По какому символу ОФР отразить расходы на оплату услуг по проведению внешнего сканирования уязвимостей (ASV-сканирование)

Мнение консультантов.

Расходы по оплате услуг по проведению внешнего сканирования уязвимостей (ASV-сканирование), необходимого для подтверждения соответствия Стандарту PCI DSS Банк вправе учитывать:

- по символу 48410 «Расходы на аудит» Отчета о финансовых результатах – в случае, если указанные услуги оказываются в рамках проведения аудита информационной безопасности Банка, и такой порядок признания расходов по аудиту закреплен в учетной политике;

- по символу 48414 «Другие организационные и управленческие расходы» Отчета о финансовых результатах – в случае, если указанные услуги оказываются не в рамках проведения аудита информационной безопасности Банка.

Обоснование мнения консультантов.

На основании пункта 26.11 Положения № 810-П расходы, связанные с обеспечением деятельности кредитной организации, носящие общеорганизационный характер и не идентифицируемые и не сопоставляемые с каждой совершаемой операцией и (или) сделкой, отражаются в Отчете о финансовых результатах в зависимости от вида расходов по символам раздела 8 «Расходы, связанные с обеспечением деятельности кредитной организации, и отчисления в резервы - оценочные обязательства некредитного характера» части 4 «Операционные расходы».

В соответствии с Приложением 9 к Положению № 809-П к организационным и управленческим расходам, учитываемым в подразделе 4 раздела 8 части 4 ОФР, относятся, в частности:

-  расходы на аудит – символ 48410;

- другие организационные и управленческие расходы – символ 48414.

Правовые основы регулирования аудиторской деятельности установлены Законом № 307-ФЗ, в соответствии со статьей 1 которой:

- аудиторская деятельность (аудиторские услуги) - деятельность по проведению аудита и оказанию сопутствующих аудиту услуг, осуществляемая аудиторскими организациями, индивидуальными аудиторами. Аудиторская деятельность осуществляется в соответствии со стандартами аудиторской деятельности, а также иными требованиями, установленными Банком России, саморегулируемой организацией аудиторов в соответствии с настоящим Федеральным законом. Под стандартами аудиторской деятельности в целях настоящего Федерального закона понимаются международные стандарты аудита, принимаемые Международной федерацией бухгалтеров и признанные в порядке, установленном Правительством Российской Федерации. К аудиторской деятельности не относятся проверки, осуществляемые в соответствии с требованиями и в порядке, отличными от требований и порядка, установленных стандартами аудиторской деятельности (пункт 2);

- аудит - независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности. Для целей настоящего Федерального закона под бухгалтерской (финансовой) отчетностью аудируемого лица понимается отчетность (или ее часть), предусмотренная Законом № 402-ФЗ, изданными в соответствии с ним иными нормативными правовыми актами, нормативными актами Банка России, Законом № 208-ФЗ  или изданными в соответствии с ним иными нормативными правовыми актами, аналогичная по составу отчетность (или ее часть), предусмотренная другими федеральными законами или изданными в соответствии с ними иными нормативными правовыми актами, а также иная финансовая информация (пункт 3);

- виды аудиторских услуг, в том числе перечень сопутствующих аудиту услуг, устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере аудиторской деятельности (далее - уполномоченный федеральный орган) (пункт 4);

- аудиторские организации, индивидуальные аудиторы (индивидуальные предприниматели, осуществляющие аудиторскую деятельность) не вправе заниматься какой-либо иной предпринимательской деятельностью, кроме проведения аудита и оказания услуг, предусмотренных настоящей статьей (пункт 6).

Пунктом 7 статьи 1 Закона № 307-ФЗ определен перечень услуг, которые могут оказывать аудиторские организации, индивидуальные аудиторы наряду с аудиторскими услугами, в частности:

- постановка, восстановление и ведение бухгалтерского учета, составление бухгалтерской (финансовой) отчетности, бухгалтерское консультирование (подпункт 1);

-  налоговое консультирование, постановку, восстановление и ведение налогового учета, составление налоговых расчетов и деклараций (подпункт 2);

- управленческое консультирование, связанное с финансово-хозяйственной деятельностью, в том числе по вопросам реорганизации организаций или их приватизации (подпункт 4);

- юридическая помощь в областях, связанных с аудиторской деятельностью, включая консультации по правовым вопросам, представление интересов доверителя в гражданском и административном судопроизводстве, в налоговых и таможенных правоотношениях, в органах государственной власти и органах местного самоуправления (подпункт 5);

-  автоматизация бухгалтерского учета и внедрение информационных технологий (подпункт 6);

-  оценочная деятельность (подпункт 7);

-  разработка и анализ инвестиционных проектов, составление бизнес-планов (подпункт 8);

- проведение научно-исследовательских и экспериментальных работ в областях, связанных с аудиторской деятельностью, и распространение их результатов, в том числе на бумажных и электронных носителях (подпункт 9);

-  обучение в областях, связанных с аудиторской деятельностью (подпункт 10).

