Международный стандарт аудита 402 "Особенности аудита организации, пользующейся услугами обслуживающей организации" (утратил силу с 12.02.2019 на основании приказа Минфина России от 09.01.2019 N 2н)
Ответные действия по оцененным рискам существенного искажения (см. пункт 15)
А24. Вопрос о том, ведет ли использование обслуживающей организации к повышению риска существенного искажения организации-пользователя, зависит от характера предоставляемых услуг и от средств контроля за этими услугами; в некоторых случаях привлечение обслуживающей организации может снизить риск существенного искажения организации-пользователя, особенно если организация-пользователь сама по себе не обладает необходимым опытом осуществления определенных видов деятельности, например, инициирования, обобщения и обработки операций, или не располагает достаточными ресурсами (например, ИТ-системой).
А25. Когда обслуживающая организация ведет существенные элементы данных бухгалтерского учета организации-пользователя, аудитору организации-пользователя может понадобиться непосредственный доступ к этим данным, чтобы получить достаточные надлежащие аудиторские доказательства, относящиеся к работе средств контроля за этими данными, или чтобы получить подтверждения операций и остатков по счетам, отраженных в таких данных, или чтобы решить обе эти задачи. Такой доступ может означать либо физическую проверку данных бухгалтерского учета в помещении обслуживающей организации, либо анализ данных, которые ведутся в электронной форме, из помещения организации-пользователя или из другого места, либо сочетание этих двух методов. Если непосредственный доступ достигается с помощью электронных средств, аудитор организации-пользователя может получить доказательства достаточности применяемых обслуживающей организацией средств контроля за полнотой и честностью данных организации-пользователя, за которые отвечает обслуживающая организация.
А26. При определении характера и объема аудиторских доказательств, которые необходимо собрать в отношении остатков по счетам, представляющим активы в наличии или операции, проведенные обслуживающей организацией от лица организации-пользователя, аудитор организации-пользователя может рассмотреть возможность выполнения следующих процедур:
(a) проверка записей и документов, находящихся в организации-пользователе: надежность этого источника доказательств определяется характером и объемом данных бухгалтерского учета и подтверждающей документации, хранящейся в организации-пользователе. В некоторых случаях организация-пользователь может не вести независимый подробный учет или документацию в отношении конкретных операций, проведенных от ее лица;
(b) проверка записей и документов, находящихся в обслуживающей организации: возможность доступа аудитора организации-пользователя к записям обслуживающей организации может устанавливаться в договоре между организацией-пользователем и обслуживающей организацией. Аудитор организации-пользователя может также привлекать другого аудитора, чтобы тот от его лица получил доступ к записям организации-пользователя, ведущимся в обслуживающей организации;
(c) получение подтверждения остатков по счетам и операций от обслуживающей организации: если организация-пользователь ведет независимый учет остатков по счетам и операций, подтверждение от обслуживающей организации, подкрепляющее записи организации-пользователя, может представлять собой надежные аудиторские доказательства существования соответствующих операций и активов. Например, когда используется несколько обслуживающих организаций, таких как управляющий инвестициями и депозитарий, и эти обслуживающие организации ведут независимый учет, аудитор организации-пользователя может подтвердить остатки по счетам у этих организаций, для того, чтобы сравнить эту информацию с записями независимого учета организации-пользователя.
Если организация-пользователь не ведет независимый учет, то подтверждающая информация, полученная от обслуживающей организации, является лишь изложением того, что отражено в записях, которые ведет обслуживающая организация. Таким образом, такие подтверждения сами по себе не являются надежными аудиторскими доказательствами. В этих обстоятельствах аудитор организации-пользователя может рассмотреть вопрос о возможности установления альтернативного источника независимых доказательств.
(d) проведение аналитических процедур в отношении записей, ведущихся в организации-пользователе, или отчетов, полученных от обслуживающей организации: эффективность аналитических процедур, вероятно, будет меняться для каждой из предпосылок, и будет зависеть от объема и степени детализации доступной информации.
А27. Процедуры проверки по существу в интересах аудиторов организации-пользователя могут проводиться другим аудитором. Такое задание может включать проведение другим аудитором процедур, согласованных между организацией-пользователем и ее аудитором, с одной стороны, и обслуживающей организацией и ее аудитором - с другой. Результаты процедур, проведенных другим аудитором, изучаются аудитором организации-пользователя с целью определить, представляют ли они достаточные надлежащие аудиторские доказательства. Кроме того, могут существовать требования, наложенные государственными органами или предусмотренные условиями договора, в соответствии с которыми аудитор обслуживающей организации проводит определенные процедуры, являющиеся по своему характеру процедурами проверки по существу. Соответствующие результаты применения необходимых процедур к остаткам по счетам и операциям, обрабатываемым обслуживающей организацией, могут использоваться аудиторами организации-пользователя как часть доказательств, необходимых для обоснования их аудиторских мнений. В этих обстоятельствах для аудитора организации-пользователя и аудитора обслуживающей организации может оказаться полезным предварительное, еще до выполнения соответствующих процедур, согласование аудиторской документации или условий доступа к ней, которые будут предоставлены аудитору организации-пользователя.
