|
|
|
Auditorul trebuie sa obtina o cunoastere a controlului intern relevant pentru audit. Auditorul se foloseste de cunostintele pe care le are despre controlul intern pentru a identifica tipuri de denaturari semnificative, a lua in considerare factorii care afecteaza riscurile de denaturare semnificativa si a concepe natura, timpul si intinderea altor proceduri de audit.
Controlul intern este procesul conceput si efectuat de cei insarcinati cu guvernanta, conducere si alti angajati in vederea furnizarii unei asigurari rezonabile despre realizarea obiectivelor cu privire la credibilitatea raportarii financiare, eficienta activitatii si conformitatea cu legislatia aplicabila. Rezulta ca acest control este conceput si implementat pentru a aborda riscurile de afaceri identificate care impieteaza asupra realizarii oricaruia dintre aceste obiective.
Mediul de control cuprinde atitudinea, constientizarea si masurile luate de conducere si cei insarcinati cu guvernanta privind controlul intern al entitatii si importanta sa in cadrul entitatii. Mediul de control include si functiile de guvernanta si management si dicteaza tonul unei organizatii, influentand constientizarea de catre oameni a controlului. Este temelia unui control intern eficient, asigurand disciplina si structura.
1. Mediul de control cuprinde urmatoarele elemente:
(a) Comunicarea si impunerea integritatii si valorilor etice. Eficienta controalelor nu poate fi mai presus decat integritatea si valorile etice ale oamenilor care le creaza, administreaza si monitorizeaza. Integritatea si valorile etice sunt elemente esentiale ale mediului de control care influenteaza eficienta conceptiei, administrarii si monitorizarii altor componente ale controlului intern. Integritatea si comportamentul etic sunt produsul standardelor de etica si conduita ale entitatii, ale modului in care acestea sunt comunicate si impuse in practica. Ele includ masurile conducerii de a elimina sau reduce stimulentele si tentatiile care ar putea determina personalul sa se angajeze in actiuni neoneste, ilegale sau lipsite de etica. De asemenea includ comunicarea valorilor si standardelor de conduita ale entitatii catre angajati prin declaratii de politica si coduri de conduita dar si prin exemple.
(b) Angajamentul fata de competenta. Competenta reprezinta cunostintele si aptitudinile necesare realizarii sarcinilor care definesc locul de munca al unui individ. Angajamentul fata de competenta presupune luarea in considerare de catre conducere a nivelurilor de competenta pentru anumite posturi si modul in care aceste niveluri se materializeaza in aptitudini si cunostinte necesare.
(c) Participarea celor insarcinati cu guvernanta. Constientizarea controlului in cadrul unei entitati este semnificativ influentata de cei insarcinati cu guvernanta. Atributele acestora includ independenta fata de conducere, experienta si statutul lor, gradul implicarii lor si analizarii activitatilor de catre ei, adecvarea masurilor lor, informatiile pe care le primesc, masura in care problemele dificile sunt ridicate si duse la indeplinire de conducere si interactiunea lor cu auditorii interni si externi.Importanta responsabilitatilor celor insarcinati cu guvernanta este recunoscuta in codurile de practica si alte regulamente sau recomandari care-i vizeaza pe acestia. Alte responsabilitati ale celor insarcinati cu guvernanta includ supravegherea conceptiei si operarii eficiente a procedurilor de sesizare a organelor in drept si a procesului de revizuire a eficientei controlului intern al entitatii.
(d) Filozofia conducerii si stilul de operare. Filozofia conducerii si stilul de operare cuprind o gama larga de caracteristici. Astfel de caracteristici pot include: abordarea conducerii fata de asumarea si monitorizarea riscurilor de afaceri; atitudinea si masurile luate de conducere vis-a-vis de raportarea financiara (conservatoare sau agresive selectate din principiile contabile alternative disponibile si constientizare si conservatorism cu care sunt efectuate estimarile contabile); si atitudinea conducerii fata de procesarea informatiilor si functiile si personalul contabil.
(e) Structura organizationala. Structura organizationala a unei entitati asigura cadrul in care sunt planificate, executate, controlate si revizuite activitatile pentru indeplinirea obiectivelor la nivelul intregii entitati. Stabilirea unei structuri organizationale presupune luarea in considerare a domeniilor cheie de autoritate si responsabilitate si niveluri corespunzatoare de raportare. Entitatea dezvolta o structura organizationala pe masura nevoilor sale. Adecvarea structurii organizationale a entitatii depinde, partial, de amploarea si natura activitatilor sale.
(f) Desemnarea autoritatii si responsabilitatii. Acest factor include modul in care sunt atribuite autoritatea si responsabilitatea pentru activitatile operationale si modul in care sunt stabilite relatiile de raportare si ierarhiile de autorizare. De asemenea include politicile referitoare la practicile corespunzatoare de afaceri, cunostintele si experienta personalului cheie si resursele oferite pentru indeplinirea acestor sarcini. In plus, include politicile si comunicarile menite sa asigure ca toti angajatii inteleg obiectivele entitatii, cunosc modul in care actiunile lor individuale se interrelationeaza si contribuie la indeplinirea acelor obiective si recunosc cum si pentru ce vor raspunde.
(g) Politicile si practicile privind resursele umane. Politicile si practicile privind resursele umane se refera la recrutare, orientare, instruire, evaluare, consiliere, promovare, compensare si masuri de remediere. De exemplu, standardele pentru recrutarea celor mai calificati indivizi - cu accent pe studii, experienta profesionala anterioara, realizari si dovezi de integritate li comportament etic - demonstreaza angajamentul entitatii fata de oameni competenti si de incredere. Politicile de pregatire profesionala care comunica roluri si responsabilitati in perspectiva si includ practici cum ar fi scolile de instruire si seminariile ilustreaza niveluri asteptate de performanta si comportament. Promovarile dictate de evaluari periodice ale performantelor demonstreaza angajamentul entitatii fata de avansarea angajatilor calificati la niveluri superioare de responsabilitate.
Entitatile mici pot implementa elementele mediului de control intr-un mod diferit fata de entitatile mai mari. De exemplu, entitatile mici s-ar putea sa nu dispuna de un cod scris de conduita dar, in schimb, sa dezvolte o cultura care sa puna accentul pe importanta integritatii si conduitei etice prin comunicare orala si exemplul dat de conducere. In mod similar, cei insarcinati cu guvernanta la entitatile mici s-ar putea sa includa si un membru independent sau din afara entitatii.
Procesul de evaluare a riscului de catre entitate este procesul de identificare si reactionare la riscurile de afaceri si rezultatele acestuia. Pentru raportarea financiara, procesul de evaluare a riscului de catre entitate include modul in care conducerea identifica riscurile relevante pentru intocmirea situatiilor financiare care sa reprezinte o imagine fidela in acord cu cadrul aplicabil entitatii de raportare financiara, estimeaza importanta lor, evalueaza probabilitatea aparitiei lor si hotaraste asupra masurilor de gestionare a lor. De exemplu, procesul de evaluare a riscului de catre entitate poate trata modul in care entitatea ia in considerare posibilitatea existentei unor tranzactii neinregistrate sau identifica si analizeaza estimarile semnificative reflectate in situatiile financiare. Riscurile relevante pentru raportarea financiara credibila se refera si la evenimente sau tranzactii specifice.
Riscurile relevante pentru raportarea financiara includ evenimente si circumstante externe si interne care pot aparea si afecta capacitatea entitatii de a initia, inregistra, procesa si raporta date financiare intr-un mod consecvent fata de asertiunile conducerii din situatiile financiare. Odata ce riscurile sunt identificate, conducerea ia in considerare semnificatia lor, probabilitatea de aparitie si modul in care trebuie gestionate. Conducerea poate initia planuri, programe sau masuri care sa abordeze riscuri specifice sau poate hotari sa accepte un risc datorita costului sau din alte considerente. Riscurile pot aparea sau schimba din cauza unor circumstante precum:
Schimbarile din mediul operational. Schimbarile din mediul de reglementare sau de operare pot da nastere la schimbari ale presiunilor concurentiale si unor riscuri semnificativ diferite.
Personalul nou. Personalul nou poate pune un accent diferit sau intelege diferit controlul intern.
Sistemele de informatii noi sau modernizate. Schimbarile rapide si semnificative din sistemele de informatii pot modifica riscul referitor la controlul intern.
Cresterea rapida. Expansiunea rapida si semnificativa a operatiunilor poate slabi controalele si mari riscul de "cadere" a acestora.
Noua tehnologie. Incorporarea noii tehnologii in procesele de productie sau sistemele de informatii poate schimba riscul asociat cu controlul intern.
Noile modele de afaceri, produse sau activitati. Intrarea in noi domenii de activitate sau incheierea de tranzactii in care entitatea are o experienta restransa poate introduce noi riscuri asociate cu controlul intern.
Restructurarile intreprinderilor. Restructurarile pot fi insotite de reduceri de personal si modificari in supraveghere si segregarea datoriilor care ar putea modifica riscul asociat cu controlul intern
Operatiunile extinse din strainatate. Expansiunea sau achizitia de operatiuni in strainatate poarta riscuri noi si deseori unice care pot afecta controlul intern, de exemplu, riscurile suplimentare sau modificate din tranzactii in valuta.
Noile norme contabile. Adoptarea de noi principii contabile sau modificarea principiilor contabile poate afecta riscurile la elaborarea situatiilor financiare.
Conceptele de baza ale procesului de evaluare a riscurilor de catre entitate sunt relevante pentru orice entitate, indiferent de marime, dar procesul de evaluare a riscurilor va fi probabil mai putin formal si mai putin structurat in cazul micilor entitati decat la entitatile mari. Toate entitatile trebuie sa aiba obiective stabilite de raportare financiara, dar ele ar putea fi recunoscute implicit si nu explicit la entitatile mici. Conducerea poate fi constienta de riscurile legate de aceste obiective fara a face uz de de un proces formal dar printr-un contact direct cu angajatii si persoane din afara entitatii.
sistemul de informatii, inclusiv procesele de activitate aferente, relevant pentru raportarea financiara, si comunicarea
Un sistem de informatii este alcatuit dintr-o infrastructura (componente fizice si hardware), software, oameni, proceduri si date. Infrastructura si software-ul pot lipsi, sau pot avea o semnificatie mai mica, in cadrul sistemelor care sunt exclusiv sau preponderent manuale. Multe sisteme de informatii pot folosi pe scara larga tehnologia informatiei (IT).
Sistemul de informatii relevant pentru obiectivele de raportare financiara, care cuprinde sistemul de raportare financiara, este alcatuit din proceduri si evidente stabilite pentru a initia, inregistra, procesa si raporta tranzactiile entitatii (precum si evenimente si conditii) si a mentine raspunderea pentru activele, datoriile si capitalul propriu aferente. Tranzactiile pot fi initiate manual sau automat prin proceduri programate. Inregistrarea include identificarea si retinerea informatiilor relevante pentru tranzactii sau evenimente. Procesarea include functii precum editarea si validarea, calcularea, evaluarea, sintetizarea si reconcilierea, indiferent ca sunt efectuate de proceduri automatizate sau manuale. Raportarea se refera la intocmirea rapoartelor financiare si a altor informatii, in format electronic sau pe suport de hartie, pe care entitatea le foloseste la evaluarea si revizuirea performantelor financiare si pentru alte functii. Calitatea informatiilor generate de sistem afecteaza capacitatea conducerii de a lua decizii potrivite privind gestionarea si controlul activitatilor entitatii si de a intocmi rapoarte financiare credibile.
Asadar, sistemul de informatii cuprinde metode si evidente care:
Identifica si inregistreaza toate tranzactiile valide.
Descriu la momentul oportun tranzactiile suficient de detaliat pentru a permite clasificarea adecvata a tranzactiilor pentru raportarea financiara.
Stabilesc valoarea tranzactiilor intr-o maniera care permite inregistrarea valorii monetare adecvate in situatiile financiare.
Determina perioada de timp in care au avut loc tranzactiile pentru a permite inregistrarea tranzactiilor in perioada contabila potrivita.
Prezinta adecvat tranzactiile si informatiile adecvate in situatiile financiare.
Comunicarea inseamna transmiterea inteligibila a a rolurilor si responsabilitatilor individuale referitoare la controlul intern asuora raportarii financiare. Include masura in care personalul intelege modul in care activitatile lor din cadrul sistemului de raportare financiara se coreleaza cu activitatea altora si mijloacele de raportare a exceptiilor catre un nivel ierarhic superior corespunzator din cadrul entitatii. Canalele deschise de comunicare contribuie la raportarea si luarea de masuri asupra exceptiilor.
Comunicarea ia forme precum manualele de politici, manualele de raportare contabila si financiara si memorandumurile. Comunicarea se poate face si electronic, oral si prin intermediul masurilor luate de conducere.
Sistemele de informatii si procesele de activitate aferente relevante pentru raportarea financiara in cadrul entitatilor mici sunt probabil mai putin formale decat in cazul entitatilor mai mari, dar rolul lor este la fel de semnificativ. Entitatile mici cu o implicare activa a conducerii s-ar putea sa nu aiba nevoie de descrieri extensive ale procedurilor contabile, evidente contabile sofisticate sau politici scrise. Comunicarea poate fi mai putin formala si mai usor de realizat la o entitate mica decat la o entitate mai mare datorita dimensiunii si nivelurilor mai putine din cadrul entitatii mici precum si vizibilitatii si disponibilitatii mai mari din partea conducerii.
Activitatile de control sunt politicile si procedurile care ajuta la indeplinirea directivelor conducerii, de exemplu, ca sunt luate masurile necesare pentru a contracara riscurile care impieteaza asupra obiectivelor entitatii. Activitatile de control, fie in cadrul sistemelor IT fie in cel al sistemelor manuale, au diferite obiective si sunt aplicate la diferite niveluri organizationale si functionale.
In general, activitatile de control ce pot fi relevante pentru un audit pot fi categorisite ca politici si proceuri care se refera la:
Revizuirea performantelor. Aceste activitati de control cuprind revizuirile si analizele performantelor realizate fata de bugete, prognoze si performantele perioadelor anterioare; relationarea diferitelor seturi de date - operationale sau financiare - intre ele, impreuna cu analize ale relatiilor si masurile investigative si corective; compararea datelor interne cu sursele externe de informatii; si revizuirea performantelor functionale sau de activitate, cum ar fi revizuirea de catre un manager de credire de consum al unei banci a rapoartelor dupa filiala, regiune si tip de credit pentru aprobare si incasare.
Procesarea informatiilor. O varietate de controale sunt efectuate pentru a verifica exactitatea, exhaustivitatea si autorizarea tranzactiilor. Cele doua grupari largi de activitati de control din sietemele de informatii sunt controalele de aplicare si controalele IT generale. Controalele de aplicare se aplica procesarii cazurilor individuale de aplicare. Aceste controale ajuta la a asigura ca tranzactiile au avut loc, sunt autorizate si sunt inregistrate si procesate exhaustiv si exact. Exemple de controale de aplicare sunt verificarea exactitatii aritmetice a inregistrarilor, tinerea si revizuirea conturilor si balantelor de verificare, controalele automatizate cum sunt verificarile de editare a datelor introduse si verificarile secventiale numerice, si urmarirea manuala a rapoartelor cu exceptii. Controalele IT generale sunt politicile si procedurile care se refera la multe aplicatii si sprijina functionarea eficienta a controalelor de aplicare prin asigurarea operarii adecvate continue a sistemelor de informatii. Controalele IT generale de regula includ controalele asupra centrelor de date si operatiunilor de retea; achizitionarea, modificarea si intretinerea soft-urilor de sistem; securitatea accesului; si achizitionarea, dezvoltarea si intretinerea sistemelor de aplicatii. Aceste controale se aplica in cazul "mainframe-urilor", "miniframe-ruilor" si al mediilor cu utilizator final. Exemple de astfel de controale IT generale sunt controalele asupra modificarii programelor, controalele care restrictioneaza accesul la programe sau date, controale asupra implementarii noilor editii de aplicatii soft, si controale asupra soft-ului de sistem care restrictioneaza accesul sau monitorizeaza utilizarea utilitatilor de sistem care ar putea modifica datele financiare sau evidente fara a lasa posibiliatea auditarii lor.
Controale fizice. Aceste activitati cuprind securitatea fizica a activelor, inclusiv masurile adcevate de protectie cum ar fi facilitatile protejate asupra accesului la active sau evidente; autorizarea accesului la programe de calculator si fisiere de date; si inventarierea si compararea periodica cu valorile din evidentele de control (de exemplu compararea rezultatelor inventarierii disponibilitatilor banesti, titlurilor si stocurilor cu evidentele contabile). Gradul in care controalele fizice menite sa previna sustragerea de bunuri sunt relevante pentru credibilitatea intocmirii situatiilor financiare si implicit pentru audit, depinde de circumstante precum cazul in care activele sunt foarte susceptibile la o alocare gresita. De exemplu, aceste controale nu vor fi de regula relevante atunci cand in baza inspectiilor fizice periodice sunt detectate si inregistrate in situatiile financiare pierderi la stocuri. Totusi, daca pentru raportarea financiara, conducerea se bazeaza doar pe evidente perpetue ale stocurilor, controalele privind securitatea fizica vor fi relevante pentru audit.
Segregarea datoriilor. Atribuirea diferitelor persoane de responsabilitati privind autorizarea tranzactiilor, inregistrarea tranzactiilor si mentinerea custodiei activelor este menita sa reduca posibilitatea ca vreo persoana sa se afle in situatia de a produce si tainui, in acelasi timp, erori sau fraude in cursul normal al indeplinrii sarcinilor sale. Exemple de segregare a datoriilor sunt raportarea, revizuirea si aprobarea reconcilierilor si aprobarea si controlul documentelor.
Anumite activitati de control pot depinde de existenta unor politici adecvate la un nivel superior, stabilite de conducere sau cei insarcinati cu guvernanta. de exemplu, controalele de autorizare pot fi delegate in baza unor linii directoare existente, cum ar fi criteriile de investitii stabilite de cei insarcinati cu guvernanta; alternativ, tranzactiile neuzuale cum sunt achizitiile sau vannzarile de active majore pot solicita o anumita aprobare la un nivel inalt, in anumite cazuri cea a actionarilor.
Conceptele care stau la baza activitatilor de control din entitatile mici sunt probabil similare celor din entitatile mai mari, dar formalitatea (oficialitatea) cu care ele operaza difera. Mai departe, pentru entitatile mici anumite tipuri de activitati de control s-ar putea sa nu fie relevante datorita controalelor aplicate de conducere. De exemplu, pastrarea de catre conducere a autoritatii pentru aprobarea vanzarilor pe credit, achizitiilor semnificative si folosirea liniilor de credit poate asigura un control puternic asupra acelor activitati, micsorand sau eliminand nevoia de activitati de control mai detaliate. O segregare adecvata a datoriilor deseori prezinta dificultati la entitatile mici. Chiar si societatile care au doar cativa angajati, totusi, pot desemna responsabilitatile astfel incat sa realizeze o segregare adecvata sau, daca acest lucru nu este posibil, sa utilizeze supravegherea activitatilor incompatibile de catre management in vederea realizarii obiectivelor de control.
O responsabilitate importanta a conducerii este de a stabili si mentine controlul intern cu continuitate. Monitorizarea de catre conducere a controalelor presupune a avea in vedere daca acestea opereaza asa cum se intentioneaza si daca sunt modificate corespunzator in functie de schimbarea conditiilor. Monitorizarea controalelor poate include activitati precum analizarea de catre conducerii a intocmirii la timp a reconcilierilor bancare, evaluarea de catre auditorii interni a respectarii de catre personalul de vanzare a politicilor entitatii asupra conditiilor din contractele de vanzare si supravegherea de catre departamentul juridic a respectarii politicilor, privind etica si practicile in afaceri, apartinand entitatii.
Monitorizarea controalelor este un proces de evaluare a calitatii performantelor controlului intern de-a lungul timpului. Aceasta implica evaluarea conceptiei si operarii controalelor la timp si luarea masurilor corective necesare. Monitorizarea este infaptuita pentru a asigura operarea eficienta a controalelor in continuare. De exemplu, daca oportunitatea si exactitatea reconcilierilor bancare nu sunt monitorizate, este probabil ca personalul sa inceteze sa le mai intocmeasca. Monitorizarea controalelor este realizata prin activitati de monitorizare continua, evaluari separate si combinatii intre cele doua.
Activitatile de monitorizare continua sunt incorporate in activitatile recurente normale ale entitatii si includ activitatile regulate de management si supraveghere. Managerii de vanzari, achizitii si productie la nivel de divizie sau la nivelul intregii corporatii sunt la curent cu activitatea si pot chestiona rapoartele care difera semnificativ de ceea ce cunosc ei despre activitate.
In multe entitati, auditorii interni sau personalul care indeplineste functii similare contribuie la monitorizarea controalelor entitatii prin evaluari separate. Ei furnizeaza regulat informatii despre functionarea controlului intern, concentrandu-si atentia in mod considerabil pe evaluarea conceptiei si operarii controlului intern. Ei comunica informatii despre punctele forte si punctele slabe si recomandari pentru imbunatatirea controlului intern.
Activitatile de monitorizare pot include utilizarea informatiilor din comunicarile cu persoane din afara intreprinderii care pot indica probleme sau evidentia domenii ce au nevoie de imbunatatire. Clientii in mod implicit coroboreaza datele de facturare prin plata facturilor lor sau plangandu-se in legatura cu suma de plata. In plus, organele de reglementare pot comunica cu entitatea in ceea ce priveste probleme care afecteaza functionarea controlului intern, de exemplu, comunicarile privind examinarile efectuate de agentiile de reglementare bancara. De asemenea, conducerea poate lua in considerare comunicarile referitoare la controlul intern de la auditorii externi pentru indeplinirea activitatilor de monitorizare.
Este mai probabil ca activitatile de monitorizare continua ale entitatilor mici sa fie informale si ele sunt de regula indeplinite ca parte a managementului general al activitatii entitatii. Implicarea stransa a conducerii in activitate deseori va conduce la identificarea unor abateri semnificative de la estimari si a unor inadvertente in datele financiare conducand la masuri corective in ceea ce priveste controlul.
