Бухгалтерский учет. Налоги. Аудит
Узнать состояние фирмы по ИНН
Бухгалтерский учет. Налоги. Аудит

МСК 1

12.02.2024, 00:25
При разработке документов по МСК 1 возник ряд вопросов. При описании требований к лицам, ответственным за управление качеством (п.21 МСК1) можно ориентироваться на профстандарт "Аудитор": для лица, на которое возложена конечная ответственность, уровень Е7, за функционирование системы - F7, за оценку независимости D01.7, за мониторинг D03.7, аудитор В6, руководитель задания С7+статья 5.2 Закона 307-ФЗ для ОЗО. Возник вопрос с критериями лица для проверки качества аудита: по общему правилу не ниже С7, но критерии статьи 5.2 напрямую не применимы. На вебинаре  говорили, что лица, проводящие проверку качества и инспекции вообще могут не быть аудиторами, и не с единым аттестатом.             Для оценки рисков использовала модель Р50.1.084-2012, практически везде для оценки последствий риска использовала вид нарушения по классификатору, все остальные факторы типа репутационного ущерба меркнут по сравнению с результатами ВКД. Ответные меры делала по приложению 5 к Приказу ФНС от 25 мая 2021 года от 25.05.2021 N ЕД-7-23/518@ но что-то не пошло, сократила до описания ответных действий. Получилось, что за разработку политик отвечает почти всегда методолог, за процедуры - руководитель задания, изредка кто-то еще. Вопрос возник с управлением рисками при использовании ресурсов: по кадрам - могут ли сотрудники отдела кадров осуществлять процедуры по управлению качеством аудита (это к тому вопросу в начале), и по технологическим ресурсам - отдел информационной безопасности, а больше то и некому. По новой модели оценки качества управления в МСК 1 очень мало описания, можно ли в значительной мере делать эту оценку на базе мониторинга? И нужны ли какие то личные оценки действий лица, на которое возложено конечная ответственность или как при ВКД "оценка фирмы=оценка руководителя"?
Вложения:
открыть | скачать - МСК 1 Дорожная карта.docx (29.7 KB)
12.02.2024, 00:33
Наталья Бровкина
На вебинаре  говорили, что лица, проводящие проверку качества и инспекции вообще могут не быть аудиторами, и не с единым аттестатом. 
Не согласна, аудиторские процедуры может проводить только аудитор, а по проверке ОЗО только аудитор с единым аттестатом.
12.02.2024, 09:05
Елена, а что написать в управлении рисками в области технологических ресурсов? Только политику, например, запрет на использование мессенджеров для общения с клиентами. Но контроль запрета, так как и контроль доступа в сеть, осуществляют только технические специалисты. И как тогда с программным обеспечением, осуществляющим контроль? Автоматизированные средства контроля вообще получается не применимы в аудиторской деятельности, у них аттестата точно нет, никакого смайлик.   
Вложения:
открыть | скачать - Ресурсы_СУР_МСК 1.xlsx (14.7 KB)
13.02.2024, 04:24
Наталья, процедуры, описанные у Вас по исполнителям менеджер и системный администратор не являются аудиторскими, насколько я поняла из Вашего документа, может он некорректно отражается)
Елена Кучерова
На вебинаре  говорили, что лица, проводящие проверку качества и инспекции вообще могут не быть аудиторами, и не с единым аттестатом. 
Не согласна, аудиторские процедуры может проводить только аудитор, а по проверке ОЗО только аудитор с единым аттестатом.
А контроль качества и инспекции являются аудиторскими процедурами. 
Исправлений: 1; последнее - в 13.02.2024, 04:49.
13.02.2024, 08:49
Елена, проверка качества выполнения задания и инспекции являются лишь одним из видов ответных действий, что касается других ответных действия, то они могут являться не "аудиторскими процедурами" в смысле МСА 330, то есть направленными на выявление искажений аудируемой отчетности, а процедурами внутреннего контроля, направленными на снижение риска, отличного от риска искажения аудируемой отчетности. 

Методические материалы СРО ААС по разработке системы управления качеством с учетом особенностей малых и средних аудиторских организаций, страница 29:  «Ниже приведены примеры условий, событий, обстоятельств, действий или бездействия, связанных с технологическими ресурсами, которые могут привести к рискам качества в других компонентах:
 • Нарушения безопасности могут привести к несанкционированному доступу к данным клиента. Это может привести к рискам качества, связанным с соответствующими этическими требованиями, то есть к нарушениям конфиденциальности информации.
Примеры рисков:
1)    Отсутствие обновлений для ИТ-приложения
2)     Ненадлежащий доступ к данным клиента, которые хранятся в базе данных, управляемой поставщиком». 

Данный документ является краткий переводом IAASB-ISQM-1-first-time-implementation-guide-quality-management, в котором приведен более широкий перечень рисков, связанных с использованием технологических ресурсов (стр.52), например:  поставщик не предоставляет необходимые обновления;  организация не получит автоматизированные обновления. И действия по снижению этих рисков не являются аудиторскими процедурами.

В теории риск аудиторской организации делится на предпринимательский риск (общего характера) и профессиональный аудиторский риск. Соответственно, процедуры внутреннего контроля могут быть направлены на снижение аудиторского риска (контроль качества и инспекции) и/или на снижение предпринимательского риска общего характера (обновление баз, контроль доступа к базам данным, поддержка работы сети, контроль своевременности прохождения повышения квалификации сотрудниками и т.д.). Процедуры внутреннего контроля, направленные на снижение предпринимательского риска, не являются аудиторскими, так как не направлены на выявление искажений в аудируемой отчетности.      

Тогда получается, что ответные действия по МСК 1 включают как аудиторские процедуры (непосредственно направленные на выявление искажений в  аудируемой отчетности) и другие (неаудиторские) процедуры, которые в свою очередь делятся на косвенно связанные с качеством аудита (оценка опыта и квалификации членов аудиторской группы, контроль за обновление консультанта+, доступа к  корпоративной сети и т.д.) и НЕ ВКЛЮЧАЮТ процедуры не связанные с качеством аудита (риск найма непрофессионального бухгалтера для самой аудиторской организации, риск покупки некачественной мебели и т.д.).

Общий подход МСК 1 состоит в том, что ответственность возлагается на лиц, обладающих опытом и знаниями (и по п.А37 МСК 1 как раз к ним может применяться требования о наличии аттестатов и т.д.), и и они могут делегировать  часть своих полномочий:

п.A35 МСК 1. Порядок распределения функций, обязанностей и полномочий в рамках аудиторской организации может варьироваться, и законы или нормативные акты могут налагать на аудиторскую организацию определенные требования, влияющие на структуру высшего руководства и управления или распределение обязанностей. Лицо или лица, на которых возложена ответственность за вопросы, указанные в пункте 20, могут далее распределять функции, процедуры, задачи или действия другим лицам, чтобы помочь им в выполнении обязанностей. Однако лицо или лица, на которых возложена ответственность за вопросы, указанные в пункте 20, по-прежнему несут ответственность и обязанность отчитываться о возложенных на них обязанностях.

Поэтому, если руководитель сказал, что обновление "консультант+" должен проверять сисадмин, и также он должен удалять доступ в сеть уволенным сотрудникам, а отдел кадров обязан передавать копию приказа сисадмину, чтобы он знал кого уволили, эта схема ни в чем не противоречит МСК 1.

Спасибо за отклик!
13.02.2024, 12:09
Наталья Бровкина
Спасибо за отклик!
Пожалуйста, правда не поняла в чём проблема, аудиторские процедуры должны выполнять аудиторы... 
Наталья Бровкина
На вебинаре  говорили, что лица, проводящие проверку качества и инспекции вообще могут не быть аудиторами, и не с единым аттестатом.   
Не смотря на то, что говорят на вебинарах
avatar 14.02.2024, 22:02
Крайне противоречивое разъяснение Совета по аудиторской деятельности 15-2021 говорит о том, что контроль качества (в отличие от инспектирования, про которое не сказано вообще ничего) - это типа участие в аудиторской деятельности. Построено сие толкование на том, что без контроля качества не выдашь аудиторское заключение.