Понятия и термины, связанные с защитой информации введены ГОСТ Р 50922-2006 «Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения», в соответствии с которым:

- защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (пункт 2.1.1);

- система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (пункт 2.4.3);

-  уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации (пункт 2.6.4);

-  техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации (пункт 2.7.1);

- оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации (пункт 2.8.1);

-  аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.  Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит) (пункт 2.8.6).

В настоящее время в области информационной безопасности действует Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» СТО БР ИББС-1.1-2007, согласно которому:

- внешний аудит информационной безопасности организации банковской системы Российской Федерации; аудит информационной безопасности: Систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации БС РФ по обеспечению информационной безопасности (далее – ИБ) и установления степени выполнения в организации банковской системы Российской Федерации (далее – БС РФ) установленных критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией (пункт 3.1);

- аудитор (эксперт): Лицо, обладающее компетентностью для проведения аудита информационной безопасности (пункт 3.2);

- заключение по результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита ИБ: Качественная и/или количественная оценки степени соответствия установленным критериям аудита информационной безопасности, представленные аудиторской группой после рассмотрения всех выводов аудита информационной безопасности в соответствии с целями аудита информационной безопасности (пункт 3.6).

Порядок и требования к этапам проведения аудита информационной безопасности организаций БС РФ определены в разделе 7 СТО БР ИББС-1.1-2007.

В соответствии с пунктом 7.1.2 СТО БР ИББС-1.1-2007 аудиторское задание на проведение аудита ИБ должно оформляться договором в соответствии с требованиями законодательства РФ.

На основании изложенного приходим к выводу, что внешний аудит информационной безопасности проводится специальным компетентным в этой сфере лицом – аудитором не в рамках Закона № 307-ФЗ: оказываемая указанным лицом услуга не подпадает под понятие аудиторской услуги, приведенное в пункте 2 статьи 1 Закона № 307-ФЗ, а также не относится к разрешенным в соответствии с пунктом 7 статьи 1 указанного закона иным услугам аудитора. Вместе с тем, в соответствии с терминами и понятиям, введенными ГОСТ Р 50922-2006 и использованными Банком России в своем Стандарте, услуга по проверке информационной безопасности в кредитной организации также определяется как услуга аудита.

Положение № 810-П не содержит норм, определяющих, какие именно расходы относятся к расходам на аудит и учитываются по символу 48410 отчета о финансовых результатах. По сложившейся практике к указанным расходам кредитные организации относят расходы, связанные с оплатой услуг аудита в толковании Закона № 307-ФЗ. Вместе с тем, по нашему мнению, Банк вправе признавать по символу 48410 любые расходы, связанные с проведением аудита (как в толковании Закона № 307-ФЗ, так и в толковании ГОСТ Р 50922-2006).

Таким образом, расходы по оплате услуг по проведению внешнего сканирования уязвимостей (ASV-сканирование), необходимого  для подтверждения соответствия Стандарту PCI DSS, Банк вправе учитывать:

- по символу 48410 – в случае, если указанные услуги оказываются в рамках проведения аудита информационной безопасности Банка, и такой порядок признания расходов по аудиту закреплен в учетной политике;

- по символу 48414 – в случае, если указанные услуги оказываются не в рамках проведения аудита информационной безопасности Банка.

Документы и литература.

1.             Закон № 307-ФЗ - Федеральный закон Российской Федерации от 30.12.2008г. № 307-ФЗ «Об аудиторской деятельности»;

2.             ГОСТ Р 50922-2006 - ГОСТ Р 50922-2006. «Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения», утвержден и введен в действие Приказом Ростехрегулирования от 27.12.2006г. № 373-ст;

3.             Положение № 809-П  - Положение Банка России от 24.11.2022г. № 809-П «О Плане счетов бухгалтерского учета для кредитных организаций и порядке его применения»;

4.             Положение № 810-П - Положение Банка России от 24.11.2022г. № 810-П «О порядке отражения на счетах бухгалтерского учета кредитными организациями доходов, расходов и прочего совокупного дохода»;

5.             СТО БР ИББС-1.1-2007 - Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» СТО БР ИББС-1.1-2007, принят и введен в действие Распоряжением Банка России от 28.04.2007г. № Р-345.

Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki