Куперс

Бухучет и анализ

План внутренних проверок

Как подготовить и найти образец плана мероприятий

Различным организациям требуется знать персональные сведения о собственных сотрудниках, они уполномочены запрашивать свои кадры об их предоставлении. В то же время сами работники со своей стороны имеют право ожидать, что далее эти сведения никуда не поступят, и они останутся неизвестны как другим сотрудникам компании помимо тех, кто осведомлен о них по должности, так и снаружи организации. С целью сохранности конфиденциальности по данному направлению в различных структурах осуществляются мероприятия по защите персональных данных.

Мероприятия по защите персональных данных

Мероприятия данного рода — это любые действия в рамках организации, нацеленные на то, чтобы сведения личного характера относительно сотрудников могли знать лишь те, у кого есть такой допуск, и никто более, а эти лица в свою очередь никому их не разглашали.

Среди мероприятий по защите персональных данных различают административные (или организационные), технические (программные и аппаратные), физические и контролирующие.

Мероприятия по защите персональных данных (или ПНД) также классифицируются как внутренние и внешние. Первые из них адресованы кадрам самой компании и имеют целью обеспечить, чтобы лица, входящие в ее персонал, либо не получили доступ к тем сведениям, к которым у них нет допуска, либо не раскрыли такую информацию, если у них допуск есть. Меры внешнего характера нацелены на избежание того, чтобы информацию получили лица вне организации.

В состав мероприятий внутреннего характера, нацеленных на сохранение персональных данных сотрудников организации, входит прежде всего отправка в Роскомнадзор, являющийся уполномоченной организацией, извещения о том, что компания представляет собой оператора персональных данных (сокращенно ПДн), иначе говоря, она выполняет по отношению к подобной информации такие процедуры, как сбор, хранение и обработка.

Также к таким мероприятиям относится создание пакета документации внутреннего характера, которая применяется при операциях с ПДн и последующее ее внедрение в деятельность этой структуры, в числе следующих бумаг:

  • положение, о личных данных, это документ общего характера, где описывается в целом политика компании в данной сфере;
  • список лиц, у которых есть допуск, дающий им право присутствовать в таких помещениях;
  • приказ о назначении лица, которое будет нести ответственность за обработку данных
  • положение о мерах технического, организационного и правового характера, нацеленных на защиту ПДн от несанкционированного доступа к ним (случайного либо намеренного и неправомерного характера), в таком положении прописываются точные меры, осуществляемые для решения таких задач, в том числе в нем может упоминаться:
  • локальные правовые акты, где описываются действия, нацеленные на выявление и устранение как нарушений в области защиты персональных данных, так и их последствий, в том числе: инструкция об осуществлении расследования в организации относительно нарушения законов в данной сфере;
  • журнал подготовки по дисциплине безопасность ПДн и последующей проверки по нему знаний сотрудников с соответствующей аттестацией;
  • журнал проверок с помощью антивирусов и определения уровня работы с такого рода сведениями;
  • должностные инструкции для кадров, которые в своей деятельности знакомятся с персональными данными других работников организации;

Помимо этого организуется пропускной режим для контроля доступа в помещения, где находятся носители персональных данных. Определяется перечень документов, в которых на данном предприятии могут содержаться персональные данные (в остальных их быть не может). В организации создают закрытый список сотрудников организации, которым разрешается взаимодействовать с персональными данными, в том числе назначают лиц, которые осуществляют процедуры по сохранению секретности таких ПДн.

Сотрудники на предприятии знакомятся с существующими нормами в сфере защиты ПДн, в частности все лица, которые располагают доступом к таким сведениям, должны обладать требуемым объемом знаний в отношении правовых норм по данному вопросу. Проводится регулярная проверка наличия у сотрудников знаний, приобретенных ими в ходе инструктажа, осуществляемого в соответствии с предыдущим пунктом, в также исполнения ими требований. Кроме того, выполняют профилактическую работу с персоналом, нацеленная на предотвращение раскрытия ими ПДн;

Рабочие места на предприятии размещают с таким расчетом, чтобы затруднить сотрудникам случайный, равно как и намеренный доступ к персональным данным. Для защиты сведений используют программные средства, в том числе пароли и антивирусы. Сами ПДн сохраняют отдельно от иной информации. Наконец, для сведений, необходимость в которых отпала, определяют порядок осуществления их уничтожения.

Мероприятия внешнего характера включают пропускной режим на входе в предприятие в целом (а не конкретно в его помещения, где содержатся ПНД), а также использование технических охранных средств, а также ПО для того, чтобы обезопасить нужную информацию от доступа снаружи.

Среди субъектов, участвующих в деятельности по данному направлению на предприятии, следует выделить, прежде всего, самих специалистов по безопасности данных, которые как разрабатывают документу по этому профилю, так и осуществляют их реализацию.

Кроме того, необходимо упомянуть руководителей предприятия, в том числе генерального директора, который осуществляет общее руководство данным направлением, а также принимает своими приказами и распоряжениями локальные правовые акты и назначает людей на должности, связанные с охраной ПДн;

Помимо этого, по данному направлению задействуются лица из упомянутого выше закрытого списка сотрудников, получающих доступ к таким сведениям, на практике допуск к ПНд обычно предоставляется:

  • специалистам по кадрам;
  • сотрудникам бухгалтерского отдела;
  • секретарям, занятым делопроизводством;
  • лицам, которые осуществляют заключение трудовых соглашений с соискателями;
  • юристам;
  • инженерам;
  • программистам.

Что такое план мероприятий

План мероприятий по защите персональных данных — это список действий по данному профилю.

План мероприятий по защите персональных данных принимается в виде локального правового акта по организации. Его оформляет руководитель этой структуры своим приказом. Непосредственную разработку документа осуществляют специалисты в данной сфере, после чего он поступает к главе организации на утверждение. План имеет форму таблицы. Сверху находится шапка с реквизитами. Далее идет название документа. Ниже сама таблица с тремя графами.

В первой содержится наименование мероприятий (по данному профилю, то есть нацеленных на защиту персональных данных), в частности это могут быть:

  • проведение инструктажа;
  • обследование информационных систем;
  • организация охраны;
  • и т.п.

Во второй указывается лицо, ответственное за соответствующее мероприятие.

Наконец, в третьей приводится срок его выполнения (если это либо отдельное мероприятие, либо длительная, но одноразовая процедура) или его регулярность, если такое действие является повторяющимся.

Образец для внутренних проверок

Этот документ, также как и предыдущий выполняется в табличной форме. Образец плана внутренних проверок режима защиты персональных данных имеет определенную структуру.

Сверху располагается шапка, в которой первое слово — утверждено либо утверждаю. Далее в этой шапке идет название должности утверждающего лица, это может быть руководитель государственного ведомства, а также генеральный директор компании, потом следует его фамилия, имя и отчество, еще ниже идет дата составления документа.

Следом по центру располагается обозначение самого документа: в первой строчке — план внутренних проверок, под ней — уточнение — «режима (либо состояния) защиты персональных данных в такой-то организации».

Еще ниже идет основное содержание документа, который выполняется в виде таблицы с тремя графами.

Первая имеет название «Мероприятие», в этом столбце указываются сами мероприятия;

Вторая обозначается как срок/периодичность, соответственно в ней приводятся либо даты, когда произойдет та или иная процедура, либо их регулярность (они могут быть ежедневными, еженедельными, ежемесячными и ежегодными);

Наконец, у третьей колонки обозначение — ответственный/исполнитель, там пишутся ФИО лица, отвечающего за мероприятие, которое указано в той же строчке в первом столбце.

Таким образом, данный документ сходен с описанным в предыдущем разделе.

Подробнее о проверках режима защиты персональных данных смотрите ниже на видео.

«Международный стандарт аудита 210 «Согласование условий аудиторских заданий» (введен в действие на территории Российской Федерации Приказом Минфина России от 09.01.2019 N 2н)

  • Международный стандарт аудита 210 «Согласование условий аудиторских заданий»
    • Введение
      • Сфера применения настоящего стандарта
      • Дата вступления в силу
    • Цель
    • Определения
    • Требования
      • Обязательные условия для проведения аудита
        • Ограничение объема работ в рамках аудита до принятия условий аудиторского задания
        • Прочие факторы, воздействующие на принятие предложения о проведении аудита
      • Согласование условий аудиторских заданий
      • Повторные аудиторские задания
      • Принятие изменений в условиях аудиторского задания
      • Дополнительные соображения при принятии условий задания
        • Стандарты финансовой отчетности, дополненные законами или нормативными актами
        • Концепция подготовки финансовой отчетности предписана законом или нормативным актом — прочие факторы, оказывающие влияние на принятие условий задания
        • Аудиторское заключение, предусмотренное законом или нормативным актом
    • Руководство по применению и прочие пояснительные материалы
      • Сфера применения настоящего стандарта
      • Обязательные условия для проведения аудита
        • Концепция подготовки финансовой отчетности
          • Определение приемлемости концепции подготовки финансовой отчетности
          • Концепции подготовки финансовой отчетности общего назначения
          • Концепции подготовки финансовой отчетности, предписываемые законом или нормативным актом
          • Юрисдикции, в которых отсутствуют органы стандартизации или предписанные законом концепции подготовки финансовой отчетности
        • Согласование соответствующих обязанностей руководства
          • Подготовка финансовой отчетности
          • Система внутреннего контроля
          • Дополнительная информация
          • Особенности малых организаций
      • Согласование условий аудиторских заданий
        • Согласование условий аудиторского задания
        • Письмо-соглашение об условиях аудиторского задания или другая форма письменного соглашения
          • Форма и содержание письма-соглашения об условиях аудиторского задания
          • Аудит компонентов аудируемой организации
          • Обязанности руководства, предписываемые законами или нормативными актами
          • Особенности организаций государственного сектора
      • Повторные аудиторские задания
      • Принятие изменений в условиях аудиторского задания
        • Запрос на внесение изменений в условия аудиторского задания
          • Запрос замены аудита на обзорную проверку или на оказание сопутствующих услуг
      • Дополнительные соображения при принятии условий задания
        • Стандарты финансовой отчетности, дополненные законами или нормативными актами
        • Концепция подготовки финансовой отчетности предписана законами или нормативными актами — прочие факторы, оказывающие воздействие на принятие условий заданий
        • Аудиторское заключение, предусмотренное законом или нормативным актом
          • Особенности организаций государственного сектора
  • Приложение 1. Пример письма-соглашения об условиях аудиторского задания
    • Цель и объем аудита
    • Обязанности аудитора
    • Ответственность руководства и указание применимой концепции подготовки финансовой отчетности (для целей данного примера принято допущение, согласно которому аудитор установил, что законы или нормативные акты не регламентируют такую ответственность в надлежащих терминах, поэтому используются описания, представленные в пункте 6(b) данного стандарта)
    • Прочая значимая информация
    • Составление заключения
  • Приложение 2. Определение приемлемости той или иной концепции подготовки финансовой отчетности общего назначения
    • Юрисдикции, в которых отсутствуют уполномоченные или признанные органы стандартизации либо концепции подготовки финансовой отчетности, предписываемые законами или нормативными актами

Открыть полный текст документа

Международный стандарт аудита 210 «Согласование условий аудиторских заданий»(утвержден Приказом Министерства финансов Российской Федерации от 9 января 2019 года №2н)

Зарегистрирован

Министерством юстиции

Российской Федерации

31 января 2019 года №53639

Приложение №3

к Приказу Министерства финансов Российской Федерации от 9января 2019 года №2н

Международный стандарт аудита 210 «Согласование условий аудиторских заданий»

Международный стандарт аудита МСА 210 «Согласование условий аудиторских заданий» следует рассматривать вместе с МСА 200 «Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита».

Введение

Сфера применения настоящего стандарта

1. Настоящий стандарт устанавливает обязанности аудитора при согласовании условий аудиторского задания с руководством и, если уместно, лицами, отвечающими за корпоративное управление. Также рассматривается установление наличия некоторых обязательных условий для проведения аудита, обязанности по обеспечению которых возложены на руководство и, когда это уместно, на лиц, отвечающих за корпоративное управление. Те аспекты принятия условий проведения аудита, которые зависят от аудитора, рассматриваются в МСА 220 <1> (см. пункт A1).

