Буквально пару недель назад Совет по финансовой отчетности Великобритании (FRC), в дополнение к своему традиционному ежегодному обзору текущей ситуации с аудиторской деятельностью, выпустил рекомендации, отражающие ожидания регуляторов от профессиональных аудиторских организаций. Во многих отношениях они универсальны и, полагаем, вполне подойдут для работы над улучшением качества аудита вне зависимости от того, в какой стране он осуществляется. Предлагаем взглянуть на них немного детальнее.
В самой Великобритании на данный момент – отмечает во вступительном слове исполнительный директор FRC Джонатан Томпсон (Jonathan Thompson) – результаты официальных инспекций демонстрируют все еще недостаточно высокое качество аудиторских услуг, поскольку лишь в 71% случаев полностью выполнены все требования стандартов. Это значит, что почти одна треть организаций проводит проверки так, что они затем требуют существенных улучшений. С учетом того, что аудит остается важнейшей составляющей целостности рынков капитала и гарантом доверия инвесторов (а сама Британия, как и раньше – крупнейший в мире финансовый центр), такое положение вещей лично для FRC недопустимо.
Авторы публикации разбирают три ключевые составляющие аудита: оценку риска и планирование, исполнение аудита, аудиторскую отчетность. В свою очередь, каждая составляющая имеет свои аспекты, качество реализации которых определяется базовыми факторами, такими как аудиторская “культура”, профессиональное мышление, качество руководства, система контроля качества и так далее.
Ключевые характеристики качественного аудита
Если говорить в целом, по мнению британских регуляторов, качественным можно назвать аудит, который:
- Обеспечивает инвесторов и других пользователей отчетности гарантией того, что финансовая отчетность в их распоряжении представляет собой достоверное и непредвзятой отражение финансового положения интересующих их организаций;
- Соответствуют как по форме, так и по факту аудиторским стандартам и положениям;
- Основан на строгой оценке риска, при условии понимания особенностей проверяемой организации и ее окружения;
- Проводится в соответствии со строгим процессом и на основе аудиторских доказательств, избегает конфликта интересов, имеет строгую систему управления качеством, осуществляется с применением профессионального суждения и профессионального скептицизма;
- Эффективно проверяет допущения, сделанные менеджерами проверяемых организаций, обеспечен достаточными аудиторскими доказательствами, подкрепляющими аудиторское заключение;
- Недвусмысленно отражает мнение аудитора о финансовой отчетности.
Оценка риска и планирование | Исполнение аудита | Завершение аудита и аудиторская отчетность |
|
|
|
Оценка риска и планирование
В оценке риска и планировании, как видно из таблицы, много аспектов, определяющих качество этой составляющей. Оценка риска – динамический процесс, а сам аудиторский план и выбранный подход могут пересматриваться вследствие изменений любого из ключевых аспектов.
Оценка риска отталкивается от неотъемлемых рисков, т.е. тех рисков, которые присутствуют в любом аудиторском задании и никак не зависят от допущений, например, в отношении качества менеджмента клиентской организации. Оценка должна принимать в расчет риск менеджерской предвзятости (management bias) и проводиться в соответствии с действующими требованиями и стандартами. Также аудиторы принимают в расчет информацию из доступных им внешних источников, например, озвученную инвесторами обеспокоенность в медийных источниках. Планирование аудита обязано соответствовать обнаруженным рискам на уровне финансовой отчетности или на предпосылках (составления финансовой отчетности) и определять собой программу и подход к проведению аудита.
Своевременность планирования означает необходимость делать это задолго до окончания финансового года, чтобы дать аудиторам достаточно времени для анализа рисков и разработки программы и подхода к аудиту. Кроме того, планы аудита должны доводиться до сведения лиц, наделенных руководящими полномочиями в клиентских организациях. Самое лучшее – резервировать дополнительное время на непредвиденные случаи. За планирование аудита отвечает руководитель задания и ключевые члены группы проверяющих специалистов. Кроме того, в отдельных случаях к планированию могут привлекать и независимых руководителей обзорных проверок, отвечающих в аудиторских организациях за оценку качества.
“Знания и понимание” – имеются в виду знания и понимание особенностей бизнеса клиента и делового окружения, в том числе особенности отрасли, где компания работает. Эти знания далее актуализируются для элементов бизнес-модели клиента, ключевых составляющих аудита и деловых отношений. Это бывает непросто сделать, поскольку у крупных организаций могут быть очень комплексные бизнес-модели, и аудиторы просто рискуютразбросать все свои силы по множеству разрозненных фрагментов, упуская из внимания актуальные аудиторские риски.
Также очень важно уметь, опираясь на эти знания и понимание особенностей бизнеса, правильным образом проводить аудиторскую выборку из общей популяции проведенных клиентом транзакций и статей его баланса. В этом могут пригодиться специализированные знания сторонних экспертов (например, в области IT), если требуется их привлечение. Впрочем, в последнее время подход с аудиторской выборкой заменяет собой применение передовых технологий, в том числе искусственного интеллекта, способных провести проверку едва ли не всей популяции транзакций и статей. Однако их применение также требует выработки четкого подхода.
Ответственность аудиторов в отношении финансового мошенничества особенно актуальна в свете недавнего пересмотра британского аудиторского стандарта ISA (UK) 240 – основанного, разумеется, на МСА с тем же порядковым номером. В нем говорится, что традиционные, присущие любому аудиту ограничения никак не освобождают аудиторов от ответственности за планирование и проведение проверок таким образом, чтобы быть уверенными, что в финансовой отчетности клиента полностью отсутствуют существенные искажения вследствие хищений.
Риск мошенничества, таким образом, стоит на особом месте, и к нему необходимо относиться с особым вниманием. Большое значение в его оценке имеют коммуникации с лицами, наделенными руководящими полномочиям. Кроме того, стандарт также подчеркивает необходимость обращать внимание на незначительные с точки зрения критериев существенности транзакции, которые, однако, могут использоваться, чтобы прикрыть собой совершенные хищения.
Планирование подразумевает обеспечение команды достаточными ресурсами любого типа, даже если подразумеваются необходимые навыки, знания и время. С клиентами необходимо договориться, что аудиторской команде нужно выделить достаточно времени на проведение и завершение аудиторской проверки в соответствии со стандартами. Любые проблемы с ресурсами нужно доводить до сведения руководства уже самой аудиторской организации, чтобы оно своевременно позаботилось о решении этой проблемы. Более сложные области аудита поручаются людям с большими “ресурсами” в плане знаний и опыта – это о правильном распределении имеющихся в наличии ресурсов среди участников задания.
Планирование аналитических обзоров не несет большой ценности, если выполнено лишь с прицелом на то, как бы поскорее приступить к работе. Эффективный подход подразумевает использование всех доступных команде знаний и обоснованных ожиданий, чтобы либо подтвердить результаты предварительного анализа рисков, либо выявить противоречивую картину, которая может сигнализировать о том, что что-то ранее не учли – возможно, это еще один риск или даже вероятное финансовое мошенничество. Все аномалии нужно разрешить еще до старта работы “в поле”.
Планирование в отношении аудита группы компаний актуально в случае с крупными клиентами, а результаты этой работы доводятся до сведения аудиторов компонент. Для каждой из компонент равным образом остаются актуальными все перечисленные выше факторы, но вместе с тем необходимо и полное взаимопонимание между всей группой проверяющих и группами на компонентах, чтобы иметь общее видение и четко знать, какие именно компоненты имеют наибольшую значимость.
Наконец, коммуникации с лицами, наделенными руководящими полномочиями, лучше детально фиксировать. Это само по себе является признаком тщательного планирования и понимания аудита.
Исполнение аудита
Исполнение аудита, так или иначе, обязательно будет иметь прямую привязку к уникальным для каждой проверки фактам и обстоятельствам. Есть много различных стандартов аудита, которые придется при этом в разной степени задействовать, применяя определенные подходы и способы проверки, но какие-то стандарты используются в любом случае.
Исполнение аудита должно идти в соответствии с заранее согласованным планом, отвечающим действующим стандартам аудита и профессиональной этики. Оно предполагает использование уникальных для данной организации аудиторской методологии, инструментов и ресурсов. Качественный аудит должен уметь демонстрировать, как члены аудиторской команды применяли на практике профессиональное суждение в оценке полученных ими аудиторских доказательств (при этом сами доказательства легко могут оказаться противоречивыми). По-настоящему эффективное исполнение аудита предполагает использование широкого набора доступных инструментов.
Надзор за исполнением и раздача указаний становятся насущной необходимостью в свете того, что данная фаза проверки, как правило, подразумевает одновременную работу многих членов команды по разным направлениям. Вместе с тем команда должна работать как единое целое, чего можно добиться эффективными механизмами коммуникаций и регулярным контролем со стороны более старших руководителей проверки. Эффективность самого надзора также будет зависеть от качества проведенного ранее планирования, использования контрольных инструментов (включая технологических) и своевременного решения возникающих проблем.
Более рисковые по своей сути задания требуют особого подхода. Это касается и руководителей аудиторского задания, которые в сложных аудиторских случаях, отличающихся более высоким уровнем риска, должны проявлять большее участие. Руководители задания, независимые руководители по контролю качества аудита и команда проверяющих специалистов должны в таких особых случаях иметь доступ к сторонним экспертам (например, налоговым бухгалтерам, актуариям, IT-специалистам), чтобы обеспечить высокий уровень качества в любых обстоятельствах.
Документирование аудита должно вестись таким образом, чтобы отражать собой понятную читателю “историю” аудита, включая принятые членами команды критически важные решения. В идеале, сторонний инспектор или контролер качества аудита должен иметь возможность на основе этой истории не просто понять, но и повторить что-то из того, что было сделано. Совершенно необязательно при этом, что по каждой области аудита результаты проверки будут содержаться в одном месте. Напротив, они могут быть очень разбросаны, но это не должно препятствовать тщательной и целостной оценке проведенной аудиторской работы.
Профессиональный скептицизм – это способ для проверяющих специалистов непредвзято оценить полученные аудиторские доказательства. В Великобритании по этой части в пределах последних нескольких лет были внесены очень важные изменения в требования аудиторских стандартов, благодаря которым все стало намного более строгим. Профессиональный скептицизм теперь должен присутствовать на всей протяженности аудита, однако он, очевидно, приобретает максимальное значение именно с удостоверением сделанных менеджерами проверяемой организации оценок и суждений.
В аудиторской проверке нельзя просто “подгонять” аудиторские доказательства под выстраивающуюся картину, избегая противоречивых свидетельств. В случае если менеджеры отказываются идти на сотрудничество и не могут дать четкого объяснения выявленным противоречиям, аудиторы должны настаивать до получения устраивающего их ответа. Важную роль в этом могут сыграть и лица, наделенные руководящими полномочиями, до сведения которых доводятся все ключевые вопросы. Конечным результатом этого вполне может стать публикация модифицированного аудиторского заключения, а иногда даже и отказ от оного.
Использование сторонних специалистов и экспертов необходимо в целях обесценения адекватности знаний всей проверяющей команды для оценки рисков, планирования и проведения аудиторских процедур в ответ на эти риски. Привлекаться могут специалисты и эксперты из самых разных областей, но наиболее часто встречаются:
- Специалисты по реструктуризации (для оценки соответствия бизнеса клиента принципу непрерывности);
- Налоговые эксперты (если необходимо разобраться в тонкостях налогового законодательства в непростых ситуациях);
- Оценщики (для подтверждения результатов оценки имущества);
- Актуарии (в вопросах страхования и расчета пенсий);
- Специалисты по финансовому планированию (для понимания особенностей бизнес-моделей);
- IT-специалисты (для использования высокотехнологических инструментов аудита);
- Специалисты по криминалистической бухгалтерии (для оценки потенциального влияния хищений на финансовую отчетность).
В любом случае, проводимая специалистами работа должна быть логично интегрирована в работу всех прочих членов команды и соответствовать требованиям аудиторских стандартов. Самая передовая аудиторская практика демонстрирует участие сторонних специалистов не только ограниченное время, когда они непосредственно нужны для выдачи профессиональной рекомендации, но и на большей протяженности проверки, чтобы у них была возможность также поучаствовать в оценке предоставляемых менеджерами проверяемых организаций сведений. Кроме того, если используется сторонний эксперт, его или ее рекомендации, конечно же, должны быть тщательно задокументированы.
Адекватный надзор в случае аудита группы компаний обеспечивается эффективностью работы аудиторов компонент с проблемами, возникающими на уровне отдельных компонент. Эти проблемные вопросы должны четко документироваться и демонстрировать контроль и надзор со стороны общей аудиторской команды, а равным образом и адекватность анализа аудиторами компонент предоставляемых менеджерами доказательств.
В Великобритании детальные требования для аудитора групп компаний содержатся в также пересмотренном стандарте МСА (ISA) 600, точнее, его британском аналоге. Помимо этого, важно не забывать, что в случае аудита группы компаний руководитель задания, а также независимый проверяющий качества аудита несут специфические обязанности по консолидационным процессам. Эти дополнительные процедуры также должны документироваться, а их природа, охват и время проведения обязаны соответствовать степени риска существенного искажения.
И конечно, никакой качественный аудит невозможен без обсуждений с другими участниками и сторонами. Консультации рассматриваются обновленными стандартами по управлению качеством аудита (ISQC 1, ISA 220 – и, само собой, их британскими аналогами) как очень важный фактор влияния в распоряжении аудиторской команды. Если эта компонента хромает, возникают большие сомнения относительно способности аудиторской команды прийти к общему заключению по непростым техническим или даже этическим вопросам.
Завершение аудита и аудиторская отчетность
Завершающая стадия аудита – возможность для команды убедиться, что все требуемые процедуры были соблюдены, а требования по отчетности для всех участников – выполнены. Требования здесь более универсальны.
Как провести оценку достаточности и уместности полученных аудиторских доказательств? Качественно проведенный аудит предполагает непрерывность диалога с лицами, наделенными руководящими полномочиями, на всем его протяжении, однако завершающая стадия требует информирования о завершенной аудиторской проверке в целом, включая оцененные риски и изменения в них, если таковые были, проведенную работу, возникшие проблемные места, существенные результаты аудиторской работы на компонентах, скорректированные и нескорректированные существенные искажения, которые удалось обнаружить, вопросы независимости, наконец, сделанные выводы.
Аудитор, выполняющий свою работу качественно, не стесняется объяснить, с какими трудностями столкнулся, и эти объяснения далее находят свое воплощение в обязательном разделе аудиторского заключения, который посвящен ключевым вопросам аудита – там это возможность объяснить уже не только лицам, наделенным руководящими полномочиями, но более широким категориям пользователей аудиторской отчетности, что именно самого важного было обнаружено в ходе аудита. Примерами таких важных вещей, вызвавших беспокойство аудитора, могут быть недостатки систем внутреннего контроля, слишком вольные допущения и оценки в исполнении менеджеров, недостаточные раскрытия. При этом ключевые вопросы желательно излагать сжато и вместе с тем понятно, чтобы было четко видно, какие действия предпринимались, и какие существенные профессиональные суждения были сделаны аудитором.
В случае если, как это часто бывает, аудиторские организации оказываются в “цейтноте”, испытывая давление в пользу как можно более скорого завершения аудита, им следует привлечь дополнительные ресурсы, либо отложить завершение аудита, чтобы эта стадия не оказалась завершенной в ущерб качеству. Не стоит сомневаться в необходимости пойти на такой шаг, выделив дополнительное время на тщательный анализ всех полученных ранее доказательств (в особенности в областях, отнесенных к ключевым вопросам аудита), если альтернативой этого является публикация аудиторского заключения ненадлежащего качества. Это было бы прямым нарушением ключевого принципа – действовать в интересах широкой общественности, а это имеет наивысший приоритет.