کلیات
دامنه کاربرد
۱. در این استاندارد، مسئولیت حسابرس برای تشخیص و ارزیابی خطرهای تحریف بااهمیت در صورتهای مالی، از طریق شناخت واحد تجاری و محیط آن، شامل کنترلهای داخلی مطرح میشود.
تاریخ اجرا
۲. این استاندارد برای حسابرسی صورتهای مالی که دوره مالی آنها از اول فروردین ۱۳۹۴ و پس از آن شروع میشود، لازمالاجراست.
هدف
۳. هدف حسابرس، تشخیص و ارزیابی خطرهای تحریف بااهمیت ناشی از تقلب یا اشتباه در سطح صورتهای مالی و سطح ادعاها، از طریق شناخت واحد تجاری و محیط آن، شامل کنترلهای داخلی، است که به موجب آن مبنایی برای طراحی و اجرای نحوه برخورد با خطرهای تحریف بااهمیت ارزیابی شده فراهم میآید.
تعاریف
۴. در استانداردهای حسابرسی، اصطلاحات زیر با معانی مشخص شده برای آنها بکار رفته است:
الف ـ ادعاها ـ اظهاراتی که به شکل صریح یا بهگونهای دیگر در قالب صورتهای مالی ارائه میشود و حسابرس از آن برای بررسی انواع مختلف تحریفهای بالقوه که ممکن است رخ دهد، استفاده میکند.
ب ـ خطر تجاریـ خطر ناشی از شرایط، رویدادها، موقعیتها، اقدامات یا ترک فعلهای عمده که میتواند بر توانایی واحد تجاری جهت دستیابی به اهداف و اجرای راهبردهایش اثر منفی داشته باشد، یا خطر ناشی از تعیین اهداف و راهبردهای نامناسب.
پ ـ خطر عمدهـ خطر تحریف بااهمیت مشخص شده و ارزیابی شده که به نظر حسابرس نیاز به توجه ویژهای دارد.
ت ـ روشهای ارزیابی خطرـ روشهای حسابرسی اجرا شده برای کسب شناخت از واحد تجاری و محیط آن، شامل کنترلهای داخلی، به منظور تشخیص و ارزیابی خطرهای تحریف بااهمیت ناشی از تقلب یا اشتباه در سطح صورتهای مالی و در سطح ادعاها.
ث ـ کنترلهای داخلیـ فرایندی است که توسط ارکان راهبری، مدیران اجرایی و سایر کارکنان به منظور ایجاد اطمینان معقول از دستیابی به اهداف واحد تجاری درخصوص قابل اتکا بودن گزارشگری مالی، کارایی و اثربخشی عملیات، و رعایت قوانین و مقررات مربوط، طراحی، اعمال و حفظ شده است. اصطلاح ”کنترلها“ به هر یک از ابعاد یک یا چند جزء از اجزای کنترلهای داخلی اطلاق میشود.
الزامات
روشهای ارزیابی خطر و فعالیتهای مرتبط
۵ . حسابرس باید روشهای ارزیابی خطر را به منظور فراهم کردن مبنایی برای تشخیص و ارزیابی خطرهای تحریف بااهمیت در سطح صورتهای مالی و در سطح ادعاها اجرا کند. با این وجود، روشهای ارزیابی خطر به تنهایی فراهمکننده شواهد حسابرسی کافی و مناسب برای اظهارنظر حسابرس نیست. (رک: بندهای تـ۱ تا تـ۵)
۶. روشهای ارزیابی خطر باید شامل موارد زیر باشد:
الف ـ پرس و جو از مدیران اجرایی، اشخاص ذیصلاح در واحد حسابرسی داخلی (در صورت وجود)، سایر کارکنان واحد تجاری و دیگر افراد دارای سطوح اختیار متفاوت که از نظر حسابرس ممکن است دارای اطلاعاتی باشند که به تشخیص خطرهای تحریف بااهمیت ناشی از اشتباه یا تقلب کمک کند. (رک: بندهای تـ۶ تا تـ۱۳)
ب ـ روشهای تحلیلی. (رک: بندهای تـ۱۴ تا تـ۱۷)
پ ـ مشاهده و وارسی. (رک: بند تـ۱۸)
۷ . حسابرس باید مربوط بودن اطلاعات کسب شده در فرایند پذیرش کار یا ادامه همکاری با صاحبکار را جهت تشخیص خطرهای تحریف بااهمیت مورد توجه قرار دهد.
۸ . در مواردی که مدیر مسئول کار، خدمات دیگری نیز به واحد تجاری ارائه میکند، وی باید مربوط بودن اطلاعات کسب شده از ارائه سایر خدمات به واحد تجاری را به منظور تشخیص خطرهای تحریف بااهمیت مورد توجه قرار دهد.
۹ . در مواردی که حسابرس قصد دارد از اطلاعات کسب شده و روشهای اجرا شده در حسابرسیهای قبلی واحد تجاری استفاده کند باید این موضوع را مشخص کند که آیا از زمان حسابرسی قبلی تاکنون، تغییراتی رخ داده است که مربوط بودن این اطلاعات را در حسابرسی جاری تحت تأثیر قرار دهد یا خیر. (رک: بندهای تـ۱۹ و تـ۲۰)
۱۰. مدیر مسئول کار و سایر اعضای اصلی تیم حسابرسی باید درباره احتمال آسیبپذیری صورتهای مالی واحد تجاری در اثر تحریفهای بااهمیت و بکارگیری چارچوب گزارشگری مالی مربوط با توجه به شرایط و واقعیتهای واحد تجاری مذاکره کنند. مدیر مسئول کار باید تعیین کند چه موضوعی باید به اعضای تیم حسابرسی که در مذاکره حضور نداشتهاند اطلاع داده شود. (رک: بندهای تـ۲۱ تا تـ۲۳)
شناخت واحد تجاری و محیط آن، شامل کنترلهای داخلی
واحد تجاری و محیط آن
۱۱. حسابرس باید از موارد زیر شناخت کسب کند:
الف ـ صنعت، قوانین و مقررات و سایر عوامل برونسازمانی شامل چارچوب گزارشگری مالی مربوط. (رک: بندهای تـ۲۴ تا تـ۲۹)
ب ـ ماهیت واحد تجاری شامل:
- عملیات آن،
- ساختارهای مالکیت و راهبری آن،
- انواع سرمایهگذاریهای انجام شده و برنامههای آتی برای سرمایهگذاری، شامل سرمایهگذاری در واحدهای تجاری با مقاصد خاص، و
- ساختار و چگونگی تأمین مالی واحد تجاری،
که حسابرس را قادر می سازد تا از گروههای معاملات، مانده حسابها و موارد افشای مورد انتظار در صورتهای مالی شناخت کسب کند. (رک: بندهای تـ۳۰ تا تـ۳۴)
پ ـ انتخاب و بکارگیری رویههای حسابداری و دلایل تغییر آنها توسط واحد تجاری. حسابرس باید مناسب بودن رویههای حسابداری واحد تجاری را با توجه به فعالیت آن و همچنین انطباق آنها را با چارچوب گزارشگری مالی مربوط و رویههای حسابداری مورد استفاده در صنعت مربوط ارزیابی کند. (رک: بند تـ۳۵)
ت ـ اهداف و راهبردهای واحد تجاری و آن دسته از خطرهای تجاری مرتبط که ممکن است موجب ایجاد تحریفهای بااهمیت شود. (رک: بندهای تـ۳۶ تا تـ۴۲)
ث ـ اندازهگیری و بررسی عملکرد مالی واحد تجاری. (رک: بندهای تـ۴۳ تا تـ۴۸)
کنترلهای داخلی واحد تجاری
۱۲. حسابرس باید از کنترلهای داخلی مرتبط با حسابرسی شناخت کسب کند. اگرچه بیشتر کنترلهای مرتبط با حسابرسی احتمالاً به گزارشگری مالی مربوط میشوند، اما همه کنترلهای مرتبط با گزارشگری مالی به حسابرسی مربوط نیستند. اینکه یک کنترل، به تنهایی یا همراه با سایر کنترلها، به حسابرسی مربوط است یا خیر، به قضاوت حرفهای حسابرس بستگی دارد. (رک: بندهای تـ۴۹ تا تـ۷۲)
ماهیت و میزان شناخت کنترلهای مربوط
۱۳. حسابرس هنگام کسب شناخت از کنترلهای مرتبط با حسابرسی باید با اجرای روشهایی علاوه بر پرس و جو از کارکنان واحد تجاری، طراحی آن کنترلها را ارزیابی کند و مشخص کند که آیا کنترلها اعمال شدهاند یا خیر. (رک: بندهای تـ۷۳ تا تـ۷۵)
اجزای کنترلهای داخلی
محیط کنترلی
۱۴. حسابرس باید از محیط کنترلی واحد تجاری شناخت کسب کند. به عنوان بخشی از این شناخت، حسابرس باید ارزیابی کند که آیا:
الف ـ مدیران اجرایی با نظارت ارکان راهبری، فرهنگ درستکاری و رفتار اخلاقی را ترویج و حفظ میکنند، و
ب ـ نقاط قوت عناصر محیط کنترلی در مجموع، بستر مناسبی را برای سایر اجزای کنترلهای داخلی فراهم میکند و اینکه آیا سایر اجزای کنترلهای داخلی در اثر نارساییهای محیط کنترلی، آسیب میبینند یا خیر. (رک: بندهای تـ۷۶ تا تـ۸۶)
فرایند ارزیابی خطر توسط واحد تجاری
۱۵. حسابرس باید از وجود یا نبود فرایندهای لازم برای موارد زیر در واحد تجاری شناخت کسب کند:
الف ـ تشخیص خطرهای تجاری مربوط به اهداف گزارشگری مالی،
ب ـ براورد اهمیت این خطرها،
پ ـ ارزیابی احتمال وقوع آنها، و
ت ـ تصمیمگیری درباره اقداماتی که برای مواجهه با آن خطرها اتخاذ میشود. (رک: بند تـ۸۷)
۱۶. در صورت وجود چنین فرایندی (که از این پس به عنوان ”فرایند ارزیابی خطر واحد تجاری“ نامیده میشود)، حسابرس باید شناخت مناسبی از آن فرایند و نتایج آن کسب کند. هنگامی که حسابرس خطرهای تحریف بااهمیتی را تشخیص دهد که مدیران اجرایی نتوانستهاند آنها را تشخیص دهند، باید بررسی کند که آیا نوعی خطر تجاری مرتبط وجود داشته که انتظار میرفت باید توسط فرایند ارزیابی خطر واحد تجاری مشخص میشد یا خیر. اگر چنین خطری وجود داشته باشد، حسابرس باید علت مشخص نشدن آن توسط فرایند مذکور و مناسب بودن آن فرایند برای شرایط موجود را، بررسی کند یا با توجه به فرایند ارزیابی خطر واحد تجاری، وجود یک نقطه ضعف بااهمیت در کنترلهای داخلی را مشخص کند.
۱۷. اگر واحد تجاری چنین فرایندی برای ارزیابی خطر نداشته باشد یا این فرایند به صورت موقتی و موردی باشد، حسابرس باید در مورد نحوه تشخیص خطرهای تجاری مرتبط با اهداف گزارشگری مالی و نحوه برخورد با آنها، با مدیران اجرایی مذاکره کند. حسابرس باید ارزیابی کند که آیا نبود یک فرایند مدون ارزیابی خطر در شرایط موجود مناسب است یا خیر و اینکه آیا نبود این فرایند بیانگر یک ضعف بااهمیت در کنترل داخلی واحد تجاری است یا خیر. (رک: بند تـ۸۸)
سیستم اطلاعاتی، شامل فرایندهای تجاری مربوط، مرتبط با گزارشگری مالی و اطلاعرسانی
۱۸. حسابرس باید از سیستم اطلاعاتی، شامل فرایندهای تجاری مربوط، مرتبط با گزارشگری مالی، در زمینههایی چون موارد زیر، شناخت کسب کند:
الف ـ گروههای معاملات در عملیات واحد تجاری که نسبت به صورتهای مالی عمده محسوب میشود،
ب ـ روشهای موجود در سیستمهای فناوری اطلاعات و همچنین سیستمهای دستی که به وسیله آنها معاملات مذکور شروع، ثبت، پردازش، در صورت لزوم اصلاح، به حسابهای کل منتقل و در صورتهای مالی گزارش میشود،
پ ـ سوابق حسابداری مربوط، اطلاعات پشتوانه و حسابهای خاص درصورتهای مالی که جهت شروع، ثبت، پردازش و گزارش معاملات (شامل اصلاح اطلاعات نادرست و چگونگی انتقال اطلاعات به حسابهای کل) استفاده شده است. این سوابق میتواند به شکل دستی یا الکترونیکی باشد،
ت ـ چگونه سیستم اطلاعاتی، شرایط و رویدادهایی غیراز معاملات را که نسبت به صورتهای مالی بااهمیت است، شناسایی میکند،
ث ـ فرایند گزارشگری مالی مورد استفاده برای تهیه صورتهای مالی واحد تجاری، شامل براوردهای حسابداری و موارد افشای عمده، و
ج ـ کنترلهای حاکم بر ثبتهای حسابداری، شامل ثبتهای غیرمعمول مورد استفاده برای معاملات یا تعدیلات غیرعادی و غیرمکرر. (رک: بند تـ۸۹ تا تـ۹۳)
۱۹. حسابرس باید از نحوه اطلاعرسانی درباره وظایف و مسئولیتهای گزارشگری مالی و موضوعات عمده مرتبط با گزارشگری مالی توسط واحد تجاری شناخت کسب کند. این اطلاعرسانی شامل موارد زیر است: (رک: بندهای تـ۹۴ و تـ۹۵)
الف ـ اطلاعرسانی بین مدیران اجرایی و ارکان راهبری، و
ب ـ اطلاعرسانی به اشخاص برونسازمانی، مثل مراجع قانونی.
فعالیتهای کنترلی مرتبط با حسابرسی
۲۰. حسابرس باید از فعالیتهای کنترلی مرتبط با حسابرسی شناخت کسب کند. این فعالیتها شامل مواردی است که حسابرس شناخت آنها را برای ارزیابی خطرهای تحریف بااهمیت در سطح ادعاها و طراحی و اجرای روشهای حسابرسی لازم در برخورد با خطرهای ارزیابی شده، ضروری تشخیص میدهد. در حسابرسی، شناخت همه فعالیتهای کنترلی مرتبط با هر گروه معاملات، مانده حساب و مورد افشای عمده در صورتهای مالی یا هر ادعای مربوط به آنها ضرورت ندارد. (رک: بندهای تـ۹۶ تا تـ۱۰۲)
۲۱. حسابرس هنگام شناخت فعالیتهای کنترلی واحد تجاری، باید از نحوه برخورد واحد تجاری با خطرهای ناشی از فناوری اطلاعات، شناخت کسب کند. (رک: بندهای تـ۱۰۳ تا تـ۱۰۵)
نظارت بر کنترلها
۲۲. حسابرس باید از انواع فعالیتهای عمده مورد استفاده واحد تجاری برای نظارت بر کنترلهای داخلی حاکم بر گزارشگری مالی، شامل موارد مرتبط با فعالیتهای کنترلی مربوط به حسابرسی، و نحوه انجام اقدامات اصلاحی واحد تجاری در برخورد با نقاط ضعف کنترلهای آن، شناخت کسب کند. (رک: بندهای تـ۱۰۶ تا تـ۱۰۸)
۲۳. چنانچه واحد تجاری دارای واحد حسابرسی داخلی باشد[۱]، حسابرس باید از ماهیت مسئولیتها، جایگاه سازمانی و فعالیتهای انجام شده یا فعالیتهایی که قرار است توسط آن انجام شود، شناخت کسب کند. (رک: بندهای تـ۱۰۹ تا تـ۱۱۶)
۲۴. حسابرس باید از منابع اطلاعاتی مربوط به فعالیتهای نظارتی واحد تجاری و مبانی ارزیابی مدیران اجرایی از کفایت قابلیت اتکای اطلاعات برای هدف مورد نظر، شناخت کسب کند. (رک: بند تـ۱۱۷)
تشخیص و ارزیابی خطرهای تحریف بااهمیت
۲۵. حسابرس برای طراحی و اجرای روشهای حسابرسی لازم باید خطرهای تحریف بااهمیت را در سطوح زیر مشخص و ارزیابی کند:
الف ـ صورتهای مالی، و (رک: بندهای تـ۱۱۸ تا تـ۱۲۱)
ب ـ ادعاهای مربوط به گروههای معاملات، مانده حسابها و موارد افشا، (رک: بندهای تـ۱۲۲ تا تـ۱۲۶)
۲۶. حسابرس برای این منظور باید:
الف ـ خطرها را از طریق فرایند کسب شناخت از واحد تجاری و محیط آن، شامل کنترلهای مربوط به خطرها، و با در نظر گرفتن گروههای معاملات، مانده حسابها و موارد افشا در صورتهای مالی، مشخص کند، (رک: بندهای تـ۱۲۷ و تـ۱۲۸)
ب ـ خطرهای مشخص شده، و اینکه آیا این خطرها با صورتهای مالی به عنوان یک مجموعه واحد ارتباط فراگیرتری دارند و به طور بالقوه بر بسیاری از ادعاها اثر دارند یا خیر را ارزیابی کند،
پ ـ با توجه به کنترلهای مربوطی که حسابرس میخواهد آزمون کند، خطرهای مشخص شده را به آنچه که میتواند در سطح ادعا اشتباه باشد، ربط دهد، و (رک: بندهای تـ۱۲۹ تا تـ۱۳۱)
ت ـ احتمال وجود تحریفها، شامل امکان وجود تحریفهای متعدد، و احتمال اینکه آیا میزان تحریفهای بالقوه به گونهای است که بتواند منجر به تحریفهای بااهمیت شود یا خیر را بررسی کند.
خطرهای مستلزم توجه خاص حسابرس
۲۷. حسابرس به عنوان بخشی از فرایند ارزیابی خطر مندرج در بند ۲۵، باید تعیین کند که بنا به قضاوت وی، کدامیک از خطرهای مشخص شده، مستلزم توجه خاص است (این خطرها ”خطرهای عمده“ نامیده میشود). حسابرس هنگام قضاوت در این مورد باید آثار کنترلهای مشخص شده مرتبط با خطر مورد نظر را نادیده بگیرد.
۲۸. حسابرس هنگام قضاوت در مورد اینکه کدامیک از خطرها عمده است، حداقل باید موارد زیر را مورد توجه قرار دهد:
الف ـ اینکه آیا خطر مورد نظر، خطر تقلب است یا خیر،
ب ـ اینکه آیا خطر مورد نظر مربوط به تحولات عمده اخیر در زمینههای اقتصادی، حسابداری یا سایر زمینهها است به نحوی که مستلزم توجه خاصی باشد، یا خیر،
پ ـ پیچیدگی معاملات،
ت ـ اینکه آیا خطر مورد نظر به معاملات عمده با اشخاص وابسته مرتبط است یا خیر،
ث ـ میزان ذهنی بودن اندازهگیری اطلاعات مالی مربوط به خطر، به ویژه در صورت وجود ابهامات گسترده در اندازهگیری، و
ج ـ اینکه آیا خطر مورد نظر با معاملات عمده خارج از روال عادی عملیات واحد تجاری مرتبط است یا خیر یا ناشی از معاملاتی است که به هر دلیل، غیرعادی به نظر میرسد. (رک: بندهای تـ۱۳۲ تا تـ ۱۳۶)
۲۹. در مواردی که حسابرس وجود خطر عمدهای را تشخیص داده است، باید در مورد کنترلهای واحد تجاری، شامل فعالیتهای کنترلی مرتبط با آن خطر، شناخت کسب کند. (رک: بندهای تـ ۱۳۷ تا تـ۱۳۹)
خطرهایی که آزمونهای محتوا، به تنهایی شواهد حسابرسی کافی و مناسب برای آنها فراهم نمیکند
۳۰. حسابرس درخصوص برخی خطرها، ممکن است چنین قضاوت کند که کسب شواهد حسابرسی کافی و مناسب، تنها از طریق آزمونهای محتوا ممکن یا عملی نیست. چنین خطرهایی میتواند به صحیح و کامل نبودن ثبت و نگهداری سوابق گروههای معاملات یا مانده حسابهای معمول و عمده که اغلب بدون دخالت نیروی انسانی و به طور خودکار پردازش میشوند، مربوط باشد. در چنین مواردی، کنترلهای واحد تجاری در مورد چنین خطرهایی، در کار حسابرسی مربوط محسوب شده و حسابرس باید نسبت به آنها شناخت کسب کند. (رک: بندهای تـ۱۴۰ تا تـ۱۴۲)
تجدید نظر در ارزیابی خطر
۳۱. ارزیابی حسابرس از خطرهای تحریف بااهمیت در سطح ادعاها ممکن است با کسب شواهد حسابرسی بیشتر در جریان حسابرسی، تغییر کند. در شرایطی که حسابرس با اجرای روشهای حسابرسی لازم یا دستیابی به اطلاعات جدید، شواهدی کسب کند که با شواهد مبنای ارزیابی اولیه وی متناقض باشد، در ارزیابی قبلی خود تجدیدنظر و بر همین اساس روشهای حسابرسی طراحی شده را تعدیل میکند. (رک: بند تـ۱۴۳)
مستندسازی
۳۲. حسابرس باید موارد زیر را مستند کند[۲]:
الف ـ مذاکرات انجام شده بین اعضای تیم حسابرسی درباره الزامات بند ۱۰ و تصمیمات عمده اتخاذ شده،
ب ـ عناصر کلیدی شناخت کسب شده درباره هر یک از جنبههای واحد تجاری و محیط آن به شرح مندرج در بند ۱۱ و هر یک از اجزای کنترلهای داخلی مندرج در بندهای ۱۴ تا ۲۴، منابع اطلاعاتی شناخت کسب شده، و روشهای اجرا شده برای ارزیابی خطر،
پ ـ خطرهای تحریف بااهمیت مشخص شده و ارزیابی شده در سطح صورتهای مالی و در سطح ادعاها طبق الزامات بند ۲۵، و
ت ـ خطرهای مشخص شده و کنترلهای مرتبطی که حسابرس در اجرای الزامات مقرر در بندهای ۲۷ تا ۳۰ در مورد آنها شناخت کسب کرده است. (رک: بندهای تـ۱۴۴ تا تـ۱۴۷)
***
توضیحات کاربردی
روشهای ارزیابی خطر و فعالیتهای مرتبط (رک: بند ۵)
تـ۱. کسب شناخت از واحد تجاری و محیط آن، شامل کنترلهای داخلی (که از این پس به عنوان ”شناخت واحد تجاری“ نامیده میشود)، فرایندی مستمر و پویا برای گردآوری، به روز رسانی و تحلیل اطلاعات در جریان حسابرسی است. این شناخت چارچوبی را فراهم میکند که حسابرس، برنامهریزی و اعمال قضاوت حرفهای خود در سراسر فرایند حسابرسی، از جمله در موارد زیر را براساس آن انجام میدهد:
- ارزیابی خطرهای تحریف بااهمیت در صورتهای مالی،
- تعیین سطح اهمیت طبق استاندارد ۳۲۰[۳]،
- بررسی مناسب بودن انتخاب و بکارگیری رویههای حسابداری، و کافی بودن افشا در صورتهای مالی،
- شناسایی زمینههایی که ممکن است نیازمند توجه خاص در حسابرسی باشند، برای مثال، معاملات با اشخاص وابسته، مناسب بودن استفاده از فرض تداوم فعالیت یا بررسی هدف تجاری معاملات،
- تعیین انتظارات برای استفاده در روشهای تحلیلی،
- برخورد با خطرهای تحریف بااهمیت ارزیابی شده، از جمله طراحی و اجرای روشهای حسابرسی لازم برای کسب شواهد حسابرسی کافی و مناسب ، و
- ارزیابی کافی و مناسب بودن شواهد حسابرسی کسب شده، از قبیل مناسب بودن مفروضات و اظهارات کتبی و شفاهی مدیران اجرایی.
تـ۲. اطلاعات کسب شده از طریق اجرای روشهای ارزیابی خطر و فعالیتهای مرتبط ممکن است توسط حسابرس به عنوان شواهد حسابرسی پشتوانه ارزیابی خطرهای تحریف بااهمیت، مورد استفاده قرار گیرد. افزون بر این، حسابرس با اجرای روشهای ارزیابی خطر، ممکن است شواهد حسابرسی درباره گروههای معاملات، مانده حسابها یا موارد افشا و ادعاهای مربوط به آنها و اثربخشی کارکرد کنترلها کسب کند، هر چند که این روشها مشخصاً به عنوان آزمونهای محتوا یا آزمون کنترلها طراحی نشده باشد. حسابرس همچنین ممکن است آزمونهای محتوا یا آزمون کنترلها را همزمان با روشهای ارزیابی خطر، به دلیل کارایی این همزمانی، انجام دهد.
تـ۳. حسابرس برای تعیین میزان شناخت لازم، از قضاوت حرفهای استفاده میکند. موضوع اصلی مورد توجه حسابرس این است که آیا شناخت کسب شده برای دستیابی به اهداف این استاندارد کافی است یا خیر. میزان شناخت کلی مورد نیاز حسابرس از واحد تجاری، کمتر از میزان شناخت مورد نیاز مدیران اجرایی برای اداره آن واحد است.
تـ۴. خطرهایی که باید ارزیابی شوند هم شامل خطرهای ناشی از اشتباه و هم شامل خطرهای ناشی از تقلب است، که هر دو در این استاندارد مطرح شده است. با این حال، اهمیت تقلب به اندازهای است که در استاندارد ۲۴۰، الزامات و رهنمودهای بیشتری در ارتباط با روشهای ارزیابی خطر و فعالیتهای مرتبط با کسب اطلاعات لازم برای تشخیص خطرهای تحریف بااهمیت ناشی از تقلب، ارائه شده است[۴].
تـ۵. اگر چه حسابرس باید همه روشهای ارزیابی خطر مطرح شده در بند ۶ را در جریان کسب شناخت لازم از واحد تجاری اجرا کند (به بندهای ۱۱ تا ۲۴ مراجعه شود)، اما حسابرس ملزم نیست همه روشهای ارزیابی خطر را برای هر یک از ابعاد شناخت، اجرا کند. در مواردی که اطلاعات کسب شده بتواند در تشخیص خطرهای تحریف بااهمیت سودمند باشد، ممکن است سایر روشهای حسابرسی توسط حسابرس اجرا شود. نمونههایی از این روشها عبارتند از:
- بررسی اطلاعات کسب شده از منابع برونسازمانی، مانند گزارشهای تحلیلگران، بانکها یا مؤسسات رتبهبندی، مجلههای تجاری و اقتصادی، یا قوانین و مقررات.
- پرس و جو از مشاور حقوقی برونسازمانی واحد تجاری یا کارشناسان ارزشیابی استفاده شده توسط واحد تجاری.
پرس و جو از مدیران اجرایی، واحد حسابرسی داخلی و سایر کارکنان واحد تجاری (رک: بند ۶ ـ الف)
تـ۶. بیشتر اطلاعات کسب شده توسط حسابرس از طریق پرس و جو، از مدیران اجرایی و افراد مسئول گزارشگری مالی کسب میشود. همچنین اطلاعات را میتوان از طریق پرس و جو از کارکنان واحد حسابرسی داخلی (در صورت وجود)، و سایر کارکنان واحد تجاری کسب نمود.
تـ۷. همچنین حسابرس ممکن است از طریق پرس و جو از سایر کارکنان واحد تجاری و دیگر افراد دارای سطوح اختیار متفاوت، اطلاعاتی کسب کند، یا دید متفاوتی برای تشخیص خطرهای تحریف بااهمیت به دست آورد. برای مثال:
- پرس و جو از اعضای ارکان راهبری میتواند به حسابرس در شناخت از محیطی که در آن صورتهای مالی تهیه شده است، کمک کند. استاندارد ۲۶۰[۵]، بر اهمیت اطلاعرسانی دو سویه اثربخش در کمک به حسابرس به منظور کسب اطلاعات از ارکان راهبری در این خصوص، تأکید کرده است.
- پرس و جو از کارکنانی که در شروع، پردازش یا ثبت معاملات پیچیده یا غیرعادی دخالت دارند، میتواند حسابرس را در ارزیابی مناسب بودن انتخاب و بکارگیری رویههای حسابداری خاص یاری کند.
- پرس و جو از مشاور حقوقی درونسازمانی میتواند اطلاعاتی را درباره موضوعاتی نظیر دعاوی حقوقی، رعایت قوانین و مقررات، آگاهی از تقلب یا موارد مشکوک به تقلب مؤثر بر واحد تجاری، تضمینها، تعهدات پس از فروش، مشارکتهای خاص و مفاهیم مفاد قراردادها، فراهم کند.
- پرس و جو از کارکنان بازاریابی و فروش میتواند اطلاعاتی درباره تغییرات راهبردهای بازاریابی واحد تجاری، روندهای فروش یا توافقات قراردادی با مشتریان فراهم کند.
- پرس و جو از مسئولین مدیریت خطر (یا افرادی که دارای چنین نقشی هستند) میتواند اطلاعاتی در مورد خطرهای عملیاتی و قانونی که ممکن است بر گزارشگری مالی تأثیرگذار باشند، فراهم کند.
- پرس و جو از کارکنان واحد سیستمهای اطلاعاتی میتواند اطلاعاتی در مورد تغییرات سیستم، ضعفهای کنترلی یا سیستمی، یا سایر خطرهای مرتبط با سیستم اطلاعاتی فراهم کند.
تـ۸. باتوجه به اینکه شناخت واحد تجاری، فرایندی مستمر و پویا است، پرس و جوهای حسابرس ممکن است در سراسر کار حسابرسی ادامه پیدا کند.
پرسو جو از واحد حسابرسی داخلی
تـ۹. چنانچه واحد تجاری دارای واحد حسابرسی داخلی باشد، پرس و جو از کارکنان ذیصلاح این واحد میتواند اطلاعات مفیدی برای حسابرس به منظور شناخت واحد تجاری، و تشخیص و ارزیابی خطرهای تحریف بااهمیت در سطح صورتهای مالی و در سطح ادعاها فراهم کند. واحد حسابرسی داخلی، در اجرای وظایف خود، به احتمال زیاد نسبت به عملیات و خطرهای واحد تجاری آگاهی کسب میکند، و ممکن است به یافتههایی نظیر خطرها یا ضعفهای مشخص شده کنترلهای داخلی دست پیدا کند که میتواند برای فرایند کسب شناخت حسابرس از واحد تجاری، ارزیابی خطر یا سایر جنبههای حسابرسی، ارزشمند قلمداد شود. بنابراین صرفنظر از احتمال استفاده یا عدم استفاده حسابرس از کار واحد حسابرسی داخلی برای تعدیل ماهیت و زمانبندی، یا کاهش میزان روشهای حسابرسی که قرار است انجام شود، پرس و جوهای حسابرس از واحد حسابرسی داخلی انجام میشود[۶]. پرس و جوهای مربوط ممکن است درخصوص موضوعات مابین واحد حسابرسی داخلی و ارکان راهبری و پیامدهای فرایند ارزیابی خطر توسط خود واحد حسابرسی داخلی باشد.
تـ۱۰. اگر باتوجه به برخوردهای انجام شده نسبت به پرس و جوهای حسابرس، مشخص شود یافتههایی وجود دارد که ممکن است در رابطه با حسابرسی و گزارشگری مالی واحد تجاری مربوط محسوب شود، حسابرس ممکن است مطالعه گزارشهای مربوط واحد حسابرسی داخلی را مناسب تشخیص دهد. نمونههایی از این گزارشها ممکن است شامل گزارشها و مستندات برنامهریزی و راهبردی واحد حسابرسی داخلی باشد که برای مدیران اجرایی و ارکان راهبری تهیه شده است و یافتههای حاصل از رسیدگیهای این واحد را شرح میدهد.
تـ۱۱. علاوه بر این، طبق استاندارد ۲۴۰[۷]، اگر واحد حسابرسی داخلی اطلاعاتی در خصوص موارد تقلب قطعی یا مشکوک به تقلب، برای حسابرس فراهم کند، حسابرس در تشخیص خطرهای تحریف بااهمیت ناشی از تقلب، آن اطلاعات را مدنظر قرار میدهد.
تـ۱۲. اشخاص ذیصلاح در واحد حسابرسی داخلی که مخاطب پرس و جوها قرار میگیرند، افرادی هستند که از نظر حسابرس دارای دانش، تجربه و اختیار مناسب هستند، مثل مدیر اجرایی واحد حسابرسی داخلی یا بسته به شرایط، سایر کارکنان واحد حسابرسی داخلی. همچنین حسابرس ممکن است برگزاری نشستهای دورهای را با اینگونه افراد مناسب بداند.
ملاحظات خاص واحدهای بخش عمومی (رک: بند ۶ـالف)
تـ۱۳. حسابرسان واحدهای بخش عمومی، در قبال کنترلهای داخلی و رعایت قوانین و مقررات، اغلب دارای مسئولیتهای بیشتری هستند. پرس و جو از اشخاص ذیصلاح در واحد حسابرسی داخلی میتواند به حسابرسان در تشخیص خطر عدم رعایت قوانین و مقررات مربوط و خطر وجود ضعف در کنترلهای داخلی حاکمبر گزارشگری مالی کمک کند.
روشهای تحلیلی (رک: بند ۶ـب)
تـ۱۴. روشهای تحلیلی انجام شده به عنوان روشهای ارزیابی خطر ممکن است باعث مشخص شدن ابعادی از واحد تجاری شود که حسابرس از آن آگاه نبوده و میتواند در ارزیابی خطرهای تحریف بااهمیت جهت فراهم ساختن مبنایی برای طراحی و اجرای روشهای برخورد با خطرهای ارزیابی شده کمک کند. روشهای تحلیلی انجام شده به عنوان روشهای ارزیابی خطر ممکن است شامل اطلاعات مالی و غیرمالی (مثل ارتباط بین فروشها و زیربنای فروشگاه یا مقادیر کالای فروش رفته) باشد.
تـ۱۵. روشهای تحلیلی ممکن است به تشخیص وجود معاملات یا رویدادهای غیرعادی، و مبالغ، نسبتها و روندهایی کمک کند که میتواند نمایانگر موضوعات مؤثر بر حسابرسی باشد. روابط غیرعادی یا غیرمنتظره مشخص شده ممکن است حسابرس را در تشخیص خطرهای تحریف بااهمیت، به خصوص خطرهای تحریف بااهمیت ناشی از تقلب، یاری رساند.
تـ۱۶. با این وجود، در مواردی که در اجرای این روشهای تحلیلی از مجموعه اطلاعات بسیار کلی استفاده میشود (که اغلب درخصوص روشهای تحلیلی انجام شده به عنوان روشهای ارزیابی خطر چنین است)، نتایج روشهای تحلیلی مزبور تنها نشانهای اولیه و کلی را درباره احتمال وجود تحریف بااهمیت فراهم میکند. از این رو، در چنین مواردی، توجه به سایر اطلاعات کسب شده در تشخیص خطرهای تحریف با اهمیت همراه با نتایج این روشهای تحلیلی میتواند به حسابرس در شناخت و ارزیابی نتایج روشهای تحلیلی کمک کند.
ملاحظات خاص واحدهای تجاری کوچک
تـ۱۷. برخی واحدهای تجاری کوچک ممکن است دارای اطلاعات مالی ماهانه یا میاندورهای نباشند که بتوان از آنها برای مقاصد روشهای تحلیلی استفاده کرد. در این گونه موارد، هر چند ممکن است حسابرس برای مقاصد برنامهریزی حسابرسی یا کسب اطلاعات از طریق پرس و جو قادر به اجرای روشهای تحلیلی محدودی باشد، اما ممکن است نیاز باشد که پس از تهیه اولین پیشنویس صورتهای مالی، روشهای تحلیلی برای تشخیص و ارزیابی خطرهای تحریف بااهمیت، توسط حسابرس طراحی و اجرا شود.
مشاهده و وارسی (رک: بند ۶ـپ)
تـ۱۸. مشاهده و وارسی میتواند پشتوانه پرس و جوهای انجام شده از مدیران اجرایی و سایر کارکنان باشد و اطلاعاتی را نیز درباره واحد تجاری و محیط آن فراهم کند. نمونههایی از این روشهای حسابرسی شامل مشاهده و وارسی موارد زیر میشود:
- عملیات واحد تجاری.
- مستندات (مانند برنامهها و راهبردهای تجاری)، سوابق مکتوب، و دستورالعملهای کنترلهای داخلی.
- گزارشهای تهیه شده توسط مدیران اجرایی (مانند گزارشها و صورتهای مالی میاندورهای) و ارکان راهبری (مانند صورتجلسات هیئتمدیره).
- املاک و ماشینآلات واحد تجاری.
اطلاعات کسب شده در دورههای قبل (رک: بند ۹)
تـ۱۹. تجربه قبلی حسابرس از واحد تجاری و روشهای حسابرسی اجرا شده در حسابرسیهای قبلی میتواند اطلاعاتی درخصوص موارد زیر، برای حسابرس فراهم کند:
- تحریفهای گذشته و اینکه آیا به موقع اصلاح شدهاند یا خیر.
- ماهیت واحد تجاری و محیط آن، و کنترلهای داخلی (شامل ضعفهای کنترلهای داخلی).
- تغییرات عمده رخ داده در واحد تجاری و عملیات آن از دوره مالی گذشته، که میتواند حسابرس را در کسب شناخت کافی از واحد تجاری و در نتیجه تشخیص و ارزیابی خطرهای تحریف بااهمیت یاری کند.
تـ۲۰. در مواردی که حسابرس در نظر دارد اطلاعات کسب شده در دورههای قبل برای اهداف حسابرسی دوره جاری استفاده کند، باید تعیین کند که آیا این اطلاعات همچنان مربوط است یا خیر. دلیل این امر وجود تغییرات در محیط کنترلی است که برای مثال، ممکن است مربوط بودن اطلاعات کسب شده در دوره قبل را تحت تأثیر قرار دهد. برای تعیین تأثیر احتمالی تغییرات رخ داده بر مربوط بودن این اطلاعات، حسابرس میتواند از پرسوجو و سایر روشهای حسابرسی مناسب مانند شناخت سیستمهای مربوط استفاده کند.
مذاکره اعضای تیم حسابرسی (رک: بند ۱۰)
تـ۲۱. مذاکره اعضای تیم حسابرسی درباره احتمال آسیبپذیری صورتهای مالی واحد تجاری در اثر تحریف بااهمیت، منافع زیر را دربردارد:
- فرصتی را برای اعضای با تجربهتر تیم حسابرسی، شامل مدیر مسئول کار، به وجود میآورد تا اطلاعاتی را که بر پایه شناخت واحد تجاری کسب کردهاند، با سایر اعضای تیم در میان بگذارند.
- اعضای تیم حسابرسی فرصت مییابند درباره خطرهای تجاری که واحد تجاری را تهدید میکند و نحوه و احتمال آسیبپذیری صورتهای مالی از تحریفهای بااهمیت ناشی از اشتباه یا تقلب، تبادل نظر کنند.
- به اعضای تیم حسابرسی کمک میکند تا از احتمال وجود تحریفهای بااهمیت در صورتهای مالی که از تقلب یا اشتباه در زمینههای خاص محول شده به آنان ناشی میشود و همچنین از امکان تأثیر نتایج روشهای حسابرسی محول شده به آنان بر سایر زمینههای حسابرسی، شامل تصمیمگیری درباره ماهیت، زمانبندی اجرا و میزان روشهای حسابرسی لازم، شناخت بهتری کسب کنند.
- مبنایی را فراهم میآورد که هر یک از اعضای تیم حسابرسی، اطلاعات جدید کسب شده در جریان حسابرسی را که ممکن است بر ارزیابی خطرهای تحریف بااهمیت یا روشهای حسابرسی اجرا شده برای مشخص کردن آن خطرها اثر بگذارد را به اطلاع سایر اعضای تیم برساند.
- در استاندارد ۲۴۰، الزامات و رهنمودهای بیشتری درخصوص نشست اعضای تیم حسابرسی در خصوص خطرهای ناشی از تقلب، ارائه شده است.[۸]
تـ۲۲. مشارکت همه اعضای تیم حسابرسی در یک نشست واحد همیشه عملی و ضروری نیست (برای مثال، در حسابرسی چندمکانی)، و نیازی نیست که همه اعضا از همه تصمیمات اتخاذ شده در نشست آگاهی داشته باشند. مدیر مسئول کار ممکن است درباره برخی موضوعات با اعضای کلیدی تیم حسابرسی و در صورت لزوم، با اشخاص دارای دانش یا مهارت ویژه و مسئولان حسابرسی بخشهای واحد تجاری، مذاکره کند، و مذاکره با سایر اعضای تیم را با در نظر گرفتن میزان اطلاعرسانی لازم به اعضای تیم حسابرسی، تفویض کند. استفاده از یک برنامه اطلاعرسانی مورد پذیرش مدیر مسئول کار میتواند سودمند باشد.
ملاحظات خاص واحدهای تجاری کوچک
تـ۲۳. بسیاری از کارهای حسابرسی کوچک بطور کامل توسط مدیر مسئول کار انجام میشود. در چنین شرایطی، مدیر مسئول کار که شخصاً برنامهریزی حسابرسی را انجام داده است، درباره احتمال آسیبپذیری صورتهای مالی واحد تجاری در اثر تحریفهای بااهمیت ناشی از تقلب یا اشتباه، مسئولیت خواهد داشت.
شناخت واحد تجاری و محیط آن، شامل کنترلهای داخلی
واحد تجاری و محیط آن
صنعت، قوانین و مقررات و سایر عوامل برونسازمانی (رک: بند ۱۱ـالف)
عوامل صنعت
تـ۲۴. عوامل مربوط به صنعت شامل شرایط صنعت مانند محیط رقابتی، روابط با عرضهکنندگان کالاها و خدمات و مشتریان و پیشرفتهای فناوری است. نمونههایی از موضوعاتی که حسابرس ممکن است مورد توجه قرار دهد شامل موارد زیر است:
- بازار و رقابت شامل تقاضا، ظرفیت و رقابت در قیمت.
- فعالیتهای ادواری یا فصلی.
- فناوری تولید مرتبط با محصولات واحد تجاری.
- تأمین انرژی و هزینه آن.
تـ۲۵. صنعتی که واحد تجاری در آن فعالیت میکند ممکن است همراه با خطرهای خاص تحریف بااهمیت ناشی از نوع فعالیت تجاری یا مقررات حاکم بر آن باشد. برای مثال، قراردادهای بلندمدت ممکن است با براوردهای عمدهای از درآمدها و هزینهها همراه باشد که به خطرهای تحریف بااهمیت بینجامد. در این گونه موارد، ضرورت حضور افراد با دانش و تجربه مربوط و کافی در تیم حسابرسی اهمیت مییابد.
عوامل قانونی و مقرراتی
تـ۲۶. عوامل قانونی و مقرراتی مربوط شامل محیط قانونی و مقرراتی است. محیط قانونی و مقرراتی شامل چارچوب گزارشگری مالی مربوط و محیط سیاسی و قانونی است. نمونههایی از موضوعاتی که حسابرس میتواند مورد توجه قرار دهد عبارتند از:
- استانداردهای حسابداری و روشهای حسابداری خاص صنعت.
- چارچوب قانونی و مقرراتی حاکم بر صنعت.
- قوانین و مقرراتی که به طور قابل ملاحظهای بر فعالیت واحد تجاری اثر میگذارد، شامل فعالیتهای نظارتی مستقیم.
- مالیات (عملکرد، تکلیفی و غیره).
- سیاستهای جاری دولت که فعالیت واحد تجاری را تحت تأثیر قرار میدهد، نظیر سیاستهای پولی (شامل کنترلهای مبادلات ارزی)، سیاستهای مالی، مشوقهای مالی (مثل برنامههای کمک دولت)، و تعرفههای گمرکی یا سیاستهای محدودکننده تجاری.
- الزامات زیست محیطی مؤثر بر صنعت و فعالیت واحد تجاری.
تـ۲۷. در استاندارد ۲۵۰، برخی الزامات خاص مرتبط با مبانی قانونی و مقرراتی حاکم بر واحد تجاری و صنعت یا بخشی که واحد تجاری در آن فعالیت میکند، ارائه شده است.[۹]
ملاحظات خاص واحدهای بخش عمومی
تـ۲۸. در حسابرسی واحدهای بخش عمومی، قوانین، مقررات یا سایر الزامات قانونی ممکن است بر عملیات واحد تجاری اثرگذار باشد. لذا هنگام شناخت واحد تجاری، حسابرس باید این موارد را مورد توجه قرار دهد.
سایر عوامل برونسازمانی
تـ۲۹. مثالهایی از سایر عوامل برونسازمانی مؤثر بر واحد تجاری که حسابرس ممکن است آنها را مورد توجه قرار دهد عبارت است از شرایط کلی اقتصادی، نرخهای استقراض و دسترسی به منابع تأمین مالی، و تورم یا تغییر ارزش واحد پول.
ماهیت واحد تجاری (رک: بند ۱۱ـب)
تـ۳۰. حسابرس با شناخت ماهیت واحد تجاری میتواند از موارد زیر شناخت کسب کند:
- اینکه آیا واحد تجاری دارای ساختار پیچیده است یا خیر، برای مثال دارای واحدهای تجاری فرعی یا قسمتهای گوناگون مستقر در چندین محل است یا خیر. ساختارهای پیچیده اغلب بیانگر مسائلی است که ممکن است منجر به افزایش خطرهای تحریف بااهمیت گردد. مثالهایی از این موارد ممکن است شامل محاسبه و انعکاس مناسب سرقفلی، مشارکتهای خاص، سرمایهگذاریها یا واحدهای تجاری با مقاصد خاص باشد.
- مالکیت، و روابط بین صاحبان سرمایه و سایر افراد یا واحدهای تجاری. این شناخت به حسابرس در ارزیابی این موضوع کمک میکند که آیا تشخیص و گزارشگری معاملات با اشخاص وابسته به نحو مناسب بوده است یا خیر. دراستاندارد ۵۵۰[۱۰]، الزامات و رهنمودهایی درباره ملاحظات حسابرس در ارتباط با اشخاص وابسته ارائه شده است.
تـ۳۱. نمونههایی از مواردی که حسابرس ممکن است در زمان کسب شناخت از ماهیت واحد تجاری مورد توجه قرار دهد، به شرح زیر است:
- عملیات تجاری، مثل:
- ماهیت منابع درآمدی، کالاها یا خدمات، و بازارها که دربرگیرنده تجارت الکترونیک، مانند فروشها و فعالیتهای بازاریابی اینترنتی است.
- انجام عملیات (برای مثال، مراحل و روشهای تولید، یا فعالیتهای در معرض خطرهای محیطی).
- کنسرسیومها، مشارکتهای خاص و فعالیتهای برونسپاری.
- پراکندگی جغرافیایی و تنوع صنعت.
- محل استقرار تجهیزات تولید، انبارها و دفاتر اداری، و محل و مقادیر موجودیها.
- مشتریان اصلی و تأمینکنندگان عمده کالاها و خدمات، ضوابط مربوط به نیروی انسانی (شامل ضوابط مربوط به پاداش، مزایای بازنشستگی و سایر مزایای پایان خدمت، طرح طبقهبندی مشاغل، قانون کار و سایر مقررات مربوط به استخدام).
- فعالیتها و مخارج تحقیق و توسعه.
- معاملات با اشخاص وابسته.
- سرمایهگذاریها و فعالیتهای سرمایهگذاری مثل:
- تحصیل، ادغام یا واگذاری فعالیتهای تجاری (برنامهریزی شده یا اخیراً اجرا شده).
- سرمایهگذاریها و واگذاری اوراق بهادار و وامها.
- انجام مخارج سرمایهای.
- سرمایهگذاری در واحدهای تجاری غیرتلفیقی، شامل شراکتها، مشارکتهای خاص و واحدهای تجاری با مقاصد خاص.
- فعالیتهای تأمین مالی مثل:
- واحدهای تجاری فرعی و وابسته عمده، شامل واحدهای تلفیق شده و تلفیق نشده.
- ساختار بدهی و شرایط آن شامل روشهای تأمین مالی خارج از ترازنامه و روشهای اجاره.
- استفاده از ابزارهای مالی مشتقه.
- گزارشگری مالی مثل:
- استانداردهای حسابداری و روشهای خاص صنعت، شامل موضوعات عمده مختص صنعت (برای مثال، تسهیلات و سرمایهگذاری بانکها، یا فعالیتهای تحقیق و توسعه شرکتهای داروسازی).
- روشهای شناسایی درآمد.
- اندازهگیری بر اساس ارزشهای منصفانه.
- داراییها، بدهیها و معاملات ارزی.
- حسابداری معاملات غیرعادی یا پیچیده شامل معاملات بحثانگیز یا جدید.
تـ۳۲. تغییرات عمده در واحد تجاری نسبت به دورههای قبل، ممکن است موجب ایجاد خطرهای تحریف بااهمیت یا تغییر در این خطرها شود.
ماهیت واحدهای تجاری با مقاصد خاص
تـ۳۳. یک واحد تجاری با مقاصد خاص عموماً برای هدفی محدود و مشخص نظیر اجرای یک قرارداد اجاره یا صدور اوراق بهادار به پشتوانه داراییها، یا انجام فعالیتهای تحقیق و توسعه تأسیس میشود. این گونه واحدها ممکن است به اشکال مختلفی تشکیل شوند. در اغلب اوقات ممکن است دارایی از واحد تجاری بانی (برای مثال، به عنوان بخشی از معامله قطع شناخت مربوط به داراییهای مالی) به این واحدها منتقل شود، واحد تجاری بانی حق استفاده از داراییهای واحد تجاری با مقاصد خاص را کسب کند، یا خدماتی را به این گونه واحدها ارائه کند، در حالی که، اشخاص دیگر ممکن است واحد تجاری با مقاصد خاص را تأمین مالی کنند. همانطور که در استاندارد ۵۵۰ ذکر شده است، در برخی شرایط، یک واحد تجاری با مقاصد خاص ممکن است جزء اشخاص وابسته یک واحد تجاری محسوب شود[۱۱].
تـ۳۴. در چارچوبهای گزارشگری مالی، اغلب شرایط مفصلتری برای تحقق معیار کنترل، یا شرایطی که یک واحد تجاری با مقاصد خاص باید مشمول تلفیق شود، گنجانده شده است. تفسیر الزامات چنین چارچوبهایی اغلب نیازمند شناخت دقیقی از توافقات مربوط به واحد تجاری با مقاصد خاص است.
انتخاب و بکارگیری رویههای حسابداری توسط واحد تجاری (رک: بند ۱۱ـ پ)
تـ۳۵. شناخت حسابرس از نحوه انتخاب و بکارگیری رویههای حسابداری توسط واحد تجاری میتواند شامل موارد زیر باشد:
- روشهای مورد استفاده واحد تجاری برای حسابداری معاملات عمده و غیرعادی.
- اثر اهم رویههای حسابداری در موارد بحثانگیز یا جدیدی که رهنمود یا اتفاق نظر در مورد آن وجود ندارد.
- تغییر در رویههای حسابداری واحد تجاری.
- استانداردهای گزارشگری مالی و قوانین و مقررات جدید مربوط به واحد تجاری و زمان و نحوه بکارگیری این الزامات توسط واحد تجاری.
اهداف و راهبردها و خطرهای تجاری مرتبط (رک: بند ۱۱ـ ت)
تـ۳۶. واحد تجاری فعالیتهای خود را در چارچوب صنعت، مقررات و سایر عوامل درونسازمانی و برونسازمانی انجام میدهد. مدیران اجرایی و ارکان راهبری واحد تجاری با در نظر گرفتن این عوامل، اهدافی را مشخص میکنند که برنامههای کلی واحد تجاری محسوب میشوند. راهبردها، رویکردهایی هستند که مدیران اجرایی میخواهند به وسیله آنها به اهداف خود برسند. اهداف و راهبردهای واحد تجاری ممکن است طی زمان تغییر کند.
تـ۳۷. خطر تجاری، مقولهای گستردهتر از خطر تحریف بااهمیت صورتهای مالی است، هرچند که شامل آن نیز میباشد. خطر تجاری، ممکن است از تغییر یا پیچیدگی ناشی شود. قصور در تشخیص به موقع ضرورت انجام تغییر نیز میتواند به خطر تجاری منجر شود. خطر تجاری ممکن است از عواملی نظیر موارد زیر ناشی شود:
- تولید محصولات یا ارائه خدمات جدیدی که ممکن است با استقبال بازار مواجه نشود،
- بازاری که علیرغم توسعه موفقیتآمیز، برای پشتیابی از یک خدمت یا کالا به حد مطلوب نرسیده است.
- معایب کالاها یا خدمات که ممکن است منجر به ایجاد بدهی گردد یا حسن شهرت واحد تجاری را به خطر اندازد.
تـ۳۸. شناخت خطرهای تجاری پیش روی واحد تجاری، احتمال تشخیص خطرهای تحریف بااهمیت را افزایش میدهد زیرا بیشتر خطرهای تجاری دارای پیامدهای مالی است و از این رو، بر صورتهای مالی اثر میگذارد. با این حال، مسئولیت تشخیص یا ارزیابی همه خطرهای تجاری با حسابرس نیست زیرا کلیه خطرهای تجاری به خطر تحریف بااهمیت نمیانجامد.
تـ۳۹. نمونههایی از موضوعاتی که حسابرس ممکن است هنگام کسب شناخت از اهداف، راهبردها و خطرهای تجاری مربوط (که میتواند منجر به خطر تحریف بااهمیت در صورتهای مالی شود) مورد بررسی قرار دهد، به شرح زیر است:
- تحولات صنعت (خطر تجاری بالقوه مرتبط ممکن است برای مثال، این باشد که واحد تجاری دارای کارکنان یا مهارت لازم برای سازگاری با تغییرات صنعت نباشد).
- محصولات و خدمات جدید (خطر تجاری بالقوه مرتبط ممکن است برای مثال، این باشد که تعهدات مربوط به محصول افزایش یابد).
- توسعه فعالیت تجاری (خطر تجاری بالقوه مرتبط ممکن است برای مثال، این باشد که تقاضا بهگونهای درست پیشبینی نشده باشد).
- الزامات حسابداری جدید (خطر تجاری بالقوه مرتبط ممکن است برای مثال، این باشد که این الزامات به صورت ناقص یا نادرست اجرا شود، و یا اینکه باعث افزایش هزینهها گردد).
- الزامات قانونی (خطر تجاری بالقوه مرتبط ممکن است برای مثال، این باشد که تبعات موارد قانونی افزایش یابد).
- الزامات ناشی از تأمین مالی جاری و آتی (خطر تجاری بالقوه مرتبط ممکن است برای مثال، این باشد که به دلیل ناتوانی واحد تجاری در رعایت این الزامات، تأمین منابع مالی مورد نیاز میسر نشود).
- استفاده از فناوری اطلاعات (خطر تجاری بالقوه مرتبط ممکن است برای مثال، این باشد که سیستمها و فرایندها با این فناوریهای جدید ناسازگار باشند).
- آثار اجرای راهبردها، به ویژه آثاری که منجر به الزامات جدید حسابداری شود (خطر تجاری بالقوه مرتبط ممکن است برای مثال، این باشد که اجرای آنها به صورت ناقص یا نادرست صورت گیرد).
تـ۴۰. خطر تجاری ممکن است پیامدی آنی بر خطر تحریف گروههای معاملات، مانده حسابها و موارد افشا در سطح ادعاها یا در سطح کلیت صورتهای مالی داشته باشد. برای مثال، خطر تجاری ناشی از وخامت وضعیت مالی یک مشتری، ممکن است خطر تحریف بااهمیت مرتبط با ارزشیابی حسابهای دریافتنی را افزایش دهد. اما همین خطر، بهویژه در شرایط رکود اقتصادی، ممکن است پیامد بلندمدتتری نیز داشته باشد که حسابرس هنگام ارزیابی مناسب بودن فرض تداوم فعالیت، آن را مورد توجه قرار میدهد. از این رو، ارزیابی اینکه خطرتجاری به تحریف بااهمیت میانجامد یا خیر، با در نظر گرفتن شرایط واحد تجاری به عمل میآید. نمونههایی از شرایط و رویدادهایی که ممکن است نشانه خطرهای تحریف بااهمیت باشد در پیوست ۲ درج شده است.
تـ۴۱. مدیران اجرایی معمولاً خطرهای تجاری را مشخص و رویکردهای مقابله با آن را تعیین میکنند. این فرایند، بخشی از کنترلهای داخلی است که در بندهای ۱۵ و تـ۸۷ و تـ۸۸ توصیف شده است.
ملاحظات خاص واحدهای بخش عمومی
تـ۴۲. درخصوص حسابرسی واحدهای بخش عمومی، ”اهداف مدیران اجرایی“ ممکن است تحت تأثیر موضوعات مرتبط با پاسخگویی عمومی قرار گیرد و همچنین ممکن است این اهداف، ریشه در قوانین، مقررات و سایر الزامات داشته باشند.
اندازهگیری و بررسی عملکرد مالی واحد تجاری (رک: بند ۱۱ـ ث)
تـ۴۳. مدیران اجرایی و سایرین، مواردی را اندازهگیری و بررسی میکنند که برای آنها مهم است. معیارهای ارزیابی عملکرد (اعم از درونسازمانی و برونسازمانی) فشارهایی را بر واحد تجاری وارد میکند. این فشارها به نوبه خود میتواند، برای بهبود عملکرد تجاری یا تحریف صورتهای مالی، در مدیران اجرایی انگیزه ایجاد کند. بر این اساس، کسب شناخت از معیارهای اندازهگیری عملکرد واحد تجاری، حسابرس را در ارزیابی این موضوع کمک میکند که آیا چنین فشارهایی ممکن است مدیران اجرایی را وادار به اقداماتی کند که خطرهای تحریف بااهمیت، از جمله خطر تحریف بااهمیت ناشی از تقلب را افزایش دهد یا خیر. الزامات و رهنمودهای بیشتر در رابطه با خطرهای ناشی از تقلب در استاندارد ۲۴۰ مطرح شده است.
