Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры

Инициативный финансовый аудит

Инициативный аудит – это проверка правильности ведения налогового и бухучета, отчетности предприятия и прочих направлений деятельности.

Для проведения проверки требуется инициатива владельцев бизнеса или руководящего состава.

Большинство заказчиков решает проверить все хозяйственные операции. Порядок проведения аудита зависит от задач, которые ставит перед собой клиент.

Это может быть привлечение независимых экспертов, полноценная или выборочная проверка.

Обязательный и инициативный аудит стоит поручить опытным аудиторам. Специалисты компании Линкей готовы проанализировать документацию фирмы, дать ценные рекомендации относительно исправления обнаруженных ошибок и подготовить отчет.

Основания для инициативного финансового аудита или кто может инициировать аудиторскую проверку

Если проведение аудита необязательно, добровольную аудиторскую проверку могут инициировать ее собственники и руководство.

Цели и фронт работ по финансовому аудиту определяются заказчиком, исходя из его потребностей. Такой вид аудиторских услуг очень востребован при:

• Проверке налогового учета
• Уверенности в бухгалтерском, управленческом и налоговом учете

Статистика инициативного аудита

В последнее время доля инициативного аудита растет.

Одна из причин — собственники и руководители компаний хотят быть уверенными, что в бухгалтерском, управленческом и налоговом учете полный порядок.

Многие компании проводят инициативный налоговый аудит дополнительно к обязательному финансовому аудиту.

По статистике Правовест Аудит в 2023 году более 63% клиентов компании дополняли аудит проверкой налогового учета и страховкой от налоговых претензий — это дополнительная финансовая ответственность аудиторской компании по компенсации пени и штрафов в случае, если налоговые органы доначислят налоги за проверенный период.

Она гарантируется договором страхования с Ингосстрах.

Защите себя и свою компанию уже сейчас

Более 13 млн руб. может взыскать учредитель с бывшего гендиректора.

Основания подготовил аудит.

Аудит информационной безопасности

В этой статье рассматриваются вопросы проведения аудита информационной безопасности в отношении объектов критической информационной инфраструктуры, а именно кто, как и когда должен проводить проверку, чем она регламентируется и каковы ее особенности.

Под аудитом в данном случае следует понимать форму независимой оценки состояния информационной безопасности объекта на соответствие заданным критериям, таким как требования действующего законодательства, принятые корпоративные стандарты, отсутствие уязвимостей, способность обеспечить защиту при проведении компьютерной атаки и т.п.

Аудит информационной безопасности: преимущества и мониторинг

В журнале Информационная безопасность No 31 за 2019 г. в одноименной статье я рассматривал общие вопросы, связанные с тем, что такое аудит информационной безопасности, зачем он нужен, какие бывают виды аудита и как он может быть использован по отношению к объектам критической информационной инфраструктуры (далее – ОКИИ).

Прошел год, определенный опыт в данном вопросе накоплен, многие субъекты КИИ провели категорирование своих объектов и начали создание систем их безопасности.

На этапе создания систем безопасности значимых объектов КИИ (далее – СБЗОКИИ) необходимо понимание того, какие меры безопасности уже приняты (и вообще были они приняты или нет), а также какие требования по защите информации уже выполнены.

Если СБЗОКИИ уже создана, то необходимо контролировать ее функционирование и проводить улучшения, то есть совершенствовать.

С точки зрения обеспечения безопасности значимых ОКИИ можно выделить два направления в аудите информационной безопасности – аудит на этапе создания СБЗОКИИ и периодический аудит.

Следует отметить, что в рамках данной статьи будут рассматриваться вопросы, связанные с проведением аудита значимых объектов КИИ, однако изложенные в ней тезисы могут применяться и по отношению к объектам КИИ, не имеющим категории значимости.

Выгоды от проведения инициативного аудита

Заказав проведение инициативного аудита, вы получите целый ряд преимуществ:

• Владелец предприятия или инвестор получает объективное заключение об эффективности работы компании и узнает ее фактическую стоимость.
• Фирма избегает штрафов со стороны ИФНС, поскольку своевременно устраняет нарушения в учете и отчетности.
• Сокращаются расходы за счет оптимизации системы ведения бухучета и налогообложения в компании.
• И самое главное, собственник предприятия сможет принимать стратегически правильные решения по ведению деятельности и управлению бизнесом.

Мониторинг безопасности

Отдельно хотелось бы остановиться на таком виде периодического аудита, как мониторинг безопасности. Он должен осуществляться на регулярной основе и включать в себя:

Объектами мониторинга является большое количество журналов и систем:

• Активности пользователей.
• События безопасности.
• Уязвимости ПО.
• Состояние системы мониторинга.
• И другие.

Таким образом, перечень источников и процедур, входящих в мониторинг безопасности, достаточно большой. Однако есть возможность агрегировать все эти источники и автоматизировать процедуры мониторинга информационной безопасности. В качестве такого решения может выступить система класса Security Governance, Risk, Compliance (SGRC) – программный продукт, основное назначение которого – управление процессами информационной безопасности компании, автоматизация системы менеджмента информационной безопасности.

В функционал указанной системы обязательно входят следующие модули: управление информационными активами; управление соответствием законодательству, стандартам и лучшим практикам (комплаенс); управление внутренним аудитом, коннекторы для взаимодействия с иными решениями, на основе которых можно настроить свидетельства аудита и критерии аудита, а также периодичность генерации отчетов.

Периодический аудит

Проведение периодического аудита регламентируется п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21 декабря 2017 г. No 235) и п. 22 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. No 239).

Периодический аудит можно подразделить на три вида (см. рис. 2). Правила и процедуры аудита безопасности должны быть регламентированы в локальных нормативных актах.

Виды периодического аудита

Мониторинг безопасности и внутренний аудит являются базовыми мерами для всех ЗОКИИ. Внешний аудит можно использовать в качестве компенсирующей меры или в качестве дополнения; при проведении внешнего аудита внутренний проводить необязательно.

Для своевременного получения объективной картины состояния безопасности ЗОКИИ следует проводить ежегодный внутренний аудит и внешний аудит с привлечением лицензиата, владеющего экспертизой в области безопасности информационной инфраструктуры.

Результатом периодического аудита является документ, подтверждающий или не подтверждающий соответствие текущего положения дел заданным критериям, а также содержащий рекомендации по устранению несоответствий или улучшению информационной безопасности, если недостатки не выявлены.

На основании документа целесообразно разработать план по устранению недостатков или усовершенствованию информационной безопасности с указанием сроков проведения мероприятий.

Согласно п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, замечания по результатам внутреннего или внешнего контроля подлежат устранению в установленные руководителем субъекта КИИ сроки.

Суть финансового аудита

Финансовый аудит — независимая проверка достоверности бухгалтерской (финансовой) отчетности организации.

При проведении финансового аудита оцениваются основные ключевые показатели, характеризующие реальную ситуацию в организации:

• Финансовая стабильность
• Динамика развития бизнеса
• Риски и инвестиции

Финансовый аудит позволяет понять финансовую ситуацию организации, исследовать динамику ее развития, а также оценить уровень рисков для инвесторов.

В финансовый аудит не входит проверка правильности уплаты налогов, это отдельный процесс. Аудиторы проверяют только ошибки в налоговых выплатах, которые существенно могут исказить бухгалтерскую отчетность. Подробный анализ налогового учета проводится в ходе налогового аудита, который является важным дополнением к финансовому аудиту.

Кроме того, финансовый аудит может быть дополнен:

Финансовый аудит дает результаты

Доход собственника увеличен на 43 млн руб.

Руководитель отдела аудита

Преимущества обращения в Линкей

Воспользоваться услугой инициативного аудита стоит по следующим причинам:

• Соответствие российскому законодательству
• Изучаются отдельные виды учета согласно установленным требованиям и стандартами ведения бухучета
• Услуги оказываются в полном объеме. Заказчик получает полный отчет о состоянии компании
• Вся предоставляемая финансовая информация сохраняется в секрете
• Наши специалисты имеют большой опыт работы. Поэтому проверки выполняются оперативно и качественно

Инициативный аудит

Инициативный аудит — проводится по желанию собственников или руководства предприятия для проверки эффективности работы бухгалтерии, оценки налоговых рисков и выполнения любых других задач. Комплексный аудит (проверка бухгалтерского и налогового учета) обладает гораздо большей результативностью, чем финансовый (когда проверяется только бухгалтерский учет). Это подтверждают данные нашей аудиторской практики:

Главным отличием инициативного аудита является добровольность. Нет законодательно установленной обязанности проведения проверки и предоставления ее результатов проверки третьим лицам.

