استاندارد شماره 315 حسابرسی: تشخیص و ارزیابی خطرهای تحریف بااهمیت از طریق شناخت واحد تجاری و محیط آن

ت‌ـ‌44.     اندازه‌گیری و بررسی عملکرد مالی همانند نظارت بر کنترلها (به عنوان جزیی از کنترلهای داخلی، طبق بندهای ت‌ـ‌ 106 تا ت‌ـ‌ 117) نیست، هر چند اهداف آنها ممکن است همپوشانی داشته باشد:

• اندازه‌گیری و بررسی عملکرد به این موضوع می‌پردازد که آیا عملکرد واحد تجاری، اهداف تعیین شده توسط مدیران اجرایی (یا اشخاص ثالث) را براورده می‌کند یا خیر.
• نظارت بر کنترلها، مشخصاً با اجرای اثر بخش کنترلها رابطه دارد.

با این وجود، در برخی موارد، شاخصهای عملکرد نیز اطلاعاتی را فراهم می‌کند که براساس آن، مدیران اجرایی می‌توانند ضعفهای کنترلهای داخلی را مشخص کنند.

ت‌ـ‌45.     مثالهایی از اطلاعات درون‌سازمانی مورد استفاده مدیران اجرایی برای اندازه‌گیری و بررسی عملکرد مالی، که ممکن است مدنظر حسابرس قرار گیرد، شامل موارد زیر است:

• شاخصهای اصلی عملکرد (مالی و غیرمالی) و نسبتها، روندها و آمارهای عملیاتی اصلی.
• تجزیه و تحلیلهای ادواری عملکرد مالی.
• بودجه‌ها، پیش‌بینی‌ها، تحلیل انحرافات، اطلاعات قسمتها و گزارشهای عملکرد بخشها، دوایر یا سایر سطوح.
• معیارهای اندازه‌گیری عملکرد کارکنان و سیاستهای انگیزشی برای جبران خدمات آنان.
• مقایسه عملکرد واحد تجاری با عملکرد رقبا.

ت‌ـ‌46.     اشخاص برون‌سازمانی نیز ممکن است عملکرد مالی واحد تجاری را اندازه‌گیری و بررسی کنند. برای مثال، اطلاعات برون‌سازمانی مانند گزارشهای تحلیلگران و مؤسسات رتبه‌بندی اعتبار واحدهای تجاری ممکن است اطلاعات مفیدی را برای شناخت حسابرس از واحد تجاری و محیط آن فراهم کند. چنین گزارشهایی را اغلب می‌توان از واحد تجاری مورد حسابرسی دریافت کرد.

ت‌ـ‌47.     معیارهای اندازه‌گیری درون‌سازمانی ممکن است نتایج یا روندهای غیرمنتظره‌ای را نشان دهد که لازم می‌شود مدیران اجرایی علت آنها را تعیین و اقدام اصلاحی (در برخی موارد شامل کشف و اصلاح به موقع تحریفها) را انجام دهند. معیارهای اندازه‌گیری عملکرد همچنین ممکن است خطر تحریف اطلاعات مرتبط مندرج در صورتهای مالی را برای حسابرس نمایان سازد. برای مثال، معیارهای اندازه‌گیری عملکرد ممکن است نشانگر آن باشد که واحد تجاری در مقایسه با سایر واحدهای تجاری همان صنعت، سودآوری یا رشد سریع غیرعادی دارد. این اطلاعات، به ویژه چنانچه با عوامل دیگری چون پاداش یا مشوقهای مبتنی ‌بر عملکرد ترکیب شود، ممکن است نشان‌دهنده خطر بالقوه تهیه جانبدارانه صورتهای مالی توسط مدیران اجرایی باشد.

ملاحظات خاص واحدهای تجاری کوچک

ت‌ـ‌48.     واحدهای تجاری کوچک اغلب دارای فرایندهایی برای اندازه‌گیری و بررسی عملکرد مالی خود نیستند. پرس و جو از مدیران اجرایی ممکن است بیانگر این باشد که آنها برای ارزیابی عملکرد مالی و انجام اقدامات مناسب، بر شاخصهای کلیدی مشخصی اتکا می‌کنند. اگر این پرس و جوها حاکی از نبود اندازه‌گیری یا بررسی عملکرد باشد، ممکن است خطر زیادی در ارتباط با تحریفهای کشف نشده و اصلاح نشده وجود داشته باشد.

کنترلهای داخلی واحد تجاری (رک : بند 12)

ت‌ـ‌49.     شناخت کنترلهای داخلی، حسابرس را در تشخیص انواع تحریفهای بالقوه، عوامل مؤثر بر خطرهای تحریف بااهمیت، و طراحی ماهیت، زمانبندی اجرا و میزان روشهای حسابرسی لازم یاری می‌رساند.

ت‌ـ‌50.     توضیحات کاربردی مربوط به کنترلهای داخلی در چهار بخش زیر ارائه شده است:

• ماهیت و ویژگیهای عمومی کنترلهای داخلی.
• کنترلهای مرتبط با حسابرسی.
• ماهیت و میزان شناخت از کنترلهای مرتبط.
• اجزای کنترلهای داخلی.

ماهیت و ویژگیهای عمومی کنترلهای داخلی

هدف کنترلهای داخلی

ت‌ـ‌51.     کنترلهای داخلی برای مقابله با آن دسته از خطرهای تجاری که دستیابی به اهداف زیر را تهدید می‌کند، طراحی، اعمال و حفظ می‌شوند:

• قابل‌ اتکا بودن گزارشگری مالی واحد تجاری،
• کارایی و اثربخشی عملیات واحد تجاری، و
• رعایت قوانین و مقررات مربوط.

چگونگی طراحی، اعمال و حفظ کنترلهای داخلی بسته به اندازه و پیچیدگی واحد تجاری متفاوت است.

ملاحظات خاص واحدهای تجاری کوچک

ت.52.      واحدهای تجاری کوچک ممکن است برای دستیابی به اهداف خود از ابزارها، روشها و فرایندهای ساده‌تر استفاده کنند.

محدودیتهای کنترلهای داخلی

ت‌ـ‌53.     کنترلهای داخلی، صرف‌نظر از میزان اثربخشی آنها، تنها می‌توانند اطمینانی معقول از دستیابی به اهداف گزارشگری مالی برای واحد تجاری فراهم کنند. احتمال دستیابی به این اهداف، تحت تأثیر محدودیتهای ذاتی کنترلهای داخلی است. این محدودیتها، شامل این واقعیت است که قضاوت انسان هنگام تصمیم‌گیری می‌تواند توأم با اشتباه باشد، و به دلیل خطاهای انسانی، کنترلهای داخلی می‌توانند مختل شوند. برای مثال، ممکن است در رابطه با طراحی یا تغییر یک کنترل داخلی، اشتباهی رخ دهد. همچنین کارکرد یک کنترل داخلی ممکن است اثربخش نباشد. برای مثال، زمانی که اطلاعات تهیه شده برای اهداف کنترلهای داخلی (مانند گزارش موارد استثناء) به طور اثربخشی مورد استفاده قرار نگیرد که دلیل آن می‌تواند عدم شناخت مسئول بررسی اطلاعات از اهداف آن یا قصور در انجام اقدامات مناسب باشد.

ت‌ـ‌54.     افزون بر این، کنترلها ممکن است به وسیله تبانی دو یا چند نفر یا زیرپاگذاری آنها توسط مدیران اجرایی، بی‌اثر شوند. برای مثال، مدیران اجرایی ممکن است به توافقهایی جنبی با مشتریان برسند که مفاد و شرایط استاندارد قراردادهای فروش واحد تجاری را تغییر دهد و بدینسان، به شناخت درآمد نادرست بینجامد. همچنین، کنترلهای ویرایشی تعبیه شده در برنامه‌های نرم‌افزاری که برای تشخیص و گزارش معاملات افزون بر سقف اعتباری مشخصی طراحی شده، ممکن است نادیده گرفته شود یا به عمد از کار انداخته شود.

ت‌ـ‌55.     علاوه بر این، در طراحی و اعمال کنترلها، مدیران اجرایی ممکن است در خصوص ماهیت و میزان کنترلهای انتخاب شده برای اعمال، و ماهیت و میزان خطرهای قابل قبول، قضاوتهایی را انجام دهند.

