Разбираются Кейт Бистон (Kate Beeston), ACA, Хелен МакНейл (Helen MacNeill), FRC
По материалам: Accountancy Daily
После непростого 2021 года COVID-19 по-прежнему с нами, из-за чего все так же на особом счету остаются риски мошенничества. К тому же приближается переход на новые стандарты управления качеством аудита ISQM 1-2, к которым многие профессиональные организации уже начали подготовку.
Мошенничество
Пандемия поставила многие организации в состояние особой уязвимости перед мошенничествами привычных и не совсем привычных видов, отличившихся за последние пару лет необычными вариациями. Фишинговые атаки, кража личных данных с целью выдачи себя за другое лицо, мошенничество с техподдержкой – все это далеко не новые схемы, но в условиях удаленной работы, когда труднее спросить совета своих коллег, они приобрели дополнительную угрозу.
Кроме того, пандемия добавила финансовым мошенникам “стимулов” в плане присваивания активов, манипуляций с финансовой отчетностью и просто несоблюдения действующего законодательства. Ложные или ошибочные обращения за государственными субсидиями (например, на оплату бессрочных отпусков) стали одной из излюбленных схем (вернуть налоговикам пока что удается не более одной четверти похищенных таким образом средств – GAAP.RU). Аудиторам следует быть особенно внимательными с клиентскими компаниями, обращающими за грантами неправомерно при фактическом отсутствии отправленного в бессрочный отпуск персонала или завышении численности персонала (такими действиями компании стремились обеспечить себя доступом к льготным кредитам на сумму до £50000).
Более высокий риск мошенничества влияет на общую оценку рисков, что аудиторам следует принять во внимание еще на стадии планирования. Руководитель аудиторской проверки и вся команда должны обсудить подверженность своего клиента риску мошенничества в зависимости от способа его совершения.
Ошибки
Даже если у отдельно взятой организации не наблюдается существенного увеличения риска мошенничества, изменения в системах внутреннего контроля в связи с переходом персонала на удаленные режимы работы должны были привести к увеличению риска существенных бухгалтерских ошибок.
Дистанционная работа подразумевает удлинившееся время реагирования персонала на обращения менеджеров за уточнением информации. Рутинные проверки, проводимые ранее на автоматизме, теперь уже трудно провести столь же быстро и эффективно. Непривычные многим изменения просто обязаны чаще приводить к ошибкам. Для аудитора это означает неизбежные корректировки в подходах к оценке, которые применялись все предыдущие годы, и, вероятно, увеличение частоты тестирования по существу инструментов контроля в случае подозрения на их неэффективность в течение года.
Дистанционный аудит
По аналогии, дистанционные методы работы вынуждены были примерить на себя сами аудиторы. Хотя время масштабных локдаунов позади, и вместе с их снятием многим разрешили вернуться в офисы, очередная волна, вызванная штаммом Омикрон, привела к частичному возврату к работе вне офиса по рекомендациям британского правительства.
Чтобы обеспечить необходимую эффективность, аудиторы вынуждены использовать различные сочетания аудиторских техник, способных принести аудиторские доказательства в нужном объеме (сам объем, впрочем, в таких условиях тоже может пересматриваться). Аудиторам могут потребоваться дополнительные страховочные процедуры для оценки активов, не доступных непосредственному наблюдению при удаленном режиме работы, либо придется разработать альтернативные аудиторские процедуры, если визит в офис проверяемой организации невозможен в принципе.
Кроме того, уже с конца наступившего года аудиторам придется обеспечивать свое соответствие требованиями новых стандартов по управлению качеством аудита ISQM 1, ISQM 2 и ISA (UK) 220 “Контроль качества при проведении аудита финансовой отчетности” и тщательно документировать факт комплайенса.
Аудит оценочных значений - ISA (UK) 540
Стандарт был пересмотрен в Великобритании в декабре 2018 года и вступил в силу год спустя. Важно помнить, что больше всего внимания разработчики в этот раз уделили процедурам оценки риска и профессиональному аудиторскому скептицизму.
