MEĐUNARODNI STANDARD ANGAŽOVANJA NA OSNOVU KOJIH SE PRUŽA UVERAVANJE (ISAE) 3402 Izveštaj o uveravanju u pogledu kontrola u uslužnoj organizaciji ("Sl. glasnik RS", br. 100/2018) |
(Standard važi za izveštaje revizora uslužne organizacije kojima se pruža uveravanje za periode koji se završavaju 15. juna 2011. godine ili kasnije)
SADRŽAJ
Paragrafi
Uvod
Delokrug ovog standarda 1-6
Datum stupanja na snagu 7
Ciljevi 8
Definicije 9
Zahtevi
ISAE 3000 10
Etički zahtevi 11
Rukovodioci i lica ovlašćena za upravljanje 12
Prihvatanje i nastavak saradnje 13-14
Procena primerenosti kriterijuma 15-18
Materijalnost 19
Razumevanje sistema uslužne organizacije 20
Pribavljanje dokaza u vezi sa opisom 21-22
Pribavljanje dokaza o osmišljenosti kontrola 23
Pribavljanje dokaza
u vezi sa efektivnom primenom kontrola 24-29
Rad funkcije interne revizije 30-37
Pisane izjave 38-40
Ostale informacije 41-42
Naknadni događaji 43-44
Dokumentacija 45-52
Izrada izveštaja revizora uslužne organizacije
kojim se pruža angažovanje 53-55
Ostale odgovornosti koje se tiču komunikacije 56
Primena i druga objašnjenja
Delokrug ovog standarda A1-A2
Definicije A3-A4
Etički zahtevi A5
Rukovodstvo i lica ovlašćena za upravljanje A6
Prihvatanje i nastavak saradnje A7-A12
Procena adekvatnosti kriterijuma A13-A15
Materijalnost A16-A18
Razumevanja sistema uslužne organizacije A19-A20
Pribavljanje dokaza u vezi sa opisom A21-A24
Pribavljanje dokaza o osmišljenosti kontrola A25-A27
Pribavljanje dokaza
u vezi sa efektivnom primenom kontrola A28-A36
Rad funkcije interne revizije A37-A41
Pisane izjave A42-A43
Ostale informacije A44-A45
Dokumentacija A46
Izrada izveštaja revizora uslužne organizacije
kojim se pruža angažovanje A47-A52
Ostale odgovornosti koje se tiču komunikacije A53
Prilog 1: Primeri izjava uslužnih organizacija
Prilog 2: Ilustracija izveštaja revizora uslužne organizacije kojim se pruža uveravanje
Prilog 3: Ilustracije modifikovanih izveštaja revizora uslužne organizacije
|
Međunarodni standard angažovanja na osnovu kojih se pruža uveravanje (ISAE) 3402 treba tumačiti u kontekstu "Predgovora Međunarodnim standardima i saopštenjima kontrole kvaliteta, revizije, pregleda, ostalih uveravanja i srodnih usluga", kojim se uspostavlja nadležnost ISAE. |
1. Ovaj međunarodni standard angažovanja na osnovu kojih se pruža uveravanje (ISAE) se bavi angažovanjima na osnovu kojih se pruža uveravanje, a koja sprovodi profesionalni računovođa u javnoj praksi u cilju pružanja izveštaja za potrebe entiteta korisnika i njihovih revizora, koji se tiče kontrola u uslužnoj organizaciji koja pruža usluge entitetima korisnicima, i koji će verovatno biti relevantan za internu kontrolu entiteta korisnika pošto je povezan sa finansijskim izveštavanjem. Ovaj standard dopunjava ISA 402 budući da izveštaj izrađen u skladu sa ovim ISAE može da pruži adekvatan dokaz u skladu sa ISA 402. (videti paragraf A1)
2. Međunarodni okvir za angažovanja na osnovu kojih se pruža uveravanje (Okvir uveravanja) navodi da angažovanje na osnovu kog se pruža uveravanje može da bude angažovanje kojim se pruža "razumno uveravanje" ili "ograničeno uveravanje", te da angažovanje kojim se pruža uveravanje može da bude "angažovanje na potvrđivanju" i "direktno angažovanje". Ovaj standard se bavi isključivo angažovanjima na potvrđivanju kojima se izražava razumno uveravanje.
3. Ovaj standard se primenjuje samo kada uslužna organizacija ima odgovornost ili je na neki drugi način u stanju da da izjavu u vezi sa adekvatnom osmišljenošću kontrola. Ovaj standard se na bavi angažovanjima kojima se pruža uveravanje:
(a) samo u cilju izveštavanja da li kontrole u uslužnoj organizaciji funkcionišu kako je opisano; ili
(b) u cilju izveštavanja o uslužnim kontrolama u uslužnoj organizaciji različitim od onih koje se odnose na uslugu koja je verovatno relevantna za internu kontrolu korisnika zato što se odnosi na finansijsko izveštavanje (na, primer, kontrole koje imaju uticaj na proizvodnju ili kontrolu kvaliteta u entitetu).
Ovaj standard, međutim, pruža određene smernice i za takva angažovanja sprovedena u skladu sa ISAE 3000. (videti paragraf A2)
4. Pored izveštaja o uveravanju u vezi, revizor uslužne organizacije takođe može da bude angažovan na izradi sledećih vrsta izveštaja kojima se ne bavi ovaj standard:
(a) Izveštaj o transakcijama entiteta korisnika ili saldima računa u evidenciji koju vodi uslužna organizacija, ili
(b) Izveštaj o dogovorenim postupcima koje se tiču kontrola u uslužnoj organizaciji.
Odnos prema ISAE 3000 (revidiran), ostalim profesionalnim standardima, saopštenjima i ostalim zahtevima
5. Od revizora se zahteva usklađenost sa ISAE 3000 (revidiran) i ovim standardom prilikom izvođenja angažovanja na uveravanju o kontrolama uslužne organizacije. Ovaj standard dopunjava ali ne zamenjuje standard ISAE 3000 (revidiran) i predstavlja proširenje primene standarda ISA 3000 (revidiran)za primenu u angažovanjima na osnovu kojih se pruža razumno uveravanje u pogledu kontrola u uslužnoj organizaciji.
6. Usklađenost sa ISAE 3000 (revidiran) zahteva, između ostalog usklađenost sa Delovima A i B Etičkog kodeksa za profesionalne računovođe koji objavljuje Odbor za međunarodne etičke standarde za računovođe i u vezi sa angažovanjem na pružanju uveravanja ili ispunjavanja drugih profesionalnih zahteva ili zahteva koje nameću zakoni i regulativa, a koji su barem jednako strogi. Takođe se zahteva da partner u angažovanju bude zaposlen u firmi koja primenjuje ISQC 1 ili profesionalne zahteve, ili zahteve koje nameću zakoni i regulativa, a koji su barem jednako strogi kao ISQC1.
7. Ovaj standard je na snazi za izveštaje revizora uslužne organizacije kojima se pruža uveravanje za periode koji se završavaju 15. juna 2011. godine ili kasnije.
8. Ciljevi revizora uslužne organizacije su:
(a) da stekne razumno uveravanje, po svim materijalno značajnim aspektima, na osnovu odgovarajućih kriterijuma:
(i) Da li opis sistema uslužne organizacije (koji je dala sama organizacija) istinito i objektivno predstavlja sistem koji je osmišljen i implementiran tokom određenog perioda (ili u slučaju izveštaja tipa 1, na određeni datum);
(ii) Da li su kontrole koje se odnose na kontrolne ciljeve navedene u opisu sistema uslužne organizacije adekvatno osmišljene tokom određenog perioda (ili u slučaju izveštaja tipa 1, na određeni datum);
(iii) Da li su, kada su uključene u obim angažovanja, kontrole operativno efektivne za svrhe pružanja razumnog uveravanja da su kontrolni ciljevi navedeni u opisu sistema uslužne organizacije ostvareni tokom određenog perioda.
(b) Da izvesti o pitanjima navedenim u tački (a), u skladu sa nalazima revizora uslužne organizacije.
9. U ovom standardu, navedeni pojmovi imaju sledeće značenje:
(a) Metod isečka - Metod obrade usluga koje pruža uslužna organizacija - podizvođač, kada opis sistema uslužne organizacije uključuje i prirodu usluga koje pruža uslužna organizacija - podizvođač, ali kada su relevantni kontrolni ciljevi i povezane kontrole tog podizvođača isključene iz opisa sistema uslužne organizacije i iz obima angažovanja revizora uslužne organizacije. Opis sistema uslužne organizacije (koji je dala sama organizacija) i obim angažovanja revizora uslužne organizacije uključuju kontrole u uslužnoj organizaciji kojima se prati efektivnost kontrola u podizvođaču, koje mogu da uključuju i pregled izveštaja uslužne organizacije koji se tiče uveravanja o kontrolama u uslužnoj organizaciji - podizvođaču.
(b) Dopunske kontrole u entitetima korisnicima - Kontrole za koje organizacija koja pruža usluge pretpostavlja da će biti uvedene u primenu od strane entiteta korisnika i koje se identifikuju u opisu sistema ukoliko je to neophodno da bi se ostvarili ciljevi primene kontrola.
(c) Kontrolni cilj - Cilj ili svrha određenog aspekta kontrola. Kontrolni ciljevi se odnose na rizike koje kontrole treba da ublaže.
(d) Kontrole u uslužnoj organizaciji - Kontrole nad ostvarenjem kontrolnog cilja koji je obuhvaćen izveštajem revizora uslužne organizacije kojim se pruža uveravanje. (videti paragraf A3)
(e) Kontrole u uslužnoj organizaciji podizvođaču - Kontrole u uslužnoj organizaciji podizvođaču kojima se pruža razumno uveravanje o ispunjavanju kontrolnog cilja.
(f) Kriterijumi - Kriterijumi su standardne vrednosti (reperi) koji se koriste za evaluaciju ili odmeravanje predmeta ispitivanja i uključuju. "Primenljivi kriterijumi" su kriterijumi koji se primenjuju za konkretno angažovanje
(g) Metod uključivanja - Metod obrade usluga koje pruža uslužna organizacija podizvođač, gde opis sistema uslužne organizacije sadrži i prirodu usluga koje pruža ta organizacija, a relevantni kontrolni ciljevi tog podizvođača i povezane kontrole su uključene u opis sistema uslužne organizacije i u obim angažovanja revizora uslužne organizacije. (Videti paragraf A4)
(h) Funkcija interne revizije - Funkcija u okviru entiteta koja vrši aktivnosti uveravanja i konsultovanja osmišljene u cilju procenjivanja i unapređivanja efektivnosti procesa upravljanja entitetom, upravljanja rizikom i interne kontrole.
(i) Interni revizori - Pojedinci koji obavljaju aktivnosti koje čine funkciju interne revizije. Interni revizori mogu da budu deo odeljenja interne revizije ili sektora koji ima ekvivalentnu funkciju.
(j) Izveštaj o opisu i osmišljenosti kontrola u uslužnoj organizaciji (koji se u ovom standardu naziva "izveštaj tipa 1") - Izveštaj koji sadrži:
(i) Opis sistema uslužne organizacije (izrađen od strane same organizacije);
(ii) Pisanu izjavu uslužne organizacije da, po svim materijalno značajnim aspektima i na osnovu odgovarajućih kriterijuma:
a. Opis istinito i objektivno predstavlja sistem uslužne organizacije onako kako je osmišljen i kako se primenjivao na određeni datum;
b. su kontrole koje se odnose na kontrolne ciljeve navedene u opisu sistema uslužne organizacije, bile adekvatno osmišljene na određeni datum; i
(iii) Izveštaj revizora uslužne organizacije kojim se pruža uveravanje kojim se izražava zaključak o razumnom uveravanju o pitanjima navedenim u (ii)a-b. iznad.
(k) Izveštaj o opisu, osmišljenosti i operativnoj efektivnosti kontrola u uslužnoj organizaciji (koji se u ovom standardu naziva "izveštaj tipa 2") - Izveštaj koji sadrži:
(i) Opis sistema uslužne organizacije (izrađen od strane same organizacije);
(ii) Pisanu izjavu uslužne organizacije da, po svim materijalno značajnim aspektima i na osnovu odgovarajućih kriterijuma:
a. Opis istinito i objektivno predstavlja sistem uslužne organizacije onako kako je osmišljen i kako se primenjivao tokom određenog perioda;
b. su kontrole koje se odnose na kontrolne ciljeve navedene u opisu sistema uslužne organizacije, bile adekvatno osmišljene tokom određenog perioda; i
c. su kontrole koje se odnose na kontrolne ciljeve navedene u opisu sistema uslužne organizacije, bile u efektivnoj primeni tokom određenog perioda; i
(iii) Izveštaj revizora uslužne organizacije kojim se pruža uveravanje:
a. kojim se izražava zaključak o razumnom uveravanju o pitanjima navedenim u (ii)a-c. Iznad; i
b. koji sadrži opis testova kontrola i dobijenih rezultata.
(l) Revizor uslužne organizacije - praktičar koji, na zahtev uslužne organizacije, pravi izveštaj kojim se pruža uveravanje o kontrolama uslužne organizacije.
(m) Uslužna organizacija - Nezavisna organizacija (ili deo nezavisne organizacije) koja pruža usluge entitetima korisnicima koji su deo informacionih sistema tih entiteta, relevantnih za finansijsko izveštavanje.
(n) Izjava uslužne organizacije - Pisana izjava u vezi sa pitanjima iz paragrafa 9 (k) (ii) (ili paragrafa 9 (j) (ii) u slučaju izveštaja tipa 1).
(o) Sistem uslužne organizacije - Politike i postupci koje uslužna organizacija osmišljava, primenjuje i održava u cilju pružanja usluga entitetu korisniku koje su pokrivene izveštajem revizora uslužne organizacije. Opis sistema uslužne organizacije (izrađen od strane same organizacije) sadrži identifikaciju usluga koje organizacija pruža; period, ili u slučaju izveštaja tipa 1, datum, na koji se odnosi opis; kontrolne ciljeve i povezane kontrole.
(p) Uslužna organizacija podizvođač - Uslužna organizacija koju koristi druga uslužna organizacija da bi obavila usluge za entiteta korisnika koji je deo informacionog sistema tog entiteta - korisnika koji je relevantan za finansijsko izveštavanje.
(q) Testiranje kontrola - Revizijski postupak osmišljen za procenu operativne efektivnosti kontrola u sprečavanju, ili otkrivanju i ispravljanju materijalno pogrešnih iskaza na nivou tvrdnje.
(r) Revizor korisnika - Revizor koji vrši reviziju i izveštava o finansijskim izveštajima entiteta - korisnika.
(s) Entitet-korisnik - Entitet koji koristi uslužnu organizaciju i čiji finansijski izveštaji su predmet revizije.
10. Revizor uslužne organizacije ne navodi usklađenost sa ovim standardom ukoliko nije ispunio zahteve ovog standarda i ISAE 3000 (revidiran).
11. Revizor treba da postigne usklađenost sa Delovima A i B Etičkog kodeksa za profesionalne računovođe koji se odnose na angažovanja na uveravanju, ili drugim profesionalnim zahtevima, ili zahtevima koje nameću zakoni i regulativa, a koji su barem jednako strogi. (videti paragraf A5)
Rukovodioci i lica ovlašćena za upravljanje
12. U slučajevima kada ovaj standard zahteva od revizora uslužne organizacije da ispituje, traži izjave, komunicira ili na drugi način sarađuje sa uslužnom organizacijom, revizor uslužne organizacije određuje odgovarajuću osobu (osobe) iz rukovodstva uslužne organizacije ili njenih upravljačkih struktura sa kojom će da sarađuje. Pritom treba da uzme u obzir da li ta osoba ima adekvatna ovlašćenja i znanje o predmetnim pitanjima. (videti paragraf A6)
Prihvatanje i nastavak saradnje
13. Pre nego što prihvati ili nastavi saradnju na angažovanju, revizor uslužne organizacije:
(a) Utvrđuje da li:
(i) revizor uslužne organizacije poseduje sposobnosti i kompetenciju za vršenje angažovanja; (videti paragraf A7)
(ii) su kriterijumi koje revizor očekuje da će uslužna organizacija da koristi za pripremu opisa sistema adekvatni i dostupni entitetima korisnicima i njihovim revizorima; i
(iii) su obim angažovanja i opis sistema uslužne organizacije dovoljno detaljni da bi bili od koristi entitetima korisnicima i njihovim revizorima.
(b) Pribavlja saglasnost uslužne organizacije kojom ona prihvata odgovornost i potvrđuje da razume svoju odgovornost:
(i) Za pripremu opisa svog sistema i pratećih izjava uslužne organizacije, uključujući potpunost, tačnost i metod prezentacije tog opisa i izjava; (videti paragraf A8)
(ii) Da ima razumnu osnovu za izjave uslužne organizacije koje prate opis njenog sistema; (videti paragraf A9)
(ii) Za navođenje kriterijuma u izjavama uslužne organizacije, koje su korišćene u pripremi opisa njenog sistema;
(iii) Za navođenje u opisu sistema:
a. Kontrolnih ciljeva; i
b. Gde su ti ciljevi određenih zakonom ili regulativom ili ih određuje neka druga strane (na primer, grupa korisnika ili profesionalno telo), kao i ime strane koja ih je odredila;
(iv) Za identifikovanje rizika koji ugrožavaju ostvarivanje kontrolnih ciljeva navedenih u opisu sistema i za osmišljavanje i implementaciju kontrola u cilju pružanja razumnog uveravanja da ti rizici neće sprečiti ostvarivanje kontrolnih ciljeva navedenih u opisu sistema te da će navedeni kontrolni ciljevi biti ostvareni; i (videti paragraf A10)
(v) Za obezbeđivanje revizoru uslužne organizacije:
a. Pristupa svim informacijama kao što su evidencije, dokumentacija i drugo, uključujući sporazume o nivou usluga za koje je uslužna organizacija svesna da su relevantni za opis sistema uslužne organizacije i pratećih izjava uslužne organizacije;
b. Svih dodatnih informacija koje revizor uslužne organizacije može da zahteva od uslužne organizacije za svrhe angažovanja kojim se pruža uveravanje; i
c. Neograničenog pristupa svim osobama iz uslužne organizacije od kojih je, po mišljenju revizora uslužne organizacije, neophodno pribaviti dokaze.
Prihvatanje izmena u uslovima angažovanja
14. Ako uslužna organizacija zahteva izmene u obimu angažovanja pre završetka angažovanja, revizor uslužne organizacije treba da se uveri da postoji razumno opravdanje za te izmene. (videti paragraf A11-A12)
Određivanje primerenosti kriterijuma
15. Revizor uslužne organizacije treba da odredi da li je uslužna organizacija primenjivala primerene kriterijume u pripremi opisa svog sistema, pri evaluaciji da li su kontrole adekvatno osmišljene i u slučaju izveštaja tipa 2, pri evaluaciji da li se kontrole efektivno primenjuju.
16. Prilikom određivanja primerenosti kriterijuma za evaluaciju opisa sistema uslužne organizacije, revizor uslužne organizacije utvrđuje da li minimalni kriterijumi uključuju sledeće:
(a) Da li je u opisu sadržano kako je sistem uslužne organizacije osmišljen i implementiran, uključujući:
(i) Vrste pruženih usluga, uključujući klase transakcija koje se obrađuju;
(ii) Postupke, unutar informacionih tehnologija i manuelnih sistema, kojima se pružaju usluge, uključujući postupke koji služe za iniciranje, evidenciju, obradu, ispravljanje po potrebi i transfer transakcija u izveštaje i druge informacije koje priprema entitet korisnik;
(iii) Povezane unose i prateće informacije, uključujući računovodstvenu evidenciju, prateće informacija i konkretne račune koji se koriste za iniciranje, evidenciju, obradu i izveštavanje o transakcijama; ovo uključuje i korekcije neispravnih informacija i način na koji se informacije prenose u izveštaje i druge informacije pripremljene za entitete korisnike;
(iv) Kako sistem uslužne organizacije tretira značajne događaje i uslove različite od transakcija;
(v) Procese za pripremu izveštaja i drugih informacija za entitete korisnike;
(vi) Definisane kontrolne ciljeve i kontrole osmišljene radi ostvarivanja tih ciljeva;
(vii) Komplementarne kontrole entiteta korisnika predviđene prilikom osmišljavanja kontrola; i
(viii) Druge aspekte kontrolnog okruženja uslužne organizacije, procesa procene rizika, informacionog sistema (uključujući i povezane poslovne procese) i saopštavanja, kontrolnih aktivnosti i nadzora kontrola koje su relevantne za pružene usluge.
(b) U slučaju izveštaja tipa 2, da li opis sadrži relevantne detalje o izmenama u sistemu uslužne organizacije tokom perioda obuhvaćenom opisom.
(c) Da li su u opisu pogrešno predstavljene ili izostavljene informacije koje su relevantne za delokrug opisanog sistema uslužne organizacije, a da je u isto vreme izneta tvrdnja da je opis pripremljen u cilju ispunjenja opštih potreba za informacijama širokog spektra entiteta korisnika i njihovih revizora pa se zato ne može uključiti svaki aspekt sistema organizacije koji svaki pojedinačni entitet korisnik i njegov revizor mogu smatrati značajnim u svom konkretnom okruženju.
17. Prilikom određivanja primerenosti kriterijuma za evaluaciju osmišljenosti kontrola, revizor uslužne organizacije utvrđuje da li minimalni kriterijumi uključuju:
(a) Da li je uslužna organizacija identifikovala rizike koji ugrožavaju ostvarivanje kontrolnih ciljeva navedenih u opisu sistema organizacije; i
(b) Da li kontrole identifikovane tim opisom, ako se primenjuju kao što je opisano, pružaju razumno uveravanje da ti rizici ne sprečavaju ostvarivanje navedenih kontrolnih ciljeva.
18. Prilikom određivanja primerenosti kriterijuma za evaluaciju operativne efektivnosti kontrola za pružanje razumnog uveravanja da će navedeni kontrolni ciljevi identifikovani u opisu biti ostvareni, revizor uslužne organizacije utvrđuje da li minimalni kriterijumi uključuju i to da li su kontrole dosledno primenjivane kao što je osmišljeno, tokom određenog perioda. U ovo je uključeno i to da li su manuelne kontrole primenjivali pojedinci sa adekvatnom kompetencijom i ovlašćenjima. (videti paragraf A13-A15)
19. Tokom planiranja i sprovođenja angažovanja, revizor uslužne organizacije razmatra materijalnost u odnosu na istinitu i objektivnu prezentaciju opisa, adekvatnost osmišljenosti kontrola i, u slučaju izveštaja tipa 2, operativnu efektivnost kontrola. (videti paragraf A16-A18)
Razumevanje sistema uslužne organizacije
20. Revizor uslužne organizacije treba da stekne razumevanje sistema uslužne organizacije, uključujući i kontrole koje su u delokrugu angažovanja. (videti paragraf A19-A20)
Pribavljanje dokaza u vezi sa opisom
21. Revizor uslužne organizacije pribavlja i čita opis sistema uslužne organizacije i procenjuje da li su aspekti opisa prezentovani istinito i objektivno uključujući i sledeće: (videti paragraf A21-A22)
(a) Da li su kontrolni ciljevi navedeni u opisu sistema uslužne organizacije opravdani u datim okolnostima; (videti paragraf A23)
(b) Da li se primenjuju kontrole identifikovane u tom opisu;
(c) Da li su komplementarne kontrole entiteta korisnika, ako postoje, adekvatno opisane; i
(d) Da li su usluge koje pruža uslužna organizacija podizvođač, ako postoje, adekvatno opisane, uključujući i to da li je u vezi sa njima korišćen metod uključivanja ili metod isečka.
22. Revizor uslužne organizacije utvrđuje, pomoću drugih postupaka u kombinaciji sa upitima, da li se primenjuje sistem uslužne organizacije. Ti drugi postupci uključuju posmatranje i proveru evidencije i drugih dokumenata o načinu funkcionisanja sistema uslužne organizacije i načinu primene kontrola. (videti paragraf A24)
Pribavljanje dokaza o osmišljenosti kontrola
23. Revizor uslužne organizacije utvrđuje koje su kontrole u uslužnoj organizaciji neophodne da bi se ostvarili kontrolni ciljevi navedeni u opisu sistema uslužne organizacije, i procenjuje da li su te kontrole adekvatno osmišljene. U sklopu ovog utvrđivanja: (videti paragraf A25-A27)
(a) Identifikuju se rizici koji ugrožavaju ostvarivanje kontrolnih ciljeva navedenih u opisu sistema uslužne organizacije; i
(b) Vrši se evaluacija povezanosti kontrola identifikovanih u opisu sistema uslužne organizacije sa tim rizicima.
Pribavljanje dokaza u vezi sa efektivnom primenom kontrola
24. Kada priprema izveštaj tipa 2, revizor uslužne organizacije testira one kontrole za koje je utvrdio da su neophodne da bi se ostvarili kontrolni ciljevi navedeni u opisu sistema uslužne organizacije i procenjuje efektivnost njihove primene tokom perioda. Dokazi pribavljeni u prethodnim angažmanima o zadovoljavajućem funkcionisanju kontrola u prethodnim periodima ne predstavljaju osnovu za smanjenja obima testiranja, čak i ako su dopunjeni dokazima pribavljenim u tekućem periodu. (videti paragraf A28-A32)
25. Pri osmišljavanju i sprovođenju testova kontrole revizor uslužne organizacije:
(a) Sprovodi ostale postupke u kombinaciji sa upitima da bi pribavio dokaze o:
(i) Načinu primene kontrola;
(ii) Doslednosti primene kontrola; i
(iii) Ko i na koji način primenjuje kontrole;
(b) Utvrđuje da li kontrole koje će biti testirane zavise od drugih kontrola (indirektne kontrole) i ako je to slučaj, da li je neophodno pribavljanje dokaza kojima se dokazuje efektivnost primene tih indirektnih kontrola;i (videti paragraf A33-A34)
(c) Utvrđuje načine odabira stavki za testiranje kojima će se efektivno ispuniti ciljevi postupka. (videti paragraf A35-A36)
26. Pri utvrđivanju obima testova kontrola, revizor uslužne organizacije razmatra pitanja koja uključuju i karakteristike populacije koja će biti testirana, što uključuje prirodu kontrola, učestalost njihove primene (na primer, mesečno, dnevno, više puta na dan) i očekivanu stopu odstupanja.
Uzorkovanje
27. Kada revizor uslužne organizacije primenjuje uzorkovanje, on: (videti paragraf A35-A36)
(a) Razmatra svrhu postupka i karakteristike populacije iz koje će biti uzet uzorak;
(b) Utvrđuje veličinu uzorka koja je dovoljna da bi se rizik uzorkovanja smanjio na adekvatno nizak nivo;
(c) Bira stavke za uzorak na takav način da za svaku jedinica uzorka u populaciji postoji jednaka šansa da će biti odabrana;
(d) Ako osmišljeni postupak nije primenljiv za odabranu stavku, postupak se obavlja na njenoj zameni;
(e) Ako nije moguće primeniti osmišljeni postupak i adekvatne alternativne postupke za odabranu stavku, tu stavku tretirati kao odstupanje.
Priroda i poreklo odstupanja
28. Revizor uslužne organizacije istražuje prirodu i poreklo svih identifikovanih odstupanja i utvrđuje:
(a) Da li su identifikovana odstupanja unutar očekivane stope odstupanja i da li su prihvatljiva, iz čega sledi da obavljeno testiranje pruža adekvatnu osnovu za zaključak da se kontrole efektivno primenjuju tokom određenog perioda;
(b) Da li je neophodno dodatno testiranje date kontrole ili ostalih kontrola da bi se doneo zaključak da li se kontrole koje se odnose na određeni kontrolni cilj efektivno primenjuju tokom određenog perioda; ili (videti paragraf A25)
(c) Da li obavljeno testiranje pruža adekvatnu osnovu za zaključak da kontrole nisu efektivno primenjivane tokom određenog perioda.
29. U veoma retkim okolnostima kada revizor uslužne organizacije smatra da je odstupanje otkriveno u uzorku anomalija i nisu identifikovane nikakve druge kontrole koje omogućavaju revizoru uslužne organizacije da zaključi da se relevantan kontrolni cilj efektivno primenjuje tokom određenog perioda, revizor uslužne organizacije mora da stekne visok nivo sigurnosti da to odstupanje ne predstavlja populaciju. Revizor uslužne organizacije stiče ovaj nivo sigurnosti vršenjem dodatnih postupaka kako bi pribavio dovoljno adekvatnih dokaza da odstupanje ne utiče na ostatak populacije.
Ustanovljavanje i razumevanje funkcije interne revizije
30. Ako uslužna organizacija ima funkciju interne revizije, revizor uslužne organizacije treba da stekne razumevanje prirode odgovornosti funkcije interne revizije i aktivnosti koje se sprovode da bi se utvrdilo da li je verovatno da će funkcija interne revizije biti relevantna za angažovanje. (videti paragraf A37)
Utvrđivanje da li koristiti rezultate rada internih revizora i u kojoj meri
31. Revizor uslužne organizacije utvrđuje:
(a) Da li je verovatno da li će rezultati rada internih revizora biti adekvatni za ciljeve angažovanja; i
(b) Ako jeste, kakvi su planirani efekti rada internih revizora na prirodu, rokovi i obim postupaka revizora uslužne organizacije.
32. Prilikom utvrđivanja da li je verovatno da će rezultati rada internih revizora biti adekvatni za ciljeve angažovanja, revizor uslužne organizacije vrši evaluaciju:
(a) Objektivnosti funkcije interne revizije;
(b) Tehničke kompetentnosti internih revizora;
(c) Da li je verovatno da će rad internih revizora biti obavljen sa dužnom profesionalnom pažnjom; i
(d) Da li je verovatno da će postojati efektivna komunikacija između internih revizora i revizora uslužne organizacije.