تـ۴۴. اندازهگیری و بررسی عملکرد مالی همانند نظارت بر کنترلها (به عنوان جزیی از کنترلهای داخلی، طبق بندهای تـ ۱۰۶ تا تـ ۱۱۷) نیست، هر چند اهداف آنها ممکن است همپوشانی داشته باشد:
- اندازهگیری و بررسی عملکرد به این موضوع میپردازد که آیا عملکرد واحد تجاری، اهداف تعیین شده توسط مدیران اجرایی (یا اشخاص ثالث) را براورده میکند یا خیر.
- نظارت بر کنترلها، مشخصاً با اجرای اثر بخش کنترلها رابطه دارد.
با این وجود، در برخی موارد، شاخصهای عملکرد نیز اطلاعاتی را فراهم میکند که براساس آن، مدیران اجرایی میتوانند ضعفهای کنترلهای داخلی را مشخص کنند.
تـ۴۵. مثالهایی از اطلاعات درونسازمانی مورد استفاده مدیران اجرایی برای اندازهگیری و بررسی عملکرد مالی، که ممکن است مدنظر حسابرس قرار گیرد، شامل موارد زیر است:
- شاخصهای اصلی عملکرد (مالی و غیرمالی) و نسبتها، روندها و آمارهای عملیاتی اصلی.
- تجزیه و تحلیلهای ادواری عملکرد مالی.
- بودجهها، پیشبینیها، تحلیل انحرافات، اطلاعات قسمتها و گزارشهای عملکرد بخشها، دوایر یا سایر سطوح.
- معیارهای اندازهگیری عملکرد کارکنان و سیاستهای انگیزشی برای جبران خدمات آنان.
- مقایسه عملکرد واحد تجاری با عملکرد رقبا.
تـ۴۶. اشخاص برونسازمانی نیز ممکن است عملکرد مالی واحد تجاری را اندازهگیری و بررسی کنند. برای مثال، اطلاعات برونسازمانی مانند گزارشهای تحلیلگران و مؤسسات رتبهبندی اعتبار واحدهای تجاری ممکن است اطلاعات مفیدی را برای شناخت حسابرس از واحد تجاری و محیط آن فراهم کند. چنین گزارشهایی را اغلب میتوان از واحد تجاری مورد حسابرسی دریافت کرد.
تـ۴۷. معیارهای اندازهگیری درونسازمانی ممکن است نتایج یا روندهای غیرمنتظرهای را نشان دهد که لازم میشود مدیران اجرایی علت آنها را تعیین و اقدام اصلاحی (در برخی موارد شامل کشف و اصلاح به موقع تحریفها) را انجام دهند. معیارهای اندازهگیری عملکرد همچنین ممکن است خطر تحریف اطلاعات مرتبط مندرج در صورتهای مالی را برای حسابرس نمایان سازد. برای مثال، معیارهای اندازهگیری عملکرد ممکن است نشانگر آن باشد که واحد تجاری در مقایسه با سایر واحدهای تجاری همان صنعت، سودآوری یا رشد سریع غیرعادی دارد. این اطلاعات، به ویژه چنانچه با عوامل دیگری چون پاداش یا مشوقهای مبتنی بر عملکرد ترکیب شود، ممکن است نشاندهنده خطر بالقوه تهیه جانبدارانه صورتهای مالی توسط مدیران اجرایی باشد.
ملاحظات خاص واحدهای تجاری کوچک
تـ۴۸. واحدهای تجاری کوچک اغلب دارای فرایندهایی برای اندازهگیری و بررسی عملکرد مالی خود نیستند. پرس و جو از مدیران اجرایی ممکن است بیانگر این باشد که آنها برای ارزیابی عملکرد مالی و انجام اقدامات مناسب، بر شاخصهای کلیدی مشخصی اتکا میکنند. اگر این پرس و جوها حاکی از نبود اندازهگیری یا بررسی عملکرد باشد، ممکن است خطر زیادی در ارتباط با تحریفهای کشف نشده و اصلاح نشده وجود داشته باشد.
کنترلهای داخلی واحد تجاری (رک : بند ۱۲)
تـ۴۹. شناخت کنترلهای داخلی، حسابرس را در تشخیص انواع تحریفهای بالقوه، عوامل مؤثر بر خطرهای تحریف بااهمیت، و طراحی ماهیت، زمانبندی اجرا و میزان روشهای حسابرسی لازم یاری میرساند.
تـ۵۰. توضیحات کاربردی مربوط به کنترلهای داخلی در چهار بخش زیر ارائه شده است:
- ماهیت و ویژگیهای عمومی کنترلهای داخلی.
- کنترلهای مرتبط با حسابرسی.
- ماهیت و میزان شناخت از کنترلهای مرتبط.
- اجزای کنترلهای داخلی.
ماهیت و ویژگیهای عمومی کنترلهای داخلی
هدف کنترلهای داخلی
تـ۵۱. کنترلهای داخلی برای مقابله با آن دسته از خطرهای تجاری که دستیابی به اهداف زیر را تهدید میکند، طراحی، اعمال و حفظ میشوند:
- قابل اتکا بودن گزارشگری مالی واحد تجاری،
- کارایی و اثربخشی عملیات واحد تجاری، و
- رعایت قوانین و مقررات مربوط.
چگونگی طراحی، اعمال و حفظ کنترلهای داخلی بسته به اندازه و پیچیدگی واحد تجاری متفاوت است.
ملاحظات خاص واحدهای تجاری کوچک
ت.۵۲. واحدهای تجاری کوچک ممکن است برای دستیابی به اهداف خود از ابزارها، روشها و فرایندهای سادهتر استفاده کنند.
محدودیتهای کنترلهای داخلی
تـ۵۳. کنترلهای داخلی، صرفنظر از میزان اثربخشی آنها، تنها میتوانند اطمینانی معقول از دستیابی به اهداف گزارشگری مالی برای واحد تجاری فراهم کنند. احتمال دستیابی به این اهداف، تحت تأثیر محدودیتهای ذاتی کنترلهای داخلی است. این محدودیتها، شامل این واقعیت است که قضاوت انسان هنگام تصمیمگیری میتواند توأم با اشتباه باشد، و به دلیل خطاهای انسانی، کنترلهای داخلی میتوانند مختل شوند. برای مثال، ممکن است در رابطه با طراحی یا تغییر یک کنترل داخلی، اشتباهی رخ دهد. همچنین کارکرد یک کنترل داخلی ممکن است اثربخش نباشد. برای مثال، زمانی که اطلاعات تهیه شده برای اهداف کنترلهای داخلی (مانند گزارش موارد استثناء) به طور اثربخشی مورد استفاده قرار نگیرد که دلیل آن میتواند عدم شناخت مسئول بررسی اطلاعات از اهداف آن یا قصور در انجام اقدامات مناسب باشد.
تـ۵۴. افزون بر این، کنترلها ممکن است به وسیله تبانی دو یا چند نفر یا زیرپاگذاری آنها توسط مدیران اجرایی، بیاثر شوند. برای مثال، مدیران اجرایی ممکن است به توافقهایی جنبی با مشتریان برسند که مفاد و شرایط استاندارد قراردادهای فروش واحد تجاری را تغییر دهد و بدینسان، به شناخت درآمد نادرست بینجامد. همچنین، کنترلهای ویرایشی تعبیه شده در برنامههای نرمافزاری که برای تشخیص و گزارش معاملات افزون بر سقف اعتباری مشخصی طراحی شده، ممکن است نادیده گرفته شود یا به عمد از کار انداخته شود.
تـ۵۵. علاوه بر این، در طراحی و اعمال کنترلها، مدیران اجرایی ممکن است در خصوص ماهیت و میزان کنترلهای انتخاب شده برای اعمال، و ماهیت و میزان خطرهای قابل قبول، قضاوتهایی را انجام دهند.
ملاحظات خاص واحدهای تجاری کوچک
تـ۵۶. واحدهای تجاری کوچک اغلب کارکنان کمتری دارند که این موضوع ممکن است میزان تفکیک وظایف را محدود کند. با این وجود، در واحدهای کوچکی که مالک، مدیریت آن را بر عهده دارد ممکن است مدیرـ مالک بتواند در مقایسه با واحدهای تجاری بزرگتر، نظارت مؤثرتری اعمال کند. این نظارت ممکن است فرصتهای عموماً محدودتر تفکیک وظایف در این واحدها را جبران کند.
تـ۵۷. از طرف دیگر، مدیرـ مالک ممکن است به دلیل سادهتر بودن ساختار سیستم کنترلهای داخلی، توانایی بیشتری برای زیرپاگذاری کنترلهای داخلی داشته باشد. حسابرس در زمان تشخیص خطرهای تحریف بااهمیت ناشی از تقلب، این موضوع را مورد توجه قرار میدهد.
تفکیک اجزای کنترلهای داخلی
تـ۵۸. تفکیک کنترلهای داخلی به اجزای پنجگانه زیر، چارچوب مفیدی را برای حسابرس فراهم میکند تا به ارزیابی چگونگی تأثیر جنبههای مختلف کنترلهای داخلی واحد تجاری بر حسابرسی بپردازد:
الف ـ محیط کنترلی،
ب ـ فرایند ارزیابی خطر توسط واحد تجاری،
پ ـ سیستم اطلاعاتی، شامل فرایندهای تجاری مربوط، مرتبط با گزارشگری مالی و اطلاعرسانی،
ت ـ فعالیتهای کنترلی، و
ث ـ نظارت بر کنترلها.
این تقسیمبندی لزوماً چگونگی طراحی، اعمال و حفظ کنترلهای داخلی یا چگونگی طبقهبندی اجزای آن توسط واحد تجاری را نشان نمیدهد. حسابرسان میتوانند به منظور تشریح جنبههای مختلف کنترلهای داخلی و اثر آنها بر حسابرسی، از واژگان یا چارچوبهایی متفاوت با موارد مندرج در این استاندارد استفاده کنند، مشروط به اینکه همه اجزای توصیف شده در این استاندارد را در نظر بگیرند.
تـ۵۹. توضیحات کاربردی مرتبط با اجزای کنترلهای داخلی که به حسابرسی صورتهای مالی مربوط هستند، در بندهای تـ ۷۶ تا تـ ۱۱۷ تشریح شده است. در پیوست ۱، توضیحات بیشتری در مورد این اجزا ارائه شده است.
ویژگیهای عناصر دستی و خودکار کنترلهای داخلی مرتبط با فرایند ارزیابی خطر توسط حسابرس
تـ۶۰. سیستم کنترلهای داخلی واحد تجاری شامل عناصر دستی و عناصر خودکار است. ویژگیهای عناصر دستی یا خودکار کنترلهای داخلی بر فرایند ارزیابی خطر توسط حسابرس و روشهای حسابرسی لازم مبتنی بر آن روشها، مؤثر است.
تـ۶۱. استفاده از عناصر دستی یا خودکار در کنترلهای داخلی، بر نحوه انجام، ثبت، پردازش و گزارش معاملات نیز اثر میگذارد.
- کنترلها در یک سیستم دستی ممکن است شامل روشهایی چون تصویب و بررسی معاملات، و مغایرتیابی و پیگیری اقلام باز باشد. از سوی دیگر، واحد تجاری ممکن است برای انجام، ثبت، پردازش و گزارش معاملات از روشهای خودکار استفاده کند که در این صورت، سوابق الکترونیکی جایگزین مستندات کاغذی میشود.
- کنترلها در سیستمهای فناوری اطلاعات شامل ترکیبی از کنترلهای خودکار (برای مثال، کنترلهای تعبیه شده در برنامههای رایانهای) و کنترلهای دستی است. افزون بر این، کنترلهای دستی ممکن است مستقل از فناوری اطلاعات باشد، از اطلاعات تهیه شده توسط فناوری اطلاعات استفاده کند یا به نظارت بر اثربخشی کارکرد فناوری اطلاعات و کنترلهای خودکار و همچنین، پیگیری موارد استثنا محدود شود. در مواردی که برای انجام، ثبت، پردازش یا گزارش معاملات یا سایر اطلاعات مالی مندرج در صورتهای مالی از فناوری اطلاعات استفاده میشود، سیستمها و برنامهها ممکن است شامل کنترلهای مربوط به ادعاهای مرتبط با حسابهای بااهمیت باشد یا از لحاظ عملکرد مؤثر کنترلهای دستی متکی به فناوری اطلاعات، نقش اساسی داشته باشد.
ترکیب عناصر دستی و خودکار کنترلهای داخلی واحد تجاری بر حسب ماهیت و پیچیدگی استفاده آن از فناوری اطلاعات، متفاوت است.
تـ۶۲. معمولاً فناوری اطلاعات مزیتهایی را برای کنترلهای داخلی واحد تجاری فراهم میکند، زیرا واحد تجاری را قادر به انجام موارد زیر میکند:
- بکارگیری یکنواخت قواعد تجاری از پیش تعیین شده و انجام محاسبات پیچیده در پردازش حجم بزرگی از معاملات یا دادهها،
- افزایش قابلیت دسترسی، به موقع بودن و صحت اطلاعات،
- تسهیل تحلیل بیشتر اطلاعات،
- افزایش توان نظارت بر عملکرد واحد تجاری و سیاستها و رویههای آن،
- کاهش خطر نادیده گرفتن کنترلها، و
- افزایش توان دستیابی به تفکیک مؤثر وظایف از طریق استقرار کنترلهای ایمنی در برنامههای کاربردی، بانکهای اطلاعاتی و سیستمهای عامل.
تـ۶۳. فناوری اطلاعات، کنترلهای داخلی واحد تجاری را در معرض خطرهای خاصی چون موارد زیر نیز قرار میدهد:
- اعتماد به سیستمها یا برنامههایی که دادهها را نادرست پردازش میکنند، دادههای نادرست را پردازش میکنند، یا هر دو.
- دسترسی غیرمجاز به دادهها، که ممکن است موجب از بین رفتن دادهها یا تغییر نابجا در دادهها، شامل ثبت معاملات غیرمجاز یا واهی، یا ثبت نادرست معاملات شود. در مواردی که بیش از یک استفادهکننده به یک بانک اطلاعاتی مشترک دسترسی دارند، ممکن است خطرهای خاصی ایجاد شود.
- احتمال برخورداری کارکنان فناوری اطلاعات از امکان دسترسی بیش از حد نیاز برای انجام وظایف خود و از اینرو، نقض تفکیک وظایف.
- تغییرات غیر مجاز دادهها در پروندههای اصلی.
- تغییرات غیرمجاز در سیستمها یا برنامهها.
- قصور در انجام تغییرات لازم در سیستمها و برنامهها.
- دخالتهای دستی نامناسب.
- احتمال از دست رفتن دادهها یا ناتوانی در دسترسی به دادههای مورد نیاز.
تـ۶۴. در وضعیتهایی نظیر موارد زیر که مستلزم قضاوت و آزادی عمل است، عناصر دستی کنترلهای داخلی ممکن است مناسبتر باشد:
- وجود معاملات بزرگ، غیرعادی یا غیرمکرر.
- شرایطی که تشخیص یا پیشبینی اشتباهات دشوار است.
- شرایط متغیری که مستلزم یک واکنش کنترلی، فراتر از حدود یک کنترل خودکار موجود، است.
- نظارت بر اثربخشی کنترلهای خودکار.
تـ۶۵. عناصر دستی کنترلهای داخلی ممکن است کمتر از عناصر خودکار قابل اتکا باشد، زیرا به آسانی میتواند دور زده شود، نادیده گرفته شود یا زیر پا گذاشته شود و همچنین، بیشتر در معرض رخداد اشتباهات و خطاهای ساده قرار دارد. از این رو، نمیتوان فرض کرد که عناصر دستی کنترلهای داخلی به طور یکنواخت اعمال میشود. کنترلهای دستی ممکن است در موارد زیر مناسب نباشد:
- معاملات متعدد یا مستمر، یا در شرایطی که اشتباهات مورد انتظار یا قابل پیشبینی میتواند به وسیله پارامترهای کنترلی خودکار، پیشگیری یا کشف و اصلاح شود.
- فعالیتهای کنترلی، در مواردی که راهکارهای خاص اجرای یک کنترل را میتوان به نحو مناسب طراحی و خودکار کرد.
تـ۶۶. میزان و ماهیت خطرهای کنترلهای داخلی به ماهیت و ویژگیهای سیستم اطلاعاتی واحد تجاری بستگی دارد. واحد تجاری در واکنش به خطرهای ناشی از بکارگیری فناوری اطلاعات یا استفاده از عناصر دستی کنترلهای داخلی، با توجه به ویژگیهای سیستم اطلاعاتی واحد تجاری، کنترلهای مؤثری برقرار میکند.
کنترلهای مرتبط با حسابرسی
تـ۶۷. بین اهداف واحد تجاری و کنترلهایی که برای حصول اطمینان معقول از دستیابی به آن اهداف برقرار میشود، ارتباط مستقیمی وجود دارد. اهداف واحد تجاری و از این رو کنترلها، به گزارشگری مالی، عملیات و رعایت قوانین و مقررات مربوط میشود، اما، همه این اهداف و کنترلها به ارزیابی خطر توسط حسابرس مربوط نمیشود.
تـ۶۸. عوامل مرتبط با قضاوت حسابرس درباره اینکه آیا یک کنترل، به تنهایی یا همراه با سایر کنترلها، با حسابرسی ارتباط دارند یا خیر، عبارتند از:
- اهمیت.
- عمده بودن خطر مربوط.
- اندازه واحد تجاری.
- ماهیت فعالیت واحد تجاری، شامل ویژگیهای سازمانی و مالکیتی آن.
- تنوع و پیچیدگی عملیات واحد تجاری.
- الزامات قانونی و مقرراتی مربوط.
- شرایط موجود و اجزای مربوط کنترلهای داخلی.
- ماهیت و پیچیدگی سیستمهایی که بخشی از کنترلهای داخلی واحد تجاری محسوب میشوند، از جمله برونسپاری خدمات مالی.
- وجود یک کنترل خاص که به تنهایی یا همراه با سایر کنترلها از وقوع تحریفهای بااهمیت پیشگیری یا آنها را کشف و اصلاح میکند، و نحوه عمل آن.
تـ۶۹. کنترلهای مربوط به کامل بودن و صحت اطلاعات تهیه شده توسط واحد تجاری در صورتی ممکن است به حسابرسی مربوط شود که حسابرس بخواهد از این اطلاعات در طراحی و اجرای روشهای حسابرسی بیشتر استفاده کند. کنترلهای مرتبط با اهداف عملیاتی و رعایتی نیز در صورتی میتواند به حسابرسی ربط داشته باشد که به اطلاعات ارزیابی شده یا استفاده شده توسط حسابرس در اجرای روشهای حسابرسی مربوط باشد.
تـ۷۰. کنترلهای داخلی مربوط به حفاظت از داراییها در برابر تحصیل، استفاده یا واگذاری غیرمجاز، ممکن است شامل کنترلهای مرتبط با اهداف عملیاتی و گزارشگری مالی باشد. معمولاً حسابرس ارزیابی خود از این قبیل کنترلها را به موارد مرتبط با قابل اتکا بودن گزارشگری مالی محدود میکند.
تـ۷۱. واحد تجاری معمولاً کنترلهایی در ارتباط با اهدافی دارد که به حسابرسی مربوط نمیشود و از این رو، نیاز به بررسی ندارد. برای مثال، واحد تجاری ممکن است برای دستیابی به عملیات اثربخش و کارا، به یک سیستم پیچیده کنترلهای خودکار (مانند سیستم کنترلهای خودکار برنامههای پرواز خطوط هوایی) متکی باشد، ولی این کنترلها معمولاً به حسابرسی مربوط نمیشود. علاوه بر این، اگر چه کنترلهای داخلی به کل واحد تجاری یا هر یک از واحدهای عملیاتی یا فرایندهای تجاری آن مربوط میباشد، اما، شناخت کنترلهای داخلی مربوط به هر یک از واحدهای عملیاتی و فرایندهای تجاری واحد تجاری ممکن است به حسابرسی مربوط نباشد.
ملاحظات خاص واحدهای بخش عمومی
تـ۷۲. حسابرسان واحدهای بخش عمومی، اغلب مسئولیت بیشتری در رابطه با کنترلهای داخلی دارند، برای مثال ارائه گزارش در رابطه با رعایت آییننامهها و بخشنامهها. حسابرسان واحدهای بخش عمومی میتوانند مسئولیت گزارش رعایت قوانین، مقررات یا سایر الزامات را نیز داشته باشند. بنابراین، بررسی کنترلهای داخلی توسط حسابرسان بخش عمومی میتواند گستردهتر و مفصلتر باشد.
ماهیت و میزان شناخت از کنترلهای مرتبط (رک : بند ۱۳)
تـ۷۳. ارزیابی طراحی یک کنترل به این معنی است که آیا آن کنترل، به تنهایی یا همراه با سایر کنترلها، توان پیشگیری یا کشف و اصلاح مؤثر تحریفهای بااهمیت را دارد یا خیر. اعمال یک کنترل به معنای وجود کنترل و بکارگیری آن توسط واحد تجاری است. ارزیابی نحوه اعمال کنترلی که اثربخش نیست سودمند نمیباشد و ازاینرو، ارزیابی طراحی کنترل مقدم بر ارزیابی نحوه اعمال آن است. طراحی نامناسب یک کنترل ممکن است نشانه ضعفی بااهمیت در کنترلهای داخلی واحد تجاری باشد.
تـ۷۴. روشهای ارزیابی خطر برای کسب شواهد حسابرسی درباره طراحی و اعمال کنترلهای مربوط، ممکن است شامل موارد زیر باشد:
- پرس و جو از کارکنان واحد تجاری.
- مشاهده اعمال کنترلهای خاص.
- وارسی مدارک و گزارشها.
- ردیابی معاملات در سیستم اطلاعاتی مرتبط با گزارشگری مالی.
با این حال، برای ارزیابی طراحی و اعمال یک کنترل مربوط، انجام پرس و جو به تنهایی کافی نیست.
تـ۷۵. کسب شناخت از کنترلهای واحد تجاری به منظور آزمون اثربخشی کارکرد کنترلها کافی نیست، مگر اینکه یک سیستم خودکار برای کارکرد یکنواخت کنترلها وجود داشته باشد. برای مثال، کسب شواهد حسابرسی درباره اعمال یک کنترل دستی در یک مقطع زمانی، فراهم کننده شواهد حسابرسی درباره اثربخشی کارکرد آن کنترل در سایر مقاطع زمانی طی دوره مورد حسابرسی نیست. با این حال، به دلیل یکنواختی ذاتی پردازش در فناوری اطلاعات (به بند تـ۶۲ رجوع شود) و با توجه به ارزیابی حسابرس و آزمون کنترلهایی نظیر کنترلهای مربوط به تغییرات برنامه، اجرای روشهای حسابرسی برای تشخیص اعمال یا عدماعمال یک کنترل خودکار میتواند به عنوان آزمون اثربخشی کارکرد آن کنترل نیز محسوب شود. در استاندارد ۳۳۰[۱۲]، توضیحات بیشتری در مورد آزمون اثربخشی کارکرد کنترلها ارائه شده است.
اجزای کنترلهای داخلیـ محیط کنترلی (رک : بند ۱۴)
تـ۷۶. محیط کنترلی شامل وظایف راهبری و مدیریتی و نگرش، آگاهی و اقدامات ارکان راهبری و مدیران اجرایی نسبت به کنترلهای داخلی و اهمیت آن در واحد تجاری است. محیط کنترلی با شکل دادن جو عمومی واحد تجاری، بر هشیاری کنترلی کارکنان اثر میگذارد.
تـ۷۷. عناصری از محیط کنترلی که میتواند هنگام کسب شناخت از محیط کنترلی مربوط تلقی شود، عبارتند از:
الف ـ اشاعه و تقویت درستکاری و ارزشهای اخلاقی. عناصر زیربنایی مؤثر بر اثربخشی طراحی، اجرا و نظارت بر کنترلها.
ب ـ پایبندی به صلاحیت. موضوعاتی نظیر توجه مدیران اجرایی به سطوح صلاحیت لازم برای مشاغل خاص و چگونگی تبیین آن در قالب تجربه و دانش مورد نیاز.
پ ـ. مشارکت ارکان راهبری. ویژگیهای ارکان راهبری نظیر:
- استقلال آنها از مدیران اجرایی.
- تجربه و حسن شهرت آنها.
- میزان مشارکت آنها، اطلاعاتی که دریافت میکنند و بررسی دقیق فعالیتها.
- مناسب بودن اقدامات آنها، شامل طرح موضوعات پیچیده با مدیران اجرایی و پیگیری آن و همچنین تعامل آنها با حسابرسان داخلی و مستقل.
ت ـ دیدگاهها و سبک کاری مدیران اجرایی. ویژگیهای مدیران اجرایی نظیر:
- رویکرد آنها نسبت به پذیرش و مدیریت خطرهای تجاری.
- نگرش و اقدامات آنها نسبت به گزارشگری مالی.
- نگرش آنها نسبت به پردازش اطلاعات و وظایف و کارکنان حسابداری.
ث ـ ساختار سازمانی. چارچوب لازم برای برنامهریزی، اجرا، کنترل و بررسی فعالیتهای واحد تجاری برای دستیابی به اهداف آن.
ج ـ تعیین اختیار و مسئولیت. چگونگی تعیین اختیار و مسئولیت فعالیتهای عملیاتی و نحوه برقراری روابط گزارشگری و سلسله مراتب اختیارات.
چ ـ سیاستها و روشهای مدیریت منابع انسانی. سیاستها و روشهای مرتبط با مواردی نظیر استخدام، آشناسازی، آموزش، ارزیابی، مشاوره، ارتقا، حقوق و مزایا و اقدامات اصلاحی.
شواهد حسابرسی برای عناصر محیط کنترلی
تـ۷۸. شواهد حسابرسی مربوط ممکن است از طریق ترکیبی از روشهای پرس و جو و سایر روشهای ارزیابی خطر، مانند تأیید پرس و جوها از طریق مشاهده یا وارسی مدارک، کسب شود. برای مثال، حسابرس میتواند با پرس و جو از مدیران اجرایی و کارکنان، از نحوه اطلاعرسانی نظرات مدیران اجرایی به کارکنان درباره روشهای انجام کار و رفتار اخلاقی، شناخت کسب کند. حسابرس ممکن است اعمال شدن یا نشدن کنترلها را مثلاً از طریق آییننامه رفتاری مدون و اقدامات مدیران اجرایی برای پشتیبانی از آن تعیین کند.
تـ۷۹. همچنین حسابرس ممکن است بررسی کند که برخورد مدیران اجرایی نسبت به یافتهها و پیشنهادهای واحد حسابرسی داخلی درخصوص ضعفهای مشخص شده در کنترلهای داخلی مرتبط با حسابرسی چگونه بوده است، از جمله اینکه آیا و چگونه چنین برخوردهایی اجرا شدهاند، و آیا بعداً این برخوردها توسط واحد حسابرسی داخلی مورد ارزیابی قرار گرفته است یا خیر.
اثر محیط کنترلی بر ارزیابی خطرهای تحریف بااهمیت
تـ۸۰. برخی عناصر محیط کنترلی واحد تجاری اثری فراگیر بر ارزیابی خطرهای تحریف بااهمیت دارد. برای مثال، هشیاری کنترلی واحد تجاری به میزان زیادی تحت تأثیر ارکان راهبری است، زیرا یکی از نقشهای آنها متعادل کردن فشارهای وارد بر مدیران اجرایی در ارتباط با گزارشگری مالی است که ممکن است ناشی از تقاضای بازار یا طرحهای پاداش باشد. بنابراین، اثربخشی طراحی محیط کنترلی از لحاظ مشارکت ارکان راهبری تحت تأثیر عواملی مانند موارد زیر قرار میگیرد:
- استقلال آنها از مدیران اجرایی و توانایی آنها برای ارزیابی اقدامات مدیران اجرایی.
- شناخت آنها از معاملات واحد تجاری.
- میزان ارزیابی آنها از انطباق صورتهای مالی با چارچوب گزارشگری مالی مربوط.
تـ۸۱. وجود هیئت مدیره فعال و مستقل ممکن است دیدگاهها و سبک کاری مدیران اجرایی را تحت تأثیر قرار دهد. اما سایر عوامل ممکن است آثار کمتری داشته باشند. برای مثال، اگر چه سیاستها و روشهای مدیریت منابع انسانی مبتنی بر استخدام کارکنان کارآمد امور مالی و فناوری اطلاعات ممکن است خطر بروز اشتباه در پردازش اطلاعات مالی را کاهش دهد، ولی ممکن است گرایش شدید مدیران اجرایی رده بالا را برای بیشنمایی سود کاهش ندهد.
تـ۸۲. در مواردی که حسابرس خطرهای تحریف بااهمیت را ارزیابی میکند، وجود یک محیط کنترلی مناسب میتواند عاملی مثبت باشد. هر چند که محیط کنترلی مناسب، به طور مطلق از تقلب پیشگیری نمیکند، اما ممکن است به کاهش خطر تقلب کمک کند. برعکس، ضعفهای موجود در محیط کنترلی ممکن است اثربخشی کنترلها را از بین ببرد و از این رو، در ارزیابی حسابرس از خطرهای تحریف بااهمیت، به خصوص در ارتباط با تقلب، عاملی منفی محسوب شود. برای مثال، قصور مدیران اجرایی در تخصیص منابع کافی برای برخورد با خطرهای ایمنی ویژه فناوری اطلاعات، ممکن است از طریق فراهم شدن امکان انجام تغییرات نادرست در برنامهها یا اطلاعات رایانهای یا پردازش معاملات غیرمجاز، بر کنترلهای داخلی اثر منفی داشته باشد. همانطور که در استاندارد ۳۳۰ ذکر شده است، محیط کنترلی بر ماهیت، زمانبندی اجرا و میزان روشهای حسابرسی لازم نیز مؤثر است[۱۳].
تـ۸۳. محیط کنترلی به تنهایی از وقوع یک تحریف بااهمیت، پیشگیری، یا آن را کشف و اصلاح نمیکند، اما، میتواند ارزیابی حسابرس از اثربخشی سایر کنترلها (برای مثال، نظارت بر کنترلها و اجرای فعالیتهای کنترلی خاص) و در نتیجه، ارزیابی خطرهای تحریف بااهمیت توسط حسابرس را تحت تأثیر قرار دهد.
ملاحظات خاص واحدهای تجاری کوچک
تـ۸۴. محیط کنترلی در واحدهای تجاری کوچک احتمالاً متفاوت از واحدهای تجاری بزرگتر است. برای مثال، ارکان راهبری واحدهای تجاری کوچک نمیتوانند مستقل یا خارج از سازمان باشند، و در مواردی که صاحب سرمایه دیگری وجود نداشته باشد، وظیفه اداره واحد تجاری اغلب مستقیماً به عهده مدیرـ مالک است. ماهیت محیط کنترلی همچنین ممکن است اهمیت سایر کنترلها یا فقدان آنها را تحت تأثیر قرار دهد. برای مثال، مشارکت فعال مدیرـ مالک ممکن است برخی از خطرهای ناشی از عدم تفکیک وظایف در واحدهای تجاری کوچک را کاهش دهد ولی سایر خطرها مانند خطر نادیده گرفتن کنترلها را افزایش دهد.
تـ۸۵. علاوه بر این، شواهد حسابرسی درباره اجزای محیط کنترلی در واحدهای تجاری کوچک ممکن است مدون نباشد، به خصوص در مواردی که اطلاعرسانی بین مدیران اجرایی و سایر کارکنان در این واحدها به صورت غیررسمی و در عین حال، مؤثر انجام شود. برای مثال، یک واحد تجاری کوچک ممکن است ملزم به داشتن آیین رفتاری مدون نباشد. اما در عوض، با اطلاعرسانی شفاهی الگوهای رفتاری مدیران اجرایی، فرهنگی در واحد تجاری ترویج یابد که بر اهمیت درستکاری و رفتار اخلاقی تأکید دارد.
تـ۸۶. در نتیجه، نگرش، آگاهی و اقدامات مدیران اجرایی یا مدیرـ مالک در شناخت حسابرس از محیط کنترلی واحدهای تجاری کوچک، از اهمیت خاصی برخوردار است.
اجزای کنترلهای داخلیـ فرایند ارزیابی خطر توسط واحد تجاری (رک: بند ۱۵)
تـ۸۷. فرایند ارزیابی خطر توسط واحد تجاری، مبنای تصمیمگیری مدیران اجرایی برای تشخیص خطرهایی است که باید مدیریت شوند. چنانچه فرایند ارزیابی خطر توسط واحد تجاری برای شرایط موجود، (از جمله ماهیت، اندازه و پیچیدگی واحد تجاری) مناسب باشد، حسابرس را در تشخیص خطرهای تحریف بااهمیت کمک میکند. اینکه آیا فرایند ارزیابی خطر واحد تجاری مناسب شرایط موجود است یا خیر، به قضاوت حسابرس بستگی دارد.
ملاحظات خاص واحدهای تجاری کوچک (رک: بند ۱۷)
تـ۸۸. وجود یک فرایند ارزیابی خطر مدون در یک واحد تجاری کوچک، بعید به نظر میرسد. در چنین مواردی، به احتمال زیاد، مدیران اجرایی، این خطرها را از طریق مشارکت مستقیم در امور تجاری تشخیص میدهند. با این حال، صرفنظر از شرایط موجود، پرس و جو در مورد خطرهای مشخص شده و نحوه برخورد با آنها توسط مدیران اجرایی، ضروری است.
اجزای کنترلهای داخلیـ سیستم اطلاعاتی، شامل فرایندهای تجاری مربوط، مرتبط با گزارشگری مالی و اطلاعرسانی
سیستم اطلاعاتی، شامل فرایندهای تجاری مربوط، مرتبط با گزارشگری مالی (رک: بند ۱۸)
تـ۸۹. سیستم اطلاعاتی مرتبط با اهداف گزارشگری مالی که سیستم حسابداری را نیز شامل میشود، دربرگیرنده روشها و سوابق طراحی و مستقر شده برای موارد زیر است:
- انجام، ثبت، پردازش و گزارش معاملات و نیز رویدادها و شرایط واحد تجاری و پاسخگویی در ارتباط با داراییها و بدهیهای مرتبط و حقوق صاحبان سرمایه،
- اصلاح موارد پردازش نادرست معاملات، برای مثال، تشخیص نواقص اطلاعاتی معاملات (اقلام معلق) به طور خودکار و نحوه عمل واحد تجاری برای حل و فصل به موقع این گونه اقلام،
- فرایند نقض سیستم یا دور زدن کنترلها و چگونگی مستندسازی آن،
- انتقال اطلاعات از سیستمهای پردازش معاملات به دفاتر حسابداری،
- کسب اطلاعات مرتبط با گزارشگری مالی درباره شرایط و رویدادهایی غیر از معاملات، مانند استهلاک داراییها و تغییر در قابلیت وصول حسابهای دریافتنی، و
- حصول اطمینان از اینکه اطلاعات لازم برای افشا طبق چارچوب گزارشگری مالی مربوط، جمعآوری، ثبت، پردازش، تلخیص و به طور مناسبی در صورتهای مالی گزارش شده است.
ثبتهای حسابداری
تـ۹۰. سیستم اطلاعاتی یک واحد تجاری معمولاً مشتمل بر ثبتهای حسابداری معمول است که به طور مستمر برای ثبت معاملات، الزامی است. برای مثال، میتوان به ثبتهای حسابداری خرید، فروش و پرداخت وجوه نقد، یا ثبتهای مربوط به براوردهای حسابداری که به طور ادواری توسط مدیران اجرایی انجام میشود، مانند تغییر در براورد حسابهای دریافتنی لاوصول، اشاره کرد.
تـ۹۱. فرایند گزارشگری مالی یک واحد تجاری همچنین شامل ثبتهای حسابداری غیرمعمول برای معاملات یا تعدیلات غیرعادی و غیرمستمر میباشد. نمونههایی از چنین ثبتهایی شامل تعدیلات تلفیقی و ثبتهای مربوط به ترکیبهای تجاری یا واگذاری واحدهای فرعی یا براوردهای غیرمستمر مانند کاهش ارزش دارایی است. در سیستمهای ثبت دستی، ثبتهای حسابداری غیرمعمول ممکن است از طریق وارسی حسابها و مستندات پشتوانه، مشخص شود. در مواردی که برای نگهداری حسابها و تهیه صورتهای مالی از روشهای خودکار استفاده میشود، چنین ثبتهایی تنها میتواند به شکل الکترونیکی وجود داشته باشد و ممکن است با استفاده از تکنیکهای حسابرسی به کمک رایانه به آسانی شناسایی شود.
فرایندهای تجاری مربوط
تـ۹۲. منظور از فرایندهای تجاری واحد تجاری، فعالیتهای طراحی شده برای مقاصد زیراست:
- توسعه، خرید، تولید، فروش و توزیع کالاها و خدمات واحد تجاری،
- حصول اطمینان از رعایت قوانین و مقررات، و
- ثبت اطلاعات، شامل اطلاعات حسابداری و گزارشگری مالی.
فرایندهای تجاری منجر به معاملاتی میشود که باید توسط سیستم اطلاعاتی واحد تجاری، ثبت، پردازش و گزارش شود. کسب شناخت از فرایندهای تجاری واحد تجاری شامل کسب شناخت از نحوه انجام معاملات، به حسابرس در کسب شناخت از سیستم اطلاعاتی مرتبط با گزارشگری مالی، متناسب با شرایط واحد تجاری، کمک میکند.
ملاحظات خاص واحدهای تجاری کوچک
تـ۹۳. سیستمهای اطلاعاتی و فرایندهای تجاری مرتبط با گزارشگری مالی در واحدهای تجاری کوچک به احتمال زیاد نسبت به واحدهای تجاری بزرگتر، پیچیدگی کمتری دارد. اما، نقش آن در همه واحدهای تجاری به یک اندازه مهم است. واحدهای تجاری کوچکی که مدیران اجرایی آن مشارکت فعالی دارند، ممکن است نیازی به توصیف گسترده روشهای حسابداری، ثبتهای حسابداری پیچیده یا دستورالعملهای مدون نداشته باشند. از این رو، شناخت سیستمها و فرایندهای واحدهای تجاری کوچک ممکن است سادهتر باشد و به پرس و جو وابستگی بیشتری داشته باشد تا به بررسی مستندات. با این حال، نیاز به کسب شناخت در این واحدها همچنان مهم است.
اطلاع رسانی (رک : بند ۱۹)
تـ۹۴. اطلاعرسانی وظایف و مسئولیتهای گزارشگری مالی و موضوعات عمده مرتبط با گزارشگری مالی توسط واحد تجاری، شامل تبیین وظایف و مسئولیتهای افراد در ارتباط با کنترلهای داخلی حاکم بر گزارشگری مالی است. این اطلاعرسانی شامل موضوعاتی نظیر میزان شناخت کارکنان از نحوه ارتباط فعالیتهای خود در سیستم اطلاعاتی گزارشگری مالی با کار دیگران و شیوههای گزارشگری موارد استثنا به مسئولین ذیربط در واحد تجاری است. اطلاعرسانی ممکن است به اشکال مختلفی از جمله دستورالعملهای مربوط به خطمشی واحد تجاری و دستورالعملهای مربوط به گزارشگری مالی انجام شود. کانالهای باز اطلاعرسانی میتواند این اطمینان را فراهم کند که موارد استثنا، گزارش و پیگیری شده است.
ملاحظات خاص واحدهای تجاری کوچک
تـ۹۵. اطلاعرسانی در واحدهای تجاری کوچک به دلیل کمتر بودن سطوح مسئولیت و حضور مشهودتر مدیران اجرایی و دسترسی بیشتر به آنها، نسبت به واحدهای بزرگتر ممکن است سادهتر باشد.
اجزای کنترلهای داخلیـ فعالیتهای کنترلی مرتبط با حسابرسی (رک: بند۲۰)
تـ۹۶. فعالیتهای کنترلی، سیاستها و روشهایی است که به کمک آن از اجرای دستورات مدیران اجرایی اطمینان حاصل میشود. فعالیتهای کنترلی، در سیستمهای دستی و رایانهای، اهداف متعددی دارد و در بخشها و سطوح سازمانی مختلف اعمال میشود. نمونههایی از فعالیتهای کنترلی خاص، شامل فعالیتهای مرتبط با موارد زیر است:
- تصویب.
- بررسیهای عملکرد.
- پردازش اطلاعات.
- کنترلهای فیزیکی.
- تفکیک وظایف.
تـ۹۷. فعالیتهای کنترلی مرتبط با حسابرسی عبارتند از:
- کنترلهای مربوط به خطرهای عمده و همچنین کنترلهای مربوط به خطرهایی که آزمونهای محتوا به تنهایی شواهد حسابرسی کافی و مناسب فراهم نمیکند (به شرح، بندهای ۲۹ و ۳۰)، یا
- کنترلهایی که به قضاوت حسابرس، مربوط محسوب میشوند.
تـ۹۸. قضاوت حسابرس درباره مرتبط بودن یک فعالیت کنترلی با حسابرسی تحت تأثیر خطر مشخص شده توسط حسابرس (که میتواند منجر به تحریف بااهمیت گردد)، و مناسب بودن آزمون اثربخشی کارکرد آن کنترل در تعیین میزان آزمونهای محتوا از نظر حسابرس، است.
تـ۹۹. حسابرس ممکن است بر تشخیص و کسب شناخت از فعالیتهای کنترلی مربوط به حوزههایی تأکید داشته باشد که به نظر وی احتمال وجود خطرهای تحریف بااهمیت در آنها بیشتر است. زمانی که چند فعالیت کنترلی، هدف مشابهی داشته باشند، کسب شناخت از تمامی فعالیتهای کنترلی مرتبط با آن هدف، ضرورتی ندارد.
تـ۱۰۰. اطلاعات کسب شده از طریق شناخت سایر اجزای کنترلهای داخلی درباره وجود یا نبود فعالیتهای کنترلی، به حسابرس در تعیین ضرورت توجه بیشتر به کسب شناخت از فعالیتهای کنترلی کمک میکند.
ملاحظات خاص واحدهای تجاری کوچک
تـ۱۰۱. مفاهیم اساسی فعالیتهای کنترلی در واحدهای تجاری کوچک به احتمال زیاد مشابه فعالیتهای کنترلی در واحدهای تجاری بزرگتر است، اما نحوه اعمال آنها متفاوت است. علاوه بر این، در واحدهای تجاری کوچک ممکن است به دلیل اعمال کنترلها توسط مدیران اجرایی، وجود انواع مشخصی از فعالیتهای کنترلی مورد نداشته باشد. برای مثال، حفظ اختیار تعیین سقف فروشهای اعتباری و تصویب خریدهای عمده توسط مدیران اجرایی، میتواند کنترلهای قوی را بر مانده حسابها و معاملات مهم حاکم کند که نیاز به فعالیتهای کنترلی مفصل را برطرف نموده یا کمتر کند.
تـ۱۰۲. فعالیتهای کنترلی مرتبط با حسابرسی واحدهای تجاری کوچک به احتمال زیاد به چرخههای اصلی معاملات مانند درآمدها، خریدها و هزینههای پرسنلی مربوط میشود.
خطرهای ناشی از فناوری اطلاعات (رک: بند ۲۱)
تـ۱۰۳. استفاده از فناوری اطلاعات، نحوه اعمال فعالیتهای کنترلی را تحت تأثیر قرار میدهد. از نظر حسابرس، کنترلهای حاکم بر سیستمهای اطلاعاتی هنگامی مؤثر است که درستی اطلاعات و امنیت دادههای مورد پردازش در این سیستمها را حفظ کند و شامل کنترلهای اثربخش عمومی و کاربردی فناوری اطلاعات باشد.
تـ۱۰۴. کنترلهای عمومی فناوری اطلاعات، سیاستها و روشهایی است که به نرمافزارهای کاربردی متعددی مربوط میشود و از کارکرد مؤثر کنترلهای کاربردی پشتیبانی میکند. کنترلهای عمومی در محیط رایانههای بزرگ، رایانههای متوسط و کاربران نهایی کاربرد دارد. کنترلهای عمومی فناوری اطلاعات که درستی اطلاعات و امنیت دادهها را حفظ میکنند معمولاً شامل کنترلهای مربوط به موارد زیر است:
- مرکز دادهها و عملیات شبکه.
- تحصیل، تغییر و نگهداری نرمافزار سیستم.
- تغییر برنامه.
- امنیت دسترسی.
- تحصیل، توسعه و نگهداری سیستم کاربردی.
کنترلهای یاد شده معمولاً به منظور برخورد با خطرهای مندرج در بند تـ۶۳ اجرا میشود.
تـ۱۰۵. کنترلهای کاربردی، روشهای دستی یا خودکاری است که معمولاً در سطح فرایندهای تجاری اجرا میشود و برای پردازش معاملات توسط نرمافزارهای کاربردی خاص بکار میرود. کنترلهای کاربردی میتواند ماهیت پیشگیریکنندگی یا کشفکنندگی داشته باشد و برای حصول اطمینان از درستی سوابق حسابداری طراحی میشود. از این رو، کنترلهای کاربردی به روشهای مورد استفاده در انجام، ثبت، پردازش و گزارش معاملات یا سایر اطلاعات مالی مربوط میشود. به کمک این کنترلها اطمینان حاصل میشود که معاملات انجام شده، به تصویب رسیده و به طور کامل و درست ثبت و پردازش شدهاند. نمونههایی از این کنترلها شامل بازبینی ویرایشی دادههای ورودی، و کنترل شماره سریال همراه با پیگیری دستی گزارشهای موارد استثنا یا اصلاح در زمان ورود دادهها است.
اجزای کنترلهای داخلیـ نظارت بر کنترلها (رک: بند ۲۲)
تـ۱۰۶. نظارت بر کنترلها، فرایندی برای ارزیابی اثربخشی عملکرد کنترلهای داخلی در طول زمان است. این نظارت شامل ارزیابی به موقع اثربخشی کنترلها و انجام اقدامات اصلاحی ضروری است. مدیران اجرایی، نظارت بر کنترلها را از طریق فعالیتهای مستمر، ارزیابیهای جداگانه، یا ترکیبی از هر دو، اعمال میکنند. فعالیتهای نظارتی مستمر اغلب در فعالیتهای مستمر عادی واحد تجاری تعبیه میشود و شامل فعالیتهای معمول مدیریتی و سرپرستی است.
تـ۱۰۷. فعالیتهای نظارتی مدیران اجرایی میتواند شامل استفاده از اطلاعات به دست آمده از مکاتبات اشخاص برونسازمانی مانند شکایتهای مشتریان و همچنین نظرات دستگاههای نظارتی نیز باشد که ممکن است وجود مشکلات یا زمینههای نیازمند اصلاح را آشکار کند.
ملاحظات خاص واحدهای تجاری کوچک
تـ۱۰۸. نظارت مدیران اجرایی بر کنترلهای داخلی اغلب از طریق مشارکت مستقیم مدیران اجرایی یا مدیرـ مالک در عملیات اعمال میشود. چنین مشارکتی اغلب موجب تشخیص انحرافات عمده از انتظارات و اطلاعات مالی نادرست و در نتیجه، اصلاح کنترلها میشود.
واحد حسابرسی داخلی (رک : بند ۲۳)
تـ۱۰۹. چنانچه واحد تجاری دارای واحد حسابرسی داخلی باشد، کسب شناخت از این واحد، به حسابرس در شناخت واحد تجاری و محیط آن، شامل کنترلهای داخلی، به ویژه نقش واحد حسابرسی داخلی در نظارت بر کنترلهای داخلی حاکم بر گزارشگری مالی، کمک میکند. همچنین این شناخت، همراه با اطلاعات کسب شده از طریق پرس و جوهای مطرح شده در بند ۶ـ الف این استاندارد، ممکن است فراهمکننده اطلاعاتی باشد که مستقیماً به تشخیص و ارزیابی خطرهای تحریف بااهمیت توسط حسابرس مربوط میشود.
تـ۱۱۰. اهداف و دامنه کار واحد حسابرسی داخلی، ماهیت مسئولیتها و جایگاه آن در سازمان، شامل پاسخگویی و حوزه اختیارات آن، بسیار متنوع بوده و به اندازه و ساختار واحد تجاری و خواستههای مدیران اجرایی و در صورت لزوم، ارکان راهبری بستگی دارد. این موضوعات ممکن است در منشور یا چارچوب کار واحد حسابرسی داخلی تشریح شده باشد.
تـ۱۱۱. مسئولیتهای واحد حسابرسی داخلی ممکن است شامل اجرای روشها و ارزیابی نتایج آنها به منظور فراهم ساختن اطمینان برای مدیران اجرایی و ارکان راهبری درخصوص طراحی و اثربخشی مدیریت خطر، کنترلهای داخلی، و فرایندهای راهبری، باشد. در این حالت، واحد حسابرسی داخلی ممکن است نقش مهمی در نظارت واحد تجاری بر کنترلهای داخلی حاکم بر گزارشگری مالی داشته باشد. اما، مسئولیتهای واحد حسابرسی داخلی ممکن است بر ارزیابی اثربخشی، کارایی و صرفه اقتصادی عملیات متمرکز باشد، که در این حالت، ممکن است کار واحد حسابرسی داخلی مستقیماً به گزارشگری مالی واحد تجاری مربوط نشود.
تـ۱۱۲. پرس و جوهای حسابرس از اشخاص ذیربط در واحد حسابرسی داخلی (طبق بند ۶ـ الف این استاندارد)، به حسابرس در کسب شناخت از ماهیت مسئولیتهای واحد حسابرسی داخلی کمک میکند. چنانچه حسابرس به این نتیجه برسد که مسئولیتهای واحد حسابرسی داخلی، با گزارشگری مالی مرتبط است، ممکن است از طریق بررسی برنامه حسابرسی واحد حسابرسی داخلی برای همان دوره (در صورت وجود)، و مذاکره در مورد آن برنامه با اشخاص ذیربط در واحد حسابرسی داخلی، شناخت بیشتری از فعالیتهای انجام شده توسط واحد حسابرسی داخلی یا فعالیتهایی که قرار است توسط آن واحد انجام شود، کسب کند.
تـ۱۱۳. اگر ماهیت مسئولیتها و فعالیتهای اطمینانبخشی واحد حسابرسی داخلی با گزارشگری مالی مرتبط باشد، حسابرس ممکن است بتواند از کار واحد حسابرسی داخلی برای تعدیل ماهیت یا زمانبندی اجرا، یا کاهش میزان روشهای حسابرسی که قرار است مستقیماً توسط حسابرس برای کسب شواهد حسابرسی انجام شود، استفاده کند. در مواردی که به عنوان مثال، برمبنای تجارب حسابرس از حسابرسی دورههای قبلی یا نتایج حاصل از روشهای ارزیابی خطر، مشخص شود واحد تجاری دارای واحد حسابرسی داخلی است که متناسب با اندازه واحد تجاری و ماهیت عملیات آن، دارای منابع کافی و مناسب است و ارتباط گزارشگری مستقیمی با ارکان راهبری دارد، احتمال بیشتری میرود که حسابرسان از کار واحد حسابرسی داخلی استفاده کنند.
تـ۱۱۴. چنانچه حسابرس براساس شناخت اولیه خود از واحد حسابرسی داخلی، بخواهد از کار واحد حسابرسی داخلی برای تعدیل ماهیت یا زمانبندی اجرا، یا کاهش میزان روشهای حسابرسی که قرار است انجام شود، استفاده کند، باید الزامات استاندارد ۶۱۰ را رعایت کند.
تـ۱۱۵. فعالیتهای واحد حسابرسی داخلی متمایز از سایر کنترلهای نظارتی است که ممکن است به گزارشگری مالی مربوط باشد (مثل بررسی اطلاعات حسابداری مدیریت که برای کمک به تشخیص نحوه پیشگیری یا کشف تحریفها توسط واحد تجاری طراحی شده است).
تـ۱۱۶. برقراری ارتباط با اشخاص ذیربط واحد حسابرسی داخلی، در مراحل اولیه کار حسابرسی، و حفظ این ارتباط در جریان انجام کار، میتواند موجب تسهیل فرایند تبادل اطلاعات گردد. انجام این کار محیطی را ایجاد میکند که در آن حسابرس میتواند از موضوعات بااهمیتی مطلع شود که واحد حسابرسی داخلی به آنها توجه کرده است و احتمال دارد بر کار حسابرس مؤثر باشد. در استاندارد ۲۰۰، بر اهمیت برنامهریزی و اجرای حسابرسی با حفظ تردید حرفهای تأکید شده است که شامل هشیاری نسبت به اطلاعاتی است که در مورد قابل اتکا بودن اسناد و مدارک و نتایج حاصل از پرس و جوهای مورد استفاده به عنوان شواهد حسابرسی، تردید ایجاد میکند. بر این اساس، برقراری ارتباط با واحد حسابرسی داخلی در جریان کار حسابرسی، ممکن است فرصتهایی برای حسابرسان داخلی ایجاد کند تا چنین اطلاعاتی را به حسابرس ارائه کنند. در نتیجه، حسابرس قادر است این اطلاعات را در فرایند تشخیص و ارزیابی خطرهای تحریف بااهمیت، مدنظر قرار دهد.
منابع اطلاعات (رک : بند ۲۴)
تـ۱۱۷. بسیاری از اطلاعات مورد استفاده برای نظارت ممکن است توسط سیستم اطلاعاتی واحد تجاری تهیه شود. چنانچه مدیران اجرایی فرض کنند که اطلاعات مورد استفاده برای نظارت، درست است بدون آنکه برای این فرض مبنایی داشته باشند، ممکن است اشتباهاتی در آن اطلاعات وجود داشته باشد که به طور بالقوه موجب نتیجهگیری نادرست مدیران اجرایی از فعالیتهای نظارتی خود شود. بنابراین کسب شناخت از:
- منابع اطلاعاتی مربوط به فعالیتهای نظارتی واحد تجاری، و
- مبنای مدیران اجرایی در ارزیابی کفایت قابل اتکا بودن اطلاعات برای هدف مورد نظر،
به عنوان بخشی از شناخت فعالیتهای نظارتی واحد تجاری و به عنوان جزئی از کنترلهای داخلی، ضروری است.
تشخیص و ارزیابی خطرهای تحریف بااهمیت
ارزیابی خطرهای تحریف بااهمیت در سطح صورتهای مالی (رک: بند ۲۵ـ الف)
تـ۱۱۸. خطرهای تحریف بااهمیت در سطح صورتهای مالی به خطرهایی اشاره دارد که به طور فراگیر با صورتهای مالی به عنوان یک مجموعه واحد ارتباط دارند و به طور بالقوه بسیاری از ادعاهای مدیران اجرایی را تحت تأثیر قرار میدهند. خطرهایی با این ماهیت، لزوماً به وسیله ادعاهای خاص در سطح گروه معاملات، مانده حسابها و موارد افشا قابل تشخیص نیستند، بلکه بیانگر شرایطی هستند که میتواند منجر به افزایش خطرهای تحریف بااهمیت در سطح ادعا (برای مثال، از طریق زیرپاگذاشتن کنترلهای داخلی توسط مدیران اجرایی) شود. خطرهای در سطح صورتهای مالی به ویژه ممکن است به بررسی خطرهای تحریف بااهمیت ناشی از تقلب توسط حسابرس مربوط باشد.
تـ۱۱۹. خطرهای در سطح صورتهای مالی به ویژه ممکن است از یک محیط کنترلی ضعیف ناشی شود (اگر چه این خطرها ممکن است به سایر عوامل مثل شرایط رکود اقتصادی نیز مربوط باشد). برای مثال، ضعفهایی چون عدم صلاحیت مدیران اجرایی میتواند اثر فراگیرتری بر صورتهای مالی داشته باشد و ممکن است مستلزم برخورد کلی توسط حسابرس باشد.
تـ۱۲۰. شناخت حسابرس از کنترلهای داخلی ممکن است تردیدهایی را درباره قابلیت حسابرسی صورتهای مالی واحد تجاری ایجاد کند. برای مثال:
- نگرانی درباره درستکاری مدیران اجرایی واحد تجاری ممکن است چنان جدی باشد که حسابرس را به این نتیجه برساند که خطر ارائه نادرست صورتهای مالی توسط مدیران اجرایی در حدی است که انجام حسابرسی میسر نیست.
- نگرانی درباره وضعیت و قابل اتکا بودن سوابق واحد تجاری ممکن است سبب این نتیجهگیری حسابرس شود که دسترسی به شواهد حسابرسی کافی و مناسب برای اظهارنظر تعدیل نشده نسبت به صورتهای مالی امکانپذیر نیست.
تـ۱۲۱. در استاندارد ۷۰۵[۱۴]، الزامات و رهنمودهایی برای تعیین ضرورت ارائه نظر مشروط یا عدم اظهارنظر، یا کنارهگیری از کار در مواردی که طبق قوانین و مقررات مربوط، کنارهگیری مجاز باشد، ارائه شده است.
ارزیابی خطرهای تحریف بااهمیت در سطح ادعا (رک: بند ۲۵ـ ب)
تـ۱۲۲. ارزیابی خطرهای تحریف بااهمیت در سطح ادعاها برای گروههای معاملات، مانده حسابها و موارد افشا ضروری است زیرا به طور مستقیم در تعیین ماهیت، زمانبندی اجرا و میزان روشهای حسابرسی لازم (که برای کسب شواهد کافی و مناسب در سطح ادعا ضروری است)، به حسابرس کمک میکند. در تشخیص و ارزیابی خطرهای تحریف بااهمیت در سطح ادعا، حسابرس ممکن است به این نتیجه برسد که خطرهای مشخص شده به طور بسیار فراگیرتری، به صورتهای مالی به عنوان یک مجموعه واحد مربوط میشود و به طور بالقوه ادعاهای بیشتری را تحت تأثیر قرار میدهد.
استفاده از ادعاها
تـ۱۲۳. مدیران اجرایی برای بیان اینکه صورتهای مالی طبق چارچوب گزارشگری مالی مربوط تهیه شده است، به صورت ضمنی یا صریح ادعاهایی را درخصوص شناخت، اندازهگیری، ارائه و افشای اقلام گوناگون صورتهای مالی و موارد افشای مربوط به آنها ارائه میکنند.
تـ۱۲۴. ادعاهای مورد استفاده حسابرس برای ارزیابی انواع مختلف تحریفهای بالقوه ممکن است در سه گروه زیر قرار گیرد:
الف ـ ادعاهای مربوط به گروههای معاملات و رویدادهای واقع شده در دوره مورد رسیدگی:
۱. وقوعـ معاملات و رویدادهای ثبت شده، رخ دادهاند و مربوط به واحد تجاری میباشند.
