Национальный стандарт аудита 330 «Аудиторские процедуры, относящиеся к оценочным рискам» Введение
Вид материала | Документы |
- Национальный стандарт аудита 120 «Концептуальные основы национальных стандартов аудита», 145.23kb.
- Планирование аудита денежных средств 7 > Аудиторские процедуры, 456.15kb.
- Национальный стандарт аудита 700 «Аудиторское заключение в отношении финансовой отчетности», 191.6kb.
- Примерные вопросы к зачету по дисциплине " Основы аудита, 27.94kb.
- План и программа проверки информации об основных средствах в рамках аудита 56 Основные, 993.15kb.
- Менеджмент программы аудита 7 2 Цели и объем программы аудита 9 3 Ответственность,, 492.18kb.
- Цели и объем программы аудита 9 Ответственность за программу аудита, ресурсы и процедуры, 583.52kb.
- Национальный стандарт аудита 570 «Принцип непрерывности» Введение, 87.51kb.
- Национальный стандарт бухгалтерского учета 13 "Учет нематериальных активов" Введение, 307.73kb.
- Разработка плана и программы аудита операций с денежными средствами в ООО «кас-аэро», 203.85kb.
1 2
НАЦИОНАЛЬНЫЙ СТАНДАРТ АУДИТА 330
« Аудиторские процедуры, относящиеся к оценочным рискам »
Введение
1. Настоящий национальный стандарт аудита (НСА) разработан на основе Международного стандарта аудита 330 «Аудиторские процедуры, относящиеся к оценочным рискам» (ISA 330 “The auditor,s procedures in response to assessed risks”), принятого Международной федерацией бухгалтеров (IFAC) в редакции 2004г.
Цель
2. Целью настоящего стандарта является установление норм и рекомендаций в отношении определения главных аспектов, а также и разработки и применения последующих аудиторских процедур, относящихся к оценочным рискам, связанным с существенными искажениями на уровне финансовой отчетности и на уровне качественных аспектов финансовой отчетности в рамках аудита финансовой отчетности. Знание аудитором хозяйствующего субъекта и его среды, включая его внутренний контроль и оценка рисков связанных с существенными искажениями описаны в НСА 315 «Знание хозяйствующего субъекта и его среды и оценка рисков, связанных с существенными искажениями».
3. Чтобы уменьшить аудиторский риск до приемлемого низкого уровня, аудитор должен определить основные аспекты относящиеся к оценочным рискам на уровне финансовой отчетности и должен разработать и применять последующие аудиторские процедуры, относящиеся к оценочным рискам на уровне качественных аспектов финансовой отчетности. Основные аспекты, а также и характер, время проведения и объем последующих аудиторских процедур являются аспектами профессионального суждения аудитора. Наряду с требованиями настоящего стандарта, аудитор соблюдает также нормы и рекомендации НСА 240 “Обман и ошибка” относящиеся к оценочным рискам, связанным с существенными искажениями в результате обмана.
Основные аспекты
4. Аудитор должен определить основные аспекты подхода к рискам, связанным с существенными искажениями на уровне финансовой отчетности. Такие аспекты включают, для аудиторской группы, необходимость поддержки профессионального скептицизма в процессе сбора и оценки аудиторских доказательств, назначения членов с большим опытом или со специальными навыками, или использования экспертов, обеспечения более внимательного наблюдения, или введения дополнительных непредвиденных элементов при выборе последующих аудиторских процедур, которые будут применяться. Дополнительно, в качестве основного аспекта аудитор может осуществить общие изменения характера, времени проведения и объема аудиторских процедур, например, проводя процедуры по существу в конце отчетного периода вместо промежуточной даты.
5. На оценку рисков, связанных с существенными искажениями на уровне финансовой отчетности влияет понимание аудитором среды контроля. Эффективная среда контроля может позволить аудитору получать большую уверенность во внутреннем контроле и предоставлять большую надежность аудиторским доказательствам, произведенным внутри хозяйствующего субъекта и таким образом, например, позволит аудитору проводить определенные аудиторские процедуры на промежуточную дату, вместо конца отчетного периода. Если существуют недостатки в среде контроля, как правило, аудитор осуществляет больше аудиторских процедур в конце отчетного периода, вместо промежуточной даты, получает более обширные аудиторские доказательства путем применения процедур по существу, изменяет характер аудиторских процедур, чтобы получить более убедительные аудиторские доказательства или увеличивает число задач, которые будут целью аудита.
6. Поэтому, такие соображения имеют существенное влияние на общий порядок подхода к аудиту, например, акцент может быть сделан на процедурах по существу (существенный подход) или подход может основываться на тестировании контролей и на процедурах по существу (смешанный подход).
Аудиторские процедуры, относящиеся к рискам связанным с существенными искажениями на уровне качественных аспектов
7. Аудитор должен разработать и применить последующие аудиторские процедуры характер которых, время проведения и объем соответствовали бы оценочным рискам, связанным с существенными искажениями на уровне качественных аспектов. Цель состоит в обеспечении четкой связи между характером, временем проведения и объемом последующих аудиторских процедур применяемых аудитором и оценкой риска. При разработке последующих аудиторских процедур, аудитор принимает во внимание такие аспекты как:
• Значение риска.
• Вероятность возникновения существенного искажения.
• Характеристики остатков счетов, группы операций или раскрытия вовлеченных информаций.
• Характер специфических контролей, используемых хозяйствующим субъектом и в особенности, если они были ручными или автоматизированными.
• Намерения аудитора планировать получение аудиторских доказательств для определения, если процедуры контроля хозяйствующего субъекта являются эффективными в предотвращении или обнаружении и исправлении существенных искажений.
Характер аудиторских процедур является особенно важным для ответа на оценочные риски.
8. Оценка аудитором идентифицированных рисков на уровне качественных аспектов обеспечивает основу для отбора соответствующего порядка подхода к аудиту относительно разработки и применения последующих аудиторских процедур. В некоторых случаях, аудитор может установить, что осуществляя только процедуры тестирования контролей может получить эффективный результат в ответ на оценочный риск, связанный с существенными искажениями для определенного качественного аспекта. В других случаях, аудитор может определить что для определенных качественных аспектов является подходящим выполнение только процедур по существу и поэтому аудитор может исключить эффект контролей из оценки уместных рисков. Это может быть в том случае, когда процедуры оценки риска, применяемые аудитором не идентифицировали эффективные уместные контроли качественного аспекта, или когда тестирование эффективности функционирования контролей не является эффективным. Однако, аудитор должен быть уверен, что осуществление только процедур по существу для определенного качественного аспекта будет эффективным для снижения риска связанного с существенными искажениями до приемлемого низкого уровня. Часто аудитор может установить, что смешанный подход, касающийся применения как процедур тестирования эффективности функционирования контролей, так и процедур по существу, является самым эффективным. Независимо от выбранного подхода, аудитор разрабатывает и применяет процедуры по существу для каждой существенной группы операций, остатка счета и раскрытия информаций в соответствии с положениями параграфа 48 настоящего стандарта.
9. В случае предприятий малого бизнеса, могут не существовать много деятельностей контроля, которые могли быть идентифицированы аудитором. По этой причине, последующие аудиторские процедуры, применяемые аудитором, вероятно, будут, прежде всего, процедурами по существу. В таких случаях, наряду с аспектам, упомянутыми в параграфе 7 настоящего стандарта, аудитор принимает во внимание, если в отсутствии контролей возможно получить достаточные и уместные аудиторские доказательства.
Рассмотрение характера, времени проведения и объема последующих аудиторских процедур
Характер
10. Понятие «характер» последующих аудиторских процедур относится к цели соответствующих процедур (процедуры тестирования контролей или процедуры по существу) и их типу, то есть рассмотрение, наблюдение, запрос, подтверждение, перерасчет или аналитические процедуры. Определенные аудиторские процедуры больше подходят к определенным качественным аспектам финансовой отчетности, чем к другим. Например, относительно доходов, процедуры тестирования контролей больше всего походят к оценочному риску, связанному с искажением качественного аспекта «полноты», тогда как процедуры по существу больше подходят к оценочному риску, связанному с искажениями качественного аспекта «достоверности».
11. Выбор аудитором аудиторских процедур основывается на оценке риска. Чем выше уровень риска оцененного аудитором, тем более надежнее и уместнее аудиторские доказательства должны быть получены аудитором вследствие применения процедур по существу. Это может затронуть как типы аудиторских процедур, которые следует применять, так и их сочетание. Например, аудитор может подтвердить полноту условий контракта с третьим лицом в дополнение к его осмотру.
12. При определении аудиторских процедур, которые следует применять, аудитор принимает во внимание причины для оценки риска связанного с существенными искажениями на уровне качественного аспекта для каждого остатка на счете, группе операций и раскрытия информаций. Это включает рассмотрение как специфических характеристик остатка на каждом счете, группе операций или раскрытия информаций (то есть, неотъемлемый риск), так и того если оценка риска, осуществляемая аудитором, учитывает или нет контроли хозяйствующего субъекта (то есть, риск контроля). Например, если аудитор считает, что существует сниженный риск возникновения существенного искажения из-за специфических характеристик группы операций, без рассмотрения относящихся контролей, аудитор может определить, что применение аналитических процедур по существу будет достаточным для получения соответствующих и уместных аудиторских доказательств.
