Источник: IAASB
В сентябре этого года Совет по международным стандартам аудита и подтверждения достоверности отчетности (IAASB) представил три стандарта, ставших итогом реализации масштабного проекта по улучшению качества аудита. Стандарты эти - ISQM 1, ISQM 2 и МСА (ISA) 220 - многие ждали уже давно, и сами разработчики в том числе, ведь для них внедрение этих стандартов практику означает наступление, ни много ни мало, “новой эры” управления качеством аудита.
Так ли все окажется на самом деле, покажет время. Пока же предлагаем вместе с нами подробно ознакомиться с содержанием представленного на днях информационного видео, которым разработчики напоминают о приближающемся одобрении стандартов со стороны специальной Комиссии по соблюдению общественных интересов PIOB (как того требует регламент) до конца текущего года и, само собой, детально рассказывают о новых требованиях.
В силу ISQM 1, ISQM 2 и ISA 220 официально вступят с 15 декабря 2022 г., а до тех пор разработчики обещают выпускать вспомогательные материалы в помощь аудиторским организациям, которым необходимо перестроить свои внутренние системы согласно обновленным требованиям.
Итак, о чем эти три важных стандарта? Стандарты по управлению качеством посвящены, как легко догадаться, именно что управлению качеством аудита и заданий на проверку качества самих заданий – как на уровне аудиторской организации, так и на уровне аудиторской группы. Перед IAASB стояла очень непростая задача пересмотреть и обновить требования стандартов, приняв при этом во внимание результаты огромного числа различного рода исследований, публичных обсуждений, форумов и т.д. - начиная с 2013 года, времени старта данного проекта. Информация, поступавшая в течение всех этих лет, недвусмысленно давала все основания думать, что аудиторская практика очень нуждается в улучшении. Одной из особенно проблемных областей неоднократно называлась корпоративная культура в аудиторской организации и качество управления.
При этом были учтены и современные тренды, такие как современные способы коммуникаций аудиторских организаций со своими стейкхолдерами. Разработчиков МСА особенно интересовали проблемы малых и средних аудиторских организаций в применении стандартов, ответственность партнеров-руководителей аудиторских заданий и, разумеется, обеспечение строгости отдельных аспектов самих процессов, направленных на управление качеством аудита.
Три новых стандарта, по мнению IAASB, высоко подняли планку качества аудита. После внедрения в практику они обеспечат гораздо большее доверие к рынкам капитала и станут прямым ответом на самые актуальные запросы их участников. Обновление стандартов было проведено с принятием в расчет современных технологий и распространенных сегодня эффективных подходов к управлению качеством. К тому же эти три стандарта объективно можно назвать более строгими по сравнению с действующими требованиями по управлению качеством аудита как на уровне аудиторской организации, так и на уровне аудиторской группы.
Управлению качеством на уровне отдельной аудиторской организации посвящен стандарт ISQM 1. Здесь речь идет про формирование организационной системы управления качеством аудита, создающей базовые условия для проведения аудиторских инспекций в соответствии с установленными стандартами. Стандарт заменит собой ISQC 1 - действующий ныне стандарт по контролю качества.
ISQM 2 касается проведения проверок качества выполненных аудиторских заданий (как возможной составляющей процесса управления качеством), и это нечто новое. В значительной мере он опирается на требования других стандартов от IAASB, таких как тот же ISQC 1 и, разумеется, МСА (ISA) 220.
Ну и сам ISA 220 - он, конечно, не новый, но пересмотренный, и он касается качества аудиторских проверок, а значит - рассматривает качество на уровне отдельного задания. Данный стандарт будет использоваться партнерами-руководителями аудиторских проверок. Однако обновленный стандарт ISA 200 связан с ISQM 1 в том плане, что последний формирует для него необходимые основы для обеспечения качества аудита на уровне задания, а первый – предписывает правильное следование этим основам партнерами-руководителями.
