Источник: IFAC
ISQC 1 - это международный стандарт для аудиторов, который носит название “Контроль качества для фирм, осуществляющих аудит и проверку исторической финансовой информации, а также выполняющих прочие задания по подтверждению достоверности информации и сопутствующие услуги”. В настоящее время Совет по международным стандартам аудита и гарантии качества (IAASB) проводит его пересмотр. В рамках данного вебинара председатель рабочей группы Карин Френч (Karin French) рассказывает о предлагаемых изменениях к стандарту, которые по итогу приведут к существенной реструктуризации и улучшению, что должно изменить сегодняшние подходы компаний к проверке систем контроля качества в лучшую сторону.
Это вторая и последняя часть вебинара. Первая часть была опубликована на нашем сайте пару недель назад.
Полагаю, это подходящий момент, чтобы перейти к описанию наших действий, направленных на совершенствование и прояснение требований для лиц, осуществляющих обзорные проверки (engagement quality reviews). В июне 2017 г. IAASB принял решение о разработке нового стандарта для компаний, которые вберет в себя много новых требований к обзорным проверкам контроля качества – “EQCR”. Новый стандарт ISQC 2 будет представлен одновременно с пересмотренным ISQC 1 и пересмотренным МСА (ISA) 220, как мы это уже отмечали ранее.
Мы ожидаем ряда улучшений в области проверок “EQCR”. Среди прочего, здесь будет учитываться масштабируемость, поскольку стандарт будет применяться исключительно в отношении проверок, которые отвечают определению “EQCR”. Стандарт подчеркнет важность и индивидуальные особенности обзорных проверок контроля качества, а также способен привнести ясность в том плане, что компания способна выбрать иные варианты ответных действий помимо обзорных проверок контроля качества, которые более подходят в ситуации, если обзорной проверки контроля качества в действительности и не требуется.
Стандарт также поможет упорядочить дублирующие требования, которые ныне существуют в ISQC 1 и МСА (ISA) 220. Сделано это будет следующим образом: ISQC 1 сохранит требования в отношении отбора случаев для прохождения обзорных проверок контроля качества; ISQC 2 будет содержать требования, оговаривающие ответственность компании и лиц, осуществляющих обзорную проверку контроля качества, а МСА (ISA) 220 будет содержать требования для партнеров-руководителей обзорных проверок.
Мы рассматриваем целый ряд улучшений в требованиях к самим обзорным проверкам контроля качества, в том числе улучшение требований к объектам проверки, требований к лицам, отбираемым для проведения обзорной проверки, назначения лица на проведение обзорной проверки, документирования проверки. Касательно объекта для проверки – здесь Совет решил оставить требование о необходимости проведения проверки “EQCR” в случае с аудитом финансовой отчетности биржевых компаний, компаний, для которых обзорные проверки контроля качества предписаны национальным законодательством или регулирующими требованиями, а также в других случаях взаимодействия аудиторской компании с клиентом на усмотрение самой компании, в том числе если она обнаруживает угрозу существенного влияния на общественность в результате непроведения обзорной проверки в соответствии с профессиональными стандартами и актуальными для этого случая регулирующим требованиями, и если публикация аудиторского заключения в таких обстоятельствах не является целесообразным. Мы считаем, что это позволит компаниям разрабатывать свои собственные критерии на основе риска.
Мы раздумываем над разработкой критериев соответствия для лиц, проводящих обзорные проверки контроля качества.Компаниям придется внедрять у себя политики и процедуры, чтобы быть уверенными, что у ответственного лица имеется достаточно времени для проведения обзорной проверки, достаточно полномочий для того, чтобы при необходимости оспорить все те существенные суждения и заключения, которые были сделаны проверяющей командой. Проверки “EQCR” должны будут отвечать требованиям законодательства и правилам регулирования, актуальным требованиям по этике в отношении определения соответствия ответственных лиц критериям для проведения обзорных проверок контроля качества. Кроме того, будет отдельное требование, гласящее, что проводящий проверку обязан обладать рядом характеристик - таких как техническая компетенция, в том числе знания об отрасли, в которой работает компания, опыт проведения аналогичных по природе и сложности проверок и объективность в отношении объекта обзорной проверки контроля качества.