С другой стороны, если аудитор ожидает более низкий риск возникновения существенного искажения благодаря тому, что хозяйствующий субъект имеет эффективные контроли и аудитор намерен разработать процедуры по существу, основываясь на эффективности данных контролей, тогда аудитор тестирует контроли для получения доказательств, относящихся к их эффективному функционированию. Это может быть, например, для группы операций с простыми одинаковыми характеристиками, которые обрабатываются и контролируются постоянно информационной системой хозяйствующего субъекта.
13. Аудитор должен получить аудиторские доказательства, касающиеся точности и полноты информаций, произведенных информационной системой хозяйствующего субъекта тогда, когда данные информации используются при проведении аудиторских процедур. Например, если аудитор использует информации нефинансового характера или прогнозируемые данные, произведенные информационной системой хозяйствующего субъекта при проведении аудиторских процедур, такие как аналитические процедуры по существу или тестирование контролей, тогда он получает аудиторские доказательства о точности и полноте таких информаций. Другие рекомендации относительно получения аудиторских доказательств предусмотрены в НСА 500 “Аудиторские доказательства”.
Время проведения
14. Время проведения относится ко времени, когда аудиторские процедуры проводятся или периоду или дате, к которым применяются аудиторские доказательства.
15. Аудитор может осуществлять процедуры тестирования контролей или процедуры по существу на промежуточную дату или на конец отчетного периода. Чем выше уровень риска, связанного с существенными искажениями, тем более вероятно, что аудитор придет к выводу, что более эффективно применять процедуры по существу ближе к концу или в конце отчетного периода и не раньше или применять внезапные аудиторские процедуры или в непредвиденные моменты (например, применение аудиторских процедур в местах отобранных во внезапном порядке). С другой стороны, проведение аудиторских процедур до окончания отчетного периода может помочь аудитору выявить существенные вопросы на начальном этапе аудита, и следовательно решить их с помощью руководства или разработать эффективный метод подхода к аудиту, который решит такие вопросы. Если аудитор осуществляет тестирование контролей или процедуры по существу до окончания отчетного периода, он учитывает дополнительные доказательства, необходимые для оставшегося периода (см. параграфы 37- 38 и 56-61 настоящего стандарта).
16. Тогда, когда учитывает время проведения аудиторских процедур, аудитор рассматривает следующие аспекты:
• Среда контроля.
• Время, когда релевантные информации становятся доступными (например, электронные файлы могут быть впоследствии изменены или процедуры внутреннего контроля, применяемые хозяйствующим субъектом, которые должны быть замечены аудитором (например, инвентаризация), могут возникнуть только в определенное время).
• Характер риска (например, если существует риск увеличенных доходов для достижения определенных целей, что касается последующего заключения ложных торговых договоров, аудитор может решить рассматривать договора доступные на конец отчетного периода).
• Период или дата, к которым относятся аудиторские доказательства.
17. Определенные аудиторские процедуры могут быть проведены только на конец или после окончания отчетного периода, например, сравнение финансовой отчетности с бухгалтерским учетом и рассмотрение поправок, осуществленных в процессе составления финансовой отчетности. Если существует риск, что хозяйствующий субъект заключил несоответствующие торговые договора или будут существовать операции, которые не были завершены до конца отчетного периода, аудитор применяет процедуры, которые соответствовали бы этому специфическому риску. Например, тогда когда операции, рассмотренные индивидуально являются существенными или когда ошибка касающаяся отражения доходов и расходов в другом отчетном периоде, чем в котором была допущена, может привести к существенному искажению, аудитор, как правило, рассматривает операции ближе к концу отчетного периода.
Объем
18. Объем включает количество определенных аудиторских процедур, которые следует проводить, например, размер выборки или количество процедур по наблюдению за деятельностью контроля. Объем аудиторской процедуры определен профессиональным суждением аудитора после рассмотрения порога существенности, оценочного риска и степени уверенности, которую аудитор планирует получить. Аудитор, как правило, увеличивает объем аудиторских процедур по мере увеличения риска существенного искажения. Однако, увеличение объема аудиторской процедуры является эффективным, только если сама процедура является релевантной относительно специфического риска; поэтому, характер аудиторской процедуры считается самым важным.
