مازندران آمل خیابان طالقانی – مشاور رسمی مالیاتی وحید اکبری | 09113252050

Telegram Whatsapp Instagram

استاندارد شماره 265 حسابرسی: اطلاع‌رسانی ضعفهای کنترلهای داخلی به ارکان راهبری و مدیران اجرایی

استاندارد ۲۶۵ حسابرسی، حسابرس را ملزم می‌کند تا نقص‌هایی در کنترل‌های داخلی که در جریان حسابرسی شناسایی کرده و به قضاوت حرفه‌ای وی «بااهمیت» تلقی می‌شوند، به صورت کتبی به ارکان راهبری اطلاع دهد. این استاندارد بر شناسایی ریشه ضعف‌ها و توضیح پیامدهای بالقوه آن‌ها تمرکز دارد. درک صحیح از استاندارد ۲۶۵ نه تنها شفافیت مالی را افزایش می‌دهد، بلکه با رفع نقاط ضعف سیستماتیک، ریسک‌های مالیاتی و خطاهای سامانه مودیان را در سازمان‌ها به حداقل می‌رساند.
تصویر وحید اکبری

وحید اکبری

فهرست مطالب

جدول محتوا

کلیات در استاندارد شماره 265

دامنه کاربرد

1 .              این استاندارد، به مسئولیت حسابرس در زمینه اطلاع‌رسانی ضعفهای کنترلهای داخلی[1] مشخص شده در حسابرسی صورتهای مالی، به ارکان راهبری و مدیران اجرایی (حسب مورد) می‌پردازد. این استاندارد، در رابطه با مسئولیتهای حسابرس برای کسب شناخت از کنترلهای داخلی و طراحی و اجرای آزمون کنترلها، نسبت به آنچه که در استانداردهای 315 و 330[2] مطرح شده است، الزامات بیشتری را مقرر نمی‌کند. در استاندارد 260[3] الزامات و رهنمودهای بیشتری در خصوص مسئولیت حسابرس برای اطلاع‌رسانی به ارکان راهبری ارائه شده است.

2 .         حسابرس برای تشخیص و ارزیابی خطرهای تحریف بااهمیت باید از کنترلهای داخلی مرتبط با حسابرسی صورتهای مالی شناخت کسب کند[4]. در انجام این ارزیابیها، حسابرس کنترلهای داخلی را به منظور طراحی روشهای حسابرسی مناسب شرایط موجود و نه به قصد اظهارنظر نسبت به اثربخشی کنترلهای داخلی ارزیابی می‌کند. حسابرس ممکن است ضعفهای کنترلهای داخلی را نه تنها در جریان فرایند ارزیابی خطر، بلکه در هر مرحله دیگری از حسابرسی نیز مشخص کند. در این استاندارد آن دسته از ضعفهای مشخص شده توسط حسابرس که لازم است به ارکان راهبری و مدیران اجرایی اطلاع‌رسانی شود، تصریح شده است.

3 .        این استاندارد مانع از آن نیست که حسابرس، سایر موضوعات مربوط به کنترلهای داخلی را که در جریان حسابرسی مشخص کرده است، به اطلاع ارکان راهبری و مدیران اجرایی برساند.

تاریخ اجرا

4 .         این استاندارد برای حسابرسی صورتهای مالی که دوره مالی آنها از اول فروردین 1394 و پس از آن شروع می‌شود، لازم‌الاجراست.

هدف در استاندارد شماره 265

5 .        هدف حسابرس، اطلاع‌رسانی ضعفهای کنترلهای داخلی مشخص شده در جریان حسابرسی به ارکان راهبری و مدیران اجرایی (حسب مورد) است، که به نظر حسابرس، برای آنها دارای اهمیت کافی است.

تعاریف در استاندارد شماره 265

6 .        در استاندارد‌های حسابرسی، اصطلاحات زیر با معانی مشخص شده برای آنها بکار رفته است:

الف ـ    ضعف بااهمیت کنترلهای داخلی ـ یک ضعف یا ترکیبی از ضعفهای کنترلهای داخلی که به نظر حسابرس برای ارکان راهبری دارای اهمیت کافی باشد.

ب   ـ    ضعف کنترلهای داخلی ـ ضعف کنترلهای داخلی در مواردی وجود دارد که:

ب ـ1.   کنترلهای داخلی به شیوه‌ای طراحی، پیاده‌سازی یا اجرا شود که قادر به پیشگیری، یا کشف و اصلاح به موقع تحریف در صورتهای مالی نباشد، یا

ب ـ2.   کنترلهای داخلی لازم برای پیشگیری، یا کشف و اصلاح به موقع تحریف در صورتهای مالی وجود نداشته باشد.

الزامات در استاندارد شماره 265

7 .        حسابرس باید بر مبنای کار حسابرسی انجام شده، تعیین کند که آیا ضعف یا ضعفهایی در کنترلهای داخلی مشخص شده است یا خیر. (رک: بندهای ت‌ـ1 تا ت‌ـ4)

8 .        اگر حسابرس ضعف یا ضعفهایی را در کنترلهای داخلی مشخص کرده باشد باید برمبنای کار حسابرسی انجام شده تعیین کند که آیا این ضعفها به تنهایی یا در مجموع، بااهمیت محسوب می‌شوند یا خیر. (رک: بندهای ت‌ـ5 تا ت‌ـ8)

9 .        حسابرس باید ضعفهای بااهمیت کنترلهای داخلی مشخص شده در جریان حسابرسی را به‌طور مکتوب و به موقع به اطلاع ارکان راهبری برساند. (رک: بندهای ت‌ـ9 تا ت‌ـ15، و ت‌ـ23)

10 .      حسابرس باید موارد زیر را نیز به‌موقع به اطلاع سطح مناسبی از مدیران اجرایی برساند: (رک: بندهای ت‌ـ16 و ت‌ـ23)

الف ـ    ضعفهای بااهمیت کنترلهای داخلی که حسابرس آنها را به طور مکتوب به ارکان راهبری اطلاع‌رسانی کرده است یا قصد دارد اطلاع‌رسانی کند، مگر اینکه اطلاع‌رسانی مستقیم به مدیران اجرایی در شرایط موجود مناسب نباشد، و (رک: بندهای ت‌ـ11 و ت‌ـ17)

ب   ـ    سایر ضعفهای کنترلهای داخلی مشخص شده در جریان حسابرسی که توسط اشخاص دیگر به مدیران اجرایی اطلاع‌رسانی نشده و به نظر حسابرس برای مدیران اجرایی دارای اهمیت کافی است. (رک: بندهای ت‌ـ18 تا ت‌ـ22)

11 .      اطلاع‌رسانی کتبی حسابرس در مورد ضعفهای بااهمیت کنترلهای داخلی باید شامل موارد زیر باشد:

الف ـ    شرحی از ضعفها و تشریح آثار بالقوه آنها، و (رک: بند ت‌ـ24)

ب   ـ    اطلاعات کافی برای کمک به درک چارچوب اطلاع‌رسانی. به‌ طور مشخص، حسابرس باید موارد زیر را تشریح کند: (رک: بند ت‌ـ25)

ب ـ1.   اشاره به این موضوع که هدف از حسابرسی، اظهارنظر نسبت به صورتهای مالی بوده است،

ب ـ2.   اشاره به این موضوع که حسابرسی شامل بررسی کنترلهای داخلی مرتبط با تهیه صورتهای مالی به منظور طراحی روشهای حسابرسی مناسب شرایط موجود و نه به قصد اظهارنظر نسبت به اثربخشی کنترلهای داخلی است، و

ب ـ3.   اشاره به اینکه موضوعات اطلاع‌رسانی شده به ضعفهایی محدود می‌شود که حسابرس در جریان حسابرسی آنها را مشخص کرده است و به نظر وی برای ارکان راهبری بااهمیت است.

