Transakcje
Poziom sprawozdania finansowego (rozległe) Ryzyko i kontrole
Poziom stwierdzeń Ryzyko i kontrole
Obejmuje:
- Nadużycia kierownictwa - Ogólne kontrole IT - Sprawozdawczość finansowa
Obejmuje:
- Kontrole procesów gospodarczych - Kontrole fizyczne
- Zawłaszczenie aktywów - Kontrole aplikacji IT Monit y informacyjne i
komunik acja
Kontrole rozległe zapewniają wspólnie właściwą podstawę dla wszystkich innych elementów kontroli wewnętrznej, ponieważ słabe kontrole rozległe mogą uniemożliwić skuteczne stosowanie nawet najlepszych kontroli procesów gospodarczych. Jednostka może na przykład dysponować efektywnym systemem zakupów, jednak niekompetentny księgowy/młodszy księgowy może popełnić wiele błędów (tj. słabe środowisko kontroli), a niektóre z nich
mogą prowadzić do istotnego zniekształcenia sprawozdania finansowego. W dodatku obejścia kontroli przez kierownictwo i niewłaściwe „sygnały z góry” (co występuje zwykle na poziomie sprawozdania finansowego) są częstymi przejawami złych zachowań korporacyjnych.
126
UWAGASposób, w jaki jednostka faktycznie zaprojektuje i wdroży kontrolę wewnętrzną, zmienia się w zależności od jej wielkości i złożoności. W mniejszych jednostkach właściciel zarządzający swoją działalnością gospodarczą może spełniać funkcje odnoszące się do kilku elementów kontroli wewnętrznej.
11.5 Kontrola wewnętrzna w mniejszych jednostkach
Mniejsze jednostki często zatrudniają niewielu pracowników, co może ograniczać zakres, w jakim:
• ma sens podział obowiązków, oraz
• dostępne są ślady rewizyjne w formie papierowej.
W takich jednostkach kontrola wewnętrzna często wynika ze środowiska kontroli (zaangażowanie kierownictwa na rzecz wartości etycznych, kompetencji, podejście do kontroli wewnętrznej i ich codzienne działania), a nie z poszczególnych kontroli nad transakcjami. Ocena środowiska kontroli różni się znacznie od działań kontroli tradycyjnej, ponieważ wiąże się z oceną zachowań, postaw, kompetencji i działań kierownictwa. Oceny takie są często dokumentowane w formie notatek lub przy pomocy kwestionariuszy.
Obecność silnie zaangażowanego kierownika zarządzającego swoją działalnością gospodarczą może być zarówno mocną, jak i słabą stroną kontroli wewnętrznej. Mocna strona polega na tym, że osoba ta (przy założeniu jego/jej kompetencji), ma wiedzę dotyczącą wszystkich aspektów działalności oraz, że jest bardzo mało prawdopodobne, iż istotne zniekształcenia pozostaną niezauważone. Słabość kontroli polega na możliwości obchodzenia kontroli wewnętrznej przez tę osobę dla osiągnięcia korzyści.
UWAGA
Zidentyfikuj kontrole rozległe
W badaniach mniejszych jednostek często występuje pokusa, aby pochopnie uznać, że kontrola wewnętrzna nie istnieje, a zatem nie jest warta oceny. Pomimo to każda jednostka, która chce kontynuować działalność, ma jakąś formę kontroli wewnętrznej. Na przykład, którego kierownika nie obchodzi, czy wpływy gotówkowe są deponowane w banku, albo czy za wysyłane towary wystawia się faktury?
Rozważ, jak kontrole rozległe mogą być potwierdzone
W przypadku, gdy właściciel zarządzający swoją działalnością gospodarczą lub jego odpowiednik zatwierdza transakcje i uważnie przegląda wyniki finansowe, skutkiem takiej kontroli może być zapobieganie lub wykrywanie zniekształceń występujących na poziomie stwierdzeń. Jeżeli poleganie na takiej kontroli miałoby zredukować potrzebę innych badań wiarygodności, rozważ, czy takie kontrole mogą być potwierdzone, na przykład podpisem na raporcie lub uzgodnieniem wskazującym przegląd lub zatwierdzenie. Potwierdzenie takie mogłoby posłużyć do badania skuteczności działania kontroli.
