|
|
|
Momentul/perioada testelor controalelor
Momentul sau perioada testelor controalelor depinde de obiectivul auditorului si determina perioada de credibilitate a acelor controale. Daca auditorul testeaza controalele la un anumit moment, el obtine doar probe de audit ca acele controale au operat eficient la acel moment. Totusi, daca auditorul testeaza controalele pe parcursul unei perioade, auditorul obtine probe de audit privind eficienta operarii controalelor in cursul acelei perioade.
Probele de audit referitoare doar la un anumit moment dat ar putea fi suficiente pentru scopul auditorului, de exemplu, atunci cand testeaza controalele asupra inventarului fizic al entitatii de la sfarsitul perioadei. Daca, pe de alta parte, auditorul necesita probe de audit privind eficienta unui control in cursul unei perioade, probele de audit referitoare doar la un moment dat ar putea fi insuficiente si auditorul suplimenteaza testele respective cu alte teste ale controalelor apte sa furnizeze probe de audit in privinta operarii eficiente a controlului la momente relevante din cursul perioadei supuse auditului. Astfel de alte teste pot cuprinde teste ale monitorizarii controalelor de catre entitate.
Atunci cand auditorul obtine probe de audit despre eficienta operativa a controalelor in cursul unei perioade interimare, el trebuie sa stabileasca ce alte probe de audit trebuie obtinute pentru perioada ramasa. Pentru aceasta, auditorul ia in considerare semnificatia riscurilor evaluate de denaturare semnificativa la nivelul asertiunii, controalele specifice care au fost testate in cursul perioadei interimare, masura in care au fost obtinute probe de audit despre eficienta operativa a acelor controale, durata perioadei ramase, masura in care auditorul intentioneaza sa reduca alte proceduri detaliate pe baza credibilitatii controalelor si mediul de control. Auditorul obtine probe de audit despre natura si intinderea schimbarilor semnificative in controlul intern, inclusiv schimbarile din cadrul sistemului de informatii, proceselor si personalului care apar ulterior perioadei interimare.
Probe de audit aditionale pot fi obtinute, de exemplu, prin extinderea testarii eficientei operative a controalelor pe perioada ramasa sau prin testarea monitorizarii controalelor de catre entitate.
Daca auditorul isi planifica sa utilizeze probele de audit despre eficienta operativa a controalelor obtinute in cursul angajamentelor anterioare de audit, el trebuie sa obtina probe de audit despre aparitia sau nu a schimbarilor in cadrul acelor controale specifice ulterioare auditului anterior. Auditorul trebuie sa obtina probe de audit despre aparitia sau nu a unor astfel de schimbari prin efectuarea unei investigatii in combinatie cu observatia sau inspectia pentru a confirma cunoasterea acelor controale specifice. Paragraful 23 al ISA 500 prevede ca auditorul efectueaza proceduri de audit pentru a stabili relevanta continua a probelor de audit obtinute in cursul perioadelor anterioare atunci cand auditorul isi planifica sa utilizeze probele de audit din perioada curenta. De exemplu, la indeplinirea angajamentului anterior de audit, auditorul s-ar putea sa fi sa fi conchis ca un control automatizat a functionat asa cum se intentiona. Auditorul obtine probe de audit pentru a stabili daca au fost aduse schimbari controlului automatizat care sa afecteze functionarea sa eficienta in continuare, de exemplu, prin chestionarea conducerii si inspectia registrelor pentru a afla ce controale au fost modificate. Luarea in considerare a probelor de audit despre aceste schimbari poate sustine fie cresterea fie descresterea volumului probelor de audit asteptate a fi obtinute in perioada curenta despre eficienta operativa a controalelor.
Daca auditorul planifica sa se bazeze pe controale care au fost modificate de la ultima data la care au fost ele testate, el trebuie sa testeze eficienta operativa a acestor controale in auditul curent. Schimbarile pot afecta relevanta probelor de audit obtinute in perioadele anterioare astfel ca s-ar putea sa nu mai existe o baza pentru credibilitatea lor in continuare. De exemplu, schimbarile dintr-un sistem care permit unei entitati sa primeasca un raport nou de la sistem probabil nu afecteaza relevanta probelor de audit din perioada anterioara; totusi, o schimbare care face ca datele sa fie acumulate sau calculate diferit nu afecteaza relevanta respectiva.
