HRVATSKA REVIZORSKA KOMORA
Na temelju članka 106. stavka 2. točke 6. i članka 108. stavka 1. točke 2. Zakona o reviziji (»Narodne novine«, broj 127/17 i 27/24) i članka 17. točke 6. Statuta Hrvatske revizorske komore (»Narodne novine«, broj 58/18, 147/20 i 77/21), Upravno vijeće Hrvatske revizorske komore na sjednici održanoj 9. travnja 2024., donijelo je
I.
Objavljuju se sljedeći Međunarodni standardi kontrole kvalitete, revidiranja, uvida, ostalih usluga s izražavanjem uvjerenja i povezanih usluga, izdanje 2020., koje je pripremio Međunarodni odbor za standarde revidiranja i izražavanja uvjerenja (International Auditing and Assurance Standards Board, IAASB) i u izvorniku objavila Međunarodna federacija računovođa (International Federation of Accountants, IFAC), a Hrvatska revizorska komora, uz odobrenje IFAC-a, prevela na hrvatski jezik:
1. Međunarodni standard kontrole kvalitete 1, Kontrola kvalitete za društva koja obavljaju revizije i uvide u financijske izvještaje i ostale angažmane s izražavanjem uvjerenja i povezane usluge (na snazi od 15. prosinca 2009.)
2. Međunarodni revizijski standard 200, Opći ciljevi neovisnog revizora i obavljanje revizije u skladu s Međunarodnim revizijskim standardima (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
3. Međunarodni revizijski standard 210, Dogovaranje uvjeta revizijskih angažmana (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma ili nakon tog datuma)
4. Međunarodni revizijski standard 220, Kontrola kvalitete za reviziju financijskih izvještaja (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
5. Međunarodni revizijski standard 230, Revizijska dokumentacija (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
6. Međunarodni revizijski standard 240, Revizorove odgovornosti u vezi s prijevarama u reviziji financijskih izvještaja (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
7. Međunarodni revizijski standard 250 (izmijenjen), Razmatranje zakona i regulativa u reviziji financijskih izvještaja (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2017. ili nakon tog datuma)
8. Međunarodni revizijski standard 260 (izmijenjen), Komuniciranje s onima koji su zaduženi za upravljanje (na snazi za revizije financijskih izvještaja za razdoblja koja završavaju na 15. prosinca 2016. ili nakon tog datuma)
9. Međunarodni revizijski standard 265, Priopćavanje nedostataka u internim kontrolama onima koji su zaduženi za upravljanje i menadžmentu (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
10. Međunarodni revizijski standard 300, Planiranje revizije financijskih izvještaja (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
11. Međunarodni revizijski standard 315 (izmijenjen), Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja kroz stjecanje razumijevanja subjekta i njegovog okruženja (na snazi za revizije financijskih izvještaja za razdoblja koja završavaju na 15. prosinca 2013. ili nakon tog datuma)
12. Međunarodni revizijski standard 320, Značajnost u planiranju i obavljanju revizije (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
13. Međunarodni revizijski standard 330, Revizorove reakcije na procijenjene rizike (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
14. Međunarodni revizijski standard 402, Revizijska razmatranja u vezi sa subjektom koji koristi rad uslužnih organizacija (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
15. Međunarodni revizijski standard 450, Ocjenjivanje pogrešnih prikaza ustanovljenih tijekom revizije (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
16. Međunarodni revizijski standard 500, Revizijski dokazi (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
17. Međunarodni revizijski standard 501, Revizijski dokazi – posebna razmatranja za odabrane stavke (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
18. Međunarodni revizijski standard 505, Eksterne konfirmacije (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
19. Međunarodni revizijski standard 510, Početni revizijski angažmani – početna stanja (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
20. Međunarodni revizijski standard 520, Analitički postupci (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
21. Međunarodni revizijski standard 530, Revizijsko uzorkovanje (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
22. Međunarodni revizijski standard 540 (izmijenjen), Revidiranje računovodstvenih procjena i povezanih objava (na snazi za revizije financijskih izvještaja za razdoblja započeta na ili nakon 15. prosinca 2019.)
23. Međunarodni revizijski standard 550, Povezane strane (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
24. Međunarodni revizijski standard 560, Naknadni događaji (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
25. Međunarodni revizijski standard 570 (izmijenjen), Vremenska neograničenost poslovanja (na snazi za revizije financijskih izvještaja za razdoblja koja završavaju na 15. prosinca 2016. ili nakon tog datuma)
26. Međunarodni revizijski standard 580, Pisane izjave (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
27. Međunarodni revizijski standard 600, Posebna razmatranja – revizije financijskih izvještaja grupe (uključujući rad revizora komponente) (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
28. Međunarodni revizijski standard 610 (izmijenjen 2013.), Korištenje radom internih revizora (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2014. ili nakon tog datuma)
29. Međunarodni revizijski standard 620, Korištenje radom revizorovog stručnjaka (na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
30. Međunarodni revizijski standard 700 (izmijenjen), Formiranje mišljenja i izvješćivanje o financijskim izvještajima (na snazi za revizije financijskih izvještaja za razdoblja koja završavaju na 15. prosinca 2016. ili nakon tog datuma)
31. Međunarodni revizijski standard 701, Priopćavanje ključnih revizijskih pitanja u izvješću neovisnog revizora (na snazi za revizije financijskih izvještaja za razdoblja koja završavaju na 15. prosinca 2016. ili nakon tog datuma)
32. Međunarodni revizijski standard 705 (izmijenjen), Modifikacije mišljenja u izvješću neovisnog revizora(na snazi za revizije financijskih izvještaja za razdoblja koja završavaju na 15. prosinca 2016. ili nakon tog datuma)
33. Međunarodni revizijski standard 706 (izmijenjen), Odjeljci za isticanje pitanja i odjeljci za ostala pitanja u izvješću neovisnog revizora (na snazi za revizije financijskih izvještaja za razdoblja koja završavaju na 15. prosinca 2016. ili nakon tog datuma)
34. Međunarodni revizijski standard 710, Usporedne informacije – usporedni iznosi i usporedni financijski izvještaji (na snazi za financijske izvještaje za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma)
35. Međunarodni revizijski standard 720 (izmijenjen), Revizorove odgovornosti u vezi s ostalim informacijama (na snazi za revizije financijskih izvještaja za razdoblja koja završavaju na 15. prosinca 2016. ili nakon tog datuma)
36. Međunarodni revizijski standard 800 (izmijenjen), Posebna razmatranja – revizije financijskih izvještaja sastavljenih u skladu s okvirima posebne namjene (na snazi za revizije financijskih izvještaja za razdoblja završena na 15. prosinca 2016. ili nakon tog datuma)
37. Međunarodni revizijski standard 805 (izmijenjen), Posebna razmatranja – revizije pojedinačnih financijskih izvještaja i određenih elemenata, računa ili stavaka financijskih izvještaja (na snazi za revizije za razdoblja završena na 15. prosinca 2016. ili nakon tog datuma)
38. Međunarodni revizijski standard 810 (izmijenjen), Angažmani radi izvješćivanja o sažetim financijskim izvještajima (na snazi za angažmane radi izvješćivanja o sažetim financijskim izvještajima za razdoblja završena na 15. prosinca 2016. ili nakon tog datuma)
39. Međunarodna smjernica revizijske prakse 1000, Posebna razmatranja u revidiranju financijskih instrumenata
40. Međunarodni revizijski standard 315 (izmijenjen 2019.), Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja (na snazi za revizije financijskih izvještaja za razdoblja koja započinju na 15. prosinca 2021. ili nakon tog datuma) Usklađujuće i posljedične izmjene i dopune drugih međunarodnih standarda koje proizlaze iz MRevS-a 315 (izmijenjen 2019.)
41. Međunarodni standard upravljanja kvalitetom 1, Upravljanje kvalitetom za društva koja obavljaju reviziju ili uvide u financijske izvještaje ili druge angažmane za izražavanje uvjerenja ili povezane usluge (na snazi od 15. prosinca 2022.)
42. Međunarodni standard upravljanja kvalitetom 2, Pregledi kvalitete angažmana (na snazi za revizije i uvide u financijske izvještaje za razdoblja koja počinju 15. prosinca 2022. ili nakon tog datuma, a za druge angažmane za izražavanje uvjerenja i povezane usluge na snazi je za usluge koje počinju 15. prosinca 2022. ili nakon tog datuma)
43. Međunarodni revizijski standard 220 (izmijenjen), Upravljanje kvalitetom za reviziju financijskih izvještaja (na snazi za revizije financijskih izvještaja za razdoblja koja počinju 15. prosinca 2022. ili nakon tog datuma)
Usklađujuće izmjene Međunarodnih revizijskih standarda (MRevS) i povezanih materijala koje proizlaze iz projekata upravljanja kvalitetom.
II.
Ovom Odlukom stavljanju se izvan snage:
– Odluka o objavljivanju Međunarodnih revizijskih standarda, Međunarodnih standarda kontrole kvalitete i Međunarodnih smjernica revizijske prakse (»Narodne novine«, broj 49/10)
– Odluka o objavljivanju Međunarodnog revizijskog standarda 315 (izmijenjen), Međunarodnog revizijskog standarda 610 (izmijenjen 2013.), Međunarodnog standarda za angažmane uvida 2400 (izmijenjen) (»Narodne novine«, broj 33/16), u dijelu objavljivanja Međunarodnog revizijskog standarda 315 (izmijenjen) i Međunarodnog revizijskog standarda 610 (izmijenjen 2013.)
– Odluka o objavljivanju Međunarodnog revizijskog standarda 260 (izmijenjen), Međunarodnog revizijskog standarda 570 (izmijenjen), Međunarodnog revizijskog standarda 700 (izmijenjen), Međunarodnog revizijskog standarda 701, Međunarodnog revizijskog standarda 705 (izmijenjen), Međunarodnog revizijskog standarda 706 (izmijenjen), Međunarodnog revizijskog standarda 720 (izmijenjen) (»Narodne novine«, broj 107/16)
– Odluka o objavljivanju Međunarodnog revizijskog standarda 250 (izmijenjen), Međunarodnog revizijskog standarda 800 (izmijenjen), Međunarodnog revizijskog standarda 805 (izmijenjen), Međunarodnog revizijskog standarda 810 (izmijenjen) (»Narodne novine«, broj 3/19)
– Odluka o objavljivanju Međunarodnog standarda za angažmane s izražavanjem uvjerenja 3000 (izmijenjen), Međunarodnog revizijskog standarda 540 (izmijenjen) (»Narodne novine«, broj 71/19), u dijelu objavljivanja Međunarodnog revizijskog standarda 540 (izmijenjen)
– Odluka o objavljivanju Međunarodnog revizijskog standarda 315 (izmijenjen 2019.) i usklađujuće i posljedične izmjene i dopune drugih međunarodnih standarda koje proizlaze iz Međunarodnog revizijskog standarda 315 i Međunarodnog standarda za povezane usluge 4400 (izmijenjen) (»Narodne novine«, broj 82/21), u dijelu objavljivanja Međunarodnog revizijskog standarda 315 (izmijenjen 2019.)
– Odluka o objavljivanju Međunarodne smjernice revizijske prakse 1000, Međunarodnog standarda za angažmane s izražavanjem uvjerenja 3410, Međunarodnog standarda za angažmane s izražavanjem uvjerenja 3420, Međunarodnog standarda za povezane usluge 4410 (izmijenjen) (»Narodne novine«, broj 17/22), u dijelu objavljivanja Međunarodne smjernice revizijske prakse 1000
– Odluka o objavljivanju Međunarodnog revizijskog standarda 220 (izmijenjen), Međunarodnog standarda upravljanja kvalitetom 1, Međunarodnog standarda upravljanja kvalitetom 2 (»Narodne novine«, broj 105/22).
Klasa: 011-01/24-01/1
Urbroj: 251-442-01-24-01
Zagreb, 9. travnja 2024.
Predsjednik
Hrvatske revizorske komore
Berislav Horvat, v. r.
IDENTIFICIRANJE I PROCJENJIVANJE RIZIKA ZNAČAJNIH POGREŠNIH PRIKAZIVANJA
(Stupa na snagu za revizije financijskih izvještaja za razdoblja koja započinju na 15. prosinca 2021. ili nakon tog datuma)
SADRŽAJ
Točka |
|
Uvod |
|
Područje primjene ovog MRevS-a |
1 |
Ključni koncepti |
2 |
Prilagodljivost opsega |
9 |
Datum stupanja na snagu |
10 |
Cilj |
11 |
Definicije |
12 |
Zahtjevi |
|
Postupci procjene rizika i povezane aktivnosti |
13 – 18 |
Stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola |
19 – 27 |
Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja |
28 – 37 |
Dokumentacija |
38 |
Materijal za primjenu i ostali materijali s objašnjenjima |
|
Definicije |
A1 – A10 |
Postupci procjene rizika i povezane aktivnosti |
A11 – A47 |
Stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola |
A48 – A183 |
Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja |
A184 – A236 |
Dokumentacija |
A237 – A241 |
Dodatak 1: Razmatranja za razumijevanje subjekta i njegovog poslovnog modela |
|
Dodatak 2: Razumijevanje čimbenika inherentnog rizika |
|
Dodatak 3: Razumijevanje subjektovog sustava internih kontrola |
|
Dodatak 4: Razmatranja za razumijevanje subjektove službe interne revizije |
|
Dodatak 5: Razmatranja za razumijevanje informacijske tehnologije |
Dodatak 6: Razmatranja za razumijevanje općih IT kontrola
Međunarodni revizijski standard (MRevS) 315 (izmijenjen 2019.), Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja mora se čitati povezano s MRevS 200, Opći ciljevi neovisnog revizora i obavljanje revizije u skladu s Međunarodnim revizijskim standardima. MRevS 315 (izmijenjen 2019.) odobren je od strane Odbora za javni nadzor (PIOB), koji je zaključio da je propisani postupak donošenja proveden u pripremi standarda te da je primjerena pozornost bila posvećena javnom interesu. |
Uvod
Područje primjene ovog MRevS-a
1. Ovaj Međunarodni revizijski standard (MRevS) uređuje revizorovu odgovornost za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja u financijskim izvještajima.
Ključni koncepti u ovom MRevS-u
2. MRevS 200 uređuje opće ciljeve revizora u obavljanju revizije financijskih izvještaja, uključujući stjecanje dovoljnih i primjerenih revizijskih dokaza radi smanjenja revizijskog rizika na prihvatljivo nisku razinu. Revizijski rizik… je funkcija rizika značajnih pogrešnih prikazivanja i rizika otkrivanja.[823](MRevS 200, točka 13(c).) MRevS 200 objašnjava da rizici značajnih pogrešnih prikazivanja mogu postojati na dvije razine:[824](MRevS 200, točka A36.) na razini financijskih izvještaja kao cjeline i na razini tvrdnje za klase transakcija, stanja računa i objava.
3. MRevS 200 zahtijeva od revizora korištenje profesionalne prosudbe u planiranju i obavljanju revizije te planiranje i obavljanje revizije s profesionalnim skepticizmom imajući u vidu mogućnost postojanja okolnosti koje uzrokuju značajna pogrešna prikazivanja u financijskim izvještajima.[825](MRevS 200, točke 15–16.)
4. Rizici na razini financijskih izvještaja odnose se pretežno na financijske izvještaje kao cjelinu i potencijalno utječu na mnoge tvrdnje. Rizici značajnih pogrešnih prikazivanja na razini tvrdnje sastoje se od dvije komponente, inherentnog i kontrolnog rizika:
• inherentni rizik se opisuje kao podložnost tvrdnje o klasi transakcija, stanja računa ili objave pogrešnog prikazivanja koje može biti značajno, bilo pojedinačno ili zajedno s drugim pogrešnim prikazivanjima prije uzimanja u obzir bilo koje povezane kontrole,
• kontrolni rizik se opisuje kao rizik da pogrešno prikazivanje, koje može nastati u nekoj tvrdnji o klasi transakcija, stanju računa ili objavi i koje može biti značajan pojedinačno ili zajedno s drugim pogrešnim prikazivanjima, ne bude pravovremeno prevenirano ili otkriveno i ispravljeno od strane subjektovog sustava internih kontrola.
5. MRevS 200 objašnjava da se rizici značajnih pogrešnih prikazivanja procjenjuju na razini tvrdnje radi utvrđivanja vrste, vremenskog rasporeda i opsega daljnjih revizijskih postupaka koji su potrebni radi pribavljanja dostatnih i primjerenih revizijskih dokaza.[826](MRevS 200, točka A43a i MRevS 330, Revizorovi odgovori na procijenjene rizike, točka 6.) Za identificirane rizike značajnih pogrešnih prikazivanja na razini tvrdnje, ovaj MRevS zahtijeva zasebnu procjenu inherentnog i kontrolnog rizika. Kao što je objašnjeno u MRevS-u 200, inherentni rizik je viši za neke tvrdnje i s njima povezane klase transakcija, stanja računa i objava nego za druge. Stupanj do kojeg varira inherentni rizik naziva se u ovom MRevS-u »spektrom inherentnog rizika«.
6. Rizici značajnih pogrešnih prikazivanja koje je revizor identificirao i procijenio uključuju i one koji nastaju zbog pogreške kao i one koji nastaju zbog prijevare. Iako se ovaj MRevS primjenjuje na obje vrste rizka, značaj prijevare je takav da su daljnji zahtjevi i smjernice uključeni u MRevS-u 240[827](MRevS 240, Revizorova odgovornost u vezi s prijevarom u reviziji financijskih izvještaja) u svezi s postupcima procjene rizika i s time povezanim aktivnostima radi pribavljanja informacija koje se koriste za identificiranje, procjenjivanje i postupanje s rizicima značajnih pogrešnih prikazivanja zbog prijevare.
7. Revizorov proces identifikacije i procjenjivanje rizika je iterativan i dinamičan. Revizorovo razumijevanje subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola su međuovisni s konceptima u sklopu zahtjeva za identificiranjem i procjenjivanjem rizika značajnih pogrešnih prikazivanja. Pri stjecanju razumijevanja koje zahtijeva ovaj MRevS mogu se razvijati početna očekivanja rizika koja se mogu dalje razrađivati dok revizor nastavlja obavljati proces identifikacije i procjenjivanja rizika. Dodatno, ovaj MRevS i MRevS 330 zahtijevaju od revizora da ponovo pregleda procjene rizika te modificira daljnje opće postupke i daljnje revizijske postupke temeljno na revizijskim dokazima koji su pribavljeni tijekom obavljanja daljnjih revizijskih postupaka u skladu s MRevS-om 330, ili ako su pribavljene nove informacije.
8. MRevS 330 zahtijeva od revizora da oblikuje i implementira opće postupke radi postupanja s procijenjenim rizicima značajnih pogrešnih prikazivanja na razini financijskih izvještaja.[828](MRevS 330, točka 5.) MRevS 330 dalje objašnjava da na revizorovu procjenu rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja te na revizorove opće postupke utječe revizorovo razumijevanje kontrolnog okruženja. MRevS 330 također zahtijeva od revizora da oblikuje i obavi daljnje revizijske postupke čija vrsta, vremenski raspored i opseg su utemeljeni na i odgovarajući su procijenjenim rizicima značajnih pogrešnih prikazivanja na razini tvrdnje.[829](MRevS 330, točka 6.)
Prilagodljivost opsega
9. MRevS 200 navodi da neki MRevS-ovi uključuju razmatranja o prilagodljivosti opsega koja ilustriraju primjenu zahtjeva na sve subjekte bez obzira na to jesu li njihove prirode i okolnosti manje ili više kompleksne.[830](MRevS 200, točka A65a.) Ovaj MRevS primjenjuje se na revizije kod svih subjekata, bez obzira na njihovu veličinu ili kompleksnost te materijal za primjenu uključuje specifična razmatranja koja su specifična za manje i za više kompleksne subjekte, ovisno o tome što je u pojedinom slučaju primjereno. Iako veličina subjekta može biti pokazatelj njegove kompleksnosti, neki mali subjekti mogu biti kompleksni dok neki veliki subjekti mogu biti manje kompleksni.
Datum stupanja na snagu
10. Ovaj MRevS stupa na snagu za revizije financijskih izvještaja za razdoblja koja započinju na 15. prosinca 2021. ili nakon tog datuma.
Cilj
11. Cilj revizora je identificirati i procijeniti rizike značajnih pogrešnih prikazivanja, uslijed prijevare ili pogreške, na razinama financijskih izvještaja i tvrdnji, stvarajući na taj način osnovu za oblikovanje i implementaciju reakcija na procijenjene rizike značajnih pogrešnih prikazivanja.
Definicije
12. Za svrhe MRevS-ova, sljedeći pojmovi imaju niže navedena značenja:
(a) Tvrdnje – iskazi, eksplicitni ili drugačiji, koji se odnose na priznavanje, mjerenje, prezentiranje i objavljivanje informacija u financijskim izvještajima koji su inherentni u menadžmentovom iskazu da su financijski izvještaji sastavljeni u skladu s primjenjivim okvirom financijskog izvještavanja. Tvrdnje koristi revizor pri razmatranju različitih vrsta potencijalnih pogrešnih prikazivanja koji se mogu pojaviti pri identificiranju, procjenjivanju i postupanju s rizicima značajnih pogrešnih prikazivanja. (Vidjeti točku A1.)
(b) Poslovni rizik – rizik nastao uslijed značajnih uvjeta, događaja, okolnosti, radnji ili propusta koji mogu negativno utjecati na subjektovu sposobnost da postigne svoje ciljeve i realizira svoje strategije ili koji proizlazi iz postavljanja neprimjerenih ciljeva i strategija.
