Justyna Beata Zakrzewska

Oszacowanie ryzyka jest to proces identyfikacji czynników ryzyka działalności gospodarczej i oszustw, na jakie narażona jest jednostka prowadząca działalność gospodarczą.

1. POJĘCIE OSZUSTWA

W procesie badania sprawozdań finansowych zgodnie z Międzynarodowymi Standardami Rewizji Finansowej prawidłowe oszacowanie ryzyka jest fundamentem do przeprowadzenia dalszych etapów badania. Przeprowadzanie procedur oszacowania ryzyka ogranicza nakład pracy, a nawet eliminuje ją w obszarach o niskim ryzyku. Wiedza i spostrzeżenia uzyskane podczas oszacowania ryzyka mogą także zostać wykorzystane przez biegłego rewidenta do przekazania kierownictwu jednostki praktycznych uwag i sugestii dotyczących minimalizacji lub ograniczenia ryzyka.

Zrozumienie jednostki podstawą oszacowania ryzyka

Proces badania przeprowadzany zgodnie z Międzynarodowymi Standardami Rewizji Finansowej można podzielić na trzy etapy:

  • oszacowanie ryzyka,
  • reakcję na ryzyko,
  • sprawozdawczość1

w skrócie etapy te można nazwać zasadą ORS.

Badanie oparte na ryzyku wymaga od biegłych rewidentów zrozumienia jednostki i otoczenia, w jakim funkcjonuje oraz stosowanych w niej systemów kontroli wewnętrznej. Ma to na celu identyfikację i oszacowanie ryzyka wystąpienia istotnych nieprawidłowości w sprawozdaniu finansowym. Ponieważ oszacowanie ryzyka opiera się w znacznym stopniu na stosowaniu zawodowego osądu, etap ten często wymaga udziału partnera lub pracowników działu audytu wyższego szczebla, co umożliwia prawidłową identyfikację i oszacowanie różnych rodzajów ryzyka i opracowanie odpowiedniej reakcji na nie podczas badania.

Etap szacowania ryzyka badania składa się z następujących kroków:

  • przeprowadzenie procedury przyjęcia zlecenia lub kontynuacji współpracy z klientem,
  • ogólne planowanie zlecenia,
  • przeprowadzenie procedur szacowania ryzyka, w celu zrozumienia działalności i identyfikacji ryzyka nieodłącznego oraz ryzyka kontroli,
  • rozpoznanie istotnych procedur kontrolni wewnętrznej, ocena ich modelu i wdrożenia (procedury, które mają zapobiegać występowaniu istotnych nieprawidłowości lub wykrywać i korygować nieprawidłowości po ich wystąpieniu),
  • oszacowanie ryzyka istotnych nieprawidłowości w sprawozdaniu finansowym,
  • rozpoznanie znaczących czynników ryzyka, które wymagają szczególnego uwzględnienia w badaniu i tych, dla których same badania wiarygodności nie są wystarczające,
  • poinformowanie kierownictwa i osób zarządzających oraz sprawujących nadzór nad jednostką o ewentualnych istotnych słabościach modelu i wdrożenia kontroli wewnętrznej,
  • dokonanie kompetentnego szacowania ryzyka istotnych nieprawidłowości na poziomie sprawozdania finansowego oraz na poziomie stwierdzeń.

Wiele z tych czynności można przeprowadzić przed zakończeniem badanego okresu.

Howard W. Holmes podzielił proces badania na 5 etapów, nazywając taki model badania „Activity Based Risk Evaluation Model of Auditing”2.

Ten model badania jest uzupełnieniem zasady ORS i powstał na podstawie założeń MSRF.

W modelu tym etap oszacowania ryzyka można podzielić na dwie części: „Podjęcie współpracy/kontynuacja współpracy z klientem” będący etapem planowania strategicznego i „Planowanie badania” będący etapem planowania taktycznego3.

Zgodnie z Międzynarodowymi Standardami Sprawozdawczości Finansowej celem biegłego rewidenta jest rozpoznanie i oszacowanie ryzyka istotnych nieprawidłowości, wywołanych oszustwami lub błędami, na poziomie sprawozdania finansowego i stwierdzeń, w drodze zrozumienia jednostki i jej środowiska, łącznie z kontrolą wewnętrzną jednostki, co zapewnia punkt wyjścia do zaprojektowania i wdrożenia reakcji na oszacowane ryzyko wystąpienia istotnej nieprawidłowości4.

Podstawą osiągnięcia celu biegłego rewidenta zdefiniowanego w MSRF jest zrozumienie jednostki i środowiska, w którym działa oraz jej kontroli wewnętrznej, dlatego MSRF wymagają od biegłego rewidenta poświęcenia czasu na rzetelne zrozumienie procesu podejmowania decyzji w jednostce, co pomaga zaplanować takie procedury badania, które pozwolą ograniczyć czas badania niektórych stwierdzeń sprawozdania finansowego i skoncentrować się na konkretnych, rozpoznanych czynnikach ryzyka.

Zrozumienie i poznanie jednostki jest procesem ciągłym, trwającym przez cały proces badania. Wnioski z przeprowadzonych procedur badania mogą prowadzić do modyfikacji zrozumienia jednostki. Decyzje jednostki gospodarczej (wynikające z jej strategii) działającej w określonym środowisku wyzwalają procesy i transakcje gospodarcze, rejestrowane w księgach handlowych i prezentowane w sprawozdaniu finansowym. To właśnie strategia działalności wyznacza kierunek podejmowanych decyzji. Wpływ na nie mają także czynniki ryzyka działalności gospodarczej i oszustw, kultura, ludzie i ich stosunek do odpowiedzialności (środowisko kontroli) oraz kontrole wewnętrzne ustanowione jako reakcja na ryzyko. Zrozumienie jednostki umożliwia biegłemu rewidentowi rozpoznanie, m.in. na podstawie trendów branży, czynników ryzyka i głównych informacji, które zdarzenia gospodarcze powinny zostać zarejestrowane w systemie informacyjnym jednostki.

Zrozumienie jednostki i jej środowiska (wyłączając z tego kontrolę wewnętrzną) obejmuje poznanie następujących obszarów:

  1. branży, do której należy jednostka;
  2. przepisów oraz innych czynników zewnętrznych, w tym mających zastosowanie zasad rachunkowości;
  3. charakteru jednostki, łącznie z jej działalnością;
  4. własności i struktury nadzoru,
  5. rodzajów prowadzonych i zamierzonych inwestycji;
  6. struktury jednostki i sposobu finansowania;
  7. polityki rachunkowości i zmian do niej wprowadzonych;
  8. celów i strategii jednostki;
  9. pomiaru i przeglądu wyników działalności jednostki5.

Jeśli biegły rewident zamierza skorzystać z informacji uzyskanych z poprzednich doświadczeń z klientem oraz z procedur badania przeprowadzonych w poprzednich latach, to konieczne jest uaktualnienie wiedzy o jednostce i stwierdzenie, czy zmiany wpływają na bieżące badanie6. Należy udokumentować te zmiany, aktualizując informacje dotyczące zrozumienia jednostki dla potrzeb bieżącego badania.

Dotychczas biegły rewident uzyskiwał zaledwie podstawową znajomość jednostki, a następnie skupiał się na uzyskaniu wystarczających dowodów badania potwierdzających zawartość sprawozdania finansowego. Główny nacisk badania kładziony był na zawartość sprawozdania finansowego. Powodowało to niemożność oceny, jakie rodzaje informacji rzeczywiście powinny zostać zarejestrowane w systemie informacyjnym.

Znajomość jednostki pomoże także biegłemu rewidentowi w określeniu istotności, ocenie dokonanego przez kierownictwo wyboru zasad rachunkowości i poprawności ujawnień w sprawozdaniu finansowym, ustaleniu, które obszary badania wymagają szczególnej uwagi. Będzie też podstawą decyzji o przeprowadzeniu procedur analitycznych oraz zaprojektowaniu i przeprowadzeniu dalszych procedur badania skutecznie ograniczających ryzyko badania do akceptowanego niskiego poziomu oraz pozwoli ocenić, czy uzyskane dowody badania są wystarczające i odpowiednie.

Biegły rewident może zdobyć potrzebne informacje ze źródeł wewnętrznych oraz zewnętrznych jak również z dokumentacji rewizyjnej z lat poprzednich. Informacje ze źródeł wewnętrznych powinny być zweryfikowane z informacjami uzyskanymi ze źródeł zewnętrznych.

Procedury oszacowania ryzyka

Punktem wyjścia do zaprojektowania i przeprowadzenia przez biegłego rewidenta dalszych procedur badania jest rozpoznanie i oszacowanie ryzyka istotnych nieprawidłowości na poziomie sprawozdania finansowego jako całości i na poziomie stwierdzeń dla grup transakcji, sald kont i ujawnień informacji7, a oszacowane ryzyko obejmuje zarówno ryzyko będące skutkiem błędów, jak skutkiem oszustw8.

Większość procedur szacowania ryzyka przeprowadzana jest na etapie „oszacowania ryzyka”. Na etapie podejmowania współpracy z klientem lub jej kontynuacji biegły rewident przeprowadza procedury oszacowania ryzyka na poziomie sprawozdania finansowego wykorzystując wstępną znajomość działalności gospodarczej klienta. Na etapie planowania przeprowadzane są procedury oszacowania ryzyka na poziomie stwierdzeń.

Jednakże każda nowa informacja uzyskana w trakcie badania sprawozdania finansowego może spowodować konieczność zmiany oszacowania ryzyka, nawet na dalszych etapach badania.

Procedury szacowania ryzyka to9:

  1. zapytania adresowane do kierownictwa i innych osób w jednostce,
  2. procedury analityczne,
  3. obserwacje i inspekcje.

Procedury szacowania ryzyka dostarczają dowodów badania niezbędnych do potwierdzenia oszacowania ryzyka na poziomie sprawozdania finansowego i stwierdzeń. Same procedury oszacowania ryzyka nie są jednak wystarczającymi i odpowiednimi dowodami badania będącymi podstawą wydania opinii z badania.

W przypadku przeprowadzania badania osobiście przez biegłego rewidenta, dalsze procedury badania mogą być przeprowadzanie razem z procedurami szacowania ryzyka10.

Celem zapytań adresowanych do kierownictwa i innych osób jest zrozumienie jednostki oraz rozpoznanie i oszacowanie źródeł ryzyka. Zapytania skierowane do innych osób z innym poziomem uprawnień niż kierownictwo i główny księgowy mogą dostarczyć ważnych informacji. Kierując zapytanie do kierownictwa lub osób odpowiedzialnych za sprawozdawczość finansową audytorzy mogą uzyskać informacje dotyczące procesów stosowanych w spółce dla rozpoznania i ograniczenie ryzyka oszustw i błędów w sprawozdaniu finansowym.

Procedury analityczne stosowane jako procedury szacowania ryzyka pomagają wykryć nietypowe transakcje lub zdarzenia, kwoty, wskaźniki i tendencje, które mają wpływ na sprawozdanie finansowe oraz prowadzone badanie. Identyfikują one nietypowe zależności, wskazujące na potencjalne nieosiągnięcie akceptowanego poziomu ryzyka badania. Inną rolę spełniają procedury analityczne stosowane w badaniach wiarygodności11.

Większość procedur analitycznych wykorzystuje dane wysoce zagregowane, stąd ich wyniki mogą jedynie wskazać obszar ewentualnego występowania istotnej nieprawidłowości lub zniekształcenia. Dlatego wskazane jest, by wyniki procedur analitycznych łączyć z innymi uzyskanymi informacjami.

Procedury analityczne oszacowania ryzyka mogą zajmować się zarówno informacjami finansowymi, jak i niefinansowymi. Wyniki procedur analitycznych rozpatrywane łącznie z innymi informacjami mogą pomóc w rozpoznaniu ryzyka istotnej nieprawidłowości na poziomie stwierdzeń oraz w zaprojektowaniu reakcji na rozpoznane ryzyko.

Celem obserwacji i inspekcji jest uzyskanie potwierdzenia odpowiedzi udzielonych na zapytania adresowane do kierownictwa i innych osób w jednostce oraz dostarczenie informacji o jednostce i o jej środowisku.

Przeprowadzanie procedury obserwacji dotyczy sposobu prowadzenia działalności i organizacji jednostki, stylu działania kierownictwa i postawy wobec kontroli wewnętrznej, przebiegu różnych kontroli wewnętrznych oraz przestrzegania zasad.

Inspekcje to przegląd dokumentów zawierających biznes plany i strategie, politykę rachunkowości, dostępne instrukcje i regulaminy, raporty kierownictwa i ważne protokoły.

Podczas procesu oszacowania ryzyka można przeprowadzić inne procedury, takie jak: analiza informacji uzyskanych przed podjęciem się zlecenia bądź w trakcie innych wcześniejszych zleceń na rzecz jednostki, analiza wyników oceny modelu kontroli wewnętrznej, przegląd informacji ze źródeł zewnętrznych. Przed wykorzystaniem tych informacji biegły rewident musi upewnić się, czy są one aktualne dla potrzeb bieżącego badania12.

Wyniki procedury jednego rodzaju często prowadzą do przeprowadzenia kolejnej. Na przykład wyniki procedury analitycznej dotyczącej wstępnych wyników działalności operacyjnej mogą spowodować skierowanie zapytania do kierownictwa, a odpowiedź na nie może być przyczyną inspekcji dokumentów lub obserwacji procesów.

Przyjęcie zlecenia i kontynuacja współpracy z klientem

Podjęcie decyzji o przyjęciu zlecenia lub kontynuacji współpracy z klientem poprzedzone musi być przeprowadzeniem procedur akceptacji lub kontynuacji współpracy z klientem13, określonych w strategicznym planie działania firmy audytorskiej. Celem tych procedur jest rozpoznanie, a następnie oszacowanie ryzyka firmy audytorskiej związanego z podjęciem się zlecenia lub kontynuacją zlecenia. Charakter tych procedur polega na oszacowaniu ryzyka, a ich wyniki mogą zostać wykorzystane jako źródło ogólnego oszacowania ryzyka. Coroczne oszacowanie ryzyka zlecenia pozwali zapewnić niezależność firmy audytorskiej oraz zagwarantuje, że ryzyko badania nie przekroczy granic ryzyka określonych przez firmę audytorską.

Błędna decyzja w sprawie przyjęcia lub kontynuowania współpracy ze zleceniodawcą może prowadzić do sytuacji, w której ilość godzin przepracowanych nad zleceniem przekroczy umówioną kwotę honorariów lub firma audytorska nie otrzyma zapłaty za wystawione przez siebie faktury. Wiąże się to z dodatkowym stresem dla partnerów i pracowników, może również skutkować utratą reputacji lub nawet procesami sądowymi.

Ogólna strategia badania – ogólny plan badania

Planowanie ma na celu przeprowadzenie badania w efektywny sposób14. Aby zapewnić efektywne działanie firmy powinniśmy zarządzać dostępnymi zasobami, jednocześnie przeprowadzając profesjonalne czynności wymagane przez standardy rewizji. Opracowanie ogólnej strategii badania rozpoczyna się na etapie szacowania ryzyka badania. Sporządzanie szczegółowego planu badania można rozpocząć, kiedy dysponuje się już wystarczającymi informacjami na temat oszacowanego ryzyka uzyskanymi na bazie znajomości jednostki.

Przeprowadzenie procedur szacowania ryzyka w celu zrozumienia działalności i identyfikacji ryzyka nieodłącznego oraz ryzyk kontroli

Ryzyko istotnej nieprawidłowości jest funkcją ryzyka nieodłącznego i ryzyka kontroli. Te rodzaje ryzyka nie zależą od biegłego rewidenta i nie ma on na nie wpływu. Jest więc bardzo istotną kwestią właściwe zrozumienie przez biegłego rewidenta jednostki i jej środowiska w celu prawidłowej identyfikacji i oszacowania ryzyka istotnej nieprawidłowości.

Jednym z elementów ryzyka istotnych nieprawidłowości jest ryzyko działalności gospodarczej. Bez prawidłowej identyfikacji i oszacowania ryzyka działalności gospodarczej biegły nie będzie w stanie zidentyfikować i oszacować ryzyka istotnej nieprawidłowości.

Biegły rewident jest odpowiedzialny za identyfikację i oszacowanie ryzyka istotnych nieprawidłowości na poziomie sprawozdania finansowego i stwierdzeń15.

Ryzyko działalności gospodarczej wynika z uwarunkowań, zdarzeń, okoliczności, działań lub zaniechania działań, które mogą negatywnie wpływać na zdolność jednostki do osiągania swoich celów oraz realizację strategii. Zrozumienie ryzyka działalności gospodarczej zwiększa prawdopodobieństwo identyfikacji ryzyka istotnych nieprawidłowości. Biegły rewident nie ma jednak obowiązku rozpoznania i oszacowania wszystkich rodzajów ryzyka działalności gospodarczej.

Najlepiej jest oddzielić rozpoznanie ryzyka od jego oszacowania. Ponieważ ryzyko działalności gospodarczej może być rozpoznawane na każdym etapie zlecenia, należy dokumentować go w jednym miejscu (umożliwia to łatwy dostęp), zanim zostanie ono oszacowane. Pozwoli to zagwarantować, że wszystkie czynniki ryzyka zostaną udokumentowane i rozważone, nawet jeżeli niektóre z rozpoznanych czynników ryzyka zostaną w wyniku oszacowania uznane za nieistotne i nie wymagające podjęcia dalszych działań16.

Proces szacowania ryzyka stanowi jeden z elementów kontroli wewnętrznej, które jednostka powinna stosować do:

  • rozpoznania ryzyka działalności gospodarczej istotnego dla realizacji celów sprawozdawczości finansowej;
  • sformułowania podstaw dla określenia przez kierownictwo, które czynniki ryzyka wymagają zarządzania;
  • oceny wystąpienia RIN;
  • podjęcia decyzji o działaniach skierowanych na to ryzyko.

Po udokumentowaniu i oszacowaniu czynników ryzyka ważne jest, aby biegły rewident omówił uzyskane wyniki z kierownictwem jednostki. Pomoże to zagwarantować, że żaden znaczący czynnik ryzyka nie został przeoczony oraz że oszacowanie ryzyka (prawdopodobieństwo jego wystąpienia i przewidywane skutki) jest celne.

Jeżeli kierownictwo rozumie korzyści płynące z bardziej sformalizowanego procesu szacowania ryzyka, może zdecydować się na przygotowanie, wdrożenie i udokumentowanie własnych procesów. W takiej sytuacji obowiązkiem biegłego rewidenta jest ocena zaprojektowania i wdrożenia tych procesów. Obejmuje ona określenie sposobu, w jaki kierownictwo:

  • identyfikuje ryzyko działalności gospodarczej ważne dla sprawozdawczości finansowej,
  • szacuje znaczenie ryzyka,
  • ocenia prawdopodobieństwo jego wystąpienia,
  • decyduje o działaniach zarządzania nim.

Rozpoznanie ryzyka oparte jest na informacjach uzyskanych podczas przeprowadzenia trzech procedur szacowania ryzyka. Przede wszystkim należy rozpoznać ryzyko, nie biorąc pod uwagę jakiejkolwiek kontroli wewnętrznej, która mogłaby je minimalizować. Osobne oszacowanie ryzyka przed rozważeniem systemu kontroli wewnętrznej pomoże w identyfikacji ewentualnego znaczącego ryzyka i zapewni niezbędną podstawę do oceny projektu kontroli wewnętrznej i sposobu jej wdrożenia przez kierownictwo.

