САД за своем недавнем заседании одобрил рекомендации аудиторским организациям, индивидуальным аудиторам, аудиторам по проведению аудита годовой бухгалтерской (финансовой) отчетности, годовой консолидированной отчетности организаций за 2020 год в условиях распространения коронавирусной инфекции.
То, что почти на поверхности
Прежде всего, ведомство напомнило о своих прежних изысканиях на тему аудита в условиях пандемии, выходивших в течение года, тем самым подтвердив, что актуальности эти труды не потеряли. В частности, из-за дистанционных способов общения возможна нехватка информации об обстоятельствах, искажающих отчетность – в этой связи Минфин намекал на модификацию мнений или даже отказ от аудита.
Кроме того, ведомство предлагало образец аудиторского заключения в условиях, когда непрерывность деятельности под сомнением.
В рекомендациях ведомство указало, что для оценки влияния пандемии на отчетность надо понять две вещи:
- относится ли организация к пострадавшим (видимо, тут должны иметься в виду не только официально пострадавшие);
- насколько волатильность на рынках капитала, товарных и валютных рынках влияет на финансовое положение и результаты деятельности аудируемого лица.
Следует также обратить внимание на ряд аспектов, список которых привело ведомство, среди которых такие как простои, обесценение, аренда, выходные пособия, неустойки за срыв договоров.
Внутренний контроль
Документ описывает также возможные сбои в работе внутреннего контроля аудируемого лица, в том числе из-за сокращений штата, ограничений на общение и передвижение, ослабления прямого надзора за работниками аудируемого лица, предоставления ненадлежащих прав доступа к данным и по другим причинам.
В этой связи аудитору может понадобиться дополнительное время, чтобы обновить свое понимание процесса подготовки бухотчетности, бизнес-процессов и контрольной среды аудируемого лица.
Аудитор также может изменить ряд оценок, например, категории риска, существенности и так далее, а также – сообщить руководству о недостатках системы внутреннего контроля.
Махинации
МСА 240 предписывает аудитору определенным образом применять некоторые другие стандарты в условиях недобросовестных действий. Из-за пандемии могли усилиться риски оказания давления – побуждения к различным "хитростям", например, вследствие того, что вознагруждение менеджмента зависит от определенных показателей.
Причем, руководство может быть убеждено, что кое-какие "приёмы" в условиях пандемии даже и не всплывут. Аудитор также должен оценивать сами возможности совершения недобросовестных действий, например, благодаря использованию ИТ-систем, как пишет Минфин, "не по назначению".
Аудитору может понадобиться привлечь эксперта, руководителя задания, провести дополнительные процедуры, разделить риски недобросовестных действий на уровне отчетности и на уровне предпосылок, дополнительно протестировать бухгалтерские записи и их корректировки, относящиеся ко всему отчетному периоду (а не только на его конец).
Изменения в работе ИТ-систем
Среди прочего, аудируемые лица могут манипулировать со своими ИТ-системами. Минфин разъяснил, в каких случаях наиболее высока вероятность того, что ИТ-система окажется подвержена влиянию пандемии (например, если как раз идет внедрение, или если системы сильно зависят от небольшого количества лиц, или если существенные ИТ-функции переданы на аутсорсинг, или в других случаях).
Аудитору следует рассмотреть целесообразность использования работы ИТ-экспертов. Если выявлены заметные изменения в работе ИТ-систем, аудитор должен оценить влияние этого фактора, в частности, на порядок учета и обработки операций.
Кроме того, в условиях COVID-19 особое значение приобретают кибер-риски – возрастает количество кибератак, хищений идентификационных данных у работников, работающих удаленно. Кибер-преступники могут выдавать себя за ИТ-персонал аудируемого лица, перенаправлять получателей фишинговых сообщений на поддельные вэб-страницы, с которых якобы реализован удаленный доступ к внутренним сетям аудируемых лиц или к учетным записям.
Соответственно, возрастает риск ненадлежащего или несанкционированного доступа к ИТ-системам, в которых хранятся финансовые данные. Аудитору следует, в частности, рассмотреть, какими мерами руководство аудируемого лица снижает данный риск.
Другое
Пару слов Минфин сказал также об усилении рисков отмывания (но тут ведомство ограничилось напоминанием общих обязанностей аудитора по антиотмывочному законодательству).
Отдельные разделы рекомендаций посвящены аудиторским доказательствам, информационному взаимодействию с лицами, отвечающими за корпоративное управление, контролю качества при выполнении аудиторского задания.