ISQM 1: про ответственность аудиторских организаций в целом за систему управления качеством
Изменения по сравнению с ISQC 1, который пока что действуют сегодня, поистине фундаментальны. Начать хотя бы с нового ключевого фокуса: вместо контроля качества теперь речь будет идти об управлении качеством, что удастся реализовать через риск-ориентированный подход (то есть логику управления рисками предлагают использовать в управлении качеством аудита).
Риск-ориентированный подход обеспечивает гибкую и масштабируемую систему, которая умеет подстраиваться под уникальные обстоятельства каждой организации и самих заданий и значительно превосходит использовавшийся до сих пор линейный подход. Благодаря этой характеристике применять стандарт смогут аудиторские организации любых типов и размеров. Новая система также проактивна по своей сути и опирается на непрерывные улучшения и устранение недочетов.
Составляющие системы управления качеством аудита на уровне отдельной организации, в принципе, те же, что и сегодня (перечислим их, а далее разберем детально):
- Оценка рисков
- Требования профессиональной этики
- Ресурсы
- Руководство и управление
- Качество аудиторских заданий
- Информация и коммуникации
- Преемственность и непрерывность
- Мониторинг и процесс устранения недочетов
В отличие от прежнего, в новом стандарте это не просто набор элементов, а целостная система, которая из них состоит. Это более интегрированный и итеративный подход, при котором, вместо того, чтобы акцентировать внимание на чем-то одном, что требует доработки, рассматривается система в целом. Таким образом, в ISQM 1 удалось отразить акцентированную взаимосвязь различных элементов и их взаимное влияние.
Разработчики из IAASB уверены, что переход на новый стандарт станет для аудиторских организаций поистине трансформативным, а добавление в него новых элементов, актуальных для современных реалий, затронет неохваченные ранее аспекты аудита, такие как IT и человеческие ресурсы.
С учетом этого, переход на ISQM 1 потребует от аудиторских организаций больше внутренних перестроек, чем потребовал бы, наверное, любой другой стандарт. В какой мере участвуют в управлении качеством руководители аудиторской организации? Требуются ли в ней структурные преобразования? Как циркулирует информация внутри организации? Какие потребуются инвестиции? Это лишь несколько очевидных примеров тех вопросов, на которые придется дать четкий ответ.
Руководство и управление
Руководство и управление (“Governance and Leadership” в оригинале) является одним из составных элементов управления качеством аудита на уровне организации, и это одно из важнейших понятий нового стандарта. Такой акцент со стороны IAASB объясняется тем фактом, что во многих корпоративных скандалах последнего времени основной причиной стало именно отсутствие ответственности на уровне организационного руководства и его консультантов.
В новом стандарте руководство и управление формирует основу системы управления качеством аудита: если руководство не стремится этого делать и не берет на себя ответственность, не может быть и речи о стабильности всей системы управления качеством аудита.
Новый стандарт учитывает последние изменения в кодексах корпоративного управления передовых экономик мира и формулирует соответствующие требования к руководству аудиторских организаций, оговаривая для него:
- Четкую зону ответственности
- Необходимость проводить ежегодную оценку системы управления качеством
- Необходимый уровень квалификации, влияния и полномочий
- Периодические проверки эффективности самого руководства
- Определение необходимой организационной структуры
- Распределение ролей и обязанностей
- Ресурсное планирование
Особый акцент теперь делается на корпоративной культуре, тон которой, конечно, также задает руководство и распространяет ее далее на все организационные уровни. Корпоративная культура подразумевает осознание работы аудиторов в интересах общественности и соотнесение качества со стратегическими решениями аудиторской организации.
Оценка рисков
Как уже отмечалось, риск-ориентированный подход решено было взять за основу, благодаря чему система управления качеством стала более проактивной и гибкой, учитывая теперь уникальные особенности каждой отдельной организации.
