Приложение N 14
к приказу Министерства финансов
Российской Федерации
от 09.01.2019 N 2н
Приказ, Международные стандарты аудита 1, 200, 210, 220, 230, 240, 250, 260, 265, 300, 315, 320, 330, 450, 500, 501, 505, 510, 520, 530, 540, 550, 560, 570, 580, 600, 610, 620, 700, 701, 705, 706, 710, 720, 800, 805, 810, 1000, 2400, 2410, 3000, 3400, 3402, 3410, 3420, 4400, 4410 включены в систему отдельными документами.
МЕЖДУНАРОДНЫЙ СТАНДАРТ АУДИТА 402 "ОСОБЕННОСТИ АУДИТА ОРГАНИЗАЦИИ, ПОЛЬЗУЮЩЕЙСЯ УСЛУГАМИ ОБСЛУЖИВАЮЩЕЙ ОРГАНИЗАЦИИ"
(в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н, Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
Международный стандарт аудита (МСА) 402 "Особенности аудита организации, пользующейся услугами обслуживающей организации" следует рассматривать вместе с МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита". |
Введение
Сфера применения настоящего стандарта
1. Настоящий Международный стандарт аудита (МСА) устанавливает обязанности аудитора по сбору достаточных надлежащих аудиторских доказательств в случаях, когда организация-пользователь пользуется услугами одной или более обслуживающих организаций. В частности, в нем раскрывается, как аудитор организации-пользователя применяет МСА 315 (пересмотренный, 2019 г.) и МСА 330 при получении понимания организации-пользователя, включая значимую для подготовки финансовой отчетности систему внутреннего контроля организации, достаточного для выявления и оценки рисков существенного искажения, а также при разработке и выполнении дальнейших аудиторских процедур в ответ на эти риски. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
<1> - <2> Сноски исключены. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
2. Многие организации для выполнения отдельных бизнес-процессов привлекают внешние обслуживающие организации, которые занимаются оказанием услуг - от выполнения какой-либо конкретной задачи под руководством организации до замены целых бизнес-единиц и служб организации, таких как служба контроля за соблюдением налогового законодательства. Многие услуги, предоставляемые такими организациями, являются неотъемлемой частью операционной деятельности организации; однако не все эти услуги являются применимыми для конкретного аудита.
3. Услуги, предоставляемые обслуживающей организацией, являются применимыми для конкретного аудита финансовой отчетности организации-пользователя при условии, что эти услуги и средства контроля за ними являются частью информационной системы организации-пользователя относящейся к подготовке финансовой отчетности. Большинство средств контроля обслуживающей организации, вероятно, будет частью информационной системы организации-пользователя, имеющей отношение к подготовке финансовой отчетности, или относящихся к ним средств контроля, например средства контроля за сохранностью активов. Услуги обслуживающей организации являются частью информационной системы организации-пользователя, если такие услуги затрагивают любой из следующих элементов: (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(a) информацию, относящуюся к значительным видам операций, остаткам по счетам и раскрытию информации, и то, как она проходит через информационную систему организации-пользователя, вручную или с использованием ИТ, независимо от того, получена ли она из основного регистра и вспомогательных регистров или вне их. Это включает случаи, когда услуги обслуживающей организации влияют на то: (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(i) как инициируются операции и как информация о них записывается, обрабатывается, по мере необходимости корректируется, включается в основной регистр и отражается в финансовой отчетности; (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(ii) как собирается, обрабатывается и раскрывается в финансовой отчетности информация о событиях и условиях, помимо операций. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(b) данные бухгалтерского учета, конкретные счета в финансовой отчетности организации-пользователя и другие подтверждающие данные, относящиеся к передаче информации согласно пункту 3(a); (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
Абзац. - Исключен. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(ce) способ, которым информационная система организации-пользователя фиксирует события и обстоятельства, которые не являются операциями, но являются существенными для финансовой отчетности, из данных, описанных в пункте 3(b), в том числе относящихся к раскрытию информации и оценочным значениям, касающихся значительных видов операций, остатков по счетах и раскрытия информации; (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(d) ИТ-среду организации, имеющую отношение к пунктам (a) - (c) выше. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(f) подпункт исключен. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
4. Характер и объем работ, которые должны быть выполнены аудитором организации-пользователя в отношении услуг, предоставленных обслуживающей организацией, зависят от характера и значимости таких услуг для организации-пользователя, а также от применимости этих услуг для конкретного аудита.
5. Настоящий стандарт не применяется к услугам финансовых учреждений, функции которых ограничены обработкой авторизованных организацией операций на открытых в этих учреждениях счетах организации, таких как обработка операций на текущем счете банком или обработка операций с ценными бумагами брокером. Кроме того, настоящий стандарт не применяется к аудиту операций, связанных с участием в других организациях, например товариществах, корпорациях и совместных предприятиях, когда учет собственных финансовых интересов ведется и отчетность по ним предоставляется их владельцам.
Дата вступления в силу
6. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 декабря 2009 года или после этой даты.
Цели
7. Цели аудитора организации-пользователя, когда организация-пользователь пользуется услугами обслуживающей организации, состоят в следующем:
(a) получить понимание характера и значимости услуг, предоставляемых обслуживающей организацией, и их воздействия на систему внутреннего контроля организации-пользователя, достаточной для того, чтобы обеспечить соответствующую основу для идентификации и оценки рисков существенного искажения; (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(b) разработать и провести аудиторские процедуры в ответ на эти риски.
Определения
8. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:
(a) дополнительные средства контроля организации-пользователя - средства контроля, которые как полагает обслуживающая организация, будут внедрены организациями-пользователями при разработке ее услуг и которые, при необходимости достижения целей средств контроля, определены в описании ее системы;
(b) отчет в отношении описания и структуры средств контроля в обслуживающей организации (в настоящем стандарте обозначается как отчет 1-го типа) - отчет, в состав которого входит:
(i) подготовленное руководством обслуживающей организации описание системы внутреннего контроля обслуживающей организации, целей внутреннего контроля и соответствующих средств контроля, которые были разработаны и внедрены на конкретную дату;
(ii) подготовленный аудитором обслуживающей организации с целью обеспечения разумной уверенности отчет, который включает мнение аудитора обслуживающей организации об описании системы, целей и соответствующих средств контроля обслуживающей организации, а также о пригодности разработки средств контроля для достижения конкретных целей контроля;
(c) отчет, в отношении описания, структуры и операционной эффективности средств контроля обслуживающей организации (в настоящем стандарте обозначается как отчет 2-го типа) - отчет, в состав которого входит:
(i) подготовленное руководством обслуживающей организации описание системы внутреннего контроля обслуживающей организации, целей внутреннего контроля и соответствующих средств контроля, их структуры и реализации на указанную дату и на протяжении указанного периода, а также в некоторых случаях их операционной эффективности на протяжении указанного периода;
(ii) отчет аудитора обслуживающей организации, подготовленный с целью выражения разумной уверенности, который включает:
a. мнение аудитора обслуживающей организации относительно описания системы внутреннего контроля обслуживающей организации, целей внутреннего контроля и соответствующих средств контроля, а также пригодности структуры системы внутреннего контроля для достижения указанных целей системы внутреннего контроля, а также мнение относительно операционной эффективности средств контроля;
b. описание тестирования средств контроля, проведенного аудитором обслуживающей организации, и его результатов.
(d) аудитор обслуживающей организации - аудитор, который по запросу обслуживающей организации представляет отчет по заданию, обеспечивающему уверенность в отношении средств контроля обслуживающей организации;
(e) обслуживающая организация - сторонняя организация (или сегмент сторонней организации), предоставляющая услуги организациям-пользователям, которые входят в состав информационных систем этих организаций, связанных с составлением финансовой отчетности;
(f) система обслуживающей организации - политика и процедуры, разработанные, внедренные и поддерживаемые обслуживающей организацией для предоставления организациям-пользователям услуг, в отношении которых аудитор обслуживающей организации представляет отчет;
(g) субподрядчик обслуживающей организации - обслуживающая организация, которую привлекает другая обслуживающая организация для выполнения некоторых услуг, предоставляемых организациям-пользователям, составляющих часть информационных систем этих организаций, связанных с подготовкой финансовой отчетности;
(h) аудитор организации-пользователя - аудитор, выполняющий аудиторское задание и составляющий заключение о финансовой отчетности организации-пользователя;
(i) организация-пользователь - организация, которая пользуется услугами обслуживающей организации и в отношении финансовой отчетности которой проводится аудит.
Требования
Получение понимания услуг, предоставляемых обслуживающей организацией, включая систему внутреннего контроля
9. При получении понимания организации-пользователя в соответствии с МСА 315 (пересмотренным) <3> аудитор организации-пользователя должен получить понимание того, каким образом организация-пользователь использует услуги обслуживающей организации в своей деятельности, включая следующее (см. пункты A1 - A2):
<3> МСА 315 (пересмотренный), пункт 11.
(a) характер предоставляемых обслуживающей организацией услуг и значимость таких услуг для организации-пользователя, включая их воздействие на систему внутреннего контроля организации-пользователя (см. пункты A3 - A5);
(b) характер и существенность обрабатываемых операций либо счетов или процессов подготовки финансовой отчетности, затронутых обслуживающей организацией (см. пункт A6);
(c) степень взаимодействия деятельности обслуживающей организации и организации-пользователя (см. пункт A7);
(d) характер отношений между организацией-пользователем и обслуживающей организацией, включая соответствующие условия договоров о видах деятельности, осуществляемых обслуживающей организацией (см. пункты A8 - A11).
10. При получении понимания системы внутреннего контроля организации в соответствии с МСА 315 (пересмотренным, 2019 г.) аудитор организации-пользователя должен выделить средства контроля в компоненте контрольной деятельности <26> организации-пользователя, от тех, которые относятся к услугам, предоставляемым обслуживающей организацией, включая те, которые применяются к операциям, обрабатываемым обслуживающей организацией, а также оценить их структуру и определить, были ли они реализованы <27> (см. пункты A12 - A14). (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
<25> Сноска исключена. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
<26> МСА 315 (пересмотренный, 2019 г.), пункт 26(a). (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
<27> МСА 315 (пересмотренный, 2019 г.), пункт 26(d). (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
11. Аудитор организации-пользователя должен определить, удалось ли получить достаточное понимание характера и значимости услуг, предоставляемых обслуживающей организацией, и их воздействия на систему внутреннего контроля организации-пользователя, для того, чтобы обеспечить надлежащую основу для выявления и оценки рисков существенного искажения. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
12. Если аудитор организации-пользователя не может получить достаточное понимание этих вопросов из информации от организации-пользователя, аудитор организации-пользователя должен получить такое понимание путем проведения одной или нескольких процедур из перечисленных ниже:
(a) получение отчетов 1-го и 2-го типов, в случае их наличия;
(b) установление контакта с обслуживающей организацией через организацию-пользователя для получения конкретной информации;
(c) посещение обслуживающей организации и выполнение процедур, которые дадут необходимую информацию о соответствующих средствах контроля в обслуживающей организации;
(d) привлечение другого аудитора для выполнения процедур, которые предоставят необходимую информацию о средствах контроля в обслуживающей организации (см. пункты A15 - A20). (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
Использование отчетов 1-го и 2-го типов для подтверждения понимания аудитором организации-пользователя обслуживающей организации
13. При определении достаточности и надлежащего характера аудиторских доказательств, полученных из отчетов 1-го и 2-го типов, аудитор организации-пользователя должен удостовериться:
(a) в профессиональной компетентности и независимости аудитора обслуживающей организации от самой обслуживающей организации;
(b) надлежащем характере стандартов, согласно которым был подготовлен отчет 1-го или 2-го типа (см. пункт A21).
14. Если аудитор организации-пользователя планирует использовать отчет 1-го или 2-го типа в качестве аудиторских доказательств в подтверждение понимания аудитором организации-пользователя структуры и способа реализации средств контроля в обслуживающей организации, аудитор организации-пользователя должен:
(a) оценить, подходящая ли дата или период используется при описании и в структуре средств контроля обслуживающей организации для целей аудитора организации-пользователя;
(b) оценить достаточность и надлежащий характер доказательств, содержащихся в отчете, для понимания системы контроля обслуживающей организации; (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(c) установить, являются ли дополнительные средства контроля организации-пользователя, определенные обслуживающей организацией, уместными для организации-пользователя и, если это так, получить понимание того, разработаны и реализованы ли такие средства контроля в организации-пользователе (см. пункты A22 - A23).
Принятие мер в ответ на оцененные риски существенного искажения
15. В ответ на оцененные риски в соответствии с МСА 330 аудитор организации-пользователя должен:
(a) определить, можно ли из данных, которые хранит организация-пользователь, получить достаточные надлежащие аудиторские доказательства в отношении соответствующих предпосылок финансовой отчетности, и, если нет,
(b) провести дальнейшие аудиторские процедуры с целью получения достаточных надлежащих аудиторских доказательств или привлечь другого аудитора для проведения таких процедур в обслуживающей организации от лица аудитора организации-пользователя (см. пункты A24 - A28).
Тесты средств контроля
16. Если оценка рисков аудитором организации-пользователя включает ожидание того, что средства контроля в обслуживающей организации работают эффективно, аудитор организации-пользователя должен собрать аудиторские доказательства операционной эффективности этих средств контроля посредством одной или нескольких следующих процедур:
(a) получение отчета 2-го типа, в случае его наличия;
(b) проведение соответствующих тестов средств контроля в обслуживающей организации;
(c) привлечение другого аудитора для проведения тестов средств контроля в обслуживающей организации от лица аудитора организации-пользователя (см. пункты A29 - A30).
Использование отчета 2-го типа в качестве аудиторских доказательств операционной эффективности средств контроля в обслуживающей организации
17. Если в соответствии с пунктом 16(a) аудитор организации-пользователя планирует использовать в качестве аудиторских доказательств операционной эффективности средств контроля обслуживающей организации отчет 2-го типа, аудитор организации-пользователя должен определить, содержатся ли в отчете аудитора обслуживающей организации достаточные надлежащие аудиторские доказательства эффективности средств контроля, подтверждающие оценку рисков аудитором организации-пользователя, что достигается путем:
(a) оценки того, подходящая ли дата или период используется при описании, в структуре и при определении операционной эффективности средств контроля обслуживающей организации для целей аудитора организации-пользователя;
(b) установления того, являются ли дополнительные средства контроля организации-пользователя, определенные обслуживающей организацией, применимыми организациями-пользователями, и, если это так, получения понимания того, разработаны и реализованы ли такие средства контроля в организации-пользователе, и, если такое понимание получено, тестирования их операционной эффективности;
(c) оценки достаточности периода, охватываемого тестами средств контроля, и времени, прошедшего после проведения этих тестов средств контроля;
(d) оценки того, соответствуют ли тесты средств контроля, проведенные аудитором обслуживающей организации, и их результаты, описанные в отчете аудитора обслуживающей организации, предпосылкам в отношении финансовой отчетности организации-пользователя и дают ли они достаточные надлежащие аудиторские доказательства для подтверждения оценки рисков аудитором организации-пользователя (см. пункты A31 - A39).
Отчеты 1-го и 2-го типов, которые не включают услуги субподрядчика обслуживающей организации
18. Если аудитор организации-пользователя планирует использовать отчет 1-го или 2-го типа, не включающий предоставляемые субподрядчиком обслуживающей организации услуги, а эти услуги являются применимыми для конкретного аудита финансовой отчетности организации-пользователя, то аудитор организации-пользователя должен применить требования настоящего стандарта по отношению к услугам, предоставляемым субподрядчиком обслуживающей организации (см. пункт A40).
Недобросовестные действия, несоблюдение законов и нормативных актов и неисправленные искажения в связи с деятельностью обслуживающей организации
19. Аудитор организации-пользователя должен запросить у руководства организации-пользователя, сообщала ли обслуживающая организация организации-пользователю или известно ли организации-пользователю из других источников о каких бы то ни было фактах недобросовестных действий, несоблюдения законов и нормативных актов или неустранения искажений, влияющих на финансовую отчетность организации-пользователя. Аудитор организации-пользователя должен оценить, как такие факторы влияют на характер, сроки выполнения и объем дальнейших планируемых аудитором организации-пользователя дальнейших аудиторских процедур, включая их влияние на выводы аудитора организации-пользователя и аудиторское заключение аудитора организации-пользователя (см. пункт A41).
Представление заключения аудитором организации-пользователя
20. Аудитор организации-пользователя должен модифицировать мнение в аудиторском заключении аудитора организации-пользователя в соответствии с МСА 705 <5>, если аудитор организации-пользователя не в состоянии получить достаточные надлежащие аудиторские доказательства в отношении предоставляемых обслуживающей организацией услуг, применимых для конкретного аудита финансовой отчетности организации-пользователя (см. пункт A42).
<5> МСА 705 (пересмотренный) "Модифицированное мнение в аудиторском заключении", пункт 6.
21. Аудитор организации-пользователя не может ссылаться в содержащем немодифицированное мнение аудиторском заключении аудитора организации-пользователя на работу аудитора обслуживающей организации, если только это не требуется действующими законами или нормативными актами. Если такая ссылка требуется согласно законам или нормативным актам, аудиторское заключение аудитора организации-пользователя должно содержать указание на то, что эта ссылка не ограничивает ответственность аудитора организации-пользователя за его аудиторское мнение (см. пункт A43).
22. Если ссылка на работу аудитора обслуживающей организации необходима для понимания модификации мнения аудитора организации-пользователя, аудиторское заключение аудитора организации-пользователя должно содержать указание на то, что эта ссылка не ограничивает ответственность аудитора организации-пользователя за его аудиторское мнение (см. пункт A44).
* * *
Руководство по применению и прочие пояснительные материалы
Получение понимания услуг, предоставляемых обслуживающей организацией, включая систему внутреннего контроля
Источники информации
(см. пункт 9)
A1. Информация о характере услуг, предоставляемых обслуживающей организацией, может быть получена из широкого круга источников, таких как:
- руководства пользователей;
- обзоры систем;
- технические руководства;
- договор или соглашение об уровне обслуживания между организацией-пользователем и обслуживающей организацией;
- отчеты обслуживающих организаций, службы внутреннего аудита или регулирующих органов по вопросам средств контроля данной обслуживающей организации;
- отчеты аудитора обслуживающей организации, включая письма руководству, в случае их наличия.
A2. Знания, полученные аудитором организации-пользователя из опыта его работы с обслуживающей организацией, например, из опыта выполнения других аудиторских заданий, также могут быть полезны для получения понимания характера услуг, предоставляемых обслуживающей организацией. Это может оказаться особенно полезным, если услуги и средства контроля за этими услугами в обслуживающей организации имеют высокую степень стандартизации.
Характер услуг, предоставляемых обслуживающей организацией
(см. пункт 9(a))
A3. Организация-пользователь может воспользоваться услугами обслуживающей организации, например, для обработки операций и ведения соответствующего учета или для учета операций и обработки соответствующих данных. Обслуживающие организации, предоставляющие такие услуги, это, например, трастовые департаменты банков, которые инвестируют и обслуживают активы по программам вознаграждений работников или в интересах иных лиц; ипотечные банки, обслуживающие ипотечные программы в интересах сторонних лиц; а также поставщики программного обеспечения, которые поставляют пакетное программное обеспечение и технологии, позволяющие клиентам обрабатывать финансовые и текущие операции.
A4. Примеры услуг обслуживающей организации, которые применимы для конкретного аудита:
- ведение бухгалтерского учета организации-пользователя;
- управление активами;
- инициирование, обобщение или обработка операций в качестве агента организации-пользователя.
Особенности малых организаций
A5. Малые организации могут пользоваться разнообразными услугами сторонних организаций в области ведения бухгалтерского учета - от обработки определенных операций (например, уплаты налогов с заработной платы) и ведения их учета до подготовки финансовой отчетности. Использование услуг такой обслуживающей организации для подготовки финансовой отчетности не освобождает руководство малой организации и, если уместно, лиц, отвечающих за корпоративное управление, от их ответственности в отношении финансовой отчетности <6>.
<6> МСА 200 "Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита", пункты 4 и A4 - A5.
Характер и существенность операций, обрабатываемых обслуживающей организацией
(см. пункт 9(b))
A6. Обслуживающая организация может установить политику и процедуры, которые влияют на систему внутреннего контроля организации-пользователя. Эти политики и процедуры, по крайней мере отчасти, физически и функционально отделены от организации-пользователя. Важность средств контроля обслуживающей организации для средств контроля организации-пользователя зависит от характера услуг, предоставляемых обслуживающей организацией, включая характер и существенность операций, которые она обрабатывает для организации-пользователя. В некоторых случаях операции, обрабатываемые обслуживающей организацией, и соответствующие счета могут оказаться несущественными для финансовой отчетности организации-пользователя, однако характер обрабатываемых операций может оказаться значительным, и аудитор организации-пользователя в этой ситуации может прийти к выводу о необходимости получить понимание этих средств контроля.
