По какому символу ОФР отразить расходы на оплату услуг по проведению внешнего сканирования уязвимостей (ASV-сканирование)
Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki
Банком заключен договор по внешнему сканированию уязвимостей (ASV-сканирование) (необходимо для прохождения аудита PCI DSS), т.е. это услуги по информационной безопасности.
Предмет договора: Заказчик поручает, а Исполнитель обязуется оказать услуги по внешнему сканированию уязвимостей (ASV-сканирование) для Банка.
Вопрос.
На какой символ расходов будет правильно отразить данные расходы?
Планируем отразить на 70606 символ 48 410 «Аудит», или символ 48 414 «другие организационные и управленческие расходы»
Телеграм-канал https://t.me/knk_banki Консультации по бухгалтерии и налогам для финансовых организаций, в т.ч. банков. Сложные случаи, непростые ситуации. |
Мнение консультантов.
Расходы по оплате услуг по проведению внешнего сканирования уязвимостей (ASV-сканирование), необходимого для подтверждения соответствия Стандарту PCI DSS Банк вправе учитывать:
- по символу 48410 «Расходы на аудит» Отчета о финансовых результатах – в случае, если указанные услуги оказываются в рамках проведения аудита информационной безопасности Банка, и такой порядок признания расходов по аудиту закреплен в учетной политике;
- по символу 48414 «Другие организационные и управленческие расходы» Отчета о финансовых результатах – в случае, если указанные услуги оказываются не в рамках проведения аудита информационной безопасности Банка.
Обоснование мнения консультантов.
На основании пункта 26.11 Положения № 810-П расходы, связанные с обеспечением деятельности кредитной организации, носящие общеорганизационный характер и не идентифицируемые и не сопоставляемые с каждой совершаемой операцией и (или) сделкой, отражаются в Отчете о финансовых результатах в зависимости от вида расходов по символам раздела 8 «Расходы, связанные с обеспечением деятельности кредитной организации, и отчисления в резервы - оценочные обязательства некредитного характера» части 4 «Операционные расходы».
В соответствии с Приложением 9 к Положению № 809-П к организационным и управленческим расходам, учитываемым в подразделе 4 раздела 8 части 4 ОФР, относятся, в частности:
- расходы на аудит – символ 48410;
- другие организационные и управленческие расходы – символ 48414.
Правовые основы регулирования аудиторской деятельности установлены Законом № 307-ФЗ, в соответствии со статьей 1 которой:
- аудиторская деятельность (аудиторские услуги) - деятельность по проведению аудита и оказанию сопутствующих аудиту услуг, осуществляемая аудиторскими организациями, индивидуальными аудиторами. Аудиторская деятельность осуществляется в соответствии со стандартами аудиторской деятельности, а также иными требованиями, установленными Банком России, саморегулируемой организацией аудиторов в соответствии с настоящим Федеральным законом. Под стандартами аудиторской деятельности в целях настоящего Федерального закона понимаются международные стандарты аудита, принимаемые Международной федерацией бухгалтеров и признанные в порядке, установленном Правительством Российской Федерации. К аудиторской деятельности не относятся проверки, осуществляемые в соответствии с требованиями и в порядке, отличными от требований и порядка, установленных стандартами аудиторской деятельности (пункт 2);
- аудит - независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности. Для целей настоящего Федерального закона под бухгалтерской (финансовой) отчетностью аудируемого лица понимается отчетность (или ее часть), предусмотренная Законом № 402-ФЗ, изданными в соответствии с ним иными нормативными правовыми актами, нормативными актами Банка России, Законом № 208-ФЗ или изданными в соответствии с ним иными нормативными правовыми актами, аналогичная по составу отчетность (или ее часть), предусмотренная другими федеральными законами или изданными в соответствии с ними иными нормативными правовыми актами, а также иная финансовая информация (пункт 3);
- виды аудиторских услуг, в том числе перечень сопутствующих аудиту услуг, устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере аудиторской деятельности (далее - уполномоченный федеральный орган) (пункт 4);
- аудиторские организации, индивидуальные аудиторы (индивидуальные предприниматели, осуществляющие аудиторскую деятельность) не вправе заниматься какой-либо иной предпринимательской деятельностью, кроме проведения аудита и оказания услуг, предусмотренных настоящей статьей (пункт 6).
Пунктом 7 статьи 1 Закона № 307-ФЗ определен перечень услуг, которые могут оказывать аудиторские организации, индивидуальные аудиторы наряду с аудиторскими услугами, в частности:
- постановка, восстановление и ведение бухгалтерского учета, составление бухгалтерской (финансовой) отчетности, бухгалтерское консультирование (подпункт 1);
- налоговое консультирование, постановку, восстановление и ведение налогового учета, составление налоговых расчетов и деклараций (подпункт 2);
- управленческое консультирование, связанное с финансово-хозяйственной деятельностью, в том числе по вопросам реорганизации организаций или их приватизации (подпункт 4);
- юридическая помощь в областях, связанных с аудиторской деятельностью, включая консультации по правовым вопросам, представление интересов доверителя в гражданском и административном судопроизводстве, в налоговых и таможенных правоотношениях, в органах государственной власти и органах местного самоуправления (подпункт 5);
- автоматизация бухгалтерского учета и внедрение информационных технологий (подпункт 6);
- оценочная деятельность (подпункт 7);
- разработка и анализ инвестиционных проектов, составление бизнес-планов (подпункт 8);
- проведение научно-исследовательских и экспериментальных работ в областях, связанных с аудиторской деятельностью, и распространение их результатов, в том числе на бумажных и электронных носителях (подпункт 9);
- обучение в областях, связанных с аудиторской деятельностью (подпункт 10).
