Baza je ažurirana 20.11.2024. 

zaključno sa NN 109/24

EU 2024/2679

Pristupanje sadržaju

Međunarodni standard za angažmane s izražavanjem uvjerenja 3402, Izvješća s izražavanjem uvjerenja o kontrolama u uslužnoj organizaciji

Za pristup ovom sadržaju morate biti prijavljeni te imati aktivnu pretplatu
NN 91/24 (01.08.2024.), Međunarodni standard za angažmane s izražavanjem uvjerenja 3402, Izvješća s izražavanjem uvjerenja o kontrolama u uslužnoj organizaciji

SADRŽAJ

 

  Točka
Uvod  
Područje koje uređuje ovaj Međunarodni standard za angažmane s izražavanjem uvjerenja 1 – 6
Datum stupanja na snagu . 7
Ciljevi 8
Definicije 9
Zahtjevi  
Međunarodni standard za angažmane s izražavanjem uvjerenja 3000 (izmijenjen) 10
Etički zahtjevi 11
Menadžment i oni koji su zaduženi za upravljanje 12
Prihvaćanje i nastavljanje 13 – 14
Procjenjivanje primjerenosti kriterija 15 – 18
Značajnost 19
Stjecanje razumijevanja sustava uslužne organizacije 20
Pribavljanje dokaza u vezi s opisom 21 – 22
Pribavljanje dokaza u vezi s oblikovanjem kontrola 23
Pribavljanje dokaza u vezi s operativnom učinkovitošću kontrola. 24 – 29
Rad službe interne revizije 30 – 37
Pisane izjave 38 – 40
Ostale informacije 41 – 42
Naknadni događaji 43 – 44
Dokumentacija 45 – 52
Pripremanje izvješća s izražavanjem uvjerenja revizora uslužne organizacije 53 – 55
Ostale odgovornosti za komuniciranje 56
Materijal za primjenu i ostali materijali s objašnjenjima  
Područje koje uređuje ovaj Međunarodni standard za angažmane s izražavanjem uvjerenja A1 – A2
Definicije A3 – A4
Etički zahtjevi A5
Menadžment i oni koji su zaduženi za upravljanje A6
Prihvaćanje i nastavljanje . A7 – A12
Procjenjivanje primjerenosti kriterija A13 – A15
Značajnost A16 – A18
Stjecanje razumijevanja sustava uslužne organizacije A19 – A20
Pribavljanje dokaza u vezi s opisom A21 – A24
Pribavljanje dokaza u vezi s oblikovanjem kontrola A25 – A27
Pribavljanje dokaza u vezi s operativnom učinkovitošću kontrola A28 – A36
Rad službe interne revizije A37 – A41
Pisane izjave A42 – A43
Ostale informacije A44 – A45
Dokumentacija A46
Pripremanje izvješća s izražavanjem uvjerenja revizora uslužne organizacije .. A47 – A52
Ostale odgovornosti za komuniciranje A53
Dodatak 1: Primjer tvrdnji uslužne organizacije  
Dodatak 2: Ilustracije izvješća s izražavanjem uvjerenja revizora uslužne organizacije  
Dodatak 3: Ilustracije modificiranih izvješća s izražavanjem uvjerenja revizora uslužne organizacije  

 

 

 

Međunarodni standard za angažmane s izražavanjem uvjerenja (MSIU) 3402 – Izvješća s izražavanjem uvjerenja o kontrolama u uslužnoj organizacija treba čitati povezano s Predgovorom Međunarodnim standardima kontrole kvalitete, revidiranja, uvida, ostalih izražavanja uvjerenja i povezanih usluga.

 

Uvod

Područje koje uređuje ovaj Međunarodni standard za angažmane s izražavanjem uvjerenja (MSIU)

1. Ovaj Međunarodni standardi za angažmane s izražavanjem uvjerenja (MSIU) (International Standards on Assurance Engagements – ISAEs) uređuje angažmane s izražavanjem uvjerenja koje poduzimaju praktičari[54](MSIU 3000 (izmijenjen), Angažmani s izražavanjem uvjerenja koji nisu revizije ili uvidi u povijesne financijske informacije, točka 12(r)) kako bi izdali izvješće za uporabu od strane subjekata korisnika i njihovih revizora o kontrolama uslužne organizacije koja pruža usluge subjektima korisnicima za koje je vjerojatno da će biti relevantne za interne kontrole subjekata korisnika jer se one odnose na financijsko izvještavanje. On nadopunjava MRevS 402[55](MRevS 402, Revizijska razmatranja u vezi sa subjektima koji koriste uslužnu organizaciju) u tome što izvješća pripremljena u skladu s ovim MSIU-om omogućavaju pružanje primjerenih dokaza prema MRevS-u 402. (Vidjeti točku A1.)

2. Međunarodni okvir za angažmane s izražavanjem uvjerenja (International Framework for Assurance Engagements) navodi da neki angažman s izražavanjem uvjerenja može biti angažman »s razumnim uvjerenjem« ili angažman »s ograničenim uvjerenjem« i da neki angažman može biti ili angažman potvrđivanja ili »izravan« angažman[56](MSIU 3000 (izmijenjen), točka 12). Ovaj MSIU uređuje samo angažmane potvrđivanja s razumnim uvjerenjem.[57](Točke 13 i 53(k) ovog MSIU-a)

3. Ovaj MSIU primjenjuje se samo kad je uslužna organizacija odgovorna za, ili na drugi način može dati izjavu o primjerenoj oblikovanosti kontrola. Ovaj MSIU ne uređuje angažmane s izražavanjem uvjerenja radi:

(a) izvješćivanja samo o tome djeluju li kontrole uslužne organizacije kako je opisano; ili

(b) izvješćivanja o kontrolama uslužne organizacije različitim od onih povezanih s uslugom za koju je vjerojatno da je relevantna za korisnikove interne kontrole budući da se odnosi na financijsko izvještavanje (na primjer, kontrole koje utječu na korisnikovu kontrolu proizvodnje ili njegovu kontrolu kvalitete).

Međutim, ovaj MSIU pruža neke upute za takve angažmane obavljene sukladno MSIU-u 3000 (izmijenjen). (Vidjeti točku A2.)

4. Povrh izdavanja izvješća s izražavanjem uvjerenja o kontrolama, revizor uslužne organizacije može biti angažiran za izradu izvješća kao što su sljedeća, koja ovaj MSIU ne uređuje:

(a) izvješće o transakcijama ili stanjima računa subjekta korisnika koje održava uslužna organizacija; ili

(b) izvješće o dogovorenim postupcima o kontrolama u uslužnoj organizaciji.

Odnos s MSIU 3000 (izmijenjen), drugim profesionalnim objavama i drugim zahtjevima

5. Revizor usluge mora biti usklađen s MSIU 3000 (izmijenjen) i ovim MSIU kad obavlja angažmane s izražavanjem uvjerenja o kontrolama u servisnoj organizaciji. Ovaj MSIU dopunjuje ali ne nadomješta, MSIU 3000 (izmijenjen) i dodatno uređuje kako se MSIU 3000 (izmijenjen) mora primijeniti u angažmanima s razumnim uvjerenjem da bi se izvijestilo o kontrolama u uslužnoj organizaciji.

6. Usklađenost s MSIU 3000 (izmijenjen) zahtijeva, između ostalog, pridržavanje odredbi Međunarodnog kodeksa etike za profesionalne računovođe (uključujući Međunarodne standarde neovisnosti) izdanog od Odbora za međunarodne etičke standarde za računovođe (IESBA Kodeks) koji se odnose na angažmane s izražavanjem uvjerenja ili druge profesionalne zahtjeve ili zahtjeve propisane zakonom i propisima, koji su barem jednako zahtjevni.[58](MSIU 3000 (izmijenjen), točke 3(a), 20 i 34) Također zahtijeva od angažiranog partnera da bude član društva koja primjenjuje MSKK 1,[59](MSIU 3000 (izmijenjen), točke 3(b) i 31(a). Međunarodni standard kontrole kvalitete (MSKK) 1, Kontrola kvalitete za društva koja obavljanju revizije i uvide u financijske izvještaje i ostale angažmane s izražavanjem uvjerenja i povezane usluge) ili druge profesionalne zahtjeve ili zakonske ili regulativne zahtjeve koji su barem jednako zahtjevni kao MSKK 1.

Datum stupanja na snagu

7. Ovaj MSIU stupa na snagu za izvješća s izražavanjem uvjerenja revizora uslužne organizacije koja obuhvaćaju razdoblje završeno na 15. lipnja 2011. ili nakon tog datuma.

Ciljevi

8. Ciljevi revizora uslužne organizacije subjekta su:

(a) steći razumijevanje o tome je li, u svim značajnim odrednicama, temeljeno na primjerenom kriteriju,:

(i) opis sustava uslužne organizacije prezentiran na fer način kao onaj koji je oblikovan i primjenjivan kroz specificirano razdoblje (ili u slučaju izvješća vrste 1 kao onaj koji je na određeni datum).

(ii) oblikovanost kontrola povezane s kontrolnim ciljevima navedenim u opisu uslužne organizacije njezinog sustava su primjerena kroz specificirano razdoblje (ili u slučaju izvješća vrste 1 na određeni datum).

(iii) djelovanje kontrola, gdje je uključeno u opseg angažmana, učinkovito radi postizanja razumnog uvjerenja da se kontrolni ciljevi navedeni u opisu uslužne organizacije njezinog sustava ostvaruju za vrijeme specificiranog razdoblja.

(b) izvijestiti o pitanjima navedenim pod (a) u skladu s nalazima revizora uslužne organizacije.

Definicije

9. Za svrhe ovog MSIU-a, sljedeći pojmovi imaju niže navedena značenja:

(a) Metoda isključenja – Metoda koja se primjenjuje na usluge koje pružaju poduslužne organizacije pri čemu opis sustava uslužne organizacije uključuje sadržaj usluga koje pružaju poduslužne organizacije, ali relevantni kontrolni ciljevi i kontrole tih poduslužnih organizacija nisu uključeni u opis sustava uslužne organizacije i opseg angažmana revizora uslužne organizacije. Opis sustava uslužne organizacije i opseg angažmana revizora uslužne organizacije uključuje kontrole uslužne organizacije za praćenje učinkovitosti kontrola poduslužne organizacije, koji može uključiti pregled izvješća s izražavanjem uvjerenja o kontrolama poduslužne organizacije kojeg obavlja uslužna organizacija.

(b) Komplementarne kontrole subjekta korisnika – kontrole za koje uslužna organizacija prilikom oblikovanja svojih usluga pretpostavlja da će ih obavljati subjekt korisnik i koje su, ako su potrebne za ostvarenje ciljeva kontrole navedenih u opisu uslužne organizacije njezinog sustava, navedene u tom opisu njezinog sustava.

(c) Cilj kontrole – cilj ili svrha određenog aspekta kontrola. Ciljevi kontrola su povezani s rizicima koje kontrole nastoje umanjiti.

(d) Kontrole u uslužnoj organizaciji – kontrole nad postizanjem cilja kontrola koji je obuhvaćen izvješćem s izražavanjem uvjerenja revizora uslužne organizacije. (Vidjeti točku A3.)

(e) Kontrole u poduslužnoj organizaciji – kontrole u poduslužnoj organizaciji za stvaranje razumnog uvjerenja o postizanju cilja kontrole.

(f) Kriteriji – mjerila korištena za ocjenjivanje ili mjerenje predmetnog pitanja. »Primjenjivi kriteriji« su kriteriji korišteni u određenom angažmanu.

(g) Metoda uključivanja – metoda rada s uslugama koje pruža poduslužna organizacija, s tim što opis uslužne organizacije uključuje vrste usluga koje pruža poduslužna organizacija i uključuje relevantne kontrolne ciljeve i povezane kontrole poduslužne organizacije u opis njezinog sustava i u opseg angažmana revizora uslužne organizacije.(Vidjeti točku A4.)

(h) Funkcija interne revizije – Funkcija subjekta koji obavlja savjetničke aktivnosti i aktivnosti s izražavanjem uvjerenja oblikovane u svrhu ocjenjivanje i poboljšanja učinkovitosti subjektovih procesa upravljanja, upravljanja rizicima te procesa internih kontrola.

(i) Interni revizori – one osobe koje obavljaju aktivnosti funkcije interne revizije. Interni revizori mogu pripadati odjelu interne revizije ili usporedivoj službi.

(j) Izvješće o opisu i oblikovanosti kontrola uslužne organizacije – (koje se u ovom MSIU-u naziva – izvješće vrste 1) – izvješće koje obuhvaća:

(i) opis sustava uslužne organizacije,

(ii) pisanu izjavu uslužne organizacije da, u svim značajnim odrednicama, i temeljeno na prikladnim kriterijima:

a. opis prezentira na fer način sustav uslužne organizacije kao onaj koji je oblikovan i uveden na specificirani datum;

b. kontrole povezane s kontrolnim ciljevima navedene u opisu uslužne organizacije njezinog sustava su bile primjereno oblikovane na specificirani datum; i

(iii) izvješće s izražavanjem uvjerenja revizora uslužne organizacije koje sadrži zaključak s razumnim uvjerenjem o pitanjima navedenim gore pod (ii)(a) i (b).

(k) Izvješće o opisu, oblikovanosti i operativnoj djelotvornosti kontrola uslužne organizacije (koje se u ovom MSIU-u naziva – izvješće vrste 2) – izvješće koje obuhvaća:

(i) opis sustava uslužne organizacije,

(ii) pisanu izjavu uslužne organizacije da, u svim značajnim odrednicama, i temeljeno na prikladnim kriterijima:

a. opis prezentira na fer način sustav uslužne organizacije kao onaj koji je oblikovan i uveden za vrijeme specificiranog razdoblja;

b. kontrole povezane s kontrolnim ciljevima navedene u opisu uslužne organizacije njezinog sustava su bile primjereno oblikovane kroz specificirano razdoblje.

c. kontrole povezane s kontrolnim ciljevima navedene u opisu uslužne organizacije njezinog sustava su djelovale učinkovito za vrijeme specificiranog razdoblja; i

(iii) izvješće s izražavanjem uvjerenja revizora uslužne organizacije koje:

a. sadrži zaključak s razumnim uvjerenjem o pitanjima navedenim gore pod (ii)(a) do (c); i

b. uključuje opis testova kontrola i njihovih rezultata.

(l) Revizor uslužne organizacije – praktičar koji na zahtjev uslužne organizacije sastavlja izvješće s izražavanjem uvjerenja o kontrolama uslužne organizacije.

(m) Uslužna organizacija – organizacija koja je treća stranka (ili segment takve organizacije) koja pruža usluge subjektima korisnicima za koje je vjerojatno da su relevantne za interne kontrole subjekata korisnika jer se odnose na financijsko izvještavanje.

(n) Izjava uslužne organizacije – pisana izjava o pitanjima navedenima u točki 9(k)(ii) i 9(j)(ii) u vezi s izvješćem vrste 1.

(o) Sustav uslužne organizacije – politike i postupci koje je oblikovala i uvela uslužna organizacija radi pružanja usluga subjektima korisnicima koje su obuhvaćene izvješćem s izražavanjem uvjerenja revizora uslužne organizacije. Opis sustava uslužne organizacije uključuje naziv usluga koje obuhvaća, razdoblje ili u slučaju izvješća vrste 1, datum na koji se odnosi opis; kontrolne ciljeve i povezane kontrole.

(p) Poduslužne organizacije – uslužne organizacije čije usluge koriste druge uslužne organizacije kako bi svojim klijentima pružile usluge za koje je vjerojatno da su relevantne za interne kontrole subjekata korisnika jer se odnose na financijsko izvještavanje.