Касательно темы объективности – здесь мы проводим обсуждения с членами рабочих групп и представителями Совета по международным стандартам бухгалтерской этики (IESBA), чтобы быть уверенными, что любые изменения в ISQC 1 и ISQC 2 будут соответствовать Кодексу этики, а если изменения в нем все же потребуются, то чтобы наши усилия здесь были скоординированными.
Дополнительно мы также обсуждаем, не должен ли стандарт оговаривать обстоятельства, когда объективность проверок “EQCR” оказывается под угрозой нарушения - и в этой связи, в какой степени допустимы консультации аудиторской команды и проводящего обзорную проверку лица.
Помимо этого, мы раздумываем над требованиями в отношении наделения компаниями персоны или персон обязанностями по назначению лиц на проведение обзорной проверки контроля качества, обладающих существенными знаниями для оценки выполнения критериев соответствия. Это лицо не должно быть частью аудиторской команды – за исключением случаев, когда это продиктовано соображениями практичности.
Мы предлагаем требования для осуществления обзорной проверки, оговаривающие природу, время проведения и охват проверки. Как ожидается, обзорные проверки будут требоваться к проведению в надлежащие моменты по ходу аудиторского процесса. Пока что у нас нет точных формулировок, но мы хотим ухватить тот момент, что обзорные проверки не должны происходить в самом конце аудита - сразу перед тем, как заключение уже должно выйти.
Что касается самого проведения, то мы считаем, что проводящие обзорную проверку лица должны сохранять акцент на существенных суждениях, сделанных аудиторскими командами, а также принимать во внимание другие источники информации по качеству аудита – для примера, результаты мониторинга/корректирующих действий, или инспекции, проводимые представителями внешнего надзорного органа. Мы также хотим прояснить в стандарте, что эти лица всегда могут сделать больше, если считают, что обязаны сделать больше.
И, как я уже упоминала, мы ищем способы улучшения требований к документированию обзорных проверок контроля качества.
Один из вопросов, который возник, когда мы работали над определением проблем и сложностей с ISQC 1 и Приглашением высказывать свои мнения (“Invitation to comment”, консультационный документ, вышедший в декабре 2015 года, с которого все и началось – GAAP.RU), касался работы компаний в рамках сети. Часто компании, работающие частью сети, полагаются на системы контроля качества на уровне всей сети – в том числе политику и процедуры мониторинга, служащие обеспечению выполнения требований ISQC 1 на уровне компании. Регуляторы и надзорные органы выражали свое беспокойство в связи с тем, что в отдельных случаях зависимость от систем уровня всей сети является чрезмерным, и довольно много внимания сегодня уделяется как раз этим замечаниям.
IESBA не занимается разработкой требований для сетей, и мы не собираемся менять определение сети или компании в составе сети, которое уже включено в МСА и Кодекс от Совета по международным стандартам бухгалтерской этики. Рабочая группа по теме контроля качества, которая над этим работает, рассматривает требования прикладного характера, которые потребуют от компаний в большей степени упредительно учитывать, что именно они обязаны делать, чтобы иметь возможность использовать предоставляемую им сетью информацию, используемую для следования своим собственным обязанностями в отношении ISQC 1. Сеть при этом может предоставлять аудиторские методологии, инструменты, информацию от программ мониторинга и так далее – а компании уже используют эту информацию для выполнения своих обязанностей по ISQC 1.
Мы думаем сегодня над тем, что именно здесь требуется, и как нам разрабатывать требования прикладного характера для этих ситуаций. Частично наш анализ затрагивает тему информационного обмена между сетью и ее компанией, аудиторскими командами и даже аудиторами компоненты (проверяющими часть групповой отчетности – GAAP.RU).
