Внешние подтверждения по МСА

Читаю стандарт и не понимаю, кто непосредственно должен отправлять запрос - аудитор или клиент по просьбе аудитора.

С одной стороны:
7. При выполнении процедур внешнего подтверждения аудитор обязан контролировать весь цикл подготовки запросов о внешнем подтверждении, включая:
...
(d) отправку подтверждающей стороне запросов, в том числе повторных, если потребуется (см. пункт A7).

С другой стороны:
8. Если руководство отказывается разрешить аудитору направить запрос о подтверждении информации, аудитор обязан...

Контролировать - значит, что можно просто стоять над душой у клиента пока он отправляет запросы либо просить, чтоб ставили аудитора в копию при отправке запроса пл электронке. Но дальше - про разрешение аудитору направить запрос, т.е. аудитор вроде как сам должен отправлять. При этом непонятно, как должно быть зафиксировано согласие клиента на запрос.

Помогите, пожалуйста. С перечнем адресатов определился, текстовка тоже есть, но как отправлять - сомневаюсь.

На форуме этот вопрос ранее обсуждался [www.audit-it.ru]

Да уж, понятно. Пойдем по рискованному варианту - попрошу отправить клиента по электронке. Иначе ждать, пока это всё пройдет через почту России - все сроки проверки выйдут

Спасибо.

Обратите внимание, что, согласно МСА 505


A12.   С ответами, полученными по электронным каналам связи, например, по факсу или электронной почте, связан риск недостоверности представленных в них данных, поскольку подтверждение их происхождения и полномочий ответившего лица (респондента), а также обнаружение внесенных изменений может оказаться затруднительным. Снизить эти риски может применение аудитором и респондентом процедур, которые обеспечивают безопасную передачу ответов по электронным каналам. Если аудитор удовлетворен степенью безопасности, которую обеспечивают такие процедуры, и степенью контроля за ними, уверенность в достоверности данных, приведенных в ответах, повышается. Процедуры электронного подтверждения могут включать разнообразные методы идентификации отправителя информации в электронном формате, такие, например, как применение средств шифрования, использование электронных цифровых подписей, а также выполнение процедур проверки подлинности интернет-сайтов.

Это-то мы учли. У нас в запросе просьба отправить ответ сразу двумя способами: 1) электронной почтой или факсом в сжатые сроки; 2) на бумажном носителе по почте. Первый вариант - для ускорения работы аудитора, второй - как основное доказательство.

Ну и нормально. Все так делают.

Коллеги, а как считаете, если аудитору дают "письмо", по которому он вправе сам направлять запросы третьим лицам (эти лица перечислены в этом письме) и получать от них сведения. Возможно ли такое вообще ?

Столкнулась в этом году с тем, что по аудиту за прошлый год получили от нового аудитора опросник. Отвечать на него не стали, так как посчитали, что это может нарушить аудиторскую тайну. Попросили бывшего клиента прислать запрос, но так и не получили его.  Сами всегда действуем только через клиента. 

Полностью "действовать через клиента" вряд ли возможно, так как аудитор должен сам отправлять (в МСА 505 -"должно быть отправлено под контролем аудитора") и сам получать запросы.

Другой вопрос, что в запросе должно быть согласие аудируемого лица на предоставление адресатом информации. Это достигается двумя способами:
1) запрос подписан аудируемым лицом (но отправлен аудитором)
2) запрос подписан аудитором, но в нём - сбоку, сверху, снизу, на обороте - где угодно - содержится информация, подписанная аудируемым лицом, что аудируемое лицо не возражает против раскрытия информации. Подвариант: есть отдельное письмо аудируемого лица, которое в оригинале прикладывается к запросу, подписанному аудитором.

По вашему вопросу - аудируемое лицо может дать аудитору такое "письмо" в количестве экземпляров, соответствующих количеству адресатов. Тогда аудитор отправит оригинал "письма" аудируемого лица в качестве приложения к оригиналу своего запроса.

Вера Леонидовна
Столкнулась в этом году с тем, что по аудиту за прошлый год получили от нового аудитора опросник. Отвечать на него не стали, так как посчитали, что это может нарушить аудиторскую тайну.

Вы правильно поступили.
Я в аналогичной ситуации ответил, что не имею права ответить на вопросы нового аудитора, так как не вижу согласия аудируемого лица на раскрытие запрашиваемой информации. Повторного запроса от нового аудитора - вместе с согласием аудируемого лица на раскрытие информации новому аудитору - не поступило.

Грэг
Полностью "действовать через клиента" вряд ли возможно, так как аудитор должен сам отправлять (в МСА 505 -"должно быть отправлено под контролем аудитора") и сам получать запросы.

Практика БИГов, с чем приходится сталкиваться в повседневной жизни - аудируемое лицо направляет запросы третьим лицам. Получателем ответа будет аудиторская организация. Должно быть отправлено под контролем аудитора, совсем не означает, что запросы должна направлять сама аудиторская организация. Но и не исключает этого. 

Мы с этого года просим аудируемое лицо предоставить нам копии направленных запросов и получаем сопроводительное письмо в котором говорится,что указанные письма были отправлены такого-то числа третьим лицам по нашему запросу. Как правило на мыло ответы начинают приходить уже на следующий день после отправке,оригиналы по почте идут иногда месяцами. По ТКС не было ни одного случая передачи документов от третьего лица.

Вера Леонидовна
Должно быть отправлено под контролем аудитора, совсем не означает, что запросы должна направлять сама аудиторская организация.

Вы правы.
Однако, на практике получается, что гораздо проще отправить самому аудитору, чем документировать, что отправка произведена "под контролем" аудитора.
По этому поводу ранее уважаемый Escapist приводил показательный пример  (ссылку на все обсуждение целиком я дал выше).

Escapist
Если серьезно - в свое время методичка в одной большой фирме разрешала подготовить шаблон и бланк обратного ответа, перечень адресов и тп. Письма по шаблону в данные адреса готовил клиент за своей подписью и с указанием, чтобы контрагент отвечал аудитору напрямую. Письма в конверты клали и отправляли почтой уже сами аудиторы от своего имени. Потом, если не ошибаюсь, после очередного громкого скандала, когда была выявлена подделка писем-подтверждений из банков запретили такое разделение труда.

А выбор - отправлять самому или доказывать "контроль над отправкой" - это уж каждый выбирает сам. В моей фирме мы сами всё отправляем.

Грэг
выбор - отправлять самому или доказывать "контроль над отправкой" - это уж каждый выбирает сам. В моей фирме мы сами всё отправляем.

Отправка, это расходы.
А эти почтовые расходы Вам компенсируют ?

Эх. Проще было бы, если бы отправил клиент (тупо одно письмо по электронке по перечню адресов). Нам клиент сказал, чтоб отправляли сами. Теперь "рисую" официальные запросы по перечню и согласие клиента на раскрытие информации. Вот не было печали, сколько времени тратится.

Вера, мою фирму проверяли ещё в 2006 году зарубежные контролеры ВККР в отношении проведения аудита по МСА. При изучении контролерами процедуры отправок запросов я отмахался только подтверждением отправки самой аудиторской фирмой (показывал почтовые квитанции с указанным отправителем - аудиторской фирмой).

Несколько сотен рублей на отправку заказных писем - ничто по сравнению с нервотрепкой при доказывании факта "контроля за отправкой" (особенно если никакого "контроля" по сути и не было).

Торт
  Нам клиент сказал, чтоб отправляли сами.

Грамотный клиент
Видать,  тоже аудиторские стандарты почитывает.

Грэг,
Ага, конечно, где Вы видели клиентов, читавших аудиторские стандарты? Просто сказали: "Ну, налоговая же сама наших контрагентов как-то проверяет? Давайте и вы сами как-нибудь".

Грэг
При изучении контролерами процедуры отправок запросов я отмахался только подтверждением отправки самой аудиторской фирмой (показывал почтовые квитанции с указанным отправителем - аудиторской фирмой).

Но ведь отправка запросов может быть не только по почте россии.
и сейчас уже не 2006 год. наши клиенты ведут деловую переписку в основном через e-mail, есть кто применяет телеграмм и фотспаппп, скайп. 
 Мы уже года три как не получаем факсы, хотя номер факса всегда вписан как вариант для оперативного ответа.
мне кажется, что главное результат, что на запросы вам ответили и у вас есть подтверждение от аудируемого лица, что он выполнил эти действия и отправил запросы.

Вера,
Всё бы ничего, но в стандарте есть еще кое-что насчет того, что ответ на запрос был отправлен "нужным" лицом... Основная идея - никому нельзя доверять.

Вера, если Вы не отправляли запрос, то откуда Вы знаете, что ответ получен именно от того, кому, как предполагалось, отправлен запрос? Какая Вам разница, как ведут переписку Ваши клиенты? Если ВАША ФИРМА ведет деловую переписку через е-мейл, телеграмм и фот сапп со скайпом, то и отправляйте САМИ через эти средства информирования, толкьо отправляйте со своего ОФИЦИАЛЬНОГО адреса е-мейла, скайпа и т.п. на ОФИЦИАЛЬНЫЙ адрес адресата, о чём имейте надлежащие подтверждения в файле аудиторской проверки.

Главное не просто получить результат, главное - получить результат без сомнений в его достоверности. Отправка запроса клиентом (хоть почтой, хоть через е-мейл, ватсап и т.п.) при отсутствии вменяемого контроля со стороны аудитора неизбежно несет повышенный риск недостоверности полученного ответа. В таком случае, от аудитора потребуется предпринимать дополнительные аудиторские процедуры.

МСА 505 

A14. МСА 500 требует от аудитора определить, следует ли изменить или дополнить процедуры, с тем чтобы устранить сомнения в достоверности информации, которая будет использоваться в качестве аудиторского доказательства . Для проверки источника информации и содержания ответа на запрос о подтверждении аудитор может связаться с подтверждающей стороной. Например, если подтверждающая сторона направляет ответ по электронной почте, с целью удостовериться в том, что ответ направила именно она, аудитор может связаться с подтверждающей стороной по телефону. Если ответ был получен аудитором не напрямую (например, из-за того, что подтверждающая сторона неверно указала получателя (организацию вместо аудитора)), аудитор может попросить подтверждающую сторону направить письменный ответ непосредственно на его имя.

Откуда взять нужное лицо ??? 
Буквально вчера наш клиент в очередной раз решил изменить правила должной осмотрительности. И ничего нового из общеизвестных всем "принципов" не нашел.
Хорошо, если ответ на запрос подпишет главбух контрагента аудируемого лица, если подпишет руководитель вообще счастье !  А если еще поставят печать - то повезло-так повезло.

Конечно, даже получив внешнее подтверждение риск всегда остается. Но уже одно то, что по каким то критериям данные учета аудируемого лица зеркальны данным его контрагента - для аудитора праздник.

Грэг
Вера, если Вы не отправляли запрос, то откуда Вы знаете, что ответ получен именно от того, кому, как предполагалось, отправлен запрос?

Мы минимально идентифицируем третье лицо - обязательно в запросе по мимо названия компании указываем их регистрационные данные соответствующие ЕГРЮЛ. В ответе клиент как правило тоже дублирует свои данные, так как ООО "РОМАШКА" зарегистрировано более 1000 ... и нам отвечает та ООО "Ромашка" чей ИНН мы указали в запросе для получения подтверждения.

В российской практике проблема еще в том, что данные адресов в ЕГРЮЛ за редким исключением совпадают с данными фактическими. Нам клиенты часто приносят отправленные запросы возвращенные почтой по причине отсутствия по адресу спустя установленный срок. 
И это тоже подтверждение того, что запрос был направлен.

Вера,сформулирую вопрос по-другому. Если не Вы послали запрос, откуда Вы знаете, что ушел именно тот текст, который Вы хотели послать? И что вообще ушел хоть какой-то запрос? Откуда Вы знаете, что ответ (в котором указан ИНН именно "Ромашки") оправила Вам именно "Ромашка"? А не "Василек", которого Вы аудируете и который любезно согласился взять на себя тяготы по отправке "Ромашке" вашего запроса? (И который, хихикая, нарисовал в графическом редакторе требуемые подписи и печати, и отправил Вам требуемое подтверждение, приговаривая по-задорновски "ну, аудиторы, и тупы-ы-ые...)

В моей практике был случай, когда подделана оказалась выписка банка и сверка остатков с ним (банком) так же. Выяснилось только вследствие получения от банка ответа, в котором сообщалось о несовпадении данных. Если уж святая святых (банковские выписки!) ухитряются подделать, что уж говорить об ответах на запросы.

Грэг, соглашусь с вами, что подделать могут все что угодно. Но и на запрос отправленный аудитором тоже может придти не понятно чего и кем подписанный, согласитесь, всегда  остается риск. 
С чего собственно я начала эту дискуссию - это если вам аудитору приходит запрос от аудитора  в котором он просит ссылаясь на стандарты, КЭ и т.д. раскрыть информацию с письмом от аудируемого лица  - дать ! Почему у меня должна быть уверенность, что это письмо не подделано?  Думаю, что вы сталкивались не раз, когда подделываются и аудиторские заключения - у клиента одно, у аудиторской фирмы другое.  

Можно больше развить эту тему и считать, что все кругом все подделывают - и клиенты, и их контрагентов, и банки, и налоговая ... Вы хотя бы раз делали запрос в налоговую , какую отчетность сдало ваше аудируемое лицо ? С тем данными, что вам дали для проверки ?
Вы думаете вам ответить налоговая ? Или банк, если вы напрямую запросите информацию по письму клиента ? Все сохраняют свою тайну!  

Я считаю, что все можно довести до абсурда.  

Мне кажется, что аудируемое лицо по запросу аудитора может само отправить запросы, предоставить аудитору копии этих запросов и подтверждения того, что запросы были направлены. Если через три дня на мыло не придут ответы, в целях контроля проверить еще раз как он это сделал. Обычно после этого срабатывает и ответы начинают приходить. И вам ни кто не запрещает, как лицу получившему ответ наладить коммуникацию с третьим лицом и выяснить все моменты, что бы снизить риск для приемлемого уровня.  

 

Вера Леонидовна
Или банк, если вы напрямую запросите информацию по письму клиента

Банки прекрасно отвечают напрямую аудитору при наличии письма клиента, посланного аудитором. неоднократно сталкивался.

если есть подозрение в том, что ответ подделан - стандарт требует предпринять дополнительные меры. Просто в случае, когда запрос отправлен НЕ ВАМИ, такое подозрение должно быть просто по определению. Вы можете поручать аудируемому лицу что то там отправлять, тогда либо 1) вы будете обязаны доказать контроль аудитора пири отправке - поверьте, оно того не стоит, проще отправить самому, либо 2) ценность пришедших ответов крайне сомнительна, всё равно аудитору придется связываться напрямую с адресатом. Ну и какой глубокий смысл упираться в то, что можно отправлять запросы через клиента?

Зачастую некоторый объем писем-подтверждений от контрагентов аудируемого лица поступает много позже даты выданного АЗ.

По заключениям, выданным в апреле, некоторые  подтверждения приходят сейчас, в октябре 🤦♂ 

Выкидывать такие письма, или несмотря ни на что прикладывать к рабочим документам? Кто как поступает?