(q) Testovi kontrola – postupci oblikovani za ocjenjivanje operativne učinkovitosti kontrola u postizanju kontrolnih ciljeva navedenih u opisu uslužne organizacije njezinog sustava.

(r) Revizor korisnika – revizor koji revidira i izvještava o financijskim izvještajima subjekta korisnika.[60](U slučaju poduslužne organizacije, revizor uslužne organizacije koja koristi usluge poduslužne organizacije je također revizor subjekta korisnika.)

(s) Subjekt korisnik – subjekt koji koristi usluge uslužne organizacije.

Zahtjevi

MSIU 3000 (izmijenjen)

10. Revizor uslužne organizacije ne smije navesti sukladnost s ovim MSIU-om, ako nije postupio u skladu s ovim MSIU-om i MSIU-om 3000 (izmijenjen).

Etički zahtjevi

11. Revizor uslužne organizacije mora postupati u skladu s odredbama IESBA Kodeksa koje se odnose na angažmane s izražavanjem uvjerenja ili druge profesionalne zahtjeve, ili u skladu s drugim profesionalnim zahtjevima ili zahtjevima koje postavlja zakon ili regulativa koji su barem jednako zahtjevni. (Vidjeti točku A5)

Menadžment i oni koji su zaduženi za upravljanje

12. Gdje zahtijeva ovaj MSIU od revizora uslužne organizacije da postavi upit, zahtijeva izjavu od, ili na drugi način stupi u interakciju s uslužnom organizacijom, revizor uslužne organizacije mora odrediti odgovarajuću osobu, odnosno više osoba, unutar strukture vođenja poslovanja ili upravljanja uslužnom organizacijom s kojom, odnosno s kojima, će komunicirati. To mora uključiti sagledavanje koje osobe imaju odgovarajuću odgovornost i saznanja o pitanjima o kojima je riječ. (Vidjeti točku A6)

Prihvaćanje i nastavljanje

13. Prije dogovaranja prihvaćanja, ili nastavljanja, nekog angažmana, revizor uslužne organizacije mora:

(a) utvrditi:

(i) ima li revizor uslužne organizacije sposobnosti i kompetencije za obavljanje angažmana (Vidjeti točku A7);

(ii) jesu li kriteriji za koje praktičar očekuje da će ih primijeniti uslužna organizacija za sastavljanje opisa njenog sustava prikladni i hoće li biti dostupni subjektima korisnicima i njihovim revizorima; i

(iii) da opseg angažmana i opis sustava uslužne organizacije neće biti toliko ograničeni da nije vjerojatno kako bi mogli biti korisni subjektima korisnicima i njihovim revizorima.

(b) pribaviti izjavu od uslužne organizacije da ona prihvaća i razumije svoju odgovornost:

(i) za pripremanje opisa svog sustava i prateću izjavu uslužne organizacije, uključujući i za potpunost, točnost i metodu prezentiranja tog opisa i izjava (vidjeti točku A8);

(ii) da ima razumnu osnovu za izjavu uslužne organizacije koja prati opis njezinog sustava (vidjeti točku A9);

(iii) za navođenje kriterija u izjavi uslužne organizacije koje je koristila za sastavljanje opisa svoga sustava;

(iv) za iskaze u opisu svoga sustava o:

a. kontrolnim ciljevima; i

b. tome jesu li specificirani zakonom ili regulativom ili je druga strana (na primjer, grupa korisnika ili profesionalno tijelo) bila ona koja ih je specificirala;

(v) za identificiranje rizika koji ugrožavaju postizanje kontrolnih ciljeva navedenih u opisu njezinog sustava i za oblikovanje i za uvođenje kontrola koje osiguravaju razumno uvjerenje da ti rizici neće spriječiti postizanje kontrolnih ciljeva navedenih u opisu njezinog sustava i da će stoga navedeni kontrolni ciljevi biti postignuti (vidjeti točku A10);

(vi) za osiguravanje revizoru uslužne organizacije:

a. pristupa svim informacijama, kao što su evidencije, dokumentacija i druge stvari, uključujući i sporazume na razini uslužne organizacije za koje je uslužna organizacija svjesna da su relevantni za opis njezinog sustava i prateće izjave uslužne organizacije;

b. dodatnih informacija koje revizor uslužne organizacije može zahtijevati od uslužne organizacije za svrhu angažmana s izražavanjem uvjerenja; i

c. neograničeni pristup osobama unutar uslužne organizacije za koje revizor uslužne organizacije utvrdi da će dobivati dokaze.

Prihvaćanje promjene uvjeta angažmana

14. Ako uslužna organizacija zahtijeva promjenu opsega angažmana prije nego što je dovršen angažman, revizor uslužne organizacije mora se uvjeriti da postoji razumno opravdanje za promjenu (vidjeti točke A11 – A12).

Utvrđivanje prikladnosti kriterija

15. Revizor uslužne organizacije mora utvrditi je li uslužna organizacija koristila prikladne kriterije u pripremanju opisa svog sustava, pri ocjenjivanju jesu li kontrole prikladno oblikovane i, u slučaju izvješća vrste 2, pri ocjenjivanju jesu li kontrole operativno učinkovite.

16. U utvrđivanju prikladnosti kriterija za ocjenjivanje opisa sustava uslužne organizacije, revizor uslužne organizacije mora utvrditi obuhvaćaju li kriteriji kao minimum:

(a) prikazuje li opis kako je sustav uslužne organizacije oblikovan i implementiran, uključujući, kako je primjereno:

(i) vrste usluga koje se pružaju, uključujući i, ako je primjereno, vrste obrađivanih transakcija;

(ii) postupke, unutar i sustava s informacijskim tehnologijama i ručnog sustava, kojim se pružaju usluge, uključujući i, ako je primjereno, postupke kojima se transakcije iniciraju, evidentiraju, obrađuju, ispravljaju, ako je potrebno, i prenose u izvješća i druge informacije pripremljene za subjekte korisnike;

(iii) povezane evidencije i potkrjepljujuće informacije uključujući i, ako je primjereno, računovodstvene evidencije, potkrjepljujuće informacije i određene račune koji se koriste za iniciranje, evidentiranje, obrađivanje i izvješćivanje transakcija; to uključuje ispravljanje pogrešnih informacija i kako se informacije prenose u izvješća i druge informacije pripremljene za subjekte korisnike;

(iv) način na koji sustav uslužne organizacije postupa sa značajnim događajima i uvjetima, različitim od transakcija;

(v) proces korišten za pripremanje izvješća i drugih informacija za subjekte korisnike;

(vi) specificirane kontrolne ciljeve i kontrole oblikovane za postizanje tih ciljeva;

(vii) komplementarne kontrole subjekta korisnika o kojima se vodi računa pri oblikovanju kontrola; i

(viii) ostale aspekte okruženja kontrola uslužne organizacije, procesa procjene rizika, informacijskog sustava (uključujući i povezanih poslovnih procesa) i komunikacija, kontrolnih aktivnosti i monitoring kontrola koji su relevantni za pružene usluge.

(b) u slučaju izvješća vrste 2, uključuje li opis relevantne detalje o promjenama u sustavu uslužne organizacije za vrijeme razdoblja obuhvaćenog opisom.

(c) izostavlja li ili iskrivljuje li opis informacije relevantne za opseg sustava uslužne organizacije koji se opisuje, dok se istodobno potvrđuje da je opis pripremljen radi ispunjavanja zajedničkih potreba širokog raspona korisnika i njihovih revizora i, stoga, ne može uključivati svaki aspekt sustava uslužne organizacije koji svaki pojedini subjekt korisnik i njegov revizor mogu smatrati važnim u njihovom određenom okruženju.

17. Pri utvrđivanju prikladnosti kriterija za ocjenjivanje oblikovanosti kontrola, revizor uslužne organizacije mora utvrditi obuhvaćaju li kriteriji, kao minimum, pitanja o tome:

(a) je li uslužna organizacija identificirala rizike koji ugrožavaju postizanje ciljeva kontrola navedenih u opisu uslužne organizacije njezinog sustava; i

(b) osiguravaju li kontrole navedene u opisu, ako bi djelovale kako je opisano, razumno uvjerenje da ti rizici neće spriječiti ostvarenje navedenih ciljeva kontrola.

18. Pri utvrđivanju prikladnosti kriterija za ocjenjivanje operativne učinkovitosti kontrola u osiguravanju razumnog uvjerenja da će biti postignuti ciljevi kontrola navedeni u opisu, revizor uslužne organizacije mora utvrditi obuhvaćaju li kriteriji, kao minimum, pitanja o tome jesu li kontrole primjenjivane onako kako su oblikovane dosljedno za vrijeme specificiranog razdoblja. To uključuje pitanje o tome jesu li ručne kontrole bile primijenile osobe koje imaju primjereno kompetencije i ovlasti. (Vidjeti točke A13 – A15.)

Značajnost

19. Kad planira i obavlja angažman, revizor uslužne organizacije mora razmotriti značajnost u vezi s fer prezentacijom opisa, prikladnošću oblikovanosti kontrola i, u slučaju izvješća vrste 2, operativnom učinkovitošću kontrola. (Vidjeti točke A16 – A18.)

Stjecanje razumijevanja sustava uslužne organizacije

20. Revizor uslužne organizacije mora steći razumijevanje sustava uslužne organizacije, uključujući i kontrola koje su uključene u opseg angažmana. (Vidjeti točke A19 – A20.)

Pribavljanje dokaza u vezi s opisom

21. Revizor uslužne organizacije mora pribaviti i pročitati opis sustava uslužne organizacije i mora ocijeniti jesu li fer prezentirani oni aspekti opisa koji su uključeni u opseg angažmana, uključujući i pitanja o tome jesu li (Vidjeti točke A21 – A22.):

(a) ciljevi kontrola navedeni u opisu uslužne organizacije njezinog sustava, razumni u danim okolnostima (vidjeti točku A23);

(b) implementirane kontrole navedene u tom opisu;

(c) komplementarne kontrole korisnika usluge, ako ih ima, primjereno opisane; i

(d) usluge koje je obavila poduslužna organizacija, ako ih ima, primjereno opisane, uključujući je li u vezi s njima korištena metoda uključenja ili metoda isključenja.

22. Revizor uslužne organizacije mora utvrditi, pomoću drugih postupaka u kombinaciji s upitima, je li je bio implementiran sustav uslužne organizacije. Ti drugi postupci će uključiti promatranje i pregledavanje evidencija i druge dokumentacije, načina na koji djeluje sustav uslužne organizacije i na koji se primjenjuju kontrole. (Vidjeti točku A24.)

Pribavljanje dokaza u vezi s oblikovanošću kontrola

23. Revizor uslužne organizacije mora utvrditi koje su od kontrola uslužne organizacije nužne za postizanje ciljeva kontrola navedenih u opisu uslužne organizacije njezinog sustava i mora procijeniti jesu li te kontrole prikladno oblikovane. To mora uključiti: (vidjeti točke A25 – A27)

(a) identificiranje rizika koji ugrožavaju postizanje ciljeva kontrola navedenih u opisu uslužne organizacije njezinog sustava; i

(b) ocjenjivanje povezanosti kontrola identificiranih u opisu uslužne organizacije njezinog sustava s tim rizicima.

Pribavljanje dokaza u vezi s operativnom učinkovitošću kontrola

24. Kad daje izvješće vrste 2, revizor uslužne organizacije mora testirati one kontrole za koje je utvrdio da su nužne za postizanje ciljeva kontrola navedenih u opisu sustava uslužne organizacije koji je sastavila uslužna organizacija i ocijeniti njihovu operativnu učinkovitost tijekom razdoblja. Dokazi dobiveni u prethodnim angažmanima o zadovoljavajućem djelovanju kontrola u prethodnim razdobljima ne pružaju osnovu za smanjivanje testiranja, čak ako su dopunjeni s dokazima dobivenim tijekom tekućeg razdoblja. (Vidjeti točke A28 – A32.)

25. Kad oblikuje i obavlja testove kontrola, revizor uslužne organizacije mora:

(a) obaviti druge postupke u kombinaciji s upitima kako bi pribavio dokaze o:

(i) tome kako su kontrole primijenjene;

(ii) dosljednosti s kojom su primijenjene kontrole; i

(iii) tome tko je i na koji način primijenio kontrole;

(b) odrediti jesu li kontrole koje treba testirati ovisne o drugim kontrolama (neizravnim kontrolama) i ako je takav slučaj, je li nužno pribaviti dokaze koji potkrjepljuju operativnu učinkovitost tih neizravnih kontrola (vidjeti točke A33 – A34); i

(c) odrediti načine odabira stavki za testiranje koje su učinkovite za ispunjavanje ciljeva postupka. (vidjeti točke A35 – A36).

26. Kad određuje opseg testova kontrola, revizor uslužne organizacije mora razmotriti problematiku, uključujući i karakteristike populacije koju treba testirati, što uključuje i vrste kontrola, učestalost njihove primjene (na primjer, mjesečna, dnevna, broj po danu) i očekivanu stopu odstupanja.

Uzorkovanje

27. Kad revizor uslužne organizacije koristi uzorkovanje, revizor uslužne organizacije mora: (Vidjeti točke A35 – A36.)

(a) kad oblikuje uzorak, razmotriti svrhu postupka i karakteristike populacije iz koje će se izvlačiti uzorci;

(b) odredit veličinu uzoraka dostatnu za smanjivanje rizika uzorkovanja na prihvatljivo nisku razinu;

(c) odabrati stavke za uzorke na način da svaka jedinica uzorkovanja u populaciji ima jednaku šansu da bude odabrana;

(d) ako oblikovani postupak nije primjenjiv na odabranu stavku, obavit postupak na zamjenskoj stavci; i

(e) ako nije u mogućnosti primijeniti oblikovani postupak, ili prikladne zamjenske postupke, na odabranim stavkama, tretirat ih kao odstupanja.

Osobine i uzroci odstupanja

28. Revizor uslužne organizacije mora istražiti osobinu i uzrok svakog otkrivenog odstupanja i mora odrediti jesu li:

(a) otkrivena odstupanja unutar očekivane stope odstupanja i jesu li prihvatljiva; stoga, testiranje koje je bilo obavljeno osigurava odgovarajuću osnovu za zaključivanje da kontrole djeluju učinkovito za vrijeme specificiranog razdoblja;

(b) nužna dodatna testiranja kontrole ili drugih kontrola kako bi se stvorio zaključak o tome djeluju li za vrijeme specificiranog razdoblja učinkovito kontrole povezane s određenim ciljem kontrola (vidjeti točku A25); ili

(c) testiranja koja su bila obavljena osigurala odgovarajuću osnovu za zaključivanje da kontrole ne djeluju učinkovito za vrijeme specificiranog razdoblja.

29. U iznimno rijetkim okolnostima kad revizor uslužne organizacije smatra da je odstupanje otkriveno u uzorku anomalija i nisu identificirane druge kontrole koje bi revizoru uslužne organizacije dopustile zaključiti da se relevantni cilj kontrole učinkovito ostvaruje za vrijeme specificiranog razdoblja, revizor uslužne organizacije mora steći visoki stupanj sigurnosti da takvo odstupanje nije reprezentativno za populaciju. Revizor uslužne organizacije mora steći visok stupanj sigurnosti obavljanjem dodatnih postupaka kako bi pribavio dostatne i primjerene dokaze da odstupanje ne utječe na preostali dio populacije.

Rad funkcije interne revizije[61](Ovaj MSIU ne uređuje slučajeve u kojima pojedini interni revizori pružaju izravnu pomoć revizoru uslužne organizacije u obavljanju revizijskih postupaka.)

Stjecanje razumijevanja funkcije interne revizije

30. Ako uslužna organizacija ima funkciju interne revizije, revizor uslužne organizacije mora steći razumijevanje o vrstama odgovornosti funkcije interne revizije i aktivnostima koje se obavljaju kako bi utvrdio je li vjerojatno da je funkcija interne revizije relevantna za angažman. (Vidjeti točku A37.)

Određivanje hoće li se i u kojoj mjeri koristiti radom internih revizora

31. Revizor uslužne organizacije mora odrediti:

(a) je li vjerojatno da je rad internih revizora primjeren za svrhe angažmana; i

(b) ako je to slučaj, planirani učinak rada internih revizora na vrste, vremenski raspored ili opseg postupaka revizora uslužne organizacije.

32. U određivanju je li vjerojatno da će rad internih revizora biti primjeren za svrhe angažmana, revizor uslužne organizacije mora ocijeniti:

(a) objektivnost funkcije interne revizije;

(b) stručne kompetencije internih revizora;

(c) je li vjerojatno da se rad internih revizora obavlja s dužnom profesionalnom pažnjom; i

(d) je li vjerojatno da će postojati učinkovito komuniciranje između internih revizora i revizora uslužne organizacije.

33. U određivanju planiranog učinka rada internih revizora na vrste, vremenski raspored ili opseg postupaka revizora uslužne organizacije, revizor uslužne organizacije mora razmotriti: (Vidjeti točku A38.)

(a) sadržaj i opseg određenog rada kojeg su obavili, ili trebaju obaviti, interni revizori;

(b) značajnost tog rada za zaključke revizora uslužne organizacije; i

(c) stupanj subjektivnosti sadržan u ocjenjivanju dokaza dobivenih kao potpora tim zaključcima.

Korištenje radom funkcije interne revizije

34. Kako bi se revizor uslužne organizacije koristio određenim radom internih revizora, revizor uslužne organizacije mora ocijeniti taj rad i obaviti postupke za taj rad kako bi utvrdio njegovu primjerenost svojim potrebama. (Vidjeti točku A39.)

35. Kako bi revizor uslužne organizacije utvrdio primjerenost određenog rada kojeg su obavili interni revizori svojim potrebama, revizor uslužne organizacije mora ocijeniti:

(a) jesu li rad obavili interni revizori koji imaju odgovarajuću stručnu uvježbanost i znanje;

(b) je li rad ispravno nadziran, pregledavan i dokumentiran;

(c) jesu li dobiveni odgovarajući dokazi za omogućavanje internim revizorima da stvore razumne zaključke;

(d) jesu li stvoreni zaključci primjereni u danim okolnostima i jesu li sva izvješća koja su pripremili interni revizori dosljedna rezultatima obavljenog posla; i

(e) jesu li ispravno razriješeni izuzeci relevantni za angažman ili jesu li objavljena neuobičajena pitanja.

Učinak na izvješće s izražavanjem uvjerenja revizora uslužne organizacije

36. Ako se koristilo radom funkcije interne revizije, revizor uslužne organizacije ne smije se pozvati na taj rad u odjeljku izvješća s izražavanjem uvjerenja revizora uslužne organizacije koje sadrži mišljenje revizora uslužne organizacije. (Vidjeti točku A40.)

37. U slučaju izvješća vrste 2, ako se radom funkcije interne revizije koristilo u obavljanju testova kontrola, onaj dio izvješća s izražavanjem uvjerenja revizora uslužne organizacije koji opisuje testove kontrola revizora uslužne organizacije i njihove rezultate mora uključiti opis rada internih revizora i postupke koje je revizor uslužne organizacije obavio u vezi s tim radom. (Vidjeti točku A41.)

Pisane izjave

38. Revizor uslužne organizacije mora zahtijevati da uslužna organizacija osigura pisane izjave o tome da (vidjeti točku A42):

(a) se pisanom izjavom potvrđuje izjava koja prati opis sustava;

(b) su revizoru uslužne organizacije dane sve relevantne informacije i da im je omogućen pristup kako je dogovoreno[62](Točka 13(b)(v) ovog MSIU-a.) i:

(c) je revizoru uslužne organizacije je priopćeno o bilo čemu od sljedećeg čega je uslužna organizacija svjesna:

(i) nesukladnosti sa zakonima i regulativama, prijevarama ili neispravljenim odstupanjima koja se mogu pripisati uslužnoj organizaciji i koja mogu utjecati na jednog subjekta korisnika ili više njih;.

(ii) nedostaci u oblikovanosti kontrola;

(iii) slučajevima gdje kontrole nisu djelovale kako je opisano; i

(iv) svakom događaju nakon razdoblja obuhvaćenog opisom uslužne organizacije njezinog sustava sve do datuma izvješća s izražavanjem uvjerenja revizora uslužne organizacije koji može imati značajan učinak na izvješće s izražavanjem uvjerenja revizora uslužne organizacije.

39. Pisane izjave moraju biti u obliku pisma s izjavom naslovljenim na revizora uslužne organizacije. Datum pisane izjave bit mora što je bliže izvedivo s datumom izvješća s izražavanjem uvjerenja revizora uslužne organizacije, ali ne nakon tog datuma.

40. Ako uslužna organizacija, nakon što je raspravila pitanje s revizorom uslužne organizacije, ne osigura jednu ili više pisanih izjava zahtijevanih u skladu s točkama 38(a) i (b) ovog MSIU-a, revizor uslužne organizacije mora se suzdržati od mišljenja. (Vidjeti točku A43.)

Ostale informacije

41 Revizor uslužne organizacije mora čitati ostale informacije, ako ih ima, uključene u dokument koji sadrži opis uslužne organizacije njezinog sustava i izvješće s izražavanjem uvjerenja revizora uslužne organizacije, kako bi otkrio značajne nedosljednosti, ako ih ima, u odnosu na taj opis. Dok čita ostale informacije sa svrhom identificiranja značajnih nedosljednosti, revizor uslužne organizacije može postati svjestan očiglednog pogrešnog prikazivanja činjenica u tim ostalim informacijama.

42. Ako revizor uslužne organizacije identificira značajnu nedosljednost ili postane svjestan očiglednog pogrešnog prikazivanja činjenica u tim ostalim informacijama, revizor uslužne organizacije mora raspraviti pitanje s uslužnom organizacijom. Ako revizor uslužne organizacije zaključi da postoji značajna nedosljednost ili pogrešno prikazivanje činjenice u ostalim informacijama koje uslužna organizacija odbija ispraviti, revizor uslužne organizacije mora poduzeti daljnje primjerene radnje. (Vidjeti točke A44 – A45.)

Naknadni događaji

43. Revizor uslužne organizacije mora postaviti upit o tome ima li uslužna organizacija spoznaju o bilo kojim događajima nakon razdoblja obuhvaćenog opisom uslužne organizacije njezinog sustava sve do datuma izvješća s izražavanjem uvjerenja revizora uslužne organizacije koji bi mogli biti uzrok da revizor uslužne organizacije izmijeni svoje izvješće. Ako revizor uslužne organizacije postane svjestan postojanja takvog događaja i informacije o tom događaju kojeg nije objavila uslužna organizacija, revizor uslužne organizacije mora ih uključiti u izvješće s izražavanjem uvjerenja revizora uslužne organizacije.

44. Revizor uslužne organizacije nema obvezu obaviti bilo kakve postupke u vezi s opisom uslužne organizacije njezinog sustava ili prikladnošću oblikovanosti ili operativne učinkovitosti kontrola, nakon datuma izvješća s izražavanjem uvjerenja revizora uslužne organizacije.

Dokumentacija

45. Revizor uslužne organizacije mora pravovremeno pripremiti dokumentaciju o angažmanu koja sadrži osnovu za izvješće s izražavanjem uvjerenja koja je dostatna i primjerena da neki iskusni revizor uslužne organizacije, koji nema prethodnu povezanost s angažmanom, razumije:

(a) vrste, vremenski raspored i opseg postupaka obavljenih kako bi se postupilo u skladu s ovim MSIU-om i primjenjivim zakonskim i regulativnim zahtjevima;

(b) rezultate obavljenih postupaka i dobivenih dokaza; i

(c) značajna pitanja nastala za vrijeme angažmana i zaključke stvorene o njima i značajne profesionalne prosudbe obavljene kako bi se stvorili ti zaključci.

46. Pri dokumentiranju vrsta, vremenskog rasporeda i opsega obavljenih postupaka, revizor uslužne organizacije mora evidentirati:

(a) karakteristike koje omogućavaju identifikaciju određenih stavaka ili pitanja koji su bili testirani;

(b) tko je obavio posao i datum kad je taj posao dovršen; i

(c) tko je pregledao obavljeni posao i datum i opseg takvog pregleda.

47. Ako revizor uslužne organizacije koristi određeni rad internih revizora, revizor uslužne organizacije mora dokumentirati zaključke stvorene u vezi s ocjenjivanjem primjerenosti rada internih revizora i postupke koje je revizor uslužne organizacije obavio u vezi s tim radom.

48. Revizor uslužne organizacije mora dokumentirat rasprave o značajnim pitanjima s uslužnom organizacijom i drugima uključujući i sadržaj značajnih pitanjima o kojima se raspravljalo i kad se i s kom se o njima raspravljalo.

49. Ako je revizor uslužne organizacije identificirao informaciju koja je nedosljedna s njegovim konačnim zaključkom u vezi sa značajnim pitanjem, revizor uslužne organizacije mora dokumentirati kako je obradio tu nedosljednost.

50. Revizor uslužne organizacije mora objediniti dokumentaciju u spis angažmana i pravodobno dovršiti administrativni proces objedinjavanja konačnog spisa angažmana nakon datuma izvješća s izražavanjem uvjerenja revizora uslužne organizacije.[63](Točke A54 – A55 MSKK-a 1 sadrže daljnju uputu.)

51. Nakon što je dovršeno objedinjavanje konačnog spisa angažmana, revizor uslužne organizacije ne smije brisati ili baciti dokumentaciju prije kraja razdoblja čuvanja. (Vidjeti točku A46.)

52 Ako revizor uslužne organizacije utvrdi da je potrebno mijenjati postojeću dokumentaciju angažmana ili dodati novu dokumentaciju nakon što je bio objedinjen konačni spis angažmana i ta dokumentacija ne utječe na izvješće revizora uslužne organizacije, revizor uslužne organizacije mora, neovisno o sadržaju izmjena ili dodavanja, dokumentirati:

(a) konkretne razloge za njihovo obavljanje; i

(b) tko ih je i kad obavio i pregledao.

Pripremanje izvješća s izražavanjem uvjerenja revizora uslužne organizacije

Sadržaj izvješća s izražavanjem uvjerenja revizora uslužne organizacije

53. Izvješće s izražavanjem uvjerenja revizora uslužne organizacije mora barem uključivati sljedeće osnovne elemente (vidjeti točku A47):

(a) naslov koji jasno navodi da izvješće je izvješće s izražavanjem uvjerenja neovisnog revizora uslužne organizacije.

(b) naslovnik.

(c) identifikacijski navod za;

(i) opis uslužne organizacije njezinog sustava i izjave uslužne organizacije, koji uključuje pitanja opisana u točki 9(k)(ii) za izvješće vrste 2 ili u točki 9(j)(ii) za izvješće vrste 1.

(ii) one dijelove opisa uslužne organizacije njezinog sustava, ako ih ima, koji nisu obuhvaćeni mišljenjem revizora uslužne organizacije.

(iii) ako se opis poziva na potrebu za komplementarnim kontrolama krajnjeg korisnika, izjavu da revizor uslužne organizacije nije ocijenio prikladnost oblikovanosti ili operativnu učinkovitost komplementarnih kontrola krajnjeg korisnika i da ciljevi kontrola navedeni u opisu uslužne organizacije njezinog sustava mogu biti ostvareni samo ako su komplementarne kontrole krajnjeg korisnika prikladno oblikovane ili djeluju učinkovito, zajedno s kontrolama u uslužnoj organizaciji.

(iv) ako je usluge obavila poduslužna organizacija, sadržaj aktivnosti koje je obavila poduslužna organizacija kako je opisano u opisu uslužne organizacije njezinog sustava i je li u vezi s njima bila korištena metoda uključenja ili metoda isključenja. Gdje je bila korištena metoda isključenja, izjavu da opis uslužne organizacije njezinog sustava isključuje ciljeve kontrola i povezane kontrole u relevantnim poduslužnim organizacijama i da postupci revizora uslužne organizacije nisu prošireni na kontrole u poduslužnoj organizaciji. Gdje je bila korištena metoda uključenja, izjavu da opis uslužne organizacije njezinog sustava uključuje ciljeve kontrola i povezane kontrole u relevantnim poduslužnim organizacijama i da su postupci revizora uslužne organizacije prošireni na kontrole u poduslužnoj organizaciji.

(d) oznaku primjenjivih kriterija i treće strane koja specificira ciljeve kontrola.

(e) izjavu da izvješće i, u slučaju izvješća vrste 2, opis testova kontrola su namijenjeni samo za subjekte korisnike i njihove revizore, koji imaju dostatno razumijevanje da bi ih razmotrili, zajedno s drugim informacijama, uključujući i s informacijama o kontrolama koje djeluju u samim subjektima korisnicima, kad procjenjuju rizike značajnog pogrešnog prikazivanja financijskih izvještaja subjekata korisnika. (Vidjeti točku A48.)

(f) izjavu da je uslužna organizacija odgovorna za:

(i) pripremanje opisa svoga sustava i pratećih izjava, uključujući i za potpunost, točnost i metode prezentacije tog opisa i tih izjava;

(ii) pružanje usluga obuhvaćenih opisom uslužne organizacije njezinog sustava;

(iii) navođenje ciljeva kontrola (gdje nisu utvrđeni zakonom ili regulativom ili ih nije utvrdila druga stranka, na primjer, grupa korisnika ili profesionalno tijelo); i

(iv) oblikovanje i implementaciju kontrola kako bi se postigli ciljevi kontrola navedeni u opisu uslužne organizacije njezinog sustava.

(g) izjavu da je revizor uslužne organizacije odgovoran za izražavanje mišljenja o opisu uslužne organizacije njezinog sustava, o oblikovanosti kontrola povezanih s ciljevima kontrola navedenim u tom opisu i, u slučaju izvješća vrste 2, o operativnoj učinkovitosti tih kontrola, temeljeno na postupcima revizora uslužne organizacije.

(h) izjavu da društvo čiji je praktičar član primjenjuje MSKK 1 ili druge profesionalne zahtjeve ili zahtjeve u zakonu ili regulativi, koji su barem jednako zahtjevni kao MSKK 1. Ako praktičar nije profesionalni računovođa, u izjavi se moraju utvrditi profesionalni zahtjevi ili zahtjevi u zakonu ili regulativi koji se primjenjuju i koji su barem jednako zahtjevni kao MSKK 1.

(i) izjavu da praktičar ispunjava uvjete neovisnosti i druge etičke zahtjeve IESBA Kodeksa, ili druge profesionalne zahtjeve ili zahtjeve propisane zakonom ili regulativom, koji su barem zahtjevni kao odredbe IESBA Kodeksa koje se odnose na angažmane s izražavanjem uvjerenja. Ako praktičar nije profesionalni računovođa, u izjavi se moraju utvrditi profesionalni zahtjevi ili zahtjevi propisani zakonom ili regulativom, koji se primjenjuju i koji su barem jednako zahtjevni kao i odredbe IESBA Kodeksa koje se odnose na angažmane s izražavanjem uvjerenja.

(j) izjavu da je angažman obavljen u skladu s MSIU-om 3402, »Izvješća s izražavanjem uvjerenja o kontrolama u uslužnoj organizacija«, koji zahtijeva od revizora uslužne organizacije da planira i obavi postupke kako bi stekao razumno uvjerenje o tome je li, u svim značajnim odrednicama, fer prezentiran opis uslužne organizacije njezinog sustava i jesu li kontrole prikladno oblikovane i, u slučaju izvješća vrste 2, jesu li operativno učinkovite.

(k) sažetak postupaka revizora uslužne organizacije za stjecanje razumnog uvjerenja i izjavu kako revizor uslužne organizacije vjeruje da su pribavljeni dokazi dostani i primjereni za osiguravanje osnove za mišljenje revizora uslužne organizacije i, u slučaju izvješća vrste 1, izjavu da revizor uslužne organizacije nije obavio bilo koje postupke u vezi s operativnom učinkovitošću kontrola i da se stoga ne izražava mišljenje o tome.

(l) izjavu o ograničenjima kontrola i, u slučaju izvješća vrste 2, o riziku projiciranja na buduća razdoblja svake ocjene o operativnoj učinkovitosti kontrola.

(m) mišljenje revizora uslužne organizacije, izraženo u pozitivnom obliku, o tome, u svim značajnim odrednicama, temeljeno na prikladnim kriterijima:

(i) u slučaju izvješća vrste 2:

a. prezentira li opis na fer način sustav uslužne organizacije koji je bio oblikovan i implementiran tijekom specificiranog razdoblja;

b. jesu li kontrole povezane s ciljevima kontrola navedenim u opisu uslužne organizacije njezinog sustava bile prikladno oblikovane tijekom specificiranog razdoblja; i

c. jesu li testirane kontrole, a to su one kontrole koje su bile nužne za osiguravanje razumnog uvjerenja da su postignuti ciljevi kontrola navedeni u opisu, učinkovito djelovale tijekom specificiranog razdoblja.

(ii) u slučaju izvješća vrste 1:

a. prezentira li opis na fer način sustav uslužne organizacije koji je bio oblikovan i implementiran na specificirani datum; i

b. jesu li kontrole povezane s ciljevima kontrola navedenim u opisu uslužne organizacije njezinog sustava bile prikladno oblikovane na specificirani datum.

(n) datum izvješća s izražavanjem uvjerenja revizora uslužne organizacije, koji ne smije biti raniji od datuma na koji je revizor uslužne organizacije pribavio dokaze na kojima je temeljeno mišljenje revizora uslužne organizacije.

(o) društvo revizora uslužne organizacije i lokaciju u zakonodavstvu gdje posluje revizor uslužne organizacije.

54. U slučaju izvješća vrste 2, izvješće s izražavanjem uvjerenja revizora uslužne organizacije mora uključiti odvojeni odjeljak nakon mišljenja ili dodatak, u kojem se opisuju testovi kontrola koji su bili obavljeni i rezultate tih testova. U opisivanju testova kontrola, revizor uslužne organizacije mora jasno navesti koje su kontrole bile testirane, navesti predstavljaju li testirane stavke sve stavke, ili izbor stavaka, iz populacije, te navesti sadržaj testova s dostatno detalja da se omogući revizorima organizacija korisnika utvrđivanje učinka tih testova na njihove procjene rizika. Ako su bila otkrivena odstupanja, revizor uslužne organizacije mora uključiti opseg obavljenog testiranja koji je doveo do utvrđivanja odstupanja (uključujući i veličinu uzoraka gdje je uzorkovanje bilo korišteno) i broj i sadržaj uočenih odstupanja. Revizor uslužne organizacije mora izvijestiti o odstupanjima čak ako je, na osnovi obavljenih testova, zaključio da je postignut povezani cilj kontrole. (Vidjeti točke A18 i A49.)

Modificirana mišljenja

55. Ako revizor uslužne organizacije zaključi da: (Vidjeti točke A50 – A52)

(a) opis uslužne organizacije njezinog sustava ne prezentira na fer način, u svim značajnim odrednicama, sustav kako je oblikovan i implementiran;

(b) kontrole povezane s ciljevima kontrola navedenim u opisu, nisu bile, u svim značajnim odrednicama, prikladno oblikovane;

(c) u slučaju izvješća vrste 2, testirane kontrole nisu, u svim značajnim odrednicama, učinkovito djelovale, a to su one kontrole koje su bile nužne za osiguravanje razumnog uvjerenja da su postignuti ciljevi kontrola navedeni u opisu; ili

(d) da revizor uslužne organizacije nije u mogućnosti pribaviti dostatne i primjerene dokaze

mišljenje revizora uslužne organizacije mora biti modificirano i izvješće s izražavanjem uvjerenja revizora uslužne organizacije mora uključivati odjeljak s jasnim opisom svih razloga za modifikaciju.

Ostale odgovornosti za komuniciranje

56. Ako revizor uslužne organizacije stekne saznanje o neusklađenosti sa zakonima ili regulativama, prijevari ili neispravljenim pogreškama pripisivih uslužnoj organizaciji koji nisu očigledno beznačajni i mogu utjecati na jednog subjekta korisnika ili više njih, revizor uslužne organizacije mora utvrditi je li pitanje bilo primjereno priopćeno subjektima korisnicima na koje to ima učinka. Ako pitanje nije bilo tako priopćeno i uslužna organizacija ne želi to učiniti, revizor uslužne organizacije mora poduzeti primjereno radnje. (Vidjeti točku A53.)

* * *

MATERIJAL ZA PRIMJENU I OSTALI MATERIJALI S OBJAŠNJENJIMA

Područje koje uređuje ovaj MSIU (Vidjeti točke 1, 3)

A1. Interne kontrole su proces oblikovan za osiguravanje razumnog uvjerenja u vezi s postizanjem ciljeva povezanih s pouzdanošću financijskog izvještavanja, učinkovitošću i djelotvornošću poslovanja i sukladnošću s primjenjivim zakonima i regulativama. Kontrole povezane s poslovanjem uslužne organizacije i ciljevima sukladnosti mogu biti relevantne internim kontrolama korisničkih sustava budući da se odnose na financijsko izvještavanje. Takve kontrole mogu se odnositi na tvrdnje o prezentiranju i objavljivanju povezano sa stanjima računa, klasama transakcija ili objavljivanjima ili se mogu odnositi na dokaz koji revizor uslužne organizacije ocjenjuje ili koristi u primjenjivanju revizijskih postupaka. Na primjer, kontrole uslužne organizacije za obrađivanje plaća povezane s pravodobnim doznačavanjem doprinosa iz plaća državnim tijelima mogu biti relevantne subjektu korisniku jer kašnjenje s plaćanjem može uzrokovati kamate i kazne koje će imati kao posljedicu obvezu za subjekta korisnika. Slično tome, kontrole uslužne organizacije nad prihvatljivošću ulagateljskih transakcija s gledišta regulative mogu se smatrati relevantnim za prezentaciju i objavljivanje transakcija i stanja subjekta korisnika u njegovim financijskim izvještajima. Određivanje je li vjerojatno da će kontrole uslužne organizacije, povezane s poslovanjem i sukladnošću, biti relevantne internim kontrolama subjekata korisnika je pitanje za profesionalnu prosudbu, imajući na umu ciljeve kontrola koje je postavila uslužna organizacija i prikladnost kriterija.

A2. Uslužna organizacija može biti u nemogućnosti izraziti tvrdnju da je sustav prikladno oblikovan kad, na primjer, uslužna organizacija posluje sa sustavom kojeg je oblikovao subjekt korisnik ili je ugovoren ugovorom zaključenim između subjekta korisnika i uslužne organizacije. Zbog zamršene povezanosti između prikladne oblikovanosti kontrola i njihove operativne učinkovitosti, izostanak izjave u vezi s prikladnošću oblikovanosti će vjerojatno onemogućiti revizoru uslužne organizacije stvaranje zaključka da kontrole osiguravaju razumno uvjerenje da su ispunjeni ciljevi kontrola i na taj način od izražavanja mišljenja o operativnoj učinkovitosti kontrola. Kao alternativu, prema MSIU 3000 (izmijenjen), praktičar (profesionalni računovođa u javnoj praksi) može odabrati prihvatiti angažman s obavljanjem dogovorenih postupaka ili angažman s izražavanjem uvjerenja kako bi, temeljem testova kontrola, stvorio zaključak o tome jesu li kontrole djelovale kako je opisano.

Definicije (Vidjeti točke 9(d), 9(g))

A3. Definicija »kontrole u uslužnoj organizaciji« uključuje aspekte informacijskih sustava subjekata korisnika koje održava uslužna organizacija i može također uključiti aspekte jedne od ostalih komponentni, ili više njih, internih kontrola u uslužnoj organizaciji. Na primjer, ona može uključiti aspekte okruženja kontrola uslužne organizacije, monitoringa i kontrolnih aktivnosti kad se oni odnose na pružene usluge. Ona, međutim, ne uključuje kontrole u uslužnoj organizaciji koje nisu povezane s postizanjem ciljeva kontrola navedenih u opisu uslužne organizacije njezinog sustava, na primjer, na kontrole povezane s pripremanjem vlastitih financijskih izvještaja uslužne organizacije.

A4. Kad se koristi metoda uključenja, zahtjevi iz ovog MSIU-a se također primjenjuju na usluge koje pruža poduslužna organizacija, uključujući i na dobivanje suglasnosti u vezi s pitanjima u točki 13(b)(i) – (v) o tome kako su primijenjena u poduslužnoj organizaciji radije nego u uslužnoj organizaciji. Obavljanje postupaka u poduslužnoj organizaciji povlači za sobom koordiniranje i komuniciranje između uslužne organizacije, poduslužne organizacije i revizora uslužne organizacije. Metoda uključenja je općenito izvediva samo ako su povezane uslužna organizacija i poduslužna organizacija ili ako njezinu uporabu osigurava ugovor između uslužne organizacije i poduslužne organizacije.

Etički zahtjevi (Vidjeti točku 11.)

A5. Revizor uslužne organizacije je podložan relevantnim zahtjevima neovisnosti, koji obično obuhvaćaju IESBA Kodeks zajedno s nacionalnim zahtjevima koji su stroži. U obavljanju nekog angažmana u skladu s ovim MSIU-om, IESBA Kodeks ne zahtijeva da revizor uslužne organizacije bude neovisan od svakog subjekta korisnika.

Menadžment i oni koji su zaduženi za upravljanje (Vidjeti točku 12)

A6. Struktura vođenja poslovanja i upravljanja razlikuje se od zakonodavstva do zakonodavstva i od subjekta do subjekta, odražavajući utjecaje kao što su različita kulturološka i zakonska zaleđa, i veličina i karakteristike vlasništva. Takva raznolikost znači da nije moguće ovim MSIU-om specificirati za sve angažmane osobu odnosno osobe s kojom odnosno s kojima će revizor uslužne organizacije biti u interakciji u vezi s određenim pitanjima. Na primjer, uslužna organizacija može biti segment organizacije treće strane, a ne odvojeni pravni subjekt. U takvim slučajevima, identificiranje primjerenog osoblja menadžmenta ili onih koji su zaduženi za upravljanje od kojih će se zahtijevati pisane izjave može zahtijevati korištenje profesionalne prosudbe.

Prihvaćanje i nastavljanje

Sposobnosti i kompetencije za obavljanje angažmana (Vidjeti točku 13(a)(i))

A7. Relevantne sposobnosti i kompetencije za obavljanje angažmana uključuju pitanja kao što su sljedeća:

• poznavanje relevantne industrije;

• razumijevanje informacijskih tehnologija i sustava;

• iskustvo u ocjenjivanju rizika kako se oni odnose prema prikladnoj oblikovanosti kontrola; i

• iskustvo u oblikovanju i izvođenju testova kontrola i ocjenjivanju rezultata.

Izjava uslužne organizacije (Vidjeti točku 13(b)(i))

A8. Odbijanje uslužne organizacije da osigura pisanu izjavu, nakon zaključivanja sporazuma s revizorom uslužne organizacije da se prihvaća ili nastavlja angažman, predstavlja ograničenje opsega koje uzrokuje da se revizor uslužne organizacije povlači iz angažmana. Ako zakon ili regulativa ne dopušta revizoru uslužne organizacije povlačenje iz angažmana, revizor uslužne organizacije će se suzdržati od mišljenja.

Razumna osnovica za izjavu uslužne organizacije (Vidjeti točku 13(b)(ii))

A9. U slučaju izvješća vrste 2, izjava uslužne organizacije uključuju izjavu da kontrole povezane s ciljevima kontrola navedenim u opisu uslužne organizacije njezinog sustava djeluju učinkovito za vrijeme specificiranog razdoblja. Ta izjava može biti temeljena na monitoring aktivnostima uslužne organizacije. Monitoring kontrola je proces procjenjivanja učinkovitosti kontrola kroz vrijeme. On uključuje procjenjivanje učinkovitosti kontrola po osnovi pravodobnosti, identificiranja i izvješćivanje nedostataka odgovarajućim osobama unutar uslužne organizacije i poduzimanje nužnih aktivnosti ispravljanja. Uslužna organizacija obavlja monitoring kontrola kroz tekuće aktivnosti, odvojeno ocjenjivanje ili kombinacijom oba pristupa. Što je veći razmjer i učinkovitost monitoringa kroz tekuće aktivnosti to je manja potreba za odvojenim ocjenjivanjima. Monitoring kroz tekuće aktivnosti je često ugrađen u uobičajene ponavljajuće aktivnosti uslužne organizacije i uključuje redovne aktivnosti rukovođenja i nadzora. Interni revizori ili osobe koje obavljaju slične funkcije mogu doprinijeti monitoringu aktivnosti uslužne organizacije. Aktivnosti monitoringa mogu također uključiti korištenje informacija koje su priopćile vanjske strane, kao što su reklamacije kupaca ili nalazi regulativnih tijela, koje mogu ukazivati na probleme ili skrenuti pozornost na područja koja zahtijevaju poboljšanja. Činjenica da će revizor uslužne organizacije izvijestiti o operativnoj učinkovitosti kontrola nije zamjena za vlastiti postupak uslužne organizacije za osiguravanje razumne osnove za svoju izjava.

Identificiranje rizika (Vidjeti točku 13(b)(iv))

A10. Kako je navedeno u točki 9(c), ciljevi kontrola odnose se na rizike koje kontrole žele umanjiti. Na primjer, rizik da je transakcija evidentirana s pogrešnim iznosom ili u pogrešnom razdoblju može se izraziti kao cilj kontrole da se transakcije evidentiraju s ispravnim iznosom i u ispravnom razdoblju. Uslužna organizacija je odgovorna za identificiranje rizika koji ugrožavaju postizanje ciljeva kontrola navedenih u opisu njezinog sustava. Uslužna organizacija može imati formalni ili neformalni postupak za identificiranje relevantnih rizika. Formalni postupak može uključiti procjenjivanje značajnosti identificiranih rizika, procjenjivanje vjerojatnosti njihovog nastanka i odlučivanje o aktivnostima za suočavanje s njima. Međutim, budući da su ciljevi kontrola povezani s rizicima koje kontrole žele umanjiti, to već obazrivo identificiranje ciljeva kontrola kad se oblikuje i implementira sustav uslužne organizacije može samo po sebi tvoriti neformalni postupak identificiranja relevantnih rizika.

Prihvaćanje promjene u uvjetima angažmana (Vidjeti točku 14)

A11. Zahtjev za promjenom opsega angažmana može nemati razumno opravdanje kad je, na primjer, zahtjev postavljen kako bi se isključili određeni ciljevi kontrola iz opsega angažmana zbog vjerojatnosti da će biti modificirano mišljenje revizora uslužne organizacije ili da uslužna organizacija neće osigurati revizoru uslužne organizacije pisanu izjavu i zahtjev je dan da se obavi angažman sukladno MSIU-u 3000 (izmijenjen).

A12. Zahtjev za promjenom opsega angažmana može imati razumno opravdanje kad je, na primjer, zahtjev postavljen kako bi se iz angažmana isključila poduslužna organizacija kad uslužna organizacija ne može dogovoriti pristup revizoru uslužne organizacije i metoda korištena za rad s uslugama koje pruža ta uslužna organizacija je promijenjena iz metode uključenja u metodu uključenja.

Procjenjivanje prikladnosti kriterija (Vidjeti točke 15 – 18)

A13. Kriteriji trebaju biti dostupni namjeravanim korisnicima kako bi im omogućili razumijevanje osnove za izjavu uslužne organizacije o fer prezentaciji njezinog opisa sustava, prikladnosti oblikovanosti kontrola i, u slučaju izvješća vrste 2, operativne učinkovitosti kontrola povezanih s ciljevima kontrola.

A14. MSIU 3000 (izmijenjen) zahtijeva od revizora uslužne organizacije da, između ostalog utvrdi jesu li kriteriji koji će biti korišteni prikladni te da utvrdi primjerenost odnosnog predmetnog pitanja.[64](MSIU 3000 (izmijenjen), točke 24(b) i 41) Odnosno predmetno pitanje je ishodišno stanje interesa namjeravanih korisnika za izvješće s izražavanjem uvjerenja. Sljedeća tablica identificira predmetno pitanje i minimum kriterija za svako mišljenje u izvješćima vrste 1 i 2[65](»Informacija o predmetnom pitanju« je rezultat mjerenja ili ocjenjivanja odnosnog predmetnog pitanja naspram kriterija, tj. informacija koja rezultira iz primjene kriterija na odnosno predmetno pitanje.).

 

  Predmetno pitanje Kriteriji Komentar
Mišljenje o fer prezentaciji opisa sustava uslužne organizacije (izvješće vrste 1 i 2) Sustav uslužne organizacije za koji je vjerojatno da će biti relevantan internim kontrolama subjekata korisnika jer se odnosi na financijsko izvještavanje i obuhvaćen je izvješćem s izražavanjem uvjerenja revizora uslužne organizacije.

Opis je prezentiran na fer način ako on:

(a) prezentira kako je oblikovan i implementiran sustav uslužne organizacije, uključujući, ako je primjereno, pitanja navedena u točki16(a)(i) – (viii);

(b) u slučaju izvješća vrste 2, uključuje relevantne detalje o promjenama sustava uslužne organizacije za vrijeme razdoblja obuhvaćenog opisom; i

(c) ne ispušta ili iskrivljuje informacije relevantne za opseg sustava uslužne organizacije koji je opisan, dok se istodobno potvrđuje da je opis pripremljen kako bi se zadovoljile potrebe širokog raspona subjekata i ne mogu, stoga, uključiti svaki aspekt sustava uslužne organizacije koji svaki pojedinačni korisnik može smatrati važnim u svom vlastitom određenom okruženju.

Može biti potrebno prilagoditi određeni izričaj o kriterijima za ovo mišljenje kako bi bio dosljedan kriterijima koje je uspostavio, na primjer, zakon ili regulativa, grupa korisnika ili profesionalno tijelo. Primjeri kriterija za ovo mišljenje su dani u ilustraciji izjave uslužne organizacije u Dodatku 1. Točke A21 – A24 pružaju daljnje upute za određivanje jesu li ispunjeni ti kriteriji. (Prema zahtjevima MSIU 3000 (izmijenjen), informacija o predmetnom pitanju12 za ovo mišljenje je opis uslužne organizacije njezinog sustava i izjava uslužne organizacije da je taj opis prezentiran na fer način.

 

 

  Predmetno pitanje Kriteriji Komentar
Mišljenje o prikladnosti oblikovanosti i operativnoj učinkovitosti (izvješće vrste 2) Prikladnost oblikovanosti i operativna učinkovitost tih kontrola koje su potrebne za postizanje ciljeva kontrola navedenih u opisu uslužne organizacije njezinog sustava.

Kontrole su prikladno oblikovane i djeluju učinkovito ako:

(a) uslužna organizacija je identificirala rizike koji ugrožavaju postizanje ciljeva kontrola navedenih u njezinom opisu sustava;

(b) kontrole navedene u tom opisu bi, ako djeluje kako je opisano, pružile razumno uvjerenje da ti rizici ne sprječavaju postizanje navedenih ciljeva kontrole; i

(c) kontrole su dosljedno primijenjene kako su oblikovane za vrijeme specificiranog razdoblja. To uključuje jesu li ručne kontrole obavile osobe koje imaju primjerenu kompetenciju i ovlast.

Kad su zadovoljeni kriteriji za ovo mišljenje, kontrole će osigurati razumno uvjerenje da su bili postignuti ciljevi za vrijeme specificiranog razdoblja. (Prema zahtjevima MSIU-a 3000 (izmijenjen), informacija o predmetnom pitanju za ovo mišljenje je izjava uslužne organizacije da su kontrole prikladno oblikovane i da djeluju učinkovito.) Ciljevi kontrola koji su navedeni u opisu uslužne organizacije njezinog sustava su dio kriterija za ovo mišljenje. Ciljevi kontrola koji se navode bit će različiti od angažmana do angažmana. Ako kao dio formiranja mišljenja o opisu, revizor uslužne organizacije zaključi da navedeni ciljevi kontrola nisu prezentirani na fer način tada ti kontrolni ciljevi ne bi bili prikladni kao dio kriterija za formiranje nekog mišljenja o oblikovanosti ili operativnoj učinkovitosti kontrola.
Mišljenje o prikladnosti oblikovanosti i (izvješće vrste 1) Prikladnost oblikovanosti onih kontrola koje su nužne za postizanje ciljeva kontrola navedenih u opisu uslužne organizacije njezinog sustava.

Kontrole su prikladno oblikovane ako:

(a) uslužna organizacija je identificirala rizike koji ugrožavaju postizanje ciljeva kontrola navedenih u opisu njezinog sustava; i(b) kontrole navedene u tom opisu, ako djeluju kako je opisano, osiguravaju razumno uvjerenje da ti rizici ne sprječavaju postizanje navedenih ciljeva kontrola.

Zadovoljavanje tih kriterija, samo po sebi, ne daje uvjerenje da su postignuti povezani ciljevi kontrola jer se nije steklo uvjerenje o djelovanju tih kontrola. (Prema zahtjevima MSIU-a 3000, informacija o predmetnom pitanju za ovo mišljenje je izjava uslužne organizacije da su kontrole prikladno oblikovane.)

 

A15. Točka 16(a) identificira određeni broj elemenata koji su uključeni u opisu uslužne organizacije njezinog sustava kako je primjereno. Ti elementi ne moraju biti primjereni ako sustav koji je opisan nije sustav koji obrađuje transakcije, na primjer, ako se sustav odnosi na opće kontrole nad držanjem datoteka na poslužitelju a ne na kontrole utjelovljene u samoj aplikaciji.

Značajnost (Vidjeti točke 19, 54)

A16. U nekom angažmanu zbog izvješćivanja o kontrolama u uslužnoj organizaciji, koncept značajnosti odnosi se na sustav o kojem se izvješćuje, a ne na financijske izvještaje subjekata korisnika. Revizor uslužne organizacije planira i obavlja postupke kako bi utvrdio je li fer prezentiran, u svim značajnim odrednicama, opis uslužne organizacije njezinog sustava, jesu li kontrole u uslužnoj organizaciji prikladno oblikovane u svim značajnim odrednicama i, u slučaju izvješća vrste 2, djeluju li učinkovito, u svim značajnim odrednicama, kontrole u uslužnoj organizaciji. Koncept značajnosti uzima u obzir da izvješće s izražavanjem uvjerenja revizora uslužne organizacije osigurava informacije o sustavu uslužne organizacije kako bi se zadovoljile uobičajene potrebe za informacijama širokog raspona subjekata korisnika i njihovih revizora koji razumiju način na koji je sustav bio korišten.

A17. Značajnost u vezi s fer prezentacijom opisa uslužne organizacije njezinog sustava i u vezi s oblikovanošću kontrola, prvenstveno uključuje sagledavanje kvalitativnih čimbenika, na primjer: uključuje li opis značajne aspekte obrađivanja značajnih transakcija; ispušta li ili iskrivljuje li opis relevantne informacije; i o mogućnostima kontrola, kako su oblikovane, za osiguravanje razumnog jamstva da će ciljevi kontrola biti postignuti. Značajnost u vezi s mišljenjem revizora uslužne organizacije o operativnoj učinkovitosti kontrola uključuje sagledavanje i kvantitativnih i kvalitativnih čimbenika, na primjer, stope tolerancije u odnosu na utvrđenu stopu odstupanja (kvantitativno pitanje) i vrste i uzroka svakog utvrđenog odstupanja (kvalitativno pitanje).

A18. Koncept značajnosti ne primjenjuje se kad se, u opisu testova kontrola, objavljuju rezultati tih testova gdje su bila utvrđena odstupanja. To je stoga, što u određenim okolnostima određenog subjekta korisnika ili revizora korisnika, odstupanje može imati značajnost iznad one bez obzira može li ono ili ne može, prema mišljenju revizora uslužne organizacije, spriječiti kontrolu da učinkovito djeluje. Na primjer, kontrola na koju se odnosi odstupanje može biti od osobite značajnosti za sprječavanje određene vrste pogreške koja može biti značajna u određenim okolnostima financijskih izvještaja subjekta korisnika.

Stjecanje razumijevanja sustava uslužne organizacije (Vidjeti točku 20)

A19. Stjecanje razumijevanja sustava uslužne organizacije, uključujući i kontrola, uključenih u opseg angažmana, pomaže revizoru uslužne organizacije u:

• identificiranju granica tog sustava i kako je povezan s drugim sustavima.

• procjenjivanju je li opis uslužne organizacije na fer način prezentira sustav koji je bio oblikovan i implementiran.

• stjecanju razumijevanja internih kontrola nad sastavljanjem izjave uslužne organizacije.

• određivanju koje su kontrole nužne za postizanje ciljeva kontrola navedenih u opisu uslužne organizacije njezinog sustava.

• procjenjivanju jesu li kontrole prikladno oblikovane.

• procjenjivanje, u slučaju izvješća vrste 2, djeluju li kontrole učinkovito.

A20. Postupci revizora uslužne organizacije za stjecanje takvog razumijevanja mogu uključiti:

• postavljanje upita onima unutar uslužne organizacije koji, po prosudbi revizora uslužne organizacije, mogu imati relevantne informacije.

• promatranje djelovanja i pregledavanje dokumenata, izvješća i otisnutih i elektroničkih evidencija o obrađenim transakcijama.

• pregledavanje odabranih sporazuma između uslužne organizacije i subjekata korisnika kako bi se prepoznali njihovi zajednički uvjeti.

• ponovno izvođenje kontrolnih postupaka.

Pribavljanje dokaza u vezi s opisom (Vidjeti točke 21 – 22)

A21. Razmatranje sljedećih pitanja može pomoći revizoru uslužne organizacije u utvrđivanju jesu li fer prezentirani u svim značajnim odrednicama ovi aspekti opisa uključeni u opseg angažmana:

• Adresira li opis glavne aspekte pruženih usluga (unutar opsega angažmana) za koje je razumno očekivati da su relevantni uobičajenim potrebama širokog raspona revizora uslužnih organizacija u planiranju njihovih revizija financijskih izvještaja subjekata korisnika?

• Je li opis pripremljen s razinom detaljnosti za koju se može razumno očekivati da osigurava širokom rasponu revizora uslužnih organizacija dostatno informacija za stjecanje razumijevanja internih kontrola u skladu s MRevS-om 315 (izmijenjen)?[66](ISA 315 (Izmijenjen), Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja kroz razmijevanje subjekta i njegovog okruženja) Opis ne treba adresirati svaki aspekt obrada uslužne organizacije ili uslugama pruženim subjektima korisnicima i ne treba biti toliko detaljan da se potencijalno omogući čitateljima da kompromitiraju zaštitu ili druge kontrole u uslužnoj organizaciji.

• Je li opis pripremljen na način da se ne izostavljaju ili iskrivljuju informacije koje mogu utjecati na uobičajene potrebe za informacijama za odlučivanje širokog raspona revizora uslužne organizacije, na primjer, sadrži li opis nekog značajnog izostavljanja ili netočnosti u obrađivanju o kojima revizor uslužne organizacije ima spoznaju?

• Jesu li neki od ciljeva kontrola navedeni u opisu uslužne organizacije njezinog sustava bili isključeni iz opsega angažmana i navodi li opis jasno isključene ciljeve?

• Jesu li bile implementirane kontrole navedene u opisu?

• Jesu li primjereno opisane komplementarne kontrole subjekta korisnika, ako ih ima? U najvećem broju slučajeva, opis ciljeva kontrola se formulira tako da se ciljevi kontrola mogu postići učinkovitim djelovanjem kontrola koje je implementirala sama uslužna organizacija. U nekim slučajevima, međutim, ciljeve kontrola navedene u opisu uslužne organizacije njezinog sustava ne može postići sama uslužna organizacija jer njihovo postizanje zahtijeva da određene kontrole budu implementirane u subjektima korisnicima. To može biti slučaj gdje je, na primjer, kontrolne ciljeve specificiralo regulativno tijelo. Kad opis uključuje komplementarne kontrole subjekta korisnika, opis odvojeno navodi te kontrole zajedno sa specifičnim ciljevima kontrola koje ne može ostvariti sama uslužna organizacija.

• Ako se koristila metoda uključenja, navodi li opis odvojeno kontrole u uslužnoj organizaciji i kontrole u poduslužnoj organizaciji? Ako se koristila metoda isključenja, navodi li opis funkcije koje obavlja poduslužna organizacija? Gdje se koristila metoda isključenja, opis ne treba detaljno opisivati obrađivanje ili kontrole u poduslužnoj organizaciji.

A22. Postupci revizora uslužne organizacije za ocjenjivanje fer prezentacije opisa mogu uključiti:

• sagledavanje vrsta subjekata korisnika i kako usluge koje pruža uslužna organizacija mogu vjerojatno utjecati na njih, na primjer, jesu li subjekti korisnici iz određenih industrija i reguliraju li ih državne agencije.

• čitanje standardnih ugovora ili standardnih uvjeta ugovora (ako je primjenjivo) sa subjektima korisnicima kako bi se steklo razumijevanje o ugovornim obvezama uslužne organizacije.

• promatranje postupaka koje je obavilo osoblje uslužne organizacije.

• pregledavanje priručnika o politikama i postupcima uslužne organizacije i ostale dokumentacije o sustavu, na primjer, shematske prikaze i opise.

A23. Točka 21(a) zahtijeva od revizora uslužne organizacije da ocijeni jesu li razumni u danim okolnostima ciljevi kontrola navedeni u opisu uslužne organizacije njezinog sustava. Razmatranje sljedećih pitanja može pomoći revizoru uslužne organizacije u tom ocjenjivanju:

• Je li navedene ciljeve kontrola oblikovala uslužna organizacija ili vanjske strane kao što je regulativno tijelo, grupa korisnika ili profesionalno tijelo koje slijedi transparentni postupak s dužnom pažnjom?

• Gdje je navedene ciljeve kontrola specificirala uslužna organizacija, odnose li se oni na vrste tvrdnji koje su uobičajeno utjelovljene u financijskim izvještajima širokog raspona subjekata korisnika za koje se može razumno očekivati da se na njih odnose kontrole u uslužnoj organizaciji? Iako revizor uslužne organizacije uobičajeno neće moći utvrditi kako se kontrole u uslužnoj organizaciji posebno odnose na tvrdnje utjelovljene u financijskim izvještajima subjekata korisnika, koristi se razumijevanje revizora uslužne organizacije o vrsti sustava uslužne organizacije, uključujući i o kontrolama i usluge koje se pružaju se koriste za identificiranje vrsti tvrdnji na koje se vjerojatno odnose te kontrole.

• Gdje je navedene ciljeve kontrola specificirala uslužna organizacija, jesu li oni potpuni? Potpuni skup ciljeva kontrola može osigurati širokom rasponu revizora korisnika okvir za procjenjivanje učinka kontrola u uslužnoj organizaciji na tvrdnje koje su uobičajeno utjelovljene u financijskim izvještajima subjekata korisnika.

A24. Postupci revizora uslužne organizacije za utvrđivanje je li implementiran sustav uslužne organizacije mogu biti slični, i obavljeni povezano s, postupcima stjecanja razumijevanja o tom sustavu. Oni mogu također uključiti praćenje stavki kroz sustav uslužne organizacije i, u slučaju izvješća vrste 2, posebne upite o promjenama u kontrolama koje su bile implementirane tijekom razdoblja. Promjene koje su značajne subjektima korisnicima i njihovim revizorima se uključuju u opis sustava uslužne organizacije.

Stjecanje dokaza u vezi s oblikovanošću kontrola (Vidjeti točke 23, 28(b))

A25. S gledišta subjekta korisnika ili revizora korisnika, kontrola je prikladno oblikovana ako bi ona, pojedinačno ili u kombinaciji s drugim kontrolama, kad se izvodi na zadovoljavajući način, osigurala razumno uvjerenje da su značajna pogrešna prikazivanja spriječena ili otkrivena i ispravljena. Uslužna organizacija ili revizor uslužne organizacije, međutim, nije upoznata s okolnostima u pojedinačnim subjektima korisnicima koje bi odredile je li značajno ili nije značajno tim subjektima korisnicima pogrešno prikazivanje nastalo uslijed neispravnog rada kontrole. Stoga, s gledišta revizora uslužne organizacije, kontrola je prikladno oblikovana ako bi, pojedinačno ili u kombinaciji s drugim kontrolama, kad se izvodi na zadovoljavajući način, osigurala razumno uvjerenje da su postignuti ciljevi kontrola navedeni u opisu uslužne organizacije njezinog sustava.

A26. Revizor uslužne organizacije može razmotriti korištenje shematskih prikaza, upitnika ili stabla odlučivanja kako bi olakšao razumijevanje oblikovanosti kontrola.

A27. Kontrole se mogu sastojati od brojnih aktivnosti usmjerenih na postizanje cilja kontrola. Stoga, ako revizor uslužne organizacije ocijeni određene aktivnosti kao neučinkovite za postizanje određenog cilja kontrole, postojanje drugih aktivnosti može omogućiti revizoru uslužne organizacije da zaključi kako su prikladno oblikovane kontrole povezane s kontrolnim ciljem.

Pribavljanje dokaza u vezi s operativnom učinkovitošću kontrola

Procjenjivanje operativne učinkovitosti (Vidjeti točku 24)

A28. S gledišta subjekta korisnika ili revizora korisnika, kontrola djeluje učinkovito ako ona, pojedinačno ili u kombinaciji s drugim kontrolama, osigurava razumno uvjerenje da su značajna pogrešna prikazivanja uslijed pogreške ili prijevare spriječena ili otkrivena i ispravljena. Uslužna organizacija ili revizor uslužne organizacije, međutim, nisu upoznati s okolnostima u pojedinačnim subjektima korisnicima koje bi odredile je li nastalo pogrešno prikazivanje uslijed neispravnosti kontrole i. ako je tako, je li ono značajno. Stoga, s gledišta revizora uslužne organizacije, kontrola djeluje učinkovito ako ona, pojedinačno ili u kombinaciji s drugim kontrolama, osigurava razumno uvjerenje da su postignuti ciljevi kontrola navedeni u opisu uslužne organizacije njezinog sustava. Slično tome, uslužna organizacija ili revizor uslužne organizacije nije u položaju odrediti je li bi bilo koja uočena devijacija kontrole imala za posljedicu značajno pogrešno prikazivanje s gledišta nekog pojedinačnog subjekta korisnika.

A29. Stjecanje razumijevanja kontrola dostatno za mišljenje o prikladnosti njihove oblikovanosti nije dostatni dokaz u vezi s njihovom operativnom učinkovitošću, osim ako postoji neki automatizam koji osigurava dosljedno djelovanje kontrola na način kako su bile oblikovane i implementirane. Na primjer, pribavljanje informacija o implementaciji ručne kontrole u vremenskoj točki ne osigurava dokaz o djelovanju tih kontrola u drugo vrijeme. Međutim, zbog svojstvene dosljednosti obrada s primjenom informacijskih tehnologija, obavljanje postupaka kako bi se utvrdila oblikovanost automatiziranih kontrola i jesu li one bile implementirane, može poslužiti kao dokaz za operativnu učinkovitost kontrola, ovisno o procjeni revizora uslužne organizacije i testiranju drugih kontrola, kao što su one nad promjenama programa.

A30. Kako bi bio korisno revizorima uslužne organizacije, izvješće vrste 2 uobičajeno obuhvaća najmanje razdoblje od šest mjeseci. Ako je razdoblje kraće od šest mjeseci, revizor uslužne organizacije može razmotriti je li primjereno opisati razloge za kraće razdoblje u izvješću s izražavanjem uvjerenja revizora uslužne organizacije. Okolnosti koje mogu imati za posljedicu izvješće koje obuhvaća razdoblje kraće od šest mjeseci uključuje one kad je (a) revizor uslužne organizacije angažiran blizu datuma s kojim se treba izdati izvješće o kontrolama; (b) uslužna organizacija (ili određeni sustav ili aplikacija) posluje kraće od šest mjeseci; ili (c) značajne promjene su obavljene u kontrolama i nije izvedivo da se ili čeka šest mjeseci da bi se izdalo izvješće ili da bi se izdalo izvješće koje se odnosi na sustav prije i nakon promjena.

A31. Određeni postupci kontrole ne moraju ostavljati vidljive dokaze njihovog djelovanja koji se mogu testirati na neki kasniji datum i, u skladu s tim, revizor uslužne organizacije može ustanoviti da je nužno testirati operativnu učinkovitost takvih postupaka kontrole u različita vremena tijekom izvještajnog razdoblja.

A32. Revizor uslužne organizacije izražava mišljenje o operativnoj učinkovitosti kontrola za vrijeme svakog razdoblja, stoga se zahtijevaju dostatni i primjereni dokazi o djelovanju kontrola za vrijeme tekućeg razdoblja kako bi revizor uslužne organizacije izrazio to mišljenje. Saznanja o devijacijama uočenim u ranijim angažmanima mogu, međutim, dovesti do toga da revizor uslužne organizacije poveća razinu testiranja za vrijeme tekućeg razdoblja.

Testiranje neizravnih kontrola (Vidjeti točku 25(b))

A33. U nekim okolnostima, može biti nužno pribaviti dokaze koji potkrjepljuju učinkovito djelovanje neizravnih kontrola Na primjer, kad revizor uslužne organizacije odluči testirati učinkovitost pregledavanja izvješća o izuzecima koji sadrže detalje o prodajama koje su preko iznosa odobrenih limita kreditiranja, pregledavanje i povezani postupci koji slijede nakon njih su kontrole koje su od izravne važnosti revizoru uslužne organizacije. Kontrole nad točnošću informacija u izvješćima (na primjer, opće IT kontrole) se opisuju kao »neizravne« kontrole.

A34. Zbog svojstvene dosljednosti obrada s primjenom informacijskih tehnologija, dokazi o implementaciji automatiziranih kontrola, kad se sagledavaju u kombinaciji s dokazima o operativnoj učinkovitosti općih kontrola uslužne organizacije (osobito, promjena kontrola), mogu također pružiti značajne dokaze o njihovoj operativnoj učinkovitosti.

Načini odabiranja stavaka za testiranje (Vidjeti točke 25(c), 27)

A35. Načini odabiranja stavaka za testiranje koji su na raspolaganju revizoru uslužne organizacije su:

(a) odabiranje svih stavki (100 % ispitivanje). To može biti primjereno za testiranje kontrola koje se ne primjenjuju učestalo, na primjer, tromjesečno ili kad dokazi u vezi s primjenom kontrola čine učinkovitim 100 % ispitivanje;

(b) odabiranje određenih stavki. To može biti primjereno gdje 100 % ispitivanje i uzorkovanje ne bi bilo učinkovito, kao što je u vezi s testiranjem kontrola koje se ne primjenjuju dostatno učestalo da bi formirale veliku populaciju za uzorkovanje, na primjer, kontrole koje se primjenjuju mjesečno ili tjedno; i

(c) uzorkovanje. To može biti primjereno za testiranje kontrola koje se učestalo primjenjuju na isti način i koje ostavljaju dokumentarne dokaze o svom djelovanju.

A36. Iako će selektivno ispitivanje određenih stavki često biti učinkovit način pribavljanja dokaza, ono ne predstavlja uzorkovanje. Rezultati postupaka primijenjenih na stavke odabrane na taj način ne mogu se projicirati na cijelu populaciju; u skladu s tim, selektivno ispitivanje određenih stavki ne pruža dokaze u vezi s preostalim dijelom populacije. Uzorkovanje, za razliku od toga, je oblikovano da omogući stvaranje zaključaka za cijelu populaciju na osnovi testiranja uzoraka izvučenih iz nje.

Rad službe interne revizije

Stjecanje razumijevanja o službi interne revizije (Vidjeti točku 30)

A37. Služba interne revizije može biti odgovorna za stvaranje analiza, ocjena, uvjerenja, preporuka i drugih informacija menadžmentu i onima koji su zaduženi za upravljanje. Služba interne revizije u uslužnoj organizaciji može obavljati aktivnosti povezane s vlastitim sustavom internih kontrola uslužne organizacije ili aktivnostima povezanim s uslugama i sustavima, uključujući i kontrolama, koje uslužna organizacija pruža subjektima korisnicima.

Određivanje koristiti li se radom internih revizora i u kom opsegu (Vidjeti točku 33)

A38. U određivanju planiranog učinka rada internih revizora na vrste, vremenski raspored i opseg postupaka revizora uslužne organizacije, sljedeći čimbenici mogu ukazivati na potrebu različitih ili manje ekstenzivnih postupaka nego što bi to inače bio slučaj:

• vrste i opseg određenog rada kojeg su obavili ili trebaju obaviti interni revizori su prilično ograničeni.

• rad internih revizora je povezan s kontrolama koje su manje važne za zaključke revizora uslužne organizacije.

• rad kojeg su obavili ili trebaju obaviti interni revizori ne zahtijeva subjektivne ili složene prosudbe.

Korištenje radom službe interne revizije (Vidjeti točku 34)

A39. Vrste, vremenski raspored i opseg postupaka revizora uslužne organizacije u vezi s određenim radom internih revizora ovisit će o procjeni revizora uslužne organizacije o važnosti tog rada za zaključke revizora uslužne organizacije (na primjer, značajnosti rizika da testirane kontrole, čine se da gube na važnosti), o ocjeni službe interne revizije i ocjeni određenog rada internih revizora. Takvi postupci mogu uključiti:

• ispitivanje stavki koje su već ispitivali interni revizori;

• ispitivanje drugih sličnih stavki; i

• promatranje postupaka koje obavljaju interni revizori.

Učinak na izvješće s izražavanjem uvjerenja revizora uslužne organizacije (Vidjeti točke 36 – 37)

A40. Neovisno od stupnja autonomije i objektivnosti službe interne revizije, takva služba nije neovisna od uslužne organizacije kao što se zahtijeva od revizora uslužne organizacije kad obavlja angažman. Revizor uslužne organizacije ima isključivu odgovornost za mišljenje izraženo u izvješću s izražavanjem uvjerenja revizora uslužne organizacije, i ta odgovornost revizora uslužne organizacije nije umanjena korištenjem radom internih revizora.

A41. Opis revizora uslužne organizacije o radu kojeg je obavila služba interne revizije može biti prezentiran na brojne načine, na primjer:

• uključivanjem uvodnog materijala u opis testova kontrola u kojem se navodi da je određeni rad službe interne revizije bio korišten u obavljanju testova kontrola.

• atribucijom pojedinačnih testova internoj reviziji.

Pisane izjave (Vidjeti točke 38, 40.)

A42. Pisane izjave zahtijevane točkom 38 su odvojene od, i dodatak su, izjavi uslužne organizacije, kako je definirano u točki 9(o).

A43. Ako uslužna organizacija ne osigura pisane izjave zahtijevane u skladu s točkom 38(c) ovog MSIU-a, može biti primjereno da mišljenje revizora uslužne organizacije bude modificirano u skladu s točkom 55(d) ovog MSIU-a.

Ostale informacije (Vidjeti točku 42)

A44. IESBA Kodeks zahtijeva da revizor uslužne organizacije ne bude povezan s informacijama gdje revizor uslužne organizacije vjeruje da informacije:

(a) sadrže značajni pogrešni iskaz ili iskaz koji dovodi u zabludu;

(b) sadrže iskaze ili informacije koje su dane lakomisleno; ili

(c) izostavljaju ili prikrivaju informacije za koje se zahtijeva da budu uključene gdje bi takva izostavljanja ili prikrivanja bi dovodila u zabludu[67](IESBA Kodeks, točka Z111.2).

Ako ostale informacije uključene u dokument koji sadrži opis uslužne organizacije njezinog sustava i izvješće s izražavanjem uvjerenja revizora uslužne organizacije sadrži informacije orijentirane na budućnost kao što su planovi za oporavak ili planovi za nepredviđene događaje ili planove modifikacija sustava koji se odnose na odstupanja utvrđena u izvješću s izražavanjem uvjerenja revizora uslužne organizacije ili tvrdnje promotivne prirode koje nisu realno ostvarive, revizor uslužne organizacije može zahtijevati da informacije budu izostavljene ili preformulirane.

A45. Ako uslužna organizacija odbije izostaviti ili preformulirati ostale informacije, daljnje aktivnosti koje mogu biti primjerene uključuju, na primjer:

• zahtijevanje da se uslužna organizacija posavjetuje s pravnim savjetnikom o primjerenom pravcu djelovanja.

• opisivanje u izvješću s izražavanjem uvjerenja značajne nedosljednosti ili značajnog pogrešnog prikazivanja.

• zadržavanje izvješća s izražavanjem uvjerenja dok se ne riješi pitanje.

• povlačenje iz angažmana.

Dokumentacija (Vidjeti točku 51)

A46. MSKK 1 (ili profesionalni zahtjevi, ili zahtjevi zakona ili regulative koji su barem toliko zahtjevni koliko i MSKK 1) zahtijeva da društvo uspostavi politike i postupke za pravodobno dovršavanje objedinjavanja spisa angažmana[68](MSKK 1, točka 45). Primjereno vremensko ograničenje unutar kojeg treba dovršiti objedinjavanje spisa angažmana uobičajeno nije duže od 60 dana od datuma izvješća revizora uslužne organizacije[69](MSKK 1, točka A54).

Pripremanje izvješća s izražavanjem uvjerenja revizora uslužne organizacije

Sadržaj izvješća s izražavanjem uvjerenja revizora uslužne organizacije (Vidjeti točku 53)

A47. Ilustrativni primjeri izvješća s izražavanjem uvjerenja revizora uslužne organizacije i povezanih izjava uslužne organizacije sadržani su u Dodacima 1 i 2.

Namjeravani korisnici i svrhe izvješća s izražavanjem uvjerenja revizora uslužne organizacije (Vidjeti točku 53(e))

A48. Kriteriji korišteni za angažmane za izvješćivanje o kontrolama u uslužnoj organizaciji su relevantni samo za svrhu pružanja informacija o sustavu uslužne organizacije, uključujući i o kontrolama, onima koji razumiju kako je sustav bio korišten za financijsko izvještavanje subjekata korisnika. U skladu s tim to se navodi u izvješću s izražavanjem uvjerenja revizora uslužne organizacije. Osim toga, revizor uslužne organizacije može smatrati primjerenim da se uključi formulacija koja posebno ograničava distribuciju izvješća s izražavanjem uvjerenja svima koji nisu namjeravani korisnici, njegovo korištenje od strane drugih ili njegovo korištenje za druge svrhe.

Opis testova kontrola (Vidjeti točku 54)

A49. U opisivanju sadržaja testova kontrola za izvješće vrste 2. od pomoći je čitateljima izvješća s izražavanjem uvjerenja revizora uslužne organizacije ako revizor uslužne organizacije uključi:

• rezultate svih testova gdje su otkrivena odstupanja, čak ako su bile otkrivene druge kontrole koje su omogućile revizoru uslužne organizacije da zaključi kako je bio postignut cilj kontrola ili su testirane kontrole bile kasnije izbačene iz opisa uslužne organizacije njezinog sustava.

• informacije o uzročnim čimbenicima otkrivenih odstupanja, u razmjeru u kojem je revizor uslužne organizacije identificirao takve čimbenike.

Modificirana mišljenja (Vidjeti točku 55)

A50. Ilustrativni primjeri elemenata modificiranog izvješća s izražavanjem uvjerenja revizora uslužne organizacije sadržani su u Dodatku 3.

A51. Čak ako je revizor uslužne organizacije izrazio negativno mišljenje ili suzdržanost od mišljenja može biti primjereno opisati, u odjeljku s osnovom za modifikaciju, razloge za bilo koje drugo pitanje koje je spoznao revizor uslužne organizacije a koje bi zahtijevalo modifikaciju mišljenja i njegove učinke.

A52. Kad izražava suzdržanost od mišljenja zbog ograničenja opsega, uobičajeno nije primjereno identificirati postupke koji su bili obavljeni ni uključiti iskaze u kojima se opisuju karakteristike angažmana s uslužnom organizacijom; kad bi se to učinilo to bi moglo zakloniti suzdržanost od mišljenja.

Ostale odgovornosti za komuniciranje (Vidjeti točku 56)

A53. Primjerene radnje kao reakcija na okolnosti navedene u točki 56, osim ako je to zabranjeno zakonom ili regulativom, mogu uključiti:

• dobivanje pravnog savjeta o posljedicama različitih pravaca djelovanja.

• komuniciranje s onima koji su zaduženi za upravljanje uslužnom organizacijom.

• utvrđivanje komunicirati li sa trećim stranama (npr. zakon, regulativa ili relevantni etički zahtjevi mogu zahtijevati od revizora uslužne organizacije prijavljivanje primjerenom tijelu izvan subjekta ili vanjskom revizoru uslužne organizacije,[70](Vidjeti, na primjer, točke Z360.31-Z360.35 A1 IESBA Kodeksa.) ili uspostavljanje odgovornosti sukladno kojima takvo prijavljivanje može biti primjereno u danim okolnostima).

• modificiranje mišljenja revizora uslužne organizacije ili dodavanje odjeljka za ostala pitanja.

• povlačenje iz angažmana.

Dodatak 1

(Vidjeti točku A47)

PRIMJERI IZJAVA USLUŽNE ORGANIZACIJE

Sljedeći primjeri izjava uslužne organizacije su samo kao uputa i nije im namjena da budu sveobuhvatni ili primjenjivi u svim situacijama.

Primjer 1: Izjava uslužne organizacije vrste 2

Izjava uslužne organizacije

Prateći opis je bio pripremljen za kupce koji su koristili [navesti vrstu ili naziv] sustav i njihove revizore koji imaju dostatno razumijevanje da razmotre opis, zajedno s ostalim informacijama, uključujući i s informacijama o kontrolama koje djeluju kod samih kupaca, kad procjenjuju rizike značajnog pogrešnog prikazivanja financijskih izvještaja kupaca. [Navesti naziv subjekta] potvrđuje da:

(a) prateći opis na stranicama [bb – cc] na fer način prezentira [navesti vrstu ili naziv] sustav za obrađivanje kupčevih transakcija za vrijeme razdoblja od [navesti datum] do [navesti datum]. Kriteriji korišteni u stvaranju ove izjave su da prateći opis:

(i) prikazuje kako je sustav bio oblikovan i implementiran, uključujući:

• vrste pruženih usluga, uključujući i, prema primjerenosti, klase obrađenih transakcija;

• postupke, unutar sustava s informacijskim tehnologijama i ručnim sustavima, kojima su te transakcije bile inicirane, evidentirane, obrađene i ispravljene kad je bilo nužno te prenijete u izvješća pripremljena za kupce;

• povezane računovodstvene evidencije, potkrjepljujuće informacije i posebne račune koji su bili korišteni za iniciranje, evidentiranje, obrađivanje i izvješćivanje transakcija; to uključuje ispravljanje neispravnih informacija i kako su informacije bile prenijete u izvješća pripremljena za kupce;

• kako sustav postupa sa značajnim događajima i uvjetima koji nisu transakcije;

• proces korišten za pripremanje izvješća za kupce;

• relevantne ciljeve kontrola i kontrole oblikovane za postizanje tih ciljeva;

• kontrole za koje se bilo pretpostavilo, pri oblikovanju sustava, da će ih implementirati subjekti korisnici i koje, ako su nužne za postizanje ciljeva kontrola navedenih u pratećem opisu, su navedene u opisu zajedno sa specifičnim ciljevima kontrola koji se ne mogu postići samo našim nastojanjima;

• ostale aspekte našeg okruženja kontrola, postupka procjene rizika, informacijskog sustava (uključujući i povezanih poslovnih procesa) i komunikacija, kontrolnih aktivnosti i monitoringa kontrola koji su relevantni za obrađivanje i izvješćivanje o transakcijama kupaca;

(ii) uključuje relevantne detalje o promjenama u sustavu uslužne organizacije za vrijeme razdoblja od [navesti datum] do [navesti datum];

(iii) ne izostavlja ili ne iskrivljuje informacije relevantne za opseg sustava koji se opisuje, dok istodobno potvrđuje da je opis pripremljen kako bi se ispunile uobičajene potrebe širokog raspona kupaca i njihovih revizora i ne mora, stoga, uključivati svaki aspekt sustava za koji svaki pojedini kupac može smatrati da je važan u njegovim konkretnim okolnostima;

(b) Kontrole povezane s ciljevima kontrola navedenim u pratećem opisu su bile prikladno oblikovane i učinkovito su djelovale u razdoblju od [navesti datum] do [navesti datum]. Kriteriji korišteni u stvaranju ove izjave su bili da su:

(i) rizici koji ugrožavaju postizanje ciljeva kontrola navedenih u opisu bili identificirani;

(ii) identificirane kontrole koje bi, ako bi djelovale kako je opisano, osigurale razumno uvjerenje da ti rizici nisu spriječili postizanje navedenih ciljeva kontrola; i

(iii) kontrole bile dosljedno primjenjivane, za vrijeme cijelog razdoblja od [navesti datum] do [navesti datum], kako su bile oblikovane, uključujući i da su ručne kontrole primjenjivale osobe koje imaju primjereno kompetencije i ovlasti.

Primjer 2: izjava uslužne organizacije vrste 1

Prateći opis bio je pripremljen za kupce koji su koristili [navesti vrstu ili naziv] sustav i njihove revizore koji imaju dostatno razumijevanje da razmotre opis, zajedno s ostalim informacijama, uključujući i s informacijama o kontrolama koje djeluju kod samih kupaca, kad stječu razumijevanje o informacijskim sustavima kupaca relevantnim za financijsko izvještavanje. [Navesti naziv subjekta] potvrđuje da:

(a) prateći opis na stranicama [bb – cc] na fer način prezentira [navesti vrstu ili naziv] sustav za obrađivanje kupčevih transakcija na [navesti datum]. Kriteriji korišteni u stvaranju ove izjava su da prateći opis:

(i) prikazuje kako je sustav bio oblikovan i implementiran, uključujući:

• vrste pruženih usluga, uključujući i, prema primjerenosti, klase obrađenih transakcija;

• postupke, unutar sustava s informacijskim tehnologijama i ručnim sustavima, kojima su te transakcije bile inicirane, evidentirane, obrađene i ispravljene kad je bilo nužno te prenijete u izvješća pripremljena za kupce;

• povezane računovodstvene evidencije, potkrjepljujuće informacije i posebne račune koji su bili korišteni za iniciranje, evidentiranje, obrađivanje i izvješćivanje transakcija; to uključuje ispravljanje neispravnih informacija i kako su informacije bile prenijete u izvješća pripremljena za kupce;

• kako sustav postupa sa značajnim događajima i uvjetima koji nisu transakcije;

• proces korišten za pripremanje izvješća za kupce;

• relevantne ciljeve kontrola i kontrole oblikovane za postizanje tih ciljeva;

• kontrole za koje se bilo pretpostavilo, pri oblikovanju sustava, da će ih implementirati subjekti korisnici i koje, ako su nužne za postizanje ciljeva kontrola navedenih u pratećem opisu, su navedene u opisu zajedno sa specifičnim ciljevima kontrola koji se ne mogu postići samo našim nastojanjima;

• ostale aspekte našeg okruženja kontrola, postupka procjene rizika, informacijskog sustava (uključujući i povezanih poslovnih procesa) i komunikacija, kontrolnih aktivnosti i monitoringa kontrola koji su relevantni za obrađivanje i izvješćivanje transakcija kupaca;

(ii) ne izostavlja ili ne iskrivljuje informacije relevantne za opseg sustava koji se opisuje, dok istodobno potvrđuje da je opis pripremljen kako bi se ispunile uobičajene potrebe širokog raspona kupaca i njihovih revizora i ne mora, stoga, uključivati svaki aspekt sustava za koji svaki pojedini kupac može smatrati da je važan u njegovim konkretnim okolnostima;

(b) Kontrole povezane s ciljevima kontrola navedenim u pratećem opisu su bile prikladno oblikovane na [navesti datum]. Kriteriji korišteni u stvaranju ove izjave su bili da su:

(i) rizici koji ugrožavaju postizanje ciljeva kontrola navedenih u opisu bili identificirani; i

(ii) identificirane kontrole koje bi, ako bi djelovale kako je opisano, osigurale razumno uvjerenje da ti rizici nisu spriječili postizanje navedenih ciljeva kontrola.

Dodatak 2

(Vidjeti točku A47.)

ILUSTRACIJE IZVJEŠĆA S IZRAŽAVANJEM UVJERENJA REVIZORA USLUŽNE ORGANIZACIJE

Sljedeći primjeri izvješća su samo smjernica i nije im namjena da budu sveobuhvatni ili primjenjivi u svim situacijama.

Ilustracija 1: Izvješće s izražavanjem uvjerenja vrste 2 revizora uslužne organizacije

Izvješće s izražavanjem uvjerenja neovisnog revizora uslužne organizacije o opisu kontrola, njihovoj oblikovanosti i operativnoj učinkovitosti

Za: XYZ uslužnu organizaciju

Opseg

Mi smo bili angažirani da izvijestimo o opisu XYZ uslužne organizacije njezinog [navesti vrstu ili naziv] sustava za obrađivanje transakcija kupaca za vrijeme razdoblja od [navesti datum] do [navesti datum] na stranicama [bb – cc] (u daljnjem tekstu – opis) i oblikovanosti i djelovanju kontrola povezanih s ciljevima kontrola navedenim u opisu[71](Ako neki elementi opisa nisu uključeni u područje primjene angažmana, to je jasno navedeno u izvješću s uvjerenjem.).

Odgovornosti XYZ uslužne organizacije

XYZ uslužna organizacija je odgovorna za: pripremanje opisa i prateće izjave na stranici [aa], uključujući i za potpunost, točnost i metode prezentacije opisa i izjave; pružanje usluga obuhvaćenih opisom; navođenje ciljeva kontrola; i oblikovanje, implementiranje i učinkovito djelovanje kontrola kako bi se postigli navedeni ciljevi kontrola.

Naša neovisnost i kontrola kvalitete

Udovoljili smo zahtjevima neovisnosti i drugim etičkim zahtjevima Međunarodnog kodeksa etike za profesionalne računovođe (uključujući Međunarodne standarde neovisnosti) izdane od Odbora za međunarodne etičke standarde za računovođe (IESBA Kodeks), koji je zasnovan na temeljnim načelima integriteta, objektivnosti, profesionalne kompetencije i dužne pažnje, povjerljivosti i profesionalnog ponašanja.

Društvo primjenjuje Međunarodni standard za kontrolu kvalitete 1[72](MSKK 1, Kontrola kvalitete za društva koja obavljaju revizije, uvide u financijske izvještaje i ostale angažmane s izražavanjem uvjerenja i povezane usluge) i u skladu s njim održava sveobuhvatan sustav kontrole kvalitete, uključujući dokumentirane politike i postupke u pogledu usklađenosti s etičkim zahtjevima, profesionalnim standardima i primjenjivim pravnim i regulativnim zahtjevima.

Odgovornosti revizora uslužne organizacije

Naša odgovornost je izraziti mišljenje o opisu uslužne organizacije i o oblikovanosti i djelovanju kontrola povezanih s ciljevima kontrola navedenim u opisu, temeljeno na našim postupcima. Mi smo obavili angažman u skladu s Međunarodnim standardom za angažmane s izražavanjem uvjerenja 3402, »Izvješća s izražavanjem uvjerenja o kontrolama u uslužnoj organizaciji« kojeg je izdao Odbor za međunarodne standarde revidiranja i izražavanja uvjerenja. Taj standard zahtijeva da planiramo i obavimo naše postupke kako bi stekli razumno uvjerenje o tom je li, u svim značajnim odrednicama, opis prezentiran na fer način i jesu li kontrole prikladno oblikovane i djeluju li učinkovito.

Angažman s izražavanjem uvjerenja radi izvještavanja o opisu, oblikovanosti i operativnoj učinkovitosti kontrola u uslužnoj organizaciji uključuje obavljanje postupaka kako bi se pribavili dokazi o objavljivanjima u opisu uslužne organizacije njezinog sustava i oblikovanosti i operativnoj učinkovitosti kontrola. Postupci koji su odabrani ovise o prosudbi revizora uslužne organizacije, uključujući i o procjeni da opis nije prezentiran na fer način i da kontrole nisu prikladno oblikovane ili da ne djeluju učinkovito. Naši postupci su uključili testiranje operativne učinkovitosti onih kontrola koje smo mi smatrali nužnim za osiguravanje razumnog jamstva da su bili postignuti ciljevi kontrola navedeni u opisu. Ova vrsta angažmana s izražavanjem uvjerenja također uključuje i ocjenjivanje cjelokupne prezentacije opisa, prikladnost ciljeva navedenih u njemu i prikladnost kriterija koje je specificirala uslužna organizacija i opisani su na stranici [aa].

Vjerujemo da su dokazi koje smo pribavili dostatni i primjereni za osiguravanje osnove za naše mišljenje.

Ograničenja kontrola u uslužnoj organizaciji

Opis XYZ uslužne organizacije je pripremljen kako bi se ispunile uobičajene potrebe širokog raspona kupaca i njihovih revizora i ne mora, stoga, uključivati svaki aspekt sustava za koji svaki pojedini kupac može smatrati da je važan u njegovim konkretnim okolnostima. Također, zbog njihovih karakteristika, kontrole u uslužnoj organizacije ne moraju spriječiti ili otkriti svaku pogrešku ili propust u obrađivanju ili izvješćivanju transakcija. Nadalje, projiciranje bilo koje učinkovitosti na buduća razdoblja je podložno riziku da kontrole u uslužnoj organizaciji mogu postati neprimjereno ili manjkave.

Mišljenje

Naše mišljenje je formirano na osnovi pitanja navedenih u ovom izvješću. Kriteriji koje smo koristili pri formiranju našeg mišljenja su bili oni koji su opisani na stranici [aa]. Prema našem mišljenju, u svim značajnim odrednicama:

(a) opis na fer način prikazuje sustav [navesti vrstu ili naziv] kao onaj koji je oblikovan i implementiran za vrijeme razdoblja od [navesti datum] do [navesti datum];

(b) kontrole povezane s ciljevima kontrola navedenim u opisu su bile prikladno oblikovane za vrijeme razdoblja od [navesti datum] do [navesti datum]; i

(c) testirane kontrole, a to su bile one nužne za osiguravanje razumnog jamstva da su bili postignuti ciljevi kontrola navedeni u opisu, su učinkovito djelovale za vrijeme razdoblja od [navesti datum] do [navesti datum].

Opis testova kontrola

Na stranicama [yy – zz] je prikaz određenih testiranih kontrola i sadržaj, vremenski raspored i rezultati tih testova.

Namjeravani korisnici i svrha

Ovo izvješće i opis testova kontrola na stranicama [yy – zz] su namijenjeni samo za kupce koji su koristili sustav [navesti vrstu ili naziv] XYZ uslužne organizacije i njihove revizore, koji imaju dostatno razumijevanje da ih mogu sagledati, zajedno s drugim informacijama, uključujući i s informacijama o kontrolama koje djeluju kod samih kupaca, kad procjenjuju rizike značajnih pogrešnih prikazivanja financijskih izvještaja kupaca.

[Potpis revizora uslužne organizacije]

[Datum izvješća s izražavanjem uvjerenja revizora uslužne organizacije]

[Adresa revizora uslužne organizacije]

Ilustracija 2: Izvješće s izražavanjem uvjerenja vrste 1 revizora uslužne organizacije

Izvješće s izražavanjem uvjerenja neovisnog revizora uslužne organizacije o opisu kontrola i njihovoj oblikovanosti

Za: XYZ uslužnu organizaciju

Opseg

Mi smo bili angažirani da izvijestimo o opisu na stranicama [bb – cc] XYZ uslužne organizacije njezinog [navesti vrstu ili naziv] sustava za obrađivanje transakcija kupaca sa stanjem na [navesti datum] (u daljnjem tekstu – opis) i oblikovanosti kontrola povezanih s ciljevima kontrola navedenim u opisu[73](Ako neki elementi opisa nisu uključeni u područje primjene angažmana, to je jasno navedeno u izvješću s uvjerenjem.).

Nismo obavili bilo kakve postupke u vezi s operativnom učinkovitošću kontrola uključenih u opis i, u skladu s tim, ne izražavamo mišljenje o tome.

Odgovornosti XYZ uslužne organizacije

XYZ uslužna organizacija je odgovorna za: pripremanje opisa i prateće izjave na stranici [aa], uključujući i za potpunost, točnost i metode prezentacije opisa i izjave; pružanje usluga obuhvaćenih opisom; navođenje ciljeva kontrola; i oblikovanje, implementiranje i učinkovito djelovanje kontrola kako bi se postigli navedeni ciljevi kontrola.

Naša neovisnost i kontrola kvalitete

Udovoljili smo zahtjevima neovisnosti i drugim etičkim zahtjevima Međunarodnog kodeksa etike za profesionalne računovođe (uključujući Međunarodne standarde neovisnosti) izdane od Odbora za međunarodne etičke standarde za računovođe (IESBA Kodeks), koji je zasnovan na temeljnim načelima integriteta, objektivnosti, profesionalne kompetencije i dužne pažnje, povjerljivosti i profesionalnog ponašanja.

Društvo primjenjuje Međunarodni standard za kontrolu kvalitete 1[74](MSKK 1, Kontrola kvalitete za društva koja obavljaju revizije, uvide u financijske izvještaje i ostale angažmane s izražavanjem uvjerenja i povezane usluge) i u skladu s njim održava sveobuhvatan sustav kontrole kvalitete, uključujući dokumentirane politike i postupke u pogledu usklađenosti s etičkim zahtjevima, profesionalnim standardima i primjenjivim pravnim i regulativnim zahtjevima.

Odgovornosti revizora uslužne organizacije

Naša odgovornost je izraziti mišljenje o opisu uslužne organizacije i o oblikovanosti i kontrola povezanih s ciljevima kontrola navedenim u opisu, temeljeno na našim postupcima. Mi smo obavili angažman u skladu s Međunarodnim standardom za angažmane s izražavanjem uvjerenja 3402, »Izvješća s izražavanjem uvjerenja o kontrolama u uslužnoj organizacija« kojeg je izdao Odbor za međunarodne standarde revidiranja i izražavanja uvjerenja. Taj standard zahtijeva da planiramo i obavimo naše postupke kako bi stekli razumno uvjerenje o tom je li, u svim značajnim odrednicama, opis prezentiran na fer način i jesu li kontrole prikladno oblikovane u svim značajnim odrednicama.

Angažman s izražavanjem uvjerenja radi izvještavanja o opisu i oblikovanosti kontrola u uslužnoj organizaciji uključuje obavljanje postupaka kako bi se pribavili dokazi o objavama u opisu uslužne organizacije njezinog sustava i oblikovanosti kontrola. Postupci koji su odabrani ovise o prosudbi revizora uslužne organizacije, uključujući i o procjeni da opis nije prezentiran na fer način i da kontrole nisu prikladno oblikovane. Ova vrsta angažmana s izražavanjem uvjerenja također uključuje i ocjenjivanje cjelokupne prezentacije opisa, prikladnost ciljeva navedenih u njemu i prikladnost kriterija koje je specificirala uslužna organizacija i opisani su na stranici [aa].

Kao što je prethodno navedeno, nismo obavili bilo kakve postupke u vezi s operativnom učinkovitošću kontrola uključenih u opis i, u skladu s tim, ne izražavamo mišljenje o tom.

Vjerujemo da dokazi koje smo pribavili su dostatni i primjereni za osiguravanje osnove za naše mišljenje.

Ograničenja kontrola u uslužnoj organizaciji

Opis XYZ uslužne organizacije je pripremljen kako bi se ispunile uobičajene potrebe širokog raspona kupaca i njihovih revizora i ne mora, stoga, uključivati svaki aspekt sustava za koji svaki pojedini kupac može smatrati da je važan u njegovim konkretnim okolnostima. Također, zbog njihovih karakteristika, kontrole u uslužnoj organizacije ne moraju spriječiti ili otkriti svaku pogrešku ili propust u obrađivanju ili izvješćivanju transakcija.

Mišljenje

Naše mišljenje je formirano na osnovi pitanja navedenih u ovom izvješću. Kriteriji koje smo koristili pri formiranju našeg mišljenja su bili oni koji su opisani na stranici [aa]. Prema našem mišljenju, u svim značajnim odrednicama:

(a) opis na fer način prikazuje sustav [navesti vrstu ili naziv] kao onaj koji je oblikovan i implementiran sa stanjem na [navesti datum]; i

(b) kontrole povezane s ciljevima kontrola navedenim u opisu su bile prikladno oblikovane sa stanjem na [navesti datum].

Namjeravani korisnici i svrha

Ovo izvješće je namijenjeno samo za kupce koji su koristili sustav [navesti vrstu ili naziv] XYZ uslužne organizacije i njihove revizore, koji imaju dostatno razumijevanje da ga mogu sagledati, zajedno s drugim informacijama, uključujući i s informacijama o kontrolama koje djeluju kod samih kupaca, kad stječu razumijevanje o informacijskim sustavima kupaca relevantnim za financijsko izvještavanje.

[Potpis revizora uslužne organizacije]

[Datum izvješća s izražavanjem uvjerenja revizora uslužne organizacije]

[Adresa revizora uslužne organizacije]

Dodatak 3

(Vidjeti točku 50)

ILUSTRACIJE MODIFICIRANIH IZVJEŠĆA S IZRAŽAVANJEM UVJERENJA REVIZORA USLUŽNE ORGANIZACIJE

Sljedeće ilustracije modificiranih izvješća su samo kao uputa i nije im namjena da budu sveobuhvatni ili primjenjivi u svim situacijama. Temelje se na ilustracijama izvješća iz Dodatka 2.

Ilustracija 1: Mišljenje s rezervom – opis uslužne organizacije njezinog sustava nije prezentiran na fer način u svim značajnim odrednicama

Odgovornosti revizora uslužne organizacije

Vjerujemo da dokazi koje smo pribavili su dostatni i primjereni za osiguravanje osnove za naše mišljenje.

Osnova za mišljenje s rezervom

Prateći opis navodi na stranici [mn] da XYZ uslužna organizacija koristi identifikacijske brojeve korisnika i lozinke kako bi spriječila neovlašteni pristup sustavu. Temeljeno na našim postupcima, utvrdili smo da se identifikacijski brojevi korisnika i lozinke koriste u aplikacijama A i B, ali ne i u aplikacijama C i D.

Mišljenje s rezervom

Naše mišljenje je formirano na osnovi pitanja navedenih u ovom izvješću. Kriteriji koje smo koristili pri formiranju našeg mišljenja su bili oni koji su opisani u izjavi XYZ uslužne organizacije na stranici [aa]. Prema našem mišljenju, osim za pitanje opisano u odjeljku s osnovicom za mišljenje s rezervom:

(a)…

Ilustracija 2: Mišljenje s rezervom – kontrole nisu prikladno oblikovane kako bi osigurale razumno uvjerenje da će biti postignuti ciljevi kontrola navedeni u opisu uslužne organizacije njezinog sustava ako kontrole djeluju učinkovito

Odgovornosti revizora uslužne organizacije

Vjerujemo da dokazi koje smo pribavili su dostatni i primjereni za osiguravanje osnove za naše mišljenje.

Osnova za mišljenje s rezervom

Kako je navedeno na stranici [mn] pratećeg opisa, XYZ uslužna organizacija s vremena na vrijeme obavlja promjene u aplikacijskim programima kako bi ispravila manjkavosti ili unaprijedila mogućnosti programa. Postupci koji se primjenjuju pri određivanju treba li obaviti izmjene, u oblikovanju promjena i njihovom implementiranju, ne uključuju pregledavanje i odobravanje koje bi obavila ovlaštena osoba neovisna u odnosu na one koji su obavile promjene. Također ne postoje određeni zahtjevi da se testiraju takve promjene ili osiguraju rezultati testiranja ovlaštenom pregledavatelju prije implementiranja promjena.

Mišljenje s rezervom

Naše mišljenje je formirano na osnovi pitanja navedenih u ovom izvješću. Kriteriji koje smo koristili pri formiranju našeg mišljenja su bili oni koji su opisani u izjavi XYZ uslužne organizacije na stranici [aa]. Prema našem mišljenju, osim za pitanje opisano u odjeljku s osnovom za mišljenje s rezervom:

(a)…

Ilustracija 3: Mišljenje s rezervom – kontrole se djeluju učinkovito za vrijeme specificiranog razdoblja (samo za izvješće vrste 2)

Odgovornosti revizora uslužne organizacije

Vjerujemo da dokazi koje smo pribavili su dostatni i primjereni za osiguravanje osnove za naše mišljenje.

Osnova za mišljenje s rezervom

XYZ uslužna organizacija navela je u svom opisu da ima uspostavljene automatizirane kontrole za usklađivanje naplata kredita s outputom koje se generira. Međutim, kako je navedeno na stranici [mn] opisa, ta kontrola nije djelovala učinkovito tijekom razdoblja od dd/mm/gggg do dd/mm/gggg zbog pogreške u programu. To je imalo za posljedicu nepostizanje cilja kontrole – »Kontrole osiguravaju razumno uvjerenje da su naplate kredita ispravno evidentirane« tijekom razdoblja od dd/mm/gggg do dd/mm/gggg. Uslužna organizacija XYZ je sa stanjem na [datum] implementirala promjenu programa koji obavlja izračunavanje i naši testovi su pokazali da je on učinkovito djelovao tijekom razdoblja od dd/mm/gggg do dd/mm/gggg.

Mišljenje s rezervom

Naše mišljenje je formirano na osnovi pitanja navedenih u ovom izvješću. Kriteriji koje smo koristili pri formiranju našeg mišljenja su oni koji su opisani u izjavi XYZ uslužne organizacije na stranici [aa]. Prema našem mišljenju, osim za pitanje opisano u odjeljku s osnovicom za mišljenje s rezervom:

Primjer 4: Mišljenje s rezervom – revizor uslužne organizacije nije u mogućnosti pribaviti dostatne i primjerene dokaze

Odgovornosti revizora uslužne organizacije

Vjerujemo da dokazi koje smo pribavili su dostatni i primjereni za osiguravanje osnove za naše mišljenje.

Osnova za mišljenje s rezervom

XYZ uslužna organizacija navela je u svom opisu da ima uspostavljene automatizirane kontrole za usklađivanje naplata kredita s outputom koje se generira. Međutim, elektroničke evidencije o obavljanju tog usklađivanja za razdoblje od dd/mm/gggg do dd/mm/gggg su izbrisane kao posljedica pogreške u računalnom obrađivanju i mi stoga nismo mogli testirati tu kontrolu za to razdoblje. Zbog toga, nismo bili u mogućnosti utvrditi je li cilj kontrole – »Kontrole osiguravaju razumno uvjerenje da su naplate kredita ispravno evidentirane« učinkovito ostvarivan tijekom razdoblja od dd/mm/gggg do dd/mm/gggg.

Mišljenje s rezervom

Naše mišljenje je formirano na osnovi pitanja navedenih u ovom izvješću. Kriteriji koje smo koristili pri formiranju našeg mišljenja oni koji su opisani u izjavi XYZ uslužne organizacije na stranici [aa]. Prema našem mišljenju, osim za pitanje opisano u odjeljku s osnovicom za mišljenje s rezervom:

(a) ...

 

 

Međunarodni standard o angažmanima s izražavanjem uvjerenja (MSIU) 3410, Angažmani s izražavanjem uvjerenja o izvješćima o stakleničkim plinovima, trebali bi se čitati zajedno s Predgovorom objavljenim standardima međunarodne kontrole kvalitete, revizije, uvida, drugim standardima o izražavanju uvjerenja i povezanim uslugama.  

 

Copyright © Ante Borić