(c) Kontrole – politike ili postupci koje uspostavlja subjekt radi postizanja kontrolnih ciljeva menadžmenta ili onih koji su zaduženi za upravljanje. U ovom kontekstu: (Vidjeti točke A2 – A5)
(i) politike su iskazi o tome što bi se trebalo ili se ne bi trebalo učiniti unutar subjekta radi realizacije kontrole. Takvi iskazi mogu biti dokumentirani, eksplicitno navedeni u komunikacijama ili implicitno sadržani u radnjama i odlukama.
(ii) postupci su radnje kojima se implementiraju politike.
(d) Opće kontrole informacijske tehnologije (IT) – kontrole nad subjektovim IT procesima koje podržavaju stalno i primjereno funkcioniranje IT okruženja, uključujući stalno i učinkovito funkcioniranje kontrola nad obradom informacija i integritetom informacija (tj. potpunost, točnost i valjanost informacija) u subjektovom informacijskom sustavu. Vidjeti, također, definiciju IT okruženja.
(e) Kontrole obrade informacija – kontrole koje su povezane s obradom informacija u IT aplikacijama ili s ručnim obradama informacija u subjektovom informacijskom sustavu koje su izravno usmjerene na rizike integriteta informacija (tj. potpunost, točnost i valjanost transakcija i ostalih informacija). (Vidjeti točku A6.)
(f) Čimbenici inherentnog rizika – karakteristike događaja ili stanja koje utječu na podložnost pogrešnom prikazivanju, bilo zbog prijevare ili pogreške, neke tvrdnje o klasi transakcija, stanju računa ili objavi prije razmatranja kontrola. Ovi čimbenici mogu biti kvalitativni ili kvantitativni i uključivati kompleksnost, subjektivnost, promjenu, neizvjesnost ili podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili drugih čimbenika rizika prijevare[831](MRevS 240, točke A24 ‒ A27.) ako utječu na inherentni rizik. (Vidjeti točke A7 – A8)
(g) IT okruženje – IT aplikacije i podržavajuća IT infrastruktura, kao i IT procesi i osoblje koje je uključeno u ove procese, a koje subjekt koristi radi podrške poslovanju i realizacije poslovnih strategija. Za svrhe ovog MRevS-a:
(i) IT aplikacija je program ili skup programa koji se koristi u započinjanju, obradi, evidentiranju i izvještavanju o transakcijama ili informacijama. IT aplikacije uključuju skladišta podataka i sastavljače izvještaja,
(ii) IT infrastruktura obuhvaća mrežu, operativne sustave i baze podataka te s njima povezani hardware i softver,
(iii) IT procesi su subjektovi procesi u svrhu upravljanja pristupom IT okruženju, upravljanja promjenama programa ili promjenama IT okruženja i upravljanja IT aktivnostima.
(h) Relevantne tvrdnje – tvrdnja o klasi transakcija, stanju računa ili objavi je relevantna ako je s njom povezan rizik značajnih pogrešnih prikazivanja. Utvrđivanje je li tvrdnja relevantna tvrdnja obavlja se prije razmatranja bilo kojih povezanih kontrola (tj. inherentni rizik). (Vidjeti točku A9)
(i) Rizici koji proizlaze iz korištenja IT – podložnost kontrola obrade informacija neučinkovitom oblikovanju ili funkcioniranju, ili rizici povezani s integritetom informacija (tj. potpunost, točnost i valjanost transakcija ili ostalih informacija) u subjektovom informacijskom sustavu zbog neučinkovitog oblikovanja ili funkcioniranja kontrola u subjektovim IT procesima (vidjeti IT okruženje).
(j) Postupci procjene rizika – revizijski postupci oblikovani i provedeni radi identificiranja i procjene rizika značajnih pogrešnih prikazivanja zbog prijevare ili pogreške na razini financijskih izvještaja i na razini tvrdnje.
(k) Signifikantna klasa transakcija, stanja računa ili objava – klasa transakcija, stanja računa ili objava za koje postoji jedna ili više relevantnih tvrdnji.
(l) Značajan rizik – identificirani rizik značajnih pogrešnih prikazivanja: (Vidjeti točku A10)
(i) za koji je procjena inherentnog rizika blizu gornjoj granici spektra inherentnog rizika zbog stupnja do kojeg čimbenici inherentnog rizika utječu na kombinaciju vjerojatnosti nastanka pogrešnog prikazivanja i intenzitetu potencijalnog pogrešnog prikazivanja ako bi takvo pogrešno prikazivanje nastalo; ili
(ii) koji se mora smatrati značajnim rizikom u skladu s zahtjevima ostalih MRevS-ova.[832](MRevS 240, točka 27 i MRevS 550, Povezane osobe, točka 18.)
(m) Sustav internih kontrola – sustav koji je oblikovan, implementiran i održavan od strane onih koji su zaduženi za upravljanje, menadžmenta i drugog osoblja radi pružanja razumnog uvjerenja o postizanju ciljeva subjekta u odnosu na pouzdanost financijskog izvještavanja, efektivnost i efikasnost poslovanja te usklađenost s primjenjivim zakonima i regulativom. Za potrebe MRevS-ova, sustav internih kontrola sastoji se od pet međusobno povezanih komponenti:
(i) kontrolnog okruženja;
(ii) subjektovog procesa procjene rizika;
(iii) subjektovog procesa monitoringa sustava internih kontrola;
(iv) informacijskog sustava i komunikacija; i
(v) kontrolnih aktivnosti.
Zahtjevi
Postupci procjene rizika i povezane aktivnosti
13. Revizor će oblikovati i obaviti postupke procjene rizika radi pribavljanja revizijskih dokaza koji pružaju primjerenu osnovu za: (Vidjeti točke A11 – A18)
(a) identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja, zbog prijevare ili pogreške, na razini financijskih izvještaja i na razinama tvrdnji, i
(b) oblikovanje daljnjih revizijskih postupaka u skladu s MRevS-om 330.
Revizor će oblikovati i obaviti postupke procjene rizika na način koji nije pristran u smjeru pribavljanja onih revizijskih dokaza koji mogu biti potvrđujući ili u smjeru isključivanja revizijskih dokaza koji mogu biti opovrgavajući. (Vidjeti točku A14.)
14. Postupci procjenjivanja rizika uključivat će sljedeće: (Vidjeti točke A19 – A21)
(a) postavljanje upita menadžmentu i drugim odgovarajućim pojedincima unutar subjekta, uključujući pojedince unutar funkcije interne revizije (ako takva funkcija postoji), (Vidjeti točke A22 – A26);
(b) analitičke postupke, (Vidjeti točke A27 – A31);
(c) promatranje i provjeravanje. (Vidjeti točke A32 – A36.)
Informacije iz ostalih izvora
15. Kod pribavljanja revizijskih dokaza u skladu s točkom 13., revizor će razmotriti informacije iz: (Vidjeti točke A37‒A38)
(a) revizorovih postupaka vezanih uz prihvaćanje ili nastavljanje odnosa s klijentom ili revizijskog angažmana; i
(b) ako je primjenjivo, drugih angažmana koje je obavio angažirani partner kod subjekta.
16. Ako revizor namjerava koristiti informacije dobivene iz revizorovog prijašnjeg iskustva sa subjektom i iz revizijskih postupaka obavljenih u prethodnim revizijama, revizor će ocijeniti jesu li takve informacije i nadalje relevantne i pouzdane kao revizijski dokazi za tekuću reviziju. (Vidjeti točke A39‒A41.)
Rasprava angažiranog tima
17. Angažirani partner i drugi ključni članovi angažiranog tima raspravit će primjenu primjenjivog okvira financijskog izvještavanja i podložnost financijskih izvještaja subjekta značajno pogrešnom prikazivanju. (Vidjeti točke A42 – A47.)
18. Ako postoje članovi angažiranog tima koji nisu bili uključeni u raspravu angažiranog tima, angažirani partner će odrediti pitanja koja moraju biti komunicirana tim članovima.
Stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola (Vidjeti točke A48‒A49)
Razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja (Vidjeti točke A50‒A55)
19. Revizor će obaviti postupke procjene rizika radi stjecanja razumijevanja o:
(a) sljedećim aspektima subjekta i njegovog okruženja:
(i) organizacijska struktura subjekta, vlasništvo i upravljanje te njegov poslovni model, uključujući opseg do kojega taj poslovni model uključuje korištenje informatičke tehnologije (IT); (Vidjeti točke A56‒A67)
(ii) industrijski (u smislu bilo koje vrste poslovne djelatnosti, op.prev.), regulatorni i drugi vanjski čimbenici; (Vidjeti točke A68‒A73) i
(iii) mjere, interne i eksterne, koje su korištene za procjenu financijske uspješnosti subjekta; (Vidjeti točke A74‒A81)
(b) primjenjivom okviru financijskog izvještavanja, računovodstvenim politikama subjekta te razlozima za bilo kakve promjene tih politika; (Vidjeti točke A82‒A84) i
(c) načinu na koji čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnom prikazivanju te stupanj do kojega to čine u pripremanju financijskih izvještaja u skladu s primjenjivim okvirom financijskog izvještavanja, utemeljeno na razumijevanju stečenom prema (a) i (b). (Vidjeti točke A85‒A89.)
20. Revizor će ocijeniti jesu li računovodstvene politike subjekta primjerene i konzistentne u odnosu na primjenjivi okvir financijskog izvještavanja.
Razumijevanje komponenti subjektovog sustava internih kontrola (Vidjeti točke A90 – A95)
Kontrolno okruženje, subjektov proces procjene rizika i subjektov proces monitoringa sustava internih kontrola (Vidjeti točke A96‒A98)
Kontrolno okruženje
21. Revizor će steći razumijevanje kontrolnog okruženja koje je relevantno za pripremanje financijskih izvještaja obavljanjem postupaka procjene rizika kroz: (Vidjeti točke A99 – A100)
(a) razumijevanje skupa kontrola, procesa i struktura koje se odnose na: (Vidjeti točke A101‒A102)
(i) način na koji menadžment ispunjava svoje obveze nadzora, kao što je subjektova kultura i menadžmentova predanost integritetu i etičkim vrednotama;
(ii) ako su oni zaduženi za upravljanje odvojeni od menadžmenta, njihovu neovisnost i nadzor nad subjektovim sustavom internih kontrola koji provode oni zaduženi za upravljanje;
(iii) subjektovu alokaciju nadležnosti i odgovornosti;
(iv) način na koji subjekt privlači, razvija i zadržava kompetentne pojedince; i
(v) način na koji subjekt drži pojedince odgovornima za svoje obveze u postizanju ciljeva sustava internih kontrola;
i
(b) procjenjivanje: (Vidjeti točke A103‒A108)
(i) je li menadžment, pod nadzorom onih koji su zaduženi za upravljanje, stvorio i održavao kulturu poštenja i etičnog ponašanja;
(ii) pruža li kontrolno okruženje primjereni temelj za ostale sastavnice subjektovog sustava internih kontrola imajući u vidu vrstu i kompleksnost subjekta; i
(iii) umanjuju li nedostaci kontrole koji su identificirani u kontrolnom okruženju ostale sastavnice subjektovog sustava internih kontrola.
Subjektov proces procjene rizika
22. Revizor će steći razumijevanje subjektovog procesa procjenjivanja rizika koji je relevantan za sastavljanje financijskih izvještaja obavljanjem postupaka procjene rizika kroz:
(a) razumijevanje subjektovog procesa za: (Vidjeti točke A109‒A110)
(i) identificiranje poslovnih rizika koji su relevantni za ciljeve financijskog izvještavanja; (Vidjeti točku A62)
(ii) procjenjivanje značajnosti tih rizika, uključujući vjerojatnost njihovog nastanka; i
(iii) postupanje s tim rizicima;
i
(b) procjenjivanje je li subjektov proces procjenjivanja rizika primjeren subjektovim okolnostima imajući u vidu vrstu i kompleksnost subjekta. (Vidjeti točke A111‒A113)
23. Ako revizor identificira rizike značajnih pogrešnih prikazivanja koje je menadžment nije identificirao, revizor će:
(a) utvrditi jesu li bilo koji od tih rizika takve vrste da bi revizor očekivao kako su isti trebali biti identificirani u subjektovom procesu procjenjivanja rizika i, ako je tako, steći razumijevanje zašto subjektov proces procjenjivanja rizika nije identificirao takve rizike značajnih pogrešnih prikazivanja; i
(b) razmotriti implikacije za revizorovu ocjenu u točki 22(b).
Subjektov proces monitoringa sustava internih kontrola
24. Revizor će steći razumijevanje subjektovog procesa monitoringa sustava internih kontrola koje su relevantne za pripremanje financijskih izvještaja obavljanjem postupaka procjene rizika kroz: (Vidjeti točke A114 – A115)
(a) razumijevanje onih aspekata subjektovog procesa koji se odnose na:
(i) tekuće i zasebne ocjene monitoringa efektivnosti kontrola te identificiranje i otklanjanje utvrđenih nedostataka kontrola; i (Vidjeti točke A116‒A117)
(ii) subjektovu funkciju interne revizije, ako je ima, uključujući njezinu prirodu, odgovornosti i aktivnosti; (Vidjeti točku A118)
(b) razumijevanje izvora informacija u subjektovom procesu monitoring sustava internih kontrola te osnovu prema kojoj menadžment smatra da su informacije dostatno pouzdane za tu svrhu; (Vidjeti točke A119‒A120)
i
(c) ocjenjivanje je li subjektov proces monitoringa sustava internih kontrola primjeren subjektovim okolnostima uzimajući u obzir vrstu i kompleksnost subjekta. (Vidjeti točke A121‒A122)
Informacijski sustav i komuniciranje, i kontrolne aktivnosti (Vidjeti točke A123 – A130)
Informacijski sustav i komuniciranje
25. Revizor će steći razumijevanje o subjektovom informacijskom sustavu i komuniciranju koje je relevantno za sastavljanje financijskih izvještaja obavljanjem postupaka procjene rizika kroz: (Vidjeti točku A131)
(a) razumijevanje aktivnosti obrade informacija subjekta, uključujući njegove podatke i informacije, resursa koji se koriste u takvim aktivnostima i politika koje, za signifikantne klase transakcija, stanja računa i objave, definiraju: (Vidjeti točke A132‒A143)
(i) kako informacije teku kroz informacijski sustav subjekta, uključujući način na koji se:
a. iniciraju transakcije i kako se informacije o njima evidentiraju, obrađuju, ispravljaju ako je potrebno, uključuju u glavnu knjigu i financijske izvještaje; i
b. informacije o događajima i stanjima različitim od transakcija obuhvaćaju, obrađuju i objavljuju u financijskim izvještajima.
(ii) knjigovodstvene evidencije, specifične račune u financijskim izvještajima i ostale pomoćne evidencije koje se odnose na protok informacija u informacijskom sustavu;
(iii) proces financijskog izvještavanja koji se koristi za sastavljanje financijskih izvještaja subjekta, uključujući objavljivanja; i
(iv) resurse subjekta, uključujući IT okruženje relevantno za navode pod (a)(i) do (a)(iii) gore;
(b) razumijevanje načina na koji subjekt komunicira značajna pitanja koja podržavaju sastavljanje financijskih izvještaja i povezane obveze izvještavanja u informacijskom sustavu i drugim komponentama sustava internih kontrola: (Vidjeti točke A144‒A145)
(i) između pojedinaca unutar subjekta, uključujući način na koji se komuniciraju uloge i odgovornosti;
(ii) između menadžmenta i onih zaduženih za upravljanje; i
(iii) sa vanjskim stranama, kao što su regulatorna tijela;
i
(c) ocjenjivanje pitanja podržavaju li informacijski sustav subjekta i komuniciranje na primjeren način sastavljanje subjektovih financijskih izvještaja u skladu s primjenjivim okvirom financijskog izvještavanja. (Vidjeti točku A146)
Kontrolne aktivnosti
26. Revizor će steći razumijevanje sastavnice kontrolnih aktivnosti obavljanjem postupaka procjene rizika, kroz: (Vidjeti točke A147 – A157)
(a) identificiranje kontrola koje se odnose na rizike značajnih pogrešnih prikazivanja na razini tvrdnje u sastavnici kontrolnih aktivnosti kako slijedi:
(i) kontrole koje se odnose na rizik koji je utvrđen kao značajan rizik; (Vidjeti točke A158‒A159)
(ii) kontrole nad knjiženjima u dnevniku, uključujući nestandardna knjiženja u dnevniku kojima se evidentiraju jednokratne i neuobičajene transakcije ili usklađivanja; (Vidjeti točke A160‒A161)
(iii) kontrole za koje revizor planira testirati operativnu učinkovitost za utvrđivanje vrste, vremenskog rasporeda i opsega dokaznog testiranja, koje će uključivati kontrole koje se odnose na rizike za koje sami dokazni postupci ne pružaju dostatne i primjerene revizijske dokaze; i (Vidjeti točke A162‒A164)
(iv) ostale kontrole koje revizor smatra primjerenima da revizoru omoguće postizanje ciljeva iz točke 13 u odnosu na rizike na razini tvrdnje, a na temelju revizorove profesionalne prosudbe; (Vidjeti točku A165)
(b) identificiranje IT aplikacija i drugih aspekata subjektovog IT okruženja koji su podložni rizicima proizašlim iz korištenja IT-a, a na temelju kontrola identificiranih u dijelu (a); (Vidjeti točke A166‒A172)
(c) za takve IT aplikacije i druge aspekte IT okruženja identificirane u dijelu (b) identificiranje: (Vidjeti točke A173‒A174)
(i) povezanih rizika koji proizlaze iz korištenja IT-a; i
(ii) općih kontrola IT-a subjekta koje postupaju s takvim rizicima;
i
(d) za svaku kontrolu identificiranu prema (a) ili (c)(ii): (Vidjeti točke A175‒A181)
(i) ocjenjivanje je li kontrola učinkovito oblikovana za razrješavanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje ili je li učinkovito oblikovana kao podrška funkcioniranju ostalih kontrola; i
(ii) utvrđivanje je li kontrola implementirana obavljanjem postupaka povrh onih koji se odnose na postavljanje upita subjektovom osoblju.
Nedostaci kontrola unutar sustava internih kontrola subjekta
27. Na temelju revizorove ocjene svake od komponenti sustava internih kontrola subjekta, revizor će utvrditi je li identificiran jedan ili više nedostataka kontrola. (Vidjeti točke A182 – A183.)
Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja (Vidjeti točke A184‒A185)
Identificiranje rizika značajnih pogrešnih prikazivanja
28. Revizor će identificirati rizike značajnih pogrešnih prikazivanja i utvrditi postoje li oni na: (Vidjeti točke A186 – A192)
(a) razini financijskih izvještaja; (Vidjeti točke: A193 – A200) ili
(b) razini tvrdne za klase transakcija, stanja računa i objava. (Vidjeti točku A201.)
29. Revizor će utvrditi relevantne tvrdnje i povezane signifikantne klase transakcija, stanja računa i objavljivanja. (Vidjeti točke A202 – A204.)
Procjenjivanje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja
30. Za identificirane rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja revizor će procijeniti rizike i: (Vidjeti točke A193 – A200)
(a) utvrditi utječu li ti rizici na procjenu rizika na razini tvrdnji; i
(b) ocijeniti vrstu i opseg njihovog prožimajućeg utjecaja na financijske izvještaje.
Procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje
Procjenjivanje inherentnog rizika (Vidjeti točke A205 – A217)
31. Za identificirane rizike značajnih pogrešnih prikazivanja na razini tvrdnje revizor će procijeniti inherentni rizik procjenjivanjem vjerojatnosti i intenziteta pogrešnog prikazivanja. Revizor će pri tome voditi računa o načinu i stupnju do kojeg:
(a) čimbenici inherentnog rizika utječu na podložnost relevantnih tvrdnji pogrešnom prikazivanju; i
(b) rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja utječu na procjenu inherentnog rizika za rizike značajnih pogrešnih prikazivanja na razini tvrdnje (Vidjeti točke A215‒A216.)
32. Revizor će utvrditi jesu li neki od procijenjenih rizika značajnih pogrešnih prikazivanja značajni rizici. (Vidjeti točke A218 – A221.)
33. Revizor će utvrditi postoji li okolnost da dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze za bilo koji od rizika značajnih pogrešnih prikazivanja na razini tvrdnje. (Vidjeti točke A222 – A225.)
Procjenjivanje kontrolnog rizika
34. Revizor će procijeniti kontrolni rizik, ako planira testirati operativnu učinkovitost kontrola. Ako revizor ne planira testirati operativnu učinkovitost kontrola, revizorova procjena kontrolnog rizika mora biti takva da je procjena rizika značajnih pogrešnih prikazivanja jednaka procjeni inherentnog rizika. (Vidjeti točke A226 – A229.)
Ocjenjivanje revizijskih dokaza dobivenih iz postupaka procjene rizika
35. Revizor će procijeniti pružaju li revizijski dokazi dobiveni postupcima procjene rizika odgovarajuću osnovu za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Ako to nije slučaj, revizor će obaviti dodatne postupke procjene rizika sve dok se ne pribave revizijski dokazi koji pružaju takvu osnovu. Pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja, revizor će voditi računa o svim revizijskim dokazima dobivenim iz postupaka procjene rizika, bez obzir jesu li oni potkrepljujući ili opovrgavajući naspram tvrdnjama menadžmenta. (Vidjeti točke A230 – A232.)
Klase transakcija, stanja računa i objave koje nisu signifikantne, ali koje su značajne
36. Za značajne klase transakcija, stanja računa ili objave koje nisu bile utvrđene kao signifikantne klase transakcija, stanja računa ili objave, revizor će ocijeniti ostaju li njegova utvrđenja i dalje primjerena. (Vidjeti točke A233 – A235.)
Izmjena procjene rizika
37. Ako revizor dobije novu informaciju koja je nedosljedna s revizijskim dokazima na kojima je revizor izvorno utemeljio identifikaciju ili procjenu rizika značajnih pogrešnih prikazivanja, revizor će izmijeniti identifikaciju ili procjenu. (Vidjeti točku A236.)
