31 . خطرهاي تجاري، گسترده‌تر از خطرهاي تحريف با اهميت صورتهاي مالي است، هرچند که شامل آن نيز مي‌باشد. خطرهاي تجاري، به ويژه ممکن است از تغيير يا پيچيدگي ناشي شود، اگرچه قصور در تشخيص به موقع لزوم تغيير نيز مي‌تواند به اين خطرها بينجامد. براي مثال، تغيير مي‌تواند از توليد محصولات جديدي که ممکن است بازار پيدا نکند، کمبود تقاضا براي محصول (هرچند که با موفقيت توليد شده باشد) يا نقاط ضعفي که منجر به بدهي گردد يا حسن شهرت واحد مورد رسيدگي را به خطر اندازد، ناشي شود. شناسايي خطرهاي تجاري، احتمال شناسايي خطرهاي تحريف با اهميت را افزايش مي‌دهد. در هرحال، مسئوليت شناسايي يا برآورد همه خطرهاي تجاري با حسابرس نيست.

32 . بيشتر خطرهاي تجاري داراي پيامد مالي است و از اين رو، بر صورتهاي مالي اثر مي‌گذارد. اما، کليه خطرهاي تجاري به خطر تحريف با اهميت نمي‌انجامد. خطرهاي تجاري ممکن است پيامدي آني بر خطر تحريف گروههاي معاملات، مانده حسابها و موارد افشا در سطح هر ادعا يا در سطح کليت صورتهاي مالي داشته باشد. براي مثال، خطرهاي تجاري ناشي از وخامت وضعيت مالي مشتريان به دليل مشکلات صنعت، ممکن است خطر تحريف ارزشيابي حسابهاي دريافتني را افزايش دهد. اما همين مخاطره، به ‌ويژه درشرايط رکود اقتصادي، ممکن است پيامد بلندمدت‌تري نيز داشته باشد که حسابرس هنگام ارزيابي مناسب بودن فرض تداوم فعاليت مورد توجه قرار مي‌دهد. از اين رو، ارزيابي اين که خطرهاي تجاري به تحريف با اهميت مي‌انجامد يا خير، با در نظر گرفتن شرايط واحد مورد رسيدگي به عمل مي‌آيد. نمونه‌هايي از شرايط و رويدادهايي که ممکن است نشانه خطرهاي تحريف با اهميت باشد در پيوست 3 درج شده است.

33 . مديريت معمولاً خطرهاي تجاري را مشخص و رويکردهاي مقابله با آن را تدوين مي‌کند. اين فرایند، بخشي از کنترلهاي داخلي است که در بندهاي 76 تا 79 توصيف شده است.

34 . واحدهاي کوچکتر اغلب براي تدوين اهداف و راهبردهاي خود يا مديريت خطرهاي تجاري مربوط، از برنامه‌ها يا فرايندهاي مدون استفاده نمي‌کنند. در بيشتر موارد ممکن است مستنداتي براي اين موضوعات وجود نداشته باشد. در چنين واحدهايي، شناخت حسابرس معمولاً از طريق پرس و جو از مديريت و مشاهده نحوه برخورد واحد مورد رسيدگي با اين موضوعات بدست مي‌آيد.

اندازه‌گيري و بررسي عملکرد مالي واحد مورد رسيدگي

35 . حسابرس بايد از چگونگي اندازه‌گيري و بررسي عملکرد مالي واحد مورد رسيدگي شناخت کسب کند. مقياسهاي اندازه‌گيري عملکرد و بررسي آنها جنبه‌هايي از عملکرد واحد مورد رسيدگي را براي حسابرس روشن مي‌كند که مديريت و سايرين، آنها را مهم مي‌دانند. مقياسهاي اندازه‌گيري عملکرد، چه درون سازمانی و چه برون سازماني، فشارهايي را بر واحد مورد رسيدگي وارد مي‌کند که به نوبه خود، ممکن است انگيزه اقدام براي بهبود عملکرد تجاري يا تحريف صورتهاي مالي را براي مديريت به وجود آورد. کسب شناخت از مقياسهاي اندازه‌گيري عملکرد واحد مورد رسيدگي، حسابرس را در ارزیابی اين موضوع کمک مي‌کند که آيا چنين فشارهايي ممکن است مديريت را وادار به اقداماتي کرده باشد که خطرهاي تحريف با اهميت را افزايش ‌دهد يا خير.

36 . اگر چه اندازه‌گيري و بررسي عملکرد مالي واحد مورد رسيدگي توسط مديريت، متمايز از نظارت بر کنترلهاست (مندرج در بندهاي 96 تا 99 به عنوان اجزاي کنترلهاي داخلي)، اما اهداف آنها ممکن است تا حدودي يکسان باشد. با اين حال، نظارت برکنترلها، مشخصا با اجراي اثربخش کنترلها، از طريق ارزيابي اطلاعات مربوط به کنترلها، سر و کار دارد. اندازه‌گيري و بررسي عملکرد به اين مي‌پردازد که آيا عملکرد واحد تجاري، اهداف تعيين شده توسط مديريت (يا اشخاص ثالث) را برآورده مي‌کند يا خير. اما در برخي موارد، شاخصهاي عملکرد نيز اطلاعاتي را فراهم مي‌کند که براساس آن، مديريت مي‌تواند نارساييهاي کنترلهاي داخلي را شناسايي کند.