Оценка рисков в новой системе охватывает три главных составляющих:
- Определение целей по качеству, которых организация желает достичь в ходе выполнения аудиторских заданий;
- Идентификация и оценка рисков для качества: “что может пойти не так” с достижением этих установленных целей по качеству?
- Разработка и внедрение ответных мер: контрольные процедуры в ответ на риски для качества.
Некоторые цели по качеству уже определены в ISQM 1, но к ним могут потребоваться и дополнительные, в случае если это необходимо для выполнения всех требований стандарта (поскольку уникальные обстоятельства в случае с каждой организацией могут быть свои). Цели по качеству в стандарте прописаны в отношении каждой из восьми перечисленных выше составляющих системы управления качеством, кроме самого последнего (“Мониторинг и процесс устранения недочетов”). Из данного факта можно вынести правдивое, в принципе, заключение, что цели по качеству составляют в стандарте большую часть всех прописанных требований. То есть, если речь заходит о “требованиях”, на самом-то деле будут обсуждаться цели по качеству. Отсюда также следует, что в стандарте главный акцент делается на исходах выполненных заданий.
При идентификации рисков следует ориентироваться на риски, которые имеют обоснованную вероятность возникновения и негативного влияния на достижение поставленных целей по качеству. При этом необходимо принимать в расчет условия, обстоятельства, события, действия или бездействие.
В ответ на обнаруженные риски от организаций требуется разработка и внедрение ответных мер реагирования. В целом, ответные меры уникальны и разрабатываются каждой аудиторской организацией на индивидуальной основе, однако три их вида IAASB прописал в самом стандарте. Одним из них, к слову, являются проверки качества задания, о которых еще будем много говорить.
Поскольку вся новая система стандартов подразумевает динамический характер системы управления качеством, то и здесь отдельно отмечается, что организациям необходимо также внедрить механизм по отслеживанию поступающих новых информационных данных. Любые изменения могут потребовать изменений и в определенных прежде целях по качеству, и в механизмах обнаружения рисков, и в ответных мерах.
Ресурсы
Если действующая версия ISQC 1 различает лишь один вид ресурсов (человеческий капитал), то новый стандарт будет оперировать более широким спектром: человеческих ресурсов (в том числе в виде привлекаемых внешних специалистов), технологических ресурсов (программное обеспечение) и интеллектуальных (как пример, методологии). При этом стандарт также уделяет внимание тому, в какой степени ресурсы подходят для выполнения задания, как именно они получены (наняты, если речь идет о живых людях) или созданы внутренними силами, как происходит их улучшение и использование.
Стандарт также оговаривает использование услуг внешних – и именно внешних - провайдеров в выполнении аудиторских заданий или во всей системе управления качеством. Понятие “услуга” в данному случае - общего плана. Это может быть как программное приложение, так и специалист для проведения части аудита (“аудитор компонента”). А вот если провайдер принадлежит самой сети, для таких услуг предусмотрены уже другие требования.
Информация и коммуникации
Эта тема действующим стандартом ISQC 1 прямо не затрагивается вообще, поэтому является, можно сказать, новой. Хорошо известно, что для эффективного функционирования любой системы необходимо обеспечить непрерывный информационный поток. Вот почему новый ISQM 1 рассматривает информацию и коммуникации в качестве одной из важнейших составляющих.
Разумеется, это не должна быть абы какая информация, но надежная и полезная, которая действительно обеспечивает функционирование всей системы управления качеством. Для обеспечения информационного обмена (стандарт различает при этом внутренние и внешние коммуникации) может потребоваться формирование целой внутрикорпоративной информационной системы, а кроме того, информационный обмен должен быть “встроен” в корпоративную культуру.
Говоря о внешних коммуникациях, важно также уточнить, что с их помощью стандарт переосмысливает понятие прозрачности аудиторской организации в том, что касается ее системы управления качеством. Так, если речь идет о проверке биржевых организаций, то сведения о системе управления качеством аудита должны, согласно новым требованиям, доводиться до сведения лиц в аудируемых организациях, наделенных руководящими полномочиями. Это требование действует только лишь для аудита биржевых компаний, чтобы не перегружать работой небольшие аудиторские компании.
Аудиторская организация на свое усмотрение обязана также определить другие случаи, когда необходимо осуществить внешний информационный обмен с какой-либо еще стороной, попутно определяя специфические виды информации, которые требуют коммуникации, способ и форму этих коммуникации, подходящий для них момент. В частности, таким не оговоренным стандартом случаем необходимой коммуникации является исполнение требований национального законодательства.
При этом самостоятельно проведенный анализ перечисленных аспектов может потенциально привести организацию к выводу, что никаких коммуникаций не требуется вовсе. Это вполне возможно, просто для такого вывода организации все равно необходимо следовать определенной логике рассуждений.
Мониторинг и процесс устранения недочетов
Хотя и то, и другое уже учтено в ISQC 1, новый ISQM 1 более строго рассматривает именно мониторинговую составляющую. Для начала, новый стандарт сместил фокус внимания с отслеживания качества на уровне отдельного аудиторского задания к отслеживанию качества на уровне всей системы управления качеством аудита.
Далее, связанная с мониторингом деятельность станет более гибкой с точки зрения ее характера, масштаба и времени проведения, поскольку будет определяться множеством разных факторов: структурой системы управления качеством, изменений в ней, уникальными обстоятельствами.
В новом стандарте сохранено требование о проверке качества выполненных заданий, но при этом больше внимание будет уделяться выбору их руководителя (на циклической основе) и отбору самих случаев для проверки (в зависимости от уровня риска, других связанных с мониторингом видов деятельности и структуры самой системы управления рисками в целом).
Также новый стандарт вводит основы для анализа результатов мониторинга и обнаружения недочетов, с последующим анализом серьезности и постоянства этих самых недочетов. Это подразумевает обнаружение глубинных коренных причин – новый момент, принятый в расчет ISQM 1.
За обнаружением недочетов должно следовать определение подходящих мер их устранения и определения итоговой эффективности этих мер. Все это также оговаривает новый стандарт - как и необходимость сообщить о выявленных и устраненных недочетах руководству аудиторской организации, прочим членам аудиторской команды и другим участникам. Руководство аудиторской организации на основе этой информации делает вывод об эффективности принятых мер реагирования.
Ответственность аудиторской организации при использовании сетей
Неадекватная зависимость аудиторских организаций от своих сетей (например, предоставленных им со стороны IT-инструментов или методологий проведения аудита, которые могут учитывать какие-то дополнительные региональные требования) была той проблемой, которую разработчики попытались решить с помощью нового стандарта по управлению качеством. Часто аудиторы применяют полученные из сети ресурсы, не особенно задумываясь о том, насколько они им в действительности подходят, но скоро такая порочная практика должна уйти в прошлое.
IAASB в новом стандарте подчеркивает принципиальный момент: за адекватность применения ресурсов ответственность несет сама аудиторская организация, а вовсе не сеть. Это означает необходимость четкого понимания того, что именно применяется в ходе выполнения задания, и на каких условиях, а также влияния этих ресурсов на систему управления качеством (идет ли речь об изменениях в ней или адаптации к ее особенностям).
Также в стандарте оговорена необходимость определения влияния мониторинговой деятельности на уровне всей сети на мониторинговую деятельность на уровне отдельной аудиторской организации и понимание сути самой мониторинговой деятельности на уровне всей сети (в частности, того, как “сеть” определяет эффективность применения своих требований в различных ее звеньях). Информационный обмен, о котором говорилось выше, требуется стандартом между аудиторской организацией и сетью.
В стандарте ISQM 1 нет прямых требований для сетей, однако разработчики ожидают, что на их уровне влияние будет ощущаться более сильно, поскольку аудиторские организации обязаны будут более полно информировать сети относительно использования ее ресурсов.