Dokumentacija
38. Revizor će u revizijsku dokumentaciju uključiti:[833](MRevS 230, Revizijska dokumentacija, točke 8–11, i A6–A7.) (Vidjeti točke A237 – A241)
(a) raspravu članova angažiranog tima te donesene značajne odluke;
(b) ključne elemente revizorovog razumijevanja u skladu s točkama 19, 21, 22, 24 i 25; izvore informacija iz kojih je revizor stekao razumijevanje te obavljene postupke procjene rizika;
(c) ocjenu oblikovanja identificiranih kontrola i utvrđivanje jesu li te kontrole implementirane, u skladu s zahtjevima iz točke 26; i
(d) identificirane i procijenjene rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja i na razini tvrdnje, uključujući značajne rizike i rizike za koje sami dokazni postupci ne mogu pružiti dostatne i primjerene revizijske dokaze te razumnu osnovu za značajne prosudbe koje su donesene.
Materijal za primjenu i ostali materijali s objašnjenjima
Definicije (Vidjeti točku 12)
Tvrdnje (Vidjeti točku 12(a))
A1. Revizori koriste kategorije tvrdnji radi razmatranja različitih vrsta potencijalnih pogrešnih prikazivanja koje mogu nastati pri identificiranju, procjenjivanju i reagiranju na rizike značajnih pogrešnih prikazivanja. Primjeri takvih kategorija tvrdnji opisani su u točki A190. Tvrdnje se razlikuju od pisanih izjava koje zahtijeva MRevS 580, kojima se potvrđuju određena pitanja ili potkrepljuju ostali revizijski dokazi.
Kontrole (Vidjeti točku 12(c))
A2. Kontrole su ugrađene u komponentama subjektovog sustava internih kontrola.
A3. Politike se implementiraju radnjama osoblja unutar subjekta ili putem suzdržavanja osoblja od poduzimanje radnji koje bi bile u sukobu s takvim politikama.
A4. Postupci se mogu propisati putem formalne dokumentacije ili druge komunikacije od strane menadžmenta ili onih koji su zaduženi za upravljanje ili mogu rezultirati iz ponašanja koje nije propisano već je prije uvjetovano kulturom subjekta. Postupci se mogu provesti radnjama dopuštenim u IT aplikacijama koje subjekt koristi ili drugim aspektima subjektovog IT okruženja.
A5. Kontrole mogu biti izravne ili neizravne. Izravne kontrole su kontrole koje su dovoljno precizne da reagiraju na rizike značajnih pogrešnih prikazivanja na razini tvrdnji. Neizravne kontrole su kontrole koje podržavaju izravne kontrole.
Kontrole nad obradom informacija (Vidjeti točku 12(e))
A6. Rizici za integritet informacija proizlaze iz njihove osjetljivosti na neučinkovitu implementaciju informacijskih politika subjekta, a to su politike koje definiraju tokove informacija, evidencije i procese izvještavanja u informacijskom sustavu subjekta. Kontrole nad obradom informacija su postupci koji podržavaju učinkovitu implementaciju informacijskih politika subjekta. Kontrole nad obradom informacija mogu biti automatizirane (npr. ugrađene u IT aplikacije) ili ručne (npr. kontrole inputa ili outputa) i mogu se oslanjati na druge kontrole, uključujući druge kontrole nad obradom informacija ili opće IT kontrole.
Čimbenici inherentnog rizika (Vidjeti točku 12(f))
Dodatak 2 sadrži daljnja razmatranja povezana s razumijevanjem čimbenika inherentnog rizika. |
A7. Čimbenici inherentnog rizika mogu biti kvalitativni i kvantitativni i utjecati na podložnost tvrdnji pogrešnom prikazivanju. Kvalitativni čimbenici inherentnog rizika povezani s pripremom informacija koje zahtijeva primjenjivi okvir financijskog izvještavanja uključuju:
• kompleksnost;
• subjektivnost;
• promjena;
• neizvjesnost; ili
• podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili drugih čimbenika rizika prijevare ako oni utječu na inherentni rizik.
A8. Ostali čimbenici inherentnog rizika koji utječu na podložnost pogrešnom prikazivanju tvrdnje o klasi transakcija, stanju računa ili objavi mogu uključivati:
• kvantitativnu ili kvalitativnu signifikantnost klase transakcija, stanja računa ili objave; ili
• količinu ili manjak ujednačenosti u sastavu stavki koje će se obraditi u klasi transakcija ili stanju računa ili koje će se odraziti u objavi.
Relevantne tvrdnje (Vidjeti točku 12(h))
A9. Rizik značajnih pogrešnih prikazivanje može se odnositi na više od jedne tvrdnje. U tom slučaju su sve tvrdnje s kojima je takav rizik povezan relevantne tvrdnje. Ako za neku tvrdnju nije identificiran rizik značajnih pogrešnih prikazivanja onda ona nije relevantna tvrdnja.
Značajan rizik (Vidjeti točku 12(l))
A10. Značajnost se može opisati kao relativna važnost pitanja i revizor je prosuđuje u kontekstu u kojem se to pitanje razmatra. Za inherentni rizik, značajnost se može razmotriti u kontekstu načina i stupnja do kojeg čimbenici inherentnog rizika utječu na kombinaciju vjerojatnosti pojavljivanja pogrešnog prikazivanja i veličine potencijalnog pogrešnog prikazivanja u slučaju da se takvo pogrešno prikazivanje pojavi.
Postupci procjene rizika i povezane aktivnosti (Vidjeti točke 13 – 18)
A11. Rizici značajnih pogrešnih prikazivanja koje treba identificirati i procijeniti uključuju i one zbog prijevare i one zbog pogreške a oba su obuhvaćena ovim MRevS-om. Međutim, značajnost prijevare je takva da su dodatni zahtjevi i smjernice uključeni u MRevS 240 u vezi s postupcima procjenjivanja rizika i povezanim aktivnostima radi dobivanja informacija koje se koriste u svrhu identificiranja i procjenjivanja rizika značajnih pogrešnih prikazivanja zbog prijevare.[834](MRevS 240, točke 12–27.) Povrh toga, sljedeći MRevS-ovi sadrže dodatne zahtjeve i smjernice za identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja u svezi s posebnim pitanjima ili okolnostima:
• MRevS 540 (izmijenjen)[835](MRevS 540 (izmijenjen), Revidiranje računovodstvenih procjena i povezanih objava) u vezi s računovodstvenim procjenama;
• MRevS 55022 u vezi s odnosima i transakcijama s povezanim stranama;
• MRevS 570 (izmijenjen) u vezi s vremenski neograničenim poslovanjem; i
• MRevS 600[836](MRevS 600, Posebna razmatranja-revizije financijskih izvještaja grupe (uključujući rad revizora sastavnih dijelova)) u vezi s financijskim izvještajima grupa.
A12. Profesionalni skepticizam je nužan za kritičku procjenu revizijskih dokaza prikupljenih tijekom obavljanja postupaka procjene rizika i pomaže revizoru da ostane na oprezu spram revizijskih dokaza koji nisu pristrani u smjeru potkrepljivanja postojanja rizika ili koji mogu biti opovrgavajući u odnosu na postojanje rizika. Profesionalni skepticizam je stav koji primjenjuje revizor u donošenju profesionalnih prosudbi koje su osnova za revizorove postupke. Revizor primjenjuje profesionalnu prosudbu pri utvrđivanju ima li revizor revizijske dokaze koji su primjerena osnova za procjenu rizika.
A13. Primjena profesionalnog skepticizma od strane revizora može uključivati:
• ispitivanje proturječnih informacija i pouzdanosti dokumenata;
• razmatranje odgovora na upite i drugih informacija dobivenih od menadžmenta i onih zaduženih za upravljanje;
• oprez naspram uvjeta koji mogu ukazivati na moguća pogrešna prikazivanja zbog prijevare ili pogreške; i
• razmatranje o tome podržavaju li dobiveni revizijski dokazi revizorovu identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja u svjetlu vrste i okolnosti subjekta.
Zašto je važno pribavljanje revizijskih dokaza na nepristran način (Vidjeti točku 13)
A14. Oblikovanje i obavljanje postupaka procjene rizika radi pribavljanja revizijskih dokaza koji potkrepljuju identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja na nepristran način može pomoći revizoru u identifikaciji potencijalno kontradiktornih informacija a koje mogu pomoći revizoru u korištenju profesionalnog skepticizma pri identificiranju i procjenjivanju rizika značajno pogrešnog prikazivanja.
Izvori revizijskih dokaza (Vidjeti točku 13)
A15. Oblikovanje i obavljanje postupaka procjene rizika radi pribavljanja revizijskih dokaza na nepristran način može uključivati pribavljanje dokaza iz više izvora unutar i izvan subjekta. Međutim, revizor nije obvezan provesti iscrpnu potragu radi identificiranja svih mogućih izvora revizijskih dokaza. Povrh informacija iz drugih izvora[837](Vidjeti točke A37 i A38.), izvori informacija za postupke procjenjivanja rizika mogu uključivati:
• interakcije s menadžmentom, onima zaduženim za upravljanje i drugim ključnim osobljem subjekta kao što su interni revizori;
• određene vanjske strane kao što su regulatori, bilo da se informacije pribavljaju izravno ili neizravno;
• javno dostupne informacije o subjektu, na primjer priopćenja za tisak izdana od subjekta, materijali za analitičare ili sastanke grupa investitora, izvještaji analitičara ili informacije o aktivnostima trgovanja.
Bez obzira na izvor informacija revizor razmatra relevantnost i pouzdanost informacija koje će se koristiti kao revizijski dokazi u skladu s MRevS 500.[838](MRevS 500, Revizijski dokazi, točka 7.)
Prilagodljivost opsega (Vidjeti točku 13)
A16. Vrsta i opseg postupaka procjene rizika varirat će na osnovi vrste i okolnosti subjekta (npr. formalnost politika i postupaka subjekta te procesa i sustava). Revizor koristi profesionalnu prosudbu radi utvrđivanja vrste i opsega postupaka procjene rizika koje treba obaviti u svrhu ispunjenja zahtjeva ovog MRevS-a.
A17. Iako opseg do kojeg su politike i postupci subjekta te procesi i sustavi formalizirani može varirati, od revizora se ipak zahtijeva stjecanje razumijevanja u skladu s točkama 19, 21, 22, 24, 25 i 26.
Primjeri: Neki subjekti, uključujući manje kompleksne subjekte te osobito subjekte kojima upravlja vlasnik mogu nemati uspostavljene strukturirane procese i sustave (npr proces procjenjivanja rizika ili proces monitoringa sustava internih kontrola) ili mogu imati uspostavljene procese ili sustave s ograničenom dokumentacijom ili nepostojanjem konzistentnosti u načinu funkcioniranja. Ako takvi sustavi i procesi nisu formalni, revizor može ipak moći obaviti postupke procjenjivanja rizika putem promatranja i postavljanja upita. Za druge subjekte, uobičajeno kompleksnije subjekte, očekuje se da imaju formaliziranije ili dokumentiranije politike i postupke. Revizor može koristiti takvu dokumentaciju u obavljanju postupaka procjenjivanja rizika. |
A18. Vrste i opseg postupaka za procjenu rizika koji se moraju provesti kad se angažman provodi prvi put mogu biti opsežniji nego postupci kod angažmana koji se ponavlja. U sljedećim razdobljima revizor se može usredotočiti na promjene koje su nastale nakon prethodnog razdoblja.
Vrste postupaka za procjenjivanje rizika (Vidjeti točku 14)
A19. MRevS 500[839](MRevS 500, točke A14–A17 i A21–A25.) objašnjava vrste revizijskih postupaka koji se mogu obaviti radi pribavljanja revizijskih dokaza iz postupaka procjene rizika i daljnjih revizijskih postupaka. Na vrste, vremenski raspored i opseg revizijskih postupaka može utjecati činjenica da neki računovodstveni podaci i drugi dokazi mogu biti raspoloživi samo u elektroničkom obliku ili samo u određenim vremenskim točkama.[840](MRevS 500, točka A12.) Revizor može obaviti dokazne postupke ili testiranje kontrola u skladu s MRevS-om 330 paralelno s postupcima procjene rizika ako je takav način obavljanja efikasan. Pribavljeni revizijski dokaz koji podržava identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja može također podržati otkrivanje pogrešnih prikazivanja na razini tvrdnje ili ocjenjivanje operativne učinkovitosti kontrola.
A20. Iako revizor ima obvezu obaviti sve postupke procjene rizika koje su opisane u točki 14 u tijeku pribavljanja potrebnog razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i sustava internih kontrola subjekta (vidjeti točke 19 – 26), revizor nema obvezu obaviti sve postupke za svaki aspekt tog razumijevanja. Ako informacija koju se treba pribaviti može biti od pomoći pri identifikaciji rizika značajnih pogrešnih prikazivanja mogu se obaviti drugi postupci. Primjeri takvih postupaka mogu uključivati postavljanje upita vanjskom pravnom savjetniku subjekta ili vanjskim supervizorima ili stručnjacima za procjene koje je koristio subjekt.
Automatizirani alati i tehnike (Vidjeti točku 14)
A21. Korištenjem automatiziranih alata i tehnika revizor može obaviti postupke procjene rizika na velikim količinama podataka (iz glavne knjige, pomoćnih knjiga ili drugih poslovnih podataka) uključivo za analizu, rekalkulaciju, ponovno obavljanje ili usklađivanja.
Upiti postavljeni menadžmentu i ostalima u subjektu (Vidjeti točku 14(a))
Zašto se postavljaju upiti menadžmentu i ostalima u subjektu
A22. Informacije koje revizor pribavlja za podršku primjerenoj osnovi za identifikaciju i procjenjivanje rizika te oblikovanje daljnjih revizijskih postupaka mogu biti pribavljene putem upita postavljenih menadžmentu i onima koji su odgovorni za financijsko izvještavanje.
A23. Upiti postavljeni menadžmentu i onima koji su odgovorni za financijsko izvještavanje i drugim odgovarajućim pojedincima unutar subjekta i drugim zaposlenicima sa različitim razinama nadležnosti mogu ponuditi revizoru različite perspektive pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja.
Primjeri: • Upiti upućeni onima koji su zaduženi za upravljanje mogu pomoći revizoru pri razumijevanju opsega nadzora koji provode oni zaduženi za upravljanje pri sastavljanju financijskih izvještaja od strane menadžmenta. MRevS 260 (izmijenjen)[841] u tom smislu identificira važnost učinkovite dvosmjerne komunikacije u pomaganju revizoru da pribavi informacije od zaduženih za upravljanje. • Upiti zaposlenima koji su odgovorni za iniciranje, obradu ili evidentiranje kompleksnih ili neuobičajenih transakcija mogu pomoći revizoru pri ocjenjivanju primjerenosti izbora i primjene određenih računovodstvenih politika. • Upiti upućeni prema unutarnjem pravnom savjetniku mogu pružiti informacije o pitanjima kao što su: sudski sporovi, pridržavanje zakona i regulative, spoznaja o prijevari ili sumnja o prijevari koja se tiče subjekta, jamstva, obveze nakon prodaje, aranžmani (kao što su zajednička ulaganja) s poslovnim partnerima te značenje ugovornih uvjeta. • Upiti upućeni osoblju marketinga ili prodaje mogu pružiti informacije o promjenama subjektovih marketinških strategija, prodajnih trendova ili ugovornih aranžmana s kupcima. • Upiti upućeni funkciji upravljanja rizicima (ili upiti upućeni onima koji obavljaju takve uloge) mogu pružiti informacije o operativnim i regulatornim rizicima koji mogu utjecati na financijsko izvještavanje. • Upiti upućeni IT osoblju mogu pružiti informacije o promjenama sustava, greškama sustava ili kontrola ili o drugim rizicima povezanim s IT. |
[841](MRevS 260 (izmijenjen), Komuniciranje s onima zaduženim za upravljanje, točka 4(b).)
Razmatranja koja su specifična za subjekte javnog sektora
A24. Kad postavlja upite onima koji mogu imati informacije koje vjerojatno mogu pomoći u identificiranju rizika značajnih pogrešnih prikazivanja, revizori javnog sektora mogu pribaviti informacije iz dodatnih izvora kao što su revizori uključeni u reviziju uspješnosti ili druge revizije koje se odnose na subjekt.
Postavljanje upita funkciji interne revizije
Dodatak 4 navodi razmatranja za razumijevanje funkcije interne revizije subjekta. |
Zašto se upiti postavljaju funkciji interne revizije (ako takva funkcija postoji)
A25. Ako subjekt ima funkciju interne revizije upiti upućeni odgovarajućim pojedincima unutar funkcije mogu pomoći revizoru pri razumijevanju subjekta i njegovog okruženja te sustava internih kontrola subjekta u identificiranju i procjenjivanju rizika.
Razmatranja koja su specifična za subjekte javnog sektora
A26. Revizori subjekata javnog sektora često imaju dodatne odgovornosti u odnosu na interne kontrole i usklađenost s primjenjivim zakonima i regulativom. Upiti postavljeni odgovarajućim pojedincima u funkciji interne revizije mogu pomoći revizorima pri identificiranju rizika značajne neusklađenosti s primjenjivim zakonima i regulativom i rizika nedostataka kontrola koji su povezani s financijskim izvještavanjem.
Analitički postupci (Vidjeti točku 14(b))
Zašto se analitički postupci obavljaju kao postupak procjene rizika
A27. Analitički postupci pomažu pri identifikaciji nedosljednosti, neuobičajenih transakcija ili događaja te iznosa, pokazatelja i trendova koji ukazuju na pitanja koja mogu imati implikacije za reviziju. Neuobičajeni ili neočekivani odnosi koje su identificirani mogu pomoći revizoru pri identifikaciji rizika značajnih pogrešnih prikazivanja, osobito rizika značajnih pogrešnih prikazivanja zbog prijevare.
A28. Analitički postupci koji su obavljeni kao postupci procjene rizika mogu stoga biti od pomoći u identifikaciji i procjenjivanju rizika značajnih pogrešnih prikazivanja kroz identifikaciju aspekata subjekta kojih revizor nije bio svjestan ili kroz razumijevanje načina na koji čimbenici inherentnog rizika, kao što je promjena, utječu na podložnost tvrdnji pogrešnom prikazivanju.
Vrste analitičkih postupaka
A29. Analitički postupci koji su obavljeni kao postupci procjenjivanja rizika mogu:
• uključivati i financijske i nefinancijske informacije, na primjer, odnos između prodaje i kvadrata površine prodajnog prostora ili količine prodane robe (nefinancijski podatak)
• korištenje podataka koji su visoko agregirani. Sukladno tome, rezultati ovih analitičkih postupaka mogu pružiti široku početnu indikaciju o vjerojatnosti značajnih pogrešnih prikazivanja.
Primjer: U reviziji mnogih subjekata, uključujući one s manje kompleksnim poslovnim modelima i procesima te manje kompleksnim informacijskim sustavima, revizor može obaviti jednostavnu usporedbu informacija kao što je promjena na stanjima računa za mjesečna ili druga ispodgodišnja razdoblja u odnosu na stanja iz prethodnih razdoblja radi dobivanja indikacije o potencijalno visokorizičnim područjima. |
A30. Ovaj MRevS uređuje revizorovo korištenje analitičkih postupaka kao postupaka procjene rizika. MRevS 520[842](MRevS 520, Analitički postupci) uređuje revizorovo korištenje analitičkih postupaka kao dokaznih postupaka (»dokazni analitički postupci«) i revizorovu obvezu obavljanja analitičkih postupaka blizu kraja revizije. Sukladno time, analitički postupci koji su obavljeni kao postupci procjene rizika ne trebaju biti obavljeni sukladno zahtjevima MRevS-a 520. Međutim, zahtjevi i materijal za primjenu u MRevS-u 520 može pružiti korisne upute revizoru kad obavlja analitičke postupke kao dio postupaka procjene rizika.
Automatizirani alati i tehnike
A31. Analitički postupci mogu biti obavljeni korištenjem više alata ili tehnika koje mogu biti automatizirane. Primjena automatiziranih analitičkih postupaka na podatke može se nazivati analitikom podataka.
Primjer: Revizor može koristiti tablicu za obavljanje usporedbe evidentiranih ostvarenih iznosa s planiranim iznosima ili može obaviti napredniji postupak povlačenja podataka iz informacijskog sustava subjekta i dalje analizirati te podatke korištenjem tehnika vizualizacije za identifikaciju klasa transakcija, stanja računa ili objava za koje može biti opravdano provođenje daljnjih specifičnih postupaka. |
Promatranje i provjeravanje (Vidjeti točku 14(c))
Zašto se promatranje i provjeravanje obavljaju kao postupci procjene rizika
A32. Promatranje i provjeravanje mogu potkrijepiti ili biti u kontradikciji s upitima postavljanim menadžmentu i drugima te mogu također pružiti informacije o subjektu i njegovu okruženju.
Prilagodljivost opsega
A33. Ako politike i postupci nisu dokumentirani ili subjekt ima manje formalizirane kontrole, revizor još uvijek može uvijek pribaviti neke revizijske dokaze radi podržavanja identifikacije i procjene rizika značajnih pogrešnih prikazivanja kroz promatranje ili provjeravanje funkcioniranja kontrole.