11.6 Brak kontroli wewnętrznej
W praktycznie wszystkich jednostkach istnieje jakaś forma kontroli wewnętrznej, na przykład kompetencje właściciela zarządzającego swoją działalnością gospodarczą (środowisko kontroli). Może ona być nieformalna i niezbyt wyszukana, niemniej jest jednak kontrolą wewnętrzną. Jednostka, która nie minimalizuje żadnego z poważnych ryzyk (poprzez elementy kontroli takie jak środowisko kontroli, oszacowanie ryzyka, systemy informacyjne, czynności kontrolne lub monitorowanie) prawdopodobnie nie pozostanie zbyt długo na rynku.
W przypadkach, w których nie można zidentyfikować zbyt wielu czynności kontrolnych, biegły rewident rozważa, czy:
• możliwe jest odniesienie się do stosownych stwierdzeń poprzez wykonanie dalszych procedur badania, które są zasadniczo procedurami wiarygodności, lub
• czy brak czynności kontrolnych lub innych elementów kontroli (w niektórych rzadkich przypadkach) uniemożliwia uzyskanie wystarczających i odpowiednich dowodów badania.
Inne sprawy, które rodzą pytania dotyczące tego, czy badanie powinno być przeprowadzone, to:
• obawy dotyczące uczciwości kierownictwa, nieetycznego zachowania lub negatywnego stosunku do kontroli wewnętrznej, słabości środowiska kontroli mają tendencję do osłabiania kontroli istniejącej w innych
elementach kontroli. Zwiększa to ryzyko świadomego prowadzenia w błąd przez kierownictwo i oszustwa, oraz
11 ZROZUMIENIE KONTROLI WEWNĘTRZNEJ
127
• rodzi obawy dotyczące stanu i wiarygodności zapisów księgowych jednostki, które sugerują, że mało
prawdopodobne jest uzyskanie wystarczających i odpowiednich dowodów badania, umożliwiających wyrażenie opinii bez zastrzeżeń.
W takich lub podobnych okolicznościach, biegły rewident powinien rozważyć potrzebę zmodyfikowania sprawozdania biegłego rewidenta lub zupełnego wycofania się ze zlecenia.
W wypadku podjęcia decyzji o wycofaniu się z badania, biegły rewident powinien rozważyć odpowiedzialność zawodową i prawną, w tym wszelkie wymogi poinformowania osób, które zleciły badanie, oraz organów regulacyjnych. Ponadto biegły rewident powinien omówić wycofanie się i jego powody z kierownictwem odpowiedniego szczebla oraz z osobami sprawującymi nadzór.
11.7 Kontrole zapobiegające oszustwu (kontrole zabezpieczające przed oszustwami)
Obejście kontroli wewnętrznej przez kierownictwo w małych jednostkach często można zminimalizować lub ograniczyć poprzez ustanowienie i udokumentowanie kluczowych polityk i procedur. Na przykład, udokumentowana na piśmie polityka wymagająca zatwierdzenia wszystkich nierutynowych zapisów dziennika umożliwiłaby księgowemu zwrócenie się o takie zatwierdzenie do kierownika. Nie zapobiegną one nadużyciom ze strony kierownictwa, działają jednak odstraszająco. W sytuacji, gdy nie obowiązują takie polityki i procedury przeciwdziałające oszustwom, konieczna jest reakcja biegłego rewidenta na ryzyko obejścia kontroli wewnętrznej przez kierownictwo, polegająca na przeprowadzeniu innych procedur badania.
Uwaga: Kontrole, które odnoszą się do zgodności z regulacjami i nie są stosowne dla badania (tam, gdzie niezachowanie zgodności nie powodowałoby istotnego zniekształcenia sprawozdania finansowego), nie muszą być uwzględnione w badaniu.