———————————

<1> МСА 220 «Контроль качества при проведении аудита финансовой отчетности».

Дата вступления в силу

2. Настоящий стандарт вступает в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 декабря 2009 года или после этой даты.

Цель

3. Цель аудитора состоит в том, чтобы принять предложение о проведении аудита или продолжить его проведение лишь в тех случаях, когда согласованы основные условия, на основании которых он должен проводиться, что достигается:

(a) установлением факта наличия обязательных условий для проведения аудита;

(b) подтверждением достигнутого между аудитором и руководством и, если уместно, лицами, отвечающими за корпоративное управление, единого понимания условий аудиторского задания.

Определения

4. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:

обязательные условия проведения аудита — использование руководством при составлении финансовой отчетности приемлемой концепции подготовки финансовой отчетности и согласие руководства и, если уместно, лиц, отвечающих за корпоративное управление, с основополагающим допущением об их ответственности <2>, исходя из которого проводится аудит.

———————————

<2> МСА 200 «Основные цели независимого аудитора и проведение аудита в соответствии с Международными стандартами аудита», пункт 13.

5. Для целей настоящего стандарта упоминание далее по тексту слова «руководство» следует читать как «руководство и, если уместно, лица, отвечающие за корпоративное управление».

Требования

Обязательные условия для проведения аудита

6. Для того чтобы установить, существуют ли обязательные условия для проведения аудита, аудитор должен:

(a) определить, приемлема ли та концепция подготовки финансовой отчетности, которая будет применена при подготовке финансовой отчетности (см. пункты A2 — A10);

(b) получить согласие руководства о том, что оно подтверждает и осознает свою ответственность (см. пункты A11 — A14, A21):

(i) за подготовку финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, включая, где это уместно, ее достоверное представление (см. пункт A15);

(ii) за такой внутренний контроль, который руководство считает необходимым для того, чтобы обеспечить подготовку финансовой отчетности, свободной от существенного искажения как по причине недобросовестных действий, так и вследствие ошибки (см. пункты A16 — A19);

(iii) за то, чтобы обеспечить аудитора:

a. доступом ко всей информации, о которой известно и которая имеет значение для подготовки финансовой отчетности, например к данным бухгалтерского учета, документации и прочим сведениям;

b. дополнительной информацией, которую аудитор может запросить у для целей аудита;

c. неограниченной возможностью информационного взаимодействия с лицами внутри организации, от которых аудитор считает необходимым получить аудиторские доказательства.

Ограничение объема работ в рамках аудита до принятия условий аудиторского задания

7. В случае, когда руководство или лица, отвечающие за корпоративное управление, накладывают в условиях предлагаемого аудиторского задания такое ограничение на объем работ, выполняемых аудитором, при котором аудитор считает, что это ограничение приведет к тому, что он в итоге откажется от выражения мнения о финансовой отчетности, то аудитор не должен принимать предложение о проведении такого ограниченного задания в качестве варианта аудита, за исключением случаев, когда это требуется законами или нормативными актами.

Прочие факторы, воздействующие на принятие предложения о проведении аудита

8. В случае, когда соответствующие обязательные условия для проведения аудита отсутствуют, аудитор должен обсудить ситуацию с руководством. За исключением случаев, когда это требуется законами или нормативными актами, аудитор не должен принять предложение о выполнении аудита:

(a) если аудитор определил, что концепция подготовки финансовой отчетности, которая будет применяться при подготовке финансовой отчетности, является неприемлемой, за исключением условий, описанных в пункте 19;

(b) если согласие, предусмотренное пунктом 6(b), не получено.

Согласование условий аудиторских заданий

9. Аудитор должен в зависимости от обстоятельств согласовать условия аудиторского задания либо с руководством, либо с лицами, отвечающими за корпоративное управление (см. пункт A22).

10. В соответствии с пунктом 11 согласованные условия аудиторского задания должны быть отражены в письме-соглашении об условиях аудиторского задания или оформлены иным письменным соглашением в надлежащей форме и должны включать (см. пункты A23 — A27):

(a) цель и объем аудита финансовой отчетности;

платный документ

Полный текст доступен после регистрации и оплаты доступа.

Согласование условий соглашений по аудиту

Если в Основных принципах изложены общие принципы, которые необходимо соблюдать при выполнении заданий, то цель конкретного задания четко оговаривается в письме о задании (Engagement Letter) или иной форме контракта между аудитором и клиентом. Даже если национальное законодательство устанавливает права и обязанности аудитора и клиента, определяет цель и охват аудита, МСА 210 «Согласование условий соглашений по аудиту»рекомендует аудитору дополнительно прописывать их в письме о задании, чтобы у клиента не сформировалось ошибочного представления о том или ином аспекте задания.

Письмо о задании формируется аудитором и направляется клиенту (предполагаемому клиенту) до начала проверки. Заранее форма такого письма не предусмотрена, каждая аудиторская фирма может выработать ее самостоятельно. Тем не менее, в письме аудитор должен отразить:

• цель задания (например, цель проведения конкретного аудита финансовой отчетности);

• ответственность руководства клиента за формирование финансовой отчетности;

• охват проверки, включая ссылки на обязательные к применению законодательные и нормативные акты и профессиональные стандарты;

• предполагаемые формы отчетов по заданию и порядок сообщения информации должностным лицам клиента;

• наличие неотъемлемых ограничений аудита – неизбежного риска того, что даже существенные искажения могут быть не обнаружены;

• требование свободного доступа к любой информации и документам, которые могут потребоваться в ходе аудита.

Кроме того, в письмо о задании аудитор может включить ряд других пунктов, которые он сочтет нужными в конкретных обстоятельствах, например:

• дополнительные детали, касающиеся планирования и организации аудита;

• получение разъяснений должностных лиц клиента в письменном виде;

• порядок расчета гонорара аудитора и порядок его оплаты;

• порядок привлечения других аудиторов и экспертов к заданию;

• порядок привлечения к заданию сотрудников клиента, включая службу внутреннего аудита;

• порядок контактов с предшествующим аудитором;

• порядок заключения дополнительных соглашений с клиентом и вступления их в силу.

Если аудитор проверяет одновременно головное и дочерние подразделения, он учитывает следующие факторы при решении, составлять ли отдельные письма о задании по каждому подразделению:

• кто назначает аудитора подразделения;

• степень зависимости подразделения или филиала;

• требуется ли отчет аудитора по каждому подразделению;

• каковы требования законодательства.

Если аудитор сотрудничает с клиентом не один отчетный период, то он решает, стоит ли составлять новое письмо о задании на следующий отчетный период. Ряд обстоятельств может повлиять на принятие такого решения:

• некорректное понимание клиентом целей и охвата задания;

• изменение условий задания;

• изменения в структуре управления или владения клиента;

• существенные изменения в масштабе деятельности клиента;

• требования законодательства.

Может возникнуть и такая ситуация, что потребуется внести дополнения в уже выполняющееся задание. В этом случае аудитор должен оценить, не снизится ли уровень предоставляемой уверенности и обосновано ли такое снижение. Если все требующиеся изменения экономически обоснованы, они должны быть включены в пересмотренное письмо о задании. По окончании задания в отчете аудитора не должно быть ссылок на условия исходного письма.

Если изменения не обоснованы, но руководство клиента продолжает настаивать на них, аудитор должен отказаться от задания и рассмотреть необходимость уведомления о сложившейся ситуации иных заинтересованных сторон (например, акционеров).

Документирование аудита

МСА 230 «Аудиторская документация»предусматривает, что аудитор должен своевременно подготовить рабочие документы, содержащие: достаточное и уместное обоснование отчета аудитора; доказательства того, что аудит был проведен в соответствии с МСА и требованиями законодательства и иных нормативных актов.

Рабочими документами аудитора называются записи проведенных аудиторских процедур, описание полученных аудиторских доказательств и изложение выводов, сделанных аудитором.

Несмотря на то, что в международной практике для обозначения рабочих документов часто применяется словосочетание «workingpapers» (или сокращенно «workpapers», «papers», что в российских подразделениях международных аудиторских фирм калькируется как «бумаги»), они могут быть как в бумажной форме, так и в электронной, а также могут быть записаны на других видах носителей. В качестве примеров рабочих документов можно привести план аудита, описание проведенных анализов, записки о существенных фактах, письма о подтверждении, анкеты, переписку (в том числе по электронной почте), копии значимых или специфичных договоров, аудиозаписи общения с лицами, наделенными полномочиями. При этом следует помнить два момента: рабочие документы не являются заменой бухгалтерских записей

проверяемой организации и нет необходимости документировать абсолютно все моменты, рассмотренные аудитором в ходе проверки.

Рабочие документы, относящиеся к определенному заданию, объединяются в аудиторский файл (папку, дело). Международные стандарты не устанавливают ни форм рабочих документов аудитора, ни состава аудиторского файла – эти моменты оставлены на усмотрение аудиторской фирмы. Тем не менее, ею должен быть учтен ряд требований: опытный аудитор, незнакомый с обстоятельствами проведенной проверки, должен из рабочих документов понять природу, временные рамки и охват аудиторских процедур, проведенных в соответствии с МСА и применимыми нормативными актами, понять результат аудиторских процедур и полученные аудиторские доказательства, оценить значимые вопросы, возникшие в ходе аудита, и заключения, к которым пришли аудиторы.

Поскольку работа аудиторов носит командный характер, МСА 230 устанавливает еще два момента, которые должны найти отражение в рабочих документах: указание, кто и когда составил документ, и указание, кто и когда проверил работу аудитора (имеется в виду руководитель проверки либо ответственный партнер, в зависимости от характера проведенной работы).

При составлении рабочих документов аудиторы должны учитывать ряд факторов:

• природу аудиторских процедур;

• риски возникновения существенных искажений;

• значимость полученных аудиторских доказательств;

• необходимость документирования выводов или оснований для выводов, не следующих в явном виде из рабочих документов и полученных аудиторских доказательств;

• используемые методики и инструменты аудита.

В рабочих документах отражаются основные характеристики проведенных процедур и рассмотренных фактов. Также следует своевременно фиксировать результаты обсуждения значимых вопросов с руководством проверяемой организации. При обнаружении расхождений между данными аудиторских доказательств и собственным мнением аудитора аудитор должен указать, как он рассмотрел и учел эти расхождения при формировании заключения.

Своевременная подготовка достаточного объема уместных рабочих документов аудитора способствует повышению качества аудиторской проверки и упрощает мониторинг и оценку полученных аудиторских доказательств и сделанных на их основе выводов.

Также они служат подтверждением работы, проведенной аудитором. Если аудитору пришлось отступить от требований МСА (в силу требований национальных нормативных актов или обстоятельств проверки), в рабочих документах следует отразить причины такого отступления и проведенные альтернативные процедуры.

Документы, подготовленные в ходе или непосредственно по завершении аудиторских процедур, будут более точными, чем составленные некоторое время спустя.

Рабочие документы аудитора имеют многоцелевой характер использования. В качестве основных целей можно назвать:

• помощь команде аудиторов в планировании и осуществлении проверки;

• помощь ответственным участникам проверки (ответственному партнеру, руководителю проверки и т. д.) в проведении обзорных проверок выполненной работы в соответствии с МСА 220 и ISQC 1;

• фиксирование фактов, которые могут повлиять на последующие проверки;

• предоставление опытному аудитору возможности провести внешнее инспектирование в соответствии с требованиями законодательства.

Рабочие документы аудитора по каждому проекту образуют

файл (дело). Он состоит из двух частей – постоянной и ежегодной – и окончательно формируется после даты выпуска аудиторского заключения. ISQC 1 устанавливает, что в большинстве случаев срок 60 дней после даты аудиторского заключения является разумным для формирования файла.

В постоянную часть подшиваются документы, редко изменяющиеся (устав, учредительный договор, документы по долгосрочным кредитам и займам).

В ежегодную часть подшиваются документы по каждой проверке, которые условно можно распределить на ряд групп:

• проаудированная отчетность организации;

• переписка с клиентом касательно организационных моментов проверки;

• документы по планированию проверки;

• замечания, сформулированные по ходу проверки;

• проведенные аудиторские процедуры;

• документы по завершению проверки;

• вспомогательные документы.

Когда аудиторский файл сформирован, аудитор не должен удалять из него какие-либо документы и записи до истечения установленного срока хранения документов (в МСА, как и в России, предусмотрен минимально необходимый срок хранения документов 5 лет с момента подписания аудиторского заключения).

Согласно ISQC 1, аудиторская фирма должна установить у себя соответствующие политику и процедуры (например, архивную политику, процедуры дублирования бумажной документации и электронном виде, формирование электронного архива).

Случаются, однако, необычные ситуации, когда необходимо внести изменения уже после окончательного формирования файла. В таких случаях МСА 230 предписывает дополнительно документировать, кто, когда и на каком основании внес изменения в файл и повлияли ли эти изменения на мнение аудитора.

При обнаружении последующих событий (известных в России как события после отчетной даты, подробнее они рассмотрены МСА 560) после выпуска аудиторского заключения аудитор должен задокументировать:

— обнаруженные обстоятельства;

— новые или дополнительно проведенные аудиторские процедуры;

— кем и когда были сделаны необходимые изменения в аудиторской документации и (если это необходимо) кем и когда они были проверены.

Аудитор и законодательство

При планировании и выполнении аудиторских процедур, при оценке обнаруженных фактов и составлении отчета аудитор должен иметь в виду, что несоблюдение организацией законов и иных нормативных актов может существенно повлиять на ее финансовую отчетность. МСА 250 «Учет законодательства и нормативных актов при проведении аудита финансовой отчетности»рассматривает в основном коммерческое, налоговое и отраслевое право, т. е. те отрасли права, которые непосредственно влияют на хозяйственную деятельность организаций и их финансовую отчетность. Предполагается, что законодательные и нормативные акты доступны для ознакомления и проверяемой организации, и другим организациям той же отрасли. Следует отметить, что МСА 250 применяется исключительно к аудиту финансовой отчетности и не применяется к специальным заданиям, целью которых является проверка соблюдения определенных нормативных актов.

В то же время МСА 250 признает, что не следует ожидать, будто аудит обнаружит несоблюдение законодательных и нормативных актов. Направленный поиск фактов несоблюдения законодательства неизбежно потребует проверки честности руководства и сотрудников проверяемой организации, введения иных дополнительных процедур, что не всегда оправдано. Под термином «несоблюдение нормативных актов» МСА 250 подразумевает преднамеренное либо непреднамеренное действие или бездействие, не соответствующее применимым нормативным актам. При этом МСА не рассматривает неправомерные действия или бездействие руководства и работников проверяемой организации, не связанные с хозяйственной деятельностью организации. Более того, квалификация факта как несоблюдения нормативных актов – задание для юристов (скорее даже для суда), аудитор может лишь предположить, что несоблюдение нормативных актов имело место. Кроме этого, разные отрасли по-разному регулируются законодательством: одни жестко (например, специальные законы действуют для банковского дела, химической промышленности), другие – в общих чертах (безопасность труда, защита прав работников, равенство возможностей, налогообложение организаций и т. д.),

Несоблюдение законодательства чаще всего косвенно влияет на

финансовый результат (поскольку приводит к штрафам и иным экономическим санкциям). Менее вероятно обнаружение фактов несоблюдения законодательства, не связанных напрямую с составлением финансовой отчетности.

Руководство организации отвечает за соблюдение действующего законодательства и применимых нормативных актов, и также за обнаружение и предотвращение случаев несоблюдения в частности, полезными будут такие политика и процедуры, как:

• отслеживание изменений в законодательстве и соответствия деятельности организации этим изменениям;

• функционирование надлежащей системы внутреннего контроля;

• создание, доведение до сотрудников и отслеживание соблюдения кодекса корпоративного поведения (включая санкции к тем, кто не соблюдает кодекс);

• повышение квалификации сотрудников;

• привлечение юрисконсультов для решения юридических вопросов.

Крупные организации могут дополнить эти процедуры передачей некоторых полномочий службе внутреннего аудита и комитету по аудиту.

Аудитор не отвечает за предупреждение несоблюдения нормативных актов. Проведение аудита может только являться неким сдерживающим фактором. Причиной тому является неотъемлемое ограничение аудита – вероятность необнаружения существенных искажений финансовой отчетности.

Несоблюдение организацией нормативных актов повышает этот риск из-за ряда факторов:

• многие нормативные акты относятся к текущей деятельности предприятия, не отражаются в финансовой документации и прямо не влияют на финансовую отчетность;

• на эффективность аудиторских процедур влияют ограничения системы внутреннего контроля и применение выборочных методов тестирования;

• большинство аудиторских доказательств имеют скорее убеждающий характер, нежели доказывающий;

• в ряде случаев сотрудники скрывают факты несоблюдения нормативных актов (через подлог документов, умышленный пропуск в записях, сообщение аудитору неверной информации).

Для адекватного планирования аудита аудитор должен получить представление о правовом поле, в котором действует организация. Некоторые нормативные акты могут повлечь за собой деловые риски, которые существенно повлияют на деятельность предприятия в целом (вплоть до потенциального прекращения деятельности). Для получения первичных сведений о применимых нормативных актах аудитор может предпринять следующее:

• использовать имеющиеся сведения об отрасли и ее регулировании (например, предыдущий опыт работы);

• запросить руководство организации о применимом законодательстве, а также о политике и процедурах, принятых в целях его соблюдения;

• обсудить с руководством организации порядок оценки и учета судебных дел;

• обсудить применимые нормативные акты с аудиторами зарубежных дочерних или материнских компаний (особенно если ценные бумаги каких-то из связанных компаний котируются на бирже).

Аудитор должен в рамках своих возможностей выявить случаи несоблюдения нормативных актов, влияющих на финансовую отчетность. Для этого он может запросить руководство о том, действительно ли организация соблюдает применимые нормативные акты. Другой вариант действий аудитора (скорее, дополняющий предыдущий) – инспектирование переписки организации с регулирующими или лицензирующими органами.

Аудитор должен потребовать от руководства организации письменного подтверждения того, что оно раскрыло аудитору все известные или предполагаемые факты несоблюдения нормативных документов, которые влияют на финансовую отчетность.

Дальнейшие действия аудитора выходят за рамки большинства заданий на проведение аудита и потому МСА 250 не рекомендует их предпринимать. Более того предполагается, что организация соблюдает все применимые нормативные акты, если аудитор не получил доказательств обратного.

В случае, когда аудитору стало известно о предполагаемом несоблюдении, он должен получить информацию о характере факта несоблюдения, сопутствующих ему обстоятельствах и иных существенных аспектах, чтобы оценить влияние на финансовую отчетность.

При оценке такого влияния аудитор учитывает:

• потенциальные финансовые последствия (пени, штрафы, отчуждение имущества, принудительное прекращение деятельности);

• требования законодательства по раскрытию информации о финансовых последствиях;

• существенный характер последствий – дает ли финансовая отчетность правдивую и честную оценку состояния организации.

Если аудитор приходит к выводу о несоблюдении отдельных нормативных актов, он должен задокументировать обнаруженные факты и обсудить их с руководством проверяемой организации. При необходимости (особенно если руководство не дает убедительных разъяснений) аудитору следует проконсультироваться с юрисконсультом организации, если сомнении остаются – с собственным юристом. Основные моменты для обсуждения с юристами: наличие несоблюдения законодательства, возможные юридические последствия, дальнейшие действия аудитора.

Если аудитор все же не счел полученные доказательства убедительными, он должен отразить такую нехватку доказательств в аудиторском заключении. Затем аудитор рассматривает влияние несоблюдения нормативных актов на другие области аудита (особенно на надежность разъяснений руководства организации).

МСА 250 предписывает аудитору как можно скорее сообщить об обнаруженных фактах несоблюдения нормативных актов лицам, наделенным руководящими полномочиями (или получить доказательства того, что они информированы). Если аудитор предполагает, что руководство организации также вовлечено в несоблюдение нормативных актов, то об этом следует незамедлительно информировать более высокий уровень руководства и представителей собственника.

Интересные материалы:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Наверх