a nie do konkretnego ryzyka.
12.5 Krok 3 – Czy działają kontroli minimalizujące ryzyko?
Ilustracja 12.5-1
Procedura oszacowania ryzyka
Upewnij się, czy zidentyfikowane (znaczące) kontrole rzeczywiście działają tak, jak zostały zaprojektowane
Oceń wdrożenie kontroli
Same zapytania skierowane do kierownictwa nie wystarczają do oceny modelu procedur kontroli wewnętrznej ani do ustalenia, czy została ona wdrożona. Wynika to z faktu, że zainteresowane osoby mogą naprawdę wierzyć lub mieć nadzieję, że pewne kontrole istnieją, choć w rzeczywistości nie jest to prawda. Udokumentowany opis (choćby dobry) nieistniejących czy niedziałających kontroli nie przedstawia wielkiej wartości dla badania.
Inne powody dla obserwacji kontroli wewnętrznej w działaniu są następujące:
• Zmieniające się procesy Zmieniające się w czasie procesy będące rezultatem zmienionych/nowych produktów lub usług, efektywności działalności operacyjnej, zmian personelu i wdrażania nowych wspomagających aplikacji IT;
12 OCENA KONTROLI WEWNĘTRZNEJ
143
• Myślenie życzeniowe Personel jednostki może wyjaśniać biegłemu rewidentowi, jak powinien działać system, a nie jak rzeczywiście działa on w praktyce, oraz
• Brak wiedzy Niektóre aspekty systemu mogły zostać nieumyślnie przeoczone podczas uzyskiwania zrozumienia na temat kontroli wewnętrznej.
UWAGA
Jeżeli pojawiają się jakiekolwiek wątpliwości co do tego, czy pewne kontrole zidentyfikowane w kroku 2 powyżej nie zostały w rzeczywistości wdrożone, nie należy dokonywać oceny modelu kontroli ani dokumentować działania kontroli do momentu wykonania pewnej pracy w celu ustalenia, czy one istnieją i działają.
Alternatywnym podejściem jest zrezygnowanie z oceny kontroli, które z dużym prawdopodobieństwem nie są stosowne dla badania lub zostały niewłaściwie zaprojektowane.
Procedury oszacowania ryzyka wymagane do uzyskania dowodów badania dotyczących wdrożenia kontroli obejmują elementy wyliczone poniżej.
Ilustracja 12.5-2
Opis
Ocena wdrożenia kontroli • Zapytania kierowane do personelu jednostki;
• Obserwacja lub ponowne wykonywanie określonych kontroli;
• Inspekcja dokumentów i raportów; oraz
• Śledzenie jednej lub dwóch transakcji w systemie informacyjnym stosownym dla sprawozdawczości finansowej.
Uwaga: Ocena wdrożenia kontroli jest konieczna jedynie w odniesieniu do kontroli, które są stosowne dla badania. Nie stanowi ona testu skuteczności działania kontroli.
Wdrożenie kontroli zapewnia dowody, co do tego, czy kontrola rzeczywiście działała w konkretnym punkcie czasu. Nie odnosi się do skuteczności działania w okresie podlegającym badaniu. Dowody skuteczności działania (jeżeli jest to częścią opracowywanej strategii badania) osiąga się poprzez testy kontroli, które gromadzą dowody dotyczące działania kontroli w pewnym okresie, na przykład roku.
Dopiero po ustaleniu, że kontrola wewnętrzna stosowna dla badania została właściwie zaprojektowana i wdrożona, warte rozważenia jest:
• jakie (ewentualne) testy skuteczności działania kontroli ograniczą potrzebę przeprowadzania innych procedur wiarygodności, oraz
• jakie kontrole wymagają testowania, ze względu na to, że nie ma innego sposobu uzyskania wystarczających i odpowiednich dowodów badania.
144
UWAGANależy uzyskać pewność, że zespół wykonujący badanie jasno rozumie różnicę pomiędzy modelem kontroli, jej wdrożeniem i testami kontroli. Elementy te podsumowano poniżej.
Model kontroli
Czy zaprojektowano kontrole, które minimalizują ryzyko nieodłączne?
Wdrożenie kontroli
Czy zaprojektowane kontrole są rzeczywiście działają? W każdym okresie sprawozdawczym należy prześledzić wdrożenie procedur kontroli, aby rozpoznać wszelkie zmiany systemu.
Testy kontroli
Czy kontrole działały skutecznie w danym okresie czasu? Nie ma wymogu testowania skuteczności działania kontroli, chyba że nie ma innej możliwości uzyskania niezbędnych dowodów badania (na przykład w przypadku wysoce zautomatyzowanego i elektronicznego systemu). Podjęcie decyzji o testowaniu skuteczności działania kontroli jest zatem sprawą zawodowego osądu.
Nie należy ignorować powiązań pomiędzy modelem kontroli a jego wdrożeniem
Jeżeli pojawiają się jakiekolwiek wątpliwości, co do tego, czy pewne kontrole zidentyfikowane w kroku 2 powyżej zostały rzeczywiście wdrożone, nie należy dokonywać oceny modelu kontroli do momentu wykonania niektórych prac w celu ustalenia, czy one istnieją i działają. Ponadto, jeżeli biegły rewident uzna, że model kontroli jest niewystarczający, nie ma sensu kontynuować oceny wdrożenia kontroli. Prawdopodobne jest występowanie już na tym etapie znaczącej słabości.
Ocena wdrożenia dla każdego okresu sprawozdawczego
Po pierwszym zleceniu badania, należy najpierw ocenić wdrożenie kontroli w celu ustalenia, co się zmieniło. Jako punkt wyjścia, należy się posłużyć dokumentacją dotyczącą modelu kontroli uzyskaną w poprzednim okresie sprawozdawczym. Jeżeli zostaną zidentyfikowane zmiany w kontroli wewnętrznej, po przeglądzie nowych kontroli należy rozważyć, czy w dalszym ciągu łagodzą one czynnik ryzyka lub czy pojawiły się nowe ryzyka, które wymagają złagodzenia.
12.6 Krok 4 – Czy zostało udokumentowane działanie stosownych kontroli?
Ilustracja 12.6-1
Udokumentuj działanie znaczących kontroli
Rozpatrz działanie kontroli w kontekście od rozpoczęcia transakcji aż do sprawozdawczości finansowej
Udokumentuj znaczące kontrole
Celem tego kroku jest uzyskanie pewnych informacji na temat działania stosownych kontroli zidentyfikowanych w kroku 2 powyżej. Zakres wymaganej dokumentacji jest kwestią zawodowego osądu.
Powstała w ten sposób dokumentacja pomoże biegłemu rewidentowi:
• zrozumieć charakter, działanie (rozpoczęcie, przetwarzanie, rejestrowanie itd.) oraz kontekst (na przykład, kto wykonuje kontrole, gdzie są one wykonywane, jak często, jaka dokumentacja powstaje w ich wyniku) zidentyfikowanych kontroli, oraz
• ustalić, czy kontrole mogą być prawdopodobnie wiarygodne i działają skutecznie. Jeżeli tak jest, można by je przetestować w ramach reakcji badania na oszacowane ryzyko. Jeżeli zostanie podjęta decyzja o testowaniu skuteczności działania kontroli, dokumentacja ta pomoże także biegłemu rewidentowi w opracowaniu testu, na przykład w decyzji, jakim zbiorem należy się posłużyć opracowując próbkę, jakie atrybuty kontroli należy badać, kto wykonuje kontrolę i gdzie można znaleźć konieczną dokumentację.
12 OCENA KONTROLI WEWNĘTRZNEJ
UWAGA
145
Dokumentacja kontroli nie musi być złożona ani obszerna. Nie ma wymogu, by biegły rewident dokumentował i oceniał cały proces działalności gospodarczej lub opisywał działanie kontroli, które nie są stosowne dla badania.
Niektóre kwestie do rozważenia podczas dokumentowania zidentyfikowanych, stosownych kontroli wewnętrznych przestawia ilustracja poniżej.
Ilustracja 12.6-2
Udokumentowanie znaczących kontroli wewnętrznych
• Jak stosowne transakcje są inicjowane, autoryzowane, rejestrowane, przetwarzane i raportowane;
• Przepływ transakcji przedstawiony wystarczająco szczegółowo, aby umożliwić identyfikację momentów, w których mogą wystąpić istotne zniekształcenia spowodowane błędem lub oszustwem; oraz
• Kontrola wewnętrzna nad procesem sprawozdawczości finansowej na koniec okresu sprawozdawczego, w tym znaczące szacunki księgowe i ujawnienia.
Najbardziej popularnymi formami dokumentacji sporządzanej przez kierownictwo lub biegłego rewidenta są:
• pełne opisy lub notatki (memoranda),
• diagramy sekwencji działań,
• połączenie diagramów sekwencji działań i pełnych opisów, oraz
• kwestionariusze i listy kontrolne.
Charakter i zakres wymaganej dokumentacji jest kwestią zawodowego osądu. Czynniki do rozważenia obejmują:
• charakter, rozmiar i stopień złożoności jednostki oraz jej kontroli wewnętrznej,
• dostępność informacji z jednostki, oraz
• metodologię badania i technikę używaną w trakcie badania.
Zakres dokumentacji może także odzwierciedlać doświadczenie i umiejętności członków zespołu wykonującego badanie. Badanie wykonane przez zespół składający się z osób o mniejszym doświadczeniu może wymagać bardziej szczegółowej dokumentacji pomocnej w odpowiednim zrozumieniu jednostki, niż badanie, które przeprowadzają osoby bardziej doświadczone.
12.7 Aktualizacja dokumentacji kontroli w kolejnych okresach sprawozdawczych
Planując badanie na kolejny okres sprawozdawczy, biegły rewident może wykorzystać dokumentację sporządzoną lub uzyskaną w trakcie badania poprzedniego okresu sprawozdawczego. Dokumentacja taka jest opisana poniżej.
Ilustracja 12.7-1
Opis Aktualizacja dokumentacji kontroli przygotowanej w poprzednich okresach sprawozdawczych
• Należy sporządzić kopię dokumentacji roboczej dotyczącej kontroli przygotowanej w poprzednich okresach sprawozdawczych, która jest punktem wyjścia dla aktualizacji dla bieżącego roku. Jeżeli nic się nie zmieniło, należy ocenić wdrożenie kontroli przed oceną modelu. Jeżeli kontrola została wdrożona, a ryzyko się nie zmieniło, model jest akceptowalny.
• Zaktualizuj listę ryzyk, które wymagają minimalizacji przez kontrole.
• Zidentyfikuj zmiany w kontroli wewnętrznej na poziomie sprawozdania finansowego i na poziomie stwierdzenia. Można to osiągnąć przez procedury, które dotyczą wdrożenia kontroli.
• Tam, gdzie rozpoznano zmiany (w ryzyku lub kontroli), należy ustalić, czy nowe kontrole wewnętrzne zostały zaprojektowane i wdrożone.
• Zaktualizuj powiązania pomiędzy kontrolami wewnętrznymi i stosownymi czynnikami ryzyka.
• Zaktualizuj wnioski dotyczące ryzyka kontroli.
146
W sytuacji, gdy strategia dotycząca badania obejmuje poleganie na efektywnym działaniu pewnych kontroli (na przykład poprzez testy kontroli), a w kontroli wewnętrznej zaszły zmiany, zajdzie potrzeba przeprowadzenia przeglądu procedur w odniesieniu do transakcji, jakie były przetwarzane przed zmianą i po niej.UWAGA
Zmiany w kontrolach rozległych
W procesie aktualizacji dokumentacji dotyczącej kontroli należy starannie rozważyć zmiany w kontrolach rozległych. Zmiany te mogą mieć znaczący wpływ na skuteczność innych szczegółowych kontroli (transakcyjnych) i mogą wpływać na reakcję w badaniu na oszacowane ryzyka. Na przykład decyzja kierownika jednostki
o zatrudnieniu wykwalifikowanego specjalisty do sporządzania sprawozdania finansowego mogłyby znacząco ograniczyć ryzyko błędów w informacjach finansowych i zwiększyć skuteczność kontroli transakcji, które wcześniej mogły być osłabione. Z drugiej strony, zaniechanie kierownika jednostki w sprawie zastąpienia niekompetentnego kierownika IT lub przeznaczenie niedostatecznych zasobów na zabezpieczenie przed ryzykiem utraty bezpieczeństwa IT może negatywnie wpłynąć na inne wdrożone procedury kontroli
wewnętrznej. W każdym przypadku zmiany te mogą zapoczątkować znaczące zmiany w odpowiedniej reakcji w badaniu.
12.8 Pisemne oświadczenia dotyczące kontroli wewnętrznej
Od kierownictwa należy uzyskać pisemne oświadczenia, w których uzna ono swoją odpowiedzialność za taką kontrolę wewnętrzną, jaką kierownictwo uzna za stosowną w celu umożliwienia sporządzenia sprawozdania finansowego niezawierającego istotnego zniekształcenia powstałego na skutek oszustwa lub błędu.
12.9 Studia przypadków – ocena kontroli wewnętrznej
Szczegóły dotyczące studiów przypadków opisano w tomie 2, w rozdziale 2 – „Wprowadzenie do studiów przypadków”.
Poniższe fragmenty dokumentacji dotyczącej kontroli wewnętrznej są przykładem informacji uzyskanych w wyniku zastosowania czterech kroków opisanych powyżej.
Studium przypadku A - Delta Meble
Krok 1 – Identyfikacja ryzyka
Pierwszym i najważniejszym krokiem w ocenie kontroli wewnętrznej jest identyfikacja, jakie ryzyko musi być minimalizowane przez kontrole wewnętrzne. Obejmują one ryzyko zidentyfikowane w wyniku uzyskania zrozumienia jednostki, inne czynniki ryzyka rozległego oraz zwykłe czynniki ryzyka transakcyjnego związane z procesami gospodarczymi takimi jak zakupy czy płace.
Krok 2 – Model kontroli
Drugim krokiem jest zadanie pytań dotyczących kontroli, które wprowadziło kierownictwo w celu uwzględnienia ryzyk zidentyfikowanych w kroku 1 powyżej oraz ich ocena.