Primjeri: • Revizor može izravnim promatranjem steći razumijevanje kontrola nad brojanjem zaliha čak ako to nije dokumentirano od strane subjekta. • Revizor može biti u mogućnosti promatrati segregaciju dužnosti. • Revizor može biti u mogućnosti promatrati unose lozinki. |
Promatranje i provjeravanje kao postupci procjene rizika
A34. Postupci procjene rizika mogu uključivati promatranje ili ispitivanje sljedećeg:
• subjektovog poslovanja,
• internih dokumenata (kao što su poslovni planovi i strategije), evidencija i priručnika internih kontrola,
• izvještaja pripremljenih od strane menadžmenta (kao što su kvartalni izvještaji menadžmenta i financijski izvještaji za razdoblja kraća od izvještajnog razdoblja obuhvaćenog revizijom) i od strane onih koji su zaduženi za upravljanje (kao što su zapisnici sa sastanaka odbora direktora),
• subjektove lokacije i tvornice,
• informacija dobivenih od vanjskih izvora kao što su trgovački i ekonomski časopisi, izvještaji analitičara, banaka ili rejting agencija, regulatornih ili financijskih publikacija ili drugih vanjskih izvora o financijskoj uspješnosti subjekta (kao što su oni na koje upućuje točka A79),
• ponašanja i radnje menadžmenta ili onih koji su zaduženi za upravljanje (kao što je promatranje sastanka revizijskog odbora).
Automatizirani alati i tehnike
A35. Automatizirani alati ili tehnike mogu također biti korišteni radi promatranja ili provjeravanja, kod konkretnih predmeta imovine, na primjer, korištenjem alata za promatranje na daljinu (npr. dron).
Razmatranja koja su specifična za subjekte javnog sektora
A36. Postupci procjene rizika koje obavljaju revizori subjekata javnog sektora mogu također uključivati promatranje i provjeravanje dokumenata koji su pripremljeni od strane menadžmenta za zakonodavno tijelo, na primjer, dokumenti koji se odnose na obvezno izvještavanje o uspješnosti.
Informacije iz drugih izvora (Vidjeti točku 15)
Zašto revizor razmatra informacije iz drugih izvora
A37. Informacije koje su dobivene iz drugih izvora mogu biti relevantne za identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja zbog toga što pružaju informacije i uvide o:
• vrsti subjekta i njegovih poslovnih rizika te o tome što se moglo promijeniti od ranijih razdoblja,
• integritetu i etičkim vrednotama menadžmenta i onih koji su zaduženi za upravljanje koji također mogu biti relevantni za revizorovo razumijevanje kontrolnog okruženja,
• primjenjivom okviru financijskog izvještavanja i njegovoj primjeni u odnosu na vrstu i okolnosti subjekta.
Ostali relevantni izvori
A38. Ostali relevantni izvori informacija uključuju:
• revizorove postupke koji se odnose prihvaćanje ili nastavljanje odnosa s klijentom ili revizijskog angažmana u skladu s MRevS-om 220, uključujući zaključke koji su pri tome doneseni.[843](MRevS 220, Kontrola kvalitete za reviziju financijskih izvještaja, točka 12.)
• druge angažmane koji su obavljeni za subjekta od strane angažiranog partnera. Angažirani partner može steći znanje koje je relevantno za reviziju, uključujući i onu o subjektu i njegovu okruženju kroz obavljanje drugih angažmana za taj subjekt. Takvi angažmani mogu uključivati angažmane o dogovorenim postupcima ili druge revizijske angažmane ili angažmane s izražavanjem uvjerenja, uključujući angažmane radi postupanja s inkrementalnim zahtjevima za izvještavanjem u toj jurisdikciji.
Informacije iz revizorovog prijašnjeg iskustva sa subjektom i prijašnjih revizija (Vidjeti točku 16)
Zašto su informacije iz prijašnjih revizija važne za tekuću reviziju
A39. Revizorovo prijašnje iskustvo sa subjektom i iz obavljenih revizijskih postupaka u prijašnjim revizijama mogu pružiti revizoru informacije koje su relevantne za revizorovo utvrđivanje vrste i opseg postupaka procjene rizika i za identifikaciju i procjenjivanja rizika značajnih pogrešnih prikazivanja.
Priroda informacija iz prijašnjih revizija
A40. Revizorovo prijašnje iskustvo sa subjektom i revizijskim postupcima obavljenim u prethodnim revizijama mogu revizoru pružiti informacije o pitanjima kao što su:
• prošla pogrešna prikazivanja i jesu li ista pravodobno ispravljena,
• vrsta subjekta i njegovog okruženja te sustav internih kontrola subjekta (uključujući nedostatke kontrola),
• značajne promjene koje su eventualno nastale u subjektu ili njegovu poslovanju od prethodnog financijskog razdoblja,
• specifične vrste transakcija i drugih događaja ili stanja računa (i povezanih objava) gdje je revizor naišao na poteškoće u obavljanju potrebnih revizijskih postupaka, na primjer, zbog njihove kompleksnosti.
A41. Revizor je dužan utvrditi je li informacija pribavljena iz revizorovog ranijeg iskustva i nadalje relevantna i pouzdana ako revizor namjerava koristiti tu informaciju za svrhe tekuće revizije. Ako su se vrsta ili okolnosti subjekta promijenile ili ako su pribavljene nove informacije, informacije iz ranijih razdoblja možda više nisu relevantne ili pouzdane za tekuću reviziju. Radi utvrđivanja jesu li nastale promjene koje mogu utjecati na relevantnost ili pouzdanosti takvih informacija revizor može postaviti upite i obaviti druge primjerene revizijske postupke kao što je prolaženje kroz relevantne sustave. Ako informacija nije pouzdana, revizor može razmotriti obavljanje dodatnih postupaka koji su primjereni u danim okolnostima.
Rasprave u angažiranom timu (Vidjeti točke 17 – 18)
Zašto je angažirani tim dužan raspraviti primjenu primjenjivog okvira financijskog izvještavanja i podložnost financijskih izvještaja subjekta značajno pogrešnim prikazivanjima.
A42. Rasprava unutar angažiranog tima o primjeni primjenjivog okvira financijskog izvještavanja i podložnosti financijskih izvještaja subjekta značajno pogrešnim prikazivanjima:
• pruža priliku da iskusniji članovi angažiranog tima, uključujući angažiranog partnera, međusobno podijele svoje uvide temeljene na poznavanju subjekta. Međusobno dijeljenje informacija doprinosi boljem razumijevanju kod svih članova angažiranog tima.
• omogućava članovima angažiranog tima razmjenu informacija o poslovnim rizicima kojima je subjekt izložen, o tome kako čimbenici inherentnog rizika mogu utjecati na podložnost klasa transakcija, stanja računa i objava i o tome kako i gdje bi financijski izvještaji mogli biti podložni značajno pogrešnim prikazivanjima zbog prijevare ili pogreške.
• pomaže članovima angažiranog tima da steknu bolje razumijevanje potencijala za pogrešno prikazivanje financijskih izvještaja u određenim područjima koja su im dodijeljena i da razumiju kako rezultati revizijskih postupaka koje oni obavljaju mogu utjecati na druge aspekte revizije, uključivo odluke o vrsti, vremenskom rasporedu i opsegu daljnjih revizijskih postupaka. Osobito rasprava pomaže članovima angažiranog tima u daljnjem razmatranju kontradiktornih informacija temeljeno na vlastitom razumijevanju vrste i okolnosti subjekta koje ima svaki pojedini član.
• pruža temelj na kojem članovi angažiranog tima komuniciraju i dijele nove informacije pribavljene tijekom revizije a koje mogu utjecati na procjenu rizika značajnih pogrešnih prikazivanja ili na revizijske postupke koji su obavljeni kao reakcija na te rizike.
MRevS 240 zahtijeva da se u raspravi unutar angažiranog tima poseban naglasak stavi na način i dio financijskih izvještaja subjekta koji mogu biti podložni značajno pogrešnom prikazivanju zbog prijevare, uključujući i način na koji prijevara može nastati.[844](MRevS 240, točka 16.)
A43. Profesionalni skepticizam je nužan za kritičku procjenu revizijskih dokaza, a jasna i otvorena rasprava angažiranog tima, uključujući i kod ponavljajućih revizija, može dovesti do poboljšane identifikacije i procjene rizika značajnih pogrešnih prikazivanja. Drugi ishod rasprave može biti da revizor identificira određena područja revizije za koja korištenje profesionalnog skepticizma može biti osobito važno te može dovesti do uključivanja iskusnijih članova angažiranog tima koji imaju primjerene vještine za uključivanje u obavljanje revizijskih postupaka koji se odnose na ta područja.
Prilagodljivost opsega
A44. Ako angažman obavlja jedna osoba, kao što je samostalni praktičar (tj. ako rasprava angažiranog tima ne bi bila moguća) razmatranje pitanja na koja se upućuje u točkama A42 i A46 mogu svejedno pomoći revizoru pri identifikaciji područja u kojima mogu postojati rizici značajnih pogrešnih prikazivanja.
A45. Ako angažman obavlja veliki angažirani tim, kao što je slučaj kod revizije grupnih financijskih izvještaja, nije uvijek nužno ni praktično da rasprava uključuje sve članove u jednog raspravi (na primjer, u multilokacijskoj reviziji), niti je potrebno da svi članovi angažiranog tima budu informirani o svim odlukama koje su donesene u raspravi. Angažirani partner može raspraviti pitanja s ključnim članovima angažiranog tima uključujući, ako se smatra primjerenim, one sa specifičnim vještinama ili znanjem, te one koji su odgovorni za revizije komponenti, uz delegiranje rasprave s drugima vodeći računa o opsegu komunikacije koja se smatra nužnom za čitavi angažirani tim. Pri tome može biti koristan plan komuniciranja koji je odobrio angažirani partner.
Rasprava o objavljivanjima u primjenjivom okviru financijskog izvještavanja
A46. Kao dio rasprave unutar angažiranog tima, razmatranje zahtjeva za objavljivanjima iz primjenjivog okvira financijskog izvještavanja pomaže, u ranoj fazi revizije, pri identificiranju mjesta gdje mogu postojati rizici značajnih pogrešnih prikazivanja u vezi s objavljivanjima, čak u okolnostima u kojima primjenjivi okvir financijskog izvještavanja zahtijeva samo pojednostavljena objavljivanja. Pitanja o kojima angažirani tim može raspravljati uključuju:
• promjene u zahtjevima financijskog izvještavanja koje mogu rezultirati značajnim novim ili izmijenjenim objavljivanjima;
• promjene u okruženju subjekta, financijskom stanju ili aktivnostima koje mogu rezultirati značajnim novim ili izmijenjenim objavljivanjima, na primjer, značajna poslovna kombinacija u razdoblju koje se revidira;
• objavljivanja za koje je u prošlosti pribavljanje dostatnih i primjerenih revizijskih dokaza bilo otežano; i
• objavljivanja o kompleksnim pitanjima, uključujući ona koja su vezana uz značajne prosudbe menadžmenta o tome koje će se informacije objaviti.
Razmatranja specifična za subjekte javnog sektora
A47. Kao dio rasprave unutar angažiranog tima za reviziju subjekata javnog sektora mogu se razmotriti bilo koji širi ciljevi i s time povezani rizici koji proizlaze iz revizijskog mandata ili obveza za subjekte javnog sektora.
Stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i sustava internih kontrola subjekta (Vidjeti točke 19‒27)
Dodaci 1 do 6 sadrže daljnja razmatranja koja se odnose na stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola. |
Stjecanje obveznog razumijevanja (Vidjeti točke 19‒27)
A48. Stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i sustava internih kontrola subjekta je dinamičan i iterativan proces prikupljanja, ažuriranja i analiziranja informacija koji se nastavlja se kroz čitavu reviziju. Stoga se revizorova očekivanja mogu promijeniti kad se pribave nove informacije.
A49. Revizorovo razumijevanje subjekta i njegovog okruženja i primjenjivog okvira financijskog izvještavanja može pomoći revizoru kod razvijanja početnih očekivanja o klasama transakcija, stanjima računa i objavama koje mogu biti signifikantne klase transakcija, stanja računa i objavljivanja. Ove očekivano signifikantne klase transakcija, stanja računa i objava tvore osnovu za opseg revizorovog razumijevanja informacijskog sustava subjekta.
Zašto je obvezno razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja (Vidjeti točke 19‒20)
A50. Revizorovo razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja pomaže revizoru u razumijevanju događaja i stanja koji su relevantni za subjekt i u identificiranju načina na koji čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnim prikazivanjima u sastavljanju financijskih izvještaja u skladu s primjenjivim okvirom financijskog izvještavanja te o stupnju do kojeg to čine. Takve informacije su referentni okvir unutar kojeg revizor identificira i procjenjuje rizike značajnih pogrešnih prikazivanja. Ovaj referentni okvir također pomaže revizoru u planiranju revizije i korištenju profesionalne prosudbe i profesionalnog skepticizma tijekom cijele revizije, na primjer, kad:
• identificira i procjenjuje rizike značajnih pogrešnih prikazivanja u financijskim izvještajima u skladu s MRevS-om 315 (izmijenjen 2019.) ili drugim relevantnim standardima (npr., u odnosu na rizike prijevare u skladu s MRevS-om 240 ili kad identificira rizike povezane s računovodstvenim procjenama u skladu s MRevS-om 540 (izmijenjen);
• obavlja postupke koji pomažu pri identificiranju slučajeva nepridržavanja zakona i regulative koji mogu imati značajan utjecaj na financijske izvještaje u skladu s MRevS 250;[845](MRevS 250 (izmijenjen), Razmatranje zakona i regulativa u reviziji financijskih izvještaja, točka 14.)
• ocjenjuje pružaju li financijski izvještaji adekvatne objave u skladu s MRevS-om 700 (izmijenjen);[846](MRevS 700 (izmijenjen), Formiranje mišljenja i izvještavanje o financijskim izvještajima, točka 13(e).)
• utvrđuje značajnost ili značajnost za provedbu u skladu s MRevS-om 320;[847](MRevS 320, Značajnost u planiranju i obavljanju revizije, točke 10‒11.) ili
• razmatra primjerenost odabira i primjene računovodstvenih politika i adekvatnost objavljivanja u financijskim izvještajima.
A51. Revizorovo razumijevanje subjekta i njegovog okruženja i primjenjivog okvira financijskog izvještavanja također utječe na način na koji revizor planira i obavlja daljnje revizijske postupke, na primjer, kad:
• razvija očekivanja koja će upotrijebiti prilikom obavljanja analitičkih postupaka u skladu s MRevS-om 520;[848](MRevS 520, točka 5.)
• oblikuje i obavlja daljnje revizijske postupke radi pribavljanja dostatnih i primjerenih revizijskih dokaza u skladu s MRevS-om 330; i
• ocjenjuje dostatnost i primjerenost pribavljenih revizijskih dokaza (npr. u odnosu na pretpostavke ili usmene ili pisane izjave menadžmenta).
Prilagodljivost opsega
A52. Vrsta i opseg obveznog razumijevanja je pitanje revizorove profesionalne prosudbe i varira od subjekta do subjekta na temelju vrste i okolnosti subjekta, uključujući:
• veličinu i kompleksnost subjekta uključivo s njegovim IT okruženjem;
• revizorovo prethodno iskustvo sa subjektom;
• vrstu subjektovih sustava i procesa, uključujući jesu li oni formalizirani ili nisu; i
• vrstu i oblik subjektove dokumentacije.
A53. Revizorovi postupci procjene rizika radi stjecanja obveznog razumijevanja mogu biti manji po opsegu u revizijama manje kompleksnih subjekata i opsežniji kod subjekata koji su kompleksniji. Očekuje se da je dubina razumijevanja koju revizor obvezno mora imati manja od one koju ima menadžment u upravljanju subjektom.
A54. Neki okviri financijskog izvještavanja dopuštaju manjim subjektima davanje jednostavnijih i manje detaljnih objavljivanja u financijskim izvještajima. Međutim, to ne oslobađa revizora odgovornosti stjecanja razumijevanja subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja i načina na koji se on primjenjuje na subjekt.
A55. Subjektovo korištenje IT-a te vrsta i opseg promjena u IT okruženju mogu također utjecati na specijalizirane vještine koje su potrebne kao pomoć u stjecanju obveznog razumijevanja.
Subjekt i njegovo okruženje (Vidjeti točku 19(a))
Organizacijska struktura subjekta, vlasništvo nad subjektom i upravljanje te poslovni model (Vidjeti točku 19(a)(i))
Organizacijska struktura subjekta i vlasništvo nad subjektom
A56. Razumijevanje subjektove organizacijske strukture i vlasništva može omogućiti revizoru da razumije pitanja kao što su:
• Kompleksnost strukture subjekta.
Primjer: Subjekt može biti zasebni subjekt ili subjektova struktura može uključivati ovisna društva, organizacijske jedinice ili druge komponente na više lokacija. Nadalje, pravna struktura može biti različita od poslovne strukture. Kompleksne strukture često uvode čimbenike koji mogu dovesti do povećane podložnosti rizicima značajnih pogrešnih prikazivanja. Ova pitanja mogu uključivati pitanja o tome jesu li goodwill, zajednička ulaganja, ulaganja ili subjekti specijalne namjene primjereno računovodstveno tretirani i jesu li odgovarajuća objavljivanja takvih pitanja uključena u financijske izvještaje. |
• Vlasništvo i odnosi između vlasnika i drugih osoba ili subjekata, uključujući povezane osobe. Ovo razumijevanje može pomoći u utvrđivanju jesu li transakcije s povezanim osobama primjereno identificirane, računovodstveno tretirane i na odgovarajući način objavljene u financijskim izvještajima.[849](MRevS 550 uređuje zahtjeve i pruža smjernice za revizorova razmatranja koja su relevantna za povezane osobe.)
• Razlika između vlasnika, onih zaduženih za upravljanje i menadžmenta.
Primjer: U manje kompleksnim subjektima, vlasnici subjekta mogu biti uključeni u upravljanje subjektom. Stoga je razlika mala ili je nema. Nasuprot tome, kao što je slučaj kod nekih uvrštenih subjekata, može postojati jasna razlika između menadžmenta, vlasnika subjekta i onih koji su zaduženi za upravljanje.[850] |
[850](MRevS 260 (izmijenjen), točke A1 i A2, daju smjernice za identifikaciju onih zaduženih za upravljanje i objašnjava da u nekim slučajevima neki ili svi od onih koji su zaduženi za upravljanje mogu biti uključeni u upravljanje subjektom.)
• Struktura i kompleksnost subjektovog IT okruženja.
Primjeri: Subjekt može: • imati više naslijeđenih IT sustava u različitim poduzećima koji nisu dobro međusobno integrirani i rezultiraju kompleksnim IT okruženjem, • koristiti vanjske ili unutarnje pružatelje usluga za aspekte njegovog IT okruženja (npr. dodjeljivanje hostinga IT okruženja trećoj strani ili korištenje zajedničkog servisnog centra za centralno upravljanje IT procesima u grupi). |
Automatizirani alati i tehnike
A57. Revizor može koristiti automatizirane alate i tehnike za razumijevanje tokova transakcija i obrade kao dio revizorovih postupaka za razumijevanje informacijskog sustava. Rezultat ovih postupaka može biti revizorovo stjecanje informacija o organizacijskog strukturi samog subjekta ili onih s kojima subjekt posluje (npr. dobavljači, kupci, povezane osobe).
Razmatranja koja su specifična za javni sektor
A58. Vlasništvo subjekta iz javnog sektora možda neće imati istu relevantnost kao u privatnom sektoru jer se odluke koje se odnose na subjekt mogu donositi izvan subjekta kao rezultat političkih procesa. Stoga, menadžment možda neće imati kontrolu nad određenim odlukama koje se donose. Pitanja koja mogu biti relevantna uključuju razumijevanje sposobnosti subjekta da donosi unilateralne odluke i sposobnost drugih subjekata javnog sektora da kontroliraju ili utječu na zadaće i strateško usmjerenje subjekta.
Primjer: Subjekt javnog sektora može biti obveznik primjene zakona ili drugih propisa vlasti koji ga obvezuju da pribavi suglasnost za svoju strategiju i ciljeve od strana koje su vanjske u odnosu na subjekt prije nego što ih subjekt počne primjenjivati. Stoga, pitanja koja se odnose na razumijevanje pravne strukture subjekta mogu uključivati primjenjive zakone i regulative te klasifikaciju subjekta (tj. je li subjekt ministarstvo, odjel, agencija ili druga vrsta subjekta). |
Upravljanje
Zašto revizor stječe razumijevanje upravljanja
A59. Razumijevanje subjektovog upravljanja može pomoći revizoru u razumijevanju sposobnosti subjekta da uspostavi primjeren nadzor svojeg sustava internih kontrola. Međutim, ovo razumijevanje može također pružiti dokaze o nedostacima koji mogu ukazivati na povećanje podložnosti subjektovih financijskih izvještaja rizicima značajnih pogrešnih prikazivanja.
Razumijevanje subjektovog upravljanja
A60. Pitanja koja mogu biti relevantna za revizorovo razmatranje kod stjecanja razumijevanja upravljanja subjektom uključuju:
• jesu li neki ili svi od onih koji su zaduženi za upravljanje uključeni u upravljanje subjektom,
• postojanje (i razdvojenost) neizvršnog odbora, ako postoji, od izvršnog menadžmenta,
• jesu li oni zaduženi za upravljanje na pozicijama koje su integralni dio subjektove pravne strukture, primjerice direktori,
• postoje li podgrupe onih zaduženih za upravljanje kao što je revizijski odbor i koje su odgovornosti takve grupe,
• odgovornosti onih zaduženih za upravljanje za nadzor nad financijskim izvještavanjem, uključujući odobravanje financijskih izvještaja.
Poslovni model subjekta
Dodatak 1 sadrži dodatna razmatranja radi stjecanja razumijevanja subjekta i njegovog poslovnog modela kao i dodatna razmatranja za revidiranje subjekata posebne namjene. |
Zašto revizor stječe razumijevanje poslovnog modela subjekta
A61. Razumijevanje subjektovih ciljeva strategije i poslovnog modela pomaže revizoru u razumijevanju subjekta na strateškoj razini te u razumijevanju poslovnih rizika koje subjekt preuzima i s kojima se suočava. Razumijevanje poslovnih rizika koji utječu na financijske izvještaje pomaže revizoru u identificiranju rizika značajnih pogrešnih prikazivanja, budući da će većina poslovnih rizika u konačnici imati financijske posljedice i, stoga, učinak na financijske izvještaje.
