Управление качеством в аудиторской компании на основе риск-ориентированного подхода

Международные стандарты аудита (ISA, SAS)
Источник: GAAP.RU
Опубликовано: 4 августа 2021


По материалам: Journal of Accountancy

Речь сегодня пойдет не о международных стандартах управления качеством аудита, про которые уже написано немало. Поговорим в этот раз об эволюции американского риск-ориентированного подхода к управлению качеством в аудиторской компании, которая сформировала за последние полтора десятка лет устойчивый тренд. Примерно столько лет назад представители профессии начали понимать его важность.

В США аудиторские стандарты требуют проведения заданий с принятием в расчет рисков, определяемых с начальных стадий аудита и в дальнейшем корректируемых. Все более совершенные системы управления организационными рисками (ERM) помогают профессиональным организациям любых размеров интегрировать управление рисками в свои стратегии, а инструменты минимизации рисков (в том числе фрод-риска) проектируются с учетом специфических угроз, создаваемых неблагожелательными участниками.

Джон Хит (Jon Heath), CPA, возглавляет одну из двух совмещенных рабочих групп, работающих над новыми стандартами качества аудита, которые в предварительном варианте были выпущены в феврале этого года Советом по аудиторским стандартам (ASB), входящим в состав AICPA. Стоит ли говорить, что они, как и международные стандарты от IAASB, также основываются на риск-ориентированном подходе и призваны “увести” участников рынка профессиональных услуг США от ставших привычными за много десятков лет жестких правил. Джон Хит говорит, что почти любой новатор, который когда-либо представлял что-то новое, обязательно в своей работе применял риск-ориентированный подход, а они – разработчики американских стандартов качества аудита – теперь собираются сделать то же самое.

Что это значит для практики? Это значит, что теперь профессиональные организации должны будут, условно говоря, брать “портфель” собственных, уникальных только для них рисков, и создавать систему управления этими рисками в соответствии с уникальными условиями. В США довольно часто со стороны малых и средних участников рынка профессиональных услуг звучали замечания, что ныне действующие стандарты, мол, слишком предписательные по своей природе и иногда требуют инструментов контроля, которые ими вообще не используются. Теперь это будет акцентирование внимание на том, что действительно необходимо делать компании, что для нее важно – отмечает Сара Лорд (Sara Lord), CPA, которая также возглавляет вторую из двух рабочих групп по разработке стандартов качества.

Консультации по ним в США пока продолжаются и завершатся в конце месяца. В случае одобрения новый подход освободит профессиональные организации от лишней рутинной работы, однако чтобы это стало возможным, требуется приложить много усилий, начиная с этапа внедрения. Например, отталкиваясь от действующих сегодня систем контроля качества, необходимо решить, как именно их нужно надстроить, и какие шаги для этого понадобятся. Отход от привычного “проставления галочек” в пунктах обязательной программы контроля рисков потребует существенного инвестирования времени и денег в системы, позволяющие отслеживать собственные уникальные риски.

В долгосрочном периоде все это, безусловно, окупится, потому что никакая другая система не будет настолько соответствовать “уникальным фактам и обстоятельствам” любой организации. “У многих компаний отличные системы контроля качества, они работают”, - говорит Джон Хит. – “Но они, вероятно, не оформлены так, чтобы соответствовать этим новым критериям – например, чтобы включать информацию о целях качества для организации и рисков для качества. И я думаю, что это отложенное улучшение и этот свежий взгляд будут сложными для многих из них”.

Предложенные новые стандарты в действительно являются лишь небольшой составляющей многолетних усилий американских разработчиков, направленных на обеспечение высокого качества оказываемых в США профессиональных услуг. Если говорить более конкретно, то в данном случае это желание отладить работу всей профессиональной организации таким образом, чтобы обеспечивать высокое качество. Руководство организаций получит представление о том, как оценивать риски и реагировать на них на всех уровнях, начиная с определения нужного тона “на самом верху”, продолжая наймом и обучением квалифицированных кадров, и заканчивая пониманием своих клиентов (“KYC”) и принятием в работу лишь подходящих конкретной организации заданий.

Стандарты управления качеством аудита становятся более объемными: они будут влиять не только на, собственно, аудит, но и на то, как именно в аудиторских проверках используется работа сторонних специалистов в сфере налогов, оценки или информационных технологий, что означает, что и их работа также будет на том же высоком уровне качества – подчеркнула Сара Лорд.

Оценка рисков с новым подходом станет гибкой и непрерывной. Предположим, аудиторская компания ранее никогда (или в течение долгого времени) не проверяла пенсионный план у своего клиента, но вот этот клиент просит провести аудит своего плана за очень долгий период, за который база сотрудников могла неузнаваемо измениться. Каковы будут аудиторские риски от этого мероприятия? Но в то же время, если та же самая компания проводит сотни подобных проверок пенсионных планов у других клиентов, имеет колоссальный опыт в аудите пенсионных планов, риск будет значительно ниже, не так ли? А как ответить на вопрос, если вдруг перед принятием задания компанию покинут два или три специалиста, для которых аудит пенсионных планов является основной специализаций? В каждой из описанных ситуаций оценка рисков будет своей, и план минимизации рисков – также разный.