۲. کامل بودنـ همه معاملات و رویدادهایی که باید ثبت شوند، ثبت شدهاند.
۳. صحیح بودنـ مبالغ و دیگر اطلاعات مرتبط با معاملات و رویدادهای ثبت شده، به درستی ثبت شدهاند.
۴. انقطاع زمانیـ معاملات و رویدادها در دوره مالی مربوط ثبت شدهاند.
۵. طبقهبندیـ معاملات و رویدادها در حسابهای مناسبی ثبت شدهاند.
ب ـ ادعاهای مربوط به مانده حسابها در پایان دوره:
۱. وجودـ داراییها، بدهیها و حقوق صاحبان سرمایه وجود دارند.
۲. حقوق مالکانه و تعهداتـ حقوق مترتب بر داراییها متعلق به واحد تجاری و در کنترل آن است و بدهیها، تعهدات واحد تجاری است.
۳. کامل بودنـ تمام داراییها، بدهیها و حقوق صاحبان سرمایه که باید ثبت شوند، ثبت شدهاند.
۴. ارزشیابی و تخصیصـ داراییها، بدهیها و حقوق صاحبان سرمایه به مبالغ درست در صورتهای مالی، منعکس و هرگونه تعدیل ناشی از ارزشیابی یا تخصیص به نحو مناسب ثبت شدهاند.
پ ـ ادعاهای مربوط به ارائه و افشا:
- وقوع و حقوق مالکانه و تعهداتـ رویدادها، معاملات و دیگر موضوعات افشا شده، رخ دادهاند و مربوط به واحد تجاری میباشند.
- کامل بودن ـ همه مواردی که باید در صورتهای مالی افشا شود، افشا شده است.
- طبقهبندی و قابل فهم بودنـ اطلاعات مالی به نحو مناسب، ارائه و توصیف و موارد افشا به روشنی بیان شده است.
- صحت و ارزشیابیـ اطلاعات مالی و غیرمالی به نحو مطلوب و با مبالغ درست افشا شده است.
تـ۱۲۵. حسابرس میتواند از ادعاهای مدیریت همانگونه که در بالا توصیف شده یا به نحوی دیگر، با این شرط که همه جنبههای مذکور پوشش داده شود، استفاده کند. برای مثال، حسابرس میتواند ادعاهای مربوط به معاملات و رویدادها را با ادعاهای مربوط به مانده حسابها ترکیب کند.
ملاحظات خاص واحدهای بخش عمومی
تـ۱۲۶. مدیران اجرایی در زمان ابراز ادعاهای خود در رابطه با صورتهای مالی واحدهای بخش عمومی، علاوه بر ادعاهای مطرح شده در بند تـ۱۲۴، اغلب ممکن است ادعا کنند که معاملات و رویدادها طبق قوانین و مقررات و یا با مجوز مراجع ذیصلاح انجام شده است. این گونه ادعاها ممکن است در دامنه حسابرسی صورتهای مالی قرار گیرد.
فرایند تشخیص خطرهای تحریف بااهمیت (رک : بند ۲۶ـ الف)
تـ۱۲۷. اطلاعات گردآوری شده از طریق اجرای روشهای ارزیابی خطر، شامل شواهد حسابرسی کسب شده در ارزیابی طراحی کنترلها و تعیین اجرا یا عدم اجرای آنها، به عنوان شواهد حسابرسی پشتوانه ارزیابی خطر، مورد استفاده قرار میگیرد. از فرایند ارزیابی خطر برای تعیین ماهیت، زمانبندی اجرا و میزان روشهای حسابرسی لازم استفاده میشود.
تـ۱۲۸. در پیوست ۲، مثالهایی از رویدادها و شرایطی که ممکن است بیانگر وجود خطرهای تحریف بااهمیت باشد، ارائه شده است.
ارتباط دادن کنترلها به ادعاها (رک: بند ۲۶ـ پ)
تـ۱۲۹. حسابرس در فرایند ارزیابی خطر ممکن است کنترلهایی را مشخص کند که به احتمال زیاد از بروز تحریفهای بااهمیت در ادعاهای خاص، پیشگیری یا آنها را کشف و اصلاح میکنند. کسب شناخت از کنترلها و ربط دادن آنها به ادعاهایی که در چارچوب فرایندها و سیستمها وجود دارد، معمولاً سودمند است زیرا هر یک از فعالیتهای کنترلی اغلب به خودی خود به یک خطر مربوط نمیشود. اغلب، چندین فعالیت کنترلی همراه با سایر اجزای کنترلهای داخلی، برای مقابله با یک خطر کفایت میکند.
تـ۱۳۰. در مقابل، برخی فعالیتهای کنترلی ممکن است بر یک ادعای مربوط به یک گروه معاملات یا مانده حساب خاص اثری ویژه داشته باشد. برای مثال، فعالیتهای کنترلی که واحد تجاری برای اطمینان یافتن از شمارش و ثبت درست موجودیهای فیزیکی پایان سال توسط کارکنان خود، برقرار میکند، مستقیماً به ادعاهای وجود و کامل بودن مانده حساب موجودی مواد و کالا مربوط میشود.
تـ۱۳۱. کنترلها میتوانند به صورت مستقیم یا غیرمستقیم به یک ادعا مربوط شوند. هر قدر ارتباط یک کنترل غیرمستقیمتر باشد، ممکن است اثربخشی آن کنترل در پیشگیری، یا کشف و اصلاح تحریفها در آن ادعا کمتر باشد. برای مثال، بررسی خلاصه فروش فروشگاههای هر منطقه توسط مدیر فروش، معمولاً فقط به طور غیرمستقیم با ادعای کامل بودن درآمد فروش ارتباط دارد. از این رو، این کنترل ممکن است در مقایسه با کنترلهایی که ارتباط مستقیمتری با آن ادعا دارند (مانند مطابقت مدارک حمل با صورتحساب فروش) در کاهش خطر مرتبط با آن ادعا اثربخشی کمتری داشته باشد.
خطرهای عمده
تشخیص خطرهای عمده (رک : بند ۲۸)
تـ۱۳۲. خطرهای عمده اغلب به معاملات عمده غیرمعمول یا موضوعات قضاوتی عمده مربوط میشود. معاملات غیرمعمول، معاملاتی هستند که از لحاظ اندازه یا ماهیت، غیرعادی هستند و از این رو، به ندرت رخ میدهند. موضوعات قضاوتی میتواند شامل انجام براوردهای حسابداری در مواردی باشد که ابهام اندازهگیری عمدهای وجود دارد. احتمال وجود خطر عمده در مورد معاملات عادی و غیرپیچیدهای که به طور منظم پردازش میشوند، پایین است.
تـ۱۳۳. خطرهای تحریف بااهمیت ممکن است در مورد معاملات عمده غیرمعمول ناشی از موضوعاتی چون موارد زیر، بیشتر باشد:
- دخالت بیش از حد مدیران اجرایی در تعیین نحوه عمل حسابداری.
- دستی بودن بخش عمدهای از عملیات گردآوری و پردازش دادهها.
- محاسبات یا استانداردهای حسابداری پیچیده.
- ماهیت معاملات غیرمعمول که ممکن است واحد تجاری را در اعمال کنترلهای مؤثر نسبت به خطرها با دشواری روبرو کند.
تـ۱۳۴. خطرهای تحریف بااهمیت ممکن است در مورد موضوعات قضاوتی عمدهای بیشتر باشد که مستلزم انجام براوردهای حسابداری برای موضوعاتی نظیر موارد زیر است:
- استانداردهای حسابداری مربوط به براوردهای حسابداری یا شناخت درآمد ممکن است به گونههای متفاوتی تفسیر شود.
- قضاوت لازم ممکن است ذهنی، پیچیده یا مستلزم مفروضاتی درباره آثار رویدادهای آتی باشد، برای مثال، قضاوت درباره ارزش منصفانه.
تـ۱۳۵. در استاندارد ۳۳۰، پیامدهای اجرای روشهای حسابرسی لازم برای تشخیص یک خطر به عنوان خطر عمده توصیف شده است[۱۵].
خطرهای عمده مرتبط با خطرهای تحریف بااهمیت ناشی از تقلب
تـ۱۳۶. در استاندارد ۲۴۰، الزامات و رهنمودهای بیشتری در ارتباط با تشخیص و ارزیابی خطرهای تحریف بااهمیت ناشی از تقلب ارائه شده است.[۱۶]
شناخت کنترلهای مرتبط با خطرهای عمده (رک: بند ۲۹)
تـ۱۳۷. اگرچه خطرهای مرتبط با موضوعات غیرمعمول یا قضاوتی عمده اغلب به احتمال کمتری در معرض کنترلهای معمول قرار دارند، اما مدیران اجرایی ممکن است برخوردهای دیگری با این خطرها داشته باشند. از این رو، شناخت حسابرس از نحوه طراحی و اعمال کنترلها در مورد خطرهای عمده ناشی از موضوعات غیرمعمول یا قضاوتی، شامل نحوه برخورد یا عدم برخورد مدیران اجرایی با این خطرها میشود. برخی از این برخوردها ممکن است شامل موارد زیر باشد:
- فعالیتهای کنترلی مانند بررسی مفروضات توسط مدیران اجرایی ارشد یا کارشناسان.
- فرایندهای مدون برای انجام براوردها.
- تصویب توسط ارکان راهبری.
تـ۱۳۸. برای مثال، در مواردی که رویدادهای استثنایی مانند دریافت اخطاریه در مورد دعاوی حقوقی عمده وجود دارد، توجه به نحوه برخورد واحد تجاری شامل موضوعاتی مانند ارجاع یا عدم ارجاع آن به کارشناسان مناسب (مانند مشاور حقوقی درون سازمانی یا برونسازمانی)، براورد یا عدم براورد اثر بالقوه، و چگونگی افشای آن در صورتهای مالی است.
تـ۱۳۹. در برخی موارد، مدیران اجرایی ممکن است کنترلهای مناسبی برای خطرهای عمده، اعمال نکرده باشند. قصور مدیران اجرایی در اعمال چنین کنترلهایی، ممکن است نشانه ضعف بااهمیتی در کنترلهای داخلی واحد تجاری باشد[۱۷].
خطرهایی که آزمونهای محتوا، به تنهایی شواهد حسابرسی کافی و مناسب برای آنها فراهم نمیکنند (رک: بند ۳۰)
تـ۱۴۰. خطرهای تحریف بااهمیت ممکن است مستقیماً به ثبت گروههای معاملات یا مانده حسابهای معمول و تهیه صورتهای مالی قابل اتکا مربوط باشند. این گونه خطرها میتوانند شامل خطر پردازش نادرست یا ناقص گروههای عمده معاملات مانند درآمدها، خریدها و دریافتها و یا پرداختهای نقدی واحد تجاری باشند.
تـ۱۴۱. در مواردی که معاملات تجاری معمول تا حد زیادی به طور خودکار، بدون دخالت انسان یا با حداقل دخالت انسان پردازش میشوند ممکن است اجرای آزمونهای محتوا به تنهایی در رابطه با خطر کافی نباشد. برای مثال، در شرایطی که بخش عمدهای از اطلاعات واحد تجاری، به طور الکترونیکی، مثلاً از طریق یک سیستم اطلاعاتی یکپارچه، شروع، ثبت، پردازش یا گزارش میشود، حسابرس ممکن است تشخیص دهد که اجرای آزمونهای محتوا به تنهایی در رابطه با خطر کافی نیست. در چنین مواردی:
- شواهد حسابرسی ممکن است تنها به شکل الکترونیکی در دسترس باشد و کافی و مناسب بودن آن معمولاً به اثربخشی کنترلهای حاکم بر صحیح و کامل بودن آن شواهد بستگی دارد.
- اگر کنترلهای مناسب به طور مؤثر اعمال نشود، احتمال شروع نادرست یا تغییر اطلاعات و عدم کشف آن بیشتر میشود.
تـ۱۴۲. پیامدهای تشخیص چنین خطرهایی بر روشهای حسابرسی در استاندارد ۳۳۰ توصیف شده است[۱۸].
تجدید نظر در ارزیابی خطر (رک : بند ۳۱)
تـ۱۴۳. در جریان حسابرسی، ممکن است توجه حسابرس به اطلاعاتی جلب شود که با اطلاعات مبنای ارزیابی خطر، تفاوت قابل توجهی داشته باشد. برای مثال، ارزیابی خطر ممکن است با این فرض انجام شده باشد که برخی کنترلها به طور اثربخش اعمال میشوند. در اجرای آزمون آن کنترلها، حسابرس ممکن است شواهدی کسب کند مبنی بر اینکه آن کنترلها در مقاطع زمانی مورد نظر به طور اثربخش اعمال نشدهاند. همچنین، حسابرس در اجرای آزمونهای محتوا ممکن است تحریفهایی را کشف کند که از نظر مبلغ یا فراوانی، بیشتر از میزان مورد انتظار در ارزیابیهای خطر توسط وی باشد. در چنین شرایطی، ارزیابی خطر ممکن است به نحو مناسب، منعکسکننده شرایط واقعی واحد تجاری نباشد و روشهای حسابرسی لازم برنامهریزی شده ممکن است در کشف تحریفهای بااهمیت، مؤثر واقع نشود. برای راهنمایی بیشتر به استاندارد ۳۳۰ مراجعه شود.
مستندسازی (رک : بند ۳۲)
تـ۱۴۴. حسابرس شیوه مستندسازی الزامات بند ۳۲ را با استفاده از قضاوت حرفهای تعیین میکند. برای مثال، در حسابرسی واحدهای تجاری کوچک، حسابرس ممکن است این مستندسازی را همراه با مستندسازی طرح کلی و برنامه حسابرسی انجام دهد[۱۹]. به همین ترتیب، نتایج ارزیابی خطر ممکن است به طور جداگانه یا به عنوان بخشی از مستندسازی سایر روشهای حسابرسی، مستند شود[۲۰]. شکل و میزان این مستندسازی تحت تأثیر ماهیت، اندازه و پیچیدگی واحد تجاری و کنترلهای داخلی آن، قابلیت دسترسی به اطلاعات واحد تجاری و متدولوژی و فناوری مورد استفاده در حسابرسی است.
تـ۱۴۵. در واحدهای تجاری که فرایندها و عملیات مرتبط با گزارشگری مالی آنها ساده است، شکل مستندسازی ممکن است ساده و نسبتاً مختصر باشد. مستندکردن کل شناخت حسابرس از واحد تجاری و موضوعات مربوط به آن، ضروری نیست. عناصر اصلی شناخت که حسابرس مستند میکند شامل مواردی میشود که مبنای ارزیابی خطرهای تحریف بااهمیت قرار گرفته است.
تـ۱۴۶. میزان مستندسازی همچنین ممکن است بیانگر تجارب و تواناییهای اعضای تیم حسابرسی باشد. با شرط رعایت همیشگی الزامات استاندارد ۲۳۰، ممکن است نیاز باشد تا در مواردی که حسابرسی توسط تیمی متشکل از افراد کمتجربه اجرا میشود (در مقایسه با انجام حسابرسی توسط افراد با تجربه)، مستندسازی مفصلتری انجام شود تا بدینوسیله شناخت مناسبتری از واحد تجاری کسب شود.
تـ۱۴۷. در حسابرسیهای بعدی، برخی مستندات ممکن است دوباره مورد استفاده قرار گیرد. این مستندات باید با توجه به تغییرات صورت گرفته در عملیات یا فرایندهای تجاری واحد تجاری، بهروز شود.
پیوست ۱
(رک : بندهای ۴ـپ، ۱۴ تا ۲۴، تـ۷۶ تا تـ۱۱۷)
اجزای کنترلهای داخلی
۱ . در این پیوست، توضیحات بیشتری درباره اجزای کنترلهای داخلی مرتبط با حسابرسی صورتهای مالی، که در بندهای ۴ـپ، ۱۴ تا ۲۴، و تـ۷۶ تا تـ۱۱۷ مطرح شده است، ارائه میشود.
محیط کنترلی
۲ . محیط کنترلی شامل عناصر زیر است:
الف ـ اشاعه و تقویت درستکاری و ارزشهای اخلاقی. اثربخشی کنترلها نمیتواند فراتر از درستکاری و ارزشهای اخلاقی افرادی باشد که آنها را ایجاد و اداره نموده و بر آنها نظارت میکنند. درستکاری و ارزشهای اخلاقی محصول استانداردهای رفتاری و اخلاقی واحد تجاری، نحوه اطلاعرسانی آنها، و نحوه تقویت آنها در عمل است. تقویت درستکاری و ارزشهای اخلاقی، برای مثال، شامل اقدامات مدیران اجرایی برای حذف یا کاهش انگیزهها و وسوسههایی است که میتواند کارکنان را به انجام اقدامات نادرست، غیرقانونی، یا غیراخلاقی ترغیب کند. اطلاعرسانی سیاستهای واحد تجاری در مورد درستکاری و ارزشهای اخلاقی میتواند شامل اطلاعرسانی استانداردهای رفتاری به کارکنان، از طریق بخشنامهها، آییننامه رفتاری و الگوسازی باشد.
ب ـ پایبندی به صلاحیت. صلاحیت یعنی داشتن دانش و تجربه لازم برای انجام وظایفی که برای شغل فرد تعریف شده است.
پ ـ مشارکت ارکان راهبری. هشیاری کنترلی واحد تجاری به شدت تحت تأثیر ارکان راهبری آن است. اهمیت مسئولیتهای ارکان راهبری در اساسنامه واحد تجاری و یا سایر قوانین و مقررات یا رهنمودهای مربوط که برای ارکان راهبری تهیه شده است، مشخص میشود. سایر مسئولیتهای ارکان راهبری شامل نظارت کلی بر طراحی و کارکرد اثربخش روشهای خبررسانی و فرایند بررسی اثربخشی کنترلهای داخلی واحد تجاری است.
ت ـ دیدگاهها و سبک عمل مدیران اجرایی. دیدگاهها و سبک عمل اجرایی مدیران اجرایی دامنه وسیعی از ویژگیها را دربرمیگیرد. برای مثال، دیدگاهها و اقدامات مدیران اجرایی نسبت به گزارشگری مالی ممکن است به صورت انتخاب محافظهکارانه یا جسورانه از بین روشهای حسابداری مختلف و هشیاری و محافظهکاری در انجام براوردهای حسابداری نمود پیدا کند.
ث ـ ساختار سازمانی. برای ایجاد یک ساختار سازمانی مناسب، توجه به حیطههای اصلی اختیار و مسئولیت و مرزهای مناسب گزارشگری، ضروری است. مناسب بودن ساختار سازمانی واحد تجاری، به اندازه و ماهیت فعالیتهای آن بستگی دارد.
ج ـ تعیین اختیار و مسئولیت. تعیین اختیار و مسئولیت ممکن است شامل سیاستهای مربوط به انجام عملیات تجاری مناسب، دانش و تجربه کارکنان اصلی، و منابع فراهم شده برای انجام وظایف باشد. به علاوه، عامل یاد شده میتواند شامل سیاستها و اطلاعرسانیهای لازم برای اطمینان یافتن از این موضوع باشد که همه کارکنان، اهداف واحد تجاری را درک میکنند، چگونگی ارتباط متقابل وظایف خود با دیگران و تأثیر آن در دستیابی به اهداف واحد تجاری را میدانند، و تشخیص میدهند که چگونه و در چه مواردی پاسخگو خواهند بود.