Primjeri: Poslovni model subjekta može se oslanjati na korištenje IT-a na različite načine: • subjekt prodaje cipele iz fizičkog prodajnog mjesta i koristi napredni sustav za zalihe i prodajno mjesto za evidentiranje prodaje obuće; ili • subjekt prodaje obuću online tako su sve prodajne transakcije obrađene u IT okruženju, uključujući iniciranje transakcija putem web-stranice. Za oba ova subjekta poslovni rizici koji proizlaze iz značajno različitog poslovnog modela bili bi bitno različiti bez obzira na činjenicu da oba subjekta prodaju obuću. |
Razumijevanje poslovnog modela subjekta
A62. Nisu svi aspekti poslovnog modela relevantni za revizorovo razumijevanje. Poslovni rizici su šireg opsega od rizika značajnih pogrešnih prikazivanja financijskih izvještaja iako poslovni rizici uključuju potonje rizike. Revizor nema obvezu razumjeti ili identificirati sve poslovne rizike jer svi poslovni rizici ne uzrokuju rizike značajnih pogrešnih prikazivanja.
A63. Poslovni rizici koji povećavaju podložnost rizicima značajnih pogrešnih prikazivanja mogu biti uzrokovani:
• neprimjerenim ciljevima ili strategijama, neučinkovitom realizacijom strategija, promjenom ili kompleksnošću.
• neprepoznavanjem potrebe za promjenom što također može uzrokovati poslovni rizik zbog, primjerice:
o razvoja novih proizvoda ili usluga koji mogu biti neuspješni;
o tržišta koje je, čak i ako se uspješno razvije, neprimjereno za podršku proizvodu ili usluzi; ili
o nedostataka proizvoda ili usluge koji mogu rezultirati pravnom obvezom ili reputacijskim rizikom.
• poticajima i pritiscima na menadžment koji mogu rezultirati namjernom ili nenamjernom pristranošću menadžmenta i tako utjecati na razumnost značajnih pretpostavki i očekivanja menadžmenta ili onih koji su zaduženi za upravljanje.
A64. Primjeri pitanja koje revizor može razmotriti pri stjecanju razumijevanja poslovnog modela subjekta, ciljeva, strategija i povezanih poslovnih rizika koji mogu rezultirati rizikom značajnih pogrešnih prikazivanja financijskih izvještaja uključuju:
• razvoj uvjeta industrije kao što je manjak osoblja ili stručnosti za praćenje promjena u industriji;
• nove proizvode i usluge koji mogu dovesti do povećane pravne odgovornosti za proizvod;
• širenje poslovanja subjekta pri čemu potražnja nije bila točno procijenjena;
• nove računovodstvene zahtjeve ako je došlo do nepotpune ili nepravilne implementacije;
• regulatorne zahtjeve koji rezultiraju povećanom pravnom izloženošću;
• tekuće i buduće zahtjeve financiranja, kao što je gubitak financiranja zbog nesposobnosti subjekta da udovolji zahtjevima;
• korištenje informacijskog sustava, kao što je implementacija novog informacijskog sustava koji će utjecati na poslovanje i na financijsko izvještavanje; ili
• učinke implementacije neke strategije, osobito one učinke koji će dovesti do novih računovodstvenih zahtjeva.
A65. Menadžment obično identificira poslovne rizike i razvija pristupe za njihovo rješavanje. Takav proces procjene rizika je dio sustava internih kontrola subjekta i razmotren je u točki 22 i točkama A109 – A113.
Razmatranja specifična za subjekte javnog sektora
A66. Subjekti koji posluju u javnom sektoru mogu stvarati i isporučivati vrijednost na način koji je različit od načina na koji to čine oni koji stvaraju vrijednost za vlasnike ali će ipak imati »poslovni model« sa specifičnim ciljem. Pitanja o kojima revizori u javnom sektoru mogu steći razumijevanje a relevantna su za poslovni model subjekta uključuju:
• znanje o relevantnim aktivnostima vlade, uključujući povezane programe,
• ciljeve i strategije programa, uključujući elemente javne politike.
A67. Za revizije subjekata u javnom sektoru, na »ciljeve menadžmenta« mogu utjecati obveze javnog polaganja računa i mogu uključivati ciljeve čiji je izvor u zakonu, regulativi ili drugim autoritetima.
Industrija, regulatorni i ostali vanjski čimbenici (Vidjeti točku 19(a)(ii))
Čimbenici djelatnosti
A68. Relevantni čimbenici djelatnosti uključuju uvjete poslovanja u djelatnosti kao što su konkurentno okruženje, odnosi s dobavljačima i kupcima te tehnološki razvoj. Pitanja koja revizor može razmotriti su:
• tržište i konkurencija, uključujući potražnju, kapacitet i cjenovnu konkurentnost.
• ciklična ili sezonska aktivnost.
• tehnologija proizvodnje koja se odnosi na proizvode subjekta.
• ponuda i cijena energije.
A69. Djelatnost u kojoj subjekt posluje može uzrokovati specifične rizike značajnih pogrešnih prikazivanja koji proizlaze iz vrste poslovanja ili stupnja regulacije.
Primjer: U građevinskoj industriji dugoročni ugovori mogu uključivati značajne procjene prihoda i rashoda koje uzrokuju rizike značajnih pogrešnih prikazivanja. U takvim slučajevima je važno da angažirani tim uključuje članove sa dostatnim relevantnim znanjem i iskustvom. |
Regulatorni čimbenici
A70. Relevantni regulatorni čimbenici uključuju regulatorno okruženje. Regulatorno okruženje obuhvaća, između ostalog, primjenjivi okvir financijskog izvještavanja kao i pravno i političko okruženje te bilo koje njihove promjene. Pitanja koja revizor može razmotriti uključuju:
• regulatorni okvir za reguliranu djelatnost, primjerice, bonitetni zahtjevi, uključujući povezana objavljivanja,
• zakone i regulaciju koji značajno utječu na poslovanje subjekta, primjerice, radno zakonodavstvo i regulativa,
• porezni zakoni i regulative,
• vladine politike koje trenutno utječu na poslovanje subjekta kao što su monetarna politika, uključujući i devizne kontrole, fiskalna politika, financijski poticaji (na primjer, vladini programi pomoći) te carinska ili politika ograničavanja trgovine,
• zahtjeve vezane uz okoliš koji utječu na djelatnost i poslovanje subjekta.
A71. MRevS 250 (izmijenjen) uključuje neke specifične zahtjeve koji se odnose na pravni i regulatorni okvir koji je primjenjiv na subjekt i djelatnost ili sektor u kojem subjekt posluje.[851](MRevS 250 (izmijenjen), točka 13.)
Razmatranja specifična za subjekte javnog sektora
A72. Za revizije subjekata javnog sektora, mogu postojati posebni zakoni i regulative koji utječu na poslovanje subjekta. Takvi elementi mogu biti ključno razmatranje pri stjecanju razumijevanja subjekta i njegovog okruženja.
Ostali vanjski čimbenici
A73. Ostali vanjski čimbenici koji utječu na subjekt koje revizor može razmotriti uključuju opće ekonomske uvjete, kamatne stope i dostupnost financiranja te inflaciju ili revalorizaciju valute.
Mjere koje koristi menadžment za procjenu financijske uspješnosti subjekta (Vidjeti točku 19(a)(iii))
Zašto revizor stječe razumijevanje mjera koje koristi menadžment
A74. Razumijevanje subjektovih mjera pomaže revizoru u razmatranju stvaraju li takve mjere, kad se koriste eksterno ili interno, pritisak na subjekt da postigne ciljeve uspješnosti. Ovi pritisci mogu motivirati menadžment na poduzimanje radnji koje povećavaju podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili prijevare (npr. radi poboljšavanja poslovne uspješnosti ili radi namjernog pogrešnog prikazivanja financijskih izvještaja) (vidjeti MRevS 240 za zahtjeve i smjernice u odnosu na rizike prijevare).
A75. Mjere mogu također ukazati revizoru na vjerojatnost rizika značajnih pogrešnih prikazivanja povezanih informacija u financijskim izvještajima. Na primjer, mjere uspješnosti mogu pokazivati da subjekt ima neuobičajeno brzi rast ili profitabilnost u usporedbi s drugim subjektima u istoj industriji.
Mjere koje koristi menadžment
A76. Menadžment i drugi redovno mjere i pregledavaju ona pitanja koja smatraju važnima. Postavljanje upita menadžmentu može otkriti da se menadžment oslanja na određene ključne pokazatelje, bez obzira jesu li javno dostupni ili ne, za ocjenu financijske uspješnosti i poduzimanje radnji. U takvim slučajevima, revizor može identificirati relevantne mjere uspješnosti, vanjske ili unutarnje, razmatrajući informacije koje subjekt koristi za upravljanje svojim poslovanjem. Ako takav upit pokazuje odsutnost mjerenja ili pregleda uspješnosti, može postojati povećani rizik da pogrešna prikazivanja nisu otkrivena i ispravljena.
A77. Ključni pokazatelji koji se koriste za ocjenu financijske uspješnosti mogu uključivati:
• ključne pokazatelje uspješnosti (financijske i nefinancijske) i ključne omjere, trendove i operativnu statistiku,
• analize financijske uspješnosti na temelju usporedbe s prethodnim razdobljem,
• planove, projekcije, analize odstupanja, informacije o segmentima i izvještaje o uspješnosti za sektore, odjele ili druge razine,
• mjere uspješnosti zaposlenika te politike poticajnog nagrađivanja,
• usporedbe uspješnosti subjekta s uspješnošću konkurenata.
Prilagodljivost opsega (Vidjeti točku 19(a)(iii))
A78. Postupci koji se provode u svrhu razumijevanja mjera subjekta mogu varirati ovisno o veličini ili kompleksnosti subjekta kao i o uključenosti vlasnika ili onih koji su zaduženi za upravljanje u menadžment subjekta.
Primjeri: • Za neke manje kompleksne subjekte, uvjeti bankarskih zajmova za subjekt (tj. odredbe ugovora s bankom) mogu biti povezani sa specifičnim mjerama uspješnosti koji se odnose na uspješnost subjekta ili financijski položaj (npr. iznos maksimalnog radnog kapitala). Revizorovo razumijevanje mjera koje koristi banka može pomoći u identifikaciji područja na kojima postoji povećana podložnost riziku značajnih pogrešnih prikazivanja. • Za neke subjekte čija vrsta i okolnosti su kompleksniji, kao što su oni koji posluju u osiguravateljskoj ili bankarskoj djelatnosti, uspješnost ili financijski položaj mogu biti izmjereni u odnosu na regulatorne zahtjeve (npr. regulatorni zahtjevi o omjerima kao što su adekvatnost kapitala, omjeri likvidnosti, zadani pokazatelji uspješnosti). Revizorovo razumijevanje ovih mjera uspješnosti može pomoći pri identificiranju područja na kojima postoji povećana podložnosti riziku značajnih pogrešnih prikazivanja. |
Ostala razmatranja
A79. Vanjske strane mogu također pregledavati i analizirati financijsku uspješnost subjekta, osobito za subjekte čije su financijske informacije javno dostupne. Revizor može također razmotriti javno dostupne informacije koje mu mogu pomoći u daljnjem razumijevanju poslovanja ili identificiranju kontradiktornih informacija kao što su informacije od:
• analitičara ili bonitetnih agencija,
• novina i drugih medija, uključivo društvenih medija,
• poreznih vlasti,
• regulatora,
• sindikata,
• financijera.
Takve financijske informacije mogu se često pribaviti od subjekta revizije.
A80. Mjerenje i pregled financijske uspješnosti nije isto što i monitoring sustava internih kontrola (o čemu se raspravlja kao o komponenti sustava internih kontrola u točkama A114 – A122), iako se njihove svrhe mogu preklapati:
• mjerenje i pregled uspješnosti su usmjereni prema tome postiže li poslovna uspješnost ciljeve koje je postavio menadžment (ili treće strane)
• nasuprot tome, monitoring sustava internih kontrola se bavi praćenjem učinkovitosti kontrola uključujući one koje se odnose na menadžmentovo mjerenje i pregledavanje financijske uspješnosti.
U nekim slučajevima, međutim, pokazatelji uspješnosti također pružaju informacije koje omogućuju menadžmentu identifikaciju nedostataka kontrola.
Razmatranja specifična za subjekte javnog sektora
A81. Povrh razmatranja relevantnih mjera koje koristi subjekt javnog sektora u svrhu procjene financijske uspješnosti subjekta, revizori subjekata javnog sektora mogu također razmotriti nefinancijske informacije kao što su postizanje javnih koristi (na primjer, broj ljudi kojima je pomogao određeni program).
Primjenjivi okvir financijskog izvještavanja (Vidjeti točku 19(b))
Razumijevanje primjenjivog okvira financijskog izvještavanja i računovodstvenih politika subjekta
A82. Pitanja koja revizor može razmotriti pri stjecanju razumijevanja primjenjivog okvira financijskog izvještavanja subjekta i načina na koji se on primjenjuje u kontekstu vrste i okolnosti subjekta i njegovog okruženja uključuju:
• prakse financijskog izvještavanja subjekta u terminima primjenjivog okvira financijskog izvještavanja kao što su:
o računovodstvena načela i prakse koje su specifične za djelatnost uključujući za djelatnost specifične signifikantne klase transakcija, stanja računa i povezane objave u financijskim izvještajima (na primjer, krediti i ulaganja za banke ili istraživanje i razvoj za farmaceutsku industriju),
o priznavanje prihoda,
o računovodstvo financijskih instrumenata uključujući s njima povezane kreditne gubitke,
o imovina, obveze i transakcije u stranoj valuti,
o računovodstvo neuobičajenih ili kompleksnih transakcija uključujući one na kontroverznim ili novonastajućim područjima (na primjer, računovodstvo kriptovaluta).
• razumijevanje subjektovog odabira i primjene računovodstvenih politika uključujući i bilo koje njihove promjene kao i razloge za te promjene mogu obuhvatiti pitanja kao što su:
o metode koje subjekt koristi za priznavanje, mjerenje, prezentiranje i objavu signifikantnih i neuobičajenih transakcija,
o učinak značajnih računovodstvenih politika u kontroverznim ili novonastajućim područjima za koje ne postoje mjerodavne smjernice ili konsenzus,
o promjene u okruženju, kao što su promjene u primjenjivom okviru financijskog izvještavanja ili porezne reforme koje mogu iziskivati promjene u računovodstvenim politikama subjekta,
o standardi financijskog izvještavanja, zakoni i regulative koji su novi za subjekt te kad i kako će te zahtjeve subjekt usvojiti ili se s njima uskladiti.
A83. Stjecanje razumijevanja subjekta i njegovog okruženja može pomoći revizoru pri razmatranju područja na kojima se mogu očekivati promjene u financijskom izvještavanju subjekta (npr. iz ranijih razdoblja).
Primjer: Ako je subjekt proveo značajnu poslovnu kombinaciju tijekom razdoblja, revizor bi vjerojatno očekivao promjene u klasama transakcija, stanjima računa i objavljivanjima povezanim s tom poslovnom kombinacijom. Alternativno, ako nije bilo značajnih promjena u okviru financijskog izvještavanja tijekom razdoblja, revizorovo razumijevanje može pomoći u potvrđivanju da razumijevanje stečeno u prethodnom razdoblju ostaje i nadalje primjenjivo. |
Razmatranja specifična za subjekte javnog sektora
A84. Primjenjivi okvir financijskog izvještavanja za subjekt javnog sektora određen je zakonskim i regulatornim okvirima koji su relevantni za svaku pojedinu jurisdikciju ili unutar svakog zemljopisnog područja. Pitanja koja se mogu razmotriti u subjektovoj primjeni zahtjeva primjenjivog okvira financijskog izvještavanja i načina na koji subjekt primjenjuje te zahtjeve u kontekstu vrste i okolnosti subjekta i njegovog okruženja uključuju pitanje o tome primjenjuje li subjekt računovodstvo na osnovi nastanka događaja u punoj mjeri, računovodstvo na osnovi novčanog toka u skladu s međunarodnim računovodstvenim standardima javnog sektora ili neki hibrid.
Kako čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnom prikazivanju (Vidjeti točku 19(c))
Dodatak 2 sadrži primjere događaja i stanja koja mogu uzrokovati postojanje rizika značajnih pogrešnih prikazivanja, kategorizirane po čimbeniku inherentnog rizika. |
Zašto revizor stječe razumijevanje čimbenika inherentnog rizika kad razumije subjekt i njegovo okruženje te primjenjivi okvir financijskog izvještavanja
A85. Razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja pomaže revizoru kod identificiranja događaja ili stanja čije karakteristike mogu utjecati na podložnost tvrdnji o klasama transakcija, stanjima računa ili objavama pogrešnom prikazivanju. Ove karakteristike su čimbenici inherentnog rizika. Čimbenici inherentnog rizika mogu utjecati na podložnost tvrdnji pogrešnim prikazivanjima time što mogu utjecati na vjerojatnost nastanka pogrešnog prikazivanja ili na veličinu pogrešnog prikazivanja, ako bi ono nastalo. Razumijevanje načina na koji čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnog prikazivanja može pomoći revizoru kod preliminarnog razumijevanja vjerojatnosti ili veličine pogrešnih prikazivanja što pomaže revizoru kod identificiranja rizika značajnih pogrešnih prikazivanja na razini tvrdnje u skladu s točkom 28(b). Razumijevanje stupnja do kojeg čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnom prikazivanju također pomaže revizoru kod procjenjivanja vjerojatnosti i veličine mogućeg pogrešnog prikazivanja kad procjenjuje inherentni rizik u skladu s točkom 31(a). Sukladno tome, razumijevanje čimbenika inherentnog rizika može također pomoći revizoru kod oblikovanja i obavljanja daljnjih revizijskih postupaka u skladu s MRevS-om 330.
A86. Na revizorovu identifikaciju rizika značajnih pogrešnih prikazivanja na razini tvrdnje i procjena inherentnog rizika mogu također utjecati revizijski dokazi koje je revizor pribavio obavljanjem drugih postupaka procjene rizika, daljnjih revizijskih postupaka ili prilikom ispunjavanja drugih zahtjeva navedenih u MRevS-ovima (vidjeti točke A95, A103, A111, A121, A124 i A151).
Učinak čimbenika inherentnog rizika na klasu transakcija, stanje računa ili objavu
A87. Opseg podložnosti pogrešnom prikazivanju klase transakcija, stanja računa ili objave koji proizlaze iz kompleksnosti ili subjektivnosti često je usko povezan s opsegom u kojem je podložan promjeni ili neizvjesnosti.
Primjer: Ako subjekt ima računovodstvenu procjenu koja je utemeljena na pretpostavkama čiji odabir je podložan značajnoj prosudbi, vjerojatno je da će na mjerenje te računovodstvene procjene utjecati i subjektivnost i neizvjesnost. |
A88. Što je veći stupanj do kojeg su klase transakcija, stanje računa ili objava podložni pogrešnom prikazivanju zbog kompleksnosti ili subjektivnosti, to je veća potreba da revizor koristi profesionalni skepticizam. Nadalje, ako su klasa transakcija, stanje računa ili objava podložni pogrešnom prikazivanju zbog kompleksnosti, subjektivnosti, promjene ili neizvjesnosti, ovi čimbenici inherentnog rizika mogu stvoriti priliku za pristranost menadžmenta, bilo nenamjernu ili namjernu, i utjecati na podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti. Na revizorovu identifikaciju rizika značajnih pogrešnih prikazivanja i procjenjivanje inherentnog rizika na razini tvrdnje također utječu međuodnosi između čimbenika inherentnog rizika.
A89. Događaji ili stanja koji mogu utjecati na podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti mogu također utjecati na podložnost pogrešnom prikazivanju zbog ostalih čimbenika rizika prijevare. Sukladno tome, ovo može biti relevantna informacija za korištenje u skladu s točkom 24 MRevS-a 240, koji zahtijeva od revizora da ocijeni ukazuju li informacije pribavljene iz ostalih postupaka procjene rizika i povezanih aktivnosti na prisutnost jednog ili više čimbenika rizika prijevare.
Stjecanje razumijevanja sustava internih kontrola subjekta (Vidjeti točke 21‒27)
Dodatak 3 nadalje opisuje prirodu subjektovog sustava internih kontrola odnosno inherentnih ograničenja internih kontrola. Dodatak 3 također sadrži daljnja objašnjenja komponenata sustava internih kontrola za svrhe MRevS-ova. |
A90. Revizorovo razumijevanje subjektovog sustava internih kontrola stječe se kroz postupke procjene rizika koji se obavljaju radi razumijevanja i ocjenjivanja svake komponente sustava internih kontrola kako je navedeno u točkama 21 to 27.
A91. Komponente subjektovog sustava internih kontrola za svrhe ovog MRevS-a ne moraju nužno odražavati način na koji subjekt oblikuje, implementira i održava svoj sustav internih kontrola ili kako može klasificirati bilo koju pojedinu komponentu. Subjekti mogu koristiti različitu terminologiju ili okvire za opisivanje različitih aspekata sustava internih kontrola. Za svrhe revizije, revizori također mogu koristiti različitu terminologiju ili okvire pod uvjetom da su obrađeni sve komponente opisane u ovom MRevS-u.
Prilagodljivost opsega
A92. Način na koji je oblikovan, implementiran i održavan subjektov sustav internih kontrola varira s veličinom i kompleksnošću subjekta. Na primjer, manje kompleksni subjekti mogu koristiti slabije strukturirane ili jednostavnije kontrole (tj. politike i postupke) radi postizanja njihovih ciljeva.
Razmatranja specifična za subjekte javnog sektora
A93. Revizori subjekata u javnom sektoru često imaju dodatne odgovornosti u odnosu na interne kontrole, na primjer, izvijestiti o pridržavanju ustanovljenog kodeksa prakse ili izvještavanje o trošenju u odnosu na proračun. Revizori subjekata u javnom sektoru mogu također imati odgovornosti izvijestiti o usklađenosti s zakonima, regulativom ili drugim zahtjevima vlasti. Posljedično tome, njihova razmatranja o sustavu internih kontrola mogu biti šira i detaljnija.
Informacijska tehnologija u komponentama sustava internih kontrola subjekta
Dodatak 5 sadrži daljnje smjernice za razumijevanje subjektovog korištenja IT-a u komponentama sustava internih kontrola. |
A94. Ukupni cilj i opseg revizije ne razlikuje se bez obzira djeluje li subjekt uglavnom u ručnom okruženju, potpuno automatiziranom okruženju ili u okruženju koje uključuje neku kombinaciju ručnih i automatiziranih elemenata (tj. ručne i automatizirane kontrole i drugi resursi koji se koriste u sustavu internih kontrola subjekta).
Razumijevanje vrsta komponenata sustava internih kontrola subjekta
A95. U ocjenjivanju učinkovitosti oblikovanja kontrola i toga jesu li one bile implementirane (vidjeti točke A175 do A181) revizorovo razumijevanje svake od komponenti sustava internih kontrola subjekta pruža preliminarno razumijevanje načina na koji subjekt identificira poslovne rizike i kako na njih reagira. Ono također može utjecati na revizorovo identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja na različite načine (vidjeti točku A86). Ovo pomaže revizoru kod oblikovanja i obavljanja daljnjih revizijskih postupaka uključujući bilo koje planove testiranja operativne učinkovitosti kontrola. Na primjer:
• revizorovo razumijevanje subjektovog kontrolnog okruženja, subjektovog procesa procjene rizika i subjektovog procesa monitoringa komponenti kontrola će vjerojatnije utjecati na identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja
• revizorovo razumijevanje subjektovog informacijskog sustava i komunikacije te subjektove komponente kontrolnih aktivnosti će vjerojatnije utjecati na identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
Kontrolno okruženje, subjektov proces procjene rizika i subjektov proces monitoringa sustava internih kontrola (Vidjeti točke 21 – 24)
A96. Kontrole u kontrolnom okruženju, subjektov proces procjene rizika i subjektov proces monitoringa sustava internih kontrola su primarno neizravne kontrole (tj. kontrole koje nisu dovoljno precizne za sprječavanje, otkrivanje ili ispravljanje pogrešnih prikazivanja na razini tvrdnje ali one podržavaju druge kontrole i mogu stoga imati neizravan učinak na vjerojatnost da će pogrešno prikazivanje bili pravovremeno otkriveno ili spriječeno). Međutim, neke kontrole unutar ovih komponenti mogu biti izravne kontrole.
Zašto je revizor obvezan razumjeti kontrolno okruženje, subjektov proces procjene rizika i subjektov proces monitoringa sustava internih kontrola
A97. Kontrolno okruženje pruža ukupni temelj djelovanja drugih komponenti sustava internih kontrola. Kontrolno okruženje ne sprječava izravno ili ne otkriva i ne ispravlja pogrešna prikazivanja. Ono može, međutim, utjecati na učinkovitost kontrola u drugim komponentama sustava internih kontrola. Slično tome, subjektov proces procjene rizika i njegov proces monitoringa sustava internih kontrola su oblikovani kako bi funkcionirali na način koji također podržava cjelokupni sustav internih kontrola.
A98. Budući da su ove komponente temeljne za subjektov sustav internih kontrola, bilo koji nedostatak u njihovom funkcioniranju mogao bi imati prožimajuće učinke na sastavljanje financijskih izvještaja. Stoga, revizorovo razumijevanje i ocjenjivanje ovih komponenti utječe na revizorovu identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja te može također utjecati na identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje. Rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja utječu na revizorovo oblikovanje ukupnih reakcija, uključujući, kako je objašnjeno u MRevS-u 330, utjecaj na vrstu, vremenski raspored i opseg daljnjih revizijskih postupaka.[852](MRevS 330, točke A1–A3.)
Stjecanje razumijevanja kontrolnog okruženja (Vidjeti točku 21)
Prilagodljivost opsega
A99. Vrsta kontrolnog okruženja u manje kompleksnim subjektima vjerojatno će se razlikovati od kontrolnog okruženja u kompleksnijem subjektu. Na primjer, oni koji su zaduženi za upravljanje u manje kompleksnom subjektu neće uključivati neovisnog ili vanjskog člana a ulogu upravljanja može obavljati izravno vlasnik-menadžer gdje nema drugih vlasnika. Sukladno tome, neka razmatranja o subjektovom sustavu internih kontrola mogu biti manje relevantna ili mogu biti neprimjenjiva.
A100. Povrh toga, revizijski dokazi o elementima kontrolnog okruženja u manje kompleksnim subjektima mogu biti nedostupni u obliku dokumentacije, osobito ako je komunikacija između menadžmenta i ostalog osoblja neformalna, ali dokazi ipak mogu biti primjereno relevantni i pouzdani u danim okolnostima.
Primjeri: • Organizacijska struktura u manje kompleksnom subjektu će vjerojatno biti jednostavna i može uključivati mali broj zaposlenih angažiranih u ulogama koje se odnose na financijsko izvještavanje. • Ako ulogu upravljanja obavlja izravno vlasnik-menadžer, revizor može utvrditi da neovisnost onih koji su zaduženi za upravljanje nije relevantna. • Manje kompleksni subjekti možda nemaju pisani kodeks ponašanja ali, umjesto toga, imaju razvijenu kulturu koja naglašava važnost integriteta i etičnog ponašanja kroz usmenu komunikaciju i kroz primjer menadžmenta. Posljedično tome, stavovi, svijest i postupci menadžmenta ili vlasnika-menadžera su od osobite važnosti za revizorovo razumijevanje kontrolnog okruženja u manje kompleksnom subjektu. |
Razumijevanje kontrolnog okruženja (Vidjeti točku 21(a))
A101. Revizijski dokazi za revizorovo razumijevanje kontrolnog okruženja mogu se pribaviti kroz kombinaciju postavljanja upita i drugih postupaka procjene rizika (tj. potkrepljivanje upita promatranjem ili provjeravanjem dokumentacije)
A102. Pri razmatranju opsega do kojeg menadžment pokazuje predanost integritetu i etičkim vrijednostima, revizor može steći razumijevanje putem postavljanja upita menadžmentu i zaposlenima te putem razmatranja informacija iz vanjskih izvora o:
• načinu na koji menadžment komunicira zaposlenima svoje poglede na poslovnu praksu i etično ponašanje; i
• provjeravanjem menadžmentovog pisanog kodeksa ponašanja i promatranjem djeluje li menadžment na način koji odražava taj kodeks.
Ocjenjivanje kontrolnog okruženja (Vidjeti točku 21(b))
Zašto revizor ocjenjuje kontrolno okruženje
A103. Revizorova ocjena o tome pokazuje li subjekt ponašanje dosljedno sa subjektovom predanošću integritetu i etičkim vrijednostima; pruža li kontrolno okruženje primjerenu osnovu za ostale komponente sustava internih kontrola subjekta i umanjuju li identificirani nedostaci kontrola ostale komponente sustava internih kontrola, pomaže revizoru pri identificiranju potencijalnih problema vezanih uz ostale komponente sustava internih kontrola. Navedeno pomaže revizoru jer je kontrolno okruženje temeljno za ostale komponente subjektovog sustava internih kontrola. Ova ocjena može također pomoći revizoru pri razumijevanju rizika s kojima se suočava subjekt te stoga pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja na razinama financijskih izvještaja i tvrdnji (vidi točku A86).
Revizorova ocjena kontrolnog okruženja
A104. Revizorova ocjena kontrolnog okruženja temelji se na razumijevanju stečenom u skladu s točkom 21(a).
A105. U nekim subjektima može dominirati jedna osoba koja može koristiti široka diskrecijska prava. Radnje i stavovi tog pojedinca mogu imati prožimajući učinak na kulturu subjekta što pak može imati prožimajući povratni učinak na kontrolno okruženje. Takav učinak može biti pozitivan ili negativan.
Primjer: Izravno uključivanje jedne osobe može biti ključno za omogućavanje subjektu da ostvari rast i druge ciljeve, i također može značajno doprinijeti učinkovitosti sustava internih kontrola. S druge strane, takva koncentracija znanja i autoriteta može također dovesti do povećane podložnosti pogrešnim prikazivanjima kroz menadžmentovo zaobilaženje kontrola. |
A106. Revizor može razmotriti kako na različite elemente kontrolnog okruženja mogu utjecati filozofija i stil poslovanja višeg menadžmenta vodeći računa o uključenosti neovisnih članova unutar grupe onih koji su zaduženi za upravljanje.
A107. Iako kontrolno okruženje može pružiti primjerenu osnovu za sustav internih kontrola i može pomoći smanjenju rizika prijevare, primjereno kontrolno okruženje nije nužno učinkovito sredstvo odvraćanja od prijevare.
Primjer: Politike i postupci ljudskih resursa koji su usmjereni prema zapošljavanju kompetentnog financijskog, računovodstvenog i IT osoblja mogu ublažiti rizik pogrešaka u obradi i evidentiranju financijskih informacija. Međutim, takve politike i postupci ne mogu ublažiti zaobilaženje kontrola od strane višeg menadžmenta (npr. kako bi se precijenila dobit). |
A108. Revizorova ocjena kontrolnog okruženja u mjeri u kojoj se odnosi na subjektovo korištenje IT-a može uključivati pitanja kao što su:
• je li upravljanje IT-om srazmjerno s vrstom i kompleksnošću subjekta i njegovog poslovanja koje omogućuje IT, uključujući kompleksnost ili zrelost subjektove tehnološke platforme ili arhitekture i opseg do kojeg se subjekt oslanja na IT aplikacije radi podržavanja svog financijskog izvještavanja,
• organizacijska struktura menadžmenta koja se odnosi na IT i dodijeljene resurse (na primjer, je li subjekt investirao u primjereno IT okruženje i nužna poboljšanja ili je li zaposlen dovoljan broj pojedinaca s primjerenim vještinama uključujući i situaciju u kojoj subjekt koristi komercijalni softver (bez ili s ograničenim modifikacijama).
Stjecanje razumijevanja subjektovog procesa procjene rizika (Vidjeti točke 22 – 23)
Razumijevanje subjektovog procesa procjene rizika (Vidjeti točku 22(a))
A109. Kao što je objašnjeno u točki A62, ne uzrokuju svi poslovni rizici rizike značajnih pogrešnih prikazivanja. Kako bi razumio način na koji su menadžment i oni zaduženi za upravljanje identificirali poslovne rizike koji su relevantni za sastavljanje financijskih izvještaja i odlučili o radnjama radi postupanja u vezi s tim rizicima, pitanja koja revizor može razmotriti uključuju jesu li menadžment ili, ako je primjereno, oni zaduženi za upravljanje:
• specificirali subjektove ciljeve s dostatnom preciznošću i jasnoćom kako bi omogućili identifikaciju i procjenjivanje rizika koji se odnose na ciljeve;
• identificirali rizike za postizanje subjektovih ciljeva i analizirali rizike kao osnovu za utvrđivanje načina na koji se upravlja rizicima; i
• razmotrili potencijal za prijevaru pri razmatranju rizika za postizanje subjektovih ciljeva.[853](MRevS 240, točka 19.)
A110. Revizor može razmotriti implikacije takvih poslovnih rizika za sastavljanje financijskih izvještaja subjekta i druge aspekte njegovog sustava internih kontrola.
Ocjenjivanje subjektovog procesa procjene rizika (Vidjeti točku 22(b))
Zašto revizor ocjenjuje primjerenost subjektovog procesa procjene rizika
A111. Revizorova ocjena subjektovog procesa procjene rizika može pomoći revizoru kod razumijevanja područja na kojima je subjekt identificirao rizike koji mogu nastati i kako je subjekt reagirao na te rizike. Revizorova ocjena načina na koji subjekt identificira svoje poslovne rizike i kako on procjenjuje i reagira na te rizike pomaže revizoru kod razumijevanja jesu li rizici s kojima se subjekt suočava identificirani, procijenjeni i razriješeni primjereno vrsti i kompleksnosti subjekta. Ova ocjena može također pomoći revizoru kod identificiranja i procjenjivanja rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja i na razini tvrdnje. (Vidjeti točku A86.)
Ocjenjivanje primjernosti subjektovog procesa procjene rizika (Vidjeti točku 22(b))
A112. Revizorova ocjena primjerenosti subjektovih postupaka procjene rizika temelji se na razumijevanju stečenom u skladu s točkom 22(a).
Prilagodljivost opsega
A113. Pitanje je li subjektov proces procjene rizika primjeren okolnostima subjekta uzimajući u obzir vrstu i kompleksnost subjekta je pitanje revizorove profesionalne prosudbe.
Primjer: Kod manje kompleksnih subjekata, a osobito subjekata kojima upravlja vlasnik – menadžer, primjerena procjena rizika može biti obavljena kroz izravno uključivanje menadžmenta ili vlasnika-menadžera (npr. menadžer ili vlasnik – menadžer može rutinski posvetiti vrijeme praćenju aktivnosti konkurenata i drugim promjenama na tržištu radi identifikacije nastajućih poslovnih rizika. Dokaz da postoji ovakvo procjenjivanje rizika u ovim tipovima subjekata često nije formalno dokumentiran, ali iz rasprava koje revizor vodi s menadžmentom može biti očito da menadžment zaista obavlja postupke procjene rizika. |
Stjecanje razumijevanja subjektovog procesa monitoringa sustava internih kontrola subjekta (Vidjeti točku 24)
Prilagodljivost opsega
A114. U manje kompleksnim subjektima a osobito u subjektima kojima upravlja vlasnik – menadžer, revizorovo razumijevanje subjektovog procesa monitoring sustava internih kontrola je često usredotočeno na način na koji je menadžment ili vlasnik – menadžer izravno uključen u poslovanje jer je moguće da nema drugih monitoring aktivnosti.
Primjer: Menadžment može primati žalbe kupaca o netočnostima u njihovom mjesečnom izvještaju što upozorava vlasnika-menadžera na probleme s pravovremenim priznavanjem plaćanja kupaca u računovodstvenim evidencijama. |
A115. Za subjekte kod kojih ne postoji formalni proces monitoringa sustava internih kontrola razumijevanje procesa monitoringa sustava internih kontrola može uključivati razumijevanje periodičkih pregleda informacija upravljačkog računovodstva koje su oblikovane s ciljem da doprinesu načinu na koji subjekt sprječava ili otkriva pogrešna prikazivanja.
Razumijevanje subjektovog procesa monitoringa sustava internih kontrola (Vidjeti točku 24(a))
A116. Pitanja koja mogu biti relevantna za razmatranje od strane revizora u sklopu razumijevanja načina na koji subjekt obavlja monitoring svojeg sustava internih kontrola uključuju:
• oblikovanje monitoring aktivnosti, na primjer, jesu li one periodičke ili kontinuirane,
• obavljanje i učestalost monitoring aktivnosti,
• pravodobno ocjenjivanje rezultata monitoring aktivnosti radi utvrđivanja jesu li kontrole bili učinkovite, i
• način na koji se postupa s identificiranim nedostacima putem primjerenih korektivnih radnji, uključujući pravodobno komuniciranje takvih nedostataka onima koji su odgovorni za poduzimanje korektivnih radnji.
A117. Revizor također može razmotriti kako subjektov proces monitoringa sustava internih kontrola postupa s monitoringom kontrola obrade informacija koje uključuju korištenje IT-a. Ovo može uključivati, na primjer:
• kontrole radi praćenja kompleksnih IT okruženja koje:
o ocjenjuju kontinuiranu učinkovitost oblikovanja kontrola obrade informacija i modificiraju ih, kako je primjereno, zbog promjena uvjeta; ili
o ocjenjuju operativnu učinkovitost kontrola obrade informacija.
• kontrole koje nadziru dopuštenja primijenjena kod automatiziranih kontrola obrade informacija koje provode segregaciju dužnosti.
• kontrole koje nadziru kako se identificiraju i razrješavaju pogreške ili nedostaci kontrola koji se odnose na automatizaciju financijskog izvještavanja.
Razumijevanje subjektove funkcije interne revizije (Vidjeti točku 24(a)(ii))
Dodatak 4 sadrži daljnja razmatranja za razumijevanje subjektove funkcije interne revizije. |
A118. Revizorovo postavljanje upita odgovarajućim pojedincima unutar funkcije interne revizije pomaže revizoru pri stjecanju razumijevanja vrsta odgovornosti funkcije interne revizije. Ako revizor utvrdi da su odgovornosti funkcije povezane s financijskim izvještavanjem, revizor može steći daljnje razumijevanje o aktivnostima koje su obavljene ili će se obaviti od strane funkcije interne revizije pregledom plana funkcije interne revizije za to razdoblje, ako postoji, i raspravljanjem o tom planu s odgovarajućim pojedincima unutar funkcije. Ovo razumijevanje zajedno s informacijama pribavljenim putem revizorovih upita može također pružiti informacije koje su izravno relevantne za revizorovu identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Ako revizor, na temelju njegovog preliminarnog razumijevanja funkcije interne revizije, očekuje koristiti rad funkcije interne revizije radi modificiranja vrste, vremenskog rasporeda ili smanjenje opsega revizijskih postupaka koji se moraju obaviti, primjenjuje se MRevS 610 (izmijenjen 2013.)[854](MRevS 610 (izmijenjen 2013.), Korištenje radom internih revizora)
Ostali izvori informacija koji su korišteni u subjektovom procesu monitoringa sustava internih kontrola
Razumijevanje izvora informacija (Vidjeti točku 24(b))
A119. Monitoring aktivnosti menadžmenta mogu koristiti informacije iz komunikacija s vanjskim stranama kao što su žalbe kupaca ili komentari regulatora, koje mogu ukazivati na probleme ili naznačiti područja na kojima postoji potreba za poboljšanjem.
Zašto je revizor dužan razumjeti izvore informacija korištenih za subjektov monitoring sustava internih kontrola
A120. Revizorovo razumijevanje izvora informacija koje koristi subjekt za monitoring subjektovog sustava internih kontrola, uključujući jesu li informacije relevantne i pouzdane, pomaže revizoru pri ocjenjivanju primjerenosti subjektovog procesa monitoringa sustava internih kontrola. Ako menadžment pretpostavlja da su informacije korištene za monitoring relevantne i pouzdane bez da ima osnovu za takvu pretpostavku, pogreške koje mogu postojati u informacijama mogle bi potencijalno dovesti menadžment do toga da iz svojih monitoring aktivnosti izvuče pogrešan zaključak.
Ocjenjivanje subjektovog procesa monitoringa sustava internih kontrola (Vidjeti točku 24(c))
Zašto revizor ocjenjuje primjerenost subjektovog procesa monitoringa sustava internih kontrola
A121. Revizorovo ocjenjivanje načina na koji subjekt provodi trajne i zasebne ocjene radi monitoringa učinkovitosti kontrola pomaže revizoru pri razumijevanju pitanja jesu li prisutne i funkcioniraju li ostale komponentne subjektovog sustava internih kontrola te stoga pomaže pri razumijevanju ostalih komponenti subjektovog sustava internih kontrola. Ova ocjena stoga pomaže pri razumijevanju ostalih komponenti subjektovog sustava internih kontrola. Ova ocjena može također pomoći revizoru pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja i na razini tvrdnji (vidjeti točku A86).
Ocjenjivanje je li subjektov proces monitoringa sustava internih kontrola primjeren (Vidjeti točku 24(c))
A122. Revizorovo ocjenjivanje primjerenosti subjektovog monitoringa sustava internih kontrola temelji se na revizorovom razumijevanju subjektovog procesa monitoringa sustava internih kontrola.
Informacijski sustav i komunikacija te kontrolne aktivnosti (Vidjeti točke 25‒26)
A123. Kontrole u informacijskom sustavu i komuniciranju te komponente kontrolnih aktivnosti su primarno otkrivajuće kontrole (tj. kontrole koje su dostatno precizne za sprječavanje, otkrivanje i ispravljanje pogrešnih prikazivanja na razini tvrdnji).
Zašto je revizor dužan razumjeti informacijski sustav i komuniciranje te kontrole u komponenti kontrolnih aktivnosti
A124. Revizor je dužan razumjeti subjektov informacijski sustav i komuniciranje jer razumijevanje subjektovih politika koje definiraju tokove transakcija i ostale aspekte subjektovih aktivnosti obrade informacija koje su relevantne za sastavljanje financijskih izvještaja i ocjenjivanje pitanja podržava li komponenta primjereno sastavljanje subjektovih financijskih izvještaja, podržava revizorovo identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje. Ovo razumijevanje i ocjena mogu također rezultirati identifikacijom rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja kad su rezultati revizorovih postupaka nedosljedni s očekivanjima o subjektovom sustavu internih kontrola nastalih na temelju informacija dobivenih tijekom procesa prihvaćanja ili nastavljanja angažmana (vidjeti točku A86).
A125. Revizor je dužan identificirati specifične kontrole u komponenti kontrolnih aktivnosti i ocijeniti oblikovanje te utvrditi jesu li kontrole implementirane, budući da to pomaže revizorovom razumijevanju menadžmentovog pristupa razrješavanju određenih rizika te stoga pruža temelj za oblikovanje i obavljanje daljnjih revizijskih postupaka koji reagiraju na ove rizike kako to zahtijeva MRevS 330. Što se rizik ocjenjuje višim u spektru inherentnog rizika to uvjerljiviji trebaju biti revizijski dokazi. Čak ako revizor ne planira testirati operativnu učinkovitost identificiranih kontrola, revizorovo razumijevanje ipak može utjecati na oblikovanje, vrstu, vremenski raspored i opseg dokaznih revizijskih postupaka koji reagiraju na povezane rizike značajnih pogrešnih prikazivanja.
Iterativna priroda revizorovog razumijevanja i ocjenjivanja informacijskog sustava i komuniciranja te kontrolnih aktivnosti
A126. Kao što je objašnjeno u točki A49, revizorovo razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja može pomoći revizoru pri razvijanju početnih očekivanja o klasama transakcija, stanjima računa ili objavljivanjima koje mogu biti signifikantne klase transakcija, stanja računa i objavljivanja. U stjecanju razumijevanja komponente informacijskog sustava i komunikacije u skladu s točkom 25(a), revizor može koristiti ova početna očekivanja u svrhu utvrđivanja opsega razumijevanja subjektovih aktivnosti obrade informacija koji treba steći.
A127. Revizorovo razumijevanje informacijskog sustava uključuje razumijevanje politika koje definiraju tokove informacija povezanih sa subjektovim signifikantnim klasama transakcija, stanjima računa i objavljivanjima te ostalim povezanim aspektima subjektovih aktivnosti obrade informacija. Ova informacija i informacije dobivene iz revizorove ocjene informacijskog sustava mogu potvrditi ili dalje utjecati na revizorova očekivanja o početno identificiranim signifikantnim klasama transakcija, stanjima računa ili objavljivanjima (vidjeti točku A126).
A128. Pri stjecanju razumijevanja načina na koji informacije povezane s signifikantnim klasama transakcija, stanjima računa i objavljivanjima ulaze, prolaze i izlaze iz subjektovog informacijskog sustava, revizor može također identificirati kontrole u komponenti kontrolnih aktivnosti koje moraju biti identificirane u skladu s točkom 26(a). Revizorova identifikacija i ocjena kontrola u komponenti kontrolnih aktivnosti može se najprije usredotočiti na kontrole nad knjiženjima u dnevnik i kontrole čiju operativnu učinkovitost revizor planira testirati radi oblikovanja vrsta, vremenskog rasporeda i opsega dokaznih postupaka.
A129. Revizorova procjena inherentnog rizika može također utjecati na identifikaciju kontrola u komponenti kontrolnih aktivnosti. Na primjer, revizorova identifikacija kontrola povezanih s značajnim rizicima može se obaviti tek kad revizor procijeni inherentni rizik na razini tvrdnje u skladu s točkom 31. Nadalje, kontrole koje reagiraju na rizike za koje je revizor utvrdio da dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze (u skladu točkom 33) mogu se također identificirati tek nakon što revizor obavi procjene inherentnog rizika.
A130. Na revizorovo identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje utječu i revizorovo:
• razumijevanje subjektovih politika povezanih s njegovim aktivnostima obrade informacija u komponenti informacijskog sustava i komuniciranja, i
• identificiranje i ocjenjivanje kontrola u komponenti kontrolnih aktivnosti.
Stjecanje razumijevanja informacijskog sustava i komuniciranja (Vidjeti točku 25)
Prilagodljivost opsega
A131. Informacijski sustav i povezani poslovni procesi u manje kompleksnim subjektima vjerojatno su manje sofisticirani nego u većim subjektima i vjerojatno uključuju manje kompleksno IT okruženje. Međutim, uloga informacijskog sustava jednako je važna. Manje kompleksni subjekti s izravno uključenim menadžmentom možda neće trebati opširne opise računovodstvenih postupaka, sofisticiranih računovodstvenih evidencija ili pisane politike. Razumijevanje relevantnih aspekata subjektovog informacijskog sustava može stoga zahtijevati manje napora u reviziji manje kompleksnog subjekta i može uključivati veći opseg postavljanja upita nego promatranja ili provjere dokumentacije. Međutim, potreba za stjecanjem razumijevanja ostaje važna kako bi se dobila osnova za oblikovanje daljnjih revizijskih postupaka u skladu s MRevS-om 330 te može dalje pomoći revizoru pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja. (Vidjeti točku A86.)
Stjecanje razumijevanja informacijskog sustava (Vidjeti točku 25(a))
A132. U subjektov sustav internih kontrola uključeni su aspekti koji su povezani s subjektovim ciljevima izvještavanja, uključujući njegove ciljeve financijskog izvještavanja ali mogu također uključivati aspekte koji su povezani s njegovim poslovanjem ili ciljevima usklađenosti kad su takvi aspekti relevantni za financijsko izvještavanje. Razumijevanje načina na koji subjekt inicira transakcije i obuhvaća informacije kao dio revizorovog razumijevanja informacijskog sustava može uključivati informacije o subjektovim sustavima (njegovim politikama) koji su oblikovani za postizanje cilja usklađenosti i poslovnih ciljeva jer su takve informacije relevantne za sastavljanje financijskih izvještaja. Nadalje, neki subjekti mogu imati informacijske sustave koji su visoko integrirani tako da se kontrole mogu oblikovati na način da se istovremeno postignu ciljevi financijskog izvještavanja, usklađenosti i poslovni ciljevi te kombinacije tih ciljeva.
A133. Razumijevanje subjektovog informacijskog sustava također uključuje razumijevanje resursa koji se koriste u aktivnostima subjektove obrade informacija. Informacije o uključenim ljudskim resursima koje mogu biti relevantne za razumijevanje rizika koji se odnose na integritet informacijskog sustava uključuju:
• kompetentnost pojedinaca koji obavljaju posao;
• postoje li adekvatni resursi; i
• postoji li primjerena segregacija dužnosti.
Dodatak 3, točke 15 – 19, navode daljnja razmatranja povezana s informacijskim sustavom i komuniciranjem. |
A134. Pitanja koja revizor može razmotriti pri razumijevanju politika koje definiraju tokove informacija povezanih sa subjektovim signifikantnim klasama transakcija, stanjima računa i objavljivanjima u komponenti informacijskog sustava i komponenti komuniciranja uključuju prirodu:
(a) podataka ili informacija povezanih s transakcijama, drugim događajima ili uvjetima koji će se obraditi;
(b) obrade informacija radi očuvanja integriteta tih podataka ili informacija; i
(c) informacijskih procesa, osoblja i ostalih resursa korištenih u procesu obrade informacija.
A135. Stjecanje razumijevanja subjektovih poslovnih procesa, što uključuje način na koji su transakcije nastale, pomaže revizoru pri stjecanju razumijevanja subjektovog informacijskog sustava na način koji je primjeren okolnostima.
A136. Revizorovo razumijevanje informacijskog sustava može se steći na različite načine i može uključivati:
• postavljanje upita relevantnom osoblju o postupcima koji se koriste za iniciranje, evidentiranje, obradu i izvještavanje o transakcijama ili o subjektovom procesu financijskog izvještavanja;
• provjeravanje priručnika o politici ili procesu ili drugoj dokumentaciji o subjektovom informacijskom sustavu;
• promatranje realizacije politika ili postupaka od strane osoblja subjekta; ili
• odabiranje transakcija i njihovo praćenje kroz primjenjivi proces u informacijskom sustavu (tj. provedba »walk-through« postupka).
Automatizirani alati i tehnike
A137. Revizor također može koristiti automatizirane tehnike kako bi dobio izravni pristup bazama podataka ili digitalno preuzimao podatke iz baza podataka u subjektovom informacijskom sustavu koje pohranjuju računovodstvene evidencije transakcija. Primjenom automatiziranih alata ili tehnika na ove informacije revizor može potvrditi razumijevanje stečeno o tome kako transakcije protječu kroz informacijski sustav putem praćenja knjiženja u dnevniku ili drugim digitalnim evidencijama povezanim s određenom transakcijom ili čitavom populacijom transakcija od inicijacije u računovodstvenoj evidenciji sve do knjiženja u glavnoj knjizi. Analiza potpunih ili velikih skupova transakcija može rezultirati u identificiranju odstupanja od normalnih ili očekivanih postupaka obrade za takve transakcije što može rezultirati identificiranjem rizika značajnih pogrešnih prikazivanja.
Informacije dobivene izvan glavne i pomoćnih knjiga
A138. Financijski izvještaji mogu sadržavati informacije koje su dobivene iz izvora izvan glavne i pomoćnih knjiga. Primjeri takvih informacija koje revizor može razmotriti uključuju:
• informacije dobivene iz ugovora o najmu koje su relevantne za objavljivanja u financijskim izvještajima,
• informacije objavljene u financijskim izvještajima koje su proizašle iz subjektovog sustava za upravljanje rizicima,
• informacije o fer vrijednostima koje su sastavili menadžmentovi stručnjaci i koje su objavljene u financijskim izvještajima,
• informacije objavljene u financijskim izvještajima koje su dobivene pomoću modela ili pomoću drugih kalkulacija korištenih za razvijanje računovodstvenih procjena priznatih ili objavljenih u financijskim izvještajima uključujući informacije povezane s osnovnim podacima i pretpostavkama korištenim u ovim modelima, kao što su:
o interno razvijene pretpostavke koje mogu utjecati na korisni vijek predmeta imovine, ili
o podaci kao što su kamatne stope na koje utječu čimbenici izvan kontrole subjekta.
• informacije objavljene u financijskim izvještajima o analizi osjetljivosti koje su izvedene iz financijskih modela a koje pokazuju da je menadžment razmatrao alternativne pretpostavke,
• informacije koje su priznate ili objavljene u financijskim izvještajima a koje su dobivene iz subjektovih poreznih prijava i evidencija,
• informacije koje su objavljene u financijskim izvještajima dobivene iz analiza pripremljenih u svrhu potkrepljivanja menadžmentove procjene subjektove sposobnosti nastavljanja vremenski neograničenog poslovanja, kao što su objave, ako ih ima, povezane s događajima ili uvjetima koji su identificirani kao oni koji mogu stvoriti značajnu sumnju u subjektovu sposobnost nastavljanja vremenski neograničenog poslovanja.[855](MRevS 570 (izmijenjen), točke 19‒20.)
A139. Određeni iznosi ili objave u subjektovim financijskim izvještajima (kao što su objave o kreditnom riziku, riziku likvidnosti i tržišnom riziku) mogu biti utemeljene na informacijama dobivenim iz sustava upravljanja rizicima. Međutim, revizor nije dužan razumjeti sve aspekte sustava upravljanja rizicima i koristi profesionalnu prosudbu pri određivanju razine nužnog razumijevanja.
Subjektovo korištenje informacijske tehnologije u informacijskom sustavu
Zašto revizor stječe razumijevanje IT okruženja relevantnog za informacijski sustav
A140. Revizorovo razumijevanje informacijskog sustava uključuje IT okruženje koje relevantno za tokove transakcija ili obradu informacija u subjektovom informacijskom sustavu jer subjektovo korištenje IT aplikacija ili drugih aspekata u IT okruženju može prouzročiti rizike koji proizlaze iz korištenja IT-a.
A141. Razumijevanje subjektovog poslovnog modela i načina na koji subjekt integrira korištenje IT-a može također pružiti koristan kontekst za vrstu i opseg IT-a koji se očekuju u informacijskom sustavu.
Razumijevanje subjektovog korištenja IT-a
A142. Revizorovo razumijevanje IT okruženja može se usredotočiti na identificiranje i razumijevanje vrste i broja specifičnih IT aplikacija i drugih aspekata IT okruženja relevantnih za tokove transakcija i obradu informacija unutar informacijskog sustava. Promjene u toku transakcija ili informacije unutar informacijskog sustava mogu rezultirati iz promjena programa IT aplikacija ili izravnih promjena podataka u bazama podataka uključenih u obradu, ili same pohrane tih transakcija i informacija.
A143. Revizor može identificirati IT aplikacije i podržavajuću IT infrastrukturu istodobno s razumijevanjem načina na koji informacije povezane sa signifikantnim klasama transakcija, stanjima računa i objavljivanjima ulaze, prolaze i izlaze iz subjektovog informacijskog sustava.
Stjecanje razumijevanja subjektovog komuniciranja (Vidjeti točku 25(b))
Prilagodljivost opsega
A144. U većim, kompleksnijim subjektima informacije koje revizor može razmotriti za razumijevanje subjektovog komuniciranja mogu doći iz priručnika za politike i priručnika za financijsko izvještavanje.
A145. U manje kompleksnim subjektima komuniciranje može biti manje strukturirano (tj. formalni priručnici se možda ne koriste) zbog manjeg broja razina odgovornosti i veće vidljivosti i raspoloživosti. Bez obzira na veličinu subjekta, otvoreni kanali za komuniciranje olakšavaju izvještavanje o iznimkama i postupanje s njima.
Ocjenjivanje pitanja podržavaju li relevantni aspekti informacijskog sustava sastavljanje subjektovih financijskih izvještaja (Vidjeti točku 25(c))
A146. Revizorova ocjena pitanja podržavaju li subjektov informacijski sustav i komuniciranje na primjeren način pripremanje financijskih izvještaja temelji se na razumijevanju stečenom prema točkama 25(a)‒(b).
Kontrolne aktivnosti (Vidjeti točku 26)
Kontrole u komponenti kontrolnih aktivnosti
Dodatak 3, točke 20 i 21 sadrže daljnja razmatranja koja se odnose na kontrolne aktivnosti. |
A147. Komponenta kontrolnih aktivnosti uključuje kontrole koje su oblikovane kako bi osigurale pravilnu primjenu politika (koje su također i kontrole) u svim ostalim komponentama subjektovog sustava internih kontrola te uključuje i izravne i neizravne kontrole.
Primjer: Kontrole koje je subjekt uspostavio kako bi osigurao da njegovo osoblje ispravno broji i evidentira godišnju fizičku inventuru povezane su izravno s rizicima značajnih pogrešnih prikazivanja koji su relevantni za tvrdnje postojanja i potpunosti za stanje računa zaliha. |
A148. Revizorovo identificiranje i ocjenjivanje kontrola u komponenti kontrolnih aktivnosti usredotočeno je na kontrole obrade informacija, a to su kontrole koje se primjenjuju tijekom obrade informacija u subjektovom informacijskom sustavu a izravno postupaju s rizicima integriteta informacija (tj. potpunošću, točnošću i valjanošću transakcija i ostalih informacija). Međutim, revizor nije dužan identificirati i procijeniti sve kontrole nad obradom informacija koje se odnose na subjektove politike a koje definiraju tokove transakcija i ostale aspekte subjektovih aktivnosti obrade informacija za signifikantne klase transakcija, stanja računa ili objavljivanja.
A149. Također mogu postojati izravne kontrole u kontrolnom okruženju, subjektov proces procjene rizika ili subjektov proces monitoringa sustava internih kontrola koji mogu biti identificirani u skladu s točkom 26. Međutim, što je neizravniji odnos između kontrola koje podržavaju druge kontrole i kontrole koja se razmatra, manja može biti učinkovitost te kontrole u sprječavanju, otkrivanju i ispravljanju povezanih pogrešnih prikazivanja.
Primjer: Menadžerov pregled sumarnog izvještaja o prodajnim aktivnostima za pojedina prodajna mjesta po regiji obično je samo neizravno povezan s rizicima značajnih pogrešnih prikazivanja koji su relevantni za tvrdnju o potpunosti prihoda od prodaje. Sukladno tome, ta kontrola je možda manje učinkovita za razrješavanja tih rizika od kontrola koje su izravnije povezane s njima kao što je uparivanje dokumenata o otpremi s izlaznim računima. |
A150. Točka 26 također zahtijeva od revizora obavljanje identifikacije ili ocjenjivanja općih IT kontrola za IT aplikacije i druge aspekte IT okruženja koje je revizor utvrdio kao podložne rizicima koji proizlaze iz korištenja IT-a jer opće IT kontrole podržavaju kontinuirano učinkovito funkcioniranje kontrola obrade informacija. Opća IT kontrola sama za sebe uobičajeno nije dostatna za razrješavanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
A151. Kontrole koje je revizor u skladu s točkom 26 dužan identificirati i ocijeniti njihovo oblikovanje i utvrditi jesu li implementirane, su one:
• kontrole čiju operativnu učinkovitost revizor planira testirati za utvrđivanje vrste, vremenskog rasporeda i opsega dokaznih postupaka. Ocjenjivanje takvih kontrola pruža osnovu za revizorovo oblikovanje postupaka testiranja kontrole u skladu s MRevS-om 330. Ove kontrole također uključuju kontrole koje razrješavaju rizike za koje sami dokazni postupci ne pružaju dostatne i primjerene revizijske dokaze.
• kontrole koje uključuju kontrole koje razrješavaju značajne rizike i kontrole nad dnevničkim knjiženjima. Revizorovo identificiranje i ocjenjivanje takvih kontrola može također utjecati na revizorovo razumijevanje rizika značajnih pogrešnih prikazivanja uključujući identificiranje dodatnih rizika značajnih pogrešnih prikazivanja (vidjeti točku A95). Ovo razumijevanje također pruža osnovu za revizorovo oblikovanje vrsta, vremenskog rasporeda i opsega dokaznih revizijskih postupaka koji reagiraju na povezane procijenjene rizike značajnih pogrešnih prikazivanja.
• druge kontrole koje revizor smatra primjerenima da mu omoguće postizanje ciljeva iz točke 13 u odnosu na rizike na razini tvrdnje a na temelju revizorove profesionalne prosudbe.
A152. Kontrole u komponenti kontrolnih aktivnosti moraju se identificirati ako takve kontrole zadovoljavaju jedan ili više kriterija koji su uključeni u točku 26(a). Međutim, ako svaka od višestrukih kontrola postiže isti cilj, nije potrebno identificirani svaku od kontrola koje su povezane s tim ciljem.
Vrste kontrola u komponenti kontrolnih aktivnosti (Vidjeti točku 26)
A153. Primjeri kontrola u komponenti kontrolnih aktivnosti uključuju autorizaciju i odobrenja, usklađivanja, verifikacije (kao što su provjere uređivanja i valjanosti ili automatizirani obračuni), segregaciju dužnosti, te fizičke i logičke kontrole uključujući one koje su povezane s čuvanjem imovine.
A154. Kontrole u komponenti kontrolnih aktivnosti mogu također uključivati kontrole koje je uspostavio menadžment a koje su povezane s rizicima značajnih pogrešnih prikazivanja u odnosu na objavljivanja koja nisu pripremljena u skladu s primjenjivim okvirom financijskog izvještavanja. Takve kontrole mogu se odnositi na informacije uključene u financijske izvještaja a koje su dobivene izvan glavne i pomoćnih knjiga.
A155. Bez obzira jesu ili kontrole unutar IT okruženja ili ručnih sustava, kontrole mogu imati različite ciljeve i mogu biti primijenjene na različitim organizacijskim i funkcionalnim razinama.
Prilagodljivost opsega (Vidjeti točku 26)
A156. Kontrole u komponenti kontrolnih aktivnosti za manje kompleksne subjekte su vjerojatno slične onima u većim subjektima, ali formalnost kod njihove primjene može varirati. Nadalje, u manje kompleksnim subjektima, više kontrola može biti izravno primijenjeno od strane menadžmenta.
Primjer: Isključivo ovlaštenje menadžmenta za odobravanje kredita kupcima može pružiti jaku kontrolu nad važnim stanjima računa i transakcijama. |
A157. Možda je manje izvedivo uspostaviti segregaciju dužnosti u manje kompleksnim subjektima koji imaju manje zaposlenih. Međutim, u subjektu kojim upravlja vlasnik, vlasnik-menadžer može biti u mogućnosti obavljati učinkovitiji nadzor kroz izravno uključivanje nego u većem subjektu što može kompenzirati općenito veću ograničenost mogućnosti segregacije dužnosti. Iako, kako je također objašnjeno u MRevS-u 240, dominiranje menadžmentom od strane pojedinca može potencijalno biti nedostatak kontrole budući da postoji mogućnost za menadžmentovo zaobilaženje kontrola.[856](MRevS 240, točka A28.)
Kontrole koje reagiraju na rizike značajnih pogrešnih prikazivanja na razini tvrdnje (Vidjeti točku 26(a))
Kontrole koje reagiraju na rizik koji je utvrđen kao značajni rizik (Vidjeti točku 26(a)(i))
A158. Bez obzira na to planira li revizor testirati operativnu učinkovitost kontrola koje rješavanju značajne rizike, stečeno razumijevanje o menadžmentovom pristupu rješavanju tih rizika može pružiti osnovu za oblikovanje i obavljanje dokaznih postupaka koji reagiraju na značajne rizike kao što zahtijeva MRevS 330.[857](MRevS 330, točka 21.) Iako je često manje vjerojatno da bi rizici povezani s značajnim nerutinskim ili prosudbenim pitanjima podlijegali rutinskim kontrolama, menadžment može imati druga rješenja koja su namijenjena postupanju s takvim rizicima. Sukladno tome, revizorovo razumijevanje pitanja je li subjekt oblikovao i implementirao kontrole za značajne rizike koji proizlaze iz nerutinskih ili prosudbenih pitanja može uključivati pitanje je li i kako je menadžment reagirao na takve rizike. Takva reagiranja mogu uključivati:
• kontrole kao što je pregled pretpostavki od strane višeg menadžmenta ili stručnjaka,
• dokumentirani proces za računovodstvene procjene,
• odobrenje onih koji su zaduženi za upravljanje.
Primjer: Ako postoje jednokratni događaji kao što je primitak obavijesti o značajnoj sudskoj tužbi, razmatranje subjektovog reagiranja može uključivati takva pitanja kao što su: je li predmet upućen primjerenim stručnjacima (kao što su interni ili eksterni pravni savjetnik), je li učinjena procjena potencijalnog učinka i kakav je prijedlog za objavljivanje ovih okolnosti u financijskim izvještajima. |
A159. MRevS 240[858](MRevS 240, točke 28 i A33.) zahtijeva od revizora razumijevanje kontrola povezanih s procijenjenim rizicima značajnih pogrešnih prikazivanja zbog prijevare (koje su tretirane kao značajni rizici) i dalje objašnjava kako je važno da revizor stekne razumijevanje kontrola koje je menadžment oblikovao, implementirao i koje održava radi sprječavanja i otkrivanja prijevare.
Kontrole nad knjiženjima u dnevnik (Vidjeti točku 26(a)(ii))
A160. Kontrole koje rješavaju rizike značajnih pogrešnih prikazivanja na razini tvrdnje a čije se identificiranje očekuje u svim revizijama su kontrole nad dnevničkim knjiženjima jer način na koji subjekt inkorporira informacije iz obrade transakcija u glavnu knjigu redovito uključuje korištenje dnevničkih knjiženja bilo standardnih ili nestandardnih, odnosno automatiziranih ili ručnih. Opseg do kojeg su identificirane druge kontrole može varirati na temelju prirode subjekta i revizorovog planiranog pristupa daljnjim revizijskim postupcima.
Primjer: U reviziji manje kompleksnog subjekta, subjektov informacijski sustav možda nije kompleksan i revizor možda neće planirati oslanjanje na operativnu učinkovitost kontrola. Nadalje, revizor možda nije identificirao nikakve značajne rizike ili druge rizike značajnih pogrešnih prikazivanja za koje je nužno da revizor ocijeni oblikovanje kontrola i utvrdi da su one implementirane. U takvoj reviziji revizor može utvrditi da ne postoje identificirane kontrole nad knjiženjima u dnevnik. |
Automatizirani alati i tehnike
A161. U sustavima ručnih glavnih knjiga nestandardna knjiženja u dnevnik mogu se identificirati kroz provjeravanje poslovnih knjiga, dnevnika i pripadajuće dokumentacije. Ako se automatizirani postupci koriste radi održavanja glavne knjige i sastavljanja financijskih izvještaja takva knjiženja mogu postojati samo u elektroničkom obliku i stoga se mogu lakše identificirati korištenjem automatiziranih tehnika.
Primjer: U reviziji manje kompleksnog subjekta, revizor može biti u stanju povući ukupan popis svih knjiženja u dnevnik u jednostavnu tablicu. U tom slučaju revizoru može biti moguće sortirati dnevnička knjiženja primjenom različitih filtera kao što su iznos valute, ime sastavljača ili kontrolora, dnevnička knjiženja koja se zbrajaju samo u bilancu ili račun dobiti i gubitka ili pregled popisa po datumu na koji je dnevničko knjiženje uneseno u glavnu knjigu kako bi se revizoru pomoglo pri oblikovanju reagiranja na rizike koji su identificirani u odnosu na dnevnička knjiženja. |
Kontrole za koje revizor planira testirati operativnu učinkovitost (Vidjeti točku 26(a)(iii))
A162. Revizor utvrđuje postoje li rizici značajnih pogrešnih prikazivanja na razini tvrdnje za koje nije moguće pribaviti dostatne i primjerene revizijske dokaze samo kroz dokazne postupke. Revizor je dužan, u skladu s MRevS-om 330,[859](MRevS 330, točka 8(b).) oblikovati i obaviti testove kontrola koje se odnose na one rizike značajnih pogrešnih prikazivanja za koje sami dokazni postupci ne pružaju dostatne i primjerene revizijske dokaze. Posljedično tome, ako postoje takve kontrole koje rješavaju te rizike, onda one moraju biti identificirane i procijenjene.
A163. U drugim slučajevima, ako revizor planira uzeti u obzir operativnu učinkovitost kontrola pri utvrđivanju vrste, vremenskog rasporeda i opsega dokaznih postupaka u skladu s MRevS-om 330, takve kontrole također moraju biti identificirane jer MRevS 330[860](MRevS 330, točka 8(a).) zahtijeva da revizor oblikuje i obavi testove tih kontrola.
Primjeri: Revizor može planirati testiranje operativne učinkovitosti kontrola: • nad rutinskim klasama transakcija jer takvo testiranje može biti efektivnije ili efikasnije za velike količine homogenih transakcija, • nad potpunošću i točnošću informacija koje stvara subjekt (npr. kontrole nad pripremom izvještaja koji generira sustav), radi utvrđivanja pouzdanosti takvih informacija, kad revizor namjerava uzeti u obzir operativnu učinkovitost ovih kontrola u oblikovanju i obavljanju daljnjih revizijskih postupaka, • koje se odnose na operativne ciljeve i ciljeve usklađenosti ako se odnose na podatke koje revizor procjenjuje ili koristi u primjeni revizijskih postupaka. |
A164. Na planove revizora da testira operativnu učinkovitost kontrola mogu također utjecati identificirani rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja. Na primjer, ako su identificirani nedostaci koji se odnose na kontrolno okruženje, tada to može utjecati na ukupna revizorova očekivanja o operativnoj učinkovitosti izravnih kontrola.
Ostale kontrole koje revizor smatra primjerenima (Vidjeti točku 26(a)(iv))
A165. Ostale kontrole koje revizor može smatrati primjerenima za identifikaciju, ocjenjivanje oblikovanja i utvrđivanje implementacije mogu uključivati:
• kontrole koje rješavaju rizike ocijenjene višima u spektru inherentnog rizika ali koji nisu utvrđeni kao značajni rizici;
• kontrole koje se odnose na usklađivanje analitičkih evidencija s glavnom knjigom; ili
• komplementarne kontrole subjekta korisnika, ako koristi servisnu organizaciju.[861](MRevS 402, Revizijska razmatranja koja se odnose na subjekt koji koristi servisnu organizaciju)
Identificiranje IT aplikacija i ostalih aspekata IT okruženja, rizika koji proizlaze iz korištenja IT-a i općih IT kontrola (Vidjeti točke 26(b)‒(c))
Dodatak 5 uključuje kao primjer karakteristike IT aplikacija i druge aspekte IT okruženja i smjernice koje se odnose na te karakteristike, a koje mogu biti relevantne pri identificiranju IT aplikacija i drugih aspekata IT okruženja koji su podložni rizicima koji proizlaze iz korištenja IT-a. |
Identificiranje IT aplikacija i ostalih aspekata IT okruženja (Vidjeti točku 26(b))
Zašto revizor identificira rizike koji proizlaze iz korištenja IT-a i općih IT kontrola povezanih s identificiranim IT aplikacijama i ostalim aspektima IT okruženja
A166. Razumijevanje rizika koji proizlaze iz korištenja IT-a i općih IT kontrola koje je subjekt implementirao radi reagiranja na one rizike koji mogu utjecati na:
• revizorovu odluku o testiranju operativne učinkovitosti kontrola radi reagiranja na rizike značajnih pogrešnih prikazivanja na razini tvrdnje;
Primjer: Ako opće IT kontrole nisu oblikovane učinkovito ili nisu primjereno implementirane kako bi se razriješili rizici koji proizlaze iz uporabe IT-a (npr. kontrole na odgovarajući način ne sprječavaju ili ne otkrivaju neautorizirane promjene programa ili neautorizirani pristup IT aplikacijama), to može utjecati na revizorovu odluko o oslanjanju na automatizirane kontrole unutar IT aplikacija na koje se to odnosi. |
• revizorovu procjenu kontrolnog rizika na razini tvrdnje;
Primjer: Kontinuirana operativna učinkovitost kontrole obrade informacija može ovisiti o određenim općim IT kontrolama koje sprječavaju ili otkrivaju neovlaštene promjene programa za IT kontrolu obrade informacija (tj. kontrole promjene programa nad povezanim IT aplikacijama) U takvim okolnostima očekivana operativna učinkovitost (ili njezino nepostojanje) općih IT kontrola može utjecati na revizorovu procjenu kontrolnog rizika (npr. kontrolni rizik može biti veći ako se očekuje da su takve opće IT kontrole neučinkovite ili ako revizor ne planira testirati opće IT kontrole). |
• revizorovu strategiju testiranja informacija koje je proizveo subjekt a koje su proizvedene od strane subjektovih IT aplikacija ili uključuju informacije iz tih aplikacija;;
Primjer: Ako informacije koje proizvodi subjekt i koje će se koristiti kao revizijski dokazi proizvode IT aplikacije, revizor može utvrditi da će testirati kontrole nad izvještajima koje generira sustav, uključujući identifikaciju i testiranje općih IT kontrola koje razrješavanju rizike neprimjerenih i neovlaštenih promjena programa ili izravne promjene podataka u izvještajima. |
• revizorovu procjenu inherentnog rizika na razini tvrdnji; ili
Primjer: Ako postoje značajne i opsežne programske promjene u IT aplikaciji radi rješavanja novih ili izmijenjenih zahtjeva primjenjivog okvira financijskog izvještavanja, to može biti pokazatelj kompleksnosti novih zahtjeva ili njihovog utjecaja na subjektove financijske izvještaje. Ako nastanu takve opsežne programske ili podatkovne promjene, IT aplikacija je također vjerojatno podložna rizicima koji proizlaze iz uporabe IT-a. |
• oblikovanje daljnjih revizijskih postupaka.
Primjer: Ako kontrole obrade informacija ovise o općim IT kontrolama revizor može utvrditi da će testirati operativnu učinkovitost općih IT kontrola što će zatim zahtijevati oblikovanje testova kontrola za takve opće IT kontrole. Ako, u istim okolnostima, revizor utvrdi da neće testirati operativnu učinkovitost općih IT kontrola ili se očekuje da su opće IT kontrole neučinkovite, na povezane rizike koji proizlaze iz korištenja IT-a možda će se trebati riješiti kroz oblikovanje dokaznih postupaka. Međutim, možda neće biti moguće riješiti rizike koji proizlaze iz uporabe IT-a ako su takvi rizici povezani s rizicima za koje dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze. U takvim okolnostima revizor će možda morati razmotriti implikacije za revizorsko mišljenje. |
Identificiranje IT aplikacija podložnih rizicima koji proizlaze iz korištenja IT-a
A167. Za IT aplikacije koje su relevantne za informacijski sustav, razumijevanje vrste i kompleksnosti specifičnih IT procesa i općih IT kontrola koje subjekt koristi mogu pomoći revizoru pri utvrđivanju na koje IT aplikacije se subjekt oslanja za točnu obradu informacija i održavanje integriteta informacija u informacijskom sustavu subjekta. Takve IT aplikacije mogu biti podložne rizicima koji proizlaze iz korištenja IT-a.
A168. Identificiranje IT aplikacija podložnih rizicima koji proizlaze iz korištenja IT-a uključuje uzimanje u obzir kontrola koje su identificirane od strane revizora jer takve kontrole mogu uključivati uporabu IT-a ili oslanjanje na IT. Revizor se može usredotočiti na pitanje uključuje li IT aplikacija automatizirane kontrole na koje se oslanja menadžment i koje je revizor identificirao uključujući kontrole koje rješavaju rizike za koje sami dokazni postupci ne pružaju dostane i primjerene revizijske dokaze. Revizor također može razmotriti način na koji su informacije pohranjene i obrađene u informacijskom sustavu u odnosu na signifikantne klase transakcija, stanja računa ili objavljivanja i oslanja li se menadžment na opće IT kontrole radi održavanja integriteta tih informacija.
A169. Kontrole koje je identificirao revizor mogu ovisiti o izvještajima koje generira sustav u kojem slučaju IT aplikacije koje proizvode te izvještaje mogu biti podložne rizicima zbog uporabe IT-a. U drugim slučajevima, revizor može ne planirati oslanjanje na kontrole nad izvještajima koje generira sustav i planirati izravno testirati ulazne i izlazne podatke takvih izvještaja, u kojem slučaju revizor može ne identificirati povezane IT aplikacije kao podložne rizicima koji proizlaze iz IT-a.
Prilagodljivost opsega
A170. Opseg revizorovog razumijevanja IT procesa uključujući opseg do kojeg subjekt ima uspostavljene opće IT kontrole, će varirati s prirodom i okolnostima subjekta i njegovog IT okruženja kao i na osnovi vrsta i opsega kontrola koje je identificirao revizor. Broj IT aplikacija koje su podložne rizicima koji proizlaze iz korištenja IT-a također će varirati na temelju ovih čimbenika.
Primjeri: • Nije vjerojatno da subjekt koji koristi komercijalni softver i nema pristup izvornom kodu za izvođenje programskih promjena ima proces za promjene programa ali može imati proces ili postupke za konfiguraciju softvera (npr. kontni plan, izvještajni parametri ili pragovi). Povrh toga, subjekt može imati proces ili postupke za upravljanje pristupom aplikaciji (npr. unaprijed određeni pojedinac sa administrativnim pristupom komercijalnom softveru). U takvim okolnostima nije vjerojatno da subjekt ima ili treba formalizirane opće IT kontrole. • Nasuprot tome, veliki subjekt se može u velikoj mjeri oslanjati na IT i IT okruženje može uključivati višestruke IT aplikacije te IT procese za upravljanje IT okruženjem koji mogu biti kompleksni (npr. postoji određeni IT odjel koji razvija i implementira promjene programa i upravlja pravima pristupanja) uključujući i to da je subjekt implementirao formalizirane opće IT kontrole nad svojim IT procesima. • Ako se menadžment ne oslanja na automatizirane kontrole ili opće IT kontrole za obradu transakcija ili održavanja podataka i revizor nije identificirao bilo koje automatizirane kontrole ili druge kontrole nad obradom informacija (niti one koje ovise o općim IT kontrolama), revizor može planirati izravno testirati bilo koje informacije koje proizvodi subjekt uz uključivanje IT te možda neće identificirati IT aplikacije koje su podložne rizicima koji proizlaze iz uporabe IT-a. • Ako se menadžment oslanja na IT aplikaciju radi obrade ili održavanja podataka i količina podataka je značajna te se menadžment oslanja na IT aplikaciju radi obavljanja automatiziranih kontrola koje je revizor također identificirao, IT aplikacija će vjerojatno biti podložna rizicima koji proizlaze iz korištenja IT-a. |
A171. Ako subjekt ima veću složenost u svom IT okruženju, identificiranje IT aplikacija i drugih aspekata IT okruženja, utvrđivanje povezanih rizika koji proizlaze iz korištenja IT-a te identificiranje općih IT kontrola će vjerojatno zahtijevati uključivanje članova tima koji imaju specijalizirane vještine na području IT-a. Takvo uključivanje će vjerojatno biti nužno i moguće je da će trebati biti opsežno u kompleksnim IT okruženjima.
Identificiranje ostalih aspekata IT okruženja koji su podložni rizicima koji proizlaze iz korištenja IT-a
A172. Ostali aspekti IT okruženja koji mogu biti podložni rizicima proizašlim iz korištenja IT-a uključuju mrežu, operativni sustav i baze podataka, te, u određenim okolnostima, sučelja između IT aplikacija. Ostali aspekti IT okruženja se općenito ne identificiraju ako revizor ne identificira IT aplikacije podložne rizicima proizašlim iz korištenja IT-a. Kad je revizor identificirao IT aplikacije podložne rizicima proizašlim iz korištenja IT-a, ostali aspekti IT okruženja (npr. baza podataka, operativni sustav, mreža) će vjerojatno biti identificirani jer takvi aspekti podržavaju i komuniciraju s identificiranim IT aplikacijama.
Identificiranje rizika koji proizlaze iz korištenja IT-a i općih IT kontrola (Vidjeti točku 26(c))
Dodatak 6 sadrži razmatranja za razumijevanje općih IT kontrola. |
A173. Pri identificiranju rizika koji proizlaze iz korištenja IT-a revizor može razmotriti vrstu identificirane IT aplikacije ili drugi aspekt IT okruženja te razloge koji dovode do rizika zbog korištenja IT-a. Za neke identificirane aplikacije ili druge aspekte IT okruženja revizor može identificirati primjenjive rizike koji proizlaze iz korištenja IT-a a koji se primarno odnose na neovlašteni pristup ili neovlaštene promjene programa kao i na rizike koji se odnose na neprimjerene promjene podataka (npr. rizik neprimjerenih promjena podataka kroz izravni pristup bazi podataka ili kroz izravnu manipulaciju informacijama).
A174. Opseg i vrsta primjenjivih rizika koji proizlaze iz korištenja IT-a variraju ovisno o vrsti i karakteristikama identificiranih IT aplikacija i drugim aspektima IT okruženja. Primjenjivi IT rizici mogu nastati kad subjekt koristi eksterne ili interne pružatelje usluga za identificirane aspekte svojeg IT okruženja (npr. outsourcing usluga poslužitelja (hosting) IT okruženja trećoj osobi ili korištenje zajedničkog uslužnog centra za centralno upravljanje IT procesima u grupi). Primjenjivi rizici koji proizlaze iz korištenja IT-a mogu se također identificirati u odnosu na kibernetičku sigurnost. Vjerojatnije je da će postojati više rizika koji proizlaze iz korištenje IT-a kad je količina ili kompleksnost automatiziranih aplikacijskih kontrola viša i menadžment se više oslanja na te kontrole za učinkovitu obradu transakcija ili učinkovito održavanje integriteta osnovnih informacija.
Ocjenjivanje oblikovanja i utvrđivanje implementacije identificiranih kontrola u komponenti kontrolnih aktivnosti (Vidjeti točku 26(d))
A175. Ocjenjivanje oblikovanja identificirane kontrole uključuje revizorovo razmatranje pitanja je li kontrola, sama za sebe ili u kombinaciji s drugim kontrolama sposobna učinkovito sprječavati ili otkrivati i ispravljati značajno pogrešna prikazivanja (tj. cilj kontrole).
A176. Revizor utvrđuje implementaciju identificirane kontrole kroz utvrđivanje da kontrola postoji i da ju subjekt koristi. Malo je smisleno da revizor procjenjuje implementaciju neke kontrole koja nije učinkovito oblikovana. Stoga, revizor najprije procjenjuje oblikovanje kontrole. Nepravilno oblikovana kontrola može predstavljati nedostatak kontrole.
A177. Postupci procjene rizika radi pribavljanja revizijskih dokaza o oblikovanju i implementaciji identificiranih kontrola u komponenti kontrolnih aktivnosti mogu uključivati:
• postavljanje upita osoblju subjekta.
• promatranje funkcioniranja određenih kontrola.
• provjeravanje dokumentacije i izvještaja.
Postavljanje upita samo za sebe, međutim, nije dovoljno za takve svrhe.
A178. Revizor može očekivati, temeljem iskustva iz prethodne revizije ili temeljem postupka procjene rizika u tekućem razdoblju da menadžment nema učinkovito oblikovane ili implementirane kontrole za rješavanje značajnog rizika. U takvim slučajevima, postupci koji se obavljaju zbog zahtjeva u točki 26(d) mogu sadržavati utvrđivanje da takve kontrole nisu bile učinkovito oblikovane ili implementirane. Ako rezultati postupaka ukazuju da su kontrole nedavno oblikovane ili implementirane, revizor je dužan obaviti postupke iz točke 26(b)‒(d) u odnosu na nedavno oblikovane ili implementirane kontrole.
A179. Revizor može zaključiti da testiranje može biti primjereno za kontrolu koja je učinkovito oblikovana i implementirana kako bi se pri oblikovanju dokaznih postupaka uzela u obzir njezina operativna učinkovitost. Međutim, kad kontrola nije oblikovana ili implementirana učinkovito nema koristi od njezinog testiranja. Kad revizor planira testirati kontrolu, informacije koje su pribavljene o opsegu u kojem kontrola rješava rizik(e) značajnih pogrešnih prikazivanja su ulazne informacije za revizorovu procjenu kontrolnog rizika na razini tvrdnje.
A180. Ocjenjivanje oblikovanja i utvrđivanje implementacije identificiranih kontrola u komponenti kontrolnih aktivnosti nije dovoljno za testiranje njihove operativne učinkovitosti. Međutim, za automatizirane kontrole revizor može planirati testiranje operativne učinkovitosti automatiziranih kontrola putem identificiranja i testiranja općih IT kontrola koje osiguravaju dosljedno funkcioniranje neke automatizirane kontrole umjesto obavljanja testova operativne učinkovitosti izravno na automatiziranim kontrolama. Pribavljanje revizijskih dokaza o implementaciji neke ručne kontrole u određenom trenutku ne pruža revizijske dokaze o operativnoj učinkovitosti te kontrole u drugim razdobljima tijekom razdoblja koje se revidira. Testovi operativne učinkovitosti kontrola, uključujući testove neizravnih kontrola su dalje opisani u MRevS-u 330.[862](MRevS 330, točke 8–11.)
A181. Kad revizor ne planira testirati operativnu učinkovitost identificiranih kontrola, revizorovo razumijevanje još uvijek može pomoći pri oblikovanju vrsta, vremenskog rasporeda i opsega dokaznih revizijskih postupaka koji se odnose na povezane rizike značajnih pogrešnih prikazivanja.
Primjer: Rezultati ovih postupaka procjene rizika mogu pružiti osnovu za revizorovo razmatranje omogućih odstupanja u populaciji kad oblikuje revizijske uzorke. |
Nedostaci kontrola unutar subjektovog sustava internih kontrola (Vidjeti točku 27)
A182. Pri obavljanju ocjenjivanja svake od komponenti subjektovog sustava internih kontrola,[863](Točke 21(b), 22(b), 24(c), 25(c) i 26(d).) revizor može utvrditi da neke od subjektovih politika u komponenti nisu primjerene za prirodu i okolnosti subjekta. Takav zaključak može biti pokazatelj koji pomaže revizoru pri identifikaciji kontrolnih nedostataka. Ako je revizor identificirao jedan ili više nedostataka kontrola, revizor može razmotriti učