Бухгалтерский учет. Налоги. Аудит

Форум – Аудит: теория и практика

Обсуждаем:

Доступ к данным

29.08.2018, 09:33
Добрый день, нашла такое нарушение в обобщенной правопреминительнйо практики ФК:
    Обеспечение конфиденциальности сведений, составляющих аудиторскую тайну. А именно      необходимо предварительное письменное согласие на предоставление доступа к информации, составляющей аудиторскую тайну, со стороны лица, которому аудиторской организацией оказывались аудиторские и прочие связанные с аудиторской деятельностью услуги, при использовании аудиторской организацией услуг третьих лиц по хранению рабочих документов аудитора в бумажной и электронной форме, услуг ИТ-компаний по технической поддержке компьютерных программ и баз данных, содержащих сведения, составляющие аудиторскую тайну. Есть у кого нибудь наработки, шаблоны документов по данному вопросу? Можете поделиться? Заранее спасибо!
avatar
Грэг  
29.08.2018, 13:14
А кто мешает включить это сразу в договор? Что аудируемое лицо сходу дает на все это согласие?
avatar 29.08.2018, 14:35
Ну или получите от АЛ письмо в свободной форме, что разрешает вам представлять информацию третьим лицам. Кстати, до обязательного членства в СРОА, мы проходя добровольные ВККР всегда брали от аудируемых лиц такие согласия.
Анатолий  f3c2  
29.08.2018, 15:19
Грэг, хоть мы и не проводим аудит по п.3 ст.5, но некоторые из наших клиентов требуя соблюдения конфиденциальности, запрещают предоставление любых документов и/ или их копий, в т.ч. цифровых, относящихся к проведенному аудиту,  во всех случаях, кроме тех, когда такое предоставление осуществляется по решению (официальному требованию) уполномоченного на это гос.органа. Отдельно запрещается хранение данных на внешних (по отношению к АФ) емкостях, пересылка по внешним сетям, индексация и т.п.
Клиент всегда прав.
29.08.2018, 15:25
Грэг, а так подойдет: " Предоставляемая Заказчиком информация может содержать информацию о третьих лицах и/или персональные данные сотрудников Заказчика или иных физических лиц. Предоставляя Исполнителю указанную информацию и персональные данные, Заказчик тем самым подтверждает, что получил или получит все необходимые разрешения на их обработку Исполнителем согласно законодательству Российской Федерации." я думаю это подойдет...
avatar
Грэг  
29.08.2018, 18:02
Это про персональные данные, а не про аудиторскую тайну...
avatar
Escapist  
29.08.2018, 23:35

Обеспечение конфиденциальности сведений, составляющих аудиторскую тайну. А именно      необходимо предварительное письменное согласие на предоставление доступа к информации, составляющей аудиторскую тайну, со стороны лица, которому аудиторской организацией оказывались аудиторские и прочие связанные с аудиторской деятельностью услуги, при использовании аудиторской организацией услуг третьих лиц по хранению рабочих документов аудитора в бумажной и электронной форме, услуг ИТ-компаний по технической поддержке компьютерных программ и баз данных, содержащих сведения, составляющие аудиторскую тайну.

Я бы с такими формулировками предварительное разрешение аудитору давать не стал. Электронные данные должны шифроваться. Бумажные храниться у аудитора. Под большим вопросом организована ли вообще у аудитора защита аудиторской тайны раз появляются подобные формулировки. Но если ваш клиент под этим подпишется в договоре, то для вас с тз соблюдения фз-307 все ок. 
30.08.2018, 10:57
Escapist,  это не мои формулировки, это из обобщенной практики ФК. В договоре на аудит указано, что мы, как исполнители обязуемся выполнять требования Закона №307-ФЗ о конфенденциальности (аудиторской тайне), но также имеем право снимать копии с документов. Также в договоре указано, что без предварительного письменного согласия клиента мы не вправе предоставлять инфу третьим лицам. Так вот как раз я просила у коллег наработанные документы по запросу клиенту с просьбой о разрешении  предоставлении данных третьим лицам, например, как выше ответила коллега, это может случиться при проверке того же СРО. Бывает и такое, что клиент сам предоставляет базу 1 С. и да она у нас хранится в определенном каталоге, какое -то время, потом мы ее уничтожаем. Ну как в данном случае соблюсти все требования? Просто прописать в договоре про передачу базы данных?
avatar
Торт  
30.08.2018, 11:44
Вроде как при проверке СРО согласование с клиентом не требуется. Разве не так? Зачем огороды-то городить.
З.Ы. имел в виду, что не требуется согласие клиента на передачу информации СРО, когда оно проверяет рабдоки по этому клиенту.
Исправлений: 1; последнее - в 30.08.2018, 16:15.
avatar
Грэг  
30.08.2018, 13:56
Торт,  не требовалось или требуется, это субъективный подход конкретного контролера, обратит он на это внимание или нет. Аудиторскую тайну в 307-ФЗ никто не отменял, сам вопрос совершенно правомерный.

Если вопрос про передачу информации на контроль качества в СРО, то это не требует никакого согласования с клиентом.

Закон 307-ФЗ ст.9

4. Передача сведений и документов, составляющих аудиторскую тайну, третьим лицам в случаях и порядке, которые предусмотрены настоящим Федеральным законом и другими федеральными законами, не является нарушением аудиторской тайны.

плюс

ст10
2. Аудиторская организация, аудитор обязаны:
1) проходить внешний контроль качества работы, в том числе предоставлять всю необходимую для проверки документацию и информацию;

равно

передача информации и документации, составляющей аудиторскую тайну, в СРО для целей ВККР не есть нарушение аудиторской тайны.

Речь о том, что когда вы отдаете на ВНУТРЕННИЙ контроль качества (ране называемый обзорной проверкой в рамках ФПСАД 34) или мониторинг путем выборочного инспектирования НЕ СВОЕМУ СОТРУДНИКУ (а т.н. "стороннему компетентному лицу"), то вопрос о сохранении аудиторской тайны имеется.
Исправлений: 1; последнее - в 30.08.2018, 18:46.
30.08.2018, 15:25
[www.youtube.com] как раз об этом говорится
10.09.2018, 11:49
На практике встречается такая ситуация - смотреть документы можно, описывать их тоже можно. А копировать НЕЛЬЗЯ! Как говорится, от слова "совсем" (на уставные документы, УП и прочую подобную информацию запрет не распространяется). И что прикажете делать, когда КК с ножом к горлу пристаёт - "Гони копии!"?
Предвосхищаю рекомендацию - мол, надо запросить с клиента письменное подтверждение того, что они запрещают копировать их первичку. ОК, такое письмо они дают. И что, оно защитит от отрицательного отзыва при ВККР?
avatar
Грэг  
10.09.2018, 22:13
Mark, покажите мне, пожалуйста, пункт в МСА (например, МСА 230), где говорится об обязательности копий документов клиента.

МСА 230.A3.      Аудиторская документация может вестись на бумаге либо на электронных или иных носителях. Примеры аудиторской документации:
·              аудиторские программы;
·              аналитические документы;
·              памятные записки по проблемным вопросам;
·              краткие сводки значимых вопросов;
·              письма-подтверждения и письменные заявления;
·              контрольные перечни;
·              переписку (включая электронную) по значимым вопросам.
Аудитор может включить в аудиторскую документацию выдержки или копии документов аудируемой организации (например, значимые и специфические договоры и соглашения). Аудиторская документация, однако, не должна подменять собой бухгалтерские записи организации.

Во-первых, говорится "может", а не "должен", во-вторых, даже в случае если аудитор считает это нужным, копии не обязательны, могут быть "выдержки". Если можно "описывать" и делать выписки из них, то в чем проблема?
10.09.2018, 23:14
Грэг, я в курсе, что нигде в МСА не написано про копии. Но мне довелось пройти два контроля качества - один от АПР, другой от ААС. Контролёры из АПР то и дело требовали "аудиторские доказательства" в виде копий первички. Где было необходимо (и возможно), я всегда это делал. Но были ситуации, когда такое было в принципе нереально, либо каждую копию приходилось согласовывать с СБ организации... Слава Богу, АПР мы прошли. Но, наученный горьким опытом, со следующего года после проверки я начал "собирать макулатуру", тратя уйму времени (и своего, и ассистентов) на копирование того, что (по моему личному мнению) ни в какой дополнительной доказательной базе не нуждалось. Когда выявлялись нарушения - то да, без подтверждения факта ошибки уже на фирме шкуру спустят, что вполне правильно. Ибо если ты пишешь, что организация что-то там нарушила, ты должен это объяснить не на пальцах, а фактами. Кстати, в таком случае - когда не всё в порядке - документацию можно скопировать, клиент это понимает. Но когда речь идёт о том, что всё ОК, то иногда возникают вопросы на тему "А зачем вам это надо?".

Да, МСА не требует копий всей первички. Но контролёр требует. Посмотрим, когда начнётся ВККР по МСА. И вряд ли подходы проверяющих изменятся.

Если что - мне не в лом собрать "макулатуру" по правильным операциям. Просто жалко полезного времени. И не хочется тратить своё личное время, когда оплаченное клиентом время ушло на тупое копирование.

И ещё. Всё-таки хотелось бы знать, что делать в случае, когда клиент запрещает копировать какую-то бумажку (в смысле - первичку)? Требовать от него письменный отказ на копирование? Или (бывает, что клиент не идёт на контакт) достаточно служебной записки в адрес руководства АУ с описанием ситуации? Разумеется, такие случаи встречаются редко - у меня за 21 год таких случаев было всего 3 (три). Но ведь были же!
avatar
Грэг  
10.09.2018, 23:28
Mark Kirillov
то делать в случае, когда клиент запрещает копировать какую-то бумажку (в смысле - первичку)?
Наверное, необходимо понять, действительно ли эта копия так уж нужна.
blacklist-LS  afe4  
11.09.2018, 14:06
Mark, Грэг, когда я проходил ВККР в 2016 году с нас ААС требовали доказательства только по нарушениям. Мы скидывали сканы им на флешку/почту и вроде бы к этому не придирались то есть?!
Только зарегистрированные пользователи могут писать в этот форум.