15. В ответ на оцененные риски в соответствии с МСА 330 аудитор организации-пользователя должен:
(a) определить, можно ли из данных, которые хранит организация-пользователь, получить достаточные надлежащие аудиторские доказательства в отношении соответствующих предпосылок финансовой отчетности, и, если нет,
(b) провести дополнительные аудиторские процедуры с целью получения достаточных надлежащих аудиторских доказательств или привлечь другого аудитора для проведения таких процедур в обслуживающей организации от лица аудитора организации-пользователя (см. пункты А24-А28).
Тесты средств контроля
16. Если оценка рисков аудитором организации-пользователя включает ожидание того, что средства контроля в обслуживающей организации работают эффективно, аудитор организации-пользователя должен собрать аудиторские доказательства операционной эффективности этих средств контроля посредством одной или нескольких следующих процедур:
(a) получение отчета 2-го типа, в случае его наличия;
(b) проведение соответствующих тестов средств контроля в обслуживающей организации;
(c) привлечение другого аудитора для проведения тестов средств контроля в обслуживающей организации от лица аудитора организации-пользователя (см. пункты А29-А30).
Использование отчета 2-го типа в качестве аудиторских доказательств операционной эффективности средств контроля в обслуживающей организации
17. Если в соответствии с пунктом 16(a) аудитор организации-пользователя планирует использовать в качестве аудиторских доказательств операционной эффективности средств контроля обслуживающей организации отчет 2-го типа, аудитор организации-пользователя должен определить, содержатся ли в отчете аудитора обслуживающей организации достаточные надлежащие аудиторские доказательства эффективности средств контроля, подтверждающие оценку рисков аудитором организации-пользователя, что достигается путем:
(a) оценки того, подходящая ли дата или период используется при описании, в структуре и при определении операционной эффективности средств контроля обслуживающей организации для целей аудитора организации-пользователя;
(b) установления того, являются ли дополнительные средства контроля организации-пользователя, определенные обслуживающей организацией, применимыми организациями-пользователями, и, если это так, получения понимания того, разработаны и реализованы ли такие средства контроля в организации-пользователе, и, если такое понимание получено, тестирования их операционной эффективности;
(c) оценки достаточности периода, охватываемого тестами средств контроля, и времени, прошедшего после проведения этих тестов средств контроля;
(d) оценки того, соответствуют ли тесты средств контроля, проведенные аудитором обслуживающей организации, и их результаты, описанные в отчете аудитора обслуживающей организации, предпосылкам в отношении финансовой отчетности организации-пользователя и дают ли они достаточные надлежащие аудиторские доказательства для подтверждения оценки рисков аудитором организации-пользователя (см. пункты А31-А39).