Особенности аудита предприятия, использующего услуги обслуживающей организации

Аудитор субъекта-пользователя обязан получить достаточное и надлежащее аудиторское доказательство, если субъект-пользователь использует услуги одной или нескольких обслуживающих организаций в соответствии с MCA 402 «Аспекты аудита субъектов, пользующихся услугами обслуживающих организаций» .

Многие субъекты передают некоторые аспекты своего бизнеса на внешний подряд организациям, которые оказывают услуги от выполнения определенной задачи под руководством субъекта вплоть до замены целых подразделений и служб субъекта, таких как налоговая служба.

Многие услуги, предоставляемые такими организациями, являются неотъемлемой частью деятельности субъекта; однако, не все эти услуги являются значимыми для аудита. Услуги, предоставляемые обслуживающей организацией, являются значимыми для аудита финансовой отчетности субъектапользователя, если такие услуги и средства контроля над ними являются частью информационной системы субъекта-пользователя, включая сопутствующие бизнес-процессы, связанные с финансовой отчетностью.

Услуги обслуживающей организации являются частью информационной системы субъекта-пользователя, включая сопутствующие бизнес-процессы, связанные с финансовой отчетностью, если такие услуги затрагивают любой из следующих элементов:

• • классы операций в рамках деятельности субъекта-пользователя, которые являются значительными для финансовой отчетности субъекта-пользователя;
• • процедуры в рамках как информационных технологий (ИТ), так и ручных систем, посредством которых субъект-пользователь инициирует, записывает, обрабатывает, исправляет, по мере необходимости, и передает операции в главную бухгалтерскую книгу, а также отражает их в финансовой отчетности;
• • соответствующие данные бухгалтерского учета либо в электронной, либо в рукописной форме, подтверждающие информацию и конкретные счета в финансовой отчетности субъекта-пользователя, которые используются для инициирования, записи, обработки и обобщения операций субъектапользователя;
• • каким образом информационная система субъекта-пользователя «захватывает» события и условия, которые не являются значительными для финансовой отчетности операциями;
• • процесс, используемый для подготовки финансовой отчетности субъекта-пользователя, включая значительные расчетные оценки и раскрытия;
• • средства контроля журнальных проводок, включая нестандартные журнальные проводки, которые использовались для записи единичных, необычных операций или корректировок.

Цели аудитора субъекта-пользователя, если субъект-пользователь использует услуги обслуживающей организации, состоят:

• — в получении достаточного знания о характере и значительности услуг, предоставляемых обслуживающей организацией, и об их влиянии на систему внутреннего контроля субъект-пользователя, которая является значимой для аудита, чтобы идентифицировать и оценивать риски существенных искажений;
• — разработке и выполнении аудиторских процедур в ответ на такие риски.

Выполняя требования MCA, аудитор должен придерживаться четко определенных значений следующих терминов:

• • отчет об описании и организации средств контроля в обслуживающей организации (отчет 1-го типа) — отчет, который содержит:
  • — подготовленное руководством обслуживающей организации описание системы, целей контроля и соответствующих средств контроля обслуживающей организации, которые были разработаны и внедрены на какую-либо конкретную дату;
  • — подготовленный сервисным аудитором отчет с целью передачи разумной уверенности, который включает в себя мнение сервисного аудитора об описании системы, целей контроля и соответствующих средств контроля обслуживающей организации, а также о годности организации средств контроля для достижения указанных целей контроля;
• • отчет об описании, организации и эффективности функционирования средств контроля в обслуживающей организации (отчет 2-го типа) — отчет, который содержит:
• — подготовленное руководством обслуживающей организации описание системы, целей контроля и соответствующих средств контроля, их организации и внедрения на указанную дату или на протяжении указанного периода и, в некоторых случаях, эффективности их функционирования на протяжении указанного периода;
• — подготовленный сервисным аудитором отчет с целью передачи разумной уверенности, который включает в себя:
  • а) мнение сервисного аудитора об описании системы, целей контроля и соответствующих средств контроля, о годности организации средств контроля для достижения указанных целей контроля, а также об эффективности функционирования средств контроля;
  • б) описание выполненных сервисным аудитором тестов средств контроля и результаты таких тестов;
• • сервисный аудитор — аудитор, который по просьбе обслуживающей организации представляет отчет о выражении уверенности в отношении средств контроля обслуживающей организации;
• • обслуживающая организация — организация — третье лицо, предоставляющая услуги субъектам-пользователям, которые являются частью информационной системы таких пользователей, связанной с подготовкой и представлением финансовой отчетности;
• • организация-подрядчик обслуживающей организации — обслуживающая организация, которую использует другая обслуживающая организация для выполнения определенных услуг, предоставляемых субъектам-пользователям и являющихся частью информационной системы, связанной с финансовой отчетностью, таких субъектов-пользователей;
• • аудитор субъекта-пользователя — аудитор, выполняющий аудит финансовой отчетности субъекта-пользователя и представляющий отчет (заключение) по такой отчетности;
• • субъект-пользователь — пользующийся услугами обслуживающей организации субъект, финансовая отчетность которого аудируется.

Рассматриваемый стандарт содержит требования в части:

• — получения представления об услугах, предоставляемых обслуживающей организацией, включая систему внутреннего контроля;
• — действий в ответ на оцененные риски существенных искажений;
• — отчетов 1-го и 2-го типов, которые не включают услуги организации-подрядчика обслуживающей организации;
• — мошенничества, несоблюдения законодательства и нормативных актов и неисправленные искажения в связи с деятельностью обслуживающей организации;
• — представления отчета (заключения) аудитором субъекта-пользователя.

Получая представление о субъекте-пользователе в соответствии с MCA 315, аудитор должен получить представление об услугах, предоставляемых обслуживающей организацией, включая систему внутреннего контроля.

Источниками информации для этого могут служить инструкции пользователей, краткие обзоры систем, технические руководства, договор или соглашение о сервисном обслуживании между субъектом-пользователем и обслуживающей организацией, отчеты обслуживающих организаций, внутренних аудиторов или регулирующих органов по средствам контроля в обслуживающей организации, отчеты сервисного аудитора, включая письма руководству, если таковые имеются.

Приведем вопросы, которые исследует аудитор в рамках получения представления об услугах.

1. Характер услуг, предоставляемых обслуживающей организацией и значительность таких услуг для субъекта-пользователя, включая их влияние на систему внутреннего контроля субъекта-пользователя.

Субъект-пользователь может использовать, например, такую обслуживающую организацию, которая обрабатывает операции и ведет соответствующий учет или записывает операции и обрабатывает соответствующие данные. Например, поставщики программного обеспечения поставляют пакетное программное обеспечение и технологии, позволяющие клиентам обрабатывать финансовые и операционные транзакции.

В качестве примеров услуг, предоставляемых обслуживающей организацией, которые являются значимыми для аудита, можно назвать:

• — ведение данных бухгалтерского учета субъекта-пользователя;
• — управление активами;
• — инициирование, запись или обработка операций в качестве агента субъекта-пользователя.
• 2. Характер и существенность обрабатываемых операций или счетов либо процесс подготовки и представления финансовой отчетности, на который оказывает влияние обслуживающая организация.
• 3. Степень связанности между действиями обслуживающей организации и действиями субъекта-пользователя. Степень связанности обозначает масштаб возможного внедрения субъектом-пользователем эффективных средств контроля над обработкой операций, осуществляемой обслуживающей организацией. Например, высокая степень связанности существует между деятельностью субъекта-пользователя и деятельностью обслуживающей организации, если субъект-пользователь санкционирует операции, а обслуживающая организация обрабатывает и ведет учет таких операций.
• 4. Характер отношений между субъектом-пользователем и обслуживающей организацией, включая соответствующие договорные условия деятельности, осуществляемой обслуживающей организацией, а именно:
  • — информация, которая должна быть предоставлена субъекту-пользователю, и обязанности по инициированию операций, связанных с деятельностью, осуществляемой обслуживающей организацией;
  • — применение требований регулирующих органов в отношении формы записей, которые будет вести обслуживающая организация, или доступа к таким записям;
  • — возмещение, если таковое предусмотрено, которое должно быть предоставлено субъекту-пользователю в случае сбоя в работе;
  • — предоставит ли обслуживающая организация отчет о своих средствах контроля и, если это так, будет ли это отчет 1-го или 2-го типа;
  • — имеет ли аудитор субъекта-пользователя права доступа к данным бухгалтерского учета субъекта-пользователя, которые ведет обслуживающая организация, и прочей информации, необходимой для проведения аудита;
  • — предусматривает ли соглашение возможность прямых коммуникаций между аудитором субъекта-пользователя и сервисным аудитором.

