Esileht

ISA 402

Sissejuhatus

Käesoleva ISA ulatus

1. Käesolevas rahvusvahelise auditeerimise standardis (International Standard on Auditing, ISA) käsitletakse kasutaja audiitori kohustust omandada piisav asjakohane auditi tõendusmaterjal siis, kui kasutaja-majandusüksus kasutab ühe või enama teenust osutava organisatsiooni teenuseid. Nimelt käsitleb see ulatuslikumalt seda, kuidas kasutaja audiitor rakendab ISAsid 315 ja 330 olulise väärkajastamise riskide tuvastamiseks ja hindamiseks piisava arusaamise omandamisel kasutaja-majandusüksusest, sealhulgas auditi seisukohast relevantsest sisekontrollist, ja edasiste auditiprotseduuride kavandamisel ja läbiviimisel, mis on vastuseks nendele riskidele.

2. Paljud majandusüksused ostavad nende äritegevuse teatud aspektid sisse organisatsioonidest, mis osutavad teenuseid, alates spetsiifilise tööülesande läbiviimisest majandusüksuse juhtimise all kuni majandusüksuse kogu äriüksuste või funktsioonide asendamiseni, nagu näiteks maksuseadustega vastavuse jälgimise funktsioon. Paljud selliste organisatsioonide poolt osutatavad teenused on majandusüksuse ärialase põhitegevuse lahutamatu osa; samas ei ole kõik need teenused auditi seisukohast relevantsed.

3. Teenust osutava organisatsiooni poolt osutatavad teenused on kasutaja-majandusüksuse finantsaruannete auditi seisukohast relevantsed siis, kui need teenused ja kontroll(imehhanism)id nende üle on osa kasutaja-majandusüksuse infosüsteemist, sealhulgas finantsaruandluse seisukohast relevantsetest seotud äriprotsessidest. Kuigi enamik kontroll(imehhanism)e teenust osutavas organisatsioonis on tõenäoliselt finantsaruandlusega seotud, võivad eksisteerida muud kontroll(imehhanism)id, mis võivad samuti olla auditi seisukohast relevantsed, nagu näiteks kontroll(imehhanism)id varade kaitse üle. Teenust osutava organisatsiooni teenused on osa kasutaja-majandusüksuse infosüsteemist, sealhulgas finantsaruandluse seisukohast relevantsetest seotud äriprotsessidest juhul, kui need teenused mõjutavad mõnda järgmisest:

(a) kasutaja-majandusüksuse põhitegevuse tehinguklassid, mis on märkimisväärsed kasutaja-majandusüksuse finantsaruannete seisukohast;

(b) protseduurid nii infotehnoloogilistes (IT) kui ka manuaalsetes süsteemides, mille abil kasutaja-majandusüksuse tehinguid algatatakse, kajastatakse, töödeldakse, vajaduse korral parandatakse, pearaamatusse kantakse ja nendest finantsaruannetes raporteeritakse;

(c) seotud arvestusandmed kas elektroonilisel või manuaalsel kujul, mis toetavad informatsiooni ja spetsiifilisi kontosid kasutaja-majandusüksuse finantsaruannetes, mida kasutatakse kasutaja-majandusüksuse tehingute algatamiseks, kajastamiseks, töötlemiseks ja nendest raporteerimiseks; siia hulka kuulub ebaõige informatsiooni parandamine ja see, kuidas informatsioon pearaamatusse kantakse;

(d) kuidas kasutaja-majandusüksuse infosüsteem fikseerib sündmusi ja tingimusi, mis on muud kui tehingud ja mis on märkimisväärsed kasutaja-majandusüksuse finantsaruannete seisukohast;

(e) finantsaruandluse protsess, mida kasutatakse kasutaja-majandusüksuse finantsaruannete, sealhulgas märkimisväärsete arvestushinnangute ja avalikustatava informatsiooni koostamiseks ja

(f) päevaraamatu kannete, sealhulgas ebastandardsete päevaraamatu kannete kontroll(imehhanism)id, mida kasutatakse mittekorduvate, tavapärasest erinevate tehingute või korrigeerimiste kajastamiseks.

4. Kasutaja audiitori poolt teenust osutava organisatsiooni poolt osutatavate teenuste suhtes läbiviidava töö olemus ja ulatus sõltuvad nende teenuste olemusest ja märkimisväärsusest kasutaja-majandusüksuse jaoks ning nende teenuste relevantsusest auditi seisukohast.

5. Käesolevat ISA ei rakendata nende finantsinstitutsioonide poolt osutatavate teenuste suhtes, mis on piiratud majandusüksuse poolt finantsinstitutsioonis peetava konto tehingute töötlemisega, mille majandusüksus on spetsiifiliselt heaks kiitnud, nagu näiteks jooksevkonto tehingute kontrollimise töötlemine panga poolt või väärtpaberitehingute töötlemine maakleri poolt. Peale selle ei kehti käesolev ISA nende tehingute auditi kohta, mis tulenevad omandilistest finantshuvidest teistes majandusüksustes, nagu partnerlused, korporatsioonid ja ühisettevõtted siis, kui omandilised huvid on arvestuses kajastatud ja osanikele nendest raporteeritakse.

Kehtima hakkamise kuupäev

6. Kehtib 15. detsembril 2009 või pärast seda algavate perioodide finantsaruannete auditite kohta.

Eesmärgid

7. Kasutaja audiitori eesmärgid, siis kui kasutaja-majandusüksus kasutab teenust osutava organisatsiooni teenuseid, on järgmised:

(a) omandada olulise väärkajastamise riskide tuvastamiseks ja hindamiseks piisav arusaamine teenust osutava organisatsiooni poolt osutatavate teenuste olemusest ja märkimisväärsusest ning nende mõjust kasutaja-majandusüksuse sisekontrollile, mis on auditi seisukohast relevantne ja

(b) kavandada ja viia läbi auditiprotseduurid, mis on vastuseks nendele riskidele.

Definitsioonid

8. ISAdes kasutamise otstarbel on järgnevatel terminitel järgmised tähendused: (a) (b) täiendavad kasutaja-majandusüksuse kontroll(imehhanism)id – kontrolli(mehhanismi)d, mille rakendamist kasutaja-majandusüksuste poolt teenust osutav organisatsioon oma teenust kavandades eeldab, ja mis juhul, kui see on vajalik kontrollieesmärkide saavutamiseks, määratakse tema süsteemi kirjelduses;

(b) aruanne kontroll(imehhanism)ide kirjelduse ja ülesehituse kohta teenust osutavas organisatsioonis (käesolevas ISAs edaspidi viidatud kui 1. tüüpi aruanne) – aruanne, milles sisaldub:

(i) teenust osutava organisatsiooni juhtkonna poolt koostatud teenust osutava organisatsiooni süsteemi, kontrollieesmärkide ja määratud kuupäeva seisuga kavandatud ja rakendatud seotud kontroll(imehhanism)ide kirjeldus ja

(ii) teenuse osutaja audiitori aruanne, mille eesmärgiks on edastada põhjendatud kindlus ja mis sisaldab teenuse osutaja audiitori arvamust teenust osutava organisatsiooni süsteemi, kontrollieesmärkide ja seotud kontroll(imehhanism)ide kirjelduse kohta ning kontroll(imehhanism)ide ülesehituse sobivuse kohta määratud kontrollieesmärkide saavutamiseks;

(c) aruanne kontroll(imehhanism)ide kirjelduse, ülesehituse ja nende toimimise tulemuslikkuse kohta teenust osutavas organisatsioonis (käesolevas ISAs edaspidi viidatud kui 2. tüüpi aruanne) – aruanne, milles sisaldub:

(i) teenust osutava organisatsiooni juhtkonna poolt koostatud kirjeldus teenust osutava organisatsiooni süsteemi, kontrollieesmärkide ja seotud kontroll(imehhanism)ide kohta, nende ülesehituse ja rakendamise kohta määratud kuupäeva seisuga või kogu määratud perioodi jooksul ja mõningatel juhtudel nende toimimise tulemuslikkuse kohta kogu määratud perioodi jooksul ja

(ii) teenuse osutaja audiitori aruanne, mille eesmärgiks on edastada põhjendatud kindlus ja milles sisaldub:

a. teenuse osutaja audiitori arvamus teenust osutava organisatsiooni süsteemi, kontrollieesmärkide ja seotud kontroll(imehhanism)ide kirjelduse kohta, kontroll(imehhanism)ide ülesehituse sobivuse kohta määratud kontrollieesmärkide saavutamiseks ja kontroll(imehhanism)ide toimimise tulemuslikkuse kohta ja

b. teenuse osutaja audiitori poolt läbiviidud kontroll(imehhanism)ide testide ja nende tulemuste kirjeldus;

(d) teenuse osutaja audiitor – audiitor, kes teenust osutava organisatsiooni taotlusel annab kindlustandva aruande teenust osutava organisatsiooni kontroll(imehhanism)ide kohta;

(e) teenust osutav organisatsioon – kolmandaks osapooleks olev organisatsioon (või kolmandaks osapooleks oleva organisatsiooni segment), mis osutab kasutaja-majandusüksustele teenuseid, mis on osa nende majandusüksuste finantsaruandluse seisukohast relevantsetest infosüsteemidest;

(f) teenust osutava organisatsiooni süsteem – poliitikad ja protseduurid, mida teenust osutav organisatsioon on kavandanud, rakendanud ja hoiab alal selleks, et osutada kasutaja-majandusüksustele neid teenuseid, mida hõlmab teenuse osutaja audiitori aruanne;

(g) allteenust osutav organisatsioon – teenust osutav organisatsioon, mida teine teenust osutav organisatsioon kasutab mõningate kasutaja-majandusüksustele osutatavate teenuste teostamiseks, mis on osa nende kasutaja-majandusüksuste finantsaruandluse seisukohast relevantsetest infosüsteemidest;

(h) kasutaja audiitor – audiitor, kes auditeerib kasutaja-majandusüksuse finantsaruandeid ja raporteerib nendest;

(i) kasutaja-majandusüksus – majandusüksus, mis kasutab teenust osutavat organisatsiooni, ja mille finantsaruandeid auditeeritakse.

Nõuded

Arusaamise omandamine teenust osutava organisatsiooni poolt osutatavatest teenustest, sealhulgas sisekontrollist

9. Arusaamise omandamisel kasutaja-majandusüksusest kooskõlas ISAga 315 peab kasutaja audiitor omandama arusaamise sellest, kuidas kasutaja-majandusüksus teenust osutava organisatsiooni teenuseid kasutaja-majandusüksuse põhitegevuses kasutab, sealhulgas (vt lõigud A1–A2):

(a) teenust osutava organisatsiooni poolt osutatavate teenuste olemus ja nende teenuste märkimisväärsus kasutaja-majandusüksuse jaoks, sealhulgas nende mõju kasutaja-majandusüksuse sisekontrollile (vt lõigud A3–A5);

(b) teenust osutava organisatsiooni poolt töödeldavate tehingute või selle poolt mõjutatavate kontode või finantsaruandluse protsesside olemus ja olulisus (vt lõik A6);

(c) teenust osutava organisatsiooni ja kasutaja-majandusüksuse tegevuste vastasmõju määr ja (vt lõik A7)

(d) teenust osutava organisatsiooni ja kasutaja-majandusüksuse vahelise suhte olemus, sealhulgas relevantsed lepingulised tingimused tegevuste osas, mida teenust osutav organisatsioon on enda peale võtnud (vt lõigud A8–A11).

10. Arusaamise omandamisel auditi seisukohast relevantsest sisekontrollist kooskõlas ISAga 315 peab kasutaja audiitor hindama relevantsete teenust osutava organisatsiooni poolt osutatavate teenustega seotud kontroll(imehhanism)ide ülesehitust ja rakendamist kasutaja-majandusüksuses, sealhulgas nende, mida rakendatakse teenust osutava organisatsiooni poolt töödeldavate tehingute suhtes. (vt lõigud A12–A14)

11. Kasutaja audiitor peab kindlaks määrama, kas on omandatud piisav arusaamine teenust osutava organisatsiooni poolt osutatavate teenuste olemusest ja märkimisväärsusest ning nende mõjust kasutaja-majandusüksuse auditi seisukohast relevantsele sisekontrollile, et anda olulise väärkajastamise riskide tuvastamise ja hindamise alus.

12. Juhul, kui kasutaja audiitor ei ole võimeline omandama kasutaja-majandusüksuselt piisavat arusaamist, peab kasutaja audiitor omandama selle arusaamise ühe või enama alljärgneva protseduuri abil (vt lõigud A15–A20):

(a) 1. või 2. tüüpi aruande omandamine juhul, kui see on kättesaadav;

(b) kontakteerumine teenust osutava organisatsiooniga kasutaja-majandusüksuse kaudu, et omandada spetsiifilist informatsiooni;

(c) teenust osutava organisatsiooni külastamine ja protseduuride läbiviimine, mis annavad vajaliku informatsiooni relevantsete kontroll(imehhanism)ide kohta teenust osutavas organisatsioonis või

(d) teise audiitori kasutamine protseduuride läbiviimiseks, mis annavad vajaliku informatsiooni relevantsete kontroll(imehhanism)ide kohta teenust osutavas organisatsioonis.

1. või 2. tüüpi aruande kasutamine selleks, et toetada kasutaja audiitori arusaamist teenust osutavast organisatsioonist

13. 1. või 2. tüüpi aruandest saadava auditi tõendusmaterjali piisavuse ja asjakohasuse kindlaksmääramisel peab kasutaja audiitor saavutama rahulolu järgmises (vt lõik A21):

(a) teenuse osutaja audiitori kutsealane kompetentsus ja sõltumatus teenust osutavast organisatsioonist ja

(b) standardite adekvaatsus, mille alusel 1. või 2. tüüpi aruanne välja anti.

14. Juhul, kui kasutaja audiitor planeerib kasutada auditi tõendusmaterjalina 1. või 2. tüüpi aruannet selleks, et toetada kasutaja audiitori arusaamist kontroll(imehhanism)ide ülesehitusest ja rakendamisest teenust osutavas organisatsioonis, peab kasutaja audiitor (vt lõigud A22–A23):

(a) hindama, kas kontroll(imehhanism)ide kirjeldus ja ülesehitus teenust osutavas organisatsioonis on selle kuupäeva seisuga või selle perioodi kohta, mis on asjakohane kasutaja audiitori eesmärkide seisukohast;

(b) hindama aruandest saadava auditi tõendusmaterjali piisavust ja asjakohasust kasutaja-majandusüksuse sisekontrollist arusaamiseks, mis on relevantne auditi seisukohast ja

(c) kindlaks määrama, kas teenust osutava organisatsiooni poolt tuvastatud täiendavad kasutaja-majandusüksuse kontroll(imehhanism)id on kasutaja-majandusüksuse seisukohast relevantsed ja juhul kui on, siis omandama arusaamise sellest, kas kasutaja-majandusüksus on sellised kontroll(imehhanism)id kavandanud ja rakendanud.

Vastamine hinnatud olulise väärkajastamise riskidele

15. Hinnatud riskidele vastamiseks peab kasutaja audiitor vastavalt ISAle 330 (vt lõigud A24–A28):

(a) kindlaks määrama, kas kasutaja-majandusüksuses peetavatest registritest on kättesaadav piisav asjakohane auditi tõendusmaterjal, mis puudutab relevantseid finantsaruannete väiteid, ja juhul, kui ei ole,

(b) läbi viima edasised auditiprotseduurid, et omandada piisav asjakohane auditi tõendusmaterjal või kasutama nende protseduuride läbiviimiseks teist audiitorit teenust osutavas organisatsioonis kasutaja audiitori nimel.

Kontroll(imehhanism)ide testid

16. Kui kasutaja audiitori riskihinnang sisaldab ootust, et kontroll(imehhanism)id teenust osutavas organisatsioonis toimivad tulemuslikult, peab kasutaja audiitor omandama auditi tõendusmaterjali nende kontroll(imehhanism)ide toimimise tulemuslikkuse kohta ühe või enama alljärgneva protseduuri abil (vt lõigud A29–A30):

(a) omandama 2. tüüpi aruande, juhul, kui see on kättesaadav;

(b) viima teenust osutavas organisatsioonis läbi asjakohased kontroll(imehhanism)ide testid või

(c) kasutama teist audiitorit kontroll(imehhanism)ide testide läbiviimiseks teenust osutavas organisatsioonis kasutaja audiitori nimel.

2. tüüpi aruande kasutamine auditi tõendusmaterjalina selle kohta, et kontroll(imehhanism)id teenust osutavas organisatsioonis toimivad tulemuslikult

17. Juhul, kui kooskõlas lõigu 16 punktiga a planeerib kasutaja audiitor kasutada 2. tüüpi aruannet auditi tõendusmaterjalina selle kohta, et kontroll(imehhanism)id teenust osutavas organisatsioonis toimivad tulemuslikult, peab kasutaja audiitor alljärgneva abil kindlaks määrama, kas teenuse osutaja audiitori aruanne annab kontroll(imehhanism)ide tulemuslikkuse kohta piisavat asjakohast auditi tõendusmaterjali, et toetada kasutaja audiitori riskihinnangut (vt lõigud A31–A39):

(a) hindama, kas kontroll(imehhanism)ide kirjeldus, ülesehitus ja toimimise tulemuslikkus teenust osutavas organisatsioonis on selle kuupäeva seisuga või selle perioodi kohta, mis on asjakohane kasutaja audiitori eesmärkide seisukohast;

(b) kindlaks määrama, kas teenust osutava organisatsiooni poolt tuvastatud täiendavad kasutaja-majandusüksuse kontroll(imehhanism)id on kasutaja-majandusüksuse seisukohast relevantsed, ja juhul, kui on, siis omandama arusaamise sellest, kas kasutaja-majandusüksus on sellised kontroll(imehhanism)id kavandanud ja rakendanud, ja juhul, kui on, siis testima nende toimimise tulemuslikkust;

(c) hindama kontroll(imehhanism)ide testidega hõlmatud ajaperioodi adekvaatsust ja aja adekvaatsust, mis kontroll(imehhanism)ide testide läbiviimisest on möödunud ja

(d) hindama, kas teenuse osutaja audiitori poolt läbi viidud kontroll(imehhanism)ide testid ja nende tulemused, nii nagu neid on kirjeldatud teenuse osutaja audiitori aruandes, on relevantsed kasutaja-majandusüksuse finantsaruannete väidete seisukohast ja annavad piisavat asjakohast auditi tõendusmaterjali, et toetada kasutaja audiitori riskihinnangut.

1. ja 2. tüüpi aruanded, milles ei käsitleta allteenust osutava organisatsiooni teenuseid

18. Juhul, kui kasutaja audiitor planeerib kasutada 1. või 2. tüüpi aruannet, milles ei käsitleta allteenust osutava organisatsiooni poolt osutatavaid teenuseid ja need teenused on kasutaja-majandusüksuse finantsaruannete auditi seisukohast relevantsed, peab kasutaja audiitor rakendama allteenust osutava organisatsiooni poolt osutatavate teenuste suhtes käesoleva ISA nõudeid. (vt lõik A40)

Pettus, mittevastavus seadustele ja regulatsioonidele ning parandamata väärkajastamised seoses tegevustega teenust osutavas organisatsioonis

19. Kasutaja audiitor peab kasutaja-majandusüksuse juhtkonnalt järele pärima, kas teenust osutav organisatsioon on kasutaja-majandusüksusele raporteerinud või kas kasutaja-majandusüksus on muul viisil teadlik mis tahes pettusest, mittevastavusest seadustele ja regulatsioonidele või parandamata väärkajastamistest, mis mõjutavad kasutaja-majandusüksuse finantsaruandeid. Kasutaja audiitor peab hindama seda, kuidas sellised asjaolud mõjutavad kasutaja audiitori edasiste auditiprotseduuride olemust, ajastust ja ulatust, sealhulgas mõju kasutaja audiitori kokkuvõtetele ja kasutaja audiitori aruandele. (vt lõik A41)

Kasutaja audiitori aruandlus

20. Kasutaja audiitor peab modifitseerima arvamust kasutaja audiitori aruandes kooskõlas ISAga 705 juhul, kui kasutaja audiitor ei ole võimeline omandama piisavat asjakohast auditi tõendusmaterjali teenust osutava organisatsiooni poolt osutatavate teenuste kohta, mis on relevantsed kasutaja-majandusüksuse finantsaruannete auditi seisukohast. (vt lõik A42)

21. Kasutaja audiitor ei viita modifitseerimata arvamust sisaldavas kasutaja audiitori aruandes teenuse osutaja audiitori tööle, välja arvatud siis, kui see on nõutav seaduse või regulatsiooniga. Juhul, kui selline viide on nõutav seaduse või regulatsiooniga, peab kasutaja audiitori aruanne osutama sellele, et viide ei vähenda kasutaja audiitori vastutust auditi arvamuse eest. (vt lõik A43)

22. Juhul, kui viide teenuse osutaja audiitori tööle on relevantne kasutaja audiitori arvamuse modifikatsioonist arusaamise seisukohast, peab kasutaja audiitori aruandes osutama sellele, et viide ei vähenda kasutaja audiitori vastutust selle arvamuse eest. (vt lõik A44)

Rakendus- ja muu selgitav materjal

Arusaamise omandamine teenust osutava organisatsiooni poolt osutatavatest teenustest, sealhulgas sisekontrollist

Infoallikad (vt lõik 9)

A1. Informatsioon teenust osutava organisatsiooni poolt osutatavate teenuste olemuse kohta võib olla kättesaadav paljudest erinevatest allikatest, nagu näiteks:

  • kasutusjuhendid;
  • süsteemi ülevaated;
  • tehnilised käsiraamatud;
  • kasutaja-majandusüksuse ja teenust osutava organisatsiooni vaheline leping või teenuse taseme kokkulepe;
  • teenust osutavate organisatsioonide, siseaudiitorite või reguleerivate organite aruanded kontroll(imehhanism)ide kohta teenust osutavas organisatsioonis;
  • teenuse osutaja audiitori aruanded, sealhulgas juhtkonna kirjad juhul, kui need on kättesaadavad.

A2. Teadmised, mis on omandatud kasutaja audiitori kogemuste kaudu teenust osutava organisatsiooniga, näiteks kogemuste kaudu muude auditi töövõttudega, võivad samuti olla abiks arusaamise omandamisel teenust osutava organisatsiooni poolt osutatavate teenuste olemusest. See võib olla eriti abiks juhul, kui teenused ja kontroll(imehhanism)id nende teenuste üle teenust osutavas organisatsioonis on suurel määral standardiseeritud.

Teenust osutava organisatsiooni poolt osutatavate teenuste olemus (vt lõik 9 punkt a)

A3. Kasutaja-majandusüksus võib kasutada sellist teenust osutavat organisatsiooni, mis töötleb tehinguid ja hoiab alal seotud aruandlust või kajastab tehinguid ja töötleb seotud andmeid. Teenust osutavate organisatsioonide hulka, mis selliseid teenuseid osutavad, kuuluvad näiteks panga varahaldusosakonnad, mis investeerivad ja teenindavad varasid töötajate hüvitisplaanide või teiste jaoks, hüpoteekpangad, mis teenindavad teiste jaoks hüpoteeke, ja rakendusteenuse osutajad, kes annavad tarkvararakenduste paketid ja tehnoloogiakeskkonna, mis võimaldab klientidel töödelda finants- ja põhitegevusega seotud tehinguid.

A4. Näited teenust osutava organisatsiooni teenuste kohta, mis on relevantsed auditi seisukohast, on järgmised:

  • kasutaja-majandusüksuse arvestusandmete alalhoidmine;
  • varade juhtimine;
  • tehingute algatamine, kajastamine või töötlemine kasutaja-majandusüksuse agendina.

Väiksemate majandusüksuste puhul spetsiifiliselt arvessevõetavad asjaolud

A5. Väiksemad majandusüksused võivad kasutada väliseid raamatupidamisteenuseid alates teatud tehingute töötlemisest (nt palgamaksude maksmine) ja nende arvestusandmete alalhoidmisest kuni nende finantsaruannete koostamiseni. Sellise teenust osutava organisatsiooni kasutamine oma finantsaruannete koostamiseks ei vabasta väiksema majandusüksuse juhtkonda ja, kus asjakohane, isikuid, kelle ülesandeks on valitsemine, nende vastutusest finantsaruannete eest.

Teenust osutava organisatsiooni poolt töödeldavate tehingute olemus ja olulisus (vt lõik 9 punkt b)

A6. Teenust osutav organisatsioon võib kehtestada poliitikad ja protseduurid, mis mõjutavad kasutaja-majandusüksuse sisekontrolli. Need poliitikad ja protseduurid on vähemalt osaliselt füüsiliselt ja toimimise poolest kasutaja-majandusüksusest eraldiseisvad. Teenust osutava organisatsiooni kontroll(imehhanism)ide märkimisväärsus kasutaja-majandusüksuse omadega võrreldes sõltub teenust osutava organisatsiooni poolt osutatavate teenuste olemusest, sealhulgas nende tehingute olemusest ja olulisusest, mida ta kasutaja-majandusüksuse jaoks töötleb. Teatud olukordades ei pruugi teenust osutava organisatsiooni poolt töödeldud tehingud ja mõjutatud kontod osutuda kasutaja-majandusüksuse finantsaruannete seisukohast olulisteks, kuid töödeldud tehingute olemus võib olla märkimisväärne ning kasutaja audiitor võib kindlaks määrata, et nendest kontroll(imehhanism)idest arusaamine on antud tingimustes vajalik.

Teenust osutava organisatsiooni ja kasutaja-majandusüksuse tegevuste vastasmõju määr (vt lõik 9 punkt c)

A7. Teenust osutava organisatsiooni kontroll(imehhanism)ide märkimisväärsus kasutaja-majandusüksuse omadega võrreldes sõltub ka tema ja kasutaja-majandusüksuse tegevuste vastasmõju määrast. Tegevuste vastasmõju määr viitab ulatusele, millises kasutaja-majandusüksus on võimeline ja otsustab rakendada tulemuslikke kontroll(imehhanism)e teenust osutava organisatsiooni poolt teostatava töötlemise üle. Näiteks eksisteerib kasutaja-majandusüksuse ja teenust osutava organisatsiooni tegevuste vahel kõrge vastasmõju määr siis, kui kasutaja-majandusüksus kinnitab tehingud ja teenust osutav organisatsioon neid töötleb ning peab nende tehingute kohta arvestust. Sellistes tingimustes võib kasutaja-majandusüksuse jaoks olla otstarbekas rakendada nende tehingute üle tulemuslikke kontroll(imehhanism)e. Teisest küljest siis, kui teenust osutav organisatsioon kasutaja-majandusüksuse tehingud algatab või algselt kajastab, neid töötleb ning nende kohta arvestust peab, on vastasmõju määr nende kahe organisatsiooni vahel väiksem. Sellistes tingimustes ei pruugi kasutaja-majandusüksus olla võimeline rakendama või võib otsustada mitte rakendada kasutaja-majandusüksuses nende tehingute üle tulemuslikke kontroll(imehhanism)e ja võib tugineda kontroll(imehhanism)idele teenust osutavas organisatsioonis.

Teenust osutava organisatsiooni ja kasutaja-majandusüksuse vahelise suhte olemus (vt lõik 9 punkt d)

A8. Kasutaja-majandusüksuse ja teenust osutava organisatsiooni vahelises lepingus või teenuse taseme kokkuleppes võib sätestada sellised asjaolud nagu:

  • kasutaja-majandusüksusele antav informatsioon ja vastutus tehingute algatamise eest, mis on seotud teenust osutava organisatsiooni poolt enda kohustuseks võetud tegevustega;
  • reguleerivate asutuste nõuete rakendamine, mis puudutavad alalhoitavate arvestusandmete vormi või nendele juurdepääsu;
  • kompensatsioonid juhul, kui neid on, mis antakse kasutaja-majandusüksusele tegevuse ebaõnnestumise korral;
  • kas teenust osutav organisatsioon annab aruande oma kontroll(imehhanism)ide kohta ja juhul, kui jah, siis kas selline aruanne oleks 1. või 2. tüüpi aruanne;
  • kas kasutaja audiitoril on juurdepääsuõigused teenust osutava organisatsiooni poolt peetavatele kasutaja-majandusüksuse arvestusandmetele ja muule informatsioonile, mis on vajalik auditi läbiviimiseks, ja
  • kas kokkulepe lubab otsest suhtlemist kasutaja audiitori ja teenuse osutaja audiitori vahel.

A9. Teenust osutava organisatsiooni ja kasutaja-majandusüksuse vahel ning teenust osutava organisatsiooni ja teenuse osutaja audiitori vahel eksisteerib otsene suhe. Need suhted ei pruugi tingimata luua otsest suhet kasutaja audiitori ja teenuse osutaja audiitori vahel. Kui kasutaja audiitori ja teenuse osutaja audiitori vahel ei eksisteeri otsest suhet, toimub infovahetus kasutaja audiitori ja teenuse osutaja audiitori vahel tavaliselt kasutaja-majandusüksuse ja teenust osutava organisatsiooni kaudu. Otsese suhte kasutaja audiitori ja teenuse osutaja audiitori vahel võib ka luua, võttes arvesse relevantseid eetika ja konfidentsiaalsuse kaalutlusi. Näiteks kasutaja audiitor võib kasutada teenuse osutaja audiitorit selliste protseduuride läbiviimiseks kasutaja audiitori nimel, nagu näiteks:

(a) kontroll(imehhanism)ide testid teenust osutavas organisatsioonis või

(b) substantiivsed protseduurid kasutaja-majandusüksuse finantsaruannete tehingute ja saldode suhtes, mida peab teenust osutav organisatsioon.

Avaliku sektori majandusüksuste puhul spetsiifiliselt arvessevõetavad asjaolud

A10. Avaliku sektori audiitoritel on üldiselt õigusaktidega kehtestatud ulatuslikud juurdepääsuõigused. Samas võivad eksisteerida olukorrad, kus sellised juurepääsuõigused ei ole kättesaadavad, näiteks siis, kui teenust osutav organisatsioon asub muus jurisdiktsioonis. Sellistel juhtudel võib avaliku sektori audiitoril vaja olla omandada arusaamine selles muus jurisdiktsioonis kohaldatavatest õigusaktidest, et kindlaks määrata, kas asjakohaseid juurdepääsuõigusi saab omandada. Avaliku sektori audiitor võib samuti omandada juurdepääsuõigused kasutaja-majandusüksuse ja teenust osutava organisatsiooni vaheliste mis tahes lepinguliste tingimustega või küsida kasutaja-majandusüksuselt juurdepääsuõiguste lisamist nendesse.

A11. Avaliku sektori audiitorid võivad ka kasutada teist audiitorit kontroll(imehhanism)ide testide või substantiivsete protseduuride läbiviimiseks, mis puudutavad vastavust seadusele, regulatsioonile või muudele nõuetele.

Arusaamise omandamine kontroll(imehhanism)idest, mis on seotud teenust osutava organisatsiooni poolt osutatavate teenustega (vt lõik 10)

A12. Kasutaja-majandusüksus võib kehtestada kontroll(imehhanism)id teenust osutava organisatsiooni teenuste üle, mida kasutaja audiitor võib testida ja mis võivad võimaldada kasutaja audiitoril järeldada, et kasutaja-majandusüksuse kontroll(imehhanism)id toimivad mõningate või kõikide seotud väidete osas tulemuslikult, olenemata teenust osutavas organisatsioonis paigas olevatest kontroll(imehhanism)idest. Näiteks juhul, kui kasutaja-majandusüksus kasutab teenust osutavat organisatsiooni oma palgatehingute töötlemiseks, võib kasutaja-majandusüksus kehtestada kontroll(imehhanism)id palgainformatsiooni esitamise ja vastuvõtmise üle, mis võivad ära hoida või avastada olulisi väärkajastamisi. Nende kontroll(imehhanism)ide hulka võivad kuuluda:

  • teenust osutavale organisatsioonile esitatud andmete võrdlemine aruannetega informatsiooni kohta, mis on saadud teenust osutavalt organisatsioonilt peale andmete töötlemist;
  • palgasummade valimi uuestiarvutamine arvutusliku täpsuse kontrollimiseks ja kogusumma ülevaatamine põhjendatuse kontrollimiseks.

A13. Selles olukorras võib kasutaja audiitor läbi viia testid kasutaja-majandusüksuse kontroll(imehhanism)ide osas palgafondi töötlemise üle, mis annaksid kasutaja audiitorile aluse järeldamaks, et kasutaja-majandusüksuse kontroll(imehhanism)id toimivad palgafondiga seotud väidete suhtes tulemuslikult.

A14. Nagu märgitud ISAs 315 võib kasutaja audiitor mõnede riskide suhtes teha otsustuse, et ei ole võimalik või teostatav omandada piisavat asjakohast auditi tõendusmaterjali ainult substantiivsete protseduuride abil. Sellised riskid võivad olla seotud rutiinsete ja märkimisväärsete tehinguklasside ja kontosaldode ebatäpse või mittetäieliku kajastamisega, mille iseloomulikud tunnusjooned võimaldavad tihti kõrgel tasemel automatiseeritud töötlemist, kus manuaalne sekkumine on vähene või puudub. Sellised automatiseeritud töötlemise iseloomulikud tunnusjooned võivad eksisteerida eriti siis, kui kasutaja-majandusüksus kasutab teenust osutavat organisatsiooni. Sellistel juhtudel on kasutaja-majandusüksuse kontroll(imehhanism)id selliste riskide üle auditi seisukohast relevantsed ja kasutaja audiitor peab omandama arusaamise sellistest kontroll(imehhanism)idest ja hindama neid kooskõlas käesoleva ISA lõikudega 9 ja 10.

Edasised protseduurid siis, kui kasutaja-majandusüksuselt ei saa omandada piisavat arusaamist (vt lõik 12)

A15. Kasutaja audiitori otsust selle kohta, millist lõigus 12 toodud protseduuri kas üksikult või kombineeritult ette võtta selle informatsiooni omandamiseks, mis on vajalik andmaks alus olulise väärkajastamise riskide tuvastamiseks ja hindamiseks seoses teenust osutava organisatsiooni kasutamisega kasutaja-majandusüksuse poolt, võivad mõjutada sellised asjaolud nagu:

  • nii teenust osutava organisatsiooni kui ka kasutaja-majandusüksuse suurus;
  • tehingute keerukus kasutaja-majandusüksuses ja teenust osutava organisatsiooni poolt osutatavate teenuste keerukus;
  • teenust osutava organisatsiooni asukoht (näiteks võib kasutaja audiitor otsustada kasutada teist audiitorit protseduuride läbiviimiseks teenust osutavas organisatsioonis kasutaja audiitori nimel juhul, kui teenust osutav organisatsioon asub kaugemas asukohas);
  • kas eeldatakse, et protseduur(id) annab(annavad) kasutaja audiitorile tulemuslikult piisava asjakohase auditi tõendusmaterjali ja
  • kasutaja-majandusüksuse ja teenust osutava organisatsiooni vahelise suhte olemus.

A16. Teenust osutav organisatsioon võib tellida, et teenuse osutaja audiitor raporteerib tema kontroll(imehhanism)ide kirjelduse ja ülesehituse kohta (1. tüüpi aruanne) või tema kontroll(imehhanism)ide kirjelduse ja ülesehituse ning nende toimimise tulemuslikkuse kohta (2. tüüpi aruanne). või 2. tüüpi aruandeid võib välja anda rahvusvahelise kindlustandvate teenuste standardi (International Standard on Assurance Engagements, ISAE) 3402 järgi või standardite järgi, mille on kehtestanud volitatud või tunnustatud standardeid kehtestav organisatsioon (mis võib kasutada muid nimetusi, näiteks A- või B-tüüpi aruanded).

A17. 1. või 2. tüüpi aruande kättesaadavus sõltub üldiselt sellest, kas teenust osutava organisatsiooni ja kasutaja-majandusüksuse vaheline leping sisaldab sätet sellise aruande andmise kohta teenust osutava organisatsiooni poolt. Teenust osutav organisatsioon võib ka otsustada praktilistel põhjustel teha 1. või 2. tüüpi aruanne kättesaadavaks kasutaja-majandusüksustele. Mõningatel juhtudel ei pruugi siiski 1. või 2. tüüpi aruanne olla kasutaja-majandusüksustele kättesaadav.

A18. Mõningates tingimustes võib kasutaja-majandusüksus viia välisallikast sisseostetavaks ühe või mitu märkimisväärset äriüksust või -funktsiooni, nagu näiteks kogu maksude planeerimise ja vastavuse funktsioonid, või finantseerimise ja arvestuse või kontrolli funktsiooni ühte või enamasse teenust osutavasse organisatsiooni. Kuna nendes tingimustes ei pruugi aruanne kontroll(imehhanism)ide kohta teenust osutavas organisatsioonis olla kättesaadav, võib külaskäik teenust osutavasse organisatsiooni olla kasutaja audiitori jaoks kõige tulemuslikum protseduur arusaama omandamiseks kontroll(imehhanism)idest teenust osutavas organisatsioonis, kuna tõenäoliselt eksisteerib kasutaja-majandusüksuse juhtkonna otsene vastastikune suhtlemine juhtkonnaga teenust osutavas organisatsioonis.

A19. Protseduuride läbiviimiseks, mis annavad vajalikku informatsiooni relevantsete kontroll(imehhanism)ide kohta teenust osutavas organisatsioonis, võib kasutada teist audiitorit. Juhul, kui 1. või 2. tüüpi aruanne on välja antud, võib kasutaja audiitor kasutada nende protseduuride läbiviimiseks teenuse osutaja audiitorit, kuna teenuse osutaja audiitoril on olemas suhe teenust osutava organisatsiooniga. Teise audiitori tööd kasutav kasutaja audiitor võib leida kasulikke juhiseid ISAs 600 kuna seal käsitletakse arusaamist teisest audiitorist (sealhulgas selle audiitori sõltumatusest ja kutsealasest kompetentsusest), teise audiitori töösse kaasatust sellise töö olemuse, ajastuse ja ulatuse planeerimisel ning omandatud auditi tõendusmaterjali piisavuse ja asjakohasuse hindamist.

A20. Kasutaja-majandusüksus võib kasutada teenust osutavat organisatsiooni, mis omakorda kasutab allteenust osutavat organisatsiooni selleks, et osutada mõningaid kasutaja-majandusüksusele osutatavaid teenuseid, mis on osa kasutaja-majandusüksuse finantsaruandluse seisukohast relevantsest infosüsteemist. Allteenust osutav organisatsioon võib olla teenust osutavast organisatsioonist eraldiseisev majandusüksus või võib olla teenust osutava organisatsiooniga seotud. Kasutaja audiitoril võib olla vaja võtta arvesse kontroll(imehhanism)e allteenust osutavas organisatsioonis. Olukordades, kus kasutatakse ühte või enamat allteenust osutavat organisatsiooni, laiendatakse kasutaja-majandusüksuse ja teenust osutava organisatsiooni tegevuste vahelist vastasmõju nii, et see hõlmaks vastasmõju kasutaja-majandusüksuse, teenust osutava organisatsiooni ja allteenust osutavate organisatsioonide vahel. Selle vastasmõju määr, nagu ka teenust osutava organisatsiooni või allteenust osutavate organisatsioonide poolt töödeldavate tehingute olemus ja olulisus, on kõige tähtsamad faktorid, mida kasutaja audiitor peab arvesse võtma selle kindlaksmääramisel, kui märkimisväärsed on teenust osutava organisatsiooni ja allteenust osutava organisatsiooni kontroll(imehhanism)id kasutaja-majandusüksuse kontroll(imehhanism)ide suhtes.

1. või 2. tüüpi aruande kasutamine selleks, et toetada kasutaja audiitori arusaama teenust osutavast organisatsioonist (vt lõigud 13–14)

A21. Kasutaja audiitor võib teha teenuse osutaja audiitori kohta järelepärimisi teenuse osutaja audiitori kutsealaselt organisatsioonilt või teistelt praktiseerijatelt ja järele pärida, kas teenuse osutaja audiitori suhtes kohaldatakse regulatiivset järelevalvet. Teenuse osutaja audiitor võib praktiseerida jurisdiktsioonis, kus aruannete suhtes kontroll(imehhanism)ide kohta teenust osutavas organisatsioonis järgitakse teistsuguseid standardeid ja kasutaja audiitor võib omandada informatsiooni teenuse osutaja audiitori poolt kasutatud standardite kohta standardeid kehtestavalt organisatsioonilt.

A22. 1. või 2. tüüpi aruanne koos informatsiooniga kasutaja-majandusüksuse kohta võib aidata kasutaja audiitorit arusaama omandamisel:

(a) kontroll(imehhanism)ide aspektidest teenust osutavas organisatsioonis, mis võivad mõjutada kasutaja-majandusüksuse tehingute töötlemist, sealhulgas allteenust osutavate organisatsioonide kasutamist;

(b) märkimisväärsete tehingute voost teenust osutava organisatsiooni kaudu, et määrata kindlaks punktid tehingute voos, kus võivad esineda olulised väärkajastamised kasutaja-majandusüksuse finantsaruannetes;

(c) kontrolli eesmärgid teenust osutavas organisatsioonis, mis on relevantsed kasutaja-majandusüksuse finantsaruannete väidete seisukohast ja

(d) kas kontroll(imehhanism)id teenust osutavas organisatsioonis on sobivalt kavandatud ja rakendatud, et ära hoida või avastada töötlemisvigu, mille tulemuseks võivad olla olulised väärkajastamised kasutaja-majandusüksuse finantsaruannetes.

1. või 2. tüüpi aruanne võib aidata kasutaja audiitorit piisava arusaamise omandamisel olulise väärkajastamise riskide tuvastamiseks ja hindamiseks. 1. tüüpi aruanne ei anna siiski mingit tõendusmaterjali relevantsete kontroll(imehhanism)ide tulemusliku toimimise kohta.

A23. 1. või 2. tüüpi aruanne, mis on kuupäevaga või perioodi kohta väljaspool kasutaja-majandusüksuse aruandlusperioodi, võib aidata kasutaja audiitorit esialgse arusaamise omandamisel teenust osutavas organisatsioonis rakendatud kontroll(imehhanism)idest juhul, kui aruandele lisandub täiendav hetkeinformatsioon muudest allikatest. Juhul, kui teenust osutava organisatsiooni poolne kontroll(imehhanism)ide kirjeldus on kuupäeva seisuga või perioodi kohta, mis eelneb auditeeritava perioodi algusele, võib kasutaja audiitor 1. või 2. tüüpi aruandes toodud informatsiooni uuendamiseks läbi viia protseduurid, nagu näiteks:

  • arutada muutusi teenust osutavas organisatsioonis kasutaja-majandusüksuse personaliga, kes oleksid niisugusel positsioonil, et teada sellistest muutustest;
  • vaadata üle jooksev dokumentatsioon ja teenust osutava organisatsiooni poolt välja saadetud kirjavahetus või
  • arutada muutusi teenust osutava organisatsiooni personaliga.

Vastamine hinnatud olulise väärkajastamise riskidele (lõik 15)

A24. See, kas teenust osutava organisatsiooni kasutamine suurendab kasutaja-majandusüksuse olulise väärkajastamise riski, sõltub osutatavate teenuste olemusest ja kontroll(imehhanism)idest nende teenuste üle; mõningatel juhtudel võib teenust osutava organisatsiooni kasutamine vähendada kasutaja-majandusüksuse olulise väärkajastamise riski, eriti juhul, kui kasutaja-majandusüksus ise ei oma konkreetsete tegevuste ettevõtmiseks nagu näiteks tehingute algatamine, töötlemine ja kajastamine, vajalikke eriteadmisi või tema ressursid (nt IT-süsteem) ei ole adekvaatsed.

A25. Kui teenust osutav organisatsioon hoiab alal kasutaja-majandusüksuse arvestusandmete olulisi elemente, võib kasutaja-audiitori jaoks olla vajalik otsene juurdepääs nendele andmetele selleks, et omandada piisav asjakohane auditi tõendusmaterjal kontroll(imehhanism)ide toimimise kohta nende andmete üle või tehingute ja saldode toetamiseks, mis on nendes kajastatud või mõlemaks. Selline juurdepääs võib hõlmata kas andmete füüsilist inspekteerimist teenust osutava organisatsiooni äriruumides või elektrooniliselt peetavate andmete ülekontrollimist kasutaja-majandusüksuse või muust asukohast või mõlemat. Seal, kus otsene juurdepääs saavutatakse elektrooniliselt, võib kasutaja audiitor seega omandada tõendusmaterjali nende kontroll(imehhanism)ide adekvaatsuse kohta, mis toimivad teenust osutavas organisatsioonis nende kasutaja-majandusüksuse andmete täielikkuse ja usaldusväärsuse üle, mille eest teenust osutav organisatsioon vastutab.

A26. Auditi tõendusmaterjali olemuse ja ulatuse kindlaksmääramisel, mis tuleb omandada seoses teenust osutava organisatsiooni poolt kasutaja-majandusüksuse nimel säilitatavaid varasid esindavate saldode või sooritatud tehingutega, võib kasutaja audiitor kaaluda alljärgnevaid protseduure:

(a) kasutaja-majandusüksuse poolt peetavate registrite ja dokumentide inspekteerimine: selle tõendusmaterjaliallika usaldusväärsuse määrab kindlaks kasutaja-majandusüksuse poolt säilitatavate arvestusandmete ja alusdokumentatsiooni olemus ja ulatus. Mõningatel juhtudel ei pruugi kasutaja-majandusüksus sõltumatuid üksikasjalikke arvestusandmeid või dokumentatsiooni spetsiifiliste tehingute kohta, mis on tema nimel teostatud, omalt poolt alal hoida;

(b) teenust osutava organisatsiooni poolt peetavate registrite ja dokumentide inspekteerimine: kasutaja audiitori juurdepääsu teenust osutava organisatsiooni registritele võib kehtestada osana lepingulistest tingimustest teenust osutava organisatsiooni ja kasutaja-majandusüksuse vahel. Kasutaja audiitor võib oma nimel kasutada ka teist audiitorit juurdepääsu omandamisel teenust osutava organisatsiooni poolt alalhoitavatele kasutaja-majandusüksuse registritele;

(c) saldo- ja tehingukinnituste omandamine teenust osutavalt organisatsioonilt: kui kasutaja-majandusüksus peab saldode ja tehingute kohta sõltumatuid registreid, võib kasutaja-majandusüksuse arvestusandmeid tõestav teenust osutava organisatsiooni kinnitus moodustada usaldusväärse auditi tõendusmaterjali vastavate tehingute ja varade olemasolu kohta. Näiteks siis, kui kasutatakse mitut teenust osutavat organisatsiooni, nagu näiteks fondijuht ja haldur, ja need organisatsioonid peavad sõltumatuid registreid, võib kasutaja audiitor kinnitada saldod nende organisatsioonidega selleks, et võrrelda seda informatsiooni kasutaja-majandusüksuse sõltumatute registritega. Juhul, kui kasutaja-majandusüksus ei pea sõltumatuid registreid, on teenust osutavalt organisatsioonilt saadud kinnitustest omandatud informatsioon kõigest avaldus selle kohta, mis on kajastatud teenust osutava organisatsiooni poolt peetavates registrites. Seetõttu, eraldiseisvana, ei moodusta sellised kinnitused usaldusväärset auditi tõendusmaterjali. Nendes tingimustes võib kasutaja audiitor kaaluda, kas saab tuvastada sõltumatu tõendusmaterjali alternatiivse allika;

(d) analüütiliste protseduuride läbiviimine kasutaja-majandusüksuse poolt peetavate registrite või teenust osutavalt organisatsioonilt saadud aruannete suhtes: analüütiliste protseduuride tulemuslikkus varieerub tõenäoliselt väidete lõikes ja seda mõjutab kättesaadava informatsiooni ulatus ja üksikasjalikkus.

A27. Teine audiitor võib kasutaja audiitorite asemel läbi viia protseduure, mis on oma olemuselt substantiivsed. Selline töövõtt võib hõlmata kasutaja-majandusüksuse ja selle kasutaja-audiitori ning teenust osutava organisatsiooni ja selle teenuse osutaja audiitori vahel kokkulepitud protseduuride läbiviimist teise audiitori poolt. Teise audiitori poolt läbiviidud protseduuridest tulenevad tähelepanekud vaatab üle kasutaja audiitor, et määrata kindlaks, kas nad moodustavad piisava asjakohase auditi tõendusmaterjali. Lisaks võivad eksisteerida valitsusasutuste poolt või lepinguliste tingimustega kehtestatud nõuded, mille kohaselt teenuse osutaja audiitor viib läbi määratud protseduurid, mis on oma olemuselt substantiivsed. Nõutud protseduuride rakendamise tulemusi teenust osutava organisatsiooni poolt töödeldud saldode ja tehingute suhtes võivad kasutaja audiitorid kasutada osana tõendusmaterjalist, mis on vajalik nende auditiarvamuste toetamiseks. Sellistes tingimustes võib kasutaja audiitori ja teenuse osutaja audiitori jaoks olla kasulik enne protseduuride läbiviimist kokku leppida kasutaja audiitorile antava auditi dokumentatsiooni või auditi dokumentatsioonile juurdepääsus.

A28. Teatud tingimustes, eriti kui kasutaja-majandusüksus ostab teenust osutavast organisatsioonist sisse mõned või kõik finantsfunktsioonid, võib kasutaja audiitor seista silmitsi olukorraga, kus märkimisväärne osa auditi tõendusmaterjalist asub teenust osutavas organisatsioonis. Vajalik võib olla substantiivsete protseduuride läbiviimine teenust osutavas organisatsioonis kasutaja audiitori poolt või teise audiitori poolt tema nimel. Teenuse osutaja audiitor võib anda 2. tüüpi aruande ja peale selle viia kasutaja audiitori nimel läbi substantiivsed protseduurid. Teise audiitori kaasamine ei muuda kasutaja audiitori kohustust omandada piisav asjakohane auditi tõendusmaterjal, et anda põhjendatud alus kasutaja audiitori arvamuse toetamiseks. Seega hõlmab kasutaja audiitori poolt kaalutlus, kas piisav asjakohane auditi tõendusmaterjal on omandatud ja kas kasutaja audiitoril on vaja läbi viia edasised substantiivsed protseduurid, kasutaja audiitori kaasamist teise audiitori poolt läbi viidud substantiivsete protseduuride suunamisse, järelevalvesse ja läbiviimisse või selle tõendamisse.

Kontroll(imehhanism)ide testid (vt lõik 16)

A29. ISAs 300 nõutakse kasutaja audiitorilt kontroll(imehhanism)ide testide kavandamist ja läbiviimist piisava asjakohase auditi tõendusmaterjali omandamiseks relevantsete kontroll(imehhanism)ide toimimise tulemuslikkuse kohta teatud tingimustes. Teenust osutava organisatsiooni kontekstis kehtib see nõue siis, kui:

(a) kasutaja audiitori olulise väärkajastamise riskide hinnang sisaldab eeldust, et kontroll(imehhanism)id teenust osutavas organisatsioonis toimivad tulemuslikult (see on audiitor kavatseb substantiivsete protseduuride olemuse, ajastuse ja ulatuse kindlaksmääramisel tugineda kontroll(imehhanism)ide toimimise tulemuslikkusele teenust osutavas organisatsioonis) või

(b) substantiivsed protseduurid üksi või kombineeritult kontroll(imehhanism)ide toimimise tulemuslikkuse testidega kasutaja-majandusüksuses ei saa anda piisavat asjakohast auditi tõendusmaterjali väite tasandil.

A30. Juhul, kui 2. tüüpi aruanne ei ole kättesaadav, võib kasutaja audiitor kontakteeruda kasutaja-majandusüksuse kaudu teenust osutava organisatsiooniga, et paluda teenuse osutaja audiitoril koostada 2. tüüpi aruanne, mis sisaldab relevantsete kontroll(imehhanism)ide toimimise tulemuslikkuse teste, või kasutaja audiitor võib kasutada teist audiitorit protseduuride läbiviimiseks teenust osutavas organisatsioonis, millega testitakse nende kontroll(imehhanism)ide toimimise tulemuslikkust. Kasutaja audiitor võib ka külastada teenust osutavat organisatsiooni ja viia läbi kontroll(imehhanism)ide testid juhul, kui teenust osutav organisatsioon sellega nõus on. Kasutaja audiitori riskihinnangud põhinevad kombineeritud tõendusmaterjalil, mis on saadud teise audiitori tööst ja kasutaja audiitori enda protseduuridest.

2. tüüpi aruande kasutamine auditi tõendusmaterjalina selle kohta, et kontroll(imehhanism)id teenust osutavas organisatsioonis toimivad tulemuslikult (vt lõik 17)

A31. 2. tüüpi aruanne võib olla mõeldud rahuldama mitme erineva kasutaja audiitori vajadusi; seetõttu ei pruugi teenuse osutaja audiitori aruandes kirjeldatud kontroll(imehhanism)ide testid ja nende tulemused olla relevantsed väidete seisukohast, mis on märkimisväärsed kasutaja-majandusüksuse finantsaruannetes. Relevantseid kontroll(imehhanism)ide teste ja nende tulemusi hinnatakse määramaks kindlaks, et teenuse osutaja audiitori aruanne annab piisavat asjakohast auditi tõendusmaterjali kontroll(imehhanism)ide tulemuslikkuse kohta, et toetada kasutaja audiitori riskihinnangut. Seda tehes võib kasutaja audiitor arvesse võtta järgmisi faktoreid:

(a) kontroll(imehhanism)ide testidega hõlmatud ajaperiood ja aeg, mis on möödunud kontroll(imehhanism)ide testide läbiviimisest;

(b) teenuse osutaja audiitori töö ulatus ning hõlmatud teenused ja protsessid, testitud kontroll(imehhanism)id ja läbiviidud testid ja see viis, kuidas testitud kontroll(imehhanism)id on seotud kasutaja-majandusüksuse kontroll(imehhanism)idega ja

(c) nende kontroll(imehhanism)ide testide tulemused ja teenuse osutaja audiitori arvamus kontroll(imehhanism)ide toimimise tulemuslikkuse kohta.

A32. Teatud väidete kohta võib test anda seda vähem auditi tõendusmaterjali, mida lühem on spetsiifilise testi poolt hõlmatud periood ja mida pikem on testi läbiviimisest möödunud aeg. 2. tüüpi aruande poolt kaetud perioodi võrdlemisel kasutaja-majandusüksuse finantsaruandluse perioodiga võib kasutaja audiitor järeldada, et 2. tüüpi aruanne pakub vähem auditi tõendusmaterjali juhul, kui 2. tüüpi aruande poolt hõlmatud periood kattub vähesel määral perioodiga, mille osas kasutaja audiitor kavatseb aruandele tugineda. Sellisel juhul võib täiendavat auditi tõendusmaterjali anda eelnevat või järgnevat perioodi hõlmav 2. tüüpi aruanne. Muudel juhtudel võib kasutaja audiitor kindlaks määrata, et on vajalik viia teenust osutavas organisatsioonis läbi kontroll(imehhanism)ide testid või kasutada teist audiitorit nende läbiviimiseks selleks, et omandada piisav asjakohane auditi tõendusmaterjal nende kontroll(imehhanism)ide toimimise tulemuslikkuse kohta.

A33. Samuti võib kasutaja audiitori jaoks olla vajalik omandada täiendavat tõendusmaterjali märkimisväärsete muutuste kohta relevantsetes kontroll(imehhanism)ides teenust osutavas organisatsioonis väljaspool 2. tüüpi aruande poolt hõlmatud perioodi või määrata kindlaks täiendavad auditiprotseduurid, mis tuleb läbi viia. Relevantsete faktorite hulka selle kindlaksmääramisel, millist täiendavat tõendusmaterjali omandada kontroll(imehhanism)ide kohta teenust osutavas organisatsioonis, mis toimisid väljaspool teenuse osutaja audiitori aruande poolt hõlmatud perioodi, võivad kuuluda:

  • hinnatud olulise väärkajastamise riskide märkimisväärsus väite tasandil;
  • spetsiifilised kontroll(imehhanism)id, mida testiti vaheperioodi jooksul ja märkimisväärsed muutused nendes alates testimisest, sealhulgas muutused infosüsteemis, protsessides ja personali hulgas;
  • millisel määral omandati auditi tõendusmaterjali nende kontroll(imehhanism)ide toimimise tulemuslikkuse kohta;
  • järelejäänud perioodi pikkus;
  • ulatus, millises kasutaja audiitor kavatseb kontroll(imehhanism)idele tuginemise alusel vähendada edasisi substantiivseid protseduure ja
  • kontrollikeskkonna ja kontroll(imehhanism)ide monitoorimise tulemuslikkus kasutaja-majandusüksuses.

A34. Täiendavat auditi tõendusmaterjali võib omandada näiteks kontroll(imehhanism)ide testide laiendamisega järelejäänud perioodile või kasutaja-majandusüksuse kontroll(imehhanism)ide monitoorimise testimisega.

A35. Juhul, kui teenuse osutaja audiitori testimisperiood on täielikult väljaspool kasutaja-majandusüksuse finantsaruandluse perioodi, ei ole kasutaja audiitor võimeline tuginema sellistele testidele selleks, et kasutaja audiitor saaks järeldada, et kasutaja-majandusüksuse kontroll(imehhanism)id toimivad tulemuslikult, sest need ei anna jooksva auditiperioodi kohta tõendusmaterjali kontroll(imehhanism)ide toimimise tulemuslikkuse kohta, välja arvatud juhul, kui viiakse läbi muid protseduure.

A36. Teatud tingimustes võib teenust osutava organisatsiooni poolt osutatav teenus olla kavandatud eeldusega, et kasutaja-majandusüksus rakendab teatud kontroll(imehhanism)e. Näiteks võib teenus olla kavandatud eeldades, et kasutaja-majandusüksusel on paigas kontroll(imehhanism)id tehingute kinnitamise kohta enne nende saatmist töötlemiseks teenust osutavasse organisatsiooni. Sellises olukorras võib teenust osutava organisatsiooni poolne kontroll(imehhanism)ide kirjeldus sisaldada nende täiendavate kasutaja-majandusüksuse kontroll(imehhanism)ide kirjeldust. Kasutaja audiitor kaalub, kas need täiendavad kasutaja-majandusüksuse kontroll(imehhanism)id on relevantsed kasutaja-majandusüksusele osutatava teenuse seisukohast.

A37. Juhul, kui kasutaja audiitor usub, et teenuse osutaja audiitori aruanne ei pruugi anda piisavat asjakohast auditi tõendusmaterjali, näiteks juhul, kui teenuse osutaja audiitori aruanne ei sisalda teenuse osutaja audiitori poolsete kontroll(imehhanism)ide testide ega nende tulemuste kirjeldust, võib kasutaja audiitor täiendada arusaamist teenuse osutaja audiitori protseduuridest ja järeldustest, kontakteerudes kasutaja-majandusüksuse kaudu teenust osutava organisatsiooniga, et paluda arutelu teenuse osutaja audiitoriga teenuse osutaja audiitori töö ulatuse ja tulemuste üle. Samuti juhul, kui kasutaja audiitor usub, et see on vajalik, võib kasutaja audiitor kontakteeruda kasutaja-majandusüksuse kaudu teenust osutava organisatsiooniga, et paluda teenuse osutaja audiitorilt protseduuride läbiviimist teenust osutavas organisatsioonis. Alternatiivselt võib sellised protseduurid läbi viia kasutaja audiitor või teine audiitor kasutaja audiitori taotlusel.

A38. Teenuse osutaja audiitori 2. tüüpi aruanne toob välja testide tulemused, sealhulgas erandid ja muu informatsioon, mis võiks kasutaja audiitori järeldusi mõjutada. Teenuse osutaja audiitori äramärgitud erandid või modifitseeritud arvamus teenuse osutaja audiitori 2. tüüpi aruandes ei tähenda automaatselt seda, et teenuse osutaja audiitori 2. tüüpi aruanne ei ole kasutaja-majandusüksuse finantsaruannete auditi jaoks kasulik olulise väärkajastamise riskide hindamisel. Pigem võetakse erandid ja modifitseeritud arvamuse põhjustanud asjaolu teenuse osutaja audiitori 2. tüüpi aruandes arvesse kasutaja audiitori poolt teenuse osutaja audiitori poolt läbiviidud kontroll(imehhanism)ide testide hindamisel. Erandite ja modifitseeritud arvamust põhjustavate asjaolude arvessevõtmisel võib kasutaja audiitor arutada selliseid asjaolusid teenuse osutaja audiitoriga. Selline infovahetus sõltub kontakteerumisest teenust osutava organisatsiooniga kasutaja-majandusüksuse poolt ja teenust osutava organisatsiooni heakskiidu omandamisest infovahetuse toimumise suhtes.

Infovahetus auditi käigus tuvastatud puuduste kohta sisekontrollis

A39. Kasutaja audiitorilt nõutakse kirjalikult infovahetust auditi käigus tuvastatud märkimisväärsete puuduste kohta õigeaegselt nii juhtkonnale kui ka isikutele, kelle ülesandeks on valitsemine. Kasutaja audiitorilt nõutakse ka õigeaegset infovahetust asjakohasel vastutustasemel juhtkonnale muude auditi käigus tuvastatud puuduste kohta sisekontrollis, mis kasutaja audiitori kutsealase otsustuse kohaselt on piisavalt tähtsad, et pälvida juhtkonna tähelepanu. Asjaolude hulka, mida kasutaja audiitor võib auditi käigus tuvastada ja mille kohta ta võib edastada info nii juhtkonnale kui ka isikutele, kelle ülesandeks on kasutaja-majandusüksuse valitsemine, kuuluvad:

  • kontroll(imehhanism)ide mis tahes monitoorimine, sealhulgas nende, mis tehti kindlaks 1. või 2. tüüpi aruande omandamise tulemusel ja mida kasutaja-majandusüksus võiks rakendada;
  • juhud, kus täiendavaid kasutaja-majandusüksuse kontroll(imehhanism)e märgitakse 1. või 2. tüüpi aruandes ja neid ei rakendata kasutaja-majandusüksuse poolt ja
  • kontroll(imehhanism)id, mida teenust osutavas organisatsioonis võidakse vajada, mida ilmselt ei ole rakendatud või mida 2. tüüpi aruanne spetsiifiliselt ei hõlma.

1. ja 2. tüüpi aruanded, milles ei käsitleta allteenust osutava organisatsiooni teenuseid (vt lõik 18)

A40. Juhul, kui teenust osutav organisatsioon kasutab allteenust osutavat organisatsiooni, võib teenuse osutaja audiitori aruanne hõlmata või välja jätta allteenust osutava organisatsiooni relevantsed kontrollieesmärgid ja seotud kontroll(imehhanism)id teenust osutava organisatsiooni poolses kirjelduses oma süsteemist ja teenuse osutaja audiitori töövõtu ulatuses. Neid kahte aruandlusmeetodit tuntakse vastavalt hõlmava meetodina ja väljajätva meetodina. Juhul, kui 1. või 2. tüüpi aruandest jäetakse välja kontroll(imehhanism)id allteenust osutavas organisatsioonis ja allteenust osutava organisatsiooni poolt osutatavad teenused on kasutaja-majandusüksuse finantsaruannete auditi seisukohast relevantsed, nõutakse kasutaja audiitorilt käesoleva ISA nõuete rakendamist allteenust osutava organisatsiooni suhtes. Kasutaja audiitori poolt seoses allteenust osutava organisatsiooni poolt osutatavate teenustega läbiviidava töö olemus ja ulatus sõltuvad nende teenuste olemusest ja märkimisväärsusest kasutaja-majandusüksuse jaoks ja nende teenuste relevantsusest audit seisukohast. Lõigu 9 nõude rakendamine aitab kasutaja audiitorit allteenust osutava organisatsiooni mõju ning läbiviidava töö olemuse ja ulatuse kindlaksmääramisel.

Pettus, mittevastavus seadustele ja regulatsioonidele ning parandamata väärkajastamised seoses tegevustega teenust osutavas organisatsioonis (vt lõik 19)

A41. Kasutaja-majandusüksustega sõlmitud lepingu tingimuste kohaselt võidakse teenust osutavalt organisatsioonilt nõuda mõjutatud kasutaja-majandusüksustele informatsiooni avalikustamist mis tahes pettuse, seadustele ja regulatsioonidele mittevastavuse või parandamata väärkajastamiste kohta, mis tuleneb teenust osutava organisatsiooni juhtkonnast või töötajatest. Nagu nõutakse lõigus 19, teeb kasutaja audiitor kasutaja-majandusüksuse juhtkonnalt järelepärimisi selle kohta, kas teenust osutav organisatsioon on raporteerinud mis tahes sellistest asjaoludest, ja hindab, kas teenust osutava organisatsiooni poolt raporteeritud mis tahes asjaolud mõjutavad kasutaja audiitori edasiste auditiprotseduuride olemust, ajastust ja ulatust. Teatud tingimustes võib kasutaja audiitor nõuda selle hindamise läbiviimiseks täiendavat informatsiooni ja võib paluda kasutaja-majandusüksusel kontakteeruda vajaliku informatsiooni omandamiseks teenust osutava organisatsiooniga.

Kasutaja audiitori aruandlus (vt lõik 20)

A42. Kui kasutaja audiitor ei ole võimeline omandama piisavat asjakohast auditi tõendusmaterjali teenust osutava organisatsiooni poolt osutatavate teenuste kohta, mis on relevantsed kasutaja-majandusüksuse finantsaruannete auditi seisukohast, eksisteerib auditi ulatuse piiratus. See võib nii olla siis, kui:

  • kasutaja audiitor ei ole võimeline omandama piisavat arusaamist teenust osutava organisatsiooni poolt osutatavatest teenustest ja tal puudub alus olulise väärkajastamise riskide tuvastamiseks ja hindamiseks;
  • kasutaja audiitori riskihinnang hõlmab eeldust, et kontroll(imehhanism)id teenust osutavas organisatsioonis toimivad tulemuslikult ja kasutaja audiitor ei ole võimeline omandama piisavat asjakohast auditi tõendusmaterjali nende kontroll(imehhanism)ide toimimise tulemuslikkuse kohta või
  • piisav asjakohane auditi tõendusmaterjal on kättesaadav ainult teenust osutavas organisatsioonis peetavatest registritest ja kasutaja audiitor ei ole võimeline omandama otsest juurdepääsu nendele registritele.

See, kas kasutaja audiitor avaldab märkus(t)ega arvamuse või loobub arvamuse avaldamisest, sõltub kasutaja audiitori järeldusest selles kohta, kas võimalikud mõjud finantsaruannetele on olulised või läbivad.

Viitamine teenuse osutaja audiitori tööle (vt lõigud 21–22)

A43. Mõnedel juhtudel võidakse seaduse või regulatsiooniga nõuda kasutaja audiitori aruandes viitamist teenuse osutaja audiitori tööle, näiteks avalikus sektoris läbipaistvuse otstarbel. Sellistes tingimustes võib kasutaja audiitor enne sellise viite tegemist vajada teenuse osutaja audiitori nõusolekut.

A44. Fakt, et kasutaja-majandusüksus kasutab teenust osutavat organisatsiooni, ei muuda kasutaja audiitori ISAde järgset kohustust omandada piisav asjakohane auditi tõendusmaterjal, et anda põhjendatud alus kasutaja audiitori arvamuse toetamiseks. Seetõttu ei viita kasutaja audiitor teenuse osutaja audiitori aruandele kui kasutaja audiitori arvamuse osalisele alusele kasutaja-majandusüksuse finantsaruannete kohta. Kui kasutaja audiitor siiski avaldab modifitseeritud arvamuse teenuse osutaja audiitori aruandes sisalduva modifitseeritud arvamuse tõttu, ei takistata kasutaja audiitoril viitamist teenuse osutaja audiitori aruandele juhul, kui selline viitamine aitab seletada kasutaja audiitori modifitseeritud arvamuse põhjust. Sellistes tingimustes võib kasutaja audiitor enne sellise viite tegemist vajada teenuse osutaja audiitori nõusolekut.

0 Manused 0 Manused
3602 Vaatamised