A28. Когда необходимы более убедительные аудиторские доказательства в отношении операционной эффективности того или иного средства контроля, может оказаться целесообразным увеличить объем тестирования такого средства контроля. Помимо степени, в которой аудитор планирует полагаться на средства контроля, при определении объема тестирования средств контроля он может рассмотреть следующие факторы:
· частота применения организацией данного средства контроля в течение периода;
· длительность промежутка времени в ходе аудита, в течение которого аудитор полагается на операционную эффективность данного средства контроля;
· ожидаемая частота некорректного функционирования средства контроля;
· уместность и надежность аудиторских доказательств, которые необходимо получить в отношении операционной эффективности данного средства контроля на уровне предпосылок;
· объем аудиторских доказательств, полученных в отношении той же предпосылки путем тестирования других средств контроля.
MCA 530 [1] содержит дополнительные рекомендации в отношении объема тестирования.
[1] МСА 530 "Аудиторская выборка".
A29. Вследствие более высокой надежности обработки данных средствами ИТ, может не потребоваться увеличение объема тестирования автоматизированных средств контроля. Можно ожидать, что автоматизированное средство контроля будет работать последовательно, если только программа (включая таблицы, файлы или прочие постоянные данные, используемые программой) не будет изменена. Если аудитор установил, что автоматизированное средство контроля работает должным образом (в момент внедрения средства контроля или на иную дату), он может рассмотреть вопрос о проведении тестирования для определения того, что данное средство контроля продолжает работать эффективно. Такое тестирование может включать определение того, что:
· никакие изменения не вносятся в программу без применения по отношению к ним надлежащих средств контроля за изменениями программы;
· для обработки операций используется авторизованная версия программы;
· иные соответствующие общие средства контроля являются эффективными.
Такое тестирование также может включать определение того, что никакие изменения в программы не вносились, что обычно происходит, когда организация пользуется пакетным программным обеспечением, не модифицируя или не поддерживая его. Например, аудитор может проверить записи администратора, отвечающего за безопасность ИТ, чтобы получить аудиторские доказательства отсутствия несанкционированного доступа в течение определенного периода.
Тестирование косвенных средств контроля (см. пункт 10(b))
A30. В некоторых обстоятельствах может оказаться необходимым получить аудиторские доказательства, подтверждающие операционную эффективность косвенных средств контроля. Например, при тестировании эффективности пользовательской проверки отчетов об отклонениях, содержащих перечень продаж, по которым был превышен кредитный лимит, такая пользовательская проверка и связанные с ней корректирующие действия представляют собой средство контроля, имеющее непосредственное значение для аудитора. Средства же контроля за точностью информации в отчетах (например, общие средства контроля ИТ), называются косвенными средствами контроля.
A31. Вследствие более высокой надежности обработки данных средствами ИТ, аудиторские доказательства в отношении применения автоматизированных прикладных средств контроля при их рассмотрении в сочетании с аудиторскими доказательствами в отношении операционной эффективности общих средств контроля организации (в частности, средств контроля за внесением изменений) также могут давать весомые аудиторские доказательства их операционной эффективности.
