Зоны риска при проведении аудиторской проверки

Вадим Муфтахов, старший юрист-консультант, рассмотрел новые правила, согласно которым аудиторы будут передавать информацию в уполномоченный орган, а также подготовил полезные рекомендации для юрлиц.

В апреле 2018 года Президент РФ подписал Закон № 112-ФЗ, который устанавливает новые требования, предъявляемые к аудиторам в части соблюдения 115-ФЗ о противодействии отмыванию доходов и финансированию терроризма (далее – 115-ФЗ). В соответствии с положениями данного закона аудиторы и аудиторские компании  при наличии оснований полагать, что сделки или финансовые операции организации, в отношении которой проводится аудиторская проверка, могли или могут быть осуществлены в целях противодействии отмыванию доходов и финансированию терроризма (далее – ПОДиФТ), обязаны уведомить об этом Росфинмониторинг.

Данный проект закона подготовлен Росфинмониторингом ещё в 2016 году для повышения эффективности контроля в сфере ПОДиФТ.

Однако утверждённые поправки в закон не разъясняли, каким образом аудиторы должны передавать информацию. Соответственно, нормы принятого  закона оказались абстрактны и полноценно не могли работать на практике. За несоблюдение данных норм невозможно было привлечь к ответственности, так как отсутствовал состав правонарушения. Чтобы норма заработала, необходимо было разъяснить порядок передачи информации.   

В ноябре 2018 года Постановлением Правительства РФ № 1332 «О внесении изменений в постановление Правительства Российской Федерации от 16 февраля 2005 г. № 82» (далее  – постановление Правительства РФ № 1332) был уточнён порядок передачи информации аудиторами о подозрительных сделках. К слову, в соответствии с положениями 115-ФЗ и постановления Правительства № 1332 информацию, кроме аудиторов, обязали предоставлять также адвокатов, нотариусов и лиц, осуществляющих предпринимательскую деятельность в сфере оказания юридических или бухгалтерских услуг.

Постановлением Правительства РФ № 1332 утверждено, что подозрительная информация предоставляется в Росфинмониторинг в течение трёх рабочих дней после дня выявления соответствующей информации.

Сведения о подозрительных сделках представляются в электронной форме уполномоченными лицами, в том числе аудиторами и аудиторскими организаторами через личный кабинет либо на оптическом или цифровом носителе информации.

В случае если направляется электронное сообщение через личный кабинет, оно подписывается усиленной квалифицированной электронной подписью.

Сообщение должно содержать следующие сведения:

а) сведения, необходимые для идентификации клиента; б) вид операции (сделки) и основания её совершения;

в) дата совершения операции (сделки) и сумма, на которую она совершена;

г) обстоятельства, послужившие основанием полагать, что операция (сделка) клиента осуществляется или может быть осуществлена в целях легализации (отмывания) доходов.

В свою очередь  23 ноября 2018 года в целях реализации вышеуказанных нормативных актов Росфинмониторинг выпустил письмо, в котором даны  методические рекомендации по рассмотрению аудиторскими организациями и индивидуальными аудиторами при оказании аудиторских услуг рисков ПОДиФТ.

Изменения, внесённые постановлением Правительства РФ № 1332, и издание методических рекомендаций для аудиторов и аудиторских компаний конкретизировали и разъяснили положения статьи 7.1 115-ФЗ и  части 2 статьи 13 Федерального закона от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности». Таким образом, сейчас имеются все основания для привлечения к ответственности за неисполнение вышеуказанных норм.

За нарушения требований российского законодательства в сфере ПОДиФТ предусмотрена административная ответственность статьёй 15.27 Кодекса Российской Федерации об административных правонарушениях. Например, за непредоставление в Росфинмониторинг сведений о подозрительных сделках статья предусматривает ответственность в виде штрафа на должностных лиц в размере от 30 000 до 50 000 рублей; на юридических лиц – от 200 000 до 400 000 рублей или административное приостановление деятельности на срок до 60 суток.

Так что же из себя представляют утверждённые рекомендации, какие сведения, каким образом и в какие сроки необходимо подавать информацию в Росфинмониторинг? 

Рекомендации состоят из трёх пунктов: общие положения, риски ПОДиФТ и уведомление Росфинмониторинга.

Два последних пункта рассмотрим подробнее.