Аудитор субъекта-пользователя, например, может использовать сервисного аудитора, чтобы выполнить такие процедуры от имени аудитора субъекта-пользователя, как:

• — тесты средств контроля в обслуживающей организации; или
• — процедуры проверки по существу в отношении операций, отраженных в финансовой отчетности субъекта-пользователя, и балансов, показанных обслуживающей организацией.

В случае если нет прямых отношений между аудитором субъекта-пользователя и сервисным аудитором, коммуникации между аудитором субъекта-пользователя и сервисным аудитором обычно осуществляются через субъекта-пользователя и обслуживающую организацию.

Получая представление о системе внутреннего контроля, которая является значимой для аудита, в соответствии с MCA 315, аудитор субъекта-пользователя должен оценить организацию и внедрение соответствующих средств контроля в субъекте-пользователе, которые связаны с услугами, предоставляемыми обслуживающей организацией, включая те, что применяются к операциям, обрабатываемым обслуживающей организацией.

Субъект-пользователь может установить средства контроля над услугами обслуживающей организации, которые могут быть протестированы аудитором субъекта-пользователя. Это может позволить аудитору субъекта-пользователя прийти к заключению, что средства контроля субъекта-пользователя работают эффективно в отношении некоторых или всех соответствующих утверждений, независимо от средств контроля, установленных в обслуживающей организации.

Аудитор субъекта-пользователя должен установить, было ли получено достаточное знание характера и значительности услуг, предоставляемых обслуживающей организацией, и их влияния на систему внутреннего контроля субъекта-пользователя, которая является значимой для аудита, чтобы обеспечить основание для идентификации и оценки рисков существенных искажений.

Если аудитор субъекта-пользователя не может получить достаточное знание от субъекта-пользователя, то аудитор субъекта-пользователя должен получить такое знание с помощью одной или более из следующих процедур:

• • получение отчета 1-го или 2-го типа, если возможно;
• • контакт с обслуживающей организацией через субъекта-пользователя с целью получения определенной информации;
• • посещение обслуживающей организации и выполнение процедур, которые предоставят необходимую информацию о соответствующих средствах контроля в обслуживающей организации;
• • использование другого аудитора для выполнения процедур, которые предоставят необходимую информацию о соответствующих средствах контроля в обслуживающей организации.

Обслуживающая организация может привлечь сервисного аудитора для представления отчета об описании и организации ее средств контроля (отчет 1-го типа) или об описании и организации ее средств контроля и эффективности их функционирования (отчет 2-го типа).

В некоторых обстоятельствах субъект-пользователь может передать на внешний подряд одну или несколько значительных единиц бизнеса или функций, таких как служба налогового планирования и соблюдения требований налогового законодательства, или расчетно-финансовая группа, или служба контроля одной или нескольким обслуживающим организациям. Поскольку отчет о средствах контроля в обслуживающей организации не может быть представлен в данной ситуации, наиболее эффективной процедурой для аудитора субъекта-пользователя может оказаться посещение обслуживающей организации, чтобы получить представление о средствах контроля в обслуживающей организации, поскольку здесь велика вероятность прямого взаимодействия руководства субъекта-пользователя с руководством обслуживающей организации.

Субъект-пользователь может использовать обслуживающую организацию, которая в свою очередь использует организацию-подрядчика обслуживающей организации для оказания некоторых из услуг, предоставляемых субъекту-пользователю, которые являются частью информационной системы субъекта-пользователя, связанной с финансовой отчетностью. Аудитору субъекта-пользователя, возможно, потребуется рассмотреть средства контроля в организации-подрядчике обслуживающей организации.

При определении достаточности и надлежащего характера аудиторского доказательства, предоставленного отчетом 1-го или 2-го типа, аудитор субъекта-пользователя должен удостовериться:

• — в профессиональной компетентности сервисного аудитора и его независимости от обслуживающей организации. Для этого аудитор субъекта-пользователя может направить запросы о сервисном аудиторе в профессиональные организации сервисного аудитора или другим практикующим профессиональным бухгалтерам и выяснить, подвергается ли сервисный аудитор надзору со стороны регулирующих органов;
• — адекватности стандартов, согласно которым был выпущен отчет 1-го или 2-го типа.

