По материалам: IAASB
Пару недель назад Совет по международным стандартам аудита и подтверждения достоверности отчетности (IAASB) представил два новых руководства в помощь с внедрением новых стандартов по контролю качества аудита, ISQM 1 и ISQM 2 (еще одно, по пересмотренному МСА 220, пока не вышло). Мы успели рассмотреть в деталях рекомендации по внедрению второго, более короткого стандарта, но только сейчас руки дошли до “основного”, который носит название “Контроль качества для фирм, осуществляющих аудит и проверку исторической финансовой информации, а также выполняющих прочие задания по подтверждению достоверности информации и сопутствующие услуги”.
Как известно, подтверждение достоверности информации в исполнении представителей отрасли профессиональных услуг может принимать различные формы:
- Аудит финансовой отчетности
- Задания, отличные от аудита и проверки исторической финансовой информации
- Задания по выполнению согласованных процедур
Стандарты от IAASB оговаривают требования для заданий по подтверждению достоверности любых видов, но каждое требование предполагает, что профессиональная организация при этом следует двум профильным стандартам по качеству - то есть ISQM 1 и ISQM 2 в их обновленной вариации - а также требованиям национального законодательства, не уступающим им по строгости. Рассматриваемый в данном материале стандарт посвящен ответственности на уровне всей профессиональной организации за формирование системы контроля качества - механизма, обеспечивающего качественное проведение и результаты заданий по подтверждению достоверности*.
*При этом стандарты не распространяются на проверки, которые проводятся не в соответствии с требованиями стандартов IAASB. Например, налоговый консалтинг не требует формирования системы контроля качества в соответствии с требованиями ISQM 1&2. Но это все же не значит, что стандарты никак не будут здесь влиять на какие-то элементы системы управления качеством (например, человеческие ресурсы), поскольку речь идет об интегрированной системе.
Ключевые отличия от того, что было
До того как ISQM 1 был формально представлен осенью прошлого года, действовал его предшественник - более упрощенная вариация ISQC 1 по контролю (а не управлению) качеством. Новый стандарт отличается не только названием, но и более упредительным подходом, ориентированным на предотвращение нарушений. ISQM 1 обеспечил больше строгости системе управления качеством, требуя учитывать в ходе ее создания, внедрения и дальнейшего использования организационные особенности и обстоятельства вокруг проведения заданий по подтверждению достоверности. Кроме того, от представителей отрасли профессиональных услуг потребовали перейти от работы с отдельными, так скажем, элементами качества к более интегрированному подходу, который распространяется на всю систему в целом.
Управление качеством по ISQM 1 - более проактивное и нацеленное на достижение ключевых показателей качества действо, что достигается путем идентификации рисков для этих целей и реагирования на них. Больше ответственности возложили на руководство профессиональной организации. Прежний стандарт модернизировали с учетом факторов, определяющих ее деловое окружение - новые технологии, внешние поставщики услуг, сети. Отдельное внимание в стандарте уделили вопросам коммуникаций.
Главные задачи
Основная задача профессиональной организации четко определена в параграфе 14: создание, внедрение и использование системы управления качеством. Это тоже разновидность систем внутреннего контроля, и как в случае с любой другой СВК, у системы управления качеством должна быть своя задача. В параграфе 14 формулируются задачи как с позиции всей профессиональной организации, так и ее системы управления качеством. Если речь идет о “позиции” системы управления качеством, то задача эта - обеспечивать профессиональную организацию разумной уверенностью в отношении того, что она сама и ее персонал выполняют свои профессиональные обязанности в соответствии с профессиональными стандартами и требованиями нормативно-правового регулирования, проводят задания в соответствии с ними, а заключения по итогу проведенных заданий адекватно учитывают обстоятельства.
С более практической точки зрения организация обязана определить цели по качеству, примеры которых уже содержатся в стандарте ISQM 1, а также дополнительные цели по качеству, если посчитает их необходимыми (параграф 24). Об этом еще зайдет речь, когда мы будем подробно разбирать определение целей по качеству: они, собственно, необходимы для конкретизации общей цели, сформулированной в п.14.
“Разумной уверенностью” при этом свою организацию обеспечивает не безликая неодушевленная система управления качеством, а лицо, на которое возложена ответственность (тема также будет подробно разбираться далее). Лицо, ответственное за систему управления качеством, должно от имени всей организации прийти к заключению, что она (система), в самом деле, обеспечивает свою организацию разумной уверенностью относительно выполнения поставленных перед ней целей по качеству (параграф 54). Но не стоит путать разумную уверенность с абсолютной уверенностью, потому что у любой системы управления качеством неизбежно будут свои ограничения: сюда, например, можно отнести фактор человеческой ошибки или провала в результате технической неисправности IT-систем.
За создание, внедрение и использование системы управления качеством несет ответственность вся профессиональная организация, хотя кто-то может возразить, что на практике она преимущественно будет использоваться по ходу самих заданий, а значит и отвечать, по идее, надо руководителям заданий. Это не так, потому что команда на задании и ее руководство следуют требованиям стандарта МСА 220, а профессиональная организация (вне зависимости от размера) ориентируется именно на ISQM 1 и ISQM 2. Впрочем, в случае очень небольших профессиональных организаций менее затратным подходом может быть создание, внедрение и использование систем управления качеством на уровне отдельных заданий, а не универсальных на уровне всей организации. Это отнюдь не значит, что тем самым руководство организации переложит ответственность на руководителей заданий.
В напоминание внедряющим
Авторы недавно вышедшего руководства по внедрению напоминают, что у профессиональных организаций должны быть готовы внедренные и действующие системы управления качеством к 15 декабря 2022 года. Если речь идет о новом участнике рынка, который появится позднее, то все это необходимо будет обеспечить к началу проведения первых заданий согласно требованиям Совета по международным стандартам аудита и подтверждения достоверности отчетности.
Оценка того, насколько система отвечает требованиям ISQM 1, должна быть проведена в пределах одного года после даты вступления в силу (для оценки следует ориентироваться на параграфы 53-54). К 15 декабря следующего года необходимо будет четко определить цели по качеству, риски для качества и ответные меры. Также нужно будет продумать и обеспечить механизмы мониторинга (хотя саму мониторинговую деятельность и ответные меры применять уже далее, после 15 декабря). Для желающих предусмотрена возможность перейти на ISQM 1 досрочно, но тогда придется это делать по всем трем стандартам одновременно - ISQM 1, ISQM 2 и МСА (ISA) 220.
Вот небольшой список практических рекомендаций по подготовке к переходу:
- Фазовая подготовка по этапам, до даты вступления ISQM 1 в силу. У крупных профессиональных организаций, очевидно, задействовано огромное множество процессов, поэтому имеет смысл не проводить их подстройку одномоментно, но распланировать все постепенно, чтобы к 15 декабря следующего года все было готово. Подготовка отдельных процессов к требованиям ISQM 1 не будет при этом считаться досрочным переходом - отмечают авторы, потому что частичная система управления качеством - это еще не вся система.
- Можно дать старт всем новым и/или пересмотренным процессам одновременно с 15 декабря, если это больше подходит (например, для небольших организаций).
- А можно запустить “пилотный проект” по отдельным составляющим системы управления качеством, заставить следовать ей не всем, а части команд на задании. Это также не будет считаться досрочным переходом, поскольку новая система управления качеством признается функционирующей только после формального внедрения в отношении всех операций.
Структура ISQM 1
Стандарт оговаривает восемь ключевых компонент, где каждая посвящена определенному ключевому аспекту системы управления качеством. Прежний стандарт ISQC 1 оговаривал шесть ключевых компонент (к которым в новом стандарте были добавлены еще две – оценка организационных рисков и информация и коммуникации). При этом дословного следования каждой из восьми составляющих системы управления качеством не требуется в том смысле, что организация имеет право использовать свою собственную терминологию - главное, чтобы были выполнены требования стандарта.
Какие это составляющие?
- Оценка организационных рисков. Это процессы на уровне всей организации, которые внедряются как часть системы управления качеством. Следовать им организация обязана в рамках риск-ориентированного подхода к управлению качеством. Эта составляющая подразумевает определение целей по качеству, определение и оценку рисков для достижения целей по качеству, меры в ответ на обнаруженные риски.
- Организационное руководство и лидерство. Данная компонента отвечает за создание “среды” функционирования системы управления качеством. Здесь поднимаются вопросы корпоративной культуры, ответственности и подотчетности руководства, организационной структуры, распределения ролей и обязанностей, ресурсного планирования.
- Связанные требования профессиональной этики - те, что являются фундаментальными для проведения заданий. Кроме того, учитываются требования профессиональной этики, применяющиеся в отношении внешних по отношению к организации сторон (поскольку они также могут влиять на систему управления качеством и приниматься в расчет ввиду интегрированной природы нового подхода).
- Принятие нового клиента, продолжение отношений с уже действующим клиентом. Это вопрос принятия профессионального суждения по этой теме.
- Проведение задания. С одной стороны, это действия руководства по продвижению и обеспечению последовательности применения подходов, требуемых системой управления качеством (через указания, надзор, проверки, консультации и так далее), а с другой - то, в какой мере выполняющей задание команде специалистов оказывается помощь в применении профессионального суждения и профессионального скептицизма.
- Ресурсы как обеспечение организационных процессов. Необходимо своевременное получение/создание, распределение и использование ресурсов в целях создания, внедрения и применения системы управления качеством. Под “ресурсами” понимаются технологические, интеллектуальные и человеческие ресурсы.
- Информация и коммуникации. Получение, внутреннее создание, использование информации по системе управления качеством, своевременное доведение ее до сведения лиц в самой организации и вне ее в целях создания, внедрения и применения системы управления качеством.
- Мониторинг и реагирование. Это процесс, который, с одной стороны, обеспечивает организационное руководство своевременной, надежной и актуальной информацией по системе управления качеством, а с другой - обеспечивает своевременные и адекватные действия в ответ на нарушение требований по качеству.
Оценка риска (#1) и мониторинг/реагирование (#8) выделены в качестве специфических процессов, которым обязана следовать организация. Все остальные составляющие как бы обеспечивают собой основу для них, т.е. делают возможным обнаружение и оценку рисков для качества и ответные меры реагирования.
В ISQM 1 также оговорены некоторые другие специфические темы, которые идут “в довесок” к этим восьми компонентам. При желании, их можно было бы также отнести к восьми составляющим:
- Распределение обязанностей;
- Особые меры реагирования, которые организация обязана продумать и внедрить;
- Ситуации, когда организация является частью сети и, как следствие, следует общим для нее требованиям, либо использует услуги других составляющих этой сети в своей системе управления качеством;
- Ежегодная оценка системы управления качеством в исполнении руководства, оценка результатов деятельности самого руководства;
- Документирование.
Непрерывность функционирования и адаптация к меняющимся условиям
Это одна из главных характеристик любой системы управления качеством, создаваемой согласно требованиям нового ISQM 1. Более того, хотя сам стандарт имеет “линейную” структуру, и в нем вроде бы все изложено последовательно “от и до”, получившаяся в итоге система линейной быть вовсе не обязана. Как раз наоборот, она функционирует по совсем иному принципу: различные ее компоненты и требования к ним взаимозависимы и должны восприниматься целостно. Скажем более: сам характер взаимного влияния также не является чем-то постоянным. Вот пара примеров, иллюстрирующих данную мысль.
Оценка рисков - это процесс, использующийся, в том числе, для определения целей по качеству, идентификации и оценки рисков достижения этих целей по качеству и разработки ответных мер. Он затрагивает другие составляющие из перечисленных выше восьми, кроме самой последней (мониторинг и реагирование). Зато мониторинг и реагирование - это процесс, отслеживающий функционирование всей системы управления качеством, а значит - каждой из ее составляющих, включая и оценку риска.
Или: ресурсы как компонента необходимы для обеспечения функционирования прочих составляющих системы управления качеством. Это могут быть технологические ресурсы в виде программ, помогающих оценить допустимость принятия нового клиента или продолжения работы с прежним. Сюда же можно отнести внутрикорпоративные руководства, содержащие разъяснения требований профессиональной этики. Но одновременно без еще одной составляющей - информации и коммуникаций - невозможно никакое распределение человеческих ресурсов (персонала) по заданиям. Информация необходима для принятия профессионального суждения в отношении продолжения отношений с прежним клиентом или принятия нового. А эффективные коммуникации необходимы для того, чтобы все участники были в курсе требований профессиональной этики, имеющих прямое отношение к системе управления качеством.
Как требования ISQM 1 учитывают специфику?
Одной из ключевых особенностей стандарта является риск-ориентированность подхода к управлению качеством согласно его требованиям. Разработка, внедрение и управление системой управления качеством - все это принимает в расчет уникальные обстоятельства и особенности самой организации. Неудивительно, что в параграфе 19 прямо сказано, что организация должна следовать в этом своему профессиональному суждению. Для примера, при отборе кандидатов на роль руководителей заданий, равно как и при отборе самих заданий для проведения, организация может учитывать определенные характеристики и обстоятельства и уже на основе этого принимать решения. А в определении того, является ли выявленный факт существенным нарушением, профессиональное суждение используется через принятие в расчет характера обнаруженного факта, цели по качеству, для которой он может представлять угрозу, степени существенности, сути и особенности проведения мониторинговых мероприятий.
В принципе, сами формулировки, даже ключевые понятия стандарта уже предполагают учет специфики деятельности той или иной организации. Взять для примера цели по качеству: их определяет сама организация. Риски для достижения поставленных целей по качеству определяются, исходя из уникальных обстоятельств и условий, действий или отсутствия действий в данной конкретной организации и в ходе выполнения ее заданий. В то же время в параграфе 17 уточняется, что в некоторых случаях требование ISQM 1 может быть для данной конкретной организации просто неактуально. Разумеется, следовать ему в данном случае не требуется, а параграф А29 приводит примеры таких обстоятельств.
Ответственность за систему управления качеством
Поскольку в формулировке параграфа 19 именно организация создает, внедряет и применяет систему управления качеством, получается, что ответственность тоже лежит на ней, т.е. юридическом лице. Но это не значит, что больше не отвечает никто, потому что сама по себе организация - это все-таки люди. По этой причине ISQM 1 требует распределения ответственности за систему управления качеством и различные ее аспекты. Как это необходимо делать?
Следует различать различные виды ответственности: конечная/единоличная, операционная ответственность за всю систему управления качеством, и операционная ответственность за специфические ее аспекты. Конечную ответственность обычно берет на себя или исполнительный директор или управляющий партнер, или даже совет правления, куда входят несколько управляющих партнеров. Эти лица обязаны знать и понимать требования ISQM 1. Эта персона или группа персон отвечает за оценку и заключение относительно того, насколько хорошо система управления качеством соответствует поставленной перед ней задаче (обеспечение разумной уверенности в достижении целей по качеству) – подробнее см. параграфы 53-53.
Операционная ответственность - несколько иное. Распределение ее среди должностных лиц все равно подразумевает, что эти люди должны обладать знаниями, но также и надлежащим опытом, временем для выполнения этих обязанностей и влиянием. Операционная ответственность означает ответственность конкретно за технические вопросы - разработку, внедрение и управление системой управления качеством.
А операционная ответственность за специфические особенности системы управления качеством - это ответственность еще более узкого толка, например, за соблюдение требований по независимости (параграф А36), за мониторинг процесса реагирования на нарушения и за коммуникации (параграфы 43-44, 46), либо за какие-то еще аспекты, которые посчитает нужным выделить в отдельные зоны ответственности сама организация.
В стандарте признается, что универсального подхода к распределению ролей и ответственности не может быть, потому что во многом на это будут влиять уникальные обстоятельства, а также требования национального законодательства. Более того, хотя в ISQM 1 прямо сказано о необходимости распределять ответственность среди должностных лиц, и это значится обязательным требованиям, по факту каждое лицо, на которое возложена ответственность, вовсе не обязано выполнять все задачи, необходимые для обеспечения этой ответственности. Как это возможно? Очень просто - в случае перепоручения этим лицом требуемых задач, процедур и действий другим лицам. Ответственность все равно остается, просто обеспечивается коллективно.
С примерами того, как происходит на практике распределение ролей и ответственности, можно ознакомиться в параграфе А35. А параграф А33 содержит пример оценки системы управления качеством и вынесения заключения по ее итогам.
Важно помнить, что “выводить” ответственность на аутсорсинг недопустимо, потому что, согласно стандарту, ответственность за систему управления качеством изначально несет сама организация – понятно, что это отдельное лицо или группа лиц, например, партнеров, но эти лица в любом случае не могут прийти извне, так как должны обладать необходимым влиянием и полномочиями.
Еще одна тонкость - требования в отношении знаний и опыта для соответствия возложенной ответственности. Допустим, конечная ответственность за систему управления качеством возлагается на управляющего партнера одного узкоспециализированого подразделения, которое даже не участвует в проведении заданий, подпадающих под требования стандартов от IAASB. Может ли такое быть? Да, вполне, потому что обладать знаниями и опытом в отношении самих заданий (например, аудита финансовой отчетности) ответственные лица не обязаны. Однако от таких руководителей с ответственностью за систему управления качеством все же будет разумным ожидать осведомленности относительно стратегических программ и решений их организаций, поскольку стратегия развития, несомненно, будет касаться и выбора заданий.
В следующий раз разберем основные компоненты системы управления качеством, уделив особое внимание определению организационных рисков