Помимо этого, Совет раздумывает над использованием альтернативных моделей реализации в рамках стандарта. Когда разрабатывался ISQC 1, использование центров коллективного обслуживания, центров компетенции и других соглашений, способных оказать помощь в проведении проверок, только зарождалось, поэтому стандарт их и не учитывал. Если смотреть на требования в этой области, необходимо помнить по ходу их разработки, что они должны быть гибкими, чтобы отражать большое многообразие обстоятельств вокруг того, как альтернативные модели создаются, и какая у них структура.
Касательно МСА (ISA) 220 – я об этом ранее отдельно не говорила, но здесь действует еще одна отдельная рабочая группа по его пересмотру. Эта группа немного запаздывает, поскольку сначала нам потребуется определить, что вы делаете на уровне компании, прежде чем это можно будет экстраполировать на уровень аудиторской группы. Рабочая группа по МСА (ISA) 220 раздумывает над тем, как можно соотнести принципы управления качеством на уроне аудиторской группы с альтернативными моделями реализации, о которых мы только что говорили. На слайде схематично изображена предварительная логика рассуждений: на уровне аудиторской группы ее руководитель должен убедиться, что действия компании в ответ на обнаруженные риски для качества внедряются на уровне аудиторской группы. После этого руководитель аудиторской группы должен будет сформулировать и внедрить дополнительные ответные действия, на случай если что-то пойдет на так на уровне аудиторской группы.
Совет сегодня пока на очень ранней стадии обсуждения изменений в МСА (ISA) 220. Как я уже говорила, мы планируем представить предварительный вариант МСА (ISA) 220 в то же время, что и стандарты ISQC, но работы по данному конкретному стандарту предстоит еще немало.
Подводя итоги, можно сказать, что нам предстоит много работы по всем этим областям. Мы должны продолжать делать все, чтобы стандарт оставался масштабируемым - но при этом приемлемой протяженности, со своими прикладными материалами. Как уже говорилось, пока что мы на ранних стадиях обсуждения требований к документированию, и нам необходимо продолжать работать над, наверное, всеми этими темами. Нужно продолжать обсуждения с Советом относительно того, как стандарт должен оговаривать результативность лиц на обзорных проверках в терминах компетенции, людских ресурсов, отчетов о прозрачности.
Мы также должны уделить время влиянию предложенных к ISQC 1 изменений на другие стандарты – такие как ISRE 2400 “Задания по обзорной проверке финансовой отчетности прошедших периодов” или ISAE 3000 “Задания по подтверждению достоверности информации, отличные от аудита и обзорных проверок”.
Также необходимо уделить внимание возможному влиянию недавних изменений в проектах IESBA – таких как проекты по обеспечительным мерам. Как я упоминала, мы поддерживаем координацию по темам, относящимся к контролю качества.
Здесь, я полагаю, хорошей идеей будет перейти к поступившим вопросам.
Добрый день, меня зовут Натали, я вхожу в состав рабочей группы по проектам IAASB. Спасибо за присланные нам сегодня великолепные вопросы. Прежде всего – Карин, Вы упоминали, что работаете над тем, чтобы сделать стандарт в большей степени масштабируемым, чтобы его требования были более гибкими и подходили под уникальные обстоятельства. Что конкретно вы делаете для того, чтобы сделать стандарт более масштабируемым?
