Данный документ фактически утратил силу в связи с изданием Приказа Минфина РФ от 09.01.2019 N 2н.
Приложение N 26
к приказу Министерства финансов
Российской Федерации
от 24.10.2016 N 192н
Приказ, Международные стандарты аудита 1, 200, 240, 250, 265, 300, 315, 320, 330, 402, 450, 500, 501, 505, 520, 530, 550, 560, 610, 620, 1000, 2400, 2410, 3000, 3400, 410, 3420, 4400, 4410 включены в систему отдельными документами.
МЕЖДУНАРОДНЫЙ СТАНДАРТ ЗАДАНИЙ, ОБЕСПЕЧИВАЮЩИХ УВЕРЕННОСТЬ 3402 "ЗАКЛЮЧЕНИЕ АУДИТОРА ОБСЛУЖИВАЮЩЕЙ ОРГАНИЗАЦИИ, ОБЕСПЕЧИВАЮЩЕЕ УВЕРЕННОСТЬ, О СРЕДСТВАХ КОНТРОЛЯ ОБСЛУЖИВАЮЩЕЙ ОРГАНИЗАЦИИ"
Международный стандарт заданий, обеспечивающих уверенность (МСЗОУ) 3402 "Заключение аудитора обслуживающей организации, обеспечивающее уверенность, о средствах контроля обслуживающей организации" следует рассматривать вместе с Предисловием к Международным стандартам контроля качества, аудита, обзорных проверок, прочих заданий, обеспечивающих уверенность, и заданий по оказанию сопутствующих услуг, которое устанавливает сферу применения Международных стандартов заданий, обеспечивающих уверенность.
Введение
Сфера применения настоящего стандарта
1. Настоящий Международный стандарт заданий, обеспечивающих уверенность (МСЗОУ) применяется к заданиям, обеспечивающим уверенность, которые выполняются практикующим специалистом <1> с целью предоставления заключения для организаций-пользователей и их аудиторов в отношении средств контроля, вероятно относящихся к системе внутреннего контроля организации-пользователя, в отношении подготовки финансовой отчетности. Он дополняет МСА 402 <2>, так как заключения, подготовленные в соответствии с настоящим стандартом, могут обеспечивать надлежащие доказательства согласно МСА 402 (см. пункт A1).
<1> МСЗОУ 3000 (пересмотренный) "Задания, обеспечивающие уверенность, иные чем аудит или обзорная проверка финансовой информации прошедших периодов", пункт 12.
<2> МСА 402 "Особенности аудита организации, пользующейся услугами обслуживающей организации".
2. Согласно Международной концепции заданий, обеспечивающих уверенность (Концепция заданий, обеспечивающих уверенность), задания, обеспечивающие уверенность, могут быть "заданиями, обеспечивающими разумную уверенность" и "заданиями, обеспечивающими ограниченную уверенность"; задания, обеспечивающие уверенность, могут быть "заданиями, по подтверждению" или "заданиями по непосредственной оценке <1>. Настоящий стандарт применяется только к заданиям, обеспечивающим разумную уверенность, по подтверждению <2>.
<1> МСЗОУ 3000 (пересмотренный), пункт 12.
<2> Пункты 13 и 53(k) настоящего стандарта.
3. Настоящий стандарт применяется только в тех случаях, когда обслуживающая организация несет ответственность за надлежащую структуру средств контроля или по иным основаниям может формировать подтверждение в отношении структуры средств контроля. Настоящий стандарт не применяется к заданиям, обеспечивающим уверенность:
(a) цель которых состоит в предоставлении заключения о том, функционируют ли средства контроля обслуживающей организации согласно описанию, или
(b) цель которых состоит в том, чтобы предоставить заключение о средствах контроля обслуживающей организации, не являющихся средствами контроля, связанными с услугой, вероятно имеющей отношение к системе внутреннего контроля организации-пользователя, в отношении подготовки финансовой отчетности (например, о средствах контроля, которые влияют на производство или контроль качества организаций-пользователей).
Тем не менее настоящий стандарт содержит некоторые указания в отношении таких заданий, выполняемых в соответствии с МСЗОУ 3000 (пересмотренным) (см. пункт A2).
4. В дополнение к выпуску заключения, обеспечивающего уверенность в отношении средств контроля, аудитор обслуживающей организации может также привлекаться к подготовке перечисленных далее отчетов, к которым настоящий стандарт не применяется:
(a) отчет об операциях или остатках по счетам организации-пользователя, учет которых ведет обслуживающая организация;
(b) отчет о результатах выполнения согласованных процедур в отношении средств контроля обслуживающей организации.
Взаимосвязь с МСЗОУ 3000 (пересмотренным), другими профессиональными стандартами и другими требованиями
5. При выполнении заданий, обеспечивающих уверенность, которые не являются аудитом или обзорной проверкой финансовой информации прошедших периодов, аудитор обслуживающей организации должен выполнять требования МСЗОУ 3000 (пересмотренного) и настоящего стандарта. Настоящий стандарт расширяет положения о том, как МСЗОУ 3000 (пересмотренный) должен применяться к заданиям, обеспечивающим разумную уверенность, с предоставлением заключений о средствах контроля обслуживающей организации. Концепция выполнения заданий, обеспечивающих уверенность, которая определяет и описывает элементы и цели задания, обеспечивающего уверенность, является контекстом для понимания настоящего стандарта и МСЗОУ 3000 (пересмотренного).
6. Соблюдение требований МСЗОУ 3000 (пересмотренного) предусматривает, в том числе, соблюдение аудитором обслуживающей организации частей А и Б Кодекса этики профессиональных бухгалтеров Совета по международным стандартам этики для бухгалтеров (Кодекса СМСЭБ) в связи с выполнением заданий по обеспечению уверенности, или другие профессиональные требования, или требования, установленные законодательными и нормативными актами, не менее строгие, чем требования Кодекса СМСЭБ <1>. Кроме того, также требуется, чтобы руководитель задания был участником аудиторской организации, применяющей МСКК 1 <2>, или другие профессиональные требования, или требования, установленные законом или нормативным актом, не менее строгие, чем МСКК 1.
<1> МСЗОУ 3000 (пересмотренный), пункты 3(a), 20 и 34.
<2> МСЗОУ 3000 (пересмотренный), пункты 3(b) и 31(a). МСКК 1, "Контроль качества в аудиторских организациях, проводящих аудит и обзорные проверки финансовой отчетности, а также выполняющих прочие задания, обеспечивающие уверенность, и задания по оказанию сопутствующих услуг".
Дата вступления в силу
7. Настоящий стандарт вступает в силу в отношении заключений аудиторов обслуживающих организаций, обеспечивающих уверенность, за периоды, заканчивающиеся 15 июня 2011 года или после указанной даты.
Цели
8. Перед аудитором обслуживающей организации стоят следующие цели:
(a) получить разумную уверенность в том, что во всех существенных аспектах на основании соответствующих критериев:
(i) описание обслуживающей организацией ее системы достоверно отражает систему в том виде, в каком она была разработана и применялась в течение указанного периода (или применительно к заключению первого типа, по состоянию на указанную дату);
(ii) средства контроля, относящиеся к целям средств контроля, заявленным в описании обслуживающей организацией ее системы, были должным образом организованы в течение указанного периода (или, применительно к заключению первого типа, по состоянию на указанную дату);
(iii) средства контроля, если они включены в объем задания, функционировали эффективно настолько, чтобы обеспечить разумную уверенность в том, что цели контроля, заявленные в описании обслуживающей организацией ее системы, достигались в течение всего указанного периода;
(b) предоставить заключение по вопросам, указанным в пункте (a), в соответствии с обнаруженными аудитором обслуживающей организации фактами.
Определения
9. Для целей настоящего стандарта следующие термины имеют приведенные ниже значения:
(a) Метод исключения - метод, применяемый к услугам субподрядчика обслуживающей организации, при котором подготовленное обслуживающей организацией описание ее системы включает информацию о характере услуг, оказываемых субподрядчиком обслуживающей организации, но не включает информацию о соответствующих целях средств контроля субподрядчика обслуживающей организации и связанных с ними средствах контроля, которые также исключены из объема задания аудитором обслуживающей организации. Описание обслуживающей организацией ее системы и объем задания аудитора обслуживающей организации охватывают средства контроля обслуживающей организации, используемые для мониторинга эффективности средств контроля субподрядчика обслуживающей организации, которые могут включать проведение обслуживающей организацией анализа заключения, обеспечивающего уверенность в отношении средств контроля субподрядчика обслуживающей организации.
(b) Дополнительные средства контроля в организации-пользователе - средства контроля, которые, как полагает обслуживающая организация при организации своих услуг, будут внедрены организациями-пользователями и которые заявлены в описании обслуживающей организацией ее системы, если они необходимы для достижения целей средств контроля.
(c) Цель контроля - цель или задача определенного аспекта системы контроля. Цели контроля связаны с рисками, которые средства контроля должны уменьшать.
(d) Средства контроля обслуживающей организации - средства контроля за достижением цели контроля, которая включена в заключение аудитора обслуживающей организации, обеспечивающее уверенность (см. пункт A3).
(e) Средства контроля субподрядчика обслуживающей организации - средства контроля субподрядчика обслуживающей организации, обеспечивающие разумную уверенность в достижении цели внутреннего контроля.
(f) Критерии - контрольные показатели, используемые для измерения или оценки предмета задания, включая, если применимо, контрольные показатели для представления и раскрытия.
(g) Метод включения - метод, применяемый к услугам субподрядчика обслуживающей организации, при котором подготовленное обслуживающей организацией описание ее системы включает информацию о характере услуг, оказываемых субподрядчиком обслуживающей организации, а также сведения о соответствующих целях внутреннего контроля субподрядчика обслуживающей организации и связанных с ними средств контроля, которые также входят в объем работ по заданию аудитора обслуживающей организации (см. пункт A4).
(h) Служба внутреннего аудита - функциональное подразделение организации, которое выполняет задания, обеспечивающие уверенность, ведет консультационную деятельность, направленную на то, чтобы оценивать и улучшать эффективность корпоративного управления организации, риск-менеджмент и процессы системы внутреннего контроля.
(i) Внутренние аудиторы - физические лица, которые осуществляют деятельность в рамках службы внутреннего аудита. Внутренние аудиторы могут являться сотрудниками департамента внутреннего аудита или аналогичной службы.
(j) Заключение в отношении описания и структуры средств контроля в обслуживающей организации (в настоящем стандарте используется название "заключение первого типа") - заключение, в состав которого входит:
(i) описание обслуживающей организацией ее системы;
(ii) письменное подтверждение обслуживающей организации в отношении того, что во всех существенных аспектах и на основании соответствующих критериев:
a. описание достоверно отражает систему обслуживающей организации, которая была разработана и внедрена на указанную дату;
b. средства контроля, относящиеся к целям внутреннего контроля, заявленным в описании обслуживающей организацией ее системы, были должным образом организованы по состоянию на указанную дату;
(iii) заключение аудитора обслуживающей организации, содержащее вывод, обеспечивающий разумную уверенность в отношении вопросов, указанных в пунктах (ii)a - b выше.
(k) Заключение в отношении описания, структуры и операционной эффективности средств контроля обслуживающей организации (в настоящем стандарте используется название "заключение второго типа") - заключение, в состав которого входит:
(i) описание обслуживающей организацией ее системы;
(ii) письменное подтверждение обслуживающей организации в отношении того, что во всех существенных аспектах и на основании соответствующих критериев:
a. описание достоверно отражает систему обслуживающей организации, как она была разработана и внедрена, в течение указанного периода;
b. средства контроля, относящиеся к целям внутреннего контроля, заявленным в описании обслуживающей организацией ее системы, были должным образом организованы в течение указанного периода;
c. средства контроля, относящиеся к целям внутреннего контроля, заявленным в описании обслуживающей организацией ее системы, эффективно функционировали в течение указанного периода;
(iii) заключение аудитора обслуживающей организации, обеспечивающее уверенность, которое:
a. обеспечивает вывод в отношении разумной уверенности по вопросам, указанным в пунктах (ii)a - c выше;
b. включает описание тестов средств контроля и их результатов.
(l) Аудитор обслуживающей организации - практикующий специалист, который по запросу обслуживающей организации предоставляет заключение, обеспечивающее уверенность в отношении средств контроля обслуживающей организации.
(m) Обслуживающая организация - организация, являющаяся третьей стороной (или сегмент организации, являющейся третьей стороной) и предоставляющая услуги организациям-пользователям, вероятно относящимся к системе внутреннего контроля организации-пользователя, в отношении подготовки финансовой отчетности.
(n) Подтверждение обслуживающей организации - письменное подтверждение в отношении вопросов, указанных в пункте 9(k)(ii) (или в пункте 9(j)(ii) для заключения первого типа).
(o) Система обслуживающей организации (или система) - политика и процедуры, разработанные и внедренные обслуживающей организацией для предоставления организациям-пользователям услуг, в отношении которых аудитор обслуживающей организации предоставляет заключение, обеспечивающее уверенность. Описание обслуживающей организацией ее системы содержит информацию об оказываемых услугах, о периоде или (применительно к заключению первого типа) дате, к которым относится описание, целях внутреннего контроля и соответствующих средствах контроля.
(p) Субподрядчик обслуживающей организации - обслуживающая организация, используемая другой обслуживающей организацией для оказания некоторых услуг, которые предоставляются организациям-пользователям и которые, по всей вероятности, относятся к средствам внутреннего контроля организаций-пользователей, связанным с подготовкой финансовой отчетности.
(q) Тест средств контроля - процедура, предназначенная для оценки операционной эффективности средств контроля при достижении целей контроля, заявленных в описании обслуживающей организацией ее системы.
(r) Аудитор организации-пользователя - аудитор, который проводит аудит и предоставляет заключение о финансовой отчетности организации-пользователя <1>.
<1> При наличии субподрядчика обслуживающей организации аудитор обслуживающей организации, использующей услуги субподрядчика обслуживающей организации, также является аудитором организации-пользователя.
(s) Организация-пользователь - организация, которая использует обслуживающую организацию.
Требования
МСЗОУ 3000 (пересмотренный)
10. Аудитор обслуживающей организации не должен заявлять о соблюдении настоящего стандарта, если он не выполняет все требования настоящего стандарта и МСЗОУ 3000 (пересмотренного).
Этические требования
11. Аудитор обслуживающей организации должен соблюдать соответствующие этические требования, установленные частями А и Б Кодекса СМСЭБ в рамках заданий, обеспечивающих уверенность или другие профессиональные требования, или требования, установленные законодательными и нормативными актами, не менее строгие, чем требования Кодекса СМСЭБ (см. пункт A5).
Руководство и лица, отвечающие за корпоративное управление
12. В тех случаях, когда в соответствии с настоящим стандартом аудитор обслуживающей организации обязан направить запрос, потребовать предоставление письменного разъяснения, проинформировать или иным образом вступить во взаимодействие с обслуживающей организацией, он должен определить соответствующее лицо (соответствующих лиц) в составе руководства или структуры управления обслуживающей организации, с которыми следует взаимодействовать. В этом случае аудитор должен рассмотреть, какое именно лицо или какие лица несут соответствующую ответственность за возникшие вопросы и осведомлены о них (см. пункт A6).
Принятие и продолжение отношений с клиентами и принятие и выполнение конкретных заданий
13. Прежде чем принять или продолжить задание, аудитор обслуживающей организации должен:
(a) определить:
(i) имеет ли аудитор обслуживающей организации необходимые возможности и компетенцию для выполнения задания (см. пункт A7);
(ii) являются ли, согласно ожиданию практикующего специалиста, критерии которые обслуживающая организация применяет для описания ее системы, надлежащими и доступными для организаций-пользователей и их аудиторов;
(iii) не являются ли объем работ по заданию и описание обслуживающей организацией ее системы настолько ограниченными, что они вряд ли окажутся полезными для организаций-пользователей и их аудиторов;
(b) получить согласие обслуживающей организации в отношении того, что она признает и понимает свою ответственность:
(i) за подготовку описания ее системы и прилагаемое подтверждение обслуживающей организации, в том числе за полноту, точность и метод представления указанного описания и подтверждения (см. пункт A8);
(ii) наличие разумных оснований для подтверждений обслуживающей организации, представленных вместе с описанием системы (см. пункт A9);
(ii) указание в подтверждении обслуживающей организации критериев, использованных дня подготовки описания системы;
В электронном документе нумерация пунктов соответствует официальному источнику.
(iii) указание в описании системы:
a. целей внутреннего контроля;
b. в тех случаях, когда цели определены законами или нормативными актами либо другой стороной (например, группой пользователей или профессиональной организацией), указание стороны, которая их определила;
(iv) выявление рисков, угрожающих достижению целей внутреннего контроля, заявленных в описании системы, а также разработку и внедрение средств контроля, обеспечивающих разумную уверенность в том, что эти риски не помешают достижению целей внутреннего контроля, заявленных в описании системы, и, следовательно, что заявленные цели внутреннего контроля будут достигнуты (см. пункт A10);
(v) предоставление аудитору обслуживающей организации:
a. доступа ко всей информации, такой как бухгалтерские записи, документация и иные сведения, включая соглашения об уровне обслуживания, о которых известно обслуживающей организации и которые имеют отношение к описанию обслуживающей организацией ее системы и к прилагаемому подтверждению обслуживающей организации;
b. дополнительной информации, которая может быть запрошена аудитором обслуживающей организации у обслуживающей организации для целей выполнения задания, обеспечивающего уверенность;
c. неограниченного доступа к лицам внутри обслуживающей организации, от которых аудитору обслуживающей организации необходимо получить доказательства.
Принятие изменений в условиях задания
14. Если обслуживающая организация просит внести изменения в объем работ по заданию до его завершения, аудитор обслуживающей организации должен удостовериться в том, что такое изменение обоснованно (см. пункты A11 - A12).
Определение пригодности критериев
15. Аудитор обслуживающей организации должен определить, использовала ли обслуживающая организация соответствующие критерии при подготовке описания ее системы, при оценке надлежащего характера структуры средств контроля и, применительно к заключению второго типа, при оценке эффективности функционирования средств контроля.
16. При определении пригодности критериев для оценки подготовленного обслуживающей организацией описания ее системы аудитор обслуживающей организации должен установить, включают ли критерии как минимум следующее:
(a) отражает ли описание, каким образом была разработана и внедрена система обслуживающей организации, включая, если необходимо:
(i) виды предоставленных услуг, в том числе, если необходимо, виды обработанных операций;
(ii) процедуры, используемые в рамках как систем информационных технологий, так и неавтоматизированных систем, с помощью которых предоставляются услуги, включая, если необходимо, процедуры, посредством которых операции инициируются, учитываются, обрабатываются, корректируются по мере необходимости и переносятся в отчеты и другие информационные источники, подготавливаемые для организаций-пользователей;
(iii) соответствующие записи и подтверждающую информацию, включая, если необходимо, данные бухгалтерского учета, подтверждающую информацию и специальные счета, которые используются для инициирования, учета, обработки операций и включения их в отчеты; а также корректировку неправильных данных и процесс переноса в отчеты и другие информационные источники, подготавливаемые для организаций-пользователей;
(iv) как система обслуживающей организации учитывает значительные события и условия, не являющиеся операциями;
(v) процесс, используемый для подготовки заключения и другой информации дня организаций-пользователей;
(vi) установленные цели внутреннего контроля и средства контроля, предназначенные для достижения этих целей;
(vii) дополнительные средства контроля в организации-пользователе, предусмотренные при разработке средств контроля;
(viii) другие аспекты контрольной среды обслуживающей организации, процесса оценки рисков, информационной системы (включая соответствующие бизнес-процессы) и информационного взаимодействия, контрольных действий и мониторинга средств контроля, применимые к предоставляемым услугам;
(b) применительно к заключению второго типа: содержит ли описание соответствующую информацию об изменениях в системе обслуживающей организации в течение периода, за который предоставляется описание;
(c) не содержит ли описание пропусков или искажений информации, касающейся области применения описываемой обслуживающей организацией ее системы, при этом признается, что описание готовится для целей удовлетворения общих потребностей широкого круга организаций-пользователей и их аудиторов и, следовательно, может не включать всех аспектов обслуживающей организацией ее системы, которые отдельная организация-пользователь и ее аудитор могут счесть важными в определенных условиях.
17. При определении пригодности критериев для оценки структуры средств контроля аудитор обслуживающей организации должен установить, включают ли критерии как минимум следующее:
(a) выявила ли обслуживающая организация риски, угрожающие достижению целей внутреннего контроля, которые были заявлены в описании ее системы;
(b) обеспечат ли средства контроля, указанные в описании (при их применении согласно описанию), разумную уверенность в том, что эти риски не препятствуют достижению заявленных целей внутреннего контроля.
18. При определении пригодности критериев для оценки операционной эффективности средств контроля в целях обеспечения разумной уверенности в том, что заявленные в описании цели внутреннего контроля будут достигнуты, аудитор обслуживающей организации должен установить, включают ли критерии как минимум последовательное применение средств контроля в течение всего указанного периода так, как это было предусмотрено при их разработке, а также определить, применялись ли ручные средства контроля лицами, имеющими соответствующую компетенцию и полномочия (см. пункты A13 - A15).
Существенность
19. При планировании и выполнении задания аудитор обслуживающей организации должен учитывать существенность при рассмотрении вопросов достоверного представления описания, надлежащего характера структуры средств контроля и, применительно к заключению второго типа, операционной эффективности средств контроля (см. пункты A16 - A18).
Получение понимания обслуживающей организацией ее системы
20. Аудитор обслуживающей организации должен получать понимание обслуживающей организацией ее системы, в том числе средств контроля, которые включены в объем работ, выполняемых в рамках задания (см. пункты A19 - A20).
Получение доказательств в отношении описания
21. Аудитор обслуживающей организации должен получить понимание и изучить подготовленное обслуживающей организацией описание ее системы, а также оценить, достоверно ли представлены те аспекты описания, которые входят в объем работ по заданию, включая следующее (см. пункты A21 - A22):
(a) являются ли цели внутреннего контроля, заявленные в описании обслуживающей организацией ее системы, обоснованными в конкретных обстоятельствах (см. пункт A23);
(b) были ли внедрены средства контроля, указанные в этом описании;
(c) описаны ли надлежащим образом дополнительные средства контроля, применяемые организацией-пользователем, при их наличии;
(d) описаны ли надлежащим образом услуги, предоставленные субподрядчиком обслуживающей организации, в том числе использовались ли применительно к ним метод включения или метод исключения.
22. Аудитор обслуживающей организации должен установить с помощью других процедур, применяемых наряду с направлением запросов, была ли внедрена система обслуживающей организации. Указанные процедуры должны включать наблюдение и инспектирование записей и другой документации в отношении того, как функционирует система обслуживающей организации и как применяются средства контроля (см. пункт A24).
Получение доказательств в отношении структуры средств контроля
23. Аудитор обслуживающей организации определяет, какие средства контроля обслуживающей организации необходимы для достижения целей внутреннего контроля, заявленных в описании ее системы, и оценивает, были ли данные средства контроля организованы должным образом. Такое определение включает в себя следующее (см. пункты A25 - A27):
(a) выявление рисков, угрожающих достижению целей внутреннего контроля, которые были заявлены в описании обслуживающей организацией ее системы;
(b) оценку взаимосвязи между средствами контроля, указанными обслуживающей организацией в описании ее системы, и выявленными рисками.
Получение доказательств в отношении операционной эффективности средств контроля
24. В случае предоставления заключения второго типа аудитор обслуживающей организации тестирует те средства контроля, которые он считает необходимыми для достижения целей внутреннего контроля, заявленных в подготовленном обслуживающей организацией описании ее системы, и оценивает их операционную эффективность в течение периода. Доказательства в отношении надлежащего функционирования средств контроля в предыдущие периоды, полученные в результате выполнения предыдущих заданий, не являются основанием для уменьшения объема тестирования даже в том случае, если они дополняются доказательствами, полученными за текущий период (см. пункты A28 - A32).
25. При разработке и проведении тестов средств контроля аудитор обслуживающей организации:
(a) выполняет другие процедуры наряду с направлением запросов для получения доказательств в отношении следующих вопросов:
(i) как применялись средства контроля;
(ii) последовательность применения средств контроля;
(iii) кем или каким образом применялись средства контроля;
(b) определяет, зависели ли тестируемые средства контроля от других средств контроля (средств косвенного контроля), и если это так, то имеется ли необходимость получения доказательств, подтверждающих операционную эффективность этих средств косвенного контроля (см. пункты A33 - A34);
(c) определяет средства выбора элементов для тестирования, которые являются эффективными для достижения целей процедуры (см. пункты A35 - A36).
26. При определении объема тестирования средств контроля аудитор обслуживающей организации рассматривает характеристики тестируемой генеральной совокупности, в том числе характер средств контроля, частоту их применения (например, ежемесячно, ежедневно, несколько раз в день) и ожидаемую норму отклонения.
Выборка
27. Если аудитор обслуживающей организации использует выборку, он должен (см. пункты A35 - A36):
(a) учитывать при планировании выборки цель процедуры и характеристики генеральной совокупности, из которой делается выборка;
(b) определить объем выборки, достаточный для снижения риска, связанного с выборкой, до приемлемо низкого уровня;
(c) выбирать элементы для выборки таким образом, чтобы каждый элемент генеральной совокупности мог быть выбран;
(d) если разработанная процедура неприменима к выбранному элементу, применить процедуру к другому элементу, выбранному взамен первого;
(e) в случае невозможности применения разработанных процедур или соответствующих альтернативных процедур к выбранному элементу, рассматривать этот элемент как отклонение.
Характер и причина отклонений
28. Аудитор обслуживающей организации исследует характер и причину каждого выявленного отклонения и определяет:
(a) находятся ли выявленные отклонения в пределах ожидаемой величины отклонений и являются ли они приемлемыми, то есть обеспечивает ли выполненное тестирование надлежащее основание для вывода о том, что средство контроля функционировало эффективно в течение указанного периода;
(b) есть ли необходимость проведения дополнительного тестирования данного средства контроля или других средств контроля для того, чтобы сделать вывод об эффективном функционировании средств контроля, относящихся к определенной цели внутреннего контроля в течение указанного периода (см. пункт A25);
(c) обеспечивает ли проведенное тестирование надлежащее основание для вывода о том, что средство контроля не функционировало эффективно в течение указанного периода.
29. В исключительно редких случаях, когда аудитор обслуживающей организации считает отклонение, обнаруженное в выборке, аномалией и при этом не выявлено других средств контроля, которые позволяют ему сделать вывод о том, что соответствующая цель внутреннего контроля эффективно достигалась в течение указанного периода, аудитор обслуживающей организации должен получить высокую степень уверенности в том, что такое отклонение не является репрезентативным для генеральной совокупности. Аудитор обслуживающей организации получает такую степень уверенности, выполняя дополнительные процедуры для получения достаточных надлежащих доказательств того, что отклонение не влияет на остальные элементы генеральной совокупности.
Работа службы внутреннего аудита <1>
<1> Настоящий стандарт не регламентирует случаи, когда отдельные внутренние аудиторы оказывают непосредственное содействие аудитору обслуживающей организации в проведении аудиторских процедур.
Получение понимания в отношении службы внутреннего аудита
30. Если у обслуживающей организации имеется служба внутреннего аудита, аудитор обслуживающей организации должен получить понимание характера обязанностей службы внутреннего аудита и ее деятельности, чтобы определить вероятность того, что служба внутреннего аудита может быть использована для выполнения задания (см. пункт A37).