Степень взаимодействия деятельности обслуживающей организации и организации-пользователя
(см. пункт 9(c))
A7. Важность средств контроля обслуживающей организации для средств контроля организации-пользователя также зависит от степени взаимодействия ее деятельности с деятельностью организации-пользователя. Степень взаимодействия деятельности означает степень, в пределах которой организация-пользователь имеет возможность и предпочитает применять эффективные средства контроля за обработкой данных, выполняемой обслуживающей организацией. Например, высокая степень взаимодействия существует между деятельностью организации-пользователя и обслуживающей организации, когда организация-пользователь авторизует проведение операций, а обслуживающая организация обрабатывает их и ведет их бухгалтерский учет. В этих обстоятельствах внедрение эффективных средств контроля за такими операциями со стороны организации-пользователя может оказаться целесообразным. С другой стороны, когда обслуживающая организация сама инициирует или ведет первичный учет, обработку и бухгалтерский учет операций организации-пользователя, степень взаимодействия деятельности этих двух организаций является более низкой. В этих обстоятельствах организация-пользователь может не иметь возможности внедрить эффективные средства контроля за этими операциями в организации-пользователе или предпочитает не делать этого и может полагаться на средства контроля, используемые в обслуживающей организации.
Характер отношений между организацией-пользователем и обслуживающей организацией
(см. пункт 9(d))
A8. Договор или соглашение об уровне обслуживания между организацией-пользователем и обслуживающей организацией может предусматривать положения по следующим вопросам:
- информация, которая должна быть предоставлена организации-пользователю, и обязанности инициировать операции, относящиеся к деятельности обслуживающей организации;
- применение требований регулирующих органов в отношении формы ведения бухгалтерских записей или порядка доступа к ним;
- возмещение ущерба, если оно предусмотрено, которое предоставляется организации-пользователю в случае невыполнения обязательств;
- намерение обслуживающей организации предоставлять отчет о средствах контроля и, при наличии такого намерения, определение, какого типа будет этот отчет - 1-го или 2-го типа;
- наличие у аудитора организации-пользователя права доступа к данным бухгалтерского учета организации-пользователя, который ведется в обслуживающей организации, а также к прочей информации, необходимой для проведения аудита;
- наличие в соглашении возможности прямого общения между аудитором организации-пользователя и аудитором обслуживающей организации.
A9. Существует непосредственное взаимодействие между обслуживающей организацией и организацией-пользователем, а также между обслуживающей организацией и аудитором обслуживающей организации. Эти отношения не обязательно приводят к непосредственному взаимодействию между аудитором организации-пользователя и аудитором обслуживающей организации. Если непосредственное взаимодействие между аудитором организации-пользователя и аудитором обслуживающей организации отсутствует, информационное взаимодействие между ними обычно осуществляется через организацию-пользователя и обслуживающую организацию. Непосредственное взаимодействие также может возникать между аудитором организации-пользователя и аудитором обслуживающей организации с учетом соответствующих этических норм и принципа конфиденциальности. Аудитор организации-пользователя, например, может воспользоваться услугами аудитора обслуживающей организации для выполнения от лица аудитора организации-пользователя следующих процедур:
(a) тестирование средств контроля обслуживающей организации;
(b) процедуры проверки по существу по тем операциям и остаткам по счетам в финансовой отчетности организации-пользователя, которые ведутся обслуживающей организацией.
Особенности организаций государственного сектора
A10. Аудиторы государственного сектора обычно пользуются широкими правами доступа, установленными законодательством. Однако могут быть ситуации, когда такие права доступа не действуют, например, когда обслуживающая организация находится в другой юрисдикции. В таких случаях аудитору государственного сектора, возможно, потребуется получить понимание законодательства, применяемого в этой юрисдикции, чтобы определить, можно ли получить соответствующие права доступа. Аудитор государственного сектора может также получить права доступа или просить организацию-пользователя включить положение о правах доступа в любые договорные соглашения между организацией-пользователем и обслуживающей организацией.
A11. Для проведения тестов средств контроля или процедур проверки по существу в отношении соблюдения законодательства, нормативных актов или каких-либо иных источников права аудиторы государственного сектора могут также привлекать другого аудитора.
Понимание средств контроля, связанных с услугами, предоставляемыми обслуживающей организацией
(см. пункт 10)
A12. Организация-пользователь может применить средства контроля за услугами обслуживающей организации, которые может протестировать аудитор организации-пользователя, что может позволить ему прийти к заключению, что средства контроля организации-пользователя работают эффективно в отношении некоторых или всех соответствующих предпосылок, независимо от средств контроля, применяемых в обслуживающей организации. Если организация-пользователь, например, пользуется услугами обслуживающей организации для обработки своих расчетов с сотрудниками по выплате заработной платы, организация-пользователь может применять средства контроля за предоставлением и получением данных по расчету заработной платы, которые могут предотвратить или обнаружить существенные искажения. Эти средства контроля могут включать:
- сравнение данных, переданных в обслуживающую организацию, с информационными отчетами, полученными от обслуживающей организации после того, как эти данные были обработаны;
- выборочный пересчет сумм заработной платы на предмет точности расчетов и проверка общей суммы платежной ведомости на предмет ее обоснованности.
A13. В этой ситуации аудитор организации-пользователя может провести тестирование средств контроля организации-пользователя по обработке данных по заработной плате, что будет основанием для заключения аудитором организации-пользователя, что ее средства контроля работают эффективно в отношении предпосылок, связанных с операциями по заработной плате.
A14. Как отмечается в МСА 315 (пересмотренном) <7>, в отношении некоторых рисков аудитор организации-пользователя может заключить, что собрать достаточные надлежащие аудиторские доказательства только на основе проведения процедур проверки по существу невозможно или слишком затратно. Такие риски могут быть связаны с неточными или неполными записями обычных и значительных видов операций и остатков по счетам, характерные особенности которых во многих случаях допускают высокоавтоматизированную обработку с незначительным ручным вмешательством или без него. Такие особенности, позволяющие проводить автоматизированную обработку, могут проявляться особенно сильно, когда организация-пользователь прибегает к услугам обслуживающих организаций. В таких случаях средства контроля организации-пользователя за такими рисками значимы для проводимого аудита, и аудитор организации-пользователя должен получить понимание таких средств контроля, а также оценить их в соответствии с пунктами 9 и 10 настоящего стандарта.
<7> МСА 315 (пересмотренный), пункт 30.
Дальнейшие процедуры в случаях, когда от организации-пользователя не удается получить достаточное понимание
(см. пункт 12)
A15. Решение аудитора организации-пользователя о том, какую из процедур, упомянутых в пункте 12, провести, как в отдельности, так и в сочетании с другими процедурами, чтобы получить информацию, необходимую для обеспечения основы выявления и оценки рисков существенного искажения в отношении использования организацией-пользователем услуг обслуживающей организации, может зависеть от таких факторов, как:
- размеры как организации-пользователя, так и обслуживающей организации;
- сложность операций организации-пользователя и сложность услуг, предоставляемых обслуживающей организацией;
- местоположение обслуживающей организации (например, аудитор организации-пользователя может решить привлечь другого аудитора для проведения процедур в обслуживающей организации от лица аудитора организации-пользователя, если обслуживающая организация находится в удаленном местоположении);
- ожидание того, что в результате проведенных процедур аудитор организации-пользователя получит достаточные надлежащие аудиторские доказательства;
- характер взаимоотношений между организацией-пользователем и обслуживающей организацией.
A16. Обслуживающая организация может привлечь аудитора обслуживающей организации для подготовки отчета, содержащего описание и структуру ее средств контроля (отчет 1-го типа) или описание и структуру ее средств контроля, наряду с их операционной эффективностью (отчет 2-го типа). Отчеты 1-го или 2-го типа могут составляться в соответствии с Международным стандартом заданий, обеспечивающих уверенность (МСЗОУ) 3402 <8> или в соответствии со стандартами, установленными соответствующей уполномоченной или признанной организацией по выработке стандартов (в которых эти отчеты могут называться иначе, например отчеты типа A или отчеты типа B).
<8> МСЗОУ 3402 "Отчеты, обеспечивающие уверенность в отношении средств контроля обслуживающей организации".
A17. Возможность получения отчета 1-го типа или отчета 2-го типа обычно будет зависеть от того, предусмотрено ли в договоре между обслуживающей организацией и организацией-пользователем соответствующее условие о предоставлении такого отчета обслуживающей организацией. Исходя из практических соображений, обслуживающая организация может также принять самостоятельное решение о целесообразности предоставления отчета 1-го типа или отчета 2-го типа ее организациям-пользователям. Однако в некоторых случаях отчет 1-го или 2-го типа может оказаться недоступным для организаций-пользователей.
A18. В некоторых обстоятельствах организация-пользователь может передать на внешний подряд одной или нескольким обслуживающим организациям одну или несколько значительных бизнес-единиц или служб, таких как служба налогового планирования и соблюдения требований налогового законодательства или служба финансов и бухгалтерского учета, или служба контроля. Поскольку в таких обстоятельствах отчет о средствах контроля обслуживающей организации может отсутствовать, наиболее эффективной процедурой, позволяющей аудитору организации-пользователя получить понимание средств контроля обслуживающей организации, может стать посещение обслуживающей организации, когда появится возможность непосредственного взаимодействия руководства организации-пользователя с руководством обслуживающей организации.
A19. Для проведения процедур, в результате которых будет получена необходимая информация о соответствующих средствах контроля обслуживающей организации, связанных с услугами, предоставляемыми организации-пользователю, может привлекаться другой аудитор. Если выпущен отчет 1-го или 2-го типа, для проведения этих процедур аудитор организации-пользователя может привлечь аудитора обслуживающей организации, поскольку между аудитором обслуживающей организации и обслуживающей организацией уже установлены отношения. Аудитор организации-пользователя, когда он использует результаты работы другого аудитора, может считать полезными указания МСА 220 (пересмотренного) <9>, поскольку этот стандарт связан с определением профессиональной компетентности и способностей другого аудитора (включая независимость этого аудитора), руководством и надзором за характером, сроками и объемом работы, выполнение которой поручено другому аудитору, а также оценкой достаточности и надлежащего характера собранных аудиторских доказательств. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н, Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
<9> Сноска исключена. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
<9> МСА 220 (пересмотренный) "Управление качеством при проведении аудита финансовой отчетности". (в ред. Поправок, утв. Приказом Минфина РФ от 16.10.2023 N 166н)
A20. Организация-пользователь может воспользоваться услугами обслуживающей организации, которая, в свою очередь, пользуется услугами субподрядчика обслуживающей организации для оказания некоторых услуг, предоставляемых организации-пользователю и являющихся частью информационной системы организации-пользователя, связанной с подготовкой финансовой отчетности. Этот субподрядчик обслуживающей организации может являться отдельным от обслуживающей организации лицом или может быть связан с обслуживающей организацией. Аудитору организации-пользователя может потребоваться рассмотреть средства контроля субподрядчика обслуживающей организации. В ситуации, когда используется один или несколько субподрядчиков обслуживающей организации, степень взаимодействия деятельности организации-пользователя и обслуживающей организации возрастает, и взаимодействие уже охватывает организацию-пользователя, обслуживающую организацию и субподрядчика обслуживающей организации. Степень этого взаимодействия, а также характер и существенность операций, обрабатываемых обслуживающей организацией и субподрядчиками обслуживающей организации, являются наиболее важными факторами, которые аудитор организации-пользователя должен рассмотреть при определении значимости средств контроля обслуживающей организации и субподрядчиков обслуживающей организации для средств контроля организации-пользователя.
Использование отчетов 1-го и 2-го типов для понимания аудитором организации-пользователя обслуживающей организации
(см. пункты 13 - 14)
A21. Аудитор организации-пользователя может запросить информацию об аудиторе обслуживающей организации в его профессиональной организации или у других практикующих специалистов и выяснить, подлежит ли деятельность аудитора обслуживающей организации надзору со стороны регулирующих органов. Аудитор обслуживающей организации может практиковать в юрисдикции, где приняты другие стандарты в отношении отчетов о средствах контроля обслуживающей организации, и аудитор организации-пользователя может получить информацию об этих стандартах, применяемых аудитором обслуживающей организации, в организации по разработке и утверждению стандартов.
A22. Отчет 1-го или 2-го типа, наряду с информацией об организации-пользователе, может помочь аудитору организации-пользователя получить понимание следующих вопросов:
(a) те аспекты средств контроля обслуживающей организации, которые могут влиять на обработку операций организации-пользователя, включая использование субподрядчиков обслуживающей организации;
(b) поток значительных операций через обслуживающую организацию с целью определить области в этом потоке операций, в которых могут возникать существенные искажения в финансовой отчетности организации-пользователя;
(c) цели средств контроля обслуживающей организации, которые являются значимыми для предпосылок финансовой отчетности организации-пользователя;
(d) вопроса о том, разработаны и внедрены ли надлежащим образом средства контроля обслуживающей организации для целей предотвращения или обнаружения и исправления ошибок в обработке операций, которые могут приводить к существенным искажениям в финансовой отчетности организации-пользователя.
Отчет 1-го или 2-го типа может помочь аудитору организации-пользователя в получении достаточных данных для выявления и оценки рисков существенного искажения. Однако отчет 1-го типа не содержит никаких доказательств операционной эффективности средств контроля. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
A23. Отчет 1-го или 2-го типа, подготовленный по состоянию на дату или за период, выходящие за рамки отчетного периода организации-пользователя, может помочь аудитору получить предварительное понимание средств контроля, применяемых в обслуживающей организации, если такой отчет дополняется текущей информацией из других источников. Если описание средств контроля обслуживающей организации подготовлено на дату или за период, которые предшествуют началу аудируемого периода, аудитор организации-пользователя может провести следующие процедуры для актуализации информации в отчете 1-го или 2-го типа:
- обсуждение изменений в обслуживающей организации с персоналом организации-пользователя, который в силу должностных обязанностей должен быть осведомлен о таких изменениях;
- обзор текущей документации обслуживающей организации и корреспонденции от нее;
- обсуждение изменений с персоналом обслуживающей организации.