Спасибо, Натали, за этот и другие хорошие вопросы. Требования будут разработаны таким образом, чтобы требовать от компаний создавать систему, адекватную по отношению к их уникальным условиям. В каждой составной части стандарта, которые мы сегодня обсуждали, компаниям придется задумываться, что именно им нужно в их условиях. Чтобы сделать это более понятным, мы работаем над руководствами и примерами – некоторые из них будут в самом стандарте, но мы также раздумываем над тем, какое еще дополнительное руководство может оказаться компаниям полезным, в особенности при первом применении. Все это будет новым по сравнению с тем, что есть в ISQC 1 сегодня, ведь пока что ISQC 1 просто требует от компаний применять политику и процедуры, но не объясняет, как им соотносить эти политики и процедуры с обстоятельствами. Это было одним из аспектов критики, породившей по итогу запуск данного проекта. Также мы раздумываем над тем, как можно внедрить условные требования там, где они возможны. И, как я упоминала, эти условные требования по обзорным проверкам качества мы собираем в рамках отдельного стандарта, который также подчеркнет масштабируемость.
Спасибо. Еще один вопрос, который мы получили, сводится к тому, что все это, наверное, означает гораздо больше работы по сравнению с тем, чего сегодня требует ISQC 1. Совет специально хочет заставить компании делать больше?
Еще один хороший вопрос. Возвращаясь к причинам запуска данного проекта – начали мы его для того, чтобы разрешить проблемы с контролем качества в компаниях. Проблемы эти были идентифицированы по ходу различных публичных мероприятий – в частности, упомянутого исследования практики применения действующих стандартов. Таким образом, в качестве отправной точки мы отталкивались от того, что нам необходимо что-то делать по различным аспектам ISQC 1. Однако в самом начале мы слышали – как слышим и по ходу самой работы над проектом – что стандарт должен быть более масштабируемым. Вот почему мы так стараемся насадить эту мысль, что сама идея подхода управления качеством – это идея упредительного управления качеством, которое должно проводиться как на уровне всей компании, так и на уровне аудиторской группы. Полагаем, что это достаточно свежий подход к управлению качеством, поэтому… да, работы прибавится. Понадобятся некоторые инвестиции на реализацию, особенно в первые пару лет, но такое происходит всегда, когда внедряется новый стандарт. Однако мы не считаем, что компаниям при этом придется отбросить вообще все, чем они занимаются сегодня. Мы считаем, что то, чем они занимаются сегодня, может быть полезным, может оказаться хорошей отправной точкой. Но компаниям придется подумать, что конкретно им нужно для выполнения новых требований стандарта. В целом, мы считаем, что результаты данного нового подхода будут более эффективными, упредительными, ценными для компаний, и будут способствовать общему улучшению качества аудита.
Компании развиваются и применяют при этом большое многообразие инструментов и новых технологий в проведении проверок. Будет ли что-то в новом стандарте для принятия в расчет технологий?
Безусловно, Натали. В сегодняшних стандартах акцент делается на ресурсах, сводящихся в основном к людским ресурсам, однако мы давно поняли, что существуют важные ресурсы и других видов – в том числе технологии. Мы также часто обсуждаем интеллектуальную собственность (например, методологии компаний) и даже роль финансовых ресурсов, какую они играют в обеспечении качества. К данному моменту мы пока что немного проработали по теме ресурсов – это стоит в плане нашей работы над проектом в следующие несколько месяцев. Но конечно, стандарт будет учитывать ресурсы более целостно. Также стоит отметить, что мы осознаем, что наш подход к данному вопросу в стандарте должен быть в большей степени ориентирован на принципы, дабы он лучше реагировал на изменение условий, моделей, то, как компании функционируют и используют свои ресурсы. И касательно требований, касающихся ответственности руководства компаний, я ранее упоминала, что мы подумываем над усилением ответственности руководства в отношении ресурсов, и это также будет включено в секцию по процессу управления качеством.
Вы обсуждали сети и потребность для компаний оценивать аспекты управления качеством на уровне сети, которые могут включать разработанные данной сетью методологии. Будет ли стандарт рассматривать случаи использования программного обеспечения?
Еще одна тема, которую рабочей группе еще предстоит исследовать более подробно, но если говорить в общем – будут применяться те же основные принципы. Иными словами, если компания пользуется чем-то, что пришло извне (внешний поставщик ПО, сеть и так далее), компании необходимо будет осознавать, чем именно она пользуется: является ли это аккуратным и надежным средством, и что ей нужно сделать, чтобы вообще иметь возможность использовать это.
Применимы ли предложенные принципы управления ко всем компаниям без исключения? Например, если перед нами небольшая компания, принципы управления могут быть для нее неактуальными, просто потому что она небольшая?
Очередной хороший вопрос, спасибо. Сам термин “управление” используется в различных контекстах. Мы также осознаем, что сегодня в мире действует очень много кодексов корпоративного управления – одни специально “подогнаны” под аудиторские компании, другие разрабатывались в первую очередь для коммерческих организаций. Во всех этих кодексах содержится большое разнообразие принципов, и – да, некоторые из этих принципов могут, вероятно, не очень подходить для малых аудиторских компаний. Как мы вообще решаем, что принципы подходят для компаний? Начнем с малого: принципы, которые у нас действуют для структуры, культуры, ответственности руководства компаний – мы считаем их очень актуальными для малых аудиторских компаний. У нас также есть принцип, который пытается ухватить общественную роль компании. Мы понимаем, что он был бы более актуальным в случае с крупной структурой в сравнении со случаем проводящей обзорную проверку малой аудиторской компанией – но, тем не менее, все равно актуальным. Нам предстоит еще уделить время этим принципам, но если говорить в общем, мы считаем, что все эти вещи будут существенными. Гибкость приходит через действия компаний по внедрению этих принципов – например, руководство крупных компаний имеет больше возможностей прямого влияния на сотрудников по сравнению с малыми компаниями, поэтому внедрение культуры может в очень значительной степени исходить из действий и отношения руководства. Действия и отношение руководства имеют не меньшее значение в крупных компаниях, поскольку крупные компании имеют возможность делать больше и затем распространять культуру на всю организацию.
Какие действия компании нужно предпринять для внедрения принципов управления?
Все это замечательные вопросы, Натали. Есть много вещей, которые может сделать компания. Для начала – распределить обязанности по различным вопросам, дабы сформировать аппарат управления. Это то действие, которое должно помочь с внедрением различных принципов. Требования в отношении ответственности, которые мы добавляем в стандарт, потребуют распределять определенные обязанности среди управляющих, и чтобы эти обязанности отвечали принципам корпоративного управления. Помимо этого компании могут проделывать и много других вещей – например, разрабатывать политики и процедуры, распределять обязанности, осуществлять информационный обмен, предоставлять обучение и так далее. Политики и процедуры компании в отношении выполнения требований по этике могут помочь с внедрением внутренней культуры и в особенности профессиональных и этических ценностей. Таким образом, есть много различных действий в плане внедрения принципов корпоративного управления.
Сегодняшний CEO компании, была изначально консалтинговым бизнесом, никогда не проводил аудит, и у нее другое лицо, отвечающие за аудит – можно ли в этом случае предполагать, что здесь глава аудиторской функции (а не CEO) будет нести высшую ответственность за качество?
Я не люблю отвечать “это зависит”, но это действительно будет зависеть от определенных обстоятельств. Только по той причине, что CEO компании занимался исключительно консалтингом и смотрел на все с точки зрения налогов, не значит, что данное лицо не должно быть ответственным. Те, кто находятся на вершине компании – они ответственны, они присматривают за ресурсами, следовательно, они находятся в той позиции, чтобы влиять на распределение ресурсов. Они также являются еще одной критической составляющей определения стратегии компании, также являющейся фундаментальной составляющей при определении культуры и отношений данной компании. Поэтому если глава аудита находится на более низком уровне структуры и отвечает за качество, для этого лица будет трудно осуществлять свои функции, если при этом у него нет высшей ответственности за внутренние ресурсы и стратегии. Однако мы, конечно, полностью осознаем, что CEO не отвечает за все в одиночку – эта ответственность распространяется по всей компании. CEO может распределить часть ответственности надлежащим образом, и тогда его будут поддерживать другие лица компании. Поэтому хотя у CEO может и не быть аудиторского опыта, его или ее должны поддерживать люди, у которых такие знания и опыт есть. Представим, что у компании есть совет управляющих партнеров или что-то похожее – эту ответственность можно равномерно распределить по данному уровню структуры. Мы собираемся оговорить требования для компаний, чтобы те использовали профессиональное суждение и обдумывали, как именно они собираются назначать ответственное лицо или лица.
В окончательной версии стандарта будет оговорено очень мало ответных действий, поэтому в конечном итоге сами компании должны будут решать, каким будет их ответ. Но что касается целей по качеству и рисков для качества – должны ли компании будут идентифицировать дополнительные цели по качеству и риски для качества помимо уже оговоренных?
Еще один хороший вопрос. Я уже говорила, что не люблю эту формулировку, но что поделать – все будет зависеть от обстоятельств. В отдельных случаях компания может решить, что уровень детализации и цели по качеству в том виде, в каком они оговорены и предписаны в стандарте, вполне нормальны. Ей не нужно добавлять что-то еще. Что касается рисков для качества – полагаю, компаниям стоит добавить что-то еще помимо того, что есть в стандарте, потому что это именно та область, где обстоятельства действительно начинают играть важную роль. А вот как много добавлять – это уже будет зависеть от этих обстоятельств.
Нужно ли определять цели по качеству и риски для качества для всей компании в целом, или это будет делаться отдельно от случая к случаю? Иными словами, риски для качества в случае с аудитом могут быть несколько иными в сравнении с другими областями деятельности.
Спасибо. Как именно компания решает определять цели по качеству и риски для качества, будет, опять-таки, зависеть от самой компании, услуг, которые она оказывает. Поэтому – да, в отдельных случаях компания действительно может решить, что будет определять цели по качеству и риски для качества, отталкиваясь от различного вида оказываемых ей услуг. Она также может организовать их в зависимости от отрасли, в которой эти услуги оказываются. А может захотеть определить их на более высоком уровне – например, на уровне всей компании. Также хочу напомнить, что ISQC 1 применяется только в отношении компаний, ведущих свою деятельность по стандартам от IAASB. Это значит, что если компания оказывает лишь консалтинговые услуги, то она может и не пользоваться ни одним из стандартов от IAASB, и очень многое в ISQC 1 может и не применяться в отношении данной компании. Но при этом какие-то вещи могут и применяться – например, требования по независимости.
Останутся ли требования к проведению инспекционных проверок на базисе цикличности?
Да, будут, мы не отбросили это требование. Однако что мы тут сделали – мы изменили фокус секции по мониторингу. В ISQC 1, как я говорила раньше, фокус будет в значительной мере смещен в сторону инспекционных проверок. Но мы считаем, что компаниям стоит больше следить за мониторингом всей системы в целом, а не только за отдельными случаями проверок. Поэтому мы оставили цикличность периодов в определении компании. Из соображений существенности это может быть (1-3 года?), но главное, чтобы инспекционные проверки при этом обеспечивали адекватность оценки всей системы управления качеством.
Если компания проводит другие типы проверок – например, коллегиальные обзоры (peer reviews) – может ли это считаться частью мониторинговой деятельности?
