Бухгалтерский учет. Налоги. Аудит
Бухгалтерский учет. Налоги. Аудит

Форум – Аудит: теория и практика

Обсуждаем:

Обмен рабочими документами МСА, опытом по наработке РД, процедур по МСА

avatar
russar  
04.05.2017, 16:10
Опрос
Всего проголосовало: 67
Все могут голосовать
Довольны ли Вы качеством РД по МСА, предоставленных Вашей СРО аудиторов в начале 2017 ?




Уважаемые коллеги, разработчики программ по автоматизации аудита, просто желающие внести вклад в общее развитие российского аудита!
Предлагаю в данной теме обмениваться рабочими документами по МСА, опытом, мнениями по наработке РД, процедур по МСА.
Считаю, что для комфортного существования темы РД можно выкладывать обезличенными. В самих рабочих документах желательно указывать ссылки на положения МСА.

Тут ссылки на темы перекрестные темы форума:
1. Сравнение IT Audit и AuditXP и других программ для аудиторов
[www.audit-it.ru]
2. Audit XP: поделитесь впечатлениями
[www.audit-it.ru]
Исправлений: 2; последнее - в 04.05.2017, 16:25.
avatar 04.05.2017, 21:21
russar, могу предположить по личному опыту, что либо нужно спрашивать какой-то конкретный документ, либо начать выкладывать свои. Иначе делиться не начнут ржу во весь рот
avatar 14.06.2017, 12:33
 РД по МСА.
 Требуют ли МСА живую подпись аудитора?
 Если нет, то РД можно хранить исключительно в электронном виде?
avatar
Грэг  
14.06.2017, 19:28
 1. Не требуют. Равно как и ФПСАД 2. 2. Да, можно. Равно как и ранее, в период действия российских федеральных стандартов.  3. Для любителей электронных рабдоков и электронной подписи замечу, что некоторые аудиторские программы теперь стали позволять ставить ЭЦП прямо в самой программе в отношении любого рабдока, созданного в программе или вообще любого файла, прицепленного для сохранения в программе. Очень удобно, я с удовольствием стал пользоваться. 
IouliaV  
14.06.2017, 20:46
 
Грэг
 1. Не требуют. Равно как и ФПСАД 2. 2. Да, можно. Равно как и ранее, в период действия российских федеральных стандартов.  3. Для любителей электронных рабдоков и электронной подписи замечу, что некоторые аудиторские программы теперь стали позволять ставить ЭЦП прямо в самой программе в отношении любого рабдока, созданного в программе или вообще любого файла, прицепленного для сохранения в программе. Очень удобно, я с удовольствием стал пользоваться. 
А на практике был у кого нибудь опыт прохождения проверок контроля качества и казначейства с электронными раб.доками?
avatar
Грэг  
14.06.2017, 22:20
 IouliaV, насколько слышал, требуется распечатать на бумаге все документы, имеющиеся в электронной форме по объектам выборки. Впрочем, при наличии бумажных документов точно так же требуются их копии. Если у кого то был другой опыт - будет интересно узнать.
IouliaV  
14.06.2017, 22:22
 У нас была проверка Росфиннадзора в 2016 году, РД ведем на бумажных носителях, копии не требовали, проверяли оригиналы РД по выборке, контроль качества в АПР аналогично.
Юрий  d5a1  
15.06.2017, 07:57
IouliaV
А на практике был у кого нибудь опыт прохождения проверок контроля качества и казначейства с электронными раб.доками?
Да был.
В 2013 году росфинназор
В 2016 году СРО.
Будет и в этом, но в третьем квартале от казначейства.
В нашем частном случае,
В 2013 проверяющие росфиннадзора  предлагали распечатать для них  отдельные раб доки и заверить их печатью и подписью уполномоченного лица. Внимательно изучали внутреннее положение об использовании ЭЦП (подписывались документы ворд, ексель и др. форматов). Живой подписи руководителя проверки на них не было, и ее собственно и не требовали.
Всего в ходе проверки нами было заверено  около 1800 копий листов формата А4.

В 2016 контролеры  СРО сомнений в правомерности использования электронных подписей (усиленной квалифицированной и (или) усиленной неквалифицированной) не выражали.
AuditXP  
15.06.2017, 14:12
 О! Моя любимая тема. ржу во весь рот

С РДА с ЭП все просто если эта подпись квалифицированная.


Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью

1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

Поэтому мы всем советуем использовать именно квалифицированные ЭП (это подпись с сертификатом владельца подписи, как для сдачи отчетности) и в нашей программе используем только квалифицированную ЭП.

Кстати, по тому же пути пошел и конкурирующий продукт!подмигнул

Неплохим примером саморегулирования разработчиков аудиторского ПО, кстати, можно назвать согласование единых методов использования ЭП в РДА. По-моему, это не плохой пример работы в интересах рынка, а не злоупотреблений конкуренцией...

Например, сейчас мы договорились:
1. Все РДА подписываются в виде прикрепленных файлов.
2. Подпись храниться в отдельном файле сигнатуры (расширение sig)
3. Метка времени не ставится. Т.е. считается что документ подписан той датой, какую аудитор указал в РДА.

Такой алгоритм наилучшим образом отражает интересы аудиторов и контролеров. Способствует развитию электронного документообороту в аудите т.к. по сути не отличается от уже используемого государством метода. Раскрывает плюсы электронных РДА, например, в будущем можно будет согласовать со СРОА и госорганами регламент предоставления электронных РДА для ВККР. 

Ну и естественно - метод полностью соответствует Законодательству и не требует от аудитора разработки внутренних документов по "легализации" не квалифицированных ЭП. Что важно!
avatar
Грэг  
15.06.2017, 15:23
 AuditXP, а у вас предполагается получать электронную подпись на каждого в отдельности аудитора, или использовать для разных людей в программе одну квалифицированную ЭП (например, ту же, что для сдачи налоговой отчетности - она же выпущена на организацию в целом)?
avatar 15.06.2017, 16:15
Грэг
 AuditXP, а у вас предполагается получать электронную подпись на каждого в отдельности аудитора, или использовать для разных людей в программе одну квалифицированную ЭП (например, ту же, что для сдачи налоговой отчетности - она же выпущена на организацию в целом)?
Использовать подпись можно, конечно, любую квалифицированную. Программе все равно.
Но есть юридические моменты...

Подпись для сдачи отчетности - это подпись единоличного исполнительного органа. Т.е. подпись физического лица в статусе директора генерального директора и т.п. Соответственно если РДА подписать этой подписью это тоже самое что директор подписал бумажный РДА собственноручно.

Если на вскидку, то мне кажется, что использовать эту ЭП для подписания (заверения) РДА, сделанных разными сотрудниками АО, можно только если написать специальный внутрифирменный регламент. Типа РДА сделанные аудиторами заверяются директором.

Но мне не кажется это правильным. В этом случае сам аудитор не защищен от переделки РДА директором. Т.е. аудитор сделал РДА, директор его подписал, а потом переделал РДА без ведома аудитора и опять подписал. А аудитор и не узнает, что РДА теперь в АО уже не тот, что он подготовил.

В общем я за то, чтобы у каждого сотрудника проводящего или проверяющую процедуру была своя ЭП. Цена вопроса 1500-2000 руб. Не думаю что это цена для гарантии законности и неизменности РДА после подписания. Т.е. каждый подписант будет уверен, что его РДА не может быть изменен кем либо.

Кстати, бумага с картриджами и принтером будет явно дороже обходиться в год.
avatar
Грэг  
15.06.2017, 16:34
Александр Орлов

Подпись для сдачи отчетности - это подпись единоличного исполнительного органа. Т.е. подпись физического лица в статусе директора генерального директора и т.п. Соответственно если РДА подписать этой подписью это тоже самое что директор подписал бумажный РДА собственноручно.

Если на вскидку, то мне кажется, что использовать эту ЭП для подписания (заверения) РДА, сделанных разными сотрудниками АО, можно только если написать специальный внутрифирменный регламент. Типа РДА сделанные аудиторами заверяются директором.
Не так.


Подпись выдается на организацию в целом (так и пишется в сертификате - владелец ООО такое-то).


Соответственно, конкретный Иванов заходит в программу, используя свой логин и пароль, вставляет флешку с ЭЦП КОМПАНИИ (а не своей личной), но при подписании документа с помощью ЭЦП компании, в программе в качестве подписанта именно фамилия конкретного Иванова, хотя будет использована ЭЦП компании. Соответственно,зайдет Петров - отразится именно фамилия Петрова, а вовсе не директора. И программа не даст директору (который вовсе даже Сидоров) изменить документ или удалить (поставить) подпись Иванова или Петрова. Что в этом юридически неправомерного, где написано, что ЭЦП, у которой владелец - компания в целом - должен использовать именно и только директор?

Пожалуй, все же на каждого в отдельности физика-аудитора должна быть своя отдельная квалифицированная электронная подпись.
Исправлений: 2; последнее - в 15.06.2017, 19:18.
Юрий  d5a1  
15.06.2017, 19:35
Для неквалифицированной цифровой подписи достаточно:
- Две лицензии на специализированное ПО (около 3000 руб. за каждое)
- специальные носители для ЭЦП (етокен, рутокен, физически это флешка стоимость около 800 руб на каждого).
и самоподписанные сертификаты для сотрудников (сертификат на бумаге сформированный с использованием специализированного ПО и  заверенный двумя живыми подписями: аудитора и ген директора, где можно написать что угодно, в том числе и то что он сформирован аудитором "ивановым" аудиторской организации "Лютик и аудит").
Как результат:
- в компании: бумага ("самоподписанный" сертификат, это как я помню в терминах  КриптоАРМ (см. cryptoarm.ru и другие источники), где есть данные о носителе неквалифицированной подписи и кто им подписывает.
- у работника  (у каждого) носитель ключа (флешка).
Физически подписание готовых файлов на одном специально выделенном ПК.
Сбросил файлы, вставил флешку, нажал кнопку подписать (файл или папку или архив, безотносительно их форматов, подписывает все).
Есть возможность после контроля добавить вторую подпись к этим же файлам.
На другом специально выделенном ПК  в отделе контроля есть возможность проверить подписание файлов.
Можно конечно и на каждый ноут специализированное ПО поставить, но это уже вопрос организации и руководства.
Как результат:
в аудиторском файле на бумаге (с живыми подписями)
- документы по приему клиента, независимость юр лица-аудитора, независимость физ лица-аудитора, официальная переписка с клиентом по вопросам аудита (запросы, ответы, письма подтверждения); возможно что либо еще по решению руководителя проверки;
- плюс архивная справка в которой перечислены электронные раб доки (подписанные усилен неквалиф подписью). Сама архивная справка содержит живую подпись руководителя проверки.
Электронные раб доки хранятся согласно положения об архивировании (с условием о дублировании хранимой информации)
По нормам аудита до 2017 года  усиленной неквалифицированной подписи вполне хватало.
С 2017 года пока не знаю норм, чтобы что то в этом смысле изменилось.
Буду признателен если коллеги предложат аргументацию, что с 2017 года (читаем с МСА) в смысле подписи непременно требуется усиленная квалифицированная подпись.
avatar
Грэг  
15.06.2017, 19:46
Юрий
с 2017 года (читаем с МСА) в смысле подписи непременно требуется усиленная квалифицированная подпись.
А она и не требуется (в смысле, не является обязательной).
Просто усиленная квалифицированная не требует отдельных соглашений и регламентаций, в силу прямого указания закона 63-ФЗ. Документ в электронной форме, подписанный усиленной квалифицированной электронной подписью, равнозначен документу в бумажной форме, подписанному собственноручной подписью и заверенному печатью (пункты 1 и 3 статьи 6 Федерального закона  от 06.04.2011 № 63-ФЗ «Об электронной подписи».

Порядок применения иного вида подписи должен быть специально регламентирован - если внутри фирмы, то внутрифирменным локальным нормативным актом, если в отношениях вовне фирмы, то соглашением  о применении этого вида подписи.  

Кстати, рано или поздно встанет вопрос о выпуске аудиторского заключения в электронной форме.
Спасибо переводчикам, МСА 700.А18 перевели как " Письменное заключение – это заключение на бумажных и электронных носителях" и при буквальном прочтении получилось, что АЗ нужно выдать И на бумаге, И в электронной форме (а не "И/ИЛИ"). Конечно, оригинальный МСА 700 ничего такого не подразумевал.

А МСА 700.А65 говорит "в некоторых случаях законом или нормативным актом может быть разрешено использование в аудиторском заключении электронной подписи". Здесь мы имеем только ст.6 закона 63-ФЗ, другого нормативного регулирования данного вопроса в России просто нет.

 
 
Юрий  d5a1  
15.06.2017, 19:53
 Грэг,
согласен  с Вами.
АЗ подписывать чем либо иным кроме усиленной квалифицированной подписи не представляю возможным.
Но интересно также мнение коллег не только об АЗ,
но и о рабочих документах.
avatar 16.06.2017, 02:30
Не думал что этот вопрос может вызывать вопросы... Все-таки специальное образование не просто так нужно...ржу во весь рот

Я не аудитор, но зато дипломированный специалист в области информационной безопасности. Хоть для чего-то кроме лицензии ФСБ сгодилось образование.подмигнул

1. Не важно чья ЭП (юр. лица или физ. лаца) ставит ее все равно человек. Просто от юр. лица действует его руководитель.
Зная любовь к нормативный актам на этом форуме, вот цитата:

Статья 14. Сертификат ключа проверки электронной подписи
...
3. В случае выдачи сертификата ключа проверки электронной подписи юридическому лицу в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности.

2. Как правильно заметил Грэг, квалифицированная ЭП просто упрощает процедуру. Любая другая ЭП требует создания регламентов гарантирующих идентификацию подписанта и неизменность подписанной информации.
Собственно можно подписывать РДА вообще по логину паролю в программе, но для этого нужно много "лишних телодвижений". Не просто бумажки сделать, а именно процесс организовать так, чтобы нельзя было...

3. Использование квалифицированной ЭП позволяет переложить все сложности использования ЭП на Удостоверяющий центр. Он будет заботиться о идентификации владельца подписи и т.п.

4. Документ подписанный квалифицированной ЭП можно передать третей стороне (например ВККР СРО или УФК) без необходимости дополнительных согласований заранее форматов, регламентов и т.п.

Юрий, в описанном Вами примере слишком много сложностей... И по сути все рано описанная Вами система является корпоративной ИС. Для подтверждения юридической значимости РДА в ней нужно очень много что предусмотреть и т.п. И, по моему мнению, даже если все предусмотреть все равно останутся вопросы... ржу во весь рот
Юрий  d5a1  
16.06.2017, 05:28
 

Александр Орлов
Для подтверждения юридической значимости РДА в ней нужно очень много что предусмотреть

Дипломов по информационной безопасности к сожалению не имею.
Но в этом смысле есть такой вопрос.
Удостоверяющий центр выдает сертификат подписи на один год.
Проверка ВККР может пройти как в этом году, так и последующие годы (от 3 до 5 лет).
Проверка подписи через удостоверяющий центр в любой период кроме срока действия сертификата выдаст ошибку (истек срок действия), т.е. подпись не пройдет проверку и не будет подтверждена.
Это ведь так?
Или я ошибаюсь?
Если я не ошибаюсь, то какой в смысле подписи будет статус у такого документа с недействительной подписью?
Буду признателен за Ваши пояснения.
Юрий  d5a1  
16.06.2017, 05:31
Александр Орлов
И, по моему мнению, даже если все предусмотреть все равно останутся вопросы..
Полностью согласен.
Даже если будет использована усиленная квалифицированная....;
Отрыть любой стандарт по аудиту, найти слово "должен", и далее вопросы.
 
Юрий  d5a1  
16.06.2017, 05:37
auditsoft
Не зря же говорят, лучше один раз посмотреть....
Лучше три раза посмотреть.
Этот ролик на Вашем сайте я видел.
По возможности поучаствую в вебинаре.
Но пока остался тот же вопрос. Что будет с подписью и результатами ее проверки  по истечении срока действия сертификата?
auditsoft  
16.06.2017, 07:53
Юрий
Что будет с подписью и результатами ее проверки  по истечении срока действия сертификата?

Подпись будет верна и документ будет считаться подписанным. Проверено.
Юрий  d5a1  
16.06.2017, 07:59
auditsoft
Подпись будет верна и документ будет считаться подписанным. Проверено.

У меня совершенно иной опыт (отрицательный).
Нужно будет дополнительно посмотреть.
Есть ли у Вас возможность показать как это выглядит? (ролик, скрин шот?).
Я о проверке подписанного документа за пределами срока действия сертификата.

 
avatar
Грэг  
16.06.2017, 08:06
 Юрий, а какие вопросы, если она усиленная квалифицированная? Ведь есть закон о её применении. Кстати, стандарты вообще не говорят, что рабдок должен быть подписан (на любом носителе) именно личной подписью. В крупных фирмах документы на бумажных носителях подписывают инициалами, и ничему это не противоречит.
Юрий  d5a1  
16.06.2017, 08:13
 Грэг,
Я могу ошибаться, но по моему представлению закон 63 ФЗ и связанные с ним цифровые подписи замечательно живут в режиме реального времени (сдача отчетности, проведение платежей и т.п.).
Но я не понимаю, как ЭЦП живет в режиме архивного хранения.
Срок действия сертификатов которые выдает удостоверяющий центр - это один год.
При проверке за пределами этого срока, будет выдано программой сообщение типа "подпись недействительна, истек срок действия сертификата".
Для меня ключевые слова "подпись недействительна", расставлять запятые и рассказывать на ВККР или в другом месте о правилах закона 63 ФЗ? 
avatar
Грэг  
16.06.2017, 08:38
 Юрий, я не знаю, как отреагирует какая-то абстрактная программа на проверку подписи,если эта проверка происходит за пределами срока сертификата, а подпись поставлена в пределах срока сертификата. Я знаю, что если вы подписали документ именно в аудиторской программе, то она проверит то, что подпись поставлена при действующем на дату подписания сертификате, и подтвердит правомерность подписи. При этом документ хранится в самой программе и проверяется на подпись средствами самой программы. Господа разработчики обоих конкурирующих программных продуктов, думаю, это подтвердят.  Зачем выводить документ вовне и ещё где то там вне аудиторской программы проверять?! Кстати, насколько я видел в крупных фирмах, там используются самостоятельно разработанные аудиторские программы, и рабдоки подписываются (никакой не квалифицированной подписью, а средствами самой программы) и хранятся в самой программе. Если же Вы храните набор файлов в ворде и экселе, подписанные какой то подписью, и не используете единую аудиторскую программу, то, очевидно, у вас на фирме должна быть регламентирована процедура для их хранения и процедуры проверки того вида подписи, который вы используете.
Юрий  d5a1  
16.06.2017, 12:40
Грэг
вас на фирме должна быть регламентирована процедура для их хранения и процедуры проверки того вида подписи
Да, регламентирована.
Грэг
Зачем выводить документ вовне и ещё где то там вне аудиторской программы проверять?!
Вопрос вероятно не совсем ко мне.
В предложенным выше ролике именно это и происходит.
Предлагается проверить подпись например с использованием сайта Госуслуг.
 
Исправлений: 1; последнее - в 16.06.2017, 13:02.
Только зарегистрированные пользователи могут писать в этот форум.