37 . اطلاعات درون سازماني مورد استفاده مديريت براي اين منظور مي‌تواند شامل شاخصهاي اصلـي عملکرد (مـالي و غيـرمالي)، بودجـه‌ها، تحليل انحرافات، اطلاعـات قسمتها و گزارشهاي عملکرد بخشها، دواير يا ساير سطوح و مقايسه عملکرد واحد مورد رسيدگي با عملکرد رقبا باشد. اشخاص برون سازماني نيز ممکن است عملکرد مالي واحد مورد رسيدگي را اندازه‌گيري و بررسي کنند. براي مثال، اطلاعات برون سازماني مانند گزارشهاي تحليل‌گران و مؤسسات رتبه‌بندي اعتبار واحدهاي تجاري ممکن است اطلاعات مفيدي را براي شناخت حسابرس از واحد مورد رسيدگي و محيط آن فراهم کند. چنين گزارشهايي، اغلب از واحد مورد رسيدگي دريافت مي‌شود.

38 . مقياسهاي اندازه‌گيري درون سازماني ممکن است نتايج يا روند غيرمنتظره‌اي را فاش سازد که مستلزم پرس وجوي مديريت از سايرين به منظور تعيين علت آنها و انجام اقدام اصلاحي (گاه شامل کشف و اصلاح به موقع تحريفها) باشد. مقياسهاي اندازه‌گيري عملکرد همچنين ممکن است خطر تحريف اطلاعات مرتبط مندرج در صورتهاي مالي را براي حسابرس نمايان سازد. براي مثال، مقياسهاي اندازه‌گيري عملکرد ممکن است نشانگر آن باشد که واحد مورد رسيدگي در مقايسه با ساير واحدهاي همان صنعت، سودآوري يا رشد سريع غيرعادي دارد. اين اطلاعات، به‌ويژه چنانچه همراه با عوامل ديگري چون پاداش يا حق‌الزحمه‌هاي مبتني ‌بر عملکرد باشد، ممکن است نشاندهنده خطر بالقوه تهيه جانبدارانه صورتهاي مالي توسط مديريت باشد.

39 . بيشتر اطلاعات مورد استفاده در اندازه‌گيري عملکرد مي‌تواند به‌وسیله سيستم اطلاعاتی واحد مورد رسيدگي تهيه شود. چنانچه مديريت فرض کند اطلاعات مورد استفاده در بررسي عملکرد واحد مورد رسيدگي درست است اما براي فرض خود مبنايي نداشته باشد، اشتباهاتي ممکن است در اطلاعات وجود داشته باشد که احتمالاً به نتيجه‌گيري نادرست مديريت درباره عملکرد بينجامد. در مواردي که حسابرس می‌خواهد از مقياسهاي اندازه‌گيري عملکرد براي اهداف حسابرسي (براي مثال، در روشهاي تحليلي) استفاده کند، وجود مبنايي قابل اعتماد درباره اطلاعات مورد استفاده مديريت براي بررسي عملکرد واحد مورد رسيدگي و کفايت دقت آن را براي چنين هدفي، مورد توجه قرار می‌دهد. در صورت استفاده از مقياسهاي اندازه‌گيري عملکرد، حسابرس کفايت دقت آنها را براي کشف تحريفهاي با اهميت، ارزيابي مي‌کند.

40 . واحدهاي کوچک معمولاً روشهاي مدوني براي اندازه‌گيري و بررسي عملکرد مالي خود ندارند. با اين وجود، مديريت اغلب به برخي شاخصهاي اصلي اتکا مي‌کند که دانش و تجربه تجاري، حاکي از قابل اعتماد بودن آنها براي ارزيابي عملکرد مالي و انجام اقدامات مناسب است.

کنترلهاي داخلي

41 . حسابرس بايد از کنترلهاي داخلي مرتبط با حسابرسي شناخت کسب کند. حسابرس از شناخت کنترلهاي داخلي، براي شناسايي انواع تحريفهاي بالقوه، ارزيابي عوامل مؤثر بر خطرهاي تحريف با اهميت و طراحي ماهيت، زمانبندي اجرا و ميزان روشهاي حسابرسي لازم استفاده می‌کند. کنترلهاي داخلي مرتبط با حسابرسي در بندهاي 47 تا 53 و ميزان شناخت آنها در بندهاي 54 تا 56 مطرح شده است.

42 . کنترلهاي داخلي فرایندي است که به‌وسیله مديريت و ساير کارکنان طراحي و اجرا مي‌شود تا از دستيابي به اهداف واحد مورد رسيدگي در زمينه قابليت اعتماد گزارشگري مالي، اثربخشي و کارايي عمليات و رعايت قوانین و مقررات مربوط، اطميناني معقول بدست آيد. از اين رو، کنترلهاي داخلي براي شناسايي آن دسته از خطرهاي تجاري طراحي و اجرا مي‌شود که دستيابي به هريک از اين اهداف را تهديد مي‌کند.

 

43 . طبق اين قسمت، کنترلهاي داخلي از اجزاي زير تشکيل مي‌شود:

الف- محيط کنترلی.

ب - فرایند ارزيابي خطر توسط واحد مورد رسيدگي.

پ - سيستم اطلاعاتي، شامل فرایندهاي تجاري مربوط، درارتباط با گزارشگري مالي و اطلاع‌رسانی.

ت - فعاليتهاي کنترلي.

ث - نظارت بر کنترلها.

پيوست 2 حاوي توضيحات مفصلي از اجزاي کنترلهاي داخلي است.

44 . تقسيم کنترلهاي داخلي به اجزاي پنجگانه بالا، چارچوب مفيدي را براي ارزيابي چگونگي تأثير جنبه‌هاي مختلف کنترلهاي داخلي واحد مورد رسيدگي برحسابرسي، براي حسابرس فراهم مي‌آورد. اما اين تقسيم‌بندي لزوماً چگونگي بررسي و اجراي کنترلهاي داخلي توسط واحد مورد رسيدگي را نشان نمي‌دهد. همچنين، نگراني اصلي حسابرس اين است که آيا يک کنترل خاص، به‌جاي طبقه‌بندي آن به اجزاي خاص، از وقوع تحريف با اهميت در گروههاي معاملات، مانده حسابها يا موارد افشا و ادعاهاي مربوط پيشگيري يا آنها را کشف و اصلاح مي‌کند يا خير. از اين رو، حسابرس مي‌تواند به منظور تشريح جنبه‌هاي مختلف کنترلهاي داخلي و اثر آنها بر حسابرسي، از واژگان يا چارچوبهايي متفاوت با موارد مندرج در اين قسمت، مشروط به درنظر گرفتن همه اجزاي مندرج در اين قسمت، استفاده کند.

45 . طراحي و استقرار کنترلهاي داخلي بسته به اندازه و پيچيدگي واحد مورد رسيدگي متفاوت است. به‌ويژه، واحدهاي کوچکتر ممکن است براي دستيابي به اهداف خود از ابزارهايي با رسميت کمتر و پردازشها و روشهاي ساده‌تر استفاده کنند. براي مثال، واحدهاي کوچکتري که مديريت آن در فرایند گزارشگري مالي به طور فعال مشارکت مي‌کند، ممکن است شرح تفصيلي و کتبي روشهاي حسابداري يا خط مشي‌ها را نداشته باشد. در برخي واحدهاي مورد رسيدگي، به ويژه واحدهاي خيلي کوچک، صاحب سرمايه- مدير، ممکن است وظايفي را انجام دهد که دريک واحد بزرگتر توسط چندين جزء کنترلهاي داخلي انجام مي‌شود. بنابراين، اجزاي کنترلهاي داخلي ممکن است در داخل واحدهاي کوچکتر به روشني تفکيک نشده باشد، اما اهداف اصلي آنها يکسان است.

46 . از ديدگاه اين قسمت، اصطلاح ”کنترلهاي داخلي“ هر پنج جزء کنترلهاي داخلي ياد شده در بند 43 را دربر مي‌گيرد. افزون بر اين، اصطلاح ”کنترلها“ به يک يا چند جزء يا جنبه‌اي از آن مربوط مي‌شود.

کنترلهاي مرتبط با حسابرسي

47 . بين اهداف واحد مورد رسيدگي و کنترلهايي که براي حصول اطمينان معقول از دستيابي به آن اهداف برقرار مي‌کند، ارتباطي مستقيم وجود دارد. اهداف واحد مورد رسيدگي و از این‌رو کنترلها، به قابليت اعتماد گزارشگري مالي، کارايي و اثربخشي عمليات و رعايت قوانين و مقررات مربوط مي‌شود، اما، همه اين اهداف و کنترلها به برآورد خطر حسابرسي مربوط نمي‌گردد.

48 . معمولاً کنترلهايي به حسابرسي مربوط مي‌شود که با هدف واحد مورد رسيدگي از تهيه صورتهاي مالي با مقاصد عمومي، منطبق با استانداردهاي حسابداري، و مديريت خطر مرتبط با آن صورتها، مربوط باشد. اين که يک کنترل، چه به تنهايي و چه همراه با ديگر کنترلها، به برآورد خطرهاي تحريف با اهميت و طراحي و اجراي دیگر روشهاي حسابرسي در برخورد با خطرهاي برآوردي مربوط مي‌شود يا خير، مستلزم قضاوت حرفه‌اي حسابرس در پرتو الزامات اين قسمت است. حسابرس براي اين قضاوت، شرايط، اجزاي مورد استفاده و عواملي چون موارد زير را درنظر مي‌گيرد:

  • قضاوت حسابرس درباره اهميت.
  • اندازه واحد مورد رسيدگي.
  • ماهيت فعاليت تجاري واحد مورد رسيدگي، شامل سازمان و ويژگيهاي مالکيتي آن.
  • تنوع و پيچيدگي عمليات واحد مورد رسيدگي.
  • الزامات قانوني و مقرراتي مربوط.
  • ماهيت و پيچيدگي سيستمهايي که بخشي از کنترلهاي داخلي واحد مورد رسيدگي، شامل استفاده از سازمانهاي خدمات رايانه‌اي، است.

