Коллеги, сегодня напишу про одну их сложных (нелюбимых) аудиторских тем: тестирование средств контроля в отношении ее операционной эффективности.
В соответствии с МСА «Аудиторские процедуры в ответ на оцененные риски» есть такая аудиторская процедура, предназначенная для оценки операционной эффективности применения средств контроля с целью предотвращения или выявления и устранения существенных искажений на уровне предпосылок, и она называется тестирование средств контроля.
В общем случае речь про автоматизированные средства контроля клиента (ИТ) и оценку их операционной эффективности.
Приведу примеры ИТ-приложений для торгововй сферы:
✅онлайн-торговли: 1С:Розница, Shopify, BigCommerce;
✅склада: Моё Дело Торговля, МойСклад, CRM Склад, InStock WMS.
✅бухгалтерского учета: 1С:Бухгалтерия, Галактика, SAP.
При этом данные из первых двух пунктов интегрируются в основную программу для ведения бухгалтерии.
Аудитрская процедура может включать тестирование общих средств контроля информационных технологий, связанных с ИТ-приложениями.
Аудитор может выполнить тесты средств контроля в отношении целостности данных организации или полноты и точности отчетов, сформированных системами.
При разработке и проведении тестирования средств контроля аудитор, например, должен:
1️⃣выполнить прочие аудиторские процедуры в сочетании с опросом для того, чтобы получить аудиторские доказательства в отношении операционной эффективности средств контроля, включая выяснение:
- каким образом применялись средства контроля в соответствующие моменты аудируемого периода;
- насколько последовательно они применялись;
- кем и посредством чего они применялись.
2️⃣в той мере, в какой это еще не рассматривалось, определить, зависят ли тестируемые средства контроля от других средств контроля (косвенных средств контроля) и, если это так, надо ли получить аудиторские доказательства, подтверждающие операционную эффективность этих косвенных средств контроля.
При определении объема тестирования средств контроля аудитор может рассмотреть следующие факторы:
📍частота применения организацией данного средства контроля в течение периода;
📍длительность промежутка времени в ходе аудита, в течение которого аудитор полагается на операционную эффективность данного средства контроля;
📍ожидаемая частота некорректного функционирования средства контроля;
📍уместность и надежность аудиторских доказательств, которые необходимо получить в отношении операционной эффективности данного средства контроля на уровне предпосылок;
📍объем аудиторских доказательств, полученных в отношении той же предпосылки путем тестирования других средств контроля.
Иные тезисы из МСА 330:
Использование одного только опроса недостаточно для тестирования операционной эффективности средств контроля. Следовательно, в сочетании с опросом проводятся прочие аудиторские процедуры. В этом отношении опрос в сочетании с инспектированием или повторным применением процедуры может дать больше уверенности, чем опрос и наблюдение, поскольку наблюдение подтверждает только то, что происходит в момент его проведения.
Характер того или иного средства контроля влияет на тип процедуры, необходимой для получения аудиторских доказательств операционной эффективности этого средства контроля. Например, если операционная эффективность подтверждается документами, аудитор может решить изучить такие документы, чтобы получить аудиторские доказательства операционной эффективности. Однако в отношении других средств контроля документы могут отсутствовать или быть неуместными. Например, могут отсутствовать документы по функционированию отдельных элементов контрольной среды, таких как распределение полномочий, или по определенным видам средств контроля, в частности автоматизированных средств контроля. В таких обстоятельствах аудиторские доказательства операционной эффективности могут быть получены посредством проведения опросов в сочетании с другими аудиторскими процедурами, например наблюдением или использованием автоматизированных способов аудита.
Когда необходимы более убедительные аудиторские доказательства в отношении операционной эффективности того или иного средства контроля, может оказаться целесообразным увеличить объем тестирования такого средства контроля. Помимо степени, в которой аудитор планирует полагаться на средства контроля, при определении объема тестирования средств контроля он может рассмотреть следующие факторы:
📎частота применения организацией данного средства контроля в течение периода;
📎длительность промежутка времени в ходе аудита, в течение которого аудитор полагается на операционную эффективность данного средства контроля;
📎ожидаемая частота некорректного функционирования средства контроля;
📎уместность и надежность аудиторских доказательств, которые необходимо получить в отношении операционной эффективности данного средства контроля на уровне предпосылок;
📎объем аудиторских доказательств, полученных в отношении той же предпосылки путем тестирования других средств контроля.
Вследствие более высокой надежности обработки данных средствами ИТ, может не потребоваться увеличение объема тестирования автоматизированных средств контроля. Можно ожидать, что автоматизированное средство контроля будет работать последовательно, если только ИТ-приложение (включая таблицы, файлы или прочие постоянные данные, используемые ИТ-приложением) не будет изменено. Если аудитор установил, что автоматизированное средство контроля работает должным образом (в момент внедрения средства контроля или на иную дату), он может рассмотреть вопрос о проведении тестирования для определения того, что данное средство контроля продолжает работать эффективно. Такое тестирование может включать тестирование общих средств контроля информационных технологий, связанных с ИТ-приложением.
Аудитор также может выполнить тесты средств контроля в ответ на риски существенного искажения в отношении целостности данных организации или полноты и точности отчетов, сформированных системой, или в ответ на риски существенного искажения, для которых процедуры проверки по существу в отдельности не могут обеспечить достаточные надлежащие аудиторские доказательства. Такие тесты средств контроля могут включать тесты общих средств ИТ-контроля, которые направлены на решение вопросов. В этом случае аудитору может не потребоваться выполнение последующего тестирования для получения аудиторских доказательств.
Когда аудитор определяет, что общие средства ИТ-контроля являются недостаточными, он может рассмотреть характер соответствующего риска или рисков, возникающих вследствие использования ИТ, которые были выявлены в соответствии с МСА 315, чтобы обеспечить основу для разработки дополнительных процедур аудитора в ответ на оцененный риск существенного искажения. Такие процедуры могут относиться к определению того:
♦возник ли соответствующий риск или риски, связанные с использованием ИТ. Например, если пользователи имеют несанкционированный доступ к ИТ-приложению (но не могут получить доступ к системным журналам, в которых отслеживается доступ, или внести в них изменения), аудитор может провести инспектирование системных журналов, чтобы получить аудиторские доказательства того, что эти пользователи не использовали доступ к ИТ-приложению в течение периода;
♦имеются ли резервные или дублирующие общие средства ИТ-контроля или иные средства контроля, которые реагируют на соответствующий риск или риски, возникающие вследствие использования ИТ. Если это так, аудитор может выявить такие средства контроля (если они уже не выявлены) и, следовательно, оценить их структуру, определить факт их внедрения и провести тестирование их операционной эффективности. Например, если общее средство ИТ-контроля, относящееся к пользовательскому доступу, является недостаточным, организация может иметь резервное средство контроля, предусматривающее своевременное проведение руководством ИТ-отдела проверок отчетов о доступе конечных пользователей. Обстоятельства, когда прикладное средство контроля может рассматриваться отвечающим на риск, возникающий в результате его использования, могут относится к ситуации, когда информация, которая может быть затронута общим недостатками ИТ-контроля, может быть сверена с внешними источниками (например, банковская выписка) или внутренними источниками, не затронутыми таким общим недостатком ИТ-контроля (например, отдельное ИТ-приложение или источник данных).
В некоторых случаях может оказаться необходимым получить аудиторские доказательства, подтверждающие операционную эффективность косвенных средств контроля (например, общих средств ИТ-контроля). Общие средства ИТ-контроля могли быть выявлены в соответствии с МСА 315 (пересмотренным, 2019 г.), так как они поддерживают операционную эффективность автоматизированных средств контроля или обеспечение целостности информации, используемой при составлении финансовой отчетности организации, включая отчеты, сформированные системой. Требование подтверждает, что аудитор мог уже протестировать некоторые косвенные средства контроля при рассмотрении вопросов.
А теперь самый главный вопрос: тестирование операционной эффективности средств контроля - это право или обязанность?
Ответ на данный вопрос прямо дан в п.8 МСА 330 «Аудиторские процедуры в ответ на оцененные риски»:
Аудитор должен разработать и провести тестирование средств контроля для сбора достаточных надлежащих аудиторских доказательств в отношении операционной эффективности средств контроля, если:
(a) оценка им рисков существенного искажения на уровне предпосылок включает ожидание того, что средства контроля эффективны (т.е. аудитор планирует тестировать операционную эффективность средств контроля при определении характера, сроков и объема процедур проверки по существу); или
(b) одни лишь процедуры проверки по существу не в состоянии обеспечить получение достаточных надлежащих аудиторских доказательств на уровне предпосылок.
