تـ65. عناصر دستی کنترلهای داخلی ممکن است کمتر از عناصر خودکار قابل اتکا باشد، زیرا به آسانی میتواند دور زده شود، نادیده گرفته شود یا زیر پا گذاشته شود و همچنین، بیشتر در معرض رخداد اشتباهات و خطاهای ساده قرار دارد. از این رو، نمیتوان فرض کرد که عناصر دستی کنترلهای داخلی به طور یکنواخت اعمال میشود. کنترلهای دستی ممکن است در موارد زیر مناسب نباشد:
- معاملات متعدد یا مستمر، یا در شرایطی که اشتباهات مورد انتظار یا قابل پیشبینی میتواند به وسیله پارامترهای کنترلی خودکار، پیشگیری یا کشف و اصلاح شود.
- فعالیتهای کنترلی، در مواردی که راهکارهای خاص اجرای یک کنترل را میتوان به نحو مناسب طراحی و خودکار کرد.
تـ66. میزان و ماهیت خطرهای کنترلهای داخلی به ماهیت و ویژگیهای سیستم اطلاعاتی واحد تجاری بستگی دارد. واحد تجاری در واکنش به خطرهای ناشی از بکارگیری فناوری اطلاعات یا استفاده از عناصر دستی کنترلهای داخلی، با توجه به ویژگیهای سیستم اطلاعاتی واحد تجاری، کنترلهای مؤثری برقرار میکند.
کنترلهای مرتبط با حسابرسی
تـ67. بین اهداف واحد تجاری و کنترلهایی که برای حصول اطمینان معقول از دستیابی به آن اهداف برقرار میشود، ارتباط مستقیمی وجود دارد. اهداف واحد تجاری و از این رو کنترلها، به گزارشگری مالی، عملیات و رعایت قوانین و مقررات مربوط میشود، اما، همه این اهداف و کنترلها به ارزیابی خطر توسط حسابرس مربوط نمیشود.
تـ68. عوامل مرتبط با قضاوت حسابرس درباره اینکه آیا یک کنترل، به تنهایی یا همراه با سایر کنترلها، با حسابرسی ارتباط دارند یا خیر، عبارتند از:
- اهمیت.
- عمده بودن خطر مربوط.
- اندازه واحد تجاری.
- ماهیت فعالیت واحد تجاری، شامل ویژگیهای سازمانی و مالکیتی آن.
- تنوع و پیچیدگی عملیات واحد تجاری.
- الزامات قانونی و مقرراتی مربوط.
- شرایط موجود و اجزای مربوط کنترلهای داخلی.
- ماهیت و پیچیدگی سیستمهایی که بخشی از کنترلهای داخلی واحد تجاری محسوب میشوند، از جمله برونسپاری خدمات مالی.
- وجود یک کنترل خاص که به تنهایی یا همراه با سایر کنترلها از وقوع تحریفهای بااهمیت پیشگیری یا آنها را کشف و اصلاح میکند، و نحوه عمل آن.
تـ69. کنترلهای مربوط به کامل بودن و صحت اطلاعات تهیه شده توسط واحد تجاری در صورتی ممکن است به حسابرسی مربوط شود که حسابرس بخواهد از این اطلاعات در طراحی و اجرای روشهای حسابرسی بیشتر استفاده کند. کنترلهای مرتبط با اهداف عملیاتی و رعایتی نیز در صورتی میتواند به حسابرسی ربط داشته باشد که به اطلاعات ارزیابی شده یا استفاده شده توسط حسابرس در اجرای روشهای حسابرسی مربوط باشد.
تـ70. کنترلهای داخلی مربوط به حفاظت از داراییها در برابر تحصیل، استفاده یا واگذاری غیرمجاز، ممکن است شامل کنترلهای مرتبط با اهداف عملیاتی و گزارشگری مالی باشد. معمولاً حسابرس ارزیابی خود از این قبیل کنترلها را به موارد مرتبط با قابل اتکا بودن گزارشگری مالی محدود میکند.
