31 . خطرهاي تجاري، گستردهتر از خطرهاي تحريف با اهميت صورتهاي مالي است، هرچند که شامل آن نيز ميباشد. خطرهاي تجاري، به ويژه ممکن است از تغيير يا پيچيدگي ناشي شود، اگرچه قصور در تشخيص به موقع لزوم تغيير نيز ميتواند به اين خطرها بينجامد. براي مثال، تغيير ميتواند از توليد محصولات جديدي که ممکن است بازار پيدا نکند، کمبود تقاضا براي محصول (هرچند که با موفقيت توليد شده باشد) يا نقاط ضعفي که منجر به بدهي گردد يا حسن شهرت واحد مورد رسيدگي را به خطر اندازد، ناشي شود. شناسايي خطرهاي تجاري، احتمال شناسايي خطرهاي تحريف با اهميت را افزايش ميدهد. در هرحال، مسئوليت شناسايي يا برآورد همه خطرهاي تجاري با حسابرس نيست.
32 . بيشتر خطرهاي تجاري داراي پيامد مالي است و از اين رو، بر صورتهاي مالي اثر ميگذارد. اما، کليه خطرهاي تجاري به خطر تحريف با اهميت نميانجامد. خطرهاي تجاري ممکن است پيامدي آني بر خطر تحريف گروههاي معاملات، مانده حسابها و موارد افشا در سطح هر ادعا يا در سطح کليت صورتهاي مالي داشته باشد. براي مثال، خطرهاي تجاري ناشي از وخامت وضعيت مالي مشتريان به دليل مشکلات صنعت، ممکن است خطر تحريف ارزشيابي حسابهاي دريافتني را افزايش دهد. اما همين مخاطره، به ويژه درشرايط رکود اقتصادي، ممکن است پيامد بلندمدتتري نيز داشته باشد که حسابرس هنگام ارزيابي مناسب بودن فرض تداوم فعاليت مورد توجه قرار ميدهد. از اين رو، ارزيابي اين که خطرهاي تجاري به تحريف با اهميت ميانجامد يا خير، با در نظر گرفتن شرايط واحد مورد رسيدگي به عمل ميآيد. نمونههايي از شرايط و رويدادهايي که ممکن است نشانه خطرهاي تحريف با اهميت باشد در پيوست 3 درج شده است.
33 . مديريت معمولاً خطرهاي تجاري را مشخص و رويکردهاي مقابله با آن را تدوين ميکند. اين فرایند، بخشي از کنترلهاي داخلي است که در بندهاي 76 تا 79 توصيف شده است.
34 . واحدهاي کوچکتر اغلب براي تدوين اهداف و راهبردهاي خود يا مديريت خطرهاي تجاري مربوط، از برنامهها يا فرايندهاي مدون استفاده نميکنند. در بيشتر موارد ممکن است مستنداتي براي اين موضوعات وجود نداشته باشد. در چنين واحدهايي، شناخت حسابرس معمولاً از طريق پرس و جو از مديريت و مشاهده نحوه برخورد واحد مورد رسيدگي با اين موضوعات بدست ميآيد.
اندازهگيري و بررسي عملکرد مالي واحد مورد رسيدگي
35 . حسابرس بايد از چگونگي اندازهگيري و بررسي عملکرد مالي واحد مورد رسيدگي شناخت کسب کند. مقياسهاي اندازهگيري عملکرد و بررسي آنها جنبههايي از عملکرد واحد مورد رسيدگي را براي حسابرس روشن ميكند که مديريت و سايرين، آنها را مهم ميدانند. مقياسهاي اندازهگيري عملکرد، چه درون سازمانی و چه برون سازماني، فشارهايي را بر واحد مورد رسيدگي وارد ميکند که به نوبه خود، ممکن است انگيزه اقدام براي بهبود عملکرد تجاري يا تحريف صورتهاي مالي را براي مديريت به وجود آورد. کسب شناخت از مقياسهاي اندازهگيري عملکرد واحد مورد رسيدگي، حسابرس را در ارزیابی اين موضوع کمک ميکند که آيا چنين فشارهايي ممکن است مديريت را وادار به اقداماتي کرده باشد که خطرهاي تحريف با اهميت را افزايش دهد يا خير.
36 . اگر چه اندازهگيري و بررسي عملکرد مالي واحد مورد رسيدگي توسط مديريت، متمايز از نظارت بر کنترلهاست (مندرج در بندهاي 96 تا 99 به عنوان اجزاي کنترلهاي داخلي)، اما اهداف آنها ممکن است تا حدودي يکسان باشد. با اين حال، نظارت برکنترلها، مشخصا با اجراي اثربخش کنترلها، از طريق ارزيابي اطلاعات مربوط به کنترلها، سر و کار دارد. اندازهگيري و بررسي عملکرد به اين ميپردازد که آيا عملکرد واحد تجاري، اهداف تعيين شده توسط مديريت (يا اشخاص ثالث) را برآورده ميکند يا خير. اما در برخي موارد، شاخصهاي عملکرد نيز اطلاعاتي را فراهم ميکند که براساس آن، مديريت ميتواند نارساييهاي کنترلهاي داخلي را شناسايي کند.
37 . اطلاعات درون سازماني مورد استفاده مديريت براي اين منظور ميتواند شامل شاخصهاي اصلـي عملکرد (مـالي و غيـرمالي)، بودجـهها، تحليل انحرافات، اطلاعـات قسمتها و گزارشهاي عملکرد بخشها، دواير يا ساير سطوح و مقايسه عملکرد واحد مورد رسيدگي با عملکرد رقبا باشد. اشخاص برون سازماني نيز ممکن است عملکرد مالي واحد مورد رسيدگي را اندازهگيري و بررسي کنند. براي مثال، اطلاعات برون سازماني مانند گزارشهاي تحليلگران و مؤسسات رتبهبندي اعتبار واحدهاي تجاري ممکن است اطلاعات مفيدي را براي شناخت حسابرس از واحد مورد رسيدگي و محيط آن فراهم کند. چنين گزارشهايي، اغلب از واحد مورد رسيدگي دريافت ميشود.
38 . مقياسهاي اندازهگيري درون سازماني ممکن است نتايج يا روند غيرمنتظرهاي را فاش سازد که مستلزم پرس وجوي مديريت از سايرين به منظور تعيين علت آنها و انجام اقدام اصلاحي (گاه شامل کشف و اصلاح به موقع تحريفها) باشد. مقياسهاي اندازهگيري عملکرد همچنين ممکن است خطر تحريف اطلاعات مرتبط مندرج در صورتهاي مالي را براي حسابرس نمايان سازد. براي مثال، مقياسهاي اندازهگيري عملکرد ممکن است نشانگر آن باشد که واحد مورد رسيدگي در مقايسه با ساير واحدهاي همان صنعت، سودآوري يا رشد سريع غيرعادي دارد. اين اطلاعات، بهويژه چنانچه همراه با عوامل ديگري چون پاداش يا حقالزحمههاي مبتني بر عملکرد باشد، ممکن است نشاندهنده خطر بالقوه تهيه جانبدارانه صورتهاي مالي توسط مديريت باشد.
39 . بيشتر اطلاعات مورد استفاده در اندازهگيري عملکرد ميتواند بهوسیله سيستم اطلاعاتی واحد مورد رسيدگي تهيه شود. چنانچه مديريت فرض کند اطلاعات مورد استفاده در بررسي عملکرد واحد مورد رسيدگي درست است اما براي فرض خود مبنايي نداشته باشد، اشتباهاتي ممکن است در اطلاعات وجود داشته باشد که احتمالاً به نتيجهگيري نادرست مديريت درباره عملکرد بينجامد. در مواردي که حسابرس میخواهد از مقياسهاي اندازهگيري عملکرد براي اهداف حسابرسي (براي مثال، در روشهاي تحليلي) استفاده کند، وجود مبنايي قابل اعتماد درباره اطلاعات مورد استفاده مديريت براي بررسي عملکرد واحد مورد رسيدگي و کفايت دقت آن را براي چنين هدفي، مورد توجه قرار میدهد. در صورت استفاده از مقياسهاي اندازهگيري عملکرد، حسابرس کفايت دقت آنها را براي کشف تحريفهاي با اهميت، ارزيابي ميکند.
40 . واحدهاي کوچک معمولاً روشهاي مدوني براي اندازهگيري و بررسي عملکرد مالي خود ندارند. با اين وجود، مديريت اغلب به برخي شاخصهاي اصلي اتکا ميکند که دانش و تجربه تجاري، حاکي از قابل اعتماد بودن آنها براي ارزيابي عملکرد مالي و انجام اقدامات مناسب است.
کنترلهاي داخلي
41 . حسابرس بايد از کنترلهاي داخلي مرتبط با حسابرسي شناخت کسب کند. حسابرس از شناخت کنترلهاي داخلي، براي شناسايي انواع تحريفهاي بالقوه، ارزيابي عوامل مؤثر بر خطرهاي تحريف با اهميت و طراحي ماهيت، زمانبندي اجرا و ميزان روشهاي حسابرسي لازم استفاده میکند. کنترلهاي داخلي مرتبط با حسابرسي در بندهاي 47 تا 53 و ميزان شناخت آنها در بندهاي 54 تا 56 مطرح شده است.
42 . کنترلهاي داخلي فرایندي است که بهوسیله مديريت و ساير کارکنان طراحي و اجرا ميشود تا از دستيابي به اهداف واحد مورد رسيدگي در زمينه قابليت اعتماد گزارشگري مالي، اثربخشي و کارايي عمليات و رعايت قوانین و مقررات مربوط، اطميناني معقول بدست آيد. از اين رو، کنترلهاي داخلي براي شناسايي آن دسته از خطرهاي تجاري طراحي و اجرا ميشود که دستيابي به هريک از اين اهداف را تهديد ميکند.