 

49 . کنترلهاي مربوط به کامل بودن و صحت اطلاعات تهيه شده بوسيله واحد مورد رسيدگي نيز در صورتي ممکن است به حسابرسي مربوط شود که حسابرس بخواهد از آن اطلاعات در طراحي و اجراي روشهاي بيشتر استفاده کند. تجربه قبلي حسابرس از واحد مورد رسيدگي و اطلاعات کسب شده در مرحله شناخت واحد مورد رسيدگي و محيط آن و ساير مراحل حسـابرسي، حسـابرس را در شـناخت کنــترلهاي مرتبـط با حسابرسي ياري مي‌کند. افزون بر اين، اگر چه کنترلهاي داخلي به کل واحد مورد رسيدگي يا هريک از واحدهاي عملياتي يا فرايندهاي تجاري آن مربوط مي‌باشد، اما، شناخت کنترلهاي داخلي مربوط به هريک از واحدهاي عملياتي و فرايندهاي تجاري واحد مورد رسيدگي ممکن است به حسابرسي مربوط نباشد.

50 . در هرحال، کنترلهاي مرتبط با اهداف عملياتي و رعايتي در صورتي مي‌تواند به حسابرسي ربط داشته باشد که به اطلاعات مورد ارزيابي يا استفاده شده توسط حسابرس در اجراي روشهاي حسابرسي مربوط باشد. براي مثال، کنترلهاي مربوط به اطلاعات غير مالي، مانند آمارهاي توليد، که حسابرس در روشهاي تحليلي بکار مي‌گيرد يا کنترلهاي مربوط به کشف موارد عدم رعايت قوانين و مقرراتي( مانند کنترلهاي رعايت قوانين و مقررات مالياتي مورد اسـتفاده در تعيين ذخيـره ماليـات بر درآمد) که ممکـن است اثر مستقيم و با اهميت برصورتهاي مالي داشته باشد، ممکن است به حسابرسي ربط يابد.

51 . واحد مورد رسيدگي معمولاً کنترلهايي در ارتباط با اهدافي داردکه به حسابرسي مربوط نمي‌شود و از این‌رو، نياز به بررسي ندارد. براي مثال، واحد مورد رسيدگي ممکن است براي دستيابي به عمليات اثربخش و کارا، به يک سيستم پيچيده کنترلهاي خودکار (مانند سيستم کنترلهاي خودکار برنامه‌هاي پرواز خطوط هوايي) متکي باشد، اما اين کنترلها معمولاً به حسابرسي مربوط نمي‌شود.

52 . کنترلهای داخلي مربوط به حفاظت داراييها در برابر تحصيل، استفاده يا مصرف غيرمجاز، ممکن است شامل کنترلهاي مربوط به اهداف عملياتي و گزارشگري مالي نيز باشد. حسابرس براي کسب شناخت از هريک از اجزاي کنترلهاي داخلي، معمولاً ارزيابي خود را از کنترلهاي حفاظتي، به موارد مرتبط با قابليت اعتماد گزارشکري مالي محدود مي‌کند. براي مثال، استفاده از کنترلهاي دسترسي، ماننـد رمـز عبـور، که دسترسي به اطلاعات و برنامه‌هاي‌پردازش پرداختهاي نقدي را محدود مي‌کند، ممکن است به حسابرسي صورتهاي مالي مربوط باشد. از سوي ديگر، کنترلهاي مربوط به عدم استفاده بيش از حد از مواد اولیه در توليد، معمولاً به حسابرسي صورتهاي مالي مربوط نيست.

53 . کنترلهاي مرتبط با حسابرسي مي‌تواند درهريک از اجزاي کنترلهاي داخلي وجود داشته باشد. توضيح بيشتر در باره کنترلهاي مرتبط با حسابرسي تحت عنوان هريک از اجزاي کنترلهاي داخلي در زير ارائه شده است. افزون بر اين، خطرهاي مشخصي که حسابرس ملزم به ارزيابي طراحي کنترلهاي داخلي مرتبط با اين خطرها توسط واحد مورد رسيدگي و تعيين اعمال شدن يا نشدن آنهاست، در بندهاي 113 و 115 درج شده است.

ميزان شناخت از کنترلهای داخلي

54 . کسب شناخت از کنترلهاي داخلی شامل ارزیابی طراحي يک کنترل و تعيين اجرا يا عدم اجرای آن است. ارزیابی طراحي يک کنترل عبارت ‌است از بررسی توانایی آن کنترل، به تنهايي يا همراه با سایر کنترلها، در پیشگیری یا کشف و اصلاح مؤثر تحريفهاي با اهميت. توضيح بيشتر، براي تشريح هريک از اجزاي کنترلهاي داخلي در ادامه ارائه شده است. اجراي کنترل به‌معناي وجود کنترل و بکارگيري آن توسط واحد مورد رسيدگي است. حسابرس طراحي يک کنترل را بررسي مي‌کند تا ضرورت ارزيابي اجراي آن را مشخص کند. طراحي نامناسب يک کنترل ممکن است نشانه ضعفي با اهميت* در کنترلهاي داخلي واحد مورد رسيدگي باشد و حسابرس نحوه اطلاع‌ رساني آن را به مديريت به شرح مقرر در بند 120 مورد توجه قرار مي‌دهد.

55 . روشهاي برآورد خطر براي کسب شواهد حسابرسي در باره طراحي و اجراي کنترلهاي مربوط، ممکن است شامل پرس وجو از کارکنان واحد مورد رسيدگي، مشاهده اجراي کنترلهاي خاص، وارسي مدارک و گزارشها و رديابي معاملات از طريق سيستم اطلاعاتي مربوط به گزارشگري مالي باشد. براي ارزيابي طراحي يک کنترل مربوط به حسابرسي و تشخيص نحوه اجراي آن، پرس و جو به تنهايي کافي نيست.

56 . کسب شناخت از کنترلهاي واحد مورد رسيدگي به منظور استفاده از آن به عنوان آزمون اثربخشي اجرايي کنترلها کافي نيست، مگر اين که يک سيستم خودکار براي اجراي يکنواخت کنترلها وجود داشته باشد (توضيح بيشتر درمورد اجراي دستي و خودکار کنترلهاي داخلي مربوط به حسابرسي در زير ارائه شده است). براي مثال، کسب شواهد حسابرسي درباره اجراي يک کنترل دستي در يک لحظه از زمان، شواهد حسابرسي در باره اثربخشي اجرايي آن کنترل را در ساير زمانهاي طي دوره مورد حسابرسي فراهم نمي‌کند. به هر حال، فناوري اطلاعات، امکان پردازش يکنواخت مقادير زيادي از اطلاعات را براي واحد مورد رسيدگي فراهم مي‌کند و توان آن را در نظارت بر اجراي فعاليتهاي کنترلي و دستيابي به تفکيک اثربخش وظايف از طريق برقراري کنترلهاي ايمني در برنامه‌هاي کاربـردي، بانـکهاي اطلاعـاتي و سيستمهاي عـامل، بالا مي‌بـرد. بدينسان، به دليل يکنواختي ذاتي در پـردازش اطلاعات در سيستمهاي رايانه‌اي و با تـوجه به بـرآورد حسابرس و آزمون کنترلهايي چون کنترلهاي مربوط به تغييرات برنامه، اجراي روشهاي حسابرسي براي تشخيص نحوه اجراي يک کنترل خودکار مي‌تواند به عنوان يک آزمون اثربخشي اجرايي آن کنترل نيز محسوب شود. توضيحات بيشتر در مورد آزمون اثربخشي اجرايي کنترلها در استاندارد 330، درج شده است.

ويژ‌گيهاي اجزاي دستي و خود کار کنترلهاي داخلي مربوط به برآورد خطر توسط حسابرس

57 . بيشتر واحدهاي تجاري از سيستمهاي فناوري اطلاعات براي گزارشگري مالي و اهداف عملياتي استفاده مي‌کنند. اما، حتي در مواردي که از فناوري اطلاعات بطور گسترده استفاده مي‌شود، عناصري دستي در سيستمها وجود خواهد داشت. توازن بين اجزاي دستي و خودکار، متفاوت است. در برخي موارد، به ويژه در واحدهاي کوچکتر و با پيچيدگي کمتر، سيستمها اساساً دستي است. در ديگر موارد، ميزان خودکار بودن سيستمها از اين لحاظ متفاوت است که برخي سيستمها اساساً خودکار است و عناصر دستي اندکي دارد و ساير سيستمها، حتي در همان واحد تجاري، اساساً دستي است. درنتيجه، ساختار کنترلهاي داخلي يک واحد مورد رسيدگي احتمالاً شامل عناصري دستي و خودکار است که ويژگيهاي آن، به برآورد خطر توسط حسابرس و روشهاي حسابرسي لازم مبتني ‌بر آن، مربوط مي‌شود.

