STANDARDUL INTERNATIONAL DE AUDIT 315 - CUNOASTEREA ENTITATII SI MEDIULUI SAU SI EVALUAREA RISCURILOR DE DENATURARE SEMNIFICATIVA

(Aplicabil pentru auditarea situatiilor financiare aferente perioadelor care incep cu sau dupa data de 15 decembrie 2004).

Introducere

1. Scopul acestui Standard International de Audit (ISA) este de a stabili reguli si de a oferi recomandari privind cunoasterea entitatii si mediului sau, inclusiv controlul intern al acesteia precum si evaluarea riscurilor de denaturare semnificativa in auditul situatiilor financiare. Importanta evaluarii riscului de catre auditor ca baza pentru alte proceduri de audit este discutata la explicarea riscului de audit din ISA 200, "Obiectivul si principiile generale care guverneaza auditul situatiilor financiare".

2. Auditorul trebuie sa ajunga sa obtina o cunoastere a entitatii si a mediului sau, inclusiv controlul intern al acesteia, suficient pentru a identifica si evalua riscurile existentei denaturarilor semnificative ale situatiilor financiare fie ca acestea se datoreaza fraudei fie erorilor si suficient pentru a pune la punct si aplica proceduri de audit suplimentare. ISA 500, "Probe de audit", cere ca auditorul sa utilizeze asertiuni suficient de detaliate pentru a forma o baza pentru evaluarea riscurilor de denaturare semnificativa precum si pentru punerea la punct si aplicarea altor proceduri de audit. Prezentul ISA cere ca auditorul sa faca evaluari ale riscului la nivelul situatiilor financiare si asertiunilor pe baua unei cunoasteri corespunzatoare a entitatii si mediului sau, inclusiv a controlului intern al acesteia. ISA 330, "Procedurile auditorului ca raspuns la riscurile evaluate" discuta despre responsabilitatea auditorului de a stabili raspunsurile generale si de a pune la punct si aplica alte proceduri de audit a caror natura, durata si intindere raspund evaluarilor riscului. Cerintele si recomandarile acestui ISA se aplica impreuna cu cerintele si recomandarile din alte ISA. In particular, la ISA 240, "Responsabilitatea auditorului de a lua in considerare frauda si erorile in auditul situatiilor financiare" se discuta despre alte recomandari privind responsabilitatea auditorului de a evalua riscurile denaturarii semnificative datorate fraudei.

3. Ceea ce urmeaza reprezinta o imagine de ansamblu a cerintelor acestui standard:

• Procedurile de evaluare a riscului si sursele de informatii despre entitate si mediul sau, inclusiv controlul intern al acesteia. Aceasta sectiune explica procedurile de audit pe care auditorul trebuie sa le aplice pentru a cunoaste entitatea si mediul sau, inclusiv controlul intern (proceduri de evaluare a riscului). De asemenea cere discutii in randul echipei angajamentului despre susceptibilitatea la denaturari semnificative a situatiilor financiare.

• Cunoasterea entitatii si mediului sau, inclusiv a controlului intern al acesteia. Aceasta sectiune cere ca auditorul sa inteleaga aspecte specificate ale entitatii si mediului sau si componente ale controlului intern al acesteia pentru a identifica si evalua riscurile de denaturare semnificativa.

• Evaluarea riscurilor de denaturare semnificativa. Aceasta sectiune obliga auditorul sa identifice si evalueze riscurile de denaturare semnificativa la nivelul situatiilor financiare si cel al asertiunilor. Auditorul:

identifica riscurile prin analizarea  entitatii si mediului sau, inclusiv a controalelor relevante si prin analizarea claselor de tranzactii, soldurilor de conturi si prezentarilor de informatii din situatiile financiare;

coreleaza riscurile identificate cu ceea ce se poate gresi la nivelul asertiunilor; si

ia in considerare semnificatia si probabilitatea riscurilor.

Totodata aceasta sectiune cere auditorului sa determine daca vreunul dintre riscurile evaluate este risc semnificativ care sa necesite o atentie speciala in cadrul auditulu sau este un risc pentru care testele detaliate de audit in sine nu ofera suficiente probe de audit corespunzatoare. Auditorul trebuie sa evalueze modul in care sunt concepute sistemele de control ale entitatii, inclusiv activitatile de control relevante asupra acestor riscuri si sa determine daca au fost implementate sau nu.

• Comunicarea cu cei insarcinati cu guvernanta si managementul. Aceasta sectiune se ocupa cu probleme legate de controlul intern pe care auditorul le comunica celor insarcinati cu guvernanta si managementul.
• Documentatia. Aceasta sectiune stabileste cerintele aferente privind documentatia.

4. Cunoasterea entitatii si mediului sau este un aspect esential al efectuarii unui audit conform ISA. In special, aceasta stabileste un cadru de referinta in care auditorul planifica auditul si isi exercita rationamentul profesional despre evaluarea riscului de denaturare semnificativa a situatiilor financiare si reactionarea fata de acele riscuri in cursul auditului, de exemplu atunci cand:

• Se stabileste pragul de semnificatie si se evalueaza daca rationamentul privind pragul de semnificatie ramane adecvat pe masura ce auditul avanseaza;
• Se are in vedere daca selectia si aplicarea politicilor contabile sunt corespunzatoare si daca prezentarile din situatiile financiare sunt adecvate;
• Se identifica ariile in care este necesara o atentie speciala in audit, de exemplu, tranzactiile intre parti afiliate, aplicarea principiului continuitatii activitatii de catre conducere sau analizarea scopului comercial al tranzactiilor;
• Se stabilesc ipoteze pentru a fi utilizate la aplicarea procedurilor analitice;
• Se concep si aplica alte proceduri de audit pentru a reduce riscul de audit la un nivel acceptabil; si
• Se evalueaza suficienta si adecvarea probelor de audit obtinute, cum ar fi adecvarea prezumtiilor si declaratiilor orale si scrise ale conducerii.

5. Auditorul utilizeaza rationamentul profesional pentru a determina gradul necesar de cunoastere a entitatii si mediului sau, inclusiv a controlului intern al acesteia. Considerentul primordial al auditorului este daca are cunostinte suficiente pentru a evfalua riscurile de denaturare semnificativa a situatiilor financiare si pentru a pune la punct si aplica alte proceduri de audit. Gradul de cunoastere generala care este cerut de auditor pentru efectuarea auditului este mai mic decat cel posedat de management pentru conducerea entitatii.

Proceduri de evaluare a riscului si surse de informatii despre entitate si mediul sau, inclusiv controlul intern al acesteia

6. Cunoasterea entitatii si mediului sau, inclusiv controlul intern al acesteia este un proces continuu, dinamic de culegere, actualizare si analizare a informatiilor in cursul auditului. Asa cum este descris la ISA 500, procedurile de audit necesare cunoasterii sunt denumite "proceduri de evaluare a riscului" pentru ca anumite informatii obtinute prin aplicarea acestor proceduri pot fi utilizate de auditor ca probe de audit care sustin evaluarile riscurilor de denaturare semnificativa. In plus, la aplicarea procedurilor de evaluare a riscului, auditorul poate obtine probe de audit despre clase de tranzactii, solduri de cont, sau prezentari sde informatii si asertiuni conexe precum si despre eficienta operativa a controalelor, chiar daca astfel de proceduri de audit nu au fost prevazute expres ca teste detaliate de audit sau teste ale controalelor. De asemenea, auditorul poate alege sa urmeze teste detaliate sau teste ale controalelor in paralel cu procedurile de evaluare a riscului pentru ca asa este eficient.

proceduri de evaluare a riscului

7. Auditorul trebuie sa aplice urmatoarele proceduri de evaluare a riscului in vederea cunoasterii entitatii si mediului sau, inclusiv a controlului intern al acesteia:

(a)                Investigarea conducerii si altor persoane din cadrul entitatii;

(b)               Proceduri analitice; si

(c)                Observatia si inspectia.

Auditorului nu i se cere sa aplice toate procedurile de evaluare a riscului descrise mai sus pentru fiecare aspect al cunoasterii descrise la paragraful 20. Totusi, toate procedurile de evaluare a riscului sunt aplicate de auditor in cursul procesului de cunoastere necesara.

8. In plus, auditorul aplica alte proceduri de audit atunci cand informatiile obtinute pot fi utile la identificarea riscurilor de denaturare semnificativa. De exemplu, auditorul poate avea in vedere obtinerea de informatii de la consilierul juridic extern al entitatii sau de la expertii evaluatori pe care i-a folosit entitatea. Analizarea informatiilor obtinute din surse externe cum ar fi rapoarte ale analistilor, bancilor sau agentiilor de rating, sau revistele comerciale si economice; de asemenea publicatiile financiare sau cele ale organismelor de reglementare pot fi utile la obtinerea informatiilor despre entitate.

9. Desi multe dintre informatiile pe care auditorul le obtine din investigatii pot fi obtinute de la conducere si cei responsabili cu raportarea financiara, chestionarea altor persoane din interiorul entitatii, cum ar fi personalul de productie si de audit intern sau alti angajati cu diferite niveluri de autoritate pot fi utile oferind auditorului o perspectiva diferita in identificarea riscurilor de denaturare semnificativa. La determinarea altor persoane din interiorul entitatii care pot fi chestionate si a intinderii investigatiilor respective, auditorul are in vedere informatiile care ar putea fi obtinute si care ar ajuta la identificarea riscurilor de denaturare semnificativa. De exemplu:

Chestionarea celor insarcinati cu guvernanta poate ajuta auditorul sa inteleaga mediul in care sunt intocmite situatiile financiare.

Chestionarea personalului de audit intern se poate referi la activitatile lor privind conceptia si eficienta controlului intern al entitatii si la aflarea raspunsului la intrebarea daca managementul a reactionat satisfacator la constatarile care au rezultat din aceste activitati.

Chestionarea angajatilor implicati in initierea, procesarea sau inregistrarea tranzactiilor complexe sau neobisnuite poate ajuta auditorul la evaluarea selectiei si aplicarii anumitor politici contabile.

Chestionarea consilierului juridic intern se poate referi la astfel de probleme precum litigiile, respectarea legislatiei, informatiile despre frauda sau cazurile suspecte de frauda care afecteaza entitatea, garantiile si obligatiile post-vanzare, contractele (cum ar fi asocierile in participatiune) cu partenerii de afaceri si semnificatia conditiilor contractuale.

Chestionarea personalului de vanzare sau marketing se poate referi la schimbarile privind strategiile de marketing ale entitatii, tendintele in vanzare sau contractele cu clientii.

10. Procedurile analitice pot fi utile la identificarea existentei tranzactiilor sau evenimentelor neobisnuite si valorilor, indicatorilor si tendintelor care ar putea indica probleme cu implicatii asupra situatiilor financiare si auditului. La efectuarea procedurilor analitice ca proceduri de evaluare a riscului, auditorul face estimari privind relatiile plauzibile care se asteapta sa existe, in mod rezonabil. Atunci cand comparatia estimarilor respective cu valorile inregistrate sau indicatorii calculati pe baza valorilor inregistrate genereaza relatii neobisnuite sau neasteptate, auditorul ia in considerare acele rezultate la identificarea riscurilor de denaturare semnificativa. Cu toate acestea, daca aceste proceduri analitice folosesc date cumulate la un nivel ridicat (ceea ce este cazul deseori), rezultatele procedurilor analitice respective ofera doar indicii initiale largi despre posibila existenta a unei denaturari semnificative. In consecinta, auditorul ia in considerare rezultatele unor astfel de proceduri analitice impreuna cu alte informatii obtinute la identificarea riscurilor de denaturare semnificativa. Vezi ISA 520, "Proceduri analitice" pentru instructiuni suplimentare asupra utilizarii procedurilor analitice.

11. Observatia si inspectia pot sprijini investigarea conducerii si altor persoane si de asemenea ofera informatii despre entitate si mediul sau. Astfel de proceduri de audit de regula includ:

Observatia asupra activitatilor si operatiunilor entitatii.

Inspectia documentelor (cum ar fi planurile si strategiile de afaceri), evidentele si manualele de control intern.

Citirea rapoartelor intocmite de conducere (cum ar fi rapoartele de gestiune trimestriale si situatiile financiare interimare) si cei insarcinati cu guvernanta (cum ar fi procesele-verbale ale sedintelor consiliului de administratie).

Vizitele la sediul si punctele de lucru ale entitatii.

Urmarirea tranzactiilor prin sistemul de informatii relevante pentru raportarea financiara.

12. Atunci cand auditorul intentioneaza sa foloseasca informatii despre entitate si mediul sau obtinute in perioadele precedente, el trebuie sa determine daca au intervenit schimbari care sa poata afecta relevanta unor astfel de informatii pentru auditul curent. Pentru angajamentele succesive experienta anterioara a auditorului in ceea ce priveste entitatea contribuie la cunoasterea entitatii. De exemplu, procedurile de audit efectuate pentru auditul exercitiilor anterioare de regula furnizeaza probe de audit despre structura organizatorica, activitatea si controalele entitatii precum si informatii despre eventuale denaturari anterioare si daca acestea au fost sau nu corectate la timp, care ajuta auditorul la evaluarea riscurilor de denaturare semnificativa in cursul auditului curent. Cu toate acestea, astfel de informatii s-ar putea sa fi devenit nerelevante datorita schimbarilor din entitate sau mediul acesteia. Auditorul face investigatii si aplica alte proceduri de audit corespunzatoare, cum ar fi urmarirea procesarii informatiilor in sistem, pentru a stabili daca au aparut schimbari care pot afecta relevanta acestor informatii.

13. Atunci cand este relevant pentru audit, auditorul ia in considerare si alte informatii cum ar fi cele obtinute din acceptul dat de client auditorului sau procesul de continuare a mandatului de catre acesta, ori, acolo unde este posibil, din experienta dobandita din alte angajamente indeplinite pentru entitatea respectiva, de exemplu, angajamentele pentru revizuirea informatiilor financiare interimare.

Discutii in cadrul echipei care indeplineste angajamentul

14. Membrii echipei angajamentului trebuie sa discute susceptibilitatea situatiilor financiare ale entitatii la denaturari semnificative.

15. Obiectivul acestor discutii este acela ca membrii echipei angajamentului sa inteleaga mai bine posibilitatea existentei denaturarilor semnificative ale situatiilor financiare rezultand din fraude sau erori in domeniile specifice atribuite lor si sa inteleaga modul in care rezultatele procedurilor de audit pe care le indeplinesc ei pot afecta alte aspecte ale auditului inclusiv deciziile despre natura, timpul si intinderea altor proceduri de audit.

16. Discutiile ofera posibilitatea ca membrii echipei cu experienta mai bogata, inclusiv partenerul (auditorul cu drept de semnatura), sa impartaseasca din opiniile bazate pe informatiile despre entitate si ca membrii echipei sa faca schimb de informatii despre riscurile de afaceri[1] la care este supusa entitatea si despre modul si locul in care situatiile  financiare sunt susceptibile la denaturari semnificative. Asa cum cere ISA 240, un accent deosebit se pune pe susceptibilitatea situatiilor financiare ale entitatii la denaturari semnificative datorate fraudei. Discutiile abordeaza totodata aplicarea cadrului de raportare financiara aplicabil la datele si circusmtantele entitatii.

