Как применять пересмотренный ISA 220 на практике

Международные стандарты...
Источник: GAAP.RU
Опубликовано: 21 Февраля 2022


Источник: IAASB

В пятницу Совет по международным стандартам аудита и подтверждения достоверности отчетности (IAASB) выпустил руководство по внедрению последнего третьего стандарта МСА (ISA) 220 “Контроль качества при проведении аудита финансовой отчетности”, который вместе с ISQM 1-2 сформировал новые основы управления качеством аудита. В обязательном порядке они начнут использоваться уже с конца этого года, но если по ІSQM 1 “Управление качеством в аудиторских организациях, проводящих аудит или обзорные проверки” и ISQM 2 “Проверки качества выполнения заданий” в середине прошлого года IAASB уже выпустил сопутствующие руководства, то с МСА 220 пришлось ждать до конца прошлой недели. Посмотрим, на что предлагают обращать особое внимание разработчики в процессе подготовки к внедрению.

Итак, международный стандарт аудита МСА 220 посвящен управлению качеством аудита на уровне отдельного задания и требует от руководителей заданий активного и ответственного руководства в этом отношении, в том числе через свое непосредственное участие на всей протяженности аудиторской проверки и неизменное* следование принятым в организации политикам и процедурам (*на самом деле далеко не всегда, но об этом ниже – GAAP.RU). Если смотреть в целом, то же самое было оговорено в стандарте и раньше, просто пересмотренный вариант дополняет прежние требования кое-чем новым, например:

  • Описанием специфических обязанностей аудитора в отношении управления качеством аудита на уровне отдельной проверки финансовой отчетности,
  • А также связанных с ними обязанностей руководителя задания, потому что многие обязанности аудитора имеют к руководителю задания самое прямое отношение.

Цели обновленного стандарта можно считать аналогичными целям пока еще действующего МСА 220 (который новая версия заменит собой с 15 декабря этого года), однако теперь более четко выделены задачи аудитора конкретно по управлению и обеспечению качества нужного уровня, а не задачи аудитора по использованию контрольных процедур (см. параграф 6 МСА 220). Иначе говоря, “просто стараться” уже недостаточно, потому что обновленный стандарт предполагает обеспечение качества аудита на уровне отдельного задания. При этом действия аудитора в рамках МСА 220 согласованы с прочими МСА, в которые в самом начале года как раз вносились необходимые для этого корректировки.

По итогу аудитор обязан так управлять качеством аудита на уровне задания, чтобы иметь возможность получить достаточные аудиторские доказательства. А сами аудиторские доказательства при этом можно считать достаточными, если правомерным будет утверждать, что:

  • Аудитор выполнил свои обязанности и провел аудит в соответствии с профессиональными, а также применимыми в этой ситуации регулирующими и прочими нормативными стандартами, и
  • Выпустил заключение, соответствующее обстоятельствам.

Требования обновленного МСА 220 часто применимы непосредственно к руководителю задания. Это объяснимо, потому что именно это лицо несет конечную ответственность за выполнение требований стандарта. При этом сама их формулировка теперь немного отличается от использовавшейся до сих пор, чтобы выделить обязанности руководителя по вовлечению прочих участников задания в исполнение предписаний. Таким образом, если где-либо в тексте идет “Руководитель задания принимает на себя ответственность”, это значит, что данное лицо может уполномочить другого участника задания на разработку и/или использование необходимых для этого аудиторских процедур – поручить исполнение подчиненному, по-прежнему неся при этом ответственность за результат в полном объеме. Иллюстрацией служит параграф 29 обновленной версии ISA 220, где сказано: “Руководитель задания несет ответственность за руководство, контроль членов аудиторской группы…”, далее по тексту.

И наоборот, если эта фраза именно в таком виде не используется, тогда авторы хотели сказать, что это требование предназначено для личного исполнения самим руководителем задания (при этом он или она, конечно, имеет право получить необходимую информацию от других членов аудиторской группы или от своей организации). Для иллюстрации  см. параграф 30, где прямо говорится, что именно руководитель “должен прийти к заключению, что характер, время и охват руководства, контроля и проведения задания...”, далее по тексту.