تـ71. واحد تجاری معمولاً کنترلهایی در ارتباط با اهدافی دارد که به حسابرسی مربوط نمیشود و از این رو، نیاز به بررسی ندارد. برای مثال، واحد تجاری ممکن است برای دستیابی به عملیات اثربخش و کارا، به یک سیستم پیچیده کنترلهای خودکار (مانند سیستم کنترلهای خودکار برنامههای پرواز خطوط هوایی) متکی باشد، ولی این کنترلها معمولاً به حسابرسی مربوط نمیشود. علاوه بر این، اگر چه کنترلهای داخلی به کل واحد تجاری یا هر یک از واحدهای عملیاتی یا فرایندهای تجاری آن مربوط میباشد، اما، شناخت کنترلهای داخلی مربوط به هر یک از واحدهای عملیاتی و فرایندهای تجاری واحد تجاری ممکن است به حسابرسی مربوط نباشد.
ملاحظات خاص واحدهای بخش عمومی
تـ72. حسابرسان واحدهای بخش عمومی، اغلب مسئولیت بیشتری در رابطه با کنترلهای داخلی دارند، برای مثال ارائه گزارش در رابطه با رعایت آییننامهها و بخشنامهها. حسابرسان واحدهای بخش عمومی میتوانند مسئولیت گزارش رعایت قوانین، مقررات یا سایر الزامات را نیز داشته باشند. بنابراین، بررسی کنترلهای داخلی توسط حسابرسان بخش عمومی میتواند گستردهتر و مفصلتر باشد.
ماهیت و میزان شناخت از کنترلهای مرتبط (رک : بند 13)
تـ73. ارزیابی طراحی یک کنترل به این معنی است که آیا آن کنترل، به تنهایی یا همراه با سایر کنترلها، توان پیشگیری یا کشف و اصلاح مؤثر تحریفهای بااهمیت را دارد یا خیر. اعمال یک کنترل به معنای وجود کنترل و بکارگیری آن توسط واحد تجاری است. ارزیابی نحوه اعمال کنترلی که اثربخش نیست سودمند نمیباشد و ازاینرو، ارزیابی طراحی کنترل مقدم بر ارزیابی نحوه اعمال آن است. طراحی نامناسب یک کنترل ممکن است نشانه ضعفی بااهمیت در کنترلهای داخلی واحد تجاری باشد.
تـ74. روشهای ارزیابی خطر برای کسب شواهد حسابرسی درباره طراحی و اعمال کنترلهای مربوط، ممکن است شامل موارد زیر باشد:
- پرس و جو از کارکنان واحد تجاری.
- مشاهده اعمال کنترلهای خاص.
- وارسی مدارک و گزارشها.
- ردیابی معاملات در سیستم اطلاعاتی مرتبط با گزارشگری مالی.
با این حال، برای ارزیابی طراحی و اعمال یک کنترل مربوط، انجام پرس و جو به تنهایی کافی نیست.
تـ75. کسب شناخت از کنترلهای واحد تجاری به منظور آزمون اثربخشی کارکرد کنترلها کافی نیست، مگر اینکه یک سیستم خودکار برای کارکرد یکنواخت کنترلها وجود داشته باشد. برای مثال، کسب شواهد حسابرسی درباره اعمال یک کنترل دستی در یک مقطع زمانی، فراهم کننده شواهد حسابرسی درباره اثربخشی کارکرد آن کنترل در سایر مقاطع زمانی طی دوره مورد حسابرسی نیست. با این حال، به دلیل یکنواختی ذاتی پردازش در فناوری اطلاعات (به بند تـ62 رجوع شود) و با توجه به ارزیابی حسابرس و آزمون کنترلهایی نظیر کنترلهای مربوط به تغییرات برنامه، اجرای روشهای حسابرسی برای تشخیص اعمال یا عدماعمال یک کنترل خودکار میتواند به عنوان آزمون اثربخشی کارکرد آن کنترل نیز محسوب شود. در استاندارد 330[1]، توضیحات بیشتری در مورد آزمون اثربخشی کارکرد کنترلها ارائه شده است.
اجزای کنترلهای داخلیـ محیط کنترلی (رک : بند 14)
تـ76. محیط کنترلی شامل وظایف راهبری و مدیریتی و نگرش، آگاهی و اقدامات ارکان راهبری و مدیران اجرایی نسبت به کنترلهای داخلی و اهمیت آن در واحد تجاری است. محیط کنترلی با شکل دادن جو عمومی واحد تجاری، بر هشیاری کنترلی کارکنان اثر میگذارد.
تـ77. عناصری از محیط کنترلی که میتواند هنگام کسب شناخت از محیط کنترلی مربوط تلقی شود، عبارتند از:
الف ـ اشاعه و تقویت درستکاری و ارزشهای اخلاقی. عناصر زیربنایی مؤثر بر اثربخشی طراحی، اجرا و نظارت بر کنترلها.
ب ـ پایبندی به صلاحیت. موضوعاتی نظیر توجه مدیران اجرایی به سطوح صلاحیت لازم برای مشاغل خاص و چگونگی تبیین آن در قالب تجربه و دانش مورد نیاز.
پ ـ. مشارکت ارکان راهبری. ویژگیهای ارکان راهبری نظیر:
- استقلال آنها از مدیران اجرایی.
- تجربه و حسن شهرت آنها.
- میزان مشارکت آنها، اطلاعاتی که دریافت میکنند و بررسی دقیق فعالیتها.
- مناسب بودن اقدامات آنها، شامل طرح موضوعات پیچیده با مدیران اجرایی و پیگیری آن و همچنین تعامل آنها با حسابرسان داخلی و مستقل.
ت ـ دیدگاهها و سبک کاری مدیران اجرایی. ویژگیهای مدیران اجرایی نظیر:
- رویکرد آنها نسبت به پذیرش و مدیریت خطرهای تجاری.
- نگرش و اقدامات آنها نسبت به گزارشگری مالی.
- نگرش آنها نسبت به پردازش اطلاعات و وظایف و کارکنان حسابداری.
ث ـ ساختار سازمانی. چارچوب لازم برای برنامهریزی، اجرا، کنترل و بررسی فعالیتهای واحد تجاری برای دستیابی به اهداف آن.
ج ـ تعیین اختیار و مسئولیت. چگونگی تعیین اختیار و مسئولیت فعالیتهای عملیاتی و نحوه برقراری روابط گزارشگری و سلسله مراتب اختیارات.
چ ـ سیاستها و روشهای مدیریت منابع انسانی. سیاستها و روشهای مرتبط با مواردی نظیر استخدام، آشناسازی، آموزش، ارزیابی، مشاوره، ارتقا، حقوق و مزایا و اقدامات اصلاحی.
شواهد حسابرسی برای عناصر محیط کنترلی
تـ78. شواهد حسابرسی مربوط ممکن است از طریق ترکیبی از روشهای پرس و جو و سایر روشهای ارزیابی خطر، مانند تأیید پرس و جوها از طریق مشاهده یا وارسی مدارک، کسب شود. برای مثال، حسابرس میتواند با پرس و جو از مدیران اجرایی و کارکنان، از نحوه اطلاعرسانی نظرات مدیران اجرایی به کارکنان درباره روشهای انجام کار و رفتار اخلاقی، شناخت کسب کند. حسابرس ممکن است اعمال شدن یا نشدن کنترلها را مثلاً از طریق آییننامه رفتاری مدون و اقدامات مدیران اجرایی برای پشتیبانی از آن تعیین کند.
تـ79. همچنین حسابرس ممکن است بررسی کند که برخورد مدیران اجرایی نسبت به یافتهها و پیشنهادهای واحد حسابرسی داخلی درخصوص ضعفهای مشخص شده در کنترلهای داخلی مرتبط با حسابرسی چگونه بوده است، از جمله اینکه آیا و چگونه چنین برخوردهایی اجرا شدهاند، و آیا بعداً این برخوردها توسط واحد حسابرسی داخلی مورد ارزیابی قرار گرفته است یا خیر.
اثر محیط کنترلی بر ارزیابی خطرهای تحریف بااهمیت
تـ80. برخی عناصر محیط کنترلی واحد تجاری اثری فراگیر بر ارزیابی خطرهای تحریف بااهمیت دارد. برای مثال، هشیاری کنترلی واحد تجاری به میزان زیادی تحت تأثیر ارکان راهبری است، زیرا یکی از نقشهای آنها متعادل کردن فشارهای وارد بر مدیران اجرایی در ارتباط با گزارشگری مالی است که ممکن است ناشی از تقاضای بازار یا طرحهای پاداش باشد. بنابراین، اثربخشی طراحی محیط کنترلی از لحاظ مشارکت ارکان راهبری تحت تأثیر عواملی مانند موارد زیر قرار میگیرد:
- استقلال آنها از مدیران اجرایی و توانایی آنها برای ارزیابی اقدامات مدیران اجرایی.
- شناخت آنها از معاملات واحد تجاری.
- میزان ارزیابی آنها از انطباق صورتهای مالی با چارچوب گزارشگری مالی مربوط.
تـ81. وجود هیئت مدیره فعال و مستقل ممکن است دیدگاهها و سبک کاری مدیران اجرایی را تحت تأثیر قرار دهد. اما سایر عوامل ممکن است آثار کمتری داشته باشند. برای مثال، اگر چه سیاستها و روشهای مدیریت منابع انسانی مبتنی بر استخدام کارکنان کارآمد امور مالی و فناوری اطلاعات ممکن است خطر بروز اشتباه در پردازش اطلاعات مالی را کاهش دهد، ولی ممکن است گرایش شدید مدیران اجرایی رده بالا را برای بیشنمایی سود کاهش ندهد.
تـ82. در مواردی که حسابرس خطرهای تحریف بااهمیت را ارزیابی میکند، وجود یک محیط کنترلی مناسب میتواند عاملی مثبت باشد. هر چند که محیط کنترلی مناسب، به طور مطلق از تقلب پیشگیری نمیکند، اما ممکن است به کاهش خطر تقلب کمک کند. برعکس، ضعفهای موجود در محیط کنترلی ممکن است اثربخشی کنترلها را از بین ببرد و از این رو، در ارزیابی حسابرس از خطرهای تحریف بااهمیت، به خصوص در ارتباط با تقلب، عاملی منفی محسوب شود. برای مثال، قصور مدیران اجرایی در تخصیص منابع کافی برای برخورد با خطرهای ایمنی ویژه فناوری اطلاعات، ممکن است از طریق فراهم شدن امکان انجام تغییرات نادرست در برنامهها یا اطلاعات رایانهای یا پردازش معاملات غیرمجاز، بر کنترلهای داخلی اثر منفی داشته باشد. همانطور که در استاندارد 330 ذکر شده است، محیط کنترلی بر ماهیت، زمانبندی اجرا و میزان روشهای حسابرسی لازم نیز مؤثر است[2].
تـ83. محیط کنترلی به تنهایی از وقوع یک تحریف بااهمیت، پیشگیری، یا آن را کشف و اصلاح نمیکند، اما، میتواند ارزیابی حسابرس از اثربخشی سایر کنترلها (برای مثال، نظارت بر کنترلها و اجرای فعالیتهای کنترلی خاص) و در نتیجه، ارزیابی خطرهای تحریف بااهمیت توسط حسابرس را تحت تأثیر قرار دهد.
[1]. استاندارد حسابرسی 330، ”برخوردهای حسابرس با خطرهای ارزیابی شده (تجدیدنظر شده 1393)“
[2]. استاندارد حسابرسی 330، بندهای تـ2 و تـ3
