MEĐUNARODNI STANDARD REVIZIJE 402 Revizijska razmatranja u vezi sa entitetom koji koristi uslužnu organizaciju ("Sl. glasnik RS", br. 100/2018)

(Standard važi za revizije finansijskih izveštaja za periode koji počinju 15. decembra 2009. godine, ili kasnije)

SADRŽAJ

Paragraf

Uvod

Delokrug ovog ISA 1-5

Datum stupanja na snagu 6

Ciljevi 7

Definicije 8

Zahtevi

Razumevanje usluga koje pruža uslužna organizacija,
uključujući internu kontrolu 9-14

Odgovor na procenjene rizike materijalno
pogrešnih iskaza 15-17

Izveštaji tipa 1 i tipa 2 koji ne uključuju usluge
podizvođača 18

Kriminalna radnja, neusklađenost sa zakonima
i regulativom i nekorigovani pogrešni iskazi
u vezi sa aktivnostima u uslužnoj organizaciji 19

Izveštavanje revizora korisnika 20-22

Primena i ostala objašnjenja

Razumevanje usluga koje pruža uslužna
organizacija, uključujući internu kontrolu A1-A23

Odgovor na procenjene rizike materijalno
pogrešnih iskaza A24-A29

Izveštaji tipa 1 i tipa 2 koji ne uključuju
usluge podizvođača A40

Kriminalna radnja, neusklađenost sa zakonima
i regulativom i nekorigovani pogrešni iskazi
u vezi sa aktivnostima u uslužnoj organizaciji A41

Izveštavanje revizora korisnika A42-A44

Međunarodni standard revizije (ISA) 402, Revizijska razmatranja u vezi s entitetom koji koristi uslužnu organizaciju treba tumačiti u kontekstu ISA 200 Opšti ciljevi nezavisnog revizora i sprovođenje revizije u skladu sa Međunarodnim standardima revizije.

Uvod

Delokrug ovog ISA

1. Ovaj međunarodni standard revizije (ISA) se bavi odgovornošću revizora za pribavljanje dovoljno adekvatnih revizijskih dokaza kada entitet-korisnik koristi usluge jedne ili više uslužnih organizacija. Posebno detaljno se bavi načinom na koji revizor primenjuje ISA 315 (revidiran) i ISA 330 u cilju sticanja dovoljnog razumevanja o entitetu - korisniku, uključujući internu kontrolu koja je relevantna za reviziju, da bi bio u stanju da identifikuje i proceni rizike materijalno pogrešnih iskaza, kao i u cilju osmišljavanja i sprovođenja daljih revizijskih postu­paka kao odgovor na te rizike.

2. Veliki broj entiteta poverava određene aspekte svog poslovanja organizacijama koje pružaju razne usluge, od obavljanja konkretnog zadatka po uputstvu entiteta do obavljanja poslova čitavih poslovnih jedinica ili funkcija jednog entiteta, kao što je funkcija obračuna zarada. Mnoge od usluga koje pružaju te organizacije su sastavni deo poslovanja entiteta; međutim, nisu sve te usluge relevantne za reviziju.

3. Usluge koje pruža uslužna organizacija su relevantne za reviziju finansijskih izveštaja entiteta - korisnika kada su te usluge i kontrola nad njima deo informacionog sistema entiteta, uključujući povezane poslovne postupke koji su relevantni za finansijsko izveštavanje. Iako se većina kontrola uslužne organizacije najčešće odnosi na finansijsko izveštavanje, mogu postojati druge kontrole koje mogu biti relevantne za reviziju, kao što su kontrole zaštite imovine. Usluge uslužne organizacije su deo informacionog sistema entiteta - korisnika, uključujući povezane poslovne postupke, koji su relevantni za finansijsko izveštavanje ukoliko te usluge utiču na neku od sledećih stavki:

(a) Klase transakcija u poslovanju entiteta - korisnika koje su značajne za finansijske izveštaje entiteta - korisnika;

(b) Postupke, u informacionom (IT) i manuelnom sistemu, na osnovu kojih se transakcije entiteta - korisnika otpočinju, evidentiraju, obrađuju, koriguju ukoliko je to neophodno, prenose u glavnu knjigu i o njima se izveštava u finansijskim izveštajima;

(c) Povezane računovodstvene evidencije, elektronske ili manuelne, koje prate informacije i posebne račune u finansijskim izveštajima entiteta - korisnika, a koje se koriste za iniciranje, evidentiranje, obradu i izveštavanje o transakcijama entiteta - korisnika; ovo uključuje i korekciju netačnih informacija i način na koji se informacije prenose u glavnu knjigu;

(d) Način na koji informacioni sistem entiteta korisnika, pored klasa transakcija, beleži druge događaje i uslove značajne za finansijske izveštaje;

(e) Proces finansijskog izveštavanja koji se koristi za pripremu finansijskog izveštaja entiteta - korisnika, uključujući značajne računovodstvene procene i obelodanjivanja.

(f) Kontrole koje se tiču evidentiranja, uključujući i nesvakidašnja evidentiranja neperiodičnih, neuobičajenih transakcija ili usklađivanja.

4. Priroda i obim posla koji treba da obavi revizor korisnika u vezi sa uslugama koje je pružila uslužna organizacija zavise od prirode i značaja tih usluga za entiteta- korisnika i relevantnosti tih usluga za reviziju.

5. Ovaj standard se ne odnosi na usluge finansijskih institucija koje su ograničene na obradu, a odnose se na račun entiteta u toj finansijskoj instituciji; na transakcije koje nisu posebno odobrene od strane entiteta, kao što je obrada transakcija na tekućem računu od strane banke ili obrada transakcija hartija od vrednosti od strane brokera. Takođe, ovaj standard se ne odnosi na reviziju transakcija koje proističu iz vlasničkih finansijskih interesa u drugim entitetima, kao što su partnerstva, korporacije i zajednička ulaganja, kada se uzmu u obzir vlasnički interesi i kada se izveštaj podnosi licima koja imaju interes.

Datum stupanja na snagu

6. Ovaj standard važi za revizije finansijskih izveštaja za periode koji počinju 15. decembra 2009. godine ili kasnije.*

Ciljevi

7. Ciljevi revizora korisnika, kada entitet-korisnik koristi usluge uslužne organizacije su:

(a) Sticanje razumevanja prirode i značaja usluga koje pruža uslužna organizacija i njihovom efektu na internu kontrolu entiteta - korisnika relevantnu za reviziju, koje je dovoljno da se identifikuju i procene rizici materijalno pogrešnog iskaza; i

(b) osmišljavanje i sprovođenje revizijskih postupaka kao odgovor na te rizike.

Definicije

8. Za potrebe Međunarodnih standarda revizije navedeni pojmovi imaju sledeće značenje:

(a) Dopunske kontrole u entitetima korisnicima - Kontrole za koje organizacija koja pruža usluge pretpostavlja da će biti uvedene u primenu od strane entiteta korisnika i koje se identifikuju u opisu sistema ukoliko je to neophodno da bi se ostvarili ciljevi primene kontrola.

(b) Izveštaj o opisu i osmišljenosti kontrola u uslužnoj organizaciji (koji se u ovom standardu naziva "izveštaj tipa 1") - Izveštaj koji sadrži:

(i) Opis, koji priprema rukovodstvo uslužne organizacije, sistema uslužne organizacije, kontrolnih ciljeva i značajnih kontrola koje su osmišljene i sprovedene određenog datuma; i

(ii) Izveštaj revizora usluge sa ciljem pribavljanja uveravanja u razumnoj meri koje uključuje mišljenje revizora uslužne organizacije o opisu sistema uslužne organizacije, ciljevima kontrole i značajnim kontrolama koje su osmišljene i sprovedene da bi se postigli određeni ciljevi kontrole.

(c) Izveštaj o opisu, osmišljenosti i operativnoj efektivnosti kontrola u uslužnoj organizaciji (što se u ovom ISA naziva izveštaj tip 2) - Izveštaj koji uključuje:

(i) Izveštaj, koji je pripremilo rukovodstvo uslužne organizacije, o ciljevima kontrole i značajnim kontrolama, njihovoj osmišljenosti i primeni na konkretan datum ili tokom određenog vremenskog perioda i, u nekim slučajevima, njihovoj operativnoj efektivnosti tokom određenog vremenskog perioda; i

(ii) Izveštaj revizora uslužne organizacije s ciljem pridobijanja uveravanja u razumnoj meri koje uključuje:

a. Mišljenje revizora uslužne organizacije o opisu sistema uslužne organizacije, ciljevima kontrole i značajnim kontrolama, prilagođenost kontrola radi postizanja konkretnih ciljeva kontrole, operativnoj efektivnosti kontrola; i

b. Opis testova kontrola koje sprovodi revizor uslužne organizacije i rezultati tih testova.

(d) Revizor uslužne organizacije - profesionalni računovođa u javnoj praksi koji, na zahtev uslužne organizacije, pravi izveštaj kojim se pruža uveravanje o kontrolama uslužne organizacije.

(e) Uslužna organizacija - Nezavisna organizacija (ili deo nezavisne organizacije) koja pruža usluge entitetima korisnicima koji su deo informacionih sistema tih entiteta, relevantnih za finansijsko izveštavanje.

(f) Sistem uslužne organizacije - Politike i postupci koje uslužna organizacija osmišljava, primenjuje i održava u cilju pružanja usluga entitetu korisniku koje su pokrivene izveštajem revizora uslužne organizacije.

(g) Uslužna organizacija podizvođač - Uslužna organizacija koju koristi druga uslužna organizacija da bi obavila usluge za entitet korisnika koji je deo informacionog sistema tog entiteta - korisnika koji je relevantan za finansijsko izveštavanje.

(h) Revizor korisnika - Revizor koji vrši reviziju i izveštava o finansijskim izveštajima entiteta - korisnika.

(i) Entitet - korisnik - Entitet koji koristi uslužnu organizaciju i čiji finansijski izveštaji su predmet revizije.

Zahtevi

Razumevanje usluga koje pruža uslužna organizacija, uključujući internu kontrolu

9. U skladu sa ISA 315 (revidiran), prilikom sticanja razumevanja entiteta - korisnika, revizor korisnika stiče razumevanje načina na koji entitet koristi usluge uslužne organizacije u poslovanju entiteta - korisnika, uključujući: (videti paragrafe A1-A2)

(a) Prirodu usluga koje pruža uslužna organizacija i značaj tih usluga za entitet - korisnik, uključujući njihov efekat na internu kontrolu entiteta; (videti paragrafe A3-A5)

(b) Prirodu i materijalnost transakcija koje se obrađuju ili računa ili postupaka finansijskog izveštavanja pod uticajem uslužne organizacije; (videti paragraf A6)

(c) Stepen interakcije između aktivnosti uslužne organizacije i entiteta - korisnika; i (videti paragraf A7)

(d) Prirodu veze između entiteta - korisnika i uslužne organizacije, uključujući i relevantne ugovorne uslove koji se tiču aktivnosti uslužne organizacije. (videti paragrafe A8-A11)

10. U skladu sa ISA 315 (revidiran), prilikom sticanja razumevanja interne kontrole relevantne za reviziju, revizor korisnika treba da proceni osmišljenost i primenu relevantnih kontrola u entitetu - korisniku koji se odnose na usluge koje pruža uslužna organizacija, uključujući i one kontrole koje se primenjuju na transakcije koje obrađuje uslužna organizacija. (videti paragrafe A12-A14)

11. Revizor korisnika treba da utvrdi da li je stečeno razumevanje prirode i značaja usluga koje pruža uslužna organizacija i njihovog efekta na internu kontrolu entiteta - korisnika koja je relevantna za reviziju, dovoljno da bi to razumevanje predstavljalo osnovu za utvrđivanje i procenu rizika materijalno pogrešnih iskaza.

12. Ukoliko revizor nije u stanju da stekne dovoljno razumevanje, revizor korisnika treba da stekne razumevanje primenom jednog ili više navedenih postupaka:

(a) Pribavljanje izveštaja tipa 1 i 2, ukoliko su na raspolaganju;

(b) Kontaktiranje uslužne organizacije, preko entiteta - korisnika, u cilju pribavljanja specifičnih informacija;

(c) Poseta uslužnoj organizaciji i sprovođenje postupaka koji će pružiti neophodne informacije o značajnim kontrolama u uslužnoj organizaciji; ili

(d) Korišćenje drugog revizora za sprovođenje postupaka koji će pružiti neophodne informacije o značajnim kontrolama u uslužnoj organizaciji. (videti paragrafe A15-A20)

Korišćenje izveštaja tipa 1 i 2 u cilju podrške revizorovom razumevanju uslužne organizacije

13. Prilikom utvrđivanja dovoljnosti i adekvatnosti revizijskih dokaza dobijenih iz izveštaja tipa 1 ili tipa 2, revizor korisnika treba da bude zadovoljan:

(a) Profesionalnom kompetentnošću revizora uslužne organizacije i njegovom nezavisnošću od uslužne organizacije; i

(b) Adekvatnošću standarda po kojima su objavljeni izveštaji tip 1 i tip 2. (videti paragraf A21)

14. Ukoliko revizor planira da koristi izveštaj tipa 1 ili tipa 2, kao revizijski dokaz kojim podržava revizora korisnika u razumevanju osmišljenosti i primene kontrola u uslužnoj organizaciji, revizor:

(a) Procenjuje da li je opis i osmišljenost kontrola u uslužnoj organizaciji na određeni datuma ili za određeni period adekvatni za potrebe revizora korisnika;

(b) Procenjuje dovoljnost i adekvatnost dokaza koji su navedeni u izveštaju, za razumevanje interne kontrole entiteta - korisnika relevantne za reviziju; i

(c) Utvrđuje da li su dodatne kontrole entiteta - korisnika koje uoči uslužna organizacija značajne za entitet - korisnika i, ukoliko je to slučaj, stiče razumevanje o tome da li je entitet - korisnik osmislio i primenio takve kontrole. (videti paragrafe A22-A23)

Odgovor na procenjene rizike materijalno pogrešnih iskaza

15. Prilikom odgovaranja na procenjene rizike u skladu sa ISA 330, revizor korisnika:

(a) Utvrđuje da li se u evidencijama entiteta - korisnika nalazi dovoljno adekvatnih revizijskih dokaza u vezi sa tvrdnjama koje se tiču finansijskih izveštaja, i ukoliko to nije slučaj,

(b) Sprovodi dalje revizijske postupke u cilju pribavljanja dovoljno adekvatnih revizijskih dokaza ili angažuje drugog revizora da obavi ove postupke u uslužnoj organizaciji u ime revizora korisnika. (videti paragrafe A24-A28)

Testovi kontrola

16. Kada procena rizika, koju vrši revizor korisnika, uključuje očekivanje da kontrole u uslužnoj organizaciji funkcionišu efektivno, revizor korisnika treba da pribavi revizijske dokaze o operativnoj efektivnosti tih kontrola primenom jednog ili više navedenih postupaka:

(a) Pribavljanje izveštaja tipa 2, ukoliko je na raspolaganju;

(b) Obavljanje odgovarajućih testova kontrola u uslužnoj organizaciji; ili

(c) Angažovanje drugog revizora da obavi testove kontrola u uslužnoj organizaciji u ime revizora korisnika. (videti paragrafe A29-A30)

Korišćenje izveštaja tipa 2 kao revizijskog dokaza da kontrole u uslužnoj organizaciji funkcionišu efektivno

17. Ukoliko, u skladu sa paragrafom 16(1), revizor korisnika planira da koristi izveštaj tipa 2 kao revizijski dokaz da kontrole u uslužnoj organizaciji funkcionišu efektivno, revizor korisnika treba da utvrdi da li izveštaj revizora uslužne organizacije nudi dovoljno adekvatnih revizijskih dokaza o efektivnosti kontrola kako bi se podržala procena rizika koju je obavio revizor korisnika, i to:

(a) Procenom da li su opis, osmišljenost i operativna efektivnost kontrola u uslužnoj organizaciji za određeni datum ili period koji je adekvatan za potrebe revizora korisnika;

(b) Utvrđivanjem da li su dodatne kontrole entiteta - korisnika koje je identifikovala uslužna organizacija značajne za entitet - korisnika i, ukoliko je to slučaj, sticanjem razumevanje o tome da li je entitet - korisnik osmislio i primenio takve kontrole, i ukoliko jeste, testiraće njihovu operativnu efektivnost;

(c) Procenom adekvatnosti vremenskog perioda koji pokrivaju testovi kontrola i vremena koje je proteklo od kada su obavljeni testovi kontrola; i

(d) Procenom da su li testovi kontrola koje je obavio revizor uslužne organizacije i njihovi rezultati, kao što je opisano u izveštaju revizora uslužne organizacije, značajni za tvrdnje u finansijskim izveštajima entiteta - korisnika i pružaju dovoljno adekvatnih revizijskih dokaza da bi se podržala procena rizika koju je napravio revizor korisnika. (videti paragrafe A31-A39)

Izveštaji tipa 1 i tipa 2 koji ne uključuju usluge podizvođača

18. Ukoliko revizor korisnika planira da koristi izveštaj tipa 1 i tipa 2 koji ne uključuju usluge koje pruža podizvođač, a te usluge su značajne za reviziju finansijskih izveštaja entiteta - korisnika, revizor korisnika treba da primeni zahteve ovog ISA s osvrtom na usluge koje pružaju podizvođači. (videti paragraf A40)

Kriminalna radnja, neusklađenost sa zakonima i regulativom i nekorigovani pogrešni iskazi u vezi sa aktivnostima u uslužnoj organizaciji

19. Revizor korisnika ispituje rukovodstvo entiteta - korisnika da li je uslužna organizacija podnosila izveštaj entitetu - korisniku i da li je rukovodstvo entiteta - korisnika svesno bilo koje kriminalne radnje, neusklađenosti sa zakonima i regulativom ili nekorigovanih pogrešnih iskaza koji utiču na finansijske izveštaje entiteta - korisnika. Revizor korisnika treba da proceni na koji način takva pitanja utiču na prirodu, vreme i obim daljih revizijskih postupaka revizora korisnika, uključujući i uticaj na zaključke revizora korisnika, kao i na njegov izveštaj. (videti paragraf A41)

Izveštavanje revizora korisnika

20. Revizor modifikuje mišljenje u izveštaju revizora korisnika u skladu sa ISA 705 (revidiran), ukoliko revizor korisnika nije u mogućnosti da pribavi dovoljno adekvatnih revizijskih dokaza o uslugama koje pruža uslužna organizacija, a koje su relevantne za reviziju finansijskih izveštaja entiteta - korisnika. (videti paragraf A42)

21. Revizor korisnika se neće pozivati na rad revizora uslužne organizacije u izveštaju revizora korisnika u kom se nalazi nemodifikovano mišljenje, osim ukoliko to ne zahteva zakon ili regulativa. Ukoliko se ovo pozivanje zahteva zakonom ili regulativom, u izveštaj revizora korisnika se naznačuje da to pozivanje ne umanjuje odgovornost revizora korisnika za revizijsko mišljenje. (videti paragraf A43)

22. Ukoliko je pozivanje na rad revizora uslužne organizacije relevantno za razumevanje modifikacija mišljenja revizora korisnika, u izveštaju revizora korisnika se naznačuje da takvo pozivanje ne umanjuje odgovornost revizora korisnika za to mišljenje. (videti paragraf A44)

* * *

Primena i ostala objašnjenja

Razumevanje usluga koje pruža uslužna organizacija, uključujući internu kontrolu

Izvori informacija (videti paragraf 9)

A1. Informacije o prirodi usluga koje pruža uslužna organizacija mogu imati veliki broj izvora, kao što su:

• Priručnici za korisnike.

• Pregledi sistema.

• Tehnički priručnici.

• Ugovor ili sporazum o pružanju usluga između entiteta - korisnika i uslužne organizacije.

• Izveštaji uslužne organizacije, internih revizora ili regulatornih tela o kontrolama u uslužnoj organizaciji.

• Izveštaji revizora uslužne organizacije, uključujući pisma rukovodstva, ukoliko su na raspolaganju.

A2. Znanje stečeno kroz iskustvo revizora korisnika sa uslužnom organizacijom, na primer iskustvo sa drugim revizijskim angažovanjima može takođe da bude od pomoći prilikom sticanja razumevanja prirode usluga koje pruža uslužna organizacija. Ovo može da bude od velike pomoći ukoliko su usluge i kontrole u uslužnoj organizaciji nad tim kontrolama visoko standardizovane.

Priroda usluga koje pruža uslužna organizacija (videti paragraf 9(a))

A3. Entitet - korisnik može koristiti uslužnu organizaciju kao što su one koje obrađuju transakcije uz odgovarajuće računovodstveno praćenje ili evidentiraju podatke koji se odnose na transakcije i postupke. Uslužne organizacije koje pružaju takve usluge obuhvataju, na primer, odeljenja za povereničke odnose u bankama koja investiraju i servisiraju sredstva iz fondova za planove beneficija zaposlenih i ostalih; banke koje servisiraju hipoteke za svoje klijente; i firme koje pružaju usluge koje se tiču softverskih aplikacija u vidu programskih paketa i tehnološkog okruženja koje omogućava klijentima da obrađuju finansijske i operativne transakcije.

A4. Primeri usluga uslužne organizacije koje su relevantne za reviziju obuhvataju:

• Održavanje računovodstvenih podataka entiteta - korisnika.

• Upravljanje sredstvima.

• Iniciranje, evidentiranje i obradu transakcija u svojstvu agenta entiteta - korisnika.

Razmatranja koja su specifična za manje entitete

A5. Manji entiteti mogu koristiti eksterne knjigovodstvene usluge, u rasponu od obrade određenih transakcija (na primer, obračuni i plaćanje poreza na obračun zarada) i održavanja računovodstvenih evidencija do pripreme finansijskih izveštaja. Korišćenje takve uslužne organizacije za pripremu finansijskih izveštaja ne oslobađa rukovodstvo manjeg entiteta niti, gde je to primenljivo, lica ovlašćena za upravljanje odgovornosti u vezi sa finansijskim izveštajima.