Это хороший вопрос, который возник еще в начале работы над проектом, и его задают снова и снова по ходу наших публичных мероприятий. Мы слышали мнения того типа, что компаниям на самом деле очень хотелось бы, чтобы эти виды проверок засчитывались, однако все может зависеть от обстоятельств, например, для чего проводится проверка. Скажем, если компания проводит проверку перед публикацией отчета (направленную на обнаружение ошибок и их корректировку до того, как будет выпущен отчет – GAAP.RU), мы не очень уверены, что это может рассматриваться как пример мониторинговой деятельности. Если подумать, при мониторинговой деятельности каждый раз, когда обнаруживается ошибка – как она воспринимается? Это недостаток системы управления качеством? Если вы вспомните, что я говорила ранее про анализы коренных причин - по недостаткам, обнаруженным по ходу проверки перед публикацией, необходимо будет провести этот анализ коренных причин. Вероятно, немногие найдут такую перспективу привлекательной. Компаниям придется подумать над тем, что им предстоит определить в качестве мониторинговой деятельности в отношении своих политик и процедур. Все может зависеть от структуры проверки перед публикацией. Несмотря на это, если компания все-таки проводит такую проверку, мы полагаем, что ей будет полезным смотреть на определенные тренды, которые вырисовываются по ходу проведения таких проверок – вот это действительно может стать дополнением для их мониторинговой деятельности.
А в случае внешних проверок – будет ли это тем случаем, когда компании могут засчитать это частью своей мониторинговой деятельности?
Здесь, я думаю, мы пока не определились. Мы пытаемся определить, как именно внешние проверки могли бы здесь засчитываться. Определенно, это потребует принятия в расчет обнаруженных недостатков, а это ведет к необходимости анализа коренных причин. Необходимо будет смотреть на обнаруженные по ходу внешних проверок тренды и на то, как все это вписывается не просто в анализ коренных причин, а в систему ваших целей по качеству, рисков и ответных действий. Все это придется учитывать. Полагаю, будет очень трудно рассматривать внешние проверки частью мониторинговой деятельности.
А анализ коренных причин необходимо проводить в случае с любыми недостатками, или только некоторыми из них?
Да, и если вы помните – это та область, над определением которой мы еще работаем. Есть четкие требования для того, что компании должны делать, но в реальности каждый недочет имеет свою причину. Одни недостатки могут сразу быть очевидными, а в других случаях компании придется провести глубокий анализ, чтобы понять, что на самом деле случилось. Говоря техническим языком, компаниям придется определять причины всех недочетов, но, опять-таки, мы еще обсуждаем, будет ли это иметь смысл в стандарте, и не стоит ли здесь оговорить определенные пороги по значимости недостатков, чтобы компании имели возможность решать, в отношении каких недостатков необходимо проводить анализ коренных причин.
Появятся ли новые типы предприятий, для которых обзорные проверки контроля качества станут обязательными? И может ли быть так, что у малой компании будут отдельные случаи, для которых обзорные проверки контроля качества не являются обязательными?
Хороший вопрос. В ISQC 1 сегодня есть требование о проведении обзорных проверок контроля качества в отношении аудита биржевых компаний, но компании при этом обязаны определять другие случаи, когда обзорные проверки контроля качества также обязательны. Согласно новому подходу, обзорные проверки контроля качества будут ответом на риски для качества. Поэтому в довесок к аудиту биржевых компаний компаниям придется проводить обзорные проверки контроля качества, если того требует закон или правила регулирования. А в дополнение к этому мы планируем улучшить требования в отношении определения критериев, добавив по возможности часть прикладного руководства в сам стандарт составной частью требований, чтобы компании применяли подход, в большей степени ориентированный на риски, при определении случаев обязательного проведения обзорных проверок контроля качества. Поэтому хотя могут быть обстоятельства, когда это малая компания, которая не проверяет биржевых компаний, и ничего для нее не прописано в законе или правилах регулирования, и они не видят существенных рисков в проводимых ими проверках, чтобы это требовало от них проведения обзорной проверки контроля качества – да, полагаю, что все же могут быть обстоятельства, когда от компании не требуется проводить никаких проверок.
Когда вы будете уточнять ISQC 2, будут ли там оговорены обзорные проверки контроля качества в случае с групповыми аудиторскими проверками, и как будет оговорено влияние обзорных проверок по компонентам в составе группы?
Еще один очень хороший вопрос, и это тоже в нашем списке задач, составленном по результатам публичных мероприятий, которые мы проводили в последние пару недель. Теперь это в списке задач для решения в течение ближайших месяцев.
ОК, осталось еще несколько неплохих вопросов. Можете ли Вы привести примеры целей по качеству или рисков для качества?
У нас уже есть несколько предписанных целей по качеству и рисков в предварительной версии, текст которого прямо передо мной. Одну секунду... Некоторые из предписанных целей по качеству в стандарте касаются сотрудников компании, как они выполняют свою роль и требования по этике; анализа компанией продолжительных отношений с клиентами и специальных проверок; соответствия целостности и принципам корпоративной этики и управления; адекватности лиц на руководящих должностях; проведения проверок в соответствии с профессиональными стандартами и требованиями регулирования. Одна из предписанных целей будет гласить, что компания обязана иметь достаточно адекватных ресурсов (в том числе финансовых, людских, интеллектуальных и технологических) для поддержания системы управления качеством, проведения проверок в соответствии с профессиональными стандартами и требованиями регулирования, обеспечивать последовательное качество проверок. И еще одна, четвертая цель, предписанная в текущей предварительной версии, гласит, что сотрудники компании реализуют цели по качеству на уровне отдельной проверки – что означает, в том числе, проведение проверок в соответствии с профессиональными стандартами и требованиями регулирования и публикацию отчетов, адекватных текущим условиям. Что касается предписанных рисков для качества в текущей версии стандарта – некоторые из этих рисков касаются неправильного понимания связанных требований по этике; рисков анализа компанией продолжительных отношений с клиентами и специальных проверок; адекватности лиц на руководящих должностях. Есть несколько, относящихся на риски управления и поведение лиц на руководящих должностях. Есть риск того, что у компании будет отсутствовать доступ к информации, необходимой для проведения проверок. Есть риск, что компания не сможет привлечь, развить у себя или удержать талантливые кадры. Вот лишь некоторые из них – я описала четыре основные цели по качеству в стандарте и несколько предписанных рисков – это дает общее представление, каким образом расширять требования ISQC 1 в формат оценки контроля качества.
Еще пара вопросов. Ожидается ли руководство для малых и средних аудиторских компаний в помощь с внедрением стандартов?
Я очень на это надеюсь. Ранее я уже говорила, что мы раздумываем над тем, какие примеры, какие дополнительные руководства могут – и, скорее всего, будут – существовать помимо стандарта, которые помогут всем компаниям с внедрением, в особенности в первые несколько лет внедрения. Очевидно, малые и средние аудиторские компании остаются на верхней строчке наших приоритетов в этом отношении.
Не могли бы Вы рассказать чуть-чуть про отчеты о прозрачности, и в какой степени существующие сегодня в различных юрисдикциях требования актуальны для этой отчетности?
Спасибо, это также тема из нашего списка, мы будем ее обсуждать – полагаю, уже через пару недель, на одной из встреч нашей рабочей группы. Также у нас будут полноценные обсуждения с Советом. Предварительные обсуждения с ним у нас уже были, когда мы работали над Приглашением высказывать свое мнение, но рабочей группе предстоит еще вынести на рассмотрение Совета свои рекомендации. Заданный вопрос затрагивает сложности в этой области, поскольку есть такая вещь как национальные требования. Многие юрисдикции уже сегодня требуют отчеты о прозрачности в том или ином виде, а содержание этих отчетов может иметь очень предписывающий характер. Вопрос в том, имеет ли IAASB на самом деле право требовать здесь этот вид отчетов. Одна из тех вещей, которые мы обсуждали – это сможем ли мы в прикладных материалах оговорить, что если от компании требуют составлять отчеты о прозрачности и описывать свою компанию с точки зрения качества, то способны ли прикладные материалы к ISQC 1 описать вещи, которые нужно принять во внимание при описании качества. Иными словами – создать своего рода руководство, чтобы то, что обсуждается по теме качества, представлялось бы последовательно. Так что… будьте на связи!