Бухгалтерский учет. Налоги. Аудит

РД и аудиторский файл в электронном виде

avatar 05.08.2021, 23:39
В теме Возможно ли оценить аудиторский риск вообще? был затронут вопрос по документированию процедур в ответ на оцененные риски.
Ольга
Александр Орлов
Еще процедуры в ответ на оцененные риски у него это прям что-то такое чего ни у кого нет.

Не догадывается он, что практически все процедуры в аудите делаются в ответ на риски.
Мм...
Вроде, исходя из МСА 330, это должно быть задокументировано так, чтобы не надо было догадываться.

Хочу немного шире поставить вопрос. Давайте поговорим о документировании аудита в электронном виде вообще.
avatar
Торт  
05.08.2021, 23:51
Может, не надо? почитаем... Есть уже ветка форума для одной программы, может, пусть будет еще ветка для другой программы?
avatar 06.08.2021, 00:08
Начнем с конкретного вопроса по МСА 330.

МСА 330
28. Аудитор должен отразить в аудиторской документации <2>:
(a) аудиторские процедуры общего характера в ответ на оцененные риски существенного искажения на уровне финансовой отчетности, а также характер, сроки и объем выполненных дальнейших аудиторских процедур;
(b) связь этих процедур с оцененными рисками на уровне предпосылок;

Это не значит, что аудитор должен расставлять в своих РД какие-то гиперссылки или писать в своих РД что-то типа: "В ответ на риск "АБВ" мы провели процедуру "Название процедуры".

Почему?

МСА 330
A63. Форма и объем аудиторской документации составляет предмет профессионального суждения и зависит от характера, размера и сложности организации и ее системы внутреннего контроля, доступности ее информации, а также применяемых методов и технологий аудита.

В зависимости от структуры, способа хранения и носителя информации термин Рабочий документ может как обозначать записи обо всех трех элементах одновременно: аудиторская процедура, аудиторские доказательства, вывод (документ на бумаге с соответствующей информацией), так и отдельно каждый из этих элементов (таблица аудиторских процедур в Excel, БД аудиторской программы или ксерокопия договора).

Давайте еще сразу договоримся, что аудиторская документация, рабочая документация, рабочие документы - это одно и то же. А то иногда приходится и на эту тему спорить.
avatar 06.08.2021, 00:11
Торт
Может, не надо? почитаем... Есть уже ветка форума для одной программы, может, пусть будет еще ветка для другой программы?
Я специально про конкретную программу ничего не пишу. Даже если речь об этом заходит. То что я обсуждаю всегда применимо даже для Excel.

Понимаю, что этот форум для другого. Сам не люблю этого.
Меня интересует именно Теория и практика аудита.

В рекламе не нуждаемся сижу курю
Исправлений: 1; последнее - в 06.08.2021, 00:19.
avatar 06.08.2021, 07:25
Александр Орлов
Это не значит, что аудитор должен расставлять в своих РД какие-то гиперссылки или писать в своих РД что-то типа: "В ответ на риск "АБВ" мы провели процедуру "Название процедуры".

Может и не должен, но вправе. Вообще, гиперссылки очнь сильно упрощают понимание того, что именно и почему сделал аудитор. И время на такое понимание очень сильно сокращается. А именно такое понимание и требуется исходя из МСА 230:

8. Аудитор должен готовить аудиторскую документацию, которая достаточна для того, чтобы опытный аудитор, ранее не связанный с проведением конкретного аудиторского задания, мог понять (см. пункты A2 - A5, A16 - A17):
(a) характер, сроки и объем выполненных аудиторских процедур для соблюдения Международных стандартов аудита и применимых законодательных и нормативных требований (см. пункты A6 - A7);
(b) результаты выполненных аудиторских процедур и собранные аудиторские доказательства;
(c) значимые вопросы, возникшие в ходе аудиторского задания, сделанные по ним выводы, и значимые профессиональные суждения, использованные при формулировании этих выводов
avatar 06.08.2021, 16:14
Григорий Неверов (Грэг)
Может и не должен, но вправе.
Может и вправе, но не должен.

