استاندارد شماره 315 حسابرسی: تشخیص و ارزیابی خطرهای تحریف بااهمیت از طریق شناخت واحد تجاری و محیط آن

نظارت بر کنترلها

22.       حسابرس باید از انواع فعالیتهای عمده مورد استفاده واحد تجاری برای نظارت بر کنترلهای داخلی حاکم بر گزارشگری مالی، شامل موارد مرتبط با فعالیتهای کنترلی مربوط به حسابرسی، و نحوه انجام اقدامات اصلاحی واحد تجاری در برخورد با نقاط ضعف کنترلهای آن، شناخت کسب کند. (رک: بندهای ت‌ـ‌106 تا ت‌ـ‌108)

23.       چنانچه واحد تجاری دارای واحد حسابرسی داخلی باشد[1]، حسابرس باید از ماهیت مسئولیتها، جایگاه سازمانی و فعالیتهای انجام شده یا فعالیتهایی که قرار است توسط آن انجام شود، شناخت کسب کند. (رک: بندهای ت‌ـ‌109 تا ت‌ـ‌116)

24.       حسابرس باید از منابع اطلاعاتی مربوط به فعالیتهای نظارتی واحد تجاری و مبانی ارزیابی مدیران اجرایی از کفایت قابلیت اتکای اطلاعات برای هدف مورد نظر، شناخت کسب کند. (رک: بند ت‌ـ‌117)

تشخیص و ارزیابی خطرهای تحریف بااهمیت

25.       حسابرس برای طراحی و اجرای روشهای حسابرسی لازم باید خطرهای تحریف بااهمیت را در سطوح زیر مشخص و ارزیابی کند:

الف ـ    صورتهای مالی، و (رک: بندهای ت‌ـ‌118 تا ت‌ـ‌121)

ب   ـ    ادعاهای مربوط به گروههای معاملات، مانده حسابها و موارد افشا، (رک: بندهای ت‌ـ‌122 تا ت‌ـ‌126)

26.       حسابرس برای این منظور باید:

الف ـ    خطرها را از طریق فرایند کسب شناخت از واحد تجاری و محیط آن، شامل کنترلهای مربوط به خطرها، و با در نظر گرفتن گروههای معاملات، مانده حسابها و موارد افشا در صورتهای مالی، مشخص کند، (رک: بندهای ت‌ـ‌127 و ت‌ـ‌128)

ب   ـ    خطرهای مشخص شده، و اینکه آیا این خطرها با صورتهای مالی به عنوان یک مجموعه واحد ارتباط فراگیرتری دارند و به طور بالقوه بر بسیاری از ادعاها اثر دارند یا خیر را ارزیابی کند،

پ   ـ    با توجه به کنترلهای مربوطی که حسابرس می‌خواهد آزمون کند، خطرهای مشخص شده را به آنچه که می‌تواند در سطح ادعا اشتباه باشد، ربط دهد، و (رک: بندهای ت‌ـ‌129 تا ت‌ـ‌131)

ت   ـ    احتمال وجود تحریفها، شامل امکان وجود تحریفهای متعدد، و احتمال اینکه آیا میزان تحریفهای بالقوه به گونه‌ای است که بتواند منجر به تحریفهای بااهمیت شود یا خیر را بررسی کند.

خطرهای مستلزم توجه خاص حسابرس

27.       حسابرس به عنوان بخشی از فرایند ارزیابی خطر مندرج در بند 25، باید تعیین کند که بنا به قضاوت وی، کدام‌یک از خطرهای مشخص شده، مستلزم توجه خاص است (این خطرها ”خطرهای عمده“ نامیده می‌شود). حسابرس هنگام قضاوت در این مورد باید آثار کنترلهای مشخص شده مرتبط با خطر مورد نظر را نادیده بگیرد.

28.       حسابرس هنگام قضاوت در مورد اینکه کدام‌یک از خطرها عمده است، حداقل باید موارد زیر را مورد توجه قرار دهد:

الف ـ    اینکه آیا خطر مورد نظر، خطر تقلب است یا خیر،

ب   ـ    اینکه آیا خطر مورد نظر مربوط به تحولات عمده اخیر در زمینه‌های اقتصادی، حسابداری یا سایر زمینه‌ها است به نحوی که مستلزم توجه خاصی باشد، یا خیر،

پ   ـ    پیچیدگی معاملات،

ت   ـ    اینکه آیا خطر مورد نظر به معاملات عمده با اشخاص وابسته مرتبط است یا خیر،

ث   ـ    میزان ذهنی بودن اندازه‌گیری اطلاعات مالی مربوط به خطر، به ویژه در صورت وجود ابهامات گسترده در اندازه‌گیری، و

ج    ـ    اینکه آیا خطر مورد نظر با معاملات عمده خارج از روال عادی عملیات واحد تجاری مرتبط است یا خیر یا ناشی از معاملاتی است که به هر دلیل، غیرعادی به نظر می‌رسد. (رک: بندهای ت‌ـ‌132 تا ت‌ـ‌ 136)

29.       در مواردی که حسابرس وجود خطر عمده‌ای را تشخیص داده است، باید در مورد کنترلهای واحد تجاری، شامل فعالیتهای کنترلی مرتبط با آن خطر، شناخت کسب کند. (رک: بندهای ت‌ـ‌ 137 تا ت‌ـ‌139)

خطرهایی که آزمونهای محتوا، به تنهایی شواهد حسابرسی کافی و مناسب برای آنها فراهم نمی‌کند

30.       حسابرس درخصوص برخی خطرها، ممکن است چنین قضاوت کند که کسب شواهد حسابرسی کافی و مناسب، تنها از طریق آزمونهای محتوا ممکن یا عملی نیست. چنین خطرهایی می‌تواند به صحیح و کامل نبودن ثبت و نگهداری سوابق گروههای معاملات یا مانده حسابهای معمول و عمده که اغلب بدون دخالت نیروی انسانی و به طور خودکار پردازش می‌شوند، مربوط باشد. در چنین مواردی، کنترلهای واحد تجاری در مورد چنین خطرهایی، در کار حسابرسی مربوط محسوب شده و حسابرس باید نسبت به آنها شناخت کسب کند. (رک: بندهای ت‌ـ‌140 تا ت‌ـ‌142)

تجدید نظر در ارزیابی خطر

31.       ارزیابی حسابرس از خطرهای تحریف بااهمیت در سطح ادعاها ممکن است با کسب شواهد حسابرسی بیشتر در جریان حسابرسی، تغییر کند. در شرایطی که حسابرس با اجرای روشهای حسابرسی لازم یا دستیابی به اطلاعات جدید، شواهدی کسب ‌کند که با شواهد مبنای ارزیابی اولیه وی متناقض باشد، در ارزیابی قبلی خود تجدیدنظر و بر همین اساس روشهای حسابرسی طراحی شده را تعدیل می‌کند. (رک: بند ت‌ـ‌143)

مستندسازی

32.       حسابرس باید موارد زیر را مستند کند[2]:

الف ـ    مذاکرات انجام شده بین اعضای تیم حسابرسی درباره الزامات بند 10 و تصمیمات عمده اتخاذ شده،

ب   ـ    عناصر کلیدی شناخت کسب شده درباره هر یک از جنبه‌های واحد تجاری و محیط آن به شرح مندرج در بند 11 و هر یک از اجزای کنترلهای داخلی مندرج در بندهای 14 تا 24، منابع اطلاعاتی شناخت کسب شده، و روشهای اجرا شده برای ارزیابی خطر،

پ   ـ    خطرهای تحریف بااهمیت مشخص شده و ارزیابی شده در سطح صورتهای مالی و در سطح ادعاها طبق الزامات بند 25، و

ت   ـ    خطرهای مشخص شده و کنترلهای مرتبطی که حسابرس در اجرای الزامات مقرر در بندهای 27 تا 30 در مورد آنها شناخت کسب کرده است. (رک: بندهای ت‌ـ‌144 تا ت‌ـ‌147)

***

توضیحات کاربردی در استاندارد شماره 315

روشهای ارزیابی خطر و فعالیتهای مرتبط

ت‌ـ‌1.        کسب شناخت از واحد تجاری و محیط آن، شامل کنترلهای داخلی (که از این پس به عنوان ”شناخت واحد تجاری“ نامیده می‌شود)، فرایندی مستمر و پویا برای گردآوری، به روز رسانی و تحلیل اطلاعات در جریان حسابرسی است. این شناخت چارچوبی را فراهم می‌کند که حسابرس، برنامه‌ریزی و اعمال قضاوت حرفه‌ای خود در سراسر فرایند حسابرسی، از جمله در موارد زیر را براساس آن انجام می‌دهد:

• ارزیابی خطرهای تحریف بااهمیت در صورتهای مالی،
• تعیین سطح اهمیت طبق استاندارد 320^[3]،
• بررسی مناسب بودن انتخاب و بکارگیری رویه‌های حسابداری، و کافی بودن افشا در صورتهای مالی،
• شناسایی زمینه‌هایی که ممکن است نیازمند توجه خاص در حسابرسی باشند، برای مثال، معاملات با اشخاص وابسته، مناسب بودن استفاده از فرض تداوم فعالیت یا بررسی هدف تجاری معاملات،
• تعیین انتظارات برای استفاده در روشهای تحلیلی،
• برخورد با خطرهای تحریف بااهمیت ارزیابی شده، از جمله طراحی و اجرای روشهای حسابرسی لازم برای کسب شواهد حسابرسی کافی و مناسب ، و
• ارزیابی کافی و مناسب بودن شواهد حسابرسی کسب شده، از قبیل مناسب بودن مفروضات و اظهارات کتبی و شفاهی مدیران اجرایی.

ت‌ـ‌2.        اطلاعات کسب شده از طریق اجرای روشهای ارزیابی خطر و فعالیتهای مرتبط ممکن است توسط حسابرس به عنوان شواهد حسابرسی پشتوانه ارزیابی خطرهای تحریف بااهمیت، مورد استفاده قرار گیرد. افزون بر این، حسابرس با اجرای روشهای ارزیابی خطر، ممکن است شواهد حسابرسی درباره گروههای معاملات، مانده حسابها یا موارد افشا و ادعاهای مربوط به آنها و اثربخشی کارکرد کنترلها کسب کند، هر چند که این روشها مشخصاً به عنوان آزمونهای محتوا یا آزمون کنترلها طراحی نشده باشد. حسابرس همچنین ممکن است آزمونهای محتوا یا آزمون کنترلها را همزمان با روشهای ارزیابی خطر، به دلیل کارایی این همزمانی، انجام دهد.

ت‌ـ‌3.        حسابرس برای تعیین میزان شناخت لازم، از قضاوت حرفه‌ای استفاده می‌کند. موضوع اصلی مورد توجه حسابرس این است که آیا شناخت کسب شده برای دستیابی به اهداف این استاندارد کافی است یا خیر. میزان شناخت کلی مورد نیاز حسابرس از واحد تجاری، کمتر از میزان شناخت مورد نیاز مدیران اجرایی برای اداره آن واحد است.

ت‌ـ‌4.        خطرهایی که باید ارزیابی شوند هم شامل خطرهای ناشی از اشتباه و هم شامل خطرهای ناشی از تقلب است، که هر دو در این استاندارد مطرح شده است. با این حال، اهمیت تقلب به اندازه‌ای است که در استاندارد 240، الزامات و رهنمودهای بیشتری در ارتباط با روشهای ارزیابی خطر و فعالیتهای مرتبط با کسب اطلاعات لازم برای تشخیص خطرهای تحریف بااهمیت ناشی از تقلب، ارائه شده است^[4].

ت‌ـ‌5.        اگر چه حسابرس باید همه روشهای ارزیابی خطر مطرح شده در بند 6 را در جریان کسب شناخت لازم از واحد تجاری اجرا کند (به بندهای 11 تا 24 مراجعه شود)، اما حسابرس ملزم نیست همه روشهای ارزیابی خطر را برای هر یک از ابعاد شناخت، اجرا کند. در مواردی که اطلاعات کسب شده بتواند در تشخیص خطرهای تحریف بااهمیت سودمند باشد، ممکن است سایر روشهای حسابرسی توسط حسابرس اجرا شود. نمونه‌هایی از این روشها عبارتند از:

• بررسی اطلاعات کسب شده از منابع برون‌سازمانی، مانند گزارشهای تحلیلگران، بانکها یا مؤسسات رتبه‌بندی، مجله‌های تجاری و اقتصادی، یا قوانین و مقررات.
• پرس و جو از مشاور حقوقی برون‌سازمانی واحد تجاری یا کارشناسان ارزشیابی استفاده شده توسط واحد تجاری.

پرس و جو از مدیران اجرایی، واحد حسابرسی داخلی و سایر کارکنان واحد تجاری (رک: بند 6 ‌ـ‌ الف)

ت‌ـ‌6.        بیشتر اطلاعات کسب شده توسط حسابرس از طریق پرس و جو، از مدیران اجرایی و افراد مسئول گزارشگری مالی کسب می‌شود. همچنین اطلاعات را می‌‌توان از طریق پرس ‌و جو از کارکنان واحد حسابرسی داخلی (در صورت وجود)، و سایر کارکنان واحد تجاری کسب نمود.

ت‌ـ‌7.        همچنین حسابرس ممکن است از طریق پرس ‌و جو از سایر کارکنان واحد تجاری و دیگر افراد دارای سطوح اختیار متفاوت، اطلاعاتی کسب کند، یا دید متفاوتی برای تشخیص خطرهای تحریف بااهمیت به دست آورد. برای مثال:

• پرس ‌و جو از اعضای ارکان راهبری می‌تواند به حسابرس در شناخت از محیطی که در آن صورتهای مالی تهیه شده است، کمک کند. استاندارد 260^[5]، بر اهمیت اطلاع‌رسانی دو سویه اثربخش در کمک به حسابرس به منظور کسب اطلاعات از ارکان راهبری در این خصوص، تأکید کرده است.
• پرس ‌و جو از کارکنانی که در شروع، پردازش یا ثبت معاملات پیچیده یا غیرعادی دخالت دارند، می‌تواند حسابرس را در ارزیابی مناسب بودن انتخاب و بکارگیری رویه‌های حسابداری خاص یاری کند.
• پرس و جو از مشاور حقوقی درون‌سازمانی می‌تواند اطلاعاتی را درباره موضوعاتی نظیر دعاوی حقوقی، رعایت قوانین و مقررات، آگاهی از تقلب یا موارد مشکوک به تقلب مؤثر بر واحد تجاری، تضمین‌ها، تعهدات پس از فروش، مشارکتهای خاص و مفاهیم مفاد قراردادها، فراهم کند.
• پرس و جو از کارکنان بازاریابی و فروش می‌تواند اطلاعاتی درباره تغییرات راهبردهای بازاریابی واحد تجاری، روندهای فروش یا توافقات قراردادی با مشتریان فراهم کند.
• پرس ‌و جو از مسئولین مدیریت خطر (یا افرادی که دارای چنین نقشی هستند) می‌تواند اطلاعاتی در مورد خطرهای عملیاتی و قانونی که ممکن است بر گزارشگری مالی تأثیرگذار باشند، فراهم کند.
• پرس و جو از کارکنان واحد سیستمهای اطلاعاتی می‌تواند اطلاعاتی در مورد تغییرات سیستم، ضعفهای کنترلی یا سیستمی، یا سایر خطرهای مرتبط با سیستم اطلاعاتی فراهم کند.

ت‌ـ‌8.        باتوجه به اینکه شناخت واحد تجاری، فرایندی مستمر و پویا است، پرس و جوهای حسابرس ممکن است در سراسر کار حسابرسی ادامه پیدا کند.

• [1]. استاندارد حسابرسی 610، ”استفاده از کار حسابرسان داخلی (تجدیدنظر شده 1397)“، در  بند 13 ـ الف، تعریف واحد حسابرسی داخلی برای مقاصد این استاندارد ارائه شده است.

[2]. استاندارد حسابرسی 230، ”مستندات حسابرسی (تجدیدنظر شده 1395)“، بندهای 8 تا 11 و ت ـ 6

[3]. استاندارد حسابرسی 320، ”اهمیت در برنامه‌ریزی و اجرای عملیات حسابرسی (تجدیدنظر شده 1392)“

[4]. استاندارد حسابرسی 240، ”مسئولیت حسابرس در ارتباط با تقلب، در حسابرسی صورتهای مالی (تجدیدنظر شده 1394)“، بندهای 12 تا 24

[5]. استاندارد حسابرسی 260، ”اطلاع‌رسانی به ارکان راهبری“، بند 4‌ـ‌ب