Dla każdego rozpoznanego ryzyka biegły rewident powinien przeanalizować:

1. Jakie są jego konsekwencje?

Jaki rodzaj nieprawidłowości mógłby wystąpić w sprawozdaniu finansowym na skutek danego ryzyka?

2. Które obszary sprawozdania finansowego i które stwierdzenia są narażone?

Z jakimi konkretnymi grupami transakcji, saldami kont i ujawnieniami oraz powiązanymi stwierdzeniami związane jest ryzyko?

Po rozpoznaniu przez biegłego rewidenta czynników ryzyka i związanych z nimi możliwych rodzajów nieprawidłowości w sprawozdaniu finansowym, następnym krokiem jest ich oszacowanie i umieszczenie w klasyfikacji istotności. Trzeba pamiętać, że oszacowanie czynników ryzyka powinno być przeprowadzane przed rozważeniem jakiejkolwiek kontroli wewnętrznej, która je minimalizuje.

Dla każdego rozpoznanego ryzyka należy rozważyć prawdopodobieństwo wystąpienia ryzyka oraz pieniężne skutki jego wystąpienia.

1. Prawdopodobieństwo wystąpienia ryzyka

Jakie jest prawdopodobieństwo, że ryzyko wystąpi? Biegły rewident może oszacować to prawdopodobieństwo jako wysokie, umiarkowane lub niskie albo też przypisać mu wartość numeryczną, na przykład w skali od 1 do 5. Im wyższa liczba, tym większe prawdopodobieństwo wystąpienia ryzyka.

2. Skutki pieniężne wystąpienia ryzyka

Jakie byłyby skutki pieniężne wystąpienia ryzyka? Oszacowanie to powinno wskazywać konkretną kwotę pieniędzy. W przeciwnym przypadku różne osoby (mając na myśli różne kwoty) mogłyby dojść do zupełnie różnych wniosków.

Kolejnym ryzykiem, na które biegły rewident nie ma wpływu, a musi dokonać jego identyfikacji i oszacowania jest ryzyko oszustw. Jest ono częścią ryzyka nieodłącznego, będącego elementem ryzyka istotnych nieprawidłowości. Bez poprawnej identyfikacji i oszacowania ryzyka oszustw nie będzie możliwa prawidłowa identyfikacja i oszacowanie ryzyka istotnych nieprawidłowości.

Oszacowanie ryzyka koncentruje się na odpowiedzialności biegłego rewidenta za przeanalizowanie oszustw, które prowadzą do istotnej nieprawidłowości w sprawozdaniu finansowym.

Pojęcie “oszustwa” oznacza zamierzone działanie jednej lub większej ilości osób spośród kierownictwa, osób zarządzających i sprawujących nadzór nad jednostką, pracowników lub stron trzecich, wykorzystujących nieuczciwe praktyki, w celu uzyskania nieuzasadnionej lub niezgodnej z prawem korzyści.

Oszustwo, w które jest zamieszany jeden bądź kilku członków kierownictwa lub osoby zarządzające i sprawujące nadzór nad jednostką, określane jest mianem “oszustwa kierownictwa”. Oszustwo, w które są zamieszani tylko pracownicy jednostki, nazywane jest “oszustwem pracowniczym”. W obu przypadkach może występować zmowa w ramach jednostki lub z udziałem stron trzecich spoza niej.

Oszustwo może występować na każdym poziomie organizacji. Zwykle jest ono poważniejsze (i dotyczy wyższych kwot pieniędzy), jeżeli zamieszane w nie jest wyższe kierownictwo.

Najskuteczniejszą kontrolą wewnętrzną zabezpieczającą przed oszustwami jest zaangażowanie się osób sprawujących nadzór oraz wyższego kierownictwa we właściwe postępowanie, okazywane poprzez wyrażanie wartości jednostki i przywiązanie do etyki w codziennym działaniu. Dotyczy to organizacji o dowolnej wielkości.

Trzy warunki, które uprawdopodabniają występowanie oszustw nazywane są „trójkątem oszustw”, ponieważ obecność wszystkich z nich wskazuje na wysokie prawdopodobieństwo wystąpienia oszustwa. Są nimi:

  • możliwości: słaba kultura korporacyjna i brak odpowiednich procedur kontroli wewnętrznej mogą często prowadzić do przekonania, że oszustwo nie będzie wykryte.
  • naciski: wywoływane są przez pilne potrzeby nie podzielane przez innych (np. znaczące zadłużenie osobiste lub konieczność spełnienia oczekiwań banku dotyczących poziomu zysku lub wynagrodzenia).
  • usprawiedliwienia: przekonanie, że w rzeczywistości oszustwo nie zostało popełnione. Popełniający oszustwo usprawiedliwia się, stwierdzając na przykład: „to nic wielkiego” lub „biorę tylko to, na co zasługuję”.