Если аудитор субъекта-пользователя планирует использовать отчет 1-го или 2-го типа в качестве аудиторского доказательства, чтобы подтвердить знание аудитора субъекта-пользователя об организации и внедрении средств контроля в обслуживающей организации, он должен:

• — оценить, представлено ли описание и организация средств контроля обслуживающей организации по состоянию на дату или за период, которые соответствуют целям аудитора субъекта-пользователя;
• — оценить достаточность и надлежащий характер доказательства, предоставленного отчетом, для знания системы внутреннего контроля субъекта-пользователя, которая является значимой для аудита;
• — установить, являются ли дополнительные средства контроля субъекта-пользователя, определенные обслуживающей организацией, приемлемыми для субъекта-пользователя, и если это так, получить представление о том, организовал и внедрил ли субъект такие средства контроля.

Отчет 1-го или 2-го типа может помочь аудитору субъектапользователя в получении достаточного знания, чтобы идентифицировать и оценить риски существенных искажений. Отчет 1-го типа, однако, не предоставляет доказательства эффективности функционирования соответствующих средств контроля.

Предпринимая какие-либо действия в ответ на оцененные риски в соответствии с MCA 330, аудитор субъекта-пользователя должен:

• — установить, можно ли получить достаточное и надлежащее аудиторское доказательство в отношении соответствующих утверждений финансовой отчетности из записей, хранящихся в субъекте-пользователе; и в противном случае
• — выполнить дальнейшие аудиторские процедуры, чтобы получить достаточное и надлежащее аудиторское доказательство, или использовать другого аудитора, чтобы выполнить такие процедуры в обслуживающей организации от имени аудитора субъекта-пользователя.

В случае если оценка риска аудитором субъекта-пользователя предполагает, что средства контроля в обслуживающей организации функционируют эффективно, аудитор субъектапользователя должен получить аудиторское доказательство эффективности функционирования таких средств контроля посредством выполнения одной или более из следующих процедур:

• — получение отчета 2-го типа, если возможно;
• — выполнение соответствующих тестов средств контроля в обслуживающей организации;
• — использование другого аудитора, чтобы выполнить тесты средств контроля в обслуживающей организации от имени аудитора субъекта-пользователя.

Если аудитор субъекта-пользователя планирует использовать отчет 2-го типа в качестве аудиторского доказательства эффективного функционирования средств контроля в обслуживающей организации, то аудитор субъекта-пользователя должен, чтобы подтвердить оценку риска аудитором субъектапользователя, установить, обеспечивает ли отчет сервисного аудитора достаточное и надлежащее аудиторское доказательство эффективности средств контроля.

Если аудитор субъекта-пользователя планирует использовать отчеты 1-го или 2-го типа, которые не предусматривают услуги, предоставляемые организацией-подрядчиком обслуживающей организации, а такие услуги являются значимыми для аудита финансовой отчетности субъекта-пользователя, то аудитор субъекта-пользователя должен применить требования данного MCA относительно услуг, предоставляемых организацией-подрядчиком обслуживающей организации.

Аудитор субъекта-пользователя должен направить запрос руководству субъекта-пользователя относительно того, сообщала ли обслуживающая организация субъекту-пользователю или стало ли субъекту-пользователю известно каким-либо иным образом о совершении мошенничества, несоблюдении законодательства и нормативных актов или о неисправленных искажениях, оказывающих влияние на финансовую отчетность субъекта-пользователя.

Представление отчета (заключения) аудитором субъектапользователя предполагает, что аудитор субъекта-пользователя должен модифицировать мнение в отчете (заключении) аудитора субъекта-пользователя в соответствии с MCA 705, если аудитор субъекта-пользователя не может получить достаточное и надлежащее аудиторское доказательство в отношении услуг, предоставляемых обслуживающей организацией, которые являются значимыми для аудита финансовой отчетности субъекта-пользователя.

Аудитор субъекта-пользователя не должен ссылаться на работу сервисного аудитора в отчете (заключении) аудитора субъекта-пользователя, содержащем немодифицированное мнение, если только это не требуется согласно законодательству или нормативным актам.

Если ссылка на работу сервисного аудитора является уместной для понимания модификации мнения аудитора субъекта-пользователя, то отчет (заключение) аудитора субъекта-пользователя должен указать, что такая ссылка не уменьшает ответственность аудитора субъекта-пользователя за такое мнение.