Оценка риска средств контроля (см. пункт 34)

A226. При планировании тестирования операционной эффективности средств контроля аудитор исходит из того, что средства контроля работают эффективно и это предположение ляжет в основу оценки аудитором риска средств контроля. Первоначальное ожидание относительно операционной эффективности средств контроля основано на оценке аудитором структуры выявленных средств контроля в компоненте контрольных процедур и установлении факта их внедрения. После того как аудитор протестирует операционную эффективность средств контроля в соответствии с МСА 330, он сможет подтвердить свое первоначальное ожидание относительно операционной эффективности средств контроля. В том случае, если средства контроля не работают эффективно, как ожидалось, аудитору потребуется пересмотреть оценку риска средств контроля согласно пункту 37.

A227. Оценка аудитором риска средств контроля может быть выполнена разными способами в зависимости от его предпочтений в области методов или методологии проведения аудита и может быть выражена по-разному.

A228. Если аудитор планирует протестировать операционную эффективность средств контроля, ему может потребоваться тестирование комбинации средств контроля, чтобы подтвердить свое ожидание относительно того, что средства контроля работают эффективно. Аудитор может запланировать тестирование как прямых, так и косвенных средств контроля, включая общие средства ИТ-контроля, и в таком случае при оценке риска средств контроля принять во внимание ожидаемое совокупное влияние средств контроля. Если средство контроля, которое планируется протестировать, не в полной мере отвечает на оцененный неотъемлемый риск, аудитор устанавливает, какие последствия это имеет для разработки дальнейших аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня.

A229. Если аудитор планирует протестировать операционную эффективность автоматизированного средства контроля, он может также запланировать тестирование операционной эффективности соответствующих общих средств ИТ-контроля, которые обеспечивают непрерывное функционирование данного автоматизированного средства контроля в ответ на риски, возникающие вследствие использования ИТ, и на этой основе сформировать свое ожидание в отношении того, что автоматизированное средство контроля работало эффективно на протяжении всего периода. Если, согласно ожиданиям аудитора, соответствующие общие средства ИТ-контроля неэффективны, установление данного факта может повлиять на оценку аудитором риска средств контроля на уровне предпосылок, и, возможно, в дальнейшие аудиторские процедуры аудитору потребуется включить процедуры проверки по существу, снижающие применимые риски, возникающие вследствие использования ИТ. Более детальные рекомендации в отношении процедур, которые может выполнить аудитор в данных обстоятельствах, приведены в МСА 330 <61>.

--------------------------------

<61> МСА 330, пункты A29 - A30.