Priroda i materijalnost transakcija koje obrađuje uslužna organizacija (videti paragraf 9(b))

A6. Uslužna organizacija može ustanoviti politike i procedure koje utiču na internu kontrolu entiteta - korisnika. Ove politike i procedure su barem delimično fizički i operativno odvojene od entiteta - korisnika. Značaj kontrola uslužne organizacije u odnosu na kontrole entiteta - korisnika zavisi od prirode usluga koje pruža uslužna organizacija, uključujući prirodu i materijalnost transakcija koje obrađuje za entitet - korisnik. U određenim situacijama, transakcije koje obrađuje i računi na koje utiče uslužna organizacija možda neće izgledati kao da su materijalni značajni za finansijske izveštaje entiteta, ali priroda obavljenih transakcija može biti značajna i revizor korisnika može odlučiti da je razumevanje tih kontrola neophodno u datim okolnostima.

Stepen interakcije između aktivnosti uslužne organizacije i entiteta - korisnika (videti paragraf 9(c))

A7. Značaj kontrola uslužne organizacije u odnosu na kontrole entiteta - korisnika takođe zavisi od stepena interakcije između aktivnosti uslužne organizacije i entiteta - korisnika. Stepen interakcije se odnosi na obim u kom je entitet - korisnik u mogućnosti i u kom odluči da primenjuje efektivne kontrole nad postupcima koje sprovodi uslužna organizacija. Na primer, visok stepen interakcije postoji između aktivnosti entiteta - korisnika i aktivnosti uslužne organizacije kada entitet - korisnik odobrava transakcije i postupke uslužne organizacije i računovodstveno obuhvata te transakcije. U tim okolnostima, entitetu - korisniku može biti praktičnije da primeni efektivne kontrole za te transakcije. S druge strane, kada uslužna organizacija inicira ili inicijalno evidentira, obrađuje ili računovodstveno obuhvata transakcije entiteta korisnika, postoji manji stepen interakcije između dve organizacije. U tim okolnostima, entitet - korisnik možda ne može da primeni efektivne kontrole nad ovim transakcijama u entitetu - korisniku, ili može odlučiti da ih ne primeni, i može se osloniti na kontrole uslužne organizacije.

Priroda odnosa entiteta -korisnika i uslužne organizacije (videti paragraf 9(d))

A8. Ugovor ili sporazum o nivou usluge između entiteta - korisnika i uslužne organizacije regulišu sledeća pitanja:

• Informacije koje se pružaju entitetu - korisniku i odgovornost za iniciranje transakcija koje se odnose na aktivnosti uslužne organizacije;

• Primena zahteva regulatornih tela u vezi sa formom evidencije koja mora da se vodi, kao i pristupa toj evidenciji;

• Odšteta, ukoliko je ima, koja treba da se obezbedi entitetu - korisniku u slučaju neuspeha;

• Da li će uslužna organizacija dostaviti izveštaj o svojim kontrolama i, ukoliko je to slučaj, da li će to biti izveštaj tipa 1 ili tipa 2;

• Da li revizor korisnika ima prava da pristupi računovodstvenim podacima entiteta-korisnika koje održava uslužna organizacija, kao i drugim informacijama koje su neophodne za sprovođenje revizije; i

• Da li ugovor dozvoljava direktnu komunikaciju između revizora korisnika i revizora uslužne organizacije.

A9. Postoji direktan odnos između uslužne organizacije i entiteta - korisnika i između uslužne organizacije i revizora uslužne organizacije. Ovaj odnos ne mora nužno da stvori i direktan odnos između revizora korisnika i revizora uslužne organizacije. Kada ne postoji direktan odnos između revizora korisnika i revizora uslužne organizacije, komunikacija između revizora korisnika i revizora uslužne organizacije se obično sprovodi preko entiteta - korisnika i uslužne organizacije. Direktan odnos se može ustanoviti i između revizora korisnika i revizora uslužne organizacije, uzimajući u obzir relevantna etička pitanja i pitanja poverljivosti. Revizor korisnik, na primer, može koristiti revizora uslužne organizacije za obavljanje postupaka u ime revizora korisnika, kao što su:

(a) Testovi kontrola u uslužnoj organizaciji; ili

(b) Postupci suštinskog ispitivanja transakcija i salda u finansijskim izveštajima entiteta - korisnika koje održava uslužna organizacija.

Razmatranja specifična za entitete u javnom sektoru

A10. Revizori javnog sektora u načelu imaju šira prava pristupa u skladu sa zakonskom regulativom. Međutim, postoje situacije kada ta prava pristupa nisu primenljiva, na primer, kada je uslužna organizacija u drugom pravnom sistemu. U takvim slučajevima, revizor javnog sektora može biti u situaciji da mora steći razumevanje zakonske regulative koja se primenjuje u tom pravnom sistemu da bi utvrdio da li može da stekne odgovarajuća prava na pristup. Revizor javnog sektora može takođe dobiti ili tražiti od entiteta - korisnika da uvrsti pravo na pristup u sve vrste ugovornih odnosa između entiteta - korisnika i uslužne organizacije.

A11. Revizori javnog sektora mogu takođe angažovati drugog revizora da obavi testove kontrola i suštinske postupke u vezi sa usklađenošću sa zakonom, regulativom i drugim odredbama.

Razumevanje kontrola u vezi sa uslugama koje pruža uslužna organizacija (videti paragraf 10)

A12. Entitet - korisnik može uspostaviti kontrole usluga uslužne organizacije koje može testirati revizor korisnika i koje mogu da omoguće revizoru korisnika donošenje zaključka da kontrole entiteta - korisnika funkcionišu efektivno za neke ili sve relevantne tvrdnje, bez obzira na to koje su kontrole aktivne u uslužnoj organizaciji. Ukoliko entitet - korisnik, na primer, koristi uslužnu organizaciju za transakcije koje se tiču obračuna zarada, entitet - korisnik može uspostaviti kontrole nad predajom i prijemom informacija koje se tiču obračuna zarada i koje mogu da spreče ili otkriju materijalno pogrešne iskaze. Ove kontrole mogu da obuhvataju:

• Poređenje podataka dostavljenih uslužnoj organizaciji sa izveštajima o informacijama koje je dostavila uslužna organizacija nakon što su podaci obrađeni.

• Ponovno obračunavanje uzorka obračunatih zarada u cilju provere računske preciznosti i pregled ukupnog iznosa obračunatih zarada u smislu razumnosti.

A13. U ovoj situaciji, revizor korisnika može obaviti testiranje kontrola entiteta - korisnika u vezi sa obradom podataka o obračunu zarada, što bi predstavljalo osnovu za revizora korisnika da zaključi da kontrole entiteta - korisnika funkcionišu efektivno u odnosu na tvrdnje u vezi sa transakcijama koje se odnose na obračun zarada.

A14. Kao što je navedeno u ISA 315 (revidiran), u slučaju nekih rizika, revizor korisnika može prosuditi da nije moguće ili praktično pribaviti dovoljno adekvatnih revizijskih dokaza koristeći samo suštinske postupke. Takvi rizici mogu da se odnose na netačne ili nepotpune evidencije rutinskih i značajnih vrsta transakcija i salda računa, čije karakteristike često dozvoljavaju visoko automatizovanu obradu, bez ili sa vrlo malo manuelnih intervencija. Karakteristike takve automatizovane obrade mogu biti izraženo prisutne kada entitet - korisnik koristi uslužnu organizaciju. U takvim slučajevima, kontrole entiteta - korisnika nad takvim rizicima su značajne za reviziju i revizor korisnika je u obavezi da stekne razumevanje takvih kontrola i da ih proceni u skladu sa paragrafima 9 i 10 ovog ISA.

