3 Мса 315, параграф 30.

Аудиторські докази та рівень довіри (див. параграф 9)

Д25. Більш високий рівень впевненості може бути потрібний для ефективності функціонування заходів контролю, якщо прийнятий підхід складається в основному з тестів заходів контролю, зокрема якщо неможливо або нереально отримати достатні та прийнятні аудиторські докази тільки на основі процедур по суті.

Характер та обсяг тестів заходів контролю

Інші аудиторські процедури у поєднанні із запитами (див. параграф 10 a)

Д26. Запити самі по собі є недостатніми для тестування ефективності функціонування заходів контролю. Відповідно інші аудиторські процедури виконуються у поєднанні із запитом. При цьому запит, поєднаний з перевіркою чи повторним виконанням, може надати більшу впевненість, ніж запит і спостереження, оскільки спостереження є доречним тільки у той момент часу, коли його здійснюють.

Д27. Характер певного контролю впливає на тип процедури, необхідної для отримання аудиторських доказів щодо ефективності його функціонування. Наприклад, якщо ефективність функціонування доводиться документацією, аудитор може прийняти рішення перевірити його, щоб отримати аудиторські докази ефективності його функціонування. Однак стосовно інших заходів контролю документація може не бути доступною або доречною. Наприклад, документація щодо функціонування може не існувати через певні чинники середовища контролю, такі як розподіл повноважень і відповідальності, або через деякі типи заходів контролю, наприклад заходи контролю, що виконуються комп’ютером. За таких обставин аудиторські докази щодо ефективності функціонування можна отримати через поєднання запиту з іншими аудиторськими процедурами, такими як спостереження або застосування КМА.

Обсяг тестів заходів контролю

Д28. Якщо необхідні більш переконливі аудиторські докази ефективності контролю, може бути доцільним збільшити обсяг тестування контролю. Крім рівня довіри до заходів контролю, питання, які розглядає аудитор під час визначення обсягу тестів заходів контролю, охоплюють:

• періодичність виконання контролю суб’єктом господарювання протягом періоду;

• тривалість часу протягом періоду аудиту, коли аудитор довіряє ефективності функціонування контролю;

• очікувану величину відхилення від контролю;

• доречність та достовірність аудиторських доказів, які слід отримати стосовно ефективності функціонування контролю на рівні тверджень;

• обсяг отримання аудиторських доказів у результаті тестів інших заходів контролю, пов’язаних із твердженням.

МСА 530 4 містить подальші рекомендації стосовно обсягу тестування.

4 Мса 530 «Аудиторська вибірка».

Д29. Через послідовність, властиву обробці за допомогою ІТ, може бути не потрібно збільшувати обсяг тестування автоматизованого контролю. Можна очікувати, що автоматизований контроль функціонує послідовно, якщо не змінюється програма (включаючи таблиці, файли чи інші постійні дані, які використовує програма). Якщо аудитор визначає, що автоматизований контроль функціонує за призначенням (що можна зробити під час початкового запровадження контролю або на деяку іншу дату), він може розглянути виконання тестів з тим, щоб визначити, чи продовжує контроль функціонувати ефективно. Такі тести можуть включати визначення того, що:

• до програми не вносяться зміни без дотримання прийнятних заходів контролю за змінами програми;

• для обробки операцій використовується санкціонована версія програми;

• інші доречні загальні заходи контролю є ефективними.

Такі тести можуть також охоплювати визначення того, що зміни до програм не вносилися, як це може відбуватися, коли суб’єкт господарювання застосовує пакетні прикладні програми без внесення змін до них або їх технічного обслуговування. Наприклад, аудитор може перевірити запис адміністрування щодо безпеки ІТ для того, щоб отримати аудиторські докази щодо відсутності несанкціонованого доступу протягом періоду.

Тестування непрямих заходів контролю (див. параграф 10 б)

Д30. За деяких обставин може бути необхідним отримання аудиторських доказів, що підтверджують ефективне функціонування непрямих заходів контролю. Наприклад, якщо аудитор приймає рішення тестувати ефективність огляду користувачем звітів про недотримання вимог, які докладно описують продажі, що перевищують дозволені кредитні ліміти, огляд користувачем та подальші заходи являють собою контроль, який є безпосередньо доречним для аудитора. Заходи контролю за точністю інформації у звітах (наприклад, загальні засоби контролю ІТ) називають «непрямими».

Д31. Через властиву послідовність обробки за допомогою ІТ аудиторські докази провадження автоматизованих засобів контролю за прикладними програмами, якщо їх розглядати у поєднанні з аудиторськими доказами ефективності функціонування загальних заходів контролю суб’єкта господарювання (зокрема, засоби контролю за змінами), можуть також надавати суттєві аудиторські докази ефективності функціонування.

Визначення часу тестів заходів контролю

Визначений період довіри (див. параграф 11)

Д32. Аудиторські докази, які належать тільки до певного моменту часу, можуть бути достатніми для цілей аудитора, наприклад при тестуванні заходів контролю інвентаризації суб’єкта господарювання на кінець періоду. З іншого боку, якщо аудитор планує покладатися на контроль протягом періоду, прийнятними є тести, які можуть надати аудиторські докази ефективного функціонування контролю у доречні моменти часу протягом періоду. Такі тести можуть включати тести моніторингу заходів контролю суб’єктом господарювання.

Використання аудиторських доказів, отриманих протягом проміжного періоду (див. параграф 12 б)

Д33. До доречних чинників при визначенні того, які додаткові аудиторські докази необхідно отримати стосовно заходів контролю, що функціонували протягом періоду, який залишався після проміжного періоду, відносять такі:

• значущість оцінених ризиків суттєвого викривлення на рівні тверджень;

• конкретні заходи контролю, тести яких виконували протягом проміжного періоду, та значні зміни до них після виконання тестів, включаючи зміни інформаційної системи, процесів і персоналу;

• ступінь отриманих аудиторських доказів ефективності функціонування таких заходів контролю;

• тривалість періоду, що залишився;

• обсяг, у якому аудитор планує зменшити подальші процедури по суті виходячи з довіри до заходів контролю;

• середовище контролю.

Д34. Додаткові аудиторські докази, наприклад, можна отримати через поширення тестів заходів контролю на решту періоду або через тестування моніторингу заходів контролю суб’єктом господарювання.

Використання аудиторських доказів, отриманих під час попередніх аудитів (див. параграф 13)

Д35. За певних обставин аудиторські докази, отримані під час попередніх аудитів, можуть надати аудиторські докази, коли аудитор виконує аудиторські процедури, щоб визначити їх постійну доречність. Наприклад, під час виконання попереднього аудиту аудитор міг визначити, що автоматизований контроль функціонував за призначенням. Аудитор може отримати аудиторські докази того, чи вносилися зміни до автоматизованого контролю, які могли вплинути на його подальше ефективне функціонування, через, наприклад, запити до управлінського персоналу та перевірки журналів реєстрації, що засвідчують, які заходи контролю змінювалися. Розгляд аудиторських доказів щодо таких змін може підтвердити збільшення або зменшення очікуваних аудиторських доказів, які слід отримати щодо ефективності функціонування цих заходів контролю у поточному періоді.

Заходи контролю, що були змінені після проведення попередніх аудитів (див. параграф 14 a)

Д36. Зміни можуть впливати на доречність аудиторських доказів, отриманих під час попередніх аудитів, що вони більше не можуть бути основою для подальшої довіри. Наприклад, зміни у системі, що дають змогу суб’єкту господарювання отримати новий звіт від системи, можливо, не впливають на доречність аудиторських доказів попереднього аудиту; проте на неї впливає зміна, яка призводить до іншого способу, в який накопичуються або обчислюються дані.

Заходи контролю, що не були змінені після проведення попередніх аудитів (див. параграф 14 б)

Д37. Рішення аудитора про те, чи довіряти аудиторським доказам, отриманим під час попередніх аудитів заходів контролю, які:

а) не були змінені з часу останнього тестування;

б) не є заходами контролю, які зменшують значний ризик, є питанням професійного судження. Крім того, тривалість часу між повторними тестуваннями таких заходів контролю також є питанням професійного судження, але згідно з вимогами параграфа 14 б, їх слід проводити щонайменше один раз кожного третього року.

Д38. Як правило, чим вищий ризик суттєвого викривлення або чим більший рівень довіри до заходів контролю, тим, імовірно, коротшим буде період часу до повторного тестування, якщо воно проводитиметься. До чинників, які можуть скоротити період для повторного тестування контролю або призвести до відсутності довіри до аудиторських доказів, отриманих під час попередніх аудитів, належать такі:

• недостатнє середовище контролю;

• недостатній моніторинг заходів контролю;

• значний «ручний» елемент у доречних заходах контролю;

• зміни персоналу, які значно впливають на застосування контролю;

• зміни обставин, що свідчать про необхідність внесення змін до контролю;

• недостатні загальні засоби контролю ІТ.

Д39. Якщо існує багато заходів контролю, стосовно яких аудитор планує покладатися на аудиторські докази, отримані під час попередніх аудитів, тестування деяких із цих заходів контролю під час кожного аудиту надає підтвердну інформацію про подальшу ефективність середовища контролю. Це є складовою рішення аудитора про те, чи прийнятно довіряти аудиторським доказам, отриманим під час попередніх аудитів.

Оцінка ефективності функціонування заходів контролю (див. Параграфи 16—17)

Д40. Суттєве викривлення, виявлене за допомогою аудиторських процедур, є важливим показником існування значного недоліку внутрішнього контролю.

Д41. Концепція ефективності функціонування заходів контролю припускає, що можуть відбуватися деякі відхилення у способі, яким суб’єкт господарювання застосовує заходи контролю. Відхилення від установлених заходів контролю можуть бути спричинені такими чинниками, як зміни провідного персоналу, значні сезонні коливання обсягу операцій і помилки, пов’язані з людським чинником. Виявлена величина відхилення, зокрема, порівняно з очікуваною величиною може свідчити, що контролю не можна довіряти, щоб зменшити ризик на рівні тверджень до ризику, оціненого аудитором.

Процедури по суті (див. параграф 18)

Д42. Параграф 18 вимагає, щоб аудитор розробляв і виконував процедури по суті для кожного суттєвого класу операцій, залишку на рахунку та розкриття інформації незалежно від оцінених ризиків суттєвого викривлення. Ця вимога відображає ті факти, що: a) оцінка ризику аудитором є довільною, тому може не ідентифікувати всі ризики суттєвого викривлення; б) існують властиві обмеження внутрішнього контролю, включаючи його уникнення управлінським персоналом.

Характер та обсяг процедур по суті

Д43. Залежно від обставин аудитор може визначити, що:

• виконання тільки аналітичних процедур по суті буде достатнім для зменшення аудиторського ризику до прийнятно низького рівня. Наприклад, якщо оцінка ризиків аудитором підтверджується аудиторськими доказами, отриманими від тестів заходів контролю;

• прийнятними є тільки тести деталей;

• поєднання аналітичних процедур по суті та тестів деталей є найбільш чутливим до оцінених ризиків.

Д44. Аналітичні процедури по суті є, як правило, більш застосовними до великих обсягів операцій, що можна передбачувати з плином часу. МСА 520 5 встановлює вимоги та надає рекомендації щодо застосування аналітичних процедур під час аудиту.