Определение возможности и объема использования работы внутренних аудиторов
31. Аудитор обслуживающей организации определяет:
(a) есть ли вероятность того, что работа внутренних аудиторов будет соответствовать целям задания;
(b) если да, то ожидаемое влияние работы внутренних аудиторов на характер, сроки или объем процедур, выполняемых аудитором обслуживающей организации.
32. При определении возможности использования работы внутренних аудиторов для целей задания аудитор обслуживающей организации оценивает:
(a) объективность службы внутреннего аудита;
(b) техническую компетентность внутренних аудиторов;
(c) наличие вероятности того, что работа внутренних аудиторов будет выполнена с надлежащей профессиональной осмотрительностью;
(d) наличие вероятности эффективного информационного взаимодействия между внутренними аудиторами и аудитором обслуживающей организации.
33. При определении ожидаемого влияния работы внутренних аудиторов на характер, сроки или объем процедур, выполняемых аудитором обслуживающей организации, он учитывает (см. пункт A38);
(a) характер и объем определенной работы, которая была или должна быть выполнена внутренними аудиторами;
(b) значимость этой работы для выводов аудитора обслуживающей организации;
(c) уровень субъективности в оценке доказательств, собранных в подтверждение этих выводов.
Использование работы службы внутреннего аудита
34. Для использования аудитором обслуживающей организации определенной работы, выполненной внутренними аудиторами, он оценивает и выполняет процедуры в отношении этой работы, чтобы определить, насколько она соответствует целям аудитора обслуживающей организации (см. пункт A39).
35. Чтобы определить соответствие определенной работы, выполненной внутренними аудиторами, целям аудитора обслуживающей организации, он оценивает:
(a) была ли работа выполнена внутренними аудиторами, обладающими надлежащей технической подготовкой и знаниями;
(b) осуществлялся ли надлежащий контроль, проверка и документирование выполненной работы;
(c) были ли получены достаточные доказательства для того, чтобы внутренние аудиторы могли сделать обоснованные выводы;
(d) являются ли сделанные выводы надлежащими, учитывая обстоятельства, а также согласуются ли заключения, подготовленные внутренними аудиторами, с результатами выполненной работы;
(e) урегулированы ли надлежащим образом расхождения, значимые для задания, и устранены ли необычные обстоятельства, выявленные внутренними аудиторами.
Влияние на заключение, обеспечивающее уверенность, аудитора обслуживающей организации
36. Если использовалась работа, выполненная службой внутреннего аудита, аудитор обслуживающей организации не должен ссылаться на данную работу в том разделе заключения, обеспечивающего уверенность, аудитора обслуживающей организации, в котором выражается его мнение (см. пункт A40).
37. В заключении второго типа, если использовалась работа службы внутреннего аудита при проведении тестов средств контроля, та часть заключения, обеспечивающего уверенность, аудитора обслуживающей организации, в которой содержится описание тестов средств контроля, проведенных аудитором обслуживающей организации, и их результатов, должна содержать описание работы, выполненной внутренним аудитором, и процедур, проведенных аудитором обслуживающей организации в отношении этой работы (см. пункт A41).
Письменные заявления
38. Аудитор обслуживающей организации направляет обслуживающей организации запрос на предоставление письменных заявлений, в которых (см. пункт A42):
(a) содержится подтверждение, представленное вместе с описанием системы;
(b) подтверждается предоставление аудитору обслуживающей организации всей соответствующей информации и доступа к ней по согласованию <1>;
<1> Пункт 13(b)(v) настоящего стандарта.
(c) подтверждается раскрытие аудитору обслуживающей организации информации обо всех известных обслуживающей организации:
(i) случаях несоблюдения закона или нормативного акта, недобросовестных действий или неисправленных отклонений, относящихся к обслуживающей организации, которые могут повлиять на одну или несколько организаций-пользователей;
(ii) недостатках в структуре средств контроля;
(iii) случаях такого функционирования средств контроля, которое не соответствует описанию;
(iv) событиях, имевших место после окончания периода, за который обслуживающая организация представила описание ее системы, и до даты заключения, обеспечивающего уверенность, аудитора обслуживающей организации, если эти события могут оказать значительное влияние на данное заключение.
39. Письменные заявления должны иметь форму письма-представления, адресованного аудитору обслуживающей организации. Дата письменных заявлений должна быть как можно ближе к дате заключения, обеспечивающего уверенность, аудитора обслуживающей организации, но не позднее ее.
40. Если после обсуждения вопроса с аудитором обслуживающая организация не предоставит одно или более письменных заявлений, затребованных в соответствии с пунктами 38 (a) и (b) настоящего стандарта, аудитор обслуживающей организации отказывается от выражения мнения (см. пункт A43).
Прочая информация
41. Аудитор обслуживающей организации обязан ознакомиться с прочей информацией (если такая имеется), включенной в документ, в котором содержится описание обслуживающей организацией ее системы и заключение аудитора обслуживающей организации, обеспечивающее уверенность, с целью выявления существенных несоответствий (если такие имеются) по сравнению с данным описанием. При ознакомлении с прочей информацией с целью выявления существенных несоответствий аудитор обслуживающей организации может обнаружить очевидное искажение фактов в этой информации.
42. Если аудитор обслуживающей организации выявляет существенное несоответствие или являющееся очевидным искажение фактов в прочей информации, аудитор обслуживающей организации обсуждает этот вопрос с обслуживающей организацией. Если аудитор обслуживающей организации приходит к выводу о том, что в прочей информации содержится существенное несоответствие или искажение фактов, которые обслуживающая организация отказывается устранить, аудитор обслуживающей организации должен принять в дальнейшем соответствующие меры (см. пункты A44 - A45).
События после отчетной даты
43. Аудитор обслуживающей организации направляет запрос о том, известно ли обслуживающей организации о событиях, которые имели место после окончания периода, за который обслуживающая организация представила описание ее системы, и до даты подготовленного аудитором обслуживающей организации заключения, обеспечивающего уверенность, и которые могли бы оказать влияние на то, что в данное заключение были бы внесены изменения. Если аудитору обслуживающей организации известно о таком событии, а информация о нем не раскрыта обслуживающей организацией, то он обязан раскрыть ее в своем заключении, обеспечивающем уверенность.
44. После даты заключения, обеспечивающего уверенность, аудитора обслуживающей организации, он не обязан выполнять какие-либо процедуры в отношении описания обслуживающей организацией ее системы либо надлежащего характера структуры или операционной эффективности ее средств контроля.
Документация
45. Аудитор обслуживающей организации должен подготавливать в установленные сроки документацию, содержащую данные, лежащие в основе заключения, которая была бы достаточной и надлежащей для того, чтобы опытный аудитор обслуживающей организации, который до этого не был связан с заданием, мог понять:
(a) характер, сроки и объем процедур, выполненных в целях соблюдения настоящего стандарта и применимых законодательных и нормативных требований;
(b) результаты выполненных процедур и полученные доказательства;
(c) значимые вопросы, возникшие в ходе выполнения задания, и выводы, сделанные в отношении этих вопросов, а также значимые профессиональные суждения, использованные при формировании этих выводов.
46. При документальном оформлении характера, сроков и объема выполненных процедур аудитор обслуживающей организации указывает:
(a) отличительные характеристики определенных элементов или вопросов, в отношении которых проводилось тестирование;
(b) лицо, выполнявшее работу, а также дату ее завершения;
(c) лицо, проверявшее выполненную работу, а также дату и объем такой проверки.
47. Если аудитор обслуживающей организации использует конкретную работу внутренних аудиторов, он должен документально оформить выводы, сделанные в отношении оценки надлежащего характера работы внутренних аудиторов, и процедуры, выполненные аудитором обслуживающей организации в отношении такой работы.
48. Аудитор обслуживающей организации документально оформляет обсуждение значимых вопросов с обслуживающей организацией и другими сторонами, включая характер значимых вопросов, а также то, с кем и когда они обсуждались.
49. Если аудитор обслуживающей организации выявил информацию, которая не соответствует окончательным выводам аудитора обслуживающей организации в отношении значимого вопроса, он документально оформляет действия, предпринятые им в отношении этого несоответствия.
50. Аудитор обслуживающей организации собирает документацию в файл по заданию и завершает процесс формирования окончательного файла по заданию в установленные сроки после выпуска аудитором обслуживающей организации заключения, обеспечивающего уверенность <1>.
<1> Пункты A54 - A55 МСКК 1 содержат дополнительные указания.
51. После завершения формирования окончательного файла по заданию аудитор обслуживающей организации не должен удалять или уничтожать документацию до окончания срока ее хранения (см. пункт A46).
52. Если аудитор обслуживающей организации сочтет необходимым внести изменения в имеющуюся документацию по заданию или добавить новую документацию уже после завершения формирования окончательного файла по заданию и при этом такая документация не влияет на заключение аудитора обслуживающей организации, аудитор обслуживающей организации должен, независимо от характера изменений или дополнений, оформить документально:
(a) конкретные причины таких изменений и дополнений;
(b) когда и кем они были сделаны и проверены.
Подготовка заключения, обеспечивающего уверенность, аудитором обслуживающей организации
Содержание заключения, обеспечивающего уверенность, аудитора обслуживающей организации
53. Заключение аудитора обслуживающей организации, обеспечивающее уверенность, должно содержать, как минимум, следующие основные элементы (см. пункт A47):
(а) заголовок, ясно указывающий на то, что данное заключение является заключением независимого аудитора обслуживающей организации, обеспечивающим уверенность;
(b) адресат;
(c) указание на следующие вопросы:
(i) описание обслуживающей организацией ее системы и подтверждение обслуживающей организации, включая вопросы, указанные в пункте 9(k)(ii) для заключения второго типа или в пункте 9(j)(ii) - для заключения первого типа;
(ii) те части описания обслуживающей организацией ее системы (если такие имеются), на которые не распространяется мнение аудитора обслуживающей организации;
(iii) если в описании содержится упоминание о необходимости дополнительных средств контроля в организации-пользователе, указание на то, что аудитор обслуживающей организации не проводил оценку надлежащего характера структуры или операционной эффективности дополнительных средств контроля в организации-пользователе и что достижение целей внутреннего контроля, указанных в подготовленном обслуживающей организацией описании ее системы, возможно только при условии, если дополнительные средства контроля в организации-пользователе организованы надлежащим образом или эффективно функционируют наряду со средствами контроля обслуживающей организации;
(iv) если услуги предоставляются субподрядчиком обслуживающей организации, каков характер работ, выполненных субподрядчиком обслуживающей организации в соответствии с описанием обслуживающей организацией ее системы, и какой из методов применялся в отношении таких работ: метод включения или метод исключения. Если применялся метод исключения, указание на то, что описание обслуживающей организацией ее системы не включает цели внутреннего контроля и относящиеся к ним средства контроля у соответствующих субподрядчиков обслуживающей организации и что процедуры аудитора обслуживающей организации не распространялись на средства контроля субподрядчика обслуживающей организации. Если применялся метод включения, указание на то, что описание обслуживающей организацией ее системы включает цели внутреннего контроля и соответствующие средства контроля у субподрядчика обслуживающей организации и что процедуры аудитора обслуживающей организации не распространялись на средства контроля субподрядчика обслуживающей организации;
(d) определение применимых критериев и указание стороны, устанавливающей цели контроля;
(e) указание на то, что заключение и (применительно к заключениям второго типа) описание тестов средств контроля предназначены исключительно для организаций-пользователей и их аудиторов, обладающих достаточными знаниями, чтобы учесть их, наряду с прочей информацией, включающей сведения о средствах контроля, применяемых самими организациями-пользователями, при оценке рисков существенного искажения финансовой отчетности организаций-пользователей (см. пункт A48);
(f) указание на то, что обслуживающая организация несет ответственность:
(i) за подготовку описания ее системы и соответствующего заявления, включая полноту, точность и метод представления такого описания и заявления;
(ii) предоставление услуг, включенных в описание обслуживающей организацией ее системы;
(iii) определение целей внутреннего контроля (если они не установлены законом, нормативным актом или другой стороной, например, группой пользователей или профессиональной организацией);
(iv) разработку и внедрение средств контроля для достижения целей внутреннего контроля, указанных в описании обслуживающей организацией ее системы;
(g) указание на то, что ответственность аудитора обслуживающей организации заключается в выражении мнения в отношении описания обслуживающей организацией ее системы, структуры средств контроля, связанных с целями внутреннего контроля, указанными в таком описании, и (применительно к заключениям второго типа) операционной эффективности таких средств контроля на основании выполненных им процедур;
(h) указание на то, что аудиторская организация практикующего специалиста применяет МСКК 1, или другие профессиональные требования, или требования, установленные законом или нормативным актом, не менее строгие, чем установленные МСКК 1. Если практикующий специалист не является профессиональным бухгалтером, должно быть поименовано профессиональное требование, или требование, установленное законом или нормативным актом, не менее строгое, чем установленное МСКК 1;
(i) указание на то, что практикующий специалист соблюдает требование независимости и другие этические требования Кодекса СМСЭБ, или другие профессиональные требования, или требования, установленные законом или нормативным актом, не менее строгие, чем установленные в частях А и Б Кодекса СМСЭБ, относящиеся к заданиям, обеспечивающим уверенность. Если практикующий специалист не является профессиональным бухгалтером, должно быть поименовано профессиональное требование, или требование, установленное законом или нормативным актом, не менее строгое, чем установленное частями А и Б Кодекса СМСЭБ, относящиеся к заданиям, обеспечивающим уверенность;
(j) указание на то, что задание выполнялось в соответствии с МСЗОУ 3402 "Заключение аудитора обслуживающей организации, обеспечивающее уверенность, о средствах контроля обслуживающей организации", согласно которому аудитор обслуживающей организации обязан планировать и выполнять процедуры с целью получения разумной уверенности в том, что описание обслуживающей организацией ее системы представлено во всех существенных аспектах достоверно, средства контроля организованы надлежащим образом и (применительно к заключениям второго типа) функционируют эффективно;
(k) краткое описание процедур, выполненных аудитором обслуживающей организации для получения разумной уверенности, и указание на то, что аудитор обслуживающей организации полагает, что полученные им доказательства являются надлежащими и достаточными, чтобы обеспечить основу для выражения мнения аудитора, а также (применительно к заключениям первого типа) указание на то, что аудитор обслуживающей организации не выполнял каких-либо процедур в отношении операционной эффективности средств контроля и, следовательно, не выражает мнения по этому вопросу;
(l) указание на ограничение средств контроля и (применительно к заключениям второго типа) на риск экстраполяции оценки их операционной эффективности на будущие периоды;
(m) мнение аудитора обслуживающей организации, выраженное в позитивной форме, о том, что на основе соответствующих критериев и во всех существенных аспектах:
(i) применительно к заключениям второго типа:
a. описание обеспечивает достоверное представление о системе обслуживающей организации, разработанной и внедренной в течение указанного периода;
b. средства контроля, относящиеся к целям внутреннего контроля, заявленным в подготовленном обслуживающей организацией описании ее системы, были должным образом организованы в течение указанного периода;
c. протестированные средства контроля, которые были необходимы для получения разумной уверенности в достижении целей внутреннего контроля, заявленных в описании, функционировали эффективно в течение всего указанного периода;
(ii) применительно к заключениям первого типа:
a. описание обеспечивает достоверное представление о системе обслуживающей организации, разработанной и внедренной на указанную дату;
b. средства контроля, относящиеся к целям внутреннего контроля, заявленным в подготовленном обслуживающей организацией описании ее системы, были должным образом организованы на указанную дату;
(n) дата заключения, обеспечивающего уверенность, аудитора обслуживающей организации, которая не может предшествовать дате, на которую аудитор обслуживающей организации получил доказательства, на которых основано его мнение;
(o) наименование аудитора обслуживающей организации и местоположение в той юрисдикции, в которой он осуществляет свою деятельность.
54. Применительно к заключениям второго типа заключение аудитора обслуживающей организации, обеспечивающее уверенность, должно включать раздел (после мнения аудитора) или приложение, в котором описаны выполненные тесты средств контроля и их результаты. В описании тестов средств контроля аудитор обслуживающей организации должен четко указать, какие средства контроля были протестированы, отметить, представляют ли собой протестированные средства контроля всю генеральную совокупность или выборку ее элементов, и достаточно подробно описать характер тестов, чтобы аудиторы организации-пользователя могли установить влияние данных тестов на их оценку рисков. В случае выявления отклонений аудитор обслуживающей организации должен включить в описание объем выполненных тестов, в результате которых были выявлены отклонения (в том числе объем выборки, если такая использовалась), количество и характер выявленных отклонений. Аудитор обслуживающей организации должен сообщить об отклонениях, даже если на основе выполненных тестов он приходит к выводу о том, что соответствующая цель внутреннего контроля достигнута (см. пункты A18 и A49).
Модифицированное мнение
55. Если аудитор обслуживающей организации приходит к выводу о том, что (см. пункты A50 - A52):
(a) описание обслуживающей организации не обеспечивает во всех существенных аспектах достоверного представления о том, как система была разработана и внедрена;
(b) средства контроля, относящиеся к целям внутреннего контроля, заявленным в описании, не организованы должным образом во всех существенных аспектах;
(c) применительно к заключениям второго типа: протестированные средства контроля, которые необходимы для получения разумной уверенности в достижении целей внутреннего контроля, заявленных в описании обслуживающей организацией ее системы, не функционировали эффективно во всех существенных аспектах или
(d) аудитор обслуживающей организации не может получить достаточные надлежащие доказательства,
мнение аудитора обслуживающей организации должно быть модифицировано, а его заключение, обеспечивающее уверенность, должно содержать раздел, включающий четкое описание всех причин модификации мнения.
Прочие обязанности по информированию
56. Если аудитору обслуживающей организации становится известно о случаях несоблюдения закона или нормативного акта, о недобросовестных действиях или неисправленных ошибках обслуживающей организации, которые не являются явно незначительными и могут повлиять на одну или несколько организаций-пользователей, аудитор обслуживающей организации должен установить, было ли это обстоятельство доведено до сведения соответствующих организаций-пользователей надлежащим образом. Если информация о таком обстоятельстве не была сообщена должным образом и обслуживающая организация отказывается ее сообщить должным образом, аудитор обслуживающей организации должен принять надлежащие меры (см. пункт A53.).
* * *
Руководство по применению и прочие пояснительные материалы
Сфера применения настоящего стандарта
(см. пункты 1, 3)
A1. Внутренний контроль - это процесс, предназначенный для обеспечения разумной уверенности в достижении целей, относящихся к надежности финансовой отчетности, результативности и эффективности деятельности и соблюдения применимых закона или нормативного акта. Средства контроля, связанные с целями, относящимися к деятельности обслуживающей организации и соблюдению нормативных требований, могут относиться к системе внутреннего контроля организации-пользователя в части составления финансовой отчетности. Такие средства контроля могут относиться к предпосылкам в отношении представления и раскрытия сведений об остатках по счетам, видах операций или раскрытия информации, или же могут иметь отношение к доказательствам, которые аудитор организации-пользователя оценивает или использует при выполнении аудиторских процедур. Например, средства контроля обслуживающей организации в области расчета заработной платы, которые касаются своевременного перечисления удержаний из заработной платы государственным органам, могут оказаться значимыми для организации-пользователя, так как несвоевременное перечисление может повлечь за собой взыскание пеней и штрафов, что приводит к возникновению обязательства у организации-пользователя. Следовательно, средства контроля обслуживающей организации в отношении приемлемости инвестиционных операций с точки зрения соблюдения нормативных требований могут оказаться значимыми для представления и раскрытия информации об операциях и остатках по счетам в финансовой отчетности организации-пользователя. Определение того, являются ли средства контроля обслуживающей организации, связанные с осуществлением деятельности и соблюдением законов и нормативных актов, применимыми для средств контроля организации-пользователя в отношении составления финансовой отчетности, является предметом профессионально суждения, при формировании которого необходимо учитывать цели внутреннего контроля, поставленные обслуживающей организацией, и пригодность соответствующих критериев.
A2. Обслуживающая организация может оказаться не в состоянии утверждать, что система организована надлежащим образом, если, например, обслуживающая организация применяет систему, которая была разработана организацией-пользователем или предусмотрена договором между организацией-пользователем и обслуживающей организацией. Поскольку между надлежащей структурой средств контроля и их операционной эффективностью существует неразрывная связь, отсутствие подтверждения в отношении их надлежащей структуры, вероятно, не позволит аудитору обслуживающей организации сделать вывод о том, что средства контроля обеспечивают разумную уверенность в отношении того, что цели внутреннего контроля достигнуты, и соответственно выразить мнение об операционной эффективности средств контроля. В качестве альтернативы практикующий специалист может принять задание по выполнению согласованных процедур по тестированию средств контроля или задание, обеспечивающее уверенность, в соответствии с МСЗОУ 3000, чтобы на основании результатов тестирования средств контроля сделать вывод о том, функционируют ли они согласно описанию.
Определения
(см. пункты 9(d), 9(g))
A3. Понятие "средства контроля обслуживающей организации" включает в себя характеристики информационных систем организаций-пользователей, которые поддерживает обслуживающая организация, а также может включать аспекты одного или нескольких других компонентов средств контроля обслуживающей организации. Например, оно может включать аспекты контрольной среды обслуживающей организации, ее системы мониторинга и контрольных действий, если они относятся к оказываемым услугам. Однако оно не включает средства контроля обслуживающей организации, не связанные с достижением целей внутреннего контроля, которые заявлены в описании обслуживающей организацией ее системы, например, средства контроля, относящиеся к составлению обслуживающей организацией собственной финансовой отчетности.
A4. При использовании метода включения требования настоящего стандарта также применяются к услугам субподрядчиков обслуживающей организации, включая получение согласия в отношении вопросов, указанных в пунктах 13 (b)(i)-(v), применительно к субподрядчику обслуживающей организации, а не к самой обслуживающей организации. Выполнение процедур в отношении субподрядчика обслуживающей организации предусматривает координацию действий и информационное взаимодействие между обслуживающей организацией, ее субподрядчиком и аудитором обслуживающей организации. Метод включения обычно допустим только в случае, если обслуживающая организация и ее субподрядчик являются связанными сторонами или если договором между обслуживающей организацией и ее субподрядчиком предусмотрено использование этого метода.
Этические требования
(см. пункт 11)
A5. Аудитор обслуживающей организации должен выполнять соответствующие требования независимости, которые обычно включают положения частей А и Б Кодекса СМСЭБ, а также более строгие национальные требования. Кодекс СМСЭБ не требует, чтобы аудитор обслуживающей организации был независимым по отношению к каждой организации-пользователю при выполнении задания в соответствии с настоящим стандартом.
Руководство и лица, отвечающие за корпоративное управление
(см. пункт 12)
A6. Структуры руководства и корпоративного управления различаются в зависимости от юрисдикции и организации, что отражает влияние различий в культурной и правовой среде, а также в размере и структуре собственности. Такое многообразие приводит к невозможности в рамках настоящего стандарта определить для всех заданий лицо или лиц, с которыми аудитор обслуживающей организации должен взаимодействовать по конкретным вопросам. Например, обслуживающая организация может представлять собой не отдельное юридическое лицо, а сегмент сторонней организации. В таких случаях для определения соответствующего руководящего персонала или лиц, отвечающих за корпоративное управление, которым направляется запрос о предоставлении письменных заявлений, может потребоваться применение профессионального суждения.
Принятие и продолжение отношений с клиентами и принятие и выполнение конкретных заданий
Способности и компетенция, необходимые для выполнения задания
(см. пункт 13(a)(i))
A7. Необходимые для выполнения задания возможности и компетенция могут включать следующее:
- знание соответствующей отрасли;
- понимание информационных технологий и систем;
- опыт оценки рисков, связанных с надлежащей структурой средств контроля;
- опыт разработки и выполнения тестов средств контроля, а также оценки результатов.
Подтверждение обслуживающей организации
(см. пункт 13(b)(i))
A8. Отказ обслуживающей организации предоставить подтверждение в письменной форме после того, как аудитор обслуживающей организации согласился принять или продолжить задание, представляет собой ограничение объема работ, которое приводит к отказу аудитора обслуживающей организации от задания. Если в соответствии с законами или нормативными актами аудитор обслуживающей организации не может отказаться от задания, он отказывается от выражения мнения.
Разумное основание для подтверждений обслуживающей организации
(см. пункт 13(b)(ii))
A9. Применительно к заключениям второго типа подтверждение обслуживающей организации включает в себя утверждение о том, что средства контроля, относящиеся к целям внутреннего контроля, указанным в описании обслуживающей организацией ее системы, функционировали эффективно в течение всего указанного периода. Это подтверждение может основываться на данных мониторинга обслуживающей организации. Мониторинг средств контроля - это процесс оценки эффективности средств контроля в течение времени. Он включает в себя регулярную оценку эффективности средств контроля, выявление недостатков и доведение информации о них до сведения соответствующих лиц в обслуживающей организации, а также принятие необходимых корректирующих действий. Обслуживающая организация осуществляет мониторинг средств контроля путем проведения постоянных процедур, выполнения отдельных оценок или путем сочетания этих двух подходов. Чем выше уровень и эффективность постоянного мониторинга, тем меньше необходимость в проведении отдельных оценок. Во многих случаях постоянный мониторинг является частью обычной текущей деятельности обслуживающей организации и включает регулярные управленческие и надзорные действия. Внутренние аудиторы или сотрудники, выполняющие аналогичные функции, могут участвовать в осуществлении мониторинга обслуживающей организацией. При осуществлении мониторинга также может использоваться информация, предоставленная внешними сторонами, например, жалобы клиентов или замечания регулирующих органов. Такая информация может указывать на наличие проблем или на области, которые требуют улучшения. Подготовка аудитором обслуживающей организации заключения об операционной эффективности средств контроля не заменяет собой собственных процессов обслуживающей организации, обеспечивающих разумное основание дня ее подтверждения.
Выявление рисков
(см. пункт 13(b)(iv))
A10. Как указано в пункте 9(c), цели средств контроля связаны с рисками, которые должны быть уменьшены средствами контроля. Например, риск того, что операция может быть отражена в неправильной сумме или в несоответствующем периоде, может быть выражен в качестве цели внутреннего контроля по отражению операций в правильных суммах и в соответствующих периодах. Обслуживающая организация несет ответственность за выявление рисков, угрожающих достижению целей внутреннего контроля, указанных в описании ее системы. Обслуживающая организация может применять формальные или неформальные процессы для выявления соответствующих рисков. Формальный процесс может включать оценку значимости выявленных рисков, вероятности их возникновения и принятие решений о мерах реагирования на риски. Вместе с тем, поскольку цели внутреннего контроля связаны с рисками, которые необходимо снизить с помощью средств контроля, постановка целей внутреннего контроля при разработке и внедрении обслуживающей организацией ее системы сама по себе может включать неформальный процесс выявления соответствующих рисков.
Принятие изменений в условиях задания
(см. пункт 14)
A11. Запрос на изменение объема работ по заданию может не иметь разумного обоснования, например, в случае, когда сделан запрос на исключение определенных целей внутреннего контроля из объема работ по заданию в силу высокой вероятности модификации мнения аудитора обслуживающей организации или когда обслуживающая организация не намерена предоставлять аудитору обслуживающей организации подтверждение в письменной форме и сделан запрос относительно выполнения задания в соответствии с МСЗОУ 3000.