Приложение № 8
к протоколу заочного голосования
Совета по аудиторской деятельности
от 23 сентября 2021 г. № 60

     4. Исходя из изложенного:
4.1) в случаях, когда МСА требуют осуществить проверку качества выполнения аудиторского задания, без завершения такой проверки аудит не может считаться проведенным в соответствии с МСА. Как следствие, проверка качества выполнения аудиторского задания в соответствии с МСА является неотъемлемой частью проведения аудита в соответствии с МСА, и, как таковая, относится к деятельности по проведению аудита (аудиторской деятельности) в смысле Федерального закона «Об аудиторской деятельности». Аналогично к деятельности по оказанию сопутствующих услуг (аудиторской деятельности) относится осуществляемая в соответствии с МСА проверка качества выполнения заданий по оказанию сопутствующих аудиту услуг;

4.2) деятельность по проведению проверки качества выполнения задания должна рассматриваться в контексте видов аудиторских услуг, установленных приказом Минфина России от 9 марта 2017 г. № 33н «Об определении видов аудиторских услуг, в том числе перечня сопутствующих аудиту услуг». В частности, проверка качества выполнения задания по аудиту бухгалтерской (финансовой) отчетности относится к услугам «Аудит бухгалтерской (финансовой) отчетности, включая консолидированную финансовую отчетность» (пункт 1.1. приложения к приказу Минфина России от 9 марта 2017 г. № 33н), проверка качества выполнения задания по обзорной проверке бухгалтерской (финансовой) отчетности – к услугам «Обзорная проверка бухгалтерской (финансовой) отчетности, включая консолидированную финансовую отчетность» (пункт 2.2.1 приложения к приказу Минфина России от 9 марта 2017 г. № 33н);


Соответственно, только аудитор может проводить аудиторскую процедуру.
Не-аудитор не может (давняя позиция Минфина, см. информационное сообщение от 07.02.2013г.).

Ну вот как хотите к этому, так и относитесь.

...А на вебинарах много чего говорят...
Только вот ответственность за исполнение того, о чем говорят на вебинарах, нести не тому, кто говорит, а тому, кто исполняет.
avatar 24.02.2024, 22:13
Я вот тут попытался сопоставить вопросы, которые обычно спрашивали проверяющие из государственной структуры по поводу соответствия правил/процедур аудиторской организации требованиям МСКК 1 (43 вопроса) с тем, что по этим же вопросам требуется по МСК 1 / МСК 2. 

Соответственно, в какой мере можно применять то, что было раньше и что необходимо будет менять. 

Плоды размышлений на эту тему прилагаю, может, кому то будет полезно.
Туда же вставлены регламентации вопросов по МСКК из примера правил, которые, как правило, устраивали проверяющих. 
Вложения:
открыть | скачать - 43 вопроса от ФК - по МСКК и по МСК(1).docx (318 KB)
05.03.2024, 11:50
Григорий,

Спасибо за ответ. Как раз эта ситуация и вызвала проблему. Все таки контроль качества задания и управление качеством аудиторских услуг, на мой взгляд это разные категории.
И контроль качества выполнения задания это лишь одно из обязательных ответных действий в ответ на риски, в отношении него проблем нет.
Вопрос в исполнителе других контрольных действий, например, в управлении рисками использования ресурсов. Почему это должен быть именно аудитор, не совсем понятно. Многие риски снижают сотрудники отдела информационной безопасности и аудитор их работу выполнять не может, так как не является специалистом в этой сфере. Надеемся, Комитет по методологии аудита СРО разъяснит ситуацию.
Только зарегистрированные пользователи могут писать в этот форум.