Dalji postupci kada se ne može steći dovoljno razumevanja od entiteta - korisnika (videti paragraf 12)

A15. Odluka revizora korisnika o tome koji postupak iz paragrafa 12 da odabere, pojedinačno ili u kombinaciji sa drugima, kako bi dobio informacije koje su neophodne za stvaranje osnove za identifikovanje i procenu rizika materijalno pogrešnih iskaza u vezi sa korišćenjem uslužne organizacije od strane entiteta - korisnika, može da bude pod uticajem pitanja kao što su:

• Veličina entiteta - korisnika i uslužne organizacije;

• Kompleksnost transakcija u entitetu - korisniku i kompleksnost usluga koje vrši uslužna organizacija;

• Lokacija uslužne organizacije (na primer, revizor korisnika može odlučiti da koristi drugog revizora da obavlja postupke u uslužnoj organizaciji u ime revizora korisnika ukoliko se uslužna organizacija nalazi na udaljenoj lokaciji);

• Da li se očekuje da postupci efektivno pruže revizoru korisnika dovoljno adekvatnih revizijskih dokaza; i

• Priroda odnosa između entiteta - korisnika i uslužne organizacije.

A16. Uslužna organizacija može angažovati uslužnog revizora da izveštava o opisu i osmišljenosti kontrola (izveštaj tipa 1) ili o opisu osmišljenosti kontrola i njihovoj operativnoj efektivnosti (izveštaj tipa 2). Izveštaji tipa 1 i tipa 2 se mogu objaviti u skladu s Međunarodnim standardom angažovanja pregleda (ISAE) 3402 ili u skladu sa standardima koje je ustanovila ovlašćena i priznata organizacija za postavljanje standarda (koje mogu da ih nazivaju različitim imenima, kao što su izveštaj tipa A i tipa B).

A17. Raspoloživost izveštaja tipa 1 i tipa 2 će generalno zavisiti od toga da li ugovor između uslužne organizacije i entiteta - korisnika uključuje odredbu koja nalaže izradu takvog izveštaja od strane uslužne organizacije. Uslužna organizacija može takođe da odabere, iz praktičnih razloga, da entitetima korisnicima stavi na raspolaganje izveštaj tipa 1 ili tipa 2. Međutim, u nekim slučajevima, izveštaji tipa 1 i tipa 2 nisu na raspolaganju entitetima - korisnicima.

A18. U nekim okolnostima, entitet - korisnik može jednoj ili više spoljnih organizacija da poveri poslove jedne ili više poslovnih jedinica ili funkcija, kao što je funkcija celokupnog poreskog planiranja ili usklađivanja, ili funkcija finansija, računovodstva ili kontrolna. Budući da izveštaj o kontrolama u uslužnoj organizaciji možda neće biti na raspolaganju u ovakvim okolnostima, poseta uslužnoj organizaciji može biti najefektivniji postupak za revizora korisnika da stekne razumevanje kontrola u uslužnoj organizaciji, pošto verovatno postoji direktna interakcija između rukovodstva entiteta -korisnika i rukovodstva uslužne organizacije.

A19. Drugi revizor može biti angažovan da obavi postupke koji će generisati neophodne informacije o značajnim kontrolama u uslužnoj organizaciji. Ukoliko je izveštaj tipa 1 ili tipa 2 objavljen, revizor korisnika može koristiti revizora uslužne organizacije da obavi ove postupke, budući da revizor uslužne organizacije već ima postojeći odnos sa uslužnom organizacijom. Revizor entiteta - korisnika koji koristi rad drugog revizora može smatrati uputstva u ISA 600 korisnim jer se odnose na na razumevanje drugog revizora (uključujući nezavisnost i profesionalnu kompetentnost revizora), učešće u radu drugog revizora prilikom planiranja prirode, obima i vremena takvog posla, i prilikom procene dovoljnosti i adekvatnosti pribavljenih revizijskih dokaza.

A20. Entitet - korisnik može koristiti uslužnu organizaciju koja pritom koristi uslužnu organizaciju podizvođača da obezbedi neke od usluga koje se obezbeđuju entitetu - korisniku, a koje su deo informacionog sistema entiteta - korisnika koji je relevantan za finansijsko izveštavanje. Podizvođač može biti entitet odvojen od uslužne organizacije ili može biti povezan sa uslužnom organizacijom. Revizor korisnika će možda morati da razmotri kontrole u podizvođaču. U situacijama kada se koristi jedan ili više podizvođača, interakcija između aktivnosti entiteta - korisnika i aktivnosti uslužne organizacije se proširuje kako bi se uključila interakcija između entiteta - korisnika, uslužne organizacije i podizvođača. Stepen ove interakcije, kao i priroda i materijalnost obrađenih transakcija od strane uslužne organizacije i podizvođača su najznačajniji faktori koje revizor korisnika treba da uzme u obzir prilikom određivanja značaja koji kontrole uslužne organizacije i kontrole podizvođača imaju za kontrole entiteta - korisnika.

Korišćenje izveštaja tipa 1 i tipa 2 u cilju podrške revizorovog razumevanja uslužne organizacije (videti paragrafe 13-14)

A21. Revizor korisnika može vršiti ispitivanja o revizoru uslužne organizacije u profesionalnom udruženju revizora ili drugih praktičara i o tome da li je revizor trenutno pod nadzorom nekog regulatornog tela. Revizor uslužne organizacije može obavljati praksu u pravnom sistemu u kom vladaju drugačiji standardi u pogledu izveštaja o kontrolama u uslužnoj organizaciji, i revizor korisnika može od organizacije koja postavlja standarde dobiti informacije o standardima koje koristi revizor uslužne organizacije.

A22. Izveštaj tipa 1 ili tipa 2, zajedno s informacijama o entitetu - korisniku, mogu pomoći revizoru u razumevanju:

(a) Aspekata kontrola u uslužnoj organizaciji koji mogu da utiču na obradu transakcija entiteta - korisnika, uključujući i korišćenje podizvođača;

(b) Toka značajnih transakcija koje se vrše preko uslužne organizacije kako bi se utvrdile tačke u tokovima transakcija gde su mogle da se dogode materijalne greške u finansijskim izveštajima entiteta - korisnika;

(c) Kontrolnih ciljeva u uslužnoj organizaciji koji su relevantni za tvrdnje koje se tiču finansijskih izveštaja entiteta - korisnika; i

(d) Da li su kontrole u uslužnoj organizaciji adekvatno osmišljene i primenjene kako bi se sprečile ili otkrile greške u postupcima, koje mogu da rezultiraju materijalno pogrešnim iskazima u finansijskim izveštajima entiteta - korisnika.

Izveštaj tipa 1 ili tipa 2 može da pomogne revizoru korisnika da u dovoljnoj meri razume kako se identifikuju i procenjuju rizici materijalno pogrešnih iskaza. Izveštaj tipa 1, međutim, ne nudi nikakve dokaze o operativnoj efektivnosti relevantnih kontrola.

A23. Izveštaj tipa 1 ili tipa 2 za određeni datum ili za period koji je van izveštajnog perioda korisnika, može pomoći revizoru korisnika da stekne prethodno znanje o kontrolama koje se primenjuju u uslužnoj organizaciji ukoliko izveštaj kao dodatak ima dodatne tekuće informacije iz drugih izvora. Ukoliko je opis kontrola uslužne organizacije za datum ili period prethodi periodu koji je obuhvaćen revizijom, revizor korisnika može obaviti sledeće postupke kako bi ažurirao podatke u izveštajima tipa 1 i tipa 2:

• Razgovor o promenama u uslužnoj organizaciji sa kadrovima entiteta - korisnika koju su u poziciji da znaju za takve promene;

• Pregled važeće dokumentacije i korespondencije koju je objavila uslužna organizacija; ili

• Razgovor o promenama sa kadrovima uslužne organizacije.

Odgovor na procenjene rizike materijalno pogrešnih iskaza

(videti paragraf 15)

A24. Da li korišćenje uslužne organizacije povećava rizik entiteta - korisnika od materijalno pogrešnih iskaza zavisi od prirode usluga koje se pružaju i kontrola nad tim uslugama; u nekim slučajevima, korišćenje uslužne organizacije može smanjiti rizik entiteta - korisnika od materijalno pogrešnih iskaza, posebno ukoliko sam entitet nema ekspertsko znanje neophodno da bi se obavile određene aktivnosti, kao što je iniciranje, obrada ili evidentiranje transakcija, ili nema adekvatne resurse (na primer, IT sistem).

A25. Ukoliko uslužna organizacija čuva materijalne elemente računovodstvenih evidencija entiteta - korisnika, direktan pristup tim evidencijama može biti neophodan kako bi revizor korisnika pribavio dovoljno adekvatnih revizijskih dokaza u vezi sa funkcionisanjem kontrola tih podataka ili kako bi potkrepio transakcije i salda koji su u njima zabeleženi, ili oba. Takav pristup može značiti ili fizičku proveru podataka u poslovnom prostoru uslužne organizacije ili ispitivanje podataka koji se čuvaju u elektronskom formatu, ili oba. U situacijama gde se direktan pristup postiže elektronskim putem, revizor korisnika može na taj način pribaviti dokaze o adekvatnosti kontrola koje sprovodi uslužna organizacija u pogledu potpunosti i integriteta podataka entiteta - korisnika za koje je uslužna organizacija odgovorna.

A26. Prilikom utvrđivanja prirode i obima revizijskih dokaza koje treba pribaviti u odnosu na salda koja predstavljaju sredstva koja se drže ili transakcije koje je uslužna organizacija obavila u ime entiteta - korisnika, revizora korisnika može da razmatra sledeće postupke:

(a) Pregled podataka i dokumenata koje poseduje entitet - korisnik: pouzdanost ovog izvora dokaza se utvrđuje u skladu sa prirodom i obimom računovodstvenih podataka i propratne dokumentacije koju je zadržalo entitet - korisnik. U nekim slučajevima, entitet - korisnik ne održava nezavisne detaljne podatke ili dokumentaciju o konkretnim transakcijama koje su obavljene u njihovo ime.

(b) Pregled podataka i dokumenata koje poseduje uslužna organizacija: revizor korisnika može imati pristup podacima o uslužnoj organizaciji u skladu sa ugovornim obavezama između entiteta - korisnika i uslužne organizacije. Revizor korisnika može takođe angažovati drugog revizora da radi umesto njega, i da dobije pristup podacima entiteta - korisnika koje održava uslužna organizacija.

(c) Pribavljanje potvrda o saldima i transakcijama od uslužne organizacije: kada entitet - korisnik vodi nezavisnu evidenciju o saldima i transakcijama, potvrda od uslužne organizacije kojom se potvrđuje evidencija entiteta može predstavljati pouzdan revizijski dokaz u vezi sa postojanjem transakcija i sredstava o kojima je reč. Na primer, ukoliko se koriste usluge organizacija koje nude veliki broj usluga, kao što su upravljanje ulaganjima i povezane aktivnosti, a te uslužne organizacije vode nezavisne evidencije, revizor korisnika može uporediti njihove informacije sa nezavisnom evidencijom entiteta - korisnika.

Ukoliko entitet - korisnik ne vodi posebnu evidenciju, informacije koje su dobijene u potvrdama od uslužne organizacije su samo izjava onoga što postoji u evidencijama koje vodi uslužna organizacija. Iz tog razloga takve potvrde, same za sebe, ne predstavljaju pouzdan revizijski dokaz. U takvim okolnostima, revizor korisnika može razmotriti da li može biti pronađen alternativni izvor nezavisnih dokaza.

(d) Obavljanje analitičkih postupaka u vezi sa evidencijama kojima raspolaže entitet - korisnik ili o izveštajima koji su primljeni od uslužne organizacije: efektivnost analitičkih postupaka će verovatno varirati u zavisnosti od tvrdnje, kao i obima i detaljnosti raspoloživih informacija.

A27. Drugi revizor može obavljati postupke koji su po svojoj prirodi od suštinske važnosti za revizora korisnika. Takvo angažovanje može da obuhvata i sprovođenje postupaka od strane drugog revizora, koje su dogovorili entitet - korisnik i revizor korisnika, kao i uslužna organizacija i revizor uslužne organizacije. Nalazi koji su posledica postupaka koje je obavio drugi revizor se analiziraju od strane revizora korisnika kako bi se utvrdilo da li predstavljaju odgovarajuće revizijske dokaze. Takođe, mogu postojati određeni zahtevi postavljeni od strane vladinih tela ili kroz ugovorne odnose, gde revizor uslužne organizacije obavlja unapred definisane postupke koji su po svojoj prirodi suštinski. Rezultati primene obaveznih postupaka na salda i transakcije koje obavlja uslužna organizacija se mogu koristiti od strane revizora korisnika kao deo dokaza koji su neophodni da bi se podržalo mišljenje revizora. U takvim okolnostima, možda bi bilo korisno za revizora korisnika i revizora uslužne organizacije da se slože, pre obavljanja postupaka, oko revizijske dokumentacije ili pristupa revizijskoj dokumentaciji koja će biti na raspolaganju revizoru korisnika.

A28. U određenim situacijama, posebno ukoliko entitet - korisnik angažuje uslužnu organizaciju da obavlja neke ili sve finansijske funkcije, revizor korisnika se može naći u situaciji gde se značajan deo revizijskih dokaza nalazi u uslužnoj organizaciji. Postupci suštinskog ispitivanja se možda moraju sprovesti u uslužnoj organizaciji od strane revizora korisnika ili drugih revizora u njegovo ime. Revizor uslužne organizacije može obezbediti izveštaj tipa 2, i takođe, može obaviti postupke suštinskog ispitivanja u ime revizora korisnika. Uključivanje drugog revizora ne menja odgovornosti revizora korisnika da pribavi dovoljno adekvatnih revizijskih dokaza kako bi stvorio razumnu osnovu za mišljenje revizora korisnika. U skladu sa tim, razmatranje revizora korisnika o tome da li je pribavljeno dovoljno adekvatnih revizijskih dokaza i da li revizor korisnika treba da obavi dodatne postupke suštinskog ispitivanja, uključuje angažovanje revizora korisnika u usmeravanju, nadzoru i sprovođenju suštinskih postupaka koje je obavio drugi revizor.

Testovi kontrola (videti paragraf 16)

A29. ISA 330 zahteva od revizora korisnika da osmisli i sprovede testiranje kontrola kako bi pribavio dovoljno adekvatnih revizijskih dokaza o operativnoj efektivnosti kontrola koje su značajne u datim okolnostima. U kontekstu uslužne organizacije, ovaj zahtev se primenjuje kada:

(a) Procena rizika materijalno pogrešnog iskaza koju vrši revizor korisnika uključuje pretpostavku da kontrole u uslužnoj organizaciji funkcionišu efektivno (to jest, revizor korisnika namerava da se osloni na operativnu efektivnost kontrola u uslužnoj organizaciji prilikom utvrđivanja prirode, vremena i obima postupaka suštinskog ispitivanja), ili

(b) Postupci suštinskog ispitivanja samostalno ili u kombinaciji s testovima operativne efektivnosti kontrola u entitetu - korisniku, ne mogu da pruže dovoljno adekvatnih revizijskih dokaza na nivou tvrdnje.

A30. Ako izveštaj tipa 2 nije na raspolaganju, revizor korisnika može kontaktirati uslužnu organizaciju posredstvom entiteta - korisnika, i zahtevati angažovanje revizora uslužne organizacije u izradi izveštaja tipa 2 koji obuhvata testove operativne efektivnosti značajnih kontrola ili revizor korisnika može angažovati drugog revizora koji će obaviti postupke kojima se testira operativna efektivnost kontrola u uslužnoj organizaciji. Revizor korisnika može takođe posetiti uslužnu organizaciju i izvršiti testiranje relevantnih kontrola, pod uslovom da se uslužna organizacija složi. Procena rizika koju vrši revizor korisnika se zasniva na kombinovanim dokazima koji su obezbeđeni radom drugog revizora ili postupcima koje vrši revizor korisnika.

Korišćenje izveštaja tipa 2 kao revizijskog dokaza da kontrole u uslužnoj organizaciji funkcionišu efektivno (videti paragraf 17)

A31. Izveštaj tipa 2 može biti namenjen potrebama više različitih revizora korisnika; stoga testovi kontrola i rezultati opisani u izveštaju revizora uslužne organizacije ne moraju biti relevantni za tvrdnje koje su značajne u finansijskim izveštajima entiteta - korisnika. Relevantni testovi kontrola i rezultati se procenjuju kako bi se utvrdilo da izveštaj revizora uslužne organizacije pruža dovoljno adekvatnih revizijskih dokaza o efektivnosti kontrola da bi se podržala procena rizika koju je uradio revizor korisnika. Tokom tog postupka, revizor korisnika može razmotriti sledeće faktore:

(a) Vremenski period koji obuhvataju testovi kontrola i vreme koje je proteklo otkad su obavljeni testovi kontrola;

(b) Delokrug rada revizora uslužne organizacije i usluge i postupci koju su time obuhvaćeni, testirane kontrole i testovi koji su obavljeni, i način na koji se testirane kontrole odnose prema kontrolama entiteta - korisnika; i

(c) Rezultati tih testova kontrola i mišljenje revizora uslužne organizacije o operativnoj efektivnosti tih kontrola.

A32. U slučaju određenih tvrdnji, što je kraći period koji je obuhvaćen konkretnim testom i što je duži vremenski period koji je protekao od sprovođenja testa, to je manje revizijskih dokaza koje test može da pruži. Poređenjem perioda koji je obuhvaćen izveštajem tipa 2 sa periodom finansijskog izveštavanja entiteta - korisnika, revizor korisnika može zaključiti da izveštaj tipa 2 nudi manje revizijskih dokaza što je manje preklapanje perioda obuhvaćenog izveštajem tipa 2 i perioda na koji revizor korisnika planira da se osloni u izveštaju. U ovakvoj situaciji, revizor korisnika može utvrditi da je neophodno da obavi, ili angažuje drugog revizora da obavi, testove kontrola u uslužnoj organizaciji kako bi pribavio dovoljno adekvatnih revizijskih dokaza o operativnoj efektivnosti tih kontrola.

A33. Može takođe biti neophodno da revizor korisnika pribavi dodatne dokaze o značajnim promenama relevantnih kontrola u uslužnoj organizaciji u periodu koji nije obuhvaćen izveštajem tipa 2 ili da odredi koji dodatni revizijski postupci treba da se sprovedu. Relevantni faktori za određivanje koji dodatni revizijski dokazi treba da se pribave o kontrolama u uslužnoj organizaciji, koje su funkcionisale u periodu koji nije pokriven izveštajem revizora uslužne organizacije uključuju:

• Značaj procenjenih rizika materijalno progrešnog iskaza na nivou tvrdnje;

• Specifične kontrole koje su testirane u prelaznom periodu, i značajne promene u njima od testiranja, uključujući izmene u informativnom sistemu, postupcima i zaposlenima;

• Stepen u kom su pribavljeni revizijski dokazi o operativnoj efektivnosti tih kontrola;

• Dužina preostalog perioda;

• Do koje mere revizor korisnika planira da smanji obim daljih postupaka suštinskog ispitivanja koji se zasnivaju na oslanjanju na kontrole; i

• Efektivnost kontrolnog okruženja i nadzor kontrola u entitetu - korisniku.

A34. Dodatni revizijski dokazi mogu biti pribavljeni, na primer, proširenjem testova kontrola u preostalom periodu ili testiranjem načina na koji entitet - korisnik nadzire kontrole.

A35. Ukoliko se period koji revizor uslužne organizacije testira uopšte ne poklapa sa periodom finansijskog izveštavanja entiteta - korisnika, revizor korisnika neće moći da se osloni na takve testove kako bi zaključio da kontrole entiteta - korisnika funkcionišu efektivno, jer one ne daju dokaze o efektivnosti kontrola u tekućem revizijskom periodu, osim ukoliko nisu obavljeni i drugi postupci.

A36. U određenim situacijama, usluga koju pruža uslužna organizacija može biti osmišljena pod pretpostavkom da će određene kontrole sprovesti entitet - korisnik. Na primer, usluga može biti osmišljena s pretpostavkom da će entitet -korisnik imati aktivne kontrole za autorizaciju transakcija pre nego što one budu poslate na obradu uslužnoj organizaciji. U takvoj situaciji, opis kontrola uslužne organizacije može obuhvatati opis tih dodatnih kontrola entiteta - korisnika. Revizor korisnika razmatra da li su te dodatne kontrole entiteta - korisnika značajne za uslugu koje se pruža korisniku.

A37. Ukoliko revizor korisnika smatra da u izveštaju revizora uslužne organizacije nema dovoljno adekvatnih revizijskih dokaza, na primer, ukoliko izveštaj revizora uslužne organizacije ne sadrži opis testova kontrola koje je obavio revizor uslužne organizacije, kao i pregled rezultata tih testova, revizor korisnika može da dopuni razumevanje postupaka revizora uslužne organizacije i zaključaka, tako što će kontaktirati uslužnu organizaciju preko entiteta - korisnika, i zahtevati razgovor sa uslužnom organizacijom o delokrugu i rezultatima rada revizora uslužne organizacije. Takođe, ukoliko revizor korisnika smatra da je neophodno, on može kontaktirati uslužnu organizaciju, preko entiteta - korisnika, i zahtevati da revizor uslužne organizacije sprovede postupke u uslužnoj organizaciji. S druge strane, revizor korisnika, ili drugi revizor na zahtev revizora korisnika, može obaviti takve postupke.

A38. Izveštaj tipa 2 revizora uslužne organizacije identifikuje rezultate testova, uključujući izuzetke i druge informacije koje mogu da utiču na zaključke revizora korisnika. Izuzeci koje je primetio revizor uslužne organizacije ili modifikovano mišljenje u izveštaju tipa 2 revizora uslužne organizacije ne znače automatski da će ovaj izveštaj biti koristan za reviziju finansijskih izveštaja korisnika u proceni rizika materijalno pogrešnih iskaza. Štaviše, izuzeci i pitanja koja su dovela do modifikovanog mišljenja u izveštaju tipa 2 revizora uslužne organizacije, razmatraju se u okviru procene koju vrši revizor korisnika a tiče se testiranja kontrola koje je obavio revizor uslužne organizacije. Prilikom razmatranja izuzetaka i pitanja koja su dovela do modifikovanog mišljenja, revizor korisnika može o tim pitanjima da razgovara sa revizorom uslužne organizacije. Ta komunikacija zavisi od entiteta - korisnika koji kontaktira uslužnu organizaciju, kao i od odobrenja za komunikaciju koja se dobija od uslužne organizacije.

Saopštavanje nedostataka u internoj kontroli koji su otkriveni tokom revizije

A39. Od revizora korisnika se zahteva da u pisanom obliku, blagovremeno saopšti značajne nedostatke koji su otkriveni u toku revizije, kako rukovodstvu tako i licima ovlašćenim za upravljanje. Od revizora korisnika se takođe zahteva da blagovremeno obavesti rukovodstvo na odgovarajućem nivou odgovornosti o drugim nedostacima u internoj kontroli, koji su otkriveni tokom revizije, a koji su na osnovu profesionalne procene revizora korisnika, dovoljno važni da zasluže pažnju rukovodstva. Pitanja na koja revizor korisnika može da naiđe tokom revizije i saopšti ih rukovodstvu i licima ovlašćenim za upravljanje obuhvataju:

• Bilo koju vrstu nadzora kontrola koje može da primeni entitet - korisnik, uključujući i one koje su identifikovane kao rezultat dobijanja izveštaja tipa 1 i tipa 2;

• Primere gde su dodatne kontrole entiteta - korisnika naznačene u izveštajima tipa 1 i tipa 2, i nisu primenjene u entitetu - korisniku; i

• Kontrole koje mogu biti neophodne u uslužnoj organizaciji, za koje se čini da nisu primenjene ili nisu konkretno obuhvaćene izveštajem tipa 2.

Izveštaji tipa 1 i tipa 2 koji ne uključuju usluge podizvođača

(videti paragraf 18)

A40. Ukoliko uslužna organizacija koristi usluge podizvođača, izveštaj revizora uslužne organizacije može da uključuje ili da ne uključuje relevantne ciljeve kontrole podizvođača i značajne kontrole u opisu sistema uslužne organizacije i u delokrugu angažovanja revizora uslužne organizacije. Ova dva metoda izveštavanja su poznata pod nazivom metod uključivanja, odnosno metod isečka. Ukoliko izveštaj tipa 1 i tipa 2 ne uključuje kontrole u podizvođaču, a usluge koje pruža podizvođač su značajne za reviziju finansijskih izveštaja entiteta - korisnika, revizor korisnika je u obavezi da primenjuje zahteve iz ovog ISA u vezi sa podizvođačem. Priroda i obim rada koji treba da obavi revizor korisnika u vezi sa uslugama koje je pružio podizvođač, zavise od prirode i značaja tih usluga za entitet - korisnik i relevantnost tih usluga za reviziju. Primena zahteva iz paragrafa 9 pomaže revizoru korisnika prilikom utvrđivanja efekta koji ima organizacija podizvođač i prirode i obima rada koji treba da se izvrši.

Kriminalna radnja, neusklađenost sa zakonima i regulativom i nekorigovani pogrešni iskazi u vezi sa aktivnostima u uslužnoj organizaciji

(videti paragraf 19)

A41. Uslužna organizacija može biti u obavezi da, po ugovoru sa entitetima - korisnicima, obelodani entitetima - korisnicima na koje to utiče, kriminalnu radnju, neusklađenost sa zakonima i regulativom i nekorigovane pogrešne iskaze koji se pripisuju rukovodstvu ili zaposlenima u uslužnoj organizaciji. U skladu s paragrafom 19, revizor korisnika vrši ispitivanje rukovodstva korisnika o tome da li je uslužna organizacija izveštavala o takvim pitanjima i procenjuje da li bilo koje pitanje o kom izveštava uslužna organizacija utiču na prirodu, vreme i obim daljih revizijskih postupaka revizora korisnika. U određenim okolnostima, revizor korisnika može tražiti dodatne informacije kako bi izvršio ovu procenu, i može zahtevati od entiteta - korisnika da kontaktira uslužnu organizaciju kako bi pribavio neophodne informacije.

Izveštavanje revizora korisnika

(videti paragraf 20)

A42. Kada revizor korisnika nije u mogućnosti da pribavi dovoljno adekvatnih revizijskih dokaza u vezi sa uslugama koje pruža uslužna organizacija, a koje su relevantne za reviziju finansijskih izveštaja entiteta - korisnika, postoji ograničenje delokruga revizije. Ovo se može desiti kada:

• Revizor korisnika nije u mogućnosti da stekne dovoljno razumevanje o uslugama koje pruža uslužna organizacija i nema osnovu za identifikovanje i procenu rizika materijalno pogrešnih iskaza;

• Procena rizika revizora korisnika uključuje pretpostavku da kontrole u uslužnoj organizaciji funkcionišu efektivno i revizor korisnika nije u mogućnosti da pribavi dovoljno adekvatnih revizijskih dokaza o operativnoj efektivnosti ovih kontrola; ili

• Dovoljno adekvatnih revizijskih dokaza ima samo u podacima koji se čuvaju u uslužnoj organizaciji, a revizor korisnika nije u mogućnosti da dobije direktan pristup ovim podacima.

Da li revizor izražava kvalifikovano mišljenje ili se uzdržava od izražavanja mišljenja zavisi od zaključka revizora korisnika o tome da li su potencijalni efekti na finansijske izveštaje materijalno značajni ili prožimajući.

Osvrt na rad revizora uslužne organizacije (videti paragrafe 21-22)

A43. U nekim slučajevima, zakon ili regulativa mogu zahtevati navođenje rada revizora uslužne organizacije u izveštaju revizora korisnika, na primer, za potrebe transparentnosti u javnom sektoru. U takvim okolnostima, revizoru korisnika može biti neophodan pristanak revizora uslužne organizacije pre takvog pozivanja.

A44. Činjenica da entitet - korisnik koristi usluge uslužne organizacije ne menja odgovornost revizora korisnika, u skladu sa Međunarodnim standardima revizije, da pribavi dovoljno adekvatnih revizijskih dokaza kako bi stvorio osnovu da podrži mišljenje revizora korisnika. Stoga, revizor korisnika se ne poziva na izveštaj revizora uslužne organizacije, u delu koji se tiče mišljenja revizora korisnika o finansijskim izveštajima entiteta - korisnika. Međutim, kada revizor korisnika iznosi mišljenje s rezervom zbog mišljenja s rezervom izraženom u izveštaju revizora uslužne organizacije, revizor korisnika ima mogućnost da navede izveštaj revizora uslužne organizacije, ukoliko to navođenje pomaže u objašnjavanju razloga za mišljenje s rezervom revizora korisnika. U takvim okolnostima, revizor korisnika ća možda prvo morati da dobije saglasnost revizora uslužne orga­nizacije za to.

_______________

ISA 315 (revidiran), Identifikovanje i procena rizika materijalno pogrešnih iskaza putem razumevanja entiteta i njegovog okruženja.

ISA 330, Revizorski odgovor na procenjene rizike.

ISA 315 (revidiran), paragraf 11.

ISA 315 (revidiran), paragraf 12.

ISA 705 (revidiran), Modifikacije mišljenja u izveštaju nezavisnog revizora, paragraf 6.

ISA 200. Opšti ciljevi nezavisnog revizora i sprovođenje revizije u skladu sa Međunarodnim standardima revizije, paragrafi 4 i A4-A5.

ISA 315 (revidiran), paragraf 30.

ISAE 3402, Izveštaji o uveravanju u pogledu kontrola u uslužnoj organizaciji

ISA 600, Specijalna razmatranja - revizije finansijskih izveštaja grupe (uključujući rad revizora komponente), paragraf 2, u kom se navodi: "Revizori mogu smatrati ove standarde koji su prilagođeni datim okolnostima korisnim kada jedan revizor uključi druge revizore u reviziju finansijskih izveštaja koji nisu finansijski izveštaji grupe." Videti takođe paragraf 19 u ISA 600.

ISA 330, paragraf 8.

ISA 265, Saopštavanje nedostataka u internoj kontroli licima ovlašćenim za upravljanje i rukovodstvu, paragrafi 9-10.

ISA 265, paragraf 10.