Daca auditorul planifica sa se bazeze pe controale care nu s-au modificat de la ultima data la care au fost testate, el trebuie sa testeze eficienta operativa a acestor controale cel putin o data la fiecare al treilea audit. Asa cum reiese din paragrafele 40 si 44, auditorul nu se poate baza pe probe de audit privind eficienta operativa a controalelor obtinute in cursul angajamentelor anterioare de audit pentru controale care s-au modificat de la data ultimei testari sau controale care micsoreaza un risc semnificativ. Decizia auditorului daca sa se bazeze sau nu pe probele de audit obtinute in cursul angajamentelor anterioare pentru alte controale este o problema de rationament profesional. In plus, durata perioadei de timp dintre retestarea unor astfel de controale este de asemenea o problema de rationament profesional, dar nu poate depasi doi ani.
Pentru a vedea daca este potrivit sa utilizeze probe de audit despre eficienta operativa a controalelor, obtinute in cursul angajamentelor anterioare de audit, si daca este cazul, durata perioadei de timp care se poate scurge inainte de retestarea unui control, auditorul ia in considerare urmatoarele:
Eficienta altor elemente de control intern, inclusiv a mediului de control, a monitorizarii de catre entitate a controalelor si a procesului de evaluare a riscului de catre entitate.
Riscurile provenind din caracteristicile controlului, inclusiv daca sistemele de control sunt manuale sau automatizate (vezi ISA 315, paragrafele 57-63 pentru o discutie asupra riscurilor specifice decurgand din elementele manuale si automatizate de control).
Eficienta controalelor generale IT.
Eficienta controlului si aplicarea sa de catre entitate, inclusiv natura si masura abaterilor in aplicarea controlului de la testele de eficienta operativa din angajamentele anterioare de audit.
Daca lipsa schimbarii unui anumit control genereaza vreun risc datorita schimbarii circumstantelor.
Riscul de denaturare semnificativa si gradul de incredere asupra controlului.
In general, cu cat riscul de denaturare semnificativa este mai mare sau cu cat increderea in controale este mai mare cu atat perioada de timp scursa, daca exista, este probabil sa fie mai scurta. Factorii care in mod obisnuit reduc perioada de retestare a unui control sau fac ca probele de audit obtinute in angajamentele anterioare de audit sa fie ignorate includ:
Un mediu slab de control.
O monitorizare slaba a controalelor.
Un element manual semnificativ in cadrul controalelor relevante.
Schimbarile de personal care afecteaza semnificativ aplicarea controlului.
Circumstantele in schimbare care indica nevoia de schimbare a controlului.
Controale generale IT slabe.
Atunci cand exista o serie de controale pentru care auditorul hotaraste ca este potrivit sa utilizeze probele de audit obtinute in angajamentele anterioare de audit, el trebuie sa testeze eficienta operativa a anumitor controale cu fiecare audit. Scopul acestei cerinte este de a evita posibilitatea ca auditorul sa aplice abordarea de la paragraful 41 tuturor controalelor pe care intentioneaza sa se bazeze, dar sa testeze toate acele controale intr-o singura perioada de audit fara testarea controalelor in urmatoarele doua perioade de audit. Pe langa furnizarea probelor de audit despre eficienta operativa a controalelor testate in perioada curenta, efectuarea unor astfel de teste ofera probe colaterale despre eficienta continua a mediului de control si de aceea contribuie la luarea deciziei privind bazarea sau nu pe probele de audit obtinute in auditurile anterioare. De aceea, atunci cand auditorul stabileste in baza paragrafelor 39-42 ca este potrivit sa utilizeze probele de audit obtinute in perioadele anterioare de audit pentru o serie de controale, el planifica sa testeze o pondere suficienta de controale din populatia respectiva in fiecare perioada de audit si, cel putin, fiecare control este testat la fiecare al treilea audit.
Atunci cand, in acord cu paragraful 108 al ISA 315, auditorul a stabilit ca un risc evaluat de denaturare semnificativa la nivelul asertiunii este un risc semnificativ iar el planifica sa se bazeze pe eficienta operativa a controalelor menite sa reduca acel risc semnificativ, auditorul trebuie obtina probele de audit despre eficienta operativa a acelor controale din testele asupra controalelor efectuate in perioada curenta. Cu cat riscul de denaturare semnificativa este mai mare cu atat probele de audit pe care auditorul le obtine cu privire la operarea eficienta a controalelor relevante sunt mai multe. In consecinta, desi auditorul de multe ori ia in considerare informatiile obtinute in auditurile anterioare la conceperea testelor asupra controalelor cu scopul de a reduce un risc semnificativ, el nu se bazeaza pe probele de audit obtinute intr-un audit anterior despre eficienta operativa a controalelor asupra unor astfel de riscuri ci in schimb obtine probe de audit despre eficienta operativa a controalelor asupra unor astfel de riscuri in perioada curenta.
Intinderea testelor asupra controalelor
Auditorul concepe teste asupra controalelor pentru a obtine suficiente probe de audit privind operarea eficienta a controalelor de-a lungul perioadei pe care se bazeaza. Aspectele pe care auditorul le poate lua in considerare la determinarea intinderii testelor asupra controalelor efectuate de auditor includ urmatoarele:
Frecventa efectuarii controlului de catre entitate in cursul perioadei.
Durata de timp din cadrul perioadei de audit in care auditorul se bazeaza pe eficienta operativa a controlului.
Relevanta si credibilitatea probelor de audit ce urmeaza a fi obtinute in vederea sustinerii teoriei ca acel control previne sau detecteaza si corecteaza denaturarile semnificative la nivelul asertiunii.
Masura in care probele de audit sunt obtinute din testele altor controale legate de asertiunea respectiva.
Masura in care auditorul planifica sa se bazeze pe eficienta operativa a controlului in evaluarea riscului (si astfel sa se reduca procedurile detaliate in baza increderii acordate unor astfel de controale).
Abaterea asteptata de la control.
Cu cat auditorul se bazeaza mai mult pe eficienta operativa a controalelor in evaluarea riscului, cu atat este mai mare intinderea testelor asupra controalelor, efectuate de auditor. In plus, pe masura ce creste rata abaterii asteptate de la un control, auditorul creste intinderea testarii controlului. Totusi, auditorul are in vedere daca rata abaterii asteptate indica faptul ca acel control nu va fi suficient pentru a reduce riscul de denaturare semnificativa la nivelul asertiunii la cel evaluat de auditor. Daca rata abaterii asteptate este estimata a fi prea mare, auditorul poate concluziona ca testele controalelor pentru o anumita asertiune ar putea fi ineficiente.
Datorita consecventei inerente a procesarii IT, auditorul s-ar putea sa nu fie nevoit sa mareasca intinderea testarii unui control automatizat. Un control automatizat trebuie sa functioneze cu consecventa daca programul nu este modificat (inclusiv tabele, fisiere, sau alte date permanente utilizate de program). Odata ce auditorul considera ca un control automatizat functioneaza asa cum trebuie (ceea ce s-ar putea face la momentul la care controlul este initial implementat sau la o alta data), el va avea in vedere efectuarea unor teste pentru a stabili daca acel control continua sa functioneze eficient. Astfel de teste ar putea include stabilirea faptului ca nu se aduc modificari programului fara a fi supuse unor controale corespunzatoare de modificare a programului, ca pentru procesarea tranzactiilor se foloseste versiunea autorizata a programului si ca alte controale generale relevante sunt eficiente. Astfel de teste ar putea de asemenea include stabilirea faptului ca nu s-au adus modificari programului, asa cum este cazul atunci cand entitatea foloseste aplicatii soft sub forma de pachete fara modificarea sau intretinerea lor. De exemplu, auditorul poate inspecta evidentele de administrare a securitatii IT in vederea obtinerii de probe ca nu au existat cazuri de acces neautorizat in decursul perioadei.
