ВиМСА / MSA2009
.pdfДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
(в) Комбинированный подход с использованием и тестов средств контроля, и процедур проверки по существу, будет эффективным подходом.
Однако, в соответствии с требованием параграфа 18 аудитор разрабатывает и выполняет процедуры проверки по существу для каждого существенного класса операций, сальдо счетов и раскрытий, независимо от выбранного подхода.
А5. Характер аудиторской процедуры подразумевает ее цель (т.е. тест средств контроля или процедура проверки по существу)и ее тип (т.е. инспектирование, наблюдение, запрос, подтверждение, пересчет, повторно выполненная или аналитическая процедура). Характер аудиторских процедур имеет важное значение для действий в ответ на оцененные риски.
А6. Срок выполнения аудиторской процедуры подразумевает время ее выполнения или период или дату, к которой применяется аудиторское доказательство.
А7. Масштаб аудиторской процедуры подразумевает количественное выражение того, что необходимо выполнить, например, объем выборки или количество наблюдений за действиями по контролю.
А8. Разработка и выполнение дальнейших аудиторских процедур, чей характер, сроки выполнения и масштаб основаны и направлены на оцененные риски существенных искажений на уровне утверждений, четко показывают взаимосвязь между дальнейшими аудиторскими процедурами и оценкой рисков.
Действия в ответ на оцененные риски на уровне утверждений (См. параграф
7(а))
Характер
А9. Оцененные аудитором риски могут влиять как на типы аудиторских процедур, которые должны быть выполнены, так и на их комбинации. Например, если риск оценен как высокий, аудитор может получить подтверждение от контрагента в отношении полноты отражения условий контракта в дополнение к инспектированию документов. Кроме того, определенные аудиторские процедуры могут оказаться более приемлемыми для одних утверждений по сравнению с другими утверждениями. Например, для доходов тесты средств контроля могут быть более приемлемыми в отношении оцененных рисков искажения утверждения о полноте, в то время как процедуры проверки по существу могут быть наиболее приемлемыми в отношении оцененных рисков искажения утверждения о возникновении.
А10. Причины той или иной оценки риска используются при определении характера аудиторских процедур. Например, если риск оценивается как
МСА 330 |
406 |
ДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
низкий по причине определенных характеристик класса операций без учета соответствующих средств контроля, аудитор может решить, что выполнение только аналитических процедур проверки по существу предоставляет достаточные и надлежащие аудиторские доказательства. С другой стороны, если риск оценивается как низкий по причине средств внутреннего контроля, а аудитор намерен на основании такой низкой оценки выполнить процедуры проверки по существу, то он выполняет тесты средств контроля в соответствии с требованиями параграфа 8 (а). Так складывается ситуация, например, в отношении класса операций с обоснованно единообразными, несложными характеристиками, которые обрабатываются и контролируются информационной системой субъекта в рамках обычной хозяйственной деятельности.
Сроки выполнения
А11. Аудитор может выполнять тесты средств контроля или процедуры проверки по существу на промежуточную дату или на конец периода. Чем выше риск существенных искажений, тем больше вероятность того, что аудитор может решить, что эффективнее будет выполнить процедуры проверки по существу на конец периода или ближе к данной дате, нежели на более раннюю дату, или выполнить аудиторские процедуры, не объявив об этом заранее, или непредсказуемое количество раз (например, выполнить аудиторские процедуры на выбранных объектах, не объявив об этом заранее). Это особенно уместно в отношении рисков мошенничества. Например, аудитор может прийти к выводу о том, что если были выявлены риски намеренного искажения или манипуляции, то аудиторские процедуры, направленные на расширение аудиторских заключений на отрезок времени от промежуточной даты до конца периода, не будут эффективными.
А12. С другой стороны, выполнение аудиторских процедур до наступления конца периода может помочь аудитору в выявлении значительных аспектов на ранней стадии аудита и, следовательно, в решении данных аспектов при содействии руководства или в разработке эффективного аудиторского подхода в отношении данных аспектов.
