Беспристрастность аудиторов третьей стороны и конфликт интересов

Беспристрастность и объективность аудиторов являются основными предпосылками для результативного и последовательного аудита.

Настоящий документ иллюстрирует практику хорошего поведения для пользы самих аудиторов и органов, отвечающих за оценивание поведения аудиторов, т.е. органов по сертификации/регистрации (ОСР) и органов по аккредитации (см. также ISO/PAS 17001).

1. Область применения

1.1. Глобальной целью сертификации третьей стороной является обеспечение доверия ко всем сторонам, от которых зависит сертификация. Основными принципами, помогающими вселить доверие, являются независимость, беспристрастность и компетентность как при осуществлении соответствующих действий, так и при внешнем представлении их результатов.

1.2. Настоящий документ касается только вопросов, относящихся к угрозам независимости и беспристрастности аудитора и к мерам защиты от этих угроз.

2. Обязательства ОСР по беспристрастности

2.1. Организационной структуре и процедурам ОСР, нанимающего аудиторов, следует быть способными демонстрировать, как выполняется первостепенное требование БЕСПРИСТРАСТНОСТИ.

2.2. ОСР следует демонстрировать посредством политик, процедур и подготовки персонала то, как он поступает с давлением и другими факторами, которые могут ставить под угрозу или, как можно разумно ожидать, ставят под угрозу объективность аудитора и которые могут происходить из широкого разнообразия деятельности, взаимоотношений и других обстоятельств, равно как из разнообразных личных качеств и характеристик аудиторов, могущих быть источниками пристрастности (предвзятости).

3. Угрозы беспристрастности аудитора

3.1. Угрозами беспристрастности аудитора являются источники потенциальной пристрастности, которые могут ставить под угрозу или, как можно разумно ожидать, ставят под угрозу способность аудитора беспристрастно фиксировать наблюдения аудита и делать заключения по аудиту.

Поскольку данные угрозы могут подвергать риску или, как можно разумно ожидать, подвергают риску способность аудитора беспристрастно фиксировать наблюдения аудита и делать заключения по аудиту, ОСР следует идентифицировать и анализировать последствия угроз, которые являются источниками потенциальной пристрастности.

3.2. Угрозы исходят от разнообразных типов деятельности, взаимоотношений и других обстоятельств. Для того чтобы понять характер этих угроз и их потенциальное влияние на беспристрастность аудитора, ОСР следует идентифицировать типы угроз, исходящих от конкретных видов деятельности, взаимоотношений или других обстоятельств. Нижеследующий перечень предоставляет примеры типов угроз, которые могут оказывать давление, и других факторов, которые могут приводить к пристрастному поведению на аудите.

Хотя перечень не является исключительным или исчерпывающим, он иллюстрирует широкое разнообразие типов угроз, которые ОСР необходимо учитывать при анализе вопросов о независимости и беспристрастности аудитора.

  • Угрозы, проистекающие из собственных интересов. Это угрозы, которые исходят от аудиторов, действующих в своих собственных интересах. Собственные интересы включают эмоциональные, финансовые или другие личные интересы аудиторов. Аудиторы могут оказывать предпочтение (сознательно или подсознательно) именно таким собственным интересам, а не интересам в проведении аудита системы менеджмента. Например, взаимоотношения ОСР с клиентами создают собственный финансовый интерес, потому что клиенты платят ОСР. Аудиторы также имеют собственный финансовый интерес, если они имеют акции в аудитируемой организации, и могут иметь собственный эмоциональный или финансовый интерес, если между членами семьи аудитора и аудитируемой организацией существуют трудовые отношения.
  • Угрозы самопроверки. Это угрозы, которые исходят от аудиторов, анализирующих и проверяющих работу, сделанную ими самими или их коллегами. Гораздо труднее оценить без пристрастия работу собственной организации, чем работу кого-то еще или другой организации. Следовательно, угроза самопроверки может иметь место, когда аудиторы анализируют те заключения и решения, которые сделали они или другие люди в их организации.
  • Угрозы хорошего знакомства (или доверия). Это угрозы, которые исходят от аудиторов, находящихся под влиянием близких взаимоотношений с аудитируемой организацией. Такая угроза имеет место, если аудиторы недостаточно скептически относятся к утверждениям аудитируемой организации и в результате слишком легко принимают точку зрения аудитируемой организации из-за хорошего знакомства с ней или из-за доверия ей. Например, угроза хорошего знакомства может возникнуть, когда аудитор имеет особенно тесные или давние личные или профессиональные отношения с аудитируемой организацией.
  • Угрозы шантажа. Это угрозы, сопровождающие аудиторов, которые испытывают или полагают, что испытывают, открытое или тайное принуждение со стороны аудитируемых организаций или других заинтересованных сторон. Такая угроза может появиться, например, если аудитору или ОСР угрожают его заменой из-за несогласия с его оценкой применения аудитируемой организацией конкретного требования нормативного документа, используемого в качестве основы для аудита.
  • Угрозы защиты интересов. Эта угроза возникает, например, когда орган или его персонал действует при разрешении спора или в ходе судебного процесса в поддержку аудитируемой организации, являющейся одновременно их потребителем, или находится в оппозиции к ней.
  • Угрозы соперничества. Она возникает, например, когда аудитируемую организацию оценивает одновременно приглашенный в команду технический эксперт.

4. Меры защиты беспристрастности аудитора

4.1. ОСР следует иметь меры защиты, которые уменьшают или устраняют угрозы беспристрастности аудитора. Меры защиты могут включать применение запретов, ограничений, разоблачений, политик, процедур, практик, стандартов, правил, организационных мероприятий и создание соответствующих окружающих условий. Их следует регулярно анализировать для обеспечения их продолжающейся применимости.

Примечание 1. Меры защиты могут с самого начала сопутствовать среде, в которой выполняются аудиты, или же могут быть выработаны лицами, независимыми в принятии решений, в ответ на угрозы, исходящие от различных видов деятельности, взаимоотношений и других обстоятельств. Одним из способов, каким могут быть описаны меры защиты, является как раз ссылка на то, к какому из вышеуказанных двух типов они относятся.

4.2. Примеры мер защиты, которые сопутствуют среде, в которой выполняются аудиты, включают:

  • значение, которое органы по сертификации/регистрации (ОСР) и отдельные аудиторы придают своей репутации;
  • программы аккредитации ОСР, которые оценивают соответствие организации в целом профессиональным стандартам и нормативным требованиям, касающимся беспристрастности;
  • общий надзор со стороны комитетов и структур управления ОСР (например советов директоров) за соответствием критериям беспристрастности;
  • другие аспекты корпоративного управления, включая культуру ОСР, которые поддерживают процесс сертификации и беспристрастность аудиторов;
  • правила, стандарты и кодексы профессионального поведения, управляющие поведением аудиторов;
  • предъявление санкций (и сама возможность таких действий) со стороны органов по аккредитации/IAF и других органов; и
  • юридическая ответственность, возложенная на ОСР.

4.3. Примеры мер защиты, которые существуют в органах по сертификации как часть системы менеджмента ОСР, включают:

  • поддержание высокого уровня культуры в ОСР, придающей особое значение ожиданию того, что аудиторы будут действовать в более широких интересах, а также хорошим аудитам и беспристрастности аудиторов;
  • поддержание профессиональной среды и культуры в ОСР, оказывающих поддержку такому поведению всего персонала, которое согласуется с беспристрастностью аудиторов;
  • системы менеджмента, которые включают политику, процедуры и практику, непосредственно относящиеся к поддержанию беспристрастности аудиторов;
  • другие политики, процедуры и практику (например, касающиеся ротации сотрудников, внутреннего аудита), а также требования к внутреннему консультированию по техническим вопросам и
  • политику, процедуры и практику найма, подготовки, продвижения, удержания и вознаграждения персонала, подчеркивающие важность беспристрастности аудиторов, опасности потенциальных угроз, исходящих из различных обстоятельств, с которыми могут встретиться аудиторы в ОСР, а также необходимость того, чтобы аудиторы оценивали свою беспристрастность по отношению к конкретному клиенту после рассмотрения имеющихся мер защиты для уменьшения или устранения этих угроз.

4.4. Другим способом описания мер защиты является описание, основанное на характере этих мер. Примеры включают:

  • предупреждающие меры защиты – например вводная программа для вновь нанятых аудиторов, в которой подчеркивается важность беспристрастности;
  • меры защиты, которые относятся к угрозам, возникающим в конкретных обстоятельствах, – например запреты на определенные трудовые отношения между членами семей аудиторов и клиентами ОСР;
  • меры защиты, смысл которых заключается в том, чтобы помешать нарушению других мер защиты путем наказания нарушителей, – например политика «нулевой терпимости» органов по аккредитации, выражающаяся в немедленной приостановке аккредитации или ее лишении.

4.5. Альтернативным путем, каким могут быть описаны меры защиты, является описание по степени, в какой они ограничивают деятельность или взаимоотношения, считающиеся угрозами беспристрастности аудитора – например запрещение аудиторам предоставлять консультации тем клиентам, которых они аудитируют.

4.6. При оценке беспристрастности своих аудиторов ОСР следует учитывать:

  • давление и другие факторы, которые могут приводить или, как можно разумно ожидать, приводят к пристрастному поведению аудитора (описанные в разделе 3 как угрозы беспристрастности аудитора);
  • элементы управления, которые могут уменьшить или устранить последствия этого давления или других факторов (описанные в разделе 4 как меры защиты беспристрастности аудитора);
  • значимость этого давления и других факторов и результативность этих элементов управления и
  • вероятность того, что давление и другие факторы после рассмотрения результативности элементов управления достигнут уровня, где они будут подвергать риску или, как можно разумно ожидать, подвергают риску способность аудитора поддерживать беспристрастное поведение на аудите.

5. Оценивание уровня риска отсутствия беспристрастности

Органам по сертификации/регистрации следует оценивать уровень риска отсутствия беспристрастности, учитывая типы и значимость угроз беспристрастности аудитора, а также типы и результативность мер защиты. Этот базовый принцип является основой процесса, при помощи которого органам по сертификации/регистрации следует идентифицировать и оценивать уровень риска отсутствия беспристрастности, который исходит из различных видов деятельности, взаимоотношений или других обстоятельств.

Примечание 1. Уровень риска может быть выражен как точка непрерывной шкалы, находящаяся в диапазоне от «нет риска» до «максимальный риск». Одним из путей описания этих конечных точек, промежуточных сегментов непрерывной шкалы риска отсутствия беспристрастности, которые располагаются между этими конечными точками, а также соответствующей вероятности иметь поставленную под угрозу объективность аудитора является следующий (см. таб. 1):

Таблица1.

Уровень риска отсутствия беспристрастности

Нет риска

Отдаленный риск

Некоторый риск

Высокий риск

Максимальный риск

Возможность необъективности фактически исключена

Возможность необъективности очень мала

Необъективность возможна

Необъективность вероятна

Необъективность фактически имеет место

Повышение вероятности угрозы объективности --->

Примечание 2. Хотя уровень риска нельзя точно измерить, для любого конкретного вида деятельности, взаимоотношения или иного обстоятельства, которое может представлять угрозу беспристрастности, его можно представить соответствующим одному из промежуточных сегментов или одной из конечных точек непрерывной шкалы риска отсутствия беспристрастности.

6. Установление приемлемости уровня риска отсутствия беспристрастности

6.1. Органам по сертификации/регистрации следует установить, находится ли уровень риска отсутствия беспристрастности на приемлемом месте непрерывной шкалы риска отсутствия беспристрастности. ОСР следует оценивать приемлемость уровня риска, который исходит от конкретных видов деятельности, взаимоотношений и других обстоятельств. Это оценивание требует, чтобы ОСР выработали свою оценку того, устраняют ли меры защиты угрозы беспристрастности аудитора, исходящие от этих видов деятельности, взаимоотношений или других обстоятельств, или адекватно ли уменьшают меры защиты эти угрозы. Если нет, то ОСР следует решить, какие дополнительные меры защиты (включая запрещение) или сочетание мер защиты снизили бы риск, а также соответствующую вероятность необъективности до приемлемо низкого уровня.

6.2. Принимая во внимание определенные факторы среды, в которой проходят аудиты (например, что аудитору платит аудитируемая организация), риск отсутствия беспристрастности не может быть полностью устранен, и поэтому ОСР всегда принимают некоторый риск того, что объективность аудиторов будет неполной. Тем не менее, при наличии угроз беспристрастности аудитора ОСР следует считать приемлемым только очень низкий уровень риска. Только такая низкая вероятность необъективности согласуется как с определением, так и с целью беспристрастности аудитора.

6.3. Некоторые угрозы беспристрастности аудитора могут влиять только на определенных людей или группы внутри ОСР, поэтому значимость некоторых угроз для разных людей или групп может быть разной. Для обеспечения того, чтобы риск был на приемлемо низком уровне, ОСР следует идентифицировать людей или группы, находящиеся под влиянием угроз беспристрастности, а также значимость таких угроз. Различные типы мер защиты могут быть подходящими для различных людей и групп в зависимости от их ролей в аудите.

6.4. ОСР следует обеспечивать, чтобы выгоды, получаемые в результате снижения риска отсутствия беспристрастности путем установления дополнительных мер защиты, превышали затраты на такие меры. Хотя выгоды и затраты часто трудно идентифицировать и определить количественно, ОСР следует рассматривать их при принятии решений относительно беспристрастности аудитора.

Примечание. Разные стороны несут разные затраты при поддержании беспристрастности аудитора. Некоторые затраты являются прямыми и относятся к разработке, поддержанию и вводу в действие мер защиты, включая затраты на элементы управления качеством ОСР, связанные с беспристрастностью, а также затраты, связанные с системами аккредитации и саморегулирования беспристрастности аудитора. Могут существовать также другие, непрямые, затраты на поддержание беспристрастности аудитора, которые иногда называют «эффектом второго порядка» или «непредусмотренными последствиями». Эти затраты связаны с возможным снижением качества аудитов или другими негативными результатами, которые могут проистекать из мер защиты, которые запрещают или ограничивают деятельность и взаимоотношения аудиторов. Например, ограничения на консультационную/учебную деятельность могут уменьшить привлекательность ОСР как работодателей и таким образом приводить к снижению качества аудитов. На прямые и непрямые затраты на поддержание беспристрастности аудитора могут влиять многие переменные величины, включая количество людей в организации, которые окажутся затронутыми мерами защиты. Поскольку беспристрастность аудиторов важна не только сама по себе, но и для удовлетворения интересов общества, органам по сертификации/регистрации следует учитывать «эффекты второго порядка» или «непредусмотренные последствия», выходящие за пределы прямого влияния их решений на беспристрастность аудиторов.

7. Организационные и структурные вопросы

7.1. В добавление к вышеприведенным аспектам беспристрастность аудиторов нуждается в дополнительной защите путем «включения» ее в организационную структуру, которая будет гарантировать, что требуемые меры защиты внедрены. Организационной структуре следует быть таковой, чтобы ОСР мог демонстрировать свою беспристрастность информированной и незаинтересованной третьей стороне.

7.2. Структуре и организации работы ОСР, выбранным для достижения этих целей, следует быть прозрачными и поддерживать разработку и применение процессов, необходимых для достижения вышеуказанных целей. Этим процессам следует включать в себя:

  • понимание потребностей и ожиданий потребителей и других заинтересованных сторон;
  • установление политики и целей организации;
  • установление процессов и ответственности, необходимых для достижения целей;
  • установление и предоставление инфраструктуры и ресурсов, необходимых для достижения целей;
  • создание и применение методов для определения результативности и эффективности каждого процесса;
  • идентификацию потенциального конфликта интересов как на уровне организации, так и на уровне отдельного человека, а также средства идентификации и разрешения таких конфликтов;
  • установление средств предотвращения несоответствий и устранения их причин и
  • создание и применение процесса постоянного улучшения вышеуказанных процессов.

Примечание. Хотя руководящие указания в настоящем документе были представлены с ориентацией на аудиторов ОСР, аналогичные соображения могут быть применены (с должной адаптацией) к аудиторам органа по аккредитации.

Дата публикации: 30 июля 2005 г.