***

توضیحات کاربردی در استاندارد شماره 265

تعیین اینکه آیا ضعفهای کنترلهای داخلی مشخص شده‌اند یا خیر (رک: بند 7)

ت‌ـ1.        حسابرس برای تعیین اینکه آیا ضعف یا ضعفهایی در کنترلهای داخلی مشخص شده است یا خیر، ممکن است درمورد یافته‌های خود با سطح مناسبی از مدیران اجرایی مذاکره کند. این مذاکره فرصتی را برای حسابرس فراهم می‌آورد تا به موقع، در مورد وجود ضعفهایی که ممکن است مدیران اجرایی قبلاً از آنها آگاه نشده باشند، به آنها هشدار دهد. سطح مناسب مدیران اجرایی برای مذاکره درخصوص یافته‌های حسابرس، سطحی است که با حوزه کنترلهای داخلی مربوط آشنا باشد و قدرت انجام اقدامات اصلاحی در مورد هر یک از ضعفهای مشخص شده در کنترلهای داخلی را داشته باشد. در برخی شرایط، ممکن است مذاکره مستقیم با مدیران اجرایی درخصوص یافته‌های حسابرس مناسب نباشد، برای مثال، در صورتی که یافته‌ها بیانگر تردید نسبت به درستکاری یا صلاحیت مدیران اجرایی باشد (به بند ت‌ـ17 مراجعه شود).

ت‌ـ2.        حسابرس در مذاکره با مدیران اجرایی درخصوص واقعیتها و شرایط مربوط به یافته‌های خود، ممکن است اطلاعات مربوط دیگری، نظیر موارد زیر، را برای بررسی بیشتر کسب کند:

  • شناخت مدیران اجرایی از علل واقعی یا احتمالی ضعفها.
  • ضعفهای مورد انتظاری که مدیران اجرایی ممکن است به آنها توجه کرده باشند، برای مثال، ضعف کنترلهای فناوری اطلاعات در پیشگیری از وقوع تحریفها.
  • عکس‌العمل اولیه مدیران اجرایی به یافته‌های حسابرس.

ملاحظات خاص واحدهای تجاری کوچک

ت‌ـ3.        اگرچه مفاهیم زیربنایی فعالیتهای کنترلی در واحدهای تجاری کوچک اساساً مشابه واحدهای تجاری بزرگتر است اما نحوه اجرای آنها با هم متفاوت است. علاوه بر این، با توجه به اینکه در واحدهای تجاری کوچک، برخی از کنترلها توسط مدیران اجرایی اعمال می‌شود، ممکن است انواع خاصی از فعالیتهای کنترلی ضرورت نداشته باشد. برای مثال، اختیار انحصاری مدیران اجرایی برای اعطای اعتبار به مشتریان و تصویب خریدهای عمده، می‌تواند کنترل مؤثری را بر معاملات و مانده حسابهای عمده فراهم ‌آورد، و در نتیجه، نیاز به فعالیتهای کنترلی تفصیلی‌تر را کاهش دهد یا منتفی کند.

ت‌ـ4.        علاوه‌بر این، واحدهای تجاری کوچک اغلب دارای کارکنان کمتری هستند، و در نتیجه امکان تفکیک وظایف محدود می‌شود. با این وجود، در واحدهای تجاری کوچکی که مالک و مدیر شخص واحدی است، ممکن است مالک ـ مدیر قادر به اعمال نظارت مؤثرتری نسبت به واحدهای تجاری بزرگتر باشد. این اعمال نظارت بیشتر توسط مدیران اجرایی، احتمال زیر پا گذاردن بیشتر کنترلها توسط آنها را به همراه خواهد داشت.

ضعفهای بااهمیت کنترلهای داخلی (رک: بندهای 6 ـ ب و 8)

ت‌ـ5.              اهمیت یک ضعف یا ترکیبی از ضعفهای کنترلهای داخلی نه تنها به وقوع یک تحریف، بلکه به احتمال وقوع و تبعات بالقوه آن نیز بستگی دارد. بنابراین، ممکن است ضعفهای بااهمیت وجود داشته باشند، حتی اگر حسابرس در جریان حسابرسی تحریفی را مشخص نکرده باشد.

ت‌ـ6.        نمونه‌هایی از موضوعاتی که حسابرس ممکن است در تعیین بااهمیت بودن یا نبودن یک ضعف یا ترکیبی از ضعفهای کنترلهای داخلی در نظر بگیرد، شامل موارد زیر است:

  • احتمال اینکه ضعفها در آینده زمینه‌ساز بروز تحریفهای بااهمیتی در صورتهای مالی شود.
  • آسیب‌پذیری دارایی یا بدهی مربوط در برابر تقلب.
  • ذهنی و پیچیده ‌بودن تعیین مبالغ براوردی، نظیر براوردهای حسابداری ارزش منصفانه.
  • مبالغی از صورتهای مالی که وجود ضعفها می‌تواند بر آنها تأثیرگذار باشد.
  • حجم عملیاتی که یک مانده حساب یا گروه معاملات در معرض ضعف، داشته است یا می‌تواند داشته باشد.
  • اهمیت کنترلهایی نظیر موارد زیر در فرایند گزارشگری مالی:
  • کنترلهای نظارتی عمومی (نظیر نظارت مدیران اجرایی).
  • کنترلهای مربوط به پیشگیری و کشف تقلب.
  • کنترلهای مربوط به انتخاب و بکارگیری رویه‌های حسابداری.
  • کنترلهای مربوط به معاملات عمده با اشخاص وابسته.
  • کنترلهای مربوط به معاملات عمده خارج از روال عادی عملیات واحد تجاری.
  • کنترلهای مربوط به فرایند گزارشگری مالی پایان دوره (نظیر کنترلهای مربوط به ثبتهای حسابداری غیرمکرر).
  • علت و فراوانی اشکالات کشف شده در نتیجه ضعفهای کنترلی.
  • رابطه متقابل بین یک ضعف با سایر ضعفهای کنترلهای داخلی.

ت‌ـ7.        نمونه‌هایی از نشانه‌های ضعفهای بااهمیت کنترلهای داخلی شامل موارد زیر است:

  • شواهد حاکی از اثربخش نبودن برخی از عوامل محیط کنترلی، نظیر:
  • وجود نشانه‌هایی از عدم بررسی دقیق و مناسب معاملات عمده‌ توسط ارکان راهبری که مدیران اجرایی در آنها منافع مالی دارند.
  • تشخیص تقلب مدیران اجرایی (خواه بااهمیت، خواه بی‌اهمیت) که کنترلهای داخلی واحد تجاری از آن پیشگیری نکرده است.
  • قصور مدیران اجرایی در انجام اقدامات اصلاحی مناسب درخصوص ضعفهای بااهمیتی که قبلاً اطلاع‌رسانی شده است.
  • نبود فرایند ارزیابی خطر در واحد تجاری که به طور معمول انتظار می‌رود چنین فرایندی در آن واحد تجاری وجود داشته باشد.
  • وجود شواهدی از اثربخش نبودن فرایند ارزیابی خطر واحد تجاری، نظیر قصور مدیران اجرایی در تشخیص خطر تحریف بااهمیتی که حسابرس انتظار دارد فرایند ارزیابی خطر واحد تجاری آن را مشخص کرده باشد.
  • وجود شواهدی از اثربخش نبودن برخورد با خطرهای عمده مشخص شده (برای نمونه‌، نبود کنترل برای چنین خطرهایی).
  • تحریفهای کشف شده در نتیجه اجرای روشهای حسابرسی که توسط کنترلهای داخلی واحد تجاری پیشگیری، یا کشف و اصلاح نشده است.
  • تجدید ارائه صورتهای مالی منتشر شده قبلی به منظور انعکاس اصلاحات انجام شده در خصوص تحریف بااهمیت ناشی از اشتباه یا تقلب.
  • وجود شواهدی از ناتوانی مدیران اجرایی در نظارت بر تهیه صورتهای مالی.

ت‌ـ8.        کنترلها ممکن است به‌گونه‌ای طراحی شده باشند که به تنهایی یا در مجموع باعث پیشگیری، یا کشف و اصلاح اثربخش تحریفها شوند[5]. برای مثال، کنترلهای مربوط به حسابهای دریافتنی ممکن است شامل هر دو نوع کنترلهای دستی و خودکار باشد و به‌گونه‌ای طراحی شده باشند که با هم برای پیشگیری، یا کشف و اصلاح تحریفهای مانده حساب، مورد استفاده قرار گیرند. وجود یک ضعف در کنترلهای داخلی به خودی خود ممکن است آنقدر حائز اهمیت نباشد که بتوان آن را ضعف بااهمیت تلقی کرد. به هر حال، ترکیبی از ضعفهای اثرگذار بر یک مانده حساب یا مورد افشا، ادعای مربوط، یا یکی از اجزای کنترلهای داخلی، ممکن است خطرهای تحریف بااهمیت را چنان افزایش دهد که بتوان آنها را ضعف بااهمیت تلقی کرد.

اطلاع‌رسانی ضعفهای کنترلهای داخلی

اطلاع‌رسانی ضعفهای بااهمیت کنترلهای داخلی به ارکان راهبری (رک: بند 9)

ت‌ـ9.        اطلاع‌رسانی کتبی ضعفهای بااهمیت به ارکان راهبری بیانگر اهمیت این موضوع است، و به ارکان راهبری در انجام مسئولیت نظارتی آنها کمک می‌کند. در استاندارد 260 ملاحظات مربوط به اطلاع‌رسانی به ارکان راهبری، در مواردی که همه آنها در اداره واحد تجاری مسئولیت اجرایی دارند، تعیین شده است[6].

ت‌ـ10.     در تعیین زمان صدور گزارش، حسابرس ممکن است این نکته را مدنظر قرار دهد که آیا چنین گزارشی، عامل مهمی در کمک به ایفای مسئولیتهای نظارتی ارکان راهبری محسوب می‌شود یا خیر. باتوجه به اینکه صدور گزارش حسابرس در مورد ضعفهای بااهمیت، بخشی از کار تکمیل پرونده حسابرسی است، گزارش کتبی در چارچوب الزامات[7] مربوط به تکمیل به‌موقع پرونده حسابرسی صادر می‌شود. براساس استاندارد 230 معمولاً تا 60 روز پس از تاریخ گزارش حسابرس، دوره زمانی مناسبی برای تکمیل پرونده‌های حسابرسی است[8].

ت‌ـ11. حسابرس صرف نظر از زمان اطلاع‌رسانی کتبی ضعفهای بااهمیت، ممکن است در اولین فرصت آنها را به طور شفاهی به مدیران اجرایی، و در

[1]. استاندارد حسابرسی 315، ”تشخیص و ارزیابی خطرهای تحریف بااهمیت از طریق شناخت واحد تجاری و محیط آن (تجدیدنظر شده 1393)“، بندهای 4 و 12

[2]. استاندارد حسابرسی 330، ”برخوردهای حسابرس با خطرهای ارزیابی شده (تجدیدنظر شده 1393)“

[3]. استاندارد حسابرسی 260، ”اطلاع‌رسانی به ارکان راهبری“

.[4] استاندارد حسابرسی 315، بندهای12 و ت‌ـ67 تا ت‌ـ72 رهنمودهایی در مورد کنترلهای مربوط به حسابرسی فراهم می‌آورد.

[5]. استاندارد حسابرسی 315، بند ت‌ـ73

[6]. استاندارد حسابرسی 260، بند 13

[7]. استاندارد حسابرسی 230، ”مستندات حسابرسی (تجدیدنظر شده 1395)“، بند 14

[8]. استاندارد حسابرسی 230، بند 26 ت ـ 21

صفحات: برگه 1, برگه 2
خدمات تخصصی مالیاتی

مشاوره مالیاتی و سامانه مؤدیان

راهکار تخصصی برای مالیات، سامانه مؤدیان، دفاع مالیاتی، تنظیم لوایح و مشاوره حرفه‌ای کسب‌وکارها

تماس مستقیم

مقالات مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *