(Hatályos szolgáltatók könyvvizsgálóinak a 2011. június 15-én vagy azt követően végződő időszakokat lefedő, bizonyosságot nyújtó jelentéseire vonatkozóan.)
A magyar fordítás alapjául szolgáló eredeti angol nyelvű IFAC kiadvány megtekinthető a következő linken: 2020 Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements | IFAC (iaasb.org)
A jelen 3402. témaszámú bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó magyar nemzeti standard az ISAE 3402 Assurance Reports on Controls at a Service Organization, ISBN: 978-1-60815-459-3, Sep 14, 2021 angol nyelvű IFAC kiadvány magyar nyelvű fordítása alapján 2023. júniusában készült, és mint a 2007. évi LXXV. tv. 4. § (5) b) szerint megalkotott és jóváhagyott. magyar nemzeti standardot a szolgáltatók könyvvizsgálóinak a 2023. december 31-én vagy azt követően végződő időszakokat lefedő, bizonyosságot nyújtó jelentéseire vonatkozóan kell alkalmazni.
| A 3402. témaszámú, „Szolgáltató szervezetnél működő kontrollokra vonatkozó bizonyosságot nyújtó jelentések” című bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard „Előszó a nemzetközi minőségirányítási, könyvvizsgálati, átvilágítási, egyéb bizonyosságot nyújtó és kapcsolódó szolgáltatási kiadványokhoz” című dokumentummal együtt értelmezendő. | |
| Az alábbi szövegben a bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardra való hivatkozás jelzi, hogy a Bizonyosságot Nyújtó Szolgáltatásokra Szóló Megbízásokra Vonatkozó Magyar Nemzeti Standardok a bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardokon alapulnak, azok teljes körű fordítását tartalmazzák. Ahol az alábbi szöveg a bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardot említi, ott a jelen Bizonyosságot Nyújtó Szolgáltatásokra Szóló Megbízásokra Vonatkozó Magyar Nemzeti Standardot kell érteni. A jelen Bizonyosságot Nyújtó Szolgáltatásokra Szóló Megbízásokra Vonatkozó Magyar Nemzeti Standardban a Bizonyosságot Nyújtó Szolgáltatásokra Szóló Megbízásokra Vonatkozó Nemzetközi Standardoktól való eltérések az egyes sorszámozott bekezdések után a bekezdés sorszámát és egy betű toldalékot tartalmazó sorszámú bekezdésben, dőlt betűvel szedve találhatók. |
1. A jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard egy gyakorló könyvvizsgáló * által abból a célból végzett bizonyosságot nyújtó szolgáltatásokra szóló megbízásokkal foglalkozik, hogy az igénybe vevő gazdálkodó egységek és könyvvizsgálóik által felhasználandó jelentést adjon ki az igénybe vevő gazdálkodó egységeknek olyan szolgáltatást nyújtó szolgáltató szervezet kontrolljaira vonatkozóan, amely az igénybe vevő gazdálkodó egységek pénzügyi beszámoláshoz kapcsolódó belső kontrollja szempontjából valószínűleg releváns. Kiegészíti a 402. témaszámú nemzetközi könyvvizsgálati standardot * , amennyiben a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standarddal összhangban készített jelentések a 402. témaszámú nemzetközi könyvvizsgálati standard szerinti megfelelő bizonyítékot képesek nyújtani. (Hiv.: A1. bekezdés)
2. A Bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi keretelvek (a bizonyosságot nyújtó szolgáltatásokra vonatkozó keretelvek) kimondják, hogy egy bizonyosságot nyújtó szolgáltatásokra szóló megbízás lehet „kellő bizonyosságot nyújtó szolgáltatásokra szóló megbízás” vagy „korlátozott bizonyosságot nyújtó szolgáltatásokra szóló megbízás”, valamint, hogy egy bizonyosságot nyújtó szolgáltatásokra szóló megbízás lehet tanúsítási megbízás vagy „közvetlen” megbízás. * A jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard csak kellő bizonyosságot nyújtó tanúsítási megbízásokkal foglalkozik. *
3. A jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard csak akkor alkalmazandó, amikor a szolgáltató szervezet felelős a kontrollok megfelelő kialakításáért vagy máskülönben képes arról nyilatkozatot tenni. A jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard nem foglalkozik olyan bizonyosságot nyújtó szolgáltatásokra szóló megbízásokkal, amelyeknek célja:
(a) csak arra vonatkozó jelentéstétel, hogy a kontrollok egy adott szolgáltató szervezetnél a leírás szerint működtek-e, vagy
(b) egy szolgáltató szervezetnél működő, az igénybe vevő gazdálkodó egységek pénzügyi beszámoláshoz kapcsolódó belső kontrollja szempontjából valószínűleg releváns szolgáltatáshoz kapcsolódó kontrollokon kívüli kontrollokra vonatkozó jelentéstétel (például olyan kontrollok, amelyek a gazdálkodó egységek termeléséhez vagy minőségellenőrzéséhez kapcsolódnak).
A jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard azonban ad bizonyos útmutatást a 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard szerint végrehajtott ilyen megbízásokra vonatkozóan. (Hiv.: A2. bekezdés)
4. A kontrollokra vonatkozó bizonyosságot nyújtó jelentés kibocsátása mellett a szolgáltató könyvvizsgálóját megbízhatják azzal is, hogy olyan jelentéseket adjon ki, mint az alábbiak, amelyekkel a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard nem foglalkozik:
(a) Jelentés az igénybe vevő gazdálkodó egység szolgáltató szervezetnél nyilvántartott ügyleteiről vagy egyenlegeiről; vagy
(b) Megállapodás szerinti eljárásokról készített jelentés szolgáltató szervezetnél lévő kontrollokra vonatkozóan.
Kapcsolat a 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standarddal, egyéb szakmai kiadványokkal és egyéb követelményekkel
5. A szolgáltató könyvvizsgálójának meg kell felelnie a 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardnak és a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardnak, amikor szolgáltató szervezetnél működő kontrollokra vonatkozó bizonyosságot nyújtó szolgáltatásokra szóló megbízásokat hajt végre. A jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard kiegészíti, de nem váltja fel a 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardot, és kifejti, hogy a 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard hogyan alkalmazandó szolgáltató szervezetnél lévő kontrollokra vonatkozó jelentéstétel céljából végrehajtott kellő bizonyosságot nyújtó szolgáltatásokra szóló megbízás során.
6. A 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardnak való megfelelés többek között előírja a Könyvvizsgálók Nemzetközi Etikai Standardok Testület Nemzetközi etikai kódex kamarai tag könyvvizsgálóknak (a nemzetközi függetlenségi standardokkal egybefoglalva) című kiadványa (IESBA-kódex) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó rendelkezéseinek, vagy egyéb szakmai követelményeknek, vagy jogszabály, vagy szabályozás legalább ilyen szintű követelményeket támasztó előírásainak való megfelelést. * Szintén megköveteli, hogy a megbízásért felelős partner olyan társaság tagja legyen, amely alkalmazza az 1. témaszámú nemzetközi minőségirányítási standardot, * vagy más szakmai követelményeket, vagy jogszabályban vagy szabályozásban lévő követelményeket, amelyek legalább olyan szintű követelményeket támasztanak, mint az 1. témaszámú nemzetközi minőségirányítási standard.
7. A jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard a szolgáltatók könyvvizsgálóinak a 2011. június 15-én vagy azt követően végződő időszakokat lefedő, bizonyosságot nyújtó jelentéseire vonatkozóan hatályos.
7A. A jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó magyar nemzeti standardot a szolgáltatók könyvvizsgálóinak a 2023. december 31-én vagy azt követően végződő időszakokat lefedő, bizonyosságot nyújtó jelentéseire vonatkozóan kell alkalmazni.
8. A szolgáltató könyvvizsgálójának céljai:
(a) Kellő bizonyosság szerzése arról, hogy megfelelő kritériumok alapján minden lényeges szempontból:
(i) valósan mutatja-e be a szolgáltató szervezet által a rendszeréről adott leírás a rendszert úgy, ahogy az ki volt alakítva és be volt vezetve a meghatározott időszak folyamán (vagy 1-es típusú jelentés esetén egy meghatározott időpontban);
(ii) megfelelően voltak-e kialakítva a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok a meghatározott időszak folyamán (vagy 1-es típusú jelentés esetén egy meghatározott időpontban);
(iii) ha a megbízás hatóköre magában foglalja, hatékonyan működtek-e a kontrollok kellő bizonyosság nyújtásához arra vonatkozóan, hogy a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokat elérték a meghatározott időszak folyamán.
(b) Jelentéstétel a fenti (a) pontban foglalt kérdésekre vonatkozóan a szolgáltató könyvvizsgálója megállapításaival összhangban.
9. A jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard alkalmazásában a következő kifejezéseknek az alábbi jelentésük van:
(a) Kizáró módszer – Alszolgáltató szervezet által nyújtott szolgáltatásokkal foglalkozó módszer, amelynél a szolgáltató szervezet által a rendszeréről adott leírás tartalmazza az alszolgáltató szervezet által nyújtott szolgáltatások jellegét, de az adott alszolgáltató szervezet releváns kontrollcéljait és a kapcsolódó kontrollokat nem foglalja magában a szolgáltató szervezet által a rendszeréről adott leírás és a szolgáltató könyvvizsgálója megbízásának hatóköre. A szolgáltató szervezet által a rendszeréről adott leírás, valamint a szolgáltató könyvvizsgálója megbízásának hatóköre magában foglalja a szolgáltató szervezetnél lévő kontrollokat az alszolgáltató szervezetnél lévő kontrollok hatékonyságának nyomon követésére, amelyekbe beletartozhat az alszolgáltató szervezetnél lévő kontrollokra vonatkozó, bizonyosságot nyújtó jelentés szolgáltató szervezet általi áttekintése.
(b) Igénybe vevő gazdálkodó egység kiegészítő kontrolljai – Olyan kontrollok, amelyekről a szolgáltató szervezet a szolgáltatása megtervezésekor azt feltételezi, hogy azokat az igénybe vevő gazdálkodó egységek bevezetik, és amelyeket – abban az esetben, ha ezek szükségesek a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok eléréséhez –, ebben a leírásban azonosítanak.
(c) Kontrollcél – Kontrollok egy adott szempont szerinti célja vagy rendeltetése. A kontrollcélok olyan kockázatokra vonatkoznak, amelyeket a kontrollok mérsékelni igyekeznek.
(d) A szolgáltató szervezetnél lévő kontrollok – Olyan kontrollcél elérése feletti kontrollok, amelyre kiterjed a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentése. (Hiv.: A3. bekezdés)
(e) Alszolgáltató szervezetnél lévő kontrollok – Alszolgáltató szervezetnél lévő kontrollok, amelyeknek a célja kellő bizonyosságot adni egy adott kontrollcél eléréséről.
(f) Kritériumok – A vizsgálat mögöttes tárgyának értékelésére vagy mérésére használt viszonyítási alapok. A „vonatkozó kritériumok” az adott megbízáshoz használt kritériumok.
(g) Belefoglaló módszer – Alszolgáltató szervezet által nyújtott szolgáltatásokkal foglalkozó módszer, amelynél a szolgáltató szervezet által a rendszeréről adott leírás tartalmazza az alszolgáltató szervezet által nyújtott szolgáltatások jellegét, és az adott alszolgáltató szervezet releváns kontrollcéljait és a kapcsolódó kontrollokat magában foglalja a szolgáltató szervezet által a rendszeréről adott leírás és a szolgáltató könyvvizsgálója megbízásának hatóköre. (Hiv.: A4. bekezdés)
(h) Belső audit funkció – A gazdálkodó egység egy funkciója, amely bizonyosságot nyújtó és tanácsadási tevékenységeket végez, amelyeknek célja a gazdálkodó egység vállalatirányítási, kockázatkezelési és belső kontrollal kapcsolatos folyamatának értékelése és hatékonyságának javítása.
(i) Belső auditorok – A belső audit funkció tevékenységeit végző személyek. A belső auditorok egy belső audit részleghez vagy annak megfelelő funkcióhoz tartozhatnak.
(j) A szolgáltató szervezetnél működő kontrollok leírásáról és kialakításáról szóló jelentés (a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardban 1-es típusú jelentésként hivatkozva) – Olyan jelentés, amely magában foglalja:
(i) A szolgáltató szervezet által a rendszeréről adott leírást;
(ii) A szolgáltató szervezet írásos nyilatkozatát, amely szerint minden lényeges szempontból és a megfelelő kritériumok alapján:
a) a leírás valósan mutatja be a szolgáltató szervezet rendszerét úgy, ahogy az ki volt alakítva és be volt vezetve a meghatározott időpontban;
b) a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok megfelelően voltak kialakítva a meghatározott időpontban; továbbá
(iii) A szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentését, amely kellő bizonyosságot nyújtó következtetést közvetít a fenti (ii) pont a)–b) alpontjaiban szereplő kérdésekre vonatkozóan.
(k) Szolgáltató szervezetnél működő kontrollok leírására, kialakítására és működési hatékonyságára vonatkozó jelentés (a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardban 2. típusú jelentésként hivatkozva) – Olyan jelentés, amely magában foglalja:
(i) A szolgáltató szervezet által a rendszeréről adott leírást;
(ii) A szolgáltató szervezet írásos nyilatkozatát, amely szerint minden lényeges szempontból és a megfelelő kritériumok alapján:
a) a leírás valósan mutatja be a szolgáltató szervezet rendszerét úgy, ahogy az ki volt alakítva és be volt vezetve a meghatározott időszak folyamán;
b) a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokra vonatkozó kontrollok megfelelően voltak kialakítva a meghatározott időszak folyamán; valamint
c) a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokra vonatkozó kontrollok hatékonyan működtek a meghatározott időszak folyamán; továbbá
(iii) A szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentését, amely:
a) kellő bizonyosságot nyújtó következtetést közvetít a fenti (ii) pont a)–c) alpontjaiban szereplő kérdésekre vonatkozóan; és
b) tartalmazza a kontrollok teszteléseinek és azok eredményeinek leírását.
(l) Szolgáltató könyvvizsgálója – A szolgáltató szervezet kérésére a szolgáltató szervezetnél működő kontrollokról bizonyosságot nyújtó jelentést készítő gyakorló könyvvizsgáló.
(m) Szolgáltató szervezet – Igénybe vevő gazdálkodó egységek számára olyan szolgáltatásokat nyújtó harmadik fél szervezet (vagy harmadik fél szervezet szegmense), amely szolgáltatások valószínűleg relevánsak az igénybe vevő gazdálkodó egységek pénzügyi beszámoláshoz kapcsolódó belső kontrollja szempontjából.
(n) Szolgáltató szervezet nyilatkozata – A 9. bekezdés (k) pont (ii) alpontban (vagy 1-es típusú jelentés esetében a 9. bekezdés (j) pont (ii) alpontban) hivatkozott kérdésekről írásban tett nyilatkozat.
(o) Szolgáltató szervezet rendszere (vagy a rendszer) – A szolgáltató szervezet által az igénybe vevő gazdálkodó egységek számára a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentésében lefedett szolgáltatások nyújtása érdekében kialakított és bevezetett politikák és eljárások. A szolgáltató szervezet által a rendszeréről adott leírás tartalmazza az azonosítását: a lefedett szolgáltatásoknak, azon időszaknak, vagy 1. típusú jelentés esetén azon időpontnak, amelyre a leírás vonatkozik, a kontrollcéloknak és a kapcsolódó kontrolloknak.
(p) Alszolgáltató szervezet – Egy másik szolgáltató szervezet által az igénybe vevő gazdálkodó egységek számára nyújtott olyan egyes szolgáltatások teljesítése érdekében igénybe vett szolgáltató szervezet, amely szolgáltatások valószínűleg relevánsak az igénybe vevő gazdálkodó egységek pénzügyi beszámoláshoz kapcsolódó belső kontrollja szempontjából.
(q) Kontrollok tesztelése – A kontrolloknak a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok elérésében való működési hatékonysága értékelésére kialakított eljárás.
(r) Igénybe vevő könyvvizsgálója – Egy igénybe vevő gazdálkodó egység pénzügyi kimutatásainak könyvvizsgálatát végző és arról jelentést készítő könyvvizsgáló. *
(s) Igénybe vevő gazdálkodó egység – Gazdálkodó egység, amely szolgáltató szervezetet vesz igénybe.
10. A szolgáltató könyvvizsgálójának csak akkor szabad a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardnak való megfelelést kijelentenie, ha megfelelt a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard és a 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard követelményeinek.
11. A szolgáltató könyvvizsgálójának meg kell felelnie az IESBA-kódex bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó rendelkezéseinek, vagy más szakmai követelményeknek, vagy jogszabály vagy szabályozás által megszabott követelményeknek, amelyek legalább ilyen magas követelményeket támasztanak. (Hiv.: A5. bekezdés)
12. Amikor a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard előírja a szolgáltató könyvvizsgálója számára, hogy a szolgáltató szervezettel interjút készítsen, attól nyilatkozatokat kérjen, azzal kommunikáljon vagy másképp kapcsolatba lépjen, a szolgáltató könyvvizsgálójának meg kell határoznia a szolgáltató szervezet vezetési vagy irányítási struktúráján belüli megfelelő személy(eke)t, akikkel kapcsolatba szükséges lépnie. Ennek magában kell foglalnia annak mérlegelését, hogy mely személy(ek) rendelkezik (rendelkeznek) megfelelő felelősségekkel és ismeretekkel ezen kérdésekkel kapcsolatban. (Hiv.: A6. bekezdés)
13. Egy adott megbízás elfogadása vagy folytatása előtt a szolgáltató könyvvizsgálójának:
(a) Meg kell határoznia, hogy:
(i) rendelkezik-e a megbízás elvégzéséhez szükséges képességekkel és kompetenciával; (Hiv.: A7. bekezdés)
(ii) a kritériumok, amelyeket a gyakorló könyvvizsgáló várakozása szerint a szolgáltató szervezet a rendszere leírásának elkészítéséhez használ megfelelők-e, és az igénybe vevő gazdálkodó egységek és könyvvizsgálóik rendelkezésére fognak-e állni; valamint
(iii) a megbízás hatóköre és a szolgáltató szervezet által a rendszeréről adott leírás nem lesznek-e annyira korlátozottak, hogy nem valószínű, hogy hasznosak az igénybe vevő gazdálkodó egységek és könyvvizsgálóik számára.
(b) Meg kell szereznie a szolgáltató szervezet arra vonatkozó beleegyezését, hogy az elismeri és érti az alábbiakra vonatkozó felelősségét:
(i) rendszere leírásának, valamint a szolgáltató szervezet azt kísérő nyilatkozatának elkészítése, beleértve ezen leírás és nyilatkozat teljességét, pontosságát és bemutatásának módját; (Hiv.: A8. bekezdés)
(ii) észszerű alappal való rendelkezés a szolgáltató szervezetnek a rendszere leírását kísérő nyilatkozatára vonatkozóan; (Hiv.: A9. bekezdés)
(iii) a rendszere leírásának elkészítéséhez használt kritériumok megadása a szolgáltató szervezet nyilatkozatában;
(iv) rendszere leírásában az alábbiak kinyilvánítása:
a) a kontrollcélok; és
b) amennyiben azokat jogszabály vagy szabályozás, vagy egy másik fél (például egy igénybe vevő csoport vagy egy szakmai testület) határozta meg, az azokat meghatározó fél;
(v) a rendszere leírásában kinyilvánított kontrollcélok elérését veszélyeztető kockázatok azonosítása, valamint kontrollok kialakítása és bevezetése kellő bizonyosság nyújtásához arra vonatkozóan, hogy ezek a kockázatok nem fogják megakadályozni a rendszere leírásában kinyilvánított kontrollcélok elérését, és így a kinyilvánított kontrollcélokat el fogják érni; továbbá (Hiv.: A10. bekezdés)
(vi) az alábbiak megadása a szolgáltató könyvvizsgálójának:
a. hozzáférés valamennyi olyan információhoz, mint például nyilvántartások, dokumentumok, valamint egyéb anyagok, amelyek a szolgáltató szervezet tudomása szerint a szolgáltató szervezet rendszerének leírása és a szolgáltató szervezet azt kísérő nyilatkozata szempontjából relevánsak;
b. további információk, amelyeket a szolgáltató könyvvizsgálója kérhet a szolgáltató szervezettől a bizonyosságot nyújtó szolgáltatásokra szóló megbízás céljára; és
c. korlátlan hozzáférés a szolgáltató szervezetnél lévő olyan személyekhez, akiktől a szolgáltató könyvvizsgálója szükségesnek határozza meg bizonyíték beszerzését.
A megbízás feltételei módosításának elfogadása
14. Ha a szolgáltató szervezet a megbízás hatókörének módosítását kéri a megbízás teljesítése előtt, a szolgáltató könyvvizsgálójának meg kell győződnie arról, hogy észszerű indok van a módosításra. (Hiv.: A11–A12. bekezdések)
15. A szolgáltató könyvvizsgálójának meg kell határoznia, hogy a szolgáltató szervezet megfelelő kritériumokat használt-e rendszere leírásának elkészítése során, annak értékelésekor, hogy a kontrollok kialakítása megfelelő-e, valamint 2-es típusú jelentés esetében annak értékelésekor, hogy a kontrollok hatékonyan működnek-e.
16. A szolgáltató szervezet által a rendszeréről adott leírás értékelésére vonatkozó kritériumok megfelelőségének a meghatározása során a szolgáltató könyvvizsgálójának meg kell határoznia, hogy a kritériumok felölelik-e legalább az alábbiakat:
(a) A leírás bemutatja-e, hogyan alakították ki és vezették be a szolgáltató szervezet rendszerét, beleértve az adott esetnek megfelelően:
(i) a nyújtott szolgáltatástípusokat, beleértve az adott esetnek megfelelően a feldolgozott ügyletcsoportokat;
(ii) azokat az eljárásokat mind az informatikai, mind a manuális rendszerekben, amelyekkel szolgáltatásokat nyújtanak, beleértve az adott esetnek megfelelően azokat az eljárásokat, amelyekkel ügyleteket hoznak létre, rögzítenek, dolgoznak fel, javítanak szükség szerint, vezetnek át az igénybe vevő gazdálkodó egységek részére készített jelentésekbe és egyéb információkba;
(iii) a kapcsolódó nyilvántartásokat és alátámasztó információkat, beleértve az adott esetnek megfelelően a számviteli nyilvántartásokat, alátámasztó információkat és konkrét számlákat, amelyeket az ügyletek létrehozásához, rögzítéséhez, feldolgozásához és jelentésbe foglalásához alkalmaznak; ez magában foglalja a helytelen információk javítását, valamint azt, hogy az információkat hogyan vezetik át az igénybe vevő gazdálkodó egységek részére készített jelentésekbe és egyéb információkba;
(iv) azt, hogy a szolgáltató szervezet rendszere hogyan foglalkozik az ügyleteken kívüli jelentős eseményekkel és feltételekkel;
(v) a jelentések és egyéb információk igénybe vevő gazdálkodó egységek részére való készítéséhez használt folyamatot;
(vi) a meghatározott kontrollcélokat és a célok eléréséhez kialakított kontrollokat;
(vii) igénybe vevő gazdálkodó egység kiegészítő kontrolljait, amelyeket figyelembe vettek a kontrollok kialakításában; valamint
(viii) a szolgáltató szervezet kontrollkörnyezetének, kockázatbecslési folyamatának, információs rendszerének (beleértve a kapcsolódó üzleti folyamatokat) és kommunikációjának, kontrolltevékenységeinek és a kontrollok figyelemmel kísérésének a nyújtott szolgáltatások szempontjából releváns egyéb szempontjait.
(b) 2-es típusú jelentés esetében a leírás tartalmazza-e a szolgáltató szervezet rendszerében a leírás által lefedett időszakban bekövetkezett változások releváns részleteit.
(c) A leírás hagy-e ki vagy torzít-e a szolgáltató szervezet leírt rendszere hatókörének szempontjából releváns információt, elismerve, hogy a leírás az igénybe vevő gazdálkodó egységek és könyvvizsgálóik széles körének közös szükségletei kielégítésének céljából készült, és ezért lehet, hogy nem tartalmazza a szolgáltató szervezet rendszerének minden olyan szempontját, amelyet minden egyes igénybe vevő gazdálkodó egység és könyvvizsgálója az adott környezetében fontosnak tarthat.
17. Annak meghatározása során, hogy a kritériumok alkalmasak-e a kontrollok kialakításának értékelésére, a szolgáltató könyvvizsgálójának meg kell határoznia, hogy a kritériumok felölelik-e legalább az alábbiakat:
(a) A szolgáltató szervezet azonosította-e azokat a kockázatokat, amelyek veszélyeztetik a rendszere leírásában kinyilvánított kontrollcélok elérését; és
(b) A leírásban azonosított kontrollok, ha a leírás szerint működnének, kellő bizonyosságot adnának-e arra vonatkozóan, hogy ezen kockázatok nem akadályozzák meg a kinyilvánított kontrollcélok elérését.
18. Annak meghatározása során, hogy a kritériumok alkalmasak-e a kontrollok arra vonatkozó működési hatékonyságának az értékelésére, hogy kellő bizonyosságot nyújtanak, hogy a leírásban azonosított kinyilvánított kontrollcélokat el fogják érni, a szolgáltató könyvvizsgálójának meg kell határoznia, hogy a kritériumok kiterjednek-e legalább arra, hogy a kontrollokat következetesen alkalmazták-e a tervezettnek megfelelően a meghatározott időszak folyamán. Ez magában foglalja azt, hogy a megfelelő illetékességgel és hatáskörrel rendelkező személyek alkalmaztak-e manuális kontrollokat. (Hiv.: A13–A15. bekezdések)
19. A megbízás tervezésekor és végrehajtásakor a szolgáltató könyvvizsgálójának figyelembe kell vennie a lényegességet a leírás valós bemutatásával, a kontrollok kialakításának megfelelőségével, és 2-es típusú jelentés esetében a kontrollok működési hatékonyságával kapcsolatban. (Hiv.: A16-A18. bekezdések)
20. A szolgáltató könyvvizsgálójának meg kell ismernie a szolgáltató szervezet rendszerét, beleértve a kontrollokat, amelyeket a megbízás hatóköre magában foglal. (Hiv.: A19–A20. bekezdések)
21. A szolgáltató könyvvizsgálójának be kell szereznie és el kell olvasnia a szolgáltató szervezet által a rendszeréről adott leírást, és értékelnie kell, hogy a leírásnak a megbízás hatókörében foglalt szempontjai valósan vannak-e bemutatva, beleértve, hogy: (Hiv.: A21–A22. bekezdések)
(a) a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok az adott körülmények között észszerűek-e; (Hiv.: A23. bekezdés)
(b) a leírásban azonosított kontrollokat bevezették-e;
(c) megfelelően le vannak-e írva az igénybe vevő gazdálkodó egység kiegészítő kontrolljai, ha vannak ilyenek; és
(d) megfelelően le vannak-e írva az alszolgáltató szervezet által végzett szolgáltatások, ha vannak ilyenek, beleértve, hogy azokra vonatkozóan a belefoglaló módszert vagy a kizáró módszert alkalmazták-e.
22. Interjúkkal kombinált egyéb eljárásokon keresztül a szolgáltató könyvvizsgálójának meg kell határoznia, hogy a szolgáltató szervezet rendszerét bevezették-e. Ezeknek az egyéb eljárásoknak magukban kell foglalniuk annak megfigyelését, valamint az arra vonatkozó nyilvántartás és egyéb dokumentumok szemrevételezését, hogy hogyan működik a szolgáltató szervezet rendszere és hogyan alkalmazzák a kontrollokat. (Hiv.: A24. bekezdés)
23. A szolgáltató könyvvizsgálójának meg kell határoznia, hogy a szolgáltató szervezetnél lévő kontrollok közül melyek szükségesek a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok eléréséhez, és fel kell mérnie, hogy azokat a kontrollokat megfelelően alakították-e ki. Ennek a meghatározásnak magában kell foglalnia az alábbiakat: (Hiv.: A25–A27. bekezdések)
(a) A szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok elérését veszélyeztető kockázatok azonosítása; és
(b) A szolgáltató szervezet által a rendszeréről adott leírásban azonosított kontrollok ezen kockázatokkal való kapcsolatának értékelése.
24. 2-es típusú jelentés kibocsátásakor a szolgáltató könyvvizsgálójának tesztelnie kell azokat a kontrollokat, amelyeket a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok eléréséhez szükségesnek határozott meg, és fel kell mérnie működési hatékonyságukat az adott időszak során. Korábbi megbízások során a kontrollok korábbi időszakokban való kielégítő működéséről szerzett bizonyíték nem ad alapot a tesztelés csökkentésére, még akkor sem, ha kiegészül a tárgyidőszakban szerzett bizonyítékkal. (Hiv.: A28–A32. bekezdések)
25. Kontrollok teszteléseinek tervezése és végrehajtása során a szolgáltató könyvvizsgálójának:
(a) interjúval kombinált egyéb eljárásokat kell végrehajtania, hogy bizonyítékot szerezzen az alábbiakra:
(i) hogyan alkalmazták az adott kontrollt;
(ii) milyen következetességgel alkalmazták az adott kontrollt; és
(iii) ki alkalmazta vagy milyen eszközökkel alkalmazták az adott kontrollt;
(b) meg kell határoznia, hogy a tesztelendő kontrollok függnek-e egyéb kontrolloktól (közvetett kontrollok), és ha igen, akkor szükséges-e bizonyítékot szerezni a közvetett kontrollok működési hatékonyságának alátámasztására; valamint (Hiv.: A33–A34. bekezdések)
(c) meg kell határoznia tételek tesztelésre való kiválasztásának olyan eszközeit, amelyek hatékonyan teljesítik az eljárás céljait. (Hiv.: A35–A36. bekezdések)
26. A kontrollok tesztelései terjedelmének meghatározásakor a szolgáltató könyvvizsgálójának figyelembe kell vennie kérdéseket, beleértve a tesztelendő sokaság jellemzőit, amely magában foglalja a kontrollok jellegét, alkalmazásuk gyakoriságát (például havonta, naponta, naponta többször), valamint az eltérés várható szintjét.
Mintavétel
27. Amikor a szolgáltató könyvvizsgálója mintavételt alkalmaz, a szolgáltató könyvvizsgálójának: (Hiv.: A35–A36. bekezdések)
(a) a minta tervezésekor figyelembe kell vennie az eljárás célját és a sokaság jellemzőit, amelyből a mintavétel történik majd;
(b) a mintavételi kockázat megfelelően alacsony szintre való csökkentéséhez elegendő mintaméretet kell meghatároznia;
(c) úgy kell kiválasztania a tételeket a mintához, hogy a sokaság minden egyes mintavételi egységének esélye legyen a kiválasztásra;
(d) ha egy megtervezett eljárás nem alkalmazható egy adott kiválasztott tételre, az eljárást egy helyettesítő tételen kell végrehajtania; és
ha egy kiválasztott tételre nem tudja alkalmazni a megtervezett eljárásokat vagy megfelelő alternatív eljárásokat, az adott tételt eltérésként kell kezelnie.
Az eltérések jellege és oka
28. A szolgáltató könyvvizsgálójának meg kell vizsgálnia bármilyen azonosított eltérés jellegét és okát, és meg kell határoznia, hogy:
(a) az azonosított eltérések az eltérés várt szintjén belül vannak-e és elfogadhatók-e; ezért a végrehajtott tesztelés megfelelően megalapozza-e azt a következtetést, hogy az adott kontroll hatékonyan működik a meghatározott időszak folyamán;
(b) szükség van-e az adott kontroll vagy egyéb kontrollok további tesztelésére arra vonatkozó következtetés levonásához, hogy egy adott kontrollcélra vonatkozó kontrollok hatékonyan működnek-e a meghatározott időszak folyamán; vagy (Hiv.: A25. bekezdés)
(c) a végrehajtott tesztelés megfelelően megalapozza-e azt a következtetést, hogy az adott kontroll nem működött hatékonyan a meghatározott időszak folyamán.
29. Azon rendkívül ritka esetekben, amikor a szolgáltató könyvvizsgálója egy mintában felfedezett eltérést anomáliának tekint, és nem azonosítottak egyéb kontrollokat, amelyek lehetővé teszik a szolgáltató könyvvizsgálójának olyan következtetés levonását, hogy a releváns kontrollcél hatékonyan működik a meghatározott időszak folyamán, a szolgáltató könyvvizsgálójának nagyfokú bizonyosságot kell szereznie arról, hogy az adott eltérés a sokaság tekintetében nem reprezentatív. A szolgáltató könyvvizsgálójának ezt a mértékű bizonyosságot további eljárások végrehajtásával kell megszereznie, amelyek célja, hogy elegendő és megfelelő bizonyítékot szerezzen arra vonatkozóan, hogy az eltérés a sokaság többi részére nincs hatással.
A belső audit funkció megismerése
30. Ha a szolgáltató szervezetnél van belső audit funkció, a szolgáltató könyvvizsgálójának meg kell ismernie a belső audit funkció felelősségeinek jellegét és a végzett tevékenységeket annak meghatározása érdekében, hogy a belső audit funkció valószínűleg releváns-e a megbízás szempontjából. (Hiv.: A37. bekezdés)
Annak meghatározása, hogy felhasználják-e és milyen mértékben a belső auditorok munkáját
31. A szolgáltató könyvvizsgálójának meg kell határoznia:
(a) azt, hogy a belső auditorok munkája valószínűleg megfelel-e a megbízás céljaira; és
(b) ha igen, milyen tervezett hatással van a belső auditorok munkája a szolgáltató könyvvizsgálója eljárásainak jellegére, ütemezésére vagy terjedelmére.
32. Annak meghatározása során, hogy a belső auditorok munkája valószínűleg megfelel-e a megbízás céljaira, a szolgáltató könyvvizsgálójának értékelnie kell:
(a) a belső audit funkció objektivitását;
(b) a belső auditorok szakmai kompetenciáját;
(c) azt, hogy a belső auditorok munkájukat valószínűleg megfelelő szakmai gondossággal végzik-e; valamint
(d) azt, hogy valószínűleg hatékony kommunikáció lesz-e a belső auditorok és a szolgáltató könyvvizsgálója között.
33. A belső auditorok munkája által a szolgáltató könyvvizsgálója eljárásainak jellegére, ütemezésére vagy terjedelmére gyakorolt tervezett hatás megállapításakor a szolgáltató könyvvizsgálójának figyelembe kell vennie: (Hiv.: A38. bekezdés)
(a) a belső auditorok által végrehajtott vagy végrehajtandó konkrét munka jellegét és hatókörét;
(b) a munka jelentőségét a szolgáltató könyvvizsgáló következtetései szempontjából; és
(c) a következtetések alátámasztására összegyűjtött bizonyítékok értékelésében rejlő szubjektivitás mértékét.
A belső audit funkció munkájának felhasználása
34. Ahhoz, hogy a szolgáltató könyvvizsgálója a belső auditorok konkrét munkáját felhasználja, a szolgáltató könyvvizsgálójának értékelnie kell ezt a munkát és eljárásokat kell végrehajtania ezzel a munkával kapcsolatban ahhoz, hogy meghatározza annak a szolgáltató könyvvizsgálójának céljaira való megfelelőségét. (Hiv.: A39. bekezdés)
35. A belső auditorok által a szolgáltató könyvvizsgálójának céljaira végzett konkrét munka megfelelőségének meghatározásához a szolgáltató könyvvizsgálójának értékelnie kell, hogy:
(a) a munkát megfelelő szakmai képzéssel és szakértelemmel rendelkező belső auditorok végezték-e;
(b) a munkát megfelelően felügyelték, áttekintették és dokumentálták-e;
(c) megfelelő bizonyítékot szereztek-e, amely lehetővé teszi a belső auditorok számára észszerű következtetések levonását;
(d) a levont következtetések az adott körülmények között megfelelőek-e, és a belső auditorok által készített jelentések összhangban vannak-e a végrehajtott munka eredményeivel; valamint
(e) a megbízás szempontjából releváns kivételeket vagy a belső auditorok által közzétett szokatlan kérdéseket megfelelően megoldották-e.
A szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentésére gyakorolt hatás
36. Ha felhasználták a belső audit funkció munkáját, a szolgáltató könyvvizsgálójának nem szabad arra a munkára hivatkoznia a szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének abban a szakaszában, amely a szolgáltató könyvvizsgálója véleményét tartalmazza. (Hiv.: A40. bekezdés)
37. 2-es típusú jelentés esetében, ha a kontrollok tesztelésének végrehajtása során felhasználták a belső audit funkció munkáját, a szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének az a szakasza, amely ismerteti a szolgáltató könyvvizsgálójának a kontroll-teszteléseit és azok eredményeit, magában kell, hogy foglalja a belső auditor munkájának, valamint a szolgáltató könyvvizsgálója ezzel a munkával kapcsolatos eljárásainak leírását. (Hiv.: A41. bekezdés)
38. A szolgáltató könyvvizsgálójának írásbeli nyilatkozatokat kell kérnie a szolgáltató szervezettől: (Hiv.: A42. bekezdés)
(a) amelyek megerősítik a rendszer leírását kísérő nyilatkozatot;
(b) arról, hogy a szolgáltató könyvvizsgálójának megadott minden releváns információt és megegyezés szerinti hozzáférést; * valamint
(c) arról, hogy közölte a szolgáltató könyvvizsgálójával az alábbiak bármelyikét, amelyről tudomása van:
(i) jogszabálynak és szabályozásoknak való meg nem felelés, csalás vagy a szolgáltató szervezetnek tulajdonítható nem helyesbített eltérések, amelyek érinthetnek egy vagy több igénybe vevő gazdálkodó egységet;
(ii) kialakítási hiányosságok a kontrollokban;
(iii) esetek, amikor a kontrollok nem a leírás szerint működtek; és
(iv) a szolgáltató szervezet által a rendszeréről adott leírás által lefedett időszakot követő bármilyen esemény a szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének dátumáig, amely jelentős hatást gyakorolhatna a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentésére.
39. Az írásbeli nyilatkozatoknak a szolgáltató könyvvizsgálójának címzett teljességi nyilatkozat formájában kell lenniük. Az írásbeli nyilatkozatok dátumának a szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének dátumához lehető legközelebb eső, de nem azt követő időpontnak kell lennie.
40. Ha azt követően, hogy a kérdést megbeszélte a szolgáltató könyvvizsgálójával, a szolgáltató szervezet nem ad meg a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard 38. bekezdés (a) és (b) pontjával összhangban kért egy vagy több nyilatkozatot, a szolgáltató könyvvizsgálójának vissza kell utasítania a véleménynyilvánítást. (Hiv.: A43. bekezdés)
41. A szolgáltató könyvvizsgálójának el kell olvasnia a szolgáltató szervezet által a rendszeréről adott leírást és a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentését tartalmazó dokumentumban foglalt egyéb információkat, ha vannak, a leírással fennálló lényeges következetlenségek, ha vannak ilyenek, azonosítása céljából. Az egyéb információk lényeges következetlenségek azonosítása céljából történő átolvasásakor a szolgáltató könyvvizsgálójának tudomására juthat egy tény nyilvánvaló hibás bemutatása az egyéb információkban.
42. Ha a szolgáltató könyvvizsgálója lényeges következetlenséget azonosít vagy egy tény nyilvánvaló hibás bemutatásáról szerez tudomást az egyéb információkban, a szolgáltató könyvvizsgálójának meg kell beszélnie a kérdést a szolgáltató szervezettel. Ha a szolgáltató könyvvizsgálója arra a következtetésre jut, hogy lényeges következetlenség áll fenn vagy egy tény hibás bemutatása szerepel az egyéb információkban, amelyet a szolgáltató szervezet nem hajlandó helyesbíteni, a szolgáltató könyvvizsgálójának további megfelelő intézkedést kell tennie. (Hiv.: A44–A45. bekezdések)
43. A szolgáltató könyvvizsgálójának meg kell kérdeznie, hogy a szolgáltató szervezetnek van-e tudomása a szolgáltató szervezet rendszeréről adott leírása által lefedett időszakot követő bármilyen eseményről a szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének dátumáig, amely lehet, hogy a bizonyosságot nyújtó jelentés módosítására késztette volna a szolgáltató könyvvizsgálóját. Ha a szolgáltató könyvvizsgálójának tudomása van ilyen eseményről és a szolgáltató szervezet nem tesz közzé információt erről az eseményről, a szolgáltató könyvvizsgálójának közzé kell azt tennie a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentésében.
44. A szolgáltató könyvvizsgálója nem köteles semmilyen eljárást végrehajtani a szolgáltató szervezet rendszerének leírására, vagy a kontrollok kialakításának megfelelőségére, vagy azok működési hatékonyságára vonatkozóan a szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének dátumát követően.
45. A szolgáltató könyvvizsgálójának időben megbízási dokumentációt kell készítenie, amely olyan rögzítését adja a bizonyosságot nyújtó jelentés alapjának, amely elegendő és megfelelő ahhoz, hogy az adott megbízással korábban kapcsolatban nem álló tapasztalt szolgáltató-könyvvizsgáló megértse:
(a) a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardnak és a vonatkozó jogi és szabályozási követelményeknek való megfelelés érdekében végrehajtott eljárások jellegét, ütemezését és terjedelmét;
(b) a végrehajtott eljárások eredményeit és a megszerzett bizonyítékokat; valamint
(c) a megbízás során felmerült jelentős kérdéseket, az azokkal kapcsolatban levont következtetéseket, valamint a következtetések levonása során alkalmazott jelentős szakmai megítéléseket.
46. A végrehajtott eljárások jellegének, ütemezésének és terjedelmének dokumentálásakor a szolgáltató könyvvizsgálójának rögzítenie kell:
(a) a tesztelt konkrét tételek vagy kérdések azonosító jellemzőit;
(b) azt, hogy ki hajtotta végre a munkát és azt a dátumot, amikor ezt a munkát befejezték; valamint
(c) azt, hogy ki tekintette át a munkát, és az áttekintés dátumát és terjedelmét.
47. Ha a szolgáltató könyvvizsgálója felhasználja a belső auditorok konkrét munkáját, a szolgáltató könyvvizsgálójának dokumentálnia kell a belső auditorok munkája megfelelőségének értékelésével kapcsolatban levont következtetéseket és a szolgáltató könyvvizsgálója által ezen munkára vonatkozóan végrehajtott eljárásokat.
48. A szolgáltató könyvvizsgálójának dokumentálnia kell a jelentős kérdések szolgáltató szervezettel és másokkal való megbeszéléseit, beleértve a megvitatott jelentős kérdések jellegét, valamint azt, hogy mikor és kivel került sor a megbeszélésekre.
49. Ha a szolgáltató könyvvizsgálója olyan információt azonosított, amely nincs összhangban a szolgáltató könyvvizsgálójának végső következtetésével valamely jelentős kérdésre vonatkozóan, dokumentálnia kell, hogyan kezelte ezt a következetlenséget.
50. A szolgáltató könyvvizsgálójának a bizonyosságot nyújtó jelentése dátumát követő megfelelő időn belül össze kell állítania a dokumentációt egy megbízási dossziéba, és be kell fejeznie a végleges megbízási dosszié összeállításával kapcsolatos adminisztratív folyamatot. *
51. A végleges megbízási dosszié összeállításának befejezése után a szolgáltató könyvvizsgálójának nem szabad törölnie vagy eltávolítania dokumentumokat a megőrzési időszak lejárta előtt. (Hiv.: A46. bekezdés)
52. Ha a szolgáltató könyvvizsgálója szükségesnek tartja a meglévő megbízási dokumentáció módosítását vagy új dokumentációval való kiegészítését a végleges megbízási dosszié összeállítását követően, és az a dokumentáció nincs hatással a szolgáltató könyvvizsgálójának jelentésére, a szolgáltató könyvvizsgálójának a módosítások vagy kiegészítések jellegétől függetlenül dokumentálnia kell:
(a) azok megtételének konkrét okait; és
(b) azt, hogy ki készítette és ki nézte át azokat.
A szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének tartalma
53. A szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének legalább a következő alapelemeket kell tartalmaznia: (Hiv.: A47. bekezdés)
(a) Egy címet, amely egyértelműen jelzi, hogy az adott jelentés egy független szolgáltató-könyvvizsgáló bizonyosságot nyújtó jelentése.
(b) Egy címzettet.
(c) A következők azonosítását:
(i) A szolgáltató szervezet által a rendszeréről adott leírás és szolgáltató szervezet nyilatkozata, amely magában foglalja 2-es típusú jelentés esetében a 9. bekezdés (k) pont (ii) alpontban, 1-es típusú jelentés esetében a 9. bekezdés (j) pont (ii) alpontban leírt kérdéseket.
(ii) A szolgáltató szervezet által a rendszeréről adott leírásnak azok a részei, ha vannak ilyenek, amelyekre nem terjed ki a szolgáltató könyvvizsgálójának véleménye.
(iii) Ha a leírás hivatkozik az igénybe vevő gazdálkodó egység kiegészítő kontrolljai szükségességére, egy nyilatkozat, hogy a szolgáltató könyvvizsgálója nem értékelte az igénybe vevő gazdálkodó egység kiegészítő kontrolljai kialakításának megfelelőségét vagy működési hatékonyságát, valamint, hogy a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok csak akkor érhetők el, ha az igénybe vevő gazdálkodó egység kiegészítő kontrolljai megfelelően vannak kialakítva vagy hatékonyan működnek a szolgáltató szervezetnél lévő kontrollokkal együtt.
(iv) Ha alszolgáltató szervezet hajt végre szolgáltatásokat, az alszolgáltató szervezet által végrehajtott tevékenységek jellege a szolgáltató szervezet által a rendszeréről adott leírásban foglaltak szerint, valamint, hogy azokra vonatkozóan a belefoglaló módszert vagy a kizáró módszert alkalmazták-e. Ha a kizáró módszert alkalmazták, egy nyilatkozat arról, hogy a szolgáltató szervezet által a rendszeréről adott leírás nem foglalja magában a releváns alszolgáltató szervezeteknél lévő kontrollcélokat és kapcsolódó kontrollokat, valamint, hogy a szolgáltató könyvvizsgálójának eljárásai nem terjednek ki az alszolgáltató szervezetnél működő kontrollokra. Ha a belefoglaló módszert alkalmazták, egy nyilatkozat arról, hogy a szolgáltató szervezet által a rendszeréről adott leírás magában foglalja az alszolgáltató szervezetnél lévő kontrollcélokat és kapcsolódó kontrollokat, valamint, hogy a szolgáltató könyvvizsgálójának eljárásai kiterjedtek az alszolgáltató szervezetnél működő kontrollokra.
(d) A vonatkozó kritériumok és a kontrollcélokat meghatározó fél azonosítását.
(e) Arra vonatkozó kijelentést, hogy a jelentés, és 2-es típusú jelentés esetében a kontrollok teszteléseinek ismertetése csak az igénybe vevő gazdálkodó egységek és könyvvizsgálóik részére készült, akiknek kellő ismeretük van ahhoz, hogy figyelembe vegyék azt az igénybe vevő gazdálkodó egységek pénzügyi kimutatásaiban lévő lényeges hibás állítások kockázatainak becslésekor egyéb információkkal együtt, beleértve maguk az igénybe vevő gazdálkodó egységek által működtetett kontrollokra vonatkozó információkat. (Hiv.: A48. bekezdés)
(f) Arra vonatkozó kijelentést, hogy a szolgáltató szervezet felelős:
(i) rendszere leírásának, valamint az azt kísérő nyilatkozatnak az elkészítéséért, beleértve ezen leírás és ezen nyilatkozat teljességét, pontosságát és bemutatásának módját;
(ii) azoknak a szolgáltatásoknak a nyújtásáért, amelyeket a szolgáltató szervezet által a rendszeréről adott leírás lefed;
(iii) a kontrollcélok meghatározásáért (ha azokat nem jogszabály vagy szabályozás, vagy egy másik fél, például egy igénybe vevő csoport vagy egy szakmai testület azonosítja); és
(iv) kontrollok kialakításáért és bevezetéséért a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok elérése céljából.
(g) Arra vonatkozó kijelentést, hogy a szolgáltató könyvvizsgálójának felelőssége véleményt bocsájtani ki a szolgáltató szervezet leírására, a leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok kialakítására, és 2-es típusú jelentés esetében a kontrollok működési hatékonyságára vonatkozóan a szolgáltató könyvvizsgálója eljárásai alapján.
(h) Arra vonatkozó nyilatkozatot, hogy az a társaság, amelynek a gyakorló könyvvizsgáló a tagja, alkalmazza az 1. témaszámú nemzetközi minőségirányítási standardot, vagy más szakmai követelményeket, vagy jogszabályban vagy szabályozásban lévő követelményeket, amelyek legalább olyan magas követelményeket támasztanak, mint az 1. témaszámú nemzetközi minőségirányítási standard. Ha a gyakorló könyvvizsgáló nem kamarai tag könyvvizsgáló, a nyilatkozatnak azonosítania kell az alkalmazott szakmai követelményeket, vagy jogszabályban vagy szabályozásban lévő követelményeket, amelyek legalább olyan magas követelményeket támasztanak, mint az 1. témaszámú nemzetközi minőségirányítási standard.
(i) Arra vonatkozó nyilatkozatot, hogy a gyakorló könyvvizsgáló megfelel az IESBA-kódex függetlenségi és egyéb etikai követelményeinek, vagy egyéb szakmai követelményeknek, vagy jogszabály vagy szabályozás által megszabott követelményeknek, amelyek legalább olyan magas követelményeket támasztanak, mint az IESBA-kódex bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó rendelkezései. Ha a gyakorló könyvvizsgáló nem kamarai tag könyvvizsgáló, a nyilatkozatnak azonosítania kell az alkalmazott szakmai követelményeket, vagy jogszabály vagy szabályozás által megszabott követelményeket, amelyek legalább olyan magas követelményeket támasztanak, mint az IESBA-kódex bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó rendelkezései.
(j) Arra vonatkozó kijelentést, hogy a megbízás végrehajtására a 3402. témaszámú, Szolgáltató szervezetnél működő kontrollokra vonatkozó bizonyosságot nyújtó jelentések című bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standarddal összhangban került sor, amely előírja, hogy a szolgáltató könyvvizsgálója eljárásokat tervezzen meg és hajtson végre kellő bizonyosság szerzése céljából arról, hogy minden lényeges szempontból a szolgáltató szervezet által a rendszeréről adott leírás valósan van-e bemutatva, a kontrollok megfelelően vannak-e kialakítva, és 2-es típusú jelentés esetében hatékonyan működnek-e.
(k) A szolgáltató könyvvizsgálója kellő bizonyosság szerzésére szolgáló eljárásainak összefoglalását, valamint egy kijelentést a szolgáltató könyvvizsgálója azon meggyőződéséről, hogy a megszerzett bizonyíték elegendő és megfelelő ahhoz, hogy megalapozza a szolgáltató könyvvizsgálója véleményét, továbbá, 1-es típusú jelentés esetében arra vonatkozó kijelentést, hogy a szolgáltató könyvvizsgálója nem hajtott végre semmilyen eljárást a kontrollok működési hatékonyságával kapcsolatban és ezért nem bocsát ki véleményt arra vonatkozóan.
(l) Egy kijelentést a kontrollok korlátairól, és 2-es típusú jelentés esetében a kontrollok működési hatékonysága bármilyen értékelése jövőbeli időszakokra való kivetítésének kockázatáról.
(m) A szolgáltató könyvvizsgálójának véleményét, pozitív formában kifejezve, arra vonatkozóan, hogy minden lényeges szempontból, megfelelő kritériumok alapján:
(i) 2-es típusú jelentés esetében:
a. a leírás valósan mutatja-e be a szolgáltató szervezet rendszerét úgy, ahogy az ki volt alakítva és be volt vezetve a meghatározott időszak folyamán;
b. a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokra vonatkozó kontrollok megfelelően voltak-e kialakítva a meghatározott időszak folyamán; és
c. azok a tesztelt kontrollok, amelyek arról való kellő bizonyosság nyújtásához szükségesek, hogy a leírásban kinyilvánított kontrollcélokat elérték, hatékonyan működtek-e a meghatározott időszak folyamán.
(ii) 1-es típusú jelentés esetében:
a. a leírás valósan mutatja-e be a szolgáltató szervezet rendszerét úgy, ahogy az ki volt alakítva és be volt vezetve a meghatározott időpontban; és
b. a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok megfelelően voltak-e kialakítva a meghatározott időpontban.
(n) A szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének dátumát, amely nem lehet korábbi, mint az az időpont, amikor
(i) a szolgáltató könyvvizsgálója megszerezte azokat a bizonyítékokat, amelyek megalapozzák a szolgáltató könyvvizsgálójának véleményét, és
(ii) ha a megbízás minőségének áttekintése az 1. témaszámú nemzetközi minőségirányítási standarddal, vagy a társaság politikáival vagy eljárásaival összhangban követelmény, a megbízás minőségének áttekintése befejeződött.
(o) A szolgáltató könyvvizsgálójának nevét és azt a helyet a joghatóságon belül, ahol a szolgáltató könyvvizsgálója működik.
53A. A magyar jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység körébe tartozó bizonyosságot nyújtó szolgáltatásokra szóló megbízások esetén a jelentés tartalmazza:
a) könyvvizsgáló cég nevét, székhelyét, kamarai nyilvántartási számát és a képviseletre jogosult személy nevét és aláírását, valamint a megbízásért felelős természetes személy könyvvizsgáló (a megbízásért felelős partner) nevét, aláírását, kamarai nyilvántartási számát;
b) egyéni könyvvizsgáló esetén a könyvvizsgáló nevét, aláírását, kamarai nyilvántartási számát.
54. 2-es típusú jelentés esetében a szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének tartalmaznia kell egy külön szakaszt a vélemény után, vagy egy mellékletet, amely ismerteti a kontrollok végrehajtott teszteléseit és azok eredményeit. A kontrollok teszteléseinek ismertetésében a szolgáltató könyvvizsgálójának egyértelműen ki kell jelentenie, hogy mely kontrollokat tesztelték, azonosítania kell, hogy a tesztelt tételek a sokaság minden tételét vagy azokból egy kiválasztást képviselnek-e, és jeleznie kell a tesztelések jellegét elegendő részletességgel ahhoz, hogy az igénybe vevők könyvvizsgálói meg tudják határozni ezeknek a teszteléseknek a kockázatbecsléseikre gyakorolt hatását. Ha eltéréseket azonosítottak, a szolgáltató könyvvizsgálójának szerepeltetnie kell a végrehajtott tesztelés mértékét, amely az eltérések azonosításához vezetett (beleértve a mintaméretet, ha mintavételt alkalmaztak), valamint a talált eltérések számát és jellegét. A szolgáltató könyvvizsgálójának akkor is jelentenie kell az eltéréseket, ha a végrehajtott tesztelések alapján a szolgáltató könyvvizsgálója arra a következtetésre jutott, hogy a kapcsolódó kontrollcélt elérték. (Hiv.: A18. és A49. bekezdések)
Minősített vélemények
55. Ha a szolgáltató könyvvizsgálója azt a következtetést vonja le, hogy: (Hiv.: A50–A52. bekezdések)
(a) a szolgáltató szervezet leírása nem mutatja be minden lényeges szempontból valósan a rendszert úgy, ahogyan az ki lett alakítva és be lett vezetve;
(b) a leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollokat nem alakították ki meg felelően minden lényeges szempontból;
(c) 2-es típusú jelentés esetében azok a tesztelt kontrollok, amelyek arról való kellő bizonyosság nyújtásához szükségesek, hogy a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokat elérték, nem működtek hatékonyan minden lényeges szempontból; vagy
(d) a szolgáltató könyvvizsgálója nem tud elegendő és megfelelő bizonyítékot szerezni,
a szolgáltató könyvvizsgálójának véleményét minősíteni kell, és a szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének a minősítés minden okát egyértelműen ismertető szakaszt kell tartalmaznia.
56. Ha a szolgáltató könyvvizsgálója tudomást szerez jogszabályoknak és szabályozásoknak való meg nem felelésről, csalásról vagy a szolgáltató szervezetnek tulajdonítható nem helyesbített hibákról, amelyek nem egyértelműen elhanyagolhatók és érinthetnek egy vagy több igénybe vevő gazdálkodó egységet, a szolgáltató könyvvizsgálójának meg kell határoznia, hogy az adott kérdést megfelelően kommunikálták-e az érintett igénybe vevő gazdálkodó egységek felé. Ha az adott kérdést nem kommunikálták így, és a szolgáltató szervezet erre nem hajlandó, a szolgáltató könyvvizsgálójának megfelelő intézkedést kell tennie. (Hiv.: A53. bekezdés)
A1. A belső kontroll a pénzügyi beszámolás megbízhatóságához, a működés hatékonyságához és eredményességéhez, valamint a vonatkozó jogszabályoknak és szabályozásoknak való megfeleléshez kapcsolódó célok elérésére vonatkozó kellő bizonyosság nyújtására kialakított folyamat. Egy szolgáltató szervezet működéséhez és megfelelési céljaihoz kapcsolódó kontrollok relevánsak lehetnek egy igénybe vevő gazdálkodó egység pénzügyi beszámoláshoz kapcsolódó belső kontrollja szempontjából. Ilyen kontrollok kapcsolódhatnak számlaegyenlegekre, ügyletcsoportokra vagy közzétételekre vonatkozó bemutatásról vagy közzétételről szóló állításokhoz, vagy kapcsolódhatnak olyan bizonyítékhoz, amelyet az igénybe vevő könyvvizsgálója értékel vagy felhasznál könyvvizsgálati eljárások alkalmazása során. Például, egy bérszámfejtési szolgáltató szervezetnek a bérből való levonások kormányzati hatóságok felé időben történő átutalásához kapcsolódó kontrolljai relevánsak lehetnek egy igénybe vevő gazdálkodó egység szempontjából, mivel késedelmes átutalások után kamat és büntetések merülhetnének fel, ami kötelezettséget eredményezne az igénybe vevő gazdálkodó egység számára. Hasonlóképpen, egy szolgáltató szervezet befektetési ügyletek szabályozói szempontból való elfogadhatósága feletti kontrolljai relevánsnak tekinthetők ügyleteknek és számlaegyenlegeknek egy igénybe vevő gazdálkodó egység által, a pénzügyi kimutatásaiban való bemutatása és közzététele szempontjából. Annak meghatározása, hogy egy szolgáltató szervezetnél lévő, működéshez és megfeleléshez kapcsolódó kontrollok valószínűleg relevánsak-e az igénybe vevő gazdálkodó egységek pénzügyi beszámoláshoz kapcsolódó belső kontrollja szempontjából, szakmai megítélés kérdése, figyelembe véve a szolgáltató szervezet által meghatározott kontrollcélokat és a kritériumok megfelelőségét.
A2. A szolgáltató szervezet lehet, hogy nem tudja azt állítani, hogy a rendszer megfelelően van kialakítva, amikor például a szolgáltató szervezet olyan rendszert működtet, amelyet egy igénybe vevő gazdálkodó egység alakított ki, vagy amelyet egy igénybe vevő gazdálkodó egység és a szolgáltató szervezet közötti szerződésben kötöttek ki. A kontrollok megfelelő kialakítása és azok működési hatékonysága között fennálló elkerülhetetlen kapcsolat miatt a kialakítás megfelelőségére vonatkozó nyilatkozat hiánya valószínűleg megakadályozza majd, hogy a szolgáltató könyvvizsgálója olyan következtetést vonjon le, miszerint a kontrollok kellő bizonyosságot nyújtanak arra vonatkozóan, hogy a kontrollcélok teljesültek, és így azt, hogy véleményt nyilvánítson a kontrollok működési hatékonyságára vonatkozóan. Alternatív megoldásként a gyakorló könyvvizsgáló választhatja megállapodás szerinti eljárások végrehajtására szóló megbízás elfogadását kontrollok tesztelésének végrehajtására, vagy a 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard szerinti bizonyosságot nyújtó szolgáltatásokra szóló megbízás elfogadását arra vonatkozó következtetés levonására, hogy a kontrollok tesztelése alapján a kontrollok a leírásnak megfelelően működtek-e.
A3. A „szolgáltató szervezetnél lévő kontrollok” fogalma magában foglalja az igénybe vevő gazdálkodó egységek szolgáltató szervezet által fenntartott információs rendszereinek szempontjait, és szintén magában foglalhatja egy szolgáltató szervezetnél lévő belső kontroll egy vagy több egyéb komponensének szempontjait. Például magában foglalhatja egy szolgáltató szervezet kontrollkörnyezetének, figyelemmel kísérési és kontrolltevékenységeinek szempontjait, amikor azok a nyújtott szolgáltatásokra vonatkoznak. Nem foglal azonban magában egy szolgáltató szervezetnél lévő olyan kontrollokat, amelyek nem kapcsolódnak a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok eléréséhez, például a szolgáltató szervezet saját pénzügyi kimutatásai elkészítéséhez kapcsolódó kontrollok.
A4. A belefoglaló módszer használatakor a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standardban foglalt követelmények az alszolgáltató szervezet által nyújtott szolgáltatásokra is vonatkoznak, beleértve beleegyezés megszerzését a 13. bekezdés (b) pont (i)–(v) alpontjaiban foglalt kérdések tekintetében, mint ami az alszolgáltató szervezetre alkalmazandó, nem pedig a szolgáltató szervezetre. Eljárásoknak az alszolgáltató szervezetnél történő végrehajtása magában foglal koordinálást és kommunikációt a szolgáltató szervezet, az alszolgáltató szervezet és a szolgáltató könyvvizsgálója között. A belefoglaló módszer általában csak akkor valósítható meg, ha a szolgáltató szervezet és az alszolgáltató szervezet kapcsolt felek, vagy, ha a szolgáltató szervezet és az alszolgáltató szervezet közötti szerződés annak használatát írja elő.
A5. A szolgáltató könyvvizsgálójára vonatkoznak a releváns függetlenségi követelmények, amelyek rendszerint az IESBA-kódex nemzetközi függetlenségi standardjaiból, valamint a szigorúbb nemzeti követelményekből állnak. Egy megbízás jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standarddal összhangban való végrehajtása során az IESBA-kódex nem követeli meg, hogy a szolgáltató könyvvizsgálója minden egyes igénybe vevő gazdálkodó egységtől független legyen.
A6. A vezetési és irányítási struktúrák joghatóságonként és gazdálkodó egységenként változnak, tükrözve az eltérő kulturális és jogi háttereket, valamint a méretbeli és tulajdonlási jellemzőket. Ez a sokszínűség nem teszi lehetővé, hogy a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard valamennyi megbízás vonatkozásában meghatározza az(oka)t a személy(eke)t, akivel (akikkel) a szolgáltató könyvvizsgálójának kapcsolatba kell lépnie a konkrét kérdések tekintetében. A szolgáltató szervezet például lehet egy harmadik fél szervezet egy szegmense, nem pedig különálló jogi személy. Ilyen esetekben azoknak a megfelelő vezetőknek vagy irányítással megbízott személyeknek az azonosítása, akiktől írásbeli nyilatkozatokat szükséges kérni, szakmai megítélés alkalmazását igényelheti.
A megbízás elvégzéséhez szükséges képességek és kompetencia (Hiv.: 13. bekezdés (a) pont (i) alpont)
A7. A megbízás elvégzéséhez szükséges releváns képességek és kompetencia olyan kérdéseket foglal magában, mint az alábbiak:
– a releváns ágazat ismerete;
– az informatika és az információs rendszerek ismerete;
– kontrollok megfelelő kialakítására vonatkozó kockázatok értékelésében szerzett tapasztalat; és
– kontrollok tesztelésének tervezésében és végrehajtásában, valamint az eredmények értékelésében szerzett tapasztalat.
Szolgáltató szervezet nyilatkozata (Hiv.: 13. bekezdés (b) pont (i) alpont)
A8. Az írásbeli nyilatkozat megadásának egy szolgáltató szervezet általi megtagadása azt követően, hogy a szolgáltató könyvvizsgálója beleegyezett egy adott megbízás elfogadásába vagy folytatásába, hatókör-korlátozást jelent, amely miatt a szolgáltató könyvvizsgálója visszalép a megbízástól. Ha jogszabály vagy szabályozás nem teszi lehetővé, hogy a szolgáltató könyvvizsgálója a megbízástól visszalépjen, a szolgáltató könyvvizsgálója visszautasítja a véleménynyilvánítást.
A szolgáltató szervezet nyilatkozatának észszerű alapja (Hiv.: 13. bekezdés (b) pont (ii) alpont)
A9. 2-es típusú jelentés esetében a szolgáltató szervezet nyilatkozata tartalmaz egy olyan kijelentést, hogy a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokra vonatkozó kontrollok hatékonyan működtek a meghatározott időszak folyamán. Ez a kijelentés alapulhat a szolgáltató szervezet figyelemmel kísérési tevékenységein. A kontrollok figyelemmel kísérése a kontrollok hatékonyságának felmérésére szolgáló folyamat. Magában foglalja a kontrollok hatékonyságának rendszeres felmérését, azonosítva és a szolgáltató szervezeten belüli megfelelő személyek részére jelentve a hiányosságokat, valamint megtéve a szükséges helyesbítő intézkedéseket. A szolgáltató szervezet a kontrollok figyelemmel kísérését folyamatos tevékenységekkel, külön értékelésekkel vagy a kettő kombinációjával hajtja végre. Minél nagyobb mértékűek és minél hatékonyabbak a folyamatos figyelemmel kísérési tevékenységek, annál kevésbé van szükség külön értékelésekre. A folyamatos figyelemmel kísérési tevékenységeket gyakran beépítik a szolgáltató szervezet szokásos ismétlődő tevékenységeibe, és azok magukban foglalnak rendszeres vezetési és felügyeleti tevékenységeket. Belső auditorok vagy hasonló funkciókat ellátó munkatársak hozzájárulhatnak egy szolgáltató szervezet tevékenységének figyelemmel kíséréséhez. A figyelemmel kísérési tevékenységek magukban foglalhatják olyan, külső felek által kommunikált információk felhasználását is, mint például ügyfél-panaszok és szabályozói észrevételek, amelyek jelezhetnek problémákat vagy kiemelhetnek olyan területeket, amelyek fejlesztésre szorulnak. Az a tény, hogy a szolgáltató könyvvizsgálója jelentést fog készíteni a kontrollok működési hatékonyságáról nem helyettesíti a szolgáltató szervezet saját folyamatait nyilatkozatának észszerű megalapozásához.
Kockázatok azonosítása (Hiv.: 13. bekezdés (b) pont (iv) alpont)
A10. Amint az a 9. bekezdés (c) pontjában szerepel, a kontrollcélok olyan kockázatokra vonatkoznak, amelyeket a kontrollok mérsékelni igyekeznek. Az a kockázat például, hogy egy ügyletet rossz összeggel vagy rossz időszakban rögzítenek kifejezhető olyan kontrollcélként, hogy az ügyletek rögzítése helyes összeggel és helyes időszakban történjen. A szolgáltató szervezet felelős azoknak a kockázatoknak az azonosításáért, amelyek veszélyeztetik a rendszere leírásában kinyilvánított kontrollcélok elérését. A szolgáltató szervezetnek lehet formális vagy informális folyamata a releváns kockázatok azonosítására. Egy formális folyamat magában foglalhatja az azonosított kockázatok jelentőségének becslését, előfordulásuk valószínűségének felmérését, valamint a kezelésüket célzó intézkedésekre vonatkozó döntést. Ugyanakkor, mivel a kontrollcélok olyan kockázatokra vonatkoznak, amelyeket a kontrollok mérsékelni igyekeznek, a kontrollcélok átgondolt azonosítása a szolgáltató szervezet rendszerének kialakításakor és bevezetésekor önmagában megtestesíthet releváns kockázatok azonosítására szolgáló informális folyamatot.
A megbízás feltételei megváltoztatásának elfogadása (Hiv.: 14. bekezdés)
A11. A megbízás hatókörének megváltoztatására irányuló kérésnek lehet, hogy nincs elfogadható indoka, amikor például a kérésre azért kerül sor, hogy kizárjanak bizonyos kontrollcélokat a megbízás hatóköréből annak valószínűsége miatt, hogy a szolgáltató könyvvizsgálójának véleménye minősített lenne; vagy a szolgáltató szervezet nem fog írásbeli nyilatkozatot adni a szolgáltató könyvvizsgálójának, és azt kéri, hogy a megbízást a 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard szerint hajtsák végre.
A12. A megbízás hatókörének megváltoztatására irányuló kérésnek lehet, hogy elfogadható indoka van, amikor például a kérésre azért kerül sor, hogy kizárjanak egy alszolgáltató szervezetet a megbízásból, amikor a szolgáltató szervezet nem tud a szolgáltató könyvvizsgálója általi hozzáférést elintézni, és az adott alszolgáltató szervezet által nyújtott szolgáltatások kezelésének módszerét a belefoglaló módszerről a kizáró módszerre változtatják meg.
A13. Szükséges, hogy a kritériumok a célzott felhasználók rendelkezésére álljanak, hogy megérthessék a szolgáltató szervezetnek a rendszer általa adott leírásának valós bemutatására, a kontrollok kialakításának megfelelőségére, és 2-es típusú jelentés esetében a kontrollcélokhoz kapcsolódó kontrollok működési hatékonyságára vonatkozó nyilatkozatának alapját.
A14. A 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard előírja a szolgáltató könyvvizsgálójának többek között annak meghatározását, hogy az alkalmazandó kritériumok megfelelők-e, valamint a vizsgálat mögöttes tárgya megfelelőségének meghatározását. * A vizsgálat mögöttes tárgya egy bizonyosságot nyújtó jelentés célzott felhasználói érdeklődésére számot tartó mögöttes feltétel. Az alábbi táblázat azonosítja a mögöttes tárgyat és a minimális kritériumokat a 2-es és az 1-es típusú jelentésekben lévő minden egyes véleményre vonatkozóan. *
| Vizsgálat tárgya | Kritériumok | Észrevétel | |||
| A szolgáltató szervezet rendszere leírásának valós bemutatására vonatkozó vélemény (1-es típusú és 2-es típusú jelentések) | A szolgáltató szervezet rendszere, amely valószínűleg releváns az igénybe vevő gazdálkodó egységek pénzügyi beszámoláshoz kapcsolódó belső kontrollja szempontjából, és amelyre vonatkozik a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentése. | A leírás valósan van bemutatva, ha az: (a) bemutatja, hogyan alakították ki és vezették be a szolgáltató szervezet rendszerét, beleértve az adott esetnek megfelelően a 16. bekezdés (a) pont (i)–(viii) alpontjaiban azonosított kérdéseket; (b) 2-es típusú jelentés esetében magában foglalja a szolgáltató szervezet rendszerében a leírás által lefedett időszakban bekövetkezett változások releváns részleteit; és (c) nem hagy ki vagy torzít a szolgáltató szervezet leírt rendszere hatókörének szempontjából releváns információt, elismerve, hogy a leírás az igénybe vevő gazdálkodó egységek széles körének közös szükségletei kielégítésének céljából készült, és ezért lehet, hogy nem tartalmazza a szolgáltató szervezet rendszerének minden olyan szempontját, amelyet minden egyes igénybe vevő gazdálkodó egység a saját adott környezetében fontosnak tarthat. | Az erre a véleményre vonatkozó kritériumok konkrét szövegét lehet, hogy alakítani szükséges úgy, hogy összhangban legyen például jogszabály vagy szabályozás, igénybe vevő csoportok vagy egy szakmai testület által kialakított kritériumokkal. Az 1. sz. függelékben lévő szemléltető szolgáltató szervezeti nyilatkozatban vannak megadva példák erre a véleményre vonatkozó kritériumokra. Az A21–A24. bekezdések további útmutatást adnak annak meghatározásához, hogy ezek a kritériumok teljesülnek-e. (A 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard követelményei szerint kifejezve a vizsgálat tárgyával kapcsolatos információk erre a véleményre vonatkozóan a szolgáltató szervezet által a rendszeréről adott leírás, valamint a szolgáltató szervezet nyilatkozata, hogy a leírás valósan van bemutatva.) | ||
| A kialakítás megfelelőségére és a működési hatékonyságra vonatkozó vélemény (2-es típusú jelentések) | A szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok eléréséhez szükséges kontrollok kialakításának megfelelősége és működési hatékonysága. | A kontrollokat megfelelően alakították ki és azok hatékonyan működnek, ha: (a) A szolgáltató szervezet azonosította azokat a kockázatokat, amelyek veszélyeztetik a rendszere leírásában kinyilvánított kontrollcélok elérését; (b) A leírásban azonosított kontrollok, ha a leírás szerint működnének, kellő bizonyosságot adnának arra vonatkozóan, hogy ezek a kockázatok nem akadályozzák meg a kinyilvánított kontrollcélok elérését; és (c) A kontrollokat következetesen alkalmazták a tervezettnek megfelelően a meghatározott időszak folyamán. Ez magában foglalja azt, hogy a megfelelő illetékességgel és hatáskörrel rendelkező személyek alkalmaztak-e manuális kontrollokat. | Amikor az erre a véleményre vonatkozó kritériumok teljesülnek, a kontrollok kellő bizonyosságot nyújtanak arra, hogy a kapcsolódó kontrollcélokat elérték a meghatározott időszak folyamán. (A 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard követelményei szerint kifejezve a vizsgálat tárgyával kapcsolatos információk erre a véleményre vonatkozóan a szolgáltató szervezet nyilatkozata arról, hogy a kontrollok megfelelően vannak kialakítva és azok hatékonyan működnek.) | A szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok részei az ezekre a véleményekre vonatkozó kritériumoknak. A kinyilvánított kontrollcélok megbízásonként különbözőek lesznek. Ha a leírásra vonatkozó vélemény kialakítása részeként a szolgáltató könyvvizsgálója arra a következtetésre jut, hogy a kinyilvánított kontrollcélok nincsenek valósan bemutatva, akkor ezek a kontrollcélok nem lennének megfelelőek, mint az akár a kontrollok kialakítására, akár azok működési hatékonyságára vonatkozó vélemény kialakításához alkalmazott kritériumok része. | |
| A kialakítás megfelelőségére vonatkozó vélemény (1-es típusú jelentések) | A szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok eléréséhez szükséges kontrollok kialakításának megfelelősége. | A kontrollok megfelelően vannak kialakítva, ha: (a) A szolgáltató szervezet azonosította azokat a kockázatokat, amelyek veszélyeztetik a rendszere leírásában kinyilvánított kontrollcélok elérését; és (b) A leírásban azonosított kontrollok, ha a leírás szerint működnének, kellő bizonyosságot adnának arra vonatkozóan, hogy ezek a kockázatok nem akadályozzák meg a kinyilvánított kontrollcélok elérését. | Ezeknek a kritériumoknak a teljesülése önmagában nem nyújt semmilyen bizonyosságot arra vonatkozóan, hogy a kapcsolódó kontrollcélokat elérték, mert nem szereztek bizonyosságot a kontrollok működéséről. (A 3000. témaszámú (felülvizsgált) bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard követelményei szerint kifejezve a vizsgálat tárgyával kapcsolatos információk erre a véleményre vonatkozóan a szolgáltató szervezet nyilatkozata arról, hogy a kontrollok megfelelően vannak kialakítva.) | ||
A15. A 16. bekezdés (a) pontja számos elemet azonosít, amelyeket a szolgáltató szervezet által a rendszeréről adott leírás magában foglal az adott esetnek megfelelően. Ezek az elemek lehet, hogy nem megfelelőek, ha a leírt rendszer nem olyan rendszer, amely ügyleteket dolgoz fel, például, ha az adott rendszer egy IT-alkalmazás hostingja feletti általános kontrollokhoz kapcsolódik, de nem magába az alkalmazásba ágyazott kontrollokhoz.
Lényegesség (Hiv.: 19., 54. bekezdések)
A16. Egy szolgáltató szervezetnél lévő kontrollokra vonatkozó jelentéstételre szóló megbízás során a lényegesség fogalma ahhoz a rendszerhez kapcsolódóik, amelyről jelentést tesznek, nem az igénybe vevő gazdálkodó egységek pénzügyi kimutatásaihoz. A szolgáltató könyvvizsgálója eljárásokat tervez meg és hajt végre annak meghatározása céljából, hogy a szolgáltató szervezet által a rendszeréről adott leírás minden lényeges szempontból valósan van-e bemutatva, a szolgáltató szervezetnél lévő kontrollok minden lényeges szempontból megfelelően vannak-e kialakítva, és 2-es típusú jelentés esetében, hogy a szolgáltató szervezetnél lévő kontrollok minden lényeges szempontból hatékonyan működnek-e. A lényegesség fogalma figyelembe veszi, hogy a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentése azért nyújt információt a szolgáltató szervezet rendszeréről, hogy olyan igénybe vevő gazdálkodó egységek és könyvvizsgálóik széles körének közös információs szükségleteit elégítse ki, akik ismerik azt a módot, ahogyan az adott rendszert használták.
A17. A szolgáltató szervezet által a rendszeréről adott leírás valós bemutatása és a kontrollok kialakítása tekintetében a lényegesség elsősorban minőségi tényezők figyelembevételét foglalja magában, például: a leírás tartalmazza-e a jelentős ügyletek feldolgozásának jelentős szempontjait; hagy-e ki vagy torzít-e a leírás releváns információt; valamint a kontrollok képességét, ahogy ki vannak alakítva, arra, hogy kellő bizonyosságot nyújtsanak arra vonatkozóan, hogy a kontrollcélokat elérjék. A szolgáltató könyvvizsgálójának a kontrollok működési hatékonyságára vonatkozó véleménye tekintetében a lényegesség magában foglalja mind mennyiségi, mind minőségi tényezők figyelembevételét, például az eltérés elfogadható szintje és megfigyelt szintje (mennyiségi kérdés), valamint bármilyen megfigyelt eltérés jellege és oka (minőségi kérdés).
A18. A lényegesség fogalmát nem alkalmazzák, amikor közlik a kontrollok teszteléseinek leírásában az olyan tesztelések eredményeit, ahol eltéréseket azonosítottak. Ez azért van, mert egy konkrét igénybe vevő gazdálkodó egység vagy az igénybe vevő könyvvizsgálója adott körülményei között egy adott eltérésnek azt meghaladó jelentősége lehet, hogy a szolgáltató könyvvizsgálója véleménye szerint megakadályozza-e vagy sem egy kontroll hatékony működését. Például, az a kontroll, amelyhez az eltérés kapcsolódik, különösen jelentős lehet egy bizonyos típusú hiba megelőzésében, amely lényeges lehet egy igénybe vevő gazdálkodó egység pénzügyi kimutatásainak adott körülményei között.
A19. A szolgáltató szervezet megbízás hatókörébe tartozó rendszerének megismerése, beleértve a kontrollokat, segíti a szolgáltató könyvvizsgálóját az alábbiakban:
– Az adott rendszer határainak és annak azonosítása, hogy hogyan kapcsolódik egyéb rendszerekhez.
– Annak felmérése, hogy a szolgáltató szervezet leírása valósan mutatja-e be a kialakított és bevezetett rendszert.
– A szolgáltató szervezet nyilatkozatának készítése feletti belső kontroll megismerése.
– Annak meghatározása, hogy mely kontrollok szükségesek a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok eléréséhez.
– Annak felmérése, hogy a kontrollokat megfelelően alakították-e ki.
– 2-es típusú jelentés esetében annak felmérése, hogy a kontrollok hatékonyan működtek-e.
A20. A szolgáltató könyvvizsgálójának ezt a megismerést célzó eljárásai magukban foglalhatják:
– Interjú készítését azokkal a személyekkel a szolgáltató szervezeten belül, akik a szolgáltató könyvvizsgálójának megítélése szerint releváns információkkal rendelkezhetnek.
– A működés megfigyelését, valamint dokumentumok, jelentések, nyomtatott és elektronikus ügyletfeldolgozási nyilvántartások vizsgálatát.
– A szolgáltató szervezet és az igénybe vevő gazdálkodó egységek közötti megállapodások közül a kiválasztott megállapodások közös feltételek azonosítása céljából való vizsgálatát.
– Kontrolleljárások újbóli elvégzését.
A21. Az alábbi kérdések mérlegelése segíthet a szolgáltató könyvvizsgálójának meghatározni, hogy a leírásnak a megbízás hatókörében foglalt szempontjai minden lényeges szempontból valósan vannak-e bemutatva:
– Foglalkozik a leírás a nyújtott szolgáltatás fő szempontjaival (a megbízás hatókörén belül), amelyek észszerű várakozások alapján relevánsak lehetnek az igénybe vevők könyvvizsgálói széles körének közös szükségletei szempontjából az igénybe vevő gazdálkodó egységek pénzügyi kimutatásai általuk végzett könyvvizsgálatának tervezése során?
– Olyan részletességgel készült a leírás, amely észszerű várakozások alapján az igénybe vevők könyvvizsgálói széles körének elegendő információt nyújthat a belső kontroll 315. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standarddal * összhangban történő megismeréséhez? Nem szükséges, hogy a leírás foglalkozzon a szolgáltató szervezet feldolgozásának vagy az igénybe vevő gazdálkodó egységeknek nyújtott szolgáltatásoknak minden szempontjával, és nem szükséges, hogy olyan részletes legyen, hogy potenciálisan lehetővé tegye egy olvasó számára a szolgáltató szervezetnél lévő biztonsági vagy egyéb kontrollok veszélyeztetését.
– Olyan módon készítették a leírást, amely nem hagy ki vagy torzít olyan információt, amely érintheti az igénybe vevők könyvvizsgálóinak döntései széles körének közös szükségleteit, például, tartalmaz a leírás bármilyen jelentős kihagyást vagy pontatlanságot a feldolgozásban, amelyről a szolgáltató könyvvizsgálójának tudomása van?
– Ha a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok közül néhányat kivettek a megbízás hatóköréből, a leírás egyértelműen azonosítja a kivett célokat?
– Bevezették a leírásban azonosított kontrollokat?
– Megfelelően ismertetik az igénybe vevő gazdálkodó egység kiegészítő kontrolljait, ha vannak ilyenek? A legtöbb esetben a kontrollcélok leírása úgy van megszövegezve, hogy a kontrollcélok elérhetők pusztán a szolgáltató szervezet által bevezetett kontrollok hatékony működésén keresztül. Egyes esetekben azonban a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokat nem tudja egyedül a szolgáltató szervezet elérni, mert azok eléréséhez az igénybe vevő gazdálkodó egységek által bevezetendő adott kontrollok szükségesek. Ez lehet a helyzet például akkor, amikor a kontrollcélokat egy szabályozó hatóság határozza meg. Amikor a leírás magában foglalja az igénybe vevő gazdálkodó egység kiegészítő kontrolljait, a leírás elkülönítve azonosítja azokat a kontrollokat azokkal a konkrét kontrollcélokkal együtt, amelyeket a szolgáltató szervezet egyedül nem tud elérni.
– Ha a belefoglaló módszert alkalmazták, külön azonosítja a leírás a szolgáltató szervezetnél lévő kontrollokat és az alszolgáltató szervezetnél lévő kontrollokat? Ha a kizáró módszert alkalmazzák, azonosítja a leírás azokat a funkciókat, amelyeket az alszolgáltató szervezet végez? A kizáró módszer alkalmazásakor nem szükséges, hogy a leírás ismertesse az alszolgáltatónál lévő részletes feldolgozást vagy kontrollokat.
A22. A szolgáltató könyvvizsgálójának a leírás valós bemutatását értékelő eljárásai magukban foglalhatják:
– Az igénybe vevő gazdálkodó egységek jellegének és annak mérlegelését, hogy a szolgáltató szervezet által nyújtott szolgáltatások valószínűleg hogyan érintik őket, például, hogy az igénybe vevő gazdálkodó egységek egy adott ágazatba tartoznak-e, és azokat szabályozzák-e kormányszervek.
– Igénybe vevő gazdálkodó egységekkel fennálló standard szerződések vagy standard szerződéses feltételek (ha értelmezhető) elolvasását a szolgáltató szervezet szerződéses kötelmeinek megismerése céljából.
– A szolgáltató szervezet munkatársai által végrehajtott eljárások megfigyelését.
– A szolgáltató szervezet politikákat és szabályzatokat tartalmazó kézikönyveinek és egyéb rendszerdokumentációknak, például folyamatábráknak és folyamatleírásoknak az áttekintését.
A23. A 21. bekezdés (a) pontja előírja a szolgáltató könyvvizsgálója számára annak értékelését, hogy a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélok az adott körülmények között észszerűek-e. Az alábbi kérdések mérlegelése segíthet a szolgáltató könyvvizsgálójának ebben az értékelésben:
– A kinyilvánított kontrollcélokat a szolgáltató szervezet jelölte ki vagy külső felek, mint egy szabályozó hatóság, igénybe vevő csoport vagy egy szakmai testület, amely átlátható előírt folyamatot követ?
– Ha a kinyilvánított kontrollcélokat a szolgáltató szervezet határozta meg, azok az igénybe vevő gazdálkodó egységek pénzügyi kimutatásainak széles körében általánosan megtestesülő állítástípusokhoz kapcsolódnak, amelyekhez észszerű várakozások alapján a szolgáltató szervezetnél lévő kontrollok kapcsolódhatnak? Bár a szolgáltató könyvvizsgálója rendszerint nem fogja tudni meghatározni, hogy egy szolgáltató szervezetnél lévő kontrollok konkrétan hogyan kapcsolódnak a különálló igénybe vevő gazdálkodó egységek pénzügyi kimutatásaiban megtestesült állításokhoz, a szolgáltató könyvvizsgálójának a szolgáltató szervezet rendszerére, beleértve a kontrollokat, valamint a nyújtott szolgáltatásokra vonatkozó ismeretét felhasználják azoknak az állítástípusoknak az azonosítása céljából, amelyekhez azok a kontrollok valószínűleg kapcsolódnak.
– Ha a kinyilvánított kontrollcélokat a szolgáltató szervezet határozta meg, azok teljes körűek? A kontrollcélok teljes köre az igénybe vevők könyvvizsgálói széles körének keretet adhat a szolgáltató szervezetnél lévő kontrollok igénybe vevő gazdálkodó egységek pénzügyi kimutatásaiban általánosan megtestesülő állításokra gyakorolt hatásának felméréséhez.
A24. A szolgáltató könyvvizsgálójának annak meghatározását szolgáló eljárásai, hogy a szolgáltató szervezet rendszerét bevezették-e, hasonlóak lehetnek az adott rendszer megismerését célzó eljárásokhoz, és azokat azokkal együtt hajthatják végre. Szintén magukban foglalhatják tételek visszakövetését a szolgáltató szervezet rendszerén keresztül, és 2-es típusú jelentés esetében konkrét interjúkat a kontrollok változtatásairól, amelyeket az adott időszakban vezettek be. Az igénybe vevő gazdálkodó egységek vagy könyvvizsgálóik szempontjából jelentős változtatásokat tartalmazza a szolgáltató szervezet rendszerének leírása.
A25. Egy igénybe vevő gazdálkodó egység vagy egy igénybe vevő könyvvizsgálója szempontjából egy kontroll akkor van megfelelően kialakítva, ha önmagában vagy egyéb kontrollokkal együtt, az annak való kielégítő megfelelés esetén kellő bizonyosságot nyújtana arra vonatkozóan, hogy megelőzik, vagy feltárják és helyesbítik a lényeges hibás állításokat. Egy szolgáltató szervezetnek vagy egy szolgáltató könyvvizsgálójának azonban nincs tudomása az egyes igénybe vevő gazdálkodó egységeknél lévő adott körülményekről, amelyek meghatároznák, hogy egy kontrolleltérésből származó hibás állítás lényeges-e vagy sem az adott igénybe vevő gazdálkodó egységek szempontjából. Ezért egy szolgáltató könyvvizsgálója szempontjából egy kontroll akkor van megfelelően kialakítva, ha önmagában vagy egyéb kontrollokkal együtt, annak való kielégítő megfelelés esetén kellő bizonyosságot nyújt arra vonatkozóan, hogy a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokat elérik.
A26. A szolgáltató könyvvizsgálója mérlegelheti folyamatábrák, kérdőívek vagy döntéshozatali táblák használatát a kontrollok kialakítása megismerésének megkönnyítése érdekében.
A27. A kontrollok egy kontrollcél elérését célzó számos tevékenységből állhatnak. Következésképpen, ha a szolgáltató könyvvizsgálója bizonyos tevékenységeket úgy értékel, hogy nem hatékonyak egy adott kontrollcél elérésében, egyéb tevékenységek megléte lehetővé teheti a szolgáltató könyvvizsgálója számára annak a következtetésnek a levonását, hogy az adott kontrollcélhoz kapcsolódó kontrollok megfelelően vannak kialakítva.
A működési hatékonyság felmérése (Hiv.: 24. bekezdés)
A28. Egy igénybe vevő gazdálkodó egység vagy egy igénybe vevő könyvvizsgálója szempontjából egy kontroll hatékonyan működik, ha önmagában vagy egyéb kontrollokkal együtt kellő bizonyosságot nyújt arra vonatkozóan, hogy megelőzik, vagy feltárják és helyesbítik az akár csalásból, akár hibából eredő lényeges hibás állításokat. Egy szolgáltató szervezetnek vagy egy szolgáltató könyvvizsgálójának azonban nincs tudomása az egyes igénybe vevő gazdálkodó egységeknél lévő adott körülményekről, amelyek meghatároznák, hogy egy kontrolleltérésből származó hibás állítás előfordult-e, és ha igen, lényeges-e. Ezért egy szolgáltató könyvvizsgálója szempontjából egy kontroll hatékonyan működik, ha önmagában vagy egyéb kontrollokkal együtt kellő bizonyosságot nyújt arra vonatkozóan, hogy a szolgáltató szervezet által a rendszeréről adott leírásban kinyilvánított kontrollcélokat elérik. Hasonlóképpen, egy szolgáltató szervezet vagy egy szolgáltató könyvvizsgálója nincs abban a helyzetben, hogy meghatározza, hogy bármely megfigyelt kontrolleltérés lényeges hibás állítást eredményezne-e egy adott igénybe vevő gazdálkodó egység szempontjából.
A29. A kontrolloknak a kialakításuk megfelelőségének véleményezéséhez elegendő megismerése nem elegendő bizonyíték azok működési hatékonysága tekintetében, kivéve, ha van valamilyen automatizmus, amely gondoskodik a kontrolloknak a kialakításuk és bevezetésük szerinti következetes működéséről. Például, információ szerzése egy manuális kontroll bevezetéséről egy adott időpontban nem nyújt bizonyítékot a kontroll más időpontokban való működéséről. Az informatikai feldolgozás jellegéből fakadó következetesség miatt azonban eljárások végrehajtása egy automatizált kontroll kialakításának és annak meghatározása céljából, hogy azt bevezették-e, szolgálhat az adott kontroll működési hatékonyságának bizonyítékaként, a szolgáltató könyvvizsgálójának olyan egyéb kontrollokra vonatkozó felmérésétől és tesztelésétől függően, mint például a programok változtatása feletti kontrollok.
A30. Ahhoz, hogy hasznos legyen az igénybe vevők könyvvizsgálói számára, egy 2-es típusú jelentés rendszerint legalább hat hónapos időszakot fed le. Ha az időszak rövidebb hat hónapnál, a szolgáltató könyvvizsgálója helyénvalónak tarthatja a rövidebb időszak okainak ismertetését a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentésében. Körülmények, amelyek azt eredményezhetik, hogy egy adott jelentés hat hónapnál rövidebb időszakot fed le, amikor (a) a szolgáltató könyvvizsgálóját ahhoz a dátumhoz közel bízzák meg, amely dátummal a kontrollokra vonatkozó jelentést ki kell adni; (b) a szolgáltató szervezet (vagy egy adott rendszer vagy alkalmazás) hat hónapnál kevesebb ideje működik; vagy (c) a kontrollokat jelentős mértékben megváltoztatták, és nem megoldható, hogy hat hónapot várjanak a jelentés kiadásáig vagy, hogy olyan jelentést adjanak ki, amely a rendszert lefedi a változtatások előtt és után egyaránt.
A31. Bizonyos kontrolleljárások lehet, hogy nem hagynak olyan bizonyítékot a működésükre, amelyet tesztelni lehet egy későbbi időpontban, és ennélfogva a szolgáltató könyvvizsgálója szükségesnek tarthatja, hogy az ilyen kontrollfolyamatok működési hatékonyságát különböző időpontokban tesztelje a beszámolási időszak folyamán.
A32. A szolgáltató könyvvizsgálója a kontrollok minden egyes időszak folyamán fennálló működési hatékonyságára vonatkozóan ad véleményt, ezért a kontrollok tárgyidőszak alatti működésére vonatkozó elegendő és megfelelő bizonyíték szükséges ahhoz, hogy a szolgáltató könyvvizsgálója kifejezze ezt a véleményt. A korábbi megbízások során megfigyelt eltérések ismerete azonban arra késztetheti a szolgáltató könyvvizsgálóját, hogy növelje a tesztelés terjedelmét a tárgyidőszakban.
Közvetett kontrollok tesztelése (Hiv.: 25. bekezdés (b) pont)
A33. Bizonyos körülmények között szükséges lehet közvetett kontrollok hatékony működését alátámasztó bizonyítékot szerezni. Például, ha a szolgáltató könyvvizsgálója úgy dönt, hogy teszteli a jóváhagyott hitelezési limiteket meghaladó értékesítéseket részletező, kivételekre vonatkozó jelentések ellenőrzésének hatékonyságát, akkor az ellenőrzés és a kapcsolódó nyomon követés az a kontroll, amely közvetlenül releváns a szolgáltató könyvvizsgálója számára. A jelentésekben szereplő információk pontossága feletti kontrollokat (pl. az általános IT-kontrollok) „közvetett” kontrolloknak nevezik.
A34. Az IT-feldolgozás eredendő következetessége miatt egy automatizált alkalmazáskontroll bevezetésére vonatkozó bizonyíték is – ha együttesen veszik figyelembe a szolgáltató szervezet általános kontrolljainak (különös tekintettel a változáskontrollokra) működési hatékonyságára vonatkozó bizonyítékkal – lényeges bizonyítékot nyújthat annak működési hatékonyságáról.
Tételek tesztelésre való kiválasztásának eszközei (Hiv.: 25. bekezdés (c) pont, 27. bekezdés)
A35. Tételek tesztelésre való kiválasztásának a szolgáltató könyvvizsgálójának rendelkezésére álló eszközei:
(a) Az összes tétel kiválasztása (100%-os vizsgálat). Ez megfelelő lehet olyan kontrollok tesztelésére, amelyeket ritkán alkalmaznak, például negyedévente, vagy amikor a kontroll alkalmazására vonatkozó bizonyíték eredményessé teszi a 100%-os vizsgálatot;
(b) Konkrét tételek kiválasztása. Ez megfelelő lehet, amikor a 100%-os vizsgálat nem lenne eredményes és a mintavétel nem lenne hatékony, mint például olyan kontrollok tesztelése, amelyeket nem alkalmaznak elég gyakran ahhoz, hogy nagy sokaságot nyújtson a mintavételhez, például havonta vagy hetente alkalmazott kontrollok; továbbá
(c) Mintavétel. Ez megfelelő lehet olyan kontrollok teszteléséhez, amelyeket gyakran egységesen alkalmaznak, és amelyek dokumentált bizonyítékot hagynak hátra alkalmazásukról.
A36. Bár konkrét tételek szelektív vizsgálata gyakran eredményes módja lesz a bizonyítékszerzésnek, nem minősül mintavételnek. Az ilyen módon kiválasztott tételekre alkalmazott eljárások eredményei nem vetíthetők ki a teljes sokaságra; ennek megfelelően konkrét tételek szelektív vizsgálata a sokaság többi részére vonatkozóan nem nyújt bizonyítékot. Másrészről a mintavétel úgy van kialakítva, hogy lehetővé tegye egy teljes sokaságra vonatkozó következtetések levonását egy abból vett minta tesztelése alapján.
A belső audit funkció megismerése (Hiv.: 30. bekezdés)
A37. Egy belső audit funkció felelős lehet elemzések, értékelések, bizonyosságok, javaslatok és egyéb információk vezetésnek és az irányítással megbízott személyeknek való nyújtásáért. Egy szolgáltató szervezetnél lévő belső audit funkció végezhet a szolgáltató szervezet saját belső kontroll rendszeréhez kapcsolódó tevékenységeket, vagy azokhoz a szolgáltatásokhoz és rendszerekhez, beleértve a kontrollokat, kapcsolódó tevékenységeket, amelyeket a szolgáltató szervezet nyújt igénybe vevő gazdálkodó egységeknek.
Annak meghatározása, hogy felhasználják-e és milyen mértékben a belső auditorok munkáját (Hiv.: 33. bekezdés)
A38. A belső auditorok munkája által a szolgáltató könyvvizsgálója eljárásainak jellegére, ütemezésére vagy terjedelmére gyakorolt tervezett hatás megállapításakor az alábbi tényezők felvethetik a máskülönben szokásostól eltérő vagy annál kevésbé kiterjedt eljárások szükségességét:
– A belső auditorok által végrehajtott vagy végrehajtandó konkrét munka jellege és hatóköre meglehetősen korlátozott.
– A belső auditorok munkája a szolgáltató könyvvizsgálójának következtetései szempontjából kevésbé jelentős kontrollokhoz kapcsolódik.
– A belső auditorok által végrehajtott vagy végrehajtandó munka nem igényel szubjektív vagy összetett megítéléseket.
A belső audit funkció munkájának felhasználása (Hiv.: 34. bekezdés)
A39. A szolgáltató könyvvizsgálója belső auditorok konkrét munkájára vonatkozó eljárásainak jellege, ütemezése és terjedelme az adott munkának a szolgáltató könyvvizsgálója következtetései szempontjából fennálló jelentősége (például azoknak a kockázatoknak a jelentősége, amelyeket a tesztelt kontrollok mérsékelni igyekeznek) szolgáltató könyvvizsgálója általi felmérésétől, a belső audit funkció értékelésétől és a belső auditorok konkrét munkájának értékelésétől függ. Az ilyen eljárások közé tartozhatnak:
– A belső auditorok által már vizsgált tételek vizsgálata;
– Egyéb hasonló tételek vizsgálata; és
– A belső auditorok által végrehajtott eljárások megfigyelése.
A szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentésére gyakorolt hatás (Hiv.: 36–37. bekezdések)
A40. A belső audit funkció önállóságának és tárgyilagosságának mértékétől függetlenül ez a funkció nem független a szolgáltató szervezettől, mint ahogyan az a szolgáltató könyvvizsgálójával szemben követelmény, amikor a megbízást végrehajtja. A szolgáltató könyvvizsgálója kizárólagosan felelős a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentésében kifejezett véleményért, és ezt a felelősséget nem csökkenti az, ha a szolgáltató könyvvizsgálója felhasználja a belső auditorok munkáját.
A41. A szolgáltató könyvvizsgálója által a belső audit funkció munkájáról adott leírás számos módon bemutatható, például:
– Bevezető anyag belefoglalásával a kontrollok teszteléseinek ismertetésébe, amely jelzi, hogy a belső audit funkció bizonyos munkáit felhasználták a kontrollok teszteléseinek végrehajtása során.
– Egyes tesztek hozzárendelése a belső audithoz.
A42. A 38. bekezdés által előírt írásbeli nyilatkozatok a szolgáltató szervezetnek a 9. bekezdés (o) pontjában definiált nyilatkozatától különálló, azon felüli nyilatkozatok.
A43. Ha a szolgáltató szervezet nem adja meg a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard 38. bekezdés (c) pontjával összhangban kért írásbeli nyilatkozatokat, helyénvaló lehet a szolgáltató könyvvizsgálójának véleményét minősíteni a jelen bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standard 55. bekezdés (d) pontja szerint.
A44. Az IESBA-kódex előírja, hogy a szolgáltató könyvvizsgálója ne legyen kapcsolatban olyan információkkal, amelyeknek esetében a szolgáltató könyvvizsgálója úgy gondolja, hogy az adott információk:
(a) lényegesen hamis vagy megtévesztő állítást tartalmaznak;
(b) meggondolatlanul adott állításokat vagy információt tartalmaznak; vagy
(c) kihagynak vagy elfednek szükséges információkat, amikor az ilyen kihagyás vagy elfedés félrevezető lenne. *
Ha a szolgáltató szervezet által a rendszeréről adott leírást és a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentését tartalmazó dokumentumban foglalt egyéb információk jövőre vonatkozó információkat tartalmaznak, mint például helyreállítási vagy katasztrófatervek, vagy a rendszernek a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentésében azonosított eltéréseket kezelő módosításaira vonatkozó tervek, vagy észszerűen nem alátámasztható promóciós jellegű igények, a szolgáltató könyvvizsgálója kérheti ezeknek az információknak az eltávolítását vagy újramegállapítását.
A45. Ha a szolgáltató szervezet nem hajlandó eltávolítani vagy újramegállapítani az egyéb információkat, helyénvaló további intézkedések lehetnek például:
– A szolgáltató szervezet felkérése jogi tanácsadójával való tanácskozásra a megfelelő intézkedésről.
– A lényeges következetlenségnek vagy tény lényeges hibás bemutatásának ismertetése a bizonyosságot nyújtó jelentésben.
– A bizonyosságot nyújtó jelentés visszatartása a kérdés megoldásáig.
– A megbízástól való visszalépés.
A46. Az 1. témaszámú nemzetközi minőségirányítási standard (vagy szakmai követelmények, vagy jogszabályban vagy szabályozásban lévő követelmények, amelyek legalább olyan magas követelményeket támasztanak, mint az 1. témaszámú nemzetközi minőségirányítási standard) előírja, hogy a társaságok alakítsanak ki olyan minőségcélt, amely a megbízási dokumentációnak a megbízással kapcsolatos jelentés dátumát követően, időben történő összeállításával foglalkozik. * A végleges megbízási dosszié összeállítására megszabott megfelelő határidő rendszerint nem több, mint a szolgáltató könyvvizsgálója jelentésének dátumát követő 60 nap. *
A szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének tartalma (Hiv.: 53. bekezdés)
A47. Az 1. sz. és 2. sz. függelékben találhatók a szolgáltatók könyvvizsgálóinak bizonyosságot nyújtó jelentéseit és a szolgáltató szervezetek kapcsolódó nyilatkozatait szemléltető példák.
A szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének célzott felhasználói és céljai (Hiv.: 53. bekezdés (e) pont)
A48. Egy szolgáltató szervezetnél lévő kontrollokra vonatkozó jelentéstételről szóló megbízáshoz használt kritériumok csak a szolgáltató szervezet rendszerére, beleértve a kontrollokat, vonatkozó információk olyanoknak való nyújtása céljából relevánsak, akik ismerik, hogy az igénybe vevő gazdálkodó egységek hogyan használták az adott rendszert pénzügyi beszámolásra. Ennek megfelelően ez szerepel a szolgáltató könyvvizsgálójának bizonyosságot nyújtó jelentésében. Emellett a szolgáltató könyvvizsgálója helyénvalónak tarthatja olyan szöveg belefoglalását, amely konkrétan korlátozza a bizonyosságot nyújtó jelentés célzott felhasználókon kívüli feleknek való terjesztését, mások általi felhasználását vagy más célokra való felhasználását.
A kontrollok teszteléseinek leírása (Hiv.: 54. bekezdés)
A49. A kontrollok tesztelései jellegének a 2-es típusú jelentés esetében való ismertetése során segítség a szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének olvasói számára, ha a szolgáltató könyvvizsgálója belefoglalja a következőket:
– Minden olyan tesztnek az eredményeit, ahol eltérést azonosítottak, még akkor is, ha azonosítottak egyéb kontrollokat, amelyek lehetővé teszik, hogy a szolgáltató könyvvizsgálója azt a következtetést vonja le, hogy a releváns kontrollcélt elérték, vagy ha a tesztelt kontrollt azt követően kivették a szolgáltató szervezet által a rendszeréről adott leírásból.
– Az azonosított eltérésekre vonatkozó okozó tényezőkről szóló információkat, amennyiben a szolgáltató könyvvizsgálója azonosított ilyen tényezőket.
Minősített vélemények (Hiv.: 55. bekezdés)
A50. A 3. sz. függelék tartalmazza a szolgáltató könyvvizsgálója minősített bizonyosságot nyújtó jelentései elemeinek szemléltető példáit.
A51. Még akkor is, ha a szolgáltató könyvvizsgálója ellenvéleményt bocsátott ki vagy visszautasította a véleménynyilvánítást, helyénvaló lehet a minősítés alapja bekezdésben leírni bármely egyéb olyan kérdés okait, amelyekről a szolgáltató könyvvizsgálójának tudomása van, és amelyek a vélemény minősítését követelték volna meg, valamint ezeknek a hatásait.
A52. Véleménynyilvánítás hatókör-korlátozás miatti visszautasításakor rendszerint nem helyénvaló azonosítani azokat az eljárásokat, amelyeket elvégeztek, sem pedig szerepeltetni a szolgáltató könyvvizsgálója megbízásának jellemzőit ismertető nyilatkozatokat; ezek megtétele esetleg háttérbe szoríthatná a véleménynyilvánítás visszautasítását.
A53. Megfelelő válaszok lehetnek az 56. bekezdésben azonosított körülményekre, kivéve, ha jogszabály vagy szabályozás tiltja:
– Jogi tanács kérése a különböző intézkedések következményeire vonatkozóan.
– Kommunikáció a szolgáltató szervezet irányításával megbízott személyekkel.
– Annak meghatározása, hogy kommunikáljanak-e harmadik felekkel (például jogszabály, szabályozás vagy releváns etikai követelmények előírhatják a szolgáltató könyvvizsgálója számára, hogy jelentést tegyen a gazdálkodó egységen kívüli megfelelő hatóságnak vagy a szolgáltató szervezet külső könyvvizsgálójának, * vagy megállapíthatnak olyan felelősségeket, amelyek értelmében az ilyen jelentéstétel helyénvaló lehet az adott körülmények között).
– A szolgáltató könyvvizsgálója véleményének minősítése, vagy egyéb kérdések bekezdés hozzáadása.
– A megbízástól való visszalépés.
(Hiv.: A47. bekezdés)
Az alábbi példák a szolgáltató szervezet nyilatkozatára csak útmutatásként szolgálnak, és azoknak nem céljuk, hogy teljes körűek vagy minden helyzetre alkalmazhatók legyenek.
1. példa: Szolgáltató szervezet 2-es típusú nyilatkozata
A szolgáltató szervezet által adott nyilatkozat
A kísérő leírás a [típus vagy név] rendszert használó ügyfelek és könyvvizsgálóik részére készült, akiknek kellő ismeretük van ahhoz, hogy figyelembe vegyék a leírást az ügyfelek pénzügyi kimutatásaiban lévő lényeges hibás állítások kockázatainak becslésekor, egyéb információkkal együtt, beleértve maguk az ügyfelek által működtetett kontrollokra vonatkozó információkat. A [gazdálkodó egység neve] megerősíti az alábbiakat:
(a) A [bb–cc]. oldalakon található kísérő leírás valósan mutatja be az ügyfelek ügyleteinek feldolgozására vonatkozó [típus vagy név] rendszert a [dátum]-tól [dátum]-ig tartó időszak folyamán. A jelen nyilatkozat megadásakor használt kritériumok azok voltak, hogy a kísérő leírás:
(i) Bemutatja, hogyan lett kialakítva és bevezetve a rendszer, beleértve:
– a nyújtott szolgáltatások típusait, beleértve az adott esetnek megfelelően a feldolgozott ügyletcsoportokat;
– azokat az eljárásokat mind az informatikai, mind a manuális rendszerekben, amelyekkel ügyleteket hoztak létre, rögzítettek, dolgoztak fel, javítottak szükség szerint és vezettek át az ügyfelek részére készített jelentésekbe;
– a kapcsolódó számviteli nyilvántartásokat, alátámasztó információkat és konkrét számlákat, amelyeket az ügyletek létrehozásához, rögzítéséhez, feldolgozásához és jelentésbe foglalásához alkalmaztak; ez magában foglalja a helytelen információk javítását, valamint azt, hogy az információkat hogyan vezették át az ügyfelek részére készített jelentésekbe;
– azt, hogy a rendszer hogyan foglalkozott az ügyleteken kívüli jelentős eseményekkel és feltételekkel;
– a jelentések ügyfelek részére való készítéséhez használt folyamatot;
– releváns kontrollcélokat és a célok eléréséhez kialakított kontrollokat;
– olyan kontrollokat, amelyekről a rendszer kialakítása során azt feltételeztük, hogy azokat az igénybe vevő gazdálkodó egységek vezetik majd be, és amelyek, amennyiben ez a kísérő leírásban kinyilvánított kontrollcélok eléréséhez szükséges, azonosítva vannak a leírásban azokkal a konkrét kontrollcélokkal együtt, amelyeket mi magunk, egyedül nem tudunk elérni;
– kontrollkörnyezetünk, kockázatbecslési folyamatunk, információs rendszerünk (beleértve a kapcsolódó üzleti folyamatokat) és kommunikációnk, kontrolltevékenységünk és a kontrollok figyelemmel kísérésének az ügyfelek ügyletei feldolgozásának és jelentésbe foglalásának szempontjából releváns egyéb szempontjait.
(ii) Magában foglalja a szolgáltató szervezet rendszerében a [dátum]-tól [dátum]-ig terjedő időszakban bekövetkezett változások releváns részleteit.
(iii) Nem hagy ki vagy torzít a leírt rendszer hatókörének szempontjából releváns információt, elismerve, hogy a leírás ügyfelek és könyvvizsgálóik széles körének közös szükségletei kielégítésének céljából készült, és ezért lehet, hogy nem tartalmazza a rendszer minden olyan szempontját, amelyet minden egyes ügyfél a saját adott környezetében fontosnak tarthat.
(b) A kísérő leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok megfelelően voltak kialakítva és hatékonyan működtek a [dátum]-tól [dátum]-ig tartó időszak folyamán. A jelen nyilatkozat megadása során alkalmazott kritériumok azok voltak, hogy:
(i) azonosításra kerültek azok a kockázatok, amelyek veszélyeztették a leírásban kinyilvánított kontrollcélok elérését;
(ii) az azonosított kontrollok, ha a leírás szerint működnének, kellő bizonyosságot adnának arra vonatkozóan, hogy ezen kockázatok nem akadályozták meg a kinyilvánított kontrollcélok elérését; és
(iii) a kontrollokat következetesen alkalmazták a tervezettnek megfelelően, beleértve, hogy a megfelelő illetékességgel és hatáskörrel rendelkező személyek alkalmaztak manuális kontrollokat a [dátum]-tól [dátum]-ig tartó időszak folyamán.
2. példa: Szolgáltató szervezet 1-es típusú nyilatkozata
A kísérő leírás a [típus vagy név] rendszert használó ügyfelek és könyvvizsgálóik részére készült, akiknek kellő ismeretük van ahhoz, hogy figyelembe vegyék a leírást az ügyfelek pénzügyi beszámolás szempontjából releváns információs rendszereinek megismerésekor, egyéb információkkal együtt, beleértve maguk az ügyfelek által működtetett kontrollokra vonatkozó információkat. A [gazdálkodó egység neve] megerősíti az alábbiakat:
(a) A [bb–cc]. oldalakon található kísérő leírás valósan mutatja be az ügyfelek ügyleteinek feldolgozására vonatkozó [típus vagy név] rendszert a [dátum]-i állapot szerint. A jelen nyilatkozat megadásakor használt kritériumok azok voltak, hogy a kísérő leírás:
(i) Bemutatja, hogyan lett kialakítva és bevezetve a rendszer, beleértve:
– a nyújtott szolgáltatások típusait, beleértve az adott esetnek megfelelően a feldolgozott ügyletcsoportokat;
– azokat az eljárásokat mind az informatikai, mind a manuális rendszerekben, amelyekkel ügyleteket hoztak létre, rögzítettek, dolgoztak fel, javítottak szükség szerint és vezettek át az ügyfelek részére készített jelentésekbe;
– a kapcsolódó számviteli nyilvántartásokat, alátámasztó információkat és konkrét számlákat, amelyeket az ügyletek létrehozásához, rögzítéséhez, feldolgozásához és jelentésbe foglalásához alkalmaztak; ez magában foglalja a helytelen információk javítását, valamint azt, hogy az információkat hogyan vezetik át az ügyfelek részére készített jelentésekbe;
– azt, hogy a rendszer hogyan foglalkozott az ügyleteken kívüli jelentős eseményekkel és feltételekkel;
– a jelentések ügyfelek részére való készítéséhez használt folyamatot;
– releváns kontrollcélokat és a célok eléréséhez kialakított kontrollokat;
– olyan kontrollokat, amelyekről a rendszer kialakítása során azt feltételeztük, hogy azokat az igénybe vevő gazdálkodó egységek vezetik majd be, és amelyek, amennyiben ez a kísérő leírásban kinyilvánított kontrollcélok eléréséhez szükséges, azonosítva vannak a leírásban azokkal a konkrét kontrollcélokkal együtt, amelyeket mi magunk, egyedül nem tudunk elérni;
– kontrollkörnyezetünk, kockázatbecslési folyamatunk, információs rendszerünk (beleértve a kapcsolódó üzleti folyamatokat) és kommunikációnk, kontrolltevékenységünk és a kontrollok figyelemmel kísérésének az ügyfelek ügyletei feldolgozásának és jelentésbe foglalásának szempontjából releváns egyéb szempontjait.
(ii) Nem hagy ki vagy torzít a leírt rendszer hatókörének szempontjából releváns információt, elismerve, hogy a leírás ügyfelek és könyvvizsgálóik széles körének közös szükségletei kielégítésének céljából készült, és ezért lehet, hogy nem tartalmazza a rendszer minden olyan szempontját, amelyet minden egyes ügyfél a saját adott környezetében fontosnak tarthat.
(b) A kísérő leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok megfelelően voltak kialakítva a [dátum]-i állapot szerint. A jelen nyilatkozat megadása során alkalmazott kritériumok azok voltak, hogy:
(i) azonosításra kerültek azok a kockázatok, amelyek veszélyeztették a leírásban kinyilvánított kontrollcélok elérését; és
(ii) az azonosított kontrollok, ha a leírás szerint működnének, kellő bizonyosságot adnának arra vonatkozóan, hogy ezen kockázatok nem akadályozták meg a kinyilvánított kontrollcélok elérését.
(Hiv.: A47. bekezdés)
Az alábbi szemléltető jelentések csak útmutatásként szolgálnak, és azoknak nem céljuk, hogy teljes körűek vagy minden helyzetre alkalmazhatók legyenek.
1. sz. szemléltető példa: Szolgáltató könyvvizsgálójának 2-es típusú bizonyosságot nyújtó jelentése
Szolgáltató független könyvvizsgálójának bizonyosságot nyújtó jelentése a kontrollok leírásáról, kialakításáról és működési hatékonyságáról
XYZ szolgáltató szervezet részére
Hatókör
Megbíztak bennünket azzal, hogy jelentést tegyünk XYZ szolgáltató szervezetnek az ügyfelek ügyleteinek a [dátum]-tól [dátum]-ig tartó időszak folyamán történő feldolgozására szolgáló [típus vagy név] rendszeréről adott, a [bb-cc]. oldalakon található leírásáról (a leírás), valamint a leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok kialakításáról és működéséről. *
Az XYZ szolgáltató szervezet felelősségei
Az XYZ szolgáltató szervezet felelős a leírás és az [aa]. oldalon található kísérő nyilatkozat elkészítéséért, beleértve a leírás és a nyilatkozat teljességét, pontosságát és bemutatásának módját; a leírás által lefedett szolgáltatások nyújtásáért; a kontrollcélok meghatározásáért; valamint kontrollok kialakításáért, bevezetéséért és hatékony működtetéséért a kinyilvánított kontrollcélok elérése céljából.
Függetlenségünk és minőségirányításunk
Megfeleltünk a Könyvvizsgálók Nemzetközi Etikai Standardok Testület Nemzetközi etikai kódex kamarai tag könyvvizsgálóknak (a nemzetközi függetlenségi standardokkal egybefoglalva) című kiadványa (IESBA-kódex) függetlenségi és egyéb etikai követelményeinek, amely kódex alapelvei a tisztesség, objektivitás, szakmai hozzáértés és megfelelő gondosság, titoktartás és hivatáshoz méltó magatartás.
A társaság alkalmazza az 1. témaszámú nemzetközi minőségirányítási standardot * , amely előírja a társaság számára egy minőségirányítási rendszer kialakítását, bevezetését és működtetését, beleértve az etikai követelményeknek, szakmai standardoknak és a vonatkozó jogi és szabályozási követelményeknek való megfelelésre vonatkozó politikákat vagy eljárásokat.
A szolgáltató könyvvizsgálójának felelősségei
A mi felelősségünk az XYZ szolgáltató szervezet leírásának, valamint a leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok kialakításának és működésének véleményezése eljárásaink alapján. Megbízásunkat a Nemzetközi Könyvvizsgálati és Bizonyosságot Nyújtó Szolgáltatási Standardok Testület által kiadott 3402. témaszámú, „Szolgáltató szervezetnél működő kontrollokra vonatkozó bizonyosságot nyújtó jelentések” című bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standarddal összhangban végeztük. Ez a standard megköveteli, hogy eljárásainkat úgy tervezzük meg és hajtsuk végre, hogy kellő bizonyosságot szerezzünk arról, hogy minden lényeges szempontból a leírás valósan van-e bemutatva, és a kontrollok megfelelően vannak-e kialakítva és hatékonyan működnek-e.
Egy szolgáltató szervezetnél lévő kontrollok leírására, kialakítására és működési hatékonyságára vonatkozó jelentéstételre szóló bizonyosságot nyújtó szolgáltatásokra szóló megbízás magában foglalja olyan eljárások végrehajtását, amelyek célja bizonyítékot szerezni a szolgáltató szervezet által a rendszeréről adott leírásban szereplő közzétételekről, valamint a kontrollok kialakításáról és működési hatékonyságáról. A kiválasztott eljárások, beleértve azoknak a kockázatoknak a becslését, hogy a leírás nincs valósan bemutatva, valamint, hogy a kontrollok nincsenek megfelelően kialakítva vagy nem működnek hatékonyan, a szolgáltató könyvvizsgálójának megítélésétől függ. Eljárásaink magukban foglalták azoknak a kontrolloknak a tesztelését, amelyeket szükségesnek tartunk kellő bizonyosság nyújtásához arról, hogy a leírásban kinyilvánított kontrollcélokat elérték. Az ilyen típusú bizonyosságot nyújtó szolgáltatásokra szóló megbízás magában foglalja továbbá a leírás átfogó bemutatásának, az abban kinyilvánított célok megfelelőségének, valamint a szolgáltató szervezet által meghatározott és az [aa]. oldalon ismertetett kritériumok megfelelőségének értékelését.
Meggyőződésünk, hogy az általunk megszerzett bizonyíték elegendő és megfelelő ahhoz, hogy megalapozza véleményünket.
Egy szolgáltató szervezetnél lévő kontrollok korlátai
XYZ szolgáltató szervezet leírása ügyfelek és könyvvizsgálóik széles körének közös szükségletei kielégítésének céljából készült, és ezért lehet, hogy nem tartalmazza a rendszer minden olyan szempontját, amelyet minden egyes ügyfél a saját adott környezetében fontosnak tarthat. Emellett jellegük miatt egy szolgáltató szervezetnél lévő kontrollok lehet, hogy nem előznek meg vagy tárnak fel ügyletek feldolgozása vagy jelentésbe foglalása során felmerülő minden hibát vagy kihagyást. Továbbá, a hatékonyság bármilyen értékelésének jövőbeli időszakokra való kivetítése ki van téve annak a kockázatnak, hogy egy szolgáltató szervezetnél lévő kontrollok nem megfelelővé válhatnak vagy elromolhatnak.
Vélemény
Véleményünk a jelen jelentésben vázolt kérdések alapján lett kialakítva. A véleményünk kialakítása során általunk alkalmazott kritériumok az [aa]. oldalon leírt kritériumok. Véleményünk szerint minden lényeges szempontból:
(a) a leírás valósan mutatja be a [típus vagy név] rendszert úgy, ahogy az ki volt alakítva és be volt vezetve a [dátum]-tól [dátum]-ig tartó időszak folyamán;
(b) a leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok megfelelően voltak kialakítva a [dátum]-tól [dátum]-ig tartó időszak folyamán; és
(c) a tesztelt kontrollok, amelyek azok voltak, amelyek szükségesek kellő bizonyosság nyújtásához arról, hogy a leírásban kinyilvánított kontrollcélokat elérték, hatékonyan működtek a [dátum]-tól [dátum]-ig tartó időszak folyamán.
A kontrollok teszteléseinek ismertetése
A konkrét tesztelt kontrolloknak, valamint a tesztelések jellegének, ütemezésének és eredményeinek a felsorolása az [yy-zz]. oldalakon található.
Célzott felhasználók és cél
A jelen jelentés és a kontrollok teszteléseinek [yy-zz]. oldalakon lévő ismertetése kizárólag az XYZ szolgáltató szervezet [típus vagy név] rendszerét használó ügyfelek és könyvvizsgálóik részére készült, akiknek kellő ismeretük van ahhoz, hogy figyelembe vegyék azt az ügyfelek pénzügyi kimutatásaiban lévő lényeges hibás állítások kockázatainak becslésekor, egyéb információkkal együtt, beleértve maguk az ügyfelek által működtetett kontrollokra vonatkozó információkat.
[A szolgáltató könyvvizsgálójának aláírása]
[A szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének dátuma]
[A szolgáltató könyvvizsgálójának címe]
2. sz. szemléltető példa: Szolgáltató könyvvizsgálójának 1-es típusú bizonyosságot nyújtó jelentése
Szolgáltató független könyvvizsgálójának bizonyosságot nyújtó jelentése a kontrollok leírásáról és kialakításáról
XYZ szolgáltató szervezet részére
Hatókör
Megbíztak bennünket azzal, hogy jelentést tegyünk XYZ szolgáltató szervezetnek az ügyfelek ügyleteinek feldolgozására szolgáló [típus vagy név] rendszeréről adott, [bb-cc]. oldalakon található, [dátum]-i állapot szerinti leírásáról (a leírás), valamint a leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok kialakításáról. *
Nem hajtottunk végre semmilyen eljárást a leírásban foglalt kontrollok működési hatékonyságára vonatkozóan, és ennek megfelelően nem nyilvánítunk véleményt arra vonatkozóan.
Az XYZ szolgáltató szervezet felelősségei
Az XYZ szolgáltató szervezet felelős a leírás és az [aa]. oldalon található kísérő nyilatkozat elkészítéséért, beleértve a leírás és a nyilatkozat teljességét, pontosságát és bemutatásának módját; a leírás által lefedett szolgáltatások nyújtásáért; a kontrollcélok meghatározásáért; valamint kontrollok kialakításáért, bevezetéséért és hatékony működtetéséért a kinyilvánított kontrollcélok elérése céljából.
Függetlenségünk és minőségirányításunk
Megfeleltünk a Könyvvizsgálók Nemzetközi Etikai Standardok Testület Nemzetközi etikai kódex kamarai tag könyvvizsgálóknak (a nemzetközi függetlenségi standardokkal egybefoglalva) című kiadványa (IESBA-kódex) függetlenségi és egyéb etikai követelményeinek, amely kódex alapelvei a tisztesség, objektivitás, szakmai hozzáértés és megfelelő gondosság, titoktartás és hivatáshoz méltó magatartás.
A társaság alkalmazza az 1. témaszámú nemzetközi minőségirányítási standardot * , amely előírja a társaság számára egy minőségirányítási rendszer kialakítását, bevezetését és működtetését, beleértve az etikai követelményeknek, szakmai standardoknak és a vonatkozó jogi és szabályozási követelményeknek való megfelelésre vonatkozó politikákat vagy eljárásokat.
A szolgáltató könyvvizsgálójának felelősségei
A mi felelősségünk az XYZ szolgáltató szervezet leírásának, valamint a leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok kialakításának véleményezése eljárásaink alapján. Megbízásunkat a Nemzetközi Könyvvizsgálati és Bizonyosságot Nyújtó Szolgáltatási Standardok Testület által kiadott 3402. témaszámú, „Szolgáltató szervezetnél működő kontrollokra vonatkozó bizonyosságot nyújtó jelentések” című bizonyosságot nyújtó szolgáltatásokra szóló megbízásokra vonatkozó nemzetközi standarddal összhangban végeztük. Ez a standard megköveteli, hogy eljárásainkat úgy tervezzük meg és hajtsuk végre, hogy kellő bizonyosságot szerezzünk arról, hogy minden lényeges szempontból a leírás valósan van-e bemutatva, és a kontrollok minden lényeges szempontból megfelelően vannak-e kialakítva.
Egy szolgáltató szervezetnél lévő kontrollok leírására és kialakítására vonatkozó jelentéstételre szóló bizonyosságot nyújtó szolgáltatásokra szóló megbízás magában foglalja olyan eljárások végrehajtását, amelyek célja bizonyítékot szerezni a szolgáltató szervezet által a rendszeréről adott leírásban szereplő közzétételekről, valamint a kontrollok kialakításáról. A kiválasztott eljárások, beleértve annak felmérését, hogy a leírás nincs valósan bemutatva, valamint, hogy a kontrollok nincsenek megfelelően kialakítva, a szolgáltató könyvvizsgálójának megítélésétől függ. Az ilyen típusú bizonyosságot nyújtó szolgáltatásokra szóló megbízás magában foglalja továbbá a leírás átfogó bemutatásának, az abban kinyilvánított kontrollcélok megfelelőségének, valamint a szolgáltató szervezet által meghatározott és az [aa]. oldalon ismertetett kritériumok megfelelőségének értékelését.
Amint fentebb említettük, nem hajtottunk végre semmilyen eljárást s leírásban foglalt kontrollok működési hatékonyságára vonatkozóan, és ennek megfelelően nem nyilvánítunk véleményt arra vonatkozóan.
Meggyőződésünk, hogy az általunk megszerzett bizonyíték elegendő és megfelelő ahhoz, hogy megalapozza véleményünket.
Egy szolgáltató szervezetnél lévő kontrollok korlátai
XYZ szolgáltató szervezet leírása ügyfelek és könyvvizsgálóik széles körének közös szükségletei kielégítésének céljából készült, és ezért lehet, hogy nem tartalmazza a rendszer minden olyan szempontját, amelyet minden egyes ügyfél a saját adott környezetében fontosnak tarthat. Emellett jellegük miatt egy szolgáltató szervezetnél lévő kontrollok lehet, hogy nem előznek meg vagy tárnak fel ügyletek feldolgozása vagy jelentésbe foglalása során felmerülő minden hibát vagy kihagyást.
Vélemény
Véleményünk a jelen jelentésben vázolt kérdések alapján lett kialakítva. A véleményünk kialakítása során általunk alkalmazott kritériumok az [aa]. oldalon leírt kritériumok. Véleményünk szerint minden lényeges szempontból:
(a) a leírás valósan mutatja be a [típus vagy név] rendszert úgy, ahogy az ki van alakítva és be van vezetve a [dátum]-i állapot szerint; és
(b) a leírásban kinyilvánított kontrollcélokhoz kapcsolódó kontrollok megfelelően voltak kialakítva a [dátum]-i állapot szerint.
Célzott felhasználók és cél
A jelen jelentés kizárólag az XYZ szolgáltató szervezet [típus vagy név] rendszerét használó ügyfelek és könyvvizsgálóik részére készült, akiknek kellő ismeretük van ahhoz, hogy figyelembe vegyék azt az ügyfelek pénzügyi beszámolás szempontjából releváns információs rendszereinek megismerésekor, egyéb információkkal együtt, beleértve maguk az ügyfelek által működtetett kontrollokra vonatkozó információkat.
[A szolgáltató könyvvizsgálójának aláírása]
[A szolgáltató könyvvizsgálója bizonyosságot nyújtó jelentésének dátuma]
[A szolgáltató könyvvizsgálójának címe]
(Hiv.: A50. bekezdés)
Az alábbi szemléltető minősített jelentések csak útmutatásként szolgálnak, és azoknak nem céljuk, hogy teljes körűek vagy minden helyzetre alkalmazhatók legyenek. Ezek a 2. sz. függelékben lévő szemléltető jelentéseken alapulnak.
1. sz. szemléltető példa: Korlátozott vélemény – a szolgáltató szervezet leírása a rendszerről nincs valósan bemutatva minden lényeges szempontból
...
A szolgáltató könyvvizsgálójának felelősségei
...
Meggyőződésünk, hogy az általunk megszerzett bizonyíték elegendő és megfelelő ahhoz, hogy megalapozza korlátozott véleményünket.
Korlátozott vélemény alapja
A kísérő leírásban az szerepel az [mn]. oldalon, hogy XYZ szolgáltató szervezet operátorazonosítókat és jelszavakat használ a rendszerhez való jogosulatlan hozzáférés megakadályozása céljából. Eljárásaink alapján, amelyek munkatársakkal készített interjúkat és tevékenységek megfigyelését foglalták magukban, azt állapítottuk meg, hogy operátorazonosítókat és jelszavakat alkalmaznak az A) és B) alkalmazásokban, de a C) és D) alkalmazásokban nem.
Korlátozott vélemény
Véleményünk a jelen jelentésben vázolt kérdések alapján lett kialakítva. A véleményünk kialakítása során általunk alkalmazott kritériumok az XYZ szolgáltató szervezet nyilatkozatában az [aa]. oldalon leírt kritériumok. Véleményünk szerint a „Korlátozott vélemény alapja” bekezdésben leírt kérdést kivéve:
(a) ...
2. sz. szemléltető példa: Korlátozott vélemény – a kontrollok nincsenek megfelelően kialakítva kellő bizonyosság nyújtásához arról, hogy a szolgáltató szervezet által a rendszeréről adott leírásában kinyilvánított kontrollcélokat el fogják érni, ha a kontrollok hatékonyan működnek
...
A szolgáltató könyvvizsgálójának felelősségei
...
Meggyőződésünk, hogy az általunk megszerzett bizonyíték elegendő és megfelelő ahhoz, hogy megalapozza korlátozott véleményünket.
Korlátozott vélemény alapja
Amint az a kísérő leírás [mn]. oldalán szerepel, a szolgáltató szervezet időről időre megváltoztatja az alkalmazási programokat hiányosságok kijavítása vagy kapacitások növelése érdekében. A változtatások szükségességének meghatározása, a változtatások kialakítása és bevezetése során követett eljárások nem foglalnak magukban a változtatásokat végző személyektől független, felhatalmazott személyek általi ellenőrzést és jóváhagyást. Szintén nincsenek meghatározott követelmények az ilyen változtatások tesztelésére vagy teszteredmények nyújtására egy felhatalmazott ellenőrnek a változtatások bevezetése előtt.
Korlátozott vélemény
Véleményünk a jelen jelentésben vázolt kérdések alapján lett kialakítva. A véleményünk kialakítása során általunk alkalmazott kritériumok az XYZ szolgáltató szervezet nyilatkozatában az [aa]. oldalon leírt kritériumok. Véleményünk szerint a „Korlátozott vélemény alapja” bekezdésben leírt kérdést kivéve:
(a) ...
3. sz. szemléltető példa: Korlátozott vélemény – a kontrollok nem működtek hatékonyan a meghatározott időszak folyamán (csak 2-es típusú jelentés)
...
A szolgáltató könyvvizsgálójának felelősségei
...
Meggyőződésünk, hogy az általunk megszerzett bizonyíték elegendő és megfelelő ahhoz, hogy megalapozza korlátozott véleményünket.
Korlátozott vélemény alapja
Az XYZ szolgáltató szervezet azt írja leírásában, hogy automatizált kontrolljai vannak a kapott kölcsönfizetések előállított outputtal való egyeztetéséhez. Ugyanakkor, ahogyan az a leírás [mn]. oldalán szerepel, programozási hiba miatt ez a kontroll nem működött hatékonyan az éééé/hh/nn-től éééé/hh/nn-ig tartó időszak alatt. Ez azt eredményezte, hogy „A kontrollok kellő bizonyosságot nyújtanak arra vonatkozóan, hogy a kapott kölcsönfizetések megfelelően rögzítésre kerülnek” kontrollcél nem teljesült az éééé/hh/nn-től éééé/hh/nn-ig tartó időszak alatt. [Dátum]-án az XYZ bevezetett egy változtatást a számítást végző programban, és tesztjeink azt jelzik, hogy az hatékonyan működött az éééé/hh/nn-től éééé/hh/nn-ig tartó időszak alatt.
Korlátozott vélemény
Véleményünk a jelen jelentésben vázolt kérdések alapján lett kialakítva. A véleményünk kialakítása során általunk alkalmazott kritériumok az XYZ szolgáltató szervezet nyilatkozatában az [aa]. oldalon leírt kritériumok. Véleményünk szerint a „Korlátozott vélemény alapja” bekezdésben leírt kérdést kivéve:
...
4. sz. szemléltető példa: Korlátozott vélemény – a szolgáltató könyvvizsgálója nem tud elegendő és megfelelő bizonyítékot szerezni
...
A szolgáltató könyvvizsgálójának felelősségei
...
Meggyőződésünk, hogy az általunk megszerzett bizonyíték elegendő és megfelelő ahhoz, hogy megalapozza korlátozott véleményünket.
Korlátozott vélemény alapja
Az XYZ szolgáltató szervezet azt írja leírásában, hogy automatizált kontrolljai vannak a kapott kölcsönfizetések előállított outputtal való egyeztetéséhez. Az egyeztetés végrehajtásának elektronikus nyilvántartásait azonban egy számítógépes feldolgozási hiba miatt törölték az éééé/hh/nn-től éééé/hh/nn-ig tartó időszakra vonatkozóan, és ezért nem tudtuk tesztelni ennek a kontrollnak a működését erre az időszakra vonatkozóan. Következésképpen nem tudtuk megállapítani, hogy „A kontrollok kellő bizonyosságot nyújtanak arra vonatkozóan, hogy a kapott kölcsönfizetések megfelelően rögzítésre kerülnek” kontrollcél hatékonyan működött-e az éééé/hh/nn-től éééé/hh/nn-ig tartó időszak alatt.
Korlátozott vélemény
Véleményünk a jelen jelentésben vázolt kérdések alapján lett kialakítva. A véleményünk kialakítása során általunk alkalmazott kritériumok az XYZ szolgáltató szervezet nyilatkozatában az [aa]. oldalon leírt kritériumok. Véleményünk szerint a „Korlátozott vélemény alapja” bekezdésben leírt kérdést kivéve:
(a) ...