Уже на стадии планирования аудитор должен получить представление об оценочных значениях в отчетности своего клиента и предположить:
- В какой степени они подвержены неопределенности оценки;
- В какой мере использованные для оценочных значений методы и допущения подвержены факторам сложности, субъективности и пр.
Стандарт ISA (UK) 540 также требует от аудиторов пересматривать итоги прошлых использованных оценочных значений, что может помочь с обнаружением и оценкой риска существенного искажения уже в текущем периоде.
Оценка рисков не должна быть бинарной (то есть это не должна быть оценка вида “существенный - не существенный”). Вместо этого британские аудиторы полагаются на целый спектр значений рисков в качестве инструментария, например, присваивая значения от 1 до 5 (где “1” соответствует самому низкому, а “5” – самому высокому уровню). Это далеко не единственный выбор градации, и тут многое будет определять профессиональное суждение.
Непрерывность деятельность - ISA (UK) 570
Стандарт пересматривался в Британии весной 2019 года, однако пришедшая год спустя пандемия наглядно продемонстрировала его особую важность в новых условиях. В силу он вступил как раз вовремя – так же как в случае со стандартом ISA (UK) 540, для аудита годовой отчетности за периоды, стартовавшие 15 декабря 2019 г. или позднее.
Пересмотренный стандарт по непрерывности деятельности требует от аудиторов более строй оценки сделанных менеджерами компаний выводов относительно непрерывности – теперь приходится оперировать более широкими объемами данных для подкрепления выводов и более строго оценивать использованные менеджерами методы, допущения и данные, позволившие им прийти к заключению о предположительной непрерывности.
В стандарте делается особый акцент на оценке аудитором риска существенного искажения согласно ISA (UK) 315, что означает прямое требования распространять процедуры оценки риска на область непрерывности и тщательно их документировать.
Больше внимание в стандарте теперь уделено профессиональному скептицизму, ассоциируемому с более строгими требованиями по оценке риска, которые обеспечивают лучшие основы для обнаружения событий и условий, возможно, даже необнаруженных ранее самими менеджерами, а равно как и оценке существенной неопределенности в их отношении. Также аудиторы принимают в расчет риск менеджерской предвзятости (management bias).
Пересмотренный стандарт подчеркивает, что теперь аудиторы не просто подтверждают существование или отсутствие существенной неопределенности в отношении использованного клиентом базиса подготовки отчетности, но и сами должны активно получать достаточные доказательства, чтобы на них обосновать свое заключение. Придется получить аудиторские доказательства как по использованию менеджерами “going concern” в качестве базиса, так и по существенной неопределенности вокруг этого. Кроме того, есть также требование собрать воедино все полученные аудиторские доказательства, будь-то подтверждающие или противоречащие выводам, и принять их все во внимание в ходе оценки клиента на предмет непрерывности.
Аудит небольших компаний
В случае с аудитом малых предприятий придется также проверять сделанную менеджерами оценку соответствия принципу непрерывности деятельности, однако в этом случае доступные данные могут отличаться от того, что было бы получено в случае с аудиторской проверкой более крупных организаций. Достаточность и адекватность доказательств в значительной степени будет зависть от уникальных фактов и обстоятельств.
Как пример, в случае с малыми компаниями достаточные аудиторские доказательства можно получить без формальных прогнозов денежных потоков и прогнозных бюджетов, которые были бы подготовлены год спустя после одобрения финансовой отчетности за текущий период. Конечно, такие прогнозы и бюджеты обеспечили бы аудиторов более убедительными доказательствами, однако им в этом случае можно обращаться за альтернативными источниками информации, особенно если бизнес клиента не характеризуют никакие особо запутанные ситуации.
В случае с малыми организациями может быть полезным обсудить среднесрочное и долгосрочное финансирование с менеджерами, при условии, что утверждения менеджеров могут быть подкреплены достаточной документацией, и не будут противоречить представлению аудитора о данной организации.
Профессиональный скептицизм
Профессиональный скептицизм – это особое отношение, подразумевающее пытливый ум и внимательность к обстоятельствам, способным свидетельствовать о возможном искажении в результате ошибки или преднамеренного мошенничества, плюс критическая оценка аудиторских доказательств.
Совет по финансовой отчетности (FRC) довольно часто на основе проведенных проверок качества аудита рекомендует компаниям более строго применять профессиональный скептицизм. Более того, это одна из главных тем его недавнего доклада по теме образцового в понимании регуляторов аудита. По аналогии, Институт сертифицированных бухгалтеров Англии и Уэльса (ICAEW) уже в своей недавней публикации отмечает, что во многом проблемы сегодняшнего аудита, считающиеся значительными или весьма значительными, связаны именно с нехваткой профессионального скептицизма.
Британские аудиторские стандарты требуют сохранять профессиональный скептицизм на протяжении всего аудита. Последние изменения в ряде стандартов оговорили для аудиторов необходимость “брать паузу”, чтобы объективно и непредвзято оценить все полученные по настоящий момент аудиторские доказательства.
Совет по финансовой отчетности напоминает, что очень важно правильно продумывать аудиторские процедуры, чтобы они не были предвзятыми в плане игнорирования или оспаривания противоречащих свидетельств. Кроме того, аудиторы должны убедиться, что во всех случаях, где это необходимо, они обязаны оказывать нужное давление на менеджеров, если, например, те не реагируют на их замечания или не пользуются услугами узкопрофильных экспертов, без которых не обойтись.
Самыми проблемными темами в британском аудите традиционно остаются сделанная менеджерами оценка величины обесценения, оценка справедливой стоимости, оценка влияния сегодняшних экономических условий на непрерывность деятельности, оценка связанных с непрерывностью рисков, анализ чувствительности в оценке непрерывности, если компания понесла в течение года непредвиденные потери. Во всех этих областях профессиональный скептицизм аудиторов нуждается в улучшении.
Старый как мир вопрос – как часто все документировать, ведь аудитор не может просто сказать, что был достаточно “скептичен”, если это не зафиксировано? Технически непростое в исполнение, но документирование можно освоить, фиксируя там факт проведенных обсуждений с менеджерами, полученные от них ответы, применялось ли в отношении менеджеров необходимое давление, как именно, кто выступал в роли консультанта, насколько оценили работу сторонних экспертов, и так далее.
Также регуляторы отмечают важность культуры в профессиональной организации и особого склада ума аудитора. В FRC считают, что такую культуру можно “взрастить”, стимулируя своих профессионалов задавать правильные вопросы и вовремя.
Аудиторская выборка
Выборка – это та тема, которая по-прежнему привлекает много внимания и аудиторов, и регуляторов. Определяя оптимальный размер выборки, аудитор принимает в расчет природу аудиторских доказательств и прочие характеристики проверяемой организации, включая ее профиль риска. При этом необходимо учесть и возможное искажение в аудиторских доказательствах, поскольку на основе этого аудитор сможет определиться с вопросом существенности искажения и нужным размером выборки.
В последние годы британский FRC несколько раз в своих отчетах подчеркивал, что выборки ограниченного размера препятствуют объективной оценке результатов проведенного тестирования (однако проверить результаты по всей совокупности отчетности в любом случае затруднительно). Кроме того, в случае выборки ограниченного размера, аудиторская команда имеет затруднения с определением эффективных способов получения аудиторских доказательства (таких как анализ данных, тестирование систем контроля и проч.).
Как аудиторским командам можно без последствий уменьшить размер выборки? Хороший вопрос. В общем случае рекомендуется провести подготовительную аналитическую работу и/или провести тестирование отдельных систем контроля, чтобы получить предварительное представление и избежать в последующем лишней работы.
Иногда применяется подход с разбиением общей совокупности на подкатегории (так называемая стратифицированная выборка), благодаря чему получается уменьшить размер выборки без увеличения риска, связанного с аудиторской выборкой. Как пример, совокупность данных отчетности можно разбить по профилям риска или денежной стоимости и, применив риск-ориентированный подход, направить больше усилий туда, где стоимость или риски выше.
____________________________
- См. также Какие изменения принесет 2022 год британскому финансовому регулированию? (18/01/2022)