Если рассматривать внутренний аудит, плюсом является то, что аудиторы хорошо знают предприятие изнутри, могут оперативно консультировать руководителей отдельных подразделений по юридическим, финансовым, организационным вопросам с учетом специфики конкретного производства, управлять рисками, а также процессами внутреннего контроля (Международный стандарт аудита 610 Использование работы внутренних аудиторов, утв. приказом Минфина РФ от 09.01.2019 № 2).

Но привлечение внешних экспертов целесообразно для получения объективного анализа, взгляда со стороны. Об этом свидетельствуют и результаты опроса, проведенного Правовест Аудит. Мы спросили у руководителей компаний: с какой целью вы проводите аудит?

Внешний аудит дает дополнительные преимущества:

Довольно часто компаниям, которые не подлежат обязательному аудиту, необходимо именно аудиторское заключение: для получения кредитов, для участия в тендерах, при продаже, реорганизации бизнеса, для исключения рисков привлечения руководителя и главного бухгалтера к субсидиарной и материальной ответственности и др. Тем более, что риски субсидиарной ответственности в последнее время неуклонно растут

В этом случае, инициативный аудит бухгалтерской (финансовой) отчетности могут проводить только внешние аудиторы (аудиторские организации).

Наличие АЗ и персонального сертификата руководителю, главному бухгалтеру, финансовому директору о прохождении аудита — это еще один «плюс» привлечения аудиторской компании к проверке финансового состояния предприятия, а также защита руководителей и собственников от рисков субсидиарной, уголовной и материальной ответственности.

Сегодня независимый аудит фактически становится необходимостью для компании и руководителя, который хочет обезопасить себя от многомиллионных претензий.

Поэтому аудиторскую проверку бухгалтерской (финансовой) отчетности проводят даже те организации, которые не обязаны это делать «по закону». Но, как правило, делают это с максимальной пользой, включая в индивидуальные технические задания вопросы углубленной проверки налогового учета и отчетности, проверку кадрового учета, анализ договоров, сложных операций и т.п., т.е. не ограничиваются только выявлением существенных ошибок в отчетности.

Виды финансового аудита

Аудит принято делить на внешний и внутренний.

Внутренняя аудиторская проверка проводится работниками самой организации. Чаще всего службы внутреннего аудита создаются в больших организациях, имеющих сеть филиалов и подразделений.

Внешний аудит — проверка финансовой отчетности независимой аудиторской компанией или индивидуальным аудитором. Выводы оформляются аудиторским заключением.

Инициаторы финансового аудита (в зависимости от ситуации): собственники компании, акционеры, инвесторы, кредитные организации, госорганы.

Внешняя финансовая аудиторская проверка бывает 2-х видов:

Проведение ежегодной обязательной проверки регламентируется законом и предполагает всесторонний анализ хозяйственной деятельности организации «по стандарту». Добровольная внешняя проверка может охватывать деятельность в целом или отдельные области.

В соответствии с законом, обязательный финансовый аудит должны заказывать:

Виды аудиторских проверок

Прежде всего аудиторская проверка организации — это независимая проверка бухгалтерской (финансовой) отчетности — целях выражения мнения о ее достоверности. Такое определение дает п. 1 ст. 3 Федерального закона от 30 декабря 2008 г. N 307-ФЗ «Об аудиторской деятельности» (далее — Закон об аудите).

Но на практике суть аудита — может быть не только проверка «на достоверность» бухгалтерской отчетности внешними аудиторами, но и любая проверка отчетности организации (налоговой, управленческой и др.), как правило, связанная с финансовой деятельностью организации, и (или) документов, на основании которых сформирована отчетность, анализ экономического и финансового состояния организации, оценка перспектив ее развития.

Различают следующие виды аудита:

Финансовый аудит 2023-2024

Аудиторские услуги оказывают исключительно:

В обоих случаях аудиторские организации и индивидуальные аудиторы обязаны состоять в СРО ААС «Содружество».