58 . استفاده از عناصر دستي يا خودکار در کنترلهاي داخلي، بر چگونگي شروع، ثبت، پردازش و گزارش معاملات نيز اثر مي‌گذارد. کنترلها در سيستم دستي ممکن است شامل روشهايي چون تصويب و بررسي فعاليتها و مغايرت‌گيري و پيگيري اقلام باز باشد. از سوي ديگر، واحد مورد رسيدگي ممکن است براي شروع، ثبت، پردازش و گزارش معاملات از روشهاي خودکار استفاده کند که در اين صورت، سوابق الکترونيکي جايگزين مستندات کاغذي چون سفارشات خريد، فاکتورهاي فروش، مدارک حمل و سوابق حسابداري مربوط مي‌شود. کنترل در سيستمهاي فناوري اطلاعات شامل ترکيبي از کنترلهاي خودکار (براي مثال، کنترلهاي تعبيه شده در برنامه‌هاي کامپيوتري) و کنترلهاي دستي است. افزون ‌بر اين، کنترلهاي دستي مي‌تواند مستقل از فناوري اطلاعات باشد، از اطلاعات تهيه شده توسط فنـاوري اطلاعات اسـتفاده کند يا ممکـن است به نظارت بر عملکرد مؤثر فناوري اطلاعات و کنترلهاي خودکار و همچنين، پيگيري موارد استثنا محدود باشد. در مواردي‌که براي شروع، ثبت، پردازش يا گزارش معاملات يا ساير اطلاعات مالي مندرج در صورتهاي مالي از فناوري اطلاعات استفاده مي‌شود، سيستمها و برنامه‌ها ممکن است شامل کنترلهاي مربوط به ادعاهاي مرتبط با حسابهاي با اهميت باشد يا از لحاظ عملکرد مؤثر کنترلهاي دستي متکي به فناوري اطلاعات، نقش اساسي داشته باشد. ترکيب کنترلهاي دستي و خود کار واحد مورد رسيدگي برحسب ماهيت و پيچيدگي استفاده آن از فناوري اطلاعات، فرق مي‌کند.

59. معمولاً فناوري اطلاعات مزيتهاي بالقوه‌اي را براي اثر بخشي و کارايي کنترلهاي داخلي واحد مورد رسيدگي فراهم مي‌کند، زيرا واحد مورد رسيدگي را قادر به انجام موارد زير مي‌کند:

  • اجراي يکنواخت قواعد تجاري از پيش تعيين شده و انجام محاسبات پيچيده در پردازش حجم بزرگي از معاملات يا اطلاعات.
  • افزايش قابليت دسترسي، به‌موقع بودن و صحت اطلاعات.
  • تسهيل تحليل بيشتر اطلاعات.
  • افزايش توان نظارت‌بر عملکرد واحد مورد رسيدگي و سياستها و رويه‌هاي آن.
  • کاهش خطر ناديده گرفتن کنترلها.
  • افزايش توان دستيابي به تفکيک مؤثر وظايف از طريق استقرار کنترلهاي ايمني در برنامه‌هاي کاربردي، بانکهاي اطلاعاتي و سيستمهاي عامل.

 

60 . فناوري اطلاعات، کنترلهاي داخلي واحد مورد رسيدگي را در معرض خطرهاي خاصي چون موارد زير نيز قرار مي‌دهد :

  • اعتماد به سيستمها يا برنامه‌هايي که اطلاعات را نادرست پردازش مي‌کند، اطلاعات نادرست را پردازش‌مي‌کند، يا هر دو.
  • دسترسي غيرمجاز به اطلاعات، که ممکن است به از بين رفتن اطلاعات يا تغيير نابجا در اطلاعات، شامل ثبت معاملات غيرمجاز يا واهي، يا ثبت نادرست معاملات بيانجامد. برخي خطرها ممکن است در مواردي پديد آيد که بيش از يک استفاده‌کننده به يک بانک اطلاعاتي عمومي دسترسي دارند.
  • احتمال برخورداري کارکنان فناوري اطلاعات از امكان دسترسي بيش از حد مورد نياز براي انجام وظايف خود و از اين رو، نقض تفکيک وظايف.
  • تغييرات غيرمجاز در اطلاعات پرونده‌هاي اصلي.
  • تغييرات غيرمجاز در سيستمها يا برنامه‌ها.
  • قصور در اعمال تغييرات لازم در سيستمها يا برنامه‌ها.
  • دخالتهاي دستي نابجا.
  • احتمال بالقوه از دست رفتن اطلاعات يا ناتواني در دسترسي به اطلاعات مورد نياز.

 

61 . درشرايطي نظـير موارد زير که مستـلزم قضاوت و آزادي عمـل است، جنبه‌هاي دستي سيستمها ممکن است مناسبتر باشد:

  • معاملات بزرگ، غيرعادي يا غيرمکرر.
  • شرايطي که تشخيص يا پيش‌بيني اشتباهات دشوار است.
  • شرايط متغيري که به يک واکنش کنترلي، خارج از حدود يک کنترل خودکار موجود، نياز است.
  • نظارت بر اثربخشي کنترلهاي خودکار.

 

62 . کنترلهاي دستي توسط افراد انجام مي‌شود و از این‌رو، کنترلهاي داخلي واحد مورد رسيدگي را در معرض خطرهاي بخصوصي قرار مي‌دهد. کنترلهاي دستي ممکن است کمتر از کنترلهاي خودکار قابل اعتماد باشد، زيرا به‌آساني مي‌تواند دور زده شود، ناديده گرفته شود يا زير پا گذارده شود و همچنين، بيشتر در معرض رخداد اشتباهات و خطاهاي ساده قرار دارد. از اين رو، نمي‌توان فرض کرد که اجزاي کنترلهاي دستي به طور يکنواخت اعمال مي‌شود. سيستمهاي دستي ممکن است در موارد زير چندان مناسب نباشد:

  • معاملات متعدد يا مستمر، يا در شرايطي که اشتباهات مورد انتظار يا قابل پيش‌بيني مي‌تواند به‌وسیله پارامترهاي کنترلي خودکار، پيشگيري يا کشف شود.
  • فعاليتهاي کنترلي، در مواردي که راهکارهاي خاص براي اجراي يك کنترل را بتوان به‌نحو مناسبي طراحي و خودکار نمود.

63 . ميزان و ماهيت خطرهاي کنترلهاي داخلي به ماهيت و ويژگيهاي سيستم اطلاعاتي واحد مورد رسيدگي بستگي دارد. از این‌رو، حسـابرس در شنـاخت کنتـرلهاي داخلي، مناسب بودن واکنـش واحد مـورد رسيدگي را در برابر خطـرهاي ناشي از استـفاده از سيستمهاي فناوري اطلاعات يا دستي از طريق برقراري کنترلهاي مؤثر، مورد توجه قرار می‌دهد.

محدوديتهاي کنترلهاي داخلي

64 . کنترلهاي داخلي، صرف نظر از نحوه طراحي و اجراي آن، تنها مي‌تواند اطميناني معقول از دستيابي به اهداف گزارشگري مالي را براي واحد مورد رسيدگي تأمين کند. احتمال دستيابي به اين اهداف، تحت تأثير محدوديتهاي ذاتي کنترلهاي داخلي است. اين محدوديتها، شامل اين واقعيت است که قضاوت انسان در تصميم‌گيري مي‌تواند اشتباه‌آميز باشد و به‌دليل خطاهاي انساني، چون اشتباهات ساده، کنترلهای داخلي مي‌تواند مختل شود. براي مثال، چنانچه کارکنان سيستم اطلاعاتي واحد مورد رسيدگي چگونگي ‌پردازش معاملات فروش توسط سيستم ثبت سفارش را بطور کامل درک نکنند، ممکن است تغييراتي را به اشتباه در سيستم طراحي کنند که سيستم، فروشهاي يک خط توليد جديد را پردازش کند. ازسوي ديگر، اين تغييرات ممکن است به درستي طراحي شود، اما به‌وسیله افرادي که طرح را به برنامه تبديل مي‌کنند، اشتباه درک شود. اشتباهات ممکن است در اثر استفاده از اطلاعات تهيه شده توسط فناوري اطلاعات نيز رخ دهد. براي مثال، کنترلهاي خودکار ممکن است به منظور گزارش معاملات بيش از يک مبلغ معين طراحي شود تا مورد بررسي مديريت قرار گيرد، اما افراد مسئول بررسي ممکن است هدف از اين گزارشها را درک نکنند و از این رو، آنها را بررسي نکنند يا اقلام غيرعادي را پي‌جويي ننمايند.

65 . افزون بر اين، کنترلها مي‌تواند به‌وسیله تباني دو يا چند نفر يا زيرپا گذاري نابجاي مديريت، بي‌اثر شود. براي مثال، مديريت ممکن است به توافقهايي جنبي با مشتريان برسد که مفاد و شرايط استاندارد قراردادهاي فروش واحد مورد رسيدگي را تغيير ‌دهد و بدينسان، به شناخت درآمد نادرست بينجامد. همچنين، کنترلهاي ويرايشي تعبيه شده در برنامه‌ها که براي شناسايي و گزارش معاملات افزون بر سقف اعتباري مشخصي طراحي شده، ممکن است ناديده گرفته شود يا به عمد، از کار انداخته شود.

66 . واحدهاي کوچکتر اغلب کارکنان اندکي دارند که ممکن است ميزان تفکيک وظايف را محدود کند. اما در مورد زمينه‌هاي اصلي، حتي در يک واحد مورد رسيدگي خيلي کوچک، برقراري حدودي از تفکيک وظايف يا ساير اشکال کنترلهاي ساده، ولي مؤثر، عملي است. احتمال زيرپا گذاري کنترلها توسط صاحب سرمايه- مدير به ميزان زيادي به محيط کنترلي و به ويژه، به نگرش صاحب سرمايه- مدير نسبت به اهميت کنترلهاي داخلي، بستگي دارد.

محيط کنترلي

67 . حسابرس بايد از محيط کنترلي شناخت كسب کند. محيط کنترلي، وظايف راهبري و مديريتي و نگرش، آگاهي و اقدامات مديريت نسبت به کنترلهاي داخلي و اهميت آن در واحد مورد رسيدگي را در بر مي‌گيرد. محيط کنترلي با تنظيم جو واحد تجاري، برهشياري کنترلي کارکنان اثر مي‌گذارد. محيط کنترلي، اساس کنترلهاي داخلي اثربخش است و نظم و ساختار را به وجود مي‌آورد.

68 . مسئوليت اصلي پيشگيري و کشف تقلب و اشتباه با مديريت واحد مورد رسيدگي است. حسابرس در ارزيابي طراحی محیط کنترلي و نحوه اعمال آن، از چگونگي ايجاد و حفظ فرهنگ درستکاري و ارزشهاي اخلاقي و برقراري کنترلهاي مناسب براي پيشگيري و کشف تقلب و اشتباه در داخل واحد مورد رسيدگي توسط مديريت، شناخت حاصل مي‌کند.