33. Prilikom utvrđivanja planiranog efekta rada internih revizora na revizora na prirodu, rokove i obim postupaka revizora uslužne organizacije, revizor uslužne organizacije mora da razmotri: (videti paragraf A38)
(a) Prirodu i obim konkretnog rada koji obavljaju ili treba da obave interni revizori;
(b) Značaj rezultata tog rada u odnosu na zaključke revizora uslužne organizacije; i
(c) Stepen subjektivnosti uključen u evaluaciju dokaza prikupljenih kao podrška tim zaključcima.
Korišćenje rezultata rada funkcije interne revizije
34. Da bi revizor uslužne organizacije koristio konkretne rezultate rada internih revizor, revizor uslužne organizacije evaluira i vrši postupke na tim rezultatima kako bi utvrdio koliko su adekvatni za ciljeve rada revizora uslužne organizacije. (videti paragraf A39)
35. Da bi utvrdio adekvatnost konkretnih rezultata rada internih revizora, revizor uslužne organizacije procenjuje:
(a) Da li je posao obavljen od strane revizora sa adekvatnim tehničkim znanjem i stručnošću;
(b) Da li je rad adekvatno nadziran, pregledan i dokumentovan;
(c) Da li su pribavljeni adekvatni dokazi na osnovu kojih su interni revizori mogli da izvuku razumne zaključke;
(d) Da li su doneti zaključci u skladu sa okolnostima i da li su izveštaji internih revizora dosledni rezultatima obavljenog rada; i
(e) Da li su nađena adekvatna rešenja za izuzetke relevantne za angažovanje i neuobičajena pitanja koja su otkrili interni revizori.
Efekat na izveštaj revizora uslužne organizacije kojim se pruža uveravanje
36. Ako se koriste rezultati rada funkcije interne revizije, revizor uslužne organizacije ne navodi u svom radu reference na to u delu izveštaja o uveravanju koji sadrži mišljenje revizora uslužne organizacije. (videti paragraf A40)
37. U slučaju izveštaja tipa 2, ako je rad funkcije interne revizije korišćen u testiranju kontrola, taj deo izveštaja revizora uslužne organizacije kojim se pruža uveravanja, u kom je sadržan opis testova kontrola i rezultata koje je dobio revizor uslužne organizacije, treba da sadrži i opis rezultata rada internog revizora i postupaka koje je revizor uslužne organizacije vršio u vezi sa tim rezultatima. (videti paragraf A41)
38. Revizor uslužne organizacije traži od uslužne organizacije da obezbedi pisane izjave: (videti paragraf A42)
(a) Kojima se potvrđuju izjave koje prate opis sistema;
(b) Da su revizoru uslužne organizacije na raspolaganju sve relevantne informacije i da mu je obezbeđen pristup; i
(c) Da su revizoru uslužne organizacije obelodanjene sve sledeće stavke čijeg je postojanja svesna uslužna organizacija:
(i) Neusklađenost sa zakonima i regulativom, kriminalne radnje ili neispravljene greške koje potiču od uslužne organizacije, a koje mogu da utiču na jedan ili više entiteta korisnika;
(ii) Nedostaci u osmišljenosti kontrola;
(iii) Slučajevi kada kontrole nisu funkcionisale kako je opisano; i
(iv) Sve događaje koji su se odigrali nakon perioda koji pokriva opis sistema uslužne organizacije do datuma izveštaja revizora uslužne organizacije kojim se pruža uveravanje, a koji bi mogli da imaju značajan uticaj na izveštaj revizora uslužne organizacije kojim se pruža uveravanje.
39. Pisane izjave su u formi pisma naslovljenog na revizora uslužne organizacije. Datum pisane izjave treba da bude što je moguće bliži datumu izveštaja revizora uslužne organizacije kojim se pruža uveravanje, ali ne posle njega.
40. Ako, nakon razgovora o ovom pitanju sa revizorom uslužne organizacije, uslužna organizacija ne obezbedi jednu ili više pisanih izjava zahtevanih u skladu sa paragrafom 38(a) i (b) ovog standarda, revizor uslužne organizacije se uzdržava od mišljenja. (videti paragraf A43)
41. Revizor uslužne organizacije čita ostale informacije, ako postoje, koje su uključene u dokument koji sadrži opis sistema uslužne organizacije i izveštaj revizora uslužne organizacije kojim se pruža uveravanje, da bi se identifikovale materijalne nedoslednosti, ako postoje, vezane za taj opis. Prilikom čitanja ostalih informacija u cilju otkrivanje materijalnih nedoslednosti, revizor uslužne organizacije može da uoči očigledno pogrešan iskaz u tim informacijama.
42. Ako revizor uslužne organizacije postane svestan materijalne nedoslednosti ili očiglednog pogrešnog iskaza u ostalim informacijama, revizor uslužne organizacije raspravlja o tome sa uslužnom organizacijom. Ako revizor uslužne organizacije zaključi da postoji materijalna nedoslednost ili pogrešan iskaz u ostalim informacijama koje uslužna organizacija odbije da ispravi, revizor uslužne organizacije preduzima dalje neophodne akcije. (videti paragraf A44-A45)
43. Revizor uslužne organizacije istražuje da li je uslužna organizacija svesna postojanja bilo kakvog događaja nakon perioda pokrivenog opisom sistema uslužne organizacije do datuma izveštaja revizora uslužne organizacije kojim se pruža uveravanje koji je mogao da dovede do toga da revizor uslužne organizacije izmeni izveštaj kojim se pruža uveravanje. Ako je revizor uslužne organizacije svestan postojanja takvog događaja, a uslužna organizacija nije obelodanila informacije o tome, revizor uslužne organizacije ih obelodanjuje u izveštaju revizora uslužne organizacije kojim se pruža uveravanje.
44. Revizor uslužne organizacije nema obavezu da vrši postupke koji se tiču opisa sistema uslužne organizacije niti osmišljenosti ili efektivne primene kontrola posle datuma izveštaja revizora uslužne organizacije kojim se pruža uveravanje.
45. Revizor uslužne organizacije blagovremeno priprema dokumentaciju koja sadrži evidenciju na kojoj je zasnovan izveštaj na odnosu kog se pruža uvravanje koja je dovoljna i adekvatna da omogući iskusnom revizoru uslužne organizacije, koji nema prethodne veze sa angažovanjem, da razume:
(a) Prirodu, vremenski okvir i obim postupaka sprovedenih u cilju ispunjavanja zahteva ovog standarda i primenljivih zakona i regulative;
(b) Rezultate obavljenih postupaka i dobijene dokaze; i
(c) Značajna pitanja nastala tokom angažovanja, donete zaključke i značajno profesionalno rasuđivanje korišćeno u dolaženju do tih zaključaka.
46. Prilikom dokumentovanja prirode, vremenskog okvira i obavljenih postupaka, revizor uslužne organizacije evidentira:
(a) Karakteristike kojima se identifikuju konkretne stavke ili pitanja koja se testiraju;
(b) Ko je obavio rad i datum kada je rad završen; i
(c) Ko je pregledao obavljeni rad, datum i obim tog pregleda.
47. Ako revizor uslužne organizacije koristi konkretne rezultate rada internih revizora, revizor uslužne organizacije dokumentuje zaključke donete u vezi sa evaluacijom adekvatnosti rezultata rada internih revizora kao i postupke koje je koristio revizor uslužne organizacije pri radu sa tim rezultatima.
48. Revizor uslužne organizacije dokumentuje diskusije o značajnim pitanjima sa uslužnom organizacijom i ostalima, uključujući i prirodu značajnih pitanja o kojima je vođena diskusija, kao i kada i sa kim je vođena.
49. Ako je revizor uslužne organizacije identifikovao informacije koje nisu u skladu sa zaključkom revizora uslužne organizacije u vezi sa značajnim predmetnim pitanjem, revizor uslužne organizacije dokumentuje kako je tretirao nedoslednost.
50. Revizor uslužne organizacije prikuplja svu dokumentaciju u dosije angažovanja i blagovremeno završava administrativni proces sastavljanja konačnog dosijea angažovanja posle datuma izveštaja revizora uslužne organizacije kojim se pruža angažovanje.
51. Pošto je konačni dosije angažovanja kompletiran, revizor uslužne organizacije neće brisati ili odbacivati dokumentaciju pre isteka perioda čuvanja. (videti paragraf A46)
52. Ako revizor uslužne organizacije smatra da je neophodno da izmeni postojeću dokumentaciju o angažovanju ili da doda nove dokumente u finalni dosije angažovanja pošto je sastavljanja finalnog dosijea angažovanja završeno, i ako ta dokumentacija ne utiče na izveštaj revizora uslužne organizacije, revizor uslužne organizacije, bez obzira na prirodu izmena ili dodataka, dokumentuje:
(a) Konkretne razloge za dopune; i
(b) Kada i ko ih je napravio i pregledao.
Izrada izveštaja revizora uslužne organizacije kojim se pruža angažovanje
Sadržaj izveštaja revizora uslužne organizacije kojim se pruža angažovanje
53. Izveštaj revizora uslužne organizacije kojim se pruža angažovanje minimalno sadrži sledeće osnovne elemente: (videti paragraf A47)
(a) Naslov koji jasno pokazuje da se radi o izveštaju nezavisnog revizora uslužne organizacije kojim se pruža angažovanje.
(b) Adresat.
(c) Identifikacija:
(i) Opisa sistema uslužne organizacije (koji pravi sama organizacija) i izjava uslužne organizacije koje sadrže pitanja opisana u paragrafu 9(k)(ii) za izveštaje tipa 2, ili paragrafu 9(j)(ii) za izveštaj tipa 1.
(ii) Onih delova opisa sistema uslužne organizacije, ako postoje, koji nisu obuhvaćeni mišljenjem revizora uslužne organizacije.
(iii) Ako se u opisu pominje potreba za komplementarnim kontrolama entiteta korisnika, izjavu da revizor uslužne organizacije nije vršio ocenu osmišljenosti i efektivne primene komplementarnih kontrola entiteta korisnika, i da su kontrolni ciljevi navedeni u opisu sistema uslužne organizacije adekvatno osmišljeni ili se efektivno primenjuju, zajedno sa kontrolama u uslužnoj organizaciji.
(iv) Ako usluge vrši podizvođač, priroda aktivnosti koje obavlja podizvođač kao što je opisano u opisu sistema uslužne organizacije i da li je u vezi sa tim aktivnostima korišćen metod uključivanja ili metod isečka. Kada je korišćen metod isečka, izjavu da opis sistema uslužne organizacije ne uključuje kontrolne ciljeve i povezane kontrole u relevantnim podizvođačima i da se postupci revizora uslužne organizacije ne protežu na kontrole u uslužnoj organizaciji podizvođaču. Kada je korišćen metod uključivanja, izjavu da opis sistema uslužne organizacije uključuje kontrolne ciljeve i povezane kontrole podizvođača i da se postupci revizora uslužne organizacije protežu na kontrole u uslužnoj organizaciji podizvođača.
(d) Identifikacija primenljivih kriterijuma i strane koja određuje konkretne kontrolne ciljeve.
(e) Izjava da su izveštaj i u slučaju izveštaja tipa 2, opis testova kontrola, namenjeni samo entitetima korisnicima i njihovim revizorima koji imaju dovoljan nivo razumevanja za njihovo razmatranje, zajedno sa drugim informacijama uključujući informacije o kontrolama kojima upravljaju sami entiteti korisnici, kada budu procenjivali rizik od materijalno pogrešnih iskaza u finansijskim izveštajima entiteta korisnika. (videti paragraf A48)
(f) Izjave da je uslužna organizacija odgovorna za sledeće:
(i) Priprema opisa svog sistema, pratećih izjava, uključujući potpunost, tačnost i metode prezentacije tog opisa i tih izjava;
(ii) Pružanje usluga koje obuhvata opis sistema uslužne organizacije;
(iii) Navođenje kontrolnih ciljeva (kada nisu identifikovani zakonima ili regulativom, ili od neke druge strane, na primer, od strane grupa korisnika ili profesionalnog tela); i
(iv) Osmišljavanje i implementaciju kontrola kako bi se ostvarili ciljevi navedeni u opisu sistema uslužne organizacije.
(g) Izjava da je odgovornost revizora uslužne organizacije da izrazi mišljenje o opisu uslužne organizacije, o osmišljenosti kontrola u vezi sa kontrolnim ciljevima navedenim u tom opisu i u slučaju izveštaja tipa 2, u vezi sa efektivnom primenom tih kontrola, na osnovu postupaka revizora uslužne organizacije.
(h) Izjava da je firma u kojoj je zaposle partner u angažovanju primenjuje ISQC 1 ili druge profesionalne zahteve, ili zahteve koje nameću zakoni i regulativa, a koji su barem jednako strogi kao ISQC1. Ako praktičar nije profesionalni računovođa, u izjavi treba da se identifikuju profesionalni zahtevi, ili zahtevi koje nameću zakoni i regulativa, koji se primenjuju, a koji su barem jednako strogi kao ISQC1.
(i) Izjava da je praktičar postigao usklađenost sa zahtevima koji se odnose na nezavisnosti i drugim etičkim zahtevima kodeksa IESBA, ili drugim profesionalnom zahtevima, ili zahtevima koje nameću zakoni i regulativa, a koji su barem jednako strogi kao Delovi A i B Etičkog kodeksa koji se odnose na angažovanja na osnovu kojih se pruža uveravanje. Ako praktičar nije profesionalni računovođa, u izjavi treba da se identifikuju profesionalni zahtevi, ili zahtevi koje nameću zakoni i regulativa, koji se primenjuju, a koji su barem jednako strogi kao Delovi A i B Etičkog kodeksa koji se odnose na angažovanja na osnovu kojih se pruža uveravanje.
(j) Izjava de je angažovanje sprovedeno u skladu sa ISAE 3402, "Izveštaj o uveravanju u pogledu kontrola u uslužnoj organizaciji," kojim se zahteva da revizor uslužne organizacije u svom radu obavlja procedure kako bi stekao razumno uveravanje, po svim materijalno značajnim aspektima, da je istinito i objektivno predstavljen opis sistema uslužne organizacije, da su kontrole adekvatno osmišljene i da se, u slučaju izveštaja tipa 2, efektivno primenjuju.
(i) Izjava da je praktičar postigao usklađenost sa zahtevima koji se odnose na nezavisnosti i drugim etičkim zahtevima kodeksa IESBA, ili drugim profesionalnom zahtevima, ili zahtevima koje nameću zakoni i regulativa, a koji su barem jednako strogi kao Delovi A i B Etičkog kodeksa koji se odnose na angažovanja na osnovu kojih se pruža uveravanje. Ako praktičar nije profesionalni računovođa, u izjavi treba da se identifikuju profesionalni zahtevi, ili zahtevi koje nameću zakoni i regulativa, koji se primenjuju, a koji su barem jednako strogi kao Delovi A i B Etičkog kodeksa koji se odnose na angažovanja na osnovu kojih se pruža uveravanje.