Коллегия Налоговых Консультантов оказывает финансовым организациям весь комплекс аудиторских, консультационных и юридических услуг +7915-329-02-05 |
Понятия и термины, связанные с защитой информации введены ГОСТ Р 50922-2006 «Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения», в соответствии с которым:
- защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (пункт 2.1.1);
- система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (пункт 2.4.3);
- уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации (пункт 2.6.4);
- техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации (пункт 2.7.1);
- оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации (пункт 2.8.1);
- аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности. Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит) (пункт 2.8.6).
В настоящее время в области информационной безопасности действует Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» СТО БР ИББС-1.1-2007, согласно которому:
- внешний аудит информационной безопасности организации банковской системы Российской Федерации; аудит информационной безопасности: Систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации БС РФ по обеспечению информационной безопасности (далее – ИБ) и установления степени выполнения в организации банковской системы Российской Федерации (далее – БС РФ) установленных критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией (пункт 3.1);
- аудитор (эксперт): Лицо, обладающее компетентностью для проведения аудита информационной безопасности (пункт 3.2);
- заключение по результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита ИБ: Качественная и/или количественная оценки степени соответствия установленным критериям аудита информационной безопасности, представленные аудиторской группой после рассмотрения всех выводов аудита информационной безопасности в соответствии с целями аудита информационной безопасности (пункт 3.6).
Порядок и требования к этапам проведения аудита информационной безопасности организаций БС РФ определены в разделе 7 СТО БР ИББС-1.1-2007.
В соответствии с пунктом 7.1.2 СТО БР ИББС-1.1-2007 аудиторское задание на проведение аудита ИБ должно оформляться договором в соответствии с требованиями законодательства РФ.
На основании изложенного приходим к выводу, что внешний аудит информационной безопасности проводится специальным компетентным в этой сфере лицом – аудитором не в рамках Закона № 307-ФЗ: оказываемая указанным лицом услуга не подпадает под понятие аудиторской услуги, приведенное в пункте 2 статьи 1 Закона № 307-ФЗ, а также не относится к разрешенным в соответствии с пунктом 7 статьи 1 указанного закона иным услугам аудитора. Вместе с тем, в соответствии с терминами и понятиям, введенными ГОСТ Р 50922-2006 и использованными Банком России в своем Стандарте, услуга по проверке информационной безопасности в кредитной организации также определяется как услуга аудита.
Положение № 810-П не содержит норм, определяющих, какие именно расходы относятся к расходам на аудит и учитываются по символу 48410 отчета о финансовых результатах. По сложившейся практике к указанным расходам кредитные организации относят расходы, связанные с оплатой услуг аудита в толковании Закона № 307-ФЗ. Вместе с тем, по нашему мнению, Банк вправе признавать по символу 48410 любые расходы, связанные с проведением аудита (как в толковании Закона № 307-ФЗ, так и в толковании ГОСТ Р 50922-2006).
Таким образом, расходы по оплате услуг по проведению внешнего сканирования уязвимостей (ASV-сканирование), необходимого для подтверждения соответствия Стандарту PCI DSS, Банк вправе учитывать:
- по символу 48410 – в случае, если указанные услуги оказываются в рамках проведения аудита информационной безопасности Банка, и такой порядок признания расходов по аудиту закреплен в учетной политике;
- по символу 48414 – в случае, если указанные услуги оказываются не в рамках проведения аудита информационной безопасности Банка.
Коллегия Налоговых Консультантов предлагает финансовым организациям безлимитное консультационное обслуживание. Стоимость 60 тыс рублей в месяц. +7915-329-02-05 |
Документы и литература.
1. Закон № 307-ФЗ - Федеральный закон Российской Федерации от 30.12.2008г. № 307-ФЗ «Об аудиторской деятельности»;
2. ГОСТ Р 50922-2006 - ГОСТ Р 50922-2006. «Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения», утвержден и введен в действие Приказом Ростехрегулирования от 27.12.2006г. № 373-ст;
3. Положение № 809-П - Положение Банка России от 24.11.2022г. № 809-П «О Плане счетов бухгалтерского учета для кредитных организаций и порядке его применения»;
4. Положение № 810-П - Положение Банка России от 24.11.2022г. № 810-П «О порядке отражения на счетах бухгалтерского учета кредитными организациями доходов, расходов и прочего совокупного дохода»;
5. СТО БР ИББС-1.1-2007 - Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» СТО БР ИББС-1.1-2007, принят и введен в действие Распоряжением Банка России от 28.04.2007г. № Р-345.
Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki
Назад в раздел