43 . طبق اين قسمت، کنترلهاي داخلي از اجزاي زير تشکيل ميشود:
الف- محيط کنترلی.
ب - فرایند ارزيابي خطر توسط واحد مورد رسيدگي.
پ - سيستم اطلاعاتي، شامل فرایندهاي تجاري مربوط، درارتباط با گزارشگري مالي و اطلاعرسانی.
ت - فعاليتهاي کنترلي.
ث - نظارت بر کنترلها.
پيوست 2 حاوي توضيحات مفصلي از اجزاي کنترلهاي داخلي است.
44 . تقسيم کنترلهاي داخلي به اجزاي پنجگانه بالا، چارچوب مفيدي را براي ارزيابي چگونگي تأثير جنبههاي مختلف کنترلهاي داخلي واحد مورد رسيدگي برحسابرسي، براي حسابرس فراهم ميآورد. اما اين تقسيمبندي لزوماً چگونگي بررسي و اجراي کنترلهاي داخلي توسط واحد مورد رسيدگي را نشان نميدهد. همچنين، نگراني اصلي حسابرس اين است که آيا يک کنترل خاص، بهجاي طبقهبندي آن به اجزاي خاص، از وقوع تحريف با اهميت در گروههاي معاملات، مانده حسابها يا موارد افشا و ادعاهاي مربوط پيشگيري يا آنها را کشف و اصلاح ميکند يا خير. از اين رو، حسابرس ميتواند به منظور تشريح جنبههاي مختلف کنترلهاي داخلي و اثر آنها بر حسابرسي، از واژگان يا چارچوبهايي متفاوت با موارد مندرج در اين قسمت، مشروط به درنظر گرفتن همه اجزاي مندرج در اين قسمت، استفاده کند.
45 . طراحي و استقرار کنترلهاي داخلي بسته به اندازه و پيچيدگي واحد مورد رسيدگي متفاوت است. بهويژه، واحدهاي کوچکتر ممکن است براي دستيابي به اهداف خود از ابزارهايي با رسميت کمتر و پردازشها و روشهاي سادهتر استفاده کنند. براي مثال، واحدهاي کوچکتري که مديريت آن در فرایند گزارشگري مالي به طور فعال مشارکت ميکند، ممکن است شرح تفصيلي و کتبي روشهاي حسابداري يا خط مشيها را نداشته باشد. در برخي واحدهاي مورد رسيدگي، به ويژه واحدهاي خيلي کوچک، صاحب سرمايه- مدير، ممکن است وظايفي را انجام دهد که دريک واحد بزرگتر توسط چندين جزء کنترلهاي داخلي انجام ميشود. بنابراين، اجزاي کنترلهاي داخلي ممکن است در داخل واحدهاي کوچکتر به روشني تفکيک نشده باشد، اما اهداف اصلي آنها يکسان است.
46 . از ديدگاه اين قسمت، اصطلاح ”کنترلهاي داخلي“ هر پنج جزء کنترلهاي داخلي ياد شده در بند 43 را دربر ميگيرد. افزون بر اين، اصطلاح ”کنترلها“ به يک يا چند جزء يا جنبهاي از آن مربوط ميشود.
کنترلهاي مرتبط با حسابرسي
47 . بين اهداف واحد مورد رسيدگي و کنترلهايي که براي حصول اطمينان معقول از دستيابي به آن اهداف برقرار ميکند، ارتباطي مستقيم وجود دارد. اهداف واحد مورد رسيدگي و از اینرو کنترلها، به قابليت اعتماد گزارشگري مالي، کارايي و اثربخشي عمليات و رعايت قوانين و مقررات مربوط ميشود، اما، همه اين اهداف و کنترلها به برآورد خطر حسابرسي مربوط نميگردد.
48 . معمولاً کنترلهايي به حسابرسي مربوط ميشود که با هدف واحد مورد رسيدگي از تهيه صورتهاي مالي با مقاصد عمومي، منطبق با استانداردهاي حسابداري، و مديريت خطر مرتبط با آن صورتها، مربوط باشد. اين که يک کنترل، چه به تنهايي و چه همراه با ديگر کنترلها، به برآورد خطرهاي تحريف با اهميت و طراحي و اجراي دیگر روشهاي حسابرسي در برخورد با خطرهاي برآوردي مربوط ميشود يا خير، مستلزم قضاوت حرفهاي حسابرس در پرتو الزامات اين قسمت است. حسابرس براي اين قضاوت، شرايط، اجزاي مورد استفاده و عواملي چون موارد زير را درنظر ميگيرد:
- قضاوت حسابرس درباره اهميت.
- اندازه واحد مورد رسيدگي.
- ماهيت فعاليت تجاري واحد مورد رسيدگي، شامل سازمان و ويژگيهاي مالکيتي آن.
- تنوع و پيچيدگي عمليات واحد مورد رسيدگي.
- الزامات قانوني و مقرراتي مربوط.
- ماهيت و پيچيدگي سيستمهايي که بخشي از کنترلهاي داخلي واحد مورد رسيدگي، شامل استفاده از سازمانهاي خدمات رايانهاي، است.
49 . کنترلهاي مربوط به کامل بودن و صحت اطلاعات تهيه شده بوسيله واحد مورد رسيدگي نيز در صورتي ممکن است به حسابرسي مربوط شود که حسابرس بخواهد از آن اطلاعات در طراحي و اجراي روشهاي بيشتر استفاده کند. تجربه قبلي حسابرس از واحد مورد رسيدگي و اطلاعات کسب شده در مرحله شناخت واحد مورد رسيدگي و محيط آن و ساير مراحل حسـابرسي، حسـابرس را در شـناخت کنــترلهاي مرتبـط با حسابرسي ياري ميکند. افزون بر اين، اگر چه کنترلهاي داخلي به کل واحد مورد رسيدگي يا هريک از واحدهاي عملياتي يا فرايندهاي تجاري آن مربوط ميباشد، اما، شناخت کنترلهاي داخلي مربوط به هريک از واحدهاي عملياتي و فرايندهاي تجاري واحد مورد رسيدگي ممکن است به حسابرسي مربوط نباشد.
50 . در هرحال، کنترلهاي مرتبط با اهداف عملياتي و رعايتي در صورتي ميتواند به حسابرسي ربط داشته باشد که به اطلاعات مورد ارزيابي يا استفاده شده توسط حسابرس در اجراي روشهاي حسابرسي مربوط باشد. براي مثال، کنترلهاي مربوط به اطلاعات غير مالي، مانند آمارهاي توليد، که حسابرس در روشهاي تحليلي بکار ميگيرد يا کنترلهاي مربوط به کشف موارد عدم رعايت قوانين و مقرراتي( مانند کنترلهاي رعايت قوانين و مقررات مالياتي مورد اسـتفاده در تعيين ذخيـره ماليـات بر درآمد) که ممکـن است اثر مستقيم و با اهميت برصورتهاي مالي داشته باشد، ممکن است به حسابرسي ربط يابد.
51 . واحد مورد رسيدگي معمولاً کنترلهايي در ارتباط با اهدافي داردکه به حسابرسي مربوط نميشود و از اینرو، نياز به بررسي ندارد. براي مثال، واحد مورد رسيدگي ممکن است براي دستيابي به عمليات اثربخش و کارا، به يک سيستم پيچيده کنترلهاي خودکار (مانند سيستم کنترلهاي خودکار برنامههاي پرواز خطوط هوايي) متکي باشد، اما اين کنترلها معمولاً به حسابرسي مربوط نميشود.
52 . کنترلهای داخلي مربوط به حفاظت داراييها در برابر تحصيل، استفاده يا مصرف غيرمجاز، ممکن است شامل کنترلهاي مربوط به اهداف عملياتي و گزارشگري مالي نيز باشد. حسابرس براي کسب شناخت از هريک از اجزاي کنترلهاي داخلي، معمولاً ارزيابي خود را از کنترلهاي حفاظتي، به موارد مرتبط با قابليت اعتماد گزارشکري مالي محدود ميکند. براي مثال، استفاده از کنترلهاي دسترسي، ماننـد رمـز عبـور، که دسترسي به اطلاعات و برنامههايپردازش پرداختهاي نقدي را محدود ميکند، ممکن است به حسابرسي صورتهاي مالي مربوط باشد. از سوي ديگر، کنترلهاي مربوط به عدم استفاده بيش از حد از مواد اولیه در توليد، معمولاً به حسابرسي صورتهاي مالي مربوط نيست.
53 . کنترلهاي مرتبط با حسابرسي ميتواند درهريک از اجزاي کنترلهاي داخلي وجود داشته باشد. توضيح بيشتر در باره کنترلهاي مرتبط با حسابرسي تحت عنوان هريک از اجزاي کنترلهاي داخلي در زير ارائه شده است. افزون بر اين، خطرهاي مشخصي که حسابرس ملزم به ارزيابي طراحي کنترلهاي داخلي مرتبط با اين خطرها توسط واحد مورد رسيدگي و تعيين اعمال شدن يا نشدن آنهاست، در بندهاي 113 و 115 درج شده است.
ميزان شناخت از کنترلهای داخلي
54 . کسب شناخت از کنترلهاي داخلی شامل ارزیابی طراحي يک کنترل و تعيين اجرا يا عدم اجرای آن است. ارزیابی طراحي يک کنترل عبارت است از بررسی توانایی آن کنترل، به تنهايي يا همراه با سایر کنترلها، در پیشگیری یا کشف و اصلاح مؤثر تحريفهاي با اهميت. توضيح بيشتر، براي تشريح هريک از اجزاي کنترلهاي داخلي در ادامه ارائه شده است. اجراي کنترل بهمعناي وجود کنترل و بکارگيري آن توسط واحد مورد رسيدگي است. حسابرس طراحي يک کنترل را بررسي ميکند تا ضرورت ارزيابي اجراي آن را مشخص کند. طراحي نامناسب يک کنترل ممکن است نشانه ضعفي با اهميت* در کنترلهاي داخلي واحد مورد رسيدگي باشد و حسابرس نحوه اطلاع رساني آن را به مديريت به شرح مقرر در بند 120 مورد توجه قرار ميدهد.
55 . روشهاي برآورد خطر براي کسب شواهد حسابرسي در باره طراحي و اجراي کنترلهاي مربوط، ممکن است شامل پرس وجو از کارکنان واحد مورد رسيدگي، مشاهده اجراي کنترلهاي خاص، وارسي مدارک و گزارشها و رديابي معاملات از طريق سيستم اطلاعاتي مربوط به گزارشگري مالي باشد. براي ارزيابي طراحي يک کنترل مربوط به حسابرسي و تشخيص نحوه اجراي آن، پرس و جو به تنهايي کافي نيست.
56 . کسب شناخت از کنترلهاي واحد مورد رسيدگي به منظور استفاده از آن به عنوان آزمون اثربخشي اجرايي کنترلها کافي نيست، مگر اين که يک سيستم خودکار براي اجراي يکنواخت کنترلها وجود داشته باشد (توضيح بيشتر درمورد اجراي دستي و خودکار کنترلهاي داخلي مربوط به حسابرسي در زير ارائه شده است). براي مثال، کسب شواهد حسابرسي درباره اجراي يک کنترل دستي در يک لحظه از زمان، شواهد حسابرسي در باره اثربخشي اجرايي آن کنترل را در ساير زمانهاي طي دوره مورد حسابرسي فراهم نميکند. به هر حال، فناوري اطلاعات، امکان پردازش يکنواخت مقادير زيادي از اطلاعات را براي واحد مورد رسيدگي فراهم ميکند و توان آن را در نظارت بر اجراي فعاليتهاي کنترلي و دستيابي به تفکيک اثربخش وظايف از طريق برقراري کنترلهاي ايمني در برنامههاي کاربـردي، بانـکهاي اطلاعـاتي و سيستمهاي عـامل، بالا ميبـرد. بدينسان، به دليل يکنواختي ذاتي در پـردازش اطلاعات در سيستمهاي رايانهاي و با تـوجه به بـرآورد حسابرس و آزمون کنترلهايي چون کنترلهاي مربوط به تغييرات برنامه، اجراي روشهاي حسابرسي براي تشخيص نحوه اجراي يک کنترل خودکار ميتواند به عنوان يک آزمون اثربخشي اجرايي آن کنترل نيز محسوب شود. توضيحات بيشتر در مورد آزمون اثربخشي اجرايي کنترلها در استاندارد 330، درج شده است.
ويژگيهاي اجزاي دستي و خود کار کنترلهاي داخلي مربوط به برآورد خطر توسط حسابرس
57 . بيشتر واحدهاي تجاري از سيستمهاي فناوري اطلاعات براي گزارشگري مالي و اهداف عملياتي استفاده ميکنند. اما، حتي در مواردي که از فناوري اطلاعات بطور گسترده استفاده ميشود، عناصري دستي در سيستمها وجود خواهد داشت. توازن بين اجزاي دستي و خودکار، متفاوت است. در برخي موارد، به ويژه در واحدهاي کوچکتر و با پيچيدگي کمتر، سيستمها اساساً دستي است. در ديگر موارد، ميزان خودکار بودن سيستمها از اين لحاظ متفاوت است که برخي سيستمها اساساً خودکار است و عناصر دستي اندکي دارد و ساير سيستمها، حتي در همان واحد تجاري، اساساً دستي است. درنتيجه، ساختار کنترلهاي داخلي يک واحد مورد رسيدگي احتمالاً شامل عناصري دستي و خودکار است که ويژگيهاي آن، به برآورد خطر توسط حسابرس و روشهاي حسابرسي لازم مبتني بر آن، مربوط ميشود.