(k) Sažet opis postupaka revizora uslužne organizacije u cilju sticanja razumnog uveravanja i izjavu o tome da revizor uslužne organizacije veruje da pribavljeni dokazi predstavljaju zadovoljavajuću osnovu za mišljenje revizora uslužne organizacije i u slučaju izveštaja tipa 1, izjavu da revizor uslužne organizacije nije sproveo nikakve postupke u vezi sa operativnom efektivnošću kontrola i stoga nije dao nikakvo mišljenje u vezi sa tim.
(l) Izjava o ograničenjima kontrola i u slučaju izveštaja tipa 2, o riziku od projektovanja u buduće periode sve evaluacije efektivnosti primene kontrola.
(m) Mišljenje revizora uslužne organizacije, izraženo u pozitivnom obliku, o tome da li je, po svim materijalno značajnim aspektima, na osnovu adekvatnih kriterijuma:
(i) U slučaju izveštaja tipa 2:
a. Opis objektivno i istinito predstavlja sistem uslužne organizacije koji je osmišljen i implementiran tokom određenog perioda;
b. Kontrole koje se odnose na kontrolne ciljeve navedene u opisu sistema uslužne organizacije su adekvatno osmišljene tokom određenog perioda; i
c. Testirane kontrole, koje su bile neophodne da bi se pružilo razumno uveravanje da su ostvareni kontrolni ciljevi navedeni u opisu, su efektivne tokom određenog perioda.
(ii) U slučaju izveštaja tipa 1:
a. Opis objektivno i istinito predstavlja sistem uslužne organizacije koji je osmišljen i implementiran na određeni datum; i
b. Kontrole koje se odnose na kontrolne ciljeve navedene u opisu sistema uslužne organizacije su adekvatno osmišljene na određeni datum.
(n) Datum izveštaja revizora uslužne organizacije kojim se pruža uveravanje, koji nije raniji od datuma na koji je revizor uslužne organizacije pribavio dokaze na osnovu kojih je formirano mišljenje revizora uslužne organizacije.
(o) Ime revizora uslužne organizacije i adresu u pravnom sistemu u kom revizor uslužne organizacije vrši praksu.
54. U slučaju izveštaja tipa 2, izveštaj revizora uslužne organizacije kojim se pruža uveravanje uključuje poseban odeljak smešten posle mišljenja ili prilog u kom su opisani testovi kontrola koji su sprovedeni i rezultati tih testova. U opisu testova kontrola, revizor uslužne organizacije jasno navodi koje su kontrole testirane, identifikuje da li testirane stavke predstavljaju celu populaciju ili samo njen deo, i objašnjava prirodu testova onoliko detaljno koliko je potrebno da revizor korisnik odredi efekat tih testova na svoje procene rizika. Ako se identifikuju odstupanja, revizor uslužne organizacije uključuje i obim obavljenih testova koji su doveli do identifikacije odstupanja (uključujući veličinu uzorka kad je korišćeno uzorkovanje), kao i broj i prirodu uočenih odstupanja. Revizor uslužne organizacije izveštava o odstupanjima čak i ako je, na osnovu obavljenih testova, revizor uslužne organizacije zaključio da je povezani kontrolni cilj ispunjen. (videti paragraf A18 i A49)
Modifikovano mišljenje
55. Ako revizor uslužne organizacije zaključi da: (videti paragraf A50-A52)
(a) Opis uslužne organizacije ne prikazuje sistem objektivno i istinito, po svim materijalno značajnim aspektima, onako kako je osmišljen i implementiran;
(b) Kontrole koje se tiču kontrolnih ciljeva navedenih u opisu nisu adekvatno dizajnirane, po svim materijalno značajnim aspektima;
(c) U slučaju izveštaja tipa 2, testirane kontrole, koje su neophodne za pružanje razumnog uveravanje da su kontrolni ciljevi navedeni u opisu uslužne organizacije ispunjeni, nisu operativno efektivni, po svim materijalno značajnim aspektima; ili
(d) Revizor uslužne organizacije nije u mogućnosti da pribavi dovoljno adekvatnih dokaza, mišljenje revizora uslužne organizacije će biti modifikovano, a izveštaj revizora uslužne organizacije kojim se pruža uveravanje će sadržati odeljak u kom je dat jasan opis svih razloga za modifikaciju.
Ostale odgovornosti koje se tiču komunikacije
56. Ako revizor uslužne organizacije uoči neusklađenost sa zakonima i regulativom, postojanja kriminalne radnje ili neispravljenih grešaka koje se mogu pripisati uslužnoj organizaciji, a koje nisu beznačajne i mogu da utiču na jedan ili više entiteta korisnika, revizor uslužne organizacije utvrđuje da li je to adekvatno saopšteno entitetima korisnicima kojih se to tiče. Ukoliko ove informacije nisu saopštene na takav način i uslužna organizacija nije voljna da to učini, revizor uslužne organizacije preduzima odgovarajuće aktivnosti. (videti paragraf A53)
* * *
(videti paragrafe 1, 3)
A1. Interna kontrola je proces koji je osmišljen u cilju pružanje uveravanja u razumnoj meri u pogledu ostvarivanja ciljeva koji se tiču pouzdanosti finansijskog izveštavanja, efektivnosti i efikasnosti poslovanja i usklađenosti sa primenljivim zakonima i regulativom. Kontrole koje se odnose na poslovanje uslužne organizacije i ostvarivanje usklađenosti mogu biti relevantne za internu kontrolu entiteta korisnika pošto se odnose na finansijsko izveštavanje. Takve kontrole mogu da se odnose na tvrdnje u vezi sa prezentacijom i obelodanjivanjem koje se tiču salda na računima, klasa transakcija ili obelodanjivanje, ili mogu da se odnose na dokaze koje revizor korisnika procenjuje ili koristi u primeni revizijskih procedura. Na primer, kontrole u odeljenju za obračun zarada u finansijskoj organizaciji koje se odnose na blagovremeno doznačavanje poreza na zarade mogu biti relevantne za entitete korisnike jer kašnjenje može da uzrokuje obračun kamata ili kazne što bi za rezultat imalo dodatne obaveze za entitete korisnike. Slično tome, kontrole uslužne organizacije koji se odnose na prihvatljivost investicionih transakcija iz perspektive regulative može da bude relevantno za prezentaciju i obelodanjivanje transakcija i salda računa u finansijskim izveštajima entiteta korisnika. Da bi se utvrdilo da li su kontrole uslužne organizacije koje se tiču poslovanja i usklađenosti relevantne kad je u pitanju odnos internih kontrola uslužne organizacije i finansijskog izveštavanja potrebno je profesionalno rasuđivanje uz istovremeno razmatranje kontrolnih ciljeva koje postavlja uslužna organizacija i adekvatnosti kriterijuma.
A2. Uslužna organizacija možda neće moći da tvrdi da je sistem adekvatno osmišljen kada, na primer, uslužna organizacija koristi sistem koji je osmislio entitet korisnik ili je predviđen ugovorom između entiteta korisnika i uslužne organizacije. Usled neraskidive povezanosti između adekvatne osmišljenosti kontrola i njihove efektivne primene, nedostatak izjave u vezi sa adekvatnom osmišljenosti kontrola može lako da onemogući revizora uslužne organizacije da zaključi kako kontrole pružaju uveravanje u razumnoj meri da su kontrolni ciljevi ispunjeni, a samim tim i da formira mišljenje o efektivnoj primeni kontrola. Kao alternativa ovome, praktičar može da odluči da prihvati angažovanje kojim se sprovode dogovoreni postupci za testiranja kontrola ili angažovanje kojim se pruža uveravanje u skladu sa ISAE 3000, da bi doneo zaključak, na osnovu testiranja kontrola, da li su kontrole funkcionisale kao što je opisano.
(videti paragraf 9(d), 9(g))
A3. Definicija izraza "kontrole uslužne organizacije" uključuje aspekte informacionih sistema entiteta korisnika koje održava uslužna organizacija ali mogu da uključuju i aspekte jedne ili više komponenti interne kontrole uslužne organizacije. Na primer može da uključuje aspekte kontrolnog okruženja, nadzora i kontrolnih aktivnosti uslužne organizacije kada se oni odnose na pružene usluge. Sa druge strane, ona ne uključuje kontrole uslužne organizacije koje se ne odnose na ostvarivanje kontrolnih ciljeva navedenih u opisu sistema uslužne organizacije, na primer, kontrole koje se odnose na pripremu sopstvenih finansijskih izveštaja uslužne organizacije.
A4. Kada se koristi metod uključivanja, zahtevi ovog standard se primenjuju na usluge koje pruža uslužna organizacija podizvođač, uključujući pribavljanje saglasnosti u vezi sa pitanjima u paragrafu 13(b)(i)-(v) kao što ih primenjuje podizvođač pre nego uslužna organizacija. Za obavljanje procedura u uslužnoj organizaciji podizvođaču neophodna je koordinacija i komunikacija između uslužne organizacije, podizvođača i revizora uslužne organizacije. Metod uključivanje je u načelu izvodljiv samo kada su uslužna organizacija i podizvođač povezani ili kada postoji ugovor između uslužne organizacije i uslužne organizacije podizvođača kojim je omogućena njegova primena.
(videti paragraf 11)
A5. Revizor uslužne organizacije podleže relevantnim zahtevima u pogledu nezavisnosti koji su navedeni u delovima A i B IESBA-ovog Etičkog kodeksa, kao i onim nacionalnim zahtevima koji su restriktivniji. Pri vršenju angažovanja u skladu sa ovom standardom, IESBA-ov Etički kodeks ne zahteva od revizora da bude nezavisan u odnosu na sve entitete korisnike.
Rukovodstvo i lica ovlašćena za upravljanje
(videti paragraf 12)
A6. Strukture rukovođenja i upravljanja su različite u zavisnosti od pravnog sistema i samog entiteta, i u njima se odražavaju uticaji kulturnog i pravnog okruženja, kao i veličina i osobine vlasničke strukture. Ovaj nivo raznolikosti ima za posledicu to da nije izvodljivo da ovaj standard za sva angažovanja odredi lice ili lica sa kojima revizor uslužne organizacije sarađuje u vezi sa određenim pitanjima. Na primer, uslužna organizacija može biti deo treće strane, a ne zaseban entitet. U takvim slučajevima, za identifikaciju odgovarajućih rukovodećih kadrova ili lica ovlašćenih za upravljanje od kojih se traže pisane izjave može biti neophodna primena profesionalnog rasuđivanja.
Prihvatanje i nastavak saradnje
Sposobnosti i kompetencija za vršenje angažovanja (videti paragraf 13(a)(i))
A7. Relevantne sposobnosti i kompetencija za vršenje angažovanja uključuju sledeće elemente:
• Poznavanje relevantne privredne grane;
• Razumevanje informacionih tehnologija i sistema;
• Iskustvo u evaluaciji rizika po pitanju njihovog odnosa sa adekvatno osmišljenim kontrolama; i
• Iskustvo u osmišljavanju i sprovođenju testova kontrola i oceni rezultata.
Izjave uslužne organizacije (videti paragraf 13(b)(i))
A8. Ukoliko uslužna organizacija odbije da obezbedi pismenu izjavu nakon pristanka revizora uslužne organizacije da prihvati ili nastavi angažovanje, predstavlja ograničenje delokruga koje predstavlja razlog da se revizor povuče iz angažovanja. Ukoliko zakonom ili regulativom nije omogućeno revizoru da se povuče iz angažovanja, revizor uslužne organizacije se uzdržava od mišljenja.
Razumna osnova za izjave uslužne organizacije (videti paragraf 13(b)(ii))
A9. U slučaju izveštaja tipa 2, izjava uslužne organizacije uključuju i izjavu da su kontrole koje se odnose na kontrolne ciljeve navedene u opisu sistema uslužne organizacije efektivno primenjivane tokom određenog perioda. Ova izjava može biti bazirana na aktivnostima nadzora koje sprovodi uslužna organizacija. Nadzor kontrola je proces kojim se procenjuje efektivnost kontrola tokom vremena. Ovaj proces uključuje blagovremenu procenu kontrola, identifikaciju nedostataka i obaveštavanje odgovarajućih lica unutar uslužne organizacije, kao i preduzimanje neophodnih korektivnih aktivnosti. Uslužna organizacija postiže nadzor kontrola kroz stalne aktivnosti, zasebne evaluacije ili kroz kombinaciju ovih elemenata. Što je veći stepen i efektivnost stalnih aktivnosti nadzora, manja je potreba za zasebnim evaluacijama. Stalne aktivnosti nadzora su veoma često uklopljene u normalne aktivnosti koje se ponavljaju u uslužnoj organizaciji i uključuju uobičajene aktivnosti rukovođenja i nadzora. Interni revizori ili kadrovi koji obavljaju slične funkcije mogu da daju svoj doprinos nadzoru aktivnosti uslužne organizacije. Nadzorne aktivnosti takođe mogu da uključuju korišćenje informacija eksternog porekla, kao što su žalbe korisnika i komentari zakonodavnih organa, koje mogu da ukažu na probleme ili da istaknu oblasti u kojima je potrebno poboljšanje. Činjenica da revizor uslužne organizacije izveštava o operativnoj efektivnosti kontrola ne predstavlja zamenu za sopstvene procese kojima organizacija obezbeđuje razumnu osnovu za izjave.
Identifikacija rizika (videti paragraf 13(b)(iv))
A10. Kao što je pomenuto u paragrafu 9(c), kontrolni ciljevi se odnose na rizike koje kontrole nastoje da ublaže. Na primer, rizik od toga da transakcija bude evidentirana sa pogrešnim iznosom ili u pogrešnom periodu može da se izrazi kontrolni cilj evidentiranja transakcija sa pravim iznosom i u pravom periodu. Uslužna organizacija je odgovorna za identifikaciju rizika koji ugrožavaju postizanje kontrolnih ciljeva navedenih u opisu sistema. Uslužna organizacija može da primenjuje formalne ili neformalne procese za identifikaciju relevantnih rizika. Formalni proces može da uključuje procenu značaja identifikovanih rizika i verovatnoće njihovog javljanja, i donošenje odluke u vezi sa povezanim aktivnostima. Međutim, pošto se kontrolni ciljevi odnose na rizike koje kontrole žele da ublaže, detaljna identifikacija kontrolnih ciljeva tokom osmišljavanja i implementacije sistema uslužne organizacije može sama po sebi da sadrži neformalan proces za identifikaciju relevantnih rizika.
Prihvatanje izmena uslova angažovanja (videti paragraf 14)
A11. Zahtev da se promeni delokrug angažovanja možda neće imati razumno opravdanja kada je taj zahtev postavljen kako bi se isključili određeni kontrolni ciljevi iz delokruga angažovanja zbog velike verovatnoće da će mišljenje revizora uslužne organizacije biti modifikovano ili da uslužna organizacija neće obezbediti revizoru uslužne organizacije izjavu u pisanom obliku a postavljen je zahtev da angažovanje bude u skladu sa ISAE 3000.
A12. Zahtev da se promeni delokrug angažovanja može da ima razumno opravdanje kada je, na primer, u pitanju zahtev da se iz delokruga angažovanja isključi podizvođač uslužne organizacije kada uslužna organizacija ne može da obezbedi pristup revizoru uslužne organizacije, te se metod koji se koristi u obradi usluga koje pruža taj podizvođač promeni iz metoda uključivanja u metod isečka.
Procena adekvatnosti kriterijuma
(videti paragraf 15-18)
A13. Kriterijumi treba da budu na raspolaganju korisnicima kako bi mogli da steknu razumevanje osnova na kojima se temelje izjave uslužne organizacije u vezi sa objektivnom i istinitom prezentacijom opisa njenog sistema, adekvatne osmišljenosti kontrola i u slučaju izveštaja tipa 2, efektivne primene kontrola koje se odnose na kontrolne ciljeve.
A14. ISAE 3000 (revidiran) zahteva od revizora uslužne organizacije da, između ostalog, odredi adekvatnost kriterijuma i prikladnost Osnovnih predmetnih pitanja. Osnovno predmetno pitanje je osnovni uslov koji je od interesa korisnicima izveštaja kojim se pruža uveravanje. U sledećoj tabeli navedena su predmetna pitanja i minimalni kriterijumi za svako od mišljenja u izveštajima tipa 2 i tipa 1.
|
Predmetno pitanje |
Kriterijumi |
Komentar |
|
|
Mišljenje o objektivnoj i istinitoj prezentaciji opisa sistema uslužne organizacije (izveštaji tipa 1 i 2) |
Sistem uslužne organizacije koji će verovatno biti relevantan za internu kontrolu entiteta korisnika jer se odnosi na finansijsko izveštavanje i obuhvaćen je izveštajem revizora uslužne organizacije kojim se pruža uveravanje. |
Opis je objektivan i istinit ako: (a) prezentuje kako je osmišljen i primenjen sistem uslužne organizacije, uključujući, po potrebi, pitanja identifikovana u paragrafima 16(a)(i)-(viii); (b) u slučaju izveštaja tipa 2, uključeni su relevantni detalji koji se odnose ne promene u sistemu uslužne organizacije tokom perioda obuhvaćenog opisom; i (c) nisu izostavljene ili iskrivljene informacije relevantne za delokrug sistema uslužne organizacije koji je opisan, pri čemu se priznaje da je opis pripremljen u cilju ispunjavanja opštih potreba širokog spektra entiteta korisnika i stoga ne mora nužno da uključuje sve aspekte sistema uslužne organizacije koje svaki pojedini entitet korisnik može da smatra važnim u svom specifičnom okruženju. |
Konkretna definicija kriterijuma za ovo mišljenje će možda morati da se modifikuje da bi bila dosledna kriterijumima koje određuju, na primer, zakoni ili regulativa, grupe korisnika ili profesionalna tela. Primeri kriterijuma za ovo mišljenje se nalaze u ilustrativnim izjavama uslužnih organizacija u Prilogu 1. Paragrafi A21-A24 pružaju dodatne smernice za donošenje odluke da li su ovi kriterijumi ispunjeni. (Prema zahtevima ISAE 3000 (revidiran), informacija o predmetnom pitanju za ovo mišljenje je opis sistema uslužne organizacije i izjavauslužne organizacije da je opis prezentovan objektivno i istinito.) |
|
Predmetno pitanje |
Kriterijumi |
Komentar |
||
|
Mišljenje o adekvatnoj osmišljenosti kontrola i efektivnoj primeni (izveštaj |
Adekvatna osmišljenost i efektivna primena onih kontrola koje su neophodne da bi se postigli kontrolni ciljevi navedeni u opisu sistema uslužne organizacije. |
Kontrole su adekvatno osmišljene i efektivno se primenjuju ako: (a) je uslužna organizacija identifikovala rizike koji ugrožavaju postizanje kontrolnih ciljeva navedenih u opisu sistema; (b) kontrole identifikovane u tom opisu, ako se primenjuju kao što je opisano, pružaju uveravanje u razumnoj meri da rizici ne onemogućavaju ispunjavanje navedenih kontrolnih ciljeva; i (c) se kontrole dosledno primenjuju onako kako su osmišljene tokom određenog perioda. Tu je uključeno i pitanje da li manuelne kontrole primenjuju lica koja imaju odgovarajuće kompetencije i ovlašćenja. |
Kada se ispune kriterijumi za ovo mišljenje, kontrole pružaju uveravanje u razumnoj meri da su povezani kontrolni ciljevi ispunjeni tokom određenog perioda. (Prema zahtevima ISAE 3000 (revidiran), informacija o predmetnom pitanju za ovo mišljenje je opis sistema uslužne organizacije i izjava uslužne organizacije da su kontrole adekvatno osmišljene i da se efektivno primenjuju.) |
Kontrolni ciljevi navedeni u opisu sistema uslužne organizacije su deo kriterijuma za ta mišljenja. Navedeni kontrolni ciljevi se razlikuju od angažovanja do angažovanja. Ako, u sklopu formiranja mišljenja o opisu, revizor uslužne organizacije zaključi da navedeni kontrolni ciljevi nisu prezentovani objektivno i istinito, onda ti kontrolni ciljevi neće biti prikladan deo kriterijumima za formiranje mišljenja o osmišljenosti ili efektivnoj primeni kontrola. |
|
Mišljenje o adekvatnoj osmišljenosti (izveštaj tipa 1) |
Adekvatna osmišljenost i efektivna primena onih kontrola koje su neophodne da bi se postigli kontrolni ciljevi navedeni u opisu sistema uslužne organizacije. |
Kontrole su adekvatno osmišljene ako: (a) je uslužna organizacija identifikovala rizike koji ugrožavaju postizanje kontrolnih ciljeva navedenih u opisu sistema; (b) kontrole identifikovane u tom opisu, ako se primenjuju kao što je opisano, pružaju uveravanje u razumnoj meri da rizici ne onemogućavaju ispunjavanje navedenih kontrolnih ciljeva. |
Ispunjavanje ovih kriterijuma, samo po sebi, ne pruža nikakvo uveravanje da su povezani kontrolni ciljevi postignuti zato što nije stečeno nikako uveravanje u vezi sa primenom kontrola. (Prema zahtevima ISAE 3000 (revidiran), informacija o predmetnom pitanju za ovo mišljenje je opis sistema uslužne organizacije i izjava uslužne organizacije da su kontrole adekvatno osmišljene.) |
A15. U paragrafu 16(a) identifikovan je jedan broj elemenata koji se po potrebi uključuju u opis sistema uslužne organizacije. Ovi elementi možda neće biti potrebni ako opisani sistem, na primer, ne obrađuje transakcije, ako se sistem odnosi na opšte kontrole primene neke aplikacije u sklopu informacionog sistema, a ne na kontrole koje su sastavni deo te aplikacije.
(videti paragraf 19, 54)
A16. U angažovanju kojim se izveštava o kontrolama u uslužnoj organizaciji, koncept materijalnosti se odnosi na sistem o kom se izveštava, a ne na finansijske izveštaje entiteta korisnika. Revizor uslužne organizacije planira i vrši postupke u cilju utvrđivanja da li je opis sistema uslužne organizacije objektivno i istinito prezentovan po svim materijalno značajnim aspektima, da li su kontrole u uslužnoj organizaciji adekvatno osmišljene po svim materijalno značajnim aspektima i u slučaju izveštaja tipa 2, da li se kontrole u uslužnoj organizaciji efektivno primenjuju po svim materijalno značajnim aspektima. Koncept materijalnosti uzima u obzir da izveštaj revizora uslužne organizacije kojim se pruža uveravanje o sistemu uslužne organizacije ispunjava opšte potrebe za informacijama širokog spektra entiteta i njihovih revizora koji poseduju razumevanja o tome na koji se način taj sistem koristi.
A17. Materijalnost u pogledu objektivne i istinite prezentacije opisa sistema uslužne organizacije, kao i osmišljenosti kontrola, prvenstveno uključuje razmatranje kvalitativnih faktora, na primer: da li opis uključuje značajne aspekte obrade značajnih transakcija; da li u opisu nedostaju ili su iskrivljene relevantne informacije; kao i sposobnost kontrola, na način na koji su osmišljene, da pruže uveravanje u razumnoj meri da će kontrolni ciljevi biti postignuti. Materijalni značaj u pogledu mišljenja revizora uslužne organizacije o efektivnoj primeni kontrola uključuje razmatranje kvantitativnih i kvalitativnih faktora, na primer, prihvatljiva stopa i uočena stopa odstupanja (kvantitet) i priroda i uzrok svakog od uočenih odstupanja (kvalitet).
A18. Koncept materijalnosti se ne primenjuje prilikom obelodanjivanja, u opisu testova kontrola, rezultata onih testova kod kojih su identifikovana odstupanja. To je zbog toga što u određenim okolnostima u kojima se nalazi entitet korisnik ili revizor korisnika, odstupanje može da bude značajno bez obzira na to da li, po mišljenju revizora uslužne organizacije, onemogućava efektivnu primenu kontrole. Na primer, kontrola na koju se odnosi odstupanje može da bude veoma značajno za sprečavanje nastajanja određene vrste greške koja može da bude materijalno značajna u određenim okolnostima za finansijske izveštaje entiteta korisnika.
Razumevanja sistema uslužne organizacije
(videti paragraf 20)
A19. Postizanje razumevanja sistema uslužne organizacije, uključujući i njene kontrole, sadržane u delokrugu angažovanja, pomaže revizoru da:
• Identifikuje ograničenja tog sistema i način na koji je povezan sa drugim sistemima.
• Proceni da li opis koji je izradila uslužna organizacija objektivno i istinito prezentuje sistem koji je osmišljen i implementiran.
• Stekne razumevanje internih kontrola koje se odnose na pripremu izjave uslužne organizacije.
• Utvrdi koje su kontrole neophodne da bi se postigli kontrolni ciljevi navedeni u opisu sistema uslužne organizacije.
• Proceni da li su kontrole adekvatno osmišljene.
• Proceni, u slučaju izveštaja tipa 2, da li su kontrole efektivno primenjivane.
A20. Postupci koje revizor uslužne organizacije koristi za sticanje tog razumevanja mogu da sadrže:
• Ispitivanje lica u uslužnoj organizaciji koja, po rasuđivanju revizora, mogu da poseduju relevantne informacije.
• Posmatranje poslovnih aktivnosti i uvid u dokumente, izveštaje, štampane i elektronske evidencije o obradi transakcija.
• Uvid u određeni broj sporazuma između uslužne organizacije i entiteta korisnika kako bi se identifikovali zajednički elementi.
• Ponovno izvršenje kontrolnih postupaka.
Pribavljanje dokaza u vezi sa opisom
(videti paragraf 21-22)
A21. Razmatranje sledećih pitanja može da pomogne revizoru uslužne organizacije da utvrdi da li su aspekti opisa koji su uključeni u delokrug angažovanja prezentovani objektivno i istinito po svim materijalno značajnim aspektima:
• Da li se opis bavi najvažnijim aspektima pružene usluge (u delokrugu angažovanja) za koje se u razumnoj meri može očekivati da budu relevantni za uobičajene potrebe širokog spektra revizora pri planiranju revizije finansijskih izveštaja entiteta korisnika?
• Da li je opis pripremljen toliko detaljno da se može u razumnoj meri očekivati da pruži širokom spektru korisnika dovoljno informacija za razumevanje interne kontrole u skladu sa ISA 315 (revidiran)? Opis ne treba da se bavi svim aspektima obrade koju obavlja uslužna organizacija niti usluga koje se pružaju entitetima korisnicima, i ne treba da bude toliko detaljan da bi postojala mogućnost da korisnik naruši bezbedonosne ili druge kontrole u uslužnoj organizaciji.
• Da li je opis pripremljen tako da nisu izostavljene niti iskrivljene informacije koje bi mogle da utiču na uobičajene potrebe za donošenje širokog spektra revizorovih odluka, na primer, da li opis sadrži neke značajne nedostatke ili netačnosti kojih je svestan revizor uslužne organizacije?
• Da li su neki od kontrolnih ciljeva navedenih u opisu sistema uslužne organizacije izostavljene iz delokruga angažovanja i da li su u opisu jasno identifikovani izostavljeni ciljevi?
• Da li se kontrole identifikovane u opisu primenjuju?
• Da li su komplementarne kontrole entiteta korisnika, ako postoje, adekvatno opisane? U većini slučajeva opis kontrolnih ciljeva je formulisan tako da kontrolni ciljevi mogu da se ispune samo efektivnom primenom postojećih kontrola u uslužnoj organizaciji. U nekim slučajevima, međutim, kontrolni ciljevi navedeni u opisu sistema uslužne organizacije ne mogu da se postignu samo radom uslužne organizacije zbog toga što pojedine kontrole moraju da implementiraju entiteti korisnici. To može da bude slučaj kada, na primer, kontrolne ciljeve formulišu nadležna regulatorna tela. Kada opis sadrži komplementarne kontrole entiteta korisnika, u opisu se zasebno identifikuju te kontrole zajedno sa konkretnim kontrolnim ciljevima koje uslužna organizacija ne može samostalno da postigne.
• Ako je korišćen metod uključivanja, da li su u opisu zasebno identifikovane kontrole u uslužnoj organizaciji i kontrole u uslužnoj organizaciji podizvođaču? Ako je korišćen metod isečka, da li su u opisu identifikovane funkcije koje obavlja uslužna organizacija podizvođač? Kada se koristi metod isečka, opis ne mora da sadrži detalje o procesima obrade ili kontrolama u podizvođaču.
A22. Postupci koje primenjuje revizor uslužne organizacije za evaluaciju objektivne i istinite prezentacije opisa mogu da sadrže sledeće:
• Razmatranje prirode entiteta korisnika i da li usluge koje pruža uslužna organizacija utiču na njih, na primer, da li entiteti korisnici pripadaju određenoj privrednoj grani ili da li državni organi postavljaju regulativu za njihov rad.
• Čitanje standardnih ugovora ili standardnih uslova ugovora, ako je primenljivo, sa entitetima korisnicima u cilju sticanja razumevanja ugovornih obaveza uslužne organizacije.
• Praćenje procedura koje obavljaju kadrovi uslužne organizacije.
• Pregled priručnika koji sadrže politike i procedure organizacije, i druge sistemske dokumentacije, na primer, dijagrami toka i narativni opisi.
A23. Paragrafom 21(a) zahteva se od revizora uslužne organizacije da proceni da li su kontrolni ciljevi navedeni u opisu sistema uslužne organizacije razumni u odnosu na okolnosti. U pravljenju ove procene revizoru uslužne organizacije mogu da pomognu sledeća pitanja:
• Da li su navedeni kontrolni ciljevi postavljeni od strane same uslužne organizacije ili nekog spoljnog činioca kao što je nadležno regulatorno telo, grupa korisnika ili profesionalno telo koje primenjuje transparentan postupak odobravanja?