چ ـ سیاستها و روشهای مدیریت منابع انسانی. سیاستها و روشهای مدیریت منابع انسانی، اغلب موضوعات مهمی را در رابطه با هشیاری کنترلی واحد تجاری مشخص میکند. برای مثال، استانداردهای استخدام واجد شرایطترین افراد (با تأکید بر سابقه تحصیلی، تجربه کاری قبلی، عملکرد گذشته و شواهد درستکاری و ارزشهای اخلاقی)، پایبندی واحد تجاری به استخدام کارکنان با صلاحیت و قابل اعتماد را نشان میدهد. سیاستهای آموزشی که وظایف و مسئولیتهای مورد انتظار را تبیین میکند و شامل اقداماتی مانند برگزاری دورههای آموزشی و همایشهاست، عملکرد و رفتار مورد انتظار را تشریح میکند. ارتقا برمبنای ارزیابی دورهای عملکرد، پایبندی واحد تجاری به ارتقای کارکنان واجد شرایط به سطوح بالاتر مسئولیت را نشان میدهد.
فرایند ارزیابی خطر توسط واحد تجاری
۳ . برای مقاصد گزارشگری مالی، فرایند ارزیابی خطر توسط واحد تجاری شامل نحوه تشخیص خطرهای مربوط به تهیه صورتهای مالی، طبق چارچوب گزارشگری مالی مربوط، براورد اهمیت آنها، ارزیابی احتمال وقوع آنها، تعیین اقدامات لازم برای برخورد و مدیریت آنها و نتایج این اقدامات است. برای مثال، فرایند ارزیابی خطر توسط واحد تجاری ممکن است نشاندهنده نحوه ارزیابی احتمال وجود معاملات ثبت نشده یا چگونگی تشخیص و تحلیل براوردهای عمده منعکس در صورتهای مالی توسط واحد تجاری باشد.
۴ . خطرهای مرتبط با گزارشگری مالی شامل رویدادها، معاملات یا شرایط برونسازمانی و درونسازمانی است که امکان دارد روی دهد و بر توانایی واحد تجاری برای انجام، ثبت، پردازش و گزارش اطلاعات مالی منطبق با ادعاهای مدیران اجرایی در صورتهای مالی اثر منفی داشته باشد. مدیران اجرایی ممکن است طرحها، برنامهها یا اقداماتی را برای برخورد با برخی خطرها انجام دهند یا ممکن است خطری را به دلیل ملاحظات هزینهای یا ملاحظات دیگر بپذیرند. خطرها ممکن است در شرایطی مانند موارد زیر ایجاد شوند یا در اثر آنها تغییر یابند:
- تغییر در محیط عملیاتی. تغییر در محیط مقرراتی یا عملیاتی میتواند به تغییر در فشارهای رقابتی و خطرهای نسبتاً متفاوتی بینجامد.
- کارکنان جدید. کارکنان جدید ممکن است دیدگاه یا شناخت متفاوتی نسبت به کنترلهای داخلی داشته باشند.
- سیستمهای اطلاعاتی جدید یا ارتقا یافته. تغییرات عمده و سریع در سیستمهای اطلاعاتی میتواند خطر مرتبط با کنترلهای داخلی را تغییر دهد.
- رشد سریع. توسعه عمده و سریع عملیات میتواند به کنترلها آسیب برساند و خطر از کار افتادن آنها را افزایش دهد.
- فناوری جدید. بکارگیری فناوری جدید در فرایند تولید یا سیستمهای اطلاعاتی ممکن است خطر مرتبط با کنترلهای داخلی را تغییر دهد.
- مدلها، محصولات یا فعالیتهای تجاری جدید. انجام فعالیتهای اقتصادی یا معاملاتی که واحد تجاری در آن تجربه اندکی دارد، ممکن است خطرهای جدیدی را در ارتباط با کنترلهای داخلی ایجاد نماید.
- تجدید ساختار واحد تجاری. تجدید ساختار ممکن است همراه با کاهش کارکنان و تغییرات در سرپرستی و تفکیک وظایف باشد که ممکن است خطر مرتبط با کنترلهای داخلی را تغییر دهد.
- توسعه عملیات خارجی. توسعه یا تحصیل عملیات خارجی با خطرهای جدید و اغلب کمنظیری همراه است که ممکن است بر کنترلهای داخلی اثر گذارد، برای مثال، خطرهای اضافی یا تغییر خطرهای ناشی از معاملات ارزی.
- استانداردهای حسابداری جدید. بکارگیری استانداردهای حسابداری جدید یا تجدیدنظر شده ممکن است خطرهای مربوط به تهیه صورتهای مالی را تحت تأثیر قرار دهد.
سیستم اطلاعاتی، شامل فرایندهای تجاری مربوط، مرتبط با گزارشگری مالی و اطلاعرسانی
۵ . یک سیستم اطلاعاتی از سختافزار، نرمافزار، کارکنان، روشها و دادهها تشکیل میشود. بیشتر سیستمهای اطلاعاتی به طور گستردهای از فناوری اطلاعات استفاده میکنند.
۶ . سیستم اطلاعاتی مرتبط با اهداف گزارشگری مالی که شامل سیستم گزارشگری مالی است، روشها و مستنداتی را دربرمیگیرد که:
- همه معاملات معتبر را مشخص و ثبت میکنند.
- معاملات را به موقع و با جزئیات کافی توصیف میکنند به گونهای که طبقهبندی مناسب معاملات برای گزارشگری مالی میسر شود.
- ارزش معاملات را به نحوی اندازهگیری میکنند که ثبت ارزش پولی صحیح آنها در صورتهای مالی میسر شود.
- دوره زمانی وقوع معاملات را تشخیص میدهند تا ثبت معاملات در دوره مالی مربوط میسر گردد.
- معاملات و موارد افشای مربوط را به درستی در صورتهای مالی ارائه دهد.
۷ . کیفیت اطلاعات تولید شده توسط سیستمهای اطلاعاتی، بر توانایی مدیران اجرایی برای اتخاذ تصمیمات مناسب جهت اداره و کنترل فعالیتهای واحد تجاری و تهیه گزارشهای مالی قابل اتکا اثر میگذارد.
۸ . اطلاعرسانی که مستلزم کسب شناخت از وظایف و مسئولیتهای افراد در ارتباط با کنترلهای داخلی حاکم بر گزارشگری مالی است، ممکن است به اشکالی مانند بخشنامهها و دستورالعملهای حسابداری و گزارشگری مالی صورت پذیرد. اطلاعرسانی همچنین میتواند به صورت الکترونیکی، شفاهی و از طریق اقدامات مدیران اجرایی انجام شود.
فعالیتهای کنترلی
۹ . عموماً فعالیتهای کنترلی که ممکن است به حسابرسی مربوط شود را میتوان در قالب سیاستها و روشهای مرتبط با موارد زیر طبقهبندی کرد:
- بررسی عملکرد. این فعالیتهای کنترلی شامل بررسی و تحلیل عملکرد واقعی در مقایسه با بودجه، پیشبینی و عملکرد دوره قبل، ارتباط دادن مجموعههای متفاوت دادههای عملیاتی یا مالی با یکدیگر، همراه با تحلیل روابط و انجام اقدامات پیجویانه و اصلاحی، مقایسه دادههای درونسازمانی با اطلاعات حاصل از منابع برونسازمانی، و بررسی عملکرد بخشها یا فعالیتها است.
- پردازش اطلاعات. دو گروه عمده فعالیتهای کنترلی سیستمهای اطلاعاتی شامل کنترلهای کاربردی و کنترلهای عمومی فناوری اطلاعات است. کنترلهای کاربردی به هر یک از سیستمهای کاربردی مربوط میشود. کنترلهای عمومی فناوری اطلاعات شامل سیاستها و روشهایی است که به سیستمهای کاربردی متعددی مربوط میشود و با کمک به اطمینان یافتن از عملکرد مناسب و مستمر فناوری اطلاعات، از کارکرد مؤثر کنترلهای کاربردی پشتیبانی میکند. نمونههایی از کنترلهای کاربردی شامل بازبینی صحت محاسبات مستندات، نگهداری و بررسی حسابها و تراز حسابها، کنترلهای خودکار مانند بازبینی ویرایشی دادههای وارد شده و کنترل شماره سریال و پیگیری موارد استثناست. نمونههایی از کنترلهای عمومی فناوری اطلاعات شامل کنترلهای تغییر برنامهها، کنترلهای محدودکننده دسترسی به برنامهها یا دادهها، کنترلهای مربوط به استفاده از ویرایش جدید بستههای نرمافزاری و کنترلهای محدودکننده دسترسی به سیستم یا نظارت بر استفاده از امکانات سیستم است که میتواند دادهها یا سوابق مالی را بدون جاگذاشتن اثر برای حسابرسی تغییر دهد.
- کنترلهای فیزیکی. این کنترلها شامل موارد زیر است:
- امنیت فیزیکی داراییها، شامل تمهیدات حفاظتی مناسب مانند تجهیزات امنیتی مربوط به دسترسی افراد قابل اعتماد به داراییها و سوابق.
- صدور مجوز برای دسترسی به برنامههای رایانهای و پروندههای اطلاعاتی.
- شمارش ادواری و مقایسه نتایج آن با مبالغ مندرج در سوابق مربوط (برای مثال، مقایسه شمارش نتایج وجوه نقد، اوراق بهادار و موجودی مواد و کالا با سوابق حسابداری).
میزان ارتباط کنترلهای فیزیکی طراحی شده برای پیشگیری از سرقت داراییها، با قابل اتکا بودن صورتهای مالی و در نتیجه با حسابرسی، به شرایطی نظیر آسیبپذیری بالای داراییها در مقابل سوء استفاده بستگی دارد.
- تفکیک وظایف. تفویض مسئولیتهای تصویب معاملات، ثبت معاملات و حفاظت از داراییها، به افراد مختلف. هدف تفکیک وظایف، کاهش فرصت ارتکاب اشتباه یا تقلب و کتمان آن توسط یک فرد در جریان عادی انجام وظایف خود است.
۱۰ . برخی فعالیتهای کنترلی ممکن است به وجود سیاستهای مناسب برقرار شده توسط مدیران اجرایی یا ارکان راهبری بستگی داشته باشد. برای مثال، مسئولیت تصویب معاملات ممکن است طبق آییننامههایی مانند ضوابط سرمایهگذاری تعیین شده توسط ارکان راهبری، تفویض شود. از سوی دیگر، معاملات غیرمتداولی مانند تحصیل یا واگذاری عمده داراییها ممکن است مستلزم تصویب ارکان خاصی، مانند هیئت مدیره و بعضاً مجمع عمومی صاحبان سرمایه، باشد.
نظارت بر کنترلها
۱۱. یکی از مسئولیتهای مهم مدیران اجرایی، برقراری و حفظ کنترلهای داخلی مناسب به گونهای مستمر است. نظارت مدیران اجرایی بر کنترلها شامل توجه به این موضوع است که آیا کنترلها به صورت مورد نظر اعمال و بر حسب تغییر شرایط، به نحو مناسب تعدیل میشود یا خیر. نظارت بر کنترلها ممکن است شامل فعالیتهایی مانند بررسی تهیه به موقع صورت مغایرتهای بانکی توسط مدیران اجرایی، ارزیابی حسابرسان داخلی از رعایت سیاستهای واحد تجاری در تنظیم قراردادهای فروش توسط کارکنان واحد فروش، و نظارت واحد حقوقی بر رعایت سیاستهای اخلاقی یا تجاری واحد تجاری باشد. نظارت بر کنترلها همچنین فرایندی برای حصول اطمینان از کارکرد اثربخش کنترلهای داخلی در طول زمان است. برای مثال، چنانچه بر تهیه به موقع و صحیح صورت مغایرتهای بانکی نظارت نشود، احتمال میرود کارکنان تهیه آن را متوقف کنند.
۱۲ . حسابرسان داخلی یا کارکنان مجری وظایف مشابه، ممکن است از طریق ارزیابیهای جداگانه، در نظارت بر کنترلهای واحد تجاری مشارکت کنند. معمولاً آنان با ارزیابی طراحی و اجرای کنترلهای داخلی، اطلاعاتی را به طور مرتب درباره کارکرد کنترلهای داخلی فراهم میکنند و نقاط قوت و ضعف کنترلهای داخلی و پیشنهادات اصلاحی مربوط را گزارش میکنند.
۱۳ . فعالیتهای نظارتی میتواند شامل استفاده از اطلاعات به دست آمده از اشخاص برونسازمانی باشد که ممکن است بیانگر وجود مشکلات یا حوزههای مشخص مستلزم اصلاح باشد. مشتریان با پرداخت صورتحساب یا اعتراض درباره آن، اطلاعات آن را به طور ضمنی تأیید یا رد میکنند. افزون بر این، برخی مراجع نظارتی ممکن است درباره موضوعات مؤثر بر کارکرد کنترلهای داخلی با واحد تجاری مکاتبه کنند، نظیر مکاتبات مربوط به بازرسیهای بانک مرکزی. همچنین، مدیران اجرایی ممکن است به منظور انجام فعالیتهای نظارتی، مکاتبات با حسابرسان مستقل درباره کنترلهای داخلی را مورد توجه قرار دهند.
پیوست ۲
(رک : بندهای ت ـ۴۰ و تـ۱۲۸)
شرایط و رویدادهایی که ممکن است بیانگر خطرهای تحریف بااهمیت باشد
موارد زیر نمونههایی از شرایط و رویدادهایی است که ممکن است نشانه وجود خطرهای تحریف بااهمیت باشد. نمونههای ارائه شده دامنه وسیعی از شرایط و رویدادها را دربرمیگیرد، اما، همه شرایط و رویدادها ممکن است در یک حسابرسی مورد نداشته باشد و این فهرست لزوماً دربرگیرنده همه نمونهها نمیباشد:
- فعالیت در مناطق فاقد ثبات اقتصادی، برای مثال، کشورهایی که کاهش عمده در ارزش پول یا اقتصاد با تورم حاد دارند.
- فعالیت در بازارهای تغییرپذیر، برای مثال، معاملات سلف.
- فعالیت در زمینههایی که تابع مقررات بسیار پیچیده هستند.
- مشکلات تداوم فعالیت و نقدینگی شامل از دست دادن مشتریان عمده.
- محدودیت در دسترسی به سرمایه و اعتبار.
- تغییر در صنعت موضوع فعالیت واحد تجاری.
- تغییر در زنجیره عرضه.
- توسعه یا عرضه محصولات یا خدمات جدید یا حرکت به سمت فعالیتهای تجاری جدید.
- ورود به بازارهای جدید.
- تغییر در واحد تجاری مانند یک تحصیل یا تجدید ساختار عمده یا سایر رویدادهای غیرعادی.
- واحدهای تجاری یا قسمتهای تجاری که احتمال فروش آنها میرود.
- وجود اتحادها و مشارکتهای خاص پیچیده.
- استفاده از تأمین مالی خارج از ترازنامه، واحدهای تجاری با مقاصد خاص و سایر توافقهای تأمین مالی پیچیده.
- معاملات عمده با اشخاص وابسته.
- نبود یا کمبود کارکنان دارای مهارت حسابداری و گزارشگری مالی مناسب.
- تغییرات در کارکنان اصلی، شامل خروج مدیران اجرایی اصلی.
- وجود ضعف در کنترلهای داخلی، به ویژه ضعفهایی که مورد توجه مدیران اجرایی قرار نگرفته است.
- ناهماهنگی بین راهبرد واحد تجاری در زمینه فناوری اطلاعات و راهبردهای تجاری آن.
- تغییر در محیط فناوری اطلاعات.
- استقرار سیستمهای جدید و عمده فناوری اطلاعات برای گزارشگری مالی.
- بررسی نتایج عملیاتی یا مالی واحد تجاری توسط مراجع نظارتی یا دولتی.
- تحریفهای گذشته، سوابق اشتباهات یا تعدیلات عمده در پایان دوره.
- معاملات غیرعادی یا غیرسیستماتیک عمده شامل معاملات درونگروهی و فروشهای عمده در پایان دوره.
- معاملاتی که برمبنای نظر مدیران اجرایی ثبت شده است. برای مثال، تمدید بدهیها، داراییهای کنار گذاشته شده برای فروش و طبقهبندی اوراق بهادار سریعالمعامله.
- بکارگیری استانداردهای حسابداری جدید.
- اندازهگیریهای حسابداری که شامل فرایندهای پیچیدهای است.
- رویدادها یا معاملاتی که اندازهگیری آن توأم با ابهام عمده است، از جمله براوردهای حسابداری.
- دعاوی حقوقی در جریان و بدهیهای احتمالی، برای مثال، ضمانتنامههای فروش، تضمینهای مالی و جبران خسارات زیستمحیطی.
- [۱]. استاندارد حسابرسی ۶۱۰، ”استفاده از کار حسابرسان داخلی (تجدیدنظر شده ۱۳۹۷)“، در بند ۱۳ ـ الف، تعریف واحد حسابرسی داخلی برای مقاصد این استاندارد ارائه شده است.
[۲]. استاندارد حسابرسی ۲۳۰، ”مستندات حسابرسی (تجدیدنظر شده ۱۳۹۵)“، بندهای ۸ تا ۱۱ و ت ـ ۶
[۳]. استاندارد حسابرسی ۳۲۰، ”اهمیت در برنامهریزی و اجرای عملیات حسابرسی (تجدیدنظر شده ۱۳۹۲)“
[۴]. استاندارد حسابرسی ۲۴۰، ”مسئولیت حسابرس در ارتباط با تقلب، در حسابرسی صورتهای مالی (تجدیدنظر شده ۱۳۹۴)“، بندهای ۱۲ تا ۲۴
[۵]. استاندارد حسابرسی ۲۶۰، ”اطلاعرسانی به ارکان راهبری“، بند ۴ـب
[۶]. الزامات مربوط در استاندارد حسابرسی ۶۱۰ تشریح شده است
[۷]. استاندارد حسابرسی ۲۴۰، بند ۱۹
[۸]. استاندارد حسابرسی ۲۴۰، بند ۱۵
[۹]. استاندارد حسابرسی ۲۵۰، ”ارزیابی رعایت قوانین و مقررات در حسابرسی صورتهای مالی (تجدیدنظر شده ۱۳۹۴)“، بند ۱۲
[۱۰]. استاندارد حسابرسی ۵۵۰، ”اشخاص وابسته (تجدیدنظر شده ۱۳۸۹) “
[۱۱]. استاندارد حسابرسی ۵۵۰، بند تـ۲
[۱۲]. استاندارد حسابرسی ۳۳۰، ”برخوردهای حسابرس با خطرهای ارزیابی شده (تجدیدنظر شده ۱۳۹۳)“
[۱۳]. استاندارد حسابرسی ۳۳۰، بندهای تـ۲ و تـ۳
[۱۴]. استاندارد حسابرسی ۷۰۵، ”اظهارنظرهای تعدیل شده در گزارش حسابرس مستقل“
[۱۵]. استاندارد حسابرسی ۳۳۰، بندهای ۱۵ و ۲۱
[۱۶]. استاندارد حسابرسی ۲۴۰، بندهای ۲۵ تا ۲۷
[۱۷]. استاندارد حسابرسی ۲۶۵، ”اطلاعرسانی ضعفهای کنترلهای داخلی به ارکان راهبری و مدیران اجرایی“، بند تـ۷
[۱۸]. استاندارد حسابرسی ۳۳۰، بند ۸
[۱۹]. استاندارد حسابرسی ۳۰۰، ”برنامهریزی حسابرسی صورتهای مالی (تجدیدنظر شده ۱۳۹۲)“، بندهای ۷ و ۹
[۲۰]. استاندارد حسابرسی ۳۳۰، بند ۲۸
بدون دیدگاه