А28. В некоторых обстоятельствах, в частности, когда организация-пользователь передает на внешний подряд обслуживающей организации некоторые или все компоненты ее финансовой службы, аудитор организации-пользователя может столкнуться с ситуацией, когда значительная часть аудиторских доказательств находится в обслуживающей организации. Может потребоваться проведение процедур проверки по существу в обслуживающей организации аудитором организации-пользователя или другим аудитором от его лица. Аудитор обслуживающей организации может представить отчет 2-го типа и, кроме того, провести процедуры проверки по существу от лица аудитора организации-пользователя. Привлечение другого аудитора не отменяет обязанностей аудитора организации-пользователя по сбору достаточных надлежащих аудиторских доказательств с целью получения разумного основания для выражения аудиторского мнения аудитором организации-пользователя. Следовательно, рассмотрение аудитором организации-пользователя вопроса о том, были ли собраны достаточные надлежащие аудиторские доказательства, и следует ли аудитору организации-пользователя проводить дополнительные процедуры проверки по существу, предполагает вовлечение аудитора организации-пользователя в управление, надзор и проведение процедур проверки по существу, выполняемых другим аудитором, или доказательства этого вовлечения.
Тестирование средств контроля (см. пункт 16)
А29. Аудитор организации-пользователя должен в соответствии со стандартом МСА 330 разработать и провести тесты средств контроля для сбора достаточных надлежащих аудиторских доказательств в отношении операционной эффективности соответствующих средств контроля в определенных обстоятельствах. В контексте обслуживающей организации, это требование применяется, когда:
________________
(a) оценка аудитором организации-пользователя рисков существенного искажения включает ожидание того, что средства контроля обслуживающей организации работают эффективно (то есть, аудитор организации-пользователя намерен полагаться на операционную эффективность средств контроля обслуживающей организации при определении характера, сроков и объема процедур проверки по существу);
(b) процедуры проверки по существу сами по себе или в сочетании с тестами операционной эффективности средств контроля в организации-пользователе не могут дать достаточных надлежащих аудиторских доказательств на уровне предпосылок.
А30. Если отчет 2-го типа отсутствует, аудитор организации-пользователя может связаться с обслуживающей организацией через организацию-пользователя и запросить у аудитора обслуживающей организации подготовку отчета 2-го типа, включающего тестирование операционной эффективности соответствующих средств контроля, либо для проведения процедур в обслуживающей организации аудитор организации-пользователя может привлечь другого аудитора, который протестирует операционную эффективность этих средств контроля. Аудитор организации-пользователя может также по согласованию с обслуживающей организацией посетить ее и провести тесты соответствующих средств контроля. Оценка рисков аудитором организации-пользователя основывается на комбинации всех доказательств, полученных в результате работы другого аудитора и проведения собственных процедур аудитором организации-пользователя.
Использование отчета 2-го типа в качестве аудиторских доказательств операционной эффективности средств контроля в обслуживающей организации (см. пункт 17)
А31. Отчет 2-го типа может предназначаться для удовлетворения потребностей нескольких разных аудиторов организации-пользователя; поэтому тесты средств контроля и результаты, представленные в отчете аудитора обслуживающей организации, могут не иметь отношения к предпосылкам, которые являются значительными в финансовой отчетности организации-пользователя. Применяемые тесты средств контроля и результаты оцениваются на предмет того, обеспечивает ли аудиторский отчет аудитора обслуживающей организации достаточными надлежащими аудиторскими доказательствами в отношении операционной эффективности средств контроля, подтверждающими оценку рисков аудитором организации-пользователя. При этом аудитор организации-пользователя может принять во внимание следующие факторы:
(a) период, охватываемый тестами средств контроля, и время, прошедшее после проведения этих тестов средств контроля;
(b) объем работ аудитора обслуживающей организации и охваченные услуги и процессы, протестированные средства контроля и тесты, которые были выполнены, а также то, каким образом протестированные средства контроля взаимодействуют со средствами контроля организации-пользователя;
(c) результаты этих тестов средств контроля и мнение аудитора обслуживающей организации об операционной эффективности этих средств контроля.
А32. В отношении некоторых предпосылок чем короче период, охваченный конкретным тестом, и чем больше времени прошло с момента его проведения, тем меньше аудиторских доказательств может дать этот тест. При сравнении периода, охваченного отчетом 2-го типа, с периодом финансовой отчетности организации-пользователя аудитор организации-пользователя может прийти к выводу, что этот отчет 2-го типа дает меньше аудиторских доказательств, если существует лишь небольшое пересечение периода, охваченного отчетом 2-го типа, и периода, в отношении которого аудитор организации-пользователя намерен полагаться на этот отчет. В таком случае дополнительные аудиторские доказательства могут представляться в отчете 2-го типа, охватывающем предшествующий или последующий период. В других случаях аудитор организации-пользователя может определить, что необходимо провести тесты средств контроля обслуживающей организации или использовать другого аудитора для проведения таких тестов с целью сбора достаточных надлежащих аудиторских доказательств операционной эффективности этих средств контроля.
А33. Аудитору организации-пользователя может также понадобиться собрать дополнительные доказательства о существенных изменениях в применяемых средствах контроля обслуживающей организации за пределами периода, охваченного отчетом 2-го типа, или определить перечень дополнительных аудиторских процедур, которые необходимо провести. Значимые факторы при определении того, какие дополнительные аудиторские доказательства необходимо получить о средствах контроля обслуживающей организации, которые действовали за пределами периода времени, охваченного отчетом аудитора обслуживающей организации, могут включать:
значительность оцененных рисков существенного искажения на уровне предпосылок;
конкретные средства контроля, которые тестировались в течение промежуточного периода, и значительные изменения в них, имевшие место после тестирования, включая изменения в информационной системе, процессах и персонале;
мера, в которой были получены аудиторские доказательства в отношении операционной эффективности этих средств контроля;
продолжительность оставшегося периода;