Принятие мер в ответ на оцененные риски существенного искажения
(см. пункт 15)
A24. Вопрос о том, ведет ли использование обслуживающей организации к повышению риска существенного искажения организации-пользователя, зависит от характера предоставляемых услуг и от средств контроля за этими услугами; в некоторых случаях привлечение обслуживающей организации может снизить риск существенного искажения организации-пользователя, особенно если организация-пользователь сама по себе не обладает необходимым опытом осуществления определенных видов деятельности, например, инициирования, обобщения и обработки операций, или не располагает достаточными ресурсами (например, ИТ-системой).
A25. Когда обслуживающая организация ведет существенные элементы данных бухгалтерского учета организации-пользователя, аудитору организации-пользователя может понадобиться непосредственный доступ к этим данным, чтобы получить достаточные надлежащие аудиторские доказательства, относящиеся к работе средств контроля за этими данными, или чтобы получить подтверждения операций и остатков по счетам, отраженных в таких данных, или чтобы решить обе эти задачи. Такой доступ может означать либо физическую проверку данных бухгалтерского учета в помещении обслуживающей организации, либо анализ данных, которые ведутся в электронной форме, из помещения организации-пользователя или из другого места, либо сочетание этих двух методов. Если непосредственный доступ достигается с помощью электронных средств, аудитор организации-пользователя может получить доказательства достаточности применяемых обслуживающей организацией средств контроля за полнотой и честностью данных организации-пользователя, за которые отвечает обслуживающая организация.
A26. При определении характера и объема аудиторских доказательств, которые необходимо собрать в отношении остатков по счетам, представляющим активы в наличии или операции, проведенные обслуживающей организацией от лица организации-пользователя, аудитор организации-пользователя может рассмотреть возможность выполнения следующих процедур:
(a) проверка записей и документов, находящихся в организации-пользователе: надежность этого источника доказательств определяется характером и объемом данных бухгалтерского учета и подтверждающей документации, хранящейся в организации-пользователе. В некоторых случаях организация-пользователь может не вести независимый подробный учет или документацию в отношении конкретных операций, проведенных от ее лица;
(b) проверка записей и документов, находящихся в обслуживающей организации: возможность доступа аудитора организации-пользователя к записям обслуживающей организации может устанавливаться в договоре между организацией-пользователем и обслуживающей организацией. Аудитор организации-пользователя может также привлекать другого аудитора, чтобы тот от его лица получил доступ к записям организации-пользователя, ведущимся в обслуживающей организации;
(c) получение подтверждения остатков по счетам и операций от обслуживающей организации: если организация-пользователь ведет независимый учет остатков по счетам и операций, подтверждение от обслуживающей организации, подкрепляющее записи организации-пользователя, может представлять собой надежные аудиторские доказательства существования соответствующих операций и активов. Например, когда используется несколько обслуживающих организаций, таких как управляющий инвестициями и депозитарий, и эти обслуживающие организации ведут независимый учет, аудитор организации-пользователя может подтвердить остатки по счетам у этих организаций, для того, чтобы сравнить эту информацию с записями независимого учета организации-пользователя.
Если организация-пользователь не ведет независимый учет, то подтверждающая информация, полученная от обслуживающей организации, является лишь изложением того, что отражено в записях, которые ведет обслуживающая организация. Таким образом, такие подтверждения сами по себе не являются надежными аудиторскими доказательствами. В этих обстоятельствах аудитор организации-пользователя может рассмотреть вопрос о возможности установления альтернативного источника независимых доказательств;
(d) проведение аналитических процедур в отношении записей, ведущихся в организации-пользователе, или отчетов, полученных от обслуживающей организации: эффективность аналитических процедур, вероятно, будет меняться для каждой из предпосылок, и будет зависеть от объема и степени детализации доступной информации.
A27. Процедуры проверки по существу в интересах аудиторов организации-пользователя могут проводиться другим аудитором. Такое задание может включать проведение другим аудитором процедур, согласованных между организацией-пользователем и ее аудитором, с одной стороны, и обслуживающей организацией и ее аудитором - с другой. Результаты процедур, проведенных другим аудитором, изучаются аудитором организации-пользователя с целью определить, представляют ли они достаточные надлежащие аудиторские доказательства. Кроме того, могут существовать требования, наложенные государственными органами или предусмотренные условиями договора, в соответствии с которыми аудитор обслуживающей организации проводит определенные процедуры, являющиеся по своему характеру процедурами проверки по существу. Соответствующие результаты применения необходимых процедур к остаткам по счетам и операциям, обрабатываемым обслуживающей организацией, могут использоваться аудиторами организации-пользователя как часть доказательств, необходимых для обоснования их аудиторских мнений. В этих обстоятельствах для аудитора организации-пользователя и аудитора обслуживающей организации может оказаться полезным предварительное, еще до выполнения соответствующих процедур, согласование аудиторской документации или условий доступа к ней, которые будут предоставлены аудитору организации-пользователя.
A28. В некоторых обстоятельствах, в частности, когда организация-пользователь передает на внешний подряд обслуживающей организации некоторые или все компоненты ее финансовой службы, аудитор организации-пользователя может столкнуться с ситуацией, когда значительная часть аудиторских доказательств находится в обслуживающей организации. Может потребоваться проведение процедур проверки по существу в обслуживающей организации аудитором организации-пользователя или другим аудитором от его лица. Аудитор обслуживающей организации может представить отчет 2-го типа и, кроме того, провести процедуры проверки по существу от лица аудитора организации-пользователя. Привлечение другого аудитора не отменяет обязанностей аудитора организации-пользователя по сбору достаточных надлежащих аудиторских доказательств с целью получения разумного основания для выражения аудиторского мнения аудитором организации-пользователя. Следовательно, рассмотрение аудитором организации-пользователя вопроса о том, были ли собраны достаточные надлежащие аудиторские доказательства и следует ли аудитору организации-пользователя проводить дополнительные процедуры проверки по существу, предполагает вовлечение аудитора организации-пользователя в управление, надзор и проведение процедур проверки по существу, выполняемых другим аудитором, или доказательства этого вовлечения.
Тестирование средств контроля
(см. пункт 16)
A29. Аудитор организации-пользователя должен в соответствии со стандартом МСА 330 разработать и провести тесты средств контроля для сбора достаточных надлежащих аудиторских доказательств в отношении операционной эффективности средств контроля в определенных обстоятельствах. В контексте обслуживающей организации, это требование применяется, когда: (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
<10> Сноска исключена. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
(a) оценка аудитором организации-пользователя рисков существенного искажения включает ожидание того, что средства контроля обслуживающей организации работают эффективно (то есть, аудитор организации-пользователя намерен полагаться на операционную эффективность средств контроля обслуживающей организации при определении характера, сроков и объема процедур проверки по существу);
(b) процедуры проверки по существу сами по себе или в сочетании с тестами операционной эффективности средств контроля в организации-пользователе не могут дать достаточных надлежащих аудиторских доказательств на уровне предпосылок.
A30. Если отчет 2-го типа отсутствует, аудитор организации-пользователя может связаться с обслуживающей организацией через организацию-пользователя и запросить у аудитора обслуживающей организации подготовку отчета 2-го типа, включающего тестирование операционной эффективности средств контроля, либо для проведения процедур в обслуживающей организации аудитор организации-пользователя может привлечь другого аудитора, который протестирует операционную эффективность этих средств контроля. Аудитор организации-пользователя может также по согласованию с обслуживающей организацией посетить ее и провести тесты средств контроля. Оценка рисков аудитором организации-пользователя основывается на комбинации всех доказательств, полученных в результате работы другого аудитора и проведения собственных процедур аудитором организации-пользователя. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
Использование отчета 2-го типа в качестве аудиторских доказательств операционной эффективности средств контроля в обслуживающей организации
(см. пункт 17)
A31. Отчет 2-го типа может предназначаться для удовлетворения потребностей нескольких разных аудиторов организации-пользователя; поэтому тесты средств контроля и результаты, представленные в отчете аудитора обслуживающей организации, могут не иметь отношения к предпосылкам, которые являются значительными в финансовой отчетности организации-пользователя. Применяемые тесты средств контроля и результаты оцениваются на предмет того, обеспечивает ли аудиторский отчет аудитора обслуживающей организации достаточными надлежащими аудиторскими доказательствами в отношении операционной эффективности средств контроля, подтверждающими оценку рисков аудитором организации-пользователя. При этом аудитор организации-пользователя может принять во внимание следующие факторы:
(a) период, охватываемый тестами средств контроля, и время, прошедшее после проведения этих тестов средств контроля;
(b) объем работ аудитора обслуживающей организации и охваченные услуги и процессы, протестированные средства контроля и тесты, которые были выполнены, а также то, каким образом протестированные средства контроля взаимодействуют со средствами контроля организации-пользователя;
(c) результаты этих тестов средств контроля и мнение аудитора обслуживающей организации об операционной эффективности этих средств контроля.
A32. В отношении некоторых предпосылок чем короче период, охваченный конкретным тестом, и чем больше времени прошло с момента его проведения, тем меньше аудиторских доказательств может дать этот тест. При сравнении периода, охваченного отчетом 2-го типа, с периодом финансовой отчетности организации-пользователя аудитор организации-пользователя может прийти к выводу, что этот отчет 2-го типа дает меньше аудиторских доказательств, если существует лишь небольшое пересечение периода, охваченного отчетом 2-го типа, и периода, в отношении которого аудитор организации-пользователя намерен полагаться на этот отчет. В таком случае дополнительные аудиторские доказательства могут представляться в отчете 2-го типа, охватывающем предшествующий или последующий период. В других случаях аудитор организации-пользователя может определить, что необходимо провести тесты средств контроля обслуживающей организации или использовать другого аудитора для проведения таких тестов с целью сбора достаточных надлежащих аудиторских доказательств операционной эффективности этих средств контроля.
A33. Аудитору организации-пользователя может также понадобиться собрать дополнительные доказательства о существенных изменениях в средствах контроля обслуживающей организации за пределами периода, охваченного отчетом 2-го типа, или определить перечень дополнительных аудиторских процедур, которые необходимо провести. Значимые факторы при определении того, какие дополнительные аудиторские доказательства необходимо получить о средствах контроля обслуживающей организации, которые действовали за пределами периода времени, охваченного отчетом аудитора обслуживающей организации, могут включать: (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
- значительность оцененных рисков существенного искажения на уровне предпосылок;
- конкретные средства контроля, которые тестировались в течение промежуточного периода, и значительные изменения в них, имевшие место после тестирования, включая изменения в информационной системе, процессах и персонале;
- мера, в которой были получены аудиторские доказательства в отношении операционной эффективности этих средств контроля;
- продолжительность оставшегося периода;
- степень, до которой аудитор организации-пользователя намерен сократить объем дальнейших процедур проверки по существу, полагаясь на средства контроля;
- эффективность контрольной среды и процедуры, применяемые организацией-пользователем по мониторингу системы внутреннего контроля. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
A34. Дополнительные аудиторские доказательства могут быть получены, например, за счет распространения тестов средств контроля на оставшийся период или за счет тестирования процедур, применяемые организацией-пользователем по мониторингу системы внутреннего контроля. (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
A35. Если период, охватываемый тестами аудитора обслуживающей организации, полностью выходит за рамки финансового отчетного периода организации-пользователя, аудитор организации-пользователя не сможет полагаться на такие тесты для того, чтобы прийти к заключению, что средства контроля организации-пользователя работают эффективно, потому что эти тесты не дают доказательств эффективности средств контроля в текущем аудируемом периоде, если только не будут проведены другие процедуры.
A36. В определенных обстоятельствах услуга, предоставляемая обслуживающей организацией, может разрабатываться исходя из допущения, что организация-пользователь реализует определенные средства контроля. Например, эта услуга может быть разработана исходя из предположения, что организация-пользователь будет использовать средства контроля для авторизации операций перед тем, как они будут направлены в обслуживающую организацию для обработки. В такой ситуации описание обслуживающей организацией средств контроля может включать описание этих дополнительных средств контроля организации-пользователя. Аудитор организации-пользователя принимает решение о том, являются ли значимыми эти дополнительные средства контроля организации-пользователя для услуги, предоставляемой организации-пользователю.
A37. Если аудитор организации-пользователя считает, что отчет аудитора обслуживающей организации не может обеспечить достаточные надлежащие аудиторские доказательства, например, если отчет аудитора обслуживающей организации не содержит описания проведенных им тестов средств контроля и их результатов, аудитор организации-пользователя может расширить свое понимание процедур и выводов аудитора обслуживающей организации, связавшись с обслуживающей организацией через организацию-пользователя и запросив о возможности обсудить с аудитором обслуживающей организации объем и результаты работы этого аудитора обслуживающей организации. Кроме того, если аудитор организации-пользователя сочтет необходимым, он может связаться с обслуживающей организацией через организацию-пользователя и запросить о проведении аудитором обслуживающей организации процедур в обслуживающей организации. В качестве альтернативы такие процедуры могут проводиться аудитором организации-пользователя или другим аудитором по запросу аудитора организации-пользователя.
A38. Отчет 2-го типа аудитора обслуживающей организации содержит результаты тестов, включая расхождения, и прочую информацию, которая может оказывать влияние на выводы аудитора организации-пользователя. Расхождения, отмеченные аудитором обслуживающей организации, или модифицированное мнение в отчете 2-го типа аудитора обслуживающей организации автоматически не означают, что такой отчет 2-го типа аудитора обслуживающей организации не будет полезен для аудита финансовой отчетности организации-пользователя в плане оценки рисков существенного искажения. Скорее, эти расхождения и вопросы, которые привели к выражению модифицированного мнения в отчете 2-го типа аудитора обслуживающей организации, учитываются аудитором организации-пользователя при оценке тестов средств контроля, проведенных аудитором обслуживающей организации. При изучении этих расхождений и вопросов, которые привели к модифицированному мнению, аудитор организации-пользователя может обсудить такие вопросы с аудитором обслуживающей организации. Такое информационное взаимодействие зависит от участия организации-пользователя, которая должна связаться с обслуживающей организацией и получить ее согласие на организацию информационного взаимодействия аудиторов.
Информирование о недостатках в системе внутреннего контроля, выявленных в ходе аудита
A39. Аудитор организации-пользователя должен своевременно сообщать в письменной форме о значительных недостатках, выявленных в ходе аудита, как руководству, так и лицам, отвечающим за корпоративное управление. <11> Аудитор организации-пользователя также должен своевременно сообщить руководству с соответствующим уровнем ответственности о других недостатках в системе внутреннего контроля, выявленных в ходе аудита, которые, согласно профессиональному суждению аудитора, достаточно важны, чтобы привлечь внимание руководства. <12> Вопросы, которые аудитор организации-пользователя может выявить в ходе проводимого аудита и сообщить руководству и лицам, отвечающим за корпоративное управление, организации-пользователя, включают:
<11> МСА 265 "Информирование лиц, отвечающих за корпоративное управление, и руководства о недостатках в системе внутреннего контроля", пункты 9 - 10.
<12> МСА 265, пункт 10.
- любые средства контроля, применяемые организацией-пользователем в процедурах по мониторингу системы внутреннего контроля, которые могут использоваться организацией-пользователем, в том числе выявленных по результатам отчета 1-го типа или 2-го типа; (в ред. Поправок, утв. Приказом Минфина РФ от 27.10.2021 N 163н)
- случаи, когда в отчете 1-го или 2-го типа упоминаются дополнительные средства контроля организации-пользователя и эти средства контроля не используются в организации-пользователе;
- средства контроля, которые могут быть необходимы в обслуживающей организации, но которые, по-видимому, не были использованы или не были отдельно описаны в отчете 2-го типа.
Отчеты 1-го и 2-го типов, которые не включают услуги субподрядчика обслуживающей организации
(см. пункт 18)
A40. Если обслуживающая организация пользуется услугами субподрядчика обслуживающей организации, аудиторское заключение аудитора обслуживающей организации может включать или не включать соответствующие цели и средства контроля субподрядчика обслуживающей организации в описание обслуживающей организацией ее систем и в объем задания аудитора обслуживающей организации. Эти два метода подготовки отчета известны как "метод включения" и "метод исключения" соответственно. Если отчет 1-го или 2-го типа не включает средства контроля, используемые субподрядчиком обслуживающей организации, а услуги, предоставляемые субподрядчиком обслуживающей организации, являются применимыми для аудита финансовой отчетности организации-пользователя, аудитор организации-пользователя должен применить требования настоящего стандарта к субподрядчику обслуживающей организации. Характер и объем работ, которые должны быть выполнены аудитором организации-пользователя в отношении услуг, предоставленных субподрядчиком обслуживающей организации, зависят от характера и значительности таких услуг для организации-пользователя, а также от применимости этих услуг для аудита. Применение требования, изложенного в пункте 9, помогает аудитору организации-пользователя при определении влияния субподрядчика обслуживающей организации, а также характера и объема работы, которую необходимо выполнить.
Недобросовестные действия, несоблюдение законов и нормативных актов и неисправленные искажения в связи с деятельностью обслуживающей организации
(см. пункт 19)
A41. В соответствии с договором с организациями-пользователями от обслуживающей организации может потребоваться раскрывать соответствующим организациям-пользователям информацию о любых случаях недобросовестных действий, несоблюдения законов и нормативных актов или неисправленных искажениях со стороны руководства или рядовых сотрудников обслуживающей организации. В соответствии с требованиями пункта 19 аудитор организации-пользователя запрашивает у руководства организации-пользователя информацию о том, сообщала ли обслуживающая организация о каких бы то ни было подобных проблемах, и оценивает, влияют ли на характер, сроки и объем дальнейших аудиторских процедур аудитора организации-пользователя сообщенные обслуживающей организацией сведения. В некоторых обстоятельствах аудитору организации-пользователя для выполнения такой оценки может потребоваться дополнительная информация, и он может обратиться к организации-пользователю с просьбой запросить у обслуживающей организации необходимую информацию.
Представление заключения аудитором организации-пользователя
(см. пункт 20)
A42. Когда аудитор организации-пользователя не в состоянии собрать достаточные надлежащие аудиторские доказательства в отношении услуг, предоставляемых обслуживающей организацией, которые являются применимыми для аудита финансовой отчетности организации-пользователя, имеет место ограничение объема аудита. Это может происходить, когда:
- аудитор организации-пользователя не в состоянии получить достаточное понимание услуг, предоставляемых обслуживающей организацией, и не имеет основания для выявления и оценки рисков существенного искажения;
- оценка рисков аудитором организации-пользователя включает ожидание того, что средства контроля обслуживающей организации работают эффективно, и аудитор организации-пользователя не может получить достаточные надлежащие аудиторские доказательства в отношении операционной эффективности этих средств контроля;
- достаточные надлежащие аудиторские доказательства можно получить только на основе данных, которые хранятся в обслуживающей организации, а аудитор организации-пользователя не имеет непосредственного доступа к этим данным.
Вынесет ли аудитор организации-пользователя мнение с оговоркой или откажется от выражения мнения, зависит от вывода, сделанного аудитором организации-пользователя по вопросу о том, является ли возможное воздействие на финансовую отчетность существенным или всеобъемлющим.
Ссылки на работу аудитора обслуживающей организации
(см. пункты 21 - 22)
A43. В некоторых случаях законом или нормативным актом может быть предусмотрено требование ссылаться на работу аудитора обслуживающей организации в аудиторском заключении аудитора организации-пользователя, например, для целей обеспечения прозрачности в государственном секторе. В таких обстоятельствах аудитору организации-пользователя может понадобиться предварительно получить согласие аудитора обслуживающей организации на такую ссылку.
A44. Тот факт, что организация-пользователь использует обслуживающую организацию, не отменяет ответственности аудитора организации-пользователя в соответствии с Международными стандартами аудита получить достаточные надлежащие аудиторские доказательства, чтобы иметь разумные основания для подтверждения мнения аудитора организации-пользователя. Поэтому аудитор организации-пользователя не приводит ссылку на отчет аудитора обслуживающей организации в разделе, который включает обоснование мнения аудитора организации-пользователя о финансовой отчетности организации-пользователя. Однако, когда аудитор организации-пользователя выражает модифицированное мнение вследствие модифицированного мнения в заключении аудитора обслуживающей организации, аудитор организации-пользователя может сослаться на заключение аудитора обслуживающей организации, если такая ссылка помогает пояснить причины выражения модифицированного мнения аудитором организации-пользователя. В таких обстоятельствах аудитору организации-пользователя может понадобиться предварительно получить согласие аудитора обслуживающей организации на такую ссылку.