Dla ryzyka szczególnego i transakcyjnego najczęstszym podejściem stosowanym w ocenie modelu jest
wykorzystanie tak zwanej „macierzy modelu kontroli”. Macierze te pozwalają biegłemu rewidentowi błyskawicznie dostrzec:
• wzajemne związki „wiele do wielu” występujące pomiędzy wieloma rodzajami ryzyka a kontrolami,
• gdzie kontrola wewnętrzna jest mocna,
• gdzie kontrola wewnętrzna jest słaba, oraz
• kluczowe kontrole nastawione na wiele ryzyk/stwierdzeń, które mogą być testowane pod kątem skuteczności działania.
Poniżej przedstawiono przykład prostej macierzy modelu kontroli.
Ilustracja 12.3-4
Proces = Sprzedaż
Znaczące czynniki ryzyka Ryzyko
A Ryzyko
B Ryzyko
C Ryzyko
D Kluczowe
kontrole
Stwierdzenia K ID DK KI
Kontrole Element kontroli wewnętrznej
Procedura nr 1 Środowisko kontroli WK
Procedura nr 2 Systemy informacyjne WK
Procedura nr 3 Czynność kontrolna P P P Tak
Procedura nr 4 Monitorowanie WK
Procedura nr 5 Czynność kontrolna P P Tak
Procedura nr 6 Czynność kontrolna
12 OCENA KONTROLI WEWNĘTRZNEJ
139
Procedura nr 7 Systemy informacyjne WK WK WK
Czy model kontroli jest prawidłowy? To znaczy, czy
zidentyfikowane kontrole zminimalizują czynniki ryzyka? Tak Tak Nie Tak Objaśnienia:
P = Kontrola prewencyjna
WK = Kontrola wykrywająca i korygująca
Uwaga: Powyższa macierz zawiera następujące informacje:
• czynniki ryzyka, które mogłyby prowadzić do istotnych zniekształceń w sprawozdaniu finansowym, gdyby nie zostały zminimalizowane,
• stwierdzenia, które dotyczą czynników ryzyka, oraz
• gdy procedura kontroli wewnętrznej dotyczy ryzyka w macierzy (przecina się w macierzy), odnotowana jest jako kontrola prewencyjna (P) zniekształcenia lub kontrola wykrywająca i korygująca (WK) zniekształcenie po jego wystąpieniu.
Taka macierz może także zostać rozszerzona, aby mogła uwzględniać inne informacje, takie jak:
• częstotliwość, z jaką działa kontrola, np. ciągle, co tydzień czy co miesiąc,
• informacja, czy jest to kontrola ręczna czy zautomatyzowana,
• spodziewana wiarygodność kontroli wewnętrznej w danym okresie sprawozdawczym. Może to obejmować, na przykład, ocenę kompetencji (i niezależności od innych funkcji) osoby, która wykonuje kontrolę, czy kontrola jest wykonywana terminowo oraz historię występowania wszelkich ewentualnych błędów.
UWAGA
Liczne procedury kontroli
Należy zauważyć, że mało prawdopodobnym jest, by jakaś jedna procedura kontroli zminimalizowała kluczowy czynnik ryzyka. Często dopiero połączenie działań kontrolnych współdziałających z innymi elementami kontroli wewnętrznej (takimi jak środowisko kontroli) jest wystarczające, by zareagować na ryzyko.
Zacznij od ryzyka
Unikaj pokusy wyliczenia wszystkich znanych kontroli i dopasowania ich potem do ryzyka. Ryzyka powinny być uwzględnione jako pierwsze, po nich kontrole, które je minimalizują. Bardziej efektywne jest odniesienie się do każdego ryzyka (lub celu kontroli) po kolei, a potem zidentyfikowanie, jakie kontrole istnieją aby przeciwdziałać temu ryzyku. Po zidentyfikowaniu wystarczającej liczby kontroli przeciwdziałającym danemu ryzyku nie ma sensu spędzać czasu na identyfikowaniu dodatkowych kontroli.
Dopasowanie kontroli do ryzyka nie tylko pomaga ocenić model kontroli, ale także pozwala zidentyfikować kluczowe kontrole (nad stosownymi stwierdzeniami), które mogą potencjalnie podlegać testom. Pomoże to także biegłemu rewidentowi zidentyfikować słabości kontroli, które mogą wymagać:
• powiadomienia o nich kierownika jednostki i osoby sprawujące nadzór w odpowiednio krótkim czasie, aby umożliwić podjęcie działań zmierzających do ich skorygowania, oraz
• zaprojektowania odpowiedniej reakcji w badaniu.
Macierz modelu kontroli (patrz ilustracja 12.3-4) może być wykorzystana do identyfikacji zarówno mocnych, jak i słabych stron kontroli. Proces ten opisano poniżej.
140
Ilustracja 12.3-5Zidentyfikuj Opis – korzystanie z macierzy modelu kontroli Słabości kontroli
wewnętrznej Przyjrzyj się każdej kolumnie dotyczącej ryzyka (w macierzy modelu kontroli powyżej), aby zobaczyć, jakie istnieją procedury kontroli wewnętrznej mające minimalizować ryzyka. Jeżeli istnieją wystarczające kontrole, nie mamy do czynienia ze słabością kontroli.
Tam, gdzie brakuje zidentyfikowanych procedur kontroli wewnętrznej minimalizujących ryzyko, lub są one nieliczne, może występować znacząca słabość kontroli wewnętrznej.
Zwróć uwagę na ryzyko C w macierzy powyżej, gdzie, jak się wydaje, występuje znacząca słabość. W takim wypadku biegły rewident powinien:
• zapytać, czy istnieją jakiekolwiek inne procedury kontroli wewnętrznej, lub kompensujące procedury kontroli wewnętrznej, które mogą istnieć. Jeżeli procedur takich nie ma, może występować znacząca słabość, o której należy poinformować kierownictwo i osoby zarządzające i sprawujące nadzór tak szybko, jak to tylko możliwe, aby można było podjąć działania naprawcze, oraz
• rozważyć, jakie dalsze procedury badania mogą być konieczne, aby zareagować na zidentyfikowane ryzyko.
Działania, które pośrednio wpływają na ten czynnik ryzyka, mogą być kontrolami kompensującymi. Na przykład, ryzyko wysyłki towarów bez wystawiania do nich faktur może być wykryte przez kierownika sprzedaży przy przeglądzie sprzedaży dokonywanym w każdym kwartale. Taka kontrola w oczywisty sposób, sama w sobie nie wystarcza do zminimalizowania takiego ryzyka.
Mocne strony kontroli Przyjrzyj się wierszom macierzy modelu kontroli powyżej w celu zidentyfikowania procedur kontroli mogących zapobiegać lub wykrywać i korygować zniekształcenia wynikające z licznych czynników ryzyka. Należy zauważyć, że Procedura Kontroli 3 w przykładowej macierzy powyżej odnosi się do trzech czynników ryzyka i trzech stwierdzeń. Jest to przykład kontroli tego rodzaju (zwanej często kontrolą kluczową), która w przypadku uznania jej za wiarygodną, może być brana pod uwagę do testowania skuteczności jej działania, w szczególności jeżeli testy takie mogą ograniczyć inne bardziej szczegółowe testy.
12.4 Jak zidentyfikować stosowne kontrole wewnętrzne?
Kontrole są zazwyczaj identyfikowane podczas dyskusji (rozmów) z osobą (osobami) odpowiedzialną za zarządzanie ryzykiem lub konkretnym procesem. W mniejszych jednostkach jest to często właściciel zarządzający swoją działalnością gospodarczą lub kierownik wyższego szczebla. Typowe podejście do identyfikacji kontroli przedstawia się następująco:
Ilustracja 12.4-1
Działanie Opis
Zidentyfikuj ryzyko
nieodłączne Zidentyfikuj ryzyko rozległe (na poziomie sprawozdania finansowego) i transakcyjne (na poziomie stwierdzeń), które wymaga minimalizowania poprzez kontrole wewnętrzne, mające zapobiegać istotnym zniekształceniom lub je wykrywać i korygować.
Zapytaj o procedury kontroli wewnętrznej odnoszące się do ryzyka nieodłącznego (po kolei dla każdego czynnika ryzyka)
Zapytaj właściciela zarządzającego swoją działalnością gospodarczą lub osobę odpowiedzialną, jakie procedury kontroli wewnętrznej obowiązują w jednostce w celu łagodzenia każdego poszczególnego czynnika ryzyka. Udokumentuj zidentyfikowane kontrole używając słów osoby, z którą rozmawiasz.
Kiedy (na podstawie zawodowego osądu) uznasz, że zidentyfikowano wystarczające kontrole dla skutecznego złagodzenia ryzyka, nie ma potrzeby pytać o inne kontrole. Nie ma potrzeby wyliczać wszystkich innych kontroli, które mogą funkcjonować w celu minimalizowania tego ryzyka, o ile nie są one wymagane dla innych celów.
12 OCENA KONTROLI WEWNĘTRZNEJ
141
Działanie Opis
Udokumentuj wyniki Zidentyfikowane kontrole można udokumentować na kilka sposobów. Można je zestawić pod każdym czynnikiem ryzyka, do którego się odnoszą lub wykazać w macierzy kontroli i połączyć ze wszystkimi różnymi czynnikami ryzyka, których dotyczą.
Kluczowym zagadnieniem jest uzyskanie pewności, że zidentyfikowane procedury kontroli są połączone z czynnikami ryzyka, które miały w założeniu minimalizować. Pozwala to na dokonanie oceny, czy zidentyfikowane kontrole rzeczywiście minimalizują ryzyko. Jeżeli stosowana jest macierz kontroli:
• odnotuj zidentyfikowane procedury kontroli wewnętrznej bezpośrednio w macierzy i wskaż (tam, gdzie się przecinają z ryzykiem), czy zapobiegają istotnym zniekształceniom związanym z czynnikami ryzyka lub wykrywają je i korygują, oraz
• rozważ, czy kontrole te byłyby również skuteczne w minimalizowaniu innych czynników ryzyka. Jest całkiem możliwe, że pewne procedury kontroli wewnętrznej zapobiegają kilku czynnikom ryzyka lub je wykrywają.
Tam, gdzie nie zidentyfikowano kontroli odnoszących się do ryzyka, biegły rewident powinien natychmiast zwrócić uwagę kierownictwa na słabość kontroli (prawdopodobnie istotną), która może wymagać usunięcia.
UWAGA
Unikaj posługiwania się typowymi listami czynności kontrolnych.
Należy unikać pokusy stosowania typowych list czynności kontrolnych, które są odpowiednie dla tzw. „typowej”
jednostki. Wykazy „standardowych” lub „typowych” kontroli są zbyt czasochłonne, by je przeczytać i zrozumieć, mogą też być zbyt złożone lub nieistotne dla mniejszych jednostek. Zamiast tego, należy ich używać jako źródła odniesienia, ale tylko w razie potrzeby. O wiele lepiej jest udokumentować rodzaj każdej kontroli według własnego opisu zleceniodawcy.
Wielozadaniowość
Ocena modelu kontroli może być połączona z jej dokumentacją (patrz krok 3 poniżej) i z inspekcją/obserwacją dokumentów potwierdzających wdrożenie kontroli (patrz krok 4 poniżej). Przykładowo, gdy obowiązuje zasada, że nierutynowe zapisy dziennika nie mogą być dokonywane bez autoryzacji, należy poprosić o rzeczywiste zasady (ocena modelu kontroli) i okazanie pewnej liczby zapisów dziennika, aby uzyskać dowód zatwierdzenia (wdrożenie kontroli).
Zarządzanie ryzykiem
Wiele jednostek wyznacza obowiązki zarządzania ryzykiem według procesów (na przykład takich jak sprzedaż lub zakupy) zamiast według ryzyka. W konsekwencji wiele istotnych czynników ryzyka może funkcjonować pomiędzy działami (takimi jak sprzedaż, zakupy lub księgowość) i nikt nie jest za nie bezpośrednio odpowiedzialny. Jeżeli ryzyka nie są zidentyfikowane, a odpowiedzialność za te rodzaje ryzyka nie zostanie przypisana konkretnym osobom, w sytuacji, kiedy dzieje się coś złego, wszyscy starają się przerzucić winę na kogoś innego. Pracownicy obwiniają się nawzajem, mówiąc coś w rodzaju „Myślałem, że tym ryzykiem zarządza Maria lub Jacek, albo księgowość, IT, albo dział sprzedaży” itd.