ملاحظات خاص واحدهای تجاری کوچک

ت‌ـ‌56.     واحدهای تجاری کوچک اغلب کارکنان کمتری دارند که این موضوع ممکن است میزان تفکیک وظایف را محدود کند. با این وجود، در واحدهای کوچکی که مالک، مدیریت آن را بر عهده دارد ممکن است مدیر‌ـ‌ مالک بتواند در مقایسه با واحدهای تجاری بزرگتر، نظارت مؤثرتری اعمال کند. این نظارت ممکن است فرصتهای عموماً محدودتر تفکیک وظایف در این واحدها را جبران کند.

ت‌ـ‌57.     از طرف دیگر، مدیر‌ـ‌ مالک ممکن است به دلیل ساده‌تر بودن ساختار سیستم کنترلهای داخلی، توانایی بیشتری برای زیرپاگذاری کنترلهای داخلی داشته باشد. حسابرس در زمان تشخیص خطرهای تحریف بااهمیت ناشی از تقلب، این موضوع را مورد توجه قرار می‌دهد.

تفکیک اجزای کنترلهای داخلی

ت‌ـ‌58.     تفکیک کنترلهای داخلی به اجزای پنج‌گانه زیر، چارچوب مفیدی را برای حسابرس فراهم می‌کند تا به ارزیابی چگونگی تأثیر جنبه‌های مختلف کنترلهای داخلی واحد تجاری بر حسابرسی بپردازد:

الف  ـ  محیط کنترلی،

ب     ـ  فرایند ارزیابی خطر توسط واحد تجاری،

پ     ـ  سیستم اطلاعاتی، شامل فرایندهای تجاری مربوط، مرتبط با گزارشگری مالی و اطلاع‌رسانی،

ت     ـ  فعالیتهای کنترلی، و

ث     ـ  نظارت بر کنترلها.

این تقسیم‌بندی لزوماً چگونگی طراحی، اعمال و حفظ کنترلهای داخلی یا چگونگی طبقه‌بندی اجزای آن توسط واحد تجاری را نشان نمی‌دهد. حسابرسان می‌توانند به منظور تشریح جنبه‌های مختلف کنترلهای داخلی و اثر آنها بر حسابرسی، از واژگان یا چارچوبهایی متفاوت با موارد مندرج در این استاندارد استفاده کنند، مشروط به اینکه همه اجزای توصیف شده در این استاندارد را در نظر بگیرند.

ت‌ـ‌59.     توضیحات کاربردی مرتبط با اجزای کنترلهای داخلی که به حسابرسی صورتهای مالی مربوط هستند، در بندهای ت‌ـ‌ 76 تا ت‌ـ‌ 117 تشریح شده است. در پیوست 1، توضیحات بیشتری در مورد این اجزا ارائه شده است.

ویژگیهای عناصر دستی و خودکار کنترلهای داخلی مرتبط با فرایند ارزیابی خطر توسط حسابرس

ت‌ـ‌60.     سیستم کنترلهای داخلی واحد تجاری شامل عناصر دستی و عناصر خودکار است. ویژگیهای عناصر دستی یا خودکار کنترلهای داخلی بر فرایند ارزیابی خطر توسط حسابرس و روشهای حسابرسی لازم مبتنی ‌بر آن روشها، مؤثر است.

ت‌ـ‌61.     استفاده از عناصر دستی یا خودکار در کنترلهای داخلی، بر نحوه انجام، ثبت، پردازش و گزارش معاملات نیز اثر می‌گذارد.

• کنترلها در یک سیستم دستی ممکن است شامل روشهایی چون تصویب و بررسی معاملات، و مغایرت‌یابی و پیگیری اقلام باز باشد. از سوی دیگر، واحد تجاری ممکن است برای انجام، ثبت، پردازش و گزارش معاملات از روشهای خودکار استفاده کند که در این صورت، سوابق الکترونیکی جایگزین مستندات کاغذی می‌شود.
• کنترلها در سیستمهای فناوری اطلاعات شامل ترکیبی از کنترلهای خودکار (برای مثال، کنترلهای تعبیه شده در برنامه‌های رایانه‌ای) و کنترلهای دستی است. افزون بر این، کنترلهای دستی ممکن است مستقل از فناوری اطلاعات باشد، از اطلاعات تهیه شده توسط فناوری اطلاعات استفاده کند یا به نظارت بر اثربخشی کارکرد فناوری اطلاعات و کنترلهای خودکار و همچنین، پیگیری موارد استثنا محدود شود. در مواردی که برای انجام، ثبت، پردازش یا گزارش معاملات یا سایر اطلاعات مالی مندرج در صورتهای مالی از فناوری اطلاعات استفاده می‌شود، سیستمها و برنامه‌ها ممکن است شامل کنترلهای مربوط به ادعاهای مرتبط با حسابهای بااهمیت باشد یا از لحاظ عملکرد مؤثر کنترلهای دستی متکی به فناوری اطلاعات، نقش اساسی داشته باشد.

ترکیب عناصر دستی و خودکار کنترلهای داخلی واحد تجاری بر حسب ماهیت و پیچیدگی استفاده آن از فناوری اطلاعات، متفاوت است.

ت‌ـ‌62.     معمولاً فناوری اطلاعات مزیتهایی را برای کنترلهای داخلی واحد تجاری فراهم می‌کند، زیرا واحد تجاری را قادر به انجام موارد زیر می‌کند:

• بکارگیری یکنواخت قواعد تجاری از پیش‌ تعیین شده و انجام محاسبات پیچیده در پردازش حجم بزرگی از معاملات یا داده‌ها،
• افزایش قابلیت دسترسی، به موقع بودن و صحت اطلاعات،
• تسهیل تحلیل بیشتر اطلاعات،
• افزایش توان نظارت بر عملکرد واحد تجاری و سیاستها و رویه‌های آن،
• کاهش خطر نادیده گرفتن کنترلها، و
• افزایش توان دستیابی به تفکیک مؤثر وظایف از طریق استقرار کنترلهای ایمنی در برنامه‌های کاربردی، بانکهای اطلاعاتی و سیستمهای عامل.

ت‌ـ‌63.     فناوری اطلاعات، کنترلهای داخلی واحد تجاری را در معرض خطرهای خاصی چون موارد زیر نیز قرار می‌دهد:

• اعتماد به سیستمها یا برنامه‌هایی که داده‌ها را نادرست پردازش می‌کنند، داده‌های نادرست را پردازش می‌کنند، یا هر دو.
• دسترسی غیرمجاز به داده‌ها، که ممکن است موجب از بین رفتن داده‌ها یا تغییر نابجا در داده‌ها، شامل ثبت معاملات غیرمجاز یا واهی، یا ثبت نادرست معاملات شود. در مواردی که بیش از یک استفاده‌کننده به یک بانک اطلاعاتی مشترک دسترسی دارند، ممکن است خطرهای خاصی ایجاد شود.
• احتمال برخورداری کارکنان فناوری اطلاعات از امکان دسترسی بیش از حد نیاز برای انجام وظایف خود و از اینرو، نقض تفکیک وظایف.
• تغییرات غیر مجاز داده‌ها در پرونده‌های اصلی.
• تغییرات غیرمجاز در سیستمها یا برنامه‌ها.
• قصور در انجام تغییرات لازم در سیستمها و برنامه‌ها.
• دخالتهای دستی نامناسب.
• احتمال از دست رفتن داده‌ها یا ناتوانی در دسترسی به داده‌های مورد نیاز.

ت‌ـ‌64.     در وضعیتهایی نظیر موارد زیر که مستلزم قضاوت و آزادی عمل است، عناصر دستی کنترلهای داخلی ممکن است مناسبتر باشد:

• وجود معاملات بزرگ، غیرعادی یا غیرمکرر.
• شرایطی که تشخیص یا پیش‌بینی اشتباهات دشوار است.
• شرایط متغیری که مستلزم یک واکنش کنترلی، فراتر از حدود یک کنترل خودکار موجود، است.
• نظارت بر اثربخشی کنترلهای خودکار.
•