По материалам: IAASB
Продолжаем знакомить читателей с тонкостями нового Руководства по проведению заданий на подтверждение достоверности расширенной внешней отчетности. В прошлый раз речь зашла о проверке соответствия знаний и навыков членов рабочей команды и руководителя задания особенностям предстоящей к выполнению работы; применении профессионального скептицизма и суждения; и удостоверении выполнения обязательных для задания условий. Сегодня поговорим про анализ процессов в целях определения ключевых тем отчетности; пригодность и доступность критериев; анализ организационных процессов подготовки отчетности и систем внутреннего контроля за ее подготовкой, все так же при этом ориентируясь на требования оставшегося неизменным базового стандарта ISAE (МСЗОУ) 3000.
Анализ организационных процессов в целях определения ключевых тем отчетности
В прошлый раз отмечалось, что одним из необходимых условий для проведения проверки является наличие подходящих под обстоятельства критериев. В разговоре о природе расширенной внешней отчетности (“EER”) также отмечалось, что она может принимать самые разные формы и иногда затрагивает самые разные аспекты исследуемого предмета. Из этого следует, что любому составителю такой отчетности необходимы четкие критерии того, что конкретно подлежит раскрытию в EER-отчетности, как все это будет оцениваться и измеряться, и как будет представлено в итоговой отчетности - здесь подразумеваются и критерии выбора тем, которые туда попадут.
Предположим, на основе этих критериев была получена расширенная внешняя отчетность, которая будет проходить проверку на подтверждение достоверности. И вот оказывается, что тех основ подготовки такой информации явно было недостаточно для вынесения суждений составителями EER-отчетности относительно того, какие обязательные темы необходимо включить. Причины могут для этого быть разными – например, отсутствие необходимой системы стандартов. В таких случаях еще на этапе подготовки составителям нужно организовать у себя дополнительные процессы подготовки отчетности, которые могли бы помочь им определить список тем, представляющих особый интерес для пользователей отчетности, следовательно - подлежащих включению в отчетность в любом случае.
Поговорим о том, что делают практикующие специалисты на задании по подтверждению достоверности расширенной внешней отчетности в отношении использованных процессов в целях определения ключевых тем отчетности. Если говорить про основы подготовки расширенной отчетности, довольно часто в них можно встретить упоминание о таких процессах как об “оценке существенности”, но существенность не тождественно равна уместности - это все-таки разные концепции, хоть обе и лежат в основе принятия решений. В данном случае при оценке использованных критериев более актуальна именно уместность, тогда как существенность - это уже что-то, чаще используемое практикующим специалистом в случае обнаружения искажений в отчетности (само собой, в отношении их тоже придется что-то решать).
В базовом стандарте ISAE 3000 от практикующих специалистов прямо не требуют разбираться в процессах, которые в клиентской организации применялись для идентификации и отбора тем для расширенной отчетности. Однако они в любом случае обязаны установить, в какой мере примененные составителями отчетности критерии подходят под обстоятельства задания на подтверждение достоверности отчетности - а это подразумевает и критерии для отбора тем EER-отчетности. Так что в конечном итоге получить если не полное понимание, то хоть какое-то представление об использованных клиентами процессах может оказаться для практикующего специалиста очень даже полезным при выполнении задания.
Как это лучше сделать? Новое Руководство проясняет как раз этот проблемный момент. При этом оно по-прежнему предназначено именно для проверяющей стороны расширенной внешней отчетности, а отнюдь не ее составителей. Но если брать конкретно данную тему, затрагивающую процессы подготовки и их понимание практикующими специалистами, то выходит, что и организации-составители отчетности могут найти тут для себя что-то полезное.
Взять для примера ключевое определение критериев в базовом стандарте, которое содержится в параграфе 12(с): “Критерии представляют собой контрольные показатели, используемые для оценки или измерения оцениваемого предмета задания. Пригодные критерии - это критерии, используемые в конкретном задании”. На основе критериев определяют исследуемый предмет - то есть что именно отражать в отчетности (включая отдельные ее темы), как его измерять/оценивать, и как делать раскрытия и представлять получившуюся отчетность. С традиционной финансовой отчетностью все было бы проще, поскольку критериями для составителей отчетности тогда являются просто общепризнанные стандарты отчетности, например, МСФО. С EER-отчетностью все похоже, ведь здесь составителям также нужны какие-то критерии для ориентирования, чтобы далее была возможность провести проверку этой отчетности на достоверность.
Однако одна вещь явно делает случай расширенной внешней отчетности особым: составителям отчетности необходимы процессы для принятия решений относительно того, что именно включать в свою отчетность, так как - по крайней мере, на сегодняшний день - созданные до сих пор системы отчетности не дают исчерпывающих указаний насчет включения. Это создает очень высокий риск проявления так называемой менеджерской предвзятости (management bias), что вынуждает практикующих специалистов на задании особенно тщательно использовать профессиональное суждение и профессиональный скептицизм при оценке использованных клиентской организацией критериев.
С довольно большой вероятностью критерии могут и не подойти. Например, им может недоставать полноты или надежности. Даже если в тех стандартах подготовки отчетности, на которые ориентируются составители отчетности, есть какие-то общие принципы для определения тем отчетности, в конкретных условиях этих принципов может быть недостаточно для четкого определения, и тогда уже составителям отчетности придется использовать дополнительные процессы по определению ключевых тем в процессе подготовки. Как пример, в каких-то стандартах могут содержаться требования определять и раскрывать существенные риски и неопределенности, но при этом там могут быть не перечислены примеры возможных рисков и неопределенностей поименно. В результате организация решает ввести специальный процесс по определению ключевых рисков и неопределенностей в рамках какого-то исследуемого предмета.
Для иллюстрации, это может быть отчетность по влиянию климатических изменений на бизнес, а сельскохозяйственная организация с помощью специальных процессов определяет, что существенным риском в этой области для нее является гибель урожая в результате засухи, и решает отразить это в своей отчетности. Но чем глубже идти в эту область, тем больше вопросов возникает. Разные требования к раскрытию информации могут оговаривать разные показатели.
Если, скажем, это отчетность по трудовым ресурсам организации, и она решает выделить еще и социальный аспект в своей отчетности устойчивого развития, вполне нормально, что на основе каких-то критериев она решает включить туда данные о количестве часов дополнительного обучения в рамках повышения квалификации, которым обеспечивает своих сотрудников. Но даже здесь сразу же возникает много дополнительных вопросов, которые вполне могут задать и выполняющие задание специалисты: что подразумевается под “обучением” сотрудников, кто вообще входит в эту категорию, и как рассчитать использованные показатели?
Модель из трех шагов
Более формальный подход практикующих специалистов в описываемой ситуации описывается моделью из трех шагов, которую предлагают авторы Руководства (на самом деле их два, просто первый состоит из двух стадий).
Шаг 1 - рассмотреть контекстуально, как в клиентской организации используются процессы определения тем для добавления в отчетность. Контекстуально – это значит с принятием в расчет обстоятельств, таких как:
- Цели расширенной внешней отчетности;
- Ее предполагаемые пользователи;
- Деловое окружение;
- Как именно определялись критерии (на основе уже действующих основ расширенной внешней отчетности, или же были разработаны самостоятельно).
Очевидной стартовой точкой для начала анализа могут стать деловые документы - при условии, что клиентская организация вообще документирует свои процессы по определению тем отчетности и принятые решения. Если ничего в письменном виде не зафиксировано, начать практикующий специалист может с опросов. А вот если клиент еще даже не определился четко с содержанием EER-отчетности, то это повод для практикующего специалиста задуматься, выполнены ли тут обязательные условия для принятия задания.
Первый шаг можно более детально разбить на два “подшага”. Сначала проверяется, как именно составители отчетности определили цели своей расширенной внешней отчетности. Например, заниматься ее подготовкой можно, чтобы продемонстрировать инвесторам процесс создания долгосрочной стоимости, влияние на окружающую среду, планы на будущее развитие, и так далее. Цели подготовки EER-отчетности - это тоже составляющая контекста, в рамках которого проводится анализ.
Второй “подшаг” - это проверка того, как именно составители определили конечных пользователей своей EER-отчетности. Для этого необходимо убедиться, что составители отчетности, для начала, имеют представление о решениях, которые будут приняты пользователями их отчетности на ее основе. Или – не будут приняты. Простое ознакомление с информацией тоже считается адекватным способом использования отчетности, после чего принимается решение не делать ничего – от этого они не перестают быть целевой аудиторией.
При этом очень важно отличать, собственно, пользователей отчетности от стейкхолдеров, поскольку стейкхолдер - это сторона-участник, у которой есть какие-то отношения с организацией, и на которую прямо или косвенно влияют действия данной организации. Конечно, стейкхолдер также может быть пользователем, но это не идентичные группы. Могут быть обстоятельства, когда какая-то группа стейкхолдеров просто не является целевой аудиторией расширенной внешней отчетности, хотя ее интересы при этом принимают в расчет другие группы стейкхолдеров, которые к целевой аудитории действительно относятся. Из всего этого следует, что ситуация на практике может быть довольно запутанной, и если оказывается, что какая-то группа стейкхолдеров не будет по факту использовать EER-отчетность для принятия решений даже в случае соответствия их информационным запросам, вовсе необязательно, что содержащаяся там информация не будет актуальна в плане принятия решений больше ни для кого.
У EER-отчетности могут быть разные группы пользователей со своими информационными запросами, или же каждая отдельная группа пользователей может быть разносторонней. Сложно представить, чтобы расширенная внешняя отчетность удовлетворяла всем информационным потребностям всех групп, однако составители отчетности могут выявить информационные потребности, которые являются для всех одинаковыми. В этом также может помочь параграф А16 стандарта ISAE 3000, который рекомендует в сложных случаях ограничивать круг пользователей основными заинтересованными сторонами с общими информационными потребностями.
Шаг 2 предложенной в Руководстве модели - это рассмотрение аудитором уже сделанного выбора тем для включения в EER-отчетность. Составители отчетности могли подойти к процессу разносторонне, принимая во внимание целевую аудиторию отчетности, ее цели, отсеивая постепенно какие-то темы из первоначального длинного списка тем для включения. Какие-то отдельные темы, например, могут не интересовать уже установленную категорию пользователей EER-отчетности - понятно, что в этом случае их включать смысла не имеет. В общем случае авторы Руководства рекомендуют исходить из того, что информация следующих типов будет все же представлять интерес для пользователей, а значит, ее стоит включать:
- Если она влияет на решения инвесторов о покупке/продаже акций данной организации;
- Если влияет на котировки акций;
- Если попала в публичные медиа, либо, вероятнее всего, станет объектом их интереса в случае раскрытия;
- Если имеет отношение к большому количеству жалоб со стороны клиентов, поставщиков и других групп стейкхолдеров;
- Если несколько стейкхолдеров ранее отмечали недостаточные раскрытия такой информации;
- Если представляет широкий общественный интерес;
- Если касается вопросов, по которым отчитываются другие представители отрасли/конкуренты;
- Если имеет отношение к несоблюдению законов, требований регулирующего законодательства, международных соглашений и соглашений, представляющих для организации стратегический интерес.
Бывает, что трудно в достаточной мере установить, что именно будет представлять для пользователей интерес. Тогда можно использовать альтернативный подход и ориентироваться не на интересы будущих пользователей этой отчетности, а на значимость выбранных тем для раскрытия. В зависимости от цели раскрытия EER-отчетности, значимость тем для раскрытия можно анализировать также контекстуально - принимая в расчет, например, стратегические задачи организации или ее влияние на других (на отдельных людей, прочие организации, общество в целом).
По этой причине такой альтернативный подход в Руководстве назван “подходом влияния”. Оно, кстати, может быть прямым и косвенным - например, если какое-либо производство характеризуется высокими уровнями загрязнения, то оно влияет прямо на окружающую среду и людей, проживающих в этой местности, и на другие работающие по соседству организации, но косвенно влияет также на саму себя, например, через потерянные прибыли и недовольных клиентов.
Для правильной оценки влияния практикующим специалистам рекомендовано смотреть на то, приводят ли какие-либо ситуации к значительным рискам для организации (в том числе репутационным), оказывают ли существенное финансовое влияние, оказывает ли она сама, даже потенциально, существенный ущерб природе, сказываются ли / могут сказаться на операционных результатах организации и операционной деятельности, затрагивают ли ее стратегические задачи, корпоративные ценности, политику, стратегии и т.д.
Ничто не мешает – более того, это даже рекомендуется – определять области, представляющие для стейкхолдеров интерес и одновременно оказывающие влияние. Можно чертить круговые диаграммы из множества тем отчетности и смотреть на пересечение, можно использовать другие графические методы представления, лишь бы все это работало.
Наконец, еще одним очевидным способом определения тем для включения в EER-отчетностью является прямой диалог (составителя отчетности) со стейкхолдерами, причем диалог все же лучше, чем пассивное наблюдение или просто запуск опроса для голосования по поводу предложенного списка потенциальных тем для включения. Однако чтобы диалог состоялся, стейкхолдерам необходимо для начала четко понимать, что это за организация к ним обращается за советом по поводу EER-отчетности, и чем она занимается.
С точки зрения практикующего специалиста интерес в плане осуществленного выбора тем для включения могут представлять следующие внутренние и внешние источники информации, на основе взаимодействия с которыми, предположительно, шло определение ключевых тем для включения:
(внутренние)
- Менеджеры и лица, наделенные руководящими полномочиями;
- Отчетность за предыдущие периоды;
- Выдержки с проведенных собраний управляющих советов, менеджеров, членов исполнительных комиссий;
- Результаты оценки рисков;
- Стратегические отчеты.
(внешние)
- Отчетность конкурентов и просто других представителей той же отрасли;
- Опросы;
- Жалобы клиентов/поставщиков;
- Интервью и другие публичные мероприятия;
- Интернет-исследования;
- Экспертные оценки относительно глобальных трендов;
- “Цели устойчивого развития” ООН;
- Требования регулирования.
Напоследок по этой теме стоит также отметить, что и сами потенциальные пользователи могут найти интересными для себя процессы, с помощью которых составители отчетности выбирали темы для раскрытия, даже если ни в одних стандартах EER-отчетности прямо не требуется раскрывать эту информацию. Соответственно, по рекомендации практикующего специалиста составители отчетности могут либо в самой EER-отчетности, либо где-нибудь в примечаниях к ней детально рассказать о выборе ключевых тем отчетности, чтобы об этом получили представление пользователи. Но вне зависимости от того, примет ли организация-составитель отчетности решение делать подобные раскрытия по части процессов выбора тем, сами критерии определения тем отчетности (а равным образом и другие критерии) все-таки должны, в соответствии с формальными требованиями, доводиться до сведения пользователей. Об этом будем говорить прямо сейчас, обсуждая пятую главу Руководства, которая носит название...
Определение пригодности и доступности критериев
Эта часть Руководства особенно полезна уже на этапе планирования задания по подтверждению достоверности EER-отчетности практикующим специалистом, когда он или она принимает решение относительно пригодности критериев к обстоятельствам (параграфы 41 и 24 (b)(i)). Также эта часть связана с более ранним этапом, который обсуждался в прошлый раз – речь идет о проведении оценки пригодности и доступности критериев в контексте подтверждения необходимых для принятия задания условий.
Особенно актуальной данная тема может стать, если критерии имеющихся в наличии основ подготовки отчетности недостаточны, и/или на их счет ничего не говорит закон и правила регулирования. Как вариант, основы подготовки EER-отчетности могут представлять собой слишком общие принципы, которые ничего в деталях не скажут про критерии. Также практикующим специалистам придется провести проверку критериев в случае их самостоятельной разработки организацией-составителем отчетности. В этом случае следует соблюдать особую внимательность, поскольку это большой риск для предвзятости менеджеров при использовании ими профессиональных суждений в ходе выбора критериев.
В параграфе А49 базового стандарта ISAE 3000 есть упоминание о том, что критерии, в случае если не закреплены в законах и нормативных актах, могут также быть выпущены “уполномоченной или признанной экспертной организацией, следующей установленной прозрачной процедуре, если они соответствуют информационным потребностям предполагаемых пользователей”.
Определение критерия дает параграф 12 (с) - там сказано, что это “контрольные показатели, используемые для оценки или измерения оцениваемого предмета задания”. Это могут быть критерии выбора тем для раскрытия в EER-отчетности, о чем шла речь выше, это могут быть определения использованных ключевых показателей, основы для измерения и оценки, и не только. В отличие от критериев финансовой отчетности, в EER-отчетности критерии, как правило, менее предписательные по своей сути как в отношении того, что именно выбирать для раскрытия в отчетности, так и в отношении того, как именно это измерять/оценивать, а далее раскрывать информацию.
Критерии, которые уже используются в задании (в том же параграфе 12(с) базового стандарта они названы “применимыми”), могут быть, что называется, официальными (предписанными законами/правилами регулирования, быть разработанными “уполномоченными и экспертными организациями”), а могут представлять собой собственную разработку организаций-составителей отчетности, или же быть комбинацией и того, и другого. Критерии первого типа, как можно понять, с большей вероятностью можно посчитать пригодными, тогда как в отношении других может потребоваться профессиональное суждение. Оно же желательно в случае, если составители отчетности, ориентируясь изначально на какие-то одни основы EER-отчетности, пришли к выводу, что оговоренных там критериев недостаточно, поэтому принимают решение добрать дополнительных критериев из других систем стандартов EER-отчетности, из-за чего получается такая себе “сборная солянка”.
Пригодные критерии используются для последовательного измерения или оценки предмета исследования в контексте профессионального суждения - об этом говорится в параграфе А10. Таким образом, пригодность критериев определяется в контексте уникальных обстоятельств конкретного задания, но они в любом случае необходимы, потому что без критериев заключение в отношении раскрытой информации может стать предметом индивидуальной интерпретации, резко снижая ее полезность, либо повышая риск того, что она просто будет воспринята пользователями неправильно.
В параграфе А45 оговорены пять ключевых характеристик пригодных критериев: уместность, полнота, надежность, нейтральность и понятность. Знакомые понятия, не правда ли? Все они должны, так или иначе, присутствовать, но в какой мере, с каким весом - будет зависеть уже от уникальных условий каждого задания на подтверждение достоверности отчетности. Кроме этих пяти “критериев пригодности”, должен также действовать общий принцип: критерий собственной разработки не может считаться пригодным, если он приводит к раскрытию информации о предмете исследования, которая вводит предполагаемых пользователей в заблуждение (параграф А50).
Если критерии не являются общепризнанными, не оговорены в законах или правилах регулирования, либо если основы подготовки EER-отчетности представляют собой общие принципы, на основе которых трудно с нужной детализацией определить пригодные критерии, практикующему специалисту в его работе может помочь такой подход с определением пригодности: необходимо посмотреть, в какой мере критерии (собственной разработки, либо представляющие собой “сборную солянку” из разных систем отчетности) содержат качественные характеристики подлежащей раскрытию информации, и в какой мере они содержат пять ключевых характеристик пригодных критериев, которые оговорены в параграфе А45 стандарта ISAE 3000.
Может быть и обратная ситуация, когда какие-либо основы подготовки EER-отчетности оговаривают характеристики пригодных критериев, причем эти характеристики более специфичны и идут в довесок к пяти ключевым характеристикам пригодных критериев из параграфа А45. Например, в каких-нибудь системах стандартов могут упоминаться термины “сравнимость” и “связность”. Если так, то пять характеристик по стандарту все равно должны выполняться для обеспечения пригодности критерия, даже если он уже содержит специфическую характеристику, оговоренную основами подготовки отчетности.
Анализ процессов, использующихся для разработки критериев
То, как именно разрабатываются критерии (в самой в клиентской организации, если это оказалось необходимо, или где-то еще), может повлиять на работу практикующего специалиста по определению их пригодности. Чтобы вынести решение насчет пригодности того или иного критерия, практикующему специалисту, вполне возможно, придется проанализировать процессы его разработки – например, в какой мере они учитывают цели EER-отчетности клиентской организации, был ли процесс разработки прозрачным (прозрачности процедур требует параграф А49), и принимали ли в нем участие стейкхолдеры. Однако даже если критерии уже существуют, будучи оговоренными в основах подготовки EER-отчетности, законах и правилах регулирования, практикующий специалист может на основе определенных признаков признать возможную их непригодность, и тогда придется провести дополнительную работу по оценке этих критериев на пригодность, принимая во внимание тот факт, что наличествуют признаки обратного.
Такие случаи возможны даже с критериями, авторами которых стали всемирно признанные экспертные организации (например, TCFD, рабочая группа по климатическим раскрытиям в составе Совета по финансовой стабильности - GAAP.RU), хотя они почти во всех случаях следуют полностью прозрачным процедурам. Как пример, их критериям может элементарно недоставать детализации, чтобы быть признанными пригодными для конкретного задания на подтверждение достоверности. В зависимости от того, насколько серьезна эта проблема, составитель отчетности может обойтись дополнительными раскрытиями - например, четко указать для пользователей, какой именно индекс был выбран в целях подготовки. Но если проблема детализации стоит очень остро, это уже может быть признаком, что критерий в выбранных условиях подготовки вообще не является пригодным, и тогда придется дорабатывать критерии самостоятельно, либо добирать их из других систем стандартов.
Применение критериев из нескольких систем стандартов имеет “двойное дно”. Если обнаружится, что составители отчетности вроде бы обеспечивают комплайенс со всеми ними, вдруг может оказаться, что эти системы стандартов имеют взаимные противоречия, из-за чего адекватно применять обе одновременно невозможно. Если эти противоречия нарушают применение той или иной системы, это может привести к искажению информации, и в этом случае составителю отчетности необходимо будет проанализировать эти искажения с позиции существенности, а также с точки зрения их влияния на заключение проверяющего специалиста.
Если критерии меняются с течением времени
Критерии - вещь необязательно постоянная, даже если уже были признаны пригодными и применяются. Вполне может быть, что организации-составители отчетности с каждым отчетным периодом будут улучшать у себя процессы подготовки EER-отчетности, в результате чего будут менять и критерии собственной разработки. Даже если это развитие со знаком “плюс”, практикующему специалисту все равно придется применять профессиональное суждение для определения пригодности в более поздние периоды, за которые он или она проводит задание на подтверждение достоверности.
А вот если со временем организация вдруг решит модифицировать ранее уже созданные критерии, либо из общепризнанных для какой-то отрасли, то это может быть признаком предвзятости менеджмента и повысить риск того, что итоговая информация в дальнейшем введет в заблуждение пользователей отчетности. Чтобы этого не произошло, потребуется применение профессионального суждения и профессионального скептицизма проверяющим специалистом.
Фактор доступности
Под “доступностью” здесь понимается доступность для изучения пользователями отчетности, ведь выше уже было сказано, что критерии в EER-отчетности обязательны к раскрытию, чтобы пользователи понимали, как именно шла оценка и измерение предмета исследования. В случае с расширенной внешней отчетностью это тем более важно, потому что действующие основы подготовки содержат очень общие принципы, которые можно трактовать и применять по-разному.
То, как именно критерии можно сделать доступными, оговаривается в параграфах А51-52 базового стандарта. Если критерии были разработаны самой организацией-составителем отчетности, на них распространяются те же самые требования по доступности. И хотя, как говорилось выше, стандарт не содержит прямо требования раскрывать процессы разработки таких критериев, некоторые стандарты (в пример можно привести GRI) все-таки рекомендуют раскрывать хотя бы частично процесс разработки - например, то, в какой мере в нем принимают участие стейкхолдеры. И даже если использованные основы вообще ничего такого не оговаривают, практикующий специалист может посчитать это удачным решением и порекомендовать клиенту соответствующие раскрытия.
Действия практикующего специалиста в случае обнаружения непригодности и/или недоступности критериев оговорены в параграфе 42, где речь идет о невыполнении обязательных для задания условий.
Анализ организационных процессов подготовки отчетности и систем внутреннего контроля за подготовкой отчетности
Последнему для сегодняшнего разбора вопросу посвящена шестая глава Руководства. Несмотря на кажущуюся объемность темы, на фоне других она еще относительно небольшая.
Следует четко различать требования по проведению заданий на обеспечение ограниченной уверенности и требования к заданиям на обеспечение разумной уверенности. В первом случае мы смотрим на параграф 47О все того же базового стандарта ISAE 3000, во втором - на параграф 47Р, где от практикующего специалиста требуется понимание систем внутреннего контроля за отчетностью по исследуемому предмету, оценка механизмов внутреннего контроля и эффективности их внедрения.
В какой мере практикующий специалист может принять задание на обеспечение разумной уверенности, будет зависеть от множества факторов, о которых уже подробно говорилось в первой части этой серии материалов. Параграф 42, напомним, требует ответных мер в случае обнаружения факта невыполнения одного или нескольких необходимых условий. Как пример, применяя требования в отношении заданий на обеспечение ограниченной или разумной уверенности (47О или 47Р, соответственно), практикующий специалист может получить дополнительную информацию, на основе которой прийти к выводу о невозможности обеспечения клиентом достаточно обоснованной информации об исследуемом предмете (параграф А39).
Организации, внедряющие у себя EER-отчетность, обыкновенно делают это постепенно, внося изменения в свои СВК, по мере того как такая отчетность становится все более формальной. Таким образом, постепенно EER-информация все больше проникает в информационные и коммуникационные системы организации, а раз так, то и процессы подготовки расширенной внешней отчетности становятся объектом внутреннего контроля. Ключевая информация начинает использоваться в практике анализа и управления рисками, и довольно часто эти эволюционные процессы идут параллельно друг другу.
Как вариант, какой-то ограниченный период времени организация может полагаться на внешние информационные источники (например, на опросы или разработанные сторонней организацией инструменты климатического сценарного анализа) и использовать их для подготовки своей расширенной внешней отчетности (например, потому что у нее еще нет процессов и соответствующих контролей для фиксации, систематизации и формальной подготовки информации).
Кроме того, изменения в процессах могут объясняться еще и решением внедрить новые технологии, идет ли речь о сборе данных, их систематизации, или уже о подготовке отчетности. Сегодня, для примера, очень активно внедряются технологии дронов - почему бы организациям не начать их применять для сбора данных по тем же загрязнениям в ранее недоступных местах?
В Руководстве различают пять основных составляющих системы внутреннего контроля за расширенной внешней отчетностью. Эти составляющие можно расположить в виде пирамидальной структуры, на вершине которой располагается “control environment” - или контрольное окружение, а основу для него составляют процессы анализа риска и процессы для мониторинга систем внутреннего контроля (указанные сбоку параграфы относятся к Руководству, а не к стандарту ISAE 3000). Далее, формируя основу уже всей пирамиды СВК, идут обеспечивающие процессы EER-отчетности информационные и коммуникационные системы, и уже в самом низу - контрольные мероприятия.
Контрольных мероприятий может быть множество. Сюда, в частности, можно отнести все контроли, имеющие отношение к:
- Разделению обязанностей лиц, участвующих в процессе подготовки EER-отчетности;
- Недопущению внесения изменений в источники данных или документацию непосредственными составителями отчетности;
- Идентификации транзакций и событий, их фиксации;
- Техподдержке IT-систем;
- И даже поддержанию в исправном состоянии инструментов получения данных (дозиметров, дронов и так далее).
Приведенная схема может быть полезна еще и в том плане, что в самом базовом стандарте четких требований по данной области управления и надзора за процессами подготовки отчетности нет. В то же время в случае с EER-отчетностью понимание особенностей того, как это реализовано у клиентов, может быть очень важно для выполняющих задание, потому что (принимая во внимание продолжающееся становление EER-отчетности) вполне может оказаться, что внутренние системы управления и надзора в организации в этом плане еще недоразвиты или плохо интегрированы. Это может заставить проверяющих сомневаться в выполнении необходимых условий для принятия/продолжения задания.
В ходе анализа практикующим специалистам наверняка придется не раз применить свое профессиональное суждение, ведь уровень формальности и детализации использующихся в организации контрольно-надзорных внутренних процессов может сильно варьироваться в зависимости от типа организации, ее размеров и других факторов. При принятии решений на этот счет практикующие специалисты на задании могут принимать во внимание:
- Поведение лиц, наделенных руководящими полномочиями - задают ли они “нужный тон” на самом верху организации?
- Фактическое участие их, а также топ-менеджеров на различных стадиях процессов подготовки EER-отчетности;
- Наличие специальной комиссии в организации, которая отвечает за подготовку расширенной внешней отчетности (актуальнее для крупных организаций);
- Ключевые решения, принятые лицами, наделенными руководящими полномочиями, и топ-менеджерами, которые были зафиксированы в документарной форме;
- Распределение полномочий и зон ответственности в отношении процессов подготовки EER-отчетности;
- Процессы, использующиеся в целях идентификации, оценки и минимизации рисков подготовки EER-отчетности;
- Мониторинговые процессы или СВК за подготовкой EER-отчетности, включая оценку эффективности самого внутреннего контроля.
Само по себе наличие развитых систем внутреннего контроля еще не является необходимым и достаточным условием для принятия задания (собственно, это и не значится среди необходимых условий в принципе). Тем не менее, логично предположить, что развитые СВК все-таки обеспечивают адекватность представленной информации по исследуемому предмету, а уже в какой мере - будет зависеть от природы данного предмета.
Применяющиеся в организации контроли могут быть довольно простыми или неформальными, но чем сложнее природа самого предмета, тем, при прочих равных, сложнее будут процессы подготовки соответствующей информации, и тем совершеннее должны быть контроли. Есть большая разница между простыми механизмами контроля и неадекватными: из первого еще не следует второе. Даже простые контроли могут быть подходящими в случае с относительно простым характером бизнеса и самого исследуемого предмета.
Важно помнить, что даже простые механизмы контроля со временем будут развиваться вместе с наработкой опыта, дальнейшей формализацией и так далее. Хотя это почти наверняка изменит впоследствии способы сбора и фиксации данных, одна вещь должна оставаться неизменной: целью всех использующихся в организации процессов подготовки отчетности и целью всех контрольных механизмов по-прежнему должно быть обеспечение достаточно обоснованной информации об исследуемом предмете, что очень четко сказано в параграфе А39 стандарта ISAE 3000.