Я не рассматриваю какую-то конкретную реализацию или технологию. Вопрос скорее о РД вообще. Независимо от формы и способа реализации.
Т.е. суть немного в другом. Что значит само понятие "Аудитор должен отразить в аудиторской документации"?

Григорий Неверов (Грэг)
Вообще, гиперссылки очнь сильно упрощают понимание того, что именно и почему сделал аудитор.
Это только один из способов выполнения данного конкретного требования МСА. Он действительно удобен, если у вас есть несколько отдельных файлов с РД, например, в формате Excel, чтобы понимать откуда, что взять. Но в итоге 90% аудиторов распечатывают все РД и хранят их в бумажном виде. Гиперссылки на бумаге не работают! Т.е. это удобство нужно в процессе аудита, а не после его завершения (например при ВККР).

А если это так, то если эти связи реализованы не с помощью гиперссылок (например, в нашем случае так), т.к. сам способ хранения РД позволяет это сделать по другому, почему это должно быть нарушением? Не говоря уж о том, что некая ссылка на РД это не "связь этих процедур с оцененными рисками на уровне предпосылок".

Например, если в Аудиторском файле есть РД, в котором фактически задокументирована работа аудитора. Предположим, что в этом РД вообще нет упоминания конкретного риска (чисто гипотетически), в связи с которым эта процедура проводилась. Но из сути этого РД (название, вывод, полученное доказательство и т.д.) можно понять, что эта процедура проводилась в ответ на этот конкретный риск. Это нарушение МСА?

Или, например, есть просто скан Акта сверки с контрагентом, из которого видно, что задолженность есть. Нужно ли делать свой отдельный РД, в котором писать, что есть риск того, что задолженности нет... мы сделали запрос... рассмотрели акт сверки... ну и т.д.

Т.е. в аудиторском файле все нужные РД есть, но в них нет гиперссылок или вообще упоминания о конкретном риске. Это просто следует из сути этих РД.

Само наличие этих РД свидетельствует о том, что аудитор провел процедуры в ответ на риски?

P.S.
Для того, чтобы было понятно у нас в программе связи между сущностями это не ссылки, по которым можно переходить. Это именно связи на уровне БД программы. Т.е. сами данные связаны между собой.

Так называемые ссылки, по которым открывается тот или иной РД это другое. У нас такая возможность реализована не гиперссылками (чисто технически), а вызовом открытия бланка (формы). Хотя по сути это одно и тоже. Результат один и тот же - открывается некий бланк.
06.08.2021, 16:31
Александр Орлов
Или, например, есть просто скан Акта сверки с контрагентом, из которого видно, что задолженность есть. Нужно ли делать свой отдельный РД, в котором писать, что есть риск того, что задолженности нет... мы сделали запрос... рассмотрели акт сверки... ну и т.д.
Мне, например, точно не достаточно просто скана Акта сверки, пусть хоть на самом Акте, но аудитор должен указать для чего он его использовал и к какому выводу пришёл. 
avatar 06.08.2021, 17:21
elena-kuch
Александр Орлов
Или, например, есть просто скан Акта сверки с контрагентом, из которого видно, что задолженность есть. Нужно ли делать свой отдельный РД, в котором писать, что есть риск того, что задолженности нет... мы сделали запрос... рассмотрели акт сверки... ну и т.д.
Мне, например, точно не достаточно просто скана Акта сверки, пусть хоть на самом Акте, но аудитор должен указать для чего он его использовал и к какому выводу пришёл. 
Вполне возможно, но совсем не обязательно.
МСА 230
A2. Форма, содержание и объем аудиторской документации зависят от таких факторов, как:
- размер и сложность организации;
- характер выполняемых аудиторских процедур;
- выявленные риски существенного искажения;
- значимость собранных аудиторских доказательств;
- характер и объем выявленных расхождений;
- необходимость документирования того или иного вывода или обоснования вывода, которые не очевидны из выполненных работ или собранных аудиторских доказательств;
Если вывод очевиден, то зачем его документировать?
МСА 230
A7. Аудиторская документация обеспечивает доказательства того, что проведенный аудит соответствует Международным стандартам аудита. Однако документирование аудитором в ходе аудита всех рассмотренных вопросов или всех выработанных профессиональных суждений не является ни обязательным, ни практически осуществимым. Кроме того, аудитор не обязан документировать отдельно (например, в контрольном перечне) факт соблюдения тех требований, соблюдение которых подтверждается документами, приобщенными к аудиторскому файлу.
Например, в аудиторском файле вообще может не быть Приказа о назначении Руководителя задания, если из документов и так видно, что он фактически принял на себя ответственность по этому заданию.
avatar
Escapist  
06.08.2021, 18:25
Из приложенной в файл копии первичного документа клиента вообще говоря не следует ровно счетом ничего. Корректным примером пункта А2 может быть, например, письмо-представление - это документ клиента и одновременно вывод об успешном выполнении обязательной аудиторской процедуры - получить это самое письмо о принятии отвественности менеджментом за отчетность. (Я упрощаю, так как письмо как правило содержит и другие доказательства по отдельным предпосылкам и статьям, которые относятся и анализируются по существу в соответствующих процедурах).
Да, также корректен пример, что приказ о назначении руководителя не обязателен.
avatar 06.08.2021, 18:48
Escapist
Из приложенной в файл копии первичного документа клиента вообще говоря не следует ровно счетом ничего.
Ну это Вас уже куда-то не туда занесло. Что значит из документа клиента ничего не следует?смайлик
Ну да ладно. Это вообще не важно для нашего рассуждения. Главное, что мысль понятна.
avatar
Escapist  
06.08.2021, 18:52
Это значит, что документ клиента становится доказательством только при использовании данного конкретного документа в конкретной аудиторской процедуре, направленной на тестирование конкретной предпосылки / статьи отчётности.
avatar 06.08.2021, 18:55
Escapist
Это значит, что документ клиента становится доказательством только при использовании данного конкретного документа в конкретной аудиторской процедуре, направленной на тестирование конкретной предпосылки / статьи отчётности.
Т.е. нужно еще в какой-то РД сделать? Некий перечень доказательств?
07.08.2021, 01:11
Александр Орлов
Если вывод очевиден, то зачем его документировать?
А какой вывод очевиден  только из полученного скана Акта сверки?  Могут быть разные варианты)
07.08.2021, 01:25
Александр Орлов
Т.е. нужно еще в какой-то РД сделать? Некий перечень доказательств?
Мы это уже обсуждали, нужно чтобы другому опытному аудитору было понятно...
avatar 07.08.2021, 08:25
Александр Орлов
Что значит из документа клиента ничего не следует?
Именно это и следует.
Из копии документа клиента, взятой в отрыве от выводов аудитора по этому документу, не следует абсолютно ничего.
avatar 08.08.2021, 20:43
Коллеги!
Может не будем уходить в сторону от обсуждаемого вопроса? Вся дискуссия к какому-то акту свелась...
Александр Орлов
Например, если в Аудиторском файле есть РД, в котором фактически задокументирована работа аудитора. Предположим, что в этом РД вообще нет упоминания конкретного риска (чисто гипотетически), в связи с которым эта процедура проводилась. Но из сути этого РД (название, вывод, полученное доказательство и т.д.) можно понять, что эта процедура проводилась в ответ на этот конкретный риск. Это нарушение МСА?

Или, например, есть просто скан Акта сверки с контрагентом, из которого видно, что задолженность есть. Нужно ли делать свой отдельный РД, в котором писать, что есть риск того, что задолженности нет... мы сделали запрос... рассмотрели акт сверки... ну и т.д.

Т.е. в аудиторском файле все нужные РД есть, но в них нет гиперссылок или вообще упоминания о конкретном риске. Это просто следует из сути этих РД.

Само наличие этих РД свидетельствует о том, что аудитор провел процедуры в ответ на риски?
1. Акт это просто один из, приведенных мною примеров.
Кстати, обратите внимание, что он в аудиторском файле, т.е. в моем примере аудитор рассмотрел данное аудиторское доказательство и сформулировал по нему вывод. Данный вывод очевиден.
Нужно ли этот вывод писать в каком-то отдельном РД?

2. Как нужно вообще документировать процедуры в ответ на риски?
Нужно в РД писать что-то типа: "Есть риск того, что дебиторская задолженность на сумму..., по операции..., отраженная на сальдо счета..., не существует. Поэтому мы провели процедуру в ответ на риск отсутствия дебиторской задолженности "Внешнее подтверждения...", в результате которой нами был рассмотрен Акт сверки... По нашему профессиональному суждению данный Акт является допустимым и достаточным доказательством того, что дебиторская задолженность на сумму..., по операции..., отраженная на сальдо счета..., существует.
avatar 08.08.2021, 20:55
Escapist
Это значит, что документ клиента становится доказательством только при использовании данного конкретного документа в конкретной аудиторской процедуре, направленной на тестирование конкретной предпосылки / статьи отчётности.
Очевидно. Я бы даже точнее сказал.
Аудиторские доказательства - информация, используемая аудитором при формировании выводов, на которых основывается аудиторское мнение.

Т.е. это совсем не обязательно документ. И нужно чтобы он не просто использовался в процедура, а на нем основывался вывод, на котором основывается мнение.

Может не будем уже к словам придираться, а по сути обсудим вопрос?
avatar
Escapist  
08.08.2021, 21:17
По сути вам и пишут. Но вы продолжаете упорствовать)):


Кстати, обратите внимание, что он в аудиторском файле, т.е. в моем примере аудитор рассмотрел данное аудиторское доказательство и сформулировал по нему вывод. Данный вывод очевиден.


Первичные документы вообще необязательно прикладывать в файл. Однако это не мешает аудитору делать выводы и формулировать мнение. Не там копаете, если короче.
avatar 09.08.2021, 00:59
Escapist
По сути вам и пишут. Но вы продолжаете упорствовать)):
Так я с Вами согласен! Даже уточнил Вашу мысль про то, когда информация становится доказательством.

"Упорствую" я, чтобы Грэг и elena-kuch поняли, что пример с Актом это мой пример. И если я написал, что Акт в АФ, то значит в моем примере дано, что это доказательство и вывод сделанный по нему очевиден. Иначе это другой пример. Не мой. подмигнул

Документировать результаты аудиторских процедур, включая выводы, нужно если они не очевидны (см. пункт A63, МСА 330).

Но к сути вопроса это не имеет никакого отношения!

Главное, что документируя процедуры в ответ на риски, аудитор по МСА не должен в них делать какие-то ссылки на РД, в которых эти риски оценены. Из самой предпосылки уже следует связь с риском как минимум.

Аудитор просто должен отразить в аудиторской документации сами эти процедуры (их характер, сроки, объем) и  связь этих процедур с оцененными рисками на уровне предпосылок.

Связь это не ссылки!

Escapist
Первичные документы вообще необязательно прикладывать в файл. Однако это не мешает аудитору делать выводы и формулировать мнение.
Согласен. Причем, документировать очевидные выводы не обязательно.
avatar
Escapist  
09.08.2021, 11:31
Александр,
пример с первичным документом, оказавшемся в аудиторском файле, крайне неудачный, так как вы неверно интерпретируете пункт МСА про "очевидность выводов". Стоит использовать какой-то другой пример. В отношении тезиса, что ссылки (гипер-ссылки) не обязательны по МСА - никто не будет с этим спорить. Вместе с тем, они очень удобны на практике. Все программы для автоматизации аудита, которые я видел за последние 15+ лет, поддерживали в той или иной форме функциональность ссылок. Причем, если более древние программы делали просто ссылки на рабочий документ из другого рабочего документа, последние - поддерживали полноценные гипер-ссылки на конкретный объект в этом или другом рабочем документе или в базе данных. Вообщем не очень понятно, какой вопрос вы хотите обсуждать.
Андрей  cc19  
09.08.2021, 12:22
Тоже хотел бы отметить, что не очень понятен предмет обсуждений.
По конкретным последним вопросам
Александр Орлов
1...
Данный вывод очевиден.
Нужно ли этот вывод писать в каком-то отдельном РД?
2. Как нужно вообще документировать процедуры в ответ на риски?
1. Если очевиден, то собственно в МСА есть соответствующая оговорка. Можно не писать. Лучше писать - понятнее. Для кого то вывод очевиден, для кого то нет.

2. Некоторые составляют матрицы процедур. Например, колонки - риски (заодно и по предпосылкам), строки - процедуры в ответ. Галки или плюсики в тех клетках, где данная процедура работает в ответ на конкретный риск по конкретной предпосылке.
Обязательно ли так делать? - Нет.
Обязательно ли писать, что такая то процедура в ответ на такой то риск? - Скорее тоже нет.
Можно котлом: выявили определенный риски - провели определенные процедуры в ответ. Актуально для небольших АО.

P.S. Согласен, что с актом пример некудышный.
Исправлений: 1; последнее - в 09.08.2021, 12:30.
auditsoft  
12.08.2021, 15:02
Escapist
В отношении тезиса, что ссылки (гипер-ссылки) не обязательны по МСА - никто не будет с этим спорить. Вместе с тем, они очень удобны на практике. Все программы для автоматизации аудита, которые я видел за последние 15+ лет, поддерживали в той или иной форме функциональность ссылок
Согласен, гиперссылки удобная вещь!
avatar 12.08.2021, 16:00
Кстати, за всем этим интересным разговором забыл подметить один факт, который вообще не очевиден (такое впечатление сформировалось по ответам на вопросы ВККР) многим - все без исключения аудиторы ведет РД в электронном виде.

Дело в том, что даже если вы храните РД в распечатанном виде в папках, то делаются они изначально в электронном виде. Это могут быть просто файлы Excel, но это все равно электронные РД. Соответственно и все требования к этим РД такие же как и к тем, которые в специальных программах делаются.

Вроде очевидная вещь, но можно попасть в ловушку при ВККР.
Примеры вопросов Казначейства:
1. Ведутся ли рабочие документы аудиторов ООО «Супер аудит» в электронном виде или любой иной форме, отличной от бумажной. Если ведутся в электронном виде, то просим пояснить следующее (с приложением копий документов, регулирующих документирование аудита в электронном виде в ООО «Супер аудит»):

– какая программа используется для работы с рабочими документами в электронном виде;
MS Excel, MS Word и т.д. тоже программы. Многие об этом забывают.

– кто является разработчиком указанной программы и осуществляет ее техническую поддержку (включая обновление программы и восстановление данных) (просьба приложить к пояснениям копию гражданско-правового договора на приобретение прав на указанное программное обеспечение (при его наличии));
MS Office может быть облачным! Это написано в договоре. Аккуратнее!

– по какому адресу размещены серверы, на которых хранится размещенная в данной программе (программах) информация, а также их резервные копии (при наличии);
Если вы пользуетесь облаками задумайтесь этим вопросом заранее. НО! Если у вас РД на ноутбуках сотрудников, нужно еще помнить, чтобы они с этими ноутбуками за границу не ездили. Даже черновик РД с данными клиента нарушение 307-ФЗ.

– кто осуществляет техническое обслуживание соответствующих серверов и их резервных копий (просьба приложить к пояснениям копию гражданско-правового договора на указанное обслуживание (при его наличии));
Это вообще самый сложный вопрос, если вы пользуетесь облаками.

– какие электронные способы и средства предусмотрены для обеспечения сохранности и конфиденциальности рабочих документов в электронном виде;
Набросок: Для обеспечения сохранности (неизменности) и конфиденциальности рабочих документов в электронном виде используются комплекс организационно-технических мер на основе встроенных в ОС Windows, MS SQL Server и {Ваша программа} средств и методов защиты, а также разграничение прав доступа пользователей к информации, резервное копирование в защищенное хранилище…

Для обеспечения сохранности и конфиденциальности данных, при их передаче по локальной сети в программе {Ваша программа} используется встроенное в платформу шифрование сетевого трафика между сервером и локальными рабочими местами.
Для обеспечения сохранности данных, при хранении рабочих документов в электронном виде (без формирования окончательного файла на бумажном носителе) в {Ваша программа} используется подписание рабочих документов усиленной квалифицированной электронной подписью при помощи сертифицированного ФСБ России СКЗИ КриптоПро CSP.
Это если конечно КриптоПро используете…

Может кому пригодится.подмигнул
12.08.2021, 17:19
Александр Орлов
1. Ведутся ли рабочие документы аудиторов ООО «Супер аудит» в электронном виде или любой иной форме, отличной от бумажной. Если ведутся в электронном виде, то просим пояснить следующее (с приложением копий документов, регулирующих документирование аудита в электронном виде в ООО «Супер аудит»):
Что значит "ведутся "?  
Александр Орлов
Дело в том, что даже если вы храните РД в распечатанном виде в папках, то делаются они изначально в электронном виде. Это могут быть просто файлы Excel, но это все равно электронные РД.
Чтобы файл Excel, Word стал документом в электронном виде, его нужно подписать ЭЦП, у нас пока РД не распечатан, не пописан, не проверен и не подшит в рабочий файл,  это не РД, а черновик. 
Исправлений: 1; последнее - в 12.08.2021, 17:30.
avatar 12.08.2021, 17:47
elena-kuch
Что значит "ведутся "?  
Вопрос приведен в точности как в запросе Казначейства. Могу только предположить, что ведутся - это синоним делаются, составляются, заполняются и т.д.

elena-kuch
Чтобы файл Excel, Word стал документом в электронном виде, его нужно подписать ЭЦП. 
Я же говорю - достаточно частое заблуждение!
Любой файл является документом в электронном виде не зависимо от подписания ЭП. Кроме того, само подписание никак не изменяет исходный документ.

Статья 2 Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 11.06.2021) "Об электронной подписи": "электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию".

МСА 230 максимально четко определяют требования к РД.

"6. Для целей Международных стандартов аудита следующие термины имеют приведенные ниже значения:
(a) аудиторская документация, рабочая документация, рабочие документы - записи о выполненных аудиторских процедурах, полученных уместных аудиторских доказательствах и сделанных аудитором выводах;
(b) аудиторский файл - одна или более папок, либо иные бумажные или электронные носители информации, предназначенные для хранения данных, содержащие данные, представляющие собой аудиторскую документацию, относящуюся к конкретному заданию."

Ни про какую ЭП тут нет и быть не может.

Кроме того, обратите внимание на
Статья 13. Права и обязанности аудиторской организации, индивидуального аудитора

4. Аудиторской организации, индивидуальному аудитору запрещается хранить документы (копии документов) на бумажном носителе и (или) электронные документы, полученные или составленные при оказании аудиторских услуг, а также данные, содержащиеся в таких документах (копиях документов), и размещать базы этих данных за пределами территории Российской Федерации.

Т.е. речь не только о РД, но и вообще о любых данных, полученных в ходе аудита.
Только зарегистрированные пользователи могут писать в этот форум.