Международный стандарт аудита 402
"Особенности аудита организации, пользующейся услугами обслуживающей организации"
Международный стандарт аудита (МСА) 402 "Особенности аудита организации, пользующейся услугами обслуживающей организации" следует рассматривать вместе с МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита". |
Введение
Сфера применения настоящего стандарта
1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по сбору достаточных надлежащих аудиторских доказательств в случаях, когда организация-пользователь пользуется услугами одной или более обслуживающих организаций. В частности, в нем раскрывается, как аудитор организации-пользователя применяет МСА 315 (пересмотренный)1 и МСА 3302 при получении понимания организации-пользователя, включая значимую для аудита систему внутреннего контроля, достаточного для выявления и оценки рисков существенного искажения, а также при разработке и выполнении дальнейших аудиторских процедур в ответ на эти риски.
2. Многие организации для выполнения отдельных бизнес-процессов привлекают внешние обслуживающие организации, которые занимаются оказанием услуг - от выполнения какой-либо конкретной задачи под руководством организации до замены целых бизнес-единиц и служб организации, таких как служба контроля за соблюдением налогового законодательства. Многие услуги, предоставляемые такими организациями, являются неотъемлемой частью операционной деятельности организации; однако не все эти услуги являются применимыми для конкретного аудита.
3. Услуги, предоставляемые обслуживающей организацией, являются применимыми для конкретного аудита финансовой отчетности организации-пользователя при условии, что эти услуги и средства контроля за ними являются частью информационной системы организации-пользователя, включая соответствующие бизнес-процессы, относящиеся к подготовке финансовой отчетности. Несмотря на то, что большинство средств контроля обслуживающей организации, вероятно, будет связано с финансовой отчетностью, могут существовать и другие средства контроля, которые будут применимы для конкретного аудита, например средства контроля за сохранностью активов. Услуги обслуживающей организации являются частью информационной системы организации-пользователя, включая соответствующие бизнес-процессы, относящиеся к подготовке финансовой отчетности, если такие услуги затрагивают любой из следующих элементов:
(a) виды операций в рамках деятельности организации-пользователя, являющиеся существенными для финансовой отчетности организации-пользователя;
(b) процедуры, как в системе информационных технологий (ИТ), так и при ручной обработке данных, с помощью которых такие операции организации-пользователя инициируются, обобщаются, обрабатываются и, по мере необходимости, корректируются, переносятся в основной регистр и отражаются в финансовой отчетности;
(с) соответствующие данные бухгалтерского учета как в электронной форме, так и выполненные в ручном режиме, подтверждающая информация и конкретные счета в финансовой отчетности организации-пользователя, используемые для инициирования, учета, обработки и отражения в отчетности операций организации-пользователя; также к этому относится корректировка ошибочных данных и порядок переноса информации в основной регистр;
(d) способ, которым информационная система организации-пользователя фиксирует события и обстоятельства, которые не являются операциями, но являются существенными для финансовой отчетности;
(e) процесс подготовки финансовой отчетности организации-пользователя, включая значительные оценочные значения и раскрытие информации;
(f) средства контроля, связанные с бухгалтерскими записями, включая нестандартные бухгалтерские записи, применяемые для учета разовых, необычных операций или корректировок.
4. Характер и объем работ, которые должны быть выполнены аудитором организации-пользователя в отношении услуг, предоставленных обслуживающей организацией, зависят от характера и значимости таких услуг для организации-пользователя, а также от применимости этих услуг для конкретного аудита.
5. Настоящий стандарт не применяется к услугам финансовых учреждений, функции которых ограничены обработкой авторизованных организацией операций на открытых в этих учреждениях счетах организации, таких как обработка операций на текущем счете банком или обработка операций с ценными бумагами брокером. Кроме того, настоящий стандарт не применяется к аудиту операций, связанных с участием в других организациях, например товариществах, корпорациях и совместных предприятиях, когда учет собственных финансовых интересов ведется и отчетность по ним предоставляется их владельцам.
Дата вступления в силу
6. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 декабря 2009 года или после этой даты.
Цели
7. Цели аудитора организации-пользователя, когда организация-пользователь пользуется услугами обслуживающей организации, состоят в следующем:
(a) получить понимание характера и значимости услуг, предоставляемых обслуживающей организацией, и их воздействия на систему внутреннего контроля организации-пользователя, применимой для конкретного аудита и достаточной для выявления и оценки рисков существенного искажения;
(b) разработать и провести аудиторские процедуры в ответ на эти риски.
Определения
8. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:
(a) дополнительные средства контроля организации-пользователя - средства контроля, которые, как полагает обслуживающая организация, будут внедрены организациями-пользователями при разработке ее услуг и которые, при необходимости достижения целей средств контроля, определены в описании ее системы;
(b) отчет в отношении описания и структуры средств контроля в обслуживающей организации (в настоящем стандарте обозначается как отчет 1-го типа) - отчет, в состав которого входит:
(i) подготовленное руководством обслуживающей организации описание системы внутреннего контроля обслуживающей организации, целей внутреннего контроля и соответствующих средств контроля, которые были разработаны и внедрены на конкретную дату;
(ii) подготовленный аудитором обслуживающей организации с целью обеспечения разумной уверенности отчет, который включает мнение аудитора обслуживающей организации об описании системы, целей и соответствующих средств контроля обслуживающей организации, а также о пригодности разработки средств контроля для достижения конкретных целей контроля;
(c) отчет, в отношении описания, структуры и операционной эффективности средств контроля обслуживающей организации (в настоящем стандарте обозначается как отчет 2-го типа) - отчет, в состав которого входит:
(i) подготовленное руководством обслуживающей организации описание системы внутреннего контроля обслуживающей организации, целей внутреннего контроля и соответствующих средств контроля, их структуры и реализации на указанную дату и на протяжении указанного периода, а также в некоторых случаях их операционной эффективности на протяжении указанного периода;
(ii) отчет аудитора обслуживающей организации, подготовленный с целью выражения разумной уверенности, который включает:
a. мнение аудитора обслуживающей организации относительно описания системы внутреннего контроля обслуживающей организации, целей внутреннего контроля и соответствующих средств контроля, а также пригодности структуры системы внутреннего контроля для достижения указанных целей системы внутреннего контроля, а также мнение относительно операционной эффективности средств контроля;
b. описание тестирования средств контроля, проведенного аудитором обслуживающей организации, и его результатов.
(d) аудитор обслуживающей организации - аудитор, который по запросу обслуживающей организации представляет отчет по заданию, обеспечивающему уверенность в отношении средств контроля обслуживающей организации;
(e) обслуживающая организация - сторонняя организация (или сегмент сторонней организации), предоставляющая услуги организациям-пользователям, которые входят в состав информационных систем этих организаций, связанных с составлением финансовой отчетности;
(f) система обслуживающей организации - политика и процедуры, разработанные, внедренные и поддерживаемые обслуживающей организацией для предоставления организациям-пользователям услуг, в отношении которых аудитор обслуживающей организации представляет отчет;
(g) субподрядчик обслуживающей организации - обслуживающая организация, которую привлекает другая обслуживающая организация для выполнения некоторых услуг, предоставляемых организациям-пользователям, составляющих часть информационных систем этих организаций, связанных с подготовкой финансовой отчетности;
(h) аудитор организации-пользователя - аудитор, выполняющий аудиторское задание и составляющий заключение о финансовой отчетности организации-пользователя;
(i) организация-пользователь - организация, которая пользуется услугами обслуживающей организации и в отношении финансовой отчетности которой проводится аудит.
Требования
Получение понимания услуг, предоставляемых обслуживающей организацией, включая систему внутреннего контроля
9. При получении понимания организации-пользователя в соответствии с МСА 315 (пересмотренным)3 аудитор организации-пользователя должен получить понимание того, каким образом организация-пользователь использует услуги обслуживающей организации в своей деятельности, включая следующее (см. пункты А1-А2):
(a) характер предоставляемых обслуживающей организацией услуг и значимость таких услуг для организации-пользователя, включая их воздействие на систему внутреннего контроля организации-пользователя (см. пункты А3-А5);
(b) характер и существенность обрабатываемых операций либо счетов или процессов подготовки финансовой отчетности, затронутых обслуживающей организацией (см. пункт А6);
(c) степень взаимодействия деятельности обслуживающей организации и организации-пользователя (см. пункт А7);
(d) характер отношений между организацией-пользователем и обслуживающей организацией, включая соответствующие условия договоров о видах деятельности, осуществляемых обслуживающей организацией (см. пункты А8-А11).
10. При получении понимания системы внутреннего контроля, применимой к конкретному аудиту, в соответствии с МСА 315 (пересмотренным)4 аудитор организации-пользователя должен оценить структуру и способ реализации соответствующих средств контроля организации-пользователя, которые относятся к услугам, предоставляемым обслуживающей организацией, включая те, которые применяются к операциям, обрабатываемым обслуживающей организацией (см. пункты А12-А14).
11. Аудитор организации-пользователя должен определить, удалось ли получить достаточное понимание характера и значимости услуг, предоставляемых обслуживающей организацией, и их воздействия на систему внутреннего контроля организации-пользователя, связанную с проводимым аудитом, для того, чтобы обеспечить основу для выявления и оценки рисков существенного искажения.
12. Если аудитор организации-пользователя не может получить достаточное понимание этих вопросов из информации от организации-пользователя, аудитор организации-пользователя должен получить такое понимание путем проведения одной или нескольких процедур из перечисленных ниже:
(a) получение отчетов 1-го и 2-го типов, в случае их наличия;
(b) установление контакта с обслуживающей организацией через организацию-пользователя для получения конкретной информации;
(c) посещение обслуживающей организации и выполнение процедур, которые дадут необходимую информацию о соответствующих средствах контроля в обслуживающей организации;
(d) привлечение другого аудитора для выполнения процедур, которые предоставят необходимую информацию о соответствующих средствах контроля в обслуживающей организации (см. пункты А15-А20).
Использование отчетов 1-го и 2-го типов для подтверждения понимания аудитором организации-пользователя обслуживающей организации
13. При определении достаточности и надлежащего характера аудиторских доказательств, полученных из отчетов 1-го и 2-го типов, аудитор организации-пользователя должен удостовериться:
(a) в профессиональной компетентности и независимости аудитора обслуживающей организации от самой обслуживающей организации;
(b) надлежащем характере стандартов, согласно которым был подготовлен отчет 1-го или 2-го типа (см. пункт А21).
14. Если аудитор организации-пользователя планирует использовать отчет 1-го или 2-го типа в качестве аудиторских доказательств в подтверждение понимания аудитором организации-пользователя структуры и способа реализации средств контроля в обслуживающей организации, аудитор организации-пользователя должен:
(a) оценить, подходящая ли дата или период используется при описании и в структуре средств контроля обслуживающей организации для целей аудитора организации-пользователя;
(b) оценить достаточность и надлежащий характер доказательств, содержащихся в отчете, для понимания системы внутреннего контроля организации-пользователя, применимой для конкретного аудита;
(c) установить, являются ли дополнительные средства контроля организации-пользователя, определенные обслуживающей организацией, уместными для организации-пользователя и, если это так, получить понимание того, разработаны и реализованы ли такие средства контроля в организации-пользователе (см. пункты А22-А23).
Принятие мер в ответ на оцененные риски существенного искажения
15. В ответ на оцененные риски в соответствии с МСА 330 аудитор организации-пользователя должен:
(a) определить, можно ли из данных, которые хранит организация-пользователь, получить достаточные надлежащие аудиторские доказательства в отношении соответствующих предпосылок финансовой отчетности, и, если нет,
(b) провести дальнейшие аудиторские процедуры с целью получения достаточных надлежащих аудиторских доказательств или привлечь другого аудитора для проведения таких процедур в обслуживающей организации от лица аудитора организации-пользователя (см. пункты А24-А28).
Тесты средств контроля
16. Если оценка рисков аудитором организации-пользователя включает ожидание того, что средства контроля в обслуживающей организации работают эффективно, аудитор организации-пользователя должен собрать аудиторские доказательства операционной эффективности этих средств контроля посредством одной или нескольких следующих процедур:
(a) получение отчета 2-го типа, в случае его наличия;
(b) проведение соответствующих тестов средств контроля в обслуживающей организации;
(c) привлечение другого аудитора для проведения тестов средств контроля в обслуживающей организации от лица аудитора организации-пользователя (см. пункты А29-А30).
Использование отчета 2-го типа в качестве аудиторских доказательств операционной эффективности средств контроля в обслуживающей организации
17. Если в соответствии с пунктом 16(a) аудитор организации-пользователя планирует использовать в качестве аудиторских доказательств операционной эффективности средств контроля обслуживающей организации отчет 2-го типа, аудитор организации-пользователя должен определить, содержатся ли в отчете аудитора обслуживающей организации достаточные надлежащие аудиторские доказательства эффективности средств контроля, подтверждающие оценку рисков аудитором организации-пользователя, что достигается путем:
(a) оценки того, подходящая ли дата или период используется при описании, в структуре и при определении операционной эффективности средств контроля обслуживающей организации для целей аудитора организации-пользователя;
(b) установления того, являются ли дополнительные средства контроля организации-пользователя, определенные обслуживающей организацией, применимыми организациями-пользователями, и, если это так, получения понимания того, разработаны и реализованы ли такие средства контроля в организации-пользователе, и, если такое понимание получено, тестирования их операционной эффективности;
(c) оценки достаточности периода, охватываемого тестами средств контроля, и времени, прошедшего после проведения этих тестов средств контроля;
(d) оценки того, соответствуют ли тесты средств контроля, проведенные аудитором обслуживающей организации, и их результаты, описанные в отчете аудитора обслуживающей организации, предпосылкам в отношении финансовой отчетности организации-пользователя и дают ли они достаточные надлежащие аудиторские доказательства для подтверждения оценки рисков аудитором организации-пользователя (см. пункты A31-А39).
Отчеты 1-го и 2-го типов, которые не включают услуги субподрядчика обслуживающей организации
18. Если аудитор организации-пользователя планирует использовать отчет 1-го или 2-го типа, не включающий предоставляемые субподрядчиком обслуживающей организации услуги, а эти услуги являются применимыми для конкретного аудита финансовой отчетности организации-пользователя, то аудитор организации-пользователя должен применить требования настоящего стандарта по отношению к услугам, предоставляемым субподрядчиком обслуживающей организации (см. пункт А40).
Недобросовестные действия, несоблюдение законов и нормативных актов и неисправленные искажения в связи с деятельностью обслуживающей организации
19. Аудитор организации-пользователя должен запросить у руководства организации-пользователя, сообщала ли обслуживающая организация организации-пользователю или известно ли организации-пользователю из других источников о каких бы то ни было фактах недобросовестных действий, несоблюдения законов и нормативных актов или неустранения искажений, влияющих на финансовую отчетность организации-пользователя. Аудитор организации-пользователя должен оценить, как такие факторы влияют на характер, сроки выполнения и объем дальнейших планируемых аудитором организации-пользователя дальнейших аудиторских процедур, включая их влияние на выводы аудитора организации-пользователя и аудиторское заключение аудитора организации-пользователя (см. пункт А41).
Представление заключения аудитором организации-пользователя
20. Аудитор организации-пользователя должен модифицировать мнение в аудиторском заключении аудитора организации-пользователя в соответствии с MCA 7055, если аудитор организации-пользователя не в состоянии получить достаточные надлежащие аудиторские доказательства в отношении предоставляемых обслуживающей организацией услуг, применимых для конкретного аудита финансовой отчетности организации-пользователя (см. пункт А42).
21. Аудитор организации-пользователя не может ссылаться в содержащем немодифицированное мнение аудиторском заключении аудитора организации-пользователя на работу аудитора обслуживающей организации, если только это не требуется действующими законами или нормативными актами. Если такая ссылка требуется согласно законам или нормативным актам, аудиторское заключение аудитора организации-пользователя должно содержать указание на то, что эта ссылка не ограничивает ответственность аудитора организации-пользователя за его аудиторское мнение (см. пункт А43).
22. Если ссылка на работу аудитора обслуживающей организации необходима для понимания модификации мнения аудитора организации-пользователя, аудиторское заключение аудитора организации-пользователя должно содержать указание на то, что эта ссылка не ограничивает ответственность аудитора организации-пользователя за его аудиторское мнение (см. пункт А44).
***
Руководство по применению и прочие пояснительные материалы
Получение понимания услуг, предоставляемых обслуживающей организацией, включая систему внутреннего контроля
Источники информации (см. пункт 9)
А1. Информация о характере услуг, предоставляемых обслуживающей организацией, может быть получена из широкого круга источников, таких как:
- руководства пользователей;
- обзоры систем;
- технические руководства;
- договор или соглашение об уровне обслуживания между организацией-пользователем и обслуживающей организацией;
- отчеты обслуживающих организаций, службы внутреннего аудита или регулирующих органов по вопросам средств контроля данной обслуживающей организации;
- отчеты аудитора обслуживающей организации, включая письма руководству, в случае их наличия.
А2. Знания, полученные аудитором организации-пользователя из опыта его работы с обслуживающей организацией, например, из опыта выполнения других аудиторских заданий, также могут быть полезны для получения понимания характера услуг, предоставляемых обслуживающей организацией. Это может оказаться особенно полезным, если услуги и средства контроля за этими услугами в обслуживающей организации имеют высокую степень стандартизации.
Характер услуг, предоставляемых обслуживающей организацией (см. пункт 9(a))
A3. Организация-пользователь может воспользоваться услугами обслуживающей организации, например, для обработки операций и ведения соответствующего учета или для учета операций и обработки соответствующих данных. Обслуживающие организации, предоставляющие такие услуги, это, например, трастовые департаменты банков, которые инвестируют и обслуживают активы по программам вознаграждений работников или в интересах иных лиц; ипотечные банки, обслуживающие ипотечные программы в интересах сторонних лиц; а также поставщики программного обеспечения, которые поставляют пакетное программное обеспечение и технологии, позволяющие клиентам обрабатывать финансовые и текущие операции.
А4. Примеры услуг обслуживающей организации, которые применимы для конкретного аудита:
- ведение бухгалтерского учета организации-пользователя;
- управление активами;
- инициирование, обобщение или обработка операций в качестве агента организации-пользователя.
Особенности малых организаций
А5. Малые организации могут пользоваться разнообразными услугами сторонних организаций в области ведения бухгалтерского учета - от обработки определенных операций (например, уплаты налогов с заработной платы) и ведения их учета до подготовки финансовой отчетности. Использование услуг такой обслуживающей организации для подготовки финансовой отчетности не освобождает руководство малой организации и, если уместно, лиц, отвечающих за корпоративное управление, от их ответственности в отношении финансовой отчетности6.
Характер и существенность операций, обрабатываемых обслуживающей организацией (см. пункт 9(b))
А6. Обслуживающая организация может установить политику и процедуры, которые влияют на систему внутреннего контроля организации-пользователя. Эти политики и процедуры, по крайней мере отчасти, физически и функционально отделены от организации-пользователя. Важность средств контроля обслуживающей организации для средств контроля организации-пользователя зависит от характера услуг, предоставляемых обслуживающей организацией, включая характер и существенность операций, которые она обрабатывает для организации-пользователя. В некоторых случаях операции, обрабатываемые обслуживающей организацией, и соответствующие счета могут оказаться несущественными для финансовой отчетности организации-пользователя, однако характер обрабатываемых операций может оказаться значительным, и аудитор организации-пользователя в этой ситуации может прийти к выводу о необходимости получить понимание этих средств контроля.
Степень взаимодействия деятельности обслуживающей организации и организации-пользователя (см. пункт 9(c))
А7. Важность средств контроля обслуживающей организации для средств контроля организации-пользователя также зависит от степени взаимодействия ее деятельности с деятельностью организации-пользователя. Степень взаимодействия деятельности означает степень, в пределах которой организация-пользователь имеет возможность и предпочитает применять эффективные средства контроля за обработкой данных, выполняемой обслуживающей организацией. Например, высокая степень взаимодействия существует между деятельностью организации-пользователя и обслуживающей организации, когда организация-пользователь авторизует проведение операций, а обслуживающая организация обрабатывает их и ведет их бухгалтерский учет. В этих обстоятельствах внедрение эффективных средств контроля за такими операциями со стороны организации-пользователя может оказаться целесообразным. С другой стороны, когда обслуживающая организация сама инициирует или ведет первичный учет, обработку и бухгалтерский учет операций организации-пользователя, степень взаимодействия деятельности этих двух организаций является более низкой. В этих обстоятельствах организация-пользователь может не иметь возможности внедрить эффективные средства контроля за этими операциями в организации-пользователе или предпочитает не делать этого и может полагаться на средства контроля, используемые в обслуживающей организации.
Характер отношений между организацией-пользователем и обслуживающей организацией (см. пункт 9(d))
А8. Договор или соглашение об уровне обслуживания между организацией-пользователем и обслуживающей организацией может предусматривать положения по следующим вопросам:
- информация, которая должна быть предоставлена организации-пользователю, и обязанности инициировать операции, относящиеся к деятельности обслуживающей организации;
- применение требований регулирующих органов в отношении формы ведения бухгалтерских записей или порядка доступа к ним;
- возмещение ущерба, если оно предусмотрено, которое предоставляется организации-пользователю в случае невыполнения обязательств;
- намерение обслуживающей организации предоставлять отчет о средствах контроля и, при наличии такого намерения, определение, какого типа будет этот отчет - 1-го или 2-го типа;
- наличие у аудитора организации-пользователя права доступа к данным бухгалтерского учета организации-пользователя, который ведется в обслуживающей организации, а также к прочей информации, необходимой для проведения аудита;
- наличие в соглашении возможности прямого общения между аудитором организации-пользователя и аудитором обслуживающей организации.
А9. Существует непосредственное взаимодействие между обслуживающей организацией и организацией-пользователем, а также между обслуживающей организацией и аудитором обслуживающей организации. Эти отношения не обязательно приводят к непосредственному взаимодействию между аудитором организации-пользователя и аудитором обслуживающей организации. Если непосредственное взаимодействие между аудитором организации-пользователя и аудитором обслуживающей организации отсутствует, информационное взаимодействие между ними обычно осуществляется через организацию-пользователя и обслуживающую организацию. Непосредственное взаимодействие также может возникать между аудитором организации-пользователя и аудитором обслуживающей организации с учетом соответствующих этических норм и принципа конфиденциальности. Аудитор организации-пользователя, например, может воспользоваться услугами аудитора обслуживающей организации для выполнения от лица аудитора организации-пользователя следующих процедур:
(a) тестирование средств контроля обслуживающей организации;
(b) процедуры проверки по существу по тем операциям и остаткам по счетам в финансовой отчетности организации-пользователя, которые ведутся обслуживающей организацией.
Особенности организаций государственного сектора
А10. Аудиторы государственного сектора обычно пользуются широкими правами доступа, установленными законодательством. Однако могут быть ситуации, когда такие права доступа не действуют, например, когда обслуживающая организация находится в другой юрисдикции. В таких случаях аудитору государственного сектора, возможно, потребуется получить понимание законодательства, применяемого в этой юрисдикции, чтобы определить, можно ли получить соответствующие права доступа. Аудитор государственного сектора может также получить права доступа или просить организацию-пользователя включить положение о правах доступа в любые договорные соглашения между организацией-пользователем и обслуживающей организацией.
А11. Для проведения тестов средств контроля или процедур проверки по существу в отношении соблюдения законодательства, нормативных актов или каких-либо иных источников права аудиторы государственного сектора могут также привлекать другого аудитора.
Понимание средств контроля, связанных с услугами, предоставляемыми обслуживающей организацией (см. пункт 10)
А12. Организация-пользователь может применить средства контроля за услугами обслуживающей организации, которые может протестировать аудитор организации-пользователя, что может позволить ему прийти к заключению, что средства контроля организации-пользователя работают эффективно в отношении некоторых или всех соответствующих предпосылок, независимо от средств контроля, применяемых в обслуживающей организации. Если организация-пользователь, например, пользуется услугами обслуживающей организации для обработки своих расчетов с сотрудниками по выплате заработной платы, организация-пользователь может применять средства контроля за предоставлением и получением данных по расчету заработной платы, которые могут предотвратить или обнаружить существенные искажения. Эти средства контроля могут включать:
- сравнение данных, переданных в обслуживающую организацию, с информационными отчетами, полученными от обслуживающей организации после того, как эти данные были обработаны;
- выборочный пересчет сумм заработной платы на предмет точности расчетов и проверка общей суммы платежной ведомости на предмет ее обоснованности.
А13. В этой ситуации аудитор организации-пользователя может провести тестирование средств контроля организации-пользователя по обработке данных по заработной плате, что будет основанием для заключения аудитором организации-пользователя, что ее средства контроля работают эффективно в отношении предпосылок, связанных с операциями по заработной плате.
А14. Как отмечается в МСА 315 (пересмотренном)7, в отношении некоторых рисков аудитор организации-пользователя может заключить, что собрать достаточные надлежащие аудиторские доказательства только на основе проведения процедур проверки по существу невозможно или слишком затратно. Такие риски могут быть связаны с неточными или неполными записями обычных и значительных видов операций и остатков по счетам, характерные особенности которых во многих случаях допускают высокоавтоматизированную обработку с незначительным ручным вмешательством или без него. Такие особенности, позволяющие проводить автоматизированную обработку, могут проявляться особенно сильно, когда организация-пользователь прибегает к услугам обслуживающих организаций. В таких случаях средства контроля организации-пользователя за такими рисками значимы для проводимого аудита, и аудитор организации-пользователя должен получить понимание таких средств контроля, а также оценить их в соответствии с пунктами 9 и 10 настоящего стандарта.
Дальнейшие процедуры в случаях, когда от организации-пользователя не удается получить достаточное понимание (см. пункт 12)
А15. Решение аудитора организации-пользователя о том, какую из процедур, упомянутых в пункте 12, провести, как в отдельности, так и в сочетании с другими процедурами, чтобы получить информацию, необходимую для обеспечения основы выявления и оценки рисков существенного искажения в отношении использования организацией-пользователем услуг обслуживающей организации, может зависеть от таких факторов, как:
- размеры как организации-пользователя, так и обслуживающей организации;
- сложность операций организации-пользователя и сложность услуг, предоставляемых обслуживающей организацией;
- местоположение обслуживающей организации (например, аудитор организации-пользователя может решить привлечь другого аудитора для проведения процедур в обслуживающей организации от лица аудитора организации-пользователя, если обслуживающая организация находится в удаленном местоположении);
- ожидание того, что в результате проведенных процедур аудитор организации-пользователя получит достаточные надлежащие аудиторские доказательства;
- характер взаимоотношений между организацией-пользователем и обслуживающей организацией.
А16. Обслуживающая организация может привлечь аудитора обслуживающей организации для подготовки отчета, содержащего описание и структуру ее средств контроля (отчет 1-го типа) или описание и структуру ее средств контроля, наряду с их операционной эффективностью (отчет 2-го типа). Отчеты 1-го или 2-го типа могут составляться в соответствии с Международным стандартом заданий, обеспечивающих уверенность (МСЗОУ) 34028 или в соответствии со стандартами, установленными соответствующей уполномоченной или признанной организацией по выработке стандартов (в которых эти отчеты могут называться иначе, например отчеты типа А или отчеты типа В).
А17. Возможность получения отчета 1-го типа или отчета 2-го типа обычно будет зависеть от того, предусмотрено ли в договоре между обслуживающей организацией и организацией-пользователем соответствующее условие о предоставлении такого отчета обслуживающей организацией. Исходя из практических соображений, обслуживающая организация может также принять самостоятельное решение о целесообразности предоставления отчета 1-го типа или отчета 2-го типа ее организациям-пользователям. Однако в некоторых случаях отчет 1-го или 2-го типа может оказаться недоступным для организаций-пользователей.
А18. В некоторых обстоятельствах организация-пользователь может передать на внешний подряд одной или нескольким обслуживающим организациям одну или несколько значительных бизнес-единиц или служб, таких как служба налогового планирования и соблюдения требований налогового законодательства или служба финансов и бухгалтерского учета, или служба контроля. Поскольку в таких обстоятельствах отчет о средствах контроля обслуживающей организации может отсутствовать, наиболее эффективной процедурой, позволяющей аудитору организации-пользователя получить понимание средств контроля обслуживающей организации, может стать посещение обслуживающей организации, когда появится возможность непосредственного взаимодействия руководства организации-пользователя с руководством обслуживающей организации.
А19. Для проведения процедур, в результате которых будет получена необходимая информация о соответствующих средствах контроля обслуживающей организации, может привлекаться другой аудитор. Если выпущен отчет 1-го или 2-го типа, для проведения этих процедур аудитор организации-пользователя может привлечь аудитора обслуживающей организации, поскольку между аудитором обслуживающей организации и обслуживающей организацией уже установлены отношения. Аудитор организации-пользователя, когда он использует результаты работы другого аудитора, может считать полезными указания MCA 6009, поскольку этот стандарт связан с пониманием работы другого аудитора (включая независимость и профессиональную компетентность этого аудитора), участием в работе другого аудитора по планированию характера, сроков и объема такой работы, а также оценкой достаточности и надлежащего характера собранных аудиторских доказательств.
А20. Организация-пользователь может воспользоваться услугами обслуживающей организации, которая, в свою очередь, пользуется услугами субподрядчика обслуживающей организации для оказания некоторых услуг, предоставляемых организации-пользователю и являющихся частью информационной системы организации-пользователя, связанной с подготовкой финансовой отчетности. Этот субподрядчик обслуживающей организации может являться отдельным от обслуживающей организации лицом или может быть связан с обслуживающей организацией. Аудитору организации-пользователя может потребоваться рассмотреть средства контроля субподрядчика обслуживающей организации. В ситуации, когда используется один или несколько субподрядчиков обслуживающей организации степень взаимодействия деятельности организации-пользователя и обслуживающей организации возрастает, и взаимодействие уже охватывает организацию-пользователя, обслуживающую организацию и субподрядчика обслуживающей организации. Степень этого взаимодействия, а также характер и существенность операций, обрабатываемых обслуживающей организацией и субподрядчиками обслуживающей организации, являются наиболее важными факторами, которые аудитор организации-пользователя должен рассмотреть при определении значимости средств контроля обслуживающей организации и субподрядчиков обслуживающей организации для средств контроля организации-пользователя.
Использование отчетов 1-го и 2-го типов для понимания аудитором организации-пользователя обслуживающей организации (см. пункты 13-14)
А21. Аудитор организации-пользователя может запросить информацию об аудиторе обслуживающей организации в его профессиональной организации или у других практикующих специалистов и выяснить, подлежит ли деятельность аудитора обслуживающей организации надзору со стороны регулирующих органов. Аудитор обслуживающей организации может практиковать в юрисдикции, где приняты другие стандарты в отношении отчетов о средствах контроля обслуживающей организации, и аудитор организации-пользователя может получить информацию об этих стандартах, применяемых аудитором обслуживающей организации, в организации по разработке и утверждению стандартов.
А22. Отчет 1-го или 2-го типа, наряду с информацией об организации-пользователе, может помочь аудитору организации-пользователя получить понимание следующих вопросов:
(a) те аспекты средств контроля обслуживающей организации, которые могут влиять на обработку операций организации-пользователя, включая использование субподрядчиков обслуживающей организации;
(b) поток значительных операций через обслуживающую организацию с целью определить области в этом потоке операций, в которых могут возникать существенные искажения в финансовой отчетности организации-пользователя;
(c) цели средств контроля обслуживающей организации, которые являются значимыми для предпосылок финансовой отчетности организации-пользователя;
(d) вопроса о том, разработаны и внедрены ли надлежащим образом средства контроля обслуживающей организации для целей предотвращения или обнаружения и исправления ошибок в обработке операций, которые могут приводить к существенным искажениям в финансовой отчетности организации-пользователя.
Отчет 1-го или 2-го типа может помочь аудитору организации-пользователя в получении достаточных данных для выявления и оценки рисков существенного искажения. Однако отчет 1-го типа не содержит никаких доказательств операционной эффективности соответствующих средств контроля.
А23. Отчет 1-го или 2-го типа, подготовленный по состоянию на дату или за период, выходящие за рамки отчетного периода организации-пользователя, может помочь аудитору получить предварительное понимание средств контроля, применяемых в обслуживающей организации, если такой отчет дополняется текущей информацией из других источников. Если описание средств контроля обслуживающей организации подготовлено на дату или за период, которые предшествуют началу аудируемого периода, аудитор организации-пользователя может провести следующие процедуры для актуализации информации в отчете 1-го или 2-го типа:
- обсуждение изменений в обслуживающей организации с персоналом организации-пользователя, который в силу должностных обязанностей должен быть осведомлен о таких изменениях;
- обзор текущей документации обслуживающей организации и корреспонденции от нее;
- обсуждение изменений с персоналом обслуживающей организации.
Принятие мер в ответ на оцененные риски существенного искажения (см. пункт 15)
А24. Вопрос о том, ведет ли использование обслуживающей организации к повышению риска существенного искажения организации-пользователя, зависит от характера предоставляемых услуг и от средств контроля за этими услугами; в некоторых случаях привлечение обслуживающей организации может снизить риск существенного искажения организации-пользователя, особенно если организация-пользователь сама по себе не обладает необходимым опытом осуществления определенных видов деятельности, например, инициирования, обобщения и обработки операций, или не располагает достаточными ресурсами (например, ИТ-системой).
А25. Когда обслуживающая организация ведет существенные элементы данных бухгалтерского учета организации-пользователя, аудитору организации-пользователя может понадобиться непосредственный доступ к этим данным, чтобы получить достаточные надлежащие аудиторские доказательства, относящиеся к работе средств контроля за этими данными, или чтобы получить подтверждения операций и остатков по счетам, отраженных в таких данных, или чтобы решить обе эти задачи. Такой доступ может означать либо физическую проверку данных бухгалтерского учета в помещении обслуживающей организации, либо анализ данных, которые ведутся в электронной форме, из помещения организации-пользователя или из другого места, либо сочетание этих двух методов. Если непосредственный доступ достигается с помощью электронных средств, аудитор организации-пользователя может получить доказательства достаточности применяемых обслуживающей организацией средств контроля за полнотой и честностью данных организации-пользователя, за которые отвечает обслуживающая организация.
А26. При определении характера и объема аудиторских доказательств, которые необходимо собрать в отношении остатков по счетам, представляющим активы в наличии или операции, проведенные обслуживающей организацией от лица организации-пользователя, аудитор организации-пользователя может рассмотреть возможность выполнения следующих процедур:
(a) проверка записей и документов, находящихся в организации-пользователе: надежность этого источника доказательств определяется характером и объемом данных бухгалтерского учета и подтверждающей документации, хранящейся в организации-пользователе. В некоторых случаях организация-пользователь может не вести независимый подробный учет или документацию в отношении конкретных операций, проведенных от ее лица;
(b) проверка записей и документов, находящихся в обслуживающей организации: возможность доступа аудитора организации-пользователя к записям обслуживающей организации может устанавливаться в договоре между организацией-пользователем и обслуживающей организацией. Аудитор организации-пользователя может также привлекать другого аудитора, чтобы тот от его лица получил доступ к записям организации-пользователя, ведущимся в обслуживающей организации;
(c) получение подтверждения остатков по счетам и операций от обслуживающей организации: если организация-пользователь ведет независимый учет остатков по счетам и операций, подтверждение от обслуживающей организации, подкрепляющее записи организации-пользователя, может представлять собой надежные аудиторские доказательства существования соответствующих операций и активов. Например, когда используется несколько обслуживающих организаций, таких как управляющий инвестициями и депозитарий, и эти обслуживающие организации ведут независимый учет, аудитор организации-пользователя может подтвердить остатки по счетам у этих организаций, для того, чтобы сравнить эту информацию с записями независимого учета организации-пользователя.
Если организация-пользователь не ведет независимый учет, то подтверждающая информация, полученная от обслуживающей организации, является лишь изложением того, что отражено в записях, которые ведет обслуживающая организация. Таким образом, такие подтверждения сами по себе не являются надежными аудиторскими доказательствами. В этих обстоятельствах аудитор организации-пользователя может рассмотреть вопрос о возможности установления альтернативного источника независимых доказательств;
(d) проведение аналитических процедур в отношении записей, ведущихся в организации-пользователе, или отчетов, полученных от обслуживающей организации: эффективность аналитических процедур, вероятно, будет меняться для каждой из предпосылок, и будет зависеть от объема и степени детализации доступной информации.
А27. Процедуры проверки по существу в интересах аудиторов организации-пользователя могут проводиться другим аудитором. Такое задание может включать проведение другим аудитором процедур, согласованных между организацией-пользователем и ее аудитором, с одной стороны, и обслуживающей организацией и ее аудитором - с другой. Результаты процедур, проведенных другим аудитором, изучаются аудитором организации-пользователя с целью определить, представляют ли они достаточные надлежащие аудиторские доказательства. Кроме того, могут существовать требования, наложенные государственными органами или предусмотренные условиями договора, в соответствии с которыми аудитор обслуживающей организации проводит определенные процедуры, являющиеся по своему характеру процедурами проверки по существу. Соответствующие результаты применения необходимых процедур к остаткам по счетам и операциям, обрабатываемым обслуживающей организацией, могут использоваться аудиторами организации-пользователя как часть доказательств, необходимых для обоснования их аудиторских мнений. В этих обстоятельствах для аудитора организации-пользователя и аудитора обслуживающей организации может оказаться полезным предварительное, еще до выполнения соответствующих процедур, согласование аудиторской документации или условий доступа к ней, которые будут предоставлены аудитору организации-пользователя.
А28. В некоторых обстоятельствах, в частности, когда организация-пользователь передает на внешний подряд обслуживающей организации некоторые или все компоненты ее финансовой службы, аудитор организации-пользователя может столкнуться с ситуацией, когда значительная часть аудиторских доказательств находится в обслуживающей организации. Может потребоваться проведение процедур проверки по существу в обслуживающей организации аудитором организации-пользователя или другим аудитором от его лица. Аудитор обслуживающей организации может представить отчет 2-го типа и, кроме того, провести процедуры проверки по существу от лица аудитора организации-пользователя. Привлечение другого аудитора не отменяет обязанностей аудитора организации-пользователя по сбору достаточных надлежащих аудиторских доказательств с целью получения разумного основания для выражения аудиторского мнения аудитором организации-пользователя. Следовательно, рассмотрение аудитором организации-пользователя вопроса о том, были ли собраны достаточные надлежащие аудиторские доказательства, и следует ли аудитору организации-пользователя проводить дополнительные процедуры проверки по существу, предполагает вовлечение аудитора организации-пользователя в управление, надзор и проведение процедур проверки по существу, выполняемых другим аудитором, или доказательства этого вовлечения.
Тестирование средств контроля (см. пункт 16)
А29. Аудитор организации-пользователя должен в соответствии со стандартом МСА 33010 разработать и провести тесты средств контроля для сбора достаточных надлежащих аудиторских доказательств в отношении операционной эффективности соответствующих средств контроля в определенных обстоятельствах. В контексте обслуживающей организации это требование применяется, когда:
(a) оценка аудитором организации-пользователя рисков существенного искажения включает ожидание того, что средства контроля обслуживающей организации работают эффективно (то есть аудитор организации-пользователя намерен полагаться на операционную эффективность средств контроля обслуживающей организации при определении характера, сроков и объема процедур проверки по существу);
(b) процедуры проверки по существу сами по себе или в сочетании с тестами операционной эффективности средств контроля в организации-пользователе не могут дать достаточных надлежащих аудиторских доказательств на уровне предпосылок.
А30. Если отчет 2-го типа отсутствует, аудитор организации-пользователя может связаться с обслуживающей организацией через организацию-пользователя и запросить у аудитора обслуживающей организации подготовку отчета 2-го типа, включающего тестирование операционной эффективности соответствующих средств контроля, либо для проведения процедур в обслуживающей организации аудитор организации-пользователя может привлечь другого аудитора, который протестирует операционную эффективность этих средств контроля. Аудитор организации-пользователя может также по согласованию с обслуживающей организацией посетить ее и провести тесты соответствующих средств контроля. Оценка рисков аудитором организации-пользователя основывается на комбинации всех доказательств, полученных в результате работы другого аудитора и проведения собственных процедур аудитором организации-пользователя.
Использование отчета 2-го типа в качестве аудиторских доказательств операционной эффективности средств контроля в обслуживающей организации (см. пункт 17)
А31. Отчет 2-го типа может предназначаться для удовлетворения потребностей нескольких разных аудиторов организации-пользователя; поэтому тесты средств контроля и результаты, представленные в отчете аудитора обслуживающей организации, могут не иметь отношения к предпосылкам, которые являются значительными в финансовой отчетности организации-пользователя. Применяемые тесты средств контроля и результаты оцениваются на предмет того, обеспечивает ли аудиторский отчет аудитора обслуживающей организации достаточными надлежащими аудиторскими доказательствами в отношении операционной эффективности средств контроля, подтверждающими оценку рисков аудитором организации-пользователя. При этом аудитор организации-пользователя может принять во внимание следующие факторы:
(a) период, охватываемый тестами средств контроля, и время, прошедшее после проведения этих тестов средств контроля;
(b) объем работ аудитора обслуживающей организации и охваченные услуги и процессы, протестированные средства контроля и тесты, которые были выполнены, а также то, каким образом протестированные средства контроля взаимодействуют со средствами контроля организации-пользователя;
(c) результаты этих тестов средств контроля и мнение аудитора обслуживающей организации об операционной эффективности этих средств контроля.
А32. В отношении некоторых предпосылок чем короче период, охваченный конкретным тестом, и чем больше времени прошло с момента его проведения, тем меньше аудиторских доказательств может дать этот тест. При сравнении периода, охваченного отчетом 2-го типа, с периодом финансовой отчетности организации-пользователя аудитор организации-пользователя может прийти к выводу, что этот отчет 2-го типа дает меньше аудиторских доказательств, если существует лишь небольшое пересечение периода, охваченного отчетом 2-го типа, и периода, в отношении которого аудитор организации-пользователя намерен полагаться на этот отчет. В таком случае дополнительные аудиторские доказательства могут представляться в отчете 2-го типа, охватывающем предшествующий или последующий период. В других случаях аудитор организации-пользователя может определить, что необходимо провести тесты средств контроля обслуживающей организации или использовать другого аудитора для проведения таких тестов с целью сбора достаточных надлежащих аудиторских доказательств операционной эффективности этих средств контроля.
А33. Аудитору организации-пользователя может также понадобиться собрать дополнительные доказательства о существенных изменениях в применяемых средствах контроля обслуживающей организации за пределами периода, охваченного отчетом 2-го типа, или определить перечень дополнительных аудиторских процедур, которые необходимо провести. Значимые факторы при определении того, какие дополнительные аудиторские доказательства необходимо получить о средствах контроля обслуживающей организации, которые действовали за пределами периода времени, охваченного отчетом аудитора обслуживающей организации, могут включать:
- значительность оцененных рисков существенного искажения на уровне предпосылок;
- конкретные средства контроля, которые тестировались в течение промежуточного периода, и значительные изменения в них, имевшие место после тестирования, включая изменения в информационной системе, процессах и персонале;
- мера, в которой были получены аудиторские доказательства в отношении операционной эффективности этих средств контроля;
- продолжительность оставшегося периода;
- степень, до которой аудитор организации-пользователя намерен сократить объем дальнейших процедур проверки по существу, полагаясь на средства контроля;
- эффективность контрольной среды и мониторинга средств контроля организации-пользователя.
А34. Дополнительные аудиторские доказательства могут быть получены, например, за счет распространения тестов средств контроля на оставшийся период или за счет тестирования мониторинга средств контроля организации-пользователя.
A35. Если период, охватываемый тестами аудитора обслуживающей организации, полностью выходит за рамки финансового отчетного периода организации-пользователя, аудитор организации-пользователя не сможет полагаться на такие тесты для того, чтобы прийти к заключению, что средства контроля организации-пользователя работают эффективно, потому что эти тесты не дают доказательств эффективности средств контроля в текущем аудируемом периоде, если только не будут проведены другие процедуры.
А36. В определенных обстоятельствах услуга, предоставляемая обслуживающей организацией, может разрабатываться исходя из допущения, что организация-пользователь реализует определенные средства контроля. Например, эта услуга может быть разработана исходя из предположения, что организация-пользователь будет использовать средства контроля для авторизации операций перед тем, как они будут направлены в обслуживающую организацию для обработки. В такой ситуации описание обслуживающей организацией средств контроля может включать описание этих дополнительных средств контроля организации-пользователя. Аудитор организации-пользователя принимает решение о том, являются ли значимыми эти дополнительные средства контроля организации-пользователя для услуги, предоставляемой организации-пользователю.
А37. Если аудитор организации-пользователя считает, что отчет аудитора обслуживающей организации не может обеспечить достаточные надлежащие аудиторские доказательства, например, если отчет аудитора обслуживающей организации не содержит описания проведенных им тестов средств контроля и их результатов, аудитор организации-пользователя может расширить свое понимание процедур и выводов аудитора обслуживающей организации, связавшись с обслуживающей организацией через организацию-пользователя и запросив о возможности обсудить с аудитором обслуживающей организации объем и результаты работы этого аудитора обслуживающей организации. Кроме того, если аудитор организации-пользователя сочтет необходимым, он может связаться с обслуживающей организацией через организацию-пользователя и запросить о проведении аудитором обслуживающей организации процедур в обслуживающей организации. В качестве альтернативы такие процедуры могут проводиться аудитором организации-пользователя или другим аудитором по запросу аудитора организации-пользователя.
A38. Отчет 2-го типа аудитора обслуживающей организации содержит результаты тестов, включая расхождения, и прочую информацию, которая может оказывать влияние на выводы аудитора организации-пользователя. Расхождения, отмеченные аудитором обслуживающей организации, или модифицированное мнение в отчете 2-го типа аудитора обслуживающей организации автоматически не означают, что такой отчет 2-го типа аудитора обслуживающей организации не будет полезен для аудита финансовой отчетности организации-пользователя в плане оценки рисков существенного искажения. Скорее, эти расхождения и вопросы, которые привели к выражению модифицированного мнения в отчете 2-го типа аудитора обслуживающей организации, учитываются аудитором организации-пользователя при оценке тестов средств контроля, проведенных аудитором обслуживающей организации. При изучении этих расхождений и вопросов, которые привели к модифицированному мнению, аудитор организации-пользователя может обсудить такие вопросы с аудитором обслуживающей организации. Такое информационное взаимодействие зависит от участия организации-пользователя, которая должна связаться с обслуживающей организацией и получить ее согласие на организацию информационного взаимодействия аудиторов.
Информирование о недостатках в системе внутреннего контроля, выявленных в ходе аудита
А39. Аудитор организации-пользователя должен своевременно сообщать в письменной форме о значительных недостатках, выявленных в ходе аудита, как руководству, так и лицам, отвечающим за корпоративное управление11. Аудитор организации-пользователя также должен своевременно сообщить руководству с соответствующим уровнем ответственности о других недостатках в системе внутреннего контроля, выявленных в ходе аудита, которые, согласно профессиональному суждению аудитора, достаточно важны, чтобы привлечь внимание руководства12. Вопросы, которые аудитор организации-пользователя может выявить в ходе проводимого аудита и сообщить руководству и лицам, отвечающим за корпоративное управление, организации-пользователя, включают:
- любой мониторинг средств контроля, которые могут использоваться организацией-пользователем, в том числе выявленных по результатам отчета 1-го типа или 2-го типа;
- случаи, когда в отчете 1-го или 2-го типа упоминаются дополнительные средства контроля организации-пользователя и эти средства контроля не используются в организации-пользователе;
- средства контроля, которые могут быть необходимы в обслуживающей организации, но которые, по-видимому, не были использованы или не были отдельно описаны в отчете 2-го типа.
Отчеты 1-го и 2-го типов, которые не включают услуги субподрядчика обслуживающей организации (см. пункт 18)
А40. Если обслуживающая организация пользуется услугами субподрядчика обслуживающей организации, аудиторское заключение аудитора обслуживающей организации может включать или не включать соответствующие цели и средства контроля субподрядчика обслуживающей организации в описание обслуживающей организацией ее систем и в объем задания аудитора обслуживающей организации. Эти два метода подготовки отчета известны как "метод включения" и "метод исключения" соответственно. Если отчет 1-го или 2-го типа не включает средства контроля, используемые субподрядчиком обслуживающей организации, а услуги, предоставляемые субподрядчиком обслуживающей организации, являются применимыми для аудита финансовой отчетности организации-пользователя, аудитор организации-пользователя должен применить требования настоящего стандарта к субподрядчику обслуживающей организации. Характер и объем работ, которые должны быть выполнены аудитором организации-пользователя в отношении услуг, предоставленных субподрядчиком обслуживающей организации, зависят от характера и значительности таких услуг для организации-пользователя, а также от применимости этих услуг для аудита. Применение требования, изложенного в пункте 9, помогает аудитору организации-пользователя при определении влияния субподрядчика обслуживающей организации, а также характера и объема работы, которую необходимо выполнить.
Недобросовестные действия, несоблюдение законов и нормативных актов и неисправленные искажения в связи с деятельностью обслуживающей организации (см. пункт 19)
А41. В соответствии с договором с организациями-пользователями от обслуживающей организации может потребоваться раскрывать соответствующим организациям-пользователям информацию о любых случаях недобросовестных действий, несоблюдения законов и нормативных актов или неисправленных искажениях со стороны руководства или рядовых сотрудников обслуживающей организации. В соответствии с требованиями пункта 19 аудитор организации-пользователя запрашивает у руководства организации-пользователя информацию о том, сообщала ли обслуживающая организация о каких бы то ни было подобных проблемах, и оценивает, влияют ли на характер, сроки и объем дальнейших аудиторских процедур аудитора организации-пользователя сообщенные обслуживающей организацией сведения. В некоторых обстоятельствах аудитору организации-пользователя для выполнения такой оценки может потребоваться дополнительная информация, и он может обратиться к организации-пользователю с просьбой запросить у обслуживающей организации необходимую информацию.
Представление заключения аудитором организации-пользователя (см. пункт 20)
А42. Когда аудитор организации-пользователя не в состоянии собрать достаточные надлежащие аудиторские доказательства в отношении услуг, предоставляемых обслуживающей организацией, которые являются применимыми для аудита финансовой отчетности организации-пользователя, имеет место ограничение объема аудита. Это может происходить, когда:
- аудитор организации-пользователя не в состоянии получить достаточное понимание услуг, предоставляемых обслуживающей организацией, и не имеет основания для выявления и оценки рисков существенного искажения;
- оценка рисков аудитором организации-пользователя включает ожидание того, что средства контроля обслуживающей организации работают эффективно, и аудитор организации-пользователя не может получить достаточные надлежащие аудиторские доказательства в отношении операционной эффективности этих средств контроля;
- достаточные надлежащие аудиторские доказательства можно получить только на основе данных, которые хранятся в обслуживающей организации, а аудитор организации-пользователя не имеет непосредственного доступа к этим данным.
Вынесет ли аудитор организации-пользователя мнение с оговоркой или откажется от выражения мнения, зависит от вывода, сделанного аудитором организации-пользователя по вопросу о том, является ли возможное воздействие на финансовую отчетность существенным или всеобъемлющим.
Ссылки на работу аудитора обслуживающей организации (см. пункты 21-22)
А43. В некоторых случаях законом или нормативным актом может быть предусмотрено требование ссылаться на работу аудитора обслуживающей организации в аудиторском заключении аудитора организации-пользователя, например, для целей обеспечения прозрачности в государственном секторе. В таких обстоятельствах аудитору организации-пользователя может понадобиться предварительно получить согласие аудитора обслуживающей организации на такую ссылку.
А44. Тот факт, что организация-пользователь использует обслуживающую организацию, не отменяет ответственности аудитора организации-пользователя в соответствии с Международными стандартами аудита получить достаточные надлежащие аудиторские доказательства, чтобы иметь разумные основания для подтверждения мнения аудитора организации-пользователя. Поэтому аудитор организации-пользователя не приводит ссылку на отчет аудитора обслуживающей организации в разделе, который включает обоснование мнения аудитора организации-пользователя о финансовой отчетности организации-пользователя. Однако, когда аудитор организации-пользователя выражает модифицированное мнение вследствие модифицированного мнения в заключении аудитора обслуживающей организации, аудитор организации-пользователя может сослаться на заключение аудитора обслуживающей организации, если такая ссылка помогает пояснить причины выражения модифицированного мнения аудитором организации-пользователя. В таких обстоятельствах аудитору организации-пользователя может понадобиться предварительно получить согласие аудитора обслуживающей организации на такую ссылку.
------------------------------
1МСА 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения".
2МСА 330 "Аудиторские процедуры в ответ на оцененные риски".
3МСА 315 (пересмотренный), пункт 11.
4МСА 315 (пересмотренный), пункт 12.
5 МСА 705 (пересмотренный) "Модифицированное мнение в аудиторском заключении", пункт 6.
6 МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита", пункты 4 и А4-А5.
7МСА 315 (пересмотренный), пункт 30.
8МСЗОУ 3402 "Отчеты, обеспечивающие уверенность в отношении средств контроля обслуживающей организации".
9 В МСА 600 "Особенности аудита финансовой отчетности группы (включая работу аудиторов компонентов)", пункт 2, говорится: "Аудитор может считать настоящий стандарт, при необходимости с изменениями, продиктованными конкретными обстоятельствами, полезным в тех случаях, когда этот аудитор привлекает других аудиторов к аудиту финансовой отчетности, не являющейся финансовой отчетностью группы...". См. также МСА 600, пункт 19.
10 МСА 330, пункт 8.
11 МСА 265 "Информирование лиц, отвечающих за корпоративное управление, и руководства о недостатках в системе внутреннего контроля", пункты 9-10.
12 МСА 265, пункт 10.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Стандарт устанавливает обязанности аудитора по сбору достаточных надлежащих аудиторских доказательств в случаях, когда организация пользуется услугами одной или более обслуживающих организаций.
Стандарт введен в действие на территории России приказом Минфина России от 9 января 2019 г. N 2н.
Международный стандарт аудита 402 "Особенности аудита организации, пользующейся услугами обслуживающей организации"
Введен в действие приказом Минфина РФ от 9 января 2019 г. N 2н
Вступает в силу на территории РФ со дня его официального опубликования
Текст стандарта опубликован на сайте Министерства финансов РФ в Internet (http://www.minfin.ru) 1 февраля 2019 г. в составе приказа Минфина РФ от 9 января 2019 г. N 2н
О вступлении в силу см. Информационное сообщение Минфина России от 22 февраля 2019 г. N ИС-аудит-28
В настоящий документ внесены изменения следующими документами:
Согласующиеся и прочие поправки к другим международным стандартам вследствие принятия МСА 600 (пересмотренного) (введены в действие приказом Минфина России от 16 октября 2023 г. N 166н)
Изменения вступают в силу с 1 января 2024 г.
Согласующиеся поправки к другим международным стандартам (введены в действие приказом Минфина РФ от 27 октября 2021 г. N 163н)
Изменения вступают в силу с 27 декабря 2021 г.