|
|
|
Consideratiile auditorului in cazul utilizarii unei firme prestatoare de servicii - ISA 402
Auditorul trebuie sa ia in considerare modul in care utilizarea de catre o entitate a unei firme prestatoare de servicii afecteaza sistemul de control intern al entitatii, astfel incat sa poata identifica si evalua riscul de denaturare semnificativa si sa poata planifica si aplica proceduri suplimentare de audit.
Un client poate folosi o firma prestatoare de servicii, cum ar fi una care executa tranzactii si detine responsabilitatea aferenta sau care inregistreaza tranzactiile si proceseaza datele aferente (de exemplu, un prestator de servicii pentru sisteme informatizate). Daca entitatea foloseste o firma prestatoare de servicii, anumite politici, proceduri si inregistrari efectuate de respectiva firma pot fi relevante pentru auditul situatiilor financiare ale clientului.
O firma prestatoare de servicii poate stabili si aplica politici si proceduri care afecteaza sistemul de control intern al entitatii. Aceste politici si proceduri sunt separate din punct de vedere fizic si operational de entitate. Cand serviciile asigurate de prestatorul de servicii sunt limitate la inregistrarea si procesarea tranzactiilor entitatii, iar entitatea pastreaza dreptul de autorizare si responsabilitatea, entitatea poate implementa politici si proceduri eficiente in cadrul firmei sale. Cand prestatorul de servicii executa tranzactiile entitatii si pastreaza responsabilitatea aferenta, entitatea poate considera necesar a se baza pe politicile si procedurile firmei de prestari servicii.
Atunci cand obtine o intelegere a entitatii si a mediului sau, auditorul trebuie sa determine importanta pe care activitatile firmei prestatoare de servicii o au pentru entitate si relevanta fata de audit. Procedand in acest mod, auditorul va dobandi o intelegere cu privire la urmatoarele, dupa caz:
Natura serviciilor asigurate de prestatorul de servicii.
Termenii contractului si relatia dintre entitate si prestatorul de servicii.
Masura in care sistemele de control intern ale entitatii interactioneaza cu sistemele existente in firma prestatoare de servicii.
Controalele interne ale entitatii care sunt relevante pentru activitatile firmei prestatoare de servicii, cum ar fi:
Cele care sunt aplicate tranzactiilor procesate de catre firma prestatoare de servicii.
Modul in care entitatea identifica si gestioneaza riscurile aferente utilizarii firmei prestatoare de servicii
Capacitatea si forta financiara a firmei prestatoare de servicii, inclusiv posibilul efect al parasirii entitatii de catre firma prestatoare de servicii.
Informatii referitoare la firma prestatoare de servicii, asa cum sunt ele reflectate in manualele tehnice si de utilizare.
Informatiile disponibile cu privire la controalele relevante pentru sistemele informationale ale firmei prestatoare de servicii, cum ar fi controale generale de TI si controale ale aplicatiilor.
Auditorul clientului va trebui, de asemenea, sa ia in considerare existenta unor rapoarte de la terti, intocmite de auditorii firmei prestatoare de servicii, auditorii interni sau agentiile de reglementare ca mijloc de obtinere a informatiilor despre sistemele de control intern si contabilitate ale firmei prestatoare de servicii, precum si despre functionarea si eficienta sa. Atunci cand auditorul intentioneaza sa foloseasca munca auditorului intern, ISA 610 "Luarea in considerare a activitatii de audit intern" ofera indicatii cu privire la gradul de adecvare a muncii auditorului intern pentru scopurile auditorului.
Intelegerea obtinuta poate determina auditorul sa decida ca evaluarea riscului de control al riscului de denaturare semnificativa nu va fi afectata de controalele din cadrul firmei prestatoare de servicii; daca da, nu mai este necesar sa se ia in considerare in continuare acest standard.
Daca auditorul clientului ajunge la concluzia ca activitatile firmei prestatoare de servicii sunt semnificative pentru entitate si relevante pentru audit, auditorul trebuie sa obtina o intelegere suficienta a entitatii si a mediului sau, inclusiv a sistemului sau de control intern, si sa identifice si sa evalueze riscurile de denaturare semnificativa si sa elaboreze proceduri suplimentare de audit ca raspuns la riscul evaluat. Auditorul evalueaza riscul de denaturare semnificativa la nivelul situatiilor financiare si la nivelul ipotezelor pentru clasele de tranzactii, soldurile conturilor si prezentarile de informatii.
Daca intelegerea obtinuta nu este suficienta, auditorul clientului va lua in considerare necesitatea de a solicita firmei prestatoare de servicii sa ceara auditorului sau efectuarea unor astfel de proceduri de evaluare a riscului pentru a furniza informatiile necesare sau de a vizita firma prestatoare de servicii pentru a obtine acele informatii. Auditorul care doreste sa viziteze o firma prestatoare de servicii ii poate cere entitatii sa solicite acelei firme sa permita auditorului accesul la informatiile necesare.
Auditorul poate obtine o intelegere suficienta a sistemelor de control intern afectate de firma prestatoare de servicii, prin citirea raportului auditorului firmei prestatoare de servicii. In plus, la evaluarea riscurilor de denaturare semnificativa pentru asertiunile afectate de controlul intern al firmei prestatoare de servicii, auditorul poate folosi, de asemenea, raportul auditorului firmei prestatoare de servicii. Daca auditorul foloseste raportul auditorului firmei prestatoare de servicii, auditorul trebuie sa ia in considerare efectuarea unor investigatii cu privire la competenta profesionala a acelui auditor in contextul angajamentului specific desfasurat de auditorul firmei prestatoare de servicii.
Auditorul obtine probe de audit cu privire la eficienta operationala a controalelor atunci cand evaluarea riscului efectuata de catre auditor include o asteptare cu privire la eficienta operationala a controalelor firmei prestatoare de servicii sau cand aplicarea doar a procedurilor de fond nu furnizeaza suficiente probe corespunzatoare de audit la nivelul asertiunii. De asemenea, auditorul poate ajunge la concluzia ca ar fi eficienta obtinerea probelor de audit din testele controalelor. Probele de audit legate de eficienta operationala a controalelor se pot obtine prin:
Testarea controalelor realizate de entitate asupra activitatilor firmei prestatoare de servicii.
Obtinerea raportului auditorului firmei prestatoare de servicii care exprima o opinie cu privire la eficienta operationala a sistemelor de control intern ale firmei prestatoare de servicii pentru activitatile firmei prestatoare de servicii relevante pentru audit.
Cand foloseste raportul auditorului firmei prestatoare de servicii, auditorul trebuie sa analizeze natura si continutul acelui raport.
Raportul auditorului firmei prestatoare de servicii va fi, de obicei, unul dintre cele doua tipuri, dupa cum urmeaza:
Tipul A - Raportul privind structurarea si implementarea controlului intern
(a) o descriere a sistemelor de control intern ale firmei prestatoare de servicii elaborata, in mod normal, de conducerea firmei prestatoare de servicii; si
(b) o opinie a auditorului firmei prestatoare de servicii care sa ateste ca:
(i) descrierea de mai sus este exacta;
(ii) sistemul de control intern este structurat corespunzator pentru a atinge obiectivele stabilite; si
(iii) au fost implementate controalele interne.
Tipul B - Raportul privind structurarea, implementarea si eficienta operationala a controlului intern
(a) o descriere a sistemului de control intern al firmei prestatoare de servicii elaborata de obicei, de conducerea firmei prestatoare de servicii; si
(b) o opinie a auditorului firmei prestatoare de servicii care sa ateste ca:
(i) descrierea de mai sus este exacta;
(ii) sistemul de control intern a fost structurat corespunzator pentru a atinge obiectivele stabilite;
(iii) controalele sistemelor au fost implementate; si
(iv) sistemele de control intern functioneaza eficient, avand in vedere rezultatele testelor controalelor. Pe langa opinia cu privire la eficienta operationala, auditorul firmei prestatoare de servicii va identifica testele controalelor executate, precum si rezultatele aferente.
Raportul auditorului firmei prestatoare de servicii va contine, in mod normal, restrictii in ceea ce priveste utilizarea (in general, de catre conducere, prestatorul de servicii si clientii sai, dar si auditorii entitatii.)
Auditorul trebuie sa ia in considerare sfera activitatii efectuate de auditorul firmei prestatoare de servicii si trebuie sa evalueze utilitatea si gradul de adecvare a rapoartelor emise de catre auditorul firmei prestatoare de servicii.
Desi raportul de tip A poate fi folositor auditorului pentru obtinerea unei intelegeri a sistemelor de control intern, auditorul nu va folosi astfel de rapoarte ca probe de audit referitoare la eficienta operationala a controalelor.
Pe de alta parte, raportul de tip B poate constitui o astfel de proba de audit, deoarece au fost deja executate teste ale controalelor. Cand un raport de tip B urmeaza a fi folosit ca proba de audit privind eficienta operationala a controalelor, auditorul va analiza daca acele controale care au fost testate de auditorul firmei prestatoare de servicii sunt relevante pentru tranzactiile entitatii, soldurile conturilor si prezentarile de informatii, precum si asertiunile aferente, precum si daca testele de control efectuate de catre auditorul firmei prestatoare de servicii si rezultatele acestora sunt adecvate. In ceea ce priveste ultimul aspect, exista doua considerente-cheie: perioada de timp acoperita de testele efectuate de auditorul firmei prestatoare de servicii si timpul scurs de la efectuarea acelor teste.
Pentru acele teste specifice ale controalelor si rezultate care sunt relevante, auditorul trebuie sa aiba in vedere daca natura, durata si intinderea unor astfel de teste furnizeaza suficiente probe de audit adecvate cu privire la eficienta operationala a sistemelor de control intern pentru a sustine riscurile de denaturare semnificativa evaluate de catre auditor.
Auditorul unei firme prestatoare de servicii poate fi angajat pentru a executa proceduri de fond care sunt utile auditorului entitatii. Astfel de angajamente ar putea implica realizarea procedurilor convenite intre entitate si auditorul sau, dar si intre firma prestatoare de servicii si auditorul acesteia.
Atunci cand auditorul foloseste un raport de la auditorul unei firme prestatoare de servicii, in raportul auditorului entitatii nu trebuie facuta nici o referire la raportul auditorului asupra firmei prestatoare de servicii.