Прочие аспекты
- Профессиональное суждение и профессиональный скептицизм. Теперь для них создан простор для применения и в отношении установленных целей по качеству.
- Стандарт оговаривает выборку выполненных заданий на прохождение проверок на качество. Данная процедура отбора будет принимать в расчет то, насколько значимы проверенные компании с точки зрения общественного интереса, а также момент для проведения проверки на качество с учетом уровня риска. Впрочем, определение подходящего лица на руководство такими проверками, а также ведение соответствующей документации будет определять уже не этот, а другой стандарт ISQM 2, о котором чуть ниже.
- Этические требования. В их отношении новый стандарт использует подход, в большей степени основанный на принципах, а не предписаниях. Кроме того, этический аспект принимает во внимание и внешних по отношению к аудиторской организации участников (например, другие компании из той же самой сети или провайдеров услуг), если эти внешние участники оказываются затронутыми этическими принципами, которым следует аудиторская организация.
ISQM 2: про проверку качества выполнения задания
В оригинале такие проверки носят название “Engagement Quality Reviews” (“EQR”) – то есть проверки качества выполнения аудиторского задания. Каким образом данный стандарт связан с предыдущим, ISQM 1? Обсуждая стандарт по формированию системы обеспечения качества аудита на уровне всей организации, мы вскользь упоминали, что там уделено определенное внимание анализу рисков, который состоит из трех рассмотренных уже составляющих (определения целей по качеству, идентификации рисков для качества и, наконец, разработки и внедрения ответных мер). Так вот, проверка качества отобранных выполненных заданий, равно как и проведение самой выборки таких заданий, являются примером оговоренных стандартом ISQM 1 мер в ответ на обнаружение рисков для качества. В принципе, схожие требования содержатся и сегодня в ISQC 1 и предыдущей версии МСА 220, однако новые стандарты их уточнили, сделав особую привязку к рискам для качества, поскольку это лучшее соотносится с выбранным за основу риск-ориентированным подходом.
Обязательной проверке на качество подлежат результаты аудиторских проверок биржевых компаний или те случаи, когда того требует законодательство. Кроме того, аудиторская организация может самостоятельно прийти к выводу о необходимости проведения “EQR” в качестве меры реагирования на обнаруженные риски для качества – например, в том случае, если проведенная аудиторская проверка потребовала от аудиторов принятия непростых суждений.
Если проверка качества выполнения задания не требуется (что целиком возможно, например, у небольших аудиторских организаций, либо даже больших - в том случае, если в качестве ответной меры на обнаруженные риски было выбрано что-то еще), то и ISQM 2 волновать не должен, потому что ни в каких других случаях он не используется. Если же организация решает, что “EQR” необходима, то такую проверку нужно проводить в соответствии с требованиями этого второго стандарта, который, в частности, оговаривает такие вопросы как назначение ответственного лица на проведение проверки качества выполнения задания, документирование и регламент проведения проверки.
То, в какой мере подходит на эту роль лицо, выбранное для проведения проверки качества выполнения задания, вообще стало одной из центральных тем в ISQM 2. Некоторые требования человеку со стороны могут даже показаться несколько специфическими. Так, аудиторский партнер (руководитель “задания”, т.е. самой аудиторской проверки) не имеет права проводить проверки качества выполнения задания раньше истечения двухлетнего “периода остывания”. Это принципиально новое требование, которое применяется в отношении любых проверок качества выполнения задания, и которое, по задумке авторов, должно обеспечивать объективность руководителя (что очень важно для оценки сделанных аудиторской командой суждений и выводов). Не стоит путать этот “период остывания” с периодом остывания в случае обязательной ротации аудиторских партнеров, который оговорен совсем в другом месте (в Кодексе профессиональной этики).