“Период охлаждения”

Одним из важнейших среди февральских предложений от Совета по аудиторским стандартам AICPA является обязательный двухлетний “период охлаждения” для руководителей аудиторского задания, который позволит им снизить степень своего “знакомства” с рисками, прежде чем принимать на себя обязанности руководителя проверки качества аудита. Звучит странно, но на самом деле все очень логично, поскольку глаз, как известно, обладает способностью “замыливаться” за годы практики, доведенной чуть ли не до автоматизма.

Почему-то авторы предложений с особым нетерпением желают услышать комментарии по данному конкретному пункту – по всей видимости, подозревая, что могут быть какие-то иные способы застраховаться от риска в данном случае. Когда за плечами долгие годы аудита, а теперь вдруг возникло желание примерить на себя роль “вроде как” независимого проверяющего качества, и все это менее чем два года спустя после ухода с руководства аудиторской проверкой – что думают люди по этому поводу? Такой вопрос задает Трейси Хардинг (Tracy Harding), не кто иная, как глава самого Совета по аудиторским стандартам.

Предложенные стандарты также оговаривают ежегодную оценку системы управления качеством и циклические проверки уже завершенных заданий. В случае если в выполнении задания кто-либо участвовал лично, такое лицо допускаться не будет, чтобы избежать риска самопроверки. Требование вроде бы логичное, но все же трудновыполнимое в случае с индивидуальными аудиторами и очень небольшими аудиторскими компаниями: им придется обращаться к внешним специалистам, чтобы проинспектировать собственную систему контроля качества.

В Совете по аудиторским стандартам в курсе этих проблем. Риск самопроверки – не единственная проблема, ведь документирование процесса также представляет собой довольно трудоемкий процесс. Однако в США, так же как в IAASB, разрабатывали стандарт с прицелом на возможность масштабирования, поэтому Трейси Хардинг надеется, что это поможет справиться с применением стандартов небольшими участниками рынка. “У небольшой компании наверняка будет менее формальная система управления качеством”, - говорит она, - “И процессы по определению собственных рисков не будут требовать столь же много времени, как у компании с сотнями тысяч клиентов в различных юрисдикциях. Вот где кроется масштабируемость!”

Кроме того, предложенные стандарты позволят руководителям заданий самим определять требуемый уровень надзора по ходу проверки, равно как и объем работы, который позволительно делегировать другим членам команды, внутренним или внешним экспертам, сторонним специалистам узкого профиля.

Конвергенция

И никакой не секрет, разумеется, что в Совете по аудиторским стандартам США стараются обеспечить похожесть стандартов на ISQM 1 и ISQM 2 от Международного совета по стандартам аудита и подтверждения достоверности (IAASB), которые вступят в силу с 15 декабря следующего года. Кроме того, в своей концептуальной публикации еще от 2019 года другой разработчик стандартов – Совет по надзору за учетом в публичных компаниях (PCAOB) – высказал предположение, что мог бы отталкиваться от международных стандартов в своей работе, беря их в качестве стартовой точки (в этом недавнем материале вкратце объясняется, чем отличаются американские стандарты аудита от AICPA и PCAOBGAAP.RU).

По словам Джона Хита, конвергенция – “идеальный” вариант. “Управление качеством – настолько фундаментальный аспект для организации, что иметь здесь разные требования будет просто неприемлемо для людей. Это просто слишком “фундаментально”, чтобы иметь тут существенные отличия”, - сказал он.

Фундаментальность подчеркивается и существенными усилиями образовательного плана. Члены рабочих групп, работающих сегодня над стандартами, участвуют в круглых столах и публикуют разъяснения. Кроме того, 31 августа как дата завершения публичных консультаций – это на самом деле более поздний срок, потому что вначале планировалось управиться до 11 июня. Повлияла ли на это пандемия, как в случае с переносами многих документов МСФО в прошлом году – сказать трудно, но вряд ли стоит сомневаться, что к концу этого месяца AICPA ждет множество обоснованных комментариев от людей, хорошо изучивших вопрос.

В окончательном варианте американские стандарты управления качеством аудита планируют выпустить в мае следующего года. И – нет, они не успеют вперед международных, однако со своим официальным вступлением в силу опоздают всего на год, до 15 декабря 2023 года. С учетом колоссальных изменений систем управления качеством, которые придется провести многим аудиторским организациям в США, это где-то даже хорошо.

Теги: управление качеством  аудиторская компания  риск-ориентированный подход  международные стандарты  качество аудита  управление качеством аудита  аудиторские стандарты  ERM  управление организационными рисками  минимизация риска  Совет по аудиторским станда