Международный стандарт аудита (МСА) 330 «Аудиторские процедуры в отношении оцененных рисков» (Международная федерация бухгалтеров, 2006)

Международный стандарт аудита 330
Аудиторские процедуры в отношении оцененных рисков
 
(Вступают в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 декабря 2004 или после этой даты. В Приложении указаны дополнения к Стандарту, которые вступят в силу в ближайшем будущем)*

Оглавление

________________________

*МСА 230 (Пересмотренный) «Аудиторская Документация» вызвал необходимость внесения дополнений в МСА 330. Эти дополнения вступают в силу в отношении аудита финансовой отчетности за периоды, начинающиеся 15 июня 2006 года или после этой даты. Дополнения представлены в Приложении к данному МСА.

Аудиторские процедуры в отношении оцененных рисков

Введение

1. Цель данного Международного Стандарта Аудита (МСА) в установлении стандартов и представлении руководства по определению общего подхода, а также и разработке и выполнению дальнейших аудиторских процедур по оцененным рискам существенных искажений на уровне финансовой отчетности и утверждений в ходе аудита финансовой отчетности. Знание аудитора о субъекте и его среде, включая его внутренний контроль, а также об оценке рисков существенных искажений описаны в МСА 315 «Знание Субъекта и Его среды, Оценка Рисков Существенных Искажений».

2. Ниже представлен обзор требований данного стандарта:

- Общий подход. Этот раздел предусматривает определение аудитором общего подхода в отношении риска существенных искажений на уровне финансовой отчетности и представляет руководство по характеру такого подхода.

- Аудиторские процедуры по рискам существенных искажений на уровне утверждений. Этот раздел предписывает, чтобы аудитор разработал и выполнил аудиторские процедуры, включая тесты эффективности контроля, при необходимости, и процедуры по существу, чей характер, сроки и масштаб связаны с оцененным риском существенных искажений на уровне утверждений. Кроме того, этот раздел включает вопросы, которые аудитор рассматривает при определении характера, сроков и масштаба таких аудиторских процедур.

- Определение достаточности и надлежащего характера полученных аудиторских доказательств. Этот раздел предписывает, чтобы аудитор определил надо ли проводить оценку риска и были ли получены достаточные и надлежащего характера аудиторские доказательства.

- Документация. Этот раздел предписывает требования по соответствующей документации.

3. Для снижения аудиторского риска до приемлемо низкого уровня, аудитор должен определить общий подход в отношении оцененных рисков на уровне финансовой отчетности, а также разработать и выполнить аудиторские процедуры в отношении оцененных рисков на уровне утверждений. Общий подход, характер, сроки и масштаб аудиторских процедур являются вопросами профессионального суждения аудитора. В дополнение к требованиям данного МСА аудитор должен соответствовать требованиям и руководствам МСА 240 «Ответственность Аудитора в Отношении Мошенничества в Ходе Аудита Финансовой Отчетности» в отношении оцененных рисков существенных искажений, вызванных мошенничеством.

Общий подход

4. Аудитор должен определить общий подход в отношении рисков существенных искажений на уровне финансовой отчетности. Такой подход может включать объяснение аудиторской команде необходимости придерживаться профессионального скептицизма при сборе и оценке аудиторских доказательств, назначении более опытного персонала или лиц, обладающих специальными навыками, или использовании экспертов¹, выборе более тщательного надзора или внедрении дополнительных элементов невозможности прогнозирования при выборе аудиторских процедур, которые необходимо выполнить. Кроме того, аудитор может внести общие изменения в характер, сроки и масштаб аудиторских процедур в рамках общего подхода, например, выполнение процедур по существу на конец периода, но не на промежуточную дату.

5. На оценку рисков существенных искажений на уровне финансовой отчетности влияет знание аудитора контрольной среды. Эффективная контрольная среда может позволить аудитору получить больше уверенности во внутреннем контроле и надежности аудиторских доказательств, собранных внутри субъекта, позволяет, например, аудитору выполнить определенные аудиторские процедуры на промежуточную дату, но не на конец периода. Если имеются слабые стороны в контрольной среде, аудитор обычно проводит больше аудиторских процедур на конец периода, чем на промежуточную дату, стремится получить больше всесторонних аудиторских доказательств от процедур по существу, модифицирует характер аудиторских процедур для получения более убедительных аудиторских доказательств или увеличивает количество размещений, которые необходимо включить в масштаб аудита.

6. Эти аспекты могут значительно повлиять на общий подход аудитора к проведению аудита, например, больший акцент на процедурах по существу (подход по существу) или подход, который использует и тесты контроля, и процедуры по существу (комбинированный подход).

Аудиторские процедуры по рискам существенным искажений на уровне утверждений

7. Аудитор должен разработать и выполнить аудиторские процедуры, чей характер, сроки и масштаб является ответным по отношению к оцененным рискам существенных искажений на уровне утверждений. Целью является установление четких связей между характером, сроками и масштабом аудиторских процедур и оценкой риска. При разработке аудиторских процедур аудитор рассматривает следующие вопросы:

- Значительность риска.

- Вероятность возникновения существенных искажений.

- Характеристики класса операций, сальдо счетов или связанных раскрытий.

- Характер определенного контроля, используемого субъектом, в частности, осуществляются ли он вручную или автоматически.

- Ожидает ли аудитор получить аудиторские доказательства для определения эффективности контроля субъекта за предотвращением, обнаружением или исправлениями существенных искажений.

Характер аудиторских процедур является наиболее важным аспектом в отношении оцененных рисков.

8. Оценка аудитором выявленных рисков на уровне утверждений представляет основу для выбора надлежащего аудиторского подхода для разработки и выполнения аудиторских процедур. В некоторых случаях аудитор может определить, что только при выполнении тестов контроля аудитор может достичь эффективного решения в отношении оцененных рисков существенных искажений по определенному утверждению. В других случаях, аудитор может определить, что по определенному утверждению необходимо выполнить только процедуры по существу и поэтому аудитор исключает влияние контроля из определенной оценки риска. Это может случиться, если процедуры аудитора по оценке риска не выявили эффективного контроля по этому утверждению или потому, что тестирование эффективности контроля не будет целесообразным. Однако аудитор должен удостовериться, что выполнение только процедур по существу по определенному утверждению будет эффективным при снижении риска существенных искажений до приемлемо низкого уровня. Часто аудитор определяет, что комбинированный подход с использованием и тестов контроля, и процедур по существу является более эффективным. Вне зависимости от выбранного подхода аудитор определяет и выполняет процедуры по существу по каждому существенному классу операций, сальдо счетов и раскрытиям в соответствии с параграфом 49.

9. В случае малыми предприятиями контроль может быть не таким обширным, чтобы его обнаружил аудитор. По этой причине аудиторские процедуры будут в основном представлены процедурами по существу. В таких случаях в дополнение к вопросам, рассмотренным в параграфе 8, аудитор изучает, возможно, ли, в отсутствие контроля, получить достаточные и надлежащие аудиторские доказательства.

Изучение характера, сроков и масштаба аудиторских процедур

Характер

10. Характер аудиторских процедур основывается на их цели (тесты контроля или процедуры по существу), т.е. инспектирование, наблюдение, запрос, подтверждение, пересчет, повторное выполнение или аналитические процедуры. Некоторые аудиторские процедуры больше соответствует определенным утверждениям, чем другим. Например, в отношении доходов тесты контроля более приемлемы в отношении оцененных рисков существенных искажений по утверждению полноты. Тогда как процедуры по существу более приемлемы в отношении оцененных рисков существенных искажений по утверждению возникновения.

11. Выбор аудитором аудиторских процедур основывается на оценке риска. Чем выше риск, тем более надежные и надлежащие аудиторские доказательства стремится получить аудитор от процедур по существу. Это может повлиять и на тип аудиторских процедур, которые необходимо выполнить, и на их комбинацию. Например, аудитор может подтвердить полноту условий контракта с третьей стороной при инспектировании документа.

12. При определении аудиторских процедур, которые необходимо выполнить аудитор изучает причины для проведения оцени рисков существенных искажений на уровне утверждения по каждому классу операций, сальдо счетов и раскрытиям. Это включает изучение и определенных характеристик каждого класса операций, сальдо счетов или раскрытий (т.е. неотъемлемые риски) и учитывает ли оценка контроли субъекта (т.е. контрольный риск). Например, если аудитор определил низкий уровень риска, что существенные искажения могут возникнуть из-за определенных характеристик класса операций без учета соответствующего контроля, аудитор может определить что одни аналитические процедуры по существу могут представить достаточные и надлежащие аудиторские доказательства. С другой стороны, если аудитор ожидает низкий уровень риска, что существенные искажения могут возникнуть по причине эффективного контроля и аудитор намеревается разработать процедуры по существу, основываясь на эффективности этого контроля, аудитор выполняет тесты контроля для получения аудиторских доказательств об их эффективности. Примером может послужить класс операций с достаточно однородными, несложными характеристиками, который регулярно обрабатывается и контролируется информационной системой субъекта.

13. Аудитор должен получить аудиторские доказательства по точности и полноте информации, выдаваемой информационной системой субъекта, если эта информация используется при выполнении аудиторских процедур. Например, если аудитор использует нефинансовую информацию или бюджетные данные, выданные информационной системой субъекта, при выполнении аудиторских процедур, таких как, аналитические процедуры по существу или тесты контроля, аудитор должен получить аудиторские доказательства по точности и полноте этой информации. Для дальнейших инструкций см. МСА 500 «Аудиторские Доказательства» параграф 11.

Сроки

14. Сроки определяют, когда аудиторские процедуры должны быть выполнены, или период или дату в отношении которых применяются аудиторские доказательства.

15. Аудитор может выполнить тесты контроля или процедуры по существу на промежуточную дату или на конец периода. Чем больше уровень риска, тем больше вероятность, что аудитор может решить, что выполнение процедур по существу более эффективно ближе к концу периода или на конец периода, чем на более раннюю дату, или выполнить аудиторские процедуры, необъявленное и непрогнозируемое количество раз (например, выполнение аудиторских процедур на выбранных участках и на необъявленной основе). С другой стороны, выполнение аудиторских процедур до конца периода может помочь аудитору при определении значительных аспектов на ранней стадии аудита и, соответственно, их решении при помощи руководства субъекта или разработке эффективного аудиторского подхода для решения этих аспектов. Если аудитор выполняет тесты контроля или процедуры по существу до конца периода, аудитор должен рассмотреть дополнительные доказательства, необходимые по оставшемуся периоду (см. параграфы 37-38 и 56-61).

16. При рассмотрении вопроса сроков проведения аудиторских процедур, аудитор должен учитывать следующие вопросы:

- Контрольную среду.

- Доступность необходимой информации (например, электронные файлы могут быть замещены новыми данными или процедуры, по которым необходимо провести наблюдение, возникают только в определенное время).

- Характер риска (например, если существует риск вздутых в результате инфляции доходов чтобы соответствовать прогнозам по доходам путем последующего создания ложных соглашений о продаже, аудитору может понадобиться проверить контракты, доступные на дату конца периода).

Периода или дату, к которым относятся аудиторские доказательства.

17. Некоторые аудиторские процедуры могут быть выполнены только на дату конца периода или после нее, например, согласование финансовой отчетности с учетными записями и проверка корректировок, сделанных в ходе подготовки финансовой отчетности. Если существует риск, что компания подписала неприемлемый контракт на продажу или операцию невозможно завершить на конец периода, аудитор выполняет процедуры в отношении этого риска. Например, если взятые в отдельности операции существенны или ошибка в закрытии счетов может привести к существенным искажениям, аудитор обычно инспектирует эту операцию ближе к концу периода.

Масштаб

18. Масштаб включает количество определенных аудиторских процедур, которые необходимо выполнить, например, размер выборки или число наблюдений за контролями. Масштаб аудиторских процедур определяется на основе суждения аудитора после изучения существенности, оцененного риска и степени уверенности, которую аудитор планирует получить. В частности, аудитор обычно увеличивает масштаб аудиторских процедур, если увеличивается риск существенных искажений. Однако, увеличение масштаба аудиторских процедур эффективно, только если аудиторские процедуры относятся к этому определенному риску, таким образом, характер аудиторских процедур является наиболее важным аспектом.

19. Использование КПА дает возможность использовать расширенное тестирование электронных операций и файлов счетов. Эти методы могут быть использованы при выборе операций для выборки из основных электронных файлов, при сортировке операций по определенным характеристикам или при тестировании всей совокупности вместо тестирования выборки.

20. Действительные заключения могут быть выражены и при использовании выборки. Однако, если количество выбранных статей из совокупности слишком мало, выбранный метод выборки неприемлем для достижения специфической цели аудита или если исключения не соблюдаются должным образом, возникает неприемлемый риск, что заключение аудитора, основанное на выборке, может отличаться от заключения, которое было бы выражено при применении тех же процедур в отношении всей совокупности. МСА 530 «Аудиторская Выборка и Прочие Методы Тестирования» содержат руководство по использованию выборки.

21. Данный стандарт рассматривает использование разных аудиторских процедур в сочетании, в качестве аспекта, характера тестирования, как это было описано выше. Однако аудитор рассматривает соответствие масштаба тестирования при выполнении разных аудиторских процедур в сочетании.

Тестирование контроля

22. Аудитор должен выполнить тесты контроля, если оценка риска включает предположение об эффективности контроля или если процедуры по существу не представляют достаточные и надлежащие аудиторские доказательства на уровне утверждений.

23. Если оценка риска существенных искажений на уровне утверждений содержит предположение об эффективности контроля, аудитор должен выполнить тесты контроля для получения достаточных и надлежащих аудиторских доказательств, что контроль функционируют эффективно на соответствующе даты в ходе периода аудита. Параграфы 39-44 рассматривают использования аудиторских доказательств об эффективности контроля, полученных при предыдущих аудитах.

24. Если оценка риска существенных искажений на уровне утверждений включает предположение эффективности контроля, аудитор должен выполнить тесты контроля для получения аудиторских доказательств в отношении их эффективности. Тесты эффективности контроля выполняются только в отношении того контроля, по которому аудитор определил, что они надлежащим образом разработаны для предотвращения, обнаружения или исправления существенных искажений в утверждении. Параграфы 104-106 МСА 315 рассматривают определение контроля на уровне утверждений, применимого для предотвращения, обнаружения или исправления существенных искажений в классе операций, сальдо счетов или раскрытиях.

25. Если, в соответствии с параграфом 115 МСА 315, аудитор определил, что невозможно или неприменимо снизить риски существенных искажений на уровне утверждений до приемлемо низкого уровня при помощи аудиторских доказательств, полученных только от процедур по существу, аудитор должен выполнить тесты соответствующего контроля для получения аудиторских доказательств эффективности контроля. Например, в соответствии с параграфом 115 МСА 315 аудитор может решить, что невозможно разработать эффективные процедуры по существу, которые сами по себе представляют достаточные и надлежащие аудиторские доказательства на уровне утверждений, если субъект ведет свой бизнес, используя, информационные технологии и документация операция не производится, кроме как через систему информационных технологий.

26. Тестирование эффективности контроля отличается от получения аудиторских доказательств внедрения такого контроля. При получении аудиторских доказательств внедрения через выполнение процедур по оценке риска, аудитор определяет существование надлежащего контроля и его использование субъектом. При выполнении тестов эффективности контроля, аудитор должен получить аудиторские доказательства эффективности контроля. Это включает получение аудиторских доказательств по способу применения контроля в соответствующее время в течение периода аудита, последовательность его применения, кем и посредством чего они применялись. Если в разное время в течение периода аудита применялись, достаточно различные контроли, аудитор рассматривает каждый в отдельности. Аудитор может определить, что будет эффективно протестировать эффективность контроля в то же время, что и оценку их разработки и получение аудиторских доказательств их внедрения.

27. Хотя некоторые процедуры по оценке рисков, которые аудитор должен выполнить для оценки разработки контроля и для определения его внедрения, могут и не являться тестами контроля, они все же могут предоставить, аудиторские доказательства эффективности контроля и, соответственно, выступать в качестве тестов контроля. Например, аудитор может сделать запросы об использовании руководством бюджета, сравнение руководством месячных расходов по бюджету и фактических результатов, проверенные отчеты, относящиеся к исследованию отклонений между фактическими и бюджетными суммами. Эти аудиторские процедуры представляют собой знание о разработке политики субъекта по бюджетированию и ее внедрению, а также могут предоставить, аудиторские доказательства об эффективности бюджетной политики при предотвращении или обнаружении существенных искажений в классификации расходов. При таких обстоятельствах аудитор должен определить, достаточны ли аудиторские доказательства, представленные этими аудиторскими процедурами.

Характер тестов контроля

28. Аудитор выбирает аудиторские процедуры для получения уверенности в эффективности контроля. При увеличении планируемого уровня уверенности аудитор стремится получить более надежные аудиторские доказательства. Если аудитор принимает подход, состоящий в основном из тестов контроля, связанных с рисками, если невозможно или неприменимо получить достаточные и надлежащие аудиторские доказательства только от процедур по существу, аудитор обычно выполняет тесты контроля для получения более высокой уверенности в эффективности контроля.

29. Аудитор должен выполнить прочие аудиторские процедуры в сочетании с запросом на проведение тестирования эффективности контроля. При получении знания о разработке и внедрении контроля, тесты эффективности контроля обычно включают те же типы аудиторских процедур, что были использованы при оценке разработки и внедрения контроля, также они могут включать повторное применение контроля аудитором. Так как сам запрос не является достаточным, аудитор использует сочетание аудиторских процедур для получения достаточных и надлежащих аудиторских доказательств об эффективности контроля. Контроль, подлежащий тестированию через выполнение запросов в сочетании с инспектированием или повторным применением, обычно представляют больше уверенности, чем контроли, по которым аудиторские доказательства состоят только из запросов или наблюдений. Например, аудитор может провести опрос и наблюдать за процедурами субъекта по открытию почтовой корреспонденции и обработке поступлений наличных денежных средств с целью тестирования эффективности контроля субъекта в отношении поступлений наличных денежных средств. Так как наблюдение относится только к определенной дате, когда оно было проведено, аудитор обычно дополняет наблюдение опросами персонала субъекта, а также может изучить документацию о функционировании такого контроля в другое время в течение периода аудита, чтобы получить достаточные и надлежащие аудиторские доказательства.

30. Характер определенного контроля влияет на тип аудиторских процедур, требуемых для получения аудиторского доказательства об эффективности функционирования контроля на определенные даты в течение периода аудита. Эффективность определенного контроля подтверждается документацией. В связи с этим аудитор может решить изучить документацию для получения аудиторского доказательства об операционной эффективности определенного контроля. В отношении другого контроля такой документации может и не быть или она может не соответствовать этому контролю. Например, может отсутствовать документации в отношении некоторых факторов контрольной среды, таких как делегирование полномочий и ответственности или определенного типа контроля, такого как контроль, осуществляемый компьютерами. В таком случае, аудиторские доказательства эффективности контроля могут быть получены с помощью запросов в сочетании с другими аудиторскими процедурами, такими как наблюдение или использование КПА.

31. При разработке тестов контроля, аудитор рассматривает необходимость получения аудиторских доказательств, подтверждающих эффективность контроля напрямую связанного с утверждениями, а также другого косвенного контроля, от которого он зависит. Например, аудитор может прийти к заключению, что обзор пользователем мгновенного отчета по продажам в кредит в разрезе утвержденного кредитного лимита по клиенту является прямым контролем, связанным с утверждением. В таких случаях аудитор рассматривает эффективность обзора отчета пользователем и контроль, связанный с точностью информации в отчете (например, общие средства контроля в информационных технологиях).

32. В случае автоматизированного контроля, из-за внутренней последовательности ИТ обработки, аудиторские доказательства внедрения контроля в сочетании с аудиторскими доказательствами, полученными в отношении эффективности общего контроля субъекта (в частности, смене контроля) могут представлять собой достаточные аудиторские доказательства об эффективности контроля в течение соответствующего периода.

33. В отношении оцененных рисков, аудитор может разработать тест контроля, который необходимо выполнить одновременно с тестом деталей этой же операции. Цель тестов контроля заключается в оценке эффективности средств контроля. Цель теста деталей заключается в обнаружении существенных искажений на уровне утверждений. Хотя эти цели различны, оба типа тестов могут выполняться одновременно при выполнении тестов контроля и теста деталей по одной операции, также называемого двухцелевой тест. Например, аудитор может проверить счет на предмет его авторизации и предоставления аудиторских доказательств по существу в отношении операции. Аудитор должен тщательно разработать и оценить результаты таких тестов для достижения обеих целей.

34. Отсутствие искажений, обнаруженных, процедурами по существу не представляет аудиторского доказательства, что контроль, связанный с тестируемым утверждением, эффективен. Однако, искажения, обнаруженные аудитором при выполнении процедур по существу, рассматриваются аудитором при оценке эффективности соответствующего контроля. Существенные искажения, обнаруженные аудиторскими процедурами и не выявленные субъектом, обычно указывают на существование существенных недостатков во внутреннем контроле, о чем сообщается руководству субъекта и лицам, наделенным руководящими полномочиями.

Сроки тестов контроля

35. Сроки тестов контроля зависят от цели аудитора, определяют период соответствия этого контроля. Если аудитор тестирует контроль на определенную дату, аудитор получает аудиторские доказательства, что контроль был эффективным на эту дату. Однако, если аудитор тестирует контроль за период, аудитор получает аудиторские доказательства эффективности контроля в течение этого периода.

36. Аудиторские доказательства, относящиеся только к определенной дате, могут быть достаточны для целей аудитора, например, при тестировании контроля над инвентаризацией, проводимой субъектом на конец периода. С другой стороны, если аудитору требуются аудиторские доказательства эффективности контроля за период, аудиторские доказательства, относящиеся только к определенной дате, могут быть недостаточны и аудитор дополняет эти тесты другими тестами контроля, которые могут представить аудиторские доказательства об эффективности контроля на определенные даты в течение периода аудита. Эти прочие тесты могут состоять из тестов мониторинга контроля субъектом.

37. Если аудитор получает аудиторские доказательства, эффективности контроля в течение промежуточного периода аудитор должен определить, какие дополнительные аудиторские доказательства должны быть получены по оставшемуся периоду. Определяя это, аудитор рассматривает значительность оцененного риска существенных искажений на уровне утверждений, специфические контроли, которые были протестированы в течение промежуточного периода, объем полученных аудиторских доказательств эффективности этого контроля, продолжительность оставшегося периода, масштаб уменьшения процедур по существу, основываясь на надежности контроля, и контрольную среду. Аудитор должен получить аудиторские доказательства в отношении характера и масштаба значительных изменений во внутреннем контроле, включая изменения в информационной системе, процессах и персонале, возникшие после промежуточного периода.

38. Дополнительные аудиторские доказательства, могут быть получены, например, посредством увеличения периода тестирования эффективности контроля в течение оставшегося периода или тестирования мониторинга контроля, осуществляемого субъектом.

39. Если аудитор планирует использовать аудиторские доказательства эффективности контроля, полученные при предыдущих аудитах, аудитор должен получить аудиторские доказательства того, произошли ли изменения в таком контроле после предыдущего аудита. Аудитор должен получить аудиторские доказательства существования таких изменений через проведение запроса в сочетании с наблюдением или инспектированием для подтверждения знания об этом контроле. Параграф 23 МСА 500 указывает, что аудитор выполняет аудиторские процедуры определения постоянного надлежащего характера аудиторских доказательств, полученных в предыдущих периодах, если аудитор планирует использовать эти аудиторские доказательства в текущем периоде. Например, при выполнении предыдущего аудита аудитор может определить, что автоматизированный контроль функционировал, как положено. Аудитор должен получить аудиторские доказательства, чтобы определить произошли ли какие либо изменения в автоматизированном контроле, которые могли бы повлиять на его постоянную эффективность, например, путем опроса руководства субъекта и инспектирования реестров для выявления контроля, в котором произошли изменения. Рассмотрение аудиторских доказательств таких изменений может обосновать либо увеличение, либо уменьшение аудиторских доказательств эффективности контроля, которые планируется получить в текущем периоде.

40. Если аудитор планирует полагаться на контроль, в котором произошли изменения с того времени, когда он тестировался последний раз, аудитор должен протестировать эффективность такого контроля в текущем аудите. Изменения могут повлиять на надлежащий характер аудиторских доказательств, полученных в предыдущие периоды таким образом, что на них больше нельзя будет полагаться. Например, изменения в системе, позволяющие субъекту получить новый системный отчет, возможно, не повлияют на надлежащий характер аудиторских доказательств предыдущего периода; но изменения, которые аккумулируют данные или рассчитывают их другим образом, влияют на их надлежащий характер.

41. Если аудитор планирует полагаться на контроль, который не изменился с того времени, когда он тестировался последний раз, аудитор должен протестировать эффективность такого контроля по крайне мере раз в три аудита. В соответствии с параграфами 40 и 44 аудитор не может полагаться на аудиторские доказательства об эффективности контроля, полученных при предыдущих аудитах в отношении контроля, который изменился с времени, когда контроль тестировался последний раз, или контроль, который смягчает значительные риски. Решение аудитора полагаться на аудиторские доказательства прочего контроля, полученные при предыдущем аудите, или нет, является вопросом профессионального суждения. Кроме того, продолжительность периода до повторного тестирования определенного контроля также является вопросом профессионального суждения, но не может превышать двух лет.