Новый фокус внимания на ответственности руководителя


Источник

Руководитель несет конечную ответственность за обеспечение надлежащего качества на уровне отдельного задания – ее принятие оговорено в параграфах 13-14 обновленного стандарта. Там подчеркивается, что ответственность, в том числе, подразумевает создание условий для проведения проверок, примером чего можно назвать следование установленным культурным ценностям организации, которой они все – члены аудиторской группы и сам руководитель задания - принадлежат.

Многие могут при этом задаваться вопросом, как правильнее реализовать “культурную часть” на практике. На самом деле, как и в случае с другими МСА, жесткие предписания вряд ли где можно встретить в международных стандартах аудита: как и в МСФО, тут скорее базовые принципы для ориентирования. Но чтобы по факту донести до сознания подчиненных важность культурных ценностей, руководитель задания может, как вариант, распространять в информационных рассылках выдержки из принятых в аудиторской организации руководящих правил, либо ознакомиться с содержанием проводимых курсов повышения квалификации, чтоб убедиться, что прочие члены аудиторской группы в полной мере их прошли и умеют применять полученные знания на практике. Это лишь пара примеров из очень обширного диапазона возможных конкретных действий.

Личная ответственность руководителя,  как видно из приведенной выше схемы, представляет собой лишь один из трех взаимосвязанных блоков, составляющих основу ответственности руководителя. Очевидно, в значительной мере она реализуется через его/ее руководство, контроль и проведение задания, поскольку - см. параграф 30 - именно руководитель определяет “характер, время и охват” всего этого, с учетом конкретных обстоятельств задания.

На уникальные обстоятельства заданий в требованиях стандарта авторы ссылаются не один раз, и это не случайно, так как обновленный стандарт призван обеспечивать масштабируемость. Для примера, в параграфе 8 сказано, что аудит “менее сложных организаций” может провести один-единственный человек - сам руководитель задания. Это действительно так. В этом случае какие-то требования данного стандарта могут быть просто неактуальны - например, те, где речь идет о перепоручении разработки и применения необходимых аудиторских процедур другим членам группы. Стандарт ISA 220 также оговаривает такие специфические ситуации, когда в составе аудиторской группы числятся специалисты, не являющиеся ни руководителями задания, ни специалистами на задании из числа сотрудников аудиторской организации, которая проводит проверку. В частности, это могут быть аудиторы компонент. Как быть в этом случае, можно почитать в Приложении А, параграфы А23-25.

Подробнее по теме масштабируемости в случае аудита как небольших, так и более сложных по структуре организаций можно почитать в Приложении А к ISA 220, параграфах А13-14, А29, А80, А95-97. Авторы руководства рассматривают и такой вариант, когда аудит сложных организаций требует значительных по размеру групп на задании, где главный руководитель задания дает поручения не рядовым членам аудиторской группы, а другим руководителям - а те, в свою очередь, перепоручают ответственность уже своим непосредственным подчиненным. При этом в параграфе 15 прямо сказано, что уполномочивание членов группы на разработку и использование аудиторских процедур, решение задач или конкретные действия не отменяет того факта, что руководитель задания все так же несет конечную ответственность за управление и достижение заданного качества аудита, поскольку (см. схему выше) он/она по-прежнему осуществляет эти функции через руководство, контроль и проведение задания на всем его протяжении.

Одновременно руководителю необходимо уметь смотреть на это как-бы со стороны, из “мета-позиции”, чтобы убедиться, что его/ее участие было достаточным и адекватным.  Требование о принятии “мета-позиции” для оценки успешности выполнения требований самим руководителем должно быть выполнено ближе к концу задания, но еще до подписания аудиторского заключения – этому посвящен параграф 40.

Многих может заинтересовать, как именно руководителю проверить, достаточным ли было его/ее участие по ходу всей проверки. Опять же, конкретных предписаний в стандарте нет, но всегда можно ориентироваться на такие индикаторы как частота посещения мест проведения аудиторского задания, частота встреч и обсуждений с представителями проверяемой организации (менеджерами, комитетами по аудиту), насколько часто проводились общие обсуждения с членами аудиторской группы для обсуждения достигнутого прогресса, и так далее. А если требуется продемонстрировать более формально, что руководитель задания проявил достаточное участие в аудиторских процедурах по ходу задания, с этим поможет параграф А37 Приложения А.

Новые и пересмотренные определения в ISA 220

Одно из ключевых определений, которое было пересмотрено – это “аудиторская группа” (англ. – “engagement team”, параграф 12). В оригинале (см. параграф 7 МСА 220) было так: “Аудиторская группа - все партнеры и сотрудники, выполняющие конкретное задание, а также любые лица, привлеченные аудиторской организацией или организацией, входящей в сеть, которые выполняют процедуры в рамках данного задания. При этом данный термин не относится к внешним экспертам, привлеченным аудиторской организацией или организацией, входящей в сеть; Понятие “аудиторская группа” также включает работников службы внутреннего контроля клиента, которые непосредственно участвуют в выполнении аудиторского задания…”.

Теперь же определение будет звучать следующим образом: “All partners and staff performing the audit engagement, and any other individuals who perform audit procedures on the engagement, excluding an auditor’s external expert and internal auditors who provide direct assistance on an engagement”. Даже без перевода на русский видно, что из состава группы при такой формулировке исключили представителей служб внутреннего аудита клиента. Новое определение, таким образом, подчеркивает, что вне зависимости от статуса занятости или местоположения, любое лицо, причастное к выполнению аудиторских процедур, должно быть независимым, а за его или ее работой должен осуществляться надлежащий контроль. Поэтому принадлежность к той же службе внутреннего контроля клиента не позволяет относить участвующего в проверке специалиста к аудиторской группе из-за того, что этот человек не является независимым.

Стандарт в пересмотренной своей версии охватывает разные возможные на практике варианты - например, когда в состав одной и той же группы входят члены, разбросанные по различным географическим локациям, хотя и работающие над одним делом. В Приложении А можно также отыскать материалы, проясняющие действия в случае аудита группы компаний (А15-21), либо когда к проверке привлекаются специалисты из совсем другой аудиторской организации (теоретически это может приобрести особую актуальность для Великобритании, где “Большую четверку” могут заставить проводить проверки вместе с менее крупными представителями аудиторского рынка - GAAP.RU) – см. параграфы А23-25. Иногда к проверке могут привлекать обладающих необходимыми знаниями представителей специализированных центров (профессиональных оценщиков, актуариев, IT-специалистов и т.д.), которые вроде бы работают в составе той же самой сети, но при этом не в самой проводящей проверку аудиторской организации.

Небольшие корректировки, приводящие их в большее соответствие с формулировками ISQM 1 и ISQM 2, также были внесены в определения:

  • Проверки качества выполнения задания,
  • Лица, осуществляющего проверку качества выполнения задания,
  • Соответствующих этических требований.

Взаимосвязь между тремя основными стандартами

Чтобы не возникло путаницы, проясним еще раз, какой стандарт для чего используется.

  • ISQM 1 (по нему, а также по ISQM 2 руководство, аналогичное разбираемому здесь, уже выходило летом прошлого года) содержит требования для разработки и внедрения системы управления качеством аудита на уровне всей организации, оказывающей профессиональные услуги. Эта организация как бы создает условия, в которых аудиторская группа выполняет свои задания - и делает это, хочется надеяться, качественно.
  • ISQM 2 посвящен проверкам качества выполнения задания, которые являются составной частью системы управления качеством, выстроенной согласно ISQM 1. Таким образом, стандарт со вторым порядковым номером является продолжением первого, но содержит специфические требования, связанные с назначением лица, осуществляющего проверку качества выполнения задания, порядком проведения самой проверки и документированием результатов.
  • Наконец, рассматриваемый сегодня МСА 220, как уже говорилось в самом начале, оговаривает ответственность за качество аудита на уровне отдельного задания, которая, в конечном итоге, ложится на руководителя задания. Отдельные составляющие разработанной организацией системы управления качеством аудита, безусловно, внедряются уже в процессе проверки. Несмотря на это, ответственность за саму систему управления качеством лежит на всей аудиторской организации, а не на аудиторской группе или ее руководителе. Однако внедрение и использование тех или иных составляющих системы управления качеством аудита будет в значительной мере зависеть от уникальных обстоятельств того или иного задания. Аудиторская организация физически не может предусмотреть все риски на этапе разработки модели, поэтому аудиторская группа использует уже свое профессиональное суждение, чтобы принимать решения о разработке и использовании каких-то вспомогательных мер в случае необходимости.