A12. Запрос на изменение объема работ по заданию может иметь разумное обоснование, например, в случае, когда сделан запрос на исключение из задания субподрядчика обслуживающей организации, так как обслуживающая организация не может организовать доступ аудитора, и метод включения, используемый в отношении услуг, предоставляемых субподрядчиком обслуживающей организации, заменяется методом исключения.
Оценка пригодности критериев
(см. пункты 15 - 18)
A13. Критерии должны быть доступны предполагаемым пользователям, чтобы они могли понимать, на чем основано подтверждение обслуживающей организации о достоверном представлении описания ее системы, надлежащем характере структуры средств контроля и (применительно к заключениям второго типа) операционной эффективности средств контроля, относящихся к целям внутреннего контроля.
A14. МСЗОУ 3000 (пересмотренный) требует, чтобы аудитор обслуживающей организации в том числе решил, являются ли критерии пригодными для признания характера оцениваемого предмета задания надлежащим. Предмет задания является основной причиной интереса предполагаемых пользователей к заключению, обеспечивающему уверенность <1>. В таблице ниже приводится предмет задания и минимальный набор критериев для каждого из мнений, содержащихся в заключениях первого и второго типа.
<1> МСЗОУ 3000 (пересмотренный), пункты 24(b) и 41.
Предмет задания | Критерии | Комментарии | |||
Мнение о достоверном представлении описания обслуживающей организацией ее системы (заключения первого и второго типа) | Система обслуживающей организации, которая, вероятно, имеет отношение к системе внутреннего контроля организации-пользователя в отношении подготовки финансовой отчетности и которая рассматривается в заключении аудитора обслуживающей организации, обеспечивающем уверенность. | Описание представлено достоверно, если оно: | Конкретная формулировка критериев для выражения данного мнения может потребовать внесения изменений в целях обеспечения соответствия критериям, установленным, например, законами или нормативными актами, группами пользователей или профессиональной организацией. Иллюстрация критериев для выражения этого мнения приводится в примере подтверждения обслуживающей организации в Приложении 1. Пункты A21 - A24 содержат дополнительные указания по оценке соблюдения данных критериев. (Согласно требованиям МСЗОУ 3000 (пересмотренного) информацией о предмете задания <1> для выражения данного мнения является описание обслуживающей организацией ее системы и подтверждение обслуживающей организации о том, что описание представлено достоверно.) | ||
(a) | содержит информацию о том, как система обслуживающей организации была разработана и внедрена, включая при необходимости вопросы, указанные в пунктах 16 (a)(i) - (viii); | ||||
(b) | применительно к заключениям второго типа: содержит соответствующую информацию об изменениях в системе обслуживающей организации в течение периода, за который предоставляется описание; | ||||
(c) | не содержит пропусков или искажений информации, касающейся области применения описываемой обслуживающей организацией ее системы, при этом признается, что описание подготовлено для общих целей широкого круга организаций-пользователей и, следовательно, может не включать всех аспектов обслуживающей организацией ее системы, которые отдельная организация-пользователь может считать важными в своих конкретных условиях. | ||||
Мнение о надлежащей организации структуры и операционной эффективности (заключения второго типа) | Надлежащая структура и операционная эффективность средств контроля, необходимых для достижения целей внутреннего контроля, заявленных в описании обслуживающей организацией ее системы. | Средства контроля организованы надлежащим образом и эффективно функционируют, если: | Когда соблюдены критерии, установленные для этого мнения, средства контроля обеспечивают разумную уверенность в том, что соответствующие цели внутреннего контроля достигались в течение указанного периода. (Согласно требованиям МСЗОУ 3000 (пересмотренного) информацией о предмете задания для выражения данного мнения является подтверждение обслуживающей организации о том, что средства контроля организованы надлежащим образом и функционируют эффективно.) | Цели внутреннего контроля, указанные в составленном обслуживающей организацией описании ее системы, являются частью критериев для выражения этих мнений. Указанные цели внутреннего контроля будут различными для разных заданий. Если в рамках формирования мнения в отношении описания аудитор обслуживающей организации приходит к выводу о том, что указанные цели внутреннего контроля не представлены достоверно, то эти цели внутреннего контроля не будут входить в состав критериев для формирования мнения в отношении надлежащей структуры или операционной эффективности средств контроля. | |
(a) | обслуживающая организация выявила риски, угрожающие достижению целей внутреннего контроля, которые были заявлены в описании ее системы; | ||||
(b) | средства контроля, указанные в описании, обеспечивают (при их применении согласно описанию) разумную уверенность в том, что эти риски не препятствуют достижению заявленных целей внутреннего контроля; | ||||
(c) | средства контроля последовательно применялись так, как предусмотрено при их разработке, в течение указанного периода. Это включает определение того, применялись ли неавтоматизированные средства контроля физическими лицами, имеющими соответствующую компетенцию и полномочия. | ||||
Мнение о надлежащей организации структуры (заключения первого типа) | Надлежащая структура средств контроля, необходимых для достижения цепей внутреннего контроля, заявленных в описании обслуживающей организацией ее системы. | Средства контроля организованы надлежащим образом, если: | Соблюдение этих критериев само по себе не обеспечивает уверенности в том, что соответствующие цели средств контроля были достигнуты, так как не было получено уверенности в отношении функционирования средств контроля. (Согласно требованиям МСЗОУ 3000 (пересмотренного) информацией о предмете задания для выражения данного мнения является подтверждение обслуживающей организации о том, что средства контроля организованы надлежащим образом.) | ||
(a) | обслуживающая организация выявила риски, угрожающие достижению целей внутреннего контроля, которые были заявлены в описании ее системы; | ||||
(b) | средства контроля, указанные в описании, обеспечивают (при их функционировании согласно описанию) разумную уверенность в том, что эти риски не препятствуют достижению заявленных целей внутреннего контроля. |
<1> Информация о предмете задания - это результат количественной или качественной оценки оцениваемого предмета задания на основе применения критериев к предмету задания, то есть информация, получаемая как результат применения критериев к оцениваемому предмету задания.
A15. Пункт 16(a) определяет ряд элементов, которые включаются в описание обслуживающей организацией ее системы в случае необходимости. Эти элементы могут оказаться неподходящими, если описываемая система не является системой по обработке операций, например, если система относится к общим средствам контроля в области размещения (хостинга) ИТ-приложений, а не к средствам контроля, встроенным в само приложение.
Существенность
(см. пункты 19, 54)
A16. При выполнении задания с предоставлением заключения о средствах контроля обслуживающей организации принцип существенности относится к системе, в отношении которой предоставляется заключение, а не к финансовой отчетности организаций-пользователей. Аудитор обслуживающей организации планирует и выполняет процедуры так, чтобы определить, достоверно ли представлено во всех существенных аспектах описание обслуживающей организацией ее системы, организованы ли надлежащим образом во всех существенных аспектах средства контроля обслуживающей организации и (применительно к заключениям второго типа) функционируют ли эффективно во всех существенных аспектах средства контроля обслуживающей организации. Принцип существенности учитывает тот факт, что заключение аудитора обслуживающей организации, обеспечивающее уверенность, предоставляет информацию о системе обслуживающей организации, которая удовлетворяет общим требованиям широкого круга организаций-пользователей и их аудиторов, у которых есть понимание того, каким образом эта система используется.
A17. Существенность в отношении достоверного представления описания обслуживающей организацией ее системы и в отношении структуры средств контроля прежде всего предполагает анализ качественных факторов, например: включает ли описание значительные сведения об обработке существенных операций, не содержит ли описание пропусков или искажений соответствующей информации и могут ли средства контроля (при их существующей структуре) обеспечить разумную уверенность в том, что цели средств контроля будут достигнуты. Существенность в отношении мнения аудитора обслуживающей организации об операционной эффективности средств контроля предполагает рассмотрение как качественных, так и количественных факторов, таких как допустимая норма отклонения и наблюдаемое отклонение (количественный показатель) и характер и причины наблюдаемого отклонения (качественный показатель).
A18. Принцип существенности не применяется, если в описании тестов средств контроля раскрываются результаты тех тестов, в которых были выявления отклонения. Это вызвано тем, что в определенных обстоятельствах, в которых оказывается конкретная организация-пользователь или ее аудитор, отклонение может быть значимым независимо от того, препятствует оно эффективному функционированию средства контроля или не препятствует, по мнению аудитора обслуживающей организации. Например, средство контроля, к которому относится отклонение, может иметь особое значение для предотвращения ошибок определенного вида, которые могут быть существенными, в конкретных обстоятельствах финансовой отчетности организации-пользователя.
Получение понимания обслуживающей организацией ее системы
(см. пункт 20)
A19. Получение понимания обслуживающей организацией ее системы, включая соответствующие средства контроля, которые входят в объем работ по заданию, помогает аудитору обслуживающей организации:
- в определении границ этой системы и того, как она взаимодействует с другими системами;
- оценке того, представляет ли достоверно описание обслуживающей организации разработанную и внедренную систему;
- определении того, какие средства контроля необходимы для достижения целей внутреннего контроля, заявленных в описании обслуживающей организацией ее системы;
- определении того, какие средства контроля необходимы для достижения целей внутреннего контроля, заявленных в описании обслуживающей организацией ее системы;
- оценке надлежащей организации средств контроля;
- оценке операционной эффективности средств контроля (применительно к заключениям второго типа).
A20. Процедуры, применяемые аудитором обслуживающей организации для такого изучения, могут включать в себя следующее:
- направление запросов тем лицам обслуживающей организации, которые, по мнению аудитора обслуживающей организации, могут иметь соответствующую информацию;
- наблюдение за операциями и инспектирование документов, отчетов, распечатанных и электронных записей об обработке операций;
- инспектирование выбранных договоров между обслуживающей организацией и организациями-пользователями с целью выявления общих условий;
- повторное выполнение процедур контроля.
Получение доказательств в отношении описания
(см. пункты 21 - 22)
A21. Рассмотрение следующих вопросов может помочь аудитору обслуживающей организации определить, достоверно ли во всех существенных аспектах представлены те аспекты описания, которые включены в объем работ по заданию:
- включает ли описание основные аспекты предоставляемых услуг (в рамках объема работ по заданию), которые, как это обоснованно можно предположить, могут соответствовать общим потребностям широкого круга аудиторов организаций-пользователей при планировании аудита финансовой отчетности организаций-пользователей;
- подготовлено ли описание на таком уровне детализации, который, как это можно достаточно обоснованно предположить, предоставит широкому кругу аудиторов организаций-пользователей информацию, достаточную для понимания средств контроля в соответствии с МСА 315 (пересмотренным) <1>. Описание не должно охватывать все аспекты процесса обработки в обслуживающей организации или услуг, предоставляемых организациям-пользователям, и не должно быть настолько детализированным, чтобы пользователь, ознакомившийся с описанием, мог поставить под угрозу систему безопасности или другие средства контроля обслуживающей организации;
<1> МСА 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения".
- подготовлено ли описание таким образом, чтобы не пропустить и не исказить информацию, которая может влиять на общие потребности широкого круга аудиторов организаций-пользователей для целей принятия решений, например, содержит ли описание значительные пропуски или неточности в обработке, о которых известно аудитору обслуживающей организации;
- в тех случаях, когда отдельные цели внутреннего контроля, заявленные в описании обслуживающей организацией ее системы, были исключены из объема работ по заданию, четко ли определены в описании исключенные цели;
- были ли внедрены средства контроля, указанные в описании;
- надлежащим ли образом описаны дополнительные средства контроля в организации-пользователе, если такие имеются. В большинстве случаев описание целей внутреннего контроля формулируется таким образом, что цели внутреннего контроля могут быть достигнуты одной только обслуживающей организацией путем эффективного использования внедренных средств контроля. Тем не менее в некоторых случаях цели внутреннего контроля, указанные в описании обслуживающей организацией ее системы, не могут быть достигнуты только обслуживающей организацией, так как их достижение требует внедрения определенных средств контроля организациями-пользователями. Например, это те случаи, когда цели внутреннего контроля устанавливаются регулирующим органом. Если описание не включает дополнительные средства контроля в организации-пользователе, то в описании отдельно выделяются те средства контроля вместе с конкретными целями внутреннего контроля, которые не могут быть достигнуты обслуживающей организацией самостоятельно;
- при использовании метода включения: указываются ли в описании отдельно средства контроля обслуживающей организации и средства контроля субподрядчика обслуживающей организации. При использовании метода исключения: указываются ли в описании функции, выполняемые субподрядчиком обслуживающей организации. Если применяется метод исключения, то описание не должно содержать детальную информацию о процессе обработки или средствах контроля субподрядчика обслуживающей организации.
A22. Процедуры, выполняемые аудитором обслуживающей организации дня оценки достоверного представления описания, могут включать следующее:
- рассмотрение характера организаций-пользователей, а также возможного влияния на него услуг, предоставляемых обслуживающей организацией, например, относятся ли организации-пользователи к определенной отрасли и регулируется ли их деятельность государственными органами;
- ознакомление со стандартными договорами или стандартными условиями договоров с организациями-пользователями, если применимо, для получения понимания договорных обязательств обслуживающей организации;
- наблюдение за процедурами, выполняемыми персоналом обслуживающей организации;
- анализ внутренних регламентов и руководств и другой системной документации обслуживающей организации, например, блок-схем и описаний.