Далее, стандарт отводит достаточное время для проведения “EQR”. Какое именно – не уточняется, но это, очевидно, остается на усмотрение самой команды. Кроме того, стандарт ISQM 2 признает, что в таких проверках может потребоваться внешняя помощь (поскольку, например, внутренних человеческих ресурсов просто недостаточно), поэтому разрешено использование квалифицированной помощи извне - включая сторонних руководителей проверки качества выполнения заданий.
Также предусмотрены ответные меры в ситуации, когда возникают сомнения в том, насколько выбранное лицо подходит для руководства проверкой качества выполнения задания. А что касается самого порядка его проведения - тут стандарт делает особый упор на существенных вопросах и существенных суждениях (что именно подразумевать по “существенным”, стандарт также проясняет).
Далее, стандарт оговаривает, что руководитель - лицо во главе всей проверки “EQR” - не будет находиться на этой позиции лишь формально, но будет активно подключаться к самой проверке в определенные моменты времени, чтобы команда подчиненных имела возможность вовремя следовать выданным им или ею инструкциям по дальнейшему проведению проверки.
И наконец, после того как все требования по проведению проверки качества выполнения задания были формально выполнены - есть еще одно, требующее самостоятельного удостоверения проверяющей командой, что это действительно так, и что до сих пор в проведении “EQR” они руководствовались не только лишь установленными для всех общими правилами, но и требованиями самого ESQM 2.
Аудиторский партнер (руководитель задания) не имеет право проставлять дату под заключением по итогам проведения “EQR” до того момента, пока руководитель проверки качества выполнения задания не проинформирует его или ее, что проверка закончена и была проведена в соответствии со всеми предусмотренными в стандарте требованиями.
ISA 220: про управление качеством на уровне аудиторского задания
И в заключение – буквально несколько слов о пересмотренной версии стандарта МСА (ISA) 220. После своего пересмотра стандарт более четко возлагает ответственность за управление и обеспечение нужного качества аудита на руководителей аудиторского задания. Это подразумевает, в частности, его или ее активное участие в аудиторской проверке на всем ее протяжении.
Подчеркивается важность формирования соответствующей культуры на уровне не только организации, но и отдельной аудиторской группы, следовать которой обязаны все ее члены. Это подразумевает, в частности, соблюдение достаточной меры профессионального скептицизма.
С учетом современных тенденций, в данном стандарте (так же как и в ISQM 1) оговорили не только человеческие, но и технологические и интеллектуальные ресурсы. В результате этого новое определение получили ключевые понятия партнера-руководителя задания и аудиторской группы. На руководителя задания возлагается ответственность за обеспечение адекватности и достаточности ресурсов для выполнения задания, а если это не так, для руководителя предусмотрены меры реагирования – например, информирование аудиторской организации о факте недостаточности ресурсов с целью их получения.
Партнер-руководитель задания, согласно обновленной версии стандарта МСА 220, обязан также осуществлять надзор за проведением проверки и определять дальнейшие ее направления, что подразумевает принятие в расчет самого характера задания, его обстоятельств и доступных ресурсов.
В стандарте теперь четко изложено, что именно обязан удостоверять партнер-руководитель задания. Если кратно, то это ключевые вопросы аудита и существенные суждения, принятые по ходу аудита, плюс все формальные письменные примеры коммуникаций, которые направляются членами аудиторской команды менеджерам проверяемых организаций, лицам, наделенным руководящими полномочиями, либо же регулирующим инстанциям.
И точно так же, как в случае с предыдущим стандартом, по завершении проверки предусмотрено требование о дополнительной “самопроверке”, в ходе которой руководитель обязан окинуть взглядом все сделанное и прийти к заключению, что он, в самом деле, сделал или сделала все возможное для управления качеством аудита и обеспечения нужного ее уровня.
Все три стандарта будут выпущены совсем скоро – тогда же можно будет ознакомиться с их текстом в оригинале (а со временем – и на русском языке, мы полагаем). Как мы упомянули в начале, выпуск разрешат после формального одобрения со стороны PIOB, Комиссии по соблюдению общественных интересов. А этого осталось ждать совсем недолго.