42. При рассмотрении приемлемости использования аудиторских доказательств эффективности контроля, полученных при предыдущих аудитах, если приемлемо, то и продолжительности периода до повторного тестирования контроля, аудитор должен изучить следующее:

- Эффективность прочих элементов внутреннего контроля, включая контрольную среду, мониторинг контроля и процесс оценки риска, осуществляемый субъектом.

- Риски, возникающие из характеристик контроля, включая то, как осуществляются контроль: вручную или автоматизировано (см. МСА 315 параграфы 57-63, в котором содержится описание специфических рисков, возникающих по ручным и автоматизированным элементам контроля).

- Эффективность общих средств контроля в информационных технологиях.

- Эффективность контроля и его применение субъектом, включая характер и масштаб отклонений при применении контроля от тестов эффективности при предыдущем аудите.

- Вызывает ли недостаток изменений в определенном контроле риск по причине изменившихся обстоятельств.

- Риск существенных искажений и масштаб надежности средств контроля.

В общем, чем выше уровень риска существенных искажений или больше масштаб надежности контроля, тем короче период до повторного тестирования, если таковой имеется. Факторы, которые обычно уменьшают период до повторного тестирования определенного контроля или не предоставляют возможности положиться на аудиторские доказательства, полученные при предыдущих аудитах, включая следующее:

- Слабая контрольная среда.

- Слабый мониторинг контроля.

- Значительный ручной элемент надлежащего контроля.

- Изменения в персонале, которые значительно влияют на применение контроля.

- Изменение обстоятельств, указывающих на необходимость изменений в контроле.

Слабые общие средства контроля в информационных технологиях.

43. При наличии нескольких средств контроля, в отношении которых аудитор планирует использовать аудиторские доказательства, полученных при предыдущем аудите, аудитор должен протестировать эффективность нескольких средств контроля при каждом аудите. Цель этого требования разъяснить, что аудитор не может применять подход, описанный в параграфе 41, в отношении всех средств контроля, на которые аудитор предполагает положиться, проведя тестирование всех этих средства контроля только в одном периоде, и не проводя тестирование средств контроля в течение двух последующих периодов аудита. В дополнение к предоставлению аудиторских доказательств эффективности контроля, протестированного при текущем аудите, выполнение этих тестов представляет дополнительное доказательство постоянной эффективности контрольной среды и вносит свой вклад в процесс принятия аудитором решения об использовании аудиторских доказательств, полученных при предыдущем аудите. Если, в соответствии с параграфами 39-42, аудитор считает допустимым использовать аудиторские доказательства, полученные при предыдущем аудите в отношении определенных средств контроля, то аудитор должен запланировать тестирование достаточного количество таких средств контроля в этой совокупности в каждом периоде аудита и как минимум каждый контроль тестируется раз в три аудита.

44. Если, в соответствии с параграфом 108 МСА 315, аудитор определил значительность оцененного риска существенных искажений на уровне утверждений и аудитор планирует полагаться на эффективность контроля, предназначенного для смягчения этого значительного риска, аудитор должен получить аудиторские доказательства эффективности контроля, выполнив в текущем периоде тесты контроля. Чем больше уровень риска существенных искажений, тем больше аудиторских доказательств об эффективности надлежащего контроля аудитор должен получить. Соответственно, хотя аудитор часто учитывает информацию, полученную при предыдущем аудите, в процессе разработки тестов контроля, для смягчения значительных рисков, аудитор не должен полагаться на аудиторские доказательства эффективности контроля, полученные при предыдущем аудите, в отношении таких рисков, но должен получить аудиторские доказательства эффективности контроля в отношении таких рисков в текущем периоде.

Масштаб тестов контроля

45. Аудитор должен разработать тесты контроля для получения достаточных и надлежащих аудиторских доказательств эффективности контроля в течение рассматриваемого периода. Аспекты, которые аудитор рассматривает при определении масштаба тестов контроля, проводимых аудитором, включая следующее:

- Частоту выполнения контроля субъектом в течение периода.

- Продолжительность периода в течение периода аудита, когда аудитор полагается на эффективность контроля.

- Надлежащий характер и надежность аудиторских доказательств, которые надо получить для подтверждения, что контроли предотвращают, обнаруживают или исправляют существенные искажения на уровне утверждений.

- Масштаб аудиторских доказательств, которые необходимо получить от тестов прочих средств контроля, связанных с утверждением.