Кратко и по существу — что должен сделать аудитор при ограничении доступа к документам (внешний и внутренний аудит).
1. Уточнить факты и зафиксировать
- Требовать от руководства официального (лучше в письменной форме) объяснения объёма и причин ограничения, периодичности и сроков доступа. Зафиксировать все запросы/ответы.
2. Оценить влияние на объём и качество доказательств
- Оценить, какие конкретно аудиторские утверждения (баланс, доходы, раскрытия) затронуты и насколько это может помешать получению достаточных и надёжных доказательств.
- Оценить материальность и всеобъемлемость (периферийность): ограничение несущественно, существенно или существенно и всеобъемлемо.
3. Попробовать альтернативные процедуры
- Применить все возможные альтернативные источники и процедуры (внешние подтверждения, последующие события, аналитические процедуры, пересчёты, проверки смежных документов, интервью с ключевыми лицами и т. п.).
- Документировать результаты альтернативных процедур.
4. Консультироваться и сообщать
- Сообщить и обсудить ситуацию с теми, кто отвечает за управление и надзор (например, советом директоров или аудиторским комитетом) — в соответствии с профессиональными стандартами.
- При необходимости проконсультироваться с коллегами, техническим советником или юристом.
5. Принять решение о влиянии на аудиторское заключение и/или отчёт внутреннего аудитора
- Внешний аудит (МСА/ISA): если после всех альтернативных процедур доказательства остались недостаточными:
- при существенном, но не всеобъемлемом ограничении — вынести квалификацию (opinion: «кроме того, …»);
- при существенном и всеобъемлемом ограничении — дать отказ от выражения мнения (disclaimer).
- ссылка на соответствующие МСА: получение аудиторских доказательств и модификации мнения (ISA 500, ISA 705 и др.).
- Внутренний аудит (Стандарты IIA): информировать высшее руководство и совет/комитет; в отчёте внутреннего аудита указать ограничения и их влияние на выводы; если ограничение системное и мешает выполнению миссии, докладывать совету и рассматривать дальнейшие действия (вплоть до эскалации или прекращения задания).
6. Рассмотреть признаки мошенничества или нарушения
- Ограничение доступа может быть индикатором мошенничества или намеренного сокрытия; расширить процедуру оценки риска мошенничества и при необходимости провести дополнительные мероприятия.
7. Полная документация
- Задокументировать: характер ограничения, запросы и ответы, применённые альтернативные процедуры, оценки материала и периферийности, консультации и принятые решения (включая изменения в аудиторском заключении или отчёте).
8. Юридические и регуляторные аспекты
- Проверить возможные нормативные требования по раскрытию или владению документами; при наличии нарушений рассмотреть уведомление регуляторов или правовую консультацию.
Краткий порядок действий: получить и зафиксировать объяснение → оценить влияние и материальность → выполнить альтернативные процедуры → сообщить руководству/совету → при необходимости модифицировать заключение или эскалировать → подробно документировать.