Рекомендации дают разъяснение оценочному понятию о критериях степени рисковой сделки или операции организации при осуществлении своей деятельности. На основании данных критериев аудитор может прийти к выводу о подозрительной сделке. Необходимо заметить, что как рекомендации, так и 115-ФЗ оставляют за аудитором право самостоятельно определить критерии опасной сделки. 

Понятие риски ПОДиФТ в методической рекомендации определяются как возможность нанесения ущерба аудируемому лицу и (или) финансовой системе и (или) экономике в целом путём совершения операции (операций) в целях ПОДиФТ[5].

Риски подразделяются на четыре части.

1. Территориальные риски

Определяются привязкой к определённой стране и территории владельцев компании, то есть если владельцы компании являются резидентами страны, в отношении которой:

• введены какие-либо ограничения (санкции, эмбарго и т. п.);
• имеются сведения о высоком уровне коррупции или другой преступной деятельности.

Также к становым рискам относится случай, когда владельцы аудируемой организации или контрагенты являются резидентами страны, которая предоставляет финансирование или поддержку террористической деятельности либо на территории которой действуют установленные террористические организации, или клиенты или контрагенты аудируемого лица являются нерезидентами Российской Федерации. При этом особое внимание акцентировано на странах-офшорах: например, КНР, Бермуды, княжество Монако, ОАЭ и другие страны в соответствии с перечнем стран, утверждённым Приказом Минфина России от 13.11.2007 № 108н.

2. Клиентские риски

К клиентским рискам относятся структура формирования юридического лица и способ управления и характер осуществления деятельности организации. В частности, при рассмотрении структуры собственности органов управления в рекомендациях рассмотрены следующие риски:

• сложная и необычная структура собственности аудируемого лица;
• адрес массовой регистрации, период деятельности менее года;
• частые смены руководства организации, смена собственников и формы собственности аудируемого лица;
• количественные характеристики персонала по отношению к хозяйственной деятельности аудируемого лица, то есть в случае если обороты организации являются значительными или деятельностью организации является, к примеру, строительство, в то же время в организации числится один руководитель.

Степень клиентских рисков зависит и от характера деятельности аудируемого лица и видов деятельности его клиентов и контрагентов. К ним относятся:

• деятельность некоммерческих организаций в сфере благотворительности, деятельность общественных и религиозных организаций (объединений), иностранных некоммерческих неправительственных организаций и их представительств и филиалов, осуществляющих деятельность на территории Российской Федерации;
• деятельность в компании, где осуществляется интенсивный оборот наличных денежных средств, в том числе розничная торговля, общественное питание, торговля горючим на бензоколонках и газозаправочных станциях, автосалоны и др.;
• деятельность при производстве оружия или посредническая деятельность по торговле оружием;
• деятельность при торговле предметами искусства, антиквариата, роскоши, легковыми транспортными средствами;
• туроператорская деятельность и турагентская деятельность, а также иная деятельность по организации путешествий, а также строительство, оказание консалтинговых услуг. 

Группу клиентских рисков составляют коррупционные риски или риски, связанные с хищением бюджетных денежных средств, в частности:

• клиентами, контрагентами или владельцами аудируемого лица являются иностранные публичные должностные лица или их родственники;
• клиент, контрагент или владелец аудируемого лица является российским публичным должностным лицом либо его близким родственником;
• аудируемое лицо, его клиент или контрагент является участником федеральных целевых программ или национальных проектов либо резидентом особой экономической зоны;
• клиент, контрагент или бенефициарный владелец аудируемого лица является должностным лицом публичной международной организации;
• аудируемое лицо, его клиент или контрагент является организацией, в уставном капитале которой присутствует доля государственной собственности.

В состав клиентских рисков входят репутационные и поведенчиские риски:

• наличие неисполненных судебных решений;
• наличие информации об имеющихся фактах привлечения аудируемого лица к ответственности за нарушения законодательства Российской Федерации о ПОДиФТ и распространение оружия массового уничтожения, а также выявление нарушений этого законодательства в ходе планирования или проведения аудита;
• попытки аудируемого лица скрыть факты хозяйственной деятельности компании;
• оказание влияния и давление руководства аудируемого лица на результаты проверки;
• отказ и задержка предоставления запрошенной информации аудируемым лицом;
• подозрения, что руководство аудируемого лица действует в соответствии с указаниями третьих лиц, но не раскрывает сведения о них;
• нежелание аудируемого лица предоставлять всю необходимую информацию аудитору.

3. Операционные риски

Риски, связанные с оборотом денежных средств, движением денежных средств, обналичиванием денежных средств, операциями, не относящимися к сфере деятельности аудируемого лица. К примеру, риски:

• по платежам, совершённым с использованием банковских карт за пределами государства, на территории которого эти банковские карты были эмитированы;
• связанные с возможным обналичиванием денежных средств;
• связанные с обращением ценных бумаг;
• связанные с возможным хищением, мошенничеством или преднамеренным банкротством;
• связанные с лицами, подпадающими под санкционный режим.

4. Дополнительные риски

Четвёртой группой рисков являются так называемые дополнительные группы рисков. Они включают в себя профессиональное суждение аудитора и составляют личное мнение аудитора о рисках. Критерии профессионального суждения аудитора по поводу того, что операции аудируемого лица могли или могут быть осуществлены в целях ПОДиФТ, формируются, в частности, исходя из:

1) отраслевой принадлежности аудируемого лица;

2) специфики сектора экономики, в котором аудируемое лицо осуществляет деятельность;

3) результатов национальной оценки рисков ПОДиФТ;

4) имеющихся типологий ПОДиФТ;

5) имеющихся у аудитора аудиторских доказательств.     

Перечни рисков ПОДиФТ, приведённые в рекомендациях, не являются исчерпывающими и могут изменяться (дополняться) аудиторами самостоятельно, исходя из складывающейся практики взаимодействия с аудируемыми лицами, анализа их операций, актуальных типологий ПОДиФТ и других факторов. Также при  рассмотрении рисков ПОДиФТ учитываются критерии и признаки необычных сделок, установленные Приказом Росфинмониторинга № 103 от 08.05.2009 (ред. от 09.01.2014).

Таким образом, при осуществлении аудиторской проверки в случае возникновения основания полагать, что в деятельности проверяемой организации имеются признаки ПОДиФТ, аудитор обязан уведомить об этом Росфинмониторинг.

В соответствии с рекомендациями,  аудиторы уведомляют Росфинмониторинг путём направления формализованных электронных сообщений, то есть отправляемые  сообщения должны соответствовать форматам, утверждённым Росфинмониторингом. Данные форматы утверждены Приказом Росфинмониторинга от 22.04.2015 № 110 (далее  – Приказ №110) (ред. от 15.06.2018).

О применении форматов разъяснено в Информационном письме Росфинмониторинга от 22.09.2015 № 48.

Интерактивные формы сообщений размещены в личном кабинете на официальном интернет-сайте Росфинмониторинга. Подготовка сообщений может осуществляться также с помощью автоматизированного комплекса программных средств по вводу, обработке и передаче информации, предоставляемого Росфинмониторингом, а также с помощью иного программного обеспечения, разработанного с учётом структур, приведённых в приложениях к Приказу № 110.

Сообщение должно быть подписано усиленной квалифицированной электронной подписью.

В случае невозможности представления сообщений в Росфинмониторинг через личный кабинет на официальном интернет-сайте Росфинмониторинга сообщения должны быть представлены в Росфинмониторинг на машинном носителе в виде электронного документа в формате xml-файла с сопроводительным письмом лично или заказным почтовым отправлением с уведомлением о вручении. При этом аудитор должен обеспечить соблюдение мер, исключающих бесконтрольный доступ к документам во время доставки: сопроводительное письмо и машинный носитель помещаются в упаковку, исключающую возможность их повреждения или извлечения информации из них без нарушения целостности упаковки.

Читайте также: Как обезопасить свою компанию при выборе поставщиков и подрядчиков

Данными нормами государство обязало аудиторов и аудиторские организации  представлять информацию в уполномоченный орган, полученную в результате проверки аудируемого лица. Аудиторам и аудиторским организациям во избежание рисков привлечения к ответственности проще будет представлять всю имеющуюся информацию независимо от наличия или отсутствия рисков, указанных в рекомендациях. Формально к рискованной операции можно отнести любую операцию, осуществляемую юридическим лицом.  Таким образом, юридическим лицам необходимо заранее планировать сделки, соотносить их с категориями подозрительных, тщательно проверять контрагентов и клиентов, а также к моменту проведения проверки уже иметь пояснения для обоснования сделок и действий в своей хозяйственной жизни.