19. Использование методов аудита с использованием компьютеров (МАК) может позволить более обширное тестирование электронных операций и файлов счетов. Такие методы могут быть использованы для отбора типовых операций из ключевых электронных файлов, для сортировки операций с определенными характеристиками или для тестирования общей совокупности вместо выборки.
20. Используя методы выборки, как правило, можно сделать ошибочные заключения. Однако, в случае если количество отборов из общей совокупности является слишком маленьким, выбранный метод выборки не является соответствующим для достижения специфической аудиторской цели, или если исключения не наблюдаются соответствующим образом, будет существовать неприемлемый риск, что заключение аудитора, основанное на выборке, может отличаться от заключения, к которому мог бы прийти в случае, если вся общая совокупность была подвергнута тем же аудиторским процедурам. НСА 530 “Аудиторская выборка и другие процедуры выборочного тестирования” содержит рекомендации по использованию выборки.
21. Настоящий стандарт предусматривает использование различных аудиторских процедур в комбинации как аспект характера тестирования обсужденного выше. Однако аудитор будет рассматривать, если объем тестирования является подходящим тогда, когда проводятся различные аудиторские процедуры в комбинации.
Тестирование контролей
22. Аудитор должен проводить процедуры тестирования контролей тогда, когда оценка риска аудитором включает ожидание эффективности функционирования систем контроля или тогда, когда применение только процедур по существу не обеспечивает достаточные и уместные аудиторские доказательства на уровне качественного аспекта.
23. Тогда, когда оценка аудитором рисков связанных с существенными искажениями на уровне качественного аспекта включает ожидание того, что системы контроля функционируют эффективно, аудитор должен провести тестирование систем контроля для получения достаточных и уместных аудиторских доказательств того, что системы контроля функционировали эффективно в уместное время в течение периода подлежащего аудиту. Параграфы 41-46 настоящего стандарта регламентируют использование аудиторских доказательств относящихся к эффективности функционирования контролей, полученных в процессе предшествующих аудиторских соглашений.
24. Оценка аудитором риска существенных искажений на уровне качественного аспекта может включать ожидание эффективности функционирования контролей, случай в котором аудитор применяет процедуры тестирования контролей для получения аудиторских доказательств относительно их эффективности функционирования. Тесты по эффективности функционирования систем контроля применяются только над теми контролями, которые аудитор определил как соответственно разработанные, чтобы предотвратить или обнаружить и исправить существенные искажения на уровне качественного аспекта. НСА 315 «Знание хозяйствующего субъекта и его среды и оценка рисков, связанных с существенными искажениями» затрагивает определение контролей на уровне качественных аспектов, которые могли бы предотвратить или обнаружить и исправить существенное искажение остатка на счете, группе операций или раскрытия информаций.
25. Тогда, когда в соответствии с НСА 315 «Знание хозяйствующего субъекта и его среды и оценка рисков, связанных с существенными искажениями», аудитор установил, что не возможно или нереально уменьшить риски, связанные с существенными искажениями на уровне качественного аспекта до приемлемого низкого уровня с аудиторскими доказательствами, полученными только процедурами по существу, аудитор должен осуществить тестирование уместных контролей, чтобы получить аудиторские доказательства, касающиеся их эффективности функционирования. Например, согласно положений НСА 315 «Знание хозяйствующего субъекта и его среды и оценка рисков, связанных с существенными искажениями», аудитор может констатировать, что невозможно разработать эффективные процедуры по существу, которые сами по себе предоставили бы существенные и уместные аудиторские доказательства на уровне качественного аспекта тогда, когда хозяйствующий субъект осуществляет свою деятельность используя информационные методы и документация по операциям не извлечена или составлена, кроме как информационной системой.
26. Тестирование эффективности функционирования систем контроля отличается от получения аудиторских доказательств касающихся внедрения систем контроля. Тогда, когда получает аудиторские доказательства о внедрении путем осуществления процедур оценки риска, аудитор устанавливает, если существуют уместные системы контроля и если хозяйствующий субъект их использует. При осуществлении тестов оперативной эффективности контролей, аудитор получает аудиторские доказательства, касающиеся эффективности функционирования контролей. Это предполагает получение аудиторских доказательств о порядке, в котором были применены контроли в уместное время в течение аудитируемого периода, последовательность, с который они были применены, и кем или какими средствами они были осуществлены. Если были использованы существенно различные контроли в разное время в течение аудитированного периода, аудитор учитывает каждый в отдельности. Аудитор может определить, что тестирование эффективности функционирования контролей является эффективным одновременно с оценкой метода их разработки и получения аудиторских доказательств по их внедрению.
27. Хотя некоторые процедуры оценки риска, которые аудитор применяет для оценки метода разработки систем контроля и установления, что они были внедрены, могут не быть разработаны в определенном порядке как тесты систем контроля, они могут предоставить аудиторские доказательства эффективности функционирования контролей и, следовательно, являться тестами контролей. Например, аудитор может быть заинтересован в использовании руководством бюджетов, сравнения наблюдаемых ежемесячных оцененных и фактических расходов, осуществленных руководством и в рассмотрении отчетов относительно исследования разницы между оцененными и фактическими стоимостями. Эти аудиторские процедуры предоставляют информации о разработке политик прогнозирования хозяйствующего субъекта и если они были внедрены и могут также обеспечить аудиторские доказательства, касающиеся эффективности функционирования действия политик прогнозирования в предотвращении или обнаружении существенных искажений в классификации расходов. В таких обстоятельствах, аудитор проверяет, если аудиторские доказательства, предоставленные этими аудиторскими процедурами, являются достаточными.
Характер процедур тестирования контролей
28. Аудитор выбирает аудиторские процедуры, чтобы получить уверенность относительно эффективности функционирования контролей. По мере как запланированный уровень уверенности растет, аудитор старается получить более надежные аудиторские доказательства. В обстоятельствах, в которых аудитор выбирает метод подхода к аудиту, который прежде всего состоит в процедурах тестирования контролей, в особенности связанных с теми рисками, для которых невозможно или неосуществимо получение достаточных и уместных аудиторских доказательств только процедурами по существу, аудитор, как правило, применяет тестирование контролей, чтобы получить более высокий уровень уверенности в их эффективности функционирования.
29 . Аудитор должен применять другие аудиторские процедуры вместе с аудиторской процедурой «запроса» для тестирования эффективности функционирования контролей. Хотя тесты эффективности функционирования отличаются от процесса понимания метода разработки и внедрения контролей, как правило, они включают те же типы аудиторских процедур, используемые для оценки метода разработки и внедрения контролей, и могут также включать повторные применения аудитором процедур контроля. Так как применение только аудиторских процедур «запроса» недостаточно, аудитор использует комбинацию аудиторских процедур, чтобы получить достаточные и уместные аудиторские доказательства относительно эффективности функционирования контролей. Контроли, подлежащие тестированию путем осуществления процедуры «запроса» вместе с процедурой «осмотра», как правило, обеспечивают большую уверенность, чем контроли, для которых аудиторские доказательства состоят только из процедур «запроса» и «наблюдения». Например, аудитор может запрашивать информации и отмечать процедуры инвентаризации кассы на отчетную дату хозяйствующего субъекта для тестирования эффективности функционирования контролей над денежными средствами. Поскольку наблюдение является подходящим только в то время, в котором оно осуществлено, аудитор, как правило, дополняет наблюдение запросами информаций от персонала хозяйствующего субъекта, и может также рассмотреть документацию по осуществлению этих контролей в другое время в течение аудитируемого периода, с целью получения достаточных и уместных аудиторских доказательств.
30. Характер каждого специфического контроля влияет на тип аудиторской процедуры необходимой для получения аудиторских доказательств об эффективном или нет функционировании контроля в уместное время в течение аудитируемого периода. Для некоторых контролей, эффективность функционирования показана документацией. В таких обстоятельствах, аудитор может решить рассмотреть документацию, чтобы получить аудиторские доказательства эффективности функционирования. Для других контролей, однако, такая документация может не быть доступной или уместной. Например, документация о функционировании системы может не существовать для определенных факторов из среды контроля, таких как установление ответственности или для определенных типов деятельности контроля, таких как деятельности контроля, выполненные компьютером. В таких обстоятельствах, аудиторские доказательства эффективности функционирования могут быть получены путем запроса вместе с другими аудиторскими процедурами такими как наблюдение или использование МАК.
31. При разработке тестирования контролей, аудитор принимает во внимание необходимость получения аудиторских доказательств, поддерживающих эффективное функционирование контролей, непосредственно связанных с качественными аспектами, а также и других косвенных контролей, от которых зависят эти контроли. Например, аудитор может определить, что пересмотр пользователем хозяйствующего субъекта исключительного отчета касающегося продаж в кредит больше разрешенного предела кредита клиента, представляет прямой контроль связанный с качественным аспектом. В таких случаях, аудитор принимает во внимание эффективность пересмотра соответствующим лицом отчета, а также контролей, связанных с точностью информаций в отчете (например, общие контроли информационных систем).
