информационной системы (см. пункт 25(a))

А132. В систему внутреннего контроля организации входят аспекты, которые относятся к целям отчетности организации, включая цели финансовой отчетности, но также могут входить аспекты, связанные с целями ее операционной деятельности или соблюдением законов и нормативных актов, если такие аспекты относятся к подготовке финансовой отчетности. В рамках изучения аудитором информационной системы понимание им порядка инициирования операций и сбора информации организацией может включать информацию о системах организации (ее политику), предназначенных для обеспечения соблюдения законов и нормативных актов и достижения целей операционной деятельности, поскольку данная информация является значимой для подготовки финансовой отчетности. Кроме того, в некоторых организациях могут быть высоко интегрированные информационные системы, когда средства контроля разработаны таким образом, чтобы параллельно обеспечить достижение целей финансовой отчетности, соблюдение законов и нормативных актов, достижение целей операционной деятельности, а также эти задачи могут выполняться в сочетании друг с другом.

А133. Изучение информационной системы организации включает также изучение ресурсов, которые будут использоваться в процессе обработки информации в организации. Информация о привлекаемых кадровых ресурсах, которая может быть важной для понимания рисков нарушения целостности информационной системы, охватывает следующее:

какова компетентность лиц, выполняющих работу;

имеются ли достаточные ресурсы;

имеется ли надлежащее разделение должностных обязанностей.

А134. Вопросы, которые может рассмотреть аудитор при изучении политики, которая определяет потоки информации, относящиеся к значительным видам операций, остаткам по счетам и раскрытию информации в составе информационной системы и информационного взаимодействия, включают характер следующей информации и процессов:

(a) подлежащих обработке данных или информации, относящейся к операциям, прочим событиям и условиям;

(b) обработки информации для сохранения целостности указанных данных или информации;

(c) информационных процессов, персонала и прочих ресурсов, используемых в процессе обработки информации.

А135.

Получение понимания бизнес-процессов организации, в том числе порядка их инициирования, помогает аудитору получить понимание в отношении информационной системы организации способом, соответствующим обстоятельствам организации.

А136. Аудитор может получить понимание в отношении информационной системы разными способами, включая следующие:

направление запросов соответствующему персоналу относительно процедур, которые используются для инициирования, отражения, обработки и представления в отчетности операций, или относительно процесса подготовки финансовой отчетности организации;

инспектирование регламентов по соблюдению политики или процедур или иной документации по информационной системе организации;

наблюдение за выполнением политики или процедур персоналом организации;

выбор операций и их отслеживание в рамках применимого процесса в информационной системе (то есть выполнение сквозной проверки).

Автоматизированные инструменты и методы

А137. Кроме того, аудитор может использовать автоматизированные методы для получения прямого доступа к базам данных в информационной системе, в которых хранятся данные бухгалтерского учета операций, или для выгрузки цифровых данных из таких баз. С применением к данной информации автоматизированных инструментов или методов аудитор может подтвердить свое понимание в отношении потока операций в информационной системе, отследив бухгалтерские записи или иные цифровые записи, относящиеся к конкретной операции, либо всю совокупность операций с момента ввода в состав данных бухгалтерского учета и до момента отражения в основном регистре. Анализ полных или больших групп операций тоже может привести к выявлению отклонений от обычных или ожидаемых процедур обработки этих операций, в результате чего могут быть выявлены риски существенного искажения.

Информация, полученная не из основного регистра и вспомогательных ведомостей

А138. Финансовая отчетность может содержать информацию, которая получена не из основного регистра и вспомогательных ведомостей. Примеры такой информации, которую может рассмотреть аудитор:

информация, полученная из договоров аренды, которые важны для раскрытия информации в финансовой отчетности;

информация, раскрытая в финансовой отчетности, которую предоставляет система управления рисками организации;

информация о справедливой стоимости, предоставляемая экспертами руководства и раскрытая в финансовой отчетности;

информация, раскрытая в финансовой отчетности, которая получена на основе моделирования или иным расчетным способом и используется для формирования оценочных значений, признанных или раскрытых в финансовой отчетности, включая информацию, которая относится к базовым данным и допущениям, используемым при таком моделировании, например:

принятые внутри организации допущения, способные повлиять на срок полезного использования актива;

информация, такая как процентные ставки, которая подвержена влиянию факторов, находящихся вне сферы контроля организации;

информация, раскрытая в финансовой отчетности, касающаяся анализа чувствительности, выполненного на основе финансовых моделей, которые показывают использование руководством альтернативных допущений;

информация, признанная или раскрытая в финансовой отчетности, которая получена из налоговых деклараций или налогового учета организации;

информация, раскрытая в финансовой отчетности, которая получена на основе аналитических данных, подготовленных для подтверждения сделанной руководством оценки в отношении способности организации продолжать непрерывно свою деятельность, такая как раскрытие информации (если имеется), относящееся к событиям или условиям, которые были идентифицированы и могут вызвать значительные сомнения относительно способности организации непрерывно продолжать свою деятельность38.

______________________________

38 МСА 570 (пересмотренный), пункты 19 - 20.

А139. Некоторые суммы или раскрытие информации в финансовой отчетности организации (такие как раскрытие информации о кредитном риске, риске ликвидности и рыночном риске) могут быть основаны на информации, полученной из системы управления рисками организации. Однако от аудитора не требуется понимания всех аспектов системы управления рисками, и он использует профессиональные суждения для определения тех областей, которые требуют понимания.

Использование организацией информационных технологий в информационной системе

Почему аудитору необходимо понимать ИТ-среду, относящуюся к информационной системе

А140. Получение понимания аудитором информационной системы охватывает ИТ-среду, относящуюся к потокам операций и обработке информации в информационной системе организации, так как в результате использования организацией ИТ-приложений или других аспектов ИТ-среды могут возникнуть риски, связанные с использованием ИТ.

А141. Изучение бизнес-модели организации и того, как в ней интегрировано использование ИТ, тоже может быть полезным для понимания ожидаемого характера и объема ИТ в информационной системе.

Понимание использования ИТ в организации

А142. При изучении ИТ-среды аудитор может сконцентрировать внимание на выявлении и изучении характера и количества конкретных ИТ-приложений и других аспектов ИТ-среды, относящихся к потокам операций и обработке информации в информационной системе. Изменения в потоке операций или информации в информационной системе могут произойти в результате программных изменений в ИТ-приложениях или изменений непосредственно в данных, содержащихся в базах данных, которые задействованы в обработке или хранении данных по операциям или иной информации.

А143. Аудитор может выявить ИТ-приложения и поддерживающую ИТ-инфраструктуру одновременно с изучением того, как информация, относящаяся к значительным видам операций, остаткам по счетам и раскрытию информации, попадает в информационную систему организации, как происходит ее перемещение внутри системы и что получается на выходе из системы.

Получение понимания информационного взаимодействия в организации (см. пункт 25(b))

Масштабируемость

А144. В более крупных, более сложных организациях, информация, которую аудитор может рассмотреть при изучении информационного взаимодействия в организации, может содержаться во внутренних регламентах, касающихся политики и подготовки финансовой отчетности.

А145. У менее сложной организации информационное взаимодействие может быть менее структурированным (например, могут не использоваться официальные руководства) в связи с меньшим количеством уровней ответственности и более высокой степенью прозрачности, а также большей близостью и доступностью руководства. Независимо от размера организации открытые каналы информационного взаимодействия помогают сообщать об исключительных ситуациях и обеспечивают принятие соответствующих мер.

Оценка того, поддерживают ли соответствующие аспекты информационной системы подготовку финансовой отчетности организации (см. пункт 25(c))

А146.

Оценка аудитором того, поддерживает ли информационная система организации надлежащим образом подготовку финансовой отчетности, основывается на понимании, полученном в соответствии с пунктами 25(а)-(b).

Контрольные процедуры (см. пункт 26)

Средства контроля в компоненте контрольных процедур

В Приложении 3 в пунктах 20 и 21 представлены дополнительные вопросы, которые необходимо рассмотреть в отношении контрольных процедур.

А147. К компоненту контрольных процедур относятся средства контроля, разработанные для обеспечения надлежащего применения политики (которая тоже является средством контроля) во всех остальных компонентах системы внутреннего контроля организации. Данные средства контроля включают как прямые, так и косвенные средства контроля.

Пример

Средства контроля, установленные организацией для надлежащего учета и отражения персоналом запасов при ежегодной инвентаризации, относятся непосредственно к рискам существенного искажения, связанным с такими предпосылками, как существование и полнота остатка по счету запасов.

А148. При выявлении и оценке аудитором средств контроля в компоненте контрольных процедур аудитор уделяет особо пристальное внимание средствам контроля обработки информации, которые представляют собой средства контроля, применяемые при обработке информации в информационной системе организации, и которые непосредственно снижают риски, связанные с целостностью информации (то есть полнотой, точностью и достоверностью операций и прочей информации). Однако аудитор не обязан выявлять и оценивать все средства контроля обработки информации, относящиеся к политике организации, которая определяет потоки операций и другие аспекты ее деятельности по обработке информации в отношении значительных видов операций, остатков по счетам или раскрытия информации.

А149. Возможно также наличие прямых средств контроля, которые существуют в контрольной среде, процессе оценки рисков в организации или во внедренном в организации процессе мониторинга системы внутреннего контроля и которые могут быть выявлены в соответствии с пунктом 26. Однако чем более опосредована связь между средствами контроля, которые являются вспомогательными для других средств контроля, и рассматриваемым средством контроля, тем менее эффективным может оказаться это средство контроля в предотвращении или обнаружении и исправлении соответствующих искажений.

Пример

Анализ менеджером по продажам отчетов о продажах в определенных магазинах по регионам, как правило, лишь косвенно связан с рисками существенного искажения, относящимися к предпосылке о полноте отражения выручки от продаж. Следовательно, такое средство контроля может оказаться менее эффективным для снижения данных рисков, чем те, которые более непосредственно связаны с этой предпосылкой, такие как сверка отгрузочных документов с документами на оплату.

А150. В соответствии с пунктом 26 аудитору требуется выявить и оценить общие средства ИТ-контроля для ИТ-приложений и другие аспекты ИТ-среды, которые, как установил аудитор, подвержены рискам, возникающим вследствие использования ИТ, так как общие средства ИТ-контроля поддерживают непрерывное эффективное функционирование средств контроля обработки информации. Одного только общего средства ИТ-контроля, как правило, недостаточно для управления риском существенного искажения на уровне предпосылок.

А151. Средства контроля, которые аудитор обязан выявить, оценив их структуру и определив, были ли они внедрены в соответствии с пунктом 26, - это средства контроля, в отношении которых:

аудитор планирует протестировать операционную эффективность при определении характера, сроков и объема процедур проверки по существу. Оценка таких средств контроля обеспечивает основу для разработки аудитором тестирования процедур контроля в соответствии с МСА 330. Данные средства контроля также включают средства контроля, снижающие риски, для которых одни только процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства;

средства контроля включают средства контроля, снижающие значительные риски, и средства контроля в отношении бухгалтерских записей. Выявление и оценка аудитором таких средств контроля могут также влиять на понимание аудитором рисков существенного искажения, в том числе выявление дополнительных рисков существенного искажения (см. пункт А95). На основе данного понимания аудитор определяет характер, сроки и объем процедур проверки по существу в ответ на связанные с ними оцененные риски существенного искажения;

прочие средства контроля, которые аудитор считает надлежащими для того, чтобы он мог выполнить задачи, указанные в пункте 13, в отношении рисков на уровне предпосылок, основываясь на своем профессиональном суждении.

А152. Средства контроля в компоненте контрольных процедур необходимо выявить в том случае, если данные средства контроля удовлетворяют одному или нескольким критериям, указанным в пункте 26(a). Однако, если каждое из разных средств контроля направлено на достижение одной и той же цели, тогда нет необходимости выявлять каждое из этих средств контроля, относящихся к такой цели.

Виды средств контроля в компоненте контрольных процедур (см. пункт 26)

А153. Примеры средств контроля в компоненте контрольных процедур включают санкционирование и утверждение, сверку, верификацию (например, проверку внесения изменения и подтверждения правильности или автоматизированный расчет), разделение должностных обязанностей и средства физического и логического контроля, включая средства контроля, связанные с обеспечением сохранности активов.

А154. Кроме того, средства контроля в компоненте контрольных процедур могут включать установленные руководством средства контроля, снижающие риски существенного искажения, связанные с раскрытием информации, подготовленной не в соответствии с применимой концепцией подготовки финансовой отчетности. Такие средства контроля могут относиться к включенной в финансовую отчетность информации, которая получена не из основного регистра и вспомогательных ведомостей.

А155. Независимо от того, функционируют ли средства контроля в рамках ИТ-среды или систем, в которых операции осуществляются вручную, у средств контроля могут быть различные цели и они могут применяться на разных организационных и функциональных уровнях.

Масштабируемость (см. пункт 26)

А156. Средства контроля в компоненте контрольных процедур в менее сложных организациях с большой вероятностью будут теми же, что и в более крупных организациях, однако степень документального оформления порядка их функционирования может разниться. Кроме того, в менее сложных организациях возможно применение большего числа средств контроля непосредственно руководством.

Пример

Единоличные полномочия руководства по предоставлению кредита клиентам и утверждению значительных приобретений могут обеспечивать строгий контроль остатков по важным счетам и операциям.

А157. Возможно, вводить разделение должностных обязанностей в менее сложных организациях с меньшим штатом сотрудников менее целесообразно.

Однако в организациях, которыми руководит собственник, он может осуществлять более эффективный надзор за счет своей непосредственной вовлеченности, что может компенсировать наличие в целом более ограниченных возможностей для разделения должностных обязанностей. В то же время, как разъясняется также в МСА 240, доминирование в руководстве одного человека может считаться потенциальным недостатком средства контроля, поскольку руководство может действовать в обход средств контроля39.

______________________________

39 МСА 240, пункт А28.

Средства контроля, предназначенные для снижения рисков существенного искажения на уровне предпосылок (см. пункт 26(a))

Средства контроля, предназначенные для снижения рисков, которые определены как значительные риски (см. пункт 26(a)(1))

А158. Вне зависимости от того, планирует ли аудитор тестировать операционную эффективность средств контроля, предназначенных для снижения значительных рисков, полученное понимание подхода, который применяется руководством для снижения данных рисков, может обеспечить основу для разработки и выполнения процедур проверки по существу в ответ на значительные риски, в соответствии с требованиями МСА 330.40. Несмотря на то, что риски, связанные со значимыми нестандартными вопросами или вопросами, требующими суждения, с меньшей вероятностью попадают в сферу действия стандартных средств контроля, руководство может применить другие меры в ответ на такие риски. Следовательно, представление аудитора о том, разработала и внедрила ли организация средства контроля в отношении значительных рисков, возникающих в связи с нестандартными вопросами или вопросами, требующими суждения, может включать понимание того, принимает ли руководство какие-либо меры в ответ на эти риски, и если да, то какие. Такие меры могут включать следующее:

______________________________

40 МСА 330, пункт 21.

средства контроля, такие как проверка допущений высшим руководством или экспертами;

документально оформленные процессы учета оценочных значений;

подтверждение лицами, отвечающими за корпоративное управление.

Пример

При возникновении событий разового характера, таких как получение уведомления о значительном судебном иске, рассмотрение ответных действий организации может включать и рассмотрение вопросов о том, было ли такое уведомление передано соответствующим экспертам (например, внутренним юристам организации или внешним юристам), была ли выполнена оценка возможных последствий и какое раскрытие информации об этих обстоятельствах предлагается дать в финансовой отчетности.

А159. В соответствии с требованиями МСА 240.41 аудитор обязан изучить средства контроля, связанные с оцененными рисками существенного искажения вследствие недобросовестных действий (которые считаются значительными рисками). Далее в стандарте поясняется, что аудитору важно получить понимание, какие средства контроля разработаны, внедрены и поддерживаются руководством для предотвращения и обнаружения недобросовестных действий.

______________________________

41 МСА 240, пункты 28 и А33.

Средства контроля за бухгалтерскими записями (см. пункт 26(a)(ii))

А160.

Средства контроля, предназначенные для снижения рисков существенного искажения на уровне предпосылок, которые, как предполагается, должны быть выявлены в рамках всех проверок, - это средства контроля за бухгалтерскими записями, так как способ внесения информации организацией в результате обработки операций в основной регистр, как правило, подразумевает использование бухгалтерских записей, будь то стандартные или нестандартные записи, автоматизированные записи или записи, осуществляемые вручную. Объем выявления других средств контроля может варьироваться в зависимости от характера организации и планируемого аудитором подхода к проведению дальнейших аудиторских процедур.

Пример

При проведении аудита организаций с менее сложной структурой информационная система организации может быть несложной и аудитор может не планировать полагаться на операционную эффективность средств контроля. Более того, возможно, аудитор не выявит значительных рисков или иных рисков существенного искажения, в отношении которых ему необходимо оценить структуру средств контроля и определить, были ли они внедрены. При проведении такого аудита аудитор может установить, что выявленные средства контроля в организации отсутствуют, за исключением средств контроля за бухгалтерскими записями.

Автоматизированные инструменты и методы

А161. В системах, в которых основной регистр ведется вручную, нестандартные бухгалтерские записи могут быть выявлены в результате инспектирования регистров, журналов и подтверждающей документации. В тех случаях, когда для ведения основного регистра и подготовки финансовой отчетности используются автоматизированные процедуры, такие записи могут существовать только в электронной форме, а следовательно, их легче выявить за счет использования автоматизированных методов.

Пример

При проведении аудита организации с менее сложной структурой аудитор, возможно, получит общий перечень всех бухгалтерских записей в форме простой электронной таблицы. Следовательно, он может отсортировать бухгалтерские записи с применением самых разных фильтров, таких как сумма в валюте, имя исполнителя или проверяющего, бухгалтерские записи, которые только суммируют показатели в бухгалтерском балансе или отчете о прибылях и убытках, или может посмотреть перечень по дате отражения бухгалтерской записи в основном регистре для облегчения себе задачи по разработке процедур в ответ на выявленные риски, связанные с бухгалтерскими записями.

______________________________

41 МСА 240, пункты 28 и А33.

Средства контроля, в отношении которых аудитор планирует протестировать операционную эффективность (см. пункт 26(a)(iii))

A162. Аудитор устанавливает, имеются ли риски существенного искажения на уровне предпосылок, для которых невозможно получить достаточные надлежащие аудиторские доказательства только путем выполнения процедур проверки по существу. В соответствии с МСА 330.42 аудитор должен разработать и выполнить тесты средств контроля, предназначенные для снижения таких рисков существенного искажения, если одни только процедуры проверки по существу не обеспечивают получение достаточных аудиторских доказательств на уровне предпосылок. В результате в тех случаях, когда существуют такие средства контроля, которые снижают данные риски, их необходимо выявить и оценить.

______________________________

42 МСА 330, пункт 8(b).

А163.

В других случаях, когда аудитор планирует принять во внимание операционную эффективность средств контроля при определении характера, сроков и объема процедур проверки по существу в соответствии с МСА 330, такие средства контроля также необходимо выявить, потому что в соответствии с МСА 330.43 аудитор должен разработать и выполнить тесты в отношении данных средств контроля.

______________________________

43 МСА 330, пункт 8(a).

Примеры

Аудитор может запланировать проведение теста операционной эффективности средств контроля:

в отношении стандартных видов операций, потому что такое тестирование может быть результативнее и эффективнее в случае больших объемов однородных операций;

в отношении полноты и точности информации, формируемой организацией (например, средства контроля за подготовкой отчетов, формируемых системой), чтобы определить надежность данной информации в тех случаях, когда аудитор намерен принимать во внимание операционную эффективность данных средств контроля при разработке и выполнении дальнейших аудиторских процедур;

в отношении целей операционной деятельности и соблюдения законов и нормативных актов, когда эти средства контроля относятся к данным, которые аудитор оценивает или использует при выполнении аудиторских процедур.

А164. На планы аудитора протестировать операционную эффективность средств контроля могут также повлиять выявленные риски существенного искажения на уровне финансовой отчетности. Например, выявление недостатков, связанных с контрольной средой, может повлиять на общие ожидания аудитора относительно операционной эффективности прямых средств контроля.

Прочие средства контроля, которые аудитор считает надлежащими (см. пункт 26(a)(iv))

A165. К прочим средствам контроля, которые, по мнению аудитора, необходимо выявить, оценив их структуру и определив, были ли они внедрены, можно отнести следующие:

средства контроля, предназначенные для снижения рисков, которые оценены как повышенные в диапазоне значений неотъемлемого риска, но которые не были определены как значительные риски;

средства контроля, связанные со сверкой детализированных записей с основным регистром, или

дополнительные средства контроля организации-пользователя в случае использования услуг обслуживающей организации44.

______________________________

44 МСА 402 "Особенности аудита организации, пользующейся услугами обслуживающей организации".

Выявление ИТ-приложений и других аспектов ИТ-среды, рисков, возникающих вследствие использования информационных технологий и общих средств IT-контроля (см. пункты 26(b)-(с))

В Приложении 5 приведены примеры характеристик ИТ-приложений и других аспектов ИТ-среды, а также рекомендаций в отношении данных характеристик, которые могут иметь значение при выявлении ИТ-приложений и прочих аспектов ИТ-среды, подверженных рискам в связи с использованием информационных технологий.

Выявление ИТ-приложений и других аспектов ИТ-среды (см. пункт 26(b))

Почему аудитор выявляет риски, возникающие вследствие использования информационных технологий, и общие средства ИТ-контроля, относящиеся к выявленным ИТ-приложениям и прочим аспектам ИТ-среды

А166. Понимание рисков, возникающих вследствие использования информационных технологий, и общих средств ИТ-контроля, внедренных в организации для управления данными рисками, может влиять на:

решение аудитора в отношении того, тестировать ли операционную эффективность средств контроля, предназначенных для снижения рисков существенного искажения на уровне предпосылок;

Пример

Когда общие средства ИТ-контроля не разработаны эффективно или не внедрены надлежащим образом с целью снижения рисков, возникающих вследствие использования информационных технологий (например, средства контроля не предотвращают или не обнаруживают надлежащим образом неавторизованные изменения в программе или несанкционированный доступ к ИТ-приложениям), этот факт может оказать влияние на решение аудитора полагаться на автоматизированные средства контроля в рамках рассматриваемых ИТ-приложений.

оценку аудитором риска средств контроля на уровне предпосылок;

Пример

Непрерывное эффективное функционирование средства контроля обработки информации может зависеть от определенных общих средств ИТ-контроля, которые предотвращают или обнаруживают неавторизованные программные изменения в средствах контроля обработки ИТ-информации (то есть средства контроля за изменениями программного обеспечения в отношении соответствующего ИТ-приложения). В таких обстоятельствах ожидаемая операционная эффективность (или ее отсутствие) общих средств ИТ-контроля может влиять на оценку аудитором риска средств контроля (например, риск средств контроля может быть выше, если ожидается, что такие общие средства ИТ-контроля будут неэффективными, или если аудитор не планирует тестировать общие средства ИТ-контроля).

стратегию аудитора в отношении тестирования предоставленной организацией информации, которая сформирована в ИТ-приложениях организации или включает информацию из этих приложений;

Пример

Если предоставленная организацией информация, которая будет использована в качестве аудиторских доказательств, сформирована ИТ-приложениями, аудитор может принять решение о тестировании средств контроля за отчетами, сформированными системой, включая выявление и тестирование общих средств ИТ- контроля, которые предназначены для снижения рисков ненадлежащих или неавторизованных программных изменений или изменений непосредственно в данных отчета.

оценку аудитором неотъемлемого риска на уровне предпосылок или

Пример

Внесение значительных или многочисленных программных изменений в ИТ-приложения с учетом новых или пересмотренных требований к отчетности применимой концепции подготовки финансовой отчетности может указывать на сложность новых требований и их влияние на финансовую отчетность организации. Когда происходят такие многочисленные изменения в программе или данных, ИТ-приложение тоже, скорее всего, будет подвергаться рискам, возникающим в связи с использованием информационных технологий.

разработку дальнейших аудиторских процедур.

Пример

Если средства контроля обработки информации полагаются на общие средства ИТ-контроля, аудитор может принять решение о тестировании операционной эффективности общих средств ИТ-контроля, в результате потребуется разработать тестирование средств контроля для таких общих средств ИТ-контроля. Если при таких же обстоятельствах аудитор принимает решение не проводить тестирование операционной эффективности общих средств ИТ-контроля или предполагается, что общие средства ИТ-контроля неэффективны, возможно, потребуется снизить соответствующие риски, возникающие вследствие использования ИТ, посредством разработки процедур проверки по существу. Однако риски, возникающие вследствие использования ИТ, невозможно снизить, если они относятся к рискам, для которых одни только процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства. В таких случаях аудитору может потребоваться рассмотреть последствия для аудиторского мнения.

Выявление ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ

А167. Для ИТ-приложений, связанных с информационной системой, понимание характера и сложности конкретных ИТ-процессов и общих средств ИТ-контроля, внедренных организацией, может облегчить аудитору задачу определения, на какие ИТ-приложения полагается организация в части точной обработки и сохранения целостности информации в информационной системе организации. Такие ИТ-приложения могут быть подвержены рискам, возникающим вследствие использования ИТ.

А168. При выявлении ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ, учитываются средства контроля, выявленные аудитором, потому что данные средства контроля могут использовать ИТ или полагаться на ИТ. Аудитор может сконцентрировать внимание на том, включает ли ИТ-приложение автоматизированные средства контроля, на которые полагается руководство и которые выявил аудитор, в том числе средства контроля, снижающие риски, для которых одни только процедуры проверки по существу не обеспечивают достаточных надлежащих аудиторских доказательств. Кроме того, аудитор может рассмотреть порядок хранения и обработки информации в информационной системе в части значительных видов операций, остатков по счетам и раскрытия информации. Аудитор может также рассмотреть вопрос о том, полагается ли руководство на общие средства ИТ-контроля с целью сохранения целостности данной информации.

А169. Средства контроля, выявленные аудитором, могут зависеть от отчетов, сформированных системой. В таком случае ИТ-приложения, которые формируют данные отчеты, могут быть подвержены рискам, возникающим вследствие использования ИТ. В других случаях аудитор может не планировать, что он будет полагаться на средства контроля в отношении отчетов, сформированных системой, и планировать тестирование непосредственно исходных данных и результатов, представленных в данных отчетах. В таком случае аудитор может не выявить соответствующие ИТ- приложения как приложения, подверженные рискам, которые возникают вследствие использования ИТ.

Масштабируемость

А170. Степень понимания аудитором ИТ-процессов, в том числе объема внедрения организацией общих средств ИТ- контроля, будет различаться в зависимости от характера и обстоятельств организации и ее ИТ-среды, а также в зависимости от характера и объема средств контроля, выявленных аудитором. Количество ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ, также будет варьироваться в зависимости от данных факторов.

Примеры

Маловероятно, чтобы в организации, которая использует коммерческое программное обеспечение и не располагает доступом к исходному коду для внесения каких-либо программных изменений, имелся процесс для внесения программных изменений, однако может существовать процесс или процедуры для конфигурации программного обеспечения (например, план счетов, параметры отчетности или пороговые значения). Кроме того, в организации может иметься процесс или процедуры управления доступом к приложению (например, назначенное лицо, имеющее административный доступ к коммерческому программному обеспечению). При таких обстоятельствах маловероятно, чтобы у организации были (или чтобы ей требовались) формализованные общие средства ИТ-контроля.

В отличие от этого, более крупные организации могут полагаться в значительной степени на информационные технологии, и ИТ-среда может включать многочисленные ИТ-приложения, а ИТ-процессы для управления ИТ-средой могут быть сложными (например, существует специально сформированный ИТ- отдел, который разрабатывает и внедряет программные изменения и управляет правами доступа), включая то, что организация внедрила формализованные общие средства ИТ-контроля в отношении ИТ-процессов.

Если руководство не полагается на автоматизированные средства контроля или общие средства ИТ-контроля для обработки операций или хранения данных и аудитор не выявил каких-либо автоматизированных средств контроля или иных средств контроля обработки информации (или каких-либо средств контроля, которые полагаются на общие средства ИТ-контроля), аудитор может планировать непосредственное тестирование информации, подготовленной организацией с использованием ИТ, и может не выявить какие-либо ИТ-приложения, которые подвергаются рискам, возникающим вследствие использования ИТ.

Если руководство полагается на ИТ-приложение для обработки или хранения данных и объем данных является значительным, при этом руководство полагается на ИТ-приложение для осуществления автоматизированных средств контроля, которые аудитор также выявил, ИТ-приложение с большой вероятностью будет подвержено рискам, возникающим вследствие использования ИТ.

А171. Если в организации более сложная ИТ-среда, для выявления ИТ-приложений и других аспектов ИТ-среды, определения связанных рисков, возникающих вследствие использования ИТ, и выявления общих средств ИТ-контроля, скорее всего, потребуется участие членов аудиторской группы, обладающих специальной квалификацией в области ИТ. Такое участие с большой вероятностью будет необходимым и в условиях сложной среды информационных технологий, возможно, будет значительным.

Выявление прочих аспектов ИТ-среды, которые подвержены рискам, возникающим вследствие использования ИТ

А172. Другие аспекты ИТ-среды, которые могут быть подвержены рискам, возникающим вследствие использования ИТ, включают сеть, операционную систему и базы данных, а также при определенных обстоятельствах интерфейсы между ИТ-приложениями. Другие аспекты ИТ-среды, как правило, не идентифицируются, если аудитор не выявляет ИТ-приложения, которые подвержены рискам, возникающим вследствие использования ИТ. Если аудитор выявил ИТ-приложения, которые подвержены рискам, возникающим вследствие использования ИТ, другие аспекты ИТ-среды (например, база данных, операционная система, сеть), скорее всего, будут выявлены, потому что данные аспекты являются вспомогательными для выявленных ИТ- приложений и взаимодействуют с ними.

Выявление рисков, возникающих вследствие использования ИТ, и общих средств ИТ-контроля (см. пункт 26(c))

В Приложении 6 приводятся вопросы, которые следует рассмотреть при изучении общих средств ИТ-контроля.

А173. При выявлении рисков, возникающих вследствие использования ИТ, аудитор может рассмотреть характер выявленного ИТ-приложения или иного аспекта ИТ-среды, а также причины, по которым они подвержены рискам, возникающим вследствие использования ИТ.

По некоторым выявленным ИТ-приложениям и другим аспектам ИТ-среды аудитор может выявить применимые риски, возникающие вследствие использования ИТ и относящиеся в основном к несанкционированному доступу или неавторизованным программным изменениям, а также риски, связанные с ненадлежащими изменениями данных (например, риск внесения ненадлежащих изменений в данные посредством получения прямого доступа к базам данных или возможности непосредственного манипулирования информацией).

А174. Объем и характер применимых рисков, возникающих вследствие использования ИТ, различны в зависимости от характера и характеристик выявленных ИТ-приложений и других аспектов ИТ-среды. Применимые ИТ-риски могут возникать в тех случаях, когда организация привлекает внешних или внутренних поставщиков услуг для поддержки выявленных аспектов своей ИТ-среды (например, передает на аутсорсинг третьей стороне хостинг своей ИТ-среды или использует общий центр обслуживания для централизованного управления ИТ-процессами в группе). Применимые риски, возникающие вследствие использования ИТ, также могут быть выявлены в части кибербезопасности. Скорее всего, при использовании ИТ возникает больше рисков в тех случаях, когда объем автоматизированных прикладных средств контроля больше или уровень их сложности выше и руководство в большей степени полагается на эти средства контроля для эффективной обработки операций или эффективного обеспечения целостности базовой информации.

Оценка структуры и определение внедрения выявленных средств контроля в компоненте контрольных процедур (см. пункт 26(d))

А175. Оценка структуры выявленного средства контроля включает рассмотрение аудитором вопроса о том, способно ли средство контроля в отдельности или в сочетании с другими средствами контроля эффективно предотвратить либо обнаружить и исправить существенные искажения (то есть цель контроля).

А176. Аудитор определяет, что выявленное средство контроля внедрено, если устанавливает, что данное средство контроля имеется в наличии и что организация его применяет. Едва ли аудитору целесообразно оценивать внедрение средства контроля, если оно разработано неэффективно. Следовательно, аудитор сначала оценивает структуру средства контроля. Разработанное ненадлежащим образом средство контроля может представлять собой недостаток средства контроля.

А177. Процедуры оценки рисков, направленные на получение аудиторских доказательств в отношении структуры и внедрения выявленных средств контроля в компоненте контрольных процедур, могут включать следующее:

направление запросов сотрудникам организации;

наблюдение за применением конкретных средств контроля;

инспектирование документов и отчетов.

Однако одних только запросов недостаточно для достижения указанных целей.

А178. Аудитор может предположить, основываясь на опыте проведения предыдущего аудита или на результатах процедур оценки рисков в текущем периоде, что руководство не обеспечило эффективную разработку и не внедрило средства контроля, предназначенные для снижения значительного риска. В таких случаях выполненные процедуры в части требования, содержащегося в пункте 26(d), могут состоять в определении того, что данные средства контроля не были эффективно разработаны или внедрены. Если результаты процедур указывают на то, что средства контроля были разработаны или внедрены недавно, аудитор обязан выполнить процедуры, указанные в пунктах 26(b) - (d), в отношении только что разработанных или внедренных средств контроля.

А179.

Аудитор может прийти к выводу о том, что тестирование средства контроля, которое эффективно разработано и внедрено, вероятно, будет необходимо для того, чтобы учесть его операционную эффективность при разработке процедур проверки по существу. Однако, если средство контроля не разработано или не внедрено эффективно, его тестирование нецелесообразно. Если аудитор планирует тестировать средство контроля, полученные данные о том, насколько средство контроля снижает риск (риски) существенного искажения, представляют собой исходные данные для оценки аудитором риска средств контроля на уровне предпосылок.

А180. Оценки структуры и определения внедрения выявленных средств контроля в компоненте контрольных процедур недостаточно для тестирования их операционной эффективности. Однако для автоматизированных средств контроля аудитор может запланировать тестирование их операционной эффективности посредством выявления и тестирования общих средств ИТ-контроля, которые обеспечивают последовательное функционирование автоматизированного средства контроля, вместо выполнения тестирования операционной эффективности непосредственно автоматизированных средств контроля. Получение аудиторских доказательств в отношении внедрения в определенный момент времени средства контроля, применяемого вручную, не является аудиторским доказательством операционной эффективности средства контроля в другие моменты в течение периода, в отношении которого проводится аудит. Более детальная информация о тестах операционной эффективности средств контроля, включая тесты косвенных средств контроля, содержится в МСА 330.45.

______________________________

45 МСА 330, пункты 8 - 11.

А181. Если аудитор не планирует тестировать операционную эффективность выявленных средств контроля, их понимание, тем не менее, может помочь ему при разработке характера, сроков и объема аудиторских процедур проверки по существу, которые выполняются в ответ на соответствующие риски существенного искажения.

Пример

Результаты данных процедур оценки рисков могут лечь в основу рассмотрения аудитором возможных отклонений в совокупности при формировании аудиторской выборки.

Недостатки средств контроля в системе внутреннего контроля организации (см. пункт 27)

А182. При выполнении оценки каждого компонента системы внутреннего контроля организации46 аудитор может определить, что отдельные положения политики организации в компоненте являются ненадлежащими с учетом характера и обстоятельств организации. Такое заключение может служить признаком, который помогает аудитору в выявлении недостатков системы контроля. Если аудитор выявил один или более недостатков системы контроля, он может рассмотреть их влияние на разработку дальнейших аудиторских процедур, в соответствии с МСА 330.

А183. Если аудитор выявил один или более недостаток системы контроля, в соответствии с МСА 265.47 требуется, чтобы он определил, представляют ли собой недостатки, как каждый в отдельности, так и в сочетании с другими, значительный недостаток.

Для того чтобы определить, является ли недостаток средств контроля значительным недостатком, аудитор применяет профессиональное суждение48.

______________________________

46 Пункты 21(b), 22(b), 24(c), 25(c) и 26(d).

47 МСА 265 "Информирование лиц, отвечающих за корпоративное управление, и руководства о недостатках в системе внутреннего контроля", пункт 8.

48 В МСА 265 в пунктах А6-А7 установлены признаки значительных недостатков и вопросы, которые необходимо рассмотреть для определения, является ли недостаток или сочетание недостатков системы внутреннего контроля значительным недостатком.

Примеры

Обстоятельства, которые могут указывать на наличие значительного недостатка средств контроля, включают такие вопросы, как:

выявление недобросовестных действий любого масштаба с участием высшего руководства;

выявление внутренних процессов, которые являются недостаточно эффективными в отношении подготовки отчетности и информирования о недостатках, отмеченных внутренними аудиторами;

недостатки, о которых сообщалось ранее и которые не были своевременно устранены руководством;

неспособность руководства принять надлежащие меры в ответ на значительные риски, например неспособность внедрить средства контроля в отношении значительных рисков;

пересчет ранее выпущенной финансовой отчетности.

Выявление и оценка рисков существенного искажения (см. пункты 28-37)

Почему аудитор выявляет и оценивает риски существенного искажения

А184. Аудитор выявляет и оценивает риски существенного искажения для определения характера, сроков проведения и объема дальнейших аудиторских процедур, которые необходимы для получения достаточных надлежащих аудиторских доказательств. Эти доказательства позволяют аудитору выразить мнение о финансовой отчетности при приемлемо низком уровне аудиторского риска.

А185. Информация, собранная при выполнении процедур оценки рисков, используется в качестве аудиторских доказательств с целью обеспечения основы для выявления и оценки рисков существенного искажения. Например, аудиторские доказательства, полученные при оценке структуры выявленных средств контроля и определении того, были ли данные средства контроля внедрены в компоненте контрольных процедур, используются в качестве аудиторских доказательств для подтверждения оценки рисков. Кроме того, данные доказательства обеспечивают основу для разработки аудитором аудиторских процедур общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности, а также для разработки и выполнения дальнейших аудиторских процедур, которые по своему характеру, срокам и объемам представляют собой процедуры в ответ на оцененные риски существенного искажения на уровне предпосылок, согласно МСА 330.

Выявление рисков существенного искажения (см. пункт 28)

A186. Выявление рисков существенного искажения осуществляется до рассмотрения каких-либо связанных средств контроля (например, неотъемлемого риска) и основывается на предварительном рассмотрении аудитором искажений, у которых есть обоснованная возможность как реализоваться, так и оказаться существенными, если они реализуются49.

______________________________

49 МСА 200, пункт А15а.

А187. Кроме того, выявление рисков существенного искажения обеспечивает основу для определения аудитором соответствующих предпосылок составления финансовой отчетности, что облегчает аудитору задачу определения значительных видов операций, остатков по счетам и раскрытия информации.

Предпосылки составления финансовой отчетности

Почему аудитор использует предпосылки составления финансовой отчетности

А188. При выявлении и оценке рисков существенного искажения аудитор использует предпосылки составления финансовой отчетности для рассмотрения разных видов искажений, которые гипотетически могут иметься. Предпосылки, для которых аудитор выявил соответствующие риски существенного искажения, являются соответствующими предпосылками составления финансовой отчетности.

Использование предпосылок составления финансовой отчетности

А189.

При выявлении и оценке рисков существенного искажения аудитор может использовать категории предпосылок, описанные в пунктах А190(а)-(b) ниже, или сформулировать их другим способом при условии, что все описанные ниже аспекты охвачены. Аудитор может принять решение использовать сочетание предпосылок в отношении видов операций и событий и соответствующего раскрытия информации с предпосылками в отношении остатков по счетам и соответствующего раскрытия информации.

А190. Предпосылки, используемые аудитором при рассмотрении разных видов искажений, которые гипотетически могут иметься, подразделяются на следующие категории:

(a) предпосылки в отношении видов операций и событий, а также соответствующего раскрытия информации за аудируемый период:

(i) наличие - операции и события, отраженные в учете и раскрытые в отчетности, имели место, и данные операции и события имеют отношение к организации;

(ii) полнота - все операции и события, которые должны быть учтены, были учтены, и всё соответствующее раскрытие информации, которое должно быть включено в финансовую отчетность, включено;

(iii) точность - суммы и прочие данные, касающиеся учтенных операций и событий, отражены надлежащим образом, и соответствующее раскрытие информации правильно оценено и описано;

(iv) своевременность признания - операции и события отражены в надлежащем отчетном периоде;

(v) классификация - операции и события отражены на надлежащих счетах;

(vi) представление - операции и события должным образом сгруппированы или разгруппированы и ясно описаны, а соответствующее раскрытие информации является надлежащим и понятным в контексте требований применимой концепции подготовки финансовой отчетности;

(b) предпосылки в отношении остатков по счетам и соответствующего раскрытия информации на конец периода:

(i) существование - активы, обязательства и доли участия в капитале действительно существуют;

(ii) права и обязанности - организация владеет правами на активы или контролирует их, а обязательства представляют собой законные обязательства организации;

(iii) полнота - все активы, обязательства и доли участия в капитале, которые необходимо было учесть, учтены, и всё соответствующее раскрытие информации, которое должно быть включено в финансовую отчетность, включено;

(iv) точность, оценка и распределение - активы, обязательства и доли участия в капитале включены в финансовую отчетность в соответствующих суммах, надлежащим образом отражены все соответствующие корректировки в связи с оценкой и распределением, и правильно оценено или описано соответствующее раскрытие информации;

(v) классификация - активы, обязательства и доли участия в капитале отражены на соответствующих счетах;

(vi) представление - активы, обязательства и доли участия в капитале должным образом сгруппированы или разгруппированы и ясно описаны, и связанное раскрытие информации является уместным и понятным в контексте требований применимой концепции подготовки финансовой отчетности.

А191. Примененные надлежащим образом предпосылки, описанные в пунктах А190(а)-(b) выше, могут также быть использованы аудитором при рассмотрении различных видов искажений, которые гипотетически могут иметься в раскрытии информации, не относящемся напрямую к отраженным видам операций, событиям или остаткам по счетам.

Пример

Примером такого раскрытия информации может быть ситуация, когда в соответствии с применимой концепцией подготовки финансовой отчетности от организации может потребоваться описание ее подверженности рискам, возникающим по финансовым инструментам, в том числе описание того, как данные риски возникают, описание целей, политики и процессов управления рисками, а также методов, используемых для оценки рисков.

Особенности организаций государственного сектора

А192. При формулировании предпосылок составления финансовой отчетности в организациях государственного сектора в дополнение к предпосылкам, указанным в пунктах А190(а)-(b), руководство может нередко исходить из того, что операции и события соответствовали требованиям, установленным законом, нормативным актом или иным регламентирующим документом. Данные предпосылки могут включаться в объем аудита финансовой отчетности.

Риски существенного искажения на уровне финансовой отчетности (см. пункты 28(a) и 30)

Почему аудитор выявляет и оценивает риски существенного искажения на уровне финансовой отчетности

А193. Аудитор выявляет риски существенного искажения на уровне финансовой отчетности, чтобы определить, оказывают ли риски всеобъемлющее влияние на финансовую отчетность, а следовательно, потребуют ли они принятия ответных мер общего характера в соответствии с МСА 330.50.

______________________________

50 МСА 330, пункт 5.

А194. Кроме того, риски существенного искажения на уровне финансовой отчетности могут повлиять на отдельные предпосылки и выявление данных рисков может облегчить аудитору задачу оценки рисков существенного искажения на уровне предпосылок и задачу разработки дальнейших аудиторских процедур для снижения выявленных рисков.

Выявление и оценка рисков существенного искажения на уровне финансовой отчетности

А195. Риски существенного искажения на уровне финансовой отчетности относятся к рискам, которые всеобъемлющим образом распространяются на финансовую отчетность в целом и потенциально затрагивают целый ряд предпосылок. Риски такого характера не обязательно являются рисками, которые можно выявить по определенным предпосылкам на уровне вида операций, остатка по счету или раскрытия информации (например, риск обхода средств контроля руководством). Они, вероятнее всего, отражают обстоятельства, которые могут увеличивать риски существенного искажения на уровне предпосылок, и такое увеличение носит всеобъемлющий характер. Оценка аудитором того, носит ли влияние выявленных рисков на финансовую отчетность всеобъемлющий характер, подтверждает оценку аудитором рисков существенного искажения на уровне финансовой отчетности. В других случаях также может быть выявлен ряд предпосылок, которые подвержены риску, а следовательно, могут повлиять на выявление и оценку аудитором рисков существенного искажения на уровне предпосылок.

Пример

Организация сталкивается с операционными убытками и проблемами с ликвидностью, полагаясь на финансирование, которое еще не было обеспечено. С учетом таких обстоятельств аудитор может установить, что в результате использования допущения о непрерывности деятельности возникает риск существенного искажения на уровне финансовой отчетности. В этой ситуации, возможно, требуется применить принципы бухгалтерского учета с учетом перспективы ликвидации, что, скорее всего, окажет всеобъемлющее влияние на все предпосылки составления финансовой отчетности.

А196.

На выявление и оценку аудитором рисков существенного искажения на уровне финансовой отчетности влияет понимание аудитором системы внутреннего контроля организации, особенно понимание аудитором контрольной среды, процесса оценки рисков в организации и внедренного в ней процесса мониторинга системы внутреннего контроля, а также:

результаты соответствующей оценки, требуемой в соответствии с пунктами 21(b), 22(b), 24(c) и 25(c);

любые недостатки системы контроля, выявленные в соответствии с пунктом 27.

В частности, риски на уровне финансовой отчетности могут возникать в связи с недостатками в контрольной среде или в связи с внешними событиями или условиями, такими как ухудшение экономической ситуации.

А197. Риски существенного искажения вследствие недобросовестных действий могут иметь особое значение при рассмотрении аудитором рисков существенного искажения на уровне финансовой отчетности.

Пример

Аудитор получил понимание по результатам опроса руководства, что финансовая отчетность организации будет использоваться при проведении обсуждений с кредиторами для обеспечения дальнейшего финансирования с целью поддержания определенного уровня оборотного капитала. Следовательно, аудитор может установить, что имеется повышенный уровень подверженности искажению в результате действия факторов риска недобросовестных действий, которые оказывают влияние на неотъемлемый риск (то есть подверженности финансовой отчетности существенному искажению в связи с риском недобросовестного составления финансовой отчетности, например завышения стоимости активов и выручки и занижения обязательств и расходов для того, чтобы обеспечить получение финансирования).

А198. Понимание, включая соответствующую оценку, аудитором контрольной среды и других компонентов системы внутреннего контроля может вызвать у него сомнение относительно возможности получить аудиторские доказательства, на основании которых он может сформировать аудиторское мнение, или стать причиной отказа от выполнения задания в случаях, если это возможно в соответствии с применимыми законами или нормативными актами.

Примеры

В результате оценки контрольной среды организации у аудитора возникла обеспокоенность в отношении честности руководства организации, которая может носить столь серьезный характер, что аудитор может прийти к выводу о том, что риск умышленного представления руководством неверных данных в финансовой отчетности настолько высок, что проведение аудита невозможно.

В результате оценки информационной системы и информационного взаимодействия в организации аудитор установил, что управление значительными изменениями в ИТ-среде было неэффективным, так как руководство и лица, отвечающие за корпоративное управление, почти не осуществляли надзор за этими изменениями. Аудитор приходит к выводу о том, что имеется значительная обеспокоенность в отношении состояния и надежности данных бухгалтерского учета организации. С учетом данных обстоятельств аудитор может установить, что существует низкая вероятность того, что будут получены достаточные надлежащие аудиторские доказательства для подтверждения немодифицированного мнения о финансовой отчетности.

А199. В МСА 705 (пересмотренном)51 устанавливаются требования и предоставляются рекомендации, касающиеся определения необходимости выразить мнение с оговоркой, или отказаться от выражения мнения, или (что может требоваться в некоторых случаях) отказаться от выполнения задания, если это разрешено применимыми законами или нормативными актами.

______________________________

51 МСА 705 (пересмотренный) "Модифицированное мнение в аудиторском заключении".

Особенности организаций государственного сектора

А200. Для организаций государственного сектора выявление рисков на уровне финансовой отчетности может включать рассмотрение вопросов, связанных с их подверженностью рискам в связи с политическим климатом, общественными интересами или государственной программой.

Риски существенного искажения на уровне предпосылок (см. пункт 28(b))

В Примечании 2 приведены примеры (в контексте факторов неотъемлемого риска) событий или условий, способных указывать на подверженность искажению, которое может оказаться существенным.

А201. Риски существенного искажения, которые не носят всеобъемлющий характер для финансовой отчетности, являются рисками существенного искажения на уровне предпосылок.

Соответствующие предпосылки составления финансовой отчетности и значительные виды операций, остатки по счетам и раскрытие информации (см. пункт 29)

Почему необходимо определять соответствующие предпосылки составления финансовой отчетности и значительные виды операций, остатки по счетам и раскрытие информации

А202. Определение соответствующих предпосылок составления финансовой отчетности и значительных видов операций, остатков по счетам и раскрытия информации обеспечивает основу для определения объема, в котором аудитору необходимо получить понимание информационной системы организации в соответствии с пунктом 25(a). Такое понимание может в дальнейшем помочь аудитору выявить и оценить риски существенного искажения (см. пункт А86).

Автоматизированные инструменты и методы

А203. Аудитор может применять автоматизированные методы, которые облегчают выявление значительных видов операций, остатков по счетам и раскрытия информации.

Примеры

Всю совокупность операций можно проанализировать с использованием автоматизированных инструментов и методов, чтобы понять характер, источник, сумму и объем операций. Например, благодаря применению автоматизированных методов аудитор может выявить, что по счету с нулевым остатком на конец периода было проведено большое количество операций по взаимозачету в течение периода, что указывает на то, что остаток по счету или вид операций могут быть значительными (например, по счету расчета заработной платы). Тот же самый счет расчета заработной платы может также выявить компенсацию расходов руководству (и прочим сотрудникам), что может представлять собой раскрытие значимой информации, так как данные выплаты произведены в пользу связанных сторон.

С помощью анализа потоков всей совокупности операций по признанию выручки аудитор может легче выявить значительный вид операций, который не был выявлен ранее.

Раскрытие информации, которая может оказаться значимой

А204. Раскрытие значимой информации может включать раскрытие информации как количественного, так и качественного характера, к которой могут относиться одна или несколько соответствующих предпосылок. Примеры раскрытия информации, которая имеет качественные аспекты и к которой могут относиться соответствующие предпосылки, а следовательно, которая может рассматриваться аудитором как значимая, включают раскрытие информации в отношении следующих вопросов:

ликвидности и ограничительных условий кредитных договоров организации, которая находится в тяжелом финансовом положении;

событий и обстоятельств, которые привели к признанию убытка от обесценения;

ключевых источников неопределенности оценки, включая допущения относительно будущих событий;

характера изменения учетной политики и прочей соответствующей информации, раскрытие которой требуется в соответствии с применимой концепцией подготовки финансовой отчетности, например, если предполагается, что новые требования к подготовке финансовой отчетности окажут значительное влияние на финансовое положение и финансовые результаты организации;

соглашений о выплатах на основе акций, включая информацию о том, как были рассчитаны те или иные суммы, признанные в бухгалтерском учете, и прочее соответствующее раскрытие информации;

связанных сторон и операций со связанными сторонами;

анализа чувствительности, включая влияние изменений в допущениях, используемых организацией в моделях оценки, направленных на удовлетворение интересов пользователей в понимании неопределенности, связанной с оценками сумм, отраженных или раскрытых в отчетности.

Оценка рисков существенного искажения на уровне предпосылок

Оценка неотъемлемого риска (см. пункты 31-33)

Оценка вероятности и величины искажения (см. пункт 31)

Почему аудитор оценивает вероятность и величину искажения

А205. Аудитор оценивает вероятность и величину искажения по выявленным рискам существенного искажения, так как от того, насколько значимым будет сочетание вероятности наличия искажения и величины потенциального искажения, если искажение будет иметь место, зависит, где в диапазоне значений неотъемлемого риска будет находиться оцененный выявленный риск, в результате чего аудитор получит необходимую информацию для разработки дальнейших аудиторских процедур в ответ на риск.

А206. Кроме того, оценка неотъемлемого риска существенного искажения помогает аудитору определить значительные риски. Аудитор определяет значительные риски, потому что согласно требованиям МСА 330 и других МСА аудитор должен разработать конкретные процедуры в ответ на значительные риски.

А207. Факторы неотъемлемого риска влияют на оценку аудитором вероятности и величины искажения по выявленным рискам существенного искажения на уровне предпосылок. Чем больше вид операций, остаток по счету или раскрытие информации подвержены риску существенного искажения, тем, вероятно, выше будет оценка неотъемлемого риска. Рассмотрение вопроса о том, в какой степени факторы неотъемлемого риска влияют на подверженность предпосылки искажению, помогает аудитору надлежащим образом оценить неотъемлемый риск в части рисков существенного искажения на уровне предпосылок и более точно разработать процедуры в ответ на такой риск.

Диапазон значений неотъемлемого риска

А208. При оценке неотъемлемого риска аудитор применяет профессиональное суждение для определения значимости сочетания вероятности и величины искажения.

А209. Оцененный неотъемлемый риск, относящийся к конкретному риску существенного искажения на уровне предпосылок, представляет собой профессиональное суждение в рамках диапазона значений неотъемлемого риска - от более низкого значения к более высокому. Суждение в отношении того, где в диапазоне значений неотъемлемого риска находится оцененный риск, может разниться в зависимости от характера, размера и сложности деятельности организации. При этом учитывается оценка вероятности и величины искажения, а также факторы неотъемлемого риска.

А210. При оценке вероятности искажения аудитор оценивает вероятность того, что искажение имеется, исходя из факторов неотъемлемого риска.

А211.

При оценке величины искажения аудитор рассматривает качественные и количественные аспекты возможного искажения (то есть искажения в предпосылках, касающихся видов операций, остатков по счетам и раскрытия информации, можно оценить как существенные из-за их суммы, характера или конкретных обстоятельств).

А212. Для того чтобы установить, где в диапазоне значений неотъемлемого риска будет находиться неотъемлемый риск, аудитор учитывает, насколько значимым является сочетание вероятности и величины возможного искажения. Чем значительнее сочетание вероятности и величины, тем выше оценка неотъемлемого риска; чем незначительнее сочетание вероятности и величины, тем ниже оценка неотъемлемого риска.

А213. Для того чтобы оценка неотъемлемого риска была ближе к верхнему значению диапазона, необязательно, чтобы и величина, и вероятность были оценены как высокие. Скорее, для того чтобы установить, находится ли оцененный неотъемлемый риск выше или ниже в диапазоне значений неотъемлемого риска, определяется расположение точки пересечения величины и вероятности существенного искажения в диапазоне неотъемлемого риска. Повышенная оценка неотъемлемого риска может возникать и вследствие различных сочетаний вероятности и величины, например, повышенная оценка неотъемлемого риска может быть получена при более низкой вероятности и очень высокой величине.

А214. Для разработки надлежащих стратегий действий в ответ на риски существенного искажения аудитор может распределить риски существенного искажения по категориям в рамках диапазона неотъемлемого риска на основе оценки неотъемлемого риска. Эти категории могут быть описаны по-разному. Вне зависимости от используемого метода разделения на категории оценка аудитором неотъемлемого риска является надлежащей, если разработка и внедрение дальнейших аудиторских процедур для снижения выявленных рисков существенного искажения на уровне предпосылок надлежащим образом учитывает оценку неотъемлемого риска и причины, по которым данная оценка проводится.

Всеобъемлющие риски существенного искажения на уровне предпосылок (см. пункт 31(b))

А215. При оценке выявленных рисков существенного искажения на уровне предпосылок аудитор может сделать вывод о том, что некоторые риски существенного искажения носят более всеобъемлющий характер для финансовой отчетности в целом и потенциально оказывают влияние на многие предпосылки. В таком случае аудитор может уточнить идентификацию рисков существенного искажения на уровне финансовой отчетности.

А216. В тех случаях, когда риски существенного искажения выявлены как риски на уровне финансовой отчетности в связи с их всеобъемлющим влиянием на целый ряд предпосылок и эти риски выявляются по конкретным предпосылкам, аудитору необходимо принять во внимание данные риски при оценке неотъемлемого риска в отношении рисков существенного искажения на уровне предпосылок.

Особенности организаций государственного сектора

А217. При применении профессионального суждения в отношении оценки риска существенного искажения аудиторы организаций государственного сектора могут рассмотреть степень сложности нормативных актов и директив, а также риски несоблюдения требований уполномоченных органов.

Значительные риски (см. пункт 32)

Для чего определять значительные риски и каково их влияние на аудит

А218. Определение значительных рисков позволяет аудитору уделить больше внимания тем рискам, которые расположены в верхней части диапазона значений неотъемлемого риска, с помощью выполнения определенных необходимых ответных действий, включая указанные ниже:

Средства контроля, предназначенные для снижения значительных рисков, должны быть выявлены в соответствии с требованиями пункта 26(a)(i), а оценку эффективной разработки и внедрения средства контроля требуется провести в соответствии с пунктом 26(d).

Согласно требованиям МСА 330 средства контроля, предназначенные для снижения значительных рисков, необходимо протестировать в текущем периоде (если аудитор планирует полагаться на операционную эффективность данных средств контроля), а также необходимо запланировать и выполнить процедуры проверки по существу непосредственно в ответ на выявленный значительный риск52.

Согласно требованиям МСА 330, чем выше аудитор оценивает риск, тем более убедительные аудиторские доказательства он должен получить53.

Согласно требованиям МСА 260 (пересмотренного) аудитор должен информировать лиц, отвечающих за корпоративное управление, о выявленных им значительных рисках54.

В соответствии с МСА 701 аудитор обязан учитывать значительные риски при определении вопросов, требующих его значительного внимания, которые могут оказаться ключевыми вопросами аудита55.

Своевременная проверка аудиторской документации руководителем задания на соответствующих этапах аудита позволяет своевременно разрешать значимые вопросы, в том числе вопросы значительных рисков, давая возможность руководителю задания убедиться в этом не позднее даты аудиторского заключения56.

В соответствии с МСА 600, если значительный риск относится к компоненту при аудите группы, требуется большее участие руководителя задания группы, а команда аудитора группы должна направлять работу, которую должен выполнить аудитор компонента на уровне компонента57.

______________________________

52 МСА 330, пункты 15 и 21.

53 МСА 330, пункт 7(b).

54 МСА 260 (пересмотренный), пункт 15.

55 МСА 701 "Информирование о ключевых вопросах аудита в аудиторском заключении", пункт 9.

56 МСА 220, пункты 17 и А19.

57 МСА 600, пункты 30 и 31.

Определение значительных рисков

А219. При определении значительных рисков аудитор может сначала выявить те риски существенного искажения, которые были оценены как повышенные в диапазоне значений неотъемлемого риска, чтобы понять, какие из них могут оказаться ближе к верхней границе диапазона. Расположение ближе к верхней границе диапазона неотъемлемого риска у разных организаций будет разным и не всегда будет совпадать у одной организации в разные периоды. Оно может зависеть от характера и обстоятельств организации, для которой проводится оценка риска.

А220. Определение того, какие из оцененных рисков существенного искажения расположены близко к верхней границе диапазона значений неотъемлемого риска, а следовательно, относятся к значительным рискам, является предметом профессионального суждения, за исключением случаев, когда риск относится к определенному виду, который необходимо рассматривать как значительный риск, в соответствии с требованиями другого МСА. В МСА 240 содержатся дополнительные требования и рекомендации относительно выявления и оценки рисков существенного искажения вследствие недобросовестных действий58.

______________________________

58 МСА 240, пункты 26-28.

Пример

Как правило, в отношении денежных средств в организации розничной торговли - супермаркете устанавливается высокая вероятность потенциального искажения (что связано с риском незаконного присвоения денежных средств), однако его величина обычно очень незначительна (что связано с малым объемом денежных средств, физически поступающих в такие магазины).

Сочетание данных двух факторов в диапазоне значений неотъемлемого риска, скорее всего, не приведет к тому, что существование денежных средств будет определено как значительный риск.

Организация проводит переговоры о продаже бизнес-сегмента. Аудитор рассматривает влияние на обесценение гудвила и может установить, что существует более высокая вероятность и большая величина потенциального искажения вследствие влияния таких факторов неотъемлемого риска, как субъективность, неопределенность и подверженность риску предвзятости руководства, а также других факторов риска недобросовестных действий. В результате обесценение гудвила может быть оценено как значительный риск.

А221. Кроме того, при оценке неотъемлемого риска аудитор принимает во внимание относительное влияние факторов неотъемлемого риска. Чем ниже уровень влияния факторов неотъемлемого риска, тем, вероятно, ниже будет величина оцененного риска. Риски существенного искажения, которые могут быть оценены как риски с более высоким значением неотъемлемого риска, а следовательно, могут быть отнесены к категории значительных рисков, могут возникать в результате следующих причин:

операции, которые могут учитываются с использованием разных методов, а следовательно, учет которых связан с субъективными оценками;

оценочные значения, которые имеют высокую степень неопределенности оценки или для определения которых используются сложные модели расчета;

трудности, связанные со сбором и обработкой данных для подтверждения остатков по счетам;

остатки по счетам или раскрытие количественной информации, подразумевающие сложные расчеты;

принципы бухгалтерского учета, которые могут быть истолкованы по-разному;

изменения в деятельности организации, подразумевающие изменения в порядке бухгалтерского учета, например слияния и поглощения.

Риски, по которым процедуры проверки по существу в отдельности не обеспечивают достаточные надлежащие аудиторские доказательства (см. пункт 33)

Почему необходимо выявлять риски, по которым сами по себе процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства

А222. В связи с характером риска существенного искажения и контрольных процедур в отношении данного риска в некоторых ситуациях единственным способом получения достаточных надлежащих аудиторских доказательств является тестирование операционной эффективности средств контроля. Следовательно, аудитору необходимо выявить все риски такого рода в связи с их влиянием на разработку и выполнение дальнейших аудиторских процедур в соответствии с МСА 330 для снижения рисков существенного искажения на уровне предпосылок.

А223. Кроме того, в соответствии с пунктом 26(a)(iii) требуется выявить средства контроля, предназначенные для снижения рисков, для которых выполнение одних только процедур проверки по существу не может обеспечить достаточные надлежащие аудиторские доказательства, так как в соответствии с МСА 330.59 аудитор обязан разработать и выполнить тестирование данных средств контроля.

______________________________

59 МСА 330, пункт 8.

Определение рисков, для которых проведение одних только процедур проверки по существу не может обеспечить достаточные надлежащие аудиторские доказательства

А224 Если при проведении обычных видов операций допускается высокоавтоматизированная обработка с незначительным ручным вмешательством или без него, то не всегда бывает возможно выполнить одни только процедуры проверки по существу в отношении риска.

Такая ситуация может иметь место в том случае, если значительный объем информации организации инициируется, записывается, обрабатывается или обобщается только в электронной форме, например в информационной системе, предполагающей высокую степень интеграции всех ИТ-приложений. В таких случаях:

аудиторские доказательства могут быть доступны только в электронной форме, а их достаточность и надлежащий характер обычно зависят от эффективности средств контроля за их точностью и полнотой;

вероятность неправомерного инициирования или изменения информации и его необнаружения может оказаться выше, если соответствующие средства контроля неэффективны.

Пример

Как правило, невозможно получить достаточные надлежащие аудиторские доказательства в отношении выручки для организации сферы телекоммуникаций на основе одних только процедур проверки по существу. Это происходит потому, что доказательства совершения звонков или передачи данных не существуют в наблюдаемой форме. Вместо этого, как правило, выполняется тестирование средств контроля в значительном объеме, чтобы установить, что информация о вызове и его прекращении, а также о передаче данных правильно собрана (например, протоколы звонков или объем загрузки) и корректно отражена в системе выставления счетов организации.

А225. В МСА 540 (пересмотренном) представлены дополнительные рекомендации, связанные с оценочными значениями в отношении рисков, для которых сами по себе процедуры проверки по существу не обеспечивают достаточные надлежащие аудиторские доказательства60. В части оценочных значений это может быть справедливо не только для автоматизированной обработки, а может применяться и к сложным моделям.

______________________________

60 МСА 540 (пересмотренный), пункты А87-А89.

Оценка риска средств контроля (см. пункт 34)

А226. При планировании тестирования операционной эффективности средств контроля аудитор исходит из того, что средства контроля работают эффективно и это предположение ляжет в основу оценки аудитором риска средств контроля. Первоначальное ожидание относительно операционной эффективности средств контроля основано на оценке аудитором структуры выявленных средств контроля в компоненте контрольных процедур и установлении факта их внедрения. После того как аудитор протестирует операционную эффективность средств контроля в соответствии с МСА 330, он сможет подтвердить свое первоначальное ожидание относительно операционной эффективности средств контроля. В том случае, если средства контроля не работают эффективно, как ожидалось, аудитору потребуется пересмотреть оценку риска средств контроля согласно пункту 37.

А227. Оценка аудитором риска средств контроля может быть выполнена разными способами в зависимости от его предпочтений в области методов или методологии проведения аудита и может быть выражена по-разному.

А228. Если аудитор планирует протестировать операционную эффективность средств контроля, ему может потребоваться тестирование комбинации средств контроля, чтобы подтвердить свое ожидание относительно того, что средства контроля работают эффективно. Аудитор может запланировать тестирование как прямых, так и косвенных средств контроля, включая общие средства ИТ-контроля, и в таком случае при оценке риска средств контроля принять во внимание ожидаемое совокупное влияние средств контроля. Если средство контроля, которое планируется протестировать, не в полной мере отвечает на оцененный неотъемлемый риск, аудитор устанавливает, какие последствия это имеет для разработки дальнейших аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня.

А229.

Если аудитор планирует протестировать операционную эффективность автоматизированного средства контроля, он может также запланировать тестирование операционной эффективности соответствующих общих средств ИТ-контроля, которые обеспечивают непрерывное функционирование данного автоматизированного средства контроля в ответ на риски, возникающие вследствие использования ИТ, и на этой основе сформировать свое ожидание в отношении того, что автоматизированное средство контроля работало эффективно на протяжении всего периода. Если, согласно ожиданиям аудитора, соответствующие общие средства ИТ-контроля неэффективны, установление данного факта может повлиять на оценку аудитором риска средств контроля на уровне предпосылок, и, возможно, в дальнейшие аудиторские процедуры аудитору потребуется включить процедуры проверки по существу, снижающие применимые риски, возникающие вследствие использования ИТ. Более детальные рекомендации в отношении процедур, которые может выполнить аудитор в данных обстоятельствах, приведены в МСА 330.61.

______________________________

61 МСА 330, пункты А29-А30.

Оценка аудиторских доказательств, полученных в результате выполнения процедур оценки рисков (см. пункт 35)

Почему аудитор проводит оценку аудиторских доказательств, полученных в результате выполнения процедур оценки рисков

А230. Аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, обеспечивают основу для выявления и оценки рисков существенного искажения. На этой основе аудитор определяет характер, сроки и объем дальнейших аудиторских процедур в ответ на оцененные риски существенного искажения на уровне предпосылок, в соответствии с МСА 330. Таким образом, аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, обеспечивают основу для выявления и оценки рисков существенного искажения вследствие недобросовестных действий или ошибок на уровне финансовой отчетности и на уровне предпосылок.

Оценка аудиторских доказательств

А231. Аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, включают как информацию, которая подтверждает и подкрепляет предпосылки руководства, так и информацию, которая противоречит таким предпосылкам62.

______________________________

62 МСА 500, пункт А1.

63 МСА 320, пункт А1.

Профессиональный скептицизм

А232. При оценке аудиторских доказательств, полученных в результате выполнения процедур оценки рисков, аудитор учитывает, получил ли он достаточное понимание деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации для возможности выявления рисков существенного искажения. Аудитор также оценивает, имеются ли какие-либо противоречивые доказательства, которые могут указывать на наличие риска существенного искажения.

Виды операций, остатки по счетам и раскрытие информации, которые не считаются значительными, но являются существенными (см. пункт 36)

А233. Как указано в МСА 32063, существенность и аудиторский риск рассматриваются при выявлении и оценке рисков существенного искажения по видам операций, остаткам по счетам и раскрытию информации. Определение существенности аудитором является предметом профессионального суждения и зависит от понимания аудитором того, какая финансовая информация требуется пользователям финансовой отчетности64.

Для целей данного МСА и пункта 18 МСА 330 виды операций, остатки по счетам или раскрытие информации являются существенными, если можно обоснованно предположить, что их пропуск, искажение или затруднение понимания информации по ним могут повлиять на экономические решения пользователей, принимаемые на основе финансовой отчетности в целом.

______________________________

64 МСА 320, пункт 4.

А234. Возможно наличие видов операций, остатков по счетам или раскрытия информации, которые являются существенными, хотя не были определены как значительные (то есть отсутствуют выявленные соответствующие предпосылки составления финансовой отчетности).

Пример

Организация может раскрыть в финансовой отчетности информацию о вознаграждении высшего руководства, в отношении которой аудитор не выявил риска существенного искажения. Однако аудитор может установить, что раскрытие данной информации является существенным с учетом аспектов, указанных в пункте А233.

А235. Аудиторские процедуры в отношении видов операций, остатков по счетам или раскрытия информации, которые являются существенными, хотя не было установлено, что они являются значительными, рассматриваются в МСА 330.65. Если было установлено, что какой-либо вид операций, остаток по счету или какое-либо раскрытие информации являются значительными в соответствии с требованиями пункта 29, то такой вид операций, остаток по счету или такое раскрытие информации являются также существенными для целей пункта 18 МСА 330.

______________________________

65 МСА 330, пункт 18.

Пересмотр оценки рисков (см. пункт 37)

А236. В ходе аудита аудитор может обратить внимание на новую или прочую информацию, которая значительно отличается от той информации, на основе которой проводилась оценка рисков.

Пример

Оценка рисков организации может основываться на ожидании эффективного функционирования определенных средств контроля. При выполнении тестирования этих средств контроля аудитор может получить аудиторские доказательства, свидетельствующие о том, что данные средства контроля не функционировали эффективно в соответствующие периоды в ходе аудита. Также при выполнении процедур проверки по существу аудитор может обнаружить искажения в суммах или периодичности, которые превышают значения, установленные им в результате оценки рисков. В таких случаях оценка риска может не отражать надлежащим образом реальные обстоятельства организации и дальнейшие запланированные аудиторские процедуры, возможно, не будут эффективными для обнаружения существенных искажений. В пунктах 16 и 17 МСА 330 представлены дальнейшие рекомендации в отношении оценки операционной эффективности средств контроля.

Документация (см. пункт 38)

А237. При повторном аудиторском задании определенную документацию можно переносить на следующие периоды и обновлять по мере необходимости для отражения изменений в деятельности и процессах организации.

А238. В МСА 230 отмечается, в частности, что может и не существовать единого способа документирования профессионального скептицизма, однако аудиторская документация может обеспечить доказательства проявления аудитором профессионального скептицизма66.

Например, если полученные в результате выполнения процедур оценки рисков аудиторские доказательства включают как доказательства, которые подтверждают предпосылки руководства, так и доказательства, которые противоречат им, документация может включать то, как аудитор оценивал эти доказательства, в том числе профессиональные суждения, примененные при оценке того, обеспечивают ли аудиторские доказательства надлежащую основу для выявления и оценки аудитором рисков существенного искажения. Примеры других требований настоящего МСА, для которых документация может дать доказательства проявления аудитором профессионального скептицизма:

______________________________

66 МСА 230, пункт А7.

пункт 13, согласно которому аудитор обязан разработать и выполнить процедуры оценки рисков таким образом, чтобы избежать предвзятости в отношении получения аудиторских доказательств, которые могут подтверждать существование рисков, или исключения аудиторских доказательств, которые могут отрицать наличие рисков;

пункт 17, согласно которому требуется обсуждение ключевыми членами аудиторской группы использования применимой концепции подготовки финансовой отчетности и подверженности финансовой отчетности организации риску существенного искажения;

пункты 19(b) и 20, согласно которым аудитор обязан получить понимание причин, вызвавших изменения в учетной политике организации, и оценить, является ли надлежащей учетная политика организации и соответствует ли она применимой концепции подготовки финансовой отчетности;

пункты 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) и 27, согласно которым аудитор обязан на основе полученного необходимого понимания оценить, являются ли компоненты системы внутреннего контроля организации надлежащими с учетом обстоятельств организации, а также характера и степени сложности ее деятельности, и определить, были ли выявлены какие-либо недостатки системы контроля;

пункт 35, согласно которому аудитор обязан принимать во внимание все аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, независимо от того, подтверждают ли они предпосылки руководства или противоречат им. Аудитор также обязан оценить, обеспечивают ли аудиторские доказательства, полученные в результате выполнения процедур оценки рисков, надлежащую основу для выявления и оценки рисков существенного искажения;

пункт 36, согласно которому аудитор обязан оценить, если применимо, остается ли актуальным его вывод об отсутствии рисков существенного искажения по какому-либо существенному виду операций, остатку по счету или раскрытию информации.

Масштабируемость

А239. Аудитор самостоятельно на основе профессионального суждения определяет порядок документального оформления информации в соответствии с требованиями пункта 38.

А240. Для подтверждения обоснования примененных суждений по сложным вопросам может потребоваться более детальная документация, которой будет достаточно для того, чтобы опытный аудитор, ранее не связанный с данным аудитом, мог понять характер, сроки и объем выполненных аудиторских процедур.

А241. При аудите менее сложных организаций документация может быть простой по форме и относительно краткой по содержанию. На форму и содержание аудиторской документации влияет характер, размер и уровень сложности организации и ее системы внутреннего контроля, доступность предоставляемой организацией информации, а также методология аудита и технологии, используемые в процессе проведения аудита. Нет необходимости документально оформлять в полном объеме понимание аудитором организации и связанных с ней вопросов. Ключевые элементы67 понимания, задокументированные аудитором, могут включать те элементы, на основе которых аудитор провел оценку рисков существенного искажения. Тем не менее аудитор не обязан документировать каждый фактор неотъемлемого риска, который был принят во внимание в ходе выявления и оценки рисков существенного искажения на уровне предпосылок.

______________________________

67 67 МСА 230, пункт 8.

Пример

При аудите менее сложных организаций аудиторская документация может быть включена в документальное оформление аудитором в виде общей стратегии и плана аудита68. Также, например, результаты оценки риска могут быть задокументированы отдельно или в рамках документального оформления аудитором дальнейших аудиторских процедур69.

______________________________

68 МСА 300 "Планирование аудита финансовой отчетности", пункты 7, 9 и A11.

69 МСА 330, пункт 28.

Приложение 1 (См. пункты А61-А67)

Вопросы для рассмотрения при получении понимания организации и ее бизнес-модели

В настоящем приложении объясняются цели и область применения бизнес-модели организации и приведены примеры вопросов, которые может рассмотреть аудитор при изучении деятельности организации, которую может охватывать бизнес-модель. Понимание аудитором бизнес-модели организации, а также понимание того, как на бизнес-модель влияют стратегия и цели бизнеса организации, может облегчить аудитору задачу выявления бизнес-рисков, которые могут оказывать воздействие на финансовую отчетность. Кроме того, такое понимание будет полезным аудитору при выявлении им рисков существенного искажения финансовой отчетности.

Цели и область применения бизнес-модели организации

1. Бизнес-модель организации описывает, как организация рассматривает, например, свою организационную структуру, деятельность или масштаб деятельности, направления деятельности (включая конкурентов и клиентов по ним), процессы, возможности расширения деятельности, глобализацию, нормативные требования и технологии. Бизнес-модель организации описывает, как организация создает, сохраняет и обеспечивает финансовые выгоды или ценность в более широком смысле для своих заинтересованных сторон.

2. Стратегии - это подходы, с использованием которых руководство планирует обеспечить достижение целей организации, в том числе планируемые подходы организации к рискам, с которыми она сталкивается, и возможностям, которые перед ней открываются. С течением времени руководство меняет стратегии с учетом изменения целей организации, а также внутренних и внешних условий, в которых организация осуществляет свою деятельность.

3. Как правило, описание бизнес-модели включает следующие позиции:

сфера деятельности организации и цели, с которыми она осуществляет данную деятельность;

структура организации и масштаб ее деятельности;

рынки сбыта или географическая либо демографическая сфера, а также элементы цепочки создания стоимости, в которых она работает, как осуществляется ее взаимодействие с участниками этих рынков или сфер (основные виды продукции, сегментация клиентов и методы сбыта) и на какой основе она ведет конкурентную борьбу;

бизнес-процессы и операционные процессы организации (например, процессы инвестиционной, финансовой и операционной деятельности), используемые при осуществлении ее деятельности, с акцентом на тех элементах бизнес-процессов, которые важны для создания и сохранения ценности и получения выгод;

ресурсы (например, финансовые, человеческие, интеллектуальные, экологические и технологические), а также другие факторы производства и взаимоотношения (например, клиенты, конкуренты, поставщики и работники), которые необходимы или важны для ведения успешной деятельности организацией;

то, как посредством ИТ-интерфейсов и использования других технологий в бизнес-модель организации интегрировано применение ИТ в рамках взаимодействия организации с клиентами, поставщиками, кредиторами и прочими заинтересованными сторонами.

4. Бизнес-риск может незамедлительно отразиться на риске существенного искажения для видов операций, остатков по счетам и раскрытия информации на уровне предпосылок или на уровне финансовой отчетности. Например, бизнес-риск, возникающий в результате значительного снижения рыночной стоимости недвижимости, может привести к повышению риска существенного искажения, связанного с предпосылками в отношении оценки, для кредитора, предоставляющего среднесрочные ипотечные кредиты. Однако тот же самый риск, особенно в сочетании с серьезным экономическим спадом, который одновременно повышает соответствующий риск кредитных убытков за весь срок по его кредитам, может иметь последствия и в долгосрочной перспективе. В результате чистая подверженность риску кредитных убытков может поставить под сомнение возможность организации продолжать непрерывно свою деятельность. В таком случае эти факторы будут иметь последствия для вывода руководства, а впоследствии - аудитора о правомерности применения допущения о непрерывности деятельности и для оценки наличия или отсутствия существенной неопределенности. Следовательно, вопрос о том, может ли бизнес-риск привести к риску существенного искажения финансовой отчетности, рассматривается с учетом конкретных обстоятельств в организации. Примеры событий и условий, которые могут приводить к рискам существенного искажения, представлены в Приложении 2.

Деятельность организации

5. Ниже приведены примерные вопросы, которые аудитор может рассмотреть при получении понимания деятельности организации (охватываемой бизнес-моделью).

(a) Коммерческая деятельность, например:

характер источников формирования выручки, продуктов и услуг, а также рынков, включая использование продаж через интернет и деятельность по продвижению товара на рынок;

способы ведения деятельности (например, стадии или методы производства или деятельность, подверженная рискам, связанным с охраной окружающей среды);

альянсы, совместные предприятия или передача выполнения определенных функций субподрядчикам;

географическое рассредоточение и отраслевая сегментация;

место нахождения производственных мощностей, складов и офисов, место нахождения и количество запасов;

основные клиенты и важные поставщики товаров и услуг, трудовые отношения (включая наличие коллективных договоров, пенсионных и прочих выплат после окончания трудовой деятельности, опционных программ или механизмов поощрительных вознаграждений, государственного регулирования вопросов трудоустройства);

деятельность и расходы на НИОКР;

значительные операции со связанными сторонами.

(b) Инвестиции и инвестиционная деятельность, например:

запланированные или недавно проведенные сделки приобретения или продажи;

инвестиции или продажа ценных бумаг и кредиты;

осуществление капитальных вложений.

инвестиции в неконсолидируемые организации, включая неконтролируемые партнерства, совместные предприятия и организации специального назначения.

(c) Финансирование и финансовая деятельность, например:

структура собственности крупных дочерних и ассоциированных организаций, включая консолидируемые и неконсолидируемые структуры;

структура задолженности и соответствующие условия, включая забалансовые схемы финансирования и арендные договоренности;

бенефициарные собственники (например, местные, зарубежные, деловая репутация и опыт) и связанные стороны;

использование производных финансовых инструментов.

Характер организаций специального назначения

6. Организация специального назначения - это организация, созданная, как правило, для конкретной, четко определенной цели, например для передачи в аренду или секьюритизации финансовых активов либо для проведения исследований и разработок. Такие организации могут быть созданы в форме корпорации, траста, товарищества или организации без образования юридического лица. Организация, в интересах которой была создана организации специального назначения, нередко может передавать последней активы (например, в рамках прекращения признания операции с финансовыми активами), получать право использования активов последней или оказывать услуги последней, при этом другие стороны могут обеспечивать финансирование последней. Как указано в МСА 550, в некоторых случаях организация специального назначения может быть связанной стороной организации70.

______________________________

70 МСА 550, пункт А7.

7. Концепции подготовки финансовой отчетности нередко предусматривают детальные условия, которые определяют наличие контроля, или обстоятельства, при которых необходимо рассмотреть вопрос о включении организации специального назначения в консолидированную финансовую отчетность. Толкование требований таких концепций часто предписывает тщательно изучать соответствующие соглашения, стороной которых выступает организация специального назначения.

Приложение 2 (см. пункты 12(f), 19(c), А7-А8, А85-А89)

Получение понимания в отношении факторов неотъемлемого риска

В данном приложении приводятся дополнительные разъяснения в отношении факторов неотъемлемого риска, а также сведений, которые аудитор может учитывать при изучении и применении факторов неотъемлемого риска в процессе выявления и оценки рисков существенного искажения на уровне предпосылок.

Факторы неотъемлемого риска

1. Факторы неотъемлемого риска - характеристики событий или условий, влияющих на подверженность предпосылки в отношении вида операций, остатка по счету или раскрытия информации искажению вследствие недобросовестных действий или ошибок, до рассмотрения средств контроля. Такие факторы могут иметь качественный или количественный характер и включать сложность, субъективность, изменчивость, неопределенность или подверженность искажению в силу предвзятости руководства или иных факторов риска недобросовестных действий71 в той части, в которой они влияют на неотъемлемый риск. При получении понимания организации и ее окружения, применимой концепции подготовки финансовой отчетности и учетной политики организации в соответствии с пунктами 19(а)-(b) аудитор также изучает, как факторы неотъемлемого риска влияют на подверженность предпосылок искажению при подготовке финансовой отчетности.

______________________________

71 МСА 240, пункты А24-А27.

2. Факторы неотъемлемого риска, относящиеся к подготовке информации, которая требуется применимой концепцией подготовки финансовой отчетности (именуемой в данном пункте "необходимая информация"), включают:

сложность, которая возникает в связи с характером сведений или процессом подготовки необходимой информации, в том числе в случаях, когда такие процессы подготовки могут быть связаны с неизбежными трудностями в их применении. Например, сложности могут возникать:

при расчете резервов под возвратные скидки поставщиков, так как при этом может быть необходимо учитывать разные коммерческие условия множества различных поставщиков или множество взаимосвязанных коммерческих условий, которые имеют значение для расчета выплачиваемых возвратных скидок, или

в том случае, когда имеется много потенциальных источников данных с разными характеристиками, используемых при расчете оценочных значений, и обработка таких данных включает много взаимосвязанных этапов, а следовательно, такие данные по определению сложнее идентифицировать, собрать, получить к ним доступ, а также понять их или обработать;

субъективность, которая возникает в результате неотъемлемых ограничений возможности объективной подготовки необходимой информации в силу ограниченности имеющихся знаний или сведений, которые могут потребоваться руководству для осуществления выбора или вынесения субъективного суждения в отношении применения надлежащего подхода и включения полученной информации в финансовую отчетность. В силу различий в подходах к подготовке необходимой информации надлежащее применение требований применимой концепции подготовки финансовой отчетности может привести к разным результатам. По мере повышения уровня ограниченности знаний или данных субъективность суждений, которые могут быть вынесены достаточно сведущими и независимыми лицами, а также расхождения между возможными результатами таких суждений также будут возрастать;

изменчивость, которая является результатом событий или условий, влияющих на деятельность организации или экономические, бухгалтерские, регуляторные, отраслевые или иные аспекты среды, в которой она осуществляет свою деятельность, когда последствия таких событий или условий отражаются в необходимой информации. Такие события или условия могут иметь место в течение отчетных периодов или в интервале между ними. Например, изменчивость может быть результатом обновления требований применимой концепции подготовки финансовой отчетности или изменений в организации и ее бизнес-модели, или в среде, в которой организация осуществляет свою деятельность. Такая изменчивость может повлиять на допущения и суждения руководства, в том числе в отношении того, как руководство выбирает учетную политику или рассчитывает оценочные значения, или определяет соответствующую информацию для раскрытия;

неопределенность возникает, когда необходимая информация не может быть подготовлена на основе одних только достаточно точных и исчерпывающих данных, которые можно подтвердить путем непосредственного наблюдения. В таких обстоятельствах может потребоваться подход с применением имеющихся знаний для подготовки информации на основе достаточно точных и исчерпывающих наблюдаемых данных, насколько это возможно, и разумных допущений, подтверждаемых наиболее уместными имеющимися данными, когда наблюдаемые данные отсутствуют. Ограниченность имеющихся знаний или данных, которая не контролируется руководством (при условии ограничений на затраты, если они предусмотрены), является источником неопределенности, и ее влияние на подготовку необходимой информации нельзя исключать. Например, неопределенность оценки возникает в случаях, когда необходимую сумму нельзя точно определить в денежном выражении и результат оценки остается неизвестным до даты окончательного составления финансовой отчетности;

подверженность искажению вследствие предвзятости руководства или иных факторов риска недобросовестных действий в той части, в которой они влияют на неотъемлемый риск - подверженность предвзятости руководства является результатом обстоятельств, которые обусловливают чувствительность к неспособности руководства сохранять объективность при подготовке информации, будь то умышленно или неумышленно. Предвзятость руководства во многих случаях связана с определенными обстоятельствами, которые потенциально могут стать причиной необъективности руководства при вынесении суждений (признаки возможной предвзятости руководства), что может привести к существенному искажению информации, которая являлась бы фиктивной в случае умышленных действий. Такие признаки включают побуждение или давление в той мере, в которой они влияют на неотъемлемый риск (например, в результате мотивации к достижению желательного результата, такого как плановая норма прибыли или коэффициент достаточности капитала), а также возможность не придерживаться объективности. Факторы, относящиеся к подверженности искажению вследствие недобросовестных действий в форме недобросовестного составления финансовой отчетности или неправомерного присвоения активов, указаны в пунктах А1-А5 МСА 240.

3. Когда сложность является фактором неотъемлемого риска, может возникать естественная необходимость использовать более сложные процессы при подготовке информации, и такие процессы могут быть связаны с неизбежными трудностями в их применении. Как следствие, их применение может потребовать специальных знаний или навыков и привлечения эксперта руководства.

4. Подверженность искажению вследствие предвзятости руководства, будь то умышленно или неумышленно, может также возрасти в случае, когда суждение руководства носит более субъективный характер. Например, в расчете оценочных значений, которые были определены как характеризующиеся высокой неопределенностью оценки, могут использоваться значимые суждения руководства, и выводы в отношении методов, данных и допущений могут отражать умышленную или неумышленную предвзятость руководства.

Примеры событий или условий, которые могут быть причиной наличия рисков существенного искажения

5. Ниже приводятся примеры событий (включая операции) и условий, которые могут свидетельствовать о наличии рисков существенного искажения в финансовой отчетности на уровне финансовой отчетности или на уровне предпосылок. Примеры, представленные по факторам неотъемлемого риска, охватывают широкий круг событий или условий, однако не все они применимы к каждому аудиторскому заданию, и перечень примеров необязательно является полным. События и условия были разделены на категории по факторам неотъемлемого риска, которые могут оказывать наибольшее влияние в конкретных обстоятельствах. Важно отметить, что в силу взаимосвязи факторов неотъемлемого риска события и условия в примерах также, по всей вероятности, будут зависеть от других факторов неотъемлемого риска или подвергаться их влиянию в той или иной степени.

Соответствующий фактор неотъемлемого риска Примеры событий или условий, которые могут свидетельствовать о наличии рисков существенного искажения на уровне предпосылок

Сложность Регулирование:

операции, которые являются объектом регулирования, отличающегося высоким уровнем сложности.

Бизнес-модель:

наличие сложных объединений и совместных предприятий.

Применимая концепция подготовки финансовой отчетности:

бухгалтерские оценки, требующие использования сложных процессов.

Операции:

использование забалансового финансирования, организаций специального назначения и других сложных финансовых механизмов.

Субъективность Применимая концепция подготовки финансовой отчетности:

широкий диапазон возможных критериев расчета оценочного значения. Например, признание руководством амортизации основных средств или доходов и расходов в отношении строительства;

выбор руководством метода или модели оценки для внеоборотного актива, такого как инвестиционная недвижимость.

Изменчивость Экономические условия:

операции в экономически нестабильных регионах, например в странах, экономика которых характеризуется высокой инфляцией и значительным обесценением валюты.

Рынки:

операции, осуществляемые на нестабильных рынках, например торговля фьючерсами.

Потеря клиентов:

вопросы непрерывности деятельности и ликвидности, включая потерю значительных клиентов.

Отраслевая модель:

изменения в отрасли, в которой организация осуществляет свою деятельность.

Бизнес-модель:

изменения в цепочке поставок;

разработка или предложение новых продуктов или услуг или открытие новых направлений бизнеса.

География:

расширение с охватом новых территорий.

Структура организации:

изменения в организации, такие как крупные приобретения, реорганизация или иные необычные события;

вероятность продажи организаций или бизнес-сегментов.

Компетентность кадровых ресурсов:

изменения в составе ключевого персонала, включая уход основных руководителей.

ИТ:

изменения в ИТ-среде;

внедрение новых крупных ИТ-систем, имеющих значение для составления финансовой отчетности.

Применимая концепция подготовки финансовой отчетности:

применение новых требований бухгалтерского учета.

Капитал:

новые ограничения в отношении наличия капитала и доступности кредита.

Регулирование:

начало расследования в отношении деятельности или финансовых результатов организации регулирующими или государственными органами;

влияние нового законодательства о защите окружающей среды.

Неопределенность Составление отчетности:

события или операции, связанные со значительной неопределенностью оценки, включая оценочные значения, и соответствующее раскрытие информации;

текущие судебные разбирательства и условные обязательства, например гарантии по продажам, финансовые гарантии и восстановление окружающей среды.

Подверженность искажению в результате предвзятости руководства или иных факторов риска недобросовестных действий в той части, в которой они влияют на неотъемлемый риск

Составление отчетности:

возможности участия руководства и сотрудников в недобросовестном составлении финансовой отчетности, включая пропуск или вуалирование значимой информации при раскрытии.

Операции:

значительные операции со связанными сторонами;

значительный объем нестандартных или случайных операций, включая внутрифирменные операции и крупные операции по признанию выручки в конце периода;

операции, отражаемые исходя из намерений руководства, например рефинансирование долга, активы, предназначенные для продажи, и классификация ценных бумаг, обращающихся на рынке.

Прочие события или условия, которые могут свидетельствовать о рисках существенного искажения на уровне финансовой отчетности:

недостаточное количество сотрудников, имеющих надлежащую квалификацию в области бухгалтерского учета и составления финансовой отчетности;

недостатки системы контроля, в частности в контрольной среде, в процессе оценки рисков и в процессе осуществления мониторинга, особенно те, в отношении которых руководством не были приняты меры;

искажения, которые имелись в прошлых периодах, история ошибок или значительное количество корректировок в конце периода.

Приложение 3 (см. пункты 12(т), 21 - 26, А90-А181)

Получение понимания системы внутреннего контроля организации

1. Организация системы внутреннего контроля может быть отражена в руководствах по политике и процедурам в области внутреннего контроля, в соответствующих системах и формах, в том числе в содержащейся в них информации. Функционирование системы обеспечивается персоналом организации. Система внутреннего контроля организации внедряется руководством, лицами, отвечающими за корпоративное управление, и прочими сотрудниками в соответствии со структурой организации. Система внутреннего контроля может применяться к операционной модели организации, структуре юридического лица или к их совокупности на основании решений руководства, лиц, отвечающих за корпоративное управление, и прочих сотрудников, а также в контексте законодательных или нормативных требований.

2. В настоящем приложении представлены дополнительные разъяснения в отношении компонентов и ограничений системы внутреннего контроля организации, указанных в пунктах 12(m), 21 - 26 и А90-А181, применительно к аудиту финансовой отчетности.

3. В систему внутреннего контроля организации входят аспекты, которые относятся к целям отчетности организации, включая цели финансовой отчетности, а также могут входить аспекты, относящиеся к целям ее деятельности или соблюдению законов и нормативных актов, когда такие аспекты имеют значение для составления финансовой отчетности.

Пример

Средства контроля за соблюдением законов и нормативных актов могут иметь значение для составления финансовой отчетности, когда такие средства контроля применимы к подготовке организацией информации об условных обязательствах, раскрываемой в финансовой отчетности.

Компоненты системы внутреннего контроля организации

Контрольная среда

4. Контрольная среда включает функции административного и корпоративного управления, отношение руководства и лиц, отвечающих за корпоративное управление, к системе внутреннего контроля организации, их осведомленность в этой области и соответствующие действия, а также значение, придаваемое организацией системе внутреннего контроля. Контрольная среда задает тон в организации, влияя на осознание сотрудниками необходимости контроля, и обеспечивает общую основу для функционирования других компонентов ее системы внутреннего контроля.

5. На осознание организацией необходимости контроля оказывают влияние лица, отвечающие за корпоративное управление, так как одной из их функций является нейтрализация давления, оказываемого на руководство в связи с составлением финансовой отчетности, которое может возникать в результате требований рынка или реализации программ вознаграждения. Следовательно, на эффективность структуры контрольной среды применительно к участию лиц, отвечающих за корпоративное управление, влияют такие вопросы, как:

их независимость от руководства и способность оценивать действия руководства;

понимание ими деятельности организации;

то, насколько они могут оценить, подготовлена ли финансовая отчетность в соответствии с применимой концепцией подготовки финансовой отчетности, в том числе раскрыта ли в ней надлежащая информация.

6. Контрольная среда охватывает следующие элементы:

(a) как выполняются функции руководства, например, в части формирования и поддержания культуры организации и демонстрации приверженности руководства принципам честности и этическим ценностям. Эффективность средств контроля определяется уровнем честности и этическими ценностями людей, которые разрабатывают, применяют и осуществляют их мониторинг. Честность и этическое поведение являются результатом этических и поведенческих стандартов организации, способов их доведения до сведения персонала (например, с помощью положений политики) и продвижения на практике (например, посредством действий руководства по исключению или снижению стимулов или соблазнов, которые могут подтолкнуть сотрудников к участию в нечестной, незаконной или неэтичной деятельности). Информирование о политике организации в отношении честности и этических ценностей может включать доведение до сотрудников стандартов поведения с помощью сформулированных положений политики, кодексов поведения и личного примера;

(b) как лица, отвечающие за корпоративное управление, демонстрируют независимость от руководства и осуществляют надзор за системой внутреннего контроля организации в случаях, когда они не входят в состав руководства. Лица, отвечающие за корпоративное управление, оказывают влияние на осознание организацией необходимости контроля. Факторы, которые необходимо учитывать, могут включать наличие достаточного числа лиц, независимых от руководства, и цель их оценок и принятия решений, а также то, как лица, отвечающие за корпоративное управление, определяют и принимают на себя обязанности по осуществлению надзора и выполняют ли они свои обязанности по надзору в отношении разработки и внедрения руководством системы внутреннего контроля и управления ею. Важность обязанностей лиц, отвечающих за корпоративное управление, признается в корпоративных кодексах и других законах и нормативных актах или руководствах, разработанных для лиц, отвечающих за корпоративное управление. Прочие обязанности лиц, отвечающих за корпоративное управление, включают надзор за разработкой и эффективным функционированием процедур информирования сотрудниками о нарушениях;

(c) как организация распределяет полномочия и ответственность, чтобы обеспечить достижение своих целей. Это может включать следующие аспекты:

основные области полномочий и ответственности и соответствующий порядок подотчетности;

политика в отношении надлежащей практики ведения бизнеса, знаний и опыта ключевого персонала и ресурсов, предоставляемых для выполнения обязанностей;

политика и информирование, призванные обеспечить понимание всеми сотрудниками целей организации, того, как их действия взаимосвязаны и способствуют достижению этих целей, а также осознание ими того, как и за что они будут нести ответственность;

(d) как организация привлекает, развивает и удерживает компетентных сотрудников в соответствии со своими целями. Это включает то, как она обеспечивает наличие у сотрудников знаний и навыков, необходимых для выполнения задач, определяющих должностные обязанности сотрудника, например:

стандарты по набору наиболее квалифицированного персонала с особым вниманием к образованию, предыдущему опыту работы, прошлым достижениям и доказательствам честности и этического поведения;

политика по обучению, которая информирует о будущих функциях и ответственности, включая практические занятия, такие как тренинги и семинары, которые иллюстрируют ожидаемый уровень результатов работы и поведения;

повышение в должности на основе периодической оценки результатов работы, что демонстрирует приверженность организации принципу продвижения квалифицированных сотрудников на более высокие уровни ответственности;

(е) как организация требует от работников отчета о выполнении своих обязанностей в рамках задач ее системы внутреннего контроля. Это может быть реализовано, например, посредством:

механизмов информирования и требования от сотрудников отчета о выполнении обязанностей по осуществлению контроля, а также принятия необходимых мер для исправления ситуации;

установления показателей деятельности, стимулов и вознаграждений лицам, ответственным за систему внутреннего контроля организации, включая механизм оценки и поддержания актуальности этих показателей;

влияния давления, связанного с необходимостью достижения целей контроля, на обязанности и показатели деятельности сотрудников;

применения дисциплинарных мер к сотрудникам по мере необходимости.

Вышеуказанные сведения будут в разной степени применимы к каждой организации в зависимости от ее размера, сложности структуры и характера деятельности.

Процесс оценки рисков в организации

7. Процесс оценки рисков организации является итеративным процессом выявления и анализа рисков для достижения целей организации и служит основой для определения руководством и лицами, отвечающими за корпоративное управление, рисков, которыми необходимо управлять.

8. Для целей составления финансовой отчетности процесс оценки рисков организации включает то, каким образом руководство определяет бизнес-риски, связанные с составлением финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, оценивает их значительность и вероятность возникновения, а также принимает решения в отношении действий по управлению ими и полученных результатов. Например, процесс оценки рисков в организации может быть направлен на рассмотрение того, как организация учитывает возможность существования не отраженных в учете операций или определяет и анализирует оценочные значения, отраженные в финансовой отчетности.

9. Риски, связанные с заслуживающей доверия финансовой отчетностью, относятся к внешним и внутренним событиям, операциям или обстоятельствам, которые могут возникать и отрицательно влиять на способность организации инициировать, учитывать, обрабатывать и включать в отчетность финансовую информацию, соответствующую предпосылкам руководства, использованным при составлении финансовой отчетности. Руководство может разрабатывать планы, программы или действия в ответ на отдельные риски или может решить принять риск в силу возможных издержек или по иным соображениям. Риски могут возникать или изменяться как следствие ряда обстоятельств:

изменения в операционной среде. Изменения в нормативном регулировании, экономических условиях или операционной среде могут привести к изменениям давления со стороны конкурентов и значительно изменить риски;

новый персонал. Новый персонал может относиться иначе к системе внутреннего контроля или иметь другое ее понимание;

новая или обновленная информационная система. Значительные и быстрые изменения в информационных системах могут изменить риски, связанные с системой внутреннего контроля организации;

быстрый рост. Значительное и быстрое расширение деятельности организации может перегрузить средства контроля и увеличить риск сбоев в системе контроля;

новые технологии. Внедрение новых технологий в производственный процесс или информационные системы может изменить риск, связанный с системой внутреннего контроля организации;

новые бизнес-модели, продукты и виды деятельности. Расширение деятельности организации на новые сферы бизнеса или появление операций, в которых у организации мало опыта, может вызвать новые риски, связанные с системой внутреннего контроля;

корпоративная реструктуризация. Реструктуризация может сопровождаться сокращением штата и изменениями в порядке осуществления надзора и разделения должностных обязанностей, что может изменить риск, связанный с системой внутреннего контроля организации;

расширение зарубежных операций. Расширение деятельности или приобретение подразделений за рубежом создает новые и во многих случаях уникальные риски, которые могут повлиять на систему внутреннего контроля, например дополнительные или измененные риски, связанные с операциями в иностранной валюте;

новые стандарты и разъяснения в сфере бухгалтерского учета. Принятие новых принципов бухгалтерского учета или изменение бухгалтерских принципов может повлиять на риски, связанные с подготовкой финансовой отчетности;

использование информационных технологий. Риски, связанные с:

сохранением целостности данных и обработкой информации;

рисками для бизнес-стратегии организации, которые возникают в случае, если ИТ-стратегия организации неэффективно поддерживает ее бизнес-стратегию, или

изменениями или сбоями в ИТ-среде организации, или текучестью сотрудников ИТ-отдела, или случаями, когда организация не проводит необходимых обновлений своей ИТ-среды или проводит их несвоевременно.

Процесс мониторинга системы внутреннего контроля организации

10. Процесс мониторинга системы внутреннего контроля является непрерывным процессом оценки эффективности системы внутреннего контроля организации и своевременного принятия необходимых корректирующих действий. Процесс мониторинга системы внутреннего контроля организации может включать непрерывную деятельность, отдельные оценки (проводимые на периодической основе) или какое-то их сочетание. Во многих случаях непрерывный мониторинг является частью обычной текущей деятельности организации и может включать регулярные управленческие и надзорные действия. По всей вероятности, масштаб и регулярность процесса, используемого организацией, будут варьироваться в зависимости от ее оценки рисков.

11. Цели и объемы функций службы внутреннего аудита обычно включают действия, направленные на оценку или мониторинг эффективности системы внутреннего контроля организации72. Процесс мониторинга организацией своей системы внутреннего контроля может включать такие действия, как проверка руководством своевременной подготовки банковских сверок, оценка внутренними аудиторами соблюдения сотрудниками службы продаж политики организации в отношении условий договоров купли-продажи, а также надзор, осуществляемый юридической службой, за соблюдением политики организации в отношении этики и практики ведения бизнеса. Мониторинг также проводится для непрерывного обеспечения долгосрочного эффективного функционирования средств контроля. Например, если мониторинг своевременности и точности банковских сверок не осуществляется, персонал может прекратить их подготовку.

______________________________

72 МСА 610 (пересмотренный, 2013 г.) и Приложение 4 к настоящему стандарту содержат дополнительные указания в отношении внутреннего аудита.

12. Средства контроля, относящиеся к процессу мониторинга организацией ее системы внутреннего контроля, включая те, которые осуществляют мониторинг базовых автоматизированных средств контроля, могут быть автоматизированными или применяться вручную, или представлять собой комбинированный вариант. Например, организация может использовать автоматизированные средства контроля мониторинга доступа к определенной технологии с автоматизированной подготовкой отчетов о необычных действиях для руководства, которое вручную проводит расследование выявленных аномалий.

13. При разграничении действий по мониторингу и контролю в отношении информационной системы учитывается базовая информация о действиях, особенно в случаях, когда такие действия включают надзорную проверку того или иного уровня. Надзорные проверки автоматически не классифицируются как действия по мониторингу, и классификация проверки как средства контроля в отношении информационной системы или действия по мониторингу может потребовать применения суждения. Например, целью ежемесячного контроля полноты было бы выявление и исправление ошибок, тогда как действия по мониторингу изучали бы причины возникновения ошибок и обязывали бы руководство скорректировать процесс так, чтобы предотвратить возникновение ошибок в будущем. В самом общем виде средство контроля, относящееся к информационной системе, реагирует на конкретный риск, тогда как действия по мониторингу оценивают, функционируют ли средства контроля в рамках каждого из пяти компонентов системы внутреннего контроля организации надлежащим образом.

14. Действия по мониторингу могут включать использование информации из сообщений внешних сторон, которые могут указывать на наличие проблем или областей, где требуются улучшения. Клиенты косвенно подтверждают данные биллинга, оплачивая свои счета или выражая недовольство по поводу начислений. Кроме того, регулирующие органы могут информировать организацию о вопросах, которые влияют на функционирование ее системы внутреннего контроля, например, путем уведомления о проверках банковскими регулирующими органами. Руководство также может учитывать в своих действиях по мониторингу всю информацию о системе внутреннего контроля организации, предоставленную внешними аудиторами.

Информационная система и информационное взаимодействие

15. Информационная система, связанная с подготовкой финансовой отчетности, включает действия и политику, а также данные бухгалтерского учета и подтверждающие записи, предназначенные для того, чтобы:

инициировать, отражать и обрабатывать операции организации (а также собирать, обрабатывать и раскрывать информацию о событиях и условиях, отличных от операций) и обеспечивать учет соответствующих активов, обязательств и собственного капитала;

своевременно исправлять результаты некорректной обработки операций, например автоматически созданные промежуточные файлы и последующее закрытие промежуточных счетов;

обрабатывать и учитывать факты обхода систем или преодоления средств контроля;

передавать информацию из систем обработки операций в основной регистр (например, передача накопленных операций из вспомогательной ведомости);

собирать и обрабатывать информацию, имеющую значение для подготовки финансовой отчетности, в отношении событий и условий, не являющихся операциями, таких как амортизация основных средств и нематериальных активов и изменения в возмещаемости активов;

обеспечивать сбор, учет, обработку, обобщение и надлежащее отражение в финансовой отчетности информации, подлежащей раскрытию в соответствии с применимой концепцией подготовки финансовой отчетности.

16. Бизнес-процессы организации включают действия, направленные на то, чтобы:

разрабатывать, закупать, производить, продавать и распространять продукцию и услуги организации;

обеспечивать соблюдение законов и нормативных актов;

отражать информацию, включая информацию по бухгалтерскому учету и финансовой отчетности.

Результатом бизнес-процессов являются операции, которые записаны, обработаны и отражены в информационной системе.

17. Качество информации влияет на способность руководства принимать надлежащие решения по управлению и контролю деятельности организации и подготовке заслуживающих доверия финансовых отчетов.

18. Информирование, которое обеспечивает понимание отдельных функций и обязанностей в рамках системы внутреннего контроля организации, может иметь такие формы, как внутренние регламенты, руководство по бухгалтерскому учету и составлению финансовой отчетности и меморандумы. Информирование может также осуществляться в электронной или устной форме или посредством действий руководства.

19. Информирование организацией о функциях и обязанностях по составлению финансовой отчетности и о значительных вопросах, касающихся финансовой отчетности, предполагает передачу информации о функциях и обязанностях отдельных сотрудников в отношении системы внутреннего контроля за составлением финансовой отчетности. Оно может охватывать такие вопросы, как степень понимания персоналом связи своих действий в информационной системе с работой других лиц, а также способы доведения информации о расхождениях до сведения соответствующих руководителей более высокого уровня в организации.

Контрольные действия

20. Средства контроля в компоненте контрольных процедур определяются в соответствии с пунктом 26. Такие средства контроля включают средства контроля обработки информации и общие средства ИТ-контроля, притом что те и другие по своему характеру могут применяться вручную или автоматизированно. Чем больше руководство использует автоматизированные средства контроля или средства контроля с автоматизированными аспектами и полагается на них при составлении финансовой отчетности, тем важнее становится для организации внедрение общих средств ИТ-контроля, которые призваны обеспечить непрерывное функционирование автоматизированных аспектов средств контроля обработки информации. Средства контроля в компоненте контрольных процедур могут относиться к следующим действиям.

Санкционирование и утверждение. Санкционирование подтверждает обоснованность сделки (то есть то, что она отражает фактическое экономическое событие или осуществляется в рамках политики организации). Санкционирование обычно имеет форму утверждения руководством более высокого уровня или проверки и определения факта обоснованности операции. Например, ответственный руководитель утверждает авансовый отчет после проверки расходов с точки зрения их разумности и соответствия политике. Примером автоматизированного утверждения является ситуация, когда стоимость единицы товара по счету автоматически сопоставляется с соответствующей стоимостью единицы товара в заказе на закупку в рамках предварительного установленного допустимого уровня. Счета в пределах допустимого уровня автоматически утверждаются для оплаты. Счета, выходящие за допустимый уровень, помечаются для дополнительного изучения.

Сверки обеспечивают сопоставление двух или больше элементов данных. При выявлении расхождений предпринимаются действия по приведению данных в соответствие. Сверки обычно проверяют полноту или точность обработки операций.

Проверки предусматривают сравнение двух или больше статей друг с другом или сопоставление статьи с политикой и, по всей вероятности, будут включать последующие действия, если две статьи не совпадают или статья не соответствует политике. Проверки обычно направлены на обеспечение полноты, точности или правильности обработки операций.

Физические или логические средства контроля, в том числе обеспечивающие защиту активов от несанкционированного доступа, приобретения, использования или продажи. Средства контроля охватывают:

физическую безопасность активов, включая надлежащие меры предосторожности, такие как устройства, регламентирующие доступ к активам и записям;

санкционирование доступа к компьютерным программам и файлам данных (то есть логический доступ);

периодический пересчет и сравнение с суммами, указанными в контрольных записях (например, сравнение результатов инвентаризации денежных средств, ценных бумаг и запасов с данными бухгалтерского учета).

Степень значимости физических средств контроля, призванных предотвратить хищение активов, для надежности подготовки финансовой отчетности зависит от такого обстоятельства, как высокая подверженность активов угрозе незаконного присвоения.

Разделение должностных обязанностей. Назначение разных лиц для выполнения обязанностей по санкционированию операций, записи операций, обеспечению сохранности активов. Разделение должностных обязанностей направлено на снижение возможностей любого лица совершить или скрыть ошибки или недобросовестные действия в процессе выполнения им своих обязанностей.

Например, менеджер, санкционирующий продажи в кредит, не отвечает за ведение записей дебиторской задолженности или обработку поступлений денежных средств. Если один сотрудник может выполнять все эти действия, он может, например, осуществить фиктивную продажу, которая может остаться незамеченной. Аналогичным образом сотрудники службы продаж не должны иметь возможности вносить изменения в файлы с ценами на продукцию или ставки комиссионных.

В некоторых случаях разделение обязанностей не является целесообразным, экономически эффективным или возможным. Например, у малых организаций и менее сложных организаций могут отсутствовать достаточные ресурсы для обеспечения идеального разделения обязанностей, а стоимость привлечения дополнительного персонала может быть чрезмерно высокой. В таких ситуациях руководство может ввести альтернативные средства контроля. В приведенном выше примере, если сотрудник службы продаж может вносить изменения в файлы с ценами на продукцию, можно применить обнаруживающие контрольные действия, чтобы сотрудники, не связанные со службой продаж, периодически проверяли, изменял ли сотрудник службы продаж цены и при каких обстоятельствах.

21. Некоторые средства контроля могут зависеть от наличия надлежащих надзорных средств контроля, установленных руководством или лицами, отвечающими за корпоративное управление. Например, контроль за санкционированием операций может быть делегирован согласно установленным директивам (принципам), в частности, установление инвестиционных критериев может быть делегировано лицам, отвечающим за корпоративное управление; в свою очередь нестандартные операции, такие как крупные приобретения или изъятие инвестиций, могут потребовать утверждения на более высоком уровне, в том числе в некоторых случаях - утверждения акционерами.

Ограничения системы внутреннего контроля

22. Независимо от степени эффективности система внутреннего контроля организации может обеспечить лишь разумную уверенность в достижении организацией целей финансовой отчетности. На вероятность их достижения влияют присущие системе внутреннего контроля ограничения. Они связаны с тем, что суждение человека при принятии решения может оказаться неверным и что в системе внутреннего контроля могут возникнуть сбои из-за влияния человеческого фактора. Например, ошибка может быть допущена при разработке средства контроля или при внесении в него изменений. Также функционирование того или иного средства контроля может оказаться неэффективным, в частности, когда информация, полученная для целей внутреннего контроля (например, отчет об отклонениях), используется недостаточно эффективно, поскольку лицо, ответственное за анализ такой информации, не понимает ее назначения или не в состоянии предпринять соответствующие действия.

23. Кроме того, средства контроля можно обойти посредством сговора двух или более лиц или за счет неправомерных действий руководства в обход действующей системы внутреннего контроля. Например, руководство может заключить с покупателями дополнительные соглашения, изменяющие условия типовых договоров купли-продажи организации, что может привести к неправомерному признанию выручки. Кроме того, контрольные проверки в ИТ-приложении, разработанные для выявления и получения отчетов об операциях, превышающих определенные кредитные лимиты, можно обойти или заблокировать.

24. Более того, при разработке и внедрении средств контроля руководство может формировать суждения о характере или объеме средств контроля, которые оно намерено внедрить, а также о характере и объеме рисков, которые оно готово принять.

Приложение 4 (см. пункты 14(a), 24(a)(ii), А25-А28, A118)

Вопросы для рассмотрения при получении представления о работе службы внутреннего аудита организации

В настоящем приложении представлены дополнительные вопросы, которые необходимо рассмотреть при получении представления о работе службы внутреннего аудита организации, если она имеется.

Цели и объем работы службы внутреннего аудита

1. Цели и объем работы службы внутреннего аудита, характер ее обязанностей и ее статус в организации, в том числе полномочия и подчиненность, сильно различаются и зависят от размера, сложности операций и структуры организации, а также требований руководства и, в соответствующих случаях, лиц, отвечающих за корпоративное управление. Эти вопросы могут регулироваться положением о службе внутреннего аудита или установленным заданием.

2. В обязанности службы внутреннего аудита может входить выполнение процедур и оценка их результатов с целью обеспечения уверенности как руководства, так и лиц, отвечающих за корпоративное управление, в отношении структуры и эффективности управления рисками, системы внутреннего контроля и процессов корпоративного управления в организации. В таком случае служба внутреннего аудита может играть важную роль в процессе мониторинга системы внутреннего контроля организации. Однако обязанности службы внутреннего аудита могут быть сосредоточены на оценке экономичности, эффективности и результативности операций, и в этом случае работа службы внутреннего аудитора может быть напрямую не связана с составлением финансовой отчетности организации.

Направление запросов службе внутреннего аудита

3. Если у организации имеется служба внутреннего аудита, направление запросов соответствующим сотрудникам службы может обеспечить предоставление информации, которая будет полезна аудитору в получении понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации, а также в выявлении и оценке рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок. При выполнении своей работы служба внутреннего аудита, по всей вероятности, глубоко изучила деятельность и бизнес-риски организации и могла получить результаты по итогам проделанной работы, такие как выявленные недостатки системы контроля или риски, которые могут быть значимы для получения аудитором понимания деятельности организации и ее окружения, применимой концепции финансовой отчетности и системы внутреннего контроля организации, а также для оценки аудитором рисков и других аспектов аудита. Следовательно, запросы аудитора направляются независимо от того, предполагает ли он использовать работу службы внутреннего аудита с целью изменения характера или сроков проведения или сокращения объема планируемых аудиторских процедур77. Особое значение могут иметь запросы в отношении вопросов, которые служба внутреннего аудита обсуждала с лицами, отвечающими за корпоративное управление, и результатов процесса собственной оценки рисков внутреннего аудита.

______________________________

77 Соответствующие требования содержатся в МСА 610 (пересмотренном, 2013 г).

4. Если с учетом ответов на запросы аудитора становится очевидно, что есть результаты, которые могут иметь отношение к составлению финансовой отчетности организации и аудиту финансовой отчетности, аудитор может счесть целесообразным ознакомиться с соответствующими отчетами службы внутреннего аудита. Примеры отчетов службы внутреннего аудита, которые могут иметь значение, включают документы по планированию и стратегии деятельности службы и отчеты, подготовленные для руководства или лиц, отвечающих за корпоративное управление, с описанием результатов проверок, проведенных службой внутреннего аудита.

5. Кроме того, в соответствии с МСА 240.78, если служба внутреннего аудита предоставляет аудитору информацию о фактических, потенциальных или предполагаемых недобросовестных действиях, аудитор учитывает ее при выявлении риска существенных искажений вследствие недобросовестных действий.

______________________________

78 МСА 240, пункт 19.

6. Соответствующие сотрудники службы внутреннего аудита, которым направляются запросы, являются лицами, которые, согласно суждению аудитора, имеют надлежащие знания, опыт и полномочия, например руководитель службы внутреннего аудита или, в зависимости от обстоятельств, иные сотрудники службы. Аудитор также может счесть целесообразным проводить периодически встречи с этими сотрудниками.

Рассмотрение функций службы внутреннего аудита в процессе получения понимания в отношении контрольной среды

7. В процессе получения понимания в отношении контрольной среды аудитор может рассмотреть вопрос о том, какие меры были приняты руководством в ответ на результаты работы и рекомендации службы внутреннего аудита в отношении выявленных недостатков системы контроля, относящихся к подготовке финансовой отчетности, в частности, были ли такие меры реализованы и каким образом, а также проводилась ли их последующая оценка службой внутреннего аудита.

Рассмотрение роли службы внутреннего аудита в процессе мониторинга системы внутреннего контроля организации

8. Если обязанности службы внутреннего аудита и ее деятельность по обеспечению уверенности по своему характеру связаны с составлением финансовой отчетности организации, аудитор может также использовать работу службы внутреннего аудита, чтобы изменить характер, сроки или сократить объем аудиторских процедур, которые должны быть выполнены непосредственно аудитором для получения аудиторских доказательств. Использование аудиторами результатов работы службы внутреннего аудита организации более вероятно, когда, например, опыт проведения предыдущего аудита или выполненные аудитором процедуры оценки рисков свидетельствуют, что служба внутреннего аудита обладает достаточными и надлежащими ресурсами, соответствующими сложности структуры организации и характеру ее деятельности, и подотчетна непосредственно лицам, отвечающим за корпоративное управление.

9. Если, основываясь на предварительном понимании деятельности службы внутреннего аудита, аудитор планирует использовать ее работу для изменения характера, сроков или сокращения объема планируемых аудиторских процедур, применяется МСА 610 (пересмотренный, 2013 г.).

10. Как более подробно рассматривается в МСА 610 (пересмотренном, 2013 г.), деятельность службы внутреннего аудита отлична от других средств контроля по мониторингу, которые могут иметь отношение к составлению финансовой отчетности, таких как проверки данных управленческой отчетности, проводимые с целью определить, каким образом организация предотвращает или выявляет искажения.

11. Установление информационного взаимодействия с соответствующими сотрудниками службы внутреннего аудита на ранних этапах выполнения задания и поддержание такого взаимодействия в течение всего аудита способствует эффективному обмену информацией. Это создает среду, в которой аудитор может быть проинформирован о значимых вопросах, которые могли привлечь внимание службы внутреннего аудита, если они могут повлиять на работу аудитора. Важность планирования и проведения аудита с профессиональным скептицизмом79, включая сохранение бдительности в отношении информации, которая ставит под вопрос надежность документов и ответов на запросы, которые предполагается использовать в качестве аудиторских доказательств, рассматривается в МСА 200. Следовательно, информационное взаимодействие со службой внутреннего аудита в течение всего аудита может предоставить внутренним аудиторам возможность довести такую информацию до сведения аудитора. После чего аудитор может принять во внимание эту информацию при выявлении и оценке рисков существенного искажения.

______________________________

79 МСА 200, пункт 7.

Приложение 5 (см. пункты 25(a), 26(b)-(c), А94, А166-А172)

Вопросы для рассмотрения при получении понимания в отношении информационных технологий (ИТ)

В настоящем приложении представлены дополнительные вопросы, которые аудитор может рассмотреть при получении понимания того, как организация использует ИТ в своей системе внутреннего контроля.

Изучение использования организацией информационных технологий в компонентах системы внутреннего контроля

1. Система внутреннего контроля организации содержит осуществляемые вручную и автоматизированные элементы (то есть применяемые вручную и автоматизированные средства контроля и другие ресурсы, используемые в системе внутреннего контроля организации). Сочетание осуществляемых вручную и автоматизированных элементов в организации зависит от характера и сложности используемых организацией ИТ. Использование организацией ИТ влияет на то, как обрабатывается, хранится и передается информация, имеющая значение для составления финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, и, следовательно, оказывает воздействие на разработку и внедрение системы внутреннего контроля организации. ИТ могут в той или иной степени использоваться в каждом компоненте системы внутреннего контроля организации.

В целом ИТ обеспечивают преимущества системе внутреннего контроля, позволяя организации:

последовательно применять заранее определенные правила ведения деятельности и выполнять сложные расчеты при обработке больших объемов операций или данных;

повышать точность, доступность и своевременность предоставления информации;

обеспечивать проведение дополнительного анализа информации;

расширять возможности по мониторингу ее деятельности и выполнения политики и процедур;

снижать риск обхода средств контроля;

расширять возможности достижения эффективного разделения должностных обязанностей путем внедрения средств контроля безопасности в ИТ-приложения, базы данных и операционные системы.

2. Характеристики осуществляемых вручную или автоматизированных элементов имеют значение для выявления и оценки аудитором рисков существенного искажения и проведения на их основе дальнейших аудиторских процедур. Автоматизированные средства контроля могут быть надежнее, чем средства контроля, осуществляемые вручную, так как их нельзя легко обойти, оставить без внимания или преодолеть, кроме того, они менее подвержены простым ошибкам и погрешностям. Автоматизированные средства контроля могут быть эффективнее, чем средства контроля, применяемые вручную, в следующих обстоятельствах:

при наличии большого объема повторяющихся операций или в ситуациях, когда ошибки, которые можно ожидать или прогнозировать, могут быть предотвращены или выявлены и исправлены за счет автоматизации;

при наличии средств контроля, когда определенный порядок осуществления контроля может быть соответствующим образом организован и автоматизирован.

Получение понимания в отношении использования организацией информационных технологий в информационной системе (см. пункт 25(a))

3. Информационная система организации может предусматривать использование осуществляемых вручную и автоматизированных элементов, которые также влияют на то, как операции инициируются, учитываются, обрабатываются и отражаются в отчетности. В частности, процедуры инициирования, учета, обработки и отражения операций в отчетности могут регламентироваться ИТ-приложениями, используемыми организацией, и тем, каким образом организация настроила эти приложения. Кроме того, записи в форме цифровой информации могут заменять или дополнять записи, выполненные в форме документов на бумажном носителе.

4. При получении понимания ИТ-среды, относящейся к потокам операций и обработке информации в информационной системе, аудитор собирает информацию о характере и характеристиках используемых ИТ-приложений, а также вспомогательной ИТ-инфраструктуры и информационных технологий. В таблицу ниже включены примеры вопросов, которые аудитор может рассмотреть при изучении среды информационных технологий, и примеры типичных характеристик среды информационных технологий, учитывающие сложность ИТ-приложений, используемых в информационной системе организации. Однако такие характеристики являются ориентировочными и могут различаться в зависимости от характера определенных ИТ-приложений, используемых организацией.

Примеры типичных характеристик

Несложное коммерческое программное обеспечениеУмеренно сложное коммерческое программное обеспечение или ИТ- приложения среднего размера Большие или сложные ИТ-приложения (например, система

управления предприятием)

Вопросы, относящиеся к уровню автоматизации и использованию данных

Объем автоматизированных процедур обработки и сложность этих процедур, в том числе в случае высокоавтоматизированных средств, безбумажной обработки НеприменимоНеприменимо Расширенные и

зачастую сложные

автоматизированные процедуры

Уровень использования организацией сформированных системой отчетов при обработке информации Логика простого автоматизированного отчетаЛогика применимого простого автоматизированного отчета Логика сложного автоматизированного отчета; программное обеспечение генератора отчетов

Как осуществляется ввод данных (то есть ввод вручную, ввод клиентом или продавцом или загрузка файла) Ввод данных вручную Ввод небольшого количества данных или простые интерфейсы Ввод большого

количества данных или сложные интерфейсы

Несложное коммерческое программное обеспечениеУмеренно сложное коммерческое программное обеспечение или ИТ- приложения среднего размера Большие или сложные ИТ-приложения (например, система

управления предприятием)

Как ИТ обеспечивают взаимодействие между приложениями, базами данных или другими аспектами ИТ-среды через интерфейсы системы внутри и вне организации в зависимости от обстоятельств Автоматизированные интерфейсы отсутствуют (ввод только вручную) Ввод небольшого количества данных или простые интерфейсы

Ввод большого

количества данных или сложные интерфейсы

Объем и сложность данных в цифровой форме, обрабатываемых информационной системой, в том числе хранятся ли данные бухгалтерского учета и другая информация в цифровой форме, и место хранения данных Небольшой объем данных или простые данные, которые можно проверить вручную; наличие данных на

локальном уровне Небольшой объем данных или простые данные Большой объем данных или сложные данные; хранилища данных80, использование внутренних или

внешних провайдеров ИТ-услуг (например, хранение или хостинг данных сторонними

организациями)

Вопросы, относящиеся к ИТ-приложениям и ИТ-инфраструктуре

Тип приложения (например, коммерческое приложение с небольшой адаптацией или без нее или значительно адаптированное или высокоинтегрированное приложение, которое может быть приобретено и адаптировано или разработано самостоятельно Приобретенное приложение с небольшой адаптацией или без нее Приобретенное приложение или простые приложения системы управления предприятием прежних версий или начального уровня с небольшой адаптацией или без нее

Специально разработанные приложения или более сложные системы управления предприятием со значительной адаптацией

Несложное коммерческое программное обеспечениеУмеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера Большие или сложные ИТ-приложения (например, система

управления предприятием)

Сложный характер ИТ-приложений и базовой ИТ-инфраструктуры Небольшой простой портативный компьютер или решение на основе модели клиент-

сервер Эффективный и стабильный базовый компьютер, небольшой или

простой клиентский сервер, программное обеспечение в форме сервисного облака

Сложный базовый

компьютер, большой или сложный

клиентский сервер с выходом в интернет, инфраструктура в

форме сервисного

облака

Используется ли сторонний хостинг или аутсорсинг ИТ При передаче в аутсорсинг привлекается компетентный, опытный, надежный провайдер (например, провайдер облачных вычислений)При передаче в аутсорсинг привлекается компетентный, опытный, надежный провайдер (например, провайдер облачных вычислений) Компетентный, опытный, надежный

провайдер для

некоторых приложений и новый или вновь созданный провайдер для других приложений

Использует ли организация новые технологии, которые влияют на составление ее финансовой отчетности Новые технологии не используются Новые технологии используются в

ограниченном объеме в некоторых приложениях

Комплексное использование новых технологий на разных платформах

Вопросы, относящиеся к ИТ-процессам

Персонал, участвующий в обслуживании ИТ-среды

(численность и уровень квалификации ресурсов по ИТ-поддержке, которые

обеспечивают безопасность и внесение изменений в ИТ- среду) Несколько сотрудников с ограниченным знанием ИТ для обработки обновлений поставщика и

управления доступом Ограниченное число сотрудников с навыками использования ИТ / специализирующихся в области ИТ

Специальные ИТ-

отделы с

квалифицированным персоналом, включая программистов

Сложность процессов по управлению правами доступа Один сотрудник, имеющий доступ с правами администратора, для управления

правами доступа Несколько сотрудников, имеющих доступ с правами администратора, для управления правами доступа

Сложные процессы

управления правами

доступа, регламентируемые ИТ- отделом

Сложность системы безопасности ИТ-среды, Простой локальный доступ без внешнихНесколько приложений на основе веб-

технологий с

Большое число

платформ с доступом на основе веб-

технологий

Несложное коммерческое программное обеспечениеУмеренно сложное коммерческое программное обеспечение или ИТ- приложения среднего размера Большие или сложные ИТ-приложения (например, система

управления предприятием)

Включая чувствительность ИТ-приложений, баз данных и других аспектов ИТ-среды к киберрискам, особенно в случаях, когда проводятся операции с использованием веб-технологий или внешних интерфейсов элементов с выходом в интернет преимущественно простой системой безопасности, построенной на

основе ролей

и сложные модели безопасности

Вносились ли изменения в программы в отношении метода обработки информации, и объем таких изменений в течение периода Коммерческое программное обеспечение без установки исходного кода

программы Некоторые коммерческие приложения без исходного кода и другие более

совершенные приложения с

несколькими или

простыми изменениями, традиционный жизненный цикл

разработки систем

Новые изменения, их большое количество или высокая

сложность, несколько циклов разработки в течение каждого года

Объем изменений в ИТ-среде(например, новые аспекты ИТ-среды или значительные изменения в ИТ-приложениях или базовой ИТ-инфраструктуре) Изменения ограничиваются обновлением версий коммерческого программного обеспеченияИзменения включают обновление коммерческого программного обеспечения, версий системы управления предприятием или доработку существующих программ

Новые изменения, их большое количество или высокая сложность, несколько циклов разработки в течение каждого года, значительная адаптация системы управления предприятием

Проводилось ли значительное преобразование данных в течение периода и, если это так, каковы характер и значение внесенных изменений и способ проведения преобразования Обновления программного обеспечения, предоставляемые поставщиком; отсутствие функционала по преобразованию данных для

обновления Небольшие обновления версии коммерческих программных приложений с ограниченным преобразованием данных

Значительное обновление версий, выпуск новых версий, изменение платформ

______________________________

76 Хранилище данных обычно определяется как центральный репозиторий интегрированных данных из одного или нескольких различных источников (например, большого количества баз данных), на основе которых могут формироваться отчеты или которые могут использоваться организацией для осуществления другой деятельности по анализу данных. Генератор отчетов - это ИТ-приложение, которое используется для извлечения данных из одного или нескольких источников (таких как хранилище данных, база данных или ИТ-приложение) и представления данных в определенном формате.

Новые технологии

5. Организации могут использовать новые технологии (например, блокчейн, робототехнику или искусственный интеллект), так как такие технологии могут открывать определенные возможности для повышения операционной эффективности или усовершенствования процесса составления финансовой отчетности. При использовании новых технологий в информационной системе организации, относящейся к подготовке финансовой отчетности, аудитор может рассматривать такие технологии в процессе выявления ИТ-приложений и других аспектов ИТ-среды, которые подвергаются рискам, возникающим в связи с использованием информационных технологий. Хотя новые технологии могут считаться более сложными или более совершенными по сравнению с существующими технологиями, обязанности аудитора в отношении ИТ-приложений и выявленных общих средств ИТ-контроля согласно пунктам 26(b)-(с) остаются неизменными.

Масштабируемость

6. Получение понимания ИТ-среды организации может требовать меньше усилий в случае менее сложной организации, которая использует коммерческое программное обеспечение, когда у организации нет доступа к исходному коду программы для внесения в нее изменений. Такие организации могут не иметь специальных ИТ-ресурсов, но у них может быть сотрудник, выполняющий функции администратора, для целей предоставления персоналу доступа или установки обновлений ИТ-приложений, предоставляемых поставщиком. Конкретные вопросы, которые аудитор может рассмотреть в рамках изучения характера пакета коммерческого программного обеспечения по бухгалтерскому учету, который может представлять собой одно ИТ-приложение, используемое в информационной системе менее сложной организации, могут включать следующие:

насколько общепризнанным является программное обеспечение и имеет ли оно репутацию надежного;

насколько возможно изменение исходного кода программного обеспечения организацией для включения дополнительных модулей (то есть дополнительных компонентов) в базовое программное обеспечение или для внесения непосредственных изменений в данные;

характер и объем изменений, внесенных в программное обеспечение. Хотя организация может не иметь возможности изменять исходный код программного обеспечения, многие пакеты программного обеспечения предусматривают возможность их конфигурации (то есть установки или изменения параметров отчетов). Это обычно не предполагает внесения изменений в исходный код, однако аудитор может рассмотреть вопрос о том, в какой мере организация может конфигурировать программное обеспечение при рассмотрении полноты и точности информации, предоставляемой программным обеспечением, которая используется в качестве аудиторских доказательств;

в какой мере возможен непосредственный доступ к данным, относящимся к подготовке финансовой отчетности (то есть непосредственный доступ к базе данных без использования ИТ-приложения), и каков объем обрабатываемых данных. Чем больше объем данных, тем выше вероятность того, что организации могут потребоваться средства контроля для обеспечения целостности данных, которые могут включать общие средства ИТ-контроля за несанкционированным доступом и внесением изменений в данные.

7. Сложные ИТ-среды могут включать в значительной степени адаптированные или высокоинтегрированные ИТ-приложения и, следовательно, могут требовать больше усилий при их изучении. Процессы или ИТ-приложения для составления финансовой отчетности могут быть интегрированы с другими ИТ-приложениями. Такая интеграция может включать ИТ-приложения, используемые в хозяйственной деятельности организации, которые предоставляют данные ИТ-приложениям в отношении потоков операций и обработки информации в информационной системе организации. В такой ситуации некоторые ИТ-приложения, используемые в хозяйственной деятельности организации, также могут иметь значение для подготовки финансовой отчетности. Сложные ИТ-среды также могут требовать наличия специальных ИТ-отделов со структурированными ИТ-процессами, поддерживаемыми персоналом, обладающим навыками разработки программного обеспечения и обслуживания ИТ-среды. В других случаях организация может использовать внутренних или внешних поставщиков услуг для управления определенными аспектами или ИТ-процессами своей ИТ-среды (например, сторонний хостинг).

Выявление ИТ-приложений, которые подвержены рискам, возникающим вследствие использования ИТ

8. Изучая характер и сложность ИТ-среды, включая характер и уровень средств контроля обработки информации, аудитор может определить, на какие ИТ-приложения полагается организация в части точной обработки и сохранения целостности финансовой информации. Выявление ИТ-приложений, на которые полагается организация, может повлиять на решение аудитора по тестированию автоматизированных средств контроля, используемых в таких ИТ-приложениях, с учетом того, что такие автоматизированные средства контроля реагируют на выявленные риски существенного искажения. Напротив, если организация не полагается на ИТ-приложение, автоматизированные средства контроля, используемые в таком ИТ-приложении, вряд ли являются надлежащими или достаточно точными для целей тестирования операционной эффективности. Автоматизированные средства контроля, которые могут быть выявлены согласно пункту 26(b), могут включать, например, автоматизированные расчеты или средства контроля за вводом, обработкой и выводом данных, такие как тройное сопоставление заказа на закупки, грузового документа поставщика и счета поставщика. Когда аудитор выявляет автоматизированные средства контроля и определяет путем изучения ИТ-среды, что организация полагается на ИТ-приложение, которое включает такие автоматизированные средства контроля, аудитор с большей вероятностью будет рассматривать это ИТ-приложение как подверженное рискам, возникающим вследствие использования ИТ.

9. При определении подверженности ИТ-приложений, для которых аудитор выявил автоматизированные средства контроля, рискам, возникающим вследствие использования ИТ, аудитор, по всей вероятности, рассмотрит вопрос о том, может ли организация иметь доступ к исходному коду, позволяющему руководству вносить изменения в программу в отношении таких средств контроля или ИТ-приложений, и в каком объеме. Также может быть уместно рассмотреть объем изменений, которые организация вносит в программу или конфигурацию, а также то, насколько формализованы ИТ-процессы в отношении таких изменений. Аудитор также, по всей вероятности, рассмотрит риск ненадлежащего доступа к данным или внесения в них ненадлежащих изменений.

10. Сформированные системой отчеты, которые аудитор может планировать использовать в качестве аудиторских доказательств, могут включать, например, отчет об анализе торговой дебиторской задолженности по срокам возникновения или отчет об оценке запасов. Для таких отчетов аудитор может получить аудиторские доказательства в отношении полноты и точности отчетов путем тестирования по существу входных и выходных данных отчета. В иных случаях аудитор может планировать тестирование операционной эффективности средств контроля за подготовкой и корректировкой отчета, и тогда ИТ-приложение, с помощью которого он был сформирован, по всей вероятности, будет подвержено рискам, возникающим вследствие использования ИТ. В дополнение к тестированию полноты и точности отчета, аудитор может планировать тестирование операционной эффективности общих средств ИТ-контроля, которые реагируют на риски, связанные с внесением ненадлежащих или несанкционированных изменений в программу или данных в отчет.

11. Некоторые ИТ-приложения могут иметь функционал генератора отчетов, тогда как некоторые организации также могут использовать отдельные приложения, создающие отчеты (то есть генераторы отчетов). В таких случаях аудитору может потребоваться определить источники отчетов, формируемых системой (то есть приложение, которое подготавливает отчет, и источники данных, используемые в отчете), чтобы решить, подвержены ли ИТ-приложения рискам, возникающим вследствие использования ИТ.

12. Источники данных, используемые ИТ-приложениями, могут представлять собой базы данных, которые, например, доступны только через ИТ-приложение или для сотрудников ИТ-отдела, имеющих права администратора базы данных. В иных случаях источником данных может быть хранилище данных, которое может само рассматриваться как ИТ-приложение, подверженное рискам, возникающим вследствие использования ИТ.

13. Аудитор мог выявить риск, для которого выполнение только процедур проверки по существу недостаточно по причине использования организацией высокоавтоматизированной и безбумажной обработки операций, которая может требовать применения большого числа интегрированных ИТ-приложений. В таких обстоятельствах средства контроля, выявленные аудитором, по всей вероятности, будут включать автоматизированные средства контроля. Кроме того, организация может полагаться на общие средства ИТ-контроля в целях обеспечения целостности обрабатываемых операций и иной информации, используемой в процессе обработки. В таких случаях ИТ-приложения, применяемые для обработки и хранения информации, по всей вероятности, будут подвергаться рискам, возникающим вследствие использования ИТ.

Вычисления конечного пользователя

14. Хотя аудиторские доказательства также могут быть получены в форме созданных системой выходных данных, которые используются в расчетах, осуществляемых инструментом для вычислений конечного пользователя (например, программой для работы с электронными таблицами или простыми базами данных), такие инструменты обычно не определяются как ИТ-приложения в контексте пункта 26(b). Разработка и внедрение средств контроля за доступом к инструментам для вычислений конечного пользователя и внесением в них изменений могут быть затруднительными, и такие средства контроля в редких случаях являются эквивалентными общим средствам ИТ-контроля или столь же эффективными. Скорее всего, аудитор может рассмотреть комбинацию средств контроля обработки информации с учетом целей и сложности применяемых вычислений конечного пользователя, таких как:

средства контроля обработки информации в отношении инициирования и обработки исходных данных, включая соответствующие автоматизированные или интерфейсные средства контроля до момента извлечения данных (то есть хранилища данных);

средства контроля, которые проверяют надлежащее функционирование логической схемы, например средства контроля, которые "подтверждают" извлечение данных, такие как сверка отчета с данными, на основании которых он был составлен, сравнение отдельных данных отчета с источником и наоборот, а также средства контроля, которые проверяют формулы или макроэлементы, или

использование инструментов подтверждения соответствия программного обеспечения, которые проверяют формулы или макроэлементы на систематической основе, например инструменты проверки целостности электронных таблиц.

Масштабируемость

15. Способность организации обеспечивать целостность информации, которая хранится и обрабатывается в информационной системе, может зависеть от сложности и объема соответствующих операций и прочей информации. Чем выше уровень сложности и чем больше объем данных, которые лежат в основе значительного вида операций, остатка по счету или раскрытия информации, тем меньше будет вероятность того, что организация сможет обеспечить целостность этой информации только за счет средств контроля обработки информации (например, средств контроля за вводом и выводом данных или средств контроля за осуществлением проверки). Также снижается вероятность того, что аудитор сможет получить аудиторские доказательства в отношении полноты и точности такой информации только посредством тестирования по существу в случаях, когда такая информация используется в качестве аудиторских доказательств. В некоторых обстоятельствах, при меньших объемах и более низком уровне сложности операций, руководство может иметь средство контроля обработки информации, которое является достаточным для проверки точности и полноты данных (например, отдельные заказы на продажу, которые обрабатываются и по которым выставляются счета, могут сверяться с печатной копией, данные которой были первоначально введены в ИТ-приложение). Когда организация полагается на общие средства ИТ-контроля в целях обеспечения целостности определенной информации, используемой в ИТ-приложениях, аудитор может определить, что ИТ-приложения, которые поддерживают такую информацию, подвергаются рискам, возникающим вследствие использования ИТ.

Примеры характеристик ИТ-приложения, которое, по всей вероятности, не подвергается рискам, возникающим вследствие

использования ИТ

Примеры характеристик ИТ-приложения, которое, по всей вероятности, подвергается рискам, возникающим

вследствие использования ИТ

Отдельные приложения.

Объем данных (операций) не является значительным.

Функционал приложения не является сложным.

Каждая операция подтверждается

оригиналом документа на бумажном носителе.

ИТ-приложение, по всей вероятности, не подвергается рискам, возникающим вследствие использования ИТ, так как:

объем данных не является значительным и, следовательно, руководство не полагается на общие средства ИТ-контроля при обработке или обновлении данных;

руководство не полагается на автоматизированные средства контроля или иной автоматизированный функционал. Аудитор не выявил автоматизированных средств контроля в соответствии с пунктом 26(a);

хотя в своих средствах контроля руководство использует отчеты, сформированные системой, оно не полагается на эти отчеты. Вместо этого оно проводит сверку отчетов с документами на бумажном носителе и проверяет расчеты в отчетах;

аудитор будет непосредственно тестировать информацию, подготовленную организацией, которая используется в качестве аудиторских доказательств.

Приложения связаны с помощью интерфейса.

Объем данных (операций) является значительным.

Функционал приложения является сложным, так как:

приложение автоматически инициирует операции;

в основе автоматизированных бухгалтерских записей лежит большое количество сложных вычислений.

ИТ-приложение, по всей вероятности, подвергается рискам, возникающим вследствие использования ИТ, так как:

руководство полагается на прикладную систему при обработке или обновлении данных, так как объем данных значителен;

руководство полагается на прикладную систему при использовании определенных автоматизированных средств контроля, которые также были выявлены аудитором.

Прочие аспекты ИТ-среды, которые подвержены рискам, возникающим вследствие использования ИТ

16. Когда аудитор выявляет ИТ-приложения, которые подвергаются рискам, возникающим вследствие использования ИТ, обычно иные аспекты ИТ-среды также подвергаются рискам, возникающим вследствие использования ИТ. ИТ-инфраструктура включает базы данных, операционную систему и сеть. В базах данных хранятся данные, используемые ИТ-приложениями, и они могут состоять из большого числа взаимосвязанных таблиц данных. Доступ к данным в базах данных могут иметь сотрудники ИТ-отдела или иной персонал с правами администратора базы данных непосредственно через системы управления базами данных. Операционная система отвечает за управление информационным взаимодействием между аппаратными средствами, ИТ-приложениями и другим программным обеспечением, используемым в сети. По существу, непосредственный доступ к ИТ-приложениям и базам данных можно получить через операционную систему. Сеть используется в ИТ-инфраструктуре для передачи данных и обмена информацией, ресурсами и услугами через общий канал связи. В сети также обычно устанавливается уровень логической безопасности, обеспечиваемый через операционную систему, для доступа к базовым ресурсам.

17. Когда аудитор выявляет ИТ-приложения, подверженные рискам, возникающим вследствие использования ИТ, он также обычно выявляет базу или базы данных, в которых хранятся данные, обрабатываемые такими ИТ-приложениями. Аналогично, так как возможность функционирования ИТ-приложения во многих случаях зависит от операционной системы и непосредственный доступ к ИТ-приложениям и базам данных может осуществляться через операционную систему, операционная система обычно подвергается рискам, возникающим вследствие использования ИТ. Сеть может быть определена как подверженная рискам использования ИТ, если она является центральной точкой доступа к выявленным ИТ-приложениям и соответствующим базам данных, или если ИТ-приложение взаимодействует с поставщиками или внешними сторонами через интернет, или если аудитор выявляет ИТ-приложения с выходом в интернет.

Выявление рисков, возникающих вследствие использования ИТ, и общие средства ИТ-контроля

18. Примеры рисков, возникающих вследствие использования ИТ, включают риски, связанные с ненадлежащим использованием ИТ-приложений, которые неточно обрабатывают данные, обрабатывают неточные данные или делают возможным то и другое, в частности:

несанкционированный доступ к данным, который может привести к уничтожению данных или ненадлежащим изменениям в данных, включая отражение несанкционированных или несуществующих операций, или к неточному отражению операций. Определенные риски могут возникать в случае доступа к общей базе данных большого числа пользователей;

возможность получения персоналом ИТ-отдела прав доступа, превышающих уровень, необходимый для выполнения порученных им обязанностей, что нарушает принцип разделения должностных обязанностей;

внесение несанкционированных изменений в данные в главных файлах;

внесение несанкционированных изменений в ИТ-приложения или другие аспекты ИТ-среды;

невнесение необходимых изменений в ИТ-приложения или другие аспекты ИТ-среды;

ненадлежащее вмешательство, осуществленное вручную;

потенциальная потеря данных или невозможность получить доступ к данным, когда это необходимо.

19. Рассмотрение аудитором несанкционированного доступа может включать риски, связанные с несанкционированным доступом внутренних или внешних сторон (часто именуемые "риски кибербезопасности"). Такие риски необязательно могут влиять на составление финансовой отчетности, так как ИТ-среда организации может также включать ИТ-приложения и соответствующие данные, связанные с ее операционными потребностями или соблюдением законов или нормативных актов. Важно отметить, что киберинциденты обычно сначала возникают в периметре и на уровнях внутренней сети, которые затем исключаются из ИТ-приложения, базы данных и операционных систем, влияющих на подготовку финансовой отчетности. Следовательно, если была выявлена информация о нарушении системы безопасности, аудитор обычно рассматривает, в какой мере такое нарушение может повлиять на составление финансовой отчетности. Если возможны последствия для составления финансовой отчетности, аудитор может принять решение изучить и провести тестирование соответствующих средств контроля, чтобы определить возможное влияние или масштаб потенциальных искажений в финансовой отчетности, или может определить, что организация раскрыла надлежащую информацию в отношении такого нарушения системы безопасности.

20. Кроме того, законы и нормативные акты, которые могут напрямую или косвенно влиять на финансовую отчетность организации, могут включать законодательство о защите данных. Рассмотрение вопроса о соблюдении организацией таких законов или нормативных актов в соответствии с МСА 250 (пересмотренным)81 может включать изучение ИТ-процессов организации и общих средств ИТ-контроля, которые организация внедрила в целях соблюдения соответствующих законов или нормативных актов.

______________________________

81 МСА 250 (пересмотренный).

21. Общие средства ИТ-контроля внедряются в целях реагирования на риски, возникающие вследствие использования ИТ. Следовательно, аудитор использует понимание, полученное в отношении выявленных ИТ-приложений и других аспектов ИТ-среды, а также применимых рисков, возникающих вследствие использования ИТ, при принятии решения об определении общих средств ИТ-контроля. В некоторых случаях организация может использовать общие ИТ-процессы своей ИТ-среды или определенных ИТ-приложений, и тогда могут быть выявлены общие риски, возникающие вследствие использования ИТ, и единые для таких процессов общие средства ИТ-контроля.

22. В целом в отношении ИТ-приложений и баз данных, по всей вероятности, выявляется больше общих средств ИТ-контроля, чем в отношении других аспектов ИТ-среды. Это объясняется тем, что такие аспекты наиболее тесно связаны с обработкой и хранением информации в информационной системе организации. При выявлении общих средств ИТ-контроля аудитор может рассматривать средства контроля за действиями как конечных пользователей, так и сотрудников ИТ-отдела организации или поставщиков ИТ-услуг.

23. В Приложении 6 дополнительно разъясняется характер общих средств ИТ-контроля, обычно используемых для различных аспектов ИТ-среды. Кроме того, приводятся примеры общих средств ИТ-контроля для различных ИТ-процессов.

Приложение 6 (см. пункты 25(c)(ii), А173-A174)

Вопросы для рассмотрения при получении понимания в отношении общих средств ИТ- контроля

В данном приложении рассматриваются дополнительные вопросы, которые аудитор может рассмотреть при получении понимания в отношении общих средств ИТ-контроля.

1. Характер общих средств ИТ-контроля, обычно используемых для каждого из аспектов ИТ-среды.

(a) Приложения

Общие средства ИТ-контроля на уровне ИТ-приложения будут соответствовать характеру и объему функционала приложения, а также путям доступа, разрешенным технологией. Например, для высокоинтегрированных ИТ-приложений со сложными параметрами безопасности будет актуально больше средств контроля, чем для устаревшего ИТ-приложения, обрабатывающего небольшое количество остатков по счетам с применением метода доступа путем использования операций.

(b) База данных

Общие средства ИТ-контроля на уровне базы данных обычно реагируют на риски, возникающие вследствие использования ИТ в связи с несанкционированным обновлением информации для финансовой отчетности в базе данных посредством прямого доступа к базе данных или выполнения сценария или программы.

(c) Операционная система

Общие средства ИТ-контроля на уровне операционной системы обычно реагируют на риски, возникающие вследствие использования ИТ в части административного доступа, что может способствовать обходу других средств контроля. Это включает такие действия, как получение несанкционированного доступа к учетным данным другого пользователя, добавление новых, несанкционированных пользователей, загрузка вредоносного программного обеспечения или выполнение сценариев или других несанкционированных программ.

(d) Сеть

Общие средства ИТ-контроля на уровне сети обычно реагируют на риски, возникающие вследствие использования ИТ в отношении сегментации сети, удаленного доступа и аутентификации. Сетевые средства контроля могут быть применимыми в случаях, когда у организации имеются приложения с выходом в интернет, используемые при составлении финансовой отчетности. Сетевые средства контроля также могут быть уместными в случаях, когда организация имеет значительные отношения с партнерами по бизнесу или операции, переданные на аутсорсинг третьим лицам, что может привести к увеличению объема передаваемых данных и необходимости удаленного доступа.

2. Примеры существующих общих средств ИТ-контроля, сгруппированных по ИТ-процессам, следующие.

(a) Процесс управления доступом:

Аутентификация

Средства контроля, которые обеспечивают доступ пользователя к ИТ-приложению или другому аспекту ИТ-среды, предусматривают использование собственных учетных данных пользователя (то есть пользователь не использует учетные данные другого пользователя).

Авторизация

Средства контроля, которые позволяют пользователям получить доступ к информации, необходимой исключительно для выполнения их должностных обязанностей, что способствует надлежащему разделению должностных обязанностей.

Инициализация

Средства контроля, авторизующие новых пользователей и изменения в правах доступа существующих пользователей.

Деинициализация

Средства контроля, отзывающие права доступа пользователя после прекращения трудового договора или перевода.

Привилегированный доступ

Средства контроля за доступом администраторов или ключевых пользователей.

Проверки пользовательского доступа

Средства контроля, предусматривающие повторную сертификацию или оценку пользовательского доступа для продолжения авторизации в течение продолжительного периода.

Средства контроля за настойками безопасности

Как правило, в каждой технологии предусмотрены основные параметры настойки, которые помогают ограничить доступ к среде.

Физический доступ

Средства контроля за физическим доступом к центру обработки и передачи данных и аппаратным средствам. По существу, доступ может быть использован для обхода других средств контроля.

(b) Процесс управления внесением изменений в программы и других изменений в ИТ-среду:

Процесс управления изменениями

Средства контроля за процессом разработки, программирования, тестирования и перенесения изменений в производственную среду (то есть для конечного пользователя).

Разделение должностных обязанностей по переносу изменений

Средства контроля, которые разделяют доступ в целях проведения и переноса изменений в производственную среду.

Разработка, приобретение или внедрение систем

Средства контроля за первоначальной разработкой или внедрением ИТ-приложений (или в отношении других аспектов ИТ-среды).

Преобразование данных

Средства контроля за преобразованием данных в ходе разработки, внедрения или обновления ИТ-среды.

(с) Процесс управления ИТ-операциями:

Планирование заданий

Средства контроля за доступом в целях планирования и инициирования заданий или программ, которые могут влиять на финансовую отчетность.

Мониторинг заданий

Средства контроля, осуществляющие мониторинг заданий или программ по составлению финансовой отчетности в целях их успешного выполнения.

Резервное копирование и восстановление

Средства контроля, обеспечивающие резервное копирование данных финансовой отчетности в соответствии с планом, наличие и доступность таких данных в целях своевременного восстановления в случае сбоя системы или атаки.

Обнаружение вторжений

Средства контроля по мониторингу уязвимостей и (или) вторжений в ИТ-среду.

В таблице ниже приведены примеры общих средств ИТ-контроля, используемых для реагирования на типовые риски, возникающие вследствие использования ИТ, в том числе для разных ИТ-приложений, с учетом их характера.

Процесс

Риски

Средства контроля

ИТ-приложения

ИТ-процесс

Примеры рисков, возникающих вследствие использования ИТ

Пример общих средств ИТ-контроля

Несложное коммерческое программное обеспечение - применимо (да / нет)

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера - применимо (да / нет)

Большие или сложные ИТ-приложения (например, система управления предприятием) - применимо (да / нет)

Управление

доступом

Пользовательские права

доступа: пользователи имеют права

доступа, превышающие уровень, необходимый для выполнения порученных им обязанностей, что может стать причиной ненадлежащего разделения должностных обязанностей.

Руководство утверждает характер и объем пользовательских прав доступа для нового и

измененного доступа пользователей, включая стандартное применение профилей / ролей, важные операции по составлению финансовой отчетности и

разделение обязанностей. Да - вместо проверок пользовательского доступа, указанных ниже.

Да.

Да.

Доступ уволенных или переведенных пользователей своевременно удаляется или изменяется.Да - вместо проверок пользовательского доступа, указанных ниже. Да.

Да.

Пользовательский доступ

периодически проверяется. Да - вместо средств контроля по инициализации/деинициализации, указанных выше.

Да - для определенных приложений.

Да.

Осуществляется мониторинг разделения должностных обязанностей, и права доступа, которые приводят к

возникновению конфликта, либо удаляются, либо привязываются к компенсирующим средствам контроля, что документируется и тестируется. Неприменимо - разделение с помощью системы отсутствует.

Да - для определенных приложений.

Да.

Привилегированные права доступа (например, администраторы конфигурации, данных и безопасности) авторизованы и надлежащим образом ограничены Да - по всей вероятности, только на уровне ИТ- приложения. Да - ИТ- приложение и определенные уровни ИТ- среды для платформы.

Да - на всех уровнях ИТ-среды ДЛЯ платформы.

Управление доступом Параметры настройки системы: системные настройки и обновления недостаточны для ограничения доступа к системе должным образом уполномоченными и надлежащими пользователями.

Аутентификация доступа осуществляется с использованием уникального пользовательского идентификатора или других методов в

качестве механизма подтверждения того, что

пользователи уполномочены иметь доступ к системе.

Параметры паролей соответствуют стандартам компании или отрасли (например, минимальная длина и сложность пароля, истечение срока, блокировка учетной записи). Да - аутентификация только с помощью пароля. Да комбинация аутентификации с помощью пароля и

многофакторной аутентификации.

Да.

Основные элементы настройки безопасности внедрены надлежащим образом.Неприменимо - технические настройки безопасности отсутствуют.

Да - для определенных приложений и баз данных.

Да.

Управление изменениями Изменения в приложениях: ненадлежащие изменения вносятся в прикладные системы или программы, которые содержат соответствующие автоматизированные средства контроля (то есть настраиваемые параметры, автоматизированные алгоритмы, автоматизированные расчеты и автоматизированное извлечение данных), или в логику отчетов.

Изменения в

приложениях надлежащим образом тестируются и утверждаются до переноса в производственную среду. Неприменимо - не проверяют установленный исходный код программы.

Да - для некоммерческого программного обеспечения.

Да.

Доступ для внедрения изменений в производственную среду приложения надлежащим образом ограничен и отделен от среды разработки. Неприменимо. Да - для некоммерческого программного обеспечения.

Да.

Управление изменениями Изменения в базах данных: ненадлежащие изменения вносятся в структуру базы данных и взаимосвязи между данными.

Изменения в базах данных надлежащим образом тестируются и утверждаются до переноса в производственную среду.

Неприменимо - изменения в базы данных организации не вносятся. Да - для некоммерческого программного обеспечения.

Да.

Управление изменениями Изменения в системном программном обеспечении: в системное программное обеспечение вносятся ненадлежащие изменения (например, в операционную систему, сеть, программное обеспечение по управлению изменениями и контролю доступа). Изменения в системном программном обеспечении надлежащим образом тестируются и утверждаются до переноса в производственную среду.Неприменимо - нет изменения в системном программном обеспечении.Да. Да.

Управление изменениями Преобразование данных: преобразование данных, полученных из устаревших систем или предыдущих версий, связано с ошибками в данных, если в результате преобразования переносятся неполные, избыточные, устаревшие или неточные данные. Руководство утверждает результаты преобразования данных (например, действия по сведению баланса и проведению сверки) из старой прикладной системы или структуры данных в новую прикладную систему или структуру данных и осуществляет мониторинг проведения преобразования в соответствии с установленной политикой и процедурами преобразования. Неприменимо - регламентируется средствами контроля, применяемыми вручную.Да. Да.

ИТ-операции Сеть: сеть не предотвращает в должной мере получение ненадлежащего доступа к информационным системам неуполномоченными пользователями. Аутентификация доступа осуществляется с использованием уникального пользовательского идентификатора или других методов в качестве механизма подтверждения того, что пользователи уполномочены иметь доступ к системе. Параметры паролей соответствуют корпоративным или профессиональным стандартам и политике (например, минимальная длина и сложность пароля, истечение срока, блокировка учетной записи). Неприменимо - отдельный метод сетевой аутентификации не используется.Да. Да.

Архитектура сети предусматривает сегментацию с отделением приложений с выходом в интернет от

внутренней сети, где имеется

доступ к

приложениям, относящимся к системе внутреннего контроля за

составлением финансовой отчетности. Неприменимо - сегментация сети не используется.Да - с применением суждений. Да - с применением суждений.

Группа сотрудников, ответственных за сетевое управление, периодически проводит сканирование периметра сети на уязвимость, а также расследует потенциальные факторы уязвимости. Неприменимо.Да - с применением суждений.

Да - с применением суждений.

Периодически создаются напоминания, которые уведомляют об угрозах, выявленных системами обнаружения вторжений. Эти угрозы расследуются группой специалистов, ответственных за сетевое

управление. Неприменимо.Да - с применением суждений.Да - с применением суждений.

Средства контроля внедрены в целях ограничения доступа к виртуальной частной сети (VPN) уполномоченными и надлежащими пользователями.Неприменимо - виртуальная частная сеть отсутствует.Да - с применением суждений.Да - с применением суждений.

ИТ-операции Резервное копирование и восстановление данных: при потере данных невозможно восстановление финансовых данных или своевременный доступ к ним. Резервное копирование финансовых данных осуществляется на регулярной основе в соответствии с установленным графиком и периодичностью

Неприменимо - используется резервное копирование вручную сотрудниками финансовой службы. Да. Да.

ИТ-операции Планирование заданий: использование систем управления производством, программ или выполнение заданий приводит к неточной, неполной или несанкционированной обработке данных. Только уполномоченные пользователи имеют доступ для проведения обновления пакетных заданий (включая задания, относящиеся к интерфейсу) в программном обеспечении по планированию заданий. Неприменимо - пакетные задания отсутствуют.

Да - для определенных приложений. Да.

Осуществляется мониторинг важнейших систем, программ или заданий, и ошибки, допущенные при обработке, исправляются, чтобы обеспечить успешное выполнение.Неприменимо - мониторинг заданий не осуществляется. Да - для определенных приложений. Да.

Приложение № 2 к приказу Министерства финансов Российской Федерации от 27 октября 2021 г. № 163н

МЕЖДУНАРОДНЫЙ СТАНДАРТ СОПУТСТВУЮЩИХ УСЛУГ 4400 (ПЕРЕСМОТРЕННЫЙ)

ЗАДАНИЯ ПО ВЫПОЛНЕНИЮ СОГЛАСОВАННЫХ ПРОЦЕДУР

Международный стандарт сопутствующих услуг (МССУ) 4400 (пересмотренный) "Задания по выполнению согласованных процедур" следует рассматривать вместе с Предисловием к Сборнику Международных стандартов контроля качества, аудита и обзорных проверок, прочих заданий, обеспечивающих уверенность, и заданий по оказанию сопутствующих услуг.

Введение

Сфера применения настоящего стандарта

1. Настоящий Международный стандарт сопутствующих услуг устанавливает:

(a) обязанности практикующего специалиста, привлеченного для работы по заданию по выполнению согласованных процедур;

(b) форму и содержание отчета о задании по выполнению согласованных процедур.

2. Настоящий стандарт применяется к осуществлению заданий по выполнению согласованных процедур в отношении предметов заданий как финансового, так и нефинансового характера (см. пункты A1-А2).

Взаимосвязь МСКК 1.1

3. В обязанности аудиторской организации входит разработка и внедрение систем, политики и процедур контроля качества. Действие МСКК 1 распространяется на организации профессиональных бухгалтеров применительно к заданиям по выполнению согласованных процедур. Положения настоящего МССУ, касающиеся контроля качества на уровне отдельных заданий по выполнению согласованных процедур, разработаны исходя из того, что аудиторская организация обязана соблюдать требования МСКК 1 или иные требования, которые являются не менее строгими (см. пункты A3-A8).

Задание по выполнению согласованных процедур

4. В рамках задания по выполнению согласованных процедур практикующий специалист выполняет процедуры, согласованные между ним и заказчиком задания, при условии подтверждения заказчиком того факта, что выполненные процедуры уместны для цели задания. Практикующий специалист сообщает о выполненных согласованных процедурах и связанных с ними результатах в отчете о задании по выполнению согласованных процедур. Заказчик задания и другие предполагаемые пользователи самостоятельно рассматривают согласованные процедуры и результаты, представленные практикующим специалистом в отчете, и делают собственные выводы на основе работы, выполненной практикующим специалистом.

______________________________

1 Международный стандарт контроля качества (МСКК) 1 "Контроль качества в аудиторских организациях, проводящих аудит и обзорные проверки финансовой отчетности, а также выполняющих прочие задания, обеспечивающие уверенность, и задания по оказанию сопутствующих услуг".

5. Ценность согласованных процедур, выполняемых в соответствии с настоящим стандартом, определяется следующим:

(a) соблюдением практикующим специалистом профессиональных стандартов, включая соответствующие этические требования;

(b) прозрачным и ясным информированием о выполненных процедурах и связанных с ними результатах.

6. Задание по выполнению согласованных процедур не является аудитом, обзорной проверкой или другим заданием, обеспечивающим уверенность. Задание по выполнению согласованных процедур не предполагает получения доказательств, требуемых для того, чтобы практикующий специалист выразил мнение или сделал вывод, обеспечивающий уверенность, в любой форме.

Область применения настоящего стандарта

7. Настоящий стандарт содержит цели практикующего специалиста по соблюдению МССУ, определяющие контекст, в котором устанавливаются требования настоящего МССУ. Эти цели предназначены для того, чтобы помочь практикующему специалисту понять, что необходимо выполнить в рамках задания по выполнению согласованных процедур.

8. В данном МССУ приводятся требования, описываемые при помощи слов "должен" и "обязан", которые призваны обеспечить достижение практикующим специалистом поставленных целей.

9. Кроме того, настоящий МССУ содержит вводную часть, определения, руководство по применению и прочие пояснительные материалы, которые обеспечивают должный уровень понимания этого стандарта.

10. Руководство по применению и прочие пояснительные материалы более подробно разъясняют требования и содержат указания по их соблюдению. Хотя такие указания сами по себе не носят обязательного характера, они играют важную роль в надлежащем выполнении требований. Руководство по применению и прочие пояснительные материалы также могут способствовать получению исходной информации по вопросам, рассматриваемым в настоящем МССУ, что способствует должному уровню соблюдения требований.

Дата вступления в силу

11. Настоящий МССУ вступает в силу в отношении заданий по выполнению согласованных процедур, по которым условия задания согласованы 1 января 2022 года или после этой даты (см. пункт А9).

Цели

12. Цели практикующего специалиста в задании по выполнению согласованных процедур в соответствии с настоящим стандартом заключаются в следующем:

(a) согласовать с заказчиком процедуры, которые будут выполнены;

(b) выполнить согласованные процедуры;

(c) сообщить о выполненных процедурах и соответствующих результатах в соответствии с требованиями настоящего стандарта.

Определения

13. Для целей настоящего стандарта следующие термины используются в указанных ниже значениях:

(а) согласованные процедуры - процедуры, согласованные практикующим специалистом и заказчиком задания и, если применимо, другими сторонами (см. пункт А10);

(b) задание по выполнению согласованных процедур - задание, в котором практикующий специалист привлекается для выполнения процедур, согласованных между ним и заказчиком задания и, если уместно, другими сторонами, и для сообщения о выполненных процедурах и связанных с ними результатах в отчете о задании по выполнению согласованных процедур (см. пункт А10);

(c) руководитель задания - партнер или иной сотрудник аудиторской организации, который отвечает за задание и его выполнение, а также за выпускаемый от имени аудиторской организации отчет о задании по выполнению согласованных процедур и которому предоставлены, если необходимо, надлежащие полномочия профессиональной организацией, юридическим лицом или регулирующим органом;

(d) заказчик задания - сторона (стороны), которая привлекает (которые привлекают) практикующего специалиста для выполнения согласованных процедур (см. пункт A11);

(e) рабочая группа - все партнеры и сотрудники, выполняющие конкретное задание по согласованным процедурам, а также любые лица, привлеченные аудиторской организацией или организацией, входящей в сеть, которые выполняют процедуры в рамках данного задания. При этом данный термин не относится к внешним экспертам практикующего специалиста, привлеченным аудиторской организацией или организацией; входящей в сеть;

(f) результаты - фактические результаты выполнения согласованных процедур. Результаты могут быть объективно проверены. Ссылки на результаты, содержащиеся в настоящем МССУ, исключают мнения или выводы в любой форме, а также любые рекомендации, которые может дать практикующий специалист (см. пункты А12-А13);

(g) предполагаемые пользователи - лицо, или организация, или группа лиц, которые, как ожидает практикующий специалист, будут использовать отчет о задании по выполнению согласованных процедур. В некоторых случаях предполагаемыми пользователями могут быть иные лица, помимо тех, кому адресован отчет о задании по выполнению согласованных процедур (см. пункт А10);

(h) практикующий специалист - практикующий профессиональный бухгалтер. Под этим термином понимается руководитель задания или другие члены рабочей группы либо в соответствующих случаях аудиторская организация. Если в настоящем МССУ в явной форме предусмотрено, что определенное требование или определенная обязанность должны быть выполнены руководителем задания, используется не термин "практикующий специалист", а термин "руководитель задания";

(i) эксперт практикующего специалиста - физическое лицо или организация, обладающие опытом в области, отличной от заданий, обеспечивающих уверенность, и заданий по сопутствующим услугам, чья работа в этой области используется для оказания помощи практикующему специалисту в выполнении обязанностей практикующего специалиста по заданию по выполнению согласованных процедур. Эксперт практикующего специалиста может быть внутренним экспертом практикующего специалиста (который является партнером или сотрудником, в том числе временным сотрудником, аудиторской организации практикующего специалиста или организации, входящей в сеть) или внешним экспертом практикующего специалиста;

(j) профессиональное суждение - применение соответствующих знаний, опыта и навыков в контексте настоящего МССУ и соответствующих этических требований при принятии обоснованных решений о надлежащих планах действий в обстоятельствах конкретного задания по выполнению согласованных процедур;

(k) соответствующие этические требования - этические требования, которые обязана соблюдать рабочая группа при выполнении заданий по выполнению согласованных процедур. Эти требования обычно включают Международный кодекс этики профессиональных бухгалтеров Совета по международным стандартам этики (СМСЭБ) (включая Международные стандарты независимости (Кодекс СМСЭБ)), а также более строгие национальные требования;

(1) ответственная сторона - сторона (стороны), ответственная (ответственные) за предмет задания, по которому выполняются согласованные процедуры.

Требования

Проведение согласованных процедур в соответствии с настоящим стандартом

14. Практикующий специалист обязан в полном объеме ознакомиться с текстом настоящего МССУ, включая руководство по применению и прочие пояснительные материалы, чтобы понять цели стандарта и обеспечить надлежащее соблюдение установленных им требований.

Соблюдение уместных требований

15. Практикующий специалист обязан соблюсти каждое требование настоящего МССУ, кроме случаев, когда то или иное требование не относится к конкретному заданию по выполнению согласованных процедур, например, если изложенные в требовании обстоятельства отсутствуют применительно к данному заданию.

16. Практикующий специалист не должен указывать на факт соблюдения требований настоящего МССУ, за исключением случаев, когда он соблюдал все требования данного стандарта, применимые к заданию по согласованным процедурам.

Соответствующие этические требования

17. Практикующий специалист обязан соблюдать соответствующие этические требования (см. пункты А14-А20).

Профессиональное суждение

18. Практикующий специалист должен применять профессиональное суждение при принятии задания, его выполнении и составлении отчета о задании по выполнению согласованных процедур с учетом обстоятельств задания (см. пункты А21-А23).

Контроль качества на уровне задания

19. Руководитель задания несет ответственность:

(а) за общее качество согласованных процедур, включая, если применимо, работу, выполненную экспертом практикующего специалиста (см. пункт А24);

(b) за выполнение задания в соответствии с требованиями политики и процедур контроля качества аудиторской организации посредством:

(i) проведения надлежащих процедур в отношении принятия и продолжения отношений с клиентами и принятия и выполнения конкретных заданий (см. пункт А25);

(ii) подтверждения того, что аудиторская группа и любые эксперты практикующего специалиста, не входящие в рабочую группу, в совокупности обладают соответствующей компетенцией и (возможностями для выполнения согласованных процедур;

(iii) проявления повышенного внимания к признакам невыполнения членами рабочей группы соответствующих этических требований и определения надлежащих действий, если руководитель задания получит информацию, указывающую на невыполнение членами рабочей группы соответствующих этических требований (см. пункт А26);

(iv) руководства, осуществления надзора и выполнения задания в соответствии с профессиональными стандартами и соответствующими законодательными и нормативными требованиями;

(v) принятия ответственности за надлежащее ведение документации по заданию.

20. Если предполагается использовать работу эксперта практикующего специалиста, руководитель задания должен убедиться, что практикующий специалист сможет участвовать в работе эксперта практикующего специалиста в той степени, которая достаточна для того, чтобы взять на себя ответственность за результаты, включенные в отчет о задании по выполнению согласованных процедур (см. пункт А27).

Принятие и продолжение задания

21. Прежде чем принять или продолжить задание по выполнению согласованных процедур, практикующий специалист должен получить понимание цели задания. Практикующий специалист не должен принимать или продолжать задание, если ему известны какие-либо факты или обстоятельства, указывающие на то, что процедуры, которые практикующему специалисту предлагается выполнить, неуместны для цели задания по выполнению согласованных процедур (см. пункты А28-А31).

22. Практикующий специалист должен принять или продолжить задание по выполнению согласованных процедур только в том случае, если (см. пункты А28-А31):

(a) заказчик задания подтверждает, что ожидаемые процедуры, которые должен выполнить практикующий специалист, уместны для цели задания;

(b) практикующий специалист ожидает, что сможет получить информацию, необходимую для выполнения согласованных процедур;

(c) согласованные процедуры и связанные с ними результаты могут быть описаны объективно, в терминах, которые ясны, не вводят в заблуждение и не допускают различных толкований (см. пункты А32-А36);

(d) у практикующего специалиста нет оснований полагать, что соответствующие этические требования не будут соблюдены;

(e) у практикующего специалиста нет оснований полагать, что требования независимости не будут соблюдены, если от практикующего специалиста требуется соблюдать требования независимости (см. пункты А37-А38).

23. Если руководитель задания получит информацию, которая, будь она известна ранее, заставила бы аудиторскую организацию отказаться от задания, руководитель задания обязан незамедлительно сообщить такую информацию аудиторской организации, чтобы совместно предпринять необходимые в таких случаях действия.

Согласование условий задания

24. Практикующий специалист должен согласовать условия задания по выполнению согласованных процедур с заказчиком задания и зафиксировать согласованные условия задания в письме-соглашении или другом подходящем по форме письменном документе. Эти условия должны включать следующее (см. пункты А39-А40):

(a) идентификацию предмета (предметов) задания, по которому (по которым) будут выполняться согласованные процедуры;

(b) цель задания и предполагаемых пользователей отчета о задании по выполнению согласованных процедур, указанных заказчиком задания;

(c) если применимо, ответственную сторону, указанную заказчиком задания, и заявление о том, что задание по выполнению согласованных процедур исполняется на основании того, что ответственная сторона несет ответственность за предмет задания, в отношении которого выполняются согласованные процедуры;

(d) подтверждение соответствующих этических требований, которые практикующий специалист будет соблюдать при выполнении согласованных процедур;

(e) заявление о том, требуется ли от практикующего специалиста соблюдать требования независимости и, если да, соответствующие требования независимости (см. пункты А37-А38);

(f) характер согласованных процедур, включая заявления, которые устанавливают, что:

(i) задание по выполнению согласованных процедур включает в себя выполнение практикующим специалистом процедур, согласованных с заказчиком задания и, если уместно, с другими сторонами, и отчет о результатах (см. пункт А10);

(ii) результатами являются фактические результаты выполненных согласованных процедур;

(iii) задание по выполнению согласованных процедур не является заданием, обеспечивающим уверенность, и, следовательно, практикующий специалист не выражает мнения или не делает вывода, обеспечивающего уверенность;

(g) подтверждение заказчиком задания и, если уместно, другими сторонами, что согласованные процедуры являются уместными для цели задания (см. пункт А10);

(h) идентификацию адресата отчета о задании по выполнению согласованных процедур;

(i) характер, сроки и объем процедур, которые должны быть выполнены, описанные в терминах, которые ясны, не вводят в заблуждение и не допускают различных толкований (см. пункты А41-А42);

(j) ссылку на предполагаемую форму и содержание отчета о задании по выполнению согласованных процедур.

25. Если в ходе задания в согласованные процедуры вносятся изменения, практикующий специалист должен согласовать с заказчиком задания поправки к условиям задания, которые отражают измененные процедуры (см. пункт А43).

Повторные задания по выполнению согласованных процедур

26. При выполнении повторных заданий по выполнению согласованных процедур практикующий специалист обязан оценить, есть ли необходимость в пересмотре условий задания, в том числе в изменении условий принятия задания, и нужно ли еще раз напомнить заказчику задания о действующих условиях задания (см. пункт А44).

Выполнение согласованных процедур

27. Практикующий специалист должен выполнить процедуры, согласованные в условиях задания.

28. Практикующий специалист должен решить, следует ли запрашивать письменные заявления (см. пункт А45).

Использование работы эксперта практикующего специалиста

29. Если практикующий специалист использует работу эксперта практикующего специалиста, он должен (см. пункты А46-А47, А50):

(a) оценить компетентность, способности и объективность эксперта практикующего специалиста;

(b) согласовать с экспертом практикующего специалиста характер, объем и цели его работы (см. пункты А48-А49);

(c) определить, соответствуют ли характер, сроки и объем работы, выполненной экспертом практикующего специалиста, работе, согласованной с экспертом;

(d) определить, адекватно ли результаты раскрывают итоги выполненной работы, принимая во внимание работу, выполненную экспертом практикующего специалиста.

Отчет о задании по выполнению согласованных процедур

30. Отчет о задании по выполнению согласованных процедур должен составляться в письменной форме и включать (см. пункт А51):

(a) заголовок, который явно указывает на то, что отчет представляет собой отчет о задании по выполнению согласованных процедур;

(b) адресата, указанного в условиях соглашения о задании;

(c) идентификацию предмета задания, по которому выполняются согласованные процедуры (см. пункт А52);

(d) определение цели отчета о задании по выполнению согласованных процедур и заявление о том, что отчет о задании по выполнению согласованных процедур может не подходить для других целей (см. пункты А53-А54);

(e) описание задания по выполнению согласованных процедур, указывающее, что:

(i) задание по выполнению согласованных процедур включает в себя выполнение практикующим специалистом процедур, согласованных с заказчиком задания и, если применимо, с другими сторонами, и отчет о результатах (см. пункт А10);

(ii) результаты являются фактическими итогами выполненных согласованных процедур;

(iii) заказчик задания и, если уместно, другие стороны подтвердили, что согласованные процедуры уместны для цели задания (см. пункт А10);

(f) если применимо, ответственную сторону, указанную заказчиком задания, и заявление о том, что ответственная сторона несет ответственность за предмет задания, по которому выполняются согласованные процедуры;

(g) заявление о том, что задание было выполнено в соответствии с МССУ 4400 (пересмотренным);

(h) заявление о том, что практикующий специалист не делает заявлений относительно уместности согласованных процедур;

(i) заявление о том, что задание по выполнению согласованных процедур не является заданием, обеспечивающим уверенность, и, следовательно, практикующий специалист не выражает мнения или не делает вывода, обеспечивающего уверенность;

(j) заявление о том, что, если бы практикующий специалист выполнил дополнительные процедуры, его внимание могли бы привлечь другие вопросы, о которых было бы сообщено;

(k) заявление о том, что практикующий специалист соблюдает этические требования Кодекса СМСЭБ или другие профессиональные требования либо требования, установленные законом или нормативным актом, которые являются не менее строгими;

(l) в отношении независимости:

(i) если практикующий специалист не обязан быть независимым и в условиях задания отсутствует договоренность о необходимости соблюдения требований независимости, заявление о том, что для цели задания отсутствуют требования независимости, которые практикующий специалист должен соблюдать, или

(ii) если практикующий специалист должен быть независимым или в условиях задания есть договоренность о необходимости соблюдать требования независимости, заявление о том, что практикующий специалист выполнил соответствующие требования независимости. В заявлении должны быть указаны соответствующие требования независимости;

(m) заявление о том, что аудиторская организация практикующего специалиста применяет МСКК 1 или другие профессиональные требования либо требования, установленные законом или нормативным актом, не менее строгие, чем установленные МСКК 1. Если практикующий специалист не является профессиональным бухгалтером, должно быть определено профессиональное требование либо требование, установленное законом или нормативным актом, не менее строгое, чем установленное МСКК 1;

(n) описание выполненных процедур с подробным описанием характера и объема, а также, если применимо, сроков каждой процедуры, согласованной в условиях задания (см. пункты А55-А57);

(о) результаты каждой выполненной процедуры, включая подробную информацию об обнаруженных расхождениях (см. пункты А55-А56);

(p) подпись практикующего специалиста;

(q) дату отчета о согласованных процедурах;

(r) местонахождение в юрисдикции, где практикующий специалист осуществляет свою деятельность.

31. Если практикующий специалист ссылается в отчете о задании по выполнению согласованных процедур на работу, выполненную экспертом практикующего специалиста, формулировка отчета не должна подразумевать, что ответственность практикующего специалиста за выполнение процедур и представление результатов уменьшена из-за участия эксперта (см. пункт А58).

32. Если практикующий специалист представляет краткое изложение результатов в отчете о задании по выполнению согласованных процедур в дополнение к описанию результатов в соответствии с требованиями пункта 30(о):

(a) краткое изложение результатов должно быть описано объективно, ясно, не вводить в заблуждение и не допускать различных толкований;

(b) отчет о задании по выполнению согласованных процедур должен включать заявление о том, что чтение краткого изложения не заменяет чтения полного отчета.

33. Практикующий специалист должен датировать отчет о задании по выполнению согласованных процедур не ранее даты, когда практикующий специалист завершил согласованные процедуры и определил результаты в соответствии с настоящим стандартом.

Выполнение задания по выполнению согласованных процедур вместе с другим заданием

34. Отчет о задании по выполнению согласованных процедур должен явно отличаться от отчетов о других заданиях (см. пункт А59).

Документация

35. В документацию по заданию практикующий специалист должен включить (см. пункт А60):

(а) согласованные в письменном виде условия задания и, если применимо, согласие заказчика задания на изменение процедур;

(b) характер, сроки и объем выполненных согласованных процедур;

(c) результаты, полученные в ходе выполненных согласованных процедур.

***

Руководство по применению и прочие пояснительные материалы

Сфера применения настоящего стандарта (см. пункт 2)

А1. Ссылка на предмет задания в настоящем стандарте включает все элементы, в отношении которых выполняются согласованные процедуры, в том числе информацию, документы, расчеты или соблюдение законов и нормативных актов, в зависимости от обстоятельств.

А2. Примеры предметов задания финансового и нефинансового характера, по которым может выполняться задание по согласованным процедурам, включают:

предметы задания финансового характера, как например:

финансовую отчетность организации или отдельные виды операций, остатки по счетам или раскрытие информации в финансовой отчетности;

правомерность расходов, произведенных по программам финансирования;

доходы для определения роялти, арендной платы или франшизы, определяемой на основе процента от доходов;

показатели достаточности капитала для регулирующих органов;

предметы задания нефинансового характера, как например:

данные о количестве пассажиров, которые предоставляются ведомству гражданской авиации;

наблюдение за уничтожением поддельных или дефектных товаров, сведения о которых поданы в регулирующий орган;

процедуры сбора данных для розыгрышей лотереи, информация о которых передается в регулирующий орган;

объем выбросов парниковых газов, который сообщается регулирующему органу.

Приведенный выше список не является исчерпывающим. Дополнительные типы предметов заданий могут возникать по мере возникновения новых требований к внешней отчетности.

Взаимосвязь с МСКК1 (см. пункт 3)

А3. В МСКК 1 рассматриваются обязанности аудиторской организации по разработке и применению собственной системы контроля качества в отношении заданий по оказанию сопутствующих услуг, в том числе заданий по выполнению согласованных процедур. Такие обязанности направлены на разработку:

системы контроля качества аудиторской организации;

соответствующей политики аудиторской организации, нацеленной на достижение цели применения системы контроля качества, а также процедур реализации и контроля за соблюдением такой политики.

А4. В соответствии с МСКК 1 аудиторская организация обязана создавать и поддерживать систему контроля качества для получения разумной уверенности в том, что:

(a) аудиторская организация и ее сотрудники соблюдают профессиональные стандарты, применимые законодательные и нормативные требования;

(b) отчеты, выпускаемые аудиторской организацией или руководителями заданий, являются уместными в сложившихся обстоятельствах2.

______________________________

2 МСКК 1, пункт 11.

А5. Юрисдикция, не принявшая МСКК 1 в отношении заданий по выполнению согласованных процедур, может установить собственные требования по контролю качества в аудиторских организациях, выполняющих такие задания. Положения настоящего МССУ, касающиеся контроля качества на уровне задания, разработаны исходя из того, что принятые требования по контролю качества являются не менее строгими, чем требования МСКК 1.

Это обеспечивается тогда, когда данные требования устанавливают обязательства аудиторской организации по достижению целей, указанных в требованиях МСКК 1, в том числе обязательство по разработке системы контроля качества, включая политику и процедуры, касающиеся каждого из следующих элементов:

ответственность руководства за качество внутри аудиторской организации;

соответствующие этические требования;

принятие и продолжение отношений с клиентами и принятие и выполнение конкретных заданий;

кадровые ресурсы;

мониторинг.

В контексте системы контроля качества аудиторской организации рабочие группы несут ответственность за внедрение процедур контроля качества применительно к заданию.

А7. Если предоставляемая аудиторской организацией или прочими сторонами информация не указывает на иное, то рабочая группа вправе полагаться на систему контроля качества аудиторской организации. Например, рабочая группа может полагаться на систему контроля качества аудиторской организации в отношении:

профессиональной компетентности, обеспечиваемой программами подбора персонала и обучения;

сохранения отношений с клиентами посредством систем принятия и продолжения отношений с клиентами;

соблюдения законодательных и нормативных требований путем процесса мониторинга.

При анализе недостатков системы контроля качества аудиторской организации, которые могут негативно повлиять на выполнение задания по согласованным процедурам, руководитель задания может рассмотреть вопрос о тех мерах, принимаемых аудиторской организацией для их устранения, которые руководитель задания сочтет достаточными в рамках данного задания по выполнению согласованных процедур.

А8. Тот или иной недостаток в системе контроля качества аудиторской организации не обязательно указывает на то, что конкретное задание по выполнению согласованных процедур не было исполнено в соответствии с профессиональными стандартами и применимыми правовыми и нормативными требованиями или что отчет о задании по выполнению согласованных процедур не соответствовал требованиям.

Дата вступления в силу (см. пункт 11)

А9. Когда согласованы условия задания, которое охватывает несколько лет, практикующие специалисты могут счесть целесообразным обновить данные условия задания, чтобы обеспечить выполнение согласованных процедур в соответствии с настоящим стандартом не позднее даты вступления в силу.

Определения

Заказчик задания и другие предполагаемые пользователи (см. пункты 13(a), 13(b), 13(d), 13(g), 24(f)(l), 24(g), 30(e)(l), 30(e)(iii))

А10. В некоторых случаях процедуры могут быть согласованы не только с заказчиком задания, но и с предполагаемыми пользователями. Предполагаемые пользователи, кроме заказчика, также могут подтвердить уместность процедур.

A11. Заказчик задания может в различных обстоятельствах быть ответственной стороной, регулирующим органом или другим предполагаемым пользователем. Ссылки на заказчика задания в настоящем стандарте включают несколько участвующих сторон, когда это уместно.

Результаты (см. пункт 13 (f))

A12. Результаты могут быть объективно проверены, это означает, что ожидается, что разные практикующие специалисты, выполняющие одни и те же процедуры, получат сходные результаты. В результатах исключено выражение мнения или вывода, а также любых рекомендаций, которые мог бы дать практикующий специалист.

А13. Практикующие специалисты могут использовать термин "фактические результаты" вместо "результаты", например, в случаях, когда практикующий специалист обеспокоен тем, что термин "результаты" может быть неправильно понят.

Это может иметь место в юрисдикциях или языках, где термин "результаты" может подразумевать результаты, которые не являются фактическими.

Соответствующие этические требования (см. пункт 17)

Объективность и независимость

А14. Практикующий специалист, выполняющий задание по согласованным процедурам, должен соблюдать соответствующие этические требования. Соответствующие этические требования обычно включают Кодекс СМСЭБ, а также более строгие национальные требования. Кодекс СМСЭБ требует от практикующих специалистов соблюдения фундаментальных принципов, включая объективность, что требует от практикующих специалистов не ставить под угрозу свои профессиональные или деловые суждения из-за предвзятости, конфликта интересов или ненадлежащего влияния других лиц. Следовательно, соответствующие этические требования, которым подчиняется практикующий специалист, как минимум, потребуют от практикующего специалиста быть объективным при выполнении задания по согласованным процедурам.

А15. Кодекс СМСЭБ не содержит требований независимости для заданий по выполнению согласованных процедур. Однако национальные кодексы этики, законы или нормативные акты, другие профессиональные требования или условия контракта, программы или договоренности, относящиеся к предмету принятого соглашения о процедурах, могут определять требования, касающиеся независимости.

Несоблюдение законов и нормативных актов3

А16. В соответствии с законом, нормативным актом или соответствующими этическими требованиями:

(a) практикующий специалист может быть обязан предоставить информацию о выявленном несоблюдении или подозрении в несоблюдении законов и нормативных актов соответствующему уполномоченному органу, стороннему по отношению к организации;

(b) могут быть установлены требования, по которым в данных обстоятельствах может быть уместно предоставление информации соответствующему стороннему по отношению к организации уполномоченному органу4.

А17. Предоставление информации о выявленном несоблюдении или подозрении в несоблюдении законов и нормативных актов соответствующему уполномоченному органу, стороннему по отношению к организации, может быть необходимым или целесообразным в конкретных обстоятельствах в силу следующих причин:

(a) практикующий специалист должен предоставить информацию в соответствии с законом, нормативным актом или соответствующими этическими требованиями;

(b) практикующий специалист принял решение о том, что предоставление информации является надлежащей мерой в связи с выявлением несоблюдения или подозрением в несоблюдении согласно соответствующим этическим требованиям, или

(c) практикующий специалист имеет право это сделать в соответствии с законом, нормативным актом или соответствующими этическими требованиями.

А18. От практикующего специалиста не ожидается, что он будет разбираться в законах и нормативных актах на уровне, превышающем необходимый для выполнения задания по согласованным процедурам. Однако закон, нормативный акт или соответствующие этические требования могут предполагать, что практикующий специалист будет применять знания, профессиональные суждения и опыт при проведении процедур в связи с таким выявленным несоблюдением или подозрением в несоблюдении. Окончательное решение о том, является ли действие фактическим несоблюдением, принимает суд или иной соответствующий судебный орган.

А19.

В некоторых обстоятельствах предоставление информации о выявленном несоблюдении или подозрении в несоблюдении законов и нормативных актов соответствующему уполномоченному органу, стороннему по отношению к организации, может быть недопустимым в силу обязательства практикующего специалиста по соблюдению конфиденциальности согласно закону, нормативному акту или соответствующим этическим требованиям. В иных случаях предоставление информации о выявленном несоблюдении или подозрении в несоблюдении соответствующему уполномоченному органу, стороннему по отношению к организации, не будет рассматриваться как нарушение обязанности по конфиденциальности согласно соответствующим этическим требованиям5.

А20. Практикующий специалист может рассмотреть возможность получения внутренней консультации (например, в рамках аудиторской организации или организации, входящей в сеть), воспользоваться услугами юриста для понимания профессиональных или правовых последствий того или иного порядка действий или обратиться за консультацией на конфиденциальной основе в регулирующий или профессиональный орган (если это не запрещено законами или нормативными актами и не будет являться нарушением обязанности по конфиденциальности)6.

______________________________

3 Соответствующие этические требования могут указывать на то, что несоблюдение законов и нормативных актов включает недобросовестные действия. См., например, пункт 360.5 А2 Кодекса СМСЭБ.

4 См., например, пункты R360.36 - 360.36 А3 Кодекса СМСЭБ.

5 См., например, пункты R114.1, 114.1 А1 и R360.37 Кодекса СМСЭБ.

6 См., например, пункт 360.39 А1 Кодекса СМСЭБ.

Профессиональное суждение (см. пункт 18)

А21. Профессиональное суждение, в зависимости от ситуации, используется при применении требований настоящего стандарта и соответствующих этических требований, а также при принятии обоснованных решений относительно действий в рамках согласованного задания по выполнению согласованных процедур.

А22. При принятии задания, его выполнении и представлении отчета о задании по выполнению согласованных процедур профессиональное суждение используется, например:

при принятии задания:

обсуждение и согласование с заказчиком задания и, если применимо, с другими сторонами характера, сроков и объема процедур, которые должны быть выполнены с учетом цели задания;

определение того, были ли выполнены условия принятия и продолжения задания;

определение ресурсов, необходимых для выполнения процедур, согласованных в условиях задания, включая необходимость привлечения эксперта практикующего специалиста;

определение надлежащих действий, если практикующему специалисту становятся известны факты или обстоятельства, свидетельствующие о том, что процедуры, которые его просят согласовать, неуместны для целей задания по выполнению согласованных процедур;

при проведении задания:

определение надлежащих действий или ответных мер, если при выполнении согласованных процедур практикующий специалист узнает:

вопросах, которые могут указывать на недобросовестные действия, несоблюдение или подозрение в несоблюдении законов или нормативных актов;

прочих вопросах, которые ставят под сомнение целостность информации, относящейся к соглашению о выполнении согласованных процедур, или которые указывают на то, что информация может вводить в заблуждение;

процедурах, которые не могут быть выполнены как было согласовано;

в отчете о задании:

объективное и достаточно подробное описание результатов, в том числе при обнаружении расхождений.

А23.

При выполнении задания по согласованным процедурам необходимость для практикующего специалиста в использовании профессионального суждения при выполнении согласованных процедур ограничена по ряду причин, в том числе:

задание с согласованными процедурами включает выполнение процедур, согласованных практикующим специалистом и заказчиком задания, если заказчик задания подтвердил, что выполненные процедуры уместны для цели задания;

согласованные процедуры и результаты, полученные в результате выполнения этих процедур, могут быть описаны объективно, в терминах, которые ясны, не вводят в заблуждение и не допускают различных толкований;

результаты могут быть объективно проверены, а это означает, что ожидается, что разные практикующие специалисты, выполняющие одни и те же процедуры, получат сходные результаты.

Контроль качества на уровне задания (см. пункты 19-20)

А24. Действия руководителя задания и соответствующее информирование других членов рабочей группы при принятии ответственности за качество каждого задания в целом подчеркивают важность достижения высокого качества задания:

(а) выполнения работы в соответствии с профессиональными стандартами, нормативными и законодательными требованиями;

(b) безусловного соблюдения требования политики контроля качества и применимых процедур организации по контролю качества;

(с) составления практикующим специалистом отчета о задании в соответствии с настоящим МССУ.

А25. МСКК 1 содержит требование по получению аудиторской организацией такой информации, которую она сочтет необходимой в сложившихся обстоятельствах, до принятия задания в отношении нового клиента, при принятии решения о целесообразности продолжения существующего задания, а также при рассмотрении вопроса о принятии нового задания в отношении существующего клиента. К информации, которая способствует принятию руководителем задания решения о целесообразности принятия или продолжения отношений с клиентом и принятия и выполнения заданий по выполнению согласованных процедур, может относиться информация в отношении честности основных собственников, ключевых руководителей и лиц, отвечающих за корпоративное управление. Если руководитель задания имеет основания сомневаться в честности руководства в степени, способной негативно повлиять на выполнение задания, принятие задания может оказаться нецелесообразным.

А26. МСКК 1 содержит описание обязанностей аудиторской организации по разработке политики,, и процедур, предназначенных для обеспечения разумной "уверенности в соблюдении аудиторской организацией и ее сотрудниками соответствующих этических" требований. Настоящий МССУ предусматривает обязанности руководителя задания в отношении соблюдения его рабочей группой соответствующих этических требований.

А27. Если практикующий специалист не может выполнить требование пункта 20, ему может быть целесообразно договориться с заказчиком задания об ограничении объема задания по выполнению согласованных процедур процедурами, за которые практикующий специалист может надлежащим образом взять на себя ответственность. Заказчик задания может отдельно нанять эксперта для выполнения других процедур.

Принятие и продолжение задания (см. пункты 21 - 23)

А28. При получении понимания цели задания по согласованным процедурам практикующему специалисту могут стать известны признаки того, что процедуры, которые практикующий специалист должен выполнить, неуместны для целей задания по выполнению согласованных процедур. Например, практикующему специалисту могут стать известны факты или обстоятельства, указывающие на следующее:

процедуры выбираются таким образом, чтобы повлиять на принятие решений предполагаемыми пользователями;

предмет задания, по которому выполняются согласованные процедуры, ненадежен;

задание, обеспечивающее уверенность, или консультационные услуги могут лучше служить потребностям заказчика задания или других предполагаемых пользователей.

А29. Другие действия, которые могут убедить практикующего специалиста в том, что условия пунктов 21 и 22 соблюдены, включают:

сравнение процедур, которые необходимо выполнить, с письменными требованиями, изложенными, например, в законе или нормативном акте, или в договорном соглашении (иногда называемом "Техническое задание"), когда это необходимо;

обращение к заказчику задания с просьбой:

направить информацию о предполагаемых процедурах, а также форме и содержании отчета о согласованных процедурах, как указано в условиях задания, предполагаемому пользователю (предполагаемым пользователям);

получить подтверждение от предполагаемого пользователя (предполагаемых пользователей) относительно выполнения процедур;

обсудить процедуры, которые необходимо выполнить, с соответствующими представителями предполагаемого пользователя (предполагаемых пользователей);

ознакомление с перепиской между заказчиком задания и другим предполагаемым пользователем (предполагаемыми пользователями), если заказчик задания не является единственным предполагаемым пользователем.

А30. Если условия пунктов 21 и 22 не соблюдены, маловероятно, что задание по выполнению согласованных процедур сможет удовлетворить потребности заказчика задания или других предполагаемых пользователей. В таких обстоятельствах практикующий специалист может предложить другие услуги, такие как задание, обеспечивающее уверенность, которое может быть более уместным.

А31. Все условия пунктов 21 и 22 также применяются к процедурам, которые были добавлены или изменены в ходе выполнения задания.

Описание согласованных процедур и результатов (см. пункт 22(c))

А32. Процедуры, которые должны выполняться во время выполнения задания по согласованным процедурам, могут быть предписаны законом или нормативным актом. В некоторых случаях закон или нормативный акт могут также предписывать способ описания процедур или результатов в отчете о задании по выполнению согласованных процедур. Как указано в пункте 22(c), условием принятия задания по выполнению согласованных процедур является то, что практикующий специалист определил, что согласованные процедуры и результаты могут быть описаны объективно, с использованием формулировок, которые ясны, не вводят в заблуждение и не допускают различных толкований.

А33. Согласованные процедуры описываются объективно с использованием формулировок, которые ясны, не вводят в заблуждение и не допускают различных толкований. Это означает, что они описываются на таком уровне, который будет достаточным для того, чтобы предполагаемый пользователь понял характер и объем и, если применимо, сроки выполняемых процедур. Важно понимать, что любой термин потенциально может быть неясным или вводить в заблуждение, в зависимости от контекста или его отсутствия. Исходя из того, что термины уместны в контексте, в котором они используются, примеры описаний действий, которые могут быть приемлемыми, следующие:

подтвердить,

сравнить,

согласовать,

отследить,

осмотреть,

запросить,

пересчитать,

осуществить наблюдение.

А34. Термины, которые могут быть неясными, вводящими в заблуждение или допускающими различные толкования в зависимости от контекста, в котором они используются, могут включать, например:

термины, которые связаны с выражением уверенности в соответствии со стандартами, выпущенными Советом по международным стандартам аудита и заданий, обеспечивающих уверенность, такие как "представить достоверно" или "достоверно и объективно", "аудит", "обзорная проверка", "уверенность", "мнение" или "вывод";

термины, которые подразумевают выражение мнения или вывода, обеспечивающего уверенность, например: "мы подтверждаем", "мы проверяем", "мы установили" или "мы обеспечили" в отношении результатов;

нечеткие или расплывчатые формулировки, такие как "мы получили все объяснения и выполнили такие процедуры, которые сочли необходимыми";

термины, которые допускают различные толкования, например: "существенные" или "значимые";

неточное описание процедур, с использованием таких глаголов, как "обсудить", "оценить", "проверить", "проанализировать" или "изучить", без указания характера и объема и, если применимо, сроков выполнения процедур. Например, использование слова "обсудить" может быть неточным без указания того, с кем проводится обсуждение или заданных конкретных вопросов;

термины, которые предполагают, что результаты не отражают фактические итоги, такие как "согласно нашим представлениям", "с нашей точки зрения" или "мы занимаем такую-то позицию".

А35. Например, такое описание процедур, как "обзор распределения затрат на предмет обоснованности", вряд ли будет соответствовать условию, чтобы термины были ясными, не вводили в заблуждение или не допускали различных толкований, потому что:

термин "обзор" может быть неправильно истолкован некоторыми пользователями как означающий, что распределение затрат было предметом задания, обеспечивающего ограниченную уверенность, даже если процедура не предполагает такой уверенности;

термин "обоснованный" может допускать различные толкования в зависимости от того, что рассматривается как обоснованное.

А36. В обстоятельствах, когда закон или нормативный акт определяет процедуру или описывает процедуру с использованием неясных, вводящих в заблуждение или допускающих различные толкования терминов, практикующий специалист может выполнить условие пункта 22(c), например, потребовав от заказчика задания:

изменить определение или описание процедуры, чтобы они перестали быть неясными, вводящими в заблуждение или допускающими различные толкования;

если неясный, вводящий в заблуждение или допускающий различные толкования термин не может быть изменен, например, из-за закона или нормативного акта, включить определение термина в отчет о задании по выполнению согласованных процедур.

Соблюдение требований независимости (см. пункты 22(e), 24(e))

А37. Пункт 22(e) применяется, когда практикующий специалист должен соблюдать требования независимости по причинам, указанным в пункте А15. Пункт 22(e) также применяется, когда практикующий специалист соглашается с заказчиком задания в условиях задания соблюдать требования независимости. Например, практикующий специалист мог изначально определить, что у него нет обязанности соблюдать требования независимости согласно соответствующим этическим требованиям, законам или нормативным актам либо по другим причинам. Однако при рассмотрении вопросов принятия и продолжения задания или согласования условий задания знание практикующим специалистом следующих аспектов может указать на уместность обсуждения с заказчиком задания необходимости соблюдения определенных установленных требований независимости для целей задания по выполнению согласованных процедур:

цель выполнения задания по согласованным процедурам;

идентификация заказчиков задания, других предполагаемых пользователей и ответственной стороны (если она отличается от заказчика задания);

характер, сроки и объем процедур, которые необходимо выполнить, или

прочие задания, которые практикующий специалист выполняет или выполнил для заказчика задания, других предполагаемых пользователей или ответственной стороны (если она отличается от заказчика задания).

А38. Практикующий специалист может быть аудитором финансовой отчетности заказчика задания (или ответственной стороны, если она отличается от заказчика). В таких обстоятельствах, если практикующий специалист также привлекается для выполнения задания по согласованным процедурам, предполагаемые пользователи отчета по согласованным процедурам могут предположить, что практикующий специалист является независимым для цели задания по согласованным процедурам. Таким образом, практикующий специалист может согласовать с заказчиком задания, что соблюдение практикующим специалистом требований независимости, применимых к аудиту финансовой отчетности, уместно для цели задания по выполнению согласованных процедур. В таком случае в соответствии с пунктом 24(e) в условия задания включается заявление о том, что практикующий специалист должен соблюдать такие требования независимости.

Согласование условий задания (см. пункты 24 - 25)

А39. В соответствующих случаях в письмо-соглашение об условиях задания могут быть включены дополнительные вопросы, например:

договоренности о привлечении эксперта практикующего специалиста к некоторым аспектам задания по выполнению согласованных процедур;

любые ограничения на использование или распространение отчета о задании по выполнению согласованных процедур.

А40. Иллюстративный пример письма-соглашения к заданию по выполнению согласованных процедур приведен в Приложении 1.

А41. Практикующий специалист может договориться с заказчиком задания о том, что выполняемые процедуры будут включать количественные пороговые значения для определения расхождений. В таких случаях эти количественные пороговые значения включаются в описание процедур в условиях задания.

А42. В некоторых случаях закон или нормативный акт могут предписывать только характер выполняемых процедур. В таких обстоятельствах, в соответствии с пунктом 24(i), практикующий специалист согласовывает сроки и объем процедур, которые должны быть выполнены, с заказчиком задания, чтобы заказчик задания имел основание для подтверждения того, что выполняемые процедуры уместны для поставленной цели задания.

А43. В некоторых случаях согласование условий задания и выполнение согласованных процедур происходит последовательным и дискретным образом. В других случаях согласование условий задания и выполнение согласованных процедур является итеративным процессом, при этом изменения согласованных процедур согласовываются по мере выполнения задания в ответ на появление новой информации. Если процедуры, которые были согласованы ранее, необходимо изменить, пункт 25 требует, чтобы практикующий специалист согласовал измененные условия задания с заказчиком задания. Измененные условия соглашения могут, например, принимать вид обновленного письма-соглашения, дополнения к существующему письму-соглашению или другой формы письменного подтверждения.

Повторные задания (см. пункт 26)

А44. Практикующий специалист может принять решение не направлять каждый год соглашение об условиях задания или иной договор в письменной форме.

Однако перечисленные ниже факторы могут указывать на то, что уместно пересмотреть условия задания по выполнению согласованных процедур или напомнить заказчику задания о действующих условиях задания, когда имеет место:

любое указание на то, что заказчик задания неправильно понимает цель согласованных процедур либо характер, сроки или объем согласованных процедур;

любые пересмотренные или особые условия задания, включая любые изменения в ранее согласованных процедурах;

изменение юридических, нормативных или договорных требований, влияющих на задание;

смена руководства или лиц, отвечающих за корпоративное управление, у заказчика задания.

Выполнение согласованных процедур (см. пункт 28)

А45. Практикующий специалист может решить запросить письменные заявления в некоторых обстоятельствах, например:

если согласованные процедуры включают запросы, практикующий специалист может запросить письменные заявления по ответам, которые были предоставлены устно;

если заказчик задания не является ответственной стороной, практикующий специалист может договориться с заказчиком задания о включении в качестве согласованной процедуры запросов на представление письменных заявлений от ответственной стороны.

Использование работы эксперта практикующего специалиста (см. пункт 29)

А46. Использование работы эксперта практикующего специалиста может включать использование эксперта для оказания помощи практикующему специалисту в таких вопросах, как:

обсуждение с заказчиком согласованных процедур, которые необходимо выполнить (например, юрист может дать практикующему специалисту предложения по разработке процедуры для рассмотрения юридических аспектов контракта), или

выполнение одной или нескольких согласованных процедур (например, химик может выполнить одну из согласованных процедур, такую как определение уровней токсинов в образцах зерна).

А47. Эксперт практикующего специалиста может быть внешним экспертом, нанятым практикующим специалистом, или внутренним экспертом, который является сотрудником аудиторской организации и, следовательно, подчиняется системе контроля качества этой организации. Практикующие специалисты вправе полагаться на систему контроля качества аудиторской организации, за исключением случаев, когда информация, предоставленная организацией или другими лицами, предполагает иной подход. Степень, в которой можно полагаться на систему контроля качества, зависит от обстоятельств и влияет на характер, сроки и объем процедур, выполняемых практикующим специалистом в отношении таких вопросов, как:

компетентность и возможности, обеспечиваемые программами найма персонала и обучения;

оценка практикующим специалистом объективности эксперта практикующего специалиста;

согласование вопросов с экспертом практикующего специалиста.

Такая возможность полагаться на систему контроля качества не уменьшает ответственности практикующего специалиста за выполнение требований настоящего стандарта.

А48. Если эксперт практикующего специалиста выполняет одну или несколько согласованных процедур, соглашение относительно характера, объема и целей работы этого эксперта, как того требует пункт 29(b), включает характер, сроки и объем процедуры (процедур), которая должна (которые должны) выполняться экспертом практикующего специалиста. Помимо вопросов, предусмотренных пунктом 29(b), может оказаться целесообразным, если практикующий специалист достигнет соглашения с экспертом практикующего специалиста о включении таких вопросов, как:

(a) функции и обязанности как практикующего специалиста, так и эксперта;

(b) характер, сроки и объем обмена информацией между практикующим специалистом и экспертом, включая формы отчетов, которые должен представлять этот эксперт;

(c) необходимость соблюдения экспертом практикующего специалиста требований конфиденциальности.

А49. Вопросы, указанные в пункте А47, могут повлиять на уровень детализации и степень формализации соглашения между практикующим специалистом и экспертом практикующего специалиста, в том числе на необходимость оформления соглашения в письменном виде. Соглашение между практикующим специалистом и экспертом практикующего специалиста часто оформляется в форме письма-соглашения об условиях задания.

А50. Если используется работа эксперта практикующего специалиста, возможно, необходимо выполнить некоторые процедуры, требуемые пунктом 29, на этапе принятия или продолжения выполнения задания.

Отчет о задании по выполнению согласованных процедур (см. пункты 30 - 33)

А51. Приложение 2 содержит иллюстративные примеры отчетов о задании по выполнению согласованных процедур.

Предмет задания, в отношении которого выполняются согласованные процедуры (см. пункт 30 (с))

А52. Если это применимо, чтобы избежать недоразумений, практикующий специалист может пожелать пояснить, что отчет о задании по выполнению согласованных процедур не распространяется на информацию, выходящую за рамки предмета задания, в отношении которого выполняются согласованные процедуры. Например, если практикующий специалист был привлечен для выполнения согласованных процедур в отношении дебиторской задолженности и запасов организации, он может пожелать включить в отчет заявление о том, что отчет о задании по выполнению согласованных процедур относится только к этим счетам и не распространяется на финансовую отчетность организации в целом.

Назначение отчета о задании по выполнению согласованных процедур (см. пункт 30(d))

А53. В дополнение к заявлению, предусмотренному пунктом 30(d), практикующий специалист может счесть целесообразным указать, что отчет о задании по выполнению согласованных процедур предназначен исключительно для заказчика задания и предполагаемых пользователей. В зависимости от закона или нормативного акта конкретной юрисдикции для этих целей может быть введено ограничение на распространение или использование отчета о задании по выполнению согласованных процедур. В некоторых юрисдикциях можно ограничить использование отчета о задании по выполнению согласованных процедур, но не его распространение. В других юрисдикциях можно ограничить распространение отчета о задании по выполнению согласованных процедур, но не его использование.

А54. Факторы, которые практикующий специалист может учитывать при принятии решения об ограничении распространения или использования отчета о задании по выполнению согласованных процедур, если это разрешено, включают, например, следующее:

существует ли повышенный риск того, что пользователи, кроме предполагаемых, неправильно поймут цель согласованных процедур или неверно истолкуют результаты;

предназначены ли согласованные процедуры исключительно для использования внутренними пользователями заказчика задания, такими как руководство и лица, отвечающие за корпоративное управление;

содержат ли согласованные процедуры или их результаты конфиденциальную информацию.

Согласованные процедуры и результаты (см. пункты 30(n)-30(o))

А55.

Если практикующий специалист не может избежать включения конфиденциальной или закрытой информации при описании согласованных процедур или их результатов, он может, чтобы понять профессиональные или юридические последствия принятия того или иного направления действий, рассмотреть необходимость:

внутренней консультации, например, в самой организации или среди организаций, входящих в сеть;

внешней консультации, например, с другим практикующим специалистом или соответствующей профессиональной организацией или

использования услуг юриста.

А56. Могут возникнуть обстоятельства, когда тот факт, что ранее согласованные процедуры не были выполнены или были изменены, важен для рассмотрения предполагаемыми пользователями согласованных процедур и их результатов. Например, это может иметь место, когда процедуры содержатся в законе или нормативном акте. В таких обстоятельствах практикующий специалист может указать в отчете о задании по выполнению согласованных процедур процедуры, согласованные в первоначальных условиях задания, которые не могли быть выполнены или были изменены, и причины, по которым возникли эти изменения.

А57. Практикующий специалист может указать дату, когда согласованные процедуры были согласованы в условиях задания.

Ссылка на эксперта практикующего специалиста (см. пункт 31)

А58. В некоторых обстоятельствах закон или нормативный акт могут требовать в отчете о задании по выполнению согласованных процедур ссылки на эксперта практикующего специалиста, который выполнил любую из согласованных процедур. Например, такая ссылка может потребоваться в целях прозрачности в организациях государственного сектора. Практикующий специалист может также счесть это целесообразным в других обстоятельствах, например при обращении к эксперту практикующего специалиста при описании согласованных процедур. Тем не менее практикующий специалист несет исключительную ответственность за результаты, включенные в отчет о задании по выполнению согласованных процедур, и эта ответственность не уменьшается при использовании эксперта практикующего специалиста. Поэтому важно, что если в отчете о задании по выполнению согласованных процедур упоминается эксперт практикующего специалиста, то в отчете не подразумевается, что ответственность практикующего специалиста снижается из-за ссылки на эксперта практикующего специалиста.

Выполнение задания по выполнению согласованных процедур вместе с другим заданием (см. пункт 34)

А59. Практикующего специалиста могут попросить выполнить другие задания вместе с заданием по выполнению согласованных процедур, например предоставить рекомендации, вытекающие из задания по выполнению согласованных процедур. Такие запросы могут принимать форму единого запроса к практикующему специалисту о выполнении согласованных процедур и разработке рекомендаций, а условия различных заданий могут быть изложены в одном письме-соглашении. Во избежание недоразумений пункт 34 требует, чтобы отчет о задании по выполнению согласованных процедур был явно отделен от отчетов о других заданиях. Например, такие рекомендации могут быть:

представлены в отдельном от отчета о задании по выполнению согласованных процедур документе или

включены в документ, который содержит как отчет о задании по выполнению согласованных процедур, так и рекомендации, при этом рекомендации явно отделены от отчета о задании по выполнению согласованных процедур, например, путем включения отчета о задании по выполнению согласованных процедур и рекомендаций в отдельные разделы документа.

Документация (см. пункт 35)

А60.

Документация о характере, сроках и объеме выполненных согласованных процедур может включать следующие записи:

идентификационные характеристики предмета (предметов) задания, по которому (по которым) выполняются согласованные процедуры. Идентификационные характеристики будут варьироваться в зависимости от характера согласованной процедуры и предмета (предметов) задания, в отношении которого (которых) выполняется согласованная процедура. Например:

для процедуры по заказам на закупку практикующий специалист может идентифицировать выбранные документы по их датам и уникальным номерам заказов на закупку;

для процедуры, требующей выбора всех элементов сверх определенной суммы из заданной совокупности, практикующий специалист может записать объем процедуры и идентифицировать совокупность (например, все бухгалтерские записи, превышающие заданную величину, из бухгалтерских регистров за определенный период, все табели учета рабочего времени для часов, записанных за определенное число за указанные месяцы, или каждый десятый элемент в определенном списке);

для процедуры, требующей опроса определенных лиц из числа персонала, практикующий специалист может записать даты опросов, имена и должности сотрудников, а также конкретные заданные вопросы;

для процедуры наблюдения аудитор может описать наблюдаемый процесс или вопрос, имеющих отношение к ним лиц, соответствующие обязанности этих лиц, а также где и когда выполнялось наблюдение;

кто выполнил согласованные процедуры и дату их проведения;

кто проверял работу, осуществленную по заданию по выполнению согласованных процедур, а также дату и объем такой проверки.

Приложение 1 (см. пункт А40)

Пример письма-соглашения об условиях задания по выполнению согласованных процедур

Ниже приведен пример письма-соглашения об условиях задания по выполнению согласованных процедур, включающий уместные требования и указания, содержащиеся в настоящем МССУ. Настоящее письмо-соглашение не является официально принятой формой и может быть использовано лишь как руководство в связи с положениями настоящего МССУ. В него следует внести изменения с учетом требований и обстоятельств конкретного задания по выполнению согласованных процедур. Данное письмо составлено к заданию о выполнении согласованных процедур одного отчетного периода и потребует адаптации, если предполагается или ожидается, что оно будет применяться к повторному заданию, как описано в настоящем МССУ. Возможно, потребуется прибегнуть к услугам юриста, чтобы определить, насколько это или какое-либо другое письмо является уместным для конкретного задания.

[Заказчику задания]

Вы обратились к нам с запросом, чтобы мы провели согласованные процедуры в отношении закупок продукции [xyz]. Настоящее письмо-соглашение призвано подтвердить наше понимание условий и целей задания, а также характера услуг, которые мы предоставим, и ограничений, связанных с ними. Наше задание будет проводиться в соответствии с Международным стандартом сопутствующих услуг (МССУ) 4400 (пересмотренным) "Задания по выполнению согласованных процедур". При выполнении согласованных процедур мы будем соблюдать [описать соответствующие этические требования], которые не требуют от нас соблюдать независимость.

Задание по выполнению согласованных процедур, проводимое в соответствии с МССУ 4400 (пересмотренным), включает в себя выполнение нами согласованных с вами процедур и представление результатов в отчете о задании по выполнению согласованных процедур. Результаты - это фактические результаты выполненных согласованных процедур.

Вы [и, если уместно, другие стороны] подтверждаете, что эти процедуры уместны для цели данного задания. Мы не делаем никаких заявлений относительно уместности процедур. Это задание по выполнению согласованных процедур будет проводиться на основе того, что [ответственная сторона] несет ответственность за предмет задания, в отношении которого выполняются согласованные процедуры. Кроме того, это задание по выполнению согласованных процедур не является заданием, обеспечивающим уверенность. Следовательно, мы не выражаем мнения и не делаем вывода, обеспечивающего уверенность.

Процедуры, которые мы будем выполнять, предназначены исключительно для того, чтобы помочь вам определить, соответствуют ли ваши закупки продукции [xyz] принятой в вашей организации политике закупок7. Следовательно, наш отчет будет адресован вам и может не подходить для других целей.

______________________________

7 В этом случае заказчиком задания также является предполагаемый пользователь.

Мы договорились о выполнении следующих процедур и о том, что по итогам нашей работы будет подготовлен отчет о ее результатах, отражающий их выполнение:

получить от руководства [ответственной стороны] список всех контрактов, подписанных в период между [1 января 20X1 года] и [31 декабря 20X1 года], на продукцию [xyz] ("список") и определить все контракты на сумму более 25 000 долларов США;

для каждого идентифицированного контракта на сумму более 25 000 долларов США в списке сравнить контракт с информацией тендера и установить, участвовали ли в тендере по каждому контракту по крайней мере три подрядчика из списка предварительно отобранных подрядчиков [ответственной стороны];

для каждого идентифицированного контракта на сумму более 25 000 долларов США в списке сравнить сумму, подлежащую выплате по подписанному контракту, с суммой, выплаченной в итоге [ответственной стороной] подрядчику, и определить, совпадает ли итоговая выплаченная сумма с согласованной в контракте суммой.

Процедуры должны быть выполнены в период с [дата] по [дата].

Наш отчет о задании по выполнению согласованных процедур

В рамках нашего задания мы выпустим отчет, в котором будут описаны согласованные процедуры и результаты выполненных процедур [вставить соответствующую ссылку на предполагаемую форму и содержание отчета о задании по выполнению согласованных процедур].

Пожалуйста, подпишите и верните прилагаемую копию этого письма, чтобы продемонстрировать, что вы подтверждаете и соглашаетесь с договоренностями о нашем задании, включая конкретные процедуры, которые, как мы договорились, будут выполнены, и что эти конкретные процедуры уместны для цели задания.

[Укажите прочую необходимую информацию, включая информацию о стоимости услуг, порядке выставления счетов и прочих специальных условиях, если применимо.]

[Название аудиторской организации]

Подтверждено и согласовано от имени [имя заказчика задания]:

[Подпись]

[Фамилия, имя, отчество и должность]

[Дата]

Приложение 2 (см. пункт А51)

Примеры отчетов о задании по выполнению согласованных процедур

Пример 1

Для целей данного примера отчета о задании по выполнению согласованных процедур предполагаются следующие обстоятельства:

Заказчик задания - адресат и единственный предполагаемый пользователь. Заказчик задания не является ответственной стороной. Например, регулирующий орган является заказчиком задания и предполагаемым пользователем, а организация, контролируемая регулирующим органом, является ответственной стороной.

Никаких расхождений не обнаружено.

Практикующий специалист не привлекал эксперта практикующего специалиста для выполнения каких-либо согласованных процедур.

Нет никаких ограничений на использование или распространение отчета.

У практикующего специалиста отсутствует обязанность по соблюдению требований независимости.

Количественный порог в 100 долларов США для сообщения о расхождениях в процедуре 3 был согласован с заказчиком задания.

ОТЧЕТ О ЗАДАНИИ ПО ВЫПОЛНЕНИЮ СОГЛАСОВАННЫХ ПРОЦЕДУР В ОТНОШЕНИИ ЗАКУПОК ПРОДУКЦИИ [XYZ]

[Адресату]

Назначение отчета о задании по выполнению согласованных процедур

Наш отчет предназначен исключительно для оказания помощи [заказчику задания] в определении того, производятся ли закупки продукции [xyz] в соответствии с его политикой закупок, и может не подходить для других целей.

Ответственность заказчика задания и ответственной стороны

[Заказчик задания] подтвердил, что согласованные процедуры уместны для цели задания.

[Ответственная сторона], как определено [заказчиком задания], несет ответственность за предмет задания, в отношении которого выполняются согласованные процедуры.

Ответственность практикующего специалиста

Мы выполнили согласованные процедуры в соответствии с Международным стандартом сопутствующих услуг (МССУ) 4400 (пересмотренным) "Задания по выполнению согласованных процедур". Задание по выполнению согласованных процедур включает в себя выполнение нами процедур, которые были согласованы с [заказчиком задания], и отчет о результатах, которые являются фактическими результатами выполненных согласованных процедур. Мы не делаем никаких заявлений относительно уместности согласованных процедур.

Это задание по выполнению согласованных процедур не является заданием, обеспечивающим уверенность. Следовательно, мы не выражаем мнения или не делаем вывода, обеспечивающего уверенность.

Если бы мы выполнили дополнительные процедуры, мы могли бы обнаружить другие вопросы, которые также могли бы быть включены в отчет.

Профессиональная этика и контроль качества

Мы соблюдаем этические требования [опишите соответствующие этические требования]. Для целей данного задания мы не обязаны соблюдать требования независимости.

Наша организация применяет Международный стандарт контроля качества (МСКК) 1 "Контроль качества в аудиторских организациях, проводящих аудит и обзорные проверки финансовой отчетности, а также выполняющих прочие задания, обеспечивающие уверенность, и задания по оказанию сопутствующих услуг" и, следовательно, поддерживает всеобъемлющую систему контроля качества, в том числе подтвержденную задокументированными политикой и процедурами относительно соблюдения этических требований, профессиональных стандартов и применимых законодательных и нормативных требований.

Процедуры и результаты

Мы выполнили описанные ниже процедуры, согласованные с [заказчиком задания], в отношении закупок продукции [xyz].

Процедуры Результаты

1. Получить от руководства [ответственной стороны] список всех контрактов, подписанных в период между [1 января 20X1 года] и [31 декабря 20X1 года], на продукцию [xyz] ("список") и определить все контракты на сумму более 25 000 долларов США.Мы получили от руководства список всех контрактов на продукцию [xyz], которые были подписаны в период между [1 января 20X1 года] и [31 декабря 20X1 года]. Мы определили, что из 125 контрактов, включенных в список, 37 контрактов заключены на сумму более 25 000 долларов США.

2.Для каждого идентифицированного контракта на сумму более 25 000 долларов США в списке сравнить контракт с информацией тендера на поставку и установить, участвовали ли в тендере каждому контракту по крайней мере три подрядчика из списка предварительно отобранных подрядчиков [ответственной стороны].Мы изучили информацию о тендерах по 37 контрактам на сумму более 25 000 долларов США. Мы обнаружили, что все 37 контрактов были заключены посредством тендеров, в которых участвовали по крайней мере три подрядчика из списка предварительно отобранных [ответственной стороной] подрядчиков.

3.Для каждого идентифицированного контракта на сумму более 25 000 долларов США в списке сравнить сумму, подлежащую выплате по подписанному контракту, с суммой, выплаченной в итоге [ответственной стороной] подрядчику, и определить, находится ли выплаченная сумма в пределах 100 долларов США от согласованной суммы в контракте.Мы получили подписанные документы по 37 контрактам на сумму более 25 000 долларов США, включенным в список, и сравнили суммы, подлежащие выплате по контрактам, с суммами, в итоге выплаченными [ответственной стороной] подрядчику. Мы обнаружили, что итоговые выплаченные суммы не отклонялись более чем на 100 долларов США от согласованных сумм по всем 37 контрактам, расхождений не обнаружено.

[Подпись практикующего специалиста]

[Дата отчета практикующего специалиста]

[Адрес практикующего специалиста]

Пример 2

Для целей данного примера отчета о задании по выполнению согласованных процедур предполагаются следующие обстоятельства:

Заказчик задания является ответственной стороной. Предполагаемый пользователь, который отличается от заказчика задания, является адресатом в дополнение к заказчику задания. Например, регулирующий орган является предполагаемым пользователем, а субъект, находящийся под надзором регулирующего органа, является заказчиком задания и ответственной стороной.

Обнаружены расхождения.

Практикующий специалист нанял эксперта практикующего специалиста для выполнения согласованной процедуры, и ссылка на этого эксперта включена в отчет по согласованной процедуре.

Есть ограничение на использование и распространение отчета.

Практикующий специалист является аудитором финансовой отчетности заказчика задания, который является ответственной стороной. Практикующий специалист согласовал с заказчиком задания, что соблюдение им требований независимости, применимых к аудиту финансовой отчетности, уместно для цели задания по выполнению согласованных процедур. Практикующий специалист согласился включить в условия задания соблюдение требований независимости, применимых к аудиту финансовой отчетности, для целей задания по выполнению согласованных процедур.

Практикующий специалист указал дату, на которую достигнуто соглашение о выполнении задания по согласованным процедурам.

ЗАДАНИЕ ПО ВЫПОЛНЕНИЮ СОГЛАСОВАННЫХ ПРОЦЕДУР В ОТНОШЕНИИ ЗАКУПОК ПРОДУКЦИИ [XYZ]

[Адресатам]

Назначение отчета о задании по выполнению согласованных процедур и ограничение использования и распространения

Наш отчет предназначен исключительно для оказания помощи [предполагаемому пользователю] в определении того, соответствуют ли закупки продукции [xyz] [заказчиком задания] политике закупок [предполагаемого пользователя], и может не подходить для других целей. Этот отчет предназначен исключительно для [заказчика задания] и [предполагаемых пользователей] и не должен использоваться другими сторонами или распространяться среди них.

Ответственность заказчика задания

[Заказчик задания] подтвердил, что согласованные процедуры уместны для цели задания.

[Заказчик задания (он же ответственная сторона)] несет ответственность за предмет задания, в отношении которого выполняются согласованные процедуры.

Ответственность практикующего специалиста

Мы выполнили согласованные процедуры в соответствии с Международным стандартом сопутствующих услуг (МССУ) 4400 (пересмотренным) "Задания по выполнению согласованных процедур". Задание по выполнению согласованных процедур включает в себя выполнение нами процедур, которые были согласованы с [заказчиком задания], и отчет о результатах, которые являются фактическими результатами выполненных согласованных процедур. Мы не делаем никаких заявлений относительно уместности согласованных процедур.

Это задание по выполнению согласованных процедур не является заданием, обеспечивающим уверенность. Следовательно, мы не выражаем мнения или не делаем вывода, обеспечивающего уверенность.

Если бы мы выполнили дополнительные процедуры, мы могли бы обнаружить другие вопросы, которые также могли бы быть включены в отчет.

Профессиональная этика и контроль качества

Мы соблюдаем этические требования [опишите соответствующие этические требования] и требования независимости в соответствии с [опишите соответствующие требования независимости]8.

______________________________

8 Например, если Кодекс СМСЭБ является соответствующими этическими требованиями, а Часть 4А Кодекса СМСЭБ - соответствующими требованиями независимости, это предложение может быть сформулировано следующим образом: "Мы соблюдаем этические требования Международного кодекса этики профессиональных бухгалтеров Совета по международным стандартам этики для бухгалтеров (включая Международные стандарты независимости) (Кодекс СМСЭБ) и требования независимости в Части 4А Кодекса СМСЭБ.

Наша организация применяет Международный стандарт контроля качества (МСКК) 1 "Контроль качества в аудиторских организациях, проводящих аудит и обзорные проверки финансовой отчетности, а также выполняющих прочие задания, обеспечивающие уверенность, и задания по оказанию сопутствующих услуг" и, следовательно, поддерживает всеобъемлющую систему контроля качества, в том числе подтвержденную задокументированными политикой и процедурами относительно соблюдения этических требований, профессиональных стандартов и применимых законодательных и нормативных требований.

Процедуры и результаты

Мы выполнили описанные ниже процедуры, согласованные с [заказчиком задания] в условиях задания от [дата], в отношении закупок продукции [xyz].

Процедуры Результаты

1.Получить от руководства [заказчика задания] список всех контрактов, подписанных в период между [1 января 20X1 года] и [31 декабря 20X1 года], на продукцию [xyz] ("список") и определить все контракты на сумму более 25 000 долларов США.Мы получили от руководства список всех контрактов на продукцию [xyz], которые были подписаны в период между [1 января 20X1 года] и [31 декабря 20X1 года]. Мы определили, что из 125 контрактов, включенных в список, 37 контрактов заключены на сумму более 25 000 долларов США.

2.Для каждого идентифицированного контракта на сумму более 25 000 долларов США в списке сравнить контракт с информацией тендера на поставку и установить, участвовали ли в тендере по каждому контракту по крайней мере три подрядчика из списка предварительно отобранных [заказчиком задания] подрядчиков. Для получения информации о тендерах, которая была представлена на [иностранном языке], перевести информацию о тендерах с помощью переводчика, нанятого практикующим специалистом, до проведения сравнения.Мы изучили информацию о тендерах по 37 контрактам на сумму более 25 000 долларов США.

Из 37 контрактов, заключенных посредством тендеров, 5 были представлены на [иностранном языке]. Мы наняли переводчика, который помог нам в переводе документов по этим пяти случаям. Мы обнаружили, что в 36 случаях из 37 в тендерах участвовали по крайней мере три подрядчика из списка предварительно отобранных [заказчиком задания]

подрядчиков.

Мы обнаружили один контракт стоимостью 65 000 долларов США, в отношении которого не был проведен тендер. Руководство заявило нам, что причина того, что этот контракт не был предметом тендера, заключалась в чрезвычайной ситуации, связанной с соблюдением договорных сроков.

Привлечение переводчика для оказания нам помощи в переводе отчетов о тендерах не снижает нашу ответственность за выполнение процедур и сообщение результатов.

3.Для каждого идентифицированного контракта на сумму более 25 000 долларов США в списке сравнить сумму, подлежащую выплате по подписанному контракту, с суммой, выплаченной в итоге [заказчиком задания] подрядчику, и определить, совпадает ли итоговая выплаченная сумма с согласованной в контракте суммой.Мы получили подписанные документы по 37 контрактам на сумму более 25 000 долларов США, включенным в список, и сравнили суммы, подлежащие выплате по контрактам, с суммами, в итоге выплаченными [заказчиком задания] подрядчику. Мы обнаружили, что суммы, подлежащие выплате по подписанным контрактам, отличались от сумм, в итоге выплаченных [заказчиком задания], в 26 контрактах из 37. Во всех этих случаях руководство пояснило нам, что разница в суммах должна была соответствовать увеличению на 1% ставки налога с продаж в [юрисдикции], которое вступило в силу в сентябре 20X1 года.

[Подпись практикующего специалиста]

[Дата отчета практикующего специалиста]

[Адрес практикующего специалиста]

Приложение № 3 к приказу Министерства финансов Российской Федерации от 27 октября 2021 г. № 163н

СОГЛАСУЮЩИЕСЯ ПОПРАВКИ К ДРУГИМ МЕЖДУНАРОДНЫМ СТАНДАРТАМ

Примечание. Следующие поправки к иным международным стандартам представляют собой результат утверждения МСА 315 (пересмотренного, 2019 г.) Эти согласующиеся поправки вступают в силу одновременно с МСА 315 (пересмотренным, 2019 г.) и показаны выделением в тексте последней утвержденной версии тех международных стандартов, в которые они вносятся. Номера сносок внутри этих поправок не соотносятся с МСА, в которые вносятся поправки, поэтому необходимо делать ссылки на соответствующие стандарты. Эти согласующиеся поправки утверждены Советом по надзору за соблюдением общественных интересов (PIOB), который пришел к выводу о том, что процедура разработки согласующихся поправок носила надлежащий характер и общественные интересы были должным образом соблюдены.

МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита"

Сфера применения настоящего стандарта

Аудит финансовой отчетности

7. В Международных стандартах аудита содержатся цели, требования, рекомендации по применению и прочие пояснительные материалы, которые призваны помочь аудитору получить разумную уверенность. При планировании и проведении аудита Международные стандарты аудита требуют от аудитора применять профессиональное суждение и придерживаться профессионального скептицизма, а также:

выявлять и оценивать риски существенного искажения как по причине недобросовестных действий, так и вследствие ошибки, основываясь на понимании аудируемой организации и ее окружения, применимой концепции подготовки финансовой отчетности, а также включая систему внутреннего контроля организации;

получать достаточное количество надлежащих аудиторских доказательств, свидетельствующих о наличии или отсутствии существенных искажений, при помощи разработки и внедрения соответствующих аудиторских процедур в ответ на оцененные риски;

формировать мнение об аудируемой финансовой отчетности, основываясь на выводах, полученных в результате собранных аудиторских доказательств.

Дата вступления в силу

Основные цели аудитора

Определения

13. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:

(n) Риск существенного искажения - риск, заключающийся в том, что существенное искажение было допущено в финансовой отчетности до начала проведения аудита. Риск включает два компонента, которые на уровне предпосылок составления финансовой отчетности описываются следующим образом (см. пункт А 15а):

(i) неотъемлемый риск - установленная еще до рассмотрения каких-либо соответствующих средств контроля подверженность предпосылки в отношении представления и раскрытия сведений об остатках по счетам, видах операций или раскрытия информации искажению, которое может быть существенным в отдельности или в совокупности с другими искажениями;

(ii) риск средств контроля - риск, заключающийся в том, что искажение, которое может содержаться в предпосылке в отношении остатков по счетам, видов операций или раскрытия информации и может оказаться существенным по отдельности или в совокупности с другими искажениями, не будет своевременно предотвращено или выявлено и исправлено при помощи соответствующих средств контроля организации.

Требования

Этические требования, относящиеся к аудиту финансовой отчетности

Профессиональный скептицизм

Профессиональное суждение

Достаточное количество надлежащих аудиторских доказательств и аудиторский риск

17. Чтобы получить разумную уверенность, аудитор должен получить достаточное количество надлежащих аудиторских доказательств, снижающих аудиторский риск до приемлемо низкого уровня и, таким образом, позволяющих ему сделать разумные выводы для обоснования мнения аудитора (см. пункты А30-А54).

Проведение аудита в соответствии с Международными стандартами аудита

Соблюдете Международных стандартов аудита, имеющих отношение к конкретному аудиторскому заданию

19. Чтобы понимать цели того или иного стандарта и надлежащим образом применять его требования, аудитор должен понимать тексте этого стандарта в целом, в том числе руководство по его применению и прочие пояснительные материалы (см. пункты А60-А68).

Цели, заявленные в каждом МСА

Соблюдение значимых требований

Цель не достигается

Руководство по применению и прочие пояснительные материалы

Аудит финансовой отчетности

Рамки аудита (см. пункт 3)

Подготовка финансовой отчетности (см. пункт 4)

Особенности аудита в государственном секторе

Форма аудиторского мнения (см. пункт 8)

Определения

Финансовая отчетность (см. пункт 13(f))

Риск существенного искажения (см. пункт 13(n))

А15а. Для целей Международных стандартов аудита риск существенного искажения существует, когда существует разумная возможность:

(a) возникновения искажения (то есть его вероятность);

(b) его существенности в случае возникновения (то есть его значительности).

Этические требования, относящиеся к аудиту финансовой отчетности (см. пункт 14)

Профессиональный скептицизм (см. пункт 15)

Профессиональное суждение (см. пункт 16)

Достаточное количество надлежащих аудиторских доказательств и аудиторский риск (см. пункты 5 и 17)

Достаточность и надлежащий характер аудиторских доказательств

А30. Аудиторские доказательства необходимы для обоснования мнения аудитора и аудиторского заключения. По своей природе они носят накопительный характер и в основном получаются в результате выполнения аудиторских процедур в ходе проведения аудита. Однако они могут также включать информацию, полученную из других источников, таких как предыдущие аудиторские задания (если аудитор установил, что не произошли какие-либо изменения после окончания предыдущего аудиторского задания, которые могут повлиять на уместность этой информации для текущего аудита1) или процедуры контроля качества, проводимые аудиторской организацией при принятии и продолжении отношений с клиентами. В дополнение к другим внутренним и внешним источникам в организации важным источником аудиторских доказательств являются данные бухгалтерского учета. Кроме того, возможно, что информация, которую можно использовать в качестве аудиторских доказательств, уже подготовлена специалистами самой организации или нанятыми ею внешними консультантами. Аудиторские доказательства включают как информацию, которая подкрепляет и подтверждает предпосылки руководства, так и любую информацию, которая противоречит таким предпосылкам. Кроме того, в некоторых случаях даже отсутствие информации (например, отказ руководства предоставить запрашиваемое заявление) используется аудитором и, таким образом, также является аудиторским доказательством. Работа аудитора по выработке аудиторского мнения по большей части состоит в получении и оценке аудиторских доказательств.

______________________________

1 МСА 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения, ", пункт 16.

Аудиторский риск

Риски существенного искажения

А40. На неотъемлемый риск по одним предпосылкам и соответствующим им видам операций, остаткам по счетам и раскрытию информации бывает выше, чем по другим, оказывают влияние факторы неотъемлемого риска. В зависимости от степени влияния факторов неотъемлемого риска на подверженность предпосылки искажению уровень неотъемлемого риска изменяется по шкале, именуемой диапазоном неотъемлемого риска.

Аудитор определяет значительные виды операций, остатки по счетам и раскрытие информации, а также соответствующие предпосылки в рамках процесса выявления и оценки рисков существенного искажения. Например, он может быть выше для сложных вычислений или для счетов, состоящих из сумм, полученных из оценочных значений, которые подвержены значительной неопределенности расчетных оценок, остатки по счетам, состоящие из сумм, полученных из оценочных значений, которые подвержены значительной неопределенности расчетных оценок, могут быть определены как значительные остатки по счетам и оценка аудитором неотъемлемого риска в отношении соответствующих рисков на уровне предпосылок может быть выше в результате высокой степени неопределенности оценки.

А40а. На неотъемлемый риск могут оказывать влияние и внешние обстоятельства, приводящие к возникновению бизнес-рисков. Например, в результате развития новых технологий какой-либо продукт может морально устареть, что приведет к тому, что оценка его запасов может оказаться завышенной. На неотъемлемый риск, относящийся к конкретной предпосылке, могут оказывать влияние также и те факторы в организации и ее окружающей среде, которые относятся к нескольким или всем видам операций, остаткам по счетам или раскрытию информации. Такие факторы могут включать, например, недостаточность рабочего капитала для продолжения операционной деятельности или упадок в той или иной отрасли, характеризующийся большим количеством банкротств среди организаций отрасли.

А41. Риск средств контроля является функцией действенности проектирования, внедрения и поддержания в рабочем состоянии руководством организации средств ее внутреннего контроля, призванных противостоять выявленным рискам, угрожающим достижению тех целей организации, которые имеют отношение к подготовке финансовой отчетности организации. Однако, как бы хорошо ни были спроектированы и внедрены средства внутреннего контроля, они могут лишь снизить, но не устранить риски существенного искажения в финансовой отчетности вследствие неотъемлемых ограничений внутреннего контроля. К ним относятся, например, возможность человеческих ошибок и просчетов или обхода средств контроля в результате сговора или неудачного управленческого решения, отменяющего действие средств контроля. Следовательно, некоторый риск средств контроля будет существовать всегда. Международные стандарты аудита предусматривают условия, при которых аудитор должен или может проверять операционную эффективность средств внутреннего контроля при определении природы, сроков и объема проводимых процедур проверки по существу2.

А42.3 Оценка рисков существенного искажения может выражаться в количественных терминах, таких как проценты, или в терминах, не носящих количественного характера. В любом случае сама необходимость проведения аудитором надлежащих оценок рисков более важна, чем выбор того или иного подхода, с помощью которого они могут производиться. Международные стандарты аудита обычно не как правило рассматривают категорию "риск существенного искажения", не рассматривая неотъемлемый риск и риск средств контроля в отдельности, а сводят их воедино в категорию "рисков существенного искажения".

Однако МСА 540 315 (пересмотренный, 2019 г.)4 требует чтобы отдельной оценки неотъемлемого риска неотъемлемый риск оценивался отдельно от и риска средств контроля, чтобы обеспечить основу для разработки и выполнения дальнейших аудиторских процедур для реагирования на оцененные риски существенных искажений на уровне предпосылок, включая существенные риски, для оценочных значений па уровне предпосылок в соответствии с МСА 3305. При выявлении и оценке рисков существенного искажения значительных видов операций, остатков по счетам или раскрытия информации, отличных от оценочных значений, аудитор может проводить отдельные или комбинированные оценки неотъемлемого и контрольного риска в зависимости от предпочтительных методов или методологий аудита и практических соображений.

А43а. Аудитор выявляет и оценивает риски существенного искажения для определения характера, сроков проведения и объема дальнейших аудиторских процедур, которые необходимы для получения достаточных надлежащих аудиторских доказательств6.

Риск необнаружения

Неотъемлемые ограничения аудита

Природа финансовой отчетности

Характер аудиторских процедур

Своевременность финансовой отчетности и баланс между выгодами и затратами

А52. В свете подходов, описанных в пункте А51, Международные стандарты аудита содержат требования к организации планирования и проведения аудита и требуют от аудитора, помимо прочего:

иметь обоснование для выявления и оценки рисков существенного искажения на уровне финансовой отчетности и на уровне предпосылок путем выполнения процедур оценки рисков и иных связанных с этим действий7;

применять тестирование и другие способы исследования генеральных совокупностей таким образом, чтобы быть в состоянии получать разумные обоснования для формирования выводов о той или иной генеральной совокупности8.

______________________________

2 МСА 330 "Аудиторские процедуры в ответ на оцененные риски", пункты 7 - 17.

3 Обратите внимание, что пункт А42 МСА 200 сформулирован для обновленного параграфа, представленного отдельно как соответствующая поправка, относящаяся к МСА 540 (пересмотренному) и согласующимся поправкам к нему.

4 МСА 540 315 (пересмотренный, 2019 г.) "Аудит оценочных значений н соответствующего раскрытия информации Выявление и опенка рисков существенного искажения", пункт 15.

5 МСА 330, пункт 7(b).

6 МСА 330, пункт 6.

7 МСА 315 (пересмотренный, 2019 г.), пункты 17 - 22.

8 МСА 330; МСА 500; МСА 520 "Аналитические процедуры", МСА 530 "Аудиторская выборка".

Прочие вопросы, оказывающие воздействие на неотъемлемые ограничения аудита

Проведение аудита в соответствии с Международными стандартами аудита

Характер Международных стандартов аудита (см. пункт 18)

Особенности аудита в государственном секторе

Содержание Международных стандартов аудита (см. пункт 19)

А60. В дополнение к целям и требованиям (требования описываются в Международных стандартах аудита при помощи глагола "должен"), каждый стандарт содержит соответствующие рекомендации в форме рекомендаций по применению и прочих пояснительных материалов. Он может также включать вводные материалы, задающие контекст, относящийся к надлежащему пониманию данного стандарта, и содержащие определения терминов. Таким образом, полный текст того или иного стандарта имеет непосредственное отношение к пониманию целей данного стандарта и к надлежащему применению соответствующих его требований.

А61.

В случае необходимости в рекомендациях по применению и прочих пояснительных материалах приводятся дальнейшие пояснения соответствующих требований того или иного стандарта и даются рекомендации по их выполнению. В частности, можно найти:

поясняющие уточнения относительно значения того или иного требования и его области применения, содержащиеся в некоторых МСА, таком как МСА 315 (пересмотренный, 2019 г.), объясняющем, почему требуется какая-либо процедура:

примеры процедур, которые могут оказаться уместными в данных конкретных обстоятельствах. В некоторых МСА, например МСА 315 (пересмотренном. 2019 г.), примеры представлены в рамках.

Хотя эти рекомендации по применению сами по себе не являются требованиями, они значимы для правильного применения соответствующих требований того или иного стандарта. Эти рекомендации по применению и прочие пояснительные материалы могут также содержать исходную информацию по вопросам, рассматриваемым в том или ином стандарте.

Особенности малых организаций Положения о масштабируемости

А65а. В некоторые МСА были включены положения о масштабируемости например, МСА 315 (пересмотренный, 2019 г.), которые иллюстрируют применение требований ко всем организациям независимо от характера их деятельности и того, являются ли они более или менее сложными. Менее сложные организации - это организации, к которым могут применяться характеристики, указанные в пункте А66.

А65b. Включенные в некоторые Международные стандарты аудита особенности аудита малых организаций разрабатывались прежде всего с расчетом на организации, ценные бумаги которых не допущены к организованным торгам. Тем не менее, некоторые из этих особенностей могут оказаться полезными при проведении аудита отчетности в малых организациях, ценные бумаги которых допущены к организованным торгам.

А66. Для целей определения особенностей проведения аудита в малых организациях термин "малая организация" означает организацию, которая как правило обладает такими качественными характеристиками, как:

(a) сосредоточенность владения и управления организацией в руках небольшого числа лиц (как правило, одного лица - физического или юридического, которое владеет организацией, при условии, что этот владелец обладает соответствующими качественными характеристиками);

(b) наличие одного или нескольких следующих признаков:

(i) простые или несложные операции;

(ii) упрощенный бухгалтерский учет;

(iii) небольшое количество видов деятельности и продуктов, предлагаемых в рамках этих видов деятельности;

(iv) более простые системы - немного средств внутреннего контроля

(v) небольшое количество уровней управления, при этом руководители отвечают за широкий круг средств контроля;

(vi) малочисленный штат сотрудников, многие из которых выполняют широкий круг обязанностей.

Этот список качественных характеристик не является исчерпывающим, при этом сами характеристики не относятся лишь к малым организациям, а малые организации не обязательно обладают всеми этими характеристиками.

А67 [перемещен - теперь А65b]

Особенности, применимые для автоматизированных инструментов и методов

А67а. Соображения, относящиеся к автоматизированным инструментам и методам, включенным в некоторые МСА, например, МСА 315 (пересмотренный, 2019 г.), были разработаны для объяснения того, как аудитор может применять определенные требования при использовании автоматизированных инструментов и методов при выполнении аудиторских процедур.

Цели, заявленные в каждом конкретном МСА (см. пункт 21)

Использование целей для установления необходимости проведения дополнительных аудиторских процедур (см.

пункт 21(a))

Использование целей для оценки того, собрано ли достаточное количество надлежащих аудиторских доказательств (см. пункт 21(b)):

Соблюдение значимых требований

Значимые требования (см. пункт 22)

Отступление от требования (см. пункт 23)

Цель не достигается (см. пункт 24)

МСА 210 "Согласование условий аудиторских заданий"

Руководство по применению и прочие пояснительные материалы

Обязательные условия для проведения аудита

Согласование соответствующих обязанностей руководства

Система внутреннего контроля

А18. Определение того, какие именно средства внутреннего контроля необходимы для обеспечения подготовки финансовой отчетности, остается за руководством. Термин "система внутреннего контроля" охватывает широкий круг видов деятельности в рамках компонентов, которые можно описать как среду контроля; процедуры оценки рисков организации; процесс мониторинга организацией системы внутреннего контроля; информационную систему, связанная с финансовой отчетностью, в том числе соответствующие бизнес процессы, и информационное взаимодействие, а также контрольные действия; наблюдение за средствами контроля. Такая структура не обязательно отражает то, как именно может быть спроектирована, внедрена и поддерживаться в работоспособном состоянии система внутреннего контроля в той или иной организации или каким образом данная организация может классифицировать тот или иной компонент системы9. Система внутреннего контроля организации (в частности ее бухгалтерские регистры и записи или система бухгалтерского учета) будет отражать потребности руководства, степень сложности бизнеса, характер рисков, которым подвержена организация, а также соответствующие законы и нормативные акты.

МСА 230 "Аудиторская документация"

Руководство по применению и прочие пояснительные материалы

Документация о выполненных аудиторских процедурах и собранных аудиторских доказательствах

Указание конкретных протестированных статей или вопросов, а также исполнителя и проверяющего (см. пункт 9)

Особенности малых организаций (см. пункт 8)

А17. При подготовке аудиторской документации аудитор малой организации может счесть целесообразным и эффективным решением составление единого документа по всем аспектам аудита, включающего в необходимых случаях ссылки на подтверждающие материалы в рабочей документации. Примеры вопросов, которые могут документироваться в едином документе при аудите малой организации, включают понимание организации и ее окружения, применимую концепцию подготовки финансовой отчетности, а также систему внутреннего контроля организации, общую стратегию и план аудита, существенность, определенную в соответствии с МСА 320.10, оцененные риски, значимые вопросы, отмеченные в ходе аудита, и сделанные выводы.

______________________________

9 МСА 315 (пересмотренный, 2019 г.), пункт А9159 и Приложение 34.

10 МСА 320 "Существенность при планировании и проведении аудита".

МСА 250 (пересмотренный) "Рассмотрение законов и нормативных актов в ходе аудита финансовой отчетности"

Руководство по применению и прочие пояснительные материалы

Аудиторские процедуры при выявлении несоблюдения или подозрении в несоблюдении законов и нормативных актов

Оценка последствий выявленного несоблюдения или подозрения в несоблюдении законов и нормативных актов (см. пункт 22)

А23. В соответствии с требованиями пункта 22 аудитор оценивает последствия выявленного или предполагаемого несоблюдения для прочих аспектов аудита, включая оценку аудитором риска и надежности письменных заявлений.

Последствия отдельного конкретных случаев выявленного или предполагаемого несоблюдения, выявленных аудитором, будут зависеть от соотношения между совершением и сокрытием нарушения, если такое имело место, и конкретными контрольными действиями средствами контроля, а также от уровня руководителей или наемных работников лиц, работающих в организации или под ее управлением, причастных к несоблюдению, в особенности это касается последствий несоблюдения, к которому причастно руководство самого высокого уровня в организации. Как указано в пункте 9, в результате соблюдения аудитором законов, нормативных актов или соответствующих этических требований может быть получена дополнительная информация, имеющая отношение к обязанностям аудитора, предусмотренным в пункте 22.

МСА 260 (пересмотренный) "Информационное взаимодействие с лицами, отвечающими за корпоративное управление"

Руководство по применению и прочие пояснительные материалы

Вопросы, о которых необходимо информировать

Планируемый объем и сроки проведения аудита (см. пункт 15)

А12. Информирование лиц, отвечающих за корпоративное управление, о значимых рисках, выявленных аудитором, помогает им лучше понять эти вопросы и причины, по которым они определены как несущие значительные риски требуют особого рассмотрения в ходе аудита. Информирование лиц, отвечающих за корпоративное управление, о значимых рисках может помочь таким лицам в выполнении своих обязанностей по надзору за процессом составления финансовой отчетности.

А13. Вопросы для информирования могут включать следующее:...

какие меры аудитор планирует предпринять в ответ на значимые риски существенного искажения вследствие недобросовестных действий или ошибок;

какие действия аудитор планирует предпринять в отношении областей с более высокими оцененными рисками существенного искажения;

каков подход аудитора к проверке системы внутреннего контроля организации средств внутреннего контроля, которые являются-значимыми для аудита;

применение понятия существенности в контексте аудита.

Приложение 2 (см. пункты 16(a), А19-А20)

Качественные аспекты учетной практики организации

Информационное взаимодействие в соответствии с требованиями пункта 16(a), рассмотренное в пунктах А19-А20, может включать следующие вопросы.

Оценочные значения

Вопросы, связанные со статьями, для которых очень важны оценочные значения, рассматриваются в МСА 540, включая, например, следующее:

как руководство выявляет операции, события и/или условия, которые могут повлечь за собой необходимость признания оценочных значений или их раскрытия в финансовой отчетности;

МСА 265 "Информирование лиц, отвечающих за корпоративное управление, и руководства о недостатках в системе внутреннего контроля

Введение

Сфера применения настоящего стандарта 1. Настоящий Международный стандарт аудита (МСА) обязывает аудитора надлежащим образом информировать лиц, отвечающих за корпоративное управление, и руководство о недостатках в системе внутреннего контроля, которые выявил аудитор при проведении аудита финансовой отчетности. Настоящий стандарт не накладывает дополнительных обязанностей на аудитора в отношении обеспечения понимания системы внутреннего контроля и разработки и проведения тестов средств контроля сверх того, что уже входит в требования стандартов МСА 315 (пересмотренного, 2019 г.) и МСА 330. МСА 260 (пересмотренный) устанавливает дополнительные требования и содержит рекомендации в отношении обязанностей аудитора по информированию лиц, отвечающих за корпоративное управление, в отношении проводимого аудита.

2. При выявлении и оценке рисков существенного искажения от аудитора требуется получение понимания системы внутреннего контроля в части, касающейся проводимого аудита. При выполнении оценки рисков аудитор анализирует средства внутреннего контроля с целью разработки аудиторских процедур, соответствующих сложившимся обстоятельствам, но не с целью выражения мнения об эффективности системы внутреннего контроля. Аудитор может выявить недостатки системы контроля не только в ходе выполнения процедуры оценки риска, но также на любом другом этапе аудита. Настоящий стандарт определяет, о каких именно из выявленных недостатков аудитор должен сообщать лицам, отвечающим за корпоративное управление, и руководству.

Руководство по применению и прочие пояснительные материалы

Определение того, выявлены ли недостатки в системе внутреннего контроля (см. пункт 7)

Особенности малых организаций

А3. В то время как понятия, лежащие в основе компонентов контрольных процедур в малых организациях, скорее всего, окажутся сходными с аналогичными в крупных организациях, степень формализации, свойственная их выполнению, будет отличаться. Кроме того, малые организации могут не испытывать необходимости в некоторых видах контроля контрольных процедур вследствие средств контроля, применяемых руководством. Например, единоличные полномочия руководства по предоставлению товарного кредита потребителям и утверждению значительных закупок могут обеспечить эффективный контроль за важными остатками по счетам и операциями, уменьшая или устраняя необходимость в более развернутых контрольных действиях.

Значительные недостатки в системе внутреннего контроля (см. пункты 6(b), 8)

А8. Для эффективного предотвращения или обнаружения и исправления искажений схема использования средств контроля может предполагать, что они задействуются в отдельности или в сочетании друг с другом. Например, средства контроля дебиторской задолженности для предотвращения или обнаружения и исправления искажений остатков по счету могут состоять из автоматизированных средств контроля и средств контроля с ручной обработкой данных, работающих вместе. Недостаток системы внутреннего контроля сам по себе может не быть настолько важным, чтобы представлять собой значительный недостаток. Однако сочетание недостатков, воздействующих на один и тот же остаток по счету или на одно и то же раскрытие информации, предпосылку или компонент системы внутреннего контроля организации, может повысить риски искажения до такой степени, которая влечет за собой значительные недостатки.

МСА 240 "Обязанности аудитора в отношении недобросовестных действий при проведении аудита финансовой отчетности"

Введение

Сфера применения настоящего стандарта

Характеристики недобросовестных действий

Ответственность за предотвращение и обнаружение недобросовестных действий

Обязанности аудитора

7. Более того, риск того, что аудитор не обнаружит существенное искажение, вызванное недобросовестными действиями руководства, выше, чем в случае недобросовестных действий сотрудника, потому что руководство во многих случаях имеет возможность прямо или косвенно манипулировать данными бухгалтерского учета, представлять поддельную финансовую информацию или обходить процедуры систему контроля, нацеленную на предотвращение случаев совершения аналогичных недобросовестных действий другими сотрудниками.

Дата вступления в силу

Цели

Определения

Требования

Профессиональный скептицизм

12. В соответствии с МСА 200.11, аудитор должен сохранять профессиональный скептицизм на протяжении всего аудита,

осознавая возможность существенного искажения вследствие недобросовестных действий, несмотря на прошлый опыт аудитора, свидетельствующий о честности и добросовестности руководства организации и лиц, отвечающих за корпоративное управление (см. пункты А7-А8).

13. За исключением случаев, когда у него есть основания для уверенности в обратном, аудитор может принимать записи и документы за подлинные. Если обстоятельства, выявленные в ходе аудита, заставляют аудитора думать, что тот или иной документ может оказаться поддельным или что условия того или иного документа были изменены и это изменение не было раскрыто аудитору, аудитор должен провести дополнительные исследования (см. пункт А9).

14. Если ответы на запросы, полученные от руководства или лиц, отвечающих за корпоративное управление, непоследовательны, аудитор должен исследовать такие несоответствия.

Обсуждение между членами аудиторской группы

15. МСА 315 (пересмотренный, 2019 г.)12 требует проведения обсуждения между членами аудиторской группы, а также определения руководителем задания круга вопросов, которые необходимо довести до сведения тех членов аудиторской группы, которые не участвовали в обсуждении. В ходе этого обсуждения особое внимание должно быть уделено тому, каким образом и в какой части финансовая отчетность организации может быть подвержена существенному искажению вследствие недобросовестных действий, а также тому, как могут производиться недобросовестные действия. Во время обсуждения должно игнорироваться возможное представление членов аудиторской группы о руководстве и лиц, отвечающих за корпоративное управление, как о честных и добросовестных людях (см. пункты А10-А11).

______________________________

11 МСА 200, пункт 15.

12 МСА 315 (пересмотренный, 2019 г.) пункты 17 - 18.

Процедуры оценки рисков и сопутствующие действия

16. При проведении процедур оценки рисков и связанных с этим действий с целью получения понимания аудируемой организации и ее окружения, применимой концепции подготовки финансовой отчетности и включая систему системы внутреннего контроля организации, в соответствии с требованиями МСА 315 (пересмотренного, 2019 г.)13 для получения информации, необходимой для выявления рисков существенного искажения вследствие недобросовестных действий, аудитор должен выполнить процедуры, описанные в пунктах 23 - 43.

______________________________

13 МСА 315 (пересмотренный) пункты 5 - 24.

Руководство и иные лица внутри организации

Лица, отвечающие за корпоративное управление

20. За исключением случаев, когда все лица, отвечающие за корпоративное управление, участвуют в управлении организацией14, аудитор должен получить понимание того, каким образом лица, отвечающие за корпоративное управление, осуществляют надзор за деятельностью руководства по выявлению рисков недобросовестных действий в организации и реагированию на эти риски, а также за системой внутреннего контроля, установленной руководством для снижения этих рисков (см. пункты А19-А21).

______________________________

14 МСА 260 (пересмотренный) "Информационное взаимодействие с лицами, отвечающими за корпоративное управление", пункт 13.

Выявление необычных или неожиданных соотношений

Прочая информация

23. Аудитор должен проанализировать прочую полученную им информацию на предмет того, указывает ли она на риски существенного искажения вследствие недобросовестных действий (см. пункт А22).

Оценка факторов риска недобросовестных действий

24. Аудитор должен оценить информацию, полученную в результате применения прочих процедур оценки рисков и связанных с ними действий, на предмет того, не указывает ли она на наличие одного или более факторов риска недобросовестных действий. Хотя факторы риска недобросовестных действий не обязательно указывают на наличие недобросовестных действий, они во многих случаях присутствуют в обстоятельствах, когда такие действия имеют место, и поэтому могут указывать на риски существенного искажения вследствие недобросовестных действий (см. пункты А23-А27).

Выявление и оценка рисков существенного искажения вследствие недобросовестных действий

25. В соответствии с МСА 315 (пересмотренным, 2019 г.) аудитор должен выявить и оценить риски существенного искажения вследствие недобросовестных действий на уровне финансовой отчетности и на уровне предпосылок в отношении видов операций, остатков по счетам и раскрытия информации15.

______________________________

15 МСА 315 (пересмотренный, 2019 г.), пункт 28.

26. При выявлении и оценке рисков существенного искажения вследствие недобросовестных действий аудитор должен, основываясь на допущении наличия рисков недобросовестных действий в признании выручки, оценить, какие типы выручки, операций по признанию выручки или предпосылки влекут за собой такие риски. Пункт 47 определяет необходимую документацию для тех случаев, когда аудитор пришел к выводу, что такое допущение неприменимо в обстоятельствах данного задания и, следовательно, не определил признание выручки в качестве риска существенного искажения вследствие недобросовестных действий (см. пункты А28- А30).

27. Аудитор должен отнести оцененные риски существенного искажения вследствие недобросовестных действий к значительным и, следовательно, в той степени, до которой он еще этого не сделал, должен добиться понимания системы внутреннего контроля аудируемой организации, включая контрольные действия, относящиеся к таким рискам определить систему контроля организации, реагирующую на риски, оценить структуру средств контроля, и решить, была ли она внедрена16 (см. пункты А31-А32).

______________________________

16 МСА 315 (пересмотренный, 2019 г.), пункты 26(a)(i) и 26(d).

Ответные меры на оцененные риски существенного искажения

Аудиторские процедуры общего характера

Риски существенного искажения

Аудиторские процедуры в ответ на риски, связанные с действиями руководства в обход средств контроля

32. Независимо от оценки им рисков обхода руководством средств контроля, аудитор должен разработать и выполнить соответствующие аудиторские процедуры, призванные:

(а) проверить надлежащий характер бухгалтерских записей в основном регистре и прочих корректировок, сделанных при подготовке финансовой отчетности. При разработке и выполнении аудиторских процедур для такой проверки аудитор должен:

(i) направить запросы лицам, участвующим в процессе подготовки финансовой отчетности, о ненадлежащих или необычных действиях, относящихся к обработке бухгалтерских записей и прочих корректировок;

(ii) отобрать бухгалтерские записи и прочие корректировки, выполненные в конце отчетного периода;

(iii) рассмотреть необходимость проверки бухгалтерских записей и прочих корректировок за весь период (см. пункты А41-А44).

Оценка аудиторских доказательств (см. пункт А49)

Аудитор не в состоянии продолжить выполнение задания

Письменные заявления

Информирование руководства и лиц, отвечающих за корпоративное управление,

Информирование регулирующих и правоохранительных органов

Документация

44. Аудитор должен включить в аудиторскую документацию то, как он идентифицировал и оценил риски17 следующие аспекты понимания аудитором аудируемой организации и ее окружения и оценки рисков существенного искажения, как это требуется стандартом МСА 315 (пересмотренным, 2019 г.)18.

(a) значимые решения, выработанные в ходе обсуждения между членами аудиторской группы относительно подверженности финансовой отчетности организации риску существенного искажения вследствие недобросовестных действий;

(b) выявленные и оцененные риски существенного искажения вследствие недобросовестных действий на уровне финансовой отчетности и на уровне предпосылок;

(c) выявленные средства контроля в компоненте контрольных процедур, направленные на устранение оцененных рисков существенного искажения в результате недобросовестных действий.

______________________________

17 МСА 230 "Аудиторская документация", пункты 8 - 11 и А6.

18 МСА 315 (пересмотренный, 2019 г.), пункт 3832.

Руководство по применению и прочие пояснительные материалы

Характеристики недобросовестных действий (см. пункт 3)

Профессиональный скептицизм (см. пункты 12 - 14)

А7. Требование о сохранении профессионального скептицизма означает, что аудитор должен постоянно задаваться вопросом, не указывают ли полученная информация и собранные аудиторские доказательства на возможные существенные искажения вследствие недобросовестных действий. Это включает анализ надежности информации, используемой в качестве аудиторских доказательств, и выявленных средств контроля в компоненте контрольных процедур, используемых при ее подготовке и поддержании в актуальном состоянии, если они имеются, если применимо. В силу характерных особенностей недобросовестных действий профессиональный скептицизм аудитора особенно важен при анализе рисков существенного искажения вследствие таких действий.

Обсуждение между членами аудиторской группы (см. пункт 15)

Процедуры оценки рисков и сопутствующие действия

Направление запросов руководству

Оценка руководством риска существенного искажения вследствие недобросовестных действий (см. пункт 17(a))

Направление запросов в службу внутреннего аудита (см. пункт 19)

А18. МСА 315 (пересмотренный, 2019 г.) и МСА 610 (пересмотренный, 2013 г.) устанавливают требования и дают рекомендации в отношении аудита тех организаций, в которых функционирует служба внутреннего аудита19. При выполнении требований этих МСА в отношении недобросовестных действий аудитор может направлять запросы о следующих действиях этой службы:

______________________________

19 МСА 315 (пересмотренный, 2019 г.), пункты 14(a) и 24(a)(ii), МСА 610 (пересмотренный, 2013 г) "Использование результатов работы внутренних аудиторов".

каковы процедуры, если они выполнялись, осуществленные службой внутреннего аудита в течение года с целью обнаружения недобросовестных действий;

последовала ли адекватная реакция руководства на факты, выявленные в результате выполнения этих процедур.

Получение понимания мер надзора, осуществляемого лицами, отвечающими за корпоративное управление (см. пункт 20)

А19. Лица, отвечающие за корпоративное управление, осуществляют надзор за системами организации по мониторингу рисков, финансовому контролю и соблюдению законодательства. Во многих странах методы корпоративного управления хорошо разработаны и лица, отвечающие за корпоративное управление, играют активную роль в осуществлении надзора за проведением оценки организацией рисков недобросовестных действий и за соответствующими средствами внутреннего контроля, системой контроля в ответ на такие риски.

Поскольку обязанности лиц, отвечающих за корпоративное управление, и руководства могут варьироваться в различных организациях в той или иной стране, важно, чтобы аудитор понимал их обязанности, чтобы получить понимание мер надзора, осуществляемого соответствующими лицами20.

______________________________

20 В МСА 260 (пересмотренном), пункты А1-А8, содержится описание того, с кем аудитору следует обмениваться информацией в тех случаях, когда структура корпоративного управления организации нечетко определена.

А20. Понимание мер надзора, осуществляемого лицами, отвечающими за корпоративное управление, может дать представление о том, в какой степени аудируемая организация подвержена недобросовестным действиям со стороны руководства, насколько ее система внутреннего контроля отвечает на риски недобросовестных действий, которые она призвана снижать, а также о том, каков уровень компетентности и честности руководства. Аудитор может получить такое понимание целым рядом способов, например путем участия в совещаниях, на которых обсуждаются эти вопросы, ознакомления с протоколами таких совещаний или направления запросов лицам, отвечающим за корпоративное управление.

Особенности малых организаций

Рассмотрение прочей информации (см. пункт 23)

А22. В дополнение к информации, полученной в результате применения аналитических процедур, для выявления рисков существенного искажения вследствие недобросовестных действий может оказаться полезной и прочая информация об организации и ее окружении, применимой концепции подготовки финансовой отчетности системы внутреннего контроля организации. Полезную информацию для выявления таких рисков может дать проведение обсуждений среди членов аудиторской группы. Кроме того, информация, полученная в ходе проведенных аудитором процедур принятия и продолжения отношений с клиентами, а также опыт, полученный при выполнении других заданий для этой же организации, например заданий по обзору промежуточной финансовой информации, могут оказаться значимыми при выявлении рисков существенного искажения вследствие недобросовестных действий.

Оценка факторов риска недобросовестных действий (см. пункт 24)

А25. Примеры факторов риска недобросовестных действий, относящихся к недобросовестному составлению финансовой отчетности и неправомерному присвоению активов, приведены в Приложении 1. Иллюстративные примеры факторов риска классифицированы на основании трех основных условий, которые обычно присутствуют в случаях совершения недобросовестных действий:

побуждение к совершению недобросовестных действий или давление;

осознаваемая возможность совершения недобросовестных действий;

способность оправдать совершаемое недобросовестное действие.

Факторы риска недобросовестных действий могут относиться к побуждению, давлению или возможностям, возникающим в результате обстоятельств, которые создают условия для подверженности искажению, до рассмотрения средств контроля. Факторы риска недобросовестных действий, которые включают преднамеренную предвзятость руководства, являются, поскольку они влияют на неотъемлемый риск, неотъемлемыми факторами риска21. Факторы риска недобросовестных действий могут также относиться к условиям в системе внутреннего контроля организации, которые дают возможность совершить недобросовестные действия или которые могут повлиять на отношение или способность руководства рационализировать их. Факторы риска недобросовестных действий, связанные с отношением, позволяющим оправдать недобросовестное действие, могут оказаться недоступны для наблюдения аудитором.

Тем не менее аудитор может узнать о существовании такой информации, например, благодаря необходимому пониманию контрольной среды организации22. Несмотря на то, что факторы риска недобросовестных действий, описанные в Приложении 1, охватывают широкий спектр ситуаций, с которыми могут сталкиваться аудиторы, они являются не более чем примерами, могут существовать и другие факторы риска.

______________________________

22 МСА 315 (пересмотренный, 2019 г.), пункт 21.

Выявление и оценка рисков существенного искажения вследствие недобросовестных действий

Риски недобросовестных действий при признании выручки (см. пункт 26)

Выявление и оценка рисков существенного искажения вследствие недобросовестных действий и понимание соответствующих средств контроля организации (см. пункт 27)

А31. Более того, при разработке и внедрении средств контроля руководство может формировать суждения о характере или объеме средств контроля, которые оно намерено внедрить, а также о характере и объеме рисков, которые оно готово принять. При определении того, какие средства контроля необходимо внедрить для предотвращения и обнаружения недобросовестных действий, руководство анализирует риски того, что финансовая отчетность может оказаться существенно искаженной в результате недобросовестных действий. В рамках этого анализа руководство может прийти к выводу, что в сравнении с достигаемым снижением рисков существенного искажения вследствие недобросовестных действий экономически нецелесообразно внедрять и поддерживать то или иное средство контроля.

А32. Исходя из этого, аудитору важно добиться понимания тех средств контроля, которые разработало, внедрило и поддерживает руководство для предотвращения и обнаружения недобросовестных действий. При этом выявлении средств контроля, направленных на снижение рисков существенного искажения в результате недобросовестных действий аудитор может узнать, например, что руководство сознательно решило принять риски, связанные с недостаточным разделением должностных обязанностей. Информация, собранная в ходе ознакомления с этими вопросами, может оказаться полезной также для выявления факторов риска недобросовестных действий, которые могут воздействовать на оценку аудитором рисков того, что финансовая отчетность может содержать существенное искажение вследствие недобросовестных действий.]'

Ответные меры на оцененные риски существенного искажения вследствие недобросовестных действий

Аудиторские процедуры общего характера (см. пункт 28)

Назначение сотрудников и контроль за ними (см. пункт 29(a))

Непредсказуемость при выборе аудиторских процедур (см. пункт 29(c))

Аудиторские процедуры в ответ на оцененные риски существенного искажения вследствие недобросовестных действий на уровне отдельных предпосылок финансовой отчетности (см. пункт 30)

Аудиторские процедуры в ответ на риски, связанные с действиями руководства в обход средств контроля

Бухгалтерские записи и прочие корректировки (см. пункт 32(a))

А42.

Кроме того, рассмотрение аудитором рисков существенного искажения, связанных с неправомерным обходом средств контроля за бухгалтерскими записями, играет важную роль, поскольку автоматизированные процедуры и средства контроля могут снизить риск случайной ошибки, но не отменяют риск того, что некие лица могут недобросовестно обойти эти автоматизированные процедуры, например, путем изменения сумм, автоматически отражаемых в основном регистре или в системе подготовки финансовой отчетности.23 Более того, если при использовании информационных технологий информация передается в автоматическом режиме, в информационных системах может остаться чрезвычайно мало или не остаться вовсе никаких видимых доказательств такого вмешательства.

______________________________

23 МСА 315 (пересмотренный, 2019 г.), пункт 26(a)(ii).

А43. При установлении и отборе бухгалтерских записей и прочих корректировок для проверки и при определении надлежащего метода изучения подтверждающих материалов по отобранным статьям актуальными являются следующие вопросы:

выявление и оценка рисков существенного искажения вследствие недобросовестных действий - наличие факторов риска недобросовестных действий и прочей информации, полученной в ходе выявления и оценки аудитором рисков существенного искажения вследствие недобросовестных действий, может помочь аудитору установить конкретные виды бухгалтерских записей и прочих корректировок для проведения проверки;

применяемые средства контроля за бухгалтерскими записями и прочими корректировками - эффективные средства контроля за подготовкой и проведением бухгалтерских записей и прочих корректировок могут уменьшить объем необходимых проверок по существу, при условии что аудитор проверил операционную эффективность этих средств контроля;

процедура подготовки финансовой отчетности организации и характер доказательств, которые могут быть получены, - для многих организаций стандартная обработка операций включает сочетание ручных и автоматизированных этапов и процедур средств контроля. Также, обработка бухгалтерских записей и прочих корректировок может включать как ручные, так и автоматизированные процедуры и средства контроля. Если в процессе подготовки финансовой отчетности задействованы информационные технологии, бухгалтерские записи и прочие корректировки могут существовать лишь в электронной форме;

характерные черты умышленно искаженных бухгалтерских записей или прочих корректировок - ненадлежащие бухгалтерские записи или прочие корректировки во многих случаях обладают уникальными определяющими особенностями. Такие особенности могут включать записи, которые (а) выполнены по несвязанным, необычным или редко используемым счетам; (b) выполнены лицами, обычно не занимающимися ведением бухгалтерских записей; (с) проведены в конце периода либо представляют собой проводки уже по завершении периода, при этом по ним мало пояснений или описаний либо они отсутствуют; (d) выполнены либо перед, либо во время подготовки финансовой отчетности и не отражены в бухгалтерских регистрах; (е) содержат круглые числа или числа, заканчивающиеся одинаковыми цифрами;

характер и сложность счетов - ненадлежащие бухгалтерские записи или корректировки могут относиться к счетам, которые (а) содержат сложные или необычные по характеру операции; (b) содержат значительные оценочные значения и корректировки на конец периода; (с) были подвержены искажениям в прошлом; (d) не выверялись своевременно или содержат невыверенные разницы; (е) содержат внутрифирменные операции; (f) связаны с выявленным риском существенного искажения вследствие недобросовестных действий.

При аудите организаций, имеющих несколько мест нахождения или компонентов, рассматривается целесообразность отбора бухгалтерских записей из различных подразделений;

бухгалтерские записи или прочие корректировки, проведенные вне рамок обычной деятельности организации, - нестандартные бухгалтерские записи могут не быть охвачены средствами внутреннего контроля на том же уровне того же характера и степени контроля, что и бухгалтерские записи, проводимые регулярно для отражения таких операций, как ежемесячные продажи, закупки и выплаты наличными.

Оценочные значения (см. пункт 32(b))

Экономическое обоснование значительных операций (см. пункт 32(c))

Оценка аудиторских доказательств (см. пункты 34-37)

Аналитические процедуры, выполняемые перед завершением аудита в ходе формирования общего вывода (см. пункт 34)

Анализ выявленных искажений (см. пункты 35-37)

Аудитор не в состоянии продолжить выполнение задания (см. пункт 38)

Письменные заявления (см. пункт 39)

Информирование руководства и лиц, отвечающих за корпоративное управление,

Информирование руководства (см. пункт 40)

Информационное взаимодействие с лицами, отвечающими за корпоративное управление (см. пункт 41)

Прочие вопросы, имеющие отношение к недобросовестным действиям (см. пункт 42)

Информирование регулирующих и правоохранительных органов (см. пункт 43)

Приложение 1 (см. пункт А25)

Примеры факторов риска недобросовестных действий

Факторы риска недобросовестных действий, приведенные в настоящем Приложении, представляют собой примеры таких факторов, с которыми могут сталкиваться аудиторы в целом ряде ситуаций. Отдельно представлены примеры, относящиеся к двум видам недобросовестных действий, имеющим непосредственное отношение к деятельности аудитора, а именно: недобросовестность при подготовке финансовой отчетности и неправомерное присвоение активов. По каждому из этих видов недобросовестных действий факторы риска классифицируются далее на основании трех основных условий, обычно присутствующих в ситуациях существенных искажений вследствие недобросовестных действий: (а) побуждение/давление, (b) возможность, (с) отношение/оправдание. Несмотря на то, что эти факторы риска охватывают широкий спектр ситуаций, они являются лишь примерами, и, следовательно, аудитор может выявить дополнительные или иные факторы риска. Не все из этих примеров будут актуальными во всех обстоятельствах, некоторые из них могут иметь большее или меньшее значение в организациях различного размера или с различными характеристиками собственности или спецификой деятельности. Кроме того, порядок следования приведенных примеров факторов риска не имеет целью отражение их относительной важности или частоты, с которой они встречаются.

Факторы риска недобросовестных действий могут относиться к побуждению, давлению или возможностям, возникающим в результате обстоятельств, которые создают условия для подверженности искажению, до рассмотрения средств контроля (то есть неотъемлемый риск). Такие факторы являются факторами неотъемлемого риска в той части, в которой они влияют на неотъемлемый риск, и могут являться результатом предвзятости руководства. Факторы риска недобросовестных действий, относящиеся к возможностям, могут также возникать в результате иных выявленных факторов неотъемлемого риска (например, в результате сложности или неопределенности могут возникать возможности, которые приводят к подверженности искажению вследствие недобросовестных действий).

Факторы риска недобросовестных действий, относящиеся к возможностям, могут быть также связаны с условиями системы внутреннего контроля организации, такими как ограничения или недостатки внутреннего контроля организации, которые создают такие возможности. Факторы риска недобросовестных действий, связанные с отношением или оправданием, могут возникать, в частности, в результате ограничений или недостатков контрольной среды организации.

Факторы риска, относящиеся к искажениям вследствие недобросовестного составления финансовой отчетности

Ниже приведены примеры факторов риска, относящихся к искажениям вследствие недобросовестного составления финансовой отчетности.

Побуждение/давление

Финансовая стабильность или прибыльность оказывается под угрозой таких условий операционной деятельности на уровне экономики, отрасли или организации, как следующие (или как указывающие на них следующие признаки):

В силу приведенных ниже факторов существует чрезмерное давление на руководство по обеспечению соответствия ожиданиям сторонних лиц:

Имеющаяся информация говорит о том, что личная финансовая ситуация руководства или лиц, отвечающих за корпоративное управление, оказывается под угрозой финансовых результатов деятельности организации вследствие следующих факторов:

Возможность

Характер отрасли или операционной деятельности организации создает возможности для проявления недобросовестности при подготовке финансовой отчетности, которые могут возникать вследствие таких обстоятельств, как:

Надзор за деятельностью руководства неэффективен вследствие следующего:

Существует сложная или неустойчивая организационная структура, о чем свидетельствуют следующие признаки:

Недостаточность компонентов внутреннего контроля. Недостатки внутреннего контроля возникают вследствие следующих обстоятельств:

неудовлетворительный мониторинг средств контроля процесс мониторинга системы внутреннего контроля организации, включая автоматизированные средства контроля и средства контроля за промежуточной финансовой отчетностью (если требуется представление внешней отчетности);.

высокая текучесть кадров или наем неэффективных сотрудников в подразделениях бухгалтерского учета, информационных технологий или в службе внутреннего аудита;

неэффективные учетные и информационные системы, включая ситуации наличия значительных недостатков в системе внутреннего контроля.

Отношение/оправдание

Факторы риска, вызванные искажениями вследствие неправомерного присвоения активов

Факторы риска, относящиеся к искажениям вследствие неправомерного присвоения активов, также можно подразделить на группы в соответствии с тремя основными условиями, обычно присутствующими в обстоятельствах недобросовестных действий: побуждение/давление, возможность и отношение/оправдание. Некоторые из факторов риска, относящихся к искажениям вследствие недобросовестной подготовки финансовой отчетности, могут также иметь место в обстоятельствах искажений вследствие неправомерного присвоения активов. Например, неэффективный мониторинг руководства и прочие недостатки в системе внутреннего контроля могут иметь место как при искажениях вследствие недобросовестности при подготовке финансовой отчетности, так и вследствие неправомерного присвоения активов. Ниже приведены примеры факторов риска, связанных с искажениями вследствие неправомерного присвоения активов.

Побуждение/давление

Возможность

Некоторые характерные черты или обстоятельства могут повышать уровень уязвимости активов для неправомерного присвоения.

Например, возможности к неправомерному присвоению активов увеличиваются, когда имеются следующие обстоятельства:

Недостаточный внутренний контроль за активами может повысить уровень уязвимости этих активов для неправомерного присвоения. Например, неправомерное присвоение активов может происходить в следующих случаях:

недостаточность разделения должностных обязанностей или проведения независимых проверок;

недостаточный надзор за расходами высшего руководства, такими как командировочные и прочие возмещения;

недостаточный надзор руководства за материально ответственными работниками, например, недостаточность контроля или мониторинга удаленных территориальных подразделений;

недостаточность проверки кандидатов при отборе на вакантные должности работников с доступом к активам;

ненадлежащий учет активов;

неадекватность системы разрешений и авторизации проведения операций (например, в области закупок);

недостатки организации физической сохранности денежных средств, инвестиций, запасов или основных средств;

отсутствие полных и регулярных инвентаризаций активов;

недостаточно своевременное и надлежащее документирование операций, например, по кредитованию соответствующего счета при возвратах от покупателей;

недостаточность обязательных отпусков для работников, выполняющих ключевые контрольные функции;

недостаточность понимания руководством информационных технологий, что дает возможность работникам, занятым в сфере информационных технологий, заниматься неправомерным присвоением активов;

недостаточные средства контроля прав доступа к автоматизированным журналам, включая средства контроля и проверки записей в системных журналах.

Отношение/оправдание

Недостаточный внутренний контроль за активами может повысить уровень уязвимости этих активов для неправомерного присвоения.

пренебрежение средствами внутреннего контроля против неправомерного присвоения активов, что выражается в обходе существующих средств контроля или в непринятии необходимых мер по известным недостаткам в системе внутреннего контроля;

поведение, указывающее на неудовольствие или неудовлетворенность организацией или тем, как осуществляется взаимодействие с работниками;

изменения в поведении или образе жизни, которые могут указывать на то, что имело место неправомерное присвоение активов;

терпимость к мелким хищениям.

Приложение 2 (см. пункт А40)

Примеры возможных аудиторских процедур в ответ на оцененные риски существенного искажения вследствие недобросовестных действий

Ниже приведены примеры возможных аудиторских процедур в ответ на оцененные риски существенного искажения вследствие недобросовестных действий как вследствие недобросовестной подготовки финансовой отчетности, так и вследствие неправомерного присвоения активов. Несмотря на то, что эти процедуры охватывают широкий спектр ситуаций, это не более чем примеры, и, следовательно, они могут оказаться не самыми подходящими и не соответствующими в той или иной конкретной ситуации. Кроме того, порядок изложения информации о процедурах не преследует цель отразить их относительную важность.

Анализ на уровне предпосылок

Конкретные аудиторские процедуры по результатам оценки аудитором рисков существенного искажения вследствие недобросовестных действий будут варьироваться в зависимости от видов или сочетаний выявленных факторов риска либо условий недобросовестных действий, а также от видов операций, остатков по счетам, раскрытия информации и предпосылок, на которые они могут повлиять.

Ниже приведены конкретные примеры ответных мер:

если работа какого-либо эксперта в отношении статьи финансовой отчетности, по которой высок оцененный риск существенного искажения вследствие недобросовестных действий, приобретает особенное значение - проведение дополнительных процедур, относящихся к некоторым или ко всем допущениям, методам или выводам этого эксперта, с целью установления того, что его выводы не являются необоснованными, либо привлечение для этих целей еще одного эксперта;

Конкретные аудиторские процедуры - искажение вследствие недобросовестной подготовки финансовой отчетности

Примеры ответных мер на оценку аудитором рисков существенного искажения вследствие недобросовестности при подготовке финансовой отчетности включают ряд процедур.

Приложение 3 (см. пункт А49)

Примеры обстоятельств, указывающих на возможность недобросовестных действий

Ниже приведены примеры обстоятельств, которые могут указывать на возможность того, что финансовая отчетность может содержать существенное искажение вследствие недобросовестных действий.

МСА 300 "Планирование аудита финансовой отчетности";

Руководство по применению и прочие пояснительные материалы

Документация (см. пункт 12)

Особенности малых организаций

А21. Как указано в пункте A11, соответствующий краткий меморандум может служить документальным оформлением стратегии аудита малой организации. При разработке плана аудита могут использоваться стандартные аудиторские программы или контрольные списки (см. пункт А19), составленные исходя из допущения о немногочисленности соответствующих средств контроля24 контрольных мероприятий, что, скорее всего, и происходит в малой организации, при условии, что такие программы или списки используются с учетом конкретных обстоятельств аудиторского задания, включая оценку рисков аудитором.

______________________________

24 МСА 315 (пересмотренный, 2019 г.), пункт 26(a)

МСА 402 "Особенности аудита организации, пользующейся услугами обслуживающей организации"

Введение

Сфера применения настоящего стандарта 1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по сбору достаточных надлежащих аудиторских доказательств в случаях, когда организация-пользователь пользуется услугами одной или более обслуживающих организаций. В частности, в нем раскрывается, как аудитор организации-пользователя применяет МСА 315 (пересмотренный, 2019 г.) и МСА 330 при получении понимания организации-пользователя, включая значимую для аудита подготовки финансовой отчетности систему внутреннего контроля организации, достаточного для выявления и оценки рисков существенного искажения, а также при разработке и выполнении дальнейших аудиторских процедур в ответ на эти риски.

3. Услуги, предоставляемые обслуживающей организацией, являются применимыми для конкретного аудита финансовой отчетности организации-пользователя при условии, что эти услуги и средства контроля за ними являются частью информационной системы организации-пользователя, включая соответствующие бизнес процессы, относящиеся относящейся к подготовке финансовой отчетности. Несмотря на то, что большинство средств контроля обслуживающей организации, вероятно, будет связано с финансовой отчетностью частью информационной системы организации-пользователя, имеющей отношение к подготовке финансовой отчетности, могут существовать и другие средства или относящихся к ним средств контроля, которые будут применимы для конкретного аудита, например средства контроля за сохранностью активов. Услуги обслуживающей организации являются частью информационной системы организации-пользователя, включая соответствующие бизнес-процессы, относящиеся к подготовке финансовой отчетности, если такие услуги затрагивают любой из следующих элементов:

(a) информацию, относящуюся к значительным видам операций, остаткам по счетам и раскрытию информации, и то, как она проходит через информационную систему организации-пользователя, вручную или с использованием ИТ, независимо от того, получена ли она из основного регистра и вспомогательных регистров или вне их, виды операций в рамках деятельности организации пользователя, являющиеся существенными для финансовой отчетности организации-пользователя. Это включает случаи, когда услуги обслуживающей организации влияют на то:

(i) (b) процедуры, как в системе информативных технологий (ИТ), так и при ручной обработке данных, с помощью которых такие операции организации пользователя инициируются, обобщается, обрабатываются и, по мере необходимости, корректируются, переносятся в основной регистр и отражаются в финансовой отчетности; как инициируются операции и как информация о них записывается, обрабатывается, по мере необходимости корректируется, включается в основной регистр и отражается в финансовой отчетности:

(ii) как собирается, обрабатывается и раскрывается в финансовой отчетности информация о событиях и условиях, помимо операций,

(b) (е) соответствующие данные бухгалтерского учета, как в электронной форме, так и выполненные в ручном режиме; подтверждающая информация и конкретные счета в финансовой отчетности организации пользователя и другие подтверждающие данные, относящиеся к передаче информации согласно пункта 3(a), используемые для инициирования, учета, обработки и отражения в отчетности операций организации пользователя; также к этому относится корректировка ошибочных данных и порядок переноса информации в основной регистр;

(d) -способ которым информационная система организации пользователя фиксирует события и обстоятельства, которые не являются операциями, по являются существенными для финансовой отчетности;

(се) способ, которым информационная система организации-пользователя фиксирует события и обстоятельства, которые не являются операциями, но являются существенными для финансовой отчетности, из данных, описанных в пункте 3(b), в том числе относящихся к раскрытию информации и оценочным значениям, касающихся значительных видов операций, остатков по счетах и раскрытия информации события и обстоятельства, которые не являются операциями, но являются существенными для финансовой отчетности;;

(d) ИТ-среду организации, имеющую отношение к пунктам (а) - (с) выше.

(f) --- средства контроля, связанные с бухгалтерскими записями, включая нестандартные бухгалтерские записи, применяемые для учета разовых, необычных операций или корректировок.

Цели

7. Цели аудитора организации-пользователя, когда организация-пользователь пользуется услугами обслуживающей организации, состоят в следующем:

(a) получить понимание характера и значимости услуг, предоставляемых обслуживающей организацией, и их воздействия на систему внутреннего контроля организации-пользователя, применимой для конкретного аудита и достаточной для того, чтобы обеспечить соответствующую основу для идентификации выявления и оценки рисков существенного искажения;

(b) разработать и провести аудиторские процедуры в ответ на эти риски.

Требования

Получение понимания услуг, предоставляемых обслуживающей организацией, включая систему внутреннего контроля

10. При получении понимания системы внутреннего контроля организации, применимой к конкретному аудиту, в соответствии с МСА 315 (пересмотренным, 2019 г.) аудитор организации-пользователя должен выделить средства контроля в компоненте контрольной деятельности оцепить структуру и способ реализации соответствующих средств контроля25, 26 организации-пользователя, от тех, которые относятся к услугам, предоставляемым обслуживающей организацией, включая те, которые применяются к операциям, обрабатываемым обслуживающей организацией, в также оценить их структуру и определить, были ли они реализованы27 (см. пункты А12-А14).

______________________________

25 МСА 315 (пересмотренный). пункт 12.

26 МСА 315 (пересмотренный, 2019 г.), пункт 26 (а).

27 МСА 315 (пересмотренный, 2019 г.), пункт 26(d).

11. Аудитор организации-пользователя должен определить, удалось ли получить достаточное понимание характера и значимости услуг, предоставляемых обслуживающей организацией, и их воздействия на систему внутреннего контроля организации-пользователя; связанную с проводимым аудитом, для того, чтобы обеспечить надлежащую основу для выявления и оценки рисков существенного искажения.

12. Если аудитор организации-пользователя не может получить достаточное понимание этих вопросов из информации от организации-пользователя, аудитор организации-пользователя должен получить такое понимание путем проведения одной или нескольких процедур из перечисленных ниже:

(c) посещение обслуживающей организации и выполнение процедур, которые дадут необходимую информацию о соответствующих средствах контроля в обслуживающей организации

(d) привлечение другого аудитора для выполнения процедур, которые предоставят необходимую информацию о соответствующих средствах контроля в обслуживающей организации (см. пункты А15 - А20)

Использование отчетов 1-го и 2-го типов для подтверждения понимания аудитором организации-пользователя обслуживающей организации

14. Если аудитор организации-пользователя планирует использовать отчет 1-го или 2-го типа в качестве аудиторских доказательств в подтверждение понимания аудитором организации-пользователя структуры и способа реализации средств контроля в обслуживающей организации, аудитор организации-пользователя должен:

(b) оценить достаточность и надлежащий характер доказательств, содержащихся в отчете, для понимания системы внутреннего контроля организации пользователя обслуживающей организации, применимой для конкретного аудита;

Руководство по применению и прочие пояснительные материалы

Получение понимания услуг, предоставляемых обслуживающей организацией, включая систему внутреннего контроля

Дальнейшие процедуры в случаях, когда от организации-пользователя не удается получить достаточное понимание (см. пункт 12)

А19. Для проведения процедур, в результате которых будет получена необходимая информация о соответствующих средствах контроля обслуживающей организации, связанных с услугами, предоставляемыми организации-пользователю, может привлекаться другой аудитор. Если выпущен отчет 1-го или 2-го типа, для проведения этих процедур аудитор организации-пользователя может привлечь аудитора обслуживающей организации, поскольку между аудитором обслуживающей организации и обслуживающей организацией уже установлены отношения. Аудитор организации-пользователя, когда он использует результаты работы другого аудитора, может считать полезными указания МСА 600, поскольку этот стандарт связан с пониманием работы другого аудитора (включая независимость и профессиональную компетентность этого аудитора), участием в работе другого аудитора по планированию характера, сроков и объема такой работы, а также оценкой достаточности и надлежащего характера собранных аудиторских доказательств.

Использование отчетов 1-го и 2-го типов для понимания аудитором организации-пользователя обслуживающей организации (см. пункты 13 - 14)

А22. Отчет 1-го или 2-го типа, наряду с информацией об организации-пользователе, может помочь аудитору организации-пользователя получить понимание следующих вопросов:

(a) те аспекты средств контроля обслуживающей организации, которые могут влиять на обработку операций организации-пользователя, включая использование субподрядчиков обслуживающей организации;

(b) поток значительных операций через обслуживающую организацию с целью определить области в этом потоке операций, в которых могут возникать существенные искажения в финансовой отчетности организации-пользователя;

(c) цели средств контроля обслуживающей организации, которые являются значимыми для предпосылок финансовой отчетности организации-пользователя

(d) вопроса о том, разработаны и внедрены ли надлежащим образом средства контроля обслуживающей организации для целей предотвращения или обнаружения и исправления ошибок в обработке операций, которые могут приводить к существенным искажениям в финансовой отчетности организации- пользователя.

Отчет 1-го или 2-го типа может помочь аудитору организации-пользователя в получении достаточных данных для выявления и оценки рисков существенного искажения. Однако отчет 1-го типа не содержит никаких доказательств операционной эффективности соответствующих средств контроля.

Принятие мер в ответ на оцененные риски существенного искажения

Тест средств контроля

А29. Аудитор организации-пользователя должен в соответствии со стандартом МСА 330 разработать и провести тесты средств контроля для сбора достаточных надлежащих аудиторских доказательств в отношении операционной эффективности соответствующих средств контроля в определенных обстоятельствах.

В контексте обслуживающей организации, это требование применяется, когда:

А30. Если отчет 2-го типа отсутствует, аудитор организации-пользователя может связаться с обслуживающей организацией через организацию-пользователя и запросить у аудитора обслуживающей организации подготовку отчета 2-го типа, включающего тестирование операционной эффективности соответствующих средств контроля, либо для проведения процедур в обслуживающей организации аудитор организации- пользователя может привлечь другого аудитора, который протестирует операционную эффективность этих средств контроля. Аудитор организации-пользователя может также по согласованию с обслуживающей организацией посетить ее и провести тесты соответствующих средств контроля. Оценка рисков аудитором организации-пользователя основывается на комбинации всех доказательств, полученных в результате работы другого аудитора и проведения собственных процедур аудитором организации-пользователя.

Использование отчета 2-го типа в качестве аудиторских доказательств операционной эффективности средств контроля в обслуживающей организации

А33. Аудитору организации-пользователя может также понадобиться собрать дополнительные доказательства о существенных изменениях в применяемых средствах контроля обслуживающей организации за пределами периода, охваченного отчетом 2-го типа, или определить перечень дополнительных аудиторских процедур, которые необходимо провести. Значимые факторы при определении того, какие дополнительные аудиторские доказательства необходимо получить о средствах контроля обслуживающей организации, которые действовали за пределами периода времени, охваченного отчетом аудитора обслуживающей организации, могут включать:

эффективность контрольной среды и процедуры, применяемые организацией-пользователем по мониторингу системы внутреннего контроля мониторинга средств контроля организации пользователя.

А34. Дополнительные аудиторские доказательства могут быть получены, например, за счет распространения тестов средств контроля на оставшийся период или за счет тестирования процедур, применяемые организацией-пользователем по мониторингу системы внутреннего контроля мониторинга средств контроля организации-пользователя.

А39. Аудитор организации-пользователя должен своевременно сообщать в письменной форме о значительных недостатках, выявленных в ходе аудита, как руководству, так и лицам, отвечающим за корпоративное управление. Аудитор организации-пользователя также должен своевременно сообщить руководству с соответствующим уровнем ответственности о других недостатках в системе внутреннего контроля, выявленных в ходе аудита, которые, согласно профессиональному суждению аудитора, достаточно важны, чтобы привлечь внимание руководства. Вопросы, которые аудитор организации-пользователя может выявить в ходе проводимого аудита и сообщить руководству и лицам, отвечающим за корпоративное управление, организации-пользователя, включают:

любые средства контроля, применяемые организацией-пользователем в процедурах по мониторингу системы внутреннего контроля любой мониторинг средств контроля, которые могут использоваться организацией-пользователем, в том числе выявленных по результатам отчета 1-го типа или 2-го типа;

МСА 330 "Аудиторские процедуры в ответ на оцененные риски"

Введение

(а) Сфера применения настоящего стандарта

1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по разработке и проведению процедур в отношении рисков существенного искажения, выявленных и оцененных аудитором в соответствии с МСА 315 (пересмотренным, 2019 г.)28 при проведении аудита финансовой отчетности.

______________________________

28 МСА 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения".

Дата вступления в силу

2. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 декабря 2009 года или после этой даты.

Цель

3. Цель аудитора состоит в том, чтобы получить достаточные надлежащие аудиторские доказательства в отношении оцененных рисков существенного искажения путем разработки и проведения соответствующих аудиторских процедур по таким рискам.

Определения

4. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:

(a) процедура проверки по существу - аудиторская процедура, предназначенная для выявления существенных искажений на уровне предпосылок. Процедуры проверки по существу включают:

(i) детальные тесты видов операций, остатков по счетам и раскрытия информации);

(ii) аналитические процедуры проверки по существу.

(b) тестирование средств контроля - аудиторская процедура, предназначенная для оценки операционной эффективности применения средств контроля с целью предотвращения или выявления и устранения существенных искажений на уровне предпосылок.

Требования

Аудиторские процедуры общего характера

5. Аудитор должен разработать и реализовать аудиторские процедуры общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности (см. пункты А 1-А3).

Аудиторские процедуры в ответ на оцененные риски существенного искажения на уровне предпосылок

6. Аудитор должен разработать и выполнить дальнейшие аудиторские процедуры, характер, сроки и объем которых определяется с учетом и в ответ на оцененные риски существенного искажения на уровне предпосылок подготовки финансовой отчетности (см. пункты А4-А8, А42-А52)

7. При разработке дальнейших аудиторских процедур аудитор должен:

(a) рассмотреть основания оценки риска существенного искажения на уровне предпосылок по каждому виду значительных операций, остатков по счетам и раскрытию информации, включая:

(i) вероятность и величину существенного искажения, обусловленную особенностями соответствующего значительного вида операций, остатка по счету или раскрытия информации (т. е. неотъемлемый риск); и

(ii) проверку того, учтены ли в рамках оценки риска соответствующие средства контроля меры по его снижению (т. е. риск средств контроля), что означает требование к аудитору получить аудиторские доказательства для определения того, эффективны ли эти средства контроля (т. е. при определении характера, сроков и объема процедур проверки по существу аудитор полагается на планирует тестировать операционную эффективность средств контроля) (см. пункты А9-А18);

(b) получить более убедительные доказательства в ответ на риски, оцененные аудитором как более высокие (см. пункт А19).

Тесты средства контроля

8. Аудитор должен разработать и провести тестирование средств контроля для сбора достаточных надлежащих аудиторских доказательств в отношении операционной эффективности соответствующих средств контроля, если:

(a) оценка им рисков существенного искажения на уровне предпосылок включает ожидание того, что средства контроля эффективны (т. е. аудитор намерен полагаться на планирует тестировать операционную эффективность средств контроля при определении характера, сроков и объема процедур проверки по существу); или

(b) одни лишь процедуры проверки по существу не в состоянии обеспечить получение достаточных надлежащих аудиторских доказательств на уровне предпосылок (см. пункты А20-А24).

9. При разработке и проведении тестирования средств контроля аудитор должен получить тем более убедительные аудиторские доказательства, чем в большей степени он полагается на операционную эффективность средств контроля (см. пункт А25).

Характер и объем тестирования средств контроля

10. При разработке и проведении тестирования средств контроля аудитор должен:

(a) выполнить прочие аудиторские процедуры в сочетании с опросом для того, чтобы получить аудиторские доказательства в отношении операционной эффективности средств контроля, включая выяснение:

(i) каким образом применялись средства контроля в соответствующие моменты аудируемого периода;

(ii) насколько последовательно они применялись

(iii) кем и посредством чего они применялись (см. пункты А26-А29);

(b) в той мере, в какой это еще не рассматривалось, определить, зависят ли тестируемые средства контроля от других средств контроля (косвенных средств контроля) и, если это так, надо ли получить аудиторские доказательства, подтверждающие операционную эффективность этих косвенных средств контроля (см. пункты А30-А31).

Сроки проведения тестирования средств контроля

11. В соответствии с пунктами 12 и 15 настоящего стандарта для того, чтобы надлежащим образом обосновать свое намерение полагаться на средства контроля, аудитор должен проводить тестирование средств контроля в определенный момент или в течение всего периода, в рамках которого он намерен полагаться на эти средства контроля (см. пункт А32).

Использование аудиторских доказательств, полученных в течение промежуточного периода

12. Если аудитор получает аудиторские доказательства в отношении операционной эффективности средств контроля в рамках промежуточного периода, он должен:

(a) получить аудиторские доказательства значительных изменений в данных средствах контроля, произошедших после окончания этого промежуточного периода

(b) определить, какие дополнительные аудиторские доказательства следует получить в отношении оставшегося периода (см. пункты A33-A34).

Использование аудиторских доказательств, полученных в ходе предшествующих аудиторских заданий

13. При решении вопроса о том, допустимо ли использовать аудиторские доказательства операционной эффективности средств контроля, полученные в ходе предшествующих аудиторских заданий и, если допустимо, какова должна быть продолжительность периода времени, по истечении которого следует заново провести тестирование средств контроля, аудитор должен рассмотреть:

(a) операционную эффективность прочих элементов компонентов системы внутреннего контроля организации, включая контрольную среду организации, процедуры мониторинга системы внутреннего контроля организации, а также процедуры оценки рисков в организации;

(b) риски, возникающие вследствие характерных особенностей рассматриваемого средства контроля, включая вопрос о том, является ли данное средство контроля ручным или автоматизированным;

(c) операционную эффективность общих средств контроля информационных технологий;

(d) операционную эффективность рассматриваемого средства контроля и его применения организацией, включая характер и объем отклонений при применении данного средства контроля, отмеченных в ходе предыдущего аудита, а также установление того, не было ли изменений в составе персонала, которые оказывают значительное влияние на применение данного средства контроля;

(e) вопрос о том, не создает ли дополнительных рисков отсутствие изменений в определенном средстве контроля на фоне происходящих изменений в обстоятельствах;

(f) риски существенного искажения и степень доверия к рассматриваемому средству контроля (см. пункт А35).

14. Если аудитор намерен использовать полученные в ходе предшествующего аудиторского задания аудиторские доказательства операционной эффективности конкретных средств контроля, он должен убедиться в актуальности и надежности этих доказательств путем сбора аудиторских доказательств относительно того, не произошли ли какие-либо значительные изменения в данных средствах контроля после предшествующего аудиторского задания. Аудитор должен получить эти доказательства путем проведения опроса в сочетании с наблюдением или инспектированием, чтобы подтвердить свое понимание определенных средств контроля, а также:

(a) если произошли изменения, в результате которых аудиторские доказательства, собранные в ходе предшествующего аудиторского задания, перестали быть актуальными, аудитор должен протестировать эти средства контроля в ходе текущего аудиторского задания (см. пункт А36);

(b) если таких изменений не происходило, аудитор должен тестировать эти средства контроля, по крайней мере, в ходе каждого третьего аудиторского задания, а также тестировать отдельные средства контроля в ходе каждого аудиторского задания, чтобы избежать ситуации, при которой все средства контроля, на которые он намерен полагаться, тестируются в одном периоде, и никакие средства контроля не тестируются в течение последующих двух аудируемых периодов (см. пункты А37-А39).

Средства контроля за значительными рисками

15. Если аудитор намеревается полагаться на средства контроля за тем или иным риском, который он определил как значительный, аудитор должен протестировать эти средства контроля в текущем периоде.

Оценка операционной эффективности средств контроля

16. При оценке операционной эффективности соответствующих средств контроля, на которые аудитор намерен полагаться, он должен оценить, указывают ли выявленные в ходе процедур проверки по существу искажения на неэффективность средств контроля. Отсутствие искажений, выявленных в ходе выполнения процедур проверки по существу, однако, не является аудиторским доказательством того, что относящиеся к проверяемой предпосылке средства контроля являются эффективными (см. пункт А40).

17. Если выявлены недостатки в применении средств контроля, на которые аудитор намерен полагаться, он должен сделать специальные запросы, чтобы разобраться в этих недостатках и их возможных последствиях, а также определить (см. пункт А41):

(a) обеспечивают ли выполненные тесты средств контроля надлежащее основание для того, чтобы полагаться на средства контроля;

(b) требуется ли проведение дополнительных тестов средств контроля;

(c) в ответ на возможные риски существенного искажения должны ли быть проведены процедуры проверки по существу.

Процедуры проверки по существу

18. Независимо от оцененных рисков существенного искажения аудитор должен разработать и провести процедуры проверки по существу в отношении каждого существенного вида операций, остатка по счету и раскрытия информации (см. пункты А42-А47).

19. Аудитор должен рассмотреть вопрос о том, следует ли провести в качестве аудиторских процедур проверки по существу процедуры внешнего подтверждения (см. пункты А48-А51).

Процедуры проверки по существу, относящиеся к процессу формирования финансовой отчетности

20. В состав проводимых аудитором процедур проверки по существу должны входить следующие аудиторские процедуры, относящиеся к процессу формирования финансовой отчетности:

(a) согласование или сверка информации в финансовой отчетности с первичными данными бухгалтерского учета, включая согласование или сверку раскрытия информации, когда эта информация получена как из основного регистра и вспомогательных ведомостей, так и извне;

(b) проверка существенных бухгалтерских записей и прочих корректировок, выполненных при подготовке финансовой отчетности (см. пункт А52).

Процедуры проверки по существу в ответ на значительные риски

21. Если аудитор определил, что тот или иной оцененный риск существенного искажения на уровне предпосылок является значительным, он должен провести процедуры проверки по существу, нацеленные на реагирование именно на этот риск. Когда подход к значительному риску состоит только из процедур проверки по существу, эти процедуры должны включать детальные тесты (см. пункт А53).

Сроки выполнения процедур проверки по существу

22. Если процедуры проверки по существу проводятся на промежуточную дату, аудитор должен охватить оставшийся период, выполнив:

(a) либо процедуры проверки по существу в сочетании с тестами средств контроля в отношении наступающего периода

(b) либо только последующие процедуры проверки по существу, если аудитор определит, что их достаточно, что обеспечивает разумные основания для распространения аудиторских выводов с промежуточной даты до конца периода (см. пункты А54-А57).

23. Если на промежуточную дату выявлены искажения, которых аудитор не ожидал при проведении оценки рисков существенного искажения, он должен оценить необходимость изменения соответствующей оценки риска, а также ранее планируемого характера, сроков или объема процедур проверки по существу в отношении оставшегося периода (см. пункт А58).

Адекватность представления финансовой отчетности

24. Аудитор должен провести аудиторские процедуры, чтобы оценить, соответствует ли общее представление финансовой отчетности применимой концепции подготовки финансовой отчетности. При осуществлении такой оценки аудитор должен определить, представлена ли финансовая отчетность таким образом, чтобы отражать надлежащим образом:

классификацию и описание финансовой информации и оцениваемых операций, событий и условий;

представление, структуру и содержание финансовой отчетности (см. пункт А59).

Оценка достаточности и надлежащего характера аудиторских доказательств

25. Основываясь на проведенных аудиторских процедурах и полученных аудиторских доказательствах, аудитор должен до завершения аудита определить, является ли проведенная оценка рисков существенного искажения на уровне предпосылок по-прежнему актуальной (см. пункты А60-А61).

26. Аудитор должен установить, получены ли достаточные надлежащие аудиторские доказательства. При формировании своего мнения аудитор должен принять во внимание все соответствующие аудиторские доказательства независимо от того, подтверждают ли они предпосылки в отношении финансовой отчетности или противоречат им (см. пункт А62).

27. Если аудитор не получил достаточных надлежащих аудиторских доказательств в отношении существенной соответствующей предпосылки о виде операции, статье или раскрытии информации на уровне финансовой отчетности, он должен попытаться получить дополнительные аудиторские доказательства. Если аудитор не может получить достаточные надлежащие аудиторские доказательства, он должен выразить мнение с оговоркой или отказаться от выражения мнения.

Документация

28. В аудиторской документации аудитор обязан отразить29:

______________________________

29 МСА 230 "Аудиторская документация", пункты 8 - 11 и А6.

(a) аудиторские процедуры общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности, а также характер, сроки и объем выполненных дальнейших аудиторских процедур;

(b) связь этих процедур с оцененными рисками на уровне предпосылок

(c) соответствующие результаты этих аудиторских процедур, включая выводы, если они не очевидны (см. пункт А63).

29. Если аудитор планирует использовать полученные в ходе предшествующих аудиторских заданий аудиторские доказательства операционной эффективности средств контроля, он должен включить в аудиторскую документацию свои выводы относительно того, что он полагается на средства контроля, которые тестировались в ходе предшествующего аудита.

30. Аудиторская документация должна содержать доказательства того, что информация, содержащаяся в финансовой отчетности, сверена с лежащими в ее основе данными бухгалтерского учета, включая сверку раскрытия информации, когда такая информация получена не из данных основного регистра и вспомогательных ведомостей.

Руководство по применению и прочие пояснительные материалы

Аудиторские процедуры общего характера (см. пункт 5)

А1. Аудиторские процедуры общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности могут включать:

акцентирование внимания аудиторской группы на необходимости поддерживать профессиональный скептицизм;

задействование более опытного персонала или лиц, обладающих специальными навыками, либо привлечение экспертов;

осуществление более тщательного контроля за работой менее опытных членов аудиторской группы; изменение характера, сроков и степени руководства и надзора в отношении членов аудиторской группы, а также контроль качества выполнения задания:

включение дополнительных элементов непредсказуемости при выборе дальнейших аудиторских процедур;

внесение изменений в общую стратегию аудита в соответствии с требованиями МСА 300 или в планируемые аудиторские процедуры с возможностью изменений:

определения аудитором существенности для выполнения аудиторских процедур в соответствии с МСА 320;

планов аудитора по тестированию операционной эффективности средств контроля и в отношении всеобъемлющего характера аудиторских доказательств, необходимых для обоснования планов полагаться на операционную эффективность средств контроля, особенно в случаях, когда имеются выявленные недостатки контрольной среды или действий организации по осуществлению мониторинга;

характера, сроков и объема процедур проверки по существу. Например, может быть целесообразно выполнить процедуры проверки по существу на дату финансовой отчетности или как можно ближе к ней, когда риск существенного искажения оценивается как повышенный.

внесение общих изменений в характер, сроки или объем аудиторских процедур, например; проведение процедур проверки по существу не па промежуточную дату; а в конце периода или видоизменение характера аудиторских процедур для получения более убедительных аудиторских доказательств.

А2. Оценка рисков существенного искажения на уровне финансовой отчетности и, следовательно, аудиторские процедуры общего характера зависят от понимания аудитором контрольной среды. Эффективная контрольная среда может дать аудитору более высокую степень уверенности в системе внутреннего контроля и надежности аудиторских доказательств, полученных внутри организации, и, таким образом, позволить аудитору, например, провести некоторые аудиторские процедуры на промежуточную дату, а не на конец периода. Недостатки же контрольной среды приводят к противоположным последствиям; так, например, аудитор может отреагировать на неэффективную контрольную среду:

проведением большего количества аудиторских процедур на конец периода, а не на промежуточную дату;

сбором большего объема аудиторских доказательств в результате проведения процедур проверки по существу;

увеличением количества территориальных подразделений, подлежащих аудиту.

А3. Эти факторы, таким образом, в значительной степени влияют на общий подход аудитора, обусловливая, например, акцент на процедуры проверки по существу (подход, основанный на процедурах проверки по существу), или подход, использующий как тестирование средств контроля, так и процедуры проверки по существу.

Аудиторские процедуры в ответ на оцененные риски существенного искажения на уровне предпосылок

Характер, сроки и объем дальнейших аудиторских процедур (см. пункт 6)

А4. Оценка аудитором выявленных рисков существенного искажения на уровне предпосылок создает основу для формирования надлежащего аудиторского подхода к разработке и проведению дальнейших аудиторских процедур. Например, аудитор может установить:

(a) что только выполнение тестирования средств контроля позволит ему разработать эффективный ответ на оцененный риск существенного искажения в отношении определенной предпосылки;

(b) что для определенных предпосылок окажется достаточным проведение только процедур проверки по существу и, следовательно, аудитор исключает воздействие средств контроля из оценки соответствующих рисков существенного искажения. Причиной этого может послужить то, что аудиторские процедуры оценки рисков не выявили каких-бы то ни было эффективных средств контроля, имеющих отношение к данной предпосылке, или что аудитор не выявил риск, в отношении которого одни только процедуры по существу не могут предоставить достаточных надлежащих аудиторских доказательств, и поэтому не требуется проверять операционную эффективность средств контроля, в случае, если тестирование средств контроля будет неэффективным, поэтому аудитор не будет полагаться на может не планировать тестирование операционной эффективности средств контроля при определении характера, сроков и объема процедур проверки по существу;

(c) что наиболее эффективным будет комбинированный подход, при котором применяется как тестирование средств контроля, так и процедуры проверки по существу.

Аудитору не нужно разрабатывать и проводить дальнейшие аудиторские процедуры, если оценка риска существенных искажений находится ниже приемлемо низкого уровня. Однако, в соответствии с требованиями пункта 18, независимо от выбранного подхода и оцененного риска существенных искажений аудитор разрабатывает и проводит процедуры проверки по существу в отношении каждого существенного вида операций, остатка по счету и раскрытия информации.

А5. Под характером аудиторской процедуры понимается ее назначение (то есть тестирование средств контроля или процедура проверки по существу) и ее вид (то есть инспектирование, наблюдение, опрос, подтверждение, пересчет, повторное применение средства контроля или аналитическая процедура). Характер аудиторских процедур наиболее важен при реагировании на оцененные риски.

А6. Под сроками проведения аудиторской процедуры понимается момент ее проведения, а также период или дата, к которым применимы соответствующие аудиторские доказательства.

А7. Под объемом аудиторской процедуры понимается количество действий, которые надо выполнить, например размер выборки или количество наблюдений за тем или иным контрольным действием средством контроля.

А8. Разработка и проведение дальнейших аудиторских процедур, характер, сроки проведения и объем которых основаны на оцененных рисках и соответствуют оцененным рискам существенного искажения на уровне предпосылок, обеспечивают четкую связь между дальнейшими аудиторскими процедурами и оценкой рисков.

Процедуры в ответ на оцененные риски на уровне предпосылок подготовки финансовой отчетности (см. пункт 7(a))

Характер

А9. МСА 315 (пересмотренный, 2019 г.) требует, чтобы аудиторская оценка рисков существенного искажения на уровне предпосылок проводилась путем оценки неотъемлемого риска и риска контроля.

Аудитор оценивает неотъемлемый риск путем оценки вероятности и величины искажения с учетом того, как и в какой степени присущие этому риску факторы влияют на подверженность искажению соответствующих предпосылок30. Оцененные аудитором риски, в том числе причины этих оцененных рисков, могут влиять как на виды проводимых аудиторских процедур, так и на их сочетание. Например, когда выявленный риск высок, аудитор может подтвердить у контрагента полноту изложения условий договора, не ограничиваясь инспектированием этого документа. Кроме того, определенные аудиторские процедуры могут оказаться более подходящими для одних предпосылок, чем для других. Например, наиболее приемлемыми процедурами в ответ на оцененный риск существенного искажения выручки в части предпосылки ее полноты может оказаться тестирование средств контроля, в то время как в отношении оцененного риска существенного искажения предпосылки наличия выручки наиболее приемлемыми могут оказаться процедуры проверки по существу.

______________________________

30 МСА 315 (пересмотренный, 2019 г.), пункты 31 и 34.

А10. При определении характера аудиторских процедур имеют значение причины той или иной оценки риска. Например, если тот или иной риск оценивается как низкий по причине определенных особенностей какого-либо вида операций без учета соответствующих средств контроля, тогда аудитор может решить, что для сбора достаточных надлежащих аудиторских доказательств можно провести только аналитические процедуры. Однако, если этот риск оценивается как низкий из-за влияния средств внутреннего контроля и аудитор планирует тестировать операционную эффективность средств контроля и намеревается выполнять процедуры проверки по существу на основе этой низкой оценки, тогда аудитор должен провести тестирование таких средств контроля, как это требуется в соответствии с пунктом 8(a). Это может иметь место, например, в отношении достаточно однородных и несложных операций, которые регулярно обрабатываются и контролируются информационной системой организации.

Сроки

A11. Аудитор может провести тестирование средств контроля или процедуры проверки по существу на промежуточную дату или на конец периода. Чем выше риск существенного искажения, тем больше вероятность того, что аудитор может решить, что более эффективно выполнить процедуры проверки по существу ближе к концу или в конце периода, а не на более раннюю дату, или провести аудиторские процедуры, не объявив об этом заранее, или в непредсказуемые даты (например, провести аудиторские процедуры в отдельных выбранных территориальных подразделениях без предварительного уведомления). Это особенно применимо при проведении процедур в ответ на риски недобросовестных действий. Например, аудитор может прийти к выводу, что если выявлены риски умышленного искажения или манипуляции, то аудиторские процедуры по распространению аудиторских выводов с промежуточного периода на конец периода окажутся неэффективными.

А12. Проведение аудиторских процедур до завершения периода может помочь аудитору выявить значительные проблемы на раннем этапе аудита и, таким образом, разрешить их при содействии руководства или разработать эффективный аудиторский подход в отношении этих проблем.

А13. Кроме того, некоторые аудиторские процедуры могут проводиться только в конце периода или по его завершении, например:

согласование или сверка информации в финансовой отчетности с первичными данными бухгалтерского учета, включая согласование или сверку раскрытия информации, с соответствующими данными бухгалтерского учета, когда такая информация получена из или извне основного регистра и вспомогательных ведомостей;

исследование корректировок, сделанных в ходе подготовки финансовой отчетности;

процедуры в ответ на риск того, что в конце периода организация может заключить недействительные договоры купли-продажи или что операции могут оказаться незавершенными.

А14. Другие важные факторы, влияющие на решение аудитора в отношении того, когда проводить аудиторские процедуры, включают следующее:

Контрольная среда.

время, когда становится доступной необходимая информация (например, электронные файлы впоследствии могут оказаться перезаписанными или процедуры, требующие наблюдения, могут проводиться только в определенное время);

характер риска (например, если существует риск завышения показателей выручки для достижения ожидаемых показателей прибыли путем последующей фабрикации поддельных договоров купли-продажи, аудитор может принять решение изучить договоры, имеющиеся на дату окончания периода);

период или дата, к которым относятся аудиторские доказательства;

сроки подготовки финансовой отчетности, особенно для такого раскрытия информации, которое более подробно разъясняет суммы, отраженные в отчете о финансовом положении, отчете о совокупном доходе, отчете об изменениях в капитале, отчете о движении денежных средств.

Объем

А15. Необходимый, по мнению аудитора, объем аудиторской процедуры, определяется с учетом анализа существенности, оцененного риска и той степени уверенности, которую аудитор планирует получить. Когда для достижения одной цели применяется сочетание процедур, объем каждой процедуры рассматривается отдельно. Обычно объем аудиторских процедур увеличивается по мере повышения риска существенного искажения. Например, в ответ на оцененный риск существенного искажения вследствие недобросовестных действий может оказаться целесообразным увеличение размеров выборки или проведение аналитических процедур по существу с большей степенью детализации. Однако увеличение объема аудиторской процедуры будет эффективным лишь в том случае, когда эта процедура отвечает на конкретный риск.

А16. Применение автоматизированных способов аудита (СААТ) может позволить проводить тестирование большего объема электронных операций и учетных файлов, что может оказаться полезным, когда аудитор принимает решение пересмотреть объем тестирования, например, в ответ на риски существенного искажения вследствие недобросовестных действий. Эти способы могут применяться для выбора отдельных операций из ключевых электронных файлов, для сортировки операций по тем или иным признакам или для тестирования всей генеральной совокупности, а не только выборки.

Особенности организаций государственного сектора

А17. При проведении аудита организаций государственного сектора на определение характера, сроков и объема дальнейших аудиторских процедур могут оказывать влияние условия задания на проведение аудита и прочие специальные требования к проведению аудита.

Особенности малых организаций

А18. В совсем небольших организациях может существовать немного контрольных процедур средств контроля, которые аудитор мог бы идентифицировать, либо степень, до которой их наличие и проведение задокументированы организацией, может оказаться ограниченной.

В таких случаях наиболее эффективным будет проведение аудитором дальнейших аудиторских процедур, являющихся в основном процедурами проверки по существу. Тем не менее в некоторых редких случаях отсутствие контрольных процедур средств контроля или прочих компонентов контроля может не позволить получить достаточные надлежащие аудиторские доказательства.

Высокая оценка риска (см. пункт 7(b))

А19. При получении более убедительных аудиторских доказательств вследствие высокой оценки риска аудитор может увеличить количество доказательств или получить более уместные или надежные доказательства, например, уделяя больше внимания получению доказательств от третьих лиц или подтверждающих данных из нескольких независимых источников.

Тесты средства контроля

Разработка и проведение тестирования средств контроля (см. пункт 8)

А20. Тестирование средств контроля проводятся лишь в отношении тех средств контроля, которые аудитор определил как разработанные надлежащим образом с целью предотвращения или выявления и исправления существенного искажения той или иной соответствующей предпосылки, и аудитор планирует тестировать эти средств контроля. Если в течение аудируемого периода в разное время использовались значительно отличающиеся друг от друга средства контроля, следует проанализировать каждое средство контроля отдельно.

А21. Тестирование операционной эффективности средств контроля отличается от получения понимания и оценки разработки и внедрения средств контроля. Тем не менее, в этих случаях применяются одни и те же виды аудиторских процедур. Аудитор может, таким образом, решить, что целесообразнее будет тестировать операционную эффективность средств контроля одновременно с оценкой их структуры и установлением факта их внедрения.

А22. Кроме того, хотя некоторые процедуры оценки рисков могли не разрабатываться специально для тестирования средств контроля, они, тем не менее, могут предоставить аудиторские доказательства об операционной эффективности этих средств контроля и в силу этого обстоятельства могут служить для тестирования средств контроля. Например, аудиторские процедуры оценки рисков могли включать:

запросы о том, как руководство использовало бюджеты;

изучение подготовленного руководством сопоставления ежемесячных плановых и фактических расходов;

проверку отчетов, касающихся исследования расхождений между плановыми и фактическими показателями.

Эти аудиторские процедуры дают информацию о разработанной организацией бюджетной политике и о том, была ли она внедрена, но также могут предоставить аудиторские доказательства эффективности применения бюджетной политики для предотвращения или выявления существенных искажений в классификации затрат.

А23. Кроме того, аудитор может разработать тест средств контроля, который должен выполняться одновременно с детальными тестами по одной и той же операции. Несмотря на то, что цель тестирования средств контроля отличается от цели детального теста, оба они могут применяться одновременно путем проведения тестирования средств контроля и детального теста одной и той же операции, что также называется тестом двойного назначения. Например, аудитор может разработать тест выставленного счета с целью установления факта его утверждения и получения аудиторских доказательств операции по существу, а также оценить результаты этого теста. При разработке и оценке теста двойного назначения каждая из целей анализируется отдельно.

А24.

В некоторых случаях аудитор может счесть невозможной разработку таких эффективных процедур проверки по существу, которые сами по себе обеспечивают достаточные надлежащие аудиторские доказательства на уровне предпосылок31. Это может происходить, когда организация в своей деятельности использует информационные технологии и никакие документы по операциям не оформляются и не хранятся, кроме содержащихся в ИТ-системе. В таких случаях пункт 8(b) требует от аудитора провести тестирование соответствующих средств контроля в ответ на риски, по которым только процедуры проверки по существу не могут обеспечить достаточные надлежащие аудиторские доказательства.

______________________________

31 МСА 315 (пересмотренный, 2019 г.), пункт 33.

Зависимость объема аудиторских доказательств эффективности средств контроля от степени, в которой аудитор намеревается на них полагаться (см. пункт 9)

А25. Когда принятый подход состоит преимущественно из тестирования средств контроля, может потребоваться более высокая степень уверенности в отношении операционной эффективности средств контроля, в особенности в тех случаях, когда получить достаточные надлежащие аудиторские доказательства только в результате процедур проверки по существу невозможно или практически нецелесообразно.

Характер и объем тестирования средств контроля

Прочие аудиторские процедуры в сочетании с опросом (см. пункт 10(a))

А26. Использование одного только опроса недостаточно для тестирования операционной эффективности средств контроля. Следовательно, в сочетании с опросом проводятся прочие аудиторские процедуры. В этом отношении опрос в сочетании с инспектированием или повторным применением процедуры может дать больше уверенности, чем опрос и наблюдение, поскольку наблюдение подтверждает только то, что происходит в момент его проведения.

А27. Характер того или иного средства контроля влияет на тип процедуры, необходимой для получения аудиторских доказательств операционной эффективности этого средства контроля. Например, если операционная эффективность подтверждается документами, аудитор может решить изучить такие документы, чтобы получить аудиторские доказательства операционной эффективности. Однако в отношении других средств контроля документы могут отсутствовать или быть неуместными. Например, могут отсутствовать документы по функционированию отдельных элементов контрольной среды, таких как распределение полномочий, или по определенным видам контрольных процедур средств контроля, в частности контрольных процедур, выполняемых компьютером автоматизированных средств контроля. В таких обстоятельствах аудиторские доказательства операционной эффективности могут быть получены посредством проведения опросов в сочетании с другими аудиторскими процедурами, например наблюдением или использованием автоматизированных способов аудита.

Объем тестирования средств контроля

А28. Когда необходимы более убедительные аудиторские доказательства в отношении операционной эффективности того или иного средства контроля, может оказаться целесообразным увеличить объем тестирования такого средства контроля. Помимо степени, в которой аудитор планирует полагаться на средства контроля, при определении объема тестирования средств контроля он может рассмотреть следующие факторы:

частота применения организацией данного средства контроля в течение периода;

длительность промежутка времени в ходе аудита, в течение которого аудитор полагается на операционную эффективность данного средства контроля;

ожидаемая частота некорректного функционирования средства контроля;

уместность и надежность аудиторских доказательств, которые необходимо получить в отношении операционной эффективности данного средства контроля на уровне предпосылок;

объем аудиторских доказательств, полученных в отношении той же предпосылки путем тестирования других средств контроля.

МСА 530.32 содержит дополнительные рекомендации в отношении объема тестирования.

______________________________

32 МСА 530 "Аудиторская выборка".

А29. Вследствие более высокой надежности обработки данных средствами ИТ, может не потребоваться увеличение объема тестирования автоматизированных средств контроля. Можно ожидать, что автоматизированное средство контроля будет работать последовательно, если только программа ИТ-приложение (включая таблицы, файлы или прочие постоянные данные, используемые программой ИТ-приложением) не будет изменено. Если аудитор установил, что автоматизированное средство контроля работает должным образом (в момент внедрения средства контроля или на иную дату), он может рассмотреть вопрос о проведении тестирования для определения того, что данное средство контроля продолжает работать эффективно. Такое тестирование может включать тестирование общих средств контроля информационных технологий, связанных с ИТ-приложением, определение того, что:

никакие изменения не вносятся в программу без применения по отношению к ним надлежащих средств контроля за изменения программы;

для обработки операций используется авторизованная версия программы;

иные соответствующие общие средства контроля являются эффективными.

Такое тестирование также может включать определение того, что никакие изменения в программы не вносились, что обычно происходит, когда организация пользуется пакетным программным обеспечением, не модифицируя или не поддерживая его. Например, аудитор может проверить записи администратора, отвечающего за безопасность ИТ; чтобы получить аудиторские доказательства отсутствия несанкционированного доступа в течение определенного периода.

А29а. Аудитор также может выполнить тесты средств контроля в ответ на риски существенного искажения в отношении целостности данных организации или полноты и точности отчетов, сформированных системой, или в ответ на риски существенного искажения, для которых процедуры проверки по существу в отдельности не могут обеспечить достаточные надлежащие аудиторские доказательства. Такие тесты средств контроля могут включать тесты общих средств ИТ-контроля, которые направлены на решение вопросов, указанных в пункте 10(a). В этом случае аудитору может не потребоваться выполнение последующего тестирования для получения аудиторских доказательств в отношении вопросов, указанных в пункте 10(a).

А29b. Когда аудитор определяет, что общие средства ИТ-контроля являются недостаточными, он может рассмотреть характер соответствующего риска или рисков, возникающих вследствие использования ИТ. которые были выявлены в соответствии с МСА 315 (пересмотренным. 2019 г.)33, чтобы обеспечить основу для разработки дополнительных процедур аудитора в ответ на оцененный риск существенного искажения. Такие процедуры могут относиться к определению того:

______________________________

33 МСА 315 (пересмотренный, 2019 г.), пункт 26(c)(i).

возник ли соответствующий риск или риски, связанные с использованием ИТ.

Например, если пользователи имеют несанкционированный доступ к ИТ-приложению (но не могут получить доступ к системным журналам, в которых отслеживается доступ, или внести в них изменения), аудитор может провести инспектирование системных журналов, чтобы получить аудиторские доказательства того, что эти пользователи не использовали доступ к ИТ-приложению в течение периода:

имеются ли резервные или дублирующие общие средства ИТ-контроля или иные средства контроля, которые реагируют на соответствующий риск или риски, возникающие вследствие использования ИТ. Если это так, аудитор может выявить такие средства контроля (если они уже не выявлены) и. следовательно, оценить их структуру, определить факт их внедрения и провести тестирование их операционной эффективности. Например, если общее средство ИТ-контроля. относящееся к пользовательскому доступу, является недостаточным, организация может иметь резервное средство контроля, предусматривающее своевременное проведение руководством ИТ-отдела проверок отчетов о доступе конечных пользователей. Обстоятельства, когда прикладное средство контроля может рассматриваться отвечающим на риск, возникающий в результате его использования, могут относится к ситуации, когда информация, которая может быть затронута общим недостатками ИТ-контроля. может быть сверена с внешними источниками (например, банковская выписка) или внутренними источниками, не затронутыми таким общим недостатком ИТ-контроля (например, отдельное ИТ-приложение или источник данных).

Тестирование косвенных средств контроля (см. пункт 10(b))

А30. В некоторых случаях может оказаться необходимым получить аудиторские доказательства, подтверждающие операционную эффективность косвенных средств контроля (например, общих средств ИТ-контроля). Как указано в пунктах А29 и А29b, общие средства ИТ-контроля могли быть выявлены в соответствии с МСА 315 (пересмотренным, 2019 г.), так как они поддерживают операционную эффективность автоматизированных средств контроля или обеспечение целостности информации, используемой при составлении финансовой отчетности организации, включая отчеты, сформированные системой. Требование, изложенное в пункте 10(b), подтверждает, что аудитор мог уже протестировать некоторые косвенные средства контроля при рассмотрении вопросов, указанных в пункте 10(a). Например, при тестировании эффективности пользовательской проверки отчетов об отклонениях, содержащих перечень продаж, по которым был превышен кредитный лимит, такая пользовательская проверка и связанные с ней корректирующие действия представляют собой средство контроля, имеющее непосредственное значение для аудитора. Средства контроля за точностью информации, содержащейся в отчетах (например, общие средства контроля информационных технологий), квалифицируются как средства косвенного контроля.

А31. Вследствие более высокой надежности обработки данных средствами ИТ, аудиторские доказательства в отношении применения автоматизированных прикладных средств контроля при их рассмотрении в сочетании с аудиторскими доказательствами в отношении операционной эффективности общих средств контроля организации (в частности, средств контроля за внесением изменений) также могут давать весомые аудиторские доказательства их операционной эффективности;

Сроки проведения тестирования средств контроля

Период, в течение которого аудитор намерен полагаться на средства контроля (см. пункт 11)

А32.

Аудиторские доказательства, относящиеся лишь к определенному моменту времени, могут быть достаточны для целей аудитора, например, при тестировании средств контроля за инвентаризацией в конце отчетного периода. Если же аудитор намерен полагаться на какое-либо средство контроля в течение определенного периода времени, целесообразно провести тестирование, способное дать аудиторские доказательства операционной эффективности применения данного средства контроля в соответствующие моменты на протяжении данного периода. Такое тестирование средств контроля может включать тестирование процедур мониторинга внутренних средств контроля организации.

Использование аудиторских доказательств, полученных в течение промежуточного периода (см. пункт 12(b))

А33. Факторы, имеющие отношение к определению того, какие дополнительные аудиторские доказательства необходимо получить в отношении средств контроля, которые работали в течение времени после промежуточного периода, включают:

значительность оцененных рисков существенного искажения на уровне предпосылок;

конкретные средства контроля, которые тестировались в течение промежуточного периода, и значительные изменения в них,

имевшие место после тестирования, включая изменения в информационной системе, процессах и персонале;

меру, в которой были получены аудиторские доказательства в отношении операционной эффективности этих средств контроля;

продолжительность оставшегося периода;

степень, до которой аудитор намерен сократить объем последующих процедур проверки по существу на основании надежности средств контроля;

контрольную среду;

А34. Дополнительные аудиторские доказательства могут быть получены, например, за счет распространения результатов тестирования средств контроля на оставшийся период или за счет тестирования мониторинга средств контроля организацией.

Использование аудиторских доказательств, полученных в ходе предшествующих аудиторских заданий (см. пункт 13)

А35. В определенных обстоятельствах полученные в ходе предшествующих аудиторских заданий аудиторские доказательства могут являться аудиторскими доказательствами при проведении аудитором аудиторских процедур по определению актуальности и надежности таких доказательств. Например, при проведении предшествующего аудиторского задания аудитор мог установить, что автоматизированные средства контроля работают должным образом. Аудитор может получить аудиторские доказательства того, были ли внесены какие-либо изменения в эти автоматизированные средства контроля, которые влияют на их эффективное функционирование, путем, например, проведения опроса руководства организации и путем проверки журналов регистрации доступа, чтобы определить, в какие средства контроля были внесены изменения. Рассмотрение аудиторских доказательств, касающихся таких изменений, может свидетельствовать о необходимости как увеличения, так и уменьшения предполагаемого объема аудиторских доказательств операционной эффективности таких средств контроля, которые необходимо получить в текущем периоде.

Средства контроля, изменившиеся после предшествующих аудиторских заданий (см. пункт 14(a))

А36. Изменения, которые могут повлиять на уместность и надежность аудиторских доказательств, полученных в ходе выполнения предыдущих аудиторских заданий, не могут рассматриваться в качестве оснований для надежности аудиторских доказательств в дальнейшем.

Например, изменения в системе, позволяющие организации получать новый отчет, генерируемый системой, вероятно, не затрагивают актуальность аудиторских доказательств предшествующего аудита, однако изменение способов сбора и обработки данных, несомненно, затрагивает ее.

Средства контроля, не изменившиеся после предшествующих аудиторских заданий (см. пункт 14(b))

А37. Решение аудитора о том, полагаться ли на аудиторские доказательства, полученные в ходе предшествующих аудиторских заданий, в отношении средств контроля, которые:

(a) не изменились с момента их последнего тестирования

(b) не являются средствами контроля, предназначенными для снижения значительного риска, составляет предмет профессионального суждения. Кроме того, продолжительность времени между повторными тестами таких средств контроля также является предметом профессионального суждения, однако, в соответствии с пунктом 14 (b), они должны проводиться не реже одного раза в три года.

А38. Обычно чем выше риск существенного искажения или чем больше аудитор полагается на средства контроля, тем короче должен быть этот промежуток времени, если он имеется. Факторы, которые могут сократить период между повторными тестами средств контроля, или привести к полному отказу от использования аудиторских доказательств, полученных в ходе выполнения предшествующих аудиторских заданий, включают:

несовершенство контрольной среды;

недостатки процесса мониторинга системы внутреннего контроля организации.

значительную долю ручных операций в применимых средствах контроля;

кадровые изменения или изменения в составе персонала, существенно влияющие на применение средства контроля;

изменения в обстоятельствах, свидетельствующие о необходимости изменений в средстве контроля;

несовершенство основных средств контроля ИТ.

А39. Если есть целый ряд средств контроля, в отношении которых аудитор намерен полагаться на аудиторские доказательства, полученные в ходе предыдущего аудита, тестирование некоторых из этих средств контроля в ходе проведения каждого аудита дает подтверждающую информацию относительно сохранения операционной эффективности контрольной среды. Это помогает аудитору решить, нужно ли полагаться на аудиторские доказательства, полученные в ходе предшествующих аудиторских заданий.

Оценка операционной эффективности средств контроля (см. пункты 16 - 17)

А40. Существенное искажение, выявленное в ходе аудиторских процедур, однозначно свидетельствует о существовании значительных недостатков в системе внутреннего контроля.

А41. Понятие операционной эффективности средств контроля учитывает возможность возникновения некоторых отклонений в ходе их применения организацией. Отклонения от предписанных средств контроля могут быть вызваны такими факторами, как изменения в составе ключевого персонала, значительные сезонные колебания в объеме операций и человеческий фактор. Выявленный уровень отклонения, особенно в сравнении с ожидаемым уровнем, может указывать на невозможность полагаться на данное средство контроля для снижения риска на уровне предпосылок до оцененного аудитором уровня.

Процедуры проверки по существу (см. пункты 6, 18)

А42. Пункт 18 требует от аудитора разработать и провести процедуры проверки по существу в отношении каждого существенного вида операций, остатка по счету и раскрытия информации, независимо от оцененных рисков существенного искажения.

В отношении значительных видов операций, остатков по счетам и раскрытия информации процедуры проверки по существу могут уже быть выполнены, так как пункт 6 требует, чтобы аудитор разрабатывал и выполнял дальнейшие аудиторские процедуры в ответ на оцененные риски существенного искажения на уровне предпосылок. Следовательно, процедуры проверки по существу должны разрабатываться и выполняться в соответствии с пунктом 18:

в тех случаях, когда дальнейшие аудиторские процедуры в отношении значительных видов операций, остатков по счетам или раскрытия информации, разработанные и выполненные в соответствии с пунктом 6, не включали процедуры проверки по существу, или

для каждого вида операций, остатка по счету или раскрытия информации, которые не являются значительным видом операций, остатком по счету или раскрытием информации, но были определены как существенные в соответствии с МСА 315 (пересмотренным, 2019 г.)34.

______________________________

34 МСА 315 (пересмотренный, 2019 г.), пункт 36.

Это требование отражает тот факт, что: (а) оценка аудитором рисков существенного искажения основана на профессиональном суждении и, таким образом, не может выявить все риски существенного искажения; (b) существуют неотъемлемые ограничения системы внутреннего контроля, включая возможность ее обхода руководством.

А42а. Тестирование требуется не для всех предпосылок в отношении существенного вида операций, остатка по счету или раскрытия информации. Скорее, при разработке выполняемых процедур проверки по существу рассмотрение аудитором предпосылки или предпосылок, для которых имелась бы обоснованная возможность существенности искажения в случае, если бы таковое произошло, может помочь в определении надлежащего характера, сроков и объема выполняемых процедур.

Характер и объем процедур проверки по существу

А43. В зависимости от обстоятельств, аудитор может определить, что:

выполнения лишь аналитических процедур проверки по существу будет достаточно для снижения аудиторского риска до приемлемо низкого уровня. Например, когда оценка риска аудитором подтверждается аудиторским доказательством, полученным в результате тестирования средств контроля;

надлежащий характер будет носить только применение детальных тестов;

наиболее подходящим ответом на оцененные риски будет сочетание аналитических процедур проверки по существу с детальными тестами.

А44. В целом аналитические процедуры проверки по существу чаще всего проводятся применительно к большим объемам операций, поддающихся перспективному прогнозированию. МСА 520.35 устанавливает требования и содержит рекомендации по применению аналитических процедур в ходе проведения аудита.

______________________________

35 МСА 520 "Аналитические процедуры".

А45. При разработке детальных тестов важное значение имеет оценка характер риска и характер предпосылки. Например, с одной стороны, детальные тесты, связанные с предпосылками существования или наличия, могут предполагать выборку из статей, входящих в ту или иную сумму финансовой отчетности, и сбор соответствующих аудиторских доказательств. С другой стороны, детальные тесты, связанные с предпосылкой полноты, могут предполагать выборку элементов, которые должны быть включены в соответствующую сумму, представляемую в финансовой отчетности, и исследование того, были ли они включены.

А46.

Поскольку при оценке риска существенного искажения принимается во внимание система внутреннего контроля, которую аудитор планирует тестировать, может возникнуть необходимость увеличить объем процедур проверки по существу в тех случаях, когда получены неудовлетворительные результаты тестов средств контроля. Однако увеличение объема аудиторской процедуры будет носить надлежащий характер лишь в том случае, когда аудиторская процедура применима к конкретному риску.

А47. При разработке детальных тестов объем тестирования, как правило, представлен в виде размера выборки. Однако имеют значение и другие вопросы, в частности, является ли более эффективным использование других методов выборки для тестирования (см. МСА 500).36

______________________________

36 МСА 500 "Аудиторские доказательства", пункт 10.

Рассмотрение вопроса о необходимости проведения процедур внешнего подтверждения (см. пункт 19)

А48. Процедуры внешнего подтверждения во многих случаях являются уместными при рассмотрении предпосылок, связанных с остатками по счетам и их элементами, однако они не обязательно ограничиваются только этими статьями. Например, аудитор может запросить внешнее подтверждение условий соглашений, договоров или сделок между организацией и другими сторонами. Процедуры внешнего подтверждения также могут проводиться для получения аудиторских доказательств отсутствия определенных условий. Например, запрос может содержать просьбу о подтверждении факта отсутствия дополнительных соглашений, которые могут иметь отношение к предпосылкам закрытия периода по признанию выручки организации. Процедуры внешнего подтверждения могут предоставить уместные аудиторские доказательства в ответ на оцененные риски существенного искажения в ряде случаев, включая подтверждение:

остатков по банковским счетам и прочей информации, связанной с взаимоотношениями с банками;

остатков по счетам дебиторской задолженности и сроков ее погашения;

запасов, хранящихся на таможенных складах третьих лиц, предоставленных для переработки или реализации;

наличия правоустанавливающих документов о праве собственности на имущество, находящихся на ответственном хранении или в качестве залогового обеспечения у юристов или финансистов;

инвестиций, находящихся на ответственном хранении у третьих лиц, или купленных у биржевых брокеров, но не доставленных на отчетную дату;

сумм к оплате заимодавцам, включая соответствующие условия погашения и ограничительные условия;

остатков по счетам кредиторской задолженности и сроков ее погашения.

А49. Несмотря на то, что внешние подтверждения могут предоставить уместные аудиторские доказательства определенных предпосылок, существуют такие предпосылки, по которым внешние подтверждения дают менее уместные аудиторские доказательства. Например, внешние подтверждения дают менее уместные аудиторские доказательства вероятности взыскания дебиторской задолженности, чем ее наличия.

А50. Аудитор может определить, что процедуры внешнего подтверждения, выполняемые с одной целью, дают возможность получить аудиторские доказательства в отношении других вопросов. Например, запросы о предоставлении подтверждения остатков на счетах в банках часто включают запрос о предоставлении информации, имеющей отношение и к другим предпосылкам финансовой отчетности. Такие соображения могут повлиять на решение аудитора о том, следует ли проводить процедуры внешнего подтверждения.

А51. Факторы, которые могут помочь аудитору при определении того, следует ли выполнять процедуры внешнего подтверждения в качестве аудиторских процедур проверки по существу:

осведомленность подтверждающей стороны о предмете задания - ответы могут быть более надежными, если они предоставлены тем лицом подтверждающей стороны, которое надлежащим образом осведомлено о подтверждаемой информации;

способность или желание предполагаемой подтверждающей стороны дать ответ. Так, например, подтверждающая сторона:

может не принять на себя ответственность за ответ на запрос о подтверждении;

может счесть подготовку ответа излишне затратной или отнимающей много времени;

может иметь опасения относительно потенциальной юридической ответственности, которая может возникнуть в связи с предоставлением ответа;

может вести учет операций в других валютах;

может вести свою деятельность в среде, в которой ответы на запросы о подтверждении не являются значительным аспектом повседневной деятельности.

В таких ситуациях подтверждающая сторона может не ответить, или может ответить в неофициальной манере, или может попытаться ограничить уверенность в ответе;

объективность предполагаемой подтверждающей стороны - если подтверждающая сторона является связанной стороной организации, ее ответы на запросы о подтверждении могут быть менее надежны.

Процедуры проверки по существу, относящиеся к процессу закрытия финансовой отчетности (см. пункт 20)

А52. Характер, а также объем изучения аудитором основных процедур, относящихся к процессу формирования финансовой отчетности зависят от характера и сложности процесса подготовки финансовой отчетности организации и соответствующих рисков существенного искажения.

Процедуры проверки по существу в ответ на значительные риски (см. пункт 21)

А53. Пункт 21 настоящего стандарта требует от аудитора проводить процедуры проверки по существу, относящиеся именно к тем рискам, которые аудитор определил как значительные. Аудиторские доказательства в форме внешнего подтверждения, полученные аудитором непосредственно от соответствующего подтверждающего лица, могут помочь аудитору в получении аудиторских доказательств высокого уровня надежности, необходимых ему для принятия мер в ответ на значительные риски существенного искажения как по причине недобросовестных действий, так и вследствие ошибки. Например, если аудитор выявляет, что руководство находится под давлением с целью достижения ожидаемого показателя прибыльности, может иметь место связанный с этим риск того, что руководство завышает показатели продаж путем ненадлежащего признания выручки, относящейся к договорам купли-продажи, условия которых исключают признание выручки, или путем выставления счетов, не дожидаясь поставки. В этих обстоятельствах аудитор может, например, разработать процедуры внешнего подтверждения не только с целью подтвердить суммы задолженности, но также и условия договоров купли-продажи, включая дату, наличие прав возврата и условия поставки. Кроме того, аудитор может счесть эффективным дополнить такие процедуры внешнего подтверждения направлением запросов персоналу организации, не связанному с финансами, в отношении любых изменений в договорах купли-продажи и условиях поставки.

Сроки выполнения процедур проверки по существу (см. пункты 22 - 23)

А54. В большинстве случаев аудиторские доказательства в результате процедур проверки по существу в ходе предшествующего аудита не предоставляют достаточных аудиторских доказательств в отчетном периоде. Существуют, однако, и исключения: например, полученное в ходе предшествующего аудита юридическое заключение, относящееся к структуре секьюритизации, которая осталась неизменной, может оказаться актуальным и в текущем периоде.

В таких случаях может оказаться правильным воспользоваться аудиторскими доказательствами, полученными в результате выполнения процедур проверки по существу в ходе предшествующего аудита, если данные доказательства и соответствующий предмет задания не претерпели коренных изменений, а в течение текущего периода были выполнены аудиторские процедуры с целью подтверждения актуальности этих доказательств.

Использование аудиторских доказательств, полученных в течение промежуточного периода (см. пункт 22)

А55. В некоторых обстоятельствах аудитор может определить, что более эффективным будет провести процедуры проверки по существу на промежуточную дату, а также выполнить сравнение и выверку данных об остатках по состоянию на конец периода с сопоставимыми данными по состоянию на промежуточную дату с целью:

(a) выявить суммы, которые представляются необычными;

(b) исследовать все такие суммы

(c) провести аналитические процедуры проверки по существу или детальные тесты с целью проверки промежуточного периода.

А56. Проведение процедур проверки по существу на промежуточную дату без проведения дополнительных процедур на более позднюю дату увеличивает риск того, что аудитор не выявит искажения, которые могут иметь место на конец периода. Этот риск увеличивается с увеличением длительности оставшегося периода. На решение о необходимости выполнения процедур проверки по существу на промежуточную дату могут оказать влияние следующие факторы:

контрольная среда и прочие соответствующие средства контроля;

доступность в более поздние сроки информации, необходимой для выполнения аудиторских процедур;

назначение процедуры проверки по существу;

оцененный риск существенного искажения;

характер вида операций или остатка по счету и соответствующих предпосылок;

способность аудитора провести надлежащие процедуры проверки по существу или процедуры проверки по существу в сочетании с тестами средств контроля, охватывающие оставшийся период, с целью снизить риск невыявления искажений, которые могут существовать на конец периода.

А57. На решение о том, выполнять ли аналитические процедуры проверки по существу в отношении периода между промежуточной датой и датой окончания периода, могут оказать влияние следующие соображения:

можно ли обоснованно спрогнозировать остатки на конец периода для определенных видов операций или остатков по счетам в отношении сумм, их сравнительной значимости и структуры;

являются ли надлежащими процедуры организации по анализу и корректированию таких видов операций или остатков по счетам на промежуточные даты, а также процедуры по закрытию периодов;

обеспечит ли информационная система, связанная с финансовой отчетностью, предоставление таких данных об остатках по счетам на конец периода и операциях, которые были бы достаточны, чтобы позволить аудитору исследовать следующие вопросы:

(a) значимые необычные операции или записи (включая те, что имеют место на конец периода или незадолго до конца периода);

(b) другие причины существенных колебаний или ожидаемых колебаний, которые не состоялись

(c) изменения в составе видов операций или остатков по счетам.

Искажения, выявленные на промежуточную дату (см. пункт 23)

А58. Когда аудитор приходит к заключению, что запланированный характер, сроки выполнения и объем процедур проверки по существу, охватывающих оставшийся период, должны быть пересмотрены с учетом неожиданных искажений, выявленных на промежуточную дату, такой пересмотр может включать расширение процедур, выполненных на промежуточную дату, или их повторное проведение на конец периода.

Адекватность представления финансовой отчетности (см. пункт 24)

А59. Оценка надлежащего представления, структуры и содержания финансовой отчетности включает, например оценку используемой терминологии, требуемой применимой концепцией финансовой отчетности, степень детализации данных, группировку и разгруппировку сумм, а также основания расчета указанных сумм.

Оценка достаточности и надлежащего характера аудиторских доказательств (см. пункты 25-27)

А60. Аудит финансовой отчетности представляет собой накопительный и итеративный процесс. По мере того, как аудитор выполняет запланированные аудиторские процедуры, получаемые им аудиторские доказательства могут убедить его изменить характер, сроки и объем других запланированных аудиторских процедур. В ходе аудита аудитор может обратить внимание на новую или прочую информацию, которая значительно отличается от той информации, на основе которой проводилась оценка рисков. Например:

объем искажений, которые выявляет аудитор при выполнении процедур проверки по существу, может изменять его мнение об оценке рисков и может указывать на значительные недостатки в системе внутреннего контроля;

аудитор может узнать о несоответствиях в данных бухгалтерского учета или о противоречивых либо отсутствующих доказательствах;

аналитические процедуры, выполняемые на стадии общего обзора в ходе аудита, могут указывать на ранее не выявленный риск существенного искажения.

В таких обстоятельствах аудитору может потребоваться провести повторный анализ планируемых аудиторских процедур на основании пересмотренных оцененных рисков существенного искажения для всех или отдельных видов операций, а также влияние на значительные виды операций, остатки по счетам или раскрытия информации и относящиеся к ним соответствующие предпосылки. МСА 315 (пересмотренный, 2019 г.) содержит дополнительные рекомендации по пересмотру аудиторской оценки рисков.37

______________________________

37 МСА 315 (пересмотренный, 2019 г.), пункт 53.

А61. Аудитор не может руководствоваться допущением, что факты недобросовестных действий или ошибка являются единичными случаями. Поэтому для определения того, сохраняет ли оценка рисков существенного искажения актуальность, необходимо понять, как выявление искажения воздействует на оцененные риски существенного искажения.

А62. Суждение аудитора о том, что является достаточным надлежащим аудиторским доказательством, зависит от следующих факторов:

значимость возможного искажения в предпосылке и вероятность того, что его влияние, отдельно или в совокупности с другими потенциальными искажениями, существенно повлияет на финансовую отчетность;

операционная эффективность ответных действий и средств контроля руководства по противодействию рискам;

полученный в ходе предшествующих аудиторских заданий опыт в отношении подобных возможных искажений;

результаты выполненных аудиторских процедур, включая информацию о том, выявили ли такие аудиторские процедуры конкретные случаи недобросовестных действий или ошибок;

источник и надежность имеющейся информации;

убедительность аудиторских доказательств;

понимание аудируемой организации и ее окружения, применимой концепции подготовки финансовой отчетности, включая средства и системы внутреннего контроля организации.

Документация (см. пункт 28)

А63. Форма и объем аудиторской документации составляет предмет профессионального суждения и зависит от характера, размера и сложности организации и ее системы внутреннего контроля, доступности ее информации, а также применяемых методов и технологий аудита.

МСА 500 "Аудиторские доказательства"

Руководство по применению и прочие пояснительные материалы

Достаточные надлежащие аудиторские доказательства (см. пункт 6)

А1. Аудиторские доказательства необходимы для обоснования мнения аудитора и аудиторского заключения. По своей природе они носят накопительный характер и в основном получаются в результате выполнения аудиторских процедур в ходе проведения аудита. Однако они могут также включать информацию, полученную из других источников, таких как предыдущие аудиторские задания (если аудитор установил, остается ли такая информация актуальной и надежной в качестве аудиторских доказательств для текущего аудита, что не произошли какие-либо изменения после окончания предыдущего аудиторского задания, которые могут повлиять па уместность этой информации для текущего аудита) или процедуры контроля качества, проводимые аудиторской организацией при принятии и продолжении отношений с клиентами. В дополнение к другим внутренним и внешним источникам в организации важным источником аудиторских доказательств являются данные бухгалтерского учета. Кроме того, информация, которая может использоваться в качестве аудиторских доказательств, может быть подготовлена с использованием работы эксперта руководства. Аудиторские доказательства включают как информацию, которая подкрепляет и подтверждает предпосылки руководства, так и любую информацию, которая противоречит таким предпосылкам. Кроме того, в некоторых случаях даже запрашиваемое заявление) используется аудитором и, таким образом, также является аудиторским доказательством.

Аудиторские процедуры для сбора аудиторских доказательств

Наблюдение

А17. Наблюдение заключается в отслеживании выполнения процесса или процедуры другими лицами, например осуществление аудитором наблюдения за проведением инвентаризации запасов сотрудниками организации или за выполнением контрольных процедур реализацией работы системы контроля. Наблюдение обеспечивает аудиторские доказательства выполнения процесса или процедуры, но ограничено тем моментом, когда проводится наблюдение, а также тем фактом, что само наблюдение может оказать влияние на то, каким образом выполняются процесс или процедуры. Дополнительные указания по наблюдению за инвентаризацией приведены в МСА 501.

МСА 501 "Особенности получения аудиторских доказательств в конкретных случаях"

Руководство по применению и прочие пояснительные материалы

Запасы

Присутствие при проведении инвентаризации запасов (см. пункт 4(a))

Оценка указаний руководства и процедур (см. пункт 4(a)(i))

А4. Для оценки указаний руководства и процедур по учету и контролю результатов инвентаризации запасов уместно рассмотреть вопрос о том, предусматривают ли, например, эти указания и процедуры:

применение средств контроля выполнение надлежащих контрольных процедур, например сбора заполненных ведомостей по результатам инвентаризации, учета незаполненных инвентаризационных ведомостей, а также процедур подсчета и пересчета;

МСА 530 "Аудиторская выборка"

Руководство по применению и прочие пояснительные материалы

Подход к выборке, ее объем и отбор элементов для тестирования

Подход к выборке (см. пункт 6)

А7. При изучении характеристик генеральной совокупности для целей тестирования средств контроля аудитор оценивает ожидаемую норму отклонения, исходя из своего понимания соответствующих средств контроля или результатов проверки некоторого количества элементов генеральной совокупности. Цель данной оценки состоит в формировании аудиторской выборки и определении ее объема.

Приложение 2 (см. пункт A11)

Средства контроля

Далее перечислены факторы, которые аудитор может рассмотреть при определении объема выборки для тестирования средств контроля. Эти факторы, которые должны рассматриваться в совокупности, подразумевают, что аудитор не будет менять характер или сроки тестирования средств контроля или каким-либо иным образом менять подход к проведению процедур проверки по существу в ответ на оцененные риски.

Фактор 1 Увеличение степени, в какой оцененный аудитором риск учитывает соответствующие средства контроля то, как аудитор планирует тестировать операционную эффективность средств контроля.

МСА 550 "Связанные стороны"

Руководство по применению и прочие пояснительные материалы

Процедуры оценки рисков и сопутствующие действия

Изучение взаимоотношений и операций организации со связанными сторонами

Обсуждение между членами аудиторской группы (см. пункт 12)

А9. К числу вопросов, которые могут обсуждаться в рамках аудиторской группы, относятся следующие:

указание на особое значение, которое руководство и лица, отвечающие за корпоративное управление, придают процессам выявления, надлежащего отражения в финансовой отчетности и раскрытия взаимоотношений и операций между связанными сторонами, если применимая концепция подготовки финансовой отчетности содержит требования к связанным сторонам, и сопутствующим рискам совершения руководством действий в обход действующей системы контроля.

Идентификационные данные связанных сторон организации (см. пункт 13(a))

А12. Вместе с тем, если концепция не предусматривает требований к связанным сторонам, у организации может не иметься соответствующих информационных систем. В данном случае может оказаться, что руководство не имеет исчерпывающей информации обо всех связанных сторонах. Несмотря на это, применяется требование о направлении запросов, указанное в пункте 13, поскольку руководство может быть осведомлено о сторонах, соответствующих определению связанной стороны, изложенному в настоящем МСА. В этом случае запросы аудитора на получение идентификационных данных связанных сторон организации могут направляться в рамках процедур оценки рисков и сопутствующих действий аудитора, совершаемых в соответствии с МСА 315 (пересмотренным, 2019 г.) для получения информации об организационной структуре, собственности, управлении и бизнес-модели организации.

о структурах собственности и управления организации;

видах инвестиций, осуществляемых организацией и запланированных ею;

порядке-структурирования и финансирования организации.

В случае взаимоотношений под общим контролем, когда осведомленность руководства о таких взаимоотношениях более вероятна, если они имеют экономическую значимость для организации, запросы со стороны аудитора будут более эффективны, если их центральным звеном является вопрос о том, относятся ли стороны, с которыми организация участвует в значительных операциях или в значительном объеме обменивается ресурсами, к числу связанных сторон.

Особенности малых организаций

А20. Средства контроля Контрольные действия в малых организациях зачастую являются менее формализованными, и малые организации могут не иметь документально оформленных процессов закрепления взаимоотношений и операций между связанными сторонами. Руководитель-собственник может уменьшить некоторые риски, связанные с операциями между связанными сторонами, или потенциально увеличить данные риски за счет активного вмешательства во все аспекты совершения таких операций.

В подобных организациях аудитор может получить представление о взаимоотношениях и операциях между связанными сторонами, а также о средствах контроля за ними, которые могут иметься, благодаря направлению руководству запросов в сочетании с другими процедурами, такими как наблюдение за действиями руководства по осуществлению надзора и проведению обзорных проверок и изучение соответствующей доступной документации.

Обмен информацией о связанных сторонах с аудиторской группой (см. пункт 17)

А28. К информации о соответствующих связанных сторонах, которой могут обмениваться члены аудиторской группы, может относиться следующая информация:

идентификационные данные связанных сторон организации;

характер взаимоотношений и операций между связанными сторонами;

значимые или сложные взаимоотношения либо операции между связанными сторонами, которые могут потребовать повышенного внимания аудитора быть идентифицированы как содержащие значительный риск, в частности операции, в которых финансово задействованы члены руководства или лица, отвечающие за корпоративное управление.

Ответные меры на риски существенного искажения финансовой отчетности в связи с взаимоотношениями и операциями между связанными сторонами (см. пункт 20)

А34. В зависимости от результатов проведения аудитором процедур оценки рисков, он может счесть целесообразным сбор аудиторских доказательств без тестирования средств контроля организации за взаимоотношениями и операциями между связанными сторонами. Вместе с тем в некоторых случаях сбор достаточных надлежащих аудиторских доказательств исключительно по результатам аудиторских процедур проверки по существу в отношении рисков существенного искажения, относящихся к взаимоотношениям и операциям между связанными сторонами, может оказаться невозможным. Например, если имеются многочисленные внутригрупповые операции между организацией и ее компонентами и если значительный объем информации о таких операциях отражен, зафиксирован, обработан или приведен в виде отчетов в электронной форме в интегрированной системе, аудитор может сделать вывод о невозможности разработки эффективных аудиторских процедур проверки по существу, которые сами по себе снижали бы риски существенного искажения, относящиеся к таким операциям, до приемлемо низкого уровня. В таком случае, в целях выполнения предусмотренного МСА 330 требования о получении достаточных надлежащих аудиторских доказательств относительно операционной эффективности соответствующих38 средств контроля, аудитор должен протестировать средства контроля организации на предмет полноты и точности отражения взаимоотношений и операций между связанными сторонами.

______________________________

38 МСА 330, пункт 8(b).

МСА 540 (пересмотренный) "Аудит оценочных значений и соответствующего раскрытия информации"

Введение

Сфера применения настоящего стандарта

1. В настоящем Международном стандарте аудита (МСА) устанавливаются обязанности аудитора по аудиту оценочных значений и соответствующего раскрытия информации в финансовой отчетности. В частности, в нем более подробно разъясняется порядок применения МСА 315 (пересмотренного, 2019 г.)39, МСА 330.40, МСА 450.41, МСА 500.42, а также других применимых к аудиту оценочных значений и раскрытию информации стандартов. В нем также содержатся требования и указания по выявлению искажений отдельных оценочных значений, включая соответствующее раскрытие информации, и признаков возможной предвзятости руководства.

______________________________

39 МСА 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения".

40 МСА 330 "Аудиторские процедуры в ответ на оцененные риски".

41 МСА 450 "Оценка искажений, выявленных в ходе аудита".

42 МСА 500 "Аудиторские доказательства".

Характер оценочных значений

2. Оценочные значения существенно различаются по характеру и должны рассчитываться руководством в случаях, когда суммы в денежном выражении прямо установить невозможно. Расчет таких сумм в денежном выражении связан с неопределенностью оценки, которая отражает неотъемлемые ограничения в известной информации или исходных данных. Ограничения неизбежно приводят к субъективности и различиям в результатах расчетов. Процесс расчета оценочных значений предполагает выбор и применение метода с использованием допущений и исходных данных, которые требуют суждений руководства и могут осложнить расчет. Оценочные значения подвержены искажениям в следствие того, что сложность, субъективность или другие факторы неотъемлемого риска влияют на расчет данных сумм в денежном выражении (см. пункты А1-А6, Приложение 1).

3. Хотя данный стандарт применяется ко всем оценочным значениям, степень неопределенности их оценки будет существенно различаться. Характер, сроки и объем оценки рисков и дальнейших аудиторских процедур, требуемых настоящим стандартом, будут зависеть от неопределенности оценки и оценки соответствующих рисков существенного искажения. Степень неопределенности оценки некоторых оценочных значений может быть очень низкой в силу их характера, как и уровень сложности и субъективности связанных с ними расчетов. В отношении таких оценочных значений не предполагается, что процедуры оценки рисков и дальнейшие аудиторские процедуры, требуемые настоящим стандартом, будут всеобъемлющими. В случае высокой степени неопределенности оценки, сложности или субъективности ожидается, что такие процедуры будут гораздо большего объема. Настоящий стандарт содержит указания о том, как его требования могут быть масштабированы (см. пункт А7).

Основные принципы настоящего стандарта

4. Настоящий стандарт МСА 315 (пересмотренный, 2019 г.) требует отдельной оценки неотъемлемого риска для выявленных рисков существенного искажения на уровне предпосылок.43 для целей оценки рисков существенного искажения па уровне предпосылок для оценочных значений. В контексте МСА 540 (пересмотренного) и в зависимости от характера конкретного оценочного значения, подверженность предпосылки искажениям, которые могут быть существенными, может зависеть от неопределенности оценки, сложности, субъективности или иных факторов неотъемлемого риска, а также от их взаимосвязи. Как объясняется в МСА 200.44, для некоторых предпосылок и соответствующих видов операций, остатков по счетам и раскрытия информации неотъемлемый риск выше, чем для других. Следовательно, оценка неотъемлемого риска зависит от степени влияния факторов неотъемлемого риска на вероятность или величину искажения и изменяется по шкале, в настоящем стандарте именуемой диапазоном значений неотъемлемого риска (см. пункты А8-А9, А65-А66, Приложение 1).

______________________________

43 МСА 315 (пересмотренный, 2019 г.), пункт 31.

44 МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита", пункт А40.

5. Настоящий стандарт ссылается на соответствующие требования МСА 315 (пересмотренного, 2019 г.) и МСА 330 и содержит связанные с ними указания, чтобы подчеркнуть важность решений аудитора в отношении средств контроля применительно к оценочным значениям, включая решения:

имеются ли средства контроля, значимые для аудита, подлежащие идентификации согласно МСА 315 (пересмотренного 2019 г.), структуру которых аудитор должен оценить и определить, были ли они внедрены;

следует ли тестировать операционную эффективность соответствующих средств контроля.

6. МСА 315 (пересмотренный, 2019 г.) также требует отдельной оценки риска средств контроля при оценке рисков существенного искажения на уровне предпосылок для оценочных значений. При оценке риска средств контроля аудитор учитывает, допускают ли дальнейшие аудиторские процедуры возможность полагаться на операционную эффективность средств контроля. Если аудитор не проводит планирует тестирование операционной эффективности средств контроля, или не намеревается полагаться на операционную эффективность средств контроля, оценка аудитором риска средств контроля существенного искажения на уровне предпосылок не может снижаться из-за эффективности средств контроля в отношении конкретной предпосылки45 такова, что оценка риска существенного искажения аналогична оценке неотъемлемого риска (см. пункт А10).

______________________________

45 МСА 530 "Аудиторская выборка", Приложение 3.

7. В настоящем стандарте подчеркивается, что выполняемые аудитором дальнейшие аудиторские процедуры (в том числе, когда это уместно, тесты средств контроля) должны выполняться в ответ на оцененные риски существенного искажения на уровне предпосылок, с учетом влияния одного или нескольких факторов неотъемлемого риска и оценки аудитором риска средств контроля.

8. Проявление профессионального скептицизма в отношении оценочных значений зависит от рассмотрения аудитором факторов неотъемлемого риска, и значение такого проявления возрастает в случаях, когда степень неопределенности оценки, сложности, субъективности оценочного значения или влияние иных факторов неотъемлемого риска выше. Также проявление профессионального скептицизма имеет важное значение в тех случаях, когда уровень подверженности искажениям выше в результате предвзятости руководства или других факторов риска недобросовестных действий, поскольку они влияют на неотъемлемый риск (см. пункт A11).

Цель

Определения

Требования

Процедуры оценки рисков и сопутствующие действия

13. При получении понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности, включая систему системы внутреннего контроля организации, в соответствии с требованиями МСА 315 (пересмотренного, 2019 г.)46 аудитор должен получить понимание рассматриваемых далее вопросов, относящихся к оценочным значениям организации. Аудиторские процедуры по получению понимания должны проводиться в объеме, необходимом для получения аудиторских доказательств, обеспечивающих надлежащую основу для выявления и оценки рисков существенного искажения на уровне финансовой отчетности и предпосылок (см. пункты А19-А22)

______________________________

46 МСА 315 (пересмотренный, 2019 г.), пункты 3, 5-6, 9, 11-12, 15-17, и 20 - 21, 19 - 27.

Получение понимания организации и ее окружения и применимой концепции подготовки финансовой отчетности

(a) Операции, осуществляемые организацией, а также события и условия, которые могут повлечь за собой необходимость признания или раскрытия оценочных значений или их изменения в финансовой отчетности (см. пункт А23).

(b) Требования применимой концепции подготовки финансовой отчетности в отношении оценочных значений (включая критерии признания, правила расчетов и соответствующие требования к представлению и раскрытию информации), а также того, как они применяются в контексте характера и обстоятельств организации и ее окружения, включая то, как операции и другие события или условия зависят от факторов неотъемлемого риска и какое влияние они на них оказывают факторы неотъемлемого риска влияют на восприимчивость предпосылок к искажению (см. пункты А24-А25).

(c) Регуляторные факторы, применимые к оценочным значениям организации, включая, при необходимости, нормативные требования, связанные с контролем со стороны надзорных органов (см. пункт А26).

(d) Характер оценочных значений и соответствующего раскрытия информации, включения которых в финансовую отчетность аудитор ожидает от организации, исходя из понимания им вопросов, изложенных в пункте 13(а)-(с) выше (см. пункт А27).

Получение понимания системы внутреннего контроля организации

(e) Характер и уровень надзора и корпоративного управления, которые осуществляются в организации в отношении процесса подготовки руководством финансовой отчетности также и применительно к оценочным значениям (см. пункты А28-А30).

(f) Как руководство определяет потребности в специальных знаниях и навыках в отношении оценочных значений и применяет их, включая использование эксперта руководства (см. пункт А31).

(g) Как в процессе оценки рисков в организации выявляются риски, связанные с оценочными значениями, и предпринимаются соответствующие меры для их снижения (см. пункты A32-A33).

(h) Информационная система организации, относящаяся к оценочным значениям, включая:

(i) то, как информация, относящаяся к оценочным значениям и соответствующему раскрытию информации для значительных видов операций, остатков по счетам или раскрываемой информации, проходит через информационную систему предприятия виды операций, события и условия, которые являются значительными для финансовой отчетности и приводят к необходимости использования оценочных значений и соответствующему раскрытию информации или к их изменению (см. пункты А34-А35), и

(ii) то, каким образом руководство в отношении таких оценочных значений и соответствующего раскрытия информации:

a. определяет применимые методы, допущения или источники исходных данных и потребности в их изменении, которые являются надлежащими в контексте применимой концепции подготовки финансовой отчетности, в том числе как руководство (см. пункты А36-А37):

i. выбирает или разрабатывает и применяет используемые методы, включая модели оценки (см. пункты А38-А39);

ii. выбирает используемые допущения, включая рассмотрение альтернативных вариантов, определяет значительные допущения (см. пункты А40-А43

iii. выбирает используемые исходные данные (см. пункт А44);

b. понимает уровень неопределенности оценки, в том числе путем рассмотрения диапазона возможных результатов расчета (см. пункт А45);

c. реагирует на неопределенность оценки, включая выбор точечной оценки и соответствующей информации для раскрытия в финансовой отчетности (см. пункты А46-А49).

(i) Идентифицированные средства контроля в компоненте контрольных процедур47 Контрольные действия, имеющие значение для аудита процесса расчета оценочных значений руководством, описанных в пункте 13(h)(ii) (см. пункты А50-А54).

______________________________

47 МСА 315 (пересмотренный, 2019 г.), пункты 26(a)(i)-(iv).

(j) Как руководство проверяет фактический результат (результаты) предыдущих оценочных значений и какие меры принимает по результатам такой проверки.

14. Аудитор должен проверить фактический результат предыдущих оценочных значений или, при необходимости, их последующую переоценку в целях выявления и оценки рисков существенного искажения в текущем периоде. Аудитор должен учитывать характеристики оценочных значений при определении характера и объема такой проверки. Проверка не предназначена для того, чтобы ставить под сомнение суждения в отношении оценочных значений предыдущих периодов, которые являлись надлежащими, исходя из информации, имевшейся в момент их вынесения (см. пункты А55-А60).

Выявление и оценка рисков существенного искажения

16. При выявлении и оценке рисков существенного искажения в отношении оценочного значения и соответствующего раскрытия информации на уровне предпосылок, включая раздельную оценку неотъемлемого риска и риска средств контроля на уровне предпосылок, согласно требованиям МСА 315 (пересмотренного, 2019 г.)48 аудитор должен отдельно оценивать неотъемлемый риск и риск средств контроля, при выявлении рисков существенного искажения и оценке неотъемлемого риска аудитор должен учитывать (см. пункты А64-А71):

______________________________

48 МСА 315 (пересмотренный, 2019 г.), пункты 25 и 26-31 и 34.

(a) насколько оценочное значение подвержено неопределенности оценки (см. пункты А72-А75) и

(b) насколько сложность, субъективность или другие факторы неотъемлемого риска влияют на следующее (см. пункты А76-А79):

(i) выбор и применение метода, допущений и исходных данных при расчете оценочного значения или

(ii) выбор точечной оценки руководства и соответствующей информации для раскрытия в финансовой отчетности.

17. Аудитор должен определить, является ли какой-либо из рисков существенного искажения, выявленных и оцененных в соответствии с пунктом 16, значительным риском в соответствии с суждением аудитора49. Если аудитор установил, что значительный риск существует, он должен идентифицировать средства контроля получить понимание средств контроля организации, включая контрольные действия, разработанные в ответ на этот риск50, а также оценить, были ли такие средства контроля разработаны эффективно, и определить, были ли они внедрены51 (см. пункт А80).

______________________________

49 МСА 315 (пересмотренный, 2019 г.), пункт 27 32.

50 МСА 315 (пересмотренный, 2019 г.), пункт 29 26(a)(i).

51 МСА 315 (пересмотренный, 2019 г.), пункт 26(a).

19. В соответствии с требованиями МСА 330.52 аудитор должен разрабатывать и проводить тесты для получения достаточных надлежащих аудиторских доказательств в отношении операционной эффективности соответствующих средств контроля, если:

______________________________

52 МСА 330, пункт 8.

(b) оценка аудитором рисков существенного искажения на уровне предпосылок включает ожидание того, что средства контроля функционируют эффективно, или

(c) процедуры проверки по существу сами по себе не обеспечивают достаточные надлежащие аудиторские доказательства на уровне предпосылок.

В отношении оценочных значений тестирование аудитором средств контроля должно соответствовать источникам оцененного риска существенного искажения. При разработке и проведении тестирования средств контроля аудитор должен получить тем более убедительные аудиторские доказательства, чем больше он полагается на эффективность средства контроля53 (см. пункты А85-А89).

______________________________

53 МСА 330, пункт 9.

Прочие особенности аудиторских доказательств

30. При получении аудиторских доказательств в отношении рисков существенного искажения, касающихся оценочных значений, независимо от источников информации, используемой в качестве аудиторских доказательств, аудитор должен соблюдать применимые требования МСА 500.

При использовании работы эксперта руководства требования пунктов 21 - 29 настоящего стандарта могут помочь аудитору оценить уместность использования работы эксперта в качестве аудиторских доказательств для соответствующей предпосылки в соответствии с пунктом 8(c) МСА 500. При оценке работы эксперта руководства на характер, сроки и объем дальнейших аудиторских процедур влияет оценка аудитором компетентности, способностей и объективности эксперта, понимание аудитором характера работы, выполненной экспертом, и осведомленность аудитора в области знаний эксперта (см. пункты А126-А132)

Документация

27. В аудиторской документации аудитор обязан отразить54 (см. пункты А149-А152):

______________________________

54 МСА 230 "Аудиторская документация", пункты 8 - 11, А6, А7 и А10.

(a) ключевые элементы понимания аудитором деятельности организации и ее окружения, в том числе системы внутреннего контроля организации, относящейся к ее оценочным значениям;

(b) связь между дальнейшими аудиторскими процедурами, выполняемыми аудитором, и оцененными рисками существенного искажения на уровне предпосылок55 с учетом причин (в отношении неотъемлемого риска или риска средств контроля) оценки таких рисков;

______________________________

55 МСА 330, пункт 28(b).

(c) меры, принятые аудитором в случае, когда руководство не предприняло надлежащих шагов для понимания и отражения неопределенности оценки;

(d) признаки возможной предвзятости руководства в отношении оценочных значений, если такие имеются, и оценку аудитором последствий для аудита в соответствии с требованиями пункта 32

(e) значительные суждения в отношении определения аудитором того, являются ли оценочные значения и раскрытие соответствующей информации обоснованными в контексте применимой концепции подготовки финансовой отчетности или содержат искажения.

Руководство по применению и прочие пояснительные материалы

Характер оценочных значений (см. пункт 2)

Примеры оценочных значений

Методы

А2. Метод - это методика оценки, используемая руководством для расчета оценочного значения в соответствии с требуемыми правилами расчета. Например, одним из общепризнанных методов для расчета оценочных значений в отношении операций по выплатам, основанным на акциях, является определение расчетной цены опциона на покупку с использованием формулы ценообразования опционов Блэка - Шоулза. Метод применяется с использованием вычислительного инструмента или процесса, которые иногда именуются моделью, и предполагает применение допущений и исходных данных с учетом совокупности их взаимосвязей.

Допущения и исходные данные

А3. Допущения включают суждения на основе имеющейся информации по таким вопросам, как выбор процентной ставки, ставки дисконтирования, или суждения в отношении будущих условий или событий. Допущение может быть выбрано руководством из ряда соответствующих альтернатив. Допущения, которые могут быть сделаны или определены экспертом руководства, становятся допущениями руководства, когда оно использует их для расчета оценочного значения.

А4. Для целей настоящего стандарта исходные данные представляют собой информацию, которая может быть получена непосредственно путем наблюдений или от внешней стороны организации. Информация, полученная путем применения аналитических или интерпретационных методов к исходным данным, называется производными данными, когда такие методы имеют общепризнанную теоретическую основу и, следовательно, требуют применения суждений руководством в меньшей степени. В ином случае такая информация является допущением.

А5. Ниже приводятся примеры исходных данных:

цены, согласованные в рамках рыночных операций;

время работы производственного оборудования или количество выпущенной на нем продукции;

цены за прошедшие периоды или другие условия, включенные в договоры, такие как договорная процентная ставка, график платежей и срок, включенный в кредитный договор;

прогнозная информация, например экономический прогноз или прогноз прибыли, полученные из внешних информационных источников;

будущая процентная ставка, определенная с использованием метода интерполяции на основе форвардных процентных ставок (производные данные).

А6.

Исходные данные могут быть получены из широкого круга источников. Например, они могут быть:

получены внутри организации или из внешних источников;

получены из системы внутри или вне основных регистров или вспомогательных ведомостей;

получены из договоров; или

получены из законодательных или нормативных документов.

Масштабируемость (см. пункт 3)

А7. Примеры пунктов, которые содержат рекомендации о том, как требования данного стандарта могут быть масштабированы, включают пункты А20-А22, А63, А67 и А84.

Основные принципы настоящего стандарта

Факторы неотъемлемого риска (см. пункт 4)

А8. Факторы неотъемлемого риска являются характеристиками условий и событий и/или условий, которые могут повлиять на подверженность предпосылки искажению предпосылки о виде операций, остатку по счету или раскрытию информации как вследствие недобросовестных действий, так и ошибки, до рассмотрения средств контроля56. В Приложении 1 дополнительно разъясняется характер таких факторов неотъемлемого риска и их взаимосвязь в контексте расчета оценочных значений и их представления в финансовой отчетности.

______________________________

56 МСА 315 (пересмотренный, 2019 г.), пункт 12(f)

А9. В дополнение к факторам неотъемлемого риска, связанного с неопределенностью оценки, сложностью или субъективностью, другие факторы неотъемлемого риска, которые аудитор может учитывать при выявлении и оценке рисков существенного искажения, могут включать- степень влияния па оценочное значение: При оценке рисков существенного искажения на уровне предпосылок, помимо неопределенности, сложности и субъективности оценки, аудитор также принимает во внимание степень, в которой неотъемлемые факторы риска, включенные в МСА 315 (пересмотренный, 2019 г.) кроме неопределенности оценки, сложности и субъективности, влияют на восприимчивость предпосылок, приводящую к искажению оценочных значений. Такие дополнительные факторы неотъемлемого риска включают:

изменения в характере или обстоятельствах соответствующих статей финансовой отчетности или требованиях применимой концепции подготовки финансовой отчетности, которые могут привести к необходимости изменения метода, допущений или исходных данных, используемых в расчете оценочного значения;

подверженность искажению в результате предвзятости руководства или иных факторов риска недобросовестных действий в той части, в которой они влияют на неотъемлемый риск;

неопределенности, не связанные с неопределенностью расчета оценочных значений.

Риск средств контроля (см. пункт 6)

А10. Важным фактором для аудитора при оценке риска средств контроля па уровне предпосылок является эффективность структуры средств контроля, па которые аудитор планирует полагаться; и степень, в которой средства контроля обеспечивают принятие мер в ответ па оцененные неотъемлемые риски па уровне предпосылок. При оценке риска средств контроля на уровне предпосылок в соответствии с МСА 315 (пересмотренным, 2019 г.)57 аудитор учитывает, планирует ли он тестировать операционную эффективность средств контроля. Оценка аудитором того, что средства контроля эффективно разработаны и внедрены, подтверждает ожидания в отношении операционной эффективности средств контроля при определении необходимости их тестирования. Когда аудитор рассматривает вопрос о том, следует ли тестировать операционную эффективность средств контроля, его оценка того, что средства контроля эффективно спроектированы и внедрены, подтверждает ожидания аудитора относительно операционной эффективности средств контроля при разработке плана их тестирования.

______________________________

57 МСА 315 (пересмотренный, 2019 г.), пункт 31.

Профессиональный скептицизм (см. пункт 8)

Принцип обоснованности (см. пункты 9, 35)

Процедуры оценки рисков и сопутствующие действия

Получение понимания деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации (см. пункт 13).

А19. Пункты 11-24 19-27 МСА 315 (пересмотренного, 2019 г.) требуют, чтобы аудитор получил представление о конкретных аспектах деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности, включая систему и системы внутреннего контроля организации. Требования пункта 13 настоящего стандарта конкретизированы применительно к оценочным значениям и основываются на более широких требованиях МСА 315 (пересмотренного, 2019 г.).

Масштабируемость

А20. Характер, сроки и объем аудиторских процедур по изучению деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности, включая систему и системы внутреннего контроля организации, относящейся к ее оценочным значениям, в той или иной степени могут зависеть от того, насколько отдельный вопрос или вопросы применимы в конкретных обстоятельствах. Например, у организации может быть мало операций или других событий и условий, которые приводят к необходимости использовать оценочные значения, применимые требования к финансовой отчетности могут быть простыми в применении, и соответствующие регуляторные факторы могут отсутствовать. Кроме того, оценочные значения могут не требовать применения значительных суждений и процесс расчета оценочных значений может быть менее сложным. В таких обстоятельствах степень неопределенности оценки, сложности, субъективности оценочных значений или влияния иных факторов неотъемлемого риска может быть ниже, и идентифицированных средств контроля в компоненте контрольных мероприятий имеющих значение для аудита, может быть меньше. В этом случае процедуры выявления и оценки риска аудитором, по всей вероятности, будут меньшего объема и могут выполняться в основном путем опроса руководства, ответственного за подготовку финансовой отчетности, также как и простого сквозного тестирования процесса, используемого руководством при расчете оценочного значения (в том числе при оценке эффективности разработки идентифицированных средств контроля в этом процессе и при определении того, было ли внедрено средство контроля).

А21. В то же время оценочные значения могут требовать применения значимых суждений руководством, а процесс расчета оценочных значений может быть сложным и предусматривать использование сложных моделей. Кроме того, у организации может быть более сложная информационная система и большой объем средств контроля оценочных значений. В этих обстоятельствах степень неопределенности оценки, субъективности, сложности оценочных значений или влияния иных факторов неотъемлемого риска может быть выше. В таком случае характер или сроки процедур оценки рисков аудитором, по всей вероятности, будут другими или будут большего объема, чем в обстоятельствах, указанных в пункте А20.

А22. Следующие замечания могут быть уместны для организаций, к которым относятся многочисленные малые предприятия, имеющие только простые операции:

процессы, относящиеся к оценочным значениям, могут быть простыми, так как хозяйственная деятельность не отличается сложностью или необходимые оценочные значения в меньшей степени связаны с неопределенностью оценки;

оценочные значения могут быть получены не из основных регистров или вспомогательных ведомостей, средства контроля за их расчетом могут быть ограничены, и руководитель-собственник может оказывать значительное влияние на их определение. Возможно, аудитору потребуется учитывать роль руководителя-собственника в расчете оценочных значений при определении рисков существенного искажения и рассмотрении риска предвзятости руководства.

Организация и ее окружение

Операции организации и другие события и условия (см. пункт 13(a))

А23. Изменения обстоятельств, которые могут привести к необходимости расчета оценочных значений или их изменения, могут включать, например, следующее:

организация начала проводить новые виды операций;

изменились условия операций;

произошли новые события, или возникли новые условия.

Соблюдение требований применимой концепции подготовки финансовой отчетности (см. пункт 13 (b))

А24. Понимание требований применимой концепции подготовки финансовой отчетности предоставляет аудитору основание для обсуждения с руководством и при необходимости с лицами, отвечающими за корпоративное управление, вопроса о том, как руководство применяло требования применимой концепции подготовки финансовой отчетности в отношении оценочных значений, и о решении аудитора относительно того, применялись ли они надлежащим образом. Такое понимание также может помочь аудитору в информировании лиц, отвечающих за корпоративное управление, в тех случаях, когда аудитор не считает общепринятую практику бухгалтерского учета, которая является приемлемой согласно применимой концепции подготовки финансовой отчетности, наиболее подходящей для конкретных условий организации58.

______________________________

58 МСА 260 (пересмотренный), пункт 16(a).

А25. При получении такого понимания аудитор может стремиться понять следующее:

насколько применимая концепция подготовки финансовой отчетности:

предписывает определенные критерии признания или методы расчета оценочных значений;

указывает определенные критерии, которые разрешают или требуют оценку по справедливой стоимости, например, посредством ссылки на намерения руководства следовать определенному плану действий в отношении актива или обязательства;

указывает, какую информацию необходимо или рекомендуется раскрыть, в том числе в отношении суждений, допущений или иных источников неопределенности оценки применительно к оценочным значениям;

предусматривает, что изменения в применимой концепции подготовки финансовой отчетности требуют изменения учетной политики организации в отношении оценочных значений.

Регуляторные факторы (см. пункт 13(c))

Характер оценочных значений и соответствующего раскрытия информации, которые, согласно ожиданиям аудитора, должны быть включены в финансовую отчетность (см. пункт 13(d))

Система внутреннего контроля организации, имеющая значение для аудита

Характер и уровень надзора и корпоративного управления (см. пункт 13(e))

А28. При применении МСА 315 (пересмотренного, 2019 г.)59 понимание аудитором характера и уровня надзора и корпоративного управления, существующих в организации в отношении процесса расчета оценочных значений руководством, может иметь важное значение для оценки, требуемой от аудитора, так как это относится к вопросу о том:

была ли создана и поддерживается ли руководством под надзором лиц, отвечающих за корпоративное управление, культура честности и этического поведения;

обеспечивает ли сильные стороны элементов контрольной среды в совокупности контрольная среда надлежащую основу для других компонентов внутреннего контроля с учетом характера и размера организации, а также не оказывают ли недостатки контрольной среды

как недостатки системы контроля, выявленные в контрольной среде, негативно влияют на другие компоненты внутреннего контроля.

______________________________

59 МСА 315 (пересмотренный, 2019 г.), пункт 21(а)14.

А30. Получение понимания в отношении надзора, осуществляемого лицами, отвечающими за корпоративное управление, может иметь важное значение при наличии оценочных значений, которые:

требуют применения руководством значительных суждений, которым присуща субъективность;

связаны с высоким уровнем неопределенности оценки;

требуют сложных расчетов, например, в силу широкого применения информационных технологий, больших объемов исходных данных или использования большого числа источников исходных данных или допущений со сложными взаимосвязями;

включали или должны были включать изменение метода, допущений или исходных данных по сравнению с предыдущими периодами;

включают значительные допущения.

Применение руководством специальных навыков или знаний, включая использование экспертов руководства (см. пункт 13(f))

Внедренный в организации процесс оценки рисков (см. пункт 13(g))

А32. Понимание того, как в процессе оценки рисков в организации выявляются риски, связанные с оценочными значениями, и принимаются меры в ответ на эти риски, может помочь аудитору в рассмотрении изменений, касающихся:

требований применимой концепции подготовки финансовой отчетности в отношении оценочных значений;

наличия или характера источников исходных данных, которые имеют значение для расчета оценочных значений или могут повлиять на надежность используемых исходных данных;

информационной системе или среде информационных технологий организации

состава ключевого персонала.

А33. Вопросы, которые аудитор может рассмотреть при получении понимания того, как руководство выявляет подверженность искажениям в результате предвзятости руководства или недобросовестных действий при расчете оценочных значений и какие меры оно принимает, включают следующие:

уделяет ли руководство особое внимание выбору или применению методов, допущений и исходных данных, использованных при расчете оценочных значений;

отслеживает ли оно ключевые показатели деятельности, которые могут свидетельствовать о неожиданных или непоследовательных результатах по сравнению с результатами за прошлый период либо предусмотренными в бюджете или с другими известными факторами;

определяет ли оно финансовые или иные стимулы, которые могут мотивировать предвзятость;

следит ли руководство за необходимостью изменения методов, значительных допущений или исходных данных, использованных при определении оценочных значений;

осуществляет ли оно надлежащий надзор за моделями, используемыми при расчете оценочных значений, и их проверку;

требует ли руководство документального оформления обоснования или независимой проверки значимых суждений, принятых при расчете оценочных значений, и если перечисленное выше осуществляется, то каким образом.

Информационная система организации, относящаяся к оценочным значениям (см. пункт 13(h)(i))

А34. Значительные виды операций, события и условия в контексте пункта 13(h) аналогичны значительным видам операций, событиям и условиям, относящимся к оценочным значениям и соответствующему раскрытию информации, регламентируемым требованиями пункта 25(a) 18(а) и (d) МСА 315 (пересмотренного, 2019 г.).

При получении понимания информационной системы организации, относящейся к оценочным значениям, аудитор может рассмотреть вопросы:

возникают ли оценочные значения в результате учета обычных и регулярных операций или они являются следствием нерегулярных или необычных операций;

как информационная система определяет полноту оценочных значений и соответствующего раскрытия информации, в частности оценочных значений, относящихся к обязательствам.

А35. В ходе аудита аудитор может выявить виды операций, события и условия, требующие применения оценочных значений и соответствующего раскрытия информации, которые руководство не смогло определить. В МСА 315 (пересмотренном, 2019 г.) рассматриваются обстоятельства, в которых аудитор обнаруживает риски существенного искажения, не выявленные руководством, и устанавливает, имеются ли существенные недостатки в системе внутреннего контроля организации в части процессов оценки рисков и рассматривает последствия выполненной аудитором оценки процесса оценки рисков, применяемом в организации.60

______________________________

60 МСА 315 (пересмотренный, 2019 г.), пункт 22(b)43.

Определение руководством применимых методов, допущений и источников исходных данных (см. пункт 13 (h)(ii)(a)

Методы (см. пункт 13(h)(ii)(a)(i))

Модели

А39. Руководство может разработать и внедрить особые средства контроля в отношении моделей, используемых для расчета оценочных значений, независимо от того, является ли модель его собственной или внешней. Когда модель как таковая повышает уровень сложности или субъективности, как, например, модель ожидаемых кредитных убытков или модель справедливой стоимости с использованием исходных данных уровня 3, средства контроля в отношении такой сложности или субъективности с большей вероятностью могут быть определены как имеющие значение для аудита. Когда модели отличаются сложностью, средства контроля за целостностью исходных данных также, по всей вероятности, будут идентифицированы как средства контроля в соответствии с МСА 315 (пересмотренным, 2019 г.) иметь значение для аудита. Факторы, которые аудитору может быть целесообразно рассмотреть в ходе получения понимания модели и контрольных процедур, имеющих значение для аудита соответствующих выявленных средств контроля, включают следующее:

то, как руководство определяет уместность и точность модели;

проверку или бэк-тестирование модели, в том числе проверяется ли модель до использования и проверяется ли она повторно через равные промежутки времени, чтобы определить, остается ли она пригодной для применения по назначению. Процесс проверки модели организацией может включать оценку:

теоретической обоснованности модели;

математической целостности модели,

точности, полноты исходных данных и надлежащего характера исходных данных и допущений, использованных в модели.

то, как своевременно изменяется или корректируется модель в соответствии с изменениями на рынке или в других условиях, а также существует ли надлежащая политика контроля изменений в модели;

то, вносятся ли корректировки, также именуемые смещениями в некоторых отраслях, в результаты модели и являются ли такие корректировки надлежащими в конкретных обстоятельствах согласно требованиям применимой концепции подготовки финансовой отчетности. Когда корректировки не являются надлежащими, они могут свидетельствовать о возможной предвзятости руководства;

надлежащее документальное оформление модели, включая планируемое применение, ограничения, ключевые параметры, необходимые исходные данные и допущения, результаты всех проведенных проверок и характер или обоснование корректировок, внесенных в ее результаты.

Допущения (см. пункт 13(h)(ii)(a)(ii))

Исходные данные (см. пункт 13(h)(ii)(a)(iii))

А44. Вопросы, которые аудитор может рассмотреть при получении понимания о том, как руководство выбирает исходные данные, на которых основываются оценочные значения, включают:

характер и источник исходных данных, включая информацию, полученную из внешнего информационного источника;

способ оценки руководством надлежащего характера исходных данных;

точность и полноту исходных данных;

последовательность используемых исходных данных относительно исходных данных, использованных в предыдущие периоды;

сложность информационных систем, ИТ-приложений или других аспектов ИТ-среды организации, используемых для получения и обработки исходных данных, в частности, когда это предусматривает работу с большими объемами исходных данных;

способ получения, передачи и обработки исходных данных, а также сохранения их целостности.

Как руководство понимает неопределенность оценки и реагирует на нее (см. пункты 13(h)(ii)(b)-13(h)(ii)(c))

Выявленные средства контроля Контрольные действия процесса расчета оценочных значений руководством, значимые для аудита (см. пункт 13(i))

А50. Суждение аудитора при выявлении средств контроля, имеющих значение для аудита в компоненте контрольных процедур организации, и, следовательно, необходимости оценить структуру этих средств контроля и определить факт их внедрения относится к процессу, применяемому руководством и описанному в пункте 13(h)(ii). Аудитор может не выявлять соответствующие контрольные действия в отношении всех элементов, компоненты всех контрольных процедур указанных в пункте 13(h)(ii), в зависимости от сложностей, связанных с оценочным значением.

А51. В рамках получения понимания контрольных процедур, имеющих значение для аудита; идентифицированных средств контроля и оценке того, как они были разработаны и внедрены, аудитор может рассмотреть:

как руководство определяет надлежащий характер исходных данных, используемых для формирования оценочных значений, в частности, когда руководство использует внешний информационный источник или исходные данные не из основных регистров и вспомогательных ведомостей;

проверку и утверждение оценочных значений, включая допущения или исходные данные, используемые при их формировании, руководством соответствующего уровня и, если уместно, лицами, отвечающими за корпоративное управление;

разделение обязанностей между лицами, ответственными за расчет оценочных значений, и лицами, принимающими решение об участии организации в соответствующих операциях, в частности, учитывает ли распределение обязанностей характер организации и ее продуктов и услуг надлежащим образом. Например, в случае крупного финансового института надлежащее распределение обязанностей может включать наличие независимой службы, отвечающей за расчет и проверку ценообразования финансовых продуктов организации и состоящей из физических лиц, вознаграждение которых не привязано к таким продуктам;

эффективность разработанных средств контроля, действия. В целом руководству может быть труднее разработать средства контроля в отношении субъективности и неопределенности оценки таким образом, чтобы эффективно предотвращать или выявлять и исправлять существенные искажения, чем разработать средства контроля, учитывающие сложность оценки.

Средства контроля в отношении субъективности и неопределенности оценки могут потребовать включения большего числа элементов, выполняемых вручную, которые могут быть менее надежными, чем автоматизированные средства контроля, так как руководству может быть проще их обойти, не принять во внимание или преодолеть. Эффективность структуры средств контроля, относящихся к сложности оценки, может варьироваться в зависимости от причины и характера факторов, которые приводят к сложности в осуществлении оценки. Например, может быть проще разработать более эффективные средства контроля в отношении метода, который регулярно используется, или в отношении целостности исходных данных.

А52. Когда руководство активно использует информационные технологии в расчете оценочных значений, выявленные средства контроля в компоненте контрольных процедур, имеющие значение для аудита, по всей вероятности, включают общие и прикладные средства IT-контроля и средства контроля обработки информации. Такие средства контроля могут применяться в ответ на риски, связанным со следующим:

наличием у информационной системы ИТ-приложений или других аспектов ИТ-среды возможности и надлежащей конфигурации которые могут обрабатывать большие объемы исходных данных;

сложными расчетами при применении метода. Когда необходимы разные системы ИТ-приложения для обработки сложных операций, проводятся регулярные сверки между системами ИТ-приложениями, в частности, когда системы ИТ-приложения не имеют автоматизированных интерфейсов или могут подвергаться вмешательству вручную;

проведением периодической оценки структуры и калибровки моделей;

полным и точным извлечением исходных данных в отношении оценочных значений из записей организации или из внешних информационных источников;

исходными данными, включая полный и точный поток данных через информационную систему организации, надлежащий характер модификации таких данных, используемых при расчете оценочных значений, обеспечение целостности и безопасности исходных данных; при использовании внешних информационных источников - рисками, относящимися к обработке или записи исходных данных;

наличием у руководства средств контроля за доступом, изменением или сопровождением отдельных моделей для надежного обеспечения возможности последующей проверки аккредитованных версий моделей и для предотвращения несанкционированного доступа или внесения изменений в эти модели;

наличием надлежащих средств контроля за переносом информации, относящейся к оценочным значениям, в основной регистр, включая надлежащие средства контроля за бухгалтерскими записями.

А53. В некоторых секторах экономики, таких как банковская или страховая отрасль, термин "корпоративное управление" может использоваться для описания действий в рамках внутренней контрольной среды организации, мониторинга средств контроля и других компонентов системы внутреннего контроля, указанных в МСА 315 (пересмотренном, 2019 г.)61.

______________________________

61 МСА 315 (пересмотренный, 2019 г.), Приложение 3, пункт А77.

А54. Для организаций, имеющих службу внутреннего аудита, ее работа может быть особенно полезна для аудитора при получении понимания:

характера и объема использования руководством оценочных значений;

структуры и применения контрольных процедур средств контроля в ответ на риски, связанные с исходными данными, допущениями и моделями, используемыми для расчета оценочных значений;

аспектов информационной системы организации, предоставляющей исходные данные, на которых основаны оценочные значения;

методов выявления и оценки новых рисков, связанных с оценочными значениями, и управления ими.

Анализ фактического результата или переоценка предыдущих оценочных значений (см. пункт 14)

А58. На основе предыдущей оценки аудитором рисков существенного искажения, например если неотъемлемый риск оценивается как более высокий для одного или нескольких рисков существенного искажения, аудитор может счесть необходимым провести более детальный ретроспективный анализ. В рамках детального ретроспективного анализа аудитор может обратить особое внимание, когда это практически возможно, на влияние исходных данных и значительных допущений, использованных в расчете предыдущих оценочных значений. С другой стороны, в отношении, например, оценочных значений, формируемых в ходе учета рутинных и повторяющихся операций, аудитор может прийти к выводу, что для целей анализа в качестве процедур оценки рисков будет достаточно выполнить аналитические процедуры.

А59. Цель расчета оценочных значений справедливой стоимости и других оценочных значений, исходя из условий на дату расчета, связана с представлениями в отношении стоимости на момент времени, которые могут быстро и значительно изменяться по мере изменения среды, в которой организация осуществляет свою деятельность. Поэтому при проведении анализа аудитору следует сосредоточить усилия на получении информации, которая будет полезна для выявления и оценки рисков существенного искажения. Например, в некоторых случаях понимание изменений в допущениях того или иного участника рынка, которые влияют на фактический результат оценочных значений справедливой стоимости предыдущих периодов, по всей вероятности, не сможет обеспечить уместные аудиторские доказательства. В этом случае аудиторские доказательства могут быть получены путем изучения фактических результатов допущений (таких как прогнозы денежных потоков) и понимания эффективности ранее использованного руководством процесса расчета, который обеспечивает выявление и оценку риска существенных искажений в текущем периоде.

А60. Разница между фактическим результатом оценочного значения и величиной, которая была признана в финансовой отчетности предыдущего периода, не обязательно свидетельствует о наличии искажения в финансовой отчетности предыдущего периода. Но она может свидетельствовать об искажении, если, например, разница связана с информацией, которая имелась в распоряжении руководства на момент завершения работ по подготовке финансовой отчетности предыдущего периода, или если разумно предположить, что она могла быть получена и принята во внимание в контексте применимой концепции подготовки финансовой отчетности62. Такая разница может поставить под сомнение процесс учета информации руководством при расчете оценочного значения. В результате аудитор может пересмотреть любое запланированное тестирование связанных средств контроля и соответствующей оценки риска средств контроля и решить, что по данному вопросу необходимо получить более убедительные аудиторские доказательства. Многие концепции подготовки финансовой отчетности содержат указания, как отличить изменения в оценочных значениях, представляющие собой искажения, от изменений, которые такими не являются, а также рекомендации по порядку их отражения в учете.

______________________________

62 МСА 560 "События после отчетной даты", пункт 14.

Специальные знания и навыки (см. пункт 15)

Выявление и оценка рисков существенного искажения (см. пункты 4, 16)

А64.

Выявление и оценка рисков существенного искажения на уровне предпосылок в отношении оценочных значений важны для всех оценочных значений, включая не только те, которые признаются в финансовой отчетности, но также те, которые включаются в примечания к финансовой отчетности.

А65. В пункте А42 МСА 200 указано, что в МСА неотъемлемый риск и риск средств контроля обычно не рассматриваются отдельно как правило, рассматриваются риски существенного искажения, а не неотъемлемый риск и риск средств контроля отдельно. Однако настоящий стандарт МСА 315 (пересмотренный, 2019 г.) требует отдельной оценки неотъемлемого риска и риска средств контроля, чтобы обеспечить основу для разработки и проведения дальнейших аудиторских процедур в ответ на риски существенного искажения на уровне предпосылок,63 включая значительные риски, на уровне предпосылок в отношении оценочных значений в соответствии с МСА 330.64.

______________________________

63 МСА 315 (пересмотренный, 2019 г.), пункты 31 и 34.

64 МСА 330, пункт 7(b).

А66. При выявлении рисков существенного искажения и при оценке неотъемлемого риска для оценочных значений в соответствии с МСА 315 (пересмотренным, 2019 г.)65 аудитор должен учитывать степень неопределенности, сложности и субъективности оценочного значения или иные факторы неотъемлемого риска, влияющие на подверженность предпосылки искажению и то, каким образом такое влияние может быть оказано. Рассмотрение аудитором факторов неотъемлемого риска также может предоставить информацию для использования при определении:

______________________________

65 МСА 315 (пересмотренный, 2019 г.), пункт 31(a).

при оценке вероятности и величины искажения (то есть того, в каких случаях неотъемлемый риск оценивается по диапазону неотъемлемого риска);

определения причин для оценки рисков существенного искажения на уровне предпосылок и того, что дальнейшие аудиторские процедуры, выполняемые аудитором в соответствии с пунктом 18, учитывают данные причины.

Взаимосвязь между факторами неотъемлемого риска далее разъясняется в Приложении 1.

А67. Источником неотъемлемого риска, оцененного аудитором на уровне предпосылок, может быть результат действия одного или нескольких факторов неотъемлемого риска, связанного с неопределенностью оценки, сложностью, субъективностью или иными факторами неотъемлемого риска. Например:

(а) оценочные значения ожидаемых кредитных убытков, по всей вероятности, будут сложными, так как ожидаемые кредитные убытки нельзя наблюдать непосредственно и может потребоваться применение сложной модели. В модели может использоваться сложный набор исходных данных за предыдущие периоды и допущений в отношении будущих событий в рамках различных сценариев, специфических для организации, которые может быть сложно прогнозировать. Оценочные значения ожидаемых кредитных убытков также, по всей вероятности, подвержены высокой степени неопределенности оценки и значительной субъективности суждений в отношении будущих событий или условий. Аналогичные замечания применимы к обязательствам по договорам страхования;

(b) оценочное значение резерва под устаревание для организации, имеющей широкий спектр различных видов запасов, может потребовать использования сложных систем и процессов, однако может предполагать незначительную долю субъективности, и степень неопределенности оценки может быть низкой в зависимости от характера запасов;

(c) прочие оценочные значения могут не требовать сложных расчетов, однако могут быть связаны с высокой степенью неопределенности оценки и требовать применения значительных суждений, например оценочное значение, которое требует использования одного важного суждения в отношении обязательства, сумма которого зависит от исхода судебного разбирательства.

А68. Уместность и значительность факторов неотъемлемого риска может различаться в отношении разных оценочных значений. Следовательно, факторы неотъемлемого риска по отдельности или в совокупности могут влиять на простые оценочные значения в меньшей степени, и аудитор может выявить меньше рисков или оценить неотъемлемый риск по нижней границе диапазона неотъемлемого риска.

А69. В то же время факторы неотъемлемого риска по отдельности или в совокупности могут влиять на сложные оценочные значения в большей степени и могут привести к тому, что аудитор оценит неотъемлемый риск по верхней границе диапазона неотъемлемого риска. В отношении таких оценочных значений рассмотрение аудитором влияния факторов неотъемлемого риска, по всей вероятности, непосредственно повлияет на количество и характер выявленных рисков существенного искажения, оценку таких рисков и в итоге на убедительность аудиторских доказательств, которые необходимо получить при проведении процедур в ответ на оцененные риски. Кроме того, в случае таких оценочных значений проявление аудитором профессионального скептицизма может быть особенно важно.

А70. События, произошедшие после отчетной даты, могут предоставить дополнительную информацию, имеющую значение для оценки аудитором рисков существенного искажения на уровне предпосылок. Например, может стать известным фактический результат оценочного значения. В таких случаях аудитор может оценить риски существенного искажения на уровне предпосылки66 независимо от того, как факторы неотъемлемого риска влияют на восприимчивость предпосылки к искажению, или пересмотреть их оценку независимо от степени неопределенности оценки, сложности, субъективности оценочного значения или иных факторов неотъемлемого риска. События после отчетной даты также могут влиять на выбор аудитором подхода к тестированию оценочного значения в соответствии с пунктом 18. Например, в случае несложного начисления премии на основе простого процента от заработной платы выбранных сотрудников аудитор может прийти к выводу об относительно незначительной сложности или субъективности расчета оценочного значения и, следовательно, может оценить неотъемлемый риск на уровне предпосылок по нижней границе диапазона неотъемлемого риска. Выплата премий по окончании периода может предоставить достаточные надлежащие аудиторские доказательства в отношении оцененных рисков существенного искажения на уровне предпосылок.

______________________________

66 МСА 315 (пересмотренный, 2019 г.), пункт 37 31.

А71. Оценка аудитором риска средств контроля может быть выполнена разными способами в зависимости от выбранных методов или методологий аудита. Оценка риска средств контроля может быть выражена с использованием качественных категорий (например, оценка риска средств контроля как максимального, среднего или минимального) или с учетом ожиданий аудитора в отношении того, насколько эффективно средство или средства контроля в ответ на выявленный риск, то есть насколько он планирует полагаться на эффективное функционирование средств контроля. Например, если риск средств контроля оценивается как максимальный, аудитор не планирует полагаться на эффективное функционирование средств контроля.

Если риск средств контроля оценивается ниже, чем максимальный, аудитор планирует полагаться на эффективное функционирование средств контроля.

Неопределенность оценки (см. пункт 16))

А72. При рассмотрении степени неопределенности оценки в отношении оценочного значения аудитор может учитывать следующее:

то, требует ли применимая концепция подготовки финансовой отчетности:

использования метода расчета оценочного значения, которому присуща высокая степень неопределенности оценки. Например, концепция подготовки финансовой отчетности может требовать использования ненаблюдаемых исходных данных;

использования допущений, которым присуща высокая степень неопределенности оценки, таких как допущения с длительным периодом прогнозирования, допущения, основанные на ненаблюдаемых исходных данных и, следовательно, сложные для формулирования руководством, или использования разных допущений, являющихся взаимосвязанными;

раскрытия информации в отношении неопределенности оценки;

среду деятельности. Организация может вести активную деятельность на рынке, на котором наблюдается кризис или возможность наступления спада (например, из-за значительных колебаний валют или неактивных рынков), и, следовательно, оценочное значение может зависеть от исходных данных, которые не являются непосредственно наблюдаемыми;

то, может ли руководство (или имеется ли у него практическая возможность, если это разрешено применимой концепцией подготовки финансовой отчетности):

подготовить точный и надежный прогноз в отношении того, как в будущем реализуется сделка, заключенная ранее (например, сумма, которая будет уплачена по условиям договора, зависящим от ситуации) или степени влияния и последствий будущих событий или условий (например, сумма будущих кредитных убытков или сумма будущих страховых выплат и сроки выплаты) либо

получить точную и полную информацию о текущем положении (например, информацию о характеристиках оценки, которые отражали бы точку зрения участников рынка на отчетную дату, для получения оценки справедливой стоимости).

А73. Размер суммы, признанной или раскрытой в финансовой отчетности в отношении оценочного значения, сам по себе не является показателем ее подверженности искажениям, так как, например, величина оценочного значения может быть занижена.

А74. В некоторых случаях степень неопределенности оценки может быть настолько высокой, что рассчитать обоснованное оценочное значение невозможно. В связи с этим применимая концепция подготовки финансовой отчетности может запрещать признание соответствующей статьи в финансовой отчетности или ее оценку по справедливой стоимости. В подобных ситуациях значительные риски связаны не только с необходимостью признания или непризнания оценочного значения либо оценки его по справедливой стоимости, но и с достаточностью раскрываемой информации. Применимая концепция подготовки финансовой отчетности может требовать раскрытия информации о таких оценочных значениях и о присущей им высокой степени неопределенности (см. пункты A112-А113, А143-А144).

А75. В некоторых случаях неопределенность оценочного значения может поставить под сомнение способность организации продолжать осуществлять свою деятельность в соответствии с допущением о ее непрерывности. Требования и указания, касающиеся подобных ситуаций, приводятся в МСА 570 (пересмотренном)67.

______________________________

67 МСА 570 (пересмотренный) "Непрерывность деятельности".

Сложность или субъективность (см. пункт 16(b))

Степень влияния сложности на выбор и применение метода

А76.

При рассмотрении степени влияния сложности на выбор и применение метода, использованного при расчете оценочного значения, аудитор может принять во внимание:

потребность руководства в специальных знаниях и навыках, которая может указывать на то, что метод, используемый для расчета оценочного значения, является заведомо сложным и, следовательно, оценочное значение может быть более подверженным существенному искажению. Большая подверженность существенному искажению возникает в случаях, когда руководство разработало модель самостоятельно и имеет относительно небольшой опыт в этой области или использует модель, в которой применяется метод, не разработанный или широко не используемый в определенной отрасли или среде;

характер правил расчета, требуемый применимой концепцией подготовки финансовой отчетности, который может привести к необходимости использовать сложный метод, требующий большого числа источников исходных данных за предыдущие периоды и прогнозной информации или допущений с многочисленными взаимосвязями между ними. Например, резерв под ожидаемые кредитные убытки может требовать применения суждения в отношении будущего погашения кредитов и других денежных потоков на основании рассмотрения исходных данных, полученных из опыта предыдущих периодов, и прогнозных допущений. Оценка обязательства по договору страхования также может требовать применения суждений в отношении прогнозируемых будущих выплат по договору страхования на основании опыта предыдущих периодов и текущих или предполагаемых будущих тенденций.

Степень влияния сложности на выбор и применение исходных данных

А77. При рассмотрении степени влияния сложности на выбор и применение исходных данных, использованных при расчете оценочного значения, аудитор может принять во внимание:

сложность процесса получения данных с учетом уместности и надежности источника исходных данных. Исходные данные из определенных источников могут быть более надежными, чем из других. Кроме того, по причине конфиденциального или закрытого характера информации некоторые внешние информационные источники не будут (или будут не в полном объеме) раскрывать информацию, которая может быть уместной при рассмотрении надежности предоставляемых ими исходных данных, таких как источники исходных данных, которые они использовали, или того, каким образом они были собраны и обработаны.

сложность, присущая сохранению целостности исходных данных. Когда имеется большой объем исходных данных и множество их источников, неизбежно возникает сложность с сохранением целостности исходных данных, используемых в расчете оценочного значения;

необходимость интерпретации сложных договорных условий. Например, определение притока или оттока денежных средств, возникающих в связи с возвратом переплаченной суммы поставщиком или покупателем, может зависеть от очень сложных договорных условий, которые требуют определенного опыта или компетентности для их понимания или интерпретации.

Степень влияния субъективности на выбор и применение метода, допущений или исходных данных

А78. При рассмотрении степени влияния субъективности на выбор и применение метода, допущений или исходных данных аудитор может принять во внимание:

то, насколько применимая концепция финансовой отчетности не содержит указаний в отношении методов, принципов, методик и факторов оценки, используемых в методе расчета;

неопределенность в отношении суммы или сроков, включая продолжительность периода прогнозирования.

Сумма и сроки являются источником неотъемлемой неопределенности оценки и приводят к необходимости использования руководством суждения при выборе точечной оценки, что, в свою очередь, создает условия для предвзятости руководства. Например, оценочное значение, включающее прогнозные допущения, может быть связано с высокой степенью субъективности, которая может быть чувствительной к предвзятости руководства.

Иные факторы неотъемлемого риска (см. пункт 16(b))

А79. Степень субъективности оценочного значения влияет на подверженность оценочного значения искажению из-за предвзятости или недобросовестных действий руководства или других недобросовестных действий, поскольку они влияют на неотъемлемый риск. Например, когда оценочное значение предполагает высокую степень субъективности, оценочное значение, по всей вероятности, будет более чувствительным к искажению из-за предвзятости или недобросовестных действий руководства и это может привести к широкому диапазону возможных результатов оценки. Руководство может выбрать точечную оценку из такого диапазона, которая является ненадлежащей в конкретных обстоятельствах или на которую ненадлежащее влияние оказывает неумышленная или умышленная предвзятость руководства и которая, следовательно, содержит искажения. При повторяющемся аудите признаки возможной предвзятости руководства, выявленные в ходе аудита за предыдущие периоды, влияют на планирование и действия аудитора по выявлению и оценке рисков в текущем периоде.

Значительные риски (см. пункт 17)

А80. Оценка аудитором неотъемлемого риска, которая учитывает степень неопределенности оценки, сложности, субъективности оценочного значения или иные факторы неотъемлемого риска, помогает аудитору определить, являются ли выявленные и оцененные риски существенного искажения значительным риском.

Когда аудитор планирует полагаться на операционную эффективность средств контроля (см. пункт 19)

А85. Тестирование операционной эффективности соответствующих средств контроля может быть уместным, когда неотъемлемый риск оценивается по верхней границе диапазона неотъемлемого риска, в том числе в отношении значительных рисков. Это может происходить в случае высокой степени сложности оценочного значения. Когда имеет место высокая степень субъективности оценочного значения и, следовательно, оно требует применения значимых суждений руководством, неизбежные ограничения эффективности структуры средств контроля могут привести к тому, что аудитор будет уделять больше внимания процедурам проверки по существу, чем тестированию операционной эффективности средств контроля.

Общая оценка, основанная на проведенных аудиторских процедурах (см. пункт 33)

Определение, являются ли оценочные значения обоснованными или искаженными (см. пункты 9, 35)

МСА 600 "Особенности аудита финансовой отчетности группы (включая работу аудиторов компонентов)"

Требования

Понимание деятельности группы, ее компонентов и их окружения

17. Аудитор должен выявить и оценить риски существенного искажения, получив понимание деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля. Команда аудитора группы должна:

(а) ...

Руководство по применению и прочие пояснительные материалы

Определения

Значительный компонент (см. пункт 9(т))

А6. Команда аудитора группы также может идентифицировать компонент как, по всей вероятности, связанный со значительными рисками существенного искажения финансовой отчетности группы в силу своей специфики или обстоятельств (то есть с рисками, требующими специального рассмотрения аудитором68). Например, компонент может отвечать за торговлю иностранной валютой и тем самым подвергать группу значительному риску существенного искажения, несмотря на то что во всех иных отношениях он не имеет индивидуальной финансовой значительности для группы.

Понимание деятельности группы, ее компонентов и их окружения

Вопросы, в отношении которых команда аудитора группы получает понимание (см. пункт 17)

А23. МСА 315 (пересмотренный, 2019 г.)69 содержит указания по вопросам, которые аудитор может рассматривать в рамках получения понимания в отношении отраслевых, нормативных и других внешних факторов, влияющих на организацию, включая применимую концепцию подготовки финансовой отчетности, характер деятельности организации, задачи и стратегии и соответствующие бизнес-риски, а также оценку и анализ финансовых результатов организации. В Приложении 2 к настоящему стандарту содержатся указания по конкретным вопросам, имеющим непосредственное отношение к группе, включая процесс консолидации.

______________________________

68 МСА 315 (пересмотренный), пункты 27 29.

69 МСА 315 (пересмотренный, 2019 г.), пункты А62-А64 А25-А49 и Приложение 1.

Приложение 2

Примеры вопросов, в отношении которых команда аудитора группы получает понимание

Средства контроля

1. Средства контроля на уровне группы включают комбинацию следующих мер:

регулярные встречи руководства группы и компонента для обсуждения событий в хозяйственной деятельности и анализа результатов;

контрольные действия систему контроля в рамках информационной системы, общей для всех или некоторых компонентов;

мониторинг средств контроля систему контроля в рамках процесса группы для мониторинга системы внутреннего контроля, включая деятельность службы внутреннего аудита и программы самостоятельной оценки;

Приложение 5

Необходимые и дополнительные вопросы, включаемые в инструкции команды аудитора группы

Вопросы, относящиеся к планированию работы аудитора компонента:

Вопросы, относящиеся к выполнению работы аудитором компонента:

результаты тестирования командой аудитора группы контрольных процедур системы контроля за системой обработки информации, общей для всех или некоторых компонентов, и тесты средств контроля, которые должен выполнить аудитор компонента.

МСА 610 (пересмотренный, 2013 г.) "Использование работы внутренних аудиторов"

Введение

Взаимосвязь между МСА 315 (пересмотренным, 2019 г.) и МСА 610 (пересмотренным, 2013 г.)

7. МСА 315 (пересмотренный, 2019 г.) описывает, каким образом знания и опыт службы внутреннего аудита могут помочь внешнему аудитору в изучении организации и ее окружения, применимой концепции подготовки финансовой отчетности и системы внутреннего контроля организации, а также в выявлении и оценке рисков существенного искажения. Кроме того, в МСА 315 (пересмотренном, 2019 г.) разъясняется, как эффективное взаимодействие между внутренними и внешними аудиторами создает обстановку, в которой внешний аудитор может получать информацию о значимых вопросах, способных повлиять на его работу.

Руководство по применению и прочие пояснительные материалы

Определение службы внутреннего аудита (см. пункты 2, 14(a))

А3. В отношении лиц в организации, выполняющих операционные и управленческие функции и обязанности и не входящих в состав службы внутреннего аудита, обычно существуют угрозы объективности, из-за чего для целей настоящего стандарта их нельзя рассматривать как часть службы внутреннего аудита, хотя они могут осуществлять контрольные действия реализовывать систему контроля, которые могут быть протестированы в соответствии с МСА 330. По этой причине мониторинг, осуществляемый руководителем-собственником, не будет считаться аналогом деятельности службы внутреннего аудита.

Оценка службы внутреннего аудита

Применение систематического и упорядоченного подхода (см. пункт 15(c))

А10. Применение систематического и упорядоченного подхода к планированию, выполнению, надзору, проверке и документальному оформлению мероприятий отличает деятельность службы внутреннего аудита от другой деятельности других средств контроля по мониторингу, которые могут применяться в организации.

А21. Как указано в МСА 315 (пересмотренном, 2019 г.)70, значительные риски - это риски, оцениваемые близко к верхней границе спектра неотъемлемого риска, требуют повышенного внимания аудитора, и, следовательно, возможность для внешнего аудитора использования работы службы внутреннего аудита применительно к значительным рискам будет ограничена процедурами, предполагающими ограниченные суждения. Кроме того, в тех случаях, когда риск существенного искажения не является низким, использование только работы службы внутреннего аудита, будет, скорее всего, недостаточно для снижения аудиторского риска до приемлемого уровня и вряд ли приведет к устранению необходимости выполнения ряда тестов внешним аудитором самостоятельно.

МСА 620 "Использование работы эксперта аудитора

Руководство по применению и прочие пояснительные материалы

Определение необходимости привлечения эксперта аудитора (см. пункт 7)

А4. Привлечение эксперта аудитора может потребоваться для содействия аудитору в выполнении одной или нескольких из следующих задач:

получение понимания аудитором деятельности организации и ее окружения, применимой концепции подготовки финансовой отчетности, а также, включая систему системы внутреннего контроля организации;

МСА 701 "Информирование о ключевых вопросах аудита в аудиторском заключении".

Руководство по применению и прочие пояснительные материалы

Определение ключевых вопросов аудита (см. пункты 9 - 10)

Особенности определения вопросов, требующих значительного внимания аудитора (см. пункт 9) Области оцененного повышенного риска существенного искажения отчетности или значительных рисков, выявленных согласно МСА 315 (пересмотренному, 2019 г.) (см. пункт 9(a))

А20.

МСА 315 (пересмотренный, 2019 г.) определяет значительный риск как выявленный и оцененный риск существенного искажения, для которого оценка неотъемлемого риска близка к верхнему пределу спектра неотъемлемого риска из-за того, в какой степени факторы неотъемлемого риска влияют на сочетание вероятности возникновения искажения и величины потенциального искажения в случае возникновения такого искажения, который, согласно суждению аудитора, требует особого рассмотрения в рамках аудита71. Области, требующие применения руководством значимых суждений, и значительные необычные операции во многих случаях могут определяться как значительные риски. Следовательно, значительные риски обычно представляют собой области, требующие значительного внимания аудитора.

______________________________

70 МСА 315 (пересмотренный, 2019 г.), пункт 40(e);

71 МСА 315 (пересмотренный, 2019 г.), пункт 12(1).

МСА 720 (пересмотренный) "Обязанности аудитора, относящиеся к прочей информации"

Руководство по применению и прочие пояснительные материалы

Ознакомление с прочей информацией и ее рассмотрение (см. пункты 14 - 15)

Рассмотрение вопроса о том, имеет ли место существенное несоответствие между прочей информацией и знаниями, полученными аудитором в ходе аудита (см. пункт 14(b))

А31. Знания, полученные аудитором в ходе аудита, включают понимание организации и ее окружения, применимой концепции подготовки финансовой отчетности, в том числе ее системы и системы внутреннего контроля организации, полученное в соответствии с МСА 315 (пересмотренным, 2019 г.)72. В МСА 315 (пересмотренном, 2019 г.) описано понимание, которое должен получить аудитор и которое включает такие аспекты, как изучение:

(a) организационной структуры, структуры собственности и системы корпоративного управления, а также бизнес-модели организации, в том числе того, насколько ее бизнес-модель предусматривает использование информационных технологий:

(b) соответствующих отраслевых, регуляторных и прочих внешних факторов;

(c) соответствующих мер, используемые внутри и вне организации для оценки финансовых результатов ее деятельности оценки и анализа финансовых результатов организации;

(b) характера деятельности организации;

(c) выбора и применения организацией учетной политики;

(d) целей и стратегий организации.

Процедуры, проводимые в случаях существенного искажения в финансовой отчетности или необходимости изучения вновь аудитором организации и ее окружения (см. пункт 20)

А51. При ознакомлении с прочей информацией аудитору может стать известна новая информация, которая имеет последствия:

для понимания аудитором организации и ее окружения, применимой концепцией подготовки финансовой отчетности, а также системы внутреннего контроля организации, и, следовательно, может свидетельствовать о необходимости пересмотра аудитором оценки рисков.

______________________________

72 МСА 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения" Пункты 11 - 12, пункты 19 - 27.