17. Rationamentul profesional este utilizat pentru a stabili care membrii ai echipei care indeplineste angajamentul sunt inclusi la discutii, cum si cand vor avea acestea loc si intinderea lor. Membrii cheie ai echipei angajamentului sunt de regula implicati in discutii; totusi, nu este necesar ca toti membrii echipei sa aiba cunostinte comprehensive despre toate aspectele auditului. Intinderea discutiilor este influentata de rolurile, experienta si nevoile de informare ale membrilor echipei angajamentului. Intr-un audit cu multiple locatii, de exemplu, pot exista multiple discutii care sa implice membrii cheie ai echipei angajamentului din fiecare locatie semnificativa. Un alt factor de luat in considerare la planificarea discutiilor este includerea sau nu a expertilor care au facut parte din echipa angajamentului. De exemplu, auditorul poate hotari ca includerea in echipa angajamentului a unui profesionist cu aptitudini privind tehnologia informatiei (IT)[2] sau de alta natura este necesara si de aceea sa includa acea persoana la discutii.

18. Asa cum o cere ISA 200, auditorul planifica si indeplineste auditul cu scepticism profesional. Discutiile intre membrii echipei angajamentului subliniaza nevoia de a mentine scepticismul profesional pe parcursul angajamentului, de a fi atenti la informatiile sau alte conditii care indica posibila aparitie a unei denaturari semnificative datorate fraudei sau erorii si de a da curs cu rigurozitate acestor indicii.

19. In functie de circumstantele auditului, pot exista alte discutii in vederea facilitarii unui schimb permanent de informatii intre membrii echipei angajamentului privind susceptibilitatea situatiilor financiare ale entitatii la denaturari semnificative. Scopul este ca membrii echipei angajamentului sa comunice si impartaseasca informatiile obtinute pe parcursul auditului care pot afecta evaluarea riscurilor de denaturare semnificativa datorata fraudei sau erorilor sau procedurile de audit aplicate pentru abordarea riscurilor.

Cunoasterea entitatii si mediului sau, inclusiv a controlului intern al acesteia

20. Cunoasterea de catre auditor a entitatii si mediului sau consta in intelegerea urmatoarelor aspecte:

(a)   Sectorul, factorii de reglementare si alti factori externi, inclusiv cadrul de raportare financiara aplicabil.

(b)   Natura entitatii, inclusiv selectia si aplicarea de catre entitate a politicilor contabile.

(c)   Obiectivele si strategiile precum si riscurile de afaceri aferente care pot genera o denaturare semnificativa a situatiilor financiare.

(d)   Evaluarea si revizuirea performantelor financiare ale entitatii.

(e)   Controlul intern.

Anexa 1 contine exemple de probleme pe care auditorul le poate avea in vedere pentru cunoasterea entitatii si mediului sau privind categoriile (a) la (d) de mai sus. Anexa 2 contine o explicatie detaliata a componentelor privind controlul intern.

21. Natura, timpul si intinderea procedurilor privind evaluarea riscului depind de circumstantele angajamentului cum ar fi marimea si complexitatea entitatii precum si experienta auditorului cu aceasta. In plus, identificarea schimbarilor semnificative la oricare dintre aspectele de mai sus privind entitatea din perioadele anetrioare este deosebit de importanta pentru cunoasterea suficienta a entitatii in vederea identificarii si evaluarii riscurilor de denaturare semnificativa.

Sectorul, factorii de reglementare si alti factori externi, inclusiv cadrul aplicabil de raportare financiara.

22. Auditorul trebuie sa obtina o cunoastere a sectorului relevant, factorii de reglementare si alti factori externi inclusiv cadrul aplicabil de raportare financiara. Acesti factori includ conditiile privind sectorul cum ar fi mediul competitiv, relatiile dintre furnizor si client, si evolutiile tehnologice; mediul de reglementare cuprinzand printre altele cadrul aplicabil de raportare financiara, mediul legal si politic, cerintele privind mediul inconjurator care afecteaza sectorul si entitatea; alti factori externi precum conditiile economice generale. Vezi ISA 250 "Considerente privind legislatia in auditul situatiilor financiare" pentru alte cerinte legate de cadrul legal si de reglementare aplicabil entitatii si sectorului din care face parte.

23. Sectorul in care opereaza entitatea poate da nastere unor riscuri specifice de denaturare semnificativa decurgand din natura afacerii sau gradul de reglementare. De exemplu, contractele pe termen lung pot implica estimari semnificative ale veniturilor si cheltuielilor care dau nastere la riscuri de denaturare semnificativa. In astfel de cazuri, auditorul analizeaza daca echipa angajamentului include membri cu suficiente cunostinte si experienta relevante.

24. Cerintele legislative stabilesc de multe ori cadrul aplicabil de raportare financiara ce urmeaza a fi utilizat de conducere la intocmirea situatiilor financiare ale entitatii. In majoritatea cazurilor, cadrul aplicabil de raportare financiara va fi cel al jurisdictiei in care este inregistrata sau functioneaza entitatea si auditorul isi desfasoara activitatea iar auditorul si entitatea cunsoc amandoi acel cadru. In anumite cazuri, s-ar putea sa nu existe un cadru local de raportare financiara, iar optiunea entitatii este guvernata de practicile locale, practicile din sectorul respectiv, nevoile utilizatorului sau alti factori. De exemplu, entitatile concurente pot aplica Standardele Internationale de Raportare Financiara (IFRS) iar entitatea poate hotari ca IFRS sunt adecvate si pentru cerintele sale de raportare financiara. Auditorul analizeaza daca legislatia locala specifica anumite cerinte de raportare financiara pentru sectorul din care face parte entitatea, intrucat situatiile financiare pot fi semnificativ denaturate in contextul cadrul aplicabil de raportare financiara daca managementul nu intocmeste situatiile financiare conform acestor reglementari.

Natura entitatii

25. Auditorul trebuie sa obtina o cunoastere a naturii entitatii. Natura entitatii se refera la activitatea ei, actionariatul si guvernanta, tipurile de investitii pe le face si direste sa le faca, felul in care este structurata si modul in care este finantata. Intelegerea naturii unei entitati permite auditorului sa inteleaga clasele de tranzactii, soldurile conturilor si prezentarile de informatii ce sunt asteptate a se regasi in situatiile financiare.

26. Entitatea poate avea o structura complexa cu filiale sau alte componente in multiple locatii. Pe langa dificultatile de consolidare in astfel de cazuri, alte aspecte cu structuri complexe care pot da nastere la riscuri de denaturare semnificativa sunt includ: alocarea pe segmente a fondului comercial si deprecierea sa; daca investitiile sunt sub forma asocierilor in participatiune, a filialelor sau a investitiilor contabilizate dupa metoda punerii in echivalenta; si daca entitatile cu scop special sunt contabilizate corespunzator.

27. Intelegerea actionariatului si a relatiilor dintre actionari (asociati) si alte persoane sau entitati este si ea importanta pentru a stabili daca tranzactiile intre parti afiliate au fost identificate si contabilizate corespunzator. ISA 550 "Parti afiliate" ofera indrumari in plus asupra considerentelor auditorului relevante pentru partile afiliate.

28. Auditorul trebuie sa inteleaga selectia si aplicarea de catre entitate a politicilor contabile si sa analizeze daca acestea sunt corespunzatoare pentru activitatea sa si consecvente fata de cadrul aplicabil de raportare financiara si politicile contabile utilizate in sectorul relevant. Intelegerea acestora presupune intelegerea metodelor pe care entitatea le foloseste pentru inregistrarea tranzactiilor semnificative si neobisnuite; intelegerea efectului politicilor contabile semnificative in domeniile controversate sau emergente pentru care exista o lipsa de linii directoare cu autoritate sau un consens; si intelegerea modificarilor in cadrul politicilor contabile ale entitatii. De asemenea auditorul identifica standardele si reglementarile de raportare financiara care sunt noi pentru entitate si ia in considerare momentul si modul in care entitatea va adopta astfel de cerinte. Acolo unde entitatea a schimbat selectia sau metoda de aplicare a unei politici contabile semnificative, auditorul analizeaza motivele schimbarii si daca aceasta este adecvata si conforma cu cerintele cadrului aplicabil de raportare financiara.

29. Prezentarea situatiilor financiare in conformitate cu cadrul aplicabil de raportare financiara presupune prezentarea adecvata a aspectelor semnificative. Aceste aspecte se refera la forma, aranjamentul si continutul situatiilor financiare si notelor anexate la acestea, incluzand de pilda terminologia utilizata, gradul de detaliere, clasificarea elementelor din situatii si baza de calcul a valorilor prezentate. Auditorul ia in considerare daca entitatea a prezentat un anumit aspect, in mod corespunzator, in lumina circumstantelor si faptelor cunoscute de auditor la acel moment.

obiectivele si strategiile si riscurile de afaceri aferente

30. Auditorul trebuie sa obtina o cunoastere a obiectivelor si strategiilor entitatii si riscurile de afaceri aferente care pot da nastere la denaturari semnificative ale situatiilor financiare. Entitatea isi desfasoara activitatea in contextul sectorului, factorilor de reglementare si altor factori endogeni si externi. Pentru a raspunde acestor factori, conducerea entitatii sau cei insarcinati cu guvernanta definesc obiectivele, care sunt planurile generale ale entitatii. Strategiile sunt abordarile operationale prin care conducerea intentioneaza sa indeplineasca obiectivele. Riscurile de afaceri rezulta din conditii semnificative, evenimente, circumstante, acte sau omisiuni care pot afecta capacitatea entitatii de realizare a obiectivelor si executarea a strategiilor sale, sau prin stabilirea de obiective si strategii inadecvate. Asa cum mediul extern se modifica, la fel desfasurarea activitatii unei entitati este un proces dinamic iar strategiile si obiectivele acesteia se modifica in timp.

31. Riscul de afaceri este mai cuprinzator decat riscul de denaturare semnificativa a situatiilor financiare, incluzandu-l pe cel din urma. Riscul de afaceri in particular poate lua nastere din schimbare sau complexitate, desi nerecunoasterea nevoii de schimbare poate duce si ea la risc. Schimbarea poate aparea, de exemplu, din dezvoltarea de noi produse care ar putea fi un esec; dintr-o piata neadecvata, chiar daca s-a dezvoltat cu succes; sau din deficiente care pot da nastere unor obligatii si unui risc privind reputatia. Intelegerea riscurilor de afaceri mareste probabilitatea identificarii riscurilor de denaturare semnificativa. Cu toate acestea, auditorul nu are responsabilitatea de a identifica sau evalua toate riscurile de afaceri.

32. Multe dintre riscurile de afaceri vor avea in final consecinte financiare si implicit un efect asupra situatiilor financiare. Totusi, nu toate riscurile de afaceri dau nastere la riscuri de denaturare semnificativa. Riscul de afaceri poate avea o consecinta imediata pentru riscul de denaturare pentru clase de tranzactii, solduri de conturi si prezentari de informatii la nivel de asertiune sau la nivelul intregului ansamblu de situatii financiare. De exemplu, riscul de afaceri aparand dintr-un portofoliu de clienti in scadere datorita consolidarii sectorului poate mari riscul de denaturare asociat cu evaluarea creantelor. Totusi, acelasi risc, in special in combinatie cu o economie in declin, poate avea de asemenea o consecinta pe termen mai lung, pe care auditorul o ia in considerare la evaluarea aplicarii principiului continuitatii activitatii. De aceea, auditorul hotaraste daca riscul de afaceri poate da nastere unei denaturari semnificative in lumina circumstantelor entitatii. Exemple de conditii si evenimente care pot indica riscuri de denaturare semnificativa sunt date in Anexa 3.

33. De regula, conducerea identifica riscurile de afaceri si pune la punct metode de abordare a lor. Un astfel de proces de evaluare a riscurilor este parte a controlului intern si este discutat la paragrafele 76 la 79.

34. Entitatile mai mici de multe ori nu-si stabilesc obiective si strategii si nu-si gestioneaza riscurile de afaceri aferente prin intermediul unor planuri sau procese formale. In multe cazuri s-ar putea sa nu existe nici o evidenta a acestor aspecte. La astfel de entitati, de regula auditorul obtine informatiile dorite prin chestionarea conducerii si observarea modului in care entitatea raspunde la astfel de probleme.

evaluarea si revizuirea performantelor financiare ale entitatii

35. Auditorul trebuie sa inteleaga evaluarea si revizuirea performantelor financiare ale entitatii. Evaluarea performantelor si revizuirea lor indica auditorului aspecte ale rezultatelor entitatii pe care conducerea si alte persoane le considera importante. Indicatorii de performanta, fie externi fie interni, creaza presiuni asupra entitatii care, la randul lor, pot motiva conducerea sa ia masuri de imbunatatire a rezultatelor activitatii sau sa denatureze situatiile financiare. Cunoasterea indicatorilor de performanta ai entitatii ajuta auditorul sa-si dea seama daca astfel de presiuni pot da nastere unor masuri ale conducerii care sa fi marit riscul de denaturare semnificativa.

36. Evaluarea si revizuirea performantelor financiare ale entitatii de catre conducere trebuie distinsa de monitorizarea sistemelor de control (discutata ca si componenta a controlului intern la paragrafele 96-99), desi scopurile lor se pot suprapune. Monitorizarea sistemelor de control, totusi, se ocupa in mod expres de operarea eficienta a controlului intern prin luarea in considerare a informatiilor despre control. Evaluarea si revizuirea performantelor este orientata catre a afla daca performantele activitatii satisfac obiectivele stabilite de management (sau terti), dar in anumite cazuri indicatorii de performanta ofera si ei informatii care permit conducerii sa identifice deficientele din controlul intern.

37. Informatiile generate intern si folosite de conducere in acest scop pot cuprinde indicatori cheie de performanta (financiari si de alta natura), bugete, analiza variantei, informatii pe segmente, rapoarte de performanta divizionale, departamentale sau la alt nivel si comparatii ale performantelor entitatii cu cele ale concurentei. Parti externe pot de asemenea evalua ti revizui performantele financiare ale entitatii. De exemplu, informatiile externe cum ar fi rapoartele analistilor si rapoartele agentiilor de rating pot furniza informatii utile pentru cunoasterea de catre auditor a entitatii si mediului ei. Deseori astfel de rapoarte se obtin de la entitatea supusa auditului.

38. Evaluarile interne pot evidentia rezultate neasteptate sau tendinte care solicita chestionarea altor persoane de catre conducere pentru a se stabili cauza si a se lua masuri corective (inclusiv, in anumite cazuri, detectarea si corectarea erorilor in timp util). De asemenea evaluarea performantelor poate indica auditorului un risc de denaturare a informatiilor aferente din situatiile financiare. De exemplu, evaluarea performantelor poate indica faptul ca entitatea inregistreaza o crestere sau profitabilitate neobisnuit de rapida comparativ cu aceea a altor entitati din aceeasi ramura. Astfel de informatii, in special combinate cu alti factori cum ar fi primele bazate pe rezultate sau remunerarea prin stimulente pot indica riscul potential de subiectivism din partea conducerii la intocmirea situatiilor financiare.

39. Multe dintre informatiile utilizate la evaluarea performantelor pot fi produse de sistemul de informatii al entitatii. In cazul in care conducerea presupune ca datele utilizate pentru revizuirea performantelor entitatii sunt exacte fara a avea o baza pentru prezumtia respectiva, pot exista erori in informatii conducand in mod potentia conducerea catre concluzii incorecte despre performante. Atunci cand auditorul intentioneaza sa faca uz de indicatorii de performanta pentru audit (de exemplu pentru procedurile analitice), auditorul are in vedere daca informatiile legate de revizuirea performantelor entitatii de catre conducere ofera o baza credibila si sunt suficient de precise pentru un astfel de scop. Daca face uz de indicatorii de performanta, auditorul verifica daca ei sunt suficient de precisi pentru a detecta denaturari semnificative.

40. Entitatile mai mici de obicei nu dispun de procese formale pentru evaluarea si revizuirea performantelor financiare ale entitatii. Cu toate acestea conducerea deseori se bazeaza pe anumiti indicatori cheie pe care cunostintele si experienta privind activitatea entitatii ii sugereaza a fi o baza credibila pentru evaluarea performantelor financiare si luarea masurilor corespunzatoare.

control intern

41. Auditorul trebuie sa obtina o cunoastere a controlului intern relevant pentru audit. Auditorul se foloseste de cunostintele pe care le are despre controlul intern pentru a identifica tipuri de denaturari semnificative, a lua in considerare factorii care afecteaza riscurile de denaturare semnificativa si a concepe natura, timpul si intinderea altor proceduri de audit. Controlul intern relevant pentru audit este discutat la paragrafele 47-53 de mai jos. In plus, profunzimea cunostintelor este discutata la paragrafele 54-56 de mai jos.

42. Controlul intern este procesul conceput si efectuat de cei insarcinati cu guvernanta, conducere si alti angajati in vederea furnizarii unei asigurari rezonabile despre realizarea obiectivelor cu privire la credibilitatea raportarii financiare, eficienta activitatii si conformitatea cu legislatia aplicabila. Rezulta ca acest control este conceput si implementat pentru a aborda riscurile de afaceri identificate care impieteaza asupra realizarii oricaruia dintre aceste obiective.

43. Controlul intern, asa cum este discutat in cadrul acestui ISA, este alcatuit din urmatoarele componente:

(a)   Mediul de control.

(b)   Procesul de evaluare a riscului de catre entitate.

(c)   Sistemul de informatii, inclusiv procesele de activitate aferente, relevant pentru raportarea financiara si comunicare.

(d)   Activitatile de control.

(e)   Monitorizarea controalelor.

Anexa 2 cuprinde o discutie detaliata asupra componentelor controlului intern.

44. Divizarea controlului intern in cele cinci componenteofera un cadru util pentru ca auditorii sa ia in considerare modul in care diferitele aspecte ale controlului intern al unei entitati pot afecta auditul. Divizarea nu reflecta neaparat modul in care entitatea ia in considerare si implementeaza controlul intern. De asemenea, considerentul primordial al auditorului este daca si cum controlul intern previne sau detecteaza si corecteaza denaturarile semnificative din clasele de tranzactii, soldurile de conturi sau prezentarile de informatii precum si asretiunile aferente si nu clasificarea sa pe anumite componente. In consecinta, auditorii pot utiliza o terminologie sau un cadru, pentru a descrie diverse aspecte ale controlului intern si efectul lor asupra auditului,   diferite de cele utilizate in acest ISA, cu conditia ca toate componentele descrise in acest ISA sa fie abordate.

45. Modul in care controlul intern este conceput si implementat variaza in functie de marimea si complexitatea entitatii. In mod specific, entitatile mai mici pot utiliza mijloace mai putin formale prec um si procese si proceduri mai simple pentru indeplinirea obiectivelor. De exemplu, entitatile mai mici cu o participare activa a conducerii in procesul de raportare financiara s-ar putea sa nu aiba descrieri detaliate ale procedurilor contabile sau politici scrise detaliate. Pentru anumite entitati, in special cele foarte mici, managerul-patron[3] poate indeplini functii care intr-o entitate mai mare sunt privite ca apartinand catorva dintre componentele controlului intern. De aceea, componentele controlului intern pot sa nu se distinga in mod clar in cadrul entitatilor mai micidar scopul lor de baza este la fel de valid.

46. In cadrul acestui ISA termenul "control intern" cuprinde toate cele cinci componente ale controlului intern discutate mai sus. In plus, termenul "controale" se refera la una sau mai multe componente sau la oricare aspect legat de acestea.

Controale relevante pentru audit

47. Exista un raport direct intre obiectivele unei entitati si controalele pe care aceasta le implementeaza pentrua furniza o asigurare rezonabila despre indeplinirea lor. Obiectivele entitatii si implcit sistemele de control sunt legate de raportarea financiar, activitatea si conformitate; totusi, nu toate aceste obiective si controale sunt relevante pentru evaluarea riscului de catre auditor.

48. In mod obisnuit, controalele relevante pentru un audit se refera la obiectivul entitatii de a intocmi situatii financiare in scopuri externe care sa prezinte o imagine fidela in conformitate cu cadrul aplicabil de raportare financiara si la gestionarea riscului de denaturare semnificativa a acelor situatii financiare. Este o problema de rationament profesional a auditorului, sub rezerva cerintelor acestui ISA, daca un control, individual sau in combinatie cu altele, este relevant fata de considerentele auditorului in evaluarea riscurilor de denaturare semnificativa si conceperea si aplicarea procedurilor suplimentare ca raspuns la riscurile evaluate. In exercitarea acelui rationament, auditorul judeca circumstantele, componenta si factorii aplicabili cum ar fi:

Rationamentul auditorului despre pragul de semnificatie.

Marimea entitatii.

Natura activitatii entitatii inclusiv organizarea sa si caracteristicile privind proprietatea.

Diversitatea si complexitatea activitatii entitatii.

Cerintele legale si de reglementare aplicabile.

Natura si complexitatea sistemelor care fac parte din controlul intern al entitatii inclusiv utilizarea firmelor de prestari servicii.

49. Controalele asupra exhaustivitatii si exactitatii informatiilor produse de entitate pot fi si ele relevante pentru audit daca auditorul intentioneaza sa faca uz de informatiile respective la conceperea si aplicarea procedurilor suplimentare. Experienta anterioara a auditorului in ceea ce priveste entitatea si informatiile obtinute in cadrul procesului de cunoastere a entitatii si mediului sau si pe parcursul auditului ajuta auditorul la identificarea controalelor relevante pentru audit. Mai departe, desi controlul intern se aplica intregii entitati sau oricareia dintre unitatile sale de operare ori procese de activitate, cunoasterea controlului intern referitor la fiecare dintre unitatile de operare sau procese de activitate ale entitatii s-ar putea sa nu fie relevanta pentru audit.

50. Cu toate acestea, controalele privind activitatea si obiectivele de conformitate pot fi relevante pentru audit daca ele se refera la date pe care auditorul le evalueaza sau utilizeaza la aplicarea procedurilor de audit. De exemplu, controalele privind datele nefinanciare pe care auditorul le utilizeaza in procedurile analitice, cum ar fi datele statistice privind productia sau controalele privind detectarea cazurilor de nerespectare a legislatiei care ar putea avea un efect direct si semnificativ asupra situatiilor financiare, cum ar fi controalele asupra conformitatii cu legislatia privind impozitul pe profit utilizata pentru a determina provizionul aferent impozitul pe profit, ar putea fi relevante pentru audit.

51. O entitate in general are controale referitoare la obiective care nu sunt relevante pentru un audit si de aceea nu trebuie luate in considerare. De exemplu, entitatea poate sa se bazeze pe un sistem sofisticat de controale automate care sa asigure operatiuni eficiente (cum ar fi sistemul de controale automate din aviatia civila de mentinere a orarelor de zbor), dar aceste controale nu sunt de regula relevante pentru audit.

52. Controlul intern asupra protejarii activelor impotriva achizitiilor, utilizarii sau vanzarilor neautorizate pot include controale referitoare la raportarea financiara si obiective ale activitatii. Pentru a intelege fiecare componenta a controlului intern, in ceea ce priveste controalele de protejare, auditorul se limiteaza la acele controale relevante pentru credibilitatea raportarii financiare. De exemplu, utilizarea controalelor de acces, cum sunt parolele, care limiteaza accesul la date si programe care proceseaza debursarile de numerar ar putea fi relevanta pentru auditul situatiilor financiare. Dimpotriva, controalele de prevenire a utilizarii excesive a materialelor in productie nu sunt in general relevante pentru auditul situatiilor financiare.

53. Controale relevante pentru audit pot exista in orice componenta a controlului intern iar o alta discutie asupra controalelor relevante pentru audit este prezentata la titlul fiecarei componente de control intern de mai jos. In plus, paragrafele 113 si 115 prezinta anumite riscuri pentru care auditorul trebuie sa evalueze conceptia sistemelor de control ale entitatii asupra acestor riscuri si sa determine daca ele au fost implementate.

Profunzimea cunoasterii controlului intern

54. Cunoasterea controlului intern presupune evaluarea conceptiei unui control si a stabili daca acesta a fost implementat. Evaluarea conceptiei unui control presupune a avea in vedere daca respectivul control, individual sau in combinatie cu alte controale este apt sa previna, sau detecteze si corecteze, in mod eficient denaturarile semnificative. Alte explicatii sunt cuprinse in discutia asupra fiecarei componente de control intern de mai jos. Implementarea unui control inseamna ca acel control exista si ca entitatea face uz de el. Auditorul ia in considerare conceptia unui control pentru a stabili daca ia in considerare implementarea sa. Un control impropriu conceput poate reprezenta o deficienta semnificativa[4] a controlului intern al entitatii iar auditorul va analiza posibilitatea de a comunica acest lucru celor insarcinati cu guvernanta si managementul asa cum o cere paragraful 120.

55. Procedurile de evaluare a riscului pentru obtinerea probelor de audit despre conceptia si implementarea controalelor relevante pot include chestionarea personalului entitatii, observarea aplicarii controalelor specifice, inspectarea documentelor si rapoartelor si urmarirea tranzactiilor prin sistemul de informatii relevant pentru raportarea financiara. Chestionarea singura nu este suficienta pentru a evalua conceptia unui sistem de control relevant pentru audit si a stabili daca acesta a fost implementat.

56. Cunoasterea controalelor unei entitati nu este suficienta pentru a servi ca testare a eficientei operative a controalelor, decat daca exista un anumit automatism care sa asigure aplicarea consecventa a operarii controlului (elementele manuale si automate ale controlului intern relevante pentru audit sunt descrise mai jos). De exemplu, obtinerea probelor de audit despre implementarea unui control operat manual la un moment dat nu furnizeaza probe de audit despre eficienta operativa a controlului la alte momente pe parcursul perioadei auditate. Totusi, IT-ul permite unei entitati sa procese un volum mare de date cu consecventa si sporeste capacitatea entitatii de a monitoriza desfasurarea activitatilor de control si de a realiza segregarea eficienta a datoriilor prin implementarea controalelor de securitate in aplicatii, baze de date si sisteme de operare. De aceea, datorita consecventei inerente a procesarii IT, aplicarea procedurilor de audit pentru a stabili daca un control automat a fost sau nu implementat poate servi ca test al eficientei operative a controlului respectiv, in functie de evaluarea auditorului si testarea controalelor cum ar fi cele asupra modificarilor de program. Testele de eficienta operativa a controalelor sunt descrise mai departe la ISA 330.

Caracteristicile elementelor manuale si automate ale controlului intern relevante pentru evaluarea de catre auditor a riscului

57. Majoritatea entitatilor fac uz de sistemele IT pentru raportarea financiara si in scopuri operationale. Totusi, chiar si atunci cand IT-ul este extensiv utilizat exista si elemente manuale in cadrul sistemelor. Raportul intre elementele manuale si cele automate variaza. In anumite cazuri, in special, cel al entitatilor mai mici, mai putin complexe, sistemele pot fi cu preponderenta manuale. In alte cazuri, gradul de automatizare poate varia de la anumite sisteme substantial automatizate cu putine elemente manuale la altele, chiar in cadrul aceleiasi entitati, predominant manuale. In consecinta, sistemul de control intern al unei entitati este probabil sa contina elemente manuale si automate, ale caror caracteristici sunt relevante pentru evaluarea riscului de catre auditor si alte proceduri de audit bazate pe aceasta.

58. Utilizarea elementelor manuale sau automate in controlul intern afecteaza si maniera in care tranzactiile sunt initiate, inregistrate, procesate si raportate. [5] Controalele dintr-un sistem manual pot include proceduri precum aprobarile si revizuirile activitatilor precum si reconcilierile si urmarirea elementelor reconciliante. In mod alternativ, o entitate poate folosi proceduri automate pentru a initia, inregistra, procesa si raporta tranzactii, caz in care evodentele in format electronic inlocuiesc documentele cum sunt ordinele de cumparare, facturile, documentele de expeditie si evidentele contabile aferente. Controalele din sistemele IT constau dintr-o combinatie de controale automatizate (de exemplu, controalele incorporate in programele de calculator) si controale manuale. Mai departe, controalele manuale pot fi independente de IT, pot utiliza informatii produse de IT sau se pot limita la monitorizarea functionarii eficiente a IT si a controalelor automatizate si la tratarea exceptiilor. Atunci cand IT-ul este folosit pentru a initia, inregistra, rpocesa sau raporta tranzactii sau alte date financiare pentru includerea in situatiile financiare, sistemele si programele pot include controale referitoare la asertiunile corespondente pentru conturile semnificative sau pot fi critice pentru eficienta functionare a controalelor manuale care depind de IT. Mixtura dintre controalele manuale si cele automatizate intr-o entitate variaza in functie de natura si complexitatea utilizarii IT-ului de catre entitate.

59. In general, IT-ul ofera beneficii potentiale de eficienta pentru controlul intern al unei entitati deoarece permite acesteia sa:

Aplice cu consecventa reguli de afaceri predefinite si sa efectueze calcule complexe la procesarea unui volum mare de tranzactii sau date;

Amelioereze oportunitatea, disponibilitatea si exactitatea informatiilor;

Faciliteze analiza suplimentara a informatiilor;

Amelioreze capacitatea de monitorizare a performantelor activitatii entitatii si a politicilor si procedurilor sale;

Reduca riscul ca sistemele de control sa fie eludate; si

Amelioreze capacitatea de realizare a unei segregari eficiente a datoriilor prin implementarea controalelor de securitate in aplicatii, baze de date si sisteme de operare.

60. IT-ul de asemenea genereaza riscuri specifice pentru controlul intern al unei entitati, incluzand urmatoarele:

Increderea in sisteme sau programe care proceseaza date in mod inexact, proceseaza date inexacte sau ambele.

Accesul neautorizat la date care poate genera distrugerea de date sau schimbari neavenite de date, inclusiv inregistrarea de tranzactii neautorizate sau inexistente ori inregistrarea inexacta a tranzactiilor. Riscuri specifice pot aparea acolo unde mai multi utilizatori acceseaza o baza de date comuna.

Posibilitatea ca personalul IT sa dobandeasca un acces privilegiat dincolo de ceea ce este necesar pentru indeplinirea sarcinilor atribuite incalcand prin aceasta segregarea datoriilor.

Schimbarile neautorizate de date in fisierele master.

Schimbarile neautorizate aduse sistemelor sau programelor.

Interventia manuala inoportuna.

Pierderea potentiala de date sau incapacitatea de accesare necesara a datelor.

61. Aspectele manuale ale sistemelor pot fi mai adecvate acolo unde judecata si discretia sunt necesare cum este cazul pentru urmatoarele situatii:

Tranzactii mari, neobisnuite sau nerecurente.

Situatii in care erorile sunt dificil de definit, anticipat sau prezis.

In situatiile in schimbare care solicita o reactie a controlului in afara ariei de aplicabilitate a unui control automatizat existent.

In monitorizarea eficientei controalelor automatizate.

62. Controalele manuale sunt efectuate de oameni si de aceea genereaza riscuri specifice pentru controlul intern al entitatii. Controalele manuale pot fi mai putin credibile decat cele automatizate deoarece ele pot mai usor trecute cu vederea, ignorate sau ocolite si de asemenea sunt si mai predispuse la erori si greseli simple. De aceea, consecventa aplicarii unui element de control manual nu poate fi presupusa. Sistemele manuale pot fi mai putin potrivite pentru urmatoarele situatii:

Volum mare de tranzactii recurente sau in situatiile in care erorile care pot fi anticipate sau prezise pot fi prevenite sau detectate de parametrii de control care sunt automatizati.

Activitatile de control in care modalitatile specifice de efectuare a controlului pot fi concepute si automatizate in mod corespunzator.

63. Intinderea si natura riscurilor de control intern variaza in functie de natura si caracteristicile sistemului de informatii al entitatii. De aceea pentru intelegerea controlului intern, auditorul are in vedere daca entitatea a reactionat adecvat la riscurile provenind din utilizarea IT-ului sau sistemelor automatizate prin stabilirea unor controale eficiente.

Limitele controlului intern

64. Controlul intern indiferent de modul in care este conceput si opereaza poate oferi entitatii doar o asigurare rezonabila despre indeplinirea obiectivelor de raportare financiara ale entitatii. Probabilitatea de realizare este afectata de limitele inerente controlului intern. Aceastea includ realitatea faptului ca judecata umana in luarea deciziilor poate fi defectuoasa si ca in controlul intern pot aparea lacune datorita erorii umane, cum sunt greselile sau erorile simple. De exemplu, daca personalul din sistemul de informatii al unei entitati nu intelege pe deplin modul in care sistemul de inregistrare a comenzilor proceseaza vanzarile, el poate concepe in mod eronat schimbarile ce sunt necesare sistemului pentru a procesa vanzarile pentru o noua linie de produse. Pe de alta parte, astfel de schimbari pot fi corect concepute dar intelese gresit de cei care convertesc conceptia intr-un cod-program. Erorile pot de asemenea sa apara la utilizarea informatiilor produse de IT. De exemplu, controalele automatizate pot fi concepute sa raporteze tranzactiile peste o anumita valoare specificata in vederea analizarii lor de catre conducere, dar cei responsabili cu desfasurarea analizei s-ar putea sa nu inteleaga scopul unor astfel de rapoarte si in consecinta sa nu le analizeze sau sa nu investigheze elementele neobisnuite.

65. In plus, controalele pot fi eludate prin asocierea a doua sau mai multor persoane in acest scop sau prin ignorarea controlului intern de catre conducere in mod inadecvat. De exemplu, conducerea poate incheia contracte colaterale cu clientii care modifica termenii si conditiile contractelor standard de vanzare ale entitatii, ceea ce poate da nastere la o recunoastere improprie a veniturilor. De asemenea, verificarile de editare dintr-un program soft care sunt concepute sa identifice si raporteze tranzactiile care depasesc anumite limite de credit specificate ar putea fi ignorate sau deselectate.

66. Entitatile mai mici deseori au mai putini angajati ceea ce poate limita masura in care este posibila segregarea sarcinilor. Totusi, pentru domeniile cheie chiar si intr-o entitate foarte mica s-ar putea sa fie posibila implementarea unui anumit grad de segregare a sarcinilor sau alta forma de control simpla dar eficienta. Posibilitatea de eludare a controalelor de catre patronul-manager depinde in mare masura de mediul de control si in special de atitudinea patronului-manager fata de importanta controlului intern.

Mediul de control

67. Auditorul trebuie sa obtina o cunoastere a mediului de control. Mediul de control include guvernanta si functiile manageriale precum si atitudinea, constientizarea si masurile celor insarcinati cu guvernanta si conducerea privind controlul intern al entitatii si importanta sa in entitate. Mediul de control stabileste tonul unei organizatii, influentand constiinta oamenilor sai privind controlul. Este temelia unui control intern eficient, asigurand disciplina si structura.

68. Responsabilitatea primara pentru prevenirea si detectarea fraudelor si erorilor apartine celor insarcinati cu guvernanta si conducerii, deopotriva. La evaluarea conceptiei mediului de control si pentru a stabili daca acesta a fost implementat, auditorul intelege cum conducerea, sub supravegherea celor insarcinati cu guvernanta, a creat si mentinut o cultura de onestitate si comportament etic si a pus la punct controale adecvate pentru a preveni si detecta fraudele si erorile intr-o entitate.

69. La evaluarea conceptiei mediului de control al entitatii, auditorul ia in considerare urmatoarele elemente si modul in care ele au fost incorporate in procesele entitatii:

(a)   Comunicarea si impunerea integritatii si valorilor etice  - elemente esentiale care influenteaza eficienta conceptiei, administrarii si monitorizarii controalelor.

(b)   Angajamentul fata de competenta - luarea in considerare de catre conducere a nivelurilor de competenta pentru anumite sarcini si modul in care acele niveluri se materializeaza in aptitudini si cunostinte necesare.

(c)   Participarea de catre cei insarcinati cu guvernanta - independenta fata de conducere, experienta si statutul lor, gradul lor de implicare si analizarea activitatii, informatiile pe care le primesc, gradul in care problemele dificile sunt ridicate si urmarite de conducere si interactiunea lor cu auditorii interni si externi.

(d)   Filozofia si stilul de operare al conducerii - abordarea conducerii fata de asumarea si gestionarea riscurilor de afaceri si atitudinea si masurile conducerii in directia raportarii financiare, a procesarii informatiilor si a personalului si functiilor contabile.

(e)   Structura organizationala - cadrul in care activitatea unei entitati pentru realizarea obiectivelor sale este planificata, executata, controlata si revizuita.

(f)    Desemnarea autoritatii si responsabilitatii - modul in care sunt desemnate autoritatea si responsabilitatea pentru activitatile operationale si modul in care sunt stabilite relatiile de raportare si ierarhiile de autorizare.

(g)   Politicile si practicile privind resursele umane - recrutarea, orientarea, instruirea, evaluarea, consilierea, promovarea , compensarea si masurile de remediere.

70. Pentru a intelege elementele mediului de control, auditorul are in vedere si daca ele au fost implementate. In mod obisnuit, auditorul obtine probe de audit relevante printr-o combinatie de investigatii si alte proceduri de evaluare a riscului, de exemplu, prin coroborarea investigatiilor co observatia sau inspectia documentelor. De exemplu, prin chestionarea conducerii si angajatilor, auditorul poate intelege modul in care conducerea comunica angajatilor optica sa asupra practicilor de afaceri si comportamentului etic. Auditorul stabileste daca au fost implementate controalele, vazand daca managementul a pus la punct un cod formal de conduita si daca acesta actioneaza intr-o maniera care sprijina codul sau incurajeaza incalcarea sa ori autorizeaza exceptiile de la cod.

71. Probele de audit pentru elementele mediului de control s-ar putea sa nu fie disponibile sub forma unor documente, in special la entitatile mai mici unde comunicarea dintre conducere si ceilalti angajati ar putea fi informala dar eficienta. De exemplu, anagajamentul conducerii fata de valorile etice si competenta este deseori transpus prin comportamentul de care da dovada in conducerea activitatii entitatii in loc de un cod de conduita in forma scrisa. In consecinta, atitudinea, constientizarea si masurile conducerii sunt de o importanta particulara pentru conceperea mediului de control al unei entitati mai mici. In plus, rolul celor insarcinati cu guvernanta este deseori asumat de patronul-manager atunci cand nu exista alti patroni.

72. Responsabilitatile generale ale celor insarcinati cu guvernanta sunt recunoscute in codurile de practica si alte regulamente sau ghiduri elaborate pentru cei insarcinati cu guvernanta. Este unul, dar nu singurul, rol al celor insarcinati cu guvernanta de a contrabalansa presiunea asupra conducerii in ceea ce priveste raportarea financiara. De exemplu, baza de remunerare a conducerii poate fi un factor de stres pentru conducere provenind din cererile conflictuale de raportare fidela si beneficiile percepute ale rezultatelor imbunatatite. Pentru intelegerea conceptiei mediului de control, auditorul ia in considerare aspecte precum independenta administratorilor si capacitatea lor de a evalua masurile conducerii. Auditorul ia in considerare si daca exista un comitet de audit care sa inteleaga tranzactiile entitatii si sa evalueze daca situatiile financiare ofera o imagine fidela in conformitate cu cadrul aplicabil de raportare financiara.

73. Natura mediului de control al unei entitati este in asa fel incat are un efect cuprinzator asupra evaluarii riscurilor de denaturare semnificativa. De exemplu, controalele patronului-manager pot atenua lipsa segregarii sarcinilor intr-o entitate mica sau un consiliu de administratie activ si independent poate influenta folozofia si stilul de operare al unei conduceri superioare in entitatile mai mari. Evaluarea de catre auditor a conceptiei mediului de control al entitatii presupune a lua in considerare daca punctele forte din elementele mediului de control ofera impreuna un temei adecvat pentru celelalte componente ale controlului intern si nu sunt subminate de carentele mediului de control. De exemplu, politicile si practicile privind resursele umane directionate catre angajarea de personal financiar, contabil si IT competent s-ar putea sa nu atenueze tendinta conducerii superioare de a supraevalua rezultatele. Schimbarile din mediul de control pot afecta relevanta informatiilor obtinute in cursul angajamentelor de audit anterioare. De exemplu, decizia conducerii de a angaja resurse suplimentare in pregatirea profesionala si constientizarea activitatilor de raportare financiara poate reduce riscul erorilor in procesarea informatiilor financiare. In schimb, refuzul conducerii de a angaja suficiente resurse pentru a abora riscurile de securitate perezentate de IT poate afecta controlul intern permitand efectuarea de modificari neavenite la programele de calculator sau la date sau permitand procesarea unor tranzactii neautorizate.

74. Existenta unui mediu de control satisfacator poate fi un factor pozitiv atunci cand auditorul evalueaza riscurile de denaturare semnificativa si dupa cum reiese din paragraful 5 al ISA 330 influenteaza natura, timpul si intinderea procedurilor suplimentare ale auditorului. In special, poate ajuta la reducerea riscului de frauda desi un mediu de control satisfacator nu este un obstacol absolut in calea fraudei. In schimb, carentele din mediul de control pot submina eficienta controalelor si de aceea sa fie factori negativi in evaluarea de catre auditor a riscurilor de denaturare semnificativa, in special in ce priveste frauda.

75. Mediul de control in sine nu previne sau detecteaza si corecteaza o denaturare semnificativa a claselor de tranzactii, soldurilor de conturi si prezentarilor de informatii si asertiunilor aferente. De aceea, auditorul de obicei ia in considerare efectul altor componente impreuna cu mediul de control atunci cand evalueaza riscurile de denaturare semnificativa; de pilda monitorizarea controalelor si operarea unor activitati de control specifice.

Procesul de evaluare a riscului de catre entitate

76. Auditorul trebuie sa obtina o cunoastere a procesului, din cadrul entitatii, de identificare a riscurilor de afaceri relevante pentru obiectivele de raportare financiara si de luare a hotararilor asupra masurilor de contracarare a acelor riscuri si rezultatele acestuia. Procesul este descris ca "proces de evaluare a riscului de catre entitate" si formeaza baza de stabilire de catre conducere a riscurilor ce trebuie gestionate.

77. La evaluarea conceptiei si implementarii procesului de evaluare a riscului de catre entitate, auditorul stabileste modul in care conducerea identifica riscurile de afaceri relevante pentru raportarea financiara, estimeaza semnificatia riscurilor, evalueaza probabilitatea aparitiei lor si hotaraste asupra masurilor de gestionare a lor. Daca procesul de evaluare a riscurilor de catre entitate este corespunzator date fiind circumstantele, aceasta ajuta auditorul sa identifice riscurile de denaturare semnificativa.

78. Auditorul se intereseaza de riscurile de afaceri pe care le-a identificat conducerea si vede daca ele pot da nastere unei denaturari semnificative. In cursul auditului, auditorul poate identifica riscuri de denaturare semnificativa pe care conducerea nu le-a identificat. In astfel de cazuri, auditorul are in vedere daca a existat un risc de baza de un asa fel incat ar fi trebuit identificat in cadrul procesului de evaluare a riscului de catre entitate si daca da, de ce nu s-a intamplat acest lucru si daca procesul este corespunzator in circumstantele date. Daca, drept consecinta, auditorul considera ca exista o deficienta semnificativa in cadrul procesului de evaluare a riscului de catre entitate, el va comunica acest aspect celor insarcinati cu guvernanta asa cum o cere paragraful 120.

79. Intr-o entitate mai mica, conducerea s-ar putea sa nu dispuna de un proces formal de evaluare a riscului ca la paragraful 76. Pentru astfel de entitati, auditorul discuta cu conducerea despre modul in care aceasta identifica si trateaza riscurile afacerii.

Sistemul de informatii, inclusiv procesele de activitate aferente, relevant pentru raportarea financiara si comunicarea

80. Sistemul de informatii relevant pentru obiectivele de raportare financiara, care include sistemul contabil, este alcatuit din proceduri si evidente menite sa initieze, inregistreze, proceseze si raporteze tranzactiile entitatii (precum si evenimentele si conditiile) si sa asigure raspunderea pentru activele, datoriile si capitalul propriu aferente.

81. Auditorul trebuie sa obtina o cunoastere a sistemului de informatii, inclusiv procesele de activitate aferente, relevant pentru raportarea financiara, cuprinzand urmatoarele domenii:

Clasele de tranzactii din activitatea entitatii care sunt semnificative pentru situatiile financiare.

Procedurile, atat din sistemul manual cat si din cel informatic, dupa care acele tranzactii sunt initiate, inregistrate, procesate si raportate in situatiile financiare.

Evidentele contabile conexe, fie electronice fie manuale, care sustin informatiile si conturile specifice din situatiile financiare in privinta initierii, inregistrarii, procesarii si raportarii tranzactiilor.

Modul in care sistemul de informatii surprinde evenimentele si conditiile, in afara claselor de tranzactii, care sunt importante pentru situatiile financiare.

Procesul de raportare financiara folosit la intocmirea situatiilor financiare, inclusiv estimarile contabile semnificative si prezentarile de informatii

82. Pentru aceasta, auditorul ia in considerare procedurile utilizate pentru transferarea informatiilor din sistemele de procesare a tranzactiilor in registrul-jurnal sau sistemele de raportare financiara. Totodata auditorul trebuie sa inteleaga procedurile entitatii de strangere a informatiilor relevante pentru raportarea financiara a altor evenimente si conditii in afara tranzactiilor, cum ar fi amortizarea activelor si schimbarile privind recuperabilitatea creantelor.

83. De regula sistemul de informatii al unei entitati include utilizarea unor inregistrari standard care sunt necesare in mod regulat pentru a inregistra tranzactii precum vanzarile, achizitiile si platile din registrul-jurnal sau pentru a inregistra estimarile contabile facute periodic de conducere, cum ar fi schimbarile in ceea ce priveste estimarea creantelor neincasabile.

84. Procesul de raportare financiara al unei entitati de asemenea include utilizarea unor inregistrari non-standard pentru a surprinde tranzactii sau ajustari nerecurente si neobisnuite. Exemple de astfel de inregistrari includ ajustarile si inregistrarile de consolidare pentru o combinare sau vanzare de intreprinderi ori estimari nerecurente precum deprecierea activelor. In cadrul sistemelor de registru-jurnal manuale pe suport de hartie, inregistrarile non-standard pot fi identificate prin inspectia registrelor, jurnalelor si documentelor justificative. Totusi, atunci cand sunt utilizate proceduri automatizate. Totusi, atunci cand sunt utilizate proceduri automatizate pentru a tine registrul-jurnal si a intocmi situatiile financiare, astfel de inregistrari pot exista doar in forma electronica si pot fi mai usor identificate prin utilizarea tehnicilor de audit asistate de calculator.

85. Intocmirea situatiilor financiare ale entitatii include proceduri care sunt menite sa asigure informatiile cerute a fi prezentate de cadrul aplicabil de raportare financiara sunt acumulate, inregistrate, procesate, sintetizate si raportate corespunzator in situatiile financiare.

86.  Pentru a intelege toate acestea, auditorul ia in considerare riscurile de denaturare semnificativa asociate cu eludarea necorpeunzatoare a controalelor asupra inregistrarilor contabile si controalele care vizeaza inregistrarile contabile altele decat cele standard. De exemplu, procesele si controalele automatizate pot reduce riscul unor erori inadvertente dar nu previn riscul ca anumite persoane sa treaca in mod neavenit peste astfel de procese automatizate prin, de exemplu, modificarea sumelor care se transmit automat registrului-jurnal sau sistemului de raportare financiara. Mai departe, auditorul este constient ca atunci cand tehnologia informatica este folosita pentru a transfera automat informatii, s-ar putea sa existe putine probe evidente sau deloc asupra unor astfel de interventii in sistemele de informatii.

87.  Totodata auditorul intelege modul in care procesarea incorecta a tranzactiilor este rezolvata, de exemplu, daca exista un fisier in suspensie automatizat si cum este acesta utilizat de catre entitate pentru a se asigura rezolvarea la timp a problemelor in asteptare si modul in care sunt procesate sicontabilizate cazurile de eludare sau incalcare a sistemului.

88.  Auditorul trebuie sa inteleaga sistemul de informatii al entitatii relevant pentru raportarea financiara intr-o maniera corespunzatoare fata de circumstantele entitatii. Aceasta presupune intelegerea modului in care tranzactiile sunt initiate in cadrul proceselor de activitate ale entitatii. Procesele de activitate ale entitatii sunt activitati menite sa dezvolte, achizitioneze, produca, vanda si distribuie produsele si serviciile entitatii; sa asigurea respectarea legislatiei; si sa inregistreze informatiile, inclusiv cele contabile si privind rapoartarea financiara.

89.  Auditorul trebuie sa inteleaga modul in care entitatea comunica rolurile si responsabilitatile privind raportarea financiara si problemele semnificative referitoare la raportarea financiara. Comunicarea implica asigurarea intelegerii rolurilor si responsabilitatilor individuale referitoare la controlul intern asupra raportarii financiare si poate lua forma de pilda a unor manuale de politici si manuale de raportare financiara. Aceasta include masura in care personalul intelege modul in care activitatile lor din cadrul sistemului de informatii privind raportarea financiara se coreleaza cu munca altora si mijloacele de raportare a exceptiilor unui nivel ierarhic superiror in cadrul entitatii. Canalele deschise de comunicare ajuta la a asigura raportarea si luarea de masuri asupra exceptiilor. Intelegerea de catre auditor a comunicarii referitoare la problemele de raportare financiara include si comunicarile intre conducere si cei insarcinati cu guvernanta, in special comitetul de audit, precum si comunicarile externe cum sunt cele cu autoritatile de reglementare.

Activitati de control

90.  Auditorul trebuie sa obtina o cunoastere suficienta a activitatilor de control pentru a evalua riscurile de denaturare semnificativa la nivelul asertiunilor si pentru a concepe alte proceduri de audit care sa vina in intampinarea riscurilor evaluate. Activitatile de control sunt politicile si procedurile care ajuta la a asigura indeplinirea directivelor conducerii; de exemplu, ca se iau masurile necesare pentru a contracara riscurile care impieteaza asupra realizarii obiectivelor entitatii. Activitatile de control, fie in cadrul sistemelor informatizate fie in cadrul celor manuale, au diverse obiective si se aplica la diverse niveluri organizationale si functionale. Exemple de activitati specfice de control includ pe acelea referitoare la:

Autorizare.

Revizuirea performantelor.

Procesarea informatiilor.

Controalele fizice.

Segregarea datoriilor.

91.  Pentru a cunoaste activitatile de control, auditorul este in primul rand preocupat sa vada daca, si cum, o activitate specifica de control, individual sau in combinatie cu altele, previne, sau detecteaza si corecteaza denaturarile semnificative in clasele de tranzactii, soldurile de conturi sau prezentarile de informatii. Activitatile de control relevante pentru audit sunt cele pe care auditorul considera ca este necesar sa le inteleaga pentru a evalua riscurile de denaturare semnificativa la nivel de asertiune si pentru care considera ca este necesar sa conceapa si aplice alte proceduri de audit ca raspuns la riscurile evaluate. Un audit nu face necesara intelegerea tuturor activitatilor de control referitoare la fiecare clasa semnificativa de tranzactii, sold de cont si prezentare de informatii din situatiile financiare sau la fiecare asertiune relevanta. Auditorul pune accent pe identificarea si cunoasterea activitatilor de control care abordeaza domeniile in care auditorul considera ca este mai probabil sa apara denaturari semnificative. Atunci cand mai multe activitati de control realizeaza acelasi obiectiv, nu este necesara cunoasterea fiecarei activitati de control referitoare la acel obiectiv.

92.  Auditorul ia in considerare cunostintele despre prezenta sau absenta activitatilor de control obtinute din intelegerea celorlalte componente de control intern pentru a stabili daca este necesar sau nu sa acorde o atentie suplimentara cunoasterii activitatilor de control. Atunci cand are in vedere daca activitatile de control sunt relevante pentru audit, auditorul ia in considerare riscurile identificate care pot da nastere unei denaturari semnificative. Totodata, activitatile de control sunt relevante pentru audit daca auditorul trebuie sa le evalueze asa cum prevad paragrafele 113 si 115.

93.  Auditorul trebuie sa obtina o cunoastere a modului in care entitatea a reactionat la riscurile provenind din IT. Utilizarea IT afecteaza modul in care sunt implementate activitatile de control. Auditorul are in vedere daca entitatea a reactionat adecvat la riscurile provenind din IT prin stabilirea unor controale IT generale eficiente si a controalelor de aplicare. Din perspectiva auditorului, controalele asupra sistemelor IT sunt eficiente atunci cand ele mentin integritatea informatiilor si securitatea datelor pe care le proceseaza astfel de sisteme.

94.  Controalele IT generale sunt politici si proceduri care se refera la multe aplicatii si sprijina functionarea eficienta a controalelor de aplicare contribuind la asigurarea operarii corespunzatoare in continuare a sistemelor de informatii. Controalele IT generale care mentin integritatea informatiilor si securitatea datelor de regula includ controalele asupra:

Centrului de date si operatiunilor in retea.

Achizitiei, modificarii si intretinerii softului de sistem.

Securitatii accesului.

Achizitiei, dezvoltarii si intretinerii sistemului de aplicatii.

Ele sunt in general implementate pentru a trata riscurile la care s-a facut referire la paragraful 60 de mai sus.

95.  Controalele de aplicare sunt proceduri manuale sau automatizate care opereaza de obicei la nivelul proceselor de activitate. Controalele de aplicare pot fi preventive sau detective ca natura si sunt concepute sa asigure integritatea evidentelor contabile. In consecinta, controalele de aplicare se refera la proceduri utilizate pentru a initia, inregistra, procesa si raporta tranzactiile sau alte date financiare. Aceste controale ajuta la a asigura ca tranzactiile care au avut loc sunt autorizate si sunt pe deplin si exact inregistrate si procesate. Exemplele includ verificarile de editare ale datelor introduse si verificarile secventiale numerice cu urmarirea manuala a rapoartelor asupra exceptiilor sau corectarea la momentul introducerii datelor.

Monitorizarea controalelor

96.  Auditorul trebuie sa obtina o cunoastere a tipurilor principale de activitati pe care entitatea le desfasoara pentru a monitoriza controlul intern asupra raportarii financiare, inclusiv cele referitoare la acele activitati de control relevante pentru audit si modul in care entitatea initiaza masurile corective fata de controalele sale

97.  Monitorizarea controalelor este un proces de evaluare a eficientei controlului intern in timp. Aceasta implica evaluarea conceptiei si operarii controalelor la timp si luarea masurilor corective necesare modificate in raport cu schimbarea conditiilor. Conducerea realizeaza monitorizarea controalelor prin activitati continue, evaluari separate sau o combinatie intre cele doua. Activitatile continue de monitorizare sunt deseori o componenta a activitatile recurente normale ale entitatii si includ activitatile regulate de conducere si supraveghere.

98.  In multe entitati, auditorii interni sau personalul care indeplineste functii similare contribuie la monitorizarea activitatilor unei entitati. Vezi ISA 610, "Luarea in considerare a activitatii de audit intern" pentru alte recomandari. Activitatile de monitorizare ale managementului pot include si utilizarea informatiilor din comunicarile cu parti din afara entitatii cum ar fi plangerile facute de clienti si observatiile autoritatii de reglementare care pot indica probleme sau sublinia aspecte care trebuie imbunatatite.

99.  Multe dintre informatiile utilizate la monitorizare pot fi produse de sistemul de informatii al entitatii. In cazul in care conducerea presupune ca datele utilizate pentru monitorizaresunt exacte fara a avea un temei pentru prezumtia respectiva, ar putea exista erori in informatiile respective care ar putea conduce managementul spre concluzii incorecte din activitatile sale de monitorizare. Auditorul trebuie sa obtina o cunoastere a surselor de informare referitoare la activitatile de monitorizare ale entitatii si temeiul pe care conducerea considera informatiile a fi suficient de credibile in acel scop. Daca auditorul intentioneaza sa utilizeze informatiile entitatii produse pentru activitatile de monitorizare, cum ar fi rapoartele auditorului intern, va avea in vedere daca informatiile asigura o baza credibila si sunt suficient de detaliate pentru ceea ce intreprinde auditorul.

Evaluarea riscurilor de denaturare semnificativa

100.    Auditorul trebuie sa identifice si evalueze riscurile de denaturare semnificativa la nivelul situatiilor financiare si la nivelul asertiunilor pentru clase de tranzactii, solduri de conturi si prezentari de informatii. In acest scop, auditorul:

Identifica riscurile de-a lungul procesului de cunoastere a entitatii si mediului sau, inclusive a controalelor relevante referitoare la riscurile respective si prin luarea in considerare a claselor de tranzactii, soldurilor de conturi si prezentarilor de informatii din situatiile financiare;

Coreleaza riscurile identificate cu ceea ce ar putea fi eronat la nivelul asertiunii;

Are in vedere daca riscurile sunt de o asa magnitudine incat ar putea genera o denaturare semnificativa a situatiilor financiare; si

Ia in considerare probabilitatea ca riscurile sa genereze o denaturare semnificativa a situatiilor financiare.

101.    Auditorul utilizeaza informatiile culese prin aplicarea procedurilor de evaluare a riscurilor, inclusiv probele de audit obtinute la evaluarea conceptiei controalelor si la verificarea implementarii acestora, ca probe de audit menite sa sustina evaluarea riscurilor. Auditorul utilizeaza evaluarea riscului pentru a determina natura, timpul si intinderea altor proceduri de audit ce urmeaza a fi aplicate.

102.    Auditorul stabileste daca riscurile de denaturare semnificativa identificate se refera la anumite clase de tranzactii, solduri de cont si prezentari de informatii si asertiuni aferente, sau daca se refera intr-un mod mai cuprinzator la intreg ansamblul situatiilor financiare si pot afecta multe asertiuni. Riscurile din urma (riscurile la nivelul situatiilor financiare) pot deriva in special dintr-un mediu de control slab.

103.    Natura riscurilor provenind dintr-un mediu de control slab este in asa fel incat ele nu se vor limita la anumite riscuri individuale specifice de denaturare semnificativa a anumitor clase de tranzactii, solduri de conturi si prezentari de informatii. In schimb, carentele precum lipsa de competenta a conducerii pot avea un efect mai cuprinzator asupra situatiilor financiare si pot necesita un raspuns general din partea auditorului.

104.    La efectuarea evaluarilor de risc, auditorul poate identifica controalele probabile a preveni, sau detecta si corecta, denaturarile semnificative ale anumitor asertiuni. In general, auditorul ajunge sa obtina o cunoastere a controalelor si sa le coreleze cu asertiunile in contextul proceselor si sistemelor in care exista. Este util sa procedeze astfel pentru ca activitatile de control individuale deseori nu pot contracara un risc, doar ele. De multe ori doar mai multe activitati de control, impreuna cu alte elemente de control intern vor fi suficiente pentru a contracara un risc.

105.    Din contra, anumite activitati de control pot avea un efect specific asupra unei asertiuni individuale inglobata intr-o anumita clasa de tranzactii sau sold de cont. de exemplu, activitatile de control pe care o entitate le-a stabilit pentru a se asigura ca personalul efectueaza in mod corect inventarul fizic anual sunt intr-o relatie directa cu asertiunile privind existenta si exhaustivitatea pentru soldul contului de stocuri.

106.    Controalele pot fi legate fie direct fie indirect de o asertiune. Cu cat relatia este mai indirecta cu atat mai putin eficient este acel control in prevenirea, sau detectarea si corectarea, denaturarilor acelei asertiuni. De exemplu, revizuirea de catre un manager de vanzari a sintezei activitatii de vanzare pentru anumite magazine dupa regiune de regula este doar indirect legata de asertiunea privind exhaustivitatea veniturilor din vanzari. Asadar, acesta poate fi mai putin eficient in reducerea riscului pentru acea asertiune decat controalele legate in mod mai direct de asertiunea respectiva, cum ar fi compararea documentelor de expeditie cu documentele de facturare.

107.    Cunoasterea de catre auditor a controlului intern poate ridica dubii in privinta posibilitatii de auditare a situatiilor financiare ale unei entitati. Preocuparile privind integritatea conducerii entitatii pot atat de serioase incat sa determine auditorul sa concluzioneze ca riscul de declarare eronata de catre conducere a valorilor din situatiile financiare este atat de mare incat nu poate fi desfasurat un audit. De asemenea, preocuparile privind starea si credibilitatea evidentelor unei entitati pot determina auditorul sa traga concluzia ca este improbabil sa obtina suficiente probe de audit pentru a sustine o opinie fara rezerve asupra situatiilor financiare. In astfel de imprejurari, auditorul are in vedere exprimarea unei opinii cu rezerve sau imposibilitatea exprimarii unei opinii, dar in alte cazuri singura alternativa pentru auditor este sa se retraga din angajament.

riscuri semnificative care necesita o atentie speciala in audit

108.    Ca parte a evaluarii riscurilor descrisa la paragraful 100, auditorul trebuie sa determine care dintre riscurile identificate sunt, dupa parerea sa, riscuri care necesita o atentie speciala in audit (astfel de riscuri sunt definite ca "riscuri semnificative") In plus, ISA 330, paragrafele 44 si 51 descriu consecintele identificarii unui risc semnificativ pentru alte proceduri de audit.

109.    Stabilirea riscurilor semnificative, care apar in majoritatea angajamentelor de audit, este o problema de rationament profesional a auditorului. In exercitarea acestui rationament, auditorul exclude efectul controalelor identificate referitoare la acel risc pentru a determina daca natura riscului, magnitudinea probabila a denaturarilor potentiale inclusiv posibilitatea ca riscul sa dea nastere la mai multe denaturari, si probabilitatea de aparitie a riscului sunt astfel incat reclama o atentie speciala in audit. Este mai putin probabil ca tranzactiile de rutina, simple care sunt supuse procesarii sistematice sa dea nastere unor riscuri semnificative pentru ca poarta riscuri inerente mai mici. Pe de alta parte, riscurile semnificative deriva de cele mai multe ori din riscurile de afaceri care ar putea da nastere unei denaturari semnificative. Atunci cand are in vedere natura riscurilor, auditorul ia in considerare o serie de aspecte printre care:

Daca riscul este un risc de frauda.

Daca riscul este legat de evolutii recente semnificative de natura economica, contabila sau de alta natura si de aceea necesita o atentie speciala.

Complexitatea tranzactiilor.

Daca riscul implica tranzactii semnificative cu parti afiliate.

Gradul de subiectivism in evaluarea informatiilor financiare legate de riscul respectiv in special cele care implica un interval larg de incertitudine a evaluarii.

Daca riscul implica tranzactii semnificative care se afla in afara cursului normal de desfasurare a activitatii entitatii, care care par neobisnuite in alt fel.

110.    Deseori riscurile semnificative se refera la tranzactii semnificative neuzuale si la aspecte supuse interpretarii. Tranzactiile neuzuale sunt tranzactii neobisnuite fie datorita marimii fie naturii, si care de aceea apar fara regularitate. Aspectele supuse interpretarii pot include efectuarea estimarilor contabile pentru care exista o incertitudine semnificativa de evaluare.

111.    Riscurile de denaturare semnificativa pot fi mai mari in cazul celor referitoare la tranzactii semnificative neuzuale provenind din probleme precum:

Interventia conducerii mai mare in a specifica tratamentul contabil.

Interventia manuala mai mare pentru colectarea si procesarea datelor.

Calcule si principii contabile complexe.

Natura tranzactiilor neuzuale, care pot face dificila pentru entitate implementarea controalelor eficiente asupra riscurilor.

112.    Riscurile de denaturare semnificativa pot fi mai mari in cazul celor referitoare la aspecte semnificative supuse interpretarii care necesita efectuarea de estimari contabile, provenind din:

Principiile contabile pentru estimarile contabile sau recunoasterea veniturilor pot fi supuse unor interpretari diferite.

Rationamentul profesional necesar poate fi subiectiv, complex sau necesita prezumtii despre efectele evenimentelor viitoare, de exemplu, rationamentul despre valoarea justa.

113.    Pentru riscuri semnificative, in masura in care auditorul nu a facut-o deja, acesta trebuie sa evalueze conceptia controalelor aferente ale entitatii, inclusiv activitatile relevante de control si sa sa stabileasca daca acestea au fost implementate. Intelegerea controalelor entitatii referitoare la riscurile semnificative este necesara pentru a furniza auditorului informatii adecvate in vederea unei abordari eficiente a auditului. Conducerea trebuie sa fie constienta de riscurile semnificative; totusi, riscurile referitoare la aspectele semnificative neuzuale sau cele supuse interpretarii sunt deseori, probabil, mai putin supuse controalelor de rutina. De aceea, cunoasterea de catre auditor a situatiei din cadrul entitatii privind conceperea si implementarea unor controale pentru astfel de riscuri semnificative presupune si ca acesta sa obtina o cunoastere daca si cum reactioneaza conducerea la riscurile respective si daca activitatile de control, cum ar fi revizuirea prezumtiilor de catre conducerea superioara sau experti, procesele formale pentru estimari sau aprobarea de catre cei insarcinati cu guvernanta au fost implementate pentru a contracara riscurile respective. De exemplu, atunci cand este vorba de evenimente singulare cum ar fi primirea unei notificari despre un proces important, analizarea raspunsului entitatii va cuprinde aspecte precum: daca acesta a fost inaintat unor experti (cum ar fi consilierii juridici interni sau externi), daca s-a facut o evaluare a efectului potential si cum se propune ca circumstantele respective sa fie prezentate in situatiile financiare.

114.    Daca conducerea nu a reactionat in mod corespunzator prin implementarea unor controale asupra riscurilor semnificative si, daca, in consecinta, auditorul considera ca nu exista o deficienta semnificativa in controlul intern al entitatii, acesta va comunica aceasta problema celor insarcinati cu guvernanta asa cum o cere paragraful 120. in aceste imprejurari, auditorul ia in considerare si implicatiile pentru evaluarea riscurilor de catre auditor.

riscurile pentru care testele detaliate singure nu ofera suficiente probe de audit adecvate

115.    Ca parte a evaluarii riscurilor descrise in paragraful 100, auditorul trebuie sa evalueze conceptia si sa determine implementarea controalelor entitatii, inclusiv activitatile relevante de control, asupra acelor riscuri pentru care, in opinia auditorului, nu este posibila reducerea riscurilor de denaturare semnificativa la nivel de asertiune la un nivel acceptabil cu probe de audit obtinute doar din testele detaliate. Consecintele identificarii acestor riscuri pentru alte proceduri de audit sunt descrise in paragraful 25 al ISA 330.

116.    Intelegerea sistemului de informatii al entitatii relevant pentru raportarea financiara permite auditorului sa identifice riscurile de denaturare semnificativa care se refera direct la inregistrarea claselor obisnuite de tranzactii sau a soldurilor de conturi si la intocmirea unor situatii financiare credibile; acestea include riscurile de procesare inexacta sau incompleta. In mod obisnuit, astfel de riscuri se refera la clasele semnificative de tranzactii cum ar fi veniturile, achizitiile si incasarile si platile unei entitati.

117.    Caracteristicile tranzactiilor zilnice obisnuite deseori permit o procesare puternic automatizata cu o interventie manuala minima sau deloc. In astfel de imprejurari, s-ar putea sa nu fie posibila efectuarea doar de teste detaliate in raport cu riscul respectiv. De exemplu, in cazul in care un volum semnificativ de informatii apartinand entitatii este initiat, inregistrat, procesat sau raportat electronic cum ar fi in cadrul unui sistem integrat, auditorul poate hotari ca nu este posibil sa conceapa teste detaliate eficiente care prin ele insele sa furnizeze probe de audit suficiente in sensul ca soldurile de conturi sau clasele de tranzactii relevante nu sunt semnificativ eronate. In astfel de cazuri, probele de audit pot fi disponibile doar in format electronic iar suficienta si adecvarea lor depinde de regula de eficienta controalelor asupra exactitatii si exhaustivitatii lor. Mai departe, probabilitatea ca o initiere sau modificare improprie a informatiilor sa apara si sa nu fie detectata poate fi mai mare daca informatiile sunt initiate, inregistrate, procesate sau raportate doar in format electronic si controalele corespunzatoare nu opereaza eficient.

118.    Exemple de situatii in care auditorul poate constata ca este imposibil sa conceapa teste detaliate eficiente care prin ele insele sa furnizeze suficiente probe de audit adecvate ca anumite asertiuni nu sunt semnificativ denaturate sunt:

O entitate care-si desfasoara activitatea utilizand IT pentru a initia comenzile pentru cumpararea si livrarea de bunuri pe baza unor reguli predeterminate asupra a ceea ce sa comande si in ce cantitati si pentru a-si plati datoriile comerciale pe baza unor decizii generate de sistem initiate in urma primirii confirmate a bunurilor si a conditiilor de plata. Nu se produc sau tin alte documente privind comenzile efectuate sau bunurile primite, in afara celor generate de sistemul IT.

O entitate care ofera servicii clientilor prin intermediul mijloacelor electronice (de exemplu, un furnizor de servicii de Internet sau o companie de telecomunicatii) si utilizeaza IT-ul pentru a crea un jurnal al serviciilor oferite clientilor sai, a initia si procesa facturarea serviciilor si a inregistra automat astfel de sume in eveidentele contabile electronice care sunt parte a sistemului utilizat pentru a produce situatiile financiare ale entitatii.

Revizuirea evaluarii riscurilor

119.    Evaluarea de catre auditor a riscurilor de denaturare semnificativa la nivel de asertiune se bazeaza pe probele de audit disponibile si se poate modifica in cursul auditului pe masura ce se obtin probe de audit suplimentare. In particular, evaluarea riscului se poate baza pe o estimare privind operarea eficienta a controalelor in vederea prevenirii, sau detectarii si corectarii unei denaturari semnificative la nivel de asertiune. Prin efectuarea testelor asupras controalelor in vederea obtinerii probelor de audit privind eficienta lor operativa, auditorul poate obtine probe de audit privind neoperarea eficienta a controalelor la anumite momente relevante din cursul auditului. In mod similar, prin efectuarea testelor detaliate auditorul poate detecta denaturari ale valorilor sau frecventei peste ceea ce ar corespunde evaluarilor de risc ale auditorului. In cazul in care auditorul obtine probe de audit din efectuarea altor proceduri de audit care tind sa contrazica probele de audit pe care si-a bazat auditorul initial evaluarea, acesta revizuieste evaluarea si modifica in consecinta alte proceduri de audit planificate. Vezi paragrafele 66 si 70 din ISA 330 pentru alte recomandari.

Comunicarea cu cei insarcinati cu guvernanta si conducerea

120.   Auditorul trebuie sa-i faca pe cei insarcinati cu guvernanta sau conducerea constienti, cat mai curand posibil si la un nivel adecvat de responsabilitate, de deficientele semnificative din conceptia sau implementarea controlului intern care au ajuns in atentia auditorului.

121.    Daca auditorul identifica riscuri de denaturare fie pe care entitatea nu le-a controlat fie pentru care controlul relevant este inadecvat, sau daca in opinia auditorului exista o deficienta semnificativa in cadrul proceului de evaluare a riscurilor de catre entitate, atunci acesta include astfel de deficiente ale controlului intern in comunicarea problemelor de audit de interes pentru guvernanta societara. Vezi ISA 260, "Comunicarea problemelor de audit celor insarcinati cu guvernanta".

Documentatia

122.   Auditorul trebuie sa documenteze:

(a)   Discutia in randul echipei angajamentului privind susceptibilitatea situatiilor financiare ale entitatii la denaturari semnificative datorate erorilor sau fraudei si deciziile semnificative luate;

(b)   Elementele cheie privind cunoasterea tuturor aspectelor entitatii si mediului sau identificate la paragraful 20, inclusiv a tuturor componentelor de control intern identificate la paragraful 43, in vederea evaluarii riscurilor de denaturare semnificativa a situatiilor financiare; sursele de informare pe care s-a bazat cunoasterea; si procedurile de evaluare a riscurilor;

(c)   Riscurile identificate si evaluate de denaturare semnificativa la nivelul situatiilor financiare si la nivel de asertiune dupa cum prevede paragraful 100; si

(d)   Riscurile identificate si controalele aferente evaluate ca rezultat al cerintelor din paragrafele 113 si 115.

123.    Maniera in care aceste probleme sunt documentate ramane la latitudinea auditorului. In particular, rezultatele evaluarii riscurilor pot fi documentate separat, sau pot fi documentate ca parte a documentatiei auditorului privind alte proceduri (vezi paragraful 73 din ISA 330 pentru alte recomandari). Exemple de tehnici frecvente, utilizate singular sau in combinatie cu altele include descrierile narative, chestionarele, lisetele de verificare si diagramele fluxurilor. Astfel de tehnici pot fi utile si pentru documentarea evaluarii de catre auditor a riscurilor de denaturare semnificativa la nivelul ansamblului situatiilor financiare si cel al asertiunilor. Forma si intinderea acestei documentari este influentata de natura, dimensiunea si complexitatea entitatii si controlului intern al acesteia, disponibilitatea informatiilor de la entitate si metodologia si tehnologia de audit specifice utilizate in cursul auditului. De exemplu, documentarea cunoasterii unui sistem de informatii complex in care un volum mare de tranzactii este initiat, inregistrat, procesat sau raportat electronica, poate include diagrame, chestionare sau tabele de decizii. Pentru un sistem de informatii care utilizeaza limitat sau deloc IT-ul sau pentru care sunt procesate putine tranzactii (de exemplu, datoriile pe termen lung), documentarea sub forma unui meorandum ar putea fi suficienta. De regula, cu cat este mai complexa entitatea si cu cat procedurile de audit indeplinite de auditor sunt mai extensive, cu atat mai extensiva va fi documentatia auditorului. ISA 230, "Documentatia" ofera instructiuni privind documentatia in contextul auditului situatiilor financiare.

Data intrarii in vigoare

124.    Acest ISA intra in vigoare pentru auditul situatiilor financiare aferente perioadelor care incep la sau dupa 15 decembrie 2004.

Perspectiva Sectorului Public

1.     In desfasurarea auditului entitatilor din sectorul public, auditorul tine cont de cadrul legislativ si alte regulamente, hotarari sau ordine ministeriale relevante care afecteaza mandatul de audit si orice alte cerinte speciale de audit. De aceea, pentru a intelege cadrul de reglementare dupa cum o cere paragraful 22 al acestui ISA, auditorii vor tine seama de legislatie si autoritatea corespunzatoare care guverneaza activitatea unei entitati. In mod similar in privinta paragrafului 30 al acestui ISA auditorul trebuie sa fie constient ca "obiectivele manageriale" ale entitatilor din sectorul public pot fi influentate de preocuparile privind raspunderea publica si pot include obiective care isi au sursa in legislatie, regulamente, ordonantele guvernamentale si ordine ministeriale.

2.     Paragrafele 47-53 ale prezentului ISA descrie controalele relevante pentru audit. Auditorii din sectorul public deseori au responsabilitati in plus cu privire la controlul intern, de exemplu, de a raporta asupra conformitatii cu un cod de practica existent. Auditorii din sectorul public pot de asemenea sa aiba responsabilitati de a raporta asupra conformitatii cu cerintele autoritatilor legislative. Revizuirea controlului intern poate fi mai cuprinzatoare si mai detaliata.

3.     Paragrafele 120 si 121 ale acestui ISA se ocupa cu comunicarea deficientelor. Pentru auditorii din sectorul public s-ar putea sa existe cerinte de comunicare sau raportare in plus. De exemplu, deficientele din controlul intern s-ar putea sa fie nevoie a fi raportate legislativului sau altui organ de conducere. 

Anexa 1: Cunoasterea entitatii si mediului sau

Aceasta anexa cuprinde recomandari suplimentare asupra aspectelor pe care auditorul le ia in considerare pentru a cunoaste sectorul, factorii de reglementare si alti factori externi care afecteaza entitatea, inclusiv cadrul aplicabil de raportare financiara; natura entitatii; obiectivele si strategiile precum si riscurile de afaceri aferente; si evaluarea si revizuirea performantelor financiare ale entitatii. Exemplele oferite acopera o serie larga de probleme aplicabile multor angajamente; totusi, nu toate problemele sunt relevante pentru fiecare angajament iat lista de exemple nu este neaparat completa. Recomandari suplimentare asupra controlului intern sunt cuprinse in Anexa 2.

factori specifici sectorului, de reglementare si alti factori externi, inclusiv cadrul aplicabil de raportare financiara

Exemple de aspecte pe care auditorul le poate lua in considerare sunt:

• Conditiile specifice sectorului

Piata si concurenta, inclusiv cererea, capacitatea si concurenta privind pretul

Activitate ciclica sau sezoniera

Tehnologia produselor referitoare la produsele entitatii

Aprovizionarea si costurile cu energia

• Mediul de reglementare

Principiile contabile si practicile specifice sectorului

Cadrul de reglementare pentru un sector reglementat

Legislatia care afecteaza semnificativ activitatea entitatii

o      Cerinte de reglementare

o      Activitati directe de supraveghere

Fiscalitate (persoane juridice si altele)

Politici guvernamentale care afecteaza momentan activitatea entitatii

o      Monetare, inclusiv controlul valutar

o      Fiscale

o      Stimulente financiare (de exemplu, programele de subventii guvernamentale)

o      Tarifare, restrictii comerciale

Cerinte de mediu care afecteaza sectorul sectorul si activitatea entitatii

• Alti factori externi care afecteaza momentan entitatea

Nivelul general al activitatii economice (de exemplu, recesiune, crestere)

Rata dobanzii si disponbilitatea finantarii

Inflatia, reevaluarea monedei

Natura entitatii

Exemple de aspecte pe care auditorul le ia in considerare sunt:

Activitatea operationala (curenta)

• Natura surselor de venituri (de exemplu, producator, comerciant cu ridicata, banci, asigurari, sau alte servicii financiare, import/export, utilitati, transporturi, produse si servicii de tehnologie)
• Produse sau servicii si piete (de exemplu, clienti si contracte principale, conditii de plata, marje de profit, cote de piata, competitori, exporturi, politici de pret, reputatia produselor, garantii post-vanzare, registru de comenzi, tendinte, strategie de marketing si obiective, procese de productie)
• Desfasurarea activitatii (de exemplu, etape si metode de productie, segmente de afaceri, livrarea produselor sau serviciilor, informatii despre reducerea sau extinderea activitatii)
• Aliante, asocieri in participatiune si activitati de colaborare
• Implicarea in comertul electronic, inclusiv vanzari prin Internet si activitati de marketing
• Dispersia geografica si segmentarea sectorului de activitate
• Locatia facilitatilor de productie, depozite si birouri
• Clienti cheie
• Furnizori importanti de bunuri si servicii (de exemplu, contracte pe termen lung, stabilitatea aprovizionarii, conditii de plata, importuri, metode de livrare cum ar fi cea "tocmai la timp")
• Forta de munca (de exemplu, dupa locatie, oferta, nivel de salarizare, contracte cu sindicatele, pensii si alte beneficii post-angajare, optiuni pe actiuni sau stimulente sub forma de prime, reglementari date de guvern cu privire la aspecte legate de angajare)
• Activitati si cheltuieli cu cercetarea si dezvoltarea
• Tranzactii cu parti afiliate

Investitiile

• Achizitii, fuziuni sau cedarea unor activitati (planificate sau recent efectuate)
• Investitii si vanzari de titluri de valoare si credite
• Activitati de investitii de capital, inclusiv investitii in mijloace fixe si tehnologie, si modificari recente sau planificate
• Investitii in entitati neconsolidate, inclusiv parteneriate, asocieri in participatiune si entitati cu scop special

Finantarea

• Structura grupului - filiale si entitati asociate principale, inclusiv structuri consolidate si neconsolidate
• Structura datoriilor, inclusiv clauze speciale, restrictii, garantii si aranjamente de finantare extrabilantiere
• Operatiuni de leasing de bunuri imobiliare si mijloace fixe pentru utilizarea in cadrul activitatii
• Proprietari propriu-zisi (locali, straini, reputatia si experienta in afaceri)
• Parti afiliate
• Utilizarea instrumentelor financiare derivate

Raportarea financiara

• Principii contabile si practici specifice sectorului
• Practici privind recunoasterea veniturilor
• Contabilitatea valorii juste
• Stocuri (de exemplu, locatie, cantitati)
• Active, datorii si tranzactii in valuta
• Categorii semnificative specifice sectorului (de exemplu, credite si investitii pentru banci, creante si stocuri pentru producatori, cercetare si dezvoltare pentru industria farmaceutica)
• Contabilitatea tranzactiilor neobisnuite sau complexe inclusiv cele din domenii controversate sau emergente (de exemplu, contabilitatea compensatiilor bazate pe stocuri)
• Prezentarea situatiilor financiare si prezentarea informatiilor

obiective si strategii si riscurile de afaceri aferente

Exemple de aspecte pe care auditorul le ia in considerare sunt:

• Existenta obiectivelor (adica, cum abordeaza entitatea factorii specifici sectorului, factorii de reglementare si alti factori externi) legate de, de exemplu:

evolutiile din cadrul sectorului (un risc de afaceri potential ar putea fi, de exemplu, acela ca entitatea nu ar suficient personal sau nu dispune de personal pregatit pentru a face fata schimbarilor din cadrul sectorului)

produsele si serviciile noi (un risc de afaceri potential ar putea fi, de exemplu, acela ca exista obligatii mai mari cu privire la produse)

extinderea activitatii (un risc de afaceri potential ar putea fi, de exemplu, acela ca nu s-a estimat cu exactitate cererea)

noile cerinte contabile (un risc de afaceri potential ar putea fi, de exemplu, acela al implementarii incomplete sau improprii ori costuri mai mari)

cerintele de reglementare (un risc de afaceri potential ar putea fi, de exemplu, acela al unei expuneri mai mari din punct de vedere juridic)

cerintele de finantare curente si viitoare (un risc de afaceri potential ar putea fi, de exemplu, acela al pierderii finantarii din cauza incapacitatii entitatii de a respecta cerintele)

utilizarea IT-ului (un risc de afaceri potential ar putea fi, de exemplu, acela ca sistemele si procesele sunt incompatibile)

• Efectele implementarii unei strategii, in special efectele care vor conduce la noi cerinte contabile (un risc de afaceri potential ar putea fi, de exemplu, acela al implementarii incomplete sau improprii)

evaluarea si revizuirea performantelor financiare ale entitatii

Exemple de aspecte pe care auditorul le ia in considerare sunt:

• Indicatori cheie si statistici ale activitatii
• Indicatori cheie de performanta
• Indicatori de performanta a angajatilor si politici de stimulare
• Tendinte
• Utilizarea previziunilor, bugetelor si analizei variantei
• Rapoartele analistilor si rapoarte de rating
• Analiza concurentei
• Performante financiare comparative pe perioade (cresterea veniturilor, profitabilitate, grad de indatorare)

Anexa 2: Componentele controlului intern

1. Asa cum prevede paragraful 43 si este descris in paragrafele 67-99, controlul intern are urmatoarele componente:

(a)   Mediul de control;

(b)   Procesul de evaluare a riscului de catre entitate;

(c)   Sistemul de informatii, inclusiv procesele de activitate aferente, relevant pentru raportarea financiara si comunicarea;

(d)   Activitatile de control; si

(e)   Monitorizarea controalelor.

Aceasta anexa explica mai departe componentele de mai sus dupa cum au legatura cu auditul situatiilor financiare.

Mediul de control

2. Mediul de control cuprinde atitudinea, constientizarea si masurile luate de conducere si cei insarcinati cu guvernanta privind controlul intern al entitatii si importanta sa in cadrul entitatii. Mediul de control include si functiile de guvernanta si management si dicteaza tonul unei organizatii, influentand constientizarea de catre oameni a controlului. Este temelia unui control intern eficient, asigurand disciplina si structura.

3. Mediul de control cuprinde urmatoarele elemente:

(a)   Comunicarea si impunerea integritatii si valorilor etice. Eficienta controalelor nu poate fi mai presus decat integritatea si valorile etice ale oamenilor care le creaza, administreaza si monitorizeaza. Integritatea si valorile etice sunt elemente esentiale ale mediului de control care influenteaza eficienta conceptiei, administrarii si monitorizarii altor componente ale controlului intern. Integritatea si comportamentul etic sunt produsul standardelor de etica si conduita ale entitatii, ale modului in care acestea sunt comunicate si impuse in practica. Ele includ masurile conducerii de a elimina sau reduce stimulentele si tentatiile care ar putea determina personalul sa se angajeze in actiuni neoneste, ilegale sau lipsite de etica. De asemenea includ comunicarea valorilor si standardelor de conduita ale entitatii catre angajati prin declaratii de politica si coduri de conduita dar si prin exemple.

(b)   Angajamentul fata de competenta. Competenta reprezinta cunostintele si aptitudinile necesare realizarii sarcinilor care definesc locul de munca al unui individ. Angajamentul fata de competenta presupune luarea in considerare de catre conducere a nivelurilor de competenta pentru anumite posturi si modul in care aceste niveluri se materializeaza in aptitudini si cunostinte necesare.

(c)   Participarea celor insarcinati cu guvernanta. Constientizarea controlului in cadrul unei entitati este semnificativ influentata de cei insarcinati cu guvernanta. Atributele acestora includ independenta fata de conducere, experienta si statutul lor, gradul implicarii lor si analizarii activitatilor de catre ei, adecvarea masurilor lor, informatiile pe care le primesc, masura in care problemele dificile sunt ridicate si duse la indeplinire de conducere si interactiunea lor cu auditorii interni si externi.Importanta responsabilitatilor celor insarcinati cu guvernanta este recunoscuta in codurile de practica si alte regulamente sau recomandari care-i vizeaza pe acestia. Alte responsabilitati ale celor insarcinati cu guvernanta includ supravegherea conceptiei si operarii eficiente a procedurilor de sesizare a organelor in drept si a procesului de revizuire a eficientei controlului intern al entitatii.

(d)   Filozofia conducerii si stilul de operare. Filozofia conducerii si stilul de operare cuprind o gama larga de caracteristici. Astfel de caracteristici pot include: abordarea conducerii fata de asumarea si monitorizarea riscurilor de afaceri; atitudinea si masurile luate de conducere vis-a-vis de raportarea financiara (conservatoare sau agresive selectate din principiile contabile alternative disponibile si constientizare si conservatorism cu care sunt efectuate estimarile contabile); si atitudinea conducerii fata de procesarea informatiilor si functiile si personalul contabil.

(e)   Structura organizationala. Structura organizationala a unei entitati asigura cadrul in care sunt planificate, executate, controlate si revizuite activitatile pentru indeplinirea obiectivelor la nivelul intregii entitati. Stabilirea unei structuri organizationale presupune luarea in considerare a domeniilor cheie de autoritate si responsabilitate si niveluri corespunzatoare de raportare. Entitatea dezvolta o structura organizationala pe masura nevoilor sale. Adecvarea structurii organizationale a entitatii depinde, partial, de amploarea si natura activitatilor sale.

(f)    Desemnarea autoritatii si responsabilitatii. Acest factor include modul in care sunt atribuite autoritatea si responsabilitatea pentru activitatile operationale si modul in care sunt stabilite relatiile de raportare si ierarhiile de autorizare. De asemenea include politicile referitoare la practicile corespunzatoare de afaceri, cunostintele si experienta personalului cheie si resursele oferite pentru indeplinirea acestor sarcini. In plus, include politicile si comunicarile menite sa asigure ca toti angajatii inteleg obiectivele entitatii, cunosc modul in care actiunile lor individuale se interrelationeaza si contribuie la indeplinirea acelor obiective si recunosc cum si pentru ce vor raspunde.

(g)   Politicile si practicile privind resursele umane. Politicile si practicile privind resursele umane se refera la recrutare, orientare, instruire, evaluare, consiliere, promovare, compensare si masuri de remediere. De exemplu, standardele pentru recrutarea celor mai calificati indivizi - cu accent pe studii, experienta profesionala anterioara, realizari si dovezi de integritate li comportament etic - demonstreaza angajamentul entitatii fata de oameni competenti si de incredere. Politicile de pregatire profesionala care comunica roluri si responsabilitati in perspectiva si includ practici cum ar fi scolile de instruire si seminariile ilustreaza niveluri asteptate de performanta si comportament. Promovarile dictate de evaluari periodice ale performantelor demonstreaza angajamentul entitatii fata de avansarea angajatilor calificati la niveluri superioare de responsabilitate.

Aplicarea in cazul entitatilor mici

4. Entitatile mici pot implementa elementele mediului de control intr-un mod diferit fata de entitatile mai mari. De exemplu, entitatile mici s-ar putea sa nu dispuna de un cod scris de conduita dar, in schimb, sa dezvolte o cultura care sa puna accentul pe importanta integritatii si conduitei etice prin comunicare orala si exemplul dat de conducere. In mod similar, cei insarcinati cu guvernanta la entitatile mici s-ar putea sa includa si un membru independent sau din afara entitatii.

procesul de evaluare a riscului de catre entitate

5. Procesul de evaluare a riscului de catre entitate este procesul de identificare si reactionare la riscurile de afaceri si rezultatele acestuia. Pentru raportarea financiara, procesul de evaluare a riscului de catre entitate include modul in care conducerea identifica riscurile relevante pentru intocmirea situatiilor financiare care sa reprezinte o imagine fidela in acord cu cadrul aplicabil entitatii de raportare financiara, estimeaza importanta lor, evalueaza probabilitatea aparitiei lor si hotaraste asupra masurilor de gestionare a lor. De exemplu, procesul de evaluare a riscului de catre entitate poate trata modul in care entitatea ia in considerare posibilitatea existentei unor tranzactii neinregistrate sau identifica si analizeaza estimarile semnificative reflectate in situatiile financiare. Riscurile relevante pentru raportarea financiara credibila se refera si la evenimente sau tranzactii specifice.
6. Riscurile relevante pentru raportarea financiara includ evenimente si circumstante externe si interne care pot aparea si afecta capacitatea entitatii de a initia, inregistra, procesa si raporta date financiare intr-un mod consecvent fata de asertiunile conducerii din situatiile financiare. Odata ce riscurile sunt identificate, conducerea ia in considerare semnificatia lor, probabilitatea de aparitie si modul in care trebuie gestionate. Conducerea poate initia planuri, programe sau masuri care sa abordeze riscuri specifice sau poate hotari sa accepte un risc datorita costului sau din alte considerente. Riscurile pot aparea sau schimba din cauza unor circumstante precum:

Schimbarile din mediul operational. Schimbarile din mediul de reglementare sau de operare pot da nastere la schimbari ale presiunilor concurentiale si unor riscuri semnificativ diferite.

Personalul nou. Personalul nou poate pune un accent diferit sau intelege diferit controlul intern.

Sistemele de informatii noi sau modernizate. Schimbarile rapide si semnificative din sistemele de informatii pot modifica riscul referitor la controlul intern.

Cresterea rapida. Expansiunea rapida si semnificativa a operatiunilor poate slabi controalele si mari riscul de "cadere" a acestora.

Noua tehnologie. Incorporarea noii tehnologii in procesele de productie sau sistemele de informatii poate schimba riscul asociat cu controlul intern.

Noile modele de afaceri, produse sau activitati. Intrarea in noi domenii de activitate sau incheierea de tranzactii in care entitatea are o experienta restransa poate introduce noi riscuri asociate cu controlul intern.

Restructurarile intreprinderilor. Restructurarile pot fi insotite de reduceri de personal si modificari in supraveghere si segregarea datoriilor care ar putea modifica riscul asociat cu controlul intern

Operatiunile extinse din strainatate. Expansiunea sau achizitia de operatiuni in strainatate poarta riscuri noi si deseori unice care pot afecta controlul intern, de exemplu, riscurile suplimentare sau modificate din tranzactii in valuta.

Noile norme contabile. Adoptarea de noi principii contabile sau modificarea principiilor contabile poate afecta riscurile la elaborarea situatiilor financiare.

Aplicarea in cazul entitatilor mici

7. Conceptele de baza ale procesului de evaluare a riscurilor de catre entitate sunt relevante pentru orice entitate, indiferent de marime, dar procesul de evaluare a riscurilor va fi probabil mai putin formal si mai putin structurat in cazul micilor entitati decat la entitatile mari. Toate entitatile trebuie sa aiba obiective stabilite de raportare financiara, dar ele ar putea fi recunoscute implicit si nu explicit la entitatile mici. Conducerea poate fi constienta de riscurile legate de aceste obiective fara a face uz de de un proces formal dar printr-un contact direct cu angajatii si persoane din afara entitatii.

sistemul de informatii, inclusiv procesele de activitate aferente, relevant pentru raportarea financiara, si comunicarea

8. Un sistem de informatii este alcatuit dintr-o infrastructura (componente fizice si hardware), software, oameni, proceduri si date. Infrastructura si software-ul pot lipsi, sau pot avea o semnificatie mai mica, in cadrul sistemelor care sunt exclusiv sau preponderent manuale. Multe sisteme de informatii pot folosi pe scara larga tehnologia informatiei (IT).
9. sistemul de informatii relevant pentru obiectivele de raportare financiara, care cuprinde sistemul de raportare financiara, este alcatuit din proceduri si evidente stabilite pentru a initia, inregistra, procesa si raporta tranzactiile entitatii (precum si evenimente si conditii) si a mentine raspunderea pentru activele, datoriile si capitalul propriu aferente. Tranzactiile pot fi initiate manual sau automat prin proceduri programate. Inregistrarea include identificarea si retinerea informatiilor relevante pentru tranzactii sau evenimente. Procesarea include functii precum editarea si validarea, calcularea, evaluarea, sintetizarea si reconcilierea, indiferent ca sunt efectuate de proceduri automatizate sau manuale. Raportarea se refera la intocmirea rapoartelor financiare si a altor informatii, in format electronic sau pe suport de hartie, pe care entitatea le foloseste la evaluarea si revizuirea performantelor financiare si pentru alte functii. Calitatea informatiilor generate de sistem afecteaza capacitatea conducerii de a lua decizii potrivite privind gestionarea si controlul activitatilor entitatii si de a intocmi rapoarte financiare credibile.
10. Asadar, sistemul de informatii cuprinde metode si evidente care:

Identifica si inregistreaza toate tranzactiile valide.

Descriu la momentul oportun tranzactiile suficient de detaliat pentru a permite clasificarea adecvata a tranzactiilor pentru raportarea financiara.

Stabilesc valoarea tranzactiilor intr-o maniera care permite inregistrarea valorii monetare adecvate in situatiile financiare.

Determina perioada de timp in care au avut loc tranzactiile pentru a permite inregistrarea tranzactiilor in perioada contabila potrivita.

Prezinta adecvat tranzactiile si informatiile adecvate in situatiile financiare.

11. Comunicarea inseamna transmiterea inteligibila a a rolurilor si responsabilitatilor individuale referitoare la controlul intern asuora raportarii financiare. Include masura in care personalul intelege modul in care activitatile lor din cadrul sistemului de raportare financiara se coreleaza cu activitatea altora si mijloacele de raportare a exceptiilor catre un nivel ierarhic superior corespunzator din cadrul entitatii. Canalele deschise de comunicare contribuie la raportarea si luarea de masuri asupra exceptiilor.

12. Comunicarea ia forme precum manualele de politici, manualele de raportare contabila si financiara si memorandumurile. Comunicarea se poate face si electronic, oral si prin intermediul masurilor luate de conducere.

Aplicarea in cazul entitatilor mici

13. Sistemele de informatii si procesele de activitate aferente relevante pentru raportarea financiara in cadrul entitatilor mici sunt probabil mai putin formale decat in cazul entitatilor mai mari, dar rolul lor este la fel de semnificativ. Entitatile mici cu o implicare activa a conducerii s-ar putea sa nu aiba nevoie de descrieri extensive ale procedurilor contabile, evidente contabile sofisticate sau politici scrise. Comunicarea poate fi mai putin formala si mai usor de realizat la o entitate mica decat la o entitate mai mare datorita dimensiunii si nivelurilor mai putine din cadrul entitatii mici precum si vizibilitatii si disponibilitatii mai mari din partea conducerii.

activitati de control

14. Activitatile de control sunt politicile si procedurile care ajuta la indeplinirea directivelor conducerii, de exemplu, ca sunt luate masurile necesare pentru a contracara riscurile care impieteaza asupra obiectivelor entitatii. Activitatile de control, fie in cadrul sistemelor IT fie in cel al sistemelor manuale, au diferite obiective si sunt aplicate la diferite niveluri organizationale si functionale.

15. In general, activitatile de control ce pot fi relevante pentru un audit pot fi categorisite ca politici si proceuri care se refera la:

Revizuirea performantelor. Aceste activitati de control cuprind revizuirile si analizele performantelor realizate fata de bugete, prognoze si performantele perioadelor anterioare; relationarea diferitelor seturi de date  - operationale sau financiare - intre ele, impreuna cu analize ale relatiilor si masurile investigative si corective; compararea datelor interne cu sursele externe de informatii; si revizuirea performantelor functionale sau de activitate, cum ar fi revizuirea de catre un manager de credire de consum al unei banci a rapoartelor dupa filiala, regiune si tip de credit pentru aprobare si incasare.

Procesarea informatiilor. O varietate de controale sunt efectuate pentru a verifica exactitatea, exhaustivitatea si autorizarea tranzactiilor. Cele doua grupari largi de activitati de control din sietemele de informatii sunt controalele de aplicare si controalele IT generale. Controalele de aplicare se aplica procesarii cazurilor individuale de aplicare. Aceste controale ajuta la a asigura ca tranzactiile au avut loc, sunt autorizate si sunt inregistrate si procesate exhaustiv si exact. Exemple de controale de aplicare sunt verificarea exactitatii aritmetice a inregistrarilor, tinerea si revizuirea conturilor si balantelor de verificare, controalele automatizate cum sunt verificarile de editare a datelor introduse si verificarile secventiale numerice, si urmarirea manuala a rapoartelor cu exceptii. Controalele IT generale sunt politicile si procedurile care se refera la multe aplicatii si sprijina functionarea eficienta a controalelor de aplicare prin asigurarea operarii adecvate continue a sistemelor de informatii. Controalele IT generale de regula includ controalele asupra centrelor de date si operatiunilor de retea; achizitionarea, modificarea si intretinerea soft-urilor de sistem; securitatea accesului; si achizitionarea, dezvoltarea si intretinerea sistemelor de aplicatii. Aceste controale se aplica in cazul "mainframe-urilor", "miniframe-ruilor" si al mediilor cu utilizator final. Exemple de astfel de controale IT generale sunt controalele asupra modificarii programelor, controalele care restrictioneaza accesul la programe sau date, controale asupra implementarii noilor editii de aplicatii soft, si controale asupra soft-ului de sistem care restrictioneaza accesul sau monitorizeaza utilizarea utilitatilor de sistem care ar putea modifica datele financiare sau evidente fara a lasa posibiliatea auditarii lor.

Controale fizice. Aceste activitati cuprind securitatea fizica a activelor, inclusiv masurile adcevate de protectie cum ar fi facilitatile protejate asupra accesului la active sau evidente; autorizarea accesului la programe de calculator si fisiere de date; si inventarierea si compararea periodica cu valorile din evidentele de control (de exemplu compararea rezultatelor inventarierii disponibilitatilor banesti, titlurilor si stocurilor cu evidentele contabile). Gradul in care controalele fizice menite sa previna sustragerea de bunuri sunt relevante pentru credibilitatea intocmirii situatiilor financiare si implicit pentru audit, depinde de circumstante precum cazul in care activele sunt foarte susceptibile la o alocare gresita. De exemplu, aceste controale nu vor fi de regula relevante atunci cand in baza inspectiilor fizice periodice sunt detectate si inregistrate in situatiile financiare pierderi la stocuri. Totusi, daca pentru raportarea financiara, conducerea se bazeaza doar pe evidente perpetue ale stocurilor, controalele privind securitatea fizica vor fi relevante pentru audit.

Segregarea datoriilor. Atribuirea diferitelor persoane de responsabilitati privind autorizarea tranzactiilor, inregistrarea tranzactiilor si mentinerea custodiei activelor este menita sa reduca posibilitatea ca vreo persoana sa se afle in situatia de a produce si tainui, in acelasi timp, erori sau fraude in cursul normal al indeplinrii sarcinilor sale. Exemple de segregare a datoriilor sunt raportarea, revizuirea si aprobarea reconcilierilor si aprobarea si controlul documentelor.

16. Anumite activitati de control pot depinde de existenta unor politici adecvate la un nivel superior, stabilite de conducere sau cei insarcinati cu guvernanta. de exemplu, controalele de autorizare pot fi delegate in baza unor linii directoare existente, cum ar fi criteriile de investitii stabilite de cei insarcinati cu guvernanta; alternativ, tranzactiile neuzuale cum sunt achizitiile sau vannzarile de active majore pot solicita o anumita aprobare la un nivel inalt, in anumite cazuri cea a actionarilor.

Aplicarea in cazul entitatilor mici

17. Conceptele care stau la baza activitatilor de control din entitatile mici sunt probabil similare celor din entitatile mai mari, dar formalitatea (oficialitatea) cu care ele operaza difera. Mai departe, pentru entitatile mici anumite tipuri de activitati de control s-ar putea sa nu fie relevante datorita controalelor aplicate de conducere. De exemplu, pastrarea de catre conducere a autoritatii pentru aprobarea vanzarilor pe credit, achizitiilor semnificative si folosirea liniilor de credit poate asigura un control puternic asupra acelor activitati, micsorand sau eliminand nevoia de activitati de control mai detaliate. O segregare adecvata a datoriilor deseori prezinta dificultati la entitatile mici. Chiar si societatile care au doar cativa angajati, totusi, pot desemna responsabilitatile astfel incat sa realizeze o segregare adecvata sau, daca acest lucru nu este posibil, sa utilizeze supravegherea activitatilor incompatibile de catre management in vederea realizarii obiectivelor de control.

monitorizarea controalelor

18. O responsabilitate importanta a conducerii este de a stabili si mentine controlul intern cu continuitate. Monitorizarea de catre conducere a controalelor presupune a avea in vedere daca acestea opereaza asa cum se intentioneaza si daca sunt modificate corespunzator in functie de schimbarea conditiilor. Monitorizarea controalelor poate include activitati precum analizarea de catre conducerii a intocmirii la timp a reconcilierilor bancare, evaluarea de catre auditorii interni a respectarii de catre personalul de vanzare a politicilor entitatii asupra conditiilor din contractele de vanzare si supravegherea de catre departamentul juridic a respectarii politicilor, privind etica si practicile in afaceri, apartinand entitatii.

19. Monitorizarea controalelor este un proces de evaluare a calitatii performantelor controlului intern de-a lungul timpului. Aceasta implica evaluarea conceptiei si operarii controalelor la timp si luarea masurilor corective necesare. Monitorizarea este infaptuita pentru a asigura operarea eficienta a controalelor in continuare. De exemplu, daca oportunitatea si exactitatea reconcilierilor bancare nu sunt monitorizate, este probabil ca personalul sa inceteze sa le mai intocmeasca. Monitorizarea controalelor este realizata prin activitati de monitorizare continua, evaluari separate si combinatii intre cele doua.

20. Activitatile de monitorizare continua sunt incorporate in activitatile recurente normale ale entitatii si includ activitatile regulate de management si supraveghere. Managerii de vanzari, achizitii si productie la nivel de divizie sau la nivelul intregii corporatii sunt la curent cu activitatea si pot chestiona rapoartele care difera semnificativ de ceea ce cunosc ei despre activitate.

21. In multe entitati, auditorii interni sau personalul care indeplineste functii similare contribuie la monitorizarea controalelor entitatii prin evaluari separate. Ei furnizeaza regulat informatii despre functionarea controlului intern, concentrandu-si atentia in mod considerabil pe evaluarea conceptiei si operarii controlului intern. Ei comunica informatii despre punctele forte si punctele slabe si recomandari pentru imbunatatirea controlului intern.

22. Activitatile de monitorizare pot include utilizarea informatiilor din comunicarile cu persoane din afara intreprinderii care pot indica probleme sau evidentia domenii ce au nevoie de imbunatatire. Clientii in mod implicit coroboreaza datele de facturare prin plata facturilor lor sau plangandu-se in legatura cu suma de plata. In plus, organele de reglementare pot comunica cu entitatea in ceea ce priveste probleme care afecteaza functionarea controlului intern, de exemplu, comunicarile privind examinarile efectuate de agentiile de reglementare bancara. De asemenea, conducerea poate lua in considerare comunicarile referitoare la controlul intern de la auditorii externi pentru indeplinirea activitatilor de monitorizare.

Aplicarea in cazul entitatilor mici

23. Este mai probabil ca activitatile de monitorizare continua ale entitatilor mici sa fie informale si ele sunt de regula indeplinite ca parte a managementului general al activitatii entitatii. Implicarea stransa a conducerii in activitate deseori va conduce la identificarea unor abateri semnificative de la estimari si a unor inadvertente in datele financiare conducand la masuri corective in ceea ce priveste controlul.

Anexa 3: Conditii si evenimente care pot indica riscuri de denaturare semnificativa

Ceea ce urmeaza reprezinta exemple de conditii si evenimente care pot indica existenta riscurilor de denaturare semnificativa. Exemplele date acopera o gama larga de evenimente si conditii; totusi, nu toate conditiile si evenimentele sunt relevante pentru orice angajament de audit iar lista cu exemple nu este neaparat exhaustiva.

• Operatiuni in regiuni care sunt instabile din punct de vedere economic, de exemplu, tari cu deprecieri semnificative ale monedei sau economii puternic inflationiste.
• Operatiuni expuse la piete volatile, de exemplu, tranzactionarea la termen futures.
• Grad inalt de reglementare complexa.
• Probleme privind continuitatea activitatii si de lichiditate inclusiv pierderea clientilor semnificativi.
• Constrangeri asupra disponibilitatii capitalului si creditului.
• Schimbari in sectorul in care opereaza entitatea.
• Schimbari in lantul aprovizionarii.
• Dezvoltarea sau oferirea de noi produse sau servicii, sau intrarea in noi domenii de activitate.
• Extinderea spre noi locatii.
• Schimbari in cadrul entitatii cum ar fi achizitiile sau reorganizarile ori alte evenimente neobisnuite.
• Entitati sau segmente de activitate cu probabilitatea de a fi vandute.
• Aliante si asocieri in participatiune complexe.
• Utilizarea finantarii extrabilantiere, a entitatilor cu scop special si a altor aranjamente complexe de finantare.
• Tranzactii semnificative cu parti afiliate.
• Lipsa personalului cu aptitudini corespunzatoare de raportare contabila si financiara.
• Schimbari in cadrul personalului cheie inclusiv plecarea persoanelor cheie din executiv.
• Deficiente ale controlului intern, in special cele neabordate de conducere.
• Inconsecvente intre strategia IT a entitatii si strategiile sale de afaceri.
• Schimbari in cadrul mediului IT.
• Instalarea unor sisteme IT noi importante legate de raportarea financiara.
• Investigarea activitatii sau a rezultatelor financiare ale entitatii de catre organele de reglementare sau guvernamentale.
• Denaturari anterioare, o istorie a erorilor sau un volum semnificativ de ajustari la finele perioadei.
• Volum semnificativ de tranzactii neuzuale sau nesistematice inclusiv tranzactiile intre companii si tranzactii cu venituri mari la finele perioadei.
• Tranzactii care sunt inregistrate pe baza intentiei conducerii, de pilda, refinantarea datoriilor, active de vandut si clasificarea titlurilor tranzactionabile.
• Aplicarea noilor norme contabile.
• Evaluari contabile care implica procese complexe.
• Evenimente sau tranzactii care implica incertitudini semnificative in ce priveste evaluarea, inclusiv estimari contabile.
• Litigii pe rol si datorii contingente, de exemplu, garantii post-vanzare, garantii financiare si repararea daunelor provocate mediului inconjurator.