В связи с этим очень важен эффективный информационный обмен между аудиторской группой и профессиональной организацией, которой она принадлежит. Например, это может потребоваться в следующих случаях:

  • Аудиторская группа считает, что обладает информацией, важной для доработки системы управления качеством аудита на организационном уровне (см. параграф 4с);
  • Есть угроза нарушения соответствующих этических требований (параграф 18);
  • В распоряжение аудиторской группы поступила информация, которая ранее могла бы заставить руководство профессиональной организации отказаться от этого аудиторского задания (параграф 24);
  • Предоставленные в распоряжение аудиторской группы политики и процедуры оказались, с учетом обстоятельств, недостаточными (параграф 27);
  • В распоряжение руководителя задания поступила информация, которая может быть полезной для  мониторинга и ответных действий на организационном уровне (параграф 39с).

Очень важно, чтобы управление качеством аудита на уровне всей организации и на уровне отдельного задания было согласованным. В отдельных случаях установленные (согласно ISQM 1) политики и процедуры могут оказаться для аудиторской группы полезными в выполнении требований ISA 220.  Для иллюстрации, параграф А10 (Приложения А) прямо говорит, что в общем случае для следования требованиям данного стандарта аудиторской группе нужны установленные профессиональной организацией политики и процедуры - разве что уже в ходе проверки (либо чисто благодаря опыту) становится ясно, что эти политики и процедуры недостаточны для эффективного проведения аудита в соответствии с установленными стандартами качества аудита. Как вариант, эффективность политик и процедур может ставиться под сомнение из-за дополнительной информации, поступающей либо со стороны самой профессиональной организации, либо от других сторон (например, внешних инспекторов, мониторинговых групп и т.п.).

В параграфе А11 описано, как именно действовать руководителю задания, если становится ясно, что предусмотренная профессиональной организацией система реагирования на риски для качества аудита на самом деле неэффективна в уникальных для данного задания обстоятельствах.

Вкратце по ключевым изменениям

Ответственность руководителя за управление и обеспечения качества аудита

Это ключевое в пересмотренном стандарте ISA 220, поскольку, как было сказано выше, именно руководитель задания несет конечную ответственность за выполнение требований стандарта. Отдельно подчеркивается обязанность для него или нее создавать походящую среду, предполагающую понимание корпоративной культуры (профессиональной организации, которую представляет аудиторская группа) и ожидаемого профессионального поведения, а также обязанность предпринимать четкие, прозрачные, последовательные и эффективные шаги, демонстрирующие приверженность принятой в организации системе управления качеством аудита.

Стандарт подчеркивает важность применения профессионального суждения каждым членом группы на задании, но вместе с тем признает и традиционные для любого аудита факторы, способные создать давление на членов аудиторской группы и помешать надлежащему применению профессионального скептицизма в разработке и внедрении аудиторских процедур, оценке аудиторских доказательств. В Приложении А к ISA 220 содержатся дополнительные разъяснения касательно того, как:

  • Факторы, представляющие опасность для надлежащего применения профессионального скептицизма (бюджетные ограничения, жесткие временные рамки, отношения с менеджерами проверяемой организации), способны повлиять на итоговые результаты аудита (параграф А34);
  • Как на применении профессионального суждения сказывается осознанная или неосознанная предвзятость (параграф А35);
  • Возможные действия, предпринятые членами аудиторской группы, которые могут минимизировать угрозу для применения профессионального суждения, созданную неблагоприятными факторами (параграф А36).

Соответствующие этические требования

Стандарт в прежней своей редакции требовал от руководителей задания всегда оставаться бдительными относительно возможного нарушения соответствующих этических требований членами аудиторской группы и определять ответные действия, если об этом станет известно. Также руководитель определяет следование требованиям по аудиторской независимости. Все это в новом ISA 220 сохранилось, но в плюс к этому были добавлены некоторые другие требования и иллюстративные материалы по их практическому использованию. Например:

  • Прописана необходимость понимания связанных этических требований (а также стандартов аудиторской независимости) для самого руководителя, а также понимания того, понимают ли эти требования прочие члены команды (параграфы 16-17, А23-25, А38-44, А48);
  • Прописана необходимость оценки угроз по части возможного нарушения этических требований (параграфы 18, А34-44);
  • Прописана необходимость определения того, выполнены ли все связанные этические требования (включая стандарты аудиторской независимости) в полной мере (параграфы 21, А38, А47).

Также стоит обратить внимание на параграф А46, где содержатся примеры подходящих ответных действий, если руководитель приходит к выводу, что не все связанные этические требования были соблюдены. Они могут принять форму обсуждения этого факта с лицами, наделенными руководящими полномочиями, получения внешней юридической консультации и т.д.

Принятие нового клиента или продолжение отношений с уже действующим

Вообще говоря, это ответственность аудиторской организации, и по этой теме очень много написано как раз в контексте ISQM 1. Однако предыдущая версия МСА 220 требовала все-таки от руководителя задания удовлетворения всеми проведенными процедурами, обеспечивающими надлежащее принятие новых клиентов или продолжение сотрудничества с предыдущими. Также руководитель обязан своевременно информировать свое руководство о фактах, ставящих под сомнение возможность принятия положительного решения относительно взятия в работу нового аудиторского задания, если ранее эта информация была неизвестна.

Обновленный стандарт все эти требования сохраняет, плюс вводит еще одно дополнительное - о том, что информация, полученная в процессе анализа клиента на предмет возможности принятия нового аудиторского задания в работу, должна обязательно учитываться позднее, в процессе планирования и непосредственного выполнения аудиторского задания в соответствии с действующими международными стандартами аудита (параграфы 23, А53-56; параграфы из Приложения А приводят конкретные примеры такой информации). 

Ресурсы на выполнение задания

Прошлая версия МСА 220 оговаривала лишь назначение членов аудиторской группы. Однако за последние годы само понятие “ресурсы” довольно сильно расширилось, поскольку, помимо человеческих (параграф А62), это также могут быть технологические (параграфы А63-67) или интеллектуальные ресурсы (параграфы А68-69). Все это, таким образом, нашло отражение в обновленном стандарте.

Другим значительным изменением в новой версии стало требование для руководителя задания предпринимать необходимые действия, если оказывается, что выделенные на задание ресурсы оказались, с учетом фактических обстоятельств*, недостаточными. Как минимум, ему или ей придется проинформировать о недостаточности ресурсов свое руководство и/или другие лица в организации, ответственные за выделение ресурсов на задания.

*Как всегда, уникальные обстоятельства вокруг каждого задания могут оказывать очень значительное влияние на итоговый вывод о достаточности. К примеру, в непростых аудиторских проверках может быть крайне необходимо использование передовых технологических решений, тогда как оказывается, что их в распоряжении аудиторской группы просто нет!

Впрочем, в отдельных случаях возможно и прямое получение ресурсов аудиторской группы, минуя свою организацию, и примеры этого приведены в параграфе А60. Предположим, руководством на местах назначается аудитор компоненты для проведения аудиторских процедур от имени основной аудиторской группы – и все, проблема решена.

Возникает еще резонный вопрос, как именно руководителю задания определять, когда ресурсов достаточно, а когда нет? По этой части новый стандарт также весьма прозрачен:

  • В параграфе А75 проводится связь между связанными обязанностями профессиональной организации в отношении качества аудита, оговоренные в ISQM 1. Там сказано, в частности, что финансовые и операционные задачи профессиональной организации не должны ставиться выше обязанностей руководителя задания по обеспечению качества аудита, что подразумевает, в том числе, выделение достаточных на это ресурсов;
  • Параграф А76 посвящен работе аудиторов компонент в случае с аудитом группы компаний;
  • Параграф А77 содержит примеры того, когда меры реагирования на угрозы качеству, предпринимаемые на организационном уровне, оказываются неэффективными в сопоставлении с выделенными на задание ресурсами;
  • А параграф А78 перечисляет возможные действия в ответ на обнаружение факта недостаточности ресурсов.

Руководство, контроль и проведение задания

Обновленный стандарт требует от руководителя задания ответственности за руководство и надзор за деятельностью аудиторской группы и оценку качества выполненной ею работы. Обязанности по руководству, контролю и проведению задания могут быть личными для руководителя задания, а могут и распределяться среди других членов команды в случае более масштабных аудиторских проверок (случай масштабируемости, о котором рассказывалось выше).