32. В случае автоматизированного контроля, из-за свойственной последовательности автоматизированной обработки, аудиторские доказательства о внедрении контроля, когда рассматриваются вместе с аудиторскими доказательствами, относящимися к эффективности функционирования общих контролей хозяйствующего субъекта (и специально, контроли по изменениям информационной системы), могут обеспечить существенные аудиторские доказательства относительно эффективности функционирования подобного контроля в течение уместного периода.
33. Тогда, когда отвечает за оценочный риск, аудитор может разработать тестирование контролей, которые следует применять вместе с детальным тестированием относительно той же операции. Цель тестирования контролей состоит в оценке, если контроль эффективно функционировал. Цель детального тестирования состоит в обнаружении существенных искажений на уровне качественного аспекта. Хотя эти цели различны, обе могут быть достигнуты одновременно путем осуществления тестирования контролей и детального тестирования относительно той же самой операции, известной под названием двухцелевое тестирование. Например, аудитор может рассматривать счет, чтобы определить если он был утвержден и для обеспечения существенных аудиторских доказательств одной операции. Аудитор внимательно рассматривает процесс разработки и оценки таких тестов, чтобы достичь обе цели.
34. Отсутствие искажений подтвержденных процедурами по существу не обеспечивают аудиторские доказательства того, что контроли, относящиеся к качественному аспекту подлежащие тестированию, являются эффективными. Однако, искажения, которые аудитор обнаруживает путем применения процедур по существу принимаются во внимание аудитором при оценке эффективности функционирования относящихся контролей. Существенное искажение обнаруженное процедурами примененными аудитором, которое не было обнаружено хозяйствующим субъектом в обычном порядке, указывает на наличие существенного недостатка во внутреннем контроле, которое сообщается руководству.
Время проведения процедур тестирования контролей
35. Время проведения процедур тестирования контролей зависит от цели аудитора и определяет период уверенности этих контролей. Если аудитор тестирует контроли в определенное время, он получает только аудиторские доказательства, что определенные контроли эффективно функционировали в то время. Однако, если аудитор тестирует контроли в течение одного периода, он получает аудиторские доказательства эффективности функционирования контролей в течение соответствующего периода.
36. Аудиторские доказательства, относящиеся только к данному времени могут быть достаточными для цели аудитора, например, когда тестирует контроли над инвентарем хозяйствующего субъекта на конец периода. Если, с другой стороны, аудитору необходимы аудиторские доказательства относительно эффективности контроля в течение одного периода, аудиторские доказательства, относящиеся только к данному моменту могут быть недостаточными и аудитор дополняет данные тесты другими тестами контроля, которые смогут обеспечить аудиторские доказательства, касающиеся эффективности функционирования контроля в уместное время в течение периода подверженного аудиту. Такие другие тесты могут включать тесты управления контролей хозяйствующим субъектом.
37. Тогда, когда аудитор получает аудиторские доказательства относительно эффективности функционирования контролей в течение промежуточного периода, он должен определить дополнительные аудиторские доказательства, которые должны быть получены в течение оставшегося периода. Для этого, аудитор принимает во внимание значение оценочных рисков связанных с существенными искажениями на уровне качественного аспекта, специфические контроли, которые были тестированы в промежуточный период, степень в которой были получены аудиторские доказательства эффективности функционирования этих контролей, продолжительность оставшегося периода, степень, в которой аудитор предполагает уменьшить последующие процедуры по существу, основываясь на уверенности контролей и среде контроля. Аудитор получает аудиторские доказательства о характере и объеме любых существенных изменений во внутреннем контроле, включая изменения в информационной системе, процессах и персонале, которые возникают после промежуточного периода.
38. Дополнительные аудиторские доказательства могут быть получены, например, путем расширения тестирования эффективности функционирования контролей за оставшийся период или путем тестирования процесса управления контролей хозяйствующим субъектом.
39. Если аудитор планирует использовать аудиторские доказательства относительно эффективности функционирования контролей, полученных в течении предшествующих аудиторских соглашений, он должен получить аудиторские доказательства того, произошли или нет изменения в рамках этих специфических контролей после предыдущего аудита. Аудитор должен получать аудиторские доказательства о возникновения или нет таких изменений путем осуществления процедуры «запроса информаций» в комбинации с процедурой «наблюдения» или «осмотра» для подтверждения знаний этих специфических контролей. НСА 500 «Аудиторские доказательства» предусматривает, что аудитор осуществляет аудиторские процедуры для установления продолжающейся уместности аудиторских доказательств полученных в предыдущие периоды тогда, когда он планирует использование аудиторских доказательств в текущем периоде. Например, при выполнении предыдущего аудиторского соглашения, аудитор определил, что автоматизированный контроль функционировал, как было предназначено. Аудитор получает аудиторские доказательства, чтобы установить, если были внесены изменения в автоматизированный контроль, которые бы затрагивали его дальнейшее эффективное функционирование, например, путем бесед с руководством и рассмотрения регистров, чтобы узнать, какие контроли были изменены. Учитывание аудиторских доказательств относящихся к этим изменениям, может поддерживать как увеличение, так и уменьшение объема аудиторских доказательств, которые следует получить в текущий период относящихся к эффективности функционирования контролей.
40. Если аудитор планирует основываться на контролях, которые были изменены с последней даты на которую они были тестированы, он должен тестировать эффективность функционирования этих контролей в текущем аудите. Изменения могут затронуть уместность аудиторских доказательств, полученных в предыдущие периоды так, что больше может не существовать база для их уверенности в дальнейшем. Например, изменения в системе, которые позволяют хозяйствующему субъекту получить новый отчет от данной системы, вероятно, не затронут уместность аудиторских доказательств из предыдущего периода; однако, изменение, которое делает чтобы данные были накоплены или рассчитаны разными способами затрагивает данную уместность.
41. Если аудитор планирует полагаться на контроли, которые не изменились с последней даты, на которую они были тестированы, он должен тестировать эффективность функционирования таких контролей по меньшей мере один раз в каждом третьем аудите. Согласно параграфов 40 и 44 настоящего стандарта, аудитор не может основываться на аудиторских доказательствах относящихся к эффективности функционирования контролей полученных в течение предыдущих аудиторских соглашениях для контролей, которые изменились с даты последнего тестирования или контролях, которые уменьшают существенный риск. Решение аудитора относительно того, полагаться или нет на аудиторских доказательствах, полученных в течение предыдущих соглашений для других контролей, зависит от профессионального суждения. Кроме того, продолжительность периода времени между перетестированием таких контролей зависит также от профессионального суждения, но не может превысить два года.
42. Чтобы решить если уместно использовать аудиторские доказательства, относящиеся к эффективности функционирования контролей полученных в течение предыдущих аудиторских соглашений, и в случае если так, длительность периода времени, который может истечь раньше перетестирования контроля, аудитор принимает во внимание следующее:
• Эффективность других элементов внутреннего контроля, включая среду контроля, мониторинга хозяйствующим субъектом контролей и процесса оценки риска.
• Риски, происходящие из характеристик контроля, включая, если системы контроля являются ручными или автоматизированными (см. НСА 315 «Знание хозяйствующего субъекта и его среды и оценка рисков, связанных с существенными искажениями», параграфы 58-64).
• Эффективность общих контролей информационных систем.
• Эффективность контроля и его применение хозяйствующим субъектом, включая характер и степень отклонений в применении контроля от тестирования эффективности функционирования предыдущих аудиторских соглашений.
• Если отсутствие изменения определенного контроля порождает риск в результате изменения обстоятельств.
• Риск, связанный с существенными искажениями и степень уверенности контроля.
В общем, чем выше риск, связанный с существенными искажениями или чем больше уверенность контролей, тем период времени, который может истечь до перетестирования контролей, если существует, может быть короче. Факторы, которые в обычном порядке уменьшают период перетестирования контроля или делают чтобы аудиторские доказательства, полученные в предыдущих аудиторских соглашениях были игнорированы, включают:
• Слабую среду контроля.
• Слабый мониторинг контролей.
• Существенный ручной элемент в рамках уместных контролей.
• Изменения в персонале, которые значительно затрагивают применение контроля.
• Изменяющиеся обстоятельства, которые указывают на потребность в изменении контроля.
• Слабые общие контроли информационных систем.
43. Тогда, когда существует ряд контролей, для которых аудитор решает, что целесообразно использовать аудиторские доказательства, полученные в предыдущие аудиторские соглашения, он должен тестировать эффективность функционирования определенных контролей с каждым аудитом. Цель этого требования состоит в исключении возможности, что аудитор применит подход из параграфа 41 настоящего стандарта ко всем контролям, на которые предполагает положиться путем тестирования всех соответствующих контролей в один аудиторский период без тестирования контролей в последующих двух аудиторских периодах. Наряду с получением аудиторских доказательств относящихся к эффективности функционирования контролей, тестируемых в текущем периоде аудита, выполнение таких тестов обеспечивает несущественные доказательства относящиеся к продолжающей эффективности среды контроля и поэтому вносит вклад в принятие решения о том, полагаться или нет на аудиторские доказательства, полученные в предыдущих соглашениях. Поэтому, когда аудитор определяет согласно параграфов 39-42 настоящего стандарта, что уместно использовать аудиторские доказательства, полученные в предыдущие аудиторские периоды для ряда контролей, он планирует тестировать достаточную часть контролей из соответствующей совокупности в каждом аудиторском периоде, и как минимум, каждый контроль тестируется в каждом третьем аудите.
44. Тогда, когда согласно НСА 315 «Знание хозяйствующего субъекта и его среды и оценка рисков, связанных с существенными искажениями», аудитор установил, что оценочный риск связанный с существенными искажениями на уровне качественного аспекта является существенным риском и он планирует полагаться на эффективность функционирования контролей, предназначенных снизить этот существенный риск, аудитор должен получить аудиторские доказательства относящиеся к эффективности функционирования соответствующих контролей путем тестирования контролей, осуществленных в текущий период. Чем больше риск, связанный с существенными искажениями, тем больше аудиторских доказательств, которые аудитор получает относительно эффективности функционирования уместных контролей. Соответственно, хотя аудитор часто принимает во внимание информации, полученные в предыдущих аудиторских соглашениях при разработке процедур тестирования контролей с целью снижения существенного риска, он не полагается на аудиторские доказательства, полученные в предыдущем аудите относительно эффективности функционирования контролей над такими рисками, но вместо этого, получает аудиторские доказательства относящиеся к эффективности функционирования контролей над такими рисками в текущем периоде.
Объем процедур тестирования контролей
45. Аудитор разрабатывает процедуры тестирования контролей, чтобы получить достаточные и уместные аудиторские доказательства того, что контроли функционируют эффективно на протяжения периода, на котором основываются. Аспекты, которые аудитор может принять во внимание при определении объема процедур тестирования контролей включают следующее:
• Частота осуществления контроля хозяйствующим субъектом в течение периода.
• Промежуток времени в течение периода аудита, в котором аудитор полагается на эффективность функционирования контроля.
• Уместность и надежность аудиторских доказательств, которые будут получены с целью подтверждения того, что контроль предотвращает или обнаруживает и исправляет существенные искажения на уровне качественного аспекта.
• Степень в которой аудиторские доказательства получены путем тестирования других контролей, связанных с соответствующим качественным аспектом.
• Степень в которой аудитор планирует полагаться на эффективность функционирования контроля в оценке риска (и таким образом уменьшить процедуры по существу основанные на уверенности, предоставленной таким контролям).
• Ожидаемое отклонение от контроля.
46. Чем больше аудитор полагается на эффективность функционирования контролей при оценке риска, тем больше объем процедур тестирования контролей, осуществленный аудитором. В дополнение, по мере того как степень ожидаемого отклонения от контроля увеличивается, аудитор увеличивает объем тестирования контроля. Однако, аудитор учитывает если процент ожидаемого отклонения указывает на то, что контроль не будет достаточным для уменьшения риска связанного с существенными искажениями на уровне качественного аспекта относительно того оцененного аудитором. Если процент ожидаемого отклонения будет слишком высоким аудитор может решить что тестирование контролей для определенного качественного аспекта может быть неэффективно.
47. Из-за свойственной последовательности обработки информационных систем, аудитор может не иметь необходимость увеличивать объем тестирования автоматизированного контроля. Автоматизированный контроль должен функционировать последовательно, за исключением случаев, когда программа изменяется (включая таблицы, файлы или другие постоянные данные, используемые программой). Когда аудитор считает, что автоматизированный контроль функционирует, как было предназначено (то, что могло быть сделано в то время, когда контроль введен первоначально или на другую дату), он принимает во внимание осуществление некоторых тестов для установления, если контроль продолжает функционировать эффективно. Такие тесты могли бы включать установление факта, что не осуществляется изменение программы без применения некоторых соответствующих контролей изменения программы, что для обработки операций применяется авторизированная версия программы, и что другие общие уместные контроли являются эффективными. Такие тесты могли бы также включать установление факта, что не были сделаны изменения программы, в случае, когда хозяйствующий субъект применяет программное обеспечение в виде пакета, без его изменения или поддержки. Например, аудитор может рассмотреть отчет администрации о безопасности информационных систем с целью получения аудиторских доказательств, что не существовали случаи неавторизированного доступа в течение периода.