STANDARDUL INTERNATIONAL
DE AUDIT 315 - CUNOASTEREA ENTITATII SI MEDIULUI SAU
SI EVALUAREA RISCURILOR DE DENATURARE SEMNIFICATIVA
(Aplicabil pentru auditarea situatiilor financiare aferente
perioadelor care incep cu sau dupa data de 15 decembrie 2004).
Standardul International
de Audit (ISA) 315 cunoasterea entitatii si mediului
sau si evaluarea riscurilor de denaturare semnificativa" trebuie
citit in contextul "Prefetei la Standardele Internationale de Control
al Calitatii, Audit, Asigurare si Servicii Conexe", care
defineste modul de aplicare si autoritatea ISA-urilOR
Introducere
- Scopul acestui
Standard International de Audit (ISA) este de a stabili reguli
si de a oferi recomandari privind cunoasterea
entitatii si mediului sau, inclusiv controlul intern
al acesteia precum si evaluarea riscurilor de denaturare
semnificativa in auditul situatiilor financiare. Importanta
evaluarii riscului de catre auditor ca baza pentru alte
proceduri de audit este discutata la explicarea riscului de audit din
ISA 200, "Obiectivul si principiile generale care guverneaza
auditul situatiilor financiare".
- Auditorul trebuie
sa ajunga sa obtina o cunoastere a entitatii
si a mediului sau, inclusiv controlul intern al acesteia,
suficient pentru a identifica si evalua riscurile existentei
denaturarilor semnificative ale situatiilor financiare fie
ca acestea se datoreaza fraudei fie erorilor si suficient
pentru a pune la punct si aplica proceduri de audit suplimentare. ISA
500, "Probe de audit", cere ca auditorul sa utilizeze asertiuni
suficient de detaliate pentru a forma o baza pentru evaluarea
riscurilor de denaturare semnificativa precum si pentru punerea
la punct si aplicarea altor proceduri de audit. Prezentul ISA cere ca
auditorul sa faca evaluari ale riscului la nivelul
situatiilor financiare si asertiunilor pe baua unei
cunoasteri corespunzatoare a entitatii si
mediului sau, inclusiv a controlului intern al acesteia. ISA 330, "Procedurile
auditorului ca raspuns la riscurile evaluate" discuta despre
responsabilitatea auditorului de a stabili raspunsurile generale
si de a pune la punct si aplica alte proceduri de audit a
caror natura, durata si intindere raspund
evaluarilor riscului. Cerintele si recomandarile
acestui ISA se aplica impreuna cu cerintele si
recomandarile din alte ISA. In particular, la ISA 240,
"Responsabilitatea auditorului de a lua in considerare frauda si
erorile in auditul situatiilor financiare" se discuta despre
alte recomandari privind responsabilitatea auditorului de a evalua
riscurile denaturarii semnificative datorate fraudei.
- Ceea ce
urmeaza reprezinta o imagine de ansamblu a cerintelor
acestui standard:
- Procedurile
de evaluare a riscului si sursele de informatii despre entitate
si mediul sau, inclusiv controlul intern al acesteia.
Aceasta sectiune explica procedurile de audit pe care
auditorul trebuie sa le aplice pentru a cunoaste entitatea
si mediul sau, inclusiv controlul intern (proceduri de evaluare
a riscului). De asemenea cere discutii in randul echipei
angajamentului despre susceptibilitatea la denaturari semnificative a
situatiilor financiare.
- Cunoasterea
entitatii si mediului sau, inclusiv a controlului
intern al acesteia. Aceasta sectiune cere ca auditorul
sa inteleaga aspecte specificate ale entitatii
si mediului sau si componente ale controlului intern al
acesteia pentru a identifica si evalua riscurile de denaturare
semnificativa.
- Evaluarea
riscurilor de denaturare semnificativa. Aceasta sectiune
obliga auditorul sa identifice si evalueze riscurile de
denaturare semnificativa la nivelul situatiilor financiare
si cel al asertiunilor. Auditorul:
identifica
riscurile prin analizarea
entitatii si mediului sau, inclusiv a controalelor
relevante si prin analizarea claselor de tranzactii, soldurilor de
conturi si prezentarilor de informatii din situatiile
financiare;
coreleaza
riscurile identificate cu ceea ce se poate gresi la nivelul
asertiunilor; si
ia in considerare semnificatia si probabilitatea
riscurilor.
Totodata
aceasta sectiune cere auditorului sa determine daca vreunul
dintre riscurile evaluate este risc semnificativ care sa necesite o
atentie speciala in cadrul auditulu sau este un risc pentru care
testele detaliate de audit in sine nu ofera suficiente probe de audit
corespunzatoare. Auditorul trebuie sa evalueze modul in care sunt
concepute sistemele de control ale entitatii, inclusiv
activitatile de control relevante asupra acestor riscuri si
sa determine daca au fost implementate sau nu.
- Comunicarea cu
cei insarcinati cu guvernanta si managementul. Aceasta
sectiune se ocupa cu probleme legate de controlul intern pe care
auditorul le comunica celor insarcinati cu guvernanta
si managementul.
- Documentatia. Aceasta
sectiune stabileste cerintele aferente privind
documentatia.
- Cunoasterea
entitatii si mediului sau este un aspect esential
al efectuarii unui audit conform ISA. In special, aceasta
stabileste un cadru de referinta in care auditorul
planifica auditul si isi exercita rationamentul
profesional despre evaluarea riscului de denaturare semnificativa a
situatiilor financiare si reactionarea fata de
acele riscuri in cursul auditului, de exemplu atunci cand:
- Se
stabileste pragul de semnificatie si se evalueaza
daca rationamentul privind pragul de semnificatie
ramane adecvat pe masura ce auditul avanseaza;
- Se are in vedere
daca selectia si aplicarea politicilor contabile sunt
corespunzatoare si daca prezentarile din
situatiile financiare sunt adecvate;
- Se
identifica ariile in care este necesara o atentie
speciala in audit, de exemplu, tranzactiile intre
parti afiliate, aplicarea principiului continuitatii
activitatii de catre conducere sau analizarea scopului
comercial al tranzactiilor;
- Se stabilesc
ipoteze pentru a fi utilizate la aplicarea procedurilor analitice;
- Se concep si aplica alte proceduri
de audit pentru a reduce riscul de audit la un nivel acceptabil; si
- Se evalueaza suficienta si
adecvarea probelor de audit obtinute, cum ar fi adecvarea
prezumtiilor si declaratiilor orale si scrise ale
conducerii.
- Auditorul utilizeaza
rationamentul profesional pentru a determina gradul necesar de
cunoastere a entitatii si mediului sau, inclusiv
a controlului intern al acesteia. Considerentul primordial al auditorului
este daca are cunostinte suficiente pentru a evfalua
riscurile de denaturare semnificativa a situatiilor financiare
si pentru a pune la punct si aplica alte proceduri de audit.
Gradul de cunoastere generala care este cerut de auditor pentru
efectuarea auditului este mai mic decat cel posedat de management pentru
conducerea entitatii.
Proceduri
de evaluare a riscului si surse de informatii despre entitate si
mediul sau, inclusiv controlul intern al acesteia
- Cunoasterea entitatii si
mediului sau, inclusiv controlul intern al acesteia este un proces
continuu, dinamic de culegere, actualizare si analizare a
informatiilor in cursul auditului. Asa cum este descris la ISA
500, procedurile de audit necesare cunoasterii sunt denumite
"proceduri de evaluare a riscului" pentru ca anumite informatii
obtinute prin aplicarea acestor proceduri pot fi utilizate de auditor
ca probe de audit care sustin evaluarile riscurilor de
denaturare semnificativa. In plus, la aplicarea procedurilor de
evaluare a riscului, auditorul poate obtine probe de audit despre
clase de tranzactii, solduri de cont, sau prezentari sde
informatii si asertiuni conexe precum si despre
eficienta operativa a controalelor, chiar daca astfel de
proceduri de audit nu au fost prevazute expres ca teste detaliate de
audit sau teste ale controalelor. De asemenea, auditorul poate alege
sa urmeze teste detaliate sau teste ale controalelor in paralel cu
procedurile de evaluare a riscului pentru ca asa este eficient.
proceduri de evaluare a riscului
- Auditorul trebuie
sa aplice urmatoarele proceduri de evaluare a riscului in
vederea cunoasterii entitatii si mediului sau,
inclusiv a controlului intern al acesteia:
(a)
Investigarea conducerii si altor persoane din cadrul
entitatii;
(b)
Proceduri
analitice; si
(c)
Observatia
si inspectia.
Auditorului
nu i se cere sa aplice toate procedurile de evaluare a riscului descrise
mai sus pentru fiecare aspect al cunoasterii descrise la paragraful 20.
Totusi, toate procedurile de evaluare a riscului sunt aplicate de auditor
in cursul procesului de cunoastere necesara.
- In
plus, auditorul aplica alte proceduri de audit atunci cand
informatiile obtinute pot fi utile la identificarea riscurilor
de denaturare semnificativa. De exemplu, auditorul poate avea in vedere
obtinerea de informatii de la consilierul juridic extern al
entitatii sau de la expertii evaluatori pe care i-a folosit
entitatea. Analizarea informatiilor obtinute din surse externe
cum ar fi rapoarte ale analistilor, bancilor sau agentiilor
de rating, sau revistele comerciale si economice; de asemenea
publicatiile financiare sau cele ale organismelor de reglementare pot
fi utile la obtinerea informatiilor despre entitate.
- Desi multe dintre informatiile pe
care auditorul le obtine din investigatii pot fi obtinute
de la conducere si cei responsabili cu raportarea financiara,
chestionarea altor persoane din interiorul entitatii, cum ar fi
personalul de productie si de audit intern sau alti
angajati cu diferite niveluri de autoritate pot fi utile oferind
auditorului o perspectiva diferita in identificarea riscurilor
de denaturare semnificativa. La determinarea altor persoane din
interiorul entitatii care pot fi chestionate si a
intinderii investigatiilor respective, auditorul are in vedere
informatiile care ar putea fi obtinute si care ar ajuta la
identificarea riscurilor de denaturare semnificativa. De exemplu:
Chestionarea
celor insarcinati cu guvernanta poate ajuta auditorul sa
inteleaga mediul in care sunt intocmite situatiile financiare.
Chestionarea
personalului de audit intern se poate referi la activitatile lor
privind conceptia si eficienta controlului intern al
entitatii si la aflarea raspunsului la intrebarea daca
managementul a reactionat satisfacator la constatarile care
au rezultat din aceste activitati.
Chestionarea
angajatilor implicati in initierea, procesarea sau inregistrarea
tranzactiilor complexe sau neobisnuite poate ajuta auditorul la
evaluarea selectiei si aplicarii anumitor politici contabile.
Chestionarea
consilierului juridic intern se poate referi la astfel de probleme precum litigiile,
respectarea legislatiei, informatiile despre frauda sau cazurile
suspecte de frauda care afecteaza entitatea, garantiile si
obligatiile post-vanzare, contractele (cum ar fi asocierile in
participatiune) cu partenerii de afaceri si semnificatia
conditiilor contractuale.
Chestionarea
personalului de vanzare sau marketing se poate referi la schimbarile
privind strategiile de marketing ale entitatii, tendintele in
vanzare sau contractele cu clientii.
- Procedurile analitice pot fi utile la
identificarea existentei tranzactiilor sau evenimentelor
neobisnuite si valorilor, indicatorilor si tendintelor
care ar putea indica probleme cu implicatii asupra situatiilor
financiare si auditului. La efectuarea procedurilor analitice ca
proceduri de evaluare a riscului, auditorul face estimari privind
relatiile plauzibile care se asteapta sa existe, in
mod rezonabil. Atunci cand comparatia estimarilor respective cu
valorile inregistrate sau indicatorii calculati pe baza valorilor
inregistrate genereaza relatii neobisnuite sau
neasteptate, auditorul ia in considerare acele rezultate la
identificarea riscurilor de denaturare semnificativa. Cu toate
acestea, daca aceste proceduri analitice folosesc date cumulate la un
nivel ridicat (ceea ce este cazul deseori), rezultatele procedurilor
analitice respective ofera doar indicii initiale largi despre
posibila existenta a unei denaturari semnificative. In
consecinta, auditorul ia in considerare rezultatele unor astfel
de proceduri analitice impreuna cu alte informatii obtinute
la identificarea riscurilor de denaturare semnificativa. Vezi ISA 520,
"Proceduri analitice" pentru instructiuni suplimentare asupra
utilizarii procedurilor analitice.
- Observatia
si inspectia pot sprijini investigarea conducerii si altor
persoane si de asemenea ofera informatii despre entitate
si mediul sau. Astfel de proceduri de audit de regula
includ:
Observatia
asupra activitatilor si operatiunilor entitatii.
Inspectia documentelor (cum ar fi planurile
si strategiile de afaceri), evidentele si manualele de control
intern.
Citirea rapoartelor intocmite de conducere (cum ar fi
rapoartele de gestiune trimestriale si situatiile financiare
interimare) si cei insarcinati cu guvernanta (cum ar fi
procesele-verbale ale sedintelor consiliului de administratie).
Vizitele la sediul si punctele de lucru ale
entitatii.
Urmarirea
tranzactiilor prin sistemul de informatii relevante pentru raportarea
financiara.
- Atunci cand auditorul intentioneaza
sa foloseasca informatii despre entitate si mediul
sau obtinute in perioadele precedente, el trebuie sa
determine daca au intervenit schimbari care sa poata
afecta relevanta unor astfel de informatii pentru auditul
curent. Pentru angajamentele
succesive experienta anterioara a auditorului in ceea ce
priveste entitatea contribuie la cunoasterea
entitatii. De exemplu, procedurile de audit efectuate pentru
auditul exercitiilor anterioare de regula furnizeaza probe
de audit despre structura organizatorica, activitatea si
controalele entitatii precum si informatii despre
eventuale denaturari anterioare si daca acestea au fost sau
nu corectate la timp, care ajuta auditorul la evaluarea riscurilor de
denaturare semnificativa in cursul auditului curent. Cu toate
acestea, astfel de informatii s-ar putea sa fi devenit
nerelevante datorita schimbarilor din entitate sau mediul
acesteia. Auditorul face investigatii si aplica alte
proceduri de audit corespunzatoare, cum ar fi urmarirea
procesarii informatiilor in sistem, pentru a stabili daca
au aparut schimbari care pot afecta relevanta acestor
informatii.
- Atunci cand este relevant pentru audit,
auditorul ia in considerare si alte informatii cum ar fi cele
obtinute din acceptul dat de client auditorului sau procesul de
continuare a mandatului de catre acesta, ori, acolo unde este posibil,
din experienta dobandita din alte angajamente indeplinite pentru
entitatea respectiva, de exemplu, angajamentele pentru revizuirea
informatiilor financiare interimare.
Discutii in cadrul
echipei care indeplineste angajamentul
- Membrii echipei
angajamentului trebuie sa discute susceptibilitatea situatiilor
financiare ale entitatii la denaturari semnificative.
- Obiectivul
acestor discutii este acela ca membrii echipei angajamentului sa
inteleaga mai bine posibilitatea existentei
denaturarilor semnificative ale situatiilor financiare rezultand
din fraude sau erori in domeniile specifice atribuite lor si sa
inteleaga modul in care rezultatele procedurilor de audit pe
care le indeplinesc ei pot afecta alte aspecte ale auditului inclusiv deciziile
despre natura, timpul si intinderea altor proceduri de audit.
- Discutiile ofera posibilitatea
ca membrii echipei cu experienta mai bogata, inclusiv
partenerul (auditorul cu drept de semnatura), sa
impartaseasca din opiniile bazate pe informatiile
despre entitate si ca membrii echipei sa faca schimb de
informatii despre riscurile de afaceri la care este
supusa entitatea si despre modul si locul in care
situatiile financiare sunt
susceptibile la denaturari semnificative. Asa cum cere ISA
240, un accent deosebit se pune pe susceptibilitatea situatiilor
financiare ale entitatii la denaturari semnificative
datorate fraudei. Discutiile abordeaza totodata aplicarea
cadrului de raportare financiara aplicabil la datele si
circusmtantele entitatii.
- Rationamentul
profesional este utilizat pentru a stabili care membrii ai echipei care
indeplineste angajamentul sunt inclusi la discutii, cum
si cand vor avea acestea loc si intinderea lor. Membrii cheie ai
echipei angajamentului sunt de regula implicati in
discutii; totusi, nu este necesar ca toti membrii echipei
sa aiba cunostinte comprehensive despre toate
aspectele auditului. Intinderea discutiilor este
influentata de rolurile, experienta si nevoile de
informare ale membrilor echipei angajamentului. Intr-un audit cu multiple
locatii, de exemplu, pot exista multiple discutii care sa
implice membrii cheie ai echipei angajamentului din fiecare locatie
semnificativa. Un alt factor de luat in considerare la planificarea
discutiilor este includerea sau nu a expertilor care au
facut parte din echipa angajamentului. De exemplu, auditorul poate
hotari ca includerea in echipa angajamentului a unui
profesionist cu aptitudini privind tehnologia informatiei (IT) sau de alta
natura este necesara si de aceea sa includa acea
persoana la discutii.
- Asa cum o
cere ISA 200, auditorul planifica si indeplineste auditul
cu scepticism profesional. Discutiile intre membrii echipei
angajamentului subliniaza nevoia de a mentine scepticismul
profesional pe parcursul angajamentului, de a fi atenti la
informatiile sau alte conditii care indica posibila
aparitie a unei denaturari semnificative datorate fraudei sau
erorii si de a da curs cu rigurozitate acestor indicii.
- In functie
de circumstantele auditului, pot exista alte discutii in vederea
facilitarii unui schimb permanent de informatii intre membrii
echipei angajamentului privind susceptibilitatea situatiilor
financiare ale entitatii la denaturari semnificative.
Scopul este ca membrii echipei angajamentului sa comunice si impartaseasca
informatiile obtinute pe parcursul auditului care pot afecta
evaluarea riscurilor de denaturare semnificativa datorata
fraudei sau erorilor sau procedurile de audit aplicate pentru abordarea
riscurilor.
Cunoasterea
entitatii si mediului sau, inclusiv a controlului intern al
acesteia
- Cunoasterea
de catre auditor a entitatii si mediului sau
consta in intelegerea urmatoarelor aspecte:
(a) Sectorul, factorii de reglementare si
alti factori externi, inclusiv cadrul de raportare financiara
aplicabil.
(b) Natura entitatii, inclusiv selectia
si aplicarea de catre entitate a politicilor contabile.
(c)
Obiectivele si strategiile precum si riscurile
de afaceri aferente care pot genera o denaturare semnificativa a
situatiilor financiare.
(d)
Evaluarea si revizuirea performantelor
financiare ale entitatii.
(e) Controlul intern.
Anexa 1 contine exemple de probleme pe care
auditorul le poate avea in vedere pentru cunoasterea entitatii
si mediului sau privind categoriile (a) la (d) de mai sus. Anexa 2
contine o explicatie detaliata a componentelor privind controlul
intern.
- Natura,
timpul si intinderea procedurilor privind evaluarea riscului depind
de circumstantele angajamentului cum ar fi marimea si
complexitatea entitatii precum si experienta
auditorului cu aceasta. In plus, identificarea schimbarilor
semnificative la oricare dintre aspectele de mai sus privind entitatea din
perioadele anetrioare este deosebit de importanta pentru
cunoasterea suficienta a entitatii in vederea
identificarii si evaluarii riscurilor de denaturare
semnificativa.
Sectorul, factorii de reglementare
si alti factori externi, inclusiv cadrul aplicabil de raportare
financiara.
- Auditorul trebuie sa
obtina o cunoastere a sectorului relevant, factorii de
reglementare si alti factori externi inclusiv cadrul aplicabil
de raportare financiara. Acesti factori includ
conditiile privind sectorul cum ar fi mediul competitiv,
relatiile dintre furnizor si client, si evolutiile
tehnologice; mediul de reglementare cuprinzand printre altele cadrul
aplicabil de raportare financiara, mediul legal si politic,
cerintele privind mediul inconjurator care afecteaza
sectorul si entitatea; alti factori externi precum
conditiile economice generale. Vezi ISA 250 "Considerente privind
legislatia in auditul situatiilor financiare" pentru alte
cerinte legate de cadrul legal si de reglementare aplicabil
entitatii si sectorului din care face parte.
- Sectorul in care
opereaza entitatea poate da nastere unor riscuri specifice de
denaturare semnificativa decurgand din natura afacerii sau gradul de
reglementare. De exemplu, contractele pe termen lung pot implica
estimari semnificative ale veniturilor si cheltuielilor care dau
nastere la riscuri de denaturare semnificativa. In astfel de cazuri, auditorul analizeaza
daca echipa angajamentului include membri cu suficiente cunostinte
si experienta relevante.
- Cerintele legislative stabilesc de multe
ori cadrul aplicabil de raportare financiara ce urmeaza a fi
utilizat de conducere la intocmirea situatiilor financiare ale
entitatii. In majoritatea cazurilor, cadrul aplicabil de raportare
financiara va fi cel al jurisdictiei in care este
inregistrata sau functioneaza entitatea si auditorul
isi desfasoara activitatea iar auditorul si
entitatea cunsoc amandoi acel cadru. In anumite cazuri, s-ar putea sa
nu existe un cadru local de raportare financiara, iar optiunea
entitatii este guvernata de practicile locale, practicile
din sectorul respectiv, nevoile utilizatorului sau alti factori. De
exemplu, entitatile concurente pot aplica Standardele Internationale
de Raportare Financiara (IFRS) iar entitatea poate hotari
ca IFRS sunt adecvate si pentru cerintele sale de raportare
financiara. Auditorul analizeaza daca legislatia
locala specifica anumite cerinte de raportare
financiara pentru sectorul din care face parte entitatea, intrucat
situatiile financiare pot fi semnificativ denaturate in contextul
cadrul aplicabil de raportare financiara daca managementul nu
intocmeste situatiile financiare conform acestor
reglementari.
Natura
entitatii
- Auditorul
trebuie sa obtina o cunoastere a naturii entitatii.
Natura entitatii se refera la activitatea ei,
actionariatul si guvernanta, tipurile de investitii pe
le face si direste sa le faca, felul in care este
structurata si modul in care este finantata.
Intelegerea naturii unei entitati permite auditorului
sa inteleaga clasele de tranzactii, soldurile
conturilor si prezentarile de informatii ce sunt
asteptate a se regasi in situatiile financiare.
- Entitatea poate avea o structura complexa cu filiale sau
alte componente in multiple locatii. Pe langa dificultatile
de consolidare in astfel de cazuri, alte aspecte cu structuri complexe
care pot da nastere la riscuri de denaturare semnificativa sunt
includ: alocarea pe segmente a fondului comercial si deprecierea sa;
daca investitiile sunt sub forma asocierilor in
participatiune, a filialelor sau a investitiilor contabilizate
dupa metoda punerii in echivalenta; si daca
entitatile cu scop special sunt contabilizate
corespunzator.
- Intelegerea actionariatului si
a relatiilor dintre actionari (asociati) si alte persoane
sau entitati este si ea importanta pentru a stabili
daca tranzactiile intre parti afiliate au fost
identificate si contabilizate corespunzator. ISA 550
"Parti afiliate" ofera indrumari in plus asupra
considerentelor auditorului relevante pentru partile afiliate.
- Auditorul trebuie sa inteleaga
selectia si aplicarea de catre entitate a politicilor
contabile si sa analizeze daca acestea sunt
corespunzatoare pentru activitatea sa si consecvente
fata de cadrul aplicabil de raportare financiara si
politicile contabile utilizate in sectorul relevant. Intelegerea
acestora presupune intelegerea metodelor pe care entitatea le
foloseste pentru inregistrarea tranzactiilor semnificative
si neobisnuite; intelegerea efectului politicilor contabile
semnificative in domeniile controversate sau emergente pentru care
exista o lipsa de linii directoare cu autoritate sau un consens; si intelegerea
modificarilor in cadrul politicilor contabile ale entitatii. De asemenea auditorul
identifica standardele si reglementarile de raportare
financiara care sunt noi pentru entitate si ia in considerare
momentul si modul in care entitatea va adopta astfel de cerinte.
Acolo unde entitatea a schimbat selectia sau metoda de aplicare a
unei politici contabile semnificative, auditorul analizeaza motivele
schimbarii si daca aceasta este adecvata si
conforma cu cerintele cadrului aplicabil de raportare
financiara.
- Prezentarea situatiilor financiare in
conformitate cu cadrul aplicabil de raportare financiara presupune
prezentarea adecvata a aspectelor semnificative. Aceste aspecte se
refera la forma, aranjamentul si continutul
situatiilor financiare si notelor anexate la acestea, incluzand
de pilda terminologia utilizata, gradul de detaliere, clasificarea
elementelor din situatii si baza de calcul a valorilor
prezentate. Auditorul ia in considerare daca entitatea a prezentat un
anumit aspect, in mod corespunzator, in lumina circumstantelor
si faptelor cunoscute de auditor la acel moment.
obiectivele si strategiile si riscurile de afaceri aferente
- Auditorul trebuie sa
obtina o cunoastere a obiectivelor si strategiilor
entitatii si riscurile de afaceri aferente care pot da
nastere la denaturari semnificative ale situatiilor
financiare. Entitatea isi desfasoara activitatea in
contextul sectorului, factorilor de reglementare si altor factori
endogeni si externi. Pentru a raspunde acestor factori,
conducerea entitatii sau cei insarcinati cu
guvernanta definesc obiectivele, care sunt planurile generale ale
entitatii. Strategiile sunt abordarile operationale
prin care conducerea intentioneaza sa indeplineasca
obiectivele. Riscurile de afaceri rezulta din conditii
semnificative, evenimente, circumstante, acte sau omisiuni care pot
afecta capacitatea entitatii de realizare a obiectivelor si
executarea a strategiilor sale, sau prin stabilirea de obiective si
strategii inadecvate. Asa cum mediul extern se modifica, la fel
desfasurarea activitatii unei entitati este
un proces dinamic iar strategiile si obiectivele acesteia se
modifica in timp.
- Riscul de afaceri
este mai cuprinzator decat riscul de denaturare semnificativa a
situatiilor financiare, incluzandu-l pe cel din urma. Riscul de
afaceri in particular poate lua nastere din schimbare sau
complexitate, desi nerecunoasterea nevoii de schimbare poate
duce si ea la risc. Schimbarea poate aparea, de exemplu, din
dezvoltarea de noi produse care ar putea fi un esec; dintr-o
piata neadecvata, chiar daca s-a dezvoltat cu succes;
sau din deficiente care pot da nastere unor obligatii
si unui risc privind reputatia. Intelegerea riscurilor de
afaceri mareste probabilitatea identificarii riscurilor de
denaturare semnificativa. Cu toate acestea, auditorul nu are
responsabilitatea de a identifica sau evalua toate riscurile de afaceri.
- Multe dintre
riscurile de afaceri vor avea in final consecinte financiare si
implicit un efect asupra situatiilor financiare. Totusi, nu
toate riscurile de afaceri dau nastere la riscuri de denaturare
semnificativa. Riscul de afaceri poate avea o consecinta
imediata pentru riscul de denaturare pentru clase de tranzactii,
solduri de conturi si prezentari de informatii la nivel de
asertiune sau la nivelul intregului ansamblu de situatii
financiare. De exemplu, riscul de afaceri aparand dintr-un portofoliu
de clienti in scadere datorita consolidarii sectorului
poate mari riscul de denaturare asociat cu evaluarea creantelor.
Totusi, acelasi risc, in special in combinatie cu o
economie in declin, poate avea de asemenea o consecinta pe
termen mai lung, pe care auditorul o ia in considerare la evaluarea
aplicarii principiului continuitatii activitatii.
De aceea, auditorul hotaraste daca riscul de afaceri
poate da nastere unei denaturari semnificative in lumina
circumstantelor entitatii. Exemple de conditii si
evenimente care pot indica riscuri de denaturare semnificativa sunt
date in Anexa 3.
- De regula,
conducerea identifica riscurile de afaceri si pune la punct
metode de abordare a lor. Un astfel de proces de evaluare a riscurilor
este parte a controlului intern si este discutat la paragrafele 76 la
79.
- Entitatile
mai mici de multe ori nu-si stabilesc obiective si strategii
si nu-si gestioneaza riscurile de afaceri aferente prin
intermediul unor planuri sau procese formale. In multe cazuri s-ar
putea sa nu existe nici o evidenta a acestor aspecte. La
astfel de entitati, de regula auditorul obtine
informatiile dorite prin chestionarea conducerii si observarea
modului in care entitatea raspunde la astfel de probleme.
evaluarea
si revizuirea performantelor financiare ale entitatii
- Auditorul trebuie sa
inteleaga evaluarea si revizuirea performantelor
financiare ale entitatii. Evaluarea
performantelor si revizuirea lor indica auditorului aspecte
ale rezultatelor entitatii pe care conducerea si alte
persoane le considera importante. Indicatorii de
performanta, fie externi fie interni, creaza presiuni
asupra entitatii care, la randul lor, pot motiva conducerea
sa ia masuri de imbunatatire a rezultatelor
activitatii sau sa denatureze situatiile financiare.
Cunoasterea indicatorilor de performanta ai
entitatii ajuta auditorul sa-si dea seama
daca astfel de presiuni pot da nastere unor masuri ale
conducerii care sa fi marit riscul de denaturare
semnificativa.
- Evaluarea si revizuirea
performantelor financiare ale entitatii de catre
conducere trebuie distinsa de monitorizarea sistemelor de control
(discutata ca si componenta a controlului intern la
paragrafele 96-99), desi scopurile lor se pot suprapune.
Monitorizarea sistemelor de control, totusi, se ocupa in mod expres
de operarea eficienta a controlului intern prin luarea in considerare
a informatiilor despre control. Evaluarea si revizuirea
performantelor este orientata catre a afla daca
performantele activitatii satisfac obiectivele stabilite de
management (sau terti), dar in anumite cazuri indicatorii de
performanta ofera si ei informatii care permit
conducerii sa identifice deficientele din controlul intern.
- Informatiile
generate intern si folosite de conducere in acest scop pot cuprinde
indicatori cheie de performanta (financiari si de alta
natura), bugete, analiza variantei, informatii pe segmente,
rapoarte de performanta divizionale, departamentale sau la alt
nivel si comparatii ale performantelor entitatii
cu cele ale concurentei. Parti externe pot de asemenea
evalua ti revizui performantele financiare ale
entitatii. De exemplu, informatiile externe cum ar fi
rapoartele analistilor si rapoartele agentiilor de rating
pot furniza informatii utile pentru cunoasterea de catre
auditor a entitatii si mediului ei. Deseori astfel de rapoarte se obtin de la
entitatea supusa auditului.
- Evaluarile interne pot evidentia
rezultate neasteptate sau tendinte care solicita
chestionarea altor persoane de catre conducere pentru a se stabili
cauza si a se lua masuri corective (inclusiv, in anumite cazuri,
detectarea si corectarea erorilor in timp util). De asemenea
evaluarea performantelor poate indica auditorului un risc de
denaturare a informatiilor aferente din situatiile financiare.
De exemplu, evaluarea performantelor poate indica faptul ca
entitatea inregistreaza o crestere sau profitabilitate
neobisnuit de rapida comparativ cu aceea a altor
entitati din aceeasi ramura. Astfel de
informatii, in special combinate cu alti factori cum ar fi
primele bazate pe rezultate sau remunerarea prin stimulente pot indica riscul
potential de subiectivism din partea conducerii la intocmirea
situatiilor financiare.
- Multe dintre informatiile utilizate la
evaluarea performantelor pot fi produse de sistemul de
informatii al entitatii. In cazul in care conducerea
presupune ca datele utilizate pentru revizuirea performantelor
entitatii sunt exacte fara a avea o baza pentru
prezumtia respectiva, pot exista erori in informatii
conducand in mod potentia conducerea catre concluzii incorecte
despre performante. Atunci cand auditorul intentioneaza
sa faca uz de indicatorii de performanta pentru audit
(de exemplu pentru procedurile analitice), auditorul are in vedere
daca informatiile legate de revizuirea performantelor
entitatii de catre conducere ofera o baza
credibila si sunt suficient de precise pentru un astfel de scop.
Daca face uz de indicatorii de performanta, auditorul
verifica daca ei sunt suficient de precisi pentru a detecta
denaturari semnificative.
- Entitatile mai mici de obicei nu
dispun de procese formale pentru evaluarea si revizuirea
performantelor financiare ale entitatii. Cu toate acestea
conducerea deseori se bazeaza pe anumiti indicatori cheie pe
care cunostintele si experienta privind activitatea
entitatii ii sugereaza a fi o baza credibila
pentru evaluarea performantelor financiare si luarea
masurilor corespunzatoare.
control
intern
- Auditorul
trebuie sa obtina o cunoastere a controlului intern
relevant pentru audit. Auditorul se foloseste de
cunostintele pe care le are despre controlul intern pentru a
identifica tipuri de denaturari semnificative, a lua in considerare
factorii care afecteaza riscurile de denaturare semnificativa
si a concepe natura, timpul si intinderea altor proceduri de
audit. Controlul intern relevant pentru audit este discutat la paragrafele 47-53
de mai jos. In plus, profunzimea
cunostintelor este discutata la paragrafele 54-56 de mai
jos.
- Controlul intern este procesul conceput
si efectuat de cei insarcinati cu guvernanta,
conducere si alti angajati in vederea furnizarii unei
asigurari rezonabile despre realizarea obiectivelor cu privire la
credibilitatea raportarii financiare, eficienta
activitatii si conformitatea cu legislatia
aplicabila. Rezulta ca acest control este conceput si
implementat pentru a aborda riscurile de afaceri identificate care
impieteaza asupra realizarii oricaruia dintre aceste
obiective.
- Controlul intern, asa cum este discutat
in cadrul acestui ISA, este alcatuit din urmatoarele componente:
(a) Mediul de control.
(b) Procesul de evaluare a riscului de catre
entitate.
(c) Sistemul de informatii, inclusiv procesele de
activitate aferente, relevant pentru raportarea financiara si
comunicare.
(d) Activitatile de control.
(e) Monitorizarea controalelor.
Anexa 2 cuprinde
o discutie detaliata asupra componentelor controlului intern.
- Divizarea
controlului intern in cele cinci componenteofera un cadru util pentru
ca auditorii sa ia in considerare modul in care diferitele aspecte
ale controlului intern al unei entitati pot afecta auditul.
Divizarea nu reflecta neaparat modul in care entitatea ia in
considerare si implementeaza controlul intern. De asemenea,
considerentul primordial al auditorului este daca si cum
controlul intern previne sau detecteaza si corecteaza
denaturarile semnificative din clasele de tranzactii, soldurile
de conturi sau prezentarile de informatii precum si
asretiunile aferente si nu clasificarea sa pe anumite
componente. In consecinta, auditorii pot utiliza o terminologie
sau un cadru, pentru a descrie diverse aspecte ale controlului intern
si efectul lor asupra auditului, diferite de cele utilizate in acest ISA,
cu conditia ca toate componentele descrise in acest ISA sa fie
abordate.
- Modul in
care controlul intern este conceput si implementat
variaza in functie de marimea si complexitatea
entitatii. In mod specific, entitatile mai mici pot
utiliza mijloace mai putin formale prec um si procese si
proceduri mai simple pentru indeplinirea obiectivelor. De exemplu,
entitatile mai mici cu o participare activa a conducerii in
procesul de raportare financiara s-ar putea sa nu aiba
descrieri detaliate ale procedurilor contabile sau politici scrise
detaliate. Pentru anumite entitati, in special cele foarte mici,
managerul-patron poate
indeplini functii care intr-o entitate mai mare sunt privite ca
apartinand catorva dintre componentele controlului intern. De aceea,
componentele controlului intern pot sa nu se distinga in mod
clar in cadrul entitatilor mai micidar scopul lor de baza
este la fel de valid.
- In cadrul acestui
ISA termenul "control intern" cuprinde toate cele cinci componente ale
controlului intern discutate mai sus. In plus, termenul
"controale" se refera la una sau mai multe componente sau la oricare
aspect legat de acestea.
Controale relevante pentru audit
- Exista un raport direct intre obiectivele unei
entitati si controalele pe care aceasta le
implementeaza pentrua furniza o asigurare rezonabila despre
indeplinirea lor. Obiectivele entitatii si implcit
sistemele de control sunt legate de raportarea financiar, activitatea
si conformitate; totusi, nu toate aceste obiective si
controale sunt relevante pentru evaluarea riscului de catre auditor.
- In mod obisnuit, controalele relevante
pentru un audit se refera la obiectivul entitatii de a
intocmi situatii financiare in scopuri externe care sa prezinte
o imagine fidela in conformitate cu cadrul aplicabil de raportare
financiara si la gestionarea riscului de denaturare
semnificativa a acelor situatii financiare. Este o problema
de rationament profesional a auditorului, sub rezerva cerintelor
acestui ISA, daca un control, individual sau in combinatie cu
altele, este relevant fata de considerentele auditorului in
evaluarea riscurilor de denaturare semnificativa si conceperea
si aplicarea procedurilor suplimentare ca raspuns la riscurile evaluate.
In exercitarea acelui rationament, auditorul judeca
circumstantele, componenta si factorii aplicabili cum ar fi:
Rationamentul auditorului despre pragul de
semnificatie.
Marimea
entitatii.
Natura activitatii entitatii inclusiv
organizarea sa si caracteristicile privind proprietatea.
Diversitatea
si complexitatea activitatii entitatii.
Cerintele
legale si de reglementare aplicabile.
Natura si
complexitatea sistemelor care fac parte din controlul intern al
entitatii inclusiv utilizarea firmelor de prestari servicii.
- Controalele asupra
exhaustivitatii si exactitatii informatiilor
produse de entitate pot fi si ele relevante pentru audit daca
auditorul intentioneaza sa faca uz de
informatiile respective la conceperea si aplicarea procedurilor
suplimentare. Experienta anterioara a auditorului in ceea ce
priveste entitatea si informatiile obtinute in cadrul
procesului de cunoastere a entitatii si mediului
sau si pe parcursul auditului ajuta auditorul la
identificarea controalelor relevante pentru audit. Mai departe, desi
controlul intern se aplica intregii entitati sau
oricareia dintre unitatile sale de operare ori procese de
activitate, cunoasterea controlului intern referitor la fiecare
dintre unitatile de operare sau procese de activitate ale
entitatii s-ar putea sa nu fie relevanta pentru audit.
- Cu toate acestea, controalele privind
activitatea si obiectivele de conformitate pot fi relevante pentru
audit daca ele se refera la date pe care auditorul le
evalueaza sau utilizeaza la aplicarea procedurilor de audit. De
exemplu, controalele privind datele nefinanciare pe care auditorul le
utilizeaza in procedurile analitice, cum ar fi datele statistice
privind productia sau controalele privind detectarea cazurilor de
nerespectare a legislatiei care ar putea avea un efect direct si
semnificativ asupra situatiilor financiare, cum ar fi controalele
asupra conformitatii cu legislatia privind impozitul pe
profit utilizata pentru a determina provizionul aferent impozitul pe
profit, ar putea fi relevante pentru audit.
- O entitate in general are controale
referitoare la obiective care nu sunt relevante pentru un audit si de
aceea nu trebuie luate in considerare. De exemplu, entitatea poate sa
se bazeze pe un sistem sofisticat de controale automate care sa
asigure operatiuni eficiente (cum ar fi sistemul de controale
automate din aviatia civila de mentinere a orarelor de
zbor), dar aceste controale nu sunt de regula relevante pentru audit.
- Controlul intern asupra protejarii
activelor impotriva achizitiilor, utilizarii sau vanzarilor
neautorizate pot include controale referitoare la raportarea
financiara si obiective ale activitatii. Pentru a
intelege fiecare componenta a controlului intern, in ceea ce
priveste controalele de protejare, auditorul se limiteaza la acele
controale relevante pentru credibilitatea raportarii financiare. De
exemplu, utilizarea controalelor de acces, cum sunt parolele, care
limiteaza accesul la date si programe care proceseaza
debursarile de numerar ar putea fi relevanta pentru auditul
situatiilor financiare. Dimpotriva, controalele de prevenire a
utilizarii excesive a materialelor in productie nu sunt in
general relevante pentru auditul situatiilor financiare.
- Controale relevante pentru audit pot exista in
orice componenta a controlului intern iar o alta discutie
asupra controalelor relevante pentru audit este prezentata la titlul
fiecarei componente de control intern de mai jos. In plus,
paragrafele 113 si 115 prezinta anumite riscuri pentru care
auditorul trebuie sa evalueze conceptia sistemelor de control
ale entitatii asupra acestor riscuri si sa determine
daca ele au fost implementate.
Profunzimea cunoasterii
controlului intern
- Cunoasterea controlului intern presupune evaluarea
conceptiei unui control si a stabili daca acesta a fost
implementat. Evaluarea conceptiei unui control presupune a avea in
vedere daca respectivul control, individual sau in combinatie cu
alte controale este apt sa previna, sau detecteze si
corecteze, in mod eficient denaturarile semnificative. Alte explicatii sunt cuprinse in
discutia asupra fiecarei componente de control intern de mai
jos. Implementarea unui control inseamna ca acel control
exista si ca entitatea face uz de el. Auditorul ia in
considerare conceptia unui control pentru a stabili daca ia in
considerare implementarea sa. Un control impropriu conceput poate
reprezenta o deficienta semnificativa a controlului
intern al entitatii iar auditorul va analiza posibilitatea de a
comunica acest lucru celor insarcinati cu guvernanta
si managementul asa cum o cere paragraful 120.
- Procedurile de evaluare
a riscului pentru obtinerea probelor de audit despre conceptia
si implementarea controalelor relevante pot include chestionarea
personalului entitatii, observarea aplicarii controalelor
specifice, inspectarea documentelor si rapoartelor si
urmarirea tranzactiilor prin sistemul de informatii
relevant pentru raportarea financiara. Chestionarea singura nu
este suficienta pentru a evalua conceptia unui sistem de control
relevant pentru audit si a stabili daca acesta a fost
implementat.
- Cunoasterea
controalelor unei entitati nu este suficienta pentru a
servi ca testare a eficientei operative a controalelor, decat
daca exista un anumit automatism care sa asigure aplicarea
consecventa a operarii controlului (elementele manuale si
automate ale controlului intern relevante pentru audit sunt descrise mai
jos). De exemplu, obtinerea probelor de audit despre implementarea
unui control operat manual la un moment dat nu furnizeaza probe de
audit despre eficienta operativa a controlului la alte momente
pe parcursul perioadei auditate. Totusi, IT-ul permite unei
entitati sa procese un volum mare de date cu
consecventa si sporeste capacitatea
entitatii de a monitoriza desfasurarea
activitatilor de control si de a realiza segregarea
eficienta a datoriilor prin implementarea controalelor de securitate
in aplicatii, baze de date si sisteme de operare. De aceea,
datorita consecventei inerente a procesarii IT, aplicarea
procedurilor de audit pentru a stabili daca un control automat a fost
sau nu implementat poate servi ca test al eficientei operative a
controlului respectiv, in functie de evaluarea auditorului si
testarea controalelor cum ar fi cele asupra modificarilor de program.
Testele de eficienta
operativa a controalelor sunt descrise mai departe la ISA 330.
Caracteristicile elementelor manuale
si automate ale controlului intern relevante pentru evaluarea de
catre auditor a riscului
- Majoritatea entitatilor fac uz
de sistemele IT pentru raportarea financiara si in scopuri
operationale. Totusi, chiar si atunci cand IT-ul este
extensiv utilizat exista si elemente manuale in cadrul
sistemelor. Raportul intre elementele manuale si cele automate
variaza. In anumite cazuri, in special, cel al entitatilor
mai mici, mai putin complexe, sistemele pot fi cu
preponderenta manuale. In alte cazuri, gradul de automatizare
poate varia de la anumite sisteme substantial automatizate cu
putine elemente manuale la altele, chiar in cadrul aceleiasi
entitati, predominant manuale. In consecinta, sistemul
de control intern al unei entitati este probabil sa
contina elemente manuale si automate, ale caror
caracteristici sunt relevante pentru evaluarea riscului de catre
auditor si alte proceduri de audit bazate pe aceasta.
- Utilizarea
elementelor manuale sau automate in controlul intern afecteaza
si maniera in care tranzactiile sunt initiate,
inregistrate, procesate si raportate. Controalele
dintr-un sistem manual pot include proceduri precum aprobarile
si revizuirile activitatilor precum si reconcilierile
si urmarirea elementelor reconciliante. In mod alternativ, o
entitate poate folosi proceduri automate pentru a initia, inregistra,
procesa si raporta tranzactii, caz in care evodentele in
format electronic inlocuiesc documentele cum sunt ordinele de
cumparare, facturile, documentele de expeditie si
evidentele contabile aferente. Controalele din sistemele IT constau
dintr-o combinatie de controale automatizate (de exemplu, controalele
incorporate in programele de calculator) si controale manuale. Mai
departe, controalele manuale pot fi independente de IT, pot utiliza
informatii produse de IT sau se pot limita la monitorizarea
functionarii eficiente a IT si a controalelor automatizate
si la tratarea exceptiilor. Atunci cand IT-ul este folosit
pentru a initia, inregistra, rpocesa sau raporta tranzactii sau
alte date financiare pentru includerea in situatiile financiare,
sistemele si programele pot include controale referitoare la
asertiunile corespondente pentru conturile semnificative sau pot fi
critice pentru eficienta functionare a controalelor manuale care
depind de IT. Mixtura dintre controalele manuale si cele automatizate
intr-o entitate variaza in functie de natura si
complexitatea utilizarii IT-ului de catre entitate.
- In general, IT-ul ofera beneficii
potentiale de eficienta pentru controlul intern al unei
entitati deoarece permite acesteia sa:
Aplice cu
consecventa reguli de afaceri predefinite si sa efectueze
calcule complexe la procesarea unui volum mare de tranzactii sau date;
Amelioereze
oportunitatea, disponibilitatea si exactitatea informatiilor;
Faciliteze
analiza suplimentara a informatiilor;
Amelioreze
capacitatea de monitorizare a performantelor activitatii
entitatii si a politicilor si procedurilor sale;
Reduca
riscul ca sistemele de control sa fie eludate; si
Amelioreze
capacitatea de realizare a unei segregari eficiente a datoriilor prin
implementarea controalelor de securitate in aplicatii, baze de date
si sisteme de operare.
- IT-ul
de asemenea genereaza riscuri specifice pentru controlul intern al
unei entitati, incluzand urmatoarele:
Increderea in
sisteme sau programe care proceseaza date in mod inexact, proceseaza
date inexacte sau ambele.
Accesul
neautorizat la date care poate genera distrugerea de date sau schimbari
neavenite de date, inclusiv inregistrarea de tranzactii neautorizate sau
inexistente ori inregistrarea inexacta a tranzactiilor. Riscuri specifice pot
aparea acolo unde mai multi utilizatori acceseaza o baza de
date comuna.
Posibilitatea ca personalul IT sa dobandeasca
un acces privilegiat dincolo de ceea ce este necesar pentru indeplinirea
sarcinilor atribuite incalcand prin aceasta segregarea datoriilor.
Schimbarile
neautorizate de date in fisierele master.
Schimbarile
neautorizate aduse sistemelor sau programelor.
Interventia
manuala inoportuna.
Pierderea
potentiala de date sau incapacitatea de accesare necesara a
datelor.
- Aspectele manuale ale sistemelor pot fi mai
adecvate acolo unde judecata si discretia sunt necesare cum este
cazul pentru urmatoarele situatii:
Tranzactii mari, neobisnuite sau nerecurente.
Situatii
in care erorile sunt dificil de definit, anticipat sau prezis.
In
situatiile in schimbare care solicita o reactie a controlului in
afara ariei de aplicabilitate a unui control automatizat existent.
In
monitorizarea eficientei controalelor automatizate.
- Controalele manuale sunt efectuate de oameni
si de aceea genereaza riscuri specifice pentru controlul intern
al entitatii. Controalele manuale pot fi mai putin
credibile decat cele automatizate deoarece ele pot mai usor trecute
cu vederea, ignorate sau ocolite si de asemenea sunt si mai
predispuse la erori si greseli simple. De aceea,
consecventa aplicarii unui element de control manual nu poate fi
presupusa. Sistemele manuale pot fi mai putin potrivite pentru urmatoarele
situatii:
Volum mare de
tranzactii recurente sau in situatiile in care erorile care pot fi
anticipate sau prezise pot fi prevenite sau detectate de parametrii de control
care sunt automatizati.
Activitatile
de control in care modalitatile specifice de efectuare a controlului
pot fi concepute si automatizate in mod corespunzator.
- Intinderea si natura riscurilor de
control intern variaza in functie de natura si
caracteristicile sistemului de informatii al entitatii. De
aceea pentru intelegerea controlului intern, auditorul are in vedere
daca entitatea a reactionat adecvat la riscurile provenind din
utilizarea IT-ului sau sistemelor automatizate prin stabilirea unor
controale eficiente.
Limitele controlului intern
- Controlul intern indiferent de modul in care
este conceput si opereaza poate oferi entitatii doar o
asigurare rezonabila despre indeplinirea obiectivelor de raportare
financiara ale entitatii. Probabilitatea de realizare este
afectata de limitele inerente controlului intern. Aceastea includ realitatea
faptului ca judecata umana in luarea deciziilor poate fi
defectuoasa si ca in controlul intern pot aparea
lacune datorita erorii umane, cum sunt greselile sau erorile
simple. De exemplu, daca personalul din sistemul de informatii
al unei entitati nu intelege pe deplin modul in care
sistemul de inregistrare a comenzilor proceseaza vanzarile, el
poate concepe in mod eronat schimbarile ce sunt necesare sistemului
pentru a procesa vanzarile pentru o noua linie de produse. Pe de
alta parte, astfel de schimbari pot fi corect concepute dar
intelese gresit de cei care convertesc conceptia intr-un
cod-program. Erorile pot de asemenea sa apara la utilizarea
informatiilor produse de IT. De exemplu, controalele automatizate pot
fi concepute sa raporteze tranzactiile peste o anumita
valoare specificata in vederea analizarii lor de catre
conducere, dar cei responsabili cu desfasurarea analizei s-ar
putea sa nu inteleaga scopul unor astfel de rapoarte
si in consecinta sa nu le analizeze sau sa nu
investigheze elementele neobisnuite.
- In plus, controalele pot fi eludate prin
asocierea a doua sau mai multor persoane in acest scop sau prin
ignorarea controlului intern de catre conducere in mod inadecvat. De
exemplu, conducerea poate incheia contracte colaterale cu clientii
care modifica termenii si conditiile contractelor standard
de vanzare ale entitatii, ceea ce poate da nastere la o
recunoastere improprie a veniturilor. De asemenea, verificarile
de editare dintr-un program soft care sunt concepute sa identifice si
raporteze tranzactiile care depasesc anumite limite de
credit specificate ar putea fi ignorate sau deselectate.
- Entitatile mai mici deseori au mai
putini angajati ceea ce poate limita masura in care este
posibila segregarea sarcinilor. Totusi, pentru domeniile cheie
chiar si intr-o entitate foarte mica s-ar putea sa fie
posibila implementarea unui anumit grad de segregare a sarcinilor sau
alta forma de control simpla dar eficienta.
Posibilitatea de eludare a controalelor de catre patronul-manager
depinde in mare masura de mediul de control si in special
de atitudinea patronului-manager fata de importanta
controlului intern.
Mediul de control
- Auditorul trebuie sa obtina o
cunoastere a mediului de control. Mediul de control include guvernanta si
functiile manageriale precum si atitudinea, constientizarea
si masurile celor insarcinati cu guvernanta
si conducerea privind controlul intern al entitatii si
importanta sa in entitate. Mediul de control stabileste tonul
unei organizatii, influentand constiinta oamenilor
sai privind controlul. Este temelia unui control intern eficient,
asigurand disciplina si structura.
- Responsabilitatea primara pentru
prevenirea si detectarea fraudelor si erorilor apartine
celor insarcinati cu guvernanta si conducerii,
deopotriva. La evaluarea conceptiei mediului de control si
pentru a stabili daca acesta a fost implementat, auditorul
intelege cum conducerea, sub supravegherea celor
insarcinati cu guvernanta, a creat si mentinut o
cultura de onestitate si comportament etic si a pus la
punct controale adecvate pentru a preveni si detecta fraudele si
erorile intr-o entitate.
- La evaluarea conceptiei mediului de
control al entitatii, auditorul ia in considerare
urmatoarele elemente si modul in care ele au fost incorporate in
procesele entitatii:
(a)
Comunicarea
si impunerea integritatii si valorilor etice - elemente esentiale care
influenteaza eficienta conceptiei, administrarii
si monitorizarii controalelor.
(b)
Angajamentul fata de competenta -
luarea in considerare de catre conducere a nivelurilor de
competenta pentru anumite sarcini si modul in care acele
niveluri se materializeaza in aptitudini si cunostinte
necesare.
(c)
Participarea de catre cei insarcinati cu
guvernanta - independenta fata de conducere,
experienta si statutul lor, gradul lor de implicare si
analizarea activitatii, informatiile pe care le primesc, gradul
in care problemele dificile sunt ridicate si urmarite de conducere
si interactiunea lor cu auditorii interni si externi.
(d)
Filozofia si stilul de operare al conducerii -
abordarea conducerii fata de asumarea si gestionarea riscurilor
de afaceri si atitudinea si masurile conducerii in directia
raportarii financiare, a procesarii informatiilor si a
personalului si functiilor contabile.
(e)
Structura organizationala - cadrul in care
activitatea unei entitati pentru realizarea obiectivelor sale este
planificata, executata, controlata si revizuita.
(f)
Desemnarea autoritatii si
responsabilitatii - modul in care sunt desemnate autoritatea si
responsabilitatea pentru activitatile operationale si modul
in care sunt stabilite relatiile de raportare si ierarhiile de
autorizare.
(g)
Politicile si practicile privind resursele umane -
recrutarea, orientarea, instruirea, evaluarea, consilierea, promovarea ,
compensarea si masurile de remediere.
- Pentru a
intelege elementele mediului de control, auditorul are in vedere
si daca ele au fost implementate. In mod obisnuit,
auditorul obtine probe de audit relevante printr-o combinatie de
investigatii si alte proceduri de evaluare a riscului, de
exemplu, prin coroborarea investigatiilor co observatia sau
inspectia documentelor. De exemplu, prin chestionarea conducerii
si angajatilor, auditorul poate intelege modul in care
conducerea comunica angajatilor optica sa asupra practicilor de
afaceri si comportamentului etic. Auditorul stabileste daca
au fost implementate controalele, vazand daca managementul a pus la
punct un cod formal de conduita si daca acesta
actioneaza intr-o maniera care sprijina codul sau
incurajeaza incalcarea sa ori autorizeaza exceptiile
de la cod.
- Probele de audit
pentru elementele mediului de control s-ar putea sa nu fie
disponibile sub forma unor documente, in special la entitatile
mai mici unde comunicarea dintre conducere si ceilalti
angajati ar putea fi informala dar eficienta. De exemplu,
anagajamentul conducerii fata de valorile etice si
competenta este deseori transpus prin comportamentul de care
da dovada in conducerea activitatii
entitatii in loc de un cod de conduita in forma
scrisa. In consecinta, atitudinea, constientizarea
si masurile conducerii sunt de o importanta particulara
pentru conceperea mediului de control al unei entitati mai mici.
In plus, rolul celor insarcinati cu guvernanta este deseori
asumat de patronul-manager atunci cand nu exista alti patroni.
- Responsabilitatile
generale ale celor insarcinati cu guvernanta sunt
recunoscute in codurile de practica si alte regulamente sau
ghiduri elaborate pentru cei insarcinati cu guvernanta.
Este unul, dar nu singurul, rol al celor insarcinati cu
guvernanta de a contrabalansa presiunea asupra conducerii in ceea ce
priveste raportarea financiara. De exemplu, baza de remunerare a
conducerii poate fi un factor de stres pentru conducere provenind din
cererile conflictuale de raportare fidela si beneficiile
percepute ale rezultatelor imbunatatite. Pentru
intelegerea conceptiei mediului de control, auditorul ia in
considerare aspecte precum independenta administratorilor si
capacitatea lor de a evalua masurile conducerii. Auditorul ia in
considerare si daca exista un comitet de audit care sa
inteleaga tranzactiile entitatii si sa
evalueze daca situatiile financiare ofera o imagine
fidela in conformitate cu cadrul aplicabil de raportare
financiara.
- Natura mediului
de control al unei entitati este in asa fel incat are un
efect cuprinzator asupra evaluarii riscurilor de denaturare
semnificativa. De exemplu, controalele patronului-manager pot atenua
lipsa segregarii sarcinilor intr-o entitate mica sau un consiliu
de administratie activ si independent poate influenta
folozofia si stilul de operare al unei conduceri superioare in entitatile
mai mari. Evaluarea de catre auditor a conceptiei mediului de
control al entitatii presupune a lua in considerare daca
punctele forte din elementele mediului de control ofera impreuna
un temei adecvat pentru celelalte componente ale controlului intern
si nu sunt subminate de carentele mediului de control. De
exemplu, politicile si practicile privind resursele umane
directionate catre angajarea de personal financiar, contabil
si IT competent s-ar putea sa nu atenueze tendinta
conducerii superioare de a supraevalua rezultatele. Schimbarile din
mediul de control pot afecta relevanta informatiilor
obtinute in cursul angajamentelor de audit anterioare. De exemplu,
decizia conducerii de a angaja resurse suplimentare in pregatirea
profesionala si constientizarea activitatilor de
raportare financiara poate reduce riscul erorilor in procesarea
informatiilor financiare. In schimb, refuzul conducerii de a angaja
suficiente resurse pentru a abora riscurile de securitate perezentate de
IT poate afecta controlul intern permitand efectuarea de
modificari neavenite la programele de calculator sau la date sau
permitand procesarea unor tranzactii neautorizate.
- Existenta
unui mediu de control satisfacator poate fi un factor pozitiv
atunci cand auditorul evalueaza riscurile de denaturare
semnificativa si dupa cum reiese din paragraful 5 al ISA
330 influenteaza natura, timpul si intinderea procedurilor
suplimentare ale auditorului. In special, poate ajuta la reducerea
riscului de frauda desi un mediu de control
satisfacator nu este un obstacol absolut in calea fraudei. In
schimb, carentele din mediul de control pot submina eficienta
controalelor si de aceea sa fie factori negativi in evaluarea de
catre auditor a riscurilor de denaturare semnificativa, in
special in ce priveste frauda.
- Mediul de control
in sine nu previne sau detecteaza si corecteaza o
denaturare semnificativa a claselor de tranzactii, soldurilor de
conturi si prezentarilor de informatii si
asertiunilor aferente. De aceea, auditorul de obicei ia in considerare
efectul altor componente impreuna cu mediul de control atunci cand
evalueaza riscurile de denaturare semnificativa; de pilda
monitorizarea controalelor si operarea unor activitati de
control specifice.
Procesul de evaluare a riscului de
catre entitate
- Auditorul
trebuie sa obtina o cunoastere a procesului, din cadrul entitatii, de
identificare a riscurilor de afaceri relevante pentru obiectivele de
raportare financiara si de luare a hotararilor asupra
masurilor de contracarare a acelor riscuri si rezultatele
acestuia. Procesul este descris ca "proces de evaluare a riscului de
catre entitate" si formeaza baza de stabilire de catre
conducere a riscurilor ce trebuie gestionate.
- La
evaluarea conceptiei si implementarii procesului de
evaluare a riscului de catre entitate, auditorul stabileste
modul in care conducerea identifica riscurile de afaceri relevante
pentru raportarea financiara, estimeaza semnificatia
riscurilor, evalueaza probabilitatea aparitiei lor si
hotaraste asupra masurilor de gestionare a lor.
Daca procesul de evaluare a riscurilor de catre entitate este
corespunzator date fiind circumstantele, aceasta ajuta
auditorul sa identifice riscurile de denaturare semnificativa.
- Auditorul se
intereseaza de riscurile de afaceri pe care le-a identificat
conducerea si vede daca ele pot da nastere unei
denaturari semnificative. In cursul auditului, auditorul poate
identifica riscuri de denaturare semnificativa pe care conducerea nu
le-a identificat. In astfel de cazuri, auditorul are in vedere daca a
existat un risc de baza de un asa fel incat ar fi trebuit
identificat in cadrul procesului de evaluare a riscului de catre
entitate si daca da, de ce nu s-a intamplat acest lucru si
daca procesul este corespunzator in circumstantele date.
Daca, drept consecinta, auditorul considera ca
exista o deficienta semnificativa in cadrul procesului
de evaluare a riscului de catre entitate, el va comunica acest aspect
celor insarcinati cu guvernanta asa cum o cere
paragraful 120.
- Intr-o entitate
mai mica, conducerea s-ar putea sa nu dispuna de un proces
formal de evaluare a riscului ca la paragraful 76. Pentru astfel de
entitati, auditorul discuta cu conducerea despre modul in
care aceasta identifica si trateaza riscurile afacerii.
Sistemul de informatii, inclusiv procesele
de activitate aferente, relevant pentru raportarea financiara si
comunicarea
- Sistemul de informatii relevant
pentru obiectivele de raportare financiara, care include sistemul
contabil, este alcatuit din proceduri si evidente menite
sa initieze, inregistreze, proceseze si raporteze
tranzactiile entitatii (precum si evenimentele si
conditiile) si sa asigure raspunderea pentru activele,
datoriile si capitalul propriu aferente.
- Auditorul trebuie
sa obtina o cunoastere a sistemului de
informatii, inclusiv procesele de activitate aferente, relevant
pentru raportarea financiara, cuprinzand urmatoarele domenii:
Clasele de
tranzactii din activitatea entitatii care sunt semnificative
pentru situatiile financiare.
Procedurile, atat din
sistemul manual cat si din cel informatic, dupa care acele
tranzactii sunt initiate, inregistrate, procesate si raportate
in situatiile financiare.
Evidentele
contabile conexe, fie electronice fie manuale, care sustin
informatiile si conturile specifice din situatiile financiare in
privinta initierii, inregistrarii, procesarii si
raportarii tranzactiilor.
Modul in care sistemul
de informatii surprinde evenimentele si conditiile, in afara
claselor de tranzactii, care sunt importante pentru situatiile
financiare.
Procesul de raportare financiara folosit la
intocmirea situatiilor financiare, inclusiv estimarile contabile
semnificative si prezentarile de informatii
- Pentru aceasta,
auditorul ia in considerare procedurile utilizate pentru transferarea
informatiilor din sistemele de procesare a tranzactiilor in
registrul-jurnal sau sistemele de raportare financiara. Totodata
auditorul trebuie sa inteleaga procedurile
entitatii de strangere a informatiilor relevante pentru
raportarea financiara a altor evenimente si conditii in
afara tranzactiilor, cum ar fi amortizarea activelor si
schimbarile privind recuperabilitatea creantelor.
- De regula sistemul de
informatii al unei entitati include utilizarea unor
inregistrari standard care sunt necesare in mod regulat pentru a
inregistra tranzactii precum vanzarile, achizitiile si
platile din registrul-jurnal sau pentru a inregistra
estimarile contabile facute periodic de conducere, cum ar fi
schimbarile in ceea ce priveste estimarea creantelor
neincasabile.
- Procesul de
raportare financiara al unei entitati de asemenea include
utilizarea unor inregistrari non-standard pentru a surprinde
tranzactii sau ajustari nerecurente si neobisnuite.
Exemple de astfel de inregistrari includ ajustarile si inregistrarile
de consolidare pentru o combinare sau vanzare de intreprinderi ori
estimari nerecurente precum deprecierea activelor. In cadrul
sistemelor de registru-jurnal manuale pe suport de hartie,
inregistrarile non-standard pot fi identificate prin inspectia
registrelor, jurnalelor si documentelor justificative. Totusi,
atunci cand sunt utilizate proceduri automatizate. Totusi, atunci
cand sunt utilizate proceduri automatizate pentru a tine registrul-jurnal
si a intocmi situatiile financiare, astfel de inregistrari
pot exista doar in forma electronica si pot fi mai
usor identificate prin utilizarea tehnicilor de audit asistate de
calculator.
85. Intocmirea
situatiilor financiare ale entitatii include proceduri care sunt
menite sa asigure informatiile cerute a fi prezentate de cadrul
aplicabil de raportare financiara sunt acumulate, inregistrate, procesate,
sintetizate si raportate corespunzator in situatiile financiare.
86.
Pentru a intelege toate acestea, auditorul ia in
considerare riscurile de denaturare semnificativa asociate cu eludarea
necorpeunzatoare a controalelor asupra inregistrarilor contabile
si controalele care vizeaza inregistrarile contabile altele
decat cele standard. De exemplu, procesele si controalele automatizate pot
reduce riscul unor erori inadvertente dar nu previn riscul ca anumite persoane
sa treaca in mod neavenit peste astfel de procese automatizate prin,
de exemplu, modificarea sumelor care se transmit automat registrului-jurnal sau
sistemului de raportare financiara. Mai departe, auditorul este
constient ca atunci cand tehnologia informatica este
folosita pentru a transfera automat informatii, s-ar putea sa
existe putine probe evidente sau deloc asupra unor astfel de
interventii in sistemele de informatii.
87.
Totodata auditorul intelege modul in care
procesarea incorecta a tranzactiilor este rezolvata, de exemplu,
daca exista un fisier in suspensie automatizat si cum este
acesta utilizat de catre entitate pentru a se asigura rezolvarea la timp a
problemelor in asteptare si modul in care sunt procesate
sicontabilizate cazurile de eludare sau incalcare a sistemului.
88.
Auditorul trebuie sa inteleaga sistemul de
informatii al entitatii relevant pentru raportarea
financiara intr-o maniera corespunzatoare fata de
circumstantele entitatii. Aceasta presupune intelegerea
modului in care tranzactiile sunt initiate in cadrul proceselor de
activitate ale entitatii. Procesele de activitate ale
entitatii sunt activitati menite sa dezvolte,
achizitioneze, produca, vanda si distribuie produsele
si serviciile entitatii; sa asigurea respectarea
legislatiei; si sa inregistreze informatiile, inclusiv cele
contabile si privind rapoartarea financiara.
89.
Auditorul trebuie sa inteleaga modul in
care entitatea comunica rolurile si responsabilitatile
privind raportarea financiara si problemele semnificative referitoare
la raportarea financiara. Comunicarea implica asigurarea intelegerii
rolurilor si responsabilitatilor individuale referitoare la
controlul intern asupra raportarii financiare si poate lua forma de
pilda a unor manuale de politici si manuale de raportare
financiara. Aceasta include masura in care personalul intelege
modul in care activitatile lor din cadrul sistemului de
informatii privind raportarea financiara se coreleaza cu munca
altora si mijloacele de raportare a exceptiilor unui nivel ierarhic
superiror in cadrul entitatii. Canalele deschise de comunicare
ajuta la a asigura raportarea si luarea de masuri asupra
exceptiilor. Intelegerea de catre auditor a comunicarii
referitoare la problemele de raportare financiara include si
comunicarile intre conducere si cei insarcinati cu
guvernanta, in special comitetul de audit, precum si
comunicarile externe cum sunt cele cu autoritatile de
reglementare.
Activitati de control
90.
Auditorul
trebuie sa obtina o cunoastere suficienta a
activitatilor de control pentru a evalua riscurile de denaturare
semnificativa la nivelul asertiunilor si pentru a concepe alte
proceduri de audit care sa vina in intampinarea riscurilor evaluate.
Activitatile de control sunt politicile si procedurile care
ajuta la a asigura indeplinirea directivelor conducerii; de exemplu,
ca se iau masurile necesare pentru a contracara riscurile care
impieteaza asupra realizarii obiectivelor entitatii.
Activitatile de control, fie in cadrul sistemelor informatizate fie
in cadrul celor manuale, au diverse obiective si se aplica la diverse
niveluri organizationale si functionale. Exemple de
activitati specfice de control includ pe acelea referitoare la:
Autorizare.
Revizuirea performantelor.
Procesarea informatiilor.
Controalele fizice.
Segregarea datoriilor.
91.
Pentru a cunoaste activitatile de control,
auditorul este in primul rand preocupat sa vada daca, si
cum, o activitate specifica de control, individual sau in combinatie
cu altele, previne, sau detecteaza si corecteaza
denaturarile semnificative in clasele de tranzactii, soldurile de
conturi sau prezentarile de informatii. Activitatile de
control relevante pentru audit sunt cele pe care auditorul considera
ca este necesar sa le inteleaga pentru a evalua riscurile
de denaturare semnificativa la nivel de asertiune si pentru care
considera ca este necesar sa conceapa si aplice alte
proceduri de audit ca raspuns la riscurile evaluate. Un audit nu face necesara
intelegerea tuturor activitatilor de control referitoare la
fiecare clasa semnificativa de tranzactii, sold de cont si
prezentare de informatii din situatiile financiare sau la fiecare
asertiune relevanta. Auditorul pune accent pe identificarea si
cunoasterea activitatilor de control care abordeaza
domeniile in care auditorul considera ca este mai probabil sa
apara denaturari semnificative. Atunci cand mai multe
activitati de control realizeaza acelasi obiectiv, nu este
necesara cunoasterea fiecarei activitati de control
referitoare la acel obiectiv.
92.
Auditorul ia in considerare cunostintele despre
prezenta sau absenta activitatilor de control obtinute
din intelegerea celorlalte componente de control intern pentru a stabili
daca este necesar sau nu sa acorde o atentie suplimentara
cunoasterii activitatilor de control. Atunci cand are in vedere
daca activitatile de control sunt relevante pentru audit,
auditorul ia in considerare riscurile identificate care pot da nastere
unei denaturari semnificative. Totodata, activitatile de
control sunt relevante pentru audit daca auditorul trebuie sa le
evalueze asa cum prevad paragrafele 113 si 115.
93.
Auditorul trebuie sa obtina o
cunoastere a modului in care entitatea a reactionat la riscurile
provenind din IT. Utilizarea IT afecteaza modul in care sunt implementate
activitatile de control. Auditorul are in vedere daca entitatea
a reactionat adecvat la riscurile provenind din IT prin stabilirea unor
controale IT generale eficiente si a controalelor de aplicare. Din
perspectiva auditorului, controalele asupra sistemelor IT sunt eficiente atunci
cand ele mentin integritatea informatiilor si securitatea
datelor pe care le proceseaza astfel de sisteme.
94.
Controalele IT generale sunt politici si proceduri
care se refera la multe aplicatii si sprijina
functionarea eficienta a controalelor de aplicare contribuind la
asigurarea operarii corespunzatoare in continuare a sistemelor de
informatii. Controalele IT generale care mentin integritatea
informatiilor si securitatea datelor de regula includ
controalele asupra:
Centrului de date si operatiunilor in
retea.
Achizitiei, modificarii si
intretinerii softului de sistem.
Securitatii accesului.
Achizitiei, dezvoltarii si
intretinerii sistemului de aplicatii.
Ele sunt in general implementate pentru a
trata riscurile la care s-a facut referire la paragraful 60 de mai sus.
95.
Controalele de aplicare sunt proceduri manuale sau
automatizate care opereaza de obicei la nivelul proceselor de activitate.
Controalele de aplicare pot fi preventive sau detective ca natura si
sunt concepute sa asigure integritatea evidentelor contabile. In
consecinta, controalele de aplicare se refera la proceduri
utilizate pentru a initia, inregistra, procesa si raporta
tranzactiile sau alte date financiare. Aceste controale ajuta la a
asigura ca tranzactiile care au avut loc sunt autorizate si sunt
pe deplin si exact inregistrate si procesate. Exemplele includ
verificarile de editare ale datelor introduse si verificarile
secventiale numerice cu urmarirea manuala a rapoartelor asupra
exceptiilor sau corectarea la momentul introducerii datelor.
Monitorizarea
controalelor
96.
Auditorul trebuie sa obtina o
cunoastere a tipurilor principale de activitati pe care
entitatea le desfasoara pentru a monitoriza controlul intern
asupra raportarii financiare, inclusiv cele referitoare la acele
activitati de control relevante pentru audit si modul in care
entitatea initiaza masurile corective fata de
controalele sale
97.
Monitorizarea controalelor este un proces de evaluare a
eficientei controlului intern in timp. Aceasta implica evaluarea
conceptiei si operarii controalelor la timp si luarea
masurilor corective necesare modificate in raport cu schimbarea
conditiilor. Conducerea realizeaza monitorizarea controalelor prin
activitati continue, evaluari separate sau o combinatie
intre cele doua. Activitatile continue de monitorizare sunt
deseori o componenta a activitatile recurente normale ale
entitatii si includ activitatile regulate de conducere
si supraveghere.
98.
In multe entitati, auditorii interni sau
personalul care indeplineste functii similare contribuie la
monitorizarea activitatilor unei entitati. Vezi ISA 610,
"Luarea in considerare a activitatii de audit intern" pentru alte
recomandari. Activitatile de monitorizare ale managementului pot
include si utilizarea informatiilor din comunicarile cu
parti din afara entitatii cum ar fi plangerile facute
de clienti si observatiile autoritatii de reglementare
care pot indica probleme sau sublinia aspecte care trebuie
imbunatatite.
99.
Multe dintre informatiile utilizate la monitorizare
pot fi produse de sistemul de informatii al entitatii. In cazul
in care conducerea presupune ca datele utilizate pentru monitorizaresunt
exacte fara a avea un temei pentru prezumtia respectiva, ar
putea exista erori in informatiile respective care ar putea conduce
managementul spre concluzii incorecte din activitatile sale de
monitorizare. Auditorul trebuie sa obtina o cunoastere a
surselor de informare referitoare la activitatile de monitorizare ale
entitatii si temeiul pe care conducerea considera
informatiile a fi suficient de credibile in acel scop. Daca auditorul
intentioneaza sa utilizeze informatiile entitatii
produse pentru activitatile de monitorizare, cum ar fi rapoartele
auditorului intern, va avea in vedere daca informatiile asigura
o baza credibila si sunt suficient de detaliate pentru ceea ce
intreprinde auditorul.
Evaluarea riscurilor de denaturare
semnificativa
100.
Auditorul trebuie sa identifice si evalueze
riscurile de denaturare semnificativa la nivelul situatiilor
financiare si la nivelul asertiunilor pentru clase de
tranzactii, solduri de conturi si prezentari de informatii. In acest scop, auditorul:
Identifica
riscurile de-a lungul procesului de cunoastere a entitatii
si mediului sau, inclusive a controalelor relevante referitoare la
riscurile respective si prin luarea in considerare a claselor de
tranzactii, soldurilor de conturi si prezentarilor de
informatii din situatiile financiare;
Coreleaza
riscurile identificate cu ceea ce ar putea fi eronat la nivelul
asertiunii;
Are in vedere
daca riscurile sunt de o asa magnitudine incat ar putea genera o
denaturare semnificativa a situatiilor financiare; si
Ia in considerare probabilitatea ca riscurile sa
genereze o denaturare semnificativa a situatiilor financiare.
101.
Auditorul utilizeaza informatiile culese prin
aplicarea procedurilor de evaluare a riscurilor, inclusiv probele de audit
obtinute la evaluarea conceptiei controalelor si la verificarea
implementarii acestora, ca probe de audit menite sa sustina
evaluarea riscurilor. Auditorul utilizeaza evaluarea riscului pentru a
determina natura, timpul si intinderea altor proceduri de audit ce
urmeaza a fi aplicate.
102.
Auditorul stabileste daca riscurile de
denaturare semnificativa identificate se refera la anumite clase de
tranzactii, solduri de cont si prezentari de informatii
si asertiuni aferente, sau daca se refera intr-un mod mai
cuprinzator la intreg ansamblul situatiilor financiare si pot
afecta multe asertiuni. Riscurile din urma (riscurile la nivelul
situatiilor financiare) pot deriva in special dintr-un mediu de control
slab.
103.
Natura riscurilor provenind dintr-un mediu de control
slab este in asa fel incat ele nu se vor limita la anumite riscuri
individuale specifice de denaturare semnificativa a anumitor clase de
tranzactii, solduri de conturi si prezentari de informatii.
In schimb, carentele precum lipsa de competenta a conducerii pot
avea un efect mai cuprinzator asupra situatiilor financiare si
pot necesita un raspuns general din partea auditorului.
104.
La efectuarea evaluarilor de risc, auditorul poate
identifica controalele probabile a preveni, sau detecta si corecta,
denaturarile semnificative ale anumitor asertiuni. In general,
auditorul ajunge sa obtina o cunoastere a controalelor
si sa le coreleze cu asertiunile in contextul proceselor si
sistemelor in care exista. Este util sa procedeze astfel pentru
ca activitatile de control individuale deseori nu pot contracara
un risc, doar ele. De multe ori doar mai multe activitati de control,
impreuna cu alte elemente de control intern vor fi suficiente pentru a
contracara un risc.
105.
Din contra, anumite activitati de control
pot avea un efect specific asupra unei asertiuni individuale
inglobata intr-o anumita clasa de tranzactii sau sold de
cont. de exemplu, activitatile de control pe care o entitate le-a
stabilit pentru a se asigura ca personalul efectueaza in mod corect
inventarul fizic anual sunt intr-o relatie directa cu
asertiunile privind existenta si exhaustivitatea pentru soldul
contului de stocuri.
106.
Controalele pot fi legate fie direct fie indirect de o
asertiune. Cu cat relatia este mai indirecta cu atat mai
putin eficient este acel control in prevenirea, sau detectarea si
corectarea, denaturarilor acelei asertiuni. De exemplu, revizuirea de
catre un manager de vanzari a sintezei activitatii de
vanzare pentru anumite magazine dupa regiune de regula este doar
indirect legata de asertiunea privind exhaustivitatea veniturilor din
vanzari. Asadar, acesta poate fi mai putin eficient in reducerea
riscului pentru acea asertiune decat controalele legate in mod mai direct
de asertiunea respectiva, cum ar fi compararea documentelor de
expeditie cu documentele de facturare.
107.
Cunoasterea de catre auditor a controlului
intern poate ridica dubii in privinta posibilitatii de auditare
a situatiilor financiare ale unei entitati. Preocuparile
privind integritatea conducerii entitatii pot atat de serioase incat
sa determine auditorul sa concluzioneze ca riscul de declarare
eronata de catre conducere a valorilor din situatiile financiare
este atat de mare incat nu poate fi desfasurat un audit. De asemenea,
preocuparile privind starea si credibilitatea evidentelor unei
entitati pot determina auditorul sa traga concluzia ca
este improbabil sa obtina suficiente probe de audit pentru a
sustine o opinie fara rezerve asupra situatiilor
financiare. In astfel de imprejurari, auditorul are in vedere exprimarea
unei opinii cu rezerve sau imposibilitatea exprimarii unei opinii, dar in
alte cazuri singura alternativa pentru auditor este sa se
retraga din angajament.
riscuri semnificative care necesita o
atentie speciala in audit
108.
Ca parte a evaluarii riscurilor descrisa la
paragraful 100, auditorul trebuie sa determine care dintre riscurile
identificate sunt, dupa parerea sa, riscuri care necesita o
atentie speciala in audit (astfel de riscuri sunt definite ca
"riscuri semnificative") In plus, ISA
330, paragrafele 44 si 51 descriu consecintele identificarii
unui risc semnificativ pentru alte proceduri de audit.
109.
Stabilirea riscurilor semnificative, care apar in
majoritatea angajamentelor de audit, este o problema de rationament
profesional a auditorului. In exercitarea acestui rationament, auditorul
exclude efectul controalelor identificate referitoare la acel risc pentru a
determina daca natura riscului, magnitudinea probabila a
denaturarilor potentiale inclusiv posibilitatea ca riscul sa dea
nastere la mai multe denaturari, si probabilitatea de
aparitie a riscului sunt astfel incat reclama o atentie
speciala in audit. Este mai putin probabil ca tranzactiile de
rutina, simple care sunt supuse procesarii sistematice sa dea
nastere unor riscuri semnificative pentru ca poarta riscuri
inerente mai mici. Pe de alta parte, riscurile semnificative deriva de cele mai
multe ori din riscurile de afaceri care ar putea da nastere unei
denaturari semnificative. Atunci
cand are in vedere natura riscurilor, auditorul ia in considerare o serie de
aspecte printre care:
Daca riscul este un risc de frauda.
Daca riscul este legat de evolutii
recente semnificative de natura economica, contabila sau de
alta natura si de aceea necesita o atentie
speciala.
Complexitatea tranzactiilor.
Daca riscul implica tranzactii
semnificative cu parti afiliate.
Gradul de subiectivism in evaluarea
informatiilor financiare legate de riscul respectiv in special cele care
implica un interval larg de incertitudine a evaluarii.
Daca
riscul implica tranzactii semnificative care se afla in afara
cursului normal de desfasurare a activitatii
entitatii, care care par neobisnuite in alt fel.
110.
Deseori riscurile semnificative se refera la
tranzactii semnificative neuzuale si la aspecte supuse
interpretarii. Tranzactiile neuzuale sunt tranzactii
neobisnuite fie datorita marimii fie naturii, si care de
aceea apar fara regularitate. Aspectele
supuse interpretarii pot include efectuarea estimarilor contabile
pentru care exista o incertitudine semnificativa de evaluare.
111.
Riscurile de denaturare semnificativa pot fi mai
mari in cazul celor referitoare la tranzactii semnificative neuzuale
provenind din probleme precum:
Interventia
conducerii mai mare in a specifica tratamentul contabil.
Interventia manuala mai mare pentru
colectarea si procesarea datelor.
Calcule si principii contabile complexe.
Natura tranzactiilor neuzuale, care pot face
dificila pentru entitate implementarea controalelor eficiente asupra
riscurilor.
112.
Riscurile de
denaturare semnificativa pot fi mai mari in cazul celor referitoare la
aspecte semnificative supuse interpretarii care necesita efectuarea
de estimari contabile, provenind din:
Principiile contabile
pentru estimarile contabile sau recunoasterea veniturilor pot fi
supuse unor interpretari diferite.
Rationamentul
profesional necesar poate fi subiectiv, complex sau necesita prezumtii
despre efectele evenimentelor viitoare, de exemplu, rationamentul despre
valoarea justa.
113.
Pentru riscuri semnificative, in masura in care
auditorul nu a facut-o deja, acesta trebuie sa evalueze
conceptia controalelor aferente ale entitatii, inclusiv
activitatile relevante de control si sa sa stabileasca
daca acestea au fost implementate. Intelegerea
controalelor entitatii referitoare la riscurile semnificative este
necesara pentru a furniza auditorului informatii adecvate in vederea
unei abordari eficiente a auditului. Conducerea trebuie sa fie constienta
de riscurile semnificative; totusi, riscurile referitoare la aspectele
semnificative neuzuale sau cele supuse interpretarii sunt deseori,
probabil, mai putin supuse controalelor de rutina. De aceea,
cunoasterea de catre auditor a situatiei din cadrul
entitatii privind conceperea si implementarea unor controale
pentru astfel de riscuri semnificative presupune si ca acesta sa
obtina o cunoastere daca si cum reactioneaza
conducerea la riscurile respective si daca activitatile de
control, cum ar fi revizuirea prezumtiilor de catre conducerea
superioara sau experti, procesele formale pentru estimari sau
aprobarea de catre cei insarcinati cu guvernanta au fost
implementate pentru a contracara riscurile respective. De exemplu, atunci cand
este vorba de evenimente singulare cum ar fi primirea unei notificari
despre un proces important, analizarea raspunsului entitatii va
cuprinde aspecte precum: daca acesta a fost inaintat unor experti
(cum ar fi consilierii juridici interni sau externi), daca s-a facut
o evaluare a efectului potential si cum se propune ca
circumstantele respective sa fie prezentate in situatiile
financiare.
114.
Daca
conducerea nu a reactionat in mod corespunzator prin implementarea
unor controale asupra riscurilor semnificative si, daca, in consecinta,
auditorul considera ca nu exista o deficienta
semnificativa in controlul intern al entitatii, acesta va
comunica aceasta problema celor insarcinati cu
guvernanta asa cum o cere paragraful 120. in aceste imprejurari,
auditorul ia in considerare si implicatiile pentru evaluarea
riscurilor de catre auditor.
riscurile pentru care testele detaliate singure nu ofera
suficiente probe de audit adecvate
115.
Ca parte a
evaluarii riscurilor descrise in paragraful 100, auditorul trebuie sa
evalueze conceptia si sa determine implementarea controalelor
entitatii, inclusiv activitatile relevante de control,
asupra acelor riscuri pentru care, in opinia auditorului, nu este posibila
reducerea riscurilor de denaturare semnificativa la nivel de
asertiune la un nivel acceptabil cu probe de audit obtinute doar din
testele detaliate.
Consecintele identificarii acestor riscuri pentru alte proceduri de
audit sunt descrise in paragraful 25 al ISA 330.
116.
Intelegerea
sistemului de informatii al entitatii relevant pentru raportarea
financiara permite auditorului sa identifice riscurile de denaturare
semnificativa care se refera direct la inregistrarea claselor
obisnuite de tranzactii sau a soldurilor de conturi si la
intocmirea unor situatii financiare credibile; acestea include riscurile
de procesare inexacta sau incompleta. In mod obisnuit, astfel de
riscuri se refera la clasele semnificative de tranzactii cum ar fi
veniturile, achizitiile si incasarile si platile
unei entitati.
117.
Caracteristicile
tranzactiilor zilnice obisnuite deseori permit o procesare puternic
automatizata cu o interventie manuala minima sau deloc. In
astfel de imprejurari, s-ar putea sa nu fie posibila efectuarea
doar de teste detaliate in raport cu riscul respectiv. De exemplu, in cazul in
care un volum semnificativ de informatii apartinand
entitatii este initiat, inregistrat, procesat sau raportat
electronic cum ar fi in cadrul unui sistem integrat, auditorul poate
hotari ca nu este posibil sa conceapa teste detaliate
eficiente care prin ele insele sa furnizeze probe de audit suficiente in
sensul ca soldurile de conturi sau clasele de tranzactii relevante nu
sunt semnificativ eronate. In astfel de cazuri, probele de audit pot fi
disponibile doar in format electronic iar suficienta si adecvarea lor
depinde de regula de eficienta controalelor asupra
exactitatii si exhaustivitatii lor. Mai departe,
probabilitatea ca o initiere sau modificare improprie a informatiilor
sa apara si sa nu fie detectata poate fi mai mare
daca informatiile sunt initiate, inregistrate, procesate sau
raportate doar in format electronic si controalele corespunzatoare nu
opereaza eficient.
118.
Exemple de
situatii in care auditorul poate constata ca este imposibil sa
conceapa teste detaliate eficiente care prin ele insele sa furnizeze
suficiente probe de audit adecvate ca anumite asertiuni nu sunt
semnificativ denaturate sunt:
O entitate care-si desfasoara
activitatea utilizand IT pentru a initia comenzile pentru cumpararea
si livrarea de bunuri pe baza unor reguli predeterminate asupra a ceea ce
sa comande si in ce cantitati si pentru a-si
plati datoriile comerciale pe baza unor decizii generate de sistem
initiate in urma primirii confirmate a bunurilor si a
conditiilor de plata. Nu se produc sau tin alte documente
privind comenzile efectuate sau bunurile primite, in afara celor generate de
sistemul IT.
O entitate
care ofera servicii clientilor prin intermediul mijloacelor
electronice (de exemplu, un furnizor de servicii de Internet sau o companie de
telecomunicatii) si utilizeaza IT-ul pentru a crea un jurnal al
serviciilor oferite clientilor sai, a initia si procesa
facturarea serviciilor si a inregistra automat astfel de sume in
eveidentele contabile electronice care sunt parte a sistemului utilizat
pentru a produce situatiile financiare ale entitatii.
Revizuirea evaluarii
riscurilor
119.
Evaluarea de
catre auditor a riscurilor de denaturare semnificativa la nivel de
asertiune se bazeaza pe probele de audit disponibile si se poate
modifica in cursul auditului pe masura ce se obtin probe de
audit suplimentare. In particular, evaluarea riscului se poate baza pe o
estimare privind operarea eficienta a controalelor in vederea prevenirii,
sau detectarii si corectarii unei denaturari semnificative
la nivel de asertiune. Prin efectuarea testelor asupras controalelor in
vederea obtinerii probelor de audit privind eficienta lor
operativa, auditorul poate obtine probe de audit privind neoperarea
eficienta a controalelor la anumite momente relevante din cursul
auditului. In mod similar, prin efectuarea testelor detaliate auditorul poate
detecta denaturari ale valorilor sau frecventei peste ceea ce ar
corespunde evaluarilor de risc ale auditorului. In cazul in care auditorul
obtine probe de audit din efectuarea altor proceduri de audit care tind
sa contrazica probele de audit pe care si-a bazat auditorul
initial evaluarea, acesta revizuieste evaluarea si modifica
in consecinta alte proceduri de audit planificate. Vezi paragrafele
66 si 70 din ISA 330 pentru alte recomandari.
Comunicarea cu cei insarcinati cu guvernanta
si conducerea
120.
Auditorul trebuie sa-i faca pe cei
insarcinati cu guvernanta sau conducerea constienti,
cat mai curand posibil si la un nivel adecvat de responsabilitate, de
deficientele semnificative din conceptia sau implementarea
controlului intern care au ajuns in atentia auditorului.
121.
Daca
auditorul identifica riscuri de denaturare fie pe care entitatea nu le-a
controlat fie pentru care controlul relevant este inadecvat, sau daca in
opinia auditorului exista o deficienta semnificativa in
cadrul proceului de evaluare a riscurilor de catre entitate, atunci acesta
include astfel de deficiente ale controlului intern in comunicarea
problemelor de audit de interes pentru guvernanta societara. Vezi ISA 260,
"Comunicarea problemelor de audit celor insarcinati cu
guvernanta".
Documentatia
122.
Auditorul trebuie sa documenteze:
(a)
Discutia in randul echipei angajamentului privind
susceptibilitatea situatiilor financiare ale entitatii la
denaturari semnificative datorate erorilor sau fraudei si deciziile
semnificative luate;
(b) Elementele cheie privind cunoasterea tuturor
aspectelor entitatii si mediului sau identificate la
paragraful 20, inclusiv a tuturor componentelor de control intern identificate
la paragraful 43, in vederea evaluarii riscurilor de denaturare
semnificativa a situatiilor financiare; sursele de informare pe care
s-a bazat cunoasterea; si procedurile de evaluare a riscurilor;
(c) Riscurile identificate si evaluate de
denaturare semnificativa la nivelul situatiilor financiare si la
nivel de asertiune dupa cum prevede paragraful 100; si
(d)
Riscurile identificate si controalele aferente
evaluate ca rezultat al cerintelor din paragrafele 113 si 115.
123.
Maniera in care aceste probleme sunt documentate
ramane la latitudinea auditorului. In particular, rezultatele
evaluarii riscurilor pot fi documentate separat, sau pot fi documentate ca
parte a documentatiei auditorului privind alte proceduri (vezi paragraful
73 din ISA 330 pentru alte recomandari). Exemple de tehnici frecvente,
utilizate singular sau in combinatie cu altele include descrierile
narative, chestionarele, lisetele de verificare si diagramele fluxurilor.
Astfel de tehnici pot fi utile si pentru documentarea evaluarii de
catre auditor a riscurilor de denaturare semnificativa la nivelul
ansamblului situatiilor financiare si cel al asertiunilor. Forma
si intinderea acestei documentari este influentata de
natura, dimensiunea si complexitatea entitatii si
controlului intern al acesteia, disponibilitatea informatiilor de la
entitate si metodologia si tehnologia de audit specifice utilizate in
cursul auditului. De exemplu, documentarea cunoasterii unui sistem de
informatii complex in care un volum mare de tranzactii este
initiat, inregistrat, procesat sau raportat electronica, poate include
diagrame, chestionare sau tabele de decizii. Pentru un sistem de
informatii care utilizeaza limitat sau deloc IT-ul sau pentru care
sunt procesate putine tranzactii (de exemplu, datoriile pe termen
lung), documentarea sub forma unui meorandum ar putea fi suficienta. De
regula, cu cat este mai complexa entitatea si cu cat procedurile
de audit indeplinite de auditor sunt mai extensive, cu atat mai extensiva
va fi documentatia auditorului. ISA 230, "Documentatia" ofera
instructiuni privind documentatia in contextul auditului situatiilor
financiare.
Data intrarii in vigoare
124.
Acest ISA
intra in vigoare pentru auditul situatiilor financiare aferente
perioadelor care incep la sau dupa 15 decembrie 2004.
Perspectiva Sectorului Public
1. In desfasurarea auditului
entitatilor din sectorul public, auditorul tine cont de cadrul
legislativ si alte regulamente, hotarari sau ordine ministeriale
relevante care afecteaza mandatul de audit si orice alte cerinte
speciale de audit. De aceea, pentru a intelege cadrul de reglementare
dupa cum o cere paragraful 22 al acestui ISA, auditorii vor tine
seama de legislatie si autoritatea corespunzatoare care
guverneaza activitatea unei entitati. In mod similar in
privinta paragrafului 30 al acestui ISA auditorul trebuie sa fie
constient ca "obiectivele manageriale" ale entitatilor din
sectorul public pot fi influentate de preocuparile privind
raspunderea publica si pot include obiective care isi au
sursa in legislatie, regulamente, ordonantele guvernamentale si
ordine ministeriale.
2. Paragrafele 47-53 ale prezentului ISA descrie
controalele relevante pentru audit. Auditorii din sectorul public deseori au
responsabilitati in plus cu privire la controlul intern, de exemplu,
de a raporta asupra conformitatii cu un cod de practica existent.
Auditorii din sectorul public pot de asemenea sa aiba
responsabilitati de a raporta asupra conformitatii cu
cerintele autoritatilor legislative. Revizuirea controlului
intern poate fi mai cuprinzatoare si mai detaliata.
3. Paragrafele 120
si 121 ale acestui ISA se ocupa cu comunicarea deficientelor.
Pentru auditorii din sectorul public s-ar putea sa existe cerinte de
comunicare sau raportare in plus. De exemplu, deficientele din controlul
intern s-ar putea sa fie nevoie a fi raportate legislativului sau altui
organ de conducere.
Anexa 1:
Cunoasterea entitatii si mediului sau
Aceasta anexa cuprinde recomandari suplimentare asupra
aspectelor pe care auditorul le ia in considerare pentru a cunoaste
sectorul, factorii de reglementare si alti factori externi care
afecteaza entitatea, inclusiv cadrul aplicabil de raportare
financiara; natura entitatii; obiectivele si strategiile
precum si riscurile de afaceri aferente; si evaluarea si
revizuirea performantelor financiare ale entitatii. Exemplele
oferite acopera o serie larga de probleme aplicabile multor
angajamente; totusi, nu toate problemele sunt relevante pentru fiecare
angajament iat lista de exemple nu este neaparat completa.
Recomandari suplimentare asupra controlului intern sunt cuprinse in Anexa
2.
factori specifici sectorului,
de reglementare si alti factori externi, inclusiv cadrul aplicabil de
raportare financiara
Exemple de aspecte pe care
auditorul le poate lua in considerare sunt:
- Conditiile specifice sectorului
Piata si
concurenta, inclusiv cererea, capacitatea si concurenta privind
pretul
Activitate
ciclica sau sezoniera
Tehnologia produselor referitoare la produsele
entitatii
Aprovizionarea
si costurile cu energia
Principiile contabile
si practicile specifice sectorului
Cadrul de reglementare pentru un sector reglementat
Legislatia care
afecteaza semnificativ activitatea entitatii
o Cerinte de reglementare
o Activitati directe de supraveghere
Fiscalitate (persoane juridice si altele)
Politici
guvernamentale care afecteaza momentan activitatea entitatii
o Monetare, inclusiv controlul valutar
o Fiscale
o Stimulente financiare (de exemplu, programele de
subventii guvernamentale)
o Tarifare, restrictii comerciale
Cerinte de mediu
care afecteaza sectorul sectorul si activitatea entitatii
- Alti factori externi care afecteaza
momentan entitatea
Nivelul general al
activitatii economice (de exemplu, recesiune, crestere)
Rata dobanzii si
disponbilitatea finantarii
Inflatia,
reevaluarea monedei
Natura entitatii
Exemple de aspecte pe care
auditorul le ia in considerare sunt:
Activitatea
operationala (curenta)
- Natura surselor de venituri (de exemplu,
producator, comerciant cu ridicata, banci, asigurari, sau
alte servicii financiare, import/export, utilitati,
transporturi, produse si servicii de tehnologie)
- Produse sau servicii si piete (de
exemplu, clienti si contracte principale, conditii de
plata, marje de profit, cote de piata, competitori,
exporturi, politici de pret, reputatia produselor, garantii
post-vanzare, registru de comenzi, tendinte, strategie de marketing
si obiective, procese de productie)
- Desfasurarea activitatii
(de exemplu, etape si metode de productie, segmente de afaceri,
livrarea produselor sau serviciilor, informatii despre reducerea sau
extinderea activitatii)
- Aliante, asocieri in participatiune
si activitati de colaborare
- Implicarea in comertul electronic,
inclusiv vanzari prin Internet si activitati de
marketing
- Dispersia geografica si segmentarea
sectorului de activitate
- Locatia facilitatilor de
productie, depozite si birouri
- Clienti cheie
- Furnizori importanti de bunuri si
servicii (de exemplu, contracte pe termen lung, stabilitatea
aprovizionarii, conditii de plata, importuri, metode de
livrare cum ar fi cea "tocmai la timp")
- Forta de munca (de exemplu,
dupa locatie, oferta, nivel de salarizare, contracte cu
sindicatele, pensii si alte beneficii post-angajare, optiuni pe
actiuni sau stimulente sub forma de prime, reglementari
date de guvern cu privire la aspecte legate de angajare)
- Activitati si cheltuieli cu
cercetarea si dezvoltarea
- Tranzactii cu parti afiliate
Investitiile
- Achizitii, fuziuni sau cedarea unor
activitati (planificate sau recent efectuate)
- Investitii si vanzari de
titluri de valoare si credite
- Activitati de investitii de
capital, inclusiv investitii in mijloace fixe si tehnologie, si
modificari recente sau planificate
- Investitii in entitati
neconsolidate, inclusiv parteneriate, asocieri in participatiune
si entitati cu scop special
Finantarea
- Structura grupului - filiale si
entitati asociate principale, inclusiv structuri consolidate
si neconsolidate
- Structura datoriilor, inclusiv clauze
speciale, restrictii, garantii si aranjamente de
finantare extrabilantiere
- Operatiuni de leasing de bunuri
imobiliare si mijloace fixe pentru utilizarea in cadrul
activitatii
- Proprietari
propriu-zisi (locali, straini, reputatia si
experienta in afaceri)
- Parti afiliate
- Utilizarea instrumentelor financiare derivate
Raportarea financiara
- Principii
contabile si practici specifice sectorului
- Practici privind recunoasterea
veniturilor
- Contabilitatea valorii juste
- Stocuri (de exemplu, locatie,
cantitati)
- Active, datorii si tranzactii in
valuta
- Categorii semnificative specifice sectorului
(de exemplu, credite si investitii pentru banci,
creante si stocuri pentru producatori, cercetare si
dezvoltare pentru industria farmaceutica)
- Contabilitatea tranzactiilor
neobisnuite sau complexe inclusiv cele din domenii controversate sau
emergente (de exemplu, contabilitatea compensatiilor bazate pe
stocuri)
- Prezentarea situatiilor financiare
si prezentarea informatiilor
obiective si strategii si riscurile de afaceri aferente
Exemple de aspecte pe care
auditorul le ia in considerare sunt:
- Existenta obiectivelor (adica, cum
abordeaza entitatea factorii specifici sectorului, factorii de
reglementare si alti factori externi) legate de, de exemplu:
evolutiile din
cadrul sectorului (un risc de afaceri potential ar putea fi, de exemplu,
acela ca entitatea nu ar suficient personal sau nu dispune de personal
pregatit pentru a face fata schimbarilor din cadrul
sectorului)
produsele si
serviciile noi (un risc de afaceri potential ar putea fi, de exemplu,
acela ca exista obligatii mai mari cu privire la produse)
extinderea
activitatii (un risc de afaceri potential ar putea fi, de
exemplu, acela ca nu s-a estimat cu exactitate cererea)
noile cerinte contabile (un risc de afaceri
potential ar putea fi, de exemplu, acela al implementarii incomplete
sau improprii ori costuri mai mari)
cerintele de reglementare (un risc de afaceri
potential ar putea fi, de exemplu, acela al unei expuneri mai mari din
punct de vedere juridic)
cerintele de finantare curente si viitoare
(un risc de afaceri potential ar putea fi, de exemplu, acela al pierderii
finantarii din cauza incapacitatii entitatii de a
respecta cerintele)
utilizarea IT-ului (un risc de afaceri potential ar
putea fi, de exemplu, acela ca sistemele si procesele sunt
incompatibile)
- Efectele
implementarii unei strategii, in special efectele care vor conduce la
noi cerinte contabile (un risc de afaceri potential ar putea fi,
de exemplu, acela al implementarii incomplete sau improprii)
evaluarea si revizuirea performantelor financiare ale
entitatii
Exemple de aspecte pe care
auditorul le ia in considerare sunt:
- Indicatori cheie
si statistici ale activitatii
- Indicatori cheie de performanta
- Indicatori de
performanta a angajatilor si politici de stimulare
- Tendinte
- Utilizarea previziunilor, bugetelor si
analizei variantei
- Rapoartele
analistilor si rapoarte de rating
- Analiza concurentei
- Performante
financiare comparative pe perioade (cresterea veniturilor,
profitabilitate, grad de indatorare)
Anexa 2: Componentele
controlului intern
- Asa cum prevede paragraful 43 si
este descris in paragrafele 67-99, controlul intern are urmatoarele
componente:
(a) Mediul de control;
(b) Procesul de evaluare a riscului de catre
entitate;
(c) Sistemul de informatii, inclusiv procesele de
activitate aferente, relevant pentru raportarea financiara si
comunicarea;
(d) Activitatile de control; si
(e) Monitorizarea controalelor.
Aceasta anexa
explica mai departe componentele de mai sus dupa cum au
legatura cu auditul situatiilor financiare.
Mediul de control
- Mediul de control cuprinde atitudinea,
constientizarea si masurile luate de conducere si cei
insarcinati cu guvernanta privind controlul intern al
entitatii si importanta sa in cadrul
entitatii. Mediul de control include si functiile de
guvernanta si management si dicteaza tonul unei
organizatii, influentand constientizarea de catre
oameni a controlului. Este temelia unui control intern eficient, asigurand
disciplina si structura.
- Mediul de
control cuprinde urmatoarele elemente:
(a)
Comunicarea si impunerea integritatii
si valorilor etice. Eficienta controalelor nu poate fi mai presus
decat integritatea si valorile etice ale oamenilor care le creaza,
administreaza si monitorizeaza. Integritatea si valorile
etice sunt elemente esentiale ale mediului de control care
influenteaza eficienta conceptiei, administrarii
si monitorizarii altor componente ale controlului intern.
Integritatea si comportamentul etic sunt produsul standardelor de etica
si conduita ale entitatii, ale modului in care acestea sunt
comunicate si impuse in practica. Ele includ masurile conducerii
de a elimina sau reduce stimulentele si tentatiile care ar putea
determina personalul sa se angajeze in actiuni neoneste, ilegale sau
lipsite de etica. De asemenea includ comunicarea valorilor si
standardelor de conduita ale entitatii catre angajati
prin declaratii de politica si coduri de conduita dar
si prin exemple.
(b)
Angajamentul fata de competenta.
Competenta reprezinta cunostintele si aptitudinile
necesare realizarii sarcinilor care definesc locul de munca al unui
individ. Angajamentul fata de competenta presupune luarea
in considerare de catre conducere a nivelurilor de competenta
pentru anumite posturi si modul in care aceste niveluri se
materializeaza in aptitudini si cunostinte necesare.
(c)
Participarea celor insarcinati cu
guvernanta. Constientizarea controlului in cadrul unei
entitati este semnificativ influentata de cei
insarcinati cu guvernanta. Atributele acestora includ independenta
fata de conducere, experienta si statutul lor, gradul
implicarii lor si analizarii activitatilor de
catre ei, adecvarea masurilor lor, informatiile pe care le
primesc, masura in care problemele dificile sunt ridicate si duse la
indeplinire de conducere si interactiunea lor cu auditorii interni
si externi.Importanta responsabilitatilor celor
insarcinati cu guvernanta este recunoscuta in codurile de
practica si alte regulamente sau recomandari care-i vizeaza
pe acestia. Alte
responsabilitati ale celor insarcinati cu guvernanta
includ supravegherea conceptiei si operarii eficiente a
procedurilor de sesizare a organelor in drept si a procesului de revizuire
a eficientei controlului intern al entitatii.
(d)
Filozofia conducerii
si stilul de operare. Filozofia conducerii si stilul de operare cuprind
o gama larga de caracteristici. Astfel de caracteristici pot include:
abordarea conducerii fata de asumarea si monitorizarea
riscurilor de afaceri; atitudinea si masurile luate de conducere
vis-a-vis de raportarea financiara (conservatoare sau agresive selectate
din principiile contabile alternative disponibile si constientizare
si conservatorism cu care sunt efectuate estimarile contabile);
si atitudinea conducerii fata de procesarea informatiilor
si functiile si personalul contabil.
(e)
Structura organizationala. Structura
organizationala a unei entitati asigura cadrul in care
sunt planificate, executate, controlate si revizuite
activitatile pentru indeplinirea obiectivelor la nivelul intregii
entitati. Stabilirea unei structuri organizationale presupune
luarea in considerare a domeniilor cheie de autoritate si responsabilitate
si niveluri corespunzatoare de raportare. Entitatea dezvolta o
structura organizationala pe masura nevoilor sale.
Adecvarea structurii organizationale a entitatii depinde,
partial, de amploarea si natura activitatilor sale.
(f)
Desemnarea autoritatii si
responsabilitatii. Acest factor include modul in care sunt atribuite
autoritatea si responsabilitatea pentru activitatile
operationale si modul in care sunt stabilite relatiile de
raportare si ierarhiile de autorizare. De asemenea include politicile
referitoare la practicile corespunzatoare de afaceri,
cunostintele si experienta personalului cheie si
resursele oferite pentru indeplinirea acestor sarcini. In plus, include
politicile si comunicarile menite sa asigure ca toti
angajatii inteleg obiectivele entitatii, cunosc modul in
care actiunile lor individuale se interrelationeaza si contribuie
la indeplinirea acelor obiective si recunosc cum si pentru ce vor
raspunde.
(g)
Politicile si practicile privind resursele umane. Politicile si
practicile privind resursele umane se refera la recrutare, orientare,
instruire, evaluare, consiliere, promovare, compensare si masuri de
remediere. De exemplu, standardele pentru recrutarea celor mai calificati
indivizi - cu accent pe studii, experienta profesionala
anterioara, realizari si dovezi de integritate li comportament
etic - demonstreaza angajamentul entitatii fata de
oameni competenti si de incredere. Politicile de pregatire
profesionala care comunica roluri si responsabilitati
in perspectiva si includ practici cum ar fi scolile de instruire
si seminariile ilustreaza niveluri asteptate de performanta
si comportament. Promovarile dictate de evaluari periodice ale
performantelor demonstreaza angajamentul entitatii
fata de avansarea angajatilor calificati la niveluri
superioare de responsabilitate.
Aplicarea in cazul
entitatilor mici
- Entitatile mici pot implementa
elementele mediului de control intr-un mod diferit fata de
entitatile mai mari. De exemplu, entitatile mici s-ar
putea sa nu dispuna de un cod scris de conduita dar, in
schimb, sa dezvolte o cultura care sa puna accentul pe
importanta integritatii si conduitei etice prin
comunicare orala si exemplul dat de conducere. In mod similar,
cei insarcinati cu guvernanta la entitatile mici
s-ar putea sa includa si un membru independent sau din
afara entitatii.
procesul de evaluare a
riscului de catre entitate
- Procesul de
evaluare a riscului de catre entitate este procesul de identificare
si reactionare la riscurile de afaceri si rezultatele
acestuia. Pentru raportarea financiara, procesul de evaluare a
riscului de catre entitate include modul in care conducerea
identifica riscurile relevante pentru intocmirea situatiilor
financiare care sa reprezinte o imagine fidela in acord cu
cadrul aplicabil entitatii de raportare financiara,
estimeaza importanta lor, evalueaza probabilitatea
aparitiei lor si hotaraste asupra masurilor
de gestionare a lor. De exemplu, procesul de evaluare a riscului de
catre entitate poate trata modul in care entitatea ia in considerare
posibilitatea existentei unor tranzactii neinregistrate sau
identifica si analizeaza estimarile semnificative
reflectate in situatiile financiare. Riscurile relevante
pentru raportarea financiara credibila se refera si la
evenimente sau tranzactii specifice.
- Riscurile
relevante pentru raportarea financiara includ evenimente si
circumstante externe si interne care pot aparea si
afecta capacitatea entitatii de a initia, inregistra,
procesa si raporta date financiare intr-un mod consecvent
fata de asertiunile conducerii din situatiile
financiare. Odata ce riscurile sunt identificate, conducerea ia in
considerare semnificatia lor, probabilitatea de aparitie si
modul in care trebuie gestionate. Conducerea poate initia planuri,
programe sau masuri care sa abordeze riscuri specifice sau poate
hotari sa accepte un risc datorita costului sau din alte
considerente. Riscurile pot aparea sau schimba din cauza unor
circumstante precum:
Schimbarile din mediul operational. Schimbarile din
mediul de reglementare sau de operare pot da nastere la schimbari ale
presiunilor concurentiale si unor riscuri semnificativ diferite.
Personalul nou. Personalul nou poate pune un accent diferit sau
intelege diferit controlul intern.
Sistemele de informatii noi sau modernizate. Schimbarile
rapide si semnificative din sistemele de informatii pot modifica
riscul referitor la controlul intern.
Cresterea
rapida. Expansiunea
rapida si semnificativa a operatiunilor poate slabi
controalele si mari riscul de "cadere" a acestora.
Noua
tehnologie. Incorporarea noii
tehnologii in procesele de productie sau sistemele de informatii
poate schimba riscul asociat cu controlul intern.
Noile modele de afaceri, produse sau activitati. Intrarea in noi
domenii de activitate sau incheierea de tranzactii in care entitatea are o
experienta restransa poate introduce noi riscuri asociate cu
controlul intern.
Restructurarile intreprinderilor. Restructurarile
pot fi insotite de reduceri de personal si modificari in
supraveghere si segregarea datoriilor care ar putea modifica riscul
asociat cu controlul intern
Operatiunile extinse din strainatate. Expansiunea sau
achizitia de operatiuni in strainatate poarta riscuri
noi si deseori unice care pot afecta controlul intern, de exemplu,
riscurile suplimentare sau modificate din tranzactii in valuta.
Noile norme contabile. Adoptarea de noi principii
contabile sau modificarea principiilor contabile poate afecta riscurile la
elaborarea situatiilor financiare.
Aplicarea in cazul entitatilor mici
- Conceptele de baza ale procesului de evaluare a riscurilor de
catre entitate sunt relevante pentru orice entitate, indiferent de
marime, dar procesul de evaluare a riscurilor va fi probabil mai putin
formal si mai putin structurat in cazul micilor
entitati decat la entitatile mari. Toate
entitatile trebuie sa aiba obiective stabilite de
raportare financiara, dar ele ar putea fi recunoscute implicit
si nu explicit la entitatile mici. Conducerea poate fi
constienta de riscurile legate de aceste obiective
fara a face uz de de un proces formal dar printr-un contact
direct cu angajatii si persoane din afara entitatii.
sistemul de
informatii, inclusiv procesele de activitate aferente, relevant pentru raportarea
financiara, si comunicarea
- Un sistem de
informatii este alcatuit dintr-o infrastructura (componente
fizice si hardware), software, oameni, proceduri si date.
Infrastructura si software-ul pot lipsi, sau pot avea o
semnificatie mai mica, in cadrul sistemelor care sunt exclusiv
sau preponderent manuale. Multe sisteme de informatii pot folosi pe
scara larga tehnologia informatiei (IT).
- sistemul de
informatii relevant pentru obiectivele de raportare financiara,
care cuprinde sistemul de raportare financiara, este alcatuit
din proceduri si evidente stabilite pentru a initia,
inregistra, procesa si raporta tranzactiile entitatii
(precum si evenimente si conditii) si a mentine
raspunderea pentru activele, datoriile si capitalul propriu
aferente. Tranzactiile pot fi initiate manual sau automat prin
proceduri programate. Inregistrarea include identificarea si
retinerea informatiilor relevante pentru tranzactii sau
evenimente. Procesarea include functii precum editarea si validarea,
calcularea, evaluarea, sintetizarea si reconcilierea, indiferent
ca sunt efectuate de proceduri automatizate sau manuale. Raportarea
se refera la intocmirea rapoartelor financiare si a altor
informatii, in format electronic sau pe suport de hartie, pe care
entitatea le foloseste la evaluarea si revizuirea
performantelor financiare si pentru alte functii. Calitatea
informatiilor generate de sistem afecteaza capacitatea
conducerii de a lua decizii potrivite privind gestionarea si
controlul activitatilor entitatii si de a intocmi
rapoarte financiare credibile.
- Asadar,
sistemul de informatii cuprinde metode si evidente care:
Identifica si inregistreaza toate
tranzactiile valide.
Descriu la
momentul oportun tranzactiile suficient de detaliat pentru a permite
clasificarea adecvata a tranzactiilor pentru raportarea
financiara.
Stabilesc
valoarea tranzactiilor intr-o maniera care permite inregistrarea
valorii monetare adecvate in situatiile financiare.
Determina
perioada de timp in care au avut loc tranzactiile pentru a permite
inregistrarea tranzactiilor in perioada contabila potrivita.
Prezinta
adecvat tranzactiile si informatiile adecvate in situatiile
financiare.
- Comunicarea inseamna transmiterea
inteligibila a a rolurilor si responsabilitatilor
individuale referitoare la controlul intern asuora raportarii
financiare. Include masura in care personalul intelege modul in
care activitatile lor din cadrul sistemului de raportare
financiara se coreleaza cu activitatea altora si mijloacele
de raportare a exceptiilor catre un nivel ierarhic superior
corespunzator din cadrul entitatii. Canalele deschise de
comunicare contribuie la raportarea si luarea de masuri asupra
exceptiilor.
- Comunicarea ia forme precum manualele de
politici, manualele de raportare contabila si financiara
si memorandumurile. Comunicarea se poate face si electronic,
oral si prin intermediul masurilor luate de conducere.
Aplicarea in cazul
entitatilor mici
- Sistemele de informatii si procesele
de activitate aferente relevante pentru raportarea financiara in
cadrul entitatilor mici sunt probabil mai putin formale
decat in cazul entitatilor mai mari, dar rolul lor este la fel
de semnificativ. Entitatile mici cu o implicare activa a
conducerii s-ar putea sa nu aiba nevoie de descrieri extensive
ale procedurilor contabile, evidente contabile sofisticate sau
politici scrise. Comunicarea poate fi mai putin formala si
mai usor de realizat la o entitate mica decat la o entitate mai
mare datorita dimensiunii si nivelurilor mai putine din
cadrul entitatii mici precum si vizibilitatii
si disponibilitatii mai mari din partea conducerii.
activitati de
control
- Activitatile de control sunt
politicile si procedurile care ajuta la indeplinirea
directivelor conducerii, de exemplu, ca sunt luate masurile
necesare pentru a contracara riscurile care impieteaza asupra
obiectivelor entitatii. Activitatile de control, fie
in cadrul sistemelor IT fie in cel al sistemelor manuale, au diferite
obiective si sunt aplicate la diferite niveluri organizationale
si functionale.
- In general,
activitatile de control ce pot fi relevante pentru un audit pot
fi categorisite ca politici si proceuri care se refera la:
Revizuirea performantelor. Aceste activitati
de control cuprind revizuirile si analizele performantelor realizate
fata de bugete, prognoze si performantele perioadelor
anterioare; relationarea diferitelor seturi de date - operationale sau financiare - intre
ele, impreuna cu analize ale relatiilor si masurile
investigative si corective; compararea datelor interne cu sursele externe
de informatii; si revizuirea performantelor functionale sau
de activitate, cum ar fi revizuirea de catre un manager de credire de
consum al unei banci a rapoartelor dupa filiala, regiune si
tip de credit pentru aprobare si incasare.
Procesarea informatiilor. O varietate de controale
sunt efectuate pentru a verifica exactitatea, exhaustivitatea si
autorizarea tranzactiilor. Cele doua grupari largi de
activitati de control din sietemele de informatii sunt
controalele de aplicare si controalele IT generale. Controalele de aplicare
se aplica procesarii cazurilor individuale de aplicare. Aceste
controale ajuta la a asigura ca tranzactiile au avut loc, sunt
autorizate si sunt inregistrate si procesate exhaustiv si exact.
Exemple de controale de aplicare sunt verificarea exactitatii aritmetice
a inregistrarilor, tinerea si revizuirea conturilor si
balantelor de verificare, controalele automatizate cum sunt
verificarile de editare a datelor introduse si verificarile
secventiale numerice, si urmarirea manuala a rapoartelor cu
exceptii. Controalele IT generale sunt politicile si procedurile care
se refera la multe aplicatii si sprijina functionarea
eficienta a controalelor de aplicare prin asigurarea operarii
adecvate continue a sistemelor de informatii. Controalele IT generale de
regula includ controalele asupra centrelor de date si
operatiunilor de retea; achizitionarea, modificarea si
intretinerea soft-urilor de sistem; securitatea accesului; si
achizitionarea, dezvoltarea si intretinerea sistemelor de
aplicatii. Aceste controale se aplica in cazul "mainframe-urilor",
"miniframe-ruilor" si al mediilor cu utilizator final. Exemple de astfel
de controale IT generale sunt controalele asupra modificarii programelor,
controalele care restrictioneaza accesul la programe sau date,
controale asupra implementarii noilor editii de aplicatii soft,
si controale asupra soft-ului de sistem care restrictioneaza
accesul sau monitorizeaza utilizarea utilitatilor de sistem care
ar putea modifica datele financiare sau evidente fara a
lasa posibiliatea auditarii lor.
Controale fizice. Aceste activitati
cuprind securitatea fizica a activelor, inclusiv masurile adcevate de
protectie cum ar fi facilitatile protejate asupra accesului la
active sau evidente; autorizarea accesului la programe de calculator
si fisiere de date; si inventarierea si compararea
periodica cu valorile din evidentele de control (de exemplu
compararea rezultatelor inventarierii disponibilitatilor
banesti, titlurilor si stocurilor cu evidentele contabile).
Gradul in care controalele fizice menite sa previna sustragerea de
bunuri sunt relevante pentru credibilitatea intocmirii situatiilor
financiare si implicit pentru audit, depinde de circumstante precum
cazul in care activele sunt foarte susceptibile la o alocare gresita.
De exemplu, aceste controale nu vor fi de regula relevante atunci cand in
baza inspectiilor fizice periodice sunt detectate si inregistrate in
situatiile financiare pierderi la stocuri. Totusi, daca pentru
raportarea financiara, conducerea se bazeaza doar pe evidente
perpetue ale stocurilor, controalele privind securitatea fizica vor fi
relevante pentru audit.
Segregarea datoriilor. Atribuirea diferitelor
persoane de responsabilitati privind autorizarea tranzactiilor,
inregistrarea tranzactiilor si mentinerea custodiei activelor
este menita sa reduca posibilitatea ca vreo persoana
sa se afle in situatia de a produce si tainui, in
acelasi timp, erori sau fraude in cursul normal al indeplinrii sarcinilor
sale. Exemple de segregare a
datoriilor sunt raportarea, revizuirea si aprobarea reconcilierilor
si aprobarea si controlul documentelor.
- Anumite activitati de control pot
depinde de existenta unor politici adecvate la un nivel superior,
stabilite de conducere sau cei insarcinati cu guvernanta.
de exemplu, controalele de autorizare pot fi delegate in baza unor linii
directoare existente, cum ar fi criteriile de investitii stabilite de
cei insarcinati cu guvernanta; alternativ,
tranzactiile neuzuale cum sunt achizitiile sau vannzarile
de active majore pot solicita o anumita aprobare la un nivel inalt,
in anumite cazuri cea a actionarilor.
Aplicarea in cazul
entitatilor mici
- Conceptele care stau la baza
activitatilor de control din entitatile mici sunt
probabil similare celor din entitatile mai mari, dar
formalitatea (oficialitatea) cu care ele operaza difera. Mai
departe, pentru entitatile mici anumite tipuri de
activitati de control s-ar putea sa nu fie relevante
datorita controalelor aplicate de conducere. De exemplu,
pastrarea de catre conducere a autoritatii pentru
aprobarea vanzarilor pe credit, achizitiilor semnificative
si folosirea liniilor de credit poate asigura un control puternic
asupra acelor activitati, micsorand sau eliminand nevoia de
activitati de control mai detaliate. O segregare adecvata
a datoriilor deseori prezinta dificultati la
entitatile mici. Chiar si societatile care au
doar cativa angajati, totusi, pot desemna
responsabilitatile astfel incat sa realizeze o segregare
adecvata sau, daca acest lucru nu este posibil, sa
utilizeze supravegherea activitatilor incompatibile de
catre management in vederea realizarii obiectivelor de control.
monitorizarea
controalelor
- O
responsabilitate importanta a conducerii este de a stabili si
mentine controlul intern cu continuitate. Monitorizarea de catre
conducere a controalelor presupune a avea in vedere daca acestea
opereaza asa cum se intentioneaza si daca
sunt modificate corespunzator in functie de schimbarea
conditiilor. Monitorizarea controalelor poate include activitati
precum analizarea de catre conducerii a intocmirii la timp a
reconcilierilor bancare, evaluarea de catre auditorii interni a
respectarii de catre personalul de vanzare a politicilor
entitatii asupra conditiilor din contractele de vanzare
si supravegherea de catre departamentul juridic a
respectarii politicilor, privind etica si practicile in afaceri,
apartinand entitatii.
- Monitorizarea
controalelor este un proces de evaluare a calitatii
performantelor controlului intern de-a lungul timpului. Aceasta
implica evaluarea conceptiei si operarii controalelor
la timp si luarea masurilor corective necesare. Monitorizarea
este infaptuita pentru a asigura operarea eficienta a
controalelor in continuare. De exemplu, daca oportunitatea si
exactitatea reconcilierilor bancare nu sunt monitorizate, este probabil ca
personalul sa inceteze sa le mai intocmeasca. Monitorizarea controalelor este realizata
prin activitati de monitorizare continua, evaluari
separate si combinatii intre cele doua.
- Activitatile de monitorizare
continua sunt incorporate in activitatile recurente normale
ale entitatii si includ activitatile regulate de
management si supraveghere. Managerii de vanzari, achizitii
si productie la nivel de divizie sau la nivelul intregii
corporatii sunt la curent cu activitatea si pot chestiona
rapoartele care difera semnificativ de ceea ce cunosc ei despre
activitate.
- In multe entitati, auditorii interni
sau personalul care indeplineste functii similare contribuie la
monitorizarea controalelor entitatii prin evaluari
separate. Ei furnizeaza regulat informatii despre functionarea
controlului intern, concentrandu-si atentia in mod considerabil
pe evaluarea conceptiei si operarii controlului intern. Ei
comunica informatii despre punctele forte si punctele slabe
si recomandari pentru imbunatatirea controlului
intern.
- Activitatile de monitorizare pot
include utilizarea informatiilor din comunicarile cu persoane
din afara intreprinderii care pot indica probleme sau evidentia
domenii ce au nevoie de imbunatatire. Clientii in mod
implicit coroboreaza datele de facturare prin plata facturilor lor
sau plangandu-se in legatura cu suma de plata. In plus,
organele de reglementare pot comunica cu entitatea in ceea ce
priveste probleme care afecteaza functionarea controlului
intern, de exemplu, comunicarile privind examinarile efectuate
de agentiile de reglementare bancara. De asemenea, conducerea
poate lua in considerare comunicarile referitoare la controlul intern
de la auditorii externi pentru indeplinirea activitatilor de
monitorizare.
Aplicarea in cazul
entitatilor mici
- Este mai probabil ca activitatile de
monitorizare continua ale entitatilor mici sa fie
informale si ele sunt de regula indeplinite ca parte a
managementului general al activitatii entitatii.
Implicarea stransa a conducerii in activitate deseori va conduce la
identificarea unor abateri semnificative de la estimari si a
unor inadvertente in datele financiare conducand la masuri
corective in ceea ce priveste controlul.
Anexa 3: Conditii
si evenimente care pot indica riscuri de denaturare semnificativa
Ceea ce urmeaza
reprezinta exemple de conditii si evenimente care pot indica
existenta riscurilor de denaturare semnificativa. Exemplele date
acopera o gama larga de evenimente si conditii;
totusi, nu toate conditiile si evenimentele sunt relevante
pentru orice angajament de audit iar lista cu exemple nu este neaparat
exhaustiva.
- Operatiuni in regiuni care sunt instabile
din punct de vedere economic, de exemplu, tari cu deprecieri
semnificative ale monedei sau economii puternic inflationiste.
- Operatiuni expuse la piete volatile,
de exemplu, tranzactionarea la termen futures.
- Grad inalt de reglementare complexa.
- Probleme privind continuitatea
activitatii si de lichiditate inclusiv pierderea
clientilor semnificativi.
- Constrangeri
asupra disponibilitatii capitalului si creditului.
- Schimbari in
sectorul in care opereaza entitatea.
- Schimbari in lantul
aprovizionarii.
- Dezvoltarea sau
oferirea de noi produse sau servicii, sau intrarea in noi domenii de
activitate.
- Extinderea spre noi locatii.
- Schimbari in cadrul entitatii
cum ar fi achizitiile sau reorganizarile ori alte evenimente
neobisnuite.
- Entitati sau segmente de activitate
cu probabilitatea de a fi vandute.
- Aliante si asocieri in
participatiune complexe.
- Utilizarea finantarii
extrabilantiere, a entitatilor cu scop special si a
altor aranjamente complexe de finantare.
- Tranzactii
semnificative cu parti afiliate.
- Lipsa
personalului cu aptitudini corespunzatoare de raportare
contabila si financiara.
- Schimbari in
cadrul personalului cheie inclusiv plecarea persoanelor cheie din
executiv.
- Deficiente
ale controlului intern, in special cele neabordate de conducere.
- Inconsecvente
intre strategia IT a entitatii si strategiile sale de
afaceri.
- Schimbari in
cadrul mediului IT.
- Instalarea unor
sisteme IT noi importante legate de raportarea financiara.
- Investigarea activitatii sau a
rezultatelor financiare ale entitatii de catre organele de
reglementare sau guvernamentale.
- Denaturari anterioare, o istorie a
erorilor sau un volum semnificativ de ajustari la finele perioadei.
- Volum semnificativ de tranzactii neuzuale
sau nesistematice inclusiv tranzactiile intre companii si
tranzactii cu venituri mari la finele perioadei.
- Tranzactii care sunt inregistrate pe baza
intentiei conducerii, de pilda, refinantarea datoriilor,
active de vandut si clasificarea titlurilor tranzactionabile.
- Aplicarea noilor norme contabile.
- Evaluari
contabile care implica procese complexe.
- Evenimente sau
tranzactii care implica incertitudini semnificative in ce
priveste evaluarea, inclusiv estimari contabile.
- Litigii pe rol
si datorii contingente, de exemplu, garantii post-vanzare,
garantii financiare si repararea daunelor provocate mediului
inconjurator.