Odpowiedzialność za zapobieganie oraz wykrywanie nadużyć (oszustw, zawłaszczeń majątku, sprzeniewierzeń) spowodowanych świadomym działaniem i błędów wywołanych nieumyślnie oraz zapewnienie zgodności działania z przepisami prawa (w tym także podatkowego), statutem lub umową jednostki spoczywa na jej kierowniku.

Jeżeli biegły rewident stwierdza, że:

  1. skutki nadużyć, błędów lub naruszeń prawa, istotnie wpływające na rzetelność i/lub zgodność z wymagającymi zastosowania zasadami (polityką) rachunkowości sprawozdania finansowego nie zostały należycie uwzględnione w sprawozdaniu,
  2. jednostka, której sprawozdanie finansowe podlega badaniu, uniemożliwia uzyskanie odpowiednich dowodów badania, pozwalających ocenić, czy popełniono nadużycia, błędy lub naruszenia prawa o istotnym znaczeniu,

– to odpowiednio do wagi nieprawidłowości powinien wyrazić opinię z zastrzeżeniem lub negatywną bądź też odmówić wyrażenia opinii.

Biegły rewident, w razie ujawnienia nadużyć, istotnych błędów lub naruszeń prawa, podejrzenia popełniania nadużyć, nawet jeżeli ich wpływ na rzetelność i zgodność z wymagającymi zastosowania zasadami (polityką) rachunkowości badanego sprawozdania finansowego nie jest istotny, powinien bezzwłocznie powiadomić o tym na piśmie zwierzchnika osoby lub komórki, w której nadużycia, błędy lub naruszenia prawa miały miejsce.

Jeżeli nadużycia lub naruszenia prawa popełniali członkowie kierownictwa jednostki, biegły rewident powinien powiadomić o tym organ nadzorujący kierownika jednostki.

Nie zwalnia to jednak biegłego rewidenta od obowiązków określonych w przepisach prawa17.

Rozpoznanie znaczącego ryzyka

Znaczącym ryzykiem jest zidentyfikowane i oszacowane ryzyko istotnej nieprawidłowości, które zdaniem biegłego rewidenta wymaga szczególnej uwagi.

W procesie oszacowania ryzyka istotnej nieprawidłowości biegły rewident określa, czy którykolwiek ze zidentyfikowanych czynników ryzyka na poziomie sprawozdania finansowego i stwierdzeń dla grup transakcji, sald kont i ujawnień, zdaniem biegłego rewidenta jest znaczący. Decydując o uznaniu ryzyka za znaczące, biegły rewident nie bierze pod uwagę zidentyfikowanych kontroli mających na celu minimalizację tego ryzyka. Powinien on przeanalizować co najmniej następujące kwestie:

  • Czy to ryzyko jest ryzykiem oszustw?
  • Czy to ryzyko jest związane znacząco z sytuacją gospodarczą, zasadami rachunkowymi, rozwojem i czy wymaga szczególnej uwagi?
  • Złożoność transakcji.
  • Czy ryzyko związane jest ze znaczącymi transakcjami z jednostkami powiązanymi?
  • Subiektywizm w pomiarach informacji finansowych związanych z tym ryzykiem, szczególnie pomiary obarczone wysokim ryzykiem niepewności.
  • Czy ryzyko związane jest ze znaczącymi transakcjami, które nie należą do normalnej działalności lub występują rzadko?

Określenie znaczącego ryzyka oparte jest na ryzyku nieodłącznym (przed rozważeniem powiązanej z nim kontroli wewnętrznej), a nie na ryzyku połączonym (rozważenie zarówno ryzyka nieodłącznego, jak i kontroli wewnętrznej).

Właściwa reakcja biegłego rewidenta na ryzyko określone jako „znaczące” polega na ocenie modelu systemu kontroli wewnętrznej jednostki, w tym czynności kontroli wewnętrznej oraz ustaleniu, czy zostały one wdrożone. Jest to niezbędne dla zapewnienia biegłemu rewidentowi odpowiednich informacji do opracowania efektywnego podejścia do badania.

Rozpoznanie istotnych procedur kontrolni wewnętrznej, ocena ich modelu i wdrożenia

Kolejnym etapem oszacowania ryzyka jest zrozumienie kontroli wewnętrznej istotnej dla badania. Polega ono na ocenie projektu i wdrożenia kontroli, które mają zapobiegać występowaniu nieprawidłowości lub wykrywać i korygować nieprawidłowości po ich wystąpieniu.

Zrozumienie kontroli wewnętrznej ma zastosowanie do wszystkich badań prowadzonych zgodnie z MSRF i KSRF.

Od biegłego rewidenta wymaga się zrozumienia kontroli wewnętrznej (istotnej dla badania) wystarczającego do:

  • rozpoznania konkretnych kontroli, które zapobiegają wystąpieniu istotnych nieprawidłowości lub wykrywają i korygują nieprawidłowości po ich wystąpieniu
  • oszacowania ryzyka istotnej nieprawidłowości na poziomie sprawozdania finansowego i stwierdzeń
  • zaprojektowania dalszych procedur badania, które stanowią reakcję na oszacowane ryzyko.

Oceniając projekt kontroli wewnętrznej biegły rewident musi poznać odpowiedź na pytanie, czy procedury kontroli wewnętrznej, pojedynczo lub łącznie, są w stanie skutecznie zapobiegać, wykrywać i korygować istotne nieprawidłowości. Ustalając, czy kontrola wewnętrzna została wdrożona, musi on sprawdzić czy kontrola wewnętrzna istnieje, a jednostka ją stosuje.

Aby zrozumieć kontrolę wewnętrzną stosuje się procedury szacowania ryzyka wcześniej opisywane. Nawet dobrze zaprojektowana i wdrożona kontrola wewnętrzna może dać jedynie uzasadnioną pewność co do osiągnięcia celów sprawozdawczości finansowej. Główne ograniczenia kontroli wewnętrznej są rezultatem osądów ludzkich, błędów lub pomyłek, obejścia kontroli wewnętrznej przez zmowę dwóch lub większej ilości osób oraz nadużyć kontroli wewnętrznej przez kierownictwo.

Z badania mogą zostać wyłączone kontrole, które nie dotyczą sprawozdawczości finansowej oraz te, dla których prawdopodobieństwo spowodowania istotnej nieprawidłowości w sprawozdaniu finansowym jest niewielkie.

Sposób zaprojektowania i wdrożenia kontroli wewnętrznej zmienia się w zależności od wielkości i złożoności jednostki.

Mamy do czynienia z czterema ważnymi krokami wiążącymi się ze zrozumieniem kontroli wewnętrznej, oceną jej modelu i wdrożenia. Z wyjątkiem pierwszego z nich, kolejność ich przeprowadzenia może być różna, w zależności od okoliczności i wielkości jednostki.

Krok 1 – Identyfikacja ryzyka wymagającego minimalizacji

Pierwszy krok to rozpoznanie, które czynniki ryzyka wymagają złagodzenia, aby zapobiec wystąpieniu istotnych nieprawidłowości w sprawozdaniu finansowym. Czynniki ryzyka są często opisywane sformułowaniem „co może pójść źle”, jeżeli nie zostanie osiągnięty konkretny cel kontroli wewnętrznej.

Krok 2 – Udokumentowanie istotnych kontroli wewnętrznych

Kroki 2 i 3 często mogą być wykonane w tym samym czasie. Celem tego kroku jest rozpoznanie istnienia kontroli wewnętrznej, która łagodzi czynniki ryzyka przedstawione powyżej w Kroku 1. Nie ma obowiązku dokumentowania i oceny kontroli wewnętrznych, które nie są ważne dla badania. Pozwala to zaoszczędzić dużo czasu podczas dokumentowania procesów działalności gospodarczej.

Krok 3 – Ocena wdrożenia kontroli wewnętrznej

Aby ocenić model kontroli wewnętrznej należy przeprowadzić nie tylko zapytania, ale również obserwacje działania systemu. Dopiero po ustaleniu, że kontrola wewnętrzna istotna dla badania została właściwie zaprojektowana i wdrożona, powinno się rozważyć jakie testy skuteczności działania kontroli ograniczą potrzebę przeprowadzania innych procedur badania wiarygodności oraz jakie kontrole wymagają testowania, ponieważ nie można poddać ich badaniom wiarygodności.

Krok 4 – Ocena modelu kontroli wewnętrznej

Ostatnim krokiem jest połączenie wszystkich uzyskanych informacji i nakreślenie mapy rozpoznanych, wdrożonych kontroli i czynników ryzyka. Określenie, czy rozpoznane kontrole, pojedynczo lub wraz z innymi kontrolami, mogą skutecznie zapobiegać lub wykrywać i korygować istotne nieprawidłowości, jest kwestią zawodowego osądu biegłego rewidenta.

Po przejściu powyższych czterech kroków biegły rewident powinien odnieść się do wszelkich istotnych słabości kontroli wewnętrznej. Zidentyfikowane czynniki ryzyka do których nie odnosi się kontrola wewnętrzna należy udokumentować, a następnie oszacować. Ułatwi to zaprojektowanie dalszych procedur badania, które będą stanowiły reakcję na oszacowane ryzyko.

Oszacowanie ryzyka istotnych nieprawidłowości

Ostatnim krokiem etapu szacowania ryzyka w badaniu jest oszacowanie ryzyka istotnych nieprawidłowości. Uzyskane z przeprowadzonych procedur szacowania ryzyka informacje dotyczące czynników ryzyka oraz minimalizacji ryzyka kontroli należy zebrać w celu oszacowania ryzyka istotnych nieprawidłowości na poziomie sprawozdania finansowego oraz stwierdzeń dla grup transakcji, sald kont i ujawnień informacji. Dokumentacja procesu szacowania ryzyka powinna obejmować wyniki dyskusji zespołu realizującego zlecenie i podjęte znaczące decyzje, kluczowe elementy znajomości jednostki, źródła informacji, które były podstawą zrozumienia jednostki, charakter i wyniki przeprowadzonych procedur szacowania ryzyka, zidentyfikowane i oszacowane ryzyko istotnych nieprawidłowości w sprawozdaniu finansowym oraz na poziomie stwierdzenia, szczegóły dotyczące znaczącego ryzyka, wymagające szczególnej uwagi oraz ryzyko, dla którego same procedury badania wiarygodności nie zapewnią dostatecznych dowodów badania.

Ryzyko wynikające z niewłaściwej postawy wobec kontroli wewnętrznej, słabego środowiska kontroli wewnętrznej lub z braku kompetencji kierownictwa ma dominujący wpływ na sprawozdanie finansowe jako całość i może wymagać całościowej reakcji ze strony biegłego rewidenta. W niektórych wypadkach słabości mogą być tak poważne, że będą wymagać wydania opinii z zastrzeżeniem, odmowy wydania opinii lub zupełnego wycofania się ze zlecenia badania. Biegły rewident powinien na bieżąco informować kierownictwo lub osoby sprawujące nadzór nad jednostką o znaczących słabościach kontroli wewnętrznej. Pomocne jest przedyskutowanie konsekwencji każdej słabości. W takiej sytuacji kierownictwo zobowiązane jest do niezwłocznego wdrożenia niezbędnych procedur kontroli wewnętrznej lub wyjaśnienia, dlaczego jego zdaniem takie działanie nie jest konieczne.

  1. „Przewodnik stosowania Międzynarodowych Standardów Rewizji Finansowej w badaniu małych i średnich jednostek” (tłumaczenie publikacji IFAC autorstwa Aliny Barcikowskiej, Ewy Sobińskiej, Justyny Zakrzewskiej), ABES Audyt Sp. z o.o. i Account Sp. z o.o., Warszawa 2008.
  2. Howard W. Holmes „Auditing: An Activity Based Risk Evaluation Methodology” Exter, N.S.W., Australian Educational Research, 1995.
  3. Alina Barcikowska, Ewa Sobińska, Justyna Beata Zakrzewska ”Badanie małych i średnich jednostek z zastosowaniem Krajowych i Międzynarodowych Standardów Rewizji Finansowej, KIBR, Warszawa 2010.
  4. HANDBOOK OF INTERNATIONAL STANDARDS ON AUDITING AND QUALITY CONTROL 2009 EDITION, New York, the International Federation of Accountants (IFAC), 2009, MSRF 315 par. 3.
  5. HANDBOOK OF INTERNATIONAL STANDARDS ON AUDITING AND QUALITY CONTROL 2009 EDITION, New York, the International Federation of Accountants (IFAC), 2009, MSRF 315 par. 11.
  6. Tamże ..., MSRF 315 par. 9.
  7. HANDBOOK OF INTERNATIONAL STANDARDS ON AUDITING AND QUALITY CONTROL 2009 EDITION, New York, the International Federation of Accountants (IFAC), 2009, MSRF 315 par. 25.
  8. Tamże ..., MSRF 315 par. A4.
  9. HANDBOOK OF INTERNATIONAL STANDARDS ON AUDITING AND QUALITY CONTROL 2009 EDITION, New York, the International Federation of Accountants (IFAC), 2009, MSRF 315 par.6.
  10. HANDBOOK OF INTERNATIONAL STANDARDS ON AUDITING AND QUALITY CONTROL 2009 EDITION, New York, the International Federation of Accountants (IFAC), 2009, MSRF 315 par. A2.
  11. Procedury analityczne w badaniach wiarygodności opisywane są w MSRF 520, a nie w MSRF 315. Stanowią one podstawowe źródło dowodów dla stwierdzeń dotyczących sprawozdania finansowego.
  12. ang. walktrough
  13. HANDBOOK OF INTERNATIONAL STANDARDS ON AUDITING AND QUALITY CONTROL 2009 EDITION, New York, the International Federation of Accountants (IFAC), 2009, MSRF 300.
  14. HANDBOOK OF INTERNATIONAL STANDARDS ON AUDITING AND QUALITY CONTROL 2009 EDITION, New York, the International Federation of Accountants (IFAC), 2009, MSRF 300 par. 4.
  15. HANDBOOK OF INTERNATIONAL STANDARDS ON AUDITING AND QUALITY CONTROL 2009 EDITION, New York, the International Federation of Accountants (IFAC), 200,9 MSRF 315 par.5.
  16. „Przewodnik stosowania Międzynarodowych Standardów Rewizji Finansowej w badaniu małych i średnich jednostek” (tłumaczenie publikacji IFAC autorstwa Aliny Barcikowskiej, Ewy Sobińskiej, Justyny Zakrzewskiej), ABES Audyt Sp. z o.o. i Account Sp. z o.o., Warszawa 2008.
  17. KSRF nr 1 ust. 56.
pl-pl