По материалам: IAASB
На днях рабочая группа по передовым технологиям (Technology Working Group - TWG) в составе Совета по международным стандартам аудита и гарантии качества (IAASB) представила вспомогательные материалы для аудиторов, более активно применяющих в своей работе современные технологии (ИИ, анализ данных, и т.п.). Технологии и до коронавируса начинали играть во многих сферах нашей деятельности (включая аудит) все более важные роли. Можем предположить, что с возвращением аудиторов из самоизоляции внедрение технологий продолжится - возможно, даже в ускоренном темпе, ведь временное пребывание на удаленных условиях работы обязательно перестроит сознание профессионалов и побудит их более активно внедрять то, в отношении чего давно были планы, только не было решимости.
Авторы недавней публикации рассматривают передовые технологии в контексте двух основных стандартов - МСА (ISA) 230 “Аудиторская документация” и ISQC 1 “Контроль качества для фирм, осуществляющих аудит и проверку исторической финансовой информации, а также выполняющих прочие задания по подтверждению достоверности информации и сопутствующие услуги” (а также некоторых других МСА, где требования к документированию аудиторской работы также присутствуют). Для нас это возможность лишний раз взглянуть на практические аспекты применения международных стандартов аудита в определенных обстоятельствах – в данном случае в контексте внедрения передовых методов аудита.
Аудиторские процедуры могут проводиться в современном мире с применением огромного разнообразия автоматизированных или “ручных” инструментов (чаще всего можно встретить сочетание и того, и другого). Практикующие специалисты используют для описания этого разную терминологию - например, называют “анализом данных” применение автоматизированных аналитических процедур в отношении больших массивов данных при оценке риска. Интуитивно “анализ данных” - вещь, возможно, понятная, только для нее не существует единого определения, и даже если бы такое было введено, в любом случае оно оказалось бы слишком узким, ведь само понятие не может вобрать в себя всего многообразия используемых технологий, которые продолжают появляться и сегодня. По этой причине IAASB и не пытается определить отдельные направления деятельности, где применяются современные технологии, зато опирается на более широкое понятие автоматизированных инструментов и подходов (в оригинале – “Automated Tools and Techniques”, или “ATT”).
Как же проводить аудиторскую документацию, если используются автоматизированные инструменты и подходы? Стандарт МСА 230 “Аудиторская документация”, введенный в действие в РФ приказом Минфина N 2н от 9 января 2019 г., разрабатывался давно, посему не проводит различий между “ручными” и автоматизированными инструментами. Для примера, параграфы 2 и 3 принадлежат разделу, описывающему характер и назначение аудиторской документации, и они справедливы как для случаев применения “AAT”, так и для проведения аудита без передовых технологий автоматизации. В любом случае, аудиторская документация будет нести ряд полезных функций, таких как помощь аудиторской группе в планировании и проведении аудита, помощь членам аудиторской группы, ответственным за контроль, в руководстве и контроле за аудиторской работой и исполнении обязанностей, оговоренных стандартом МСА 220 (“Контроль качества при проведении аудита финансовой отчетности”), сохранение ответственности аудиторской команды за проделанную работу, и не только.
Специфические требования к аудиторской документации, которые содержатся в сторонних МСА, упомянуты в п.А6, который гласит:
“В принципе соблюдение требований настоящего стандарта приведет к тому, что аудиторская документация будет достаточной и адекватной конкретным обстоятельствам. Для разъяснения применения настоящего стандарта с учетом специфики того или иного МСА такой прочий стандарт аудита может содержать уточняющие требования по составлению документации. Эти конкретные требования по составлению документации, содержащиеся в прочих МСА, не накладывают каких-либо ограничений на применение настоящего стандарта. Более того, отсутствие в каком-либо МСА требований по документированию не означает, что выполнение такого стандарта не предполагает составления документации”.
Стандарт МСА 230 даже содержит приложение по специфическим требованиям к аудиторской документации в прочих МСА, где таковые рассмотрены на примере 15 отдельных стандартов. Среди них – пересмотренный вариант МСА 315 “Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения” и МСА 330 “Аудиторские процедуры в ответ на оцененные риски”. Для примера, п.28 в МСА 330 требует от аудитора отражения в аудиторской документации “аудиторских процедур общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности, а также характера, сроков и объема выполненных дальнейших аудиторских процедур, связи этих процедур с оцененными рисками на уровне предпосылок, и соответствующих результатов этих аудиторских процедур, включая выводы, если они не очевидны”.
Стандарт МСА 230 основан на принципах, а не правилах и предписаниях - следовательно, его можно применять вне зависимости от того, какие инструменты использует в своей работе аудитор. Специфические требования отдельных МСА также, как видим, основаны на принципах и не различают использования “ручного труда” и автоматики. Это хорошие новости. Однако не стоит за этим забывать, что сам факт использования автоматизации имеет определенную специфику, которая способна повлиять на то, как именно будет осуществляться документация. Рассмотрим подробнее, как именно.
В параграфе 8(b) говорится, что “аудитор должен готовить аудиторскую документацию, которая достаточна для того, чтобы опытный аудитор, ранее не связанный с проведением конкретного аудиторского задания, мог понять <...> результаты выполненных аудиторских процедур и собранные аудиторские доказательства”. Использование передовых технологий в аудите позволило аудиторам проводить анализ огромных наборов данных, однако формулировка п.8(b) требует документирования результатов и такой выполненной работы. Невозможно? Очень даже возможно с применением средств визуализации. Как альтернативный вариант, выполнить ключевое требование можно, задокументировав, что по каждому проверенному элементу проверялся факт одобрения транзакции ответственным лицом с заданным идентификационным номером (или же задокументировав соответствие какому-нибудь еще условию). То есть суть требования в самом стандарте остается прежней (показать результаты аудиторской работы), только использование средств автоматизации меняет их практическое исполнение, добавляя туда, скажем так, новых граней и возможностей.
Другой пример: аудитор осуществляет тестирование адекватности прогноза ожидаемых кредитных потерь для счетов к получению. Аудитор использует автоматизированные инструменты и методы, чтобы проверить полный набор счетов к получению у клиентской организации и выделить в рамках общей популяции счета с определенными характеристиками (например, с продолжительным отсутствием платежей, превышением кредитного лимита - очевидно, что это будут важные определяющие факторы). Автоматизированный анализ усложняется, приобретает дополнительной глубины, в результате чего может вырасти и требуемый объем аудиторской документации по сравнению с тем, как если бы проверяющий аудитор решил применять обычные методы выборки и моделирования.
Далее, параграф 8 (с) того же самого основного стандарта говорит про “значимые вопросы, возникшие в ходе аудиторского задания, сделанные по ним выводы, и значимые профессиональные суждения, использованные при формулировании этих выводов” (которые должен понять аудитор, ранее не связанный с проведением конкретного аудиторского задания). А в А.8, посвященном оформлению значимых вопросов и связанных с ними аудиторских суждений, упоминаются результаты аудиторских процедур, которые могут указывать на существенное искажение в финансовой отчетности или необходимость пересмотреть прежнюю оценку существенного искажения.
Что это все значит для решения о применении или неприменении автоматизированных инструментов и подходов? Сам выбор, использовать их в аудиторской работе или не использовать, никак не повлияет на документирование значимых вопросов, но это повлияет на то, что именно будет по итогу задокументировано.
То же самое в отношении п.8 (с): использование автоматизации может сказаться на том, какие именно значимые вопросы будут рассматриваться, и какие профессиональные суждения будут сделаны в связи с ними. Приведем простой пример: в одном случае аудитор проводит инвентаризацию ручным методом и далее проводит анализ результатов, а в другом случае делает все то же, используя передовые технологии (“ATT”, пользуясь терминологией данной публикации) - например, проводит подсчет запасов с помощью дронов, а аналитику оставляет искусственному интеллекту, который анализирует на основе полученных визуальных изображений.
Конечно, и в том, и в другом случае от аудитора потребуется профессиональное суждение, однако документация в поддержку сделанного в обоих случаях профессионального суждения будет разной. Например, в случае с традиционным “ручным” подсчетом количества запасов профессиональное суждение аудитора точно не будет зависеть от того, как именно членов команды обучали методам подсчета – достаточно каждому выдать на руки счеты или калькулятор, как учили с детства. Зато во втором случае, как мы помним, применялись дроны, и здесь уже придется принимать во внимание, как именно операторы дронов располагали их для получения изображения наилучшего качества (ведь на основе этого изображения ИИ-программы далее в автоматизированном режиме проводят подсчет). А чтобы расположить дрон правильно, нужно уметь им управлять.
Параграф А2 определяет форму, содержание и объем аудиторской документации: согласно формулировкам стандарта, она может зависеть от ряда факторов, таких как сложность структуры проверяемой организации, характер аудиторских процедур, выявленные риски существенного искажения, и не только. Как известно, аудиторская документация должна описывать проведенные аудиторские процедуры и логику рассуждений аудитора в ходе проверки, на основе которой он пришел к тому или иному выводу. Если в проверке используются автоматизированные инструменты и подходы, в аудиторской документации, вероятно, придется отразить следующие вещи:
- Как именно называется использованный автоматизированный инструмент, и что собой представляли источники данных, использованных в анализе;
- Детали запроса, пересылки и получения данных для анализа (в том числе факт привлечение третьих сторон - провайдеров технологий, обеспечивающих получение данных), процедур проверки и реконсиляции. Так же как в случае с традиционным “ручным” подходом, аудиторская документация должна включать описание использования данных в аудиторской процедуре;
- Позволяют ли автоматизированные инструменты выявлять необычные элементы или характеристики в наборе данных.
Для решений относительно выбора различных вариантов документаций (в контексте применения технологий автоматизации – “итераций”) следует ориентироваться на содержание пп. А4 и А7. П.А4 гласит, что “аудитор не обязан включать в аудиторскую документацию изначальные черновые варианты рабочей документации и финансовой отчетности, заметки, в которых отражены неполные или предварительные соображения, исходные копии документов, которые были впоследствии исправлены из-за опечаток и прочих ошибок, а также дублирующие документы”. А п.А7 освобождает аудиторов от обязательного документирования всех рассмотренных вопросов и сделанных в их отношении профессиональных суждений, поскольку это даже не является осуществимым с практической точки зрения.
С помощью “ATT”, если подумать, осуществимость этой задачи становится более реальной. Более того, одна и та же процедура может к тому же проводиться не один раз, и после каждого запуска аудитором будут вноситься какие-то корректировки. В этом случае мы говорим о разных итерациях, которые в общем случае не надо включать в аудиторскую документацию, если они не являются окончательными и замещаются более поздними (ведь п.А4 в общем случае говорит, что “аудитор не обязан включать в аудиторскую документацию изначальные черновые варианты рабочей документации и финансовой отчетности” - здесь все по аналогии). Однако аудитор все же может это сделать, если считает, что включение нескольких фильтров, итераций, визуальных представлений и т.п. необходимо для понимания истинных результатов проведенной аудиторской процедуры.
Специфические “тонкости”
К специфическим вопросам вокруг использования автоматизированных инструментов и подходов, которые часто задают, относятся различия в аудиторской документации в случае использования разных “ATT” - тех, что были одобрены формально аудиторской компанией, на которую работает руководитель аудиторской проверки и его команда, и тех, что формального одобрения не прошли. Как оказалось, бывают и такие ситуации, причем довольно часто. В самом деле, почему бы аудиторской команде уже в процессе работы с клиентом, приняв во внимание все специфические обстоятельства, не внести корректировки в стандартные алгоритмы на общий случай, или даже не применить какой-то свой программный продукт? В этом случае, нужно ли членам аудиторской команды задокументировать:
- Насколько выбранные альтернативные “ATT” подходят для последовательного применения в аудиторских процедурах;
- Насколько участники команды квалифицированы/опытны для того, чтобы заниматься таким самостоятельным выбором автоматизированных инструментов и подходов?
Вопрос на самом деле интересный. По-хорошему, Совету по международным стандартам аудита и гарантии качества следовало бы здесь выпустить отдельное разъяснение – чего он не сделал, но, как оказалось, это и не нужно, потому что необходимые разъяснения можно отыскать в пересмотренных версиях стандартов ISQM 1 и МСА 220, которые были представлены в феврале прошлого года.
Так, в обновленном стандарте по контролю качества аудита содержатся требования к аудиторской компании в плане определения ключевых показателей качества использования (и не только) ресурсов в своем распоряжении - включая человеческие, технологические и интеллектуальные. П.38(е) как раз оговаривает технологические ресурсы, которые у аудиторской организации обязаны обеспечивать функционирование системы управления качеством аудита и проведение проверок.
А п.А130 посвящен ровно описанной ситуации, когда команда внедряет какое-то IT-приложение (особенно специализированное, разработанное специально под ее случай): очень важно убедиться в надлежащем использовании и функционировании данного приложения, что подразумевает обеспечение сохранности данных, решение поставленных задач, ознакомление и понимание пользователями всех тонкостей работы с IT-приложением, и не только. Руководство аудиторской компании может запретить команде применять специализированное решение, пока не будет дано официальное разрешение на его использование после тщательно проведенного анализа. Но этого может и не случиться.
Таким образом, если аудиторская компания дает свое разрешение на использование специализированного “ATT”, в аудиторскую документацию – внимание, на уровне всей аудиторской компании, в описаниях поддержки системы контроля качества аудита, а не на уровне отдельной аудиторской проверки - можно добавить следующую информацию:
- Политики и процедуры, которые использовались для определения того, насколько “ATT” подходит и соответствует выбранным целям;
- Данные в поддержку принятого решения об одобрении нового “ATT”.
Если же формального одобрения на уровне всей компании не проводилось, но решение об использовании специализированного “ATT” принято на уровне отдельной аудиторской команды в рамках проверки, аудиторская документация может включать описание данных в поддержку принятого положительного решения, которыми при этом руководствовались члены команды.