Аудиторское заключение (АЗ) выдается исключительно лицу, заключившему договор оказания финансового аудита — руководителям или владельцам организации.

Однако аудиторское заключение о достоверности бухгалтерской отчетности имеет важное значение для партнеров компании. Общедоступная бухгалтерская отчетность, по сути, — единственный ресурс, содержащий данные об экономической ситуации в компании для сторонних пользователей. Каждое заинтересованное лицо изучает доступную информацию исходя из собственных задач.

Если достоверность бухгалтерской отчетности подкреплена аудиторским заключением — доверие потенциальных партнеров и инвесторов к компании многократно возрастает.

Процесс финансового аудита

Проведение финансового аудита проходит в несколько этапов:

Чтобы контролировать компанию в течение года и не накапливать ошибки в учете, рекомендуем проводить аудит в несколько этапов, например:

Особенно это важно, если компания подлежит обязательному аудиту и должна закончить аудиторскую проверку в определенные сроки — перед проведение годового собрания акционеров (участников) организации.

Мы всегда на связи с клиентом, предоставляем персонального куратора, доступного 24/7. Наши специалисты — исключительно штатные аттестованные аудиторы с опытом работы, всегда готовые поддержать и помочь решить возникающие вопросы.

Помогаем не ошибаться и защищаем от ИФНС

приходите на наши вебинары и круглые столы

Руководитель отдела консалтинга Советник налоговой службы II ранга

Занимаем 14 место среди аудиторско-консалтинговых компаний России

Система менеджмента качества соответствует стандарту ISO 9001:2008

Членство в Институте профессиональных бухгалтеров

На основе оценок и отзывов пользователей Яндекса

Мнение редакции

Финансовый аудит – это прекрасный способ оценить текущее положение дел в вашей компании, а также взглянуть на ваш бизнес как бы со стороны, чтобы найти слабые места и скрытые резервы.

Если вы хотите, чтобы ваша отчетность вызывала больше доверия и выглядела более привлекательно, то лучший способ этого добиться – это провести финансовый или комплексный (финансовый + налоговый) аудит, выбрав для этого надежную и известную на рынке компанию-партнера.

Как проводится аудиторская проверка

В законодательстве не указаны точные сроки проведения обязательного аудита. Установлены только сроки представления аудиторского заключения по обязательному аудиту, проводимому по требованию законодательства — не позже 10 рабочих дней с даты выдачи АЗ и до 31 декабря, следующего за отчетный год (п. 5 ст. 18 Закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»).

Но рекомендуется проводить аудиторскую проверку заранее, до предоставления отчетности собственникам (акционеров) на собрании по итогам года, крайний срок для которого установлен: для ООО — 30 апреля, а для АО — 30 июня. А еще лучше проводить аудит поэтапно в течение года. Это нужно, чтобы успеть внести возможные корректировки по результатам аудиторской проверки предприятия.

Конечно, самой лучшей профилактикой ошибок в налогах и самым лучшим вариантом для гарантий достоверности годовой отчетности организации остается — проведение первого полноценного этапа аудита до закрытия года. Но не всегда это возможно. По опыту прошлых лет осенью и зимой в «Правовест Аудит» приходят клиенты, которые не успели выбрать аудиторов летом и просят провести аудит до сдачи отчетности. Однако, у нас, как и во многих надежных аудиторских компаниях, на этот «горячий» период свободных слотов у аудиторов почти нет. Но выход есть!

Если вы намерены проводить не просто формальный, а именно полезный аудит — до 31 марта пройдите предаудит, сдайте верную отчетность, а затем спокойно завершайте процесс аудита в удобное время и получайте аудиторское заключение.

Этапы аудиторской проверки

Качество проверки сильно зависит от профессионализма и опыта аудиторов. В своей работе аудиторы вне зависимости от вида проверки (за исключением внутреннего аудита) руководствуются Международными стандартами аудита (МСА), включая стандарт контроля качества. МСА являются общепризнанными высококачественными стандартами аудита.

Применение в работе именно международных стандартов аудита исходя их установленных методик требует с одной стороны высокой квалификации специалистов, а с другой помогает проводить глубокий анализ всей деятельности, значительно повышает вероятность выявления рисков существенного искажения информации и дает возможность выявления скрытых резервов.

Порядок организации аудиторской проверки регламентируют МСА 200 «Основные цели независимого аудитора и проведение аудита в соответствии с международными стандартами аудита» и МСА 300 «Планирование аудита финансовой отчетности». Международные стандарты применяется при проведении обязательного и инициативного аудита бухгалтерской (финансовой) отчетности, когда аудитор должен выразить мнение о ее достоверности и соответственно выдать аудиторское заключение. В иных случаях, аудиторы тоже придерживаются этого стандарта за исключением перечня и объема документов, подлежащих проверке и составления документов (отчетов) по результатам аудиторской проверки предприятия.

Итак, выделяют следующие этапы «официального» аудита:

1. В первую очередь, проводится предварительное планирование — знакомство с проверяемой компанией, определение фронта работ, уточнение задач, согласование сроков проверки, формы отчета по итогам проверки, необходимость аудиторского заключения, затем подбор специалистов по профилю компании и по итогам договоренностей — стоимости услуг.

2. В целях максимальной эффективности аудиторской проверки, составляется план и программа проверки, включающие последовательность и виды работ с учетом состояния системы внутреннего контроля компании.

3. После составления подробного плана проверки подписывается договор на проведение аудиторской проверки и оформляется техническое задание, в котором закрепляется согласованный перечень работ.

4. Далее осуществляется непосредственно проверка, включающая в себя:

Основные требования и описание указанных процедур отражены в МСА 330 «Аудиторские процедуры в ответ на оцененные риски», 520 «Аналитические процедуры», МСА 250 «Рассмотрение законов и нормативных актов в ходе аудита финансовой отчетности».

В ходе проверки аудиторы собирают «аудиторские доказательства» на основании положений МСА 500, которые являются основой составленного аудиторского заключения. Для этих целей делают копии необходимых документов, запрашивают дополнительные сведения по вопросам деятельности компании.

При проведении проверки аудиторы «Правовест Аудит» применяют самостоятельно разработанную «Матрицу аудита» -технологию проверки, позволяющую не пропустить ошибки и выявить возможные резервы. Она соответствует Международным стандартам аудита.

5. по окончании проверки аудиторы сообщают руководству и собственникам предприятия обо всех выявленных отклонениях, пропусках, ошибках и недостатках, налоговых рисках, а также свои выводы и рекомендации по их устранению и уменьшению.

Данная информация может быть в устной форме, в письменной форме в виде краткого свода или подробного отчета, по договоренности с организацией (МСА 260 «Информационное взаимодействие с лицами, отвечающими за корпоративное управление», МСА 265 «Информирование лиц, отвечающих за корпоративное управление, и руководства о недостатках в системе внутреннего контроля»).

Состав отчета по результатам проверки зависит от внутренних стандартов аудиторской организации и как правило туда входит следующая информация:

«Правовест Аудит» в рамках комплексного аудита может предоставить клиентам дополнительные отчеты:

Выявленные ошибки в бухгалтерском и налоговом учете обсуждаются с бухгалтерией, оперативно вносятся исправления в учет и отчетность в соответствии с рекомендациями аудиторов.

6. По окончании аудиторской проверки выдается аудиторское заключение, в котором выражено мнение о достоверности проверяемой отчетности.

Дополнительно отметим, что в аудиторском заключении не перечисляются все выявленные при проверке и неисправленные ошибки. Отражается только мнение о достоверности проверенной бухгалтерской отчетности и, в некоторых случаях, общие сведения о существенных суммах искажений строк отчетности или другие важные для пользователей сведения, такие как: наличие у компании отрицательных чистых активов, существенные неопределенности, риски банкротства и прекращения деятельности.

В зависимости от состояния учета и значимости выявленных ошибок различают три вида аудиторских заключений:

Мнение с оговоркой выражается, если по результатам проверки на основании полученных аудиторских доказательств аудитором установлено существенное искажение статей бухгалтерской отчетности, либо он не может получить достаточные основания, чтобы установить, что проверяемая отчетность не содержит существенные искажения. Причем, возможное влияние необнаруженных искажений может быть существенным, но не всеобъемлющим. В этом случае, в аудиторском заключении должны быть указаны все спорные моменты. Например, это может быть неотражение в бухгалтерском балансе приобретенного имущества, неверная квалификация и отражения в учете договорных обязательств и т.д.

Отрицательное мнение выражается если выявленные при проверке искажения являются существенными и всеобъемлющими, то есть затронувшие более чем одну форму отчетности.

В такой ситуации аудиторы своим заключением информируют пользователей отчетности, что она не отражает достоверно финансовое положение предприятия. Например, такое возможно, если в отчетности не отражены существенные недостачи, выявленные при инвентаризации, выявлено сокрытие значительных убытков, сумма которых составляет большую часть (более 50%) активов компании, либо в случае, если компания не допустила аудитора к проведению мероприятий по инвентаризации имущества при его значительной доле в активах компании.

Отказаться от выражения мнения аудитор должен, если он по итогам проверки не получил доказательств, на которых он мог бы основывать свое мнение о возможном существенном и всеобъемлющем влиянии необнаруженных искажений отчетности.

Но, следует отметить, что отказ от выражения мнения, оформленный в установленной форме, является полноправным аудиторским заключением.

Для того чтобы исключить риски получения модифицированного аудиторского заключения и рекомендуется организовывать проверку в несколько этапов, например, по итогам полугодия, 9 месяцев. Тогда у компании будет возможность своевременно внести исправления и получить по итогам года немодифицированное аудиторское заключение.

7. По итогам аудиторской проверки «Правовест Аудит» выдает руководителю организации и руководителю финансовой службы индивидуальные сертификаты. Они подтверждают, что руководитель (финдиректор, главный бухгалтер) возглавлял вверенную ему организацию (финансовую службу) и она прошла аудиторскую проверку, получив положительное аудиторское заключение. Этот сертификат может быть дополнительным доказательством компетенции руководителя и дополнительным «плюсом» в портфолио при устройстве на работу.

Как выбрать аудиторскую компанию?

Если вы хотите получить от аудита не только формальное аудиторское заключение, но и максимальную практическую пользу — обращайтесь к проверенным профессионалам. К тем, кого рекомендуют ваши коллеги.

Девять из десяти клиентов «Правовест Аудит» заключают договор на следующий год и готовы рекомендовать нашу компанию для проведения аудита (отзывы можно посмотреть на нашем сайте и на специализированных сайтах в интернете).

Мы проводим аудит как для самих себя, т.е. с особой ответственностью и заботой о благосостоянии клиентов, предпринимаем все меры, чтобы не пропустить ошибки и выявить пути повышения инвестиционной привлекательности бизнеса, оптимизации учетных процессов, системы внутреннего контроля и других финансовых возможностей компании. Именно поэтому у нас все аудиторы, юристы и налоговые консультанты в штате компании, что подтверждается данными независимого рейтинга «RAEX».

АКГ «Правовест Аудит» на рынке более 18 лет и занимает 14 место среди крупнейших аудиторских групп в России по версии «RAEX». И наше место в рейтинге повышается ежегодно.

Мы можем предложить своим клиентам действительно высокий уровень сервиса за сопоставимую цену и дополнительные финансовые гарантии для защиты самого бизнеса и должностных лиц компании.

Обязательный аудит

Если говорить кратко, то обязательный аудит должны проходить предприятия, чья деятельность затрагивает интересы множества третьих лиц или имеющих достаточно высокие финансовые показатели.

Перечень случаев, когда требуется обязательный аудит, регулируется статьей 5 Закона об аудите и специальными нормами федерального законодательства.

Например, аудиторское заключение за 2023 год нужно предоставить:

Подробно мы писали об этом в статье.

При определении пороговых значений показателей, превышение которых требует проведения обязательного аудита, в расчет берется сумма выручки из декларации по налогу на прибыль и внереализационные доходы за предыдущий год. Также учитываются доходы и по другим налоговым режимам.

Для определения суммы активов надо посмотреть строку 1600 Бухгалтерского баланса также за прошлый год.

Например, для определения критериев в целях обязательного аудита за 2023 год берется сумма доходов за 2022 год или активов на 31.12.2022 года.

Аудит приобретает статус обязательного, если соблюдается любой критерий его проведения, поименованный в законодательстве РФ.

Обязательный аудит могут проводить только аудиторские организации, которые являются членами СРО (Ассоциация «Содружество» (СРО ААС)) и работают по Международным стандартам аудита.

По результатам обязательного аудита организация получает аудиторское заключение независимого аудитора (АЗ) — официальный документ, составляется в строго определенном формате в соответствии с требованиями Закона об аудите и международными стандартами аудита.

АЗ по результатам обязательного аудита компания направляет в ФНС в комплекте с годовой отчетностью или отдельно, если проверка окончена после срока сдачи бухотчетности. Далее ФНС размещает эту информацию в Государственном информационном ресурсе бухгалтерской отчетности (ГИРБО).

Законодательством установлены определенные сроки предоставления аудиторского заключения и за его отсутствие могут оштрафовать.

Также АЗ нужно разместить на Федресурсе, а некоторые акционерные общества должны разместить бухгалтерскую отчетность вместе с АЗ на своем сайте (ст. 92 ФЗ «Об акционерных обществах» от 26.12.1995 № 208-ФЗ, глава 56 Положения Банка России от 27.03.2020 N 714-П, письмо ЦБ РФ № ИН-02-28/8 от 02.02.2023 г.). Застройщикам, осуществляющим строительство жилых домов по договорам долевого участия, необходимо разместить бухгалтерскую отчетность с АЗ на сайте ЕИЖС (ч. 5 ст. 3 Закона № 214-ФЗ).

Аудит на этапе создания СБЗОКИИ

После завершения процедуры категорирования и получения уведомления из ФСТЭК России о внесении в реестр значимых ОКИИ субъекту КИИ необходимо понять, были ли выполнены какие-то требования в части информационной безопасности, касающиеся значимых ОКИИ. Иными словами, нужно получить свидетельства аудита2 и провести их оценку.

На практике обычно не встречаются организации, у которых нет никакой системы защиты информационных ресурсов. Например, антивирусные программные средства есть практически у всех. Поэтому и нужно понять, что уже реализовано, а что требуется дополнительно реализовать с учетом новых требований.

В качестве критериев аудита3 следует использовать требования, установленные приказами ФСТЭК России от 21 декабря 2017 г. No 235 и от 25 декабря 2017 г. No 239. На что необходимо обращать внимание при про- ведении аудита, на какие вопросы необходимо получить ответы:

Вопросы 1, 3, 4 изучаются применительно ко всей организации, а вопрос относительно средств обеспечения безопасности – применительно к каждому ЗОКИИ. По сути, необходимо проанализировать, какие меры реализуются подсистемами без- опасности каждого из ЗОКИИ. При этом указанный анализ дол- жен проводиться с учетом категории значимости ОКИИ.

Я рекомендую подготовить для данного анализа таблицу, основанную на Составе мер по обеспечению безопасности для значимого объекта соответствующей категории значимости (утв. приказом ФСТЭК России от 25 декабря 2017 г. No 239), например, как на рис. 1.

Рис 1. Пример таблицы для проведения аудита на соответствие требованиям к подсистеме безопасности ЗОКИИ

Результатом вышеописанного анализа будет понимание:

Руководитель отдела аудита, Аттестованный аудитор, Аттестованный профбухгалтер «Правовест Аудит»

Когда требуется аудит?

Инициативная аудиторская проверка проводится в следующих случаях:

Получить большой кредит или привлечь серьезных инвесторов без аудиторского заключения невозможно. Причем инвесторы и финансовые организации могут потребовать заключение аудиторов. Госорганы обычно запрашивают результаты инициативного аудита ООО для допуска к программам и выделения грантов.

Стоит отметить, что Закон № 307-ФЗ не запрещает специалистам аудиторских организаций оказывать дополнительные услуги, которые можно заказать для выявления и исправления нарушений, обнаруженных по результатам инициативного аудита организации. Это может быть, например, ведение бухучета, налоговое консультирование, подготовка документации. Результаты аудита можно использовать для раскрытия преимуществ предприятия, поиска инвесторов и повышения эффективности работы. В случае продажи бизнеса, заключение аудиторов даст полное представление о состоянии дел в фирме. Если сотрудники аудиторской компании обнаружат недочеты и ошибки, их можно своевременно исправить до проверок со стороны ИФНС.