Источник: IFAC
ISQC 1 - это международный стандарт для аудиторов, который носит название “Контроль качества для фирм, осуществляющих аудит и проверку исторической финансовой информации, а также выполняющих прочие задания по подтверждению достоверности информации и сопутствующие услуги”. В настоящее время Совет по международным стандартам аудита и гарантии качества (IAASB) проводит его пересмотр. В рамках данного вебинара председатель рабочей группы Карин Френч (Karin French) рассказывает о предлагаемых изменениях к стандарту, которые по итогу приведут к существенной реструктуризации и улучшению, что должно изменить сегодняшние подходы компаний к проверке систем контроля качества в лучшую сторону.
Привет всем, и добро пожаловать на вебинар по проекту улучшения контроля качества от Совета по международным стандартам аудита и гарантии качества. Меня зовут Карин Френч, я член IAASB и председатель рабочей группы по контролю качества. На сегодняшнем вебинаре будет представлен обзор рассматриваемых изменений к международному стандарту по контролю качества ISQC 1 “Контроль качества для фирм, осуществляющих аудит и проверку исторической финансовой информации, а также выполняющих прочие задания по подтверждению достоверности информации и сопутствующие услуги”. Одновременно мы предлагаем новый стандарт по контролю качества, ISQC 2 по обзорным проверкам (engagement quality reviewes), а также определенные изменения в стандарте МСА (ISA) 220 “Контроль качества при проведении аудита финансовой отчетности”.
Наверное, прежде чем переходить к самим предложенным изменениям, будет полезным поделиться историей проекта, где мы сейчас находимся по расписанию. И прежде чем мы углубимся в детали, хочу напомнить, что по ходу этого вебинара вы можете задавать вопросы, на которые мы ответим в конце.
Начинался проект улучшения контроля качества несколько лет назад: IAASB провел “PIR” – мониторинг практики использования действующих, уточненных* стандартов МСА, это было где-то в 2013 году.
*в смысле – уже после завершения масштабного проекта “Clarity”, в рамках которого международные разработчики значительно “перетряхнули” международные стандарты аудита, не меняя по сути требований, но делая их более простыми и доступными для пользователей – GAAP.RU
Результаты мониторинга отражали практический опыт компаний, национальных разработчиков стандартов, профессиональных аудиторских организаций и других структур в плане внедрения уточненных МСА, и среди прочего – ISQC 1. Результаты дали понять, что потребность в улучшении все же присутствует, что мы могли бы обеспечить более последовательное и эффективное применение стандартов.
Стратегия IAASB на период 2015-2019 оговаривает три стратегические цели. Первая и самая важная – сделать все, чтобы МСА и далее лежали в основе качественных, ценных и актуальных аудиторских проверок, проводимых по всему миру, вовремя отвечая на обнаруженные проблемы в практике своевременными разработками.
Комментаторы по ходу публичных мероприятий в 2015-2016 гг. призвали Совет вовремя решатьв интересах общественности проблемы, выявленные по ходу мониторинга практики использования действующих МСА. Этот отклик определил приоритетность проектов из списка. Имея на руках стратегические цели, Совет наделил наибольшим приоритетом профессиональный скептицизм, контроль качества и МСА (ISA) 600 “Особенности аудита финансовой отчетности группы (включая работу аудиторов компонентов)”, а также особенности аудита финансовых институтов, которые чуть позже превратились в более широкий проект пересмотра МСА (ISA) 540 “Аудит оценочных значений”. Проект пересмотра МСА (ISA) 315 “Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения” был также впоследствии добавлен в список приоритетных проектов.
Рабочие группы, направленные на изучение профессионального скептицизма, контроля качества и групповых аудиторских проверок, начали свою работу в конце 2014 г., оценивая текущие проблемы, и они довольно быстро пришли к выводу, что самым разумным будем выпустить один-единственный документ-приглашение высказывать свои мнения по этим темам – по большей части потому, что многие вопросы очень сильно пересекались. Рабочие группы разработали и представили такое приглашение высказаться по названным темам в декабре 2015 г., которое получило название “Улучшение качества аудита в интересах общественности: Акцент на профессиональном скептицизме, контроле качества и групповых аудиторских проверках”. В публикации были названы самые существенные, вызывающие беспокойство проблемы по этим темам – проблемы, которые стали известны из мониторинга, публичных консультаций, подслушаны у регуляторов и надзорных органов или в результате других публичных мероприятий, подобных опросам по теме контроля качества, ориентированным на малые и средние аудиторские организации.
В документе также были представлены предложения относительно того, как необходимо решать эти проблемы и сложности. Самое значительное предложение заключается в принятии Подхода управления качеством в ISQC 1. Описать данный подход в общем можно как принятие постоянной упредительной позиции в отношении управления качеством, которая стимулирует его обеспечение. Кроме того, этот подход в более явном виде оговаривает роль внешних стейкхолдеров в признании общественной роли аудиторских компаний. Называется все это “Подходом управления качеством” – “Quality management approach”, или “QMA”. О нем мы и будем подробно говорить.
После продолжавшегося 150 дней консультационного периода мы получили 87 писем в ответ на публикацию от широкого спектра стейкхолдеров. Полагаю, имеет смысл отметить некоторые вещи, которые стали известны благодаря публикации этого Приглашения высказывать свои идеи в отношении трех приоритетных проектов. Прежде всего, респонденты призвали IAASB придерживаться основанного на принципах подхода к разработке своих стандартов, но в то же время четко указывать, как необходимо их применять в разных и постоянно меняющихся условиях. Стало ясно, что сегодняшние стандарты пользуются поддержкой, в том числе и ISQC 1 - в роли отправной точки для дальнейших улучшений. Другими словами, не стоит полностью отменять стандарты и начинать вместо них новые, но нужно надстраивать на том, что у нас уже имеется.
Далее, респонденты призвали разработать новые практические руководства и примеры того, как должен выглядеть качественный аудит, и они также отметили, что далеко не все примеры необходимо включать в сами стандарты – вместо этого их можно добавлять в практические руководства или аналогичные документы. Кроме того, респонденты отметили, что стандарты должны более четко оговаривать важность понимания бизнеса и его операционных драйверов как фундаментальной составляющей качественного аудита, и что Совету стоит подумать о влиянии культурных факторов на стандарты и о том, как они могут/должны применяться с учетом этого.
Таким образом, эти общие замечания мы услышали от комментаторов. С тех пор как завершился консультационный период, мы добились значительного прогресса, причем мы использовали все отклики от этой публикации и других общественных мероприятий в подготовке плана работы над проектами, который получил одобрение Совета в декабре 2016 года. Рабочая группа, работавшая с вопросами контроля качества, продолжает это делать и поныне, и каждый квартал она выносит на рассмотрение Совета новые темы.
Сентябрь 2018 значится конечной датой, когда будет выпущен предварительный вариант пересмотренной версии ISQC 1, нового стандарта ISQC 2 и пересмотренного МСА (ISA) 220. Если мы официально примем эту дату как дату публикации предварительного варианта – точнее, предварительных вариантов – то окончательных версий стоит ждать к концу 2019 г., а наступления срока их официального вступления в силу – по крайней мере, еще 18 месяцев спустя.
Упомянутый проект по теме контроля качества очень важен, потому что он представляет собой коренные основы того, чего мы ходим добиться по итогу. Как я упоминала раньше, одна из стратегических задач Совета заключается в поддержании актуальности МСА, и то же самое верно для ISQC 1 и ISA 220. Было бы очень здорово пересмотреть стандарты таким образом, чтобы они отвечали своим задачам и в будущем, но это слишком высокая цель. Но мы определенно хотим, чтобы стандарты отвечали и решали задачи в непростых и постоянно меняющихся условиях сегодня.
Пересмотренные стандарты должны оставаться строгими, но в то же время достаточно гибкими для того, чтобы обеспечивать надлежащее поведение и качество управления. Рабочая группа много обсуждала, как улучшать стандарты с учетом обнаруженных проблем, признавая факт использования стандартов аудиторскими компаниями всех размеров в отношениях с клиентами, не сводящимися исключительно к аудиту. Мы хотим побудить компании к проактивному, упредительному управлению качеством вместе с внедрением нового Подхода управления качеством. Мы считаем, что он более четко будет учитывать роль внешних стейкхолдеров в признании самой компанией той роли, которую она играет в общественных интересах.
В областях внутреннего и внешнего мониторинга и ответных действий мы также рассматриваем улучшения. Требования в этих областях включают понимание коренных причин обнаруженных недостатков.
Мы хотим усилить потребность в строгих двухсторонних коммуникациях в ряде областей, а также подумываем над предложениями по обеспечению большей прозрачности и эффективного информационного обмена с внешними стейкхолдерами в плане доведения до их сведения информации о том, как компания управляет качеством.
Некоторые из рассматриваемых нами предложений по обеспечению условий, которые я только что перечислила, предполагают определенный акцент на потребностях малых и средних аудиторских организаций в ходе разработки. Нам также не стоит забывать и о том, что ISQC 1 – это стандарт уровня отдельной компании, и что он также применим в отношении прочих обзорных проверок – не только непосредственно аудита. Рассматриваемые предложения должны учитывать масштаб, но нужно понимать, что примеры в дополнительных руководствах все равно потребуются для понимания компаниями того, как именно применять стандарты в их особых условиях.
Также нам необходимо поддерживать строгость стандартов в ответ на призывы многих наших стейкхолдеров, которые отмечали, что стандартам нельзя становиться слишком гибкими, чтобы это не приводило к существенным расхождениям применения среди компаний.
Мы рассматриваем улучшения в отношении строгого корпоративного управления и ответственности руководства аудиторских компаний за качество аудита. Тема отчетов о прозрачности (“transparency reporting”) рассматривается нами как одна из возможных для включения в ISQC 1. Кроме этого, у нас в работе ряд улучшений по теме мониторинга и корректирующих действий, включая требование для аудиторских компаний изучать коренные причины всех недостатков. Мы смотрим на организацию аудиторской сети и на то, как компании используют информацию, инструменты и процессы, которые доступны благодаря этой сети.
Кроме того, мы собираемся уделить внимание использующимся альтернативным моделям оказания услуг: центрам коллективного обслуживания, центрам компетенции, инсорсингу, офшорингу, аутсорсингу и так далее.
Наконец, мы работаем над улучшением требований к обзорным проверкам контроля качества – engagement quality control (EQC) reviews.
Мы собираемся прояснить сферу ответственности руководителей аудиторских проверок и проследить взаимосвязь между вознаграждениями руководителей аудиторских проверок и качеством. Проект предполагает рассмотрение вопроса компетенции аудиторской группы и участия других лиц в аудиторской проверке (аудиторов на проверке составной части группы компаний, экспертов, сторонних аудиторов). К этим темам мы еще более детально вернемся по ходу обсуждения предложенных изменений к ISQC 1.
Круговая диаграмма, которую вы можете видеть на слайде, иллюстрирует Подход управления качеством в компании, который 1) основан на рисках, 2) эффективный, 3) упредительный и направлен на предотвращение негативных проявлений, а также 4) может быть подогнан под уникальные условия в компании.
“Круг” состоит из трех компонент. Первая – это управление и лидерство, в том числе организация (ведения дел), культура и стратегия. Вторая – это информация, коммуникации и документирование. Третья – сам процесс управления качеством, “QMP”. На следующем слайде изложена более подробная информация по процессу управления качеством.
От компаний потребуют определения целей по качеству, идентификации рисков для качества, формирования и внедрения мер в ответ на возникновение рисков для качества, а также мониторинга и устранения недостатков, обнаруженных системой управления качеством.
В процессе “QMP”, чтобы поддерживать строгость стандартов, будут присутствовать определенные цели, риски для качества и корректирующие меры, которые заранее прописаны и оговорены для всех компаний без исключения. Однако компаниям все равно придется определять более детальные дополнительные цели по качеству, риски для качества и корректирующие меры, актуальные конкретно для них.
Просим отметить, что и это, и другие рассматриваемые сегодня предложения имеют пока что очень предварительный характер, и нам еще предстоит их немало обсудить в составе рабочей группы по контролю качества, работающей над этим проектом, а также с нашим Советом.
По первой компоненте (управление и лидерство, организация (ведения дел), культура и стратегия) – рассмотрим, что изменится в этой части стандарта.
Мы раздумываем над внедрением принципов управления в ISQC 1, чтобы они служили последовательным указателем для аудиторских компаний в отношении создания условий, которые поддерживают на нужном уровне и далее улучшают качество. Предвидим, что подход должен быть основан на принципах и фокусироваться на конечных результатах, которые компании надеются достигнуть, позволяя таким образом компаниям предпринимать самые подходящие для их условий действия.
Эти принципы управления могут учитывать концепции организации, культуры и стратегии применительно к улучшению качества. Ответственность за формирование улучшающих качество стратегий организации и ее культуры будет находиться на уровне руководства компании, но будет при этом распространяться на всю компанию через механизмы, которые руководство компании посчитает для этого подходящими.
Для компаний будет действовать требование о внедрении у себя принципов управления с учетом влияния на руководство компании законов, регулирующих правил или других профессиональных стандартов. Принципы будут акцентироваться в первую очередь на внутренней культуре, которая продвигает профессионально-этические ценности в проведении обзорных проверок, которая имеет поддержку менеджмента на всех корпоративных уровнях через профессионально-этическое поведение, подтверждающее стремление компании к обеспечению качества.
Второй принцип гласит, что компания должна быть организована способом, который поддерживает эффективность разработки, внедрения и функционирования системы управления качества.
Третий принцип сводится к тому, что у компании должно быть эффективное лидерство, которое отчитывается по качеству и несет ответственность за него.
И четвертое: компания принимает в расчет легитимные и рациональные потребности и ожидания внешних стейкхолдеров в ходе принятия решений и надлежащим образом доводит информацию о них до сведениях этих внешних стейкхолдеров. Вот эти четыре принципа управления, которые сегодня обсуждаются.
Мы считаем, что улучшение требований, относящихся к сфере ответственности руководства компаний (в том числе в плане их отчетности по качеству и ресурсам) способно решить некоторые обнаруженные в данной области проблемы. От компаний потребуют наделять высшей ответственностью за качество исполнительных директоров (CEO) или представителей на аналогичных должностях и партнеров в составе советов управления. Эта персона или персоны должны будут обладать достаточным и адекватным опытом, знаниями и возможностями для принятия на себя такой ответственности. Им также придется вести себя в соответствии с внутрикорпоративной культурой, служащей продвижению качества – это значит предпринимать действия для распространения этой культуры по всей компании. Им нужно будет определять бизнес-стратегии, учитывающие профессиональные и этические ценности компании, признавать потребность в обеспечении компанией необходимого уровня качества по ходу любой проверки, признавать роль компании как организации, действующей в общественных интересах, и помнить, что коммерческие интересы никогда не должны ставиться выше качества выполняемой работы.
Кроме этого, им также придется создать внутриорганизационную структуру, поддерживающую эффективную разработку, внедрение и управление системой управления качествов в компании, обеспечивать необходимые ресурсы в поддержку системы управления качеством и соответствующим образом их распределять, а также продвигать принятие в расчет интересов и ожиданий внешних стейкхолдеров при формировании решений в отношении качества.
Требования также оговорят, что лица, на которые возлагается операционная ответственность за корпоративную систему управления качеством, должны обладать достаточным и адекватным опытом и знаниями для принятия на себя этой роли и власти по распределению ресурсов ради достижения общих целей системы управления качеством и необходимыми способами коммуникаций с людьми, несущими на себе высшую ответственность и отчетность (см. предыдущие два абзаца – GAAP.RU) по качеству.
Будут предусмотрены и требования для обязательных периодических оценок результатов работы тех, на ком лежит высшая и операционная ответственность за систему управления качеством, а также будет отдельная секция, оговаривающая процедуры дисциплинарного толка.
Возвращаясь к диаграмме – следующая компонента носит название “информация, коммуникации и документирование” – что изменится здесь? Мы рассматриваем информацию и коммуникации в качестве непрерывных процессов получения, предоставления и обмена информацией в целях обеспечения функционирования системы управления качеством в компании. Сюда входят как внутренние, так и внешние коммуникации.
В рамках стандарта ISQC 1 требования, касающиеся коммуникаций, весьма специфичны в отношении вещей, о которых должна сообщать компания – например, политика и процедуры компании, вопросы независимости, ответственность руководителя аудиторской проверки, выявленные недостатки.
Стандарт, однако, можно улучшить, чтобы обеспечить идентификацию, учет и раскрытие компанией относящихся к управлению качеством сведений во временные сроки, делающие возможным выполнение обязательств, обеспечивающих функционирования системы управления качеством в компании, а также чтобы обеспечить разработку и внедрение в компании механизмов коммуникаций, отвечающих ее размеру и природе деятельности.
Равным образом мы считаем очень важным, чтобы стандарт отражал природу самой информации и признавал в требованиях важность двустороннего обмена информацией, чтобы все лица в компании имели обязанность по обмену информацией, которая может оказать влияние на систему управления качеством в компании.
Мы раздумываем и над конкретными предположениями относительно того, что может потребоваться к раскрытию участникам, являющимся внешними по отношению к компании (что включает всю сеть и других участников в составе этой сети).
Совет пока еще полноценно не обсуждал отчеты о прозрачности, но очень скоро займется этой темой.
Что касается документирования, эта часть находится на очень ранней стадии обсуждений Советом. На данном этапе мы предполагаем два “уровня” требований к документированию. Первый будет представлять собой всеохватывающие, основанные на результатах требования, отражающие саму “цель” документирования по структуре и функционированию системы. Эти требования должны способствовать последовательному и правильному пониманию и применению системы управления качеством в компании. Они также будут фиксировать свидетельства функционирования системы управления качеством, что дополнительно поможет с оценкой системы управления качеством в компании – их мы еще будем обсуждать, когда перейдем к мониторингу.
Второй “уровень” документирования будет иметь дело с деталями. Здесь будут специфические требования к документированию, относящиеся на определенные компоненты, например, цели по качеству, риски для качества и описание того, каким образом происходит реагирование на риски. Здесь будут требования о документировании результатов периодических переоценок эффективности, корректирующих действий, результатов мониторинга, идентифицированных проблем. Мы осознаем, что требования по документированию представляют для компаний особый интерес, поскольку они определяют то, как компании будут фиксировать свидетельства функционирования своих систем управления качеством.
Перейдем к самому “внешнему” кругу приведенной выше диаграммы – третьей компоненте подхода управления качеством, которая называется “процесс управления качеством”, или просто “QMP”.
Это самое “сердце” всего управления качеством. В рамках ISQC 1 различают шесть включенных в стандарт элементов, и каждый из этих элементов имеет свои действующие и поныне требования. Эти элементы следующие: ответственность руководства за качество в компании, соответствующие требования по этике, принятие и продолжение отношений с клиентами, людские ресурсы, результативность проверок и мониторинг.
В рамках предлагаемого процесса управления качеством в ISQC 1 будут добавлены новые требования для компании касательно определения целей по качеству, идентификации и осуществления оценки рисков для качества, проектирования и внедрения решений в ответ на риски, мониторинга эффективности управления качеством в компании, определения необходимых корректирующих действий. Этот процесс осуществляется с учетом уникальных условий компании и природы проверок, которые она осуществляет.
Это в большей степени “подогнанный”, интегрированный подход к качеству. Однако для того чтобы поддерживать строгость стандарта, нам придется установить универсальные требования, которые, по нашему представлению, нужно выполнять всем компаниям. Предписанные цели по качеству, риски для качества и предписанные ответные действия основаны на сегодняшних развернутых требованиях в ISQC 1. Другими словами, вместо того чтобы оговаривать требования по каждому из шести действующий поныне элементов, требования будут переведены на язык предписанных целей, рисков и ответных действий.
Совет продолжает обсуждать детали “QMP”, насколько подробными должны быть сами требования для выполнения наших основных задач – сохранения строгости стандарта, но в то же время обеспечения большей его гибкости.
Этот слайд очень полезен для иллюстрации того, как компании будут пользоваться предписанными целями по качеству (показаны синим) при обдумывании того, не нужно ли им разработать более детальные дополнительные цели по качеству для идентификации рисков для качества с учетом их уникальных условий и природы проверок, которые они проводят.
На следующем слайде показано, как идентификация рисков для качества связана с принятыми на вооружения целями по качеству. Как вы можете видеть, есть предписанные стандартом риски для качества, связанные с целями по качеству (показаны синим). И снова – компании решают, не нужно ли им также определить дополнительные, более детальные риски для качества с учетом своих потребностей.
Наконец, на третьем слайде в этой серии можно наблюдать спектр действий в ответ на риски для качества. Мы можем видеть, что примерно таким образом компании будут решать, как им применять “QMP”. На основе этого также можно разработать пример, иллюстрирующий, как компании будут подходить к документированию процессов разработки, внедрения и функционирования процесса управления качеством.
Так чем все-таки отличается данный процесс управления качеством от действующих требований ISQC 1? Действующие требования ISQC 1 фокусируются на политиках и процедурах. Одно из главных замечаний к ним, приведших к запуску всего проекта, заключается в том, что ISQC 1 слишком уж много предписывает, и он слишком универсальный – “один размер на всех” – из-за чего может и неадекватно оценивать риски для качества. Считается, что он уделяет по минимуму внимания уникальным условиям компаний в проектировании систем управления качеством.
Мы считаем, что предлагаемые изменения приведут к подходу, в большей степени основанному на рисках. Он потребует от компаний более тщательно продумывать риски и ответные действия на них. В свою очередь, это приведет к более продуктивному и более эффективному использованию ресурсов компании. Они могут вдруг обнаружить, что перемещают свое внимание из менее рисковых областей в другие области риска. И мы уверены, что принятие в большей степени упредительного подхода в отношении управления качеством поможет предотвращать провалы качества в будущем.
На этом слайде вы можете видеть иллюстрацию того, как действующие требования могут быть переведены в предписанные стандартом цели по качеству и предписанные стандартом риски для качества. В данном случае речь идет о действующих требованиях по политикам и процедурам в отношении принятия и продолжения отношений с клиентами и особого рода проверкам.
Самая последняя составляющая QMP – это мониторинг и корректирующие действия. В этой области рассматривается несколько возможных улучшений. От компаний потребуют разработки и проведения мониторинговой деятельности, достаточной для обеспечения компании оценкой того, дает ли ей система QMP необходимую уверенность в достижении общих целей – в том числе в том, что отдельные компоненты стандарта работают как надо. Вот почему больший акцент теперь ставится на мониторинге системы в целом, а не как в сегодняшних требованиях - на инспектировании проведенных проверок.
Мы полагаем, что больше внимания будет уделяться приведению масштаба и частоты мониторинговых проверок к конкретным условиям компании, что сделает возможным более гибкий в плане масштаба подход к мониторингу.
Требование об инспектировании проведенных проверок сохраняется, и компаниям придется при этом анализировать, достаточны ли такие проверки для оценки системы контроля качества компании.
Также мы включили дополнительные обязательные характеристики для людей, осуществляющих мониторинговую деятельность, которые связаны с их опытом, знаниями, возможностями и непредвзятостью отношения.
Компаниям придется анализировать результаты мониторинговой деятельности и внешних инспекций, чтобы обнаруживать недостатки в своих системах управления качеством, оценивать влияние этих недостатков и предпринимать необходимые корректирующие действия. От компаний потребуют расследовать коренные причины этих недостатков. Природа, время и масштаб действий, которые должны быть предприняты компанией в плане определения коренных причин этих недостатков, будут определяться ей самой с учетом природы выявленных недостатков. Другими словами, анализ коренных причин будет нужен в том числе для того, чтобы определить, насколько далеко он должен зайти в зависимости от ситуации.
Как часть процедуры оценки недостатков, от компаний потребуют сохранения актуальности действующих целей по качеству: были ли все руководства компании надлежащим образом определены и проанализированы, и остались ли актуальными действия в ответ на эти риски. Это отвечает концепции непрерывного улучшения, которую мы считаем очень важной для подхода управления качеством.
И еще одна очень важная составляющая QMP – требование для компаний проводить мониторинг эффективности корректирующих действий, спроектированных и внедренных для устранения коренных проблем, и оценку того, правильно ли эти корректирующие действия справились с обнаруженными недостатками.
Мы продолжаем обсуждать и править требования в данной области, и хотим, чтобы компаниям было абсолютно понятно, что они должны в данной области делать, в особенности потому, что требования, относящиеся на анализ коренных причин, станут для них совсем новыми.
Конец первой части
Продолжение следует