موارد مقتضی، به ارکان راهبری گزارش کند تا به آنها در انجام اقدام اصلاحی برای به حداقل رساندن خطرهای تحریف بااهمیت کمک کند. با این حال، انجام این کار، مسئولیت حسابرس برای اطلاعرسانی کتبی ضعفهای بااهمیت، طبق الزامات این استاندارد را کاهش نمیدهد.
تـ12. میزان جزئیات اطلاعرسانی ضعفهای بااهمیت، به قضاوت حرفهای حسابرس در آن شرایط بستگی دارد. نمونههایی از عواملی که حسابرس ممکن است در تعیین میزان جزئیات اطلاعرسانی در نظر بگیرد، شامل موارد زیر است:
- ماهیت واحد تجاری. برای مثال، اطلاعرسانی برای یک شرکت سهامی عام ممکن است متفاوت از اطلاعرسانی برای سایر واحدهای تجاری باشد.
- اندازه و پیچیدگی واحد تجاری. برای مثال، اطلاعرسانی برای یک واحد تجاری پیچیده ممکن است متفاوت از اطلاعرسانی برای واحد تجاری با عملیات تجاری ساده باشد.
- ماهیت ضعفهای بااهمیت مشخص شده توسط حسابرس.
- ترکیب ارکان راهبری واحد تجاری. برای مثال، اگر ارکان راهبری شامل اعضایی باشد که تجربه قابل ملاحظهای در صنعت واحد تجاری یا حوزههای متأثر از ضعفهای بااهمیت نداشته باشند، ممکن است ارائه جزئیات بیشتری مورد نیاز باشد.
- الزامات قانونی یا مقرراتی در مورد اطلاعرسانی انواع خاصی از ضعفهای کنترلهای داخلی.
تـ13. مدیران اجرایی و ارکان راهبری ممکن است قبلاً از ضعفهای بااهمیتی که حسابرس در جریان حسابرسی مشخص کرده است آگاهی داشته باشند و ممکن است به دلیل هزینهبر بودن یا دیگر ملاحظات، از انجام اقدامات اصلاحی خودداری کرده باشند. مسئولیت ارزیابی هزینهها و منافع انجام اقدامات اصلاحی به عهده مدیران اجرایی و ارکان راهبری است. بنابراین، الزام بند 9، بدون توجه به هزینه یا سایر ملاحظاتی که ممکن است از نظر مدیران اجرایی و ارکان راهبری در تعیین اصلاح یا عدم اصلاح چنین ضعفهایی مربوط تلقی شود، همچنان کاربرد دارد.
تـ14. اگر حسابرس در حسابرسی قبلی ضعف بااهمیتی را به ارکان راهبری و مدیران اجرایی اطلاعرسانی کرده، و اقدام اصلاحی در این خصوص انجام نشده باشد، حسابرس باید اطلاعرسانی را تکرار کند. اگر ضعف بااهمیتی که قبلاً اطلاعرسانی شده است به قوت خود باقی مانده باشد، در اطلاعرسانی دوره جاری ممکن است اطلاعرسانی قبلی تکرار شود، یا اینکه فقط به اطلاعرسانی قبلی ارجاع داده شود. حسابرس ممکن است از مدیران اجرایی، یا در صورت لزوم، ارکان راهبری سؤال کند که چرا ضعف بااهمیت یاد شده هنوز اصلاح نشده است. قصور در انجام اقدام اصلاحی مناسب (در صورت نبود توضیح منطقی)، ممکن است به خودی خود بیانگر ضعف بااهمیتی باشد.
ملاحظات خاص واحدهای تجاری کوچک
تـ15. در حسابرسی واحدهای تجاری کوچک، ممکن است ساختار اطلاعرسانی به ارکان راهبری در مقایسه با واحدهای تجاری بزرگتر، سادهتر باشد.
اطلاعرسانی ضعفهای کنترلهای داخلی به مدیران اجرایی (رک: بند 10)
تـ16. معمولاً سطح مناسب مدیران اجرایی، فردی است که در ارزیابی ضعفهای کنترلهای داخلی و انجام اقدام اصلاحی لازم، دارای اختیار و مسئولیت است. در مورد ضعفهای بااهمیت، سطح مناسب احتمالاً مدیرعامل یا مدیر مالی (یا معادل آنها) است، هر چند اطلاعرسانی این موضوعات به ارکان راهبری نیز الزامی است. در مورد سایر ضعفهای کنترلهای داخلی، سطح مناسب، ممکن است مدیر اجرایی باشد که مشارکت مستقیمتری در حوزههای کنترلی متأثر از این ضعفها دارد و همچنین دارای اختیار انجام اقدام اصلاحی مناسب نیز میباشد.
اطلاعرسانی ضعفهای بااهمیت کنترلهای داخلی به مدیران اجرایی (رک: بند 10ـ الف)
تـ17. برخی از ضعفهای بااهمیت مشخص شده در کنترلهای داخلی ممکن است باعث تردید در درستکاری یا صلاحیت مدیران اجرایی گردد. برای مثال، ممکن است شواهدی از تقلب یا عدم رعایت عمدی قوانین و مقررات توسط مدیران اجرایی، یا ناتوانی مدیران اجرایی در نظارت بر تهیه صورتهای مالی وجود داشته باشد که موجب تردید در مورد صلاحیت مدیران اجرایی شود. بنابراین اطلاعرسانی مستقیم چنین ضعفهایی به مدیران اجرایی ممکن است مناسب نباشد.
اطلاعرسانی سایر ضعفهای کنترلهای داخلی به مدیران اجرایی (رک: بند 10 ـ ب)
تـ18. حسابرس ممکن است در جریان حسابرسی ضعفهای دیگری را در کنترلهای داخلی مشخص کرده باشد که هر چند ضعفهای بااهمیتی نیستند اما ممکن است ارزش اطلاعرسانی به مدیران اجرایی را داشته باشند. تعیین اینکه کدام یک از این ضعفها ارزش اطلاعرسانی به مدیران اجرایی را دارد، به قضاوت حرفهای حسابرس در آن شرایط بستگی دارد که در آن، احتمال وقوع و اهمیت نسبی تحریفهایی که ممکن است در نتیجه این ضعفها در صورتهای مالی به وجود آید، در نظر گرفته میشود.
تـ19. در مورد سایر ضعفهای کنترلهای داخلی که ارزش اطلاعرسانی به مدیران اجرایی را دارند، نیازی به اطلاعرسانی کتبی نیست و این کار میتواند به صورت شفاهی انجام شود. زمانی که حسابرس در مورد واقعیتها و شرایط یافتههای خود با مدیران اجرایی مذاکره میکند، ممکن است همزمان این ضعفها را نیز به طور شفاهی به مدیران اجرایی اطلاع دهد، بنابراین متعاقباً نیازی به اطلاعرسانی کتبی نیست.
تـ20. اگر حسابرس سایر ضعفهای کنترلهای داخلی را در دوره قبل به مدیران اجرایی اطلاع داده باشد و مدیران اجرایی اقدام اصلاحی لازم را به دلیل هزینهبر بودن یا ملاحظات دیگر انجام نداده باشند، اطلاعرسانی مجدد آنها در دوره جاری ضرورت ندارد. همچنین اگر اینگونه ضعفها قبلاً توسط اشخاص دیگری نظیر حسابرسان داخلی یا مراجع قانونی به اطلاع مدیران اجرایی رسیده باشد، حسابرس ملزم به تکرار اطلاعرسانی چنین ضعفهایی نیست. چنانچه تغییر مدیریتی رخ داده باشد یا حسابرس به اطلاعات جدیدی دست یابد که شناخت قبلی وی و مدیران اجرایی از ضعفها را تغییر دهد، اطلاعرسانی مجدد این ضعفها میتواند مناسب باشد. با این وجود، قصور مدیران اجرایی در اصلاح سایر ضعفهای کنترلهای داخلی که قبلاً گزارش شده است، ممکن است ضعف بااهمیتی تلقی شود که باید به ارکان راهبری اطلاعرسانی شود. اطلاعرسانی این موضوع به قضاوت حسابرس در شرایط موجود بستگی دارد.
تـ21. در برخی شرایط، ارکان راهبری ممکن است مایل باشند از جزئیات سایر ضعفهای کنترلهای داخلی که حسابرس به مدیران اجرایی اطلاعرسانی کرده است، یا بهطور خلاصه از ماهیت سایر ضعفها، آگاه شوند. از سوی دیگر ممکن است به نظر حسابرس مطلع شدن ارکان راهبری از اطلاعرسانی سایر ضعفها به مدیران اجرایی، مناسب باشد. در هر دو حالت، حسابرس ممکن است به طور شفاهی یا کتبی (هر کدام مناسب باشد) به ارکان راهبری اطلاعرسانی کند.
تـ22. در استاندارد 260، ملاحظات مربوط برای اطلاعرسانی به ارکان راهبری در شرایطی که همه اعضای ارکان راهبری در اداره واحد تجاری مسئولیت اجرایی دارند، ارائه شده است[1].
ملاحظات خاص واحدهای بخش عمومی (رک: بندهای 9 و 10)
تـ23. حسابرسان بخش عمومی ممکن است درخصوص اطلاعرسانی ضعفهای کنترلهای داخلی مشخص شده در جریان حسابرسی، روش اطلاعرسانی، میزان ارائه جزئیات و مخاطبان، مسئولیتهای بیشتری از آنچه که در این استاندارد پیشبینی شده است، داشته باشند.
محتوای اطلاعرسانی کتبی ضعفهای بااهمیت کنترلهای داخلی (رک: بند 11)
تـ24. حسابرس در تشریح آثار بالقوه ضعفهای بااهمیت، ملزم نیست آثار آن ضعفها را به صورت کمّی بیان کند. ضعفهای بااهمیت ممکن است در شرایطی که برای مقاصد گزارشگری مناسب باشد، گروهبندی شوند. همچنین حسابرس ممکن است در گزارش کتبی، پیشنهادهایی را برای انجام اقدامات اصلاحی مربوط به ضعفها، اقدامات انجام شده یا پیشبینیشده توسط مدیران اجرایی، و بررسیهای حسابرس برای تأیید اقدامات مدیران اجرایی درج کند.
تـ25. حسابرس ممکن است اطلاعات زیر را نیز در گزارش کتبی درج کند:
- اشاره به این موضوع که اگر حسابرس روشهای گستردهتری را درباره کنترلهای داخلی اجرا میکرد، ممکن بود ضعفهای قابل گزارش بیشتری مشخص میشد، یا به این نتیجه میرسید که گزارش برخی ضعفها لازم نبود.
- اشاره به این موضوع که اطلاعرسانی برای استفاده ارکان راهبری انجام شده است، و ممکن است برای سایر مقاصد مناسب نباشد.
[1]. استاندارد حسابرسی 260، بند 13
خیر؛ طبق استاندارد ۲۶۵، حسابرس فقط نقصهایی را اطلاعرسانی میکند که در جریان حسابرسی شناسایی شده و اهمیت آنها برای ارکان راهبری محرز است.
ضعف بااهمیت نقصی است که طبق قضاوت حسابرس، آنقدر اهمیت دارد که توجه ارکان راهبری را برای اصلاح ضروری میسازد.
خیر؛ نقصهای بااهمیت حتماً باید به صورت کتبی و در قالب نامه مدیریت ارسال شوند.
مراحل ابلاغ ضعفهای کنترل داخلی طبق استاندارد ۲۶۵
- شناسایی نقص :
ثبت ضعفهای مشاهده شده طی آزمونهای کنترل و ارزیابی ریسک.
- ارزیابی اهمیت :
تحلیل اثرات بالقوه نقص بر تحریفهای مالی و تقلب.
- گفتگو با مدیریت :
بحث اولیه با سطح مناسبی از مدیران برای تایید واقعیتها.
- تدوین گزارش کتبی :
آمادهسازی نامه مدیریت شامل شرح نقص و پیامدها.
- ارسال رسمی :
ارائه گزارش به ارکان راهبری (هیئت مدیره/کمیته حسابرسی).