А13. Кроме того, определенные аудиторские процедуры могут быть выполнены только на конец периода или после его окончания, например:
•Согласование данных финансовой отчетности с данными бухгалтерского учета;
•Изучение корректировок, сделанных в ходе подготовки финансовой отчетности; и
407 |
МСА 330 |
АУДИТ
ДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
•Процедуры в ответ на риск того, что на конец периода субъект может заключить противозаконные договоры купли-продажи или операции могут оказаться незавершенными.
А14. Дальнейшие релевантные факторы, влияющие на решение аудитора в отношении того, когда проводить аудиторские процедуры, включают следующее:
•Контрольная среда;
•Когда соответствующая информация становится доступной (например, электронные файлы могут быть впоследствии переписаны или процедуры, требующие наблюдения, могут возникать только в определенные моменты);
•Характер риска (например, если существует риск завышенных доходов и предполагается, что ожидаемую прибыль можно получить путем создания впоследствии поддельных договоров купли-продажи, аудитор может проверить договоры, имеющиеся в наличии по состоянию на конец года).
•Период или дата, к которой относятся аудиторские доказательства.
Масштаб
А15. Масштаб аудиторской процедуры, который считается необходимым, определяется с учетом существенности, оцененного риска, и степени уверенности, которую аудитор намеревается получить. Если для достижения одной цели применяется комбинация процедур, масштаб каждой процедуры рассматривается отдельно. В общем, масштаб аудиторских процедур увеличивается с увеличением риска существенных искажений. Например, в случае оцененного риска существенных искажений, вызванных мошенничеством, может оказаться приемлемым увеличение объема выборки или выполнение аналитических процедур проверки по существу на более детальном уровне. Однако, увеличение масштаба аудиторской процедуры будет эффективным, только в том случае, если аудиторская процедура сама по себе является релевантной для специфического риска.
А16. Использование компьютеризированных приемов аудита (КПА) может обеспечить более экстенсивное тестирование электронных операций и учетных файлов, что может оказаться полезным, когда аудитор принимает решение модифицировать масштаб тестирования, например, в ответ на риски существенных искажений, вызванных мошенничеством. Такие приемы могут использоваться для осуществления выборки операций из ключевых электронных файлов, для сортировки операций со специфическими характеристиками или для тестирования целой совокупности вместо выборки.
МСА 330 |
408 |
ДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
Аспекты, характерные для субъектов государственного сектора
А17. При аудите субъектов государственного сектора аудиторский мандат и прочие специальные аудиторские требования могут повлиять на решения аудитора в отношении характера, сроков выполнения и масштаба аудиторских процедур.
Аспекты, характерные для малых субъектов
А18. Малые субъекты могут иметь лишь некоторые виды действий по контролю, которые могут быть выявлены аудитором, или отражение субъектом в документах их существования или функционирования может оказаться ограниченным. В таких случаях, наиболее эффективным будет выполнение аудитором дальнейших аудиторских процедур, которые, в основном, являются процедурами проверки по существу. В редких случаях, тем не менее, отсутствие действий по контролю или прочих компонентов контроля может сделать невозможным получение достаточных и надлежащих аудиторских доказательств.
Риск, оцененный как высокий (См. параграф 7(б))
А19. В тех случаях, когда риск оценивается как высокий, для получения более убедительных аудиторских доказательств аудитор может увеличить количество доказательств или получить более релевантные или надежные доказательства, например, уделяя больше внимания получению доказательств от третьих лиц или получая подтверждающие доказательства из целого ряда независимых источников.
Тесты средств контроля
Разработка и выполнение тестов средств контроля (См. параграф 8)
А20. Тесты средств контроля выполняются только в отношении тех средств контроля, которые аудитор определил как разработанные надлежащим образом для предотвращения или выявления и исправления существенных искажений в утверждении. Если существенно разные средства контроля использовались в разное время в течение периода, аудит которого проводится, каждое средство контроля проверяется отдельно.
А21. Тестирование эффективности функционирования средств контроля отличается от получения понимания и оценки разработки и внедрения средств контроля. Тем не менее, применяются одинаковые типы аудиторских процедур. Следовательно, аудитор может решить, что эффективнее будет тестировать эффективность функционирования средств контроля одновременно с оценкой их разработки и определением того, были ли они внедрены.
409 |
МСА 330 |
АУДИТ
ДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
А22. Кроме того, несмотря на то, что некоторые процедуры оценки рисков могли не разрабатываться специально в качестве тестов средств контроля, они, тем не менее, могут предоставить аудиторские доказательства в отношении эффективности функционирования средств контроля и, следовательно, могут использоваться как тесты средств контроля. Например, аудиторские процедуры оценки рисков могли включать:
•Запросы руководству субъекта в отношении использования ими бюджетных средств;
•Проверка результатов сравнения руководством субъекта данных по ежемесячным бюджетным и фактическим расходам;
•Инспектирование отчетов, касающихся расследований расхождений между бюджетными и фактическими суммами;
Данные аудиторские процедуры предоставляют знания о разработанной субъектом бюджетной политике и о том, была ли она внедрена, но также могут обеспечивать аудиторские доказательства в отношении эффективности функционирования бюджетной политики в предотвращении или выявлении существенных искажений в классификации расходов.
А23. В дополнение к этому аудитор может разработать тесты средств контроля, которые проводятся параллельно с детальными тестами по одной и той же операции. Хотя цель применения теста средств контроля отличается от цели применения детального теста, оба могут быть параллельно дополнены тестом средств контроля и детальным тестом по одной и той же операции, что также называется тестом двойного назначения. Например, аудитор может разработать и оценить результаты теста для проверки инвойса с целью определения, был ли он утвержден, и для обеспечения существенного аудиторского доказательства в отношении операции. При разработке и оценке теста двойного назначения каждая цель теста рассматривается отдельно.
А24. В некоторых случаях аудитор может посчитать невозможной разработку эффективных процедур проверки по существу, которые сами по себе предоставляют достаточные и надлежащие аудиторские доказательства на уровне утверждений1. Это может произойти в том случае, если субъект осуществляет свою деятельность с использованием ИТ, и никакие документы по операциям не оформляются и не хранятся, кроме тех, что в системе ИТ. В таких случаях, в соответствии с требованиями параграфа 8(б), аудитор
|
должен выполнить тесты соответствующих средств контроля. |
|
|
|
|
1 |
МСА 315, параграф 30. |
|
|
||
МСА 330 |
410 |
|
ДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
Аудиторское доказательство и степень, в которой аудитор намеревается на него полагаться(См. параграф 9)
А25. Может потребоваться уверенность более высокого уровня в отношении эффективности функционирования средств контроля, если применяемый подход состоит в основном из тестов средств контроля, в частности, когда невозможно или неосуществимо получение достаточных и надлежащих аудиторских доказательств только в результате процедур проверки по существу.
Характер и масштаб тестов средств контроля Прочие аудиторские процедуры в комбинации с запросом(См. параграф 10(а))
А26. Использование лишь запроса недостаточно для тестирования эффективности функционирования средств контроля. Соответственно, выполняются прочие аудиторские процедуры в комбинации с запросом. В этой связи, запрос, в комбинации с инспектированием или повторным выполнением, может обеспечить большую уверенность, чем запрос и наблюдение, поскольку наблюдение релевантно только на момент его осуществления.
А27. Характер определенного средства контроля влияет на тип процедуры, необходимой для получения аудиторского доказательства в отношении того, эффективно ли функционировало данное средство контроля. Например, если эффективность функционирования подтверждается документально, аудитор может принять решение об инспектировании документации для получения аудиторских доказательств в отношении эффективности функционирования. Однако, в отношении других средств контроля документации может не оказаться в наличии, либо она может оказаться нерелевантной. Например, документации по операции может не существовать по причине некоторых факторов в контрольной среде, таких как передача полномочий или обязательств, или в отношении некоторых типов действий по контролю, таких как действия по контролю, осуществляемые компьютером. В таких случаях, аудиторские доказательства в отношении эффективности функционирования могут быть получены посредством направления запросов в комбинации с другими аудиторскими процедурами, такими как наблюдение или использование КПА.
Масштаб тестов средств контроля
А28. Когда необходимо получить более убедительные аудиторские доказательства в отношении эффективности средства контроля, может оказаться приемлемым увеличение масштаба тестирования средства контроля. Помимо степени надежности средств контроля, при определении масштаба тестов средств контроля аудитор может рассмотреть следующие вопросы:
411 |
МСА 330 |
АУДИТ
ДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
•Частота осуществления средства контроля субъектом в течение периода.
•Промежуток времени в течение периода аудиторской проверки, на который опирается аудитор при рассмотрении эффективности функционирования средства контроля.
•Ожидаемая степень отклонения от средства контроля.
•Уместность и надежность аудиторских доказательств, которые необходимо получить в отношении эффективности функционирования средства контроля на уровне утверждений.
•Степень, в которой аудиторские доказательства получены в результате тестов других средств контроля, относящихся к утверждению.
МСА 5301 содержит дальнейшие руководства в отношении масштаба тестирования.
А29. Увеличение масштаба тестирования автоматизированных средств контроля может не понадобиться по причине последовательности, характерной для процесса обработки ИТ. Ожидается, что автоматизированные средства контроля будут функционировать последовательно до тех пор, пока программа(включая таблицы, файлы или прочие постоянные данные, используемые программой)не будет изменена. Если аудитор определяет, что автоматизированное средство контроля функционирует как полагается(что определяется на момент первоначального внедрения средства контроля или на иную дату), аудитор может рассмотреть вопрос о проведении тестов для определения того, продолжает ли данное средство контроля функционировать эффективно. Такие тесты могут включать проверку того:
•Не были ли внесены изменения в программу без применения соответствующих средств контроля в отношении изменений, вносимых в программу;
•Используется ли утвержденная версия программы для обработки операций; и
•Эффективны ли прочие соответствующие общие средства контроля.
Такие тесты также могут включать определение того, не были ли внесены изменения в программу, как это обычно бывает, когда субъект пользуется приложениями коробочного программного обеспечения, не модифицируя или не поддерживая его. Например, аудитор может
1 МСА 530, «Аудиторская выборка».
МСА 330 |
412 |
ДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
инспектировать записи администрации ИТ безопасности с целью получения аудиторских доказательств отсутствия несанкционированного доступа в течение периода.
Тестирование опосредованных средств контроля (См. параграф 10(б))
А30. В некоторых случаях необходимо получить аудиторские доказательства в поддержку эффективности функционирования опосредованных средств контроля. Например, когда аудитор принимает решение протестировать эффективность обзора пользователем отчетов об исключительных случаях, в которых описываются продажи, превышающие утвержденные кредитные лимиты, обзор пользователем и последующие действия являются средством контроля, которое напрямую уместно для аудитора. Средства контроля над точностью информации, представленной в отчетах(например, общие средства контроля ИТ), описываются как «опосредованные» средства контроля.
А31. В силу неотъемлемой последовательности ИТ обработки аудиторские доказательства в отношении применения автоматизированных программных модулей управления, при их рассмотрении в комбинации с аудиторскими доказательствами в отношении эффективности функционирования общих средств контроля субъекта(в частности, средств контроля изменений в программе), также могут обеспечивать существенные аудиторские доказательства в отношении эффективности функционирования.
Сроки выполнения тестов средств контроля
Период, в течение которого аудитор намеревается полагаться на аудиторское доказательство(См. параграф 11)
А32. Аудиторские доказательства, относящиеся только к моменту во времени, могут оказаться достаточными для целей аудитора, например, при тестировании средств контроля над инвентаризацией, проводимой субъектом на конец периода. С другой стороны, если аудитор намеревается полагаться на определенное средство контроля на протяжении всего периода, приемлемыми будут тесты, позволяющие получить аудиторские доказательства, подтверждающие эффективное функционирование данного средства контроля в соответствующие моменты времени на протяжении данного периода. Такие тесты могут включать тестирование мониторинга средств контроля субъектом.
Использование аудиторских доказательств, полученных в течение промежуточного периода(См. параграф 12(б)
А33. Факторы, уместные при определении того, какие дополнительные аудиторские доказательства необходимо получить в отношении
413 |
МСА 330 |
АУДИТ
ДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
средств контроля, которые функционировали в течение отрезка времени, оставшегося после промежуточного периода, включают:
•Значимость оцененных рисков существенных искажений на уровне утверждений.
•Специфические средства контроля, которые тестировались в течение промежуточного периода, и значительные изменения в них, имевшие место после их тестирования, включая изменения
винформационной системе, процессах и персонале.
•Степень, в которой были получены аудиторские доказательства
вотношении эффективности функционирования данных средств контроля.
•Продолжительность оставшегося периода.
•Степень, в которой аудитор намерен снизить применение дальнейших процедур проверки по существу, на основании надежности средств контроля.
•Контрольная среда.
А34. Дополнительные аудиторские доказательства могут быть получены, например, путем распространения тестов средств контроля на оставшийся период или путем тестирования мониторинга средств контроля субъектом.
Использование аудиторских доказательств, полученных в ходе предыдущих аудиторских проверок(См. параграф 13)
А35. В некоторых случаях аудиторские доказательства, полученные в ходе предыдущих аудиторских проверок, может обеспечить аудиторское доказательство, если аудитор выполняет аудиторские процедуры, чтобы определить, является ли оно все еще уместными. Например, при проведении предыдущего аудита аудитор мог определить, что автоматизированные средства контроля функционируют как полагается. Аудитор может получить аудиторские доказательства о том, были ли внесены какие-либо изменения в автоматизированные средства контроля, которые влияют на эффективность их функционирования, например, посредством направления запроса руководству субъекта и инспектирования учетных журналов, подтверждающих изменения средств контроля. Рассмотрение аудиторских доказательств в отношении данных изменений может помочь принять решение об увеличении или снижении объема аудиторских доказательств, которые необходимо получить в текущем периоде, в отношении эффективности функционирования средств контроля.
Средства контроля, изменившиеся со времени проведения предыдущих аудиторских проверок(См. параграф 14(а))
МСА 330 |
414 |
ДЕЙСТВИЯ АУДИТОРА В ОТВЕТ НА ОЦЕНЕННЫЕ РИСКИ
А36. Изменения могут повлиять на релевантность аудиторских доказательств, полученных в ходе предыдущих аудиторских проверок, настолько, что они больше не могут считаться надежными. Например, изменения в системе, позволяющие субъекту получить новый отчет из системы, возможно, не влияют на релевантность аудиторских доказательств, полученных в ходе предыдущей аудиторской проверки; однако, изменение, при котором данные накапливаются или рассчитываются по-другому, влияет на релевантность аудиторских доказательств.
Средства контроля, не изменившиеся со времени проведения предыдущих аудиторских проверок (См. параграф 14(б))
А37. При принятии решения о том, полагаться ли на аудиторские доказательства, полученные в ходе предыдущих аудиторских проверок в отношении средств контроля, которые:
(а) не изменились со времени их последнего тестирования; и (б) не являются средствами контроля, снижающими значительный риск,
аудитор использует профессиональное суждение. Кроме того, промежуток времени между повторным тестирование таких средств контроля также является вопросом профессионального суждения, но, в соответствии с параграфом 14(б), повторное тестирование должно проводиться, как минимум, раз в три года.
А38. В общем, чем выше риск существенных искажений или выше степень доверия к средствам контроля, тем короче должен быть промежуток пропущенного времени, если таковой имеется. Следующие факторы могут вызвать уменьшение периода повторного тестирования средств контроля или недоверие к аудиторским доказательствам, полученным в ходе предыдущих аудиторских проверок:
•Слабая контрольная среда;
•Слабый мониторинг средств контроля;
•Значительный элемент работы вручную в релевантных средствах контроля;
•Изменения в персонале, значительно влияющие на применение средств контроля;
•Изменения в обстоятельствах, указывающие на необходимость изменения средств контроля;
•Слабые общие средства контроля ИТ.
А39. Если аудитор полагается на аудиторские доказательства, полученные в ходе предыдущих аудиторских проверок, в отношении целого ряда
415 |
МСА 330 |
АУДИТ