11.8 Kontrole wewnętrzne stosowne dla badania (zakres zrozumienia)
Nie wszystkie kontrole są stosowne dla badania. Biegły rewident zajmuje się jedynie zrozumieniem i oceną tych kontroli, które minimalizują ryzyko istotnego zniekształcenia (spowodowanego oszustwem lub błędem) w sprawozdaniu finansowym. Oznacza to, że niektóre rodzaje kontroli mogą zostać zupełnie wyłączone z badania, zgodnie z ilustracją poniżej. Są to kontrole:
• które nie dotyczą sprawozdawczości finansowej (na przykład kontrole działalności operacyjnej i kontrole zgodności z regulacjami), oraz
• dla których prawdopodobieństwo, że spowodują istotne zniekształcenie w sprawozdaniu finansowym, jest niewielkie, nawet przy zupełnym braku tych kontroli.
Ilustracja 11.8-1
Kontrole NIEZNACZĄCE dla badania Kontrole znaczące dla
badania
Sprawozdawczość finansowa (znaczące pozycje i ujawnienia w
S/F)
Cele operacyjne i w zakresie zgodności z
wymogami
Kontrole rozległe i ogólne kontrole IT
W niektórych przypadkach, zakresy kontroli finansowych i kontroli związanych z działalnością operacyjną i podporządkowaniem się regulacjom mogą się w pewnym stopniu pokrywać. Przykłady obejmują kontrole
128
odnoszące się do danych ocenianych przez biegłego rewidenta lub wykorzystywanych w innych procedurach badania, takich jak:• dane niezbędne do procedur analitycznych (np. statystyki produkcji),
• kontrole wykrywające niezgodność z przepisami prawa i regulacjami,
• kontrole zabezpieczające aktywa, odnoszące się do sprawozdawczości finansowej, oraz
• kontrole kompletności i dokładności generowanych informacji, które mogą stanowić podstawę obliczania kluczowych wskaźników wyników.
Kontrole, które zawsze byłyby stosowne dla badania obejmują te kontrole, które minimalizują następujące ryzyko:
Ilustracja 11.8-2 Opis
Znaczące ryzyko Znaczące ryzyko to zidentyfikowane i oszacowane ryzyko istotnego zniekształcenia, które według osądu biegłego rewidenta wymaga szczególnego rozważenia podczas badania.
Ryzyko, do którego nie można jedynie odnieść się za pomocą procedur wiarygodności
Są to zidentyfikowane i oszacowane ryzyka istotnych zniekształceń w przypadku, których same procedury wiarygodności nie zapewniają wystarczających i odpowiednich dowodów badania.
Inne ryzyko istotnego zniekształcenia
Znaczące ryzyko to zidentyfikowane i oszacowane ryzyko istotnych zniekształceń, które w osądzie biegłego rewidenta może potencjalnie powodować wystąpienie istotnych zniekształceń.
Czynniki mające znaczenie dla osądu biegłego rewidenta, czy dana kontrola jest znacząca dla badania, mogą obejmować następujące zagadnienia:
• wiedzę na temat istnienia/braku kontroli zidentyfikowanych w innych elementach kontroli wewnętrznej. Jeśli odniesiono się już do konkretnego ryzyka (na przykład poprzez środowisko kontroli, system informacyjny itd.), nie ma potrzeby identyfikowania ewentualnie występujących dodatkowych kontroli,
• istnienie wielu czynności kontrolnych, które pozwalają osiągnąć ten sam cel. Nie jest koniecznym uzyskanie zrozumienia każdej czynności kontrolnej związanej z takim celem,
• potrzebę testowania skuteczności działania kontroli. Na przykład, jeżeli nie ma praktycznego sposobu sprawdzenia kompletności sprzedaży, (tzn. poprzez wykonanie procedur wiarygodności) wymagane jest testowanie skuteczności działania kontroli, oraz
• wpływ, jaki testowanie skuteczności działania kontroli będzie miało na zakres (tj. redukcję) wymaganego badania wiarygodności.
Zawodowy osąd wymagany jest do oceny, czy kontrola wewnętrzna, występując pojedynczo lub łącznie z innymi, jest faktycznie stosowna.
11 ZROZUMIENIE KONTROLI WEWNĘTRZNEJ
UWAGA
129
Podejście „od ogółu do szczegółu” i oparte na ryzyku
Podejście biegłego rewidenta do zrozumienia kontroli wewnętrznej powinno przebiegać od ogółu do szczegółu.
Pierwszym krokiem jest zidentyfikowanie właściwych ryzyk rozległych i transakcyjnych, a następnie ustalenie, czy reakcja kierownictwa jest odpowiednia.
Rzetelne zrozumienie kontroli na poziomie jednostki stanowi ważną podstawę oceny stosownych kontroli nad sprawozdawczością finansową na poziomie transakcji (procesów gospodarczych). Jeżeli na przykład, występuje słaba kontrola rzetelności danych na poziomie jednostki, wpływa to na wiarygodność wszystkich informacji generowanych przez systemy sprzedaży, zakupów czy płac.
Przykłady
Podejście „od ogółu do szczegółu” i oparte na ryzyku, mające na celu zrozumienie kontroli wewnętrznej, wymaga:
• identyfikacji procesów gospodarczych (w tym rachunkowości) związanych z każdym znaczącym saldem konta,
• określenia dla każdego zidentyfikowanego procesu, czy możliwe jest wystąpienie istotnego zniekształcenia w sprawozdaniu finansowym lub, czy występują inne czynniki, które powodują, że jest on ważny dla badania, oraz
• wykluczenia z zakresu badania tych procesów i kontroli, które nie są stosowne dla badania.
Na przykład, w przedsiębiorstwie produkującym herbatniki mogą występować następujące procesy wpływające na wielkość przychodów ze sprzedaży:
• główny system zamówień rejestruje szczegóły i postęp dla każdego zamówienia telefonicznego. Stanowi to 70% sprzedaży,
• „sprzedaż w sklepiku” to sprzedaż klientom połamanych herbatników w małym sklepiku na tyłach zakładu produkcyjnego. Stanowi to 2% sprzedaży,
• sprzedaż internetowa to proces, w którym zamówienia są składane on-line, a płatność dokonywana jest kartą kredytową; stanowi 28% sprzedaży,
• system rachunkowości rejestruje szczegółowe dane dla każdego kanału sprzedaży.
W opisanej sytuacji prawdopodobieństwo, że sprzedaż w sklepiku spowoduje istotne zniekształcenie
w sprawozdaniu finansowym jest niewielkie, więc może ona zostać wykluczona z zakresu badania. Jednak przed podjęciem takiej decyzji, rozsądnie byłoby:
• zapytać, czy istnieje kontrola sprzedaży w sklepiku, mająca zagwarantować, że wszystkie te transakcje są rejestrowane i że nie występuje celowe łamanie herbatników, aby sprzedać je w sklepiku po obniżonych cenach podmiotom powiązanym, lub
• dokonać przeglądu analitycznego podziału sprzedaży, aby uzyskać pewność, że sprzedaż w sklepiku nie odbiega od spodziewanych 2%.
11.9 Studia przypadków – identyfikowanie znaczących kontroli
Szczegóły dotyczące studiów przypadku opisano w tomie 2, w rozdziale 2 – „Wprowadzenie do studiów przypadków”. Należy zauważyć, że krok opisany poniżej wykonuje się często w ramach procesu planowania.
Ponieważ nie wszystkie procesy gospodarcze i kontrole są stosowne dla badania, ważne jest, by zrozumieć, które obszary sprawozdania finansowego i kontrole mają istotny wpływ na sprawozdanie finansowe.
Ustalenie, które obszary sprawozdania finansowego i związane z nimi procesy gospodarcze wchodzą w zakres badania, wymaga wykorzystania istotności ogólnej jako wskazówki pozwalającej rozpoznać:
• jakie obszary sprawozdania finansowego są lub mogą być istotne, oraz
• jakie kontrole rozległe i jakie procesy gospodarcze mają znaczenie.
Nieistotne salda, transakcje, procesy gospodarcze i kontrole, gdzie wystąpienie istotnych zniekształceń nie jest prawdopodobne, mogą być wykluczone z zakresu dalszych rozważań w badaniu. Przed wykluczeniem jakiegoś obszaru należy jednak rozważyć:
• możliwe nagromadzenie nieistotnych zniekształceń, które łącznie mogłyby spowodować istotne zniekształcenia, oraz
• czy obszar sprawozdania finansowego nie jest zbagatelizowany z powodu oszustwa lub błędu.