A23. Согласно пункту 21(a) аудитор обслуживающей организации должен оценить, являются ли цели внутреннего контроля, заявленные в описании обслуживающей организацией ее системы, обоснованными в конкретных обстоятельствах. Рассмотрение следующих вопросов может помочь аудитору обслуживающей организации в проведении такой оценки:
- были ли заявленные цели средств контроля установлены обслуживающей организацией или внешними сторонами, например, регулирующими органами, группой пользователей или профессиональной организацией, в рамках установленной прозрачной процедуры;
- в тех случаях, когда заявленные цели внутреннего контроля устанавливаются обслуживающей организацией, относятся ли они к типам предпосылок, которые обычно используются в финансовой отчетности широкого круга организаций-пользователей и к которым, как можно обоснованно предположить, могут относиться средства контроля обслуживающей организации. Несмотря на то, что аудитор обслуживающей организации обычно не может определить, как именно средства контроля обслуживающей организации связаны с предпосылками, использованными в финансовой отчетности отдельных организаций-пользователей, понимание аудитором обслуживающей организации характера системы обслуживающей организации, включая средства контроля, а также предоставляемых услуг используется для определения типов предпосылок, к которым, вероятно, относятся указанные средства контроля;
- в тех случаях, когда заявленные цели внутреннего контроля устанавливаются обслуживающей организацией, являются ли они полными. Полный перечень целей средств контроля может предоставить широкому кругу аудиторов организаций-пользователей основу для оценки влияния средств контроля обслуживающей организации на предпосылки, которые являются неотъемлемой частью финансовой отчетности организаций-пользователей.
A24. Процедуры, которые аудитор обслуживающей организации применяет для того, чтобы определить, была ли внедрена система обслуживающей организации, могут быть похожи на процедуры по получению понимания этой системы и выполняться вместе с ними. Они также могут предусматривать отслеживание элементов выборки в системе обслуживающей организации, а применительно к заключениям второго типа предусматривать специальные запросы об изменениях в средствах контроля, которые были внедрены в течение периода. Изменения, которые являются значительными для организаций-пользователей или их аудиторов, включаются в описание обслуживающей организацией ее системы.
Получение доказательств в отношении структуры средств контроля
(см. пункты 23, 28(b))
A25. С точки зрения организации-пользователя или аудитора организации-пользователя, средство контроля организовано надлежащим образом, если в отдельности или в совокупности с другими средствами контроля оно будет при соответствующем выполнении требований обеспечивать разумную уверенность в том, что существенные искажения не допускаются или выявляются и устраняются. Обслуживающей организации или аудитору обслуживающей организации, однако, неизвестно об обстоятельствах отдельных организаций-пользователей, которые определяют, является ли искажение, возникающее в результате отклонения в функционировании средства контроля, существенным для этих организаций-пользователей. Следовательно, с точки зрения аудитора обслуживающей организации, средство контроля организовано надлежащим образом, если в отдельности или в совокупности с другими средствами контроля оно при соответствующем выполнении требований обеспечивает разумную уверенность в том, что цели внутреннего контроля, указанные в описании обслуживающей организации ее системы, достигнуты.
A26. Аудитор обслуживающей организации может рассмотреть возможность использования блок-схем, опросников или таблиц решений в целях изучения структуры средств контроля.
A27. Средства контроля могут включать в себя несколько действий, направленных на достижение цели внутреннего контроля. Следовательно, если аудитор обслуживающей организации оценивает отдельные действия как неэффективные для достижения определенной цели внутреннего контроля, наличие других действий может позволить ему сделать вывод о том, что средства контроля, относящиеся к данной цели внутреннего контроля, организованы надлежащим образом.
Получение доказательств в отношении операционной эффективности средств контроля
Оценка операционной эффективности
(см. пункт 24)
A28. С точки зрения организации-пользователя или аудитора организации-пользователя, средство контроля функционирует эффективно, если в отдельности или в совокупности с другими средствами контроля оно обеспечивает разумную уверенность в том, что существенные искажения, вызванные недобросовестными действиями или ошибками, не допускаются или выявляются и устраняются. Обслуживающей организации или аудитору обслуживающей организации, однако, неизвестно об обстоятельствах отдельных организаций-пользователей, которые определяют, возникло ли в результате отклонения в функционировании средства контроля искажение, а если это произошло, то является ли оно существенным. Следовательно, с точки зрения аудитора обслуживающей организации, средство контроля функционирует эффективно, если в отдельности или в совокупности с другими средствами контроля оно обеспечивает разумную уверенность в том, что цели внутреннего контроля, заявленные в описании обслуживающей организации ее системы, достигнуты. Таким образом, обслуживающая организация или аудитор обслуживающей организации не в состоянии определить, приведет ли какое-либо отклонение, наблюдаемое в работе средства контроля, к существенному искажению с точки зрения отдельной организации-пользователя.
A29. Получение понимания в отношении средств контроля в объеме, достаточном для выражения мнения о надлежащем характере их структуры, не является достаточным доказательством их операционной эффективности, за исключением случаев применения автоматизированных систем, которые обеспечивают последовательное функционирование средств контроля таким образом, как предполагалось при их разработке и внедрении. Например, получение информации о внедрении ручного средства контроля на определенный момент не является доказательством его функционирования в другие периоды. Однако в силу последовательности, присущей обработке с помощью систем информационных технологий, выполнение процедур для определения структуры автоматизированных средств контроля и факта их внедрения может служить доказательством операционной эффективности таких средств контроля в зависимости от оценки и тестирования аудитором обслуживающей организации других средств контроля, например, средств контроля за внесением изменений в программы.
A30. Заключение второго типа, приемлемое для аудитора организации-пользователя, обычно охватывает период не менее шести месяцев. Если период составляет менее шести месяцев, аудитор обслуживающей организации может счесть целесообразным указать причины использования более короткого периода в заключении аудитора обслуживающей организации, обеспечивающем уверенность. Обстоятельства, которые могут привести к предоставлению заключения, охватывающего период менее шести месяцев, включают следующее: (a) аудитор обслуживающей организации был назначен незадолго до даты, на которую должно быть предоставлено заключение о системе внутреннего контроля, (b) срок работы обслуживающей организации (или определенной системы или приложения) составляет менее шести месяцев или (c) в системе внутреннего контроля были произведены значительные изменения, и нецелесообразно ждать шесть месяцев, чтобы выпустить заключение, или выпустить заключение, характеризующее систему по состоянию до и после изменений.
A31. Некоторые процедуры контроля, которые могут быть протестированы на более позднюю дату могут не оставлять доказательств своего функционирования, и, следовательно, аудитор обслуживающей организации может счесть необходимым провести тестирование операционной эффективности таких процедур контроля в различные моменты в течение отчетного периода.
A32. Аудитор обслуживающей организации выражает мнение в отношении операционной эффективности средств контроля в течение каждого периода. Следовательно, для того, чтобы аудитор обслуживающей организации выразил свое мнение, необходимы достаточные надлежащие доказательства в отношении функционирования средств контроля в течение текущего периода. Информация об отклонениях, наблюдавшихся при выполнении предыдущих заданий, может, однако, привести к тому, что аудитор обслуживающей организации расширит объем тестирования в текущем периоде.
Тестирование средств косвенного контроля
(см. пункт 25(b))
A33. В некоторых случаях может возникнуть необходимость получения доказательств в отношении эффективного функционирования средств косвенного контроля. Например, когда аудитор обслуживающей организации принимает решение провести тестирование эффективности проверки отчетов о расхождениях по продажам, превышающим установленные кредитные лимиты, такая проверка и последующие меры представляют собой средство контроля, которое имеет непосредственное значение для аудитора обслуживающей организации. Средства контроля за точностью информации, содержащейся в отчетах (например, общие средства контроля информационных технологий), квалифицируются как средства косвенного контроля.
A34. В силу последовательности, присущей обработке с помощью ИТ-систем, доказательства в отношении внедрения автоматизированного прикладного средства контроля, когда они рассматриваются в совокупности с доказательствами в отношении операционной эффективности общих средств контроля обслуживающей организации (в частности, контроля за внесением изменений), также могут представлять собой существенные доказательства их операционной эффективности.
Средства отбора элементов для тестирования
(см. пункты 25(c), 27)
A35. Аудитор обслуживающей организации может использовать следующие средства отбора элементов для тестирования:
(a) выбор всех элементов (сплошная проверка). Этот способ может быть целесообразен дня тестирования средств контроля, которые применяются редко, например, ежеквартально, или в случаях, когда доказательства в отношении применения средств контроля делают проверку эффективной на 100%;
(b) выбор конкретных элементов. Этот способ может быть целесообразен в случаях, когда сплошная проверка и выборка не будут эффективными, например, при тестировании средств контроля, которые не применяются достаточно часто, чтобы создать большую генеральную совокупность для выборки (например, средства контроля, которые применяются ежемесячно или еженедельно);
(c) выборка. Этот способ может быть целесообразен для тестирования средств контроля, которые применяются часто и единообразно и для которых имеются документальные доказательства их применения.
A36. Хотя выборочная проверка конкретных элементов часто является эффективным средством получения доказательств, она не представляет собой выборку. Результаты выполнения процедур в отношении выбранных таким образом элементов не могут быть распространены на всю генеральную совокупность, следовательно, выборочная проверка определенных элементов не является доказательством в отношении остальной части генеральной совокупности. Выборка же, напротив, предназначена для того, чтобы делать выводы в отношении всей генеральной совокупности на основании тестирования взятой из нее выборочной совокупности.
Работа службы внутреннего аудита
Получение понимания в отношении службы внутреннего аудита
(см. пункт 30)
A37. Служба внутреннего аудита может нести ответственность за проведение анализа, оценок, обеспечение уверенности, предоставление рекомендаций и иной информации руководству и лицам, отвечающим за корпоративное управление. Служба внутреннего аудита обслуживающей организации может осуществлять деятельность, связанную с собственной системой внутреннего контроля обслуживающей организации или с услугами и системами, включая средства контроля, которые обслуживающая организация предоставляет организациям-пользователям.
Определение возможности и объема использования работы внутренних аудиторов
(см. пункт 33)
A38. При определении ожидаемого влияния работы внутренних аудиторов на характер, сроки или объемы процедур аудитора обслуживающей организации следующие факторы могут указывать на необходимость проведения других или менее детальных процедур, чем требовалось бы в иных обстоятельствах:
- характер и объем определенной работы, которая была или должна быть выполнена внутренними аудиторами, довольно ограничен;
- работа внутренних аудиторов касается средств контроля, которые имеют меньшее значение для выводов аудитора обслуживающей организации;
- работа, которая была выполнена или должна быть выполнена внутренними аудиторами, не требует субъективных или сложных суждений.
Использование работы службы внутреннего аудита
(см. пункт 34)
A39. Характер, сроки и объемы процедур аудитора обслуживающей организации в отношении определенной работы внутренних аудиторов зависят от оценки аудитором обслуживающей организации значимости этой работы для его выводов (например, значимость рисков, которые должны быть снижены с помощью тестируемых средств контроля), оценки службы внутреннего аудита и определенной работы внутренних аудиторов. Такие процедуры могут включать:
- анализ элементов, уже проверенных внутренними аудиторами;
- проверку других аналогичных элементов;
- наблюдение за выполнением процедур внутренними аудиторами.
Влияние на заключение, обеспечивающее уверенность, аудитора обслуживающей организации
(см. пункты 36 - 37)
A40. Независимо от степени автономности и объективности службы внутреннего аудита, такая служба не является независимой от обслуживающей организации, как это требуется от аудитора обслуживающей организации при выполнении задания. Аудитор обслуживающей организации несет единоличную ответственность за мнение, выраженное в заключении аудитора обслуживающей организации, обеспечивающем уверенность, и эта ответственность не уменьшается при использовании аудитором обслуживающей организации работы внутренних аудиторов.
A41. Описание аудитором обслуживающей организации работы, выполненной службой внутреннего аудита, может быть представлено несколькими способами, например:
- путем включения вводной части в описание тестов средств контроля с указанием того, что при выполнении тестов средств контроля использовалась определенная работа, выполненная службой внутреннего аудита;
- указания на то, что отдельные тесты выполнены службой внутреннего аудита.
Письменные заявления
(см. пункты 38, 40)
A42. Письменные заявления, которые запрашиваются согласно пункту 38, предоставляются отдельно от подтверждения обслуживающей организации и в дополнение к нему, как определено в пункте 9(o).
A43. Если обслуживающая организация не предоставляет письменных заявлений, запрошенных в соответствии с пунктом 38(c) настоящего стандарта, то может быть целесообразно модифицировать мнение аудитора обслуживающей организации в соответствии с пунктом 55(d) настоящего стандарта.
Прочая информация
(см. пункт 42)
A44. В соответствии с требованиями Кодекса СМСЭБ аудитор обслуживающей организации не должен ассоциироваться с информацией, если он считает, что информация:
(a) содержит существенное ложное утверждение или утверждения, вводящие в заблуждение;
(b) содержит небрежно подготовленные утверждения или сведения;
(c) содержит пропуски или затрудняет понимание подлежащих включению сведений, если эти пропуски и нечеткие формулировки могут вводить в заблуждение <1>.
<1> Кодекс СМСЭБ, пункт 110.2.
Если прочая информация, включенная в документ, содержащий описание обслуживающей организацией ее системы и заключение аудитора обслуживающей организации, обеспечивающее уверенность, содержит сведения, относящиеся к будущим периодам, например, планы мероприятий по восстановлению, или планы действий в аварийных ситуациях, или планы внесения изменений в систему, которые касаются отклонений, выявленных в заключении аудитора обслуживающей организации, обеспечивающем уверенность, или заявления, носящие рекламный характер, которые нельзя обоснованно подтвердить, аудитор обслуживающей организации может потребовать удалить или изменить данную информацию.
A45. В том случае, если обслуживающая организация отказывается удалить или изменить эту прочую информацию, могут быть уместными такие действия, как:
- обращение к обслуживающей организации с просьбой проконсультироваться со своими юристами относительно надлежащего плана действий;
- описание в заключении, обеспечивающем уверенность, существенного несоответствия или существенного искажения факта;
- приостановка предоставления заключения, обеспечивающего уверенность, до момента разрешения вопроса;
- отказ от задания.
Документация
(см. пункт 51)
A46. В соответствии с МСКК 1 либо другими профессиональными требованиями, а также требованиями закона или нормативного акта, если они содержат не менее строгие требования, чем МСКК 1, организации должны устанавливать политику и процедуры для своевременного завершения формирования файлов по заданию. Как правило, надлежащий срок для завершения формирования окончательного аудиторского файла составляет не более 60 дней с даты заключения, обеспечивающего уверенность, аудитора обслуживающей организации <1> <2>.
<1> МСКК 1, пункт 45.
<2> МСКК 1, пункт A54.
Подготовка заключения, обеспечивающего уверенность, аудитором обслуживающей организации
Содержание заключения, обеспечивающего уверенность, аудитора обслуживающей организации
(см. пункт 53)
A47. В Приложениях 1 и 2 приведены примеры заключений аудитора обслуживающей организации, обеспечивающих уверенность, и соответствующих подтверждений обслуживающих организаций.
Предполагаемые пользователи и цели заключения, обеспечивающего уверенность, аудитора обслуживающей организации
(см. пункт 53(e))
A48. Критерии, используемые при выполнении задания для предоставления заключения о средствах контроля обслуживающей организации, применимы только для целей предоставления информации о системе обслуживающей организации (включая средства контроля) тем лицам, которые понимают, каким образом система использовалась организациями-пользователями для подготовки финансовой отчетности. Соответствующее указание включается в заключение аудитора обслуживающей организации, обеспечивающее уверенность. Кроме того, аудитор обслуживающей организации может счесть целесообразным включить формулировку, которая, в частности, ограничивает распространение заключения по заданию, обеспечивающему уверенность, кругом предполагаемых пользователей, а также ограничивает его использование иными лицами или в других целях.
Описание тестов средств контроля
(см. пункт 54)
A49. Для содействия пользователям целесообразно, чтобы аудитор обслуживающей организации при описании характера тестов средств контроля для заключения второго типа включил в заключение, обеспечивающее уверенность, следующее:
- результаты всех тестов, в которых были выявлены отклонения, даже если были выявлены другие средства контроля, позволяющие аудитору обслуживающей организации сделать вывод о том, что соответствующая цель внутреннего контроля достигнута, или если протестированное средство контроля впоследствии было исключено из описания обслуживающей организацией ее системы;
- информацию о факторах, послуживших причиной выявленных отклонений, если аудитор обслуживающей организации выявил такие факторы.
Модифицированные мнения
(см. пункт 55)
A50. В Приложении 3 приведены примеры элементов модифицированных заключений аудитора обслуживающей организации, обеспечивающих уверенность.
A51. Даже если аудитор обслуживающей организации выразил отрицательное мнение или отказался от выражения мнения, может быть целесообразным описать в разделе "Основание для выражения модифицированного мнения" причины любых известных ему прочих факторов, которые могли бы потребовать модификации мнения, и их последствия.
A52. В случае отказа от выражения мнения на основании ограничения объема работ по заданию обычно нецелесообразно описывать выполненные процедуры или включать указания на заявления, отражающие характеристики выполненного аудитором обслуживающей организации задания, так как это может отвлечь внимание от отказа от выражения мнения.
Прочие обязанности по информированию
(см. пункт 56)
A53. В случае наступления обстоятельств, описанных в пункте 56, надлежащие ответные меры могут включать:
- получение юридической консультации относительно последствий различных планов действий;
- информирование лиц, отвечающих за корпоративное управление обслуживающей организации;
- информирование третьих сторон (например, регулирующего органа), когда это необходимо;
- модифицирование мнения аудитора обслуживающей организации или добавление раздела "Прочие сведения";
- отказ от задания.
ПРИМЕРЫ ПОДТВЕРЖДЕНИЙ ОБСЛУЖИВАЮЩЕЙ ОРГАНИЗАЦИИ
Указанные ниже примеры подтверждений обслуживающей организации приводятся исключительно в качестве общих указаний и не являются исчерпывающими или применимыми к любым ситуациям.
Пример 1. Подтверждение обслуживающей организации второго типа
Подтверждение обслуживающей организации
Прилагаемое описание подготовлено для клиентов, которые использовали систему [тип или название], и их аудиторов, обладающих достаточными знаниями для того, чтобы учесть описание вместе с прочей информацией, включая сведения о средствах контроля, используемых самими клиентами, при оценке рисков существенного искажения финансовой отчетности клиентов. [Название организации] подтверждает следующее:
(a) Прилагаемое описание на страницах [bb-cc] достоверно отражает систему [тип или название] обработки операций клиентов в течение периода с [дата] по [дата]. Критерии, использованные при составлении данного подтверждения, заключались в том, что прилагаемое описание:
(i) отражает то, как система была разработана и внедрена, в том числе:
- виды предоставленных услуг, включая при необходимости виды обработанных операций;
- процедуры как в рамках использования систем информационных технологий, так и неавтоматизированных систем, с помощью которых операции инициируются, учитываются, обрабатываются, корректируются по мере необходимости и переносятся в заключения, составляемые для клиентов;
- соответствующие данные бухгалтерского учета, подтверждающая информация и определенные счета, которые использовались для инициирования, учета, обработки и отчетов по операциям, в том числе для корректировки неправильной информации и процесса переноса информации в заключения, подготовленные для клиентов;
- то, как система учитывает значительные события и условия, не являющиеся операциями;
- процесс, используемый для подготовки заключений для клиентов;
- соответствующие цели внутреннего контроля и средства контроля, предназначенные для достижения этих целей;
- средства контроля, которые, как мы предполагаем, исходя из структуры системы, будут внедрены организациями-пользователями и которые, в случае необходимости достижения целей внутреннего контроля, указанных в прилагаемом описании, определены в описании вместе с соответствующими целями внутреннего контроля, которые не могут быть достигнуты нами самостоятельно;
- другие аспекты нашей контрольной среды, процесс оценки рисков, информационная система (включая соответствующие бизнес-процессы) и информационное взаимодействие, контрольные действия и мониторинг средств контроля, которые имели отношение к обработке операций клиентов и их отражению в заключениях;
(ii) включает соответствующую информацию об изменениях в системе обслуживающей организации в течение периода с [дата] по [дата].
(iii) не содержит пропусков или искажений информации, касающейся области применения описываемой системы, с учетом того, что описание готовится для удовлетворения общих потребностей широкого круга клиентов и их аудиторов и, следовательно, может не включать всех аспектов системы, которые каждый отдельный клиент может счесть важными в конкретных условиях.
(b) Средства контроля, относящиеся к целям внутреннего контроля, заявленным в прилагаемом описании, были надлежащим образом организованы и эффективно функционировали в течение периода с [дата] по [дата]. Критерии, использованные при составлении данного подтверждения, заключались в том, что:
(i) риски, которые угрожали достижению целей внутреннего контроля, заявленных в описании, были выявлены;
(ii) указанные средства контроля (при их применении согласно описанию) обеспечивают разумную уверенность в том, что эти риски не препятствуют достижению заявленных целей внутреннего контроля;
(iii) средства контроля последовательно применялись, как предполагалось при их разработке, в том числе ручные средства контроля осуществлялись лицами, обладающими надлежащей компетенцией и необходимыми полномочиями, в течение периода с [дата] по [дата].
Пример 2. Подтверждение обслуживающей организации первого типа
Прилагаемое описание подготовлено для клиентов, которые использовали систему [тип или название], и их аудиторов, обладающих достаточными знаниями для того, чтобы учесть описание вместе с прочей информацией, включая сведения о средствах контроля, используемых самими клиентами, при изучении информационных систем клиентов, применимых к финансовой отчетности. [Название организации] подтверждает следующее:
(a) Прилагаемое описание на страницах [bb-cc] достоверно отражает систему [тип или название] обработки операций клиентов по состоянию на [дата]. Критерии, использованные при составлении данного подтверждения, заключались в том, что прилагаемое описание:
(i) отражает то, как система была разработана и внедрена, в том числе:
- виды предоставленных услуг, включая при необходимости виды обработанных операций;
- процедуры как в рамках использования систем информационных технологий, так и неавтоматизированных систем, с помощью которых операции инициируются, учитываются, обрабатываются, корректируются по мере необходимости и переносятся в заключения, составляемые для клиентов;
- соответствующие данные бухгалтерского учета, подтверждающая информация и определенные счета, которые использовались для инициирования, учета, обработки и отчетов по операциям, в том числе для корректировки неправильной информации и процесса переноса информации в заключения, подготовленные для клиентов;
- то, как система учитывает значительные события и условия, не являющиеся операциями;
- процесс, используемый для подготовки заключений для клиентов;
- соответствующие цели внутреннего контроля и средства контроля, предназначенные для достижения этих целей;
- средства контроля, которые, как мы предполагаем, исходя из структуры системы, будут внедрены организациями-пользователями и которые, в случае необходимости достижения целей внутреннего контроля, указанных в прилагаемом описании, определены в описании вместе с соответствующими целями внутреннего контроля, которые не могут быть достигнуты нами самостоятельно;
- другие аспекты нашей контрольной среды, процесс оценки рисков, информационная система (включая соответствующие бизнес-процессы) и информационное взаимодействие, контрольные действия и мониторинг средств контроля, которые имели отношение к обработке операций клиентов и их отражению в заключениях;
(ii) не содержит пропусков или искажений информации, касающейся области применения описываемой системы, с учетом того, что описание готовится для удовлетворения общих потребностей широкого круга клиентов и их аудиторов и, следовательно, может не включать всех аспектов системы, которые каждый отдельный клиент может счесть важными в конкретных условиях.
(b) Средства контроля, относящиеся к целям внутреннего контроля, заявленным в прилагаемом описании, были надлежащим образом организованы по состоянию на [дата]. Критерии, использованные при составлении данного подтверждения, заключались в том, что:
(i) риски, которые угрожали достижению целей внутреннего контроля, заявленных в описании, были выявлены;
(ii) указанные средства контроля (при их применении согласно описанию) обеспечивают разумную уверенность в том, что эти риски не препятствуют достижению заявленных целей средств контроля.
Приложение 2
ПРИМЕРЫ ЗАКЛЮЧЕНИЙ АУДИТОРА ОБСЛУЖИВАЮЩЕЙ ОРГАНИЗАЦИИ, ОБЕСПЕЧИВАЮЩИХ УВЕРЕННОСТЬ
Указанные ниже примеры заключений приводятся исключительно в качестве общих указаний и не являются исчерпывающими или применимыми к любым ситуациям.
Пример 1. Заключение аудитора обслуживающей организации, обеспечивающее уверенность, второго типа
Заключение независимого аудитора обслуживающей организации, обеспечивающее уверенность, в отношении описания, структуры и операционной эффективности средств контроля
Кому: обслуживающей организации XYZ
Объем работ
Мы были привлечены для предоставления заключения о подготовленном обслуживающей организацией XYZ описании ее системы [тип или название] для обработки операций клиентов за период с [дата] по [дата], представленном на страницах [bb-cc] (далее - описание), и в отношении структуры и функционирования средств контроля, относящихся к целям внутреннего контроля, заявленным в описании. <1>
<1> Если некоторые элементы описания не включены в объем работ по заданию, это четко отражается в заключении, обеспечивающем уверенность.
Ответственность обслуживающей организации XYZ
Обслуживающая организация XYZ несет ответственность за подготовку описания и прилагаемого подтверждения, изложенного на странице [аа], включая полноту, точность и метод представления описания и заявления; оказание услуг, заявленных в описании; указание целей внутреннего контроля, а также за разработку, внедрение и операционную эффективность средств контроля для достижения указанных целей внутреннего контроля.
Наш независимость и контроль качества
Мы заявляем о том, что нами соблюдены требование независимости и другие этические требования Кодекса этики профессиональных бухгалтеров, выпущенного Советом по международным стандартам этики для бухгалтеров, основанного на фундаментальных принципах честности, объективности, профессиональной компетентности и должной тщательности, конфиденциальности и профессионального поведения.
Аудиторская организация применяет Международный стандарт контроль качества 1 <1> и, следовательно, внедрила и поддерживает систему контроля качества, включающую документально оформленную политику и процедуры соблюдения этических требований, профессиональные стандарты и применимые законодательные и нормативные требования.
<1> МСКК 1, "Контроль качества в аудиторских организациях, проводящих аудит и обзорные проверки финансовой отчетности, а также выполняющих прочие задания, обеспечивающие уверенность, и задания по оказанию сопутствующих услуг".
Ответственность аудитора обслуживающей организации
Наша ответственность заключается в выражении мнения об описании, подготовленном обслуживающей организацией XYZ, а также структуре и функционировании средств контроля, относящихся к целям внутреннего контроля, заявленным в данном описании, на основании выполненных нами процедур. Мы выполняли наше задание в соответствии с Международным стандартом заданий, обеспечивающих уверенность (МСЗОУ) 3402 "Заключение аудитора обслуживающей организации, обеспечивающее уверенность, о средствах контроля обслуживающей организации", выпущенным Советом по международным стандартам аудита и заданий, обеспечивающих уверенность. Этот стандарт требует от нас планирования и проведения наших процедур таким образом, чтобы получить разумную уверенность в том, что описание представлено во всех существенных аспектах достоверно и средства контроля надлежащим образом организованы и функционируют эффективно.
Задание, обеспечивающее уверенность, с предоставлением заключения в отношении описания, структуры и операционной эффективности средств контроля обслуживающей организации включает проведение процедур, направленных на получение доказательств, подтверждающих раскрытия информации в описании обслуживающей организацией ее системы, а также структуру и операционную эффективность средств контроля. Выбор процедур зависит от суждения аудитора обслуживающей организации и включает оценку рисков того, что описание не представлено достоверно и средства контроля не организованы надлежащим образом и не функционируют эффективно. Наши процедуры включали тестирование операционной эффективности тех средств контроля, которые мы сочли необходимыми для обеспечения разумной уверенности в том, что цели внутреннего контроля, заявленные в описании, достигнуты. Задание этого типа, обеспечивающее уверенность, также включает в себя оценку общего представления описания, надлежащего характера заявленных в нем целей и пригодности критериев, указанных обслуживающей организацией и изложенных на странице [аа].
Мы полагаем, что полученные нами доказательства являются достаточными и надлежащими, чтобы служить основой для выражения нашего мнения.
Ограничения средств контроля обслуживающей организации
Описание, составленное обслуживающей организацией XYZ, подготовлено для удовлетворения общих потребностей широкого круга клиентов и их аудиторов и, следовательно, может не включать всех аспектов системы, которые каждый отдельный клиент может счесть важными в конкретных условиях. Кроме того, в силу своего характера средства контроля обслуживающей организации могут не предотвращать или не выявлять все ошибки или пропуски в процессе обработки операций или в предоставляемых заключениях об этих операциях. Кроме того, в силу своего характера средства контроля обслуживающей организации могут не предотвращать или не выявлять все ошибки или пропуски в процессе обработки операций или в предоставляемых заключениях об этих операциях. Помимо этого, экстраполяция оценки эффективности на будущие периоды связана с риском того, что средства контроля обслуживающей организации могут стать недостаточными или перестанут функционировать надлежащим образом.
Мнение
Наше мнение сформировано с учетом обстоятельств, изложенных в настоящем заключении. При формировании нашего мнения мы использовали критерии, изложенные на странице [aa]. По нашему мнению, во всех существенных аспектах:
(a) описание дает достоверное представление о системе [тип или название], разработанной и внедренной в течение периода с [дата] по [дата];
(b) средства контроля, относящиеся к целям внутреннего контроля, заявленным в описании, были надлежащим образом организованы в течение периода с [дата] по [дата];
(c) протестированные средства контроля, необходимые для обеспечения разумной уверенности в достижении целей внутреннего контроля, заявленных в описании, функционировали эффективно в течение периода с [дата] по [дата].
Описание тестов средств контроля
Протестированные средства контроля, а также характер, сроки и результаты этих тестов перечислены на страницах [yy-zz].
Предполагаемые пользователи и цель
Настоящее заключение и описание тестов средств контроля на страницах [yy-zz] предназначены исключительно для клиентов, которые используют систему [тип или название] обслуживающей организации XYZ, и их аудиторов, обладающих достаточными знаниями для того, чтобы учесть ее вместе с прочей информацией, включая сведения о средствах контроля, используемых клиентами, при оценке рисков существенного искажения финансовой отчетности клиентов.
[Подпись аудитора обслуживающей организации]
[Дата заключения, обеспечивающего уверенность, аудитора обслуживающей организации]
[Адрес аудитора обслуживающей организации]
Пример 2. Заключение аудитора обслуживающей организации, обеспечивающее уверенность, первого типа
Заключение независимого аудитора обслуживающей организации, обеспечивающее уверенность, об описании и структуры средств контроля
Кому: обслуживающей организации XYZ
Объем работ
Мы были привлечены для предоставления заключения о подготовленном обслуживающей организацией XYZ описании ее системы [тип или название] для обработки операций клиентов по состоянию на [дата], представленном на страницах [bb-cc] (далее - описание), и в отношении структуры и функционирования средств контроля, относящихся к целям внутреннего контроля, заявленным в описании. <1>
<1> Если некоторые элементы описания не включены в объем работ по заданию, это четко отражается в заключении, обеспечивающем уверенность.
Мы не проводили процедур в отношении операционной эффективности средств контроля, включенных в описание, и, следовательно, не выражаем мнения по этому вопросу.
Ответственность обслуживающей организации XYZ
Обслуживающая организация XYZ несет ответственность за подготовку описания и прилагаемого подтверждения, изложенного на странице [aa], включая полноту, точность и метод представления описания и подтверждения; оказание услуг, заявленных в описании; указание целей внутреннего контроля, а также за разработку, внедрение и операционную эффективность средств контроля для достижения указанных целей внутреннего контроля.
Наш независимость и контроль качества
Мы заявляем о том, что соблюдали требование независимости и другие этические требования Кодекса этики профессиональных бухгалтеров, выпущенного Советом по международным стандартам этики для бухгалтеров, основанного на фундаментальных принципах честности, объективности, профессиональной компетентности и должной тщательности, конфиденциальности и профессионального поведения.
Аудиторская организация применяет Международный стандарт контроль качества <1> и, следовательно, внедрила и поддерживает систему контроля качества, включающую документально оформленную политику и процедуры соблюдения этических требований, профессиональные стандарты и применимые законодательные и нормативные требования.
<1> МСКК 1, "Контроль качества в аудиторских организациях, проводящих аудит и обзорные проверки финансовой отчетности, а также выполняющих прочие задания, обеспечивающие уверенность, и задания по оказанию сопутствующих услуг".
Ответственность аудитора обслуживающей организации
Наша ответственность заключается в выражении мнения об описании, подготовленном обслуживающей организацией XYZ, а также структуре и функционировании средств контроля, относящихся к целям внутреннего контроля, заявленным в данном описании, на основании выполненных нами процедур. Мы выполняли наше задание в соответствии с Международным стандартом заданий, обеспечивающих уверенность (МСЗОУ) 3402 "Заключение аудитора обслуживающей организации, обеспечивающее уверенность, о средствах контроля обслуживающей организации", выпущенным Советом по международным стандартам аудита и заданий, обеспечивающих уверенность. Этот стандарт требует от нас планирования и проведения наших процедур таким образом, чтобы получить разумную уверенность в том, что описание представлено во всех существенных аспектах достоверно и средства контроля надлежащим образом организованы и функционируют эффективно.
Задание, обеспечивающее уверенность, с предоставлением заключения в отношении описания, структуры и операционной эффективности средств контроля обслуживающей организации включает проведение процедур, направленных на получение доказательств, подтверждающих раскрытия информации в описании обслуживающей организацией ее системы, а также структуру и операционную эффективность средств контроля. Выбор процедур зависит от суждения аудитора обслуживающей организации и включает оценку рисков того, что описание не представлено достоверно и средства контроля не организованы надлежащим образом и не функционируют эффективно. Задание этого типа, обеспечивающее уверенность, также включает в себя оценку общего представления описания, надлежащего характера указанных в нем целей внутреннего контроля и пригодности критериев, указанных обслуживающей организацией и изложенных на странице [aa].
Как указано выше, мы не проводили процедур в отношении операционной эффективности средств контроля, включенных в описание, и, следовательно, не выражаем мнения по этому вопросу.
Мы полагаем, что полученные нами доказательства являются достаточными и надлежащими, чтобы служить основой для выражения нашего мнения.
Ограничения средств контроля обслуживающей организации
Описание, составленное обслуживающей организацией XYZ, подготовлено для удовлетворения общих потребностей широкого круга клиентов и их аудиторов и, следовательно, может не включать всех аспектов системы, которые каждый отдельный клиент может счесть важными в конкретных условиях. Кроме того, в силу своего характера средства контроля обслуживающей организации могут не предотвращать или не выявлять все ошибки или пропуски в процессе обработки операций или в предоставляемых заключениях об этих операциях. Помимо этого, экстраполяция оценки эффективности на будущие периоды связана с риском того, что средства контроля обслуживающей организации могут стать недостаточными или перестанут функционировать надлежащим образом.
Мнение
Наше мнение сформировано с учетом обстоятельств, изложенных в настоящем заключении. При формировании нашего мнения мы использовали критерии, изложенные на странице [aa]. По нашему мнению, во всех существенных аспектах:
(a) описание дает достоверное представление о системе [тип или название], разработанной и внедренной по состоянию на [дата];
(b) средства контроля, относящиеся к целям внутреннего контроля, заявленным в описании, были надлежащим образом организованы по состоянию на [дата].
Предполагаемые пользователи и цель
Настоящее заключение предназначено исключительно для клиентов, которые используют систему [тип или название] обслуживающей организации XYZ, и их аудиторов, обладающих достаточными знаниями для того, чтобы учесть ее вместе с прочей информацией, включая сведения о средствах контроля, используемых самими клиентами, при изучении информационных систем клиентов, относящихся к финансовой отчетности.
[Подпись аудитора обслуживающей организации]
[Дата заключения, обеспечивающего уверенность, аудитора обслуживающей организации]
[Адрес аудитора обслуживающей организации]
Приложение 3
ПРИМЕРЫ МОДИФИЦИРОВАННЫХ ЗАКЛЮЧЕНИЙ АУДИТОРА ОБСЛУЖИВАЮЩЕЙ ОРГАНИЗАЦИИ, ОБЕСПЕЧИВАЮЩИХ УВЕРЕННОСТЬ
Указанные ниже примеры модифицированных заключений приводятся исключительно в качестве общих указаний и не являются исчерпывающими или применимыми к любым ситуациям. Они основываются на примерах заключений в Приложении 2.
Пример 1. Мнение с оговоркой: описание обслуживающей организацией ее системы не представлено достоверно во всех существенных аспектах
...
Ответственность аудитора обслуживающей организации
...
Мы полагаем, что полученные нами доказательства являются достаточными и надлежащими и дают нам основание для выражения нашего мнения с оговоркой.
Основание для выражения мнения с оговоркой
В прилагаемом описании на странице [mn] указано, что обслуживающая организация XYZ использует идентификационные номера операторов и пароли для предотвращения несанкционированного доступа к системе. На основании проведенных процедур, которые включали направление запросов персоналу и наблюдение за осуществлением деятельности, мы определили, что идентификационные номера операторов и пароли используются в приложениях A и B, но не используются в приложениях C и D.
Мнение с оговоркой
Наше мнение сформировано с учетом обстоятельств, изложенных в настоящем заключении. При формировании нашего мнения мы использовали критерии, представленные в заявлении обслуживающей организации XYZ на странице [аа]. По нашему мнению, за исключением обстоятельства, изложенного в разделе "Основание для выражения мнения с оговоркой":
(a) ...
Пример 2. Мнение с оговоркой: средства контроля не организованы надлежащим образом для обеспечения разумной уверенности в том, что цели внутреннего контроля, заявленные в описании обслуживающей организацией ее системы, будут достигнуты при эффективном функционировании средств контроля
...
Ответственность аудитора обслуживающей организации
...
Мы полагаем, что полученные нами доказательства являются достаточными и надлежащими и дают нам основание для выражения нашего мнения с оговоркой.
Основание для выражения мнения с оговоркой
Как указано на странице [mn] прилагаемого описания, обслуживающая организация XYZ периодически вносит изменения в программы приложений для устранения недостатков или расширения их возможностей. Процедуры, используемые для определения необходимости изменений, разработки проекта изменений и их внедрения, не включают проверку и утверждение уполномоченными лицами, независимыми от лиц, участвовавших во внесении изменений. Кроме того, отсутствуют определенные требования по тестированию таких изменений или предоставлению результатов тестирования уполномоченному лицу, ответственному за проведение проверки, до внедрения изменений.
Мнение с оговоркой
Наше мнение сформировано с учетом обстоятельств, изложенных в настоящем заключении. При формировании нашего мнения мы использовали критерии, представленные в заявлении обслуживающей организации XYZ на странице [aa]. По нашему мнению, за исключением обстоятельства, изложенного в разделе "Основание для выражения мнения с оговоркой":
(a) ...
Пример 3. Мнение с оговоркой: средства контроля не функционировали эффективно в течение указанного периода (только для заключений второго типа)
...
Ответственность аудитора обслуживающей организации
...
Мы полагаем, что полученные нами доказательства являются достаточными и надлежащими и дают нам основание для выражения нашего мнения с оговоркой.
Основание для выражения мнения с оговоркой
Обслуживающая организация XYZ указывает в своем описании, что у нее имеются автоматизированные средства контроля для проведения сверки полученных платежей по кредитам с итоговыми данными. Однако, как указано на странице [mn] описания, это средство контроля не функционировало эффективно в период с дд/мм/гггг по дд/мм/гггг из-за ошибки в программе. В результате этого не была достигнута цель внутреннего контроля, заключающаяся в "обеспечении с помощью средств контроля разумной уверенности в том, что полученные платежи по кредитам отражены надлежащим образом", в период с дд/мм/гггг по дд/мм/гггг. Обслуживающая организация XYZ внесла изменение в программу, выполняющую расчеты, по состоянию на [дата], и наши тесты показывают, что программа функционировала эффективно в период с дд/мм/гггг по дд/мм/гггг.
Мнение с оговоркой
Наше мнение сформировано с учетом обстоятельств, изложенных в настоящем заключении. При формировании нашего мнения мы использовали критерии, представленные в заявлении обслуживающей организации XYZ на странице [aa]. По нашему мнению, за исключением обстоятельства, изложенного в разделе "Основание для выражения мнения с оговоркой":
...
Пример 4. Мнение с оговоркой: аудитор обслуживающей организации не может получить достаточные надлежащие доказательства
...
Ответственность аудитора обслуживающей организации
...
Мы полагаем, что полученные нами доказательства являются достаточными и надлежащими и дают нам основание для выражения нашего мнения с оговоркой.
Основание для выражения мнения с оговоркой
Обслуживающая организация XYZ указывает в своем описании, что у нее имеются автоматизированные средства контроля для проведения сверки полученных платежей по кредитам с итоговыми данными. Однако электронные записи результатов данной сверки за период с дд/мм/гггг по дд/мм/гггг были удалены в результате ошибки компьютерной обработки, и, следовательно, мы не смогли протестировать функционирование данного средства контроля за указанный период. Таким образом, мы не смогли определить, была ли достигнута цель средства контроля, заключающаяся в "обеспечении с помощью средств контроля разумной уверенности в том, что полученные платежи по кредитам отражаются надлежащим образом", в период с дд/мм/гггг по дд/мм/гггг.
Мнение с оговоркой
Наше мнение сформировано с учетом обстоятельств, изложенных в настоящем заключении. При формировании нашего мнения мы использовали критерии, представленные в заявлении обслуживающей организации XYZ на странице [aa]. По нашему мнению, за исключением обстоятельства, изложенного в разделе "Основание для выражения мнения с оговоркой":
(а) ...