58 . استفاده از عناصر دستي يا خودکار در کنترلهاي داخلي، بر چگونگي شروع، ثبت، پردازش و گزارش معاملات نيز اثر ميگذارد. کنترلها در سيستم دستي ممکن است شامل روشهايي چون تصويب و بررسي فعاليتها و مغايرتگيري و پيگيري اقلام باز باشد. از سوي ديگر، واحد مورد رسيدگي ممکن است براي شروع، ثبت، پردازش و گزارش معاملات از روشهاي خودکار استفاده کند که در اين صورت، سوابق الکترونيکي جايگزين مستندات کاغذي چون سفارشات خريد، فاکتورهاي فروش، مدارک حمل و سوابق حسابداري مربوط ميشود. کنترل در سيستمهاي فناوري اطلاعات شامل ترکيبي از کنترلهاي خودکار (براي مثال، کنترلهاي تعبيه شده در برنامههاي کامپيوتري) و کنترلهاي دستي است. افزون بر اين، کنترلهاي دستي ميتواند مستقل از فناوري اطلاعات باشد، از اطلاعات تهيه شده توسط فنـاوري اطلاعات اسـتفاده کند يا ممکـن است به نظارت بر عملکرد مؤثر فناوري اطلاعات و کنترلهاي خودکار و همچنين، پيگيري موارد استثنا محدود باشد. در موارديکه براي شروع، ثبت، پردازش يا گزارش معاملات يا ساير اطلاعات مالي مندرج در صورتهاي مالي از فناوري اطلاعات استفاده ميشود، سيستمها و برنامهها ممکن است شامل کنترلهاي مربوط به ادعاهاي مرتبط با حسابهاي با اهميت باشد يا از لحاظ عملکرد مؤثر کنترلهاي دستي متکي به فناوري اطلاعات، نقش اساسي داشته باشد. ترکيب کنترلهاي دستي و خود کار واحد مورد رسيدگي برحسب ماهيت و پيچيدگي استفاده آن از فناوري اطلاعات، فرق ميکند.
59. معمولاً فناوري اطلاعات مزيتهاي بالقوهاي را براي اثر بخشي و کارايي کنترلهاي داخلي واحد مورد رسيدگي فراهم ميکند، زيرا واحد مورد رسيدگي را قادر به انجام موارد زير ميکند:
- اجراي يکنواخت قواعد تجاري از پيش تعيين شده و انجام محاسبات پيچيده در پردازش حجم بزرگي از معاملات يا اطلاعات.
- افزايش قابليت دسترسي، بهموقع بودن و صحت اطلاعات.
- تسهيل تحليل بيشتر اطلاعات.
- افزايش توان نظارتبر عملکرد واحد مورد رسيدگي و سياستها و رويههاي آن.
- کاهش خطر ناديده گرفتن کنترلها.
- افزايش توان دستيابي به تفکيک مؤثر وظايف از طريق استقرار کنترلهاي ايمني در برنامههاي کاربردي، بانکهاي اطلاعاتي و سيستمهاي عامل.
60 . فناوري اطلاعات، کنترلهاي داخلي واحد مورد رسيدگي را در معرض خطرهاي خاصي چون موارد زير نيز قرار ميدهد :
- اعتماد به سيستمها يا برنامههايي که اطلاعات را نادرست پردازش ميکند، اطلاعات نادرست را پردازشميکند، يا هر دو.
- دسترسي غيرمجاز به اطلاعات، که ممکن است به از بين رفتن اطلاعات يا تغيير نابجا در اطلاعات، شامل ثبت معاملات غيرمجاز يا واهي، يا ثبت نادرست معاملات بيانجامد. برخي خطرها ممکن است در مواردي پديد آيد که بيش از يک استفادهکننده به يک بانک اطلاعاتي عمومي دسترسي دارند.
- احتمال برخورداري کارکنان فناوري اطلاعات از امكان دسترسي بيش از حد مورد نياز براي انجام وظايف خود و از اين رو، نقض تفکيک وظايف.
- تغييرات غيرمجاز در اطلاعات پروندههاي اصلي.
- تغييرات غيرمجاز در سيستمها يا برنامهها.
- قصور در اعمال تغييرات لازم در سيستمها يا برنامهها.
- دخالتهاي دستي نابجا.
- احتمال بالقوه از دست رفتن اطلاعات يا ناتواني در دسترسي به اطلاعات مورد نياز.
61 . درشرايطي نظـير موارد زير که مستـلزم قضاوت و آزادي عمـل است، جنبههاي دستي سيستمها ممکن است مناسبتر باشد:
- معاملات بزرگ، غيرعادي يا غيرمکرر.
- شرايطي که تشخيص يا پيشبيني اشتباهات دشوار است.
- شرايط متغيري که به يک واکنش کنترلي، خارج از حدود يک کنترل خودکار موجود، نياز است.
- نظارت بر اثربخشي کنترلهاي خودکار.
62 . کنترلهاي دستي توسط افراد انجام ميشود و از اینرو، کنترلهاي داخلي واحد مورد رسيدگي را در معرض خطرهاي بخصوصي قرار ميدهد. کنترلهاي دستي ممکن است کمتر از کنترلهاي خودکار قابل اعتماد باشد، زيرا بهآساني ميتواند دور زده شود، ناديده گرفته شود يا زير پا گذارده شود و همچنين، بيشتر در معرض رخداد اشتباهات و خطاهاي ساده قرار دارد. از اين رو، نميتوان فرض کرد که اجزاي کنترلهاي دستي به طور يکنواخت اعمال ميشود. سيستمهاي دستي ممکن است در موارد زير چندان مناسب نباشد:
- معاملات متعدد يا مستمر، يا در شرايطي که اشتباهات مورد انتظار يا قابل پيشبيني ميتواند بهوسیله پارامترهاي کنترلي خودکار، پيشگيري يا کشف شود.
- فعاليتهاي کنترلي، در مواردي که راهکارهاي خاص براي اجراي يك کنترل را بتوان بهنحو مناسبي طراحي و خودکار نمود.
63 . ميزان و ماهيت خطرهاي کنترلهاي داخلي به ماهيت و ويژگيهاي سيستم اطلاعاتي واحد مورد رسيدگي بستگي دارد. از اینرو، حسـابرس در شنـاخت کنتـرلهاي داخلي، مناسب بودن واکنـش واحد مـورد رسيدگي را در برابر خطـرهاي ناشي از استـفاده از سيستمهاي فناوري اطلاعات يا دستي از طريق برقراري کنترلهاي مؤثر، مورد توجه قرار میدهد.
محدوديتهاي کنترلهاي داخلي
64 . کنترلهاي داخلي، صرف نظر از نحوه طراحي و اجراي آن، تنها ميتواند اطميناني معقول از دستيابي به اهداف گزارشگري مالي را براي واحد مورد رسيدگي تأمين کند. احتمال دستيابي به اين اهداف، تحت تأثير محدوديتهاي ذاتي کنترلهاي داخلي است. اين محدوديتها، شامل اين واقعيت است که قضاوت انسان در تصميمگيري ميتواند اشتباهآميز باشد و بهدليل خطاهاي انساني، چون اشتباهات ساده، کنترلهای داخلي ميتواند مختل شود. براي مثال، چنانچه کارکنان سيستم اطلاعاتي واحد مورد رسيدگي چگونگي پردازش معاملات فروش توسط سيستم ثبت سفارش را بطور کامل درک نکنند، ممکن است تغييراتي را به اشتباه در سيستم طراحي کنند که سيستم، فروشهاي يک خط توليد جديد را پردازش کند. ازسوي ديگر، اين تغييرات ممکن است به درستي طراحي شود، اما بهوسیله افرادي که طرح را به برنامه تبديل ميکنند، اشتباه درک شود. اشتباهات ممکن است در اثر استفاده از اطلاعات تهيه شده توسط فناوري اطلاعات نيز رخ دهد. براي مثال، کنترلهاي خودکار ممکن است به منظور گزارش معاملات بيش از يک مبلغ معين طراحي شود تا مورد بررسي مديريت قرار گيرد، اما افراد مسئول بررسي ممکن است هدف از اين گزارشها را درک نکنند و از این رو، آنها را بررسي نکنند يا اقلام غيرعادي را پيجويي ننمايند.
65 . افزون بر اين، کنترلها ميتواند بهوسیله تباني دو يا چند نفر يا زيرپا گذاري نابجاي مديريت، بياثر شود. براي مثال، مديريت ممکن است به توافقهايي جنبي با مشتريان برسد که مفاد و شرايط استاندارد قراردادهاي فروش واحد مورد رسيدگي را تغيير دهد و بدينسان، به شناخت درآمد نادرست بينجامد. همچنين، کنترلهاي ويرايشي تعبيه شده در برنامهها که براي شناسايي و گزارش معاملات افزون بر سقف اعتباري مشخصي طراحي شده، ممکن است ناديده گرفته شود يا به عمد، از کار انداخته شود.
66 . واحدهاي کوچکتر اغلب کارکنان اندکي دارند که ممکن است ميزان تفکيک وظايف را محدود کند. اما در مورد زمينههاي اصلي، حتي در يک واحد مورد رسيدگي خيلي کوچک، برقراري حدودي از تفکيک وظايف يا ساير اشکال کنترلهاي ساده، ولي مؤثر، عملي است. احتمال زيرپا گذاري کنترلها توسط صاحب سرمايه- مدير به ميزان زيادي به محيط کنترلي و به ويژه، به نگرش صاحب سرمايه- مدير نسبت به اهميت کنترلهاي داخلي، بستگي دارد.
محيط کنترلي
67 . حسابرس بايد از محيط کنترلي شناخت كسب کند. محيط کنترلي، وظايف راهبري و مديريتي و نگرش، آگاهي و اقدامات مديريت نسبت به کنترلهاي داخلي و اهميت آن در واحد مورد رسيدگي را در بر ميگيرد. محيط کنترلي با تنظيم جو واحد تجاري، برهشياري کنترلي کارکنان اثر ميگذارد. محيط کنترلي، اساس کنترلهاي داخلي اثربخش است و نظم و ساختار را به وجود ميآورد.
68 . مسئوليت اصلي پيشگيري و کشف تقلب و اشتباه با مديريت واحد مورد رسيدگي است. حسابرس در ارزيابي طراحی محیط کنترلي و نحوه اعمال آن، از چگونگي ايجاد و حفظ فرهنگ درستکاري و ارزشهاي اخلاقي و برقراري کنترلهاي مناسب براي پيشگيري و کشف تقلب و اشتباه در داخل واحد مورد رسيدگي توسط مديريت، شناخت حاصل ميکند.