69 . حسابرس در ارزيابي طراحي محيط کنترلي واحد مورد رسيدگي، عناصر زير و چگونگي اعمال آن در واحد مورد رسيدگي را مورد توجه قرار می‌دهد:

الف- اشاعه و تقويت درستکاري و ارزشهاي اخلاقي ـ عناصر زيربنايي مؤثر بر اثربخشي طراحي، اجرا و نظارت بر کنترلها.

ب- پايبندي به صلاحيت- توجه مديريت به سطوح صلاحيت لازم براي مشاغل خاص و چگونگي تبديل آن به تجربه و دانش مورد نياز.

پ - مشارکت هيئت مديره ـ استقلال هيئت مديره از مديران اجرايي، تجربه و شأن آنان، ميزان مشاركت و فعاليتهاي بازبيني آنان، اطلاعات دريافتي آنان، ميزاني که مسايل دشوار با آنان طرح و پيگيري مي‌شود و تعامل هيئت مديره با حسابرسان داخلي و مستقل.

ت- نگرش و شيوه اجرايي مديريت- رويکرد مديريت نسبت به پذيرش و مديريت خطرهاي تجاري و نگرش و اقدامات مديريت نسبت به گزارشگري مالي، پردازش اطلاعات و وظايف و کارکنان حسابداري.

ث- ساختار سازماني- چارچوب لازم‌ براي برنامه‌ريزي، اجرا، کنترل و بررسي فعاليتهاي واحد مورد رسيدگي براي دستيابي به اهداف آن.

ج- تعيين اختيار و مسئوليت- چگونگي تعیین اختيار و مسئوليت فعاليتهاي عملياتي و نحوه برقراري روابط گزارشگري و سلسله مراتب اختيارات.

چ- سياستها و روشهاي منابع انساني- استخدام، آشناسازي، آموزش، ارزيابي، مشاوره، ارتقا، حقوق و مزايا و اقدامات اصلاحي.

70 . حسابرس در شناخت اجزاي محيط کنترلي، اعمال شدن يا نشدن آنها را نيز مورد توجه قرار مي‌دهد. معمولاً، حسابرس شواهد حسابرسي مربوط را از طريق ترکيبي از پرس و جو و ساير روشهاي برآورد خطر، مانند تأييد پرس و جوها از طريق مشاهده يا وارسي مدارک، کسب مي‌کند. براي مثال، حسابرس مي‌تواند با پرس و جو از مديريت و کارکنان، از نحوه ابلاغ نظرات مديريت به کارکنان درباره فعاليتهاي تجاري و ارزشهاي اخلاقي، شناخت کسـب کنـد. حسابـرس اعمـال شدن يا نشدن کنتـرلهـا را، مثلاً ازطـريق وجـود آيين رفتارحرفه‌اي مدون و اقدامات مديريت براي پشتيباني از آيين رفتار حرفه‌اي يا ناديده‌ گرفتن موارد تخطي از آن، يا تجويز استثناهايي برآن، تعيين مي‌کند.

71 . شواهد حسابرسي درباره اجزاي محيط کنترلي ممکن است به صورت مستند در دسترس نباشد، به ويژه در واحدهاي تجاري کوچکتر که اطلاع‌رساني بين مديريت و ساير کارکنان مي‌تواند عليرغم غير رسمي بودن، مؤثر باشد. براي مثال، تعهد مديريت به حفظ صلاحيت و ارزشهاي اخلاقي اغلب به جاي آيين رفتار حرفه‌اي مدون ، به‌وسیله رفتار و نگرش ابرازي آنان در اداره امور تجاري واحد مورد رسيدگي پديدار مي‌شود. درنتيجه، نگرش، آگاهي و اقدامات مديريت، در طراحي محيط کنترلي واحدهاي کوچکتر، از اهميت خاصي برخوردار است. افزون‌بر اين، در مواردي که صاحب سرمايه ديگري وجود نداشته باشد، نقش مديريت اغلب بعهده صاحب سرمايه- مدير است.

72 . مسئوليتهاي کلي مديريت در اساسنامه و آيين‌نامه‌ها يا به‌موجب ساير مقررات، مشخص مي‌شود. يکي از نقشهاي هيئت مديره، متعادل کردن فشارهاي وارده بر مديران اجرايي درارتباط با گزارشگري مالي است. براي مثال، مبناي حقوق و مزاياي مديران اجرايي مي‌تواند به دليل وجود تضاد بين الزامات گزارشگري مطلوب و منافع محسوس حاصل از نتايج عملکرد بهتر، مديران اجرايي را تحت فشار قرار دهد. حسابرس در کسب شناخت از محيط کنترلي، موضوعاتي چون استقلال هیئت‌ مديره و توانايي آنان در ارزيابي اقدامات مديران اجرايي را، مورد توجه قرار می‌دهد. حسابرس همچنين وجود يک کميته حسابرسي که معاملات تجاري واحد مورد رسيدگي را درک کند و مطلوبيت ارائه صورتهاي مالي را از تمام جنبه‌هاي با اهميت، طبق استانداردهاي حسابداري ارزيابي کند، مورد توجه قرار می‌دهد.

 

صفحه     1     2         4     5