• Kada su navedeni kontrolni ciljevi formulisani od strane uslužne organizacije, da li se odnose na vrste tvrdnji obično sadržane u širokom spektru finansijskih izveštaja entiteta korisnika na koje može razumno da se očekuje da će kontrole u uslužnoj organizaciji da se odnose? Iako revizor uslužne organizacije uglavnom neće biti u mogućnosti da utvrdi kako se kontrole u uslužnoj organizaciji tačno odnose na tvrdnje sadržane u finansijskim izveštajima zasebnih entiteta korisnika, revizor uslužne organizacije koristi svoje razumevanje prirode sistema uslužne organizacije, uključujući razumevanje kontrole i usluge koje organizacija pruža radi identifikacije vrste tvrdnji na koje će takve kontrole najverovatnije da se odnose.
• Kada navedene kontrolne ciljeve formuliše uslužna organizacija, da li su potpuni? Potpun set kontrolnih ciljeva može da pruži okvir širokom spektru revizora korisnika, koji im omogućuje da procene efekat kontrola u uslužnoj organizaciji na tvrdnje koje su obično sadržane u finansijskim izveštajima entiteta korisnika.
A24. Postupci internog revizora u cilju utvrđivanja da li se primenjuje sistem uslužne organizacije mogu da budu slični i da se vrše u kombinaciji sa postupcima čiji je cilj sticanje razumevanja o tom sistemu. Ovi postupci takođe mogu da uključe praćenje stavki kroz sistem uslužne organizacije i u slučaju izveštaja tipa 2, specifične upite o promenama u kontrolama do kojih je došlo tokom perioda. Promene koje su značajne za entitete korisnike ili njihove revizore su sadržane u opisu sistema uslužne organizacije.
Pribavljanje dokaza o osmišljenosti kontrola
(videti paragraf 23, 28(b))
A25. Iz perspektive entiteta korisnika ili revizora korisnika, kontrola je adekvatno dizajnirana ako, zasebno ili u kombinaciji sa drugim kontrolama, uz uslov da je njena primena zadovoljavajuća, pruža uveravanje u razumnoj meri da je sprečena pojava materijalno značajnih pogrešne iskaze ili da su oni otkriveni i ispravljeni. Uslužna organizacija ili revizor uslužne organizacije, međutim, nisu svesni okolnosti u zasebnim entitetima korisnicima koje bi mogle da odrede da li je pogrešan iskaz nastao usled nedostatka u kontrolama od materijalnog značaja za taj entitet. Zato, iz perspektive revizora uslužne organizacije, kontrola je adekvatno dizajnirana ako, zasebno ili u kombinaciji sa drugim kontrolama, uz uslov da je njena primena zadovoljavajuća, pruža uveravanje u razumnoj meri da su ispunjeni kontrolni ciljevi navedeni u opisu sistema uslužne organizacije.
A26. Revizor korisnika može da razmotri primenu dijagrama toka, upitnika ili tabela odlučivanja da bi olakšao postizanje razumevanja osmišljenosti kontrola.
A27. Kontrole mogu da se sastoje od više aktivnosti kojima se postiže ostvarenje kontrolnih ciljeva. Kao posledica toga, ako revizor proceni određene aktivnosti kao neefektivne u ostvarivanju specifičnog kontrolnog cilja, postojanje drugih aktivnosti može da omogući revizoru uslužne organizacije da zaključi da su kontrole koje se odnose na taj kontrolni cilj adekvatno osmišljene.
Pribavljanje dokaza u vezi sa efektivnom primenom kontrola
Procena efektivne primene (videti paragraf 24)
A28. Iz perspektive entiteta korisnika ili revizora korisnika, kontrola je efektivna ako, zasebno ili u kombinaciji sa drugim kontrolama, pruža uveravanje u razumnoj meri da su materijalno pogrešni iskazi, bilo kao posledica kriminalne radnje ili greške, sprečeni ili da su oni detektovani i ispravljeni. Uslužna organizacija ili revizor uslužne organizacije, međutim, nisu svesni okolnosti u zasebnim entitetima korisnicima koje određuju da li je došlo do nastajanja pogrešnog iskaza zbog odstupanja u kontrolama i ako jesu, da li je materijalno značajna. Zbog toga, iz perspektive revizora uslužne organizacije, kontrola se efektivno primenjuje ako, zasebno ili u kombinaciji sa drugim kontrolama, pruža uveravanje u razumnoj meri da su kontrolni ciljevi navedeni u opisu sistema uslužne organizacije postignuti. Takođe, uslužna organizacija ili revizor uslužne organizacije, nisu u poziciji da utvrde da li bi bilo koje uočeno odstupanje u kontrolama dovelo do materijalno pogrešnog iskaza iz perspektive zasebnog entiteta korisnika.
A29. Sticanje razumevanja o kontrolama koje je dovoljno da bi se formiralo mišljenje o tome koliko su adekvatno osmišljene nije dovoljan dokaz u vezi sa njihovom efektivnom primenom osim ako ne postoji određeni nivo automatizacije koji omogućuje doslednu primenu kontrola na način na koji su osmišljene i implementirane. Na primer, pribavljanje informacija o primeni manuelnih kontrola u trenutku vremena ne pruža dokaze i primeni istih kontrola u drugim trenucima vremena. Ipak, zbog inherentne doslednosti kompjuterske obrade podataka, vršenje postupaka u cilju utvrđivanja osmišljenosti automatizovanih kontrola i da li se one primenjuju onako kako su osmišljene, može da posluži kao dokaz efektivne primene date kontrole u zavisnosti od procene revizora uslužne organizacije i testiranja drugih kontrola kao što su kontrole koje se odnose na programske promene.
A30. Da bi bio koristan drugim revizorima, izveštaj tipa dva obično obuhvata minimalan period od 6 meseci. Ako je period kraći od 6 meseci, revizor uslužne organizacije može da smatra za shodno da u izveštaju revizora uslužne organizacije kojim se pruža uveravanje iznese razloge za obuhvatanje kraćeg perioda. Među okolnostima koje mogu da dovedu do toga da se obuhvata period kraći od 6 meseci su kada (a) je revizor uslužne organizacije angažovan blizu datuma kada izveštaj o kontrolama treba da bude objavljen, (b) je uslužna organizacija (ili određeni sistem ili aplikacija) u funkciji manje od 6 meseci; ili (c) su izvršene značajne izmene kontrola i nije izvodljivo čekati šest meseci do objavljivanja izveštaja niti objaviti izveštaj koji obuhvata sistem pre i posle promena.
A31. Za određene kontrolne procedure ne postoje dokazi primene koji bi kasnije mogli da se testiraju zbog čega revizor uslužne organizacije može da nađe za shodno da testira efektivnu primenu takvih kontrola u različitim trenucima tokom izveštajnog perioda.
A32. Revizor uslužne organizacije daje mišljenje o efektivnoj primeni kontrola tokom celog perioda i zato su potrebni zadovoljavajući dokazi o primeni kontrola u tekućem periodu da bi revizor uslužne organizacije mogao da izrazi to mišljenje. Znanje o odstupanjima uočenim u ranijim angažovanjima može, međutim, dovesti do toga da revizor uslužne organizacije poveća obim testiranja u tekućem periodu.
Testiranje indirektnih kontrola (videti paragraf 25(b))
A33. U određenim okolnostima može biti neophodno pribaviti dokaze koji pokazuju da se indirektne kontrole efektivno primenjuju. Na primer, kada revizor uslužne organizacije odluči da testira efektivnost pregleda izveštaja o izuzecima koji sadrže detalje o slučajevima prodaje preko utvrđenih granica kreditiranja, pregled i povezane naknadne provere predstavljaju kontrolu koja je direktno relevantna revizoru uslužne organizacije. Kontrole tačnosti informacija u izveštajima (na primer, opšte IT kontrole) su opisane kao "indirektne" kontrole.
A34. Zbog inherentne doslednosti kompjuterske obrade podataka, dokazi o primeni automatizovane aplikativne kontrole, kada se razmatraju u kombinaciji sa dokazima o efektivnoj primeni opštih kontrola u organizaciji (naročito kontrola koje se odnose na promene), takođe mogu da pruže značajne dokaze o njenoj efektivnoj primeni.
Način odabira stavki za testiranje (videti paragraf 25(c), 27)
A35. Načini odabira stavki za testiranje koji su na raspolaganju revizoru uslužne organizacije su sledeći:
(a) Odabir svih stavki (ispitivanje 100% populacije). Ovo može da bude prikladno za testiranje kontrola koje se ne koriste često, već na primer, kvartalno, ili kada dokazi u vezi sa primenom kontrole omogućavaju da ispitivanje 100% populacije bude efikasno;
(b) Odabir konkretnih stavki. Ovo može da bude prikladno kada ispitivanje 100% populacije ne bi bilo efikasno, a uzorkovanje ne bi bilo efektivno, kao što je testiranje kontrola koje se ne primenjuju dovoljno često da bi se stvorila dovoljno velika populacija za uzorkovanje, na primer, kada se kontrole primenjuju na mesečnom ili nedeljnom nivou; i
(c) Uzorkovanje. Ovo može da bude prikladno za testiranje kontrola koje se često koriste na isti način i za čiju primenu postoje dokumentovani dokazi.
A36. Iako selektivno ispitivanje konkretnih stavki često može da bude efikasan način za pribavljanje dokaza, to ne može da se podvede pod uzorkovanje. Rezultati postupaka koji se primenjuju na stavke odabrane na ovaj način ne mogu da se projektuju na celu populaciju. U skladu sa tim, selektivno ispitivanje konkretnih stavki ne pruža dokaze koji se odnose na ostatak populacije. Uzorkovanje je, sa druge strane, osmišljeno kako bi se omogućilo donošenje zaključaka koji se odnose na celu populaciju na osnovu testiranja uzorka uzetog iz te populacije.
Sticanje razumevanja o funkciji interne revizije (videti paragraf 30)
A37. Funkcija interne revizije može da bude odgovorna za obavljanje analiza, evaluacija, uveravanja, preporuka i pružanje drugih informacija rukovodstvu i licima ovlašćenim za upravljanje. Funkcija interne revizije u uslužnoj organizaciji može da vrši aktivnosti koje se odnose na sistem interne kontrole uslužne organizacije ili aktivnosti koje se odnose na usluge i sisteme, uključujući i kontrole, koje uslužna organizacija pruža entitetima korisnicima.
Utvrđivanje da li koristiti rad internih revizora i u kojoj meri (videti paragraf 33)
A38. Da bi se utvrdio planirani efekat rada internih revizora na prirodu, rokove i obim postupaka revizora uslužne organizacije, mogu da se uzmu u obzir sledeći faktori koji mogu da naznače potrebu za korišćenjem drugih, drugačijih ili manje ekstenzivnih postupaka nego što bi u suprotnom bio slučaj:
• Postoje značajna ograničenja prirode i obima specifičnih aktivnosti koje su obavljene ili treba da budu obavljene od strane internih revizora.
• Rad internih revizora se odnosi na kontrole koje su manje značajne za zaključke revizora uslužne organizacije.
• Rad koji obavlja ili treba da obavi interni revizor ne zahteva subjektivno ili kompleksno rasuđivanje.
Korišćenje rezultata rada funkcije interne revizije (videti paragraf 34)
A39. Priroda, rokovi i obim postupaka revizora uslužne organizacije koji se odnose na konkretne rezultate rada internih revizora zavise od procene revizora uslužne organizacije po pitanju značaja tih rezultata na zaključke revizora uslužne organizacije (na primer, značaj rizika za čije su ublažavanje zadužene date kontrole), evaluaciju funkcije interne revizije i evaluacije konkretnih rezultata rada internih revizora. Ovi postupci uključuju sledeće:
• Ispitivanje stavki koje su interni revizori već ispitali;
• Ispitivanje drugih sličnih stavki; i
• Posmatranje postupaka koje obavljaju interni revizoru.
Efekat na izveštaj revizora uslužne organizacije kojim se pruža uveravanje (videti paragraf 36-37)
A40. Bez obzira na nivo nezavisnosti i objektivnosti funkcije interne revizije, ta funkcija nije na istom stepenu nezavisnosti od uslužne organizacije kakav se zahteva od revizora uslužne organizacije prilikom rada na angažovanju. Revizor uslužne organizacije jedini snosi odgovornost za mišljenje izraženo u izveštaju revizora uslužne organizacije kojim se pruža uveravanje, a ta odgovornost ne može da se umanji time što revizor uslužne organizacije koristi rezultate rada internih revizora.
A41. Revizor uslužne organizacije može da prezentuje opis rezultata rada funkcije interne revizije na nekoliko načina, na primer:
• Tako što će uključiti uvodni materijal u opis testova kontrola u kom će naznačiti da su određeni rezultati rada funkcije interne revizije korišćeni pri testiranju kontrola.
• Pripisivanjem pojedinih testova internoj reviziji.
(videti paragraf 38, 40)
A42. Pisane izjave zahtevane paragrafom 38 su odvojene od i predstavljaju dodatak izjavi uslužne organizacije, kao što je definisano u paragrafu 9(o).
A43. Ako uslužna organizacija ne obezbedi pisane izjave zahtevane u skladu sa paragrafom 38(c) ovog standarda, može biti podesno da se mišljenje revizora uslužne organizacije modifikuje u skladu sa paragrafom 55(d) ovog standarda.
(videti paragraf 42)
A44. Etički kondeks IESBA zahteva da se revizor uslužne organizacije ne dovodi u vezu sa informacijama ako revizor uslužne organizacije smatra da:
(a) Sadrže materijalno pogrešne ili obmanjujuće iskaze;
(b) Nepromišljeno data saopštenja ili informacije; ili
(c) Su izostavljene ili su nejasne informacije čije je prisustvo zahtevano kada takvo izostavljanje ili nejasnoće mogu da navedu na pogrešan zaključak.
Ako ostale informacije u dokumentu koji sadrži opis sistema uslužne organizacije i u izveštaju revizora uslužne organizacije kojim se pruža uveravanje sadrže informacije koje se tiču budućnosti kao što su planovi za oporavak ili vanredne okolnosti, ili planove za modifikaciju sistema u cilju uklanjanja nedostataka identifikovanih u izveštaju revizora uslužne organizacije kojim se pruža uveravanje, ili tvrdnje promotivne prirode koje ne mogu da budu potkrepljene na razumnoj osnovi, revizor uslužne organizacije može da zahteva da te informacije budu uklonjene ili preformulisane.
A45. Ako uslužna organizacija odbije da ukloni ili preformuliše ostale informacije, mogu biti neophodne dodatne aktivnosti koje uključuju, na primer, sledeće:
• Zahtev uslužnoj organizaciji da obavi konsultacije sa svojom pravnom službom o adekvatnom pravcu delovanja.
• Opis materijalnih nedoslednosti ili materijalno pogrešnih iskaza koji se tiču činjenica u izveštaju kojim se pruža uveravanje.
• Zadržavanje izveštaja kojim se pruža uveravanje do rešenja spornih pitanja.
• Prekid angažovanja.
(videti paragraf 51)
A46. ISQC 1 (ili profesionalni zahtevi koji su barem jednako strogi) zahteva od firme da ustanovi politike i procedure za blagovremeno kompletiranje konačnog dosijea angažovanja. Odgovarajući rok za kompletiranja konačnog dosije angažovanja obično nije duži od 60 dana od datuma izveštaja revizora uslužne organizacije.
Izrada izveštaja revizora uslužne organizacije kojim se pruža angažovanje
Sadržaj izveštaja revizora uslužne organizacije kojim se pruža angažovanje (videti paragraf 53)
A47. Ilustrativni primeri izveštaja revizora uslužnih organizacije kojim se pruža uveravanje i povezanih izjava uslužnih organizacije sadržani su u Prilogu 1 i 2.
Ciljni korisnici i namena izveštaja revizora uslužne organizacije kojim se pruža uveravanje (videti paragraf 53(e))
A48. Kriterijumi koji se koriste u angažovanjima kojima se izveštava o kontrolama u uslužnoj organizaciji su relevantni samo ako je namena izveštaja pružanje informacija o sistemu uslužne organizacije, uključujući kontrole, onima koji poseduju razumevanje o tome kako entiteti korisnici koriste sistem za finansijsko izveštavanje. U skladu sa tim, ovo je navedeno u izveštaju revizora uslužne organizacije kojim se pruža uveravanje. Pored toga, revizor uslužne organizacije može da smatra za shodno da koristi formulaciju kojom se jasno ograničava distribucija izveštaja kojim se pruža uveravanje licima koja nisu ciljni korisnici, njegovo korišćenje od strane drugih strana ili njegovo korišćenje za druge svrhe.
Opis testova kontrola (videti paragraf 54)
A49. U opisu prirode testova kontrola za izveštaje tipa 2, od pomoći je korisnicima izveštaja revizora uslužne organizacije kojim se pruža uveravanje ako revizor uslužne organizacije isključi sledeće:
• rezultate svih testova koji su pokazali postojanje nedostataka čak i u slučaju da su identifikovane druge kontrole koje omogućavaju revizoru uslužne organizacije da zaključi da je relevantan kontrolni cilj postignut ili da je testirana kontrola naknadno uklonjena iz opisa sistema uslužne organizacije.
• Informacije o uzročnim faktorima za identifikovane nedostatke u meri u kojoj je revizor uslužne organizacije identifikovao te faktore.
Modifikovano mišljenje (videti paragraf 55)
A50. Ilustrativni primeri elemenata modifikovanog izveštaja revizora uslužne organizacije kojim se pruža uveravanje su sadržani u Prilogu 3.
A51. Čak i u slučaju kada je revizor izrazio negativno ili uzdržavajuće mišljenje, može biti podesno da u pasusu sa razlozima za modifikaciju uključi opis razloga za ostala pitanja za koja je revizor uslužne organizacije svestan da bi uzrokovala modifikaciju mišljenja kao i efekata do kojih bi to dovelo.
A52. Prilikom uzdržavanja od mišljenja zbog ograničenja delokruga, obično se ne smatra podesnim da se identifikuju postupci koji su obavljeni niti da se uključe izveštaji u kojima su opisane karakteristike angažovanja revizora uslužne organizacije; to bi moglo da baci senku na uzdržavajuće mišljenje revizora.
Ostale odgovornosti koje se tiču komunikacije
(videti paragraf 56)
A53. Adekvatne aktivnosti koje predstavljaju odgovor na okolnosti identifikovane u paragrafu 56 mogu da uključuju sledeće:
• Pribavljanje pravnih saveta o posledicama različitih pravaca delovanja.
• Komunikacija sa licima ovlašćenim za upravljanje u uslužnoj organizaciji.
• Komunikacija sa trećim stranama (na primer, nadležno regulatorno telo) kada se to zahteva.
• Modifikacija mišljenja revizor uslužne organizacije ili dodavanje pasusa u vezi ostalih pitanja.
• Prekid angažovanja.
(Videti paragraf A47)
Primeri izjava uslužnih organizacija
Primeri izjava uslužnih organizacija dati u nastavku teksta predstavljaju samo smernice i ne pokrivaju sve mogućnosti niti mogu da se primene na sve situacije.
Primer 1: Izjava uslužne organizacije tipa 2
Izjava uslužne organizacije
Priloženi opis je pripremljen za korisnike koji su koristili sistem [uneti naziv sistema] i za njihove revizore koji poseduju dovoljan nivo razumevanja da bi mogli da razmotre opis, zajedno sa ostalim informacijama uključujući informacije o kontrolama kojima upravljaju sami korisnici, prilikom procenjivanja rizika materijalno pogrešnih iskaza u finansijskim izveštajima korisnika. [Naziv entiteta] potvrđuje da:
(a) Priloženi opis na stranama [bb-cc] objektivno i istinito prikazuje sistem [tip ili naziv sistema] za obradu transakcija korisnika za period od [datum] do [datum]. Kriterijumi korišćeni u formulisanju ove izjave su sledeći:
(i) Priloženi opis prezentuje kako je sistem osmišljen i implementiran, uključujući:
• Vrste pruženih usluga, uključujući, po potrebi, klase transakcija koje se obrađuju.
• Postupke koji su deo IT i manuelnih sistema, u sklopu kojih su ove transakcije pokrenute, evidentirane, obrađene, korigovane po potrebi i prenete u izveštaje pripremljene za korisnike.
• Povezanu računovodstvenu evidenciju, prateće informacije i konkretne račune koji su korišćeni za pokretanje, evidentiranje, obradu i izveštavanje o transakcijama; tu je uključeno i korigovanje neispravnih informacija i način na koji su informacije prenete u izveštaje pripremljene za korisnike.
• Način na koji sistem tretira druge značajne događaje i uslove u koje ne spadaju transakcije.
• Proces koji je korišćen za pripremu izveštaja za korisnike.
• Relevantne kontrolne ciljeve i kontrole osmišljene u cilju ostvarivanja tih ciljeva.
• Kontrole za koje smo pretpostavili, prilikom osmišljavanja sistema, da će biti primenjene od strane entiteta korisnika i koje su, ako je neophodno da se ostvare kontrolni ciljevi navedeni u propratnom opisu, identifikovane u opisu zajedno sa specifičnim kontrolnim ciljevima koje ne možemo sami da postignemo.
• Drugi aspekti našeg kontrolnog okruženja, procesa procene rizika, informacionog sistema (uključujući povezane poslovne procese) i komunikacije, kontrolnih aktivnosti i nadzornih kontrola koje su relevantne za obradu transakcija korisnika i izveštavanje o njima.
(ii) Priloženi opis uključuje relevantne detalje o promenama u sistemu uslužne organizacije u periodu od [datum] do [datum].
(iii) Iz priloženog opisa nisu izostavljene informacije niti sadrži iskrivljene informacije koje su relevantne za delokrug opisanog sistema, a u isto vreme se priznaje da je opis pripremljen da bi se ispunile zajedničke potrebe za informacijama širokog spektra entiteta i njihovih revizora pa zato ne može uključivati svaki aspekt sistema organizacije koji svaki pojedinačni entitet korisnik može smatrati značajnim u svom konkretnom okruženju
(b) Kontrole koje se odnose na kontrolne ciljeve navedene u propratnom opisu su adekvatno osmišljene i efektivno primenjivane tokom perioda od [datum] do [datum]. Kriterijumi korišćeni u formulisanju ove izjave su sledeći:
(i) Rizici koji su ugrožavali ispunjavanje kontrolnih ciljeva navedenih u opisu su identifikovani;
(ii) Identifikovane kontrole bi, ako se primenjuju kako je opisano, pružile uveravanje u razumnoj meri da pomenuti rizici nisu sprečili ostvarivanje pomenutih kontrolnih ciljeva; i
(iii) Kontrole su dosledno primenjivane kako je predviđeno, uključujući i to da su manuelne kontrole sprovođene od strane lica sa adekvatnom kompetencijom i ovlašćenjima u periodu od [datum] do [datum].
Primer 2: Izjava uslužne organizacije tipa 1
Priloženi opis je pripremljen za korisnike koji su koristili sistem [uneti naziv sistema] i za njihove revizore koji poseduju dovoljan nivo razumevanja da bi mogli da razmotre opis, zajedno sa ostalim informacijama uključujući informacije o kontrolama kojima upravljaju sami korisnici, prilikom sticanja razumevanja o informacionim sistemima korisnika relevantnim za finansijsko izveštavanje. [Naziv entiteta] potvrđuje da:
(a) Priloženi opis na stranama [bb-cc] objektivno i istinito prikazuje sistem [tip ili naziv sistema] za obradu transakcija korisnika zaključno sa [datum]. Kriterijumi korišćeni u formulisanju ove izjave su sledeći:
(i) Priloženi opis prezentuje kako je sistem osmišljen i implementiran, uključujući:
• Vrste pruženih usluga, uključujući, po potrebi, klase transakcija koje se obrađuju.
• Postupke koji su deo IT i manuelnih sistema, u sklopu kojih su ove transakcije pokrenute, evidentirane, obrađene, korigovane po potrebi i prenete u izveštaje pripremljene za korisnike.
• Povezanu računovodstvenu evidenciju, prateće informacije i konkretne račune koji su korišćeni za pokretanje, evidentiranje, obradu i izveštavanje o transakcijama; tu je uključeno i korigovanje neispravnih informacija i način na koji su informacije prenete u izveštaje pripremljene za korisnike.
• Način na koji sistem tretira druge značajne događaje i uslove u koje ne spadaju transakcije.
• Proces koji je korišćen za pripremu izveštaja za korisnike.
• Relevantne kontrolne ciljeve i kontrole osmišljene u cilju ostvarivanja tih ciljeva.
• Kontrole za koje smo pretpostavili, prilikom osmišljavanja sistema, da će biti primenjene od strane entiteta korisnika i koje su, ako je neophodno da se ostvare kontrolni ciljevi navedeni u propratnom opisu, identifikovane u opisu zajedno sa specifičnim kontrolnim ciljevima koje ne možemo sami da postignemo.
• Drugi aspekti našeg kontrolnog okruženja, procesa procene rizika, informacionog sistema (uključujući povezane poslovne procese) i komunikacije, kontrolnih aktivnosti i nadzornih kontrola koje su relevantne za obradu transakcija korisnika i izveštavanje o njima.
(ii) Iz priloženog opisa nisu izostavljene informacije niti on sadrži iskrivljene informacije koje su relevantne za delokrug opisanog sistema, a u isto vreme se priznaje da je opis pripremljen da bi se ispunile zajedničke potrebe za informacijama širokog spektra entiteta i njihovih revizora pa zato ne može uključivati svaki aspekt sistema organizacije koji svaki pojedinačni entitet korisnik može smatrati značajnim u svom konkretnom okruženju.
(b) Kontrole koje se odnose na kontrolne ciljeve navedene u propratnom opisu su adekvatno osmišljene i efektivno su primenjivane zaključno sa [datum]. Kriterijumi korišćeni u formulisanju ove izjave su sledeći:
(i) Rizici koji su ugrožavali ispunjavanje kontrolnih ciljeva navedenih u opisu su identifikovani;
(ii) Identifikovane kontrole bi, ako se primenjuju kako je opisano, pružile uveravanje u razumnoj meri da pomenuti rizici nisu sprečili ostvarivanje pomenutih kontrolnih ciljeva.
(Videti paragraf A47)
Ilustracija izveštaja revizora uslužne organizacije kojim se pruža uveravanje
Ilustracije izveštaja date u nastavku teksta predstavljaju samo smernice i ne pokrivaju sve mogućnosti niti mogu da se primene na sve situacije
Ilustracija 1: Izveštaj revizora uslužne organizacije kojim se pruža uveravanje tipa 2
Izveštaj nezavisnog revizora uslužne organizacije kojim se pruža uveravanje o opisu, osmišljenosti i efektivnoj primeni kontrola
Primalac: Uslužna organizacija XYZ
Delokrug
Angažovani smo da izvestimo o opisu uslužne organizacije XYZ, na stranama [bb-cc] koji se tiče sistema [tip ili naziv] za obradu transakcija korisnika tokom perioda od [datum] do [datum] [opis], i o osmišljenosti i primeni kontrola povezanih sa kontrolnim ciljevima navedenim u opisu.
Odgovornosti uslužne organizacije XYZ
Uslužna organizacija XYZ je odgovorna za: pripremu opisa i propratnih izjava na strani [aa], uključujući potpunost, tačnost i metod prezentacije opisa i izjava; pružanje usluga navedenih u opisu; navođenje kontrolnih ciljeva; i osmišljavanje, implementaciju i efektivnu primenu kontrola u cilju postizanja kontrolnih ciljeva.
Naša nezavisnost i kontrola kvaliteta
Mi smo usklađeni sa zahtevima u pogledu nezavisnosti i drugim etičkim zahteva Etičkog kodeksa za profesionalne računovođe izdatog od strane Međunarodnog odbora za etičke standarde za računovođe, koji se zasniva na osnovnim principima integriteta, objektivnosti, profesionalne kompetentnosti i dužne pažnje, poverljivosti i profesionalnog ponašanja.
Firma primenjuje međunarodni standard za kontrolu kvaliteta ISQC 1. i u skladu sa tim održava sveobuhvatan sistem kontrole kvaliteta, uključujući dokumentovane politike i procedure u vezi sa usklađenošću sa etičkim zahtevima, profesionalnim standardima i primenljivim zakonskim i regulatornim zahtevima.
Odgovornosti revizora uslužne organizacije
Naša odgovornost je izražavanje mišljenja o opisu uslužne organizacije XYZ i o osmišljenosti i primeni kontrola koje se tiču kontrolnih ciljeva navedenih u tom opisu, na osnovu naših postupaka. Angažovanje je izvršeno u skladu sa Međunarodnim standardom angažovanja na osnovu kojeg se pruža uveravanje 3402, "Izveštaj o uveravanju u pogledu kontrola u uslužnoj organizaciji", koji je objavio Odbor za međunarodne standarde revizije i uveravanja. Ovaj standard nalaže da reviziju planiramo i izvršimo na način koji omogućava da se, u razumnoj meri uverimo da li je, po svim materijalno značajnim aspektima, opis objektivan i istinit i da li su kontrole adekvatno dizajnirane i efektivno se primenjuju.
Angažovanje na osnovu kojeg se pruža uveravanje putem izveštaja o opisu, osmišljenosti i efektivnoj primeni kontrola uslužne organizacije uključuje sprovođenje postupaka u cilju pribavljanja dokaza o obelodanjivanjima u opisu sistema uslužne organizacije i o osmišljenosti i efektivnoj primeni kontrola. Izbor postupaka je zasnovan na prosuđivanju revizora uslužne organizacije, uključujući procenu rizika da opis nije prezentovan objektivno i istinito, da kontrole nisu adekvatno osmišljene i da se efektivno ne primenjuju. Naši postupci uključuju testiranje efektivne primene onih kontrola za koje smatramo da su neophodne za pružanje uveravanja u razumnoj meri da su postignuti kontrolni ciljevi navedeni u opisu. Ovaj tip angažovanja kojim se pruža uveravanje takođe uključuje ocenu ukupne prezentacije opisa, adekvatnost navedenih ciljeva kao i adekvatnost kriterijuma definisanih od strane uslužne organizacije i opisanih na strani [aa].
Smatramo da su dokazi koje smo pribavili dovoljni i adekvatni i da predstavljaju odgovarajuću osnovu za naše mišljenje.