69 . حسابرس در ارزيابي طراحي محيط کنترلي واحد مورد رسيدگي، عناصر زير و چگونگي اعمال آن در واحد مورد رسيدگي را مورد توجه قرار میدهد:
الف- اشاعه و تقويت درستکاري و ارزشهاي اخلاقي ـ عناصر زيربنايي مؤثر بر اثربخشي طراحي، اجرا و نظارت بر کنترلها.
ب- پايبندي به صلاحيت- توجه مديريت به سطوح صلاحيت لازم براي مشاغل خاص و چگونگي تبديل آن به تجربه و دانش مورد نياز.
پ - مشارکت هيئت مديره ـ استقلال هيئت مديره از مديران اجرايي، تجربه و شأن آنان، ميزان مشاركت و فعاليتهاي بازبيني آنان، اطلاعات دريافتي آنان، ميزاني که مسايل دشوار با آنان طرح و پيگيري ميشود و تعامل هيئت مديره با حسابرسان داخلي و مستقل.
ت- نگرش و شيوه اجرايي مديريت- رويکرد مديريت نسبت به پذيرش و مديريت خطرهاي تجاري و نگرش و اقدامات مديريت نسبت به گزارشگري مالي، پردازش اطلاعات و وظايف و کارکنان حسابداري.
ث- ساختار سازماني- چارچوب لازم براي برنامهريزي، اجرا، کنترل و بررسي فعاليتهاي واحد مورد رسيدگي براي دستيابي به اهداف آن.
ج- تعيين اختيار و مسئوليت- چگونگي تعیین اختيار و مسئوليت فعاليتهاي عملياتي و نحوه برقراري روابط گزارشگري و سلسله مراتب اختيارات.
چ- سياستها و روشهاي منابع انساني- استخدام، آشناسازي، آموزش، ارزيابي، مشاوره، ارتقا، حقوق و مزايا و اقدامات اصلاحي.
70 . حسابرس در شناخت اجزاي محيط کنترلي، اعمال شدن يا نشدن آنها را نيز مورد توجه قرار ميدهد. معمولاً، حسابرس شواهد حسابرسي مربوط را از طريق ترکيبي از پرس و جو و ساير روشهاي برآورد خطر، مانند تأييد پرس و جوها از طريق مشاهده يا وارسي مدارک، کسب ميکند. براي مثال، حسابرس ميتواند با پرس و جو از مديريت و کارکنان، از نحوه ابلاغ نظرات مديريت به کارکنان درباره فعاليتهاي تجاري و ارزشهاي اخلاقي، شناخت کسـب کنـد. حسابـرس اعمـال شدن يا نشدن کنتـرلهـا را، مثلاً ازطـريق وجـود آيين رفتارحرفهاي مدون و اقدامات مديريت براي پشتيباني از آيين رفتار حرفهاي يا ناديده گرفتن موارد تخطي از آن، يا تجويز استثناهايي برآن، تعيين ميکند.
71 . شواهد حسابرسي درباره اجزاي محيط کنترلي ممکن است به صورت مستند در دسترس نباشد، به ويژه در واحدهاي تجاري کوچکتر که اطلاعرساني بين مديريت و ساير کارکنان ميتواند عليرغم غير رسمي بودن، مؤثر باشد. براي مثال، تعهد مديريت به حفظ صلاحيت و ارزشهاي اخلاقي اغلب به جاي آيين رفتار حرفهاي مدون ، بهوسیله رفتار و نگرش ابرازي آنان در اداره امور تجاري واحد مورد رسيدگي پديدار ميشود. درنتيجه، نگرش، آگاهي و اقدامات مديريت، در طراحي محيط کنترلي واحدهاي کوچکتر، از اهميت خاصي برخوردار است. افزونبر اين، در مواردي که صاحب سرمايه ديگري وجود نداشته باشد، نقش مديريت اغلب بعهده صاحب سرمايه- مدير است.
72 . مسئوليتهاي کلي مديريت در اساسنامه و آييننامهها يا بهموجب ساير مقررات، مشخص ميشود. يکي از نقشهاي هيئت مديره، متعادل کردن فشارهاي وارده بر مديران اجرايي درارتباط با گزارشگري مالي است. براي مثال، مبناي حقوق و مزاياي مديران اجرايي ميتواند به دليل وجود تضاد بين الزامات گزارشگري مطلوب و منافع محسوس حاصل از نتايج عملکرد بهتر، مديران اجرايي را تحت فشار قرار دهد. حسابرس در کسب شناخت از محيط کنترلي، موضوعاتي چون استقلال هیئت مديره و توانايي آنان در ارزيابي اقدامات مديران اجرايي را، مورد توجه قرار میدهد. حسابرس همچنين وجود يک کميته حسابرسي که معاملات تجاري واحد مورد رسيدگي را درک کند و مطلوبيت ارائه صورتهاي مالي را از تمام جنبههاي با اهميت، طبق استانداردهاي حسابداري ارزيابي کند، مورد توجه قرار میدهد.
صفحه 1 2 3 4 5