Источник

На схеме вверху также показано, как именно оговоренные в нескольких параграфах общие и специфические обязанности руководителя задания перекликаются между собой, а также с требованиями связанного стандарта МСА (ISA) 300 “Планирование аудита финансовой отчетности”. Отправной точкой является 29й параграф нового стандарта, который гласит ровно то, что было сказано в предыдущем абзаце – необходимость принятия ответственности за руководство и надзор за деятельностью аудиторской группы.  

Далее, параграф 9(а) недавно обновленного ISA 300 теперь требует фиксировать в плане аудита, как именно руководитель задания собирается следовать своим обязанностям по руководству, контролю и проведению задания. Как уже отмечалось, совершенно необязательно, что этим обязанностям он или она будет следовать единолично. По этой причине также имеет значение параграф 30 ISA 220, который требует от руководителя задания удостовериться, что характер, время и охват процедур по руководству, контролю и проведению задания (планируемых и фактически реализуемых) соответствуют принятым в профессиональной организации политикам и процедурам, профессиональным стандартам и нормативным требованиям, а также (пункт b) - что они адекватны с учетом уникальных условий данного конкретного задания.

Наконец, от руководителя задания также требуется перепроверять аудиторскую документацию в надлежащие моменты времени по ходу проведения проверки, включая зафиксированные документально существенные суждения и значимые вопросы (также известные как “ключевые вопросы аудита”). Об этом говорится в параграфе 31. Что представляют собой “значимые вопросы”, специально не уточняется, потому что данный термин давно разобран в МСА 230 “Аудиторская документация”, параграф 8с.

Зато новый стандарт дополнительно разъясняет, какого именно типа суждения можно отнести к существенным - см. параграф А92. А в А93 сказано, что руководителю задания нужно проверять аудиторскую документацию не только по таким (“как в А92”) вопросам, но и по другим вопросам, которые имеют значение для исполнения им/ею своих обязанностей. При этом проверять всю аудиторскую документацию в любом случае не нужно.

Также стандарт требует от руководителя задания перепроверять финансовую отчетность, аудиторское заключение и формальные письменные обращения к представителям менеджерского состава проверяемой организации, лицам, наделенным руководящими полномочиями, либо регулирующим инстанциям (параграфы 33-34). Это новое добавление с целью лучше прояснить обязанности аудиторов в отношении формальных коммуникаций с внешними сторонами.

Проверка качества выполнения задания

Прежняя версия стандарта содержала требования и руководства еще и по этой части, включая требования, предназначенные конкретно для лица, осуществляющего проверку качества выполнения задания. Понятно, что это не может быть руководитель задания, и, вообще говоря, проведение таких проверок осуществляет в соответствии с совсем новым ISQM 2, куда эти требования просто переместили из прежней версии. В обновленном варианте ISA 220 требований этого рода уже не встретить, однако он все так же оговаривает остающиеся актуальными обязанности руководителя задания, связанные с проверками качества выполнения задания. В основном они затрагивают аспекты коммуникаций между ним и прочими членами аудиторской группы - с одной стороны, и лицом, проводящим проверку качества выполненного задания - с другой, см. параграфы 36, А103-106.

Стоит выделить новое, недвусмысленно сформулированное требование про личную обязанность руководителя задания сотрудничать с лицом, осуществляющим проверку качества выполнения задания, а также проинформировать других членов команды, что они обязаны поступать так же.

Также прежний стандарт требовал от аудиторских групп следовать установленным профессиональной организацией политикам и процедурам при разрешении конфликтов, связанных с разногласиями по каким-либо вопросам. Оно осталось, но было улучшено, поскольку теперь ISA 220 более четко оговаривает обязанности руководителя задания в такой ситуации. Например, параграф 38 теперь требует принятия личной ответственности за разрешение таких конфликтных ситуаций согласно политикам и процедурам профессиональной организации, документирования и внедрения выработанных в результате консенсуса решений, недопущения публикации аудиторского заключения до того момента, когда все разногласия будут разрешены.
Теги: Совет по международным стандартам аудита и подтверждения достоверности отчетности  IAASB  МСА 220  ISA 220  аудит финансовой отчетности  ISQM 1  ISQM 2  управление качеством аудита  аудиторские организации  обзорные проверки  аудит  проверки качества выпо