Ograničenja kontrola u uslužnoj organizaciji
Opis uslužne organizacije XYZ je pripremljen u cilju zadovoljenja uobičajenih potreba za informacijama širokog spektra entiteta i njihovih revizora pa zato ne može da uključi svaki aspekt sistema koji svaki pojedinačni korisnik može smatrati značajnim u svom konkretnom okruženju. Takođe, zbog svoje prirode, kontrole u uslužnoj organizaciji možda nisu u stanju da spreče ili detektuju sve greške ili propuste u procesu obrade ili izveštavanja o transakcijama. Takođe, projekcije ocene efektivnosti na buduće periode su podložne riziku da kontrole u uslužnoj organizaciji postanu neadekvatne ili da u potpunosti zakažu.
Mišljenje
Mišljenje smo formirali na osnovu predmetnih pitanja navedenih u ovom izveštaju. Kriterijumi koje smo koristili u formiranju mišljenja su opisani na strani [aa]. Naše mišljenje je da, po svim materijalno značajnim aspektima:
(a) Opis objektivno i istinito prezentuje sistem (naziv ili tip) onako kako je osmišljen i primenjen tokom perioda od (datum) do (datum);
(b) Kontrole koje se tiču kontrolnih ciljeva navedenih u opisu su adekvatno osmišljene tokom perioda od (datum) do (datum); i
(c) Testirane kontrole, koje su bile neophodne da bi se pružilo uveravanje u razumnoj meri da su postignuti kontrolni ciljevi navedeni u opisu, su efektivno primenjivane tokom perioda od (datum) do (datum).
Opis testova kontrola
Konkretne kontrole koje su testirane, priroda, vreme i rezultati testova navedeni su na stranama [yy-zz].
Ciljni korisnici i namena
Ovaj izveštaj i opis testova kontrola na stranama [yy-zz] namenjeni su isključivo korisnicima koji su primenjivali sistem uslužne organizacije XYZ [naziv ili tip sistema] i njihovim revizorima koji poseduju dovoljan nivo razumevanja da bi mogli da ga razmotre, zajedno sa ostalim informacijama o kontrolama koje primenjuju sami korisnici, prilikom procene rizika materijalno pogrešnih iskaza u finansijskim izveštajima korisnika.
[Potpis revizora uslužne organizacije]
[Datum izveštaja revizora uslužne organizacije kojim se pruža uveravanje]
[Adresa revizora uslužne organizacije]
Ilustracija 2: Izveštaj revizora uslužne organizacije kojim se pruža uveravanje tipa 1
Izveštaj nezavisnog revizora uslužne organizacije kojim se pruža uveravanje o opisu i osmišljenosti kontrola
Primalac: Uslužna organizacija XYZ
Delokrug
Angažovani smo da izvestimo o opisu uslužne organizacije XYZ, na stranama [bb-cc] koji se tiče sistema [tip ili naziv] za obradu transakcija korisnika zaključno sa [datum] [opis], i osmišljenosti kontrola povezanih sa kontrolnim ciljevima navedenim u opisu.
Nismo obavili postupci koji se tiču efektivne primene kontrola uključenih u opis i ne izražavamo mišljenje o tome.
Odgovornosti uslužne organizacije XYZ
Uslužna organizacija XYZ je odgovorna za: pripremu opisa i propratnih izjava na strani [aa], uključujući potpunost, tačnost i metod prezentacije opisa i izjava; pružanje usluga navedenih u opisu; navođenje kontrolnih ciljeva; i osmišljavanje, implementaciju i efektivnu primenu kontrola u cilju postizanja kontrolnih ciljeva.
Naša nezavisnost i kontrola kvaliteta
Mi smo usklađeni sa zahtevima u pogledu nezavisnosti i drugim etičkim zahteva Etičkog kodeksa za profesionalne računovođe izdatog od strane Međunarodnog odbora za etičke standarde za računovođe, koji se zasniva na osnovnim principima integriteta, objektivnosti, profesionalne kompetentnosti i dužne pažnje, poverljivosti i profesionalnog ponašanja.
Firma primenjuje međunarodni standard za kontrolu kvaliteta ISQC 1. i u skladu sa tim održava sveobuhvatan sistem kontrole kvaliteta, uključujući dokumentovane politike i procedure u vezi sa usklađenošću sa etičkim zahtevima, profesionalnim standardima i primenljivim zakonskim i regulatornim zahtevima.
Odgovornosti revizora uslužne organizacije
Naša odgovornost je izražavanje mišljenja o opisu uslužne organizacije XYZ i o osmišljenosti i primeni kontrola koje se tiču kontrolnih ciljeva navedenih u tom opisu, na osnovu naših postupaka. Angažovanje je izvršeno u skladu sa Međunarodnim standardom angažovanja na osnovu kojeg se pruža uveravanje 3402, "Izveštaj o uveravanju u pogledu kontrola u uslužnoj organizaciji", koji je objavio Odbor za međunarodne standarde revizije i uveravanja. Ovaj standard nalaže da reviziju planiramo i izvršimo na način koji omogućava da se, u razumnoj meri uverimo da li je, po svim materijalno značajnim aspektima, opis objektivan i istinit i da li su kontrole adekvatno dizajnirane, po svim materijalno značajnim aspektima.
Angažovanje na osnovu kojeg se pruža uveravanje putem izveštaja o opisu i osmišljenosti kontrola uslužne organizacije uključuje sprovođenje postupaka u cilju pribavljanja dokaza o obelodanjivanjima u opisu sistema uslužne organizacije i o osmišljenosti kontrola. Izbor postupaka je zasnovan na prosuđivanju revizora uslužne organizacije, uključujući procenu rizika da opis nije prezentovan objektivno i istinito i da kontrole nisu adekvatno osmišljene. Ovaj tip angažovanja kojim se pruža uveravanje takođe uključuje ocenu ukupne prezentacije opisa, adekvatnost navedenih ciljeva kao i adekvatnost kriterijuma definisanih od strane uslužne organizacije i opisanih na strani [aa].
Kao što je navedeno u prethodnom tekstu, nismo obavili postupke koji se tiču efektivne primene kontrola uključenih u opis i ne izražavamo mišljenje o tome.
Smatramo da su dokazi koje smo pribavili dovoljni i adekvatni i da predstavljaju odgovarajuću osnovu za naše mišljenje.
Ograničenja kontrola u uslužnoj organizaciji
Opis uslužne organizacije XYZ je pripremljen u cilju zadovoljenja uobičajenih potreba za informacijama širokog spektra entiteta i njihovih revizora pa zato ne može da uključi svaki aspekt sistema koji svaki pojedinačni korisnik može smatrati značajnim u svom konkretnom okruženju. Takođe, zbog svoje prirode, kontrole u uslužnoj organizaciji možda nisu u stanju da spreče ili detektuju sve greške ili propuste u procesu obrade ili izveštavanja o transakcijama.
Mišljenje
Mišljenje smo formirali na osnovu predmetnih pitanja navedenih u ovom izveštaju. Kriterijumi koje smo koristili u formiranju mišljenja su opisani sa strani [aa]. Naše mišljenje je da, po svim materijalno značajnim aspektima:
(a) Opis objektivno i istinito prezentuje sistem [naziv ili tip] onako kako je osmišljen i implementiran zaključno sa [datum];
(b) Kontrole koje se tiču kontrolnih ciljeva navedenih u opisu su adekvatno osmišljene zaključno sa [datum] ; i
Ciljni korisnici i namena
Ovaj izveštaj je namenjen isključivo korisnicima koji su primenjivali sistem uslužne organizacije XYZ [naziv ili tip sistema] i njihovim revizorima koji poseduju dovoljan nivo razumevanja da bi mogli da ga razmotre, zajedno sa ostalim informacijama o kontrolama koje primenjuju sami korisnici, prilikom sticanja razumevanja o informacionim sistemima korisnika koji su relevantni za finansijsko izveštavanje.
[Potpis revizora uslužne organizacije]
[Datum izveštaja revizora uslužne organizacije kojim se pruža uveravanje]
[Adresa revizora uslužne organizacije]
(Videti paragraf A50)
Ilustracije modifikovanih izveštaja revizora uslužne organizacije
Ilustracije modifikovanih izveštaja datih u nastavku teksta predstavljaju samo smernice i ne pokrivaju sve mogućnosti niti mogu da se primene na sve situacije. Zasnovane su na ilustraciji izveštaja iz Priloga 2.
Ilustracija 1: Kvalifikovano mišljenje - opis sistema uslužne organizacije nije prezentovan objektivno i istinito po svim materijalno značajnim aspektima
. . .
Odgovornosti revizora uslužne organizacije
. . .
Smatramo da su dokazi koje smo pribavili dovoljni i adekvatni i da predstavljaju odgovarajuću osnovu za kvalifikovano mišljenje.
Osnova za kvalifikovano mišljenje
U priloženom opisu na strani [mn] navedeno je da uslužna organizacija XYZ koristi identifikacione brojeve i lozinke za operatere kako bi se sprečio neautorizovan pristup sistemu. Na osnovu naših postupaka, koji uključuju razgovore sa osobljem i posmatranje aktivnosti, utvrdili smo da se identifikacioni brojevi i lozinke za operatere koriste u aplikacijama A i B ali ne i u aplikacijama C i D.
Kvalifikovano mišljenje
Mišljenje smo formirali na osnovu predmetnih pitanja navedenih u ovom izveštaju. Kriterijumi koje smo koristili u formiranju mišljenja su opisani u izjavi uslužne organizacije XYZ na strani [aa]. Po našem mišljenju, osim za pitanje opisano u pasusu Osnova za kvalifikovano mišljenje:
(a) . . .
Ilustracija 2: Kvalifikovano mišljenje - kontrole nisu adekvatno osmišljene da pruže uveravanje u razumnoj meri da će kontrolni ciljevi navedeni u opisu sistema uslužne organizacije biti postignuti ako se kontrole efektivno primenjuju
. . .
Odgovornosti revizora uslužne organizacije
. . .
Smatramo da su dokazi koje smo pribavili dovoljni i adekvatni i da predstavljaju odgovarajuću osnovu za kvalifikovano mišljenje.
Osnova za kvalifikovano mišljenje
Kao što je razmatrano na strani [mn] priloženog opisa, s vremena na vreme uslužna organizacija XYZ vrši izmene programskih aplikacija da bi se ispravili nedostaci ili da bi se povećale njihove mogućnosti. Postupci sprovedeni u cilju utvrđivanja da li su izmene neophodne i u cilju osmišljavanja i implementacije izmena ne uključuju pregled i odobrenje od strane ovlašćenih lica koja su nezavisna od lica uključenih u sprovođenje izmena. Takođe, ne postoje definisani zahtevi za testiranje takvih izmena niti za saopštavanje rezultata testova licu ovlašćenom za obavljanje pregleda pre implementacije izmena.
Kvalifikovano mišljenje
Mišljenje smo formirali na osnovu predmetnih pitanja navedenih u ovom izveštaju. Kriterijumi koje smo koristili u formiranju mišljenja su opisani u izjavi uslužne organizacije XYZ na strani [aa]. Po našem mišljenju, osim za pitanje opisano u pasusu Osnova za kvalifikovano mišljenje:
(a) . . .
Ilustracija 3: Kvalifikovano mišljenje - kontrole nisu efektivno primenjivane tokom definisanog perioda (važi samo za izveštaj tipa 2)
. . .
Odgovornosti revizora uslužne organizacije
. . .
Smatramo da su dokazi koje smo pribavili dovoljni i adekvatni i da predstavljaju odgovarajuću osnovu za kvalifikovano mišljenje.
Osnova za kvalifikovano mišljenje
Uslužna organizacija XYZ je u svom opisu navela da primenjuje automatizovane kontrole koje za cilj imaju usklađivanje priliva po osnovu otplate rata kredita sa ukupnim plasmanom. Međutim, kao što je navedeno na strani [mn] opisa, kontrola nije efektivno primenjivana u periodu od dd/mm/ggg do dd/mm/gggg zbog greške u programu. Ovo je dovelo do neispunjenja sledećeg kontrolnog cilja: "Kontrole pružaju uveravanje u razumnoj meri da je priliv po osnovu otplate rata kredita adekvatno evidentiran", tokom perioda od dd/mm/gggg do dd/mm/ggg. XYZ je implementirala izmenu programa koji obavlja kalkulaciju na dan [datum] i naši testovi pokazuju da je kontrola efektivno primenjivana od dd/mm/gggg do dd/mm/gggg.
Kvalifikovano mišljenje
Mišljenje smo formirali na osnovu predmetnih pitanja navedenih u ovom izveštaju. Kriterijumi koje smo koristili u formiranju mišljenja su opisani u izjavi uslužne organizacije XYZ na strani [aa]. Po našem mišljenju, osim za pitanje opisano u pasusu Osnova za kvalifikovano mišljenje:
. . .
Ilustracija 4: Kvalifikovano mišljenje - revizor uslužne organizacije nije u mogućnosti da pribavi dovoljno adekvatnih dokaza
. . .
Odgovornosti revizora uslužne organizacije
. . .
Smatramo da su dokazi koje smo pribavili dovoljni i adekvatni i da predstavljaju odgovarajuću osnovu za kvalifikovano mišljenje.
Osnova za kvalifikovano mišljenje
Uslužna organizacija XYZ je u svom opisu navela da primenjuje automatizovane kontrole koje za cilj imaju usklađivanje priliva po osnovu otplate rata kredita sa ukupnim plasmanom. Međutim, elektronski podaci koji se odnose na period od dd/mm/gggg do dd/mm/gggg su obrisani zbog greške u programu tako da nismo bili u mogućnosti da obavimo testiranje ove kontrole za dati period. Zbog toga nismo bili u mogućnosti da utvrdimo da li kontrolni cilj: "Kontrole pružaju uveravanje u razumnoj meri da je priliv po osnovu otplate rata kredita adekvatno evidentiran", efektivno primenjen tokom perioda od dd/mm/gggg do dd/mm/gggg.
Kvalifikovano mišljenje
Mišljenje smo formirali na osnovu predmetnih pitanja navedenih u ovom izveštaju. Kriterijumi koje smo koristili u formiranju mišljenja su opisani u izjavi uslužne organizacije XYZ na strani [aa]. Po našem mišljenju, osim za pitanje opisano u pasusu Osnova za kvalifikovano mišljenje:
(a) . . .
13 - 21.]
_______________
Ukoliko neki elementi opisa nisu uključeni u delokrug angažovanja, to treba da bude jasno istaknuto u izveštaju kojim se pruža uveravanje.
ISQC 1, Kontrola kvaliteta firmi koje vrše reviziju, pregled finansijskih informacija,druga angažovanja na osnovu kojih se pruža uveravanje i srodne usluge
Ukoliko neki elementi opisa nisu uključeni u delokrug angažovanja, to treba da bude jasno istaknuto u izveštaju kojim se pruža uveravanje.
ISQC 1, Kontrola kvaliteta firmi koje vrše reviziju, pregled finansijskih informacija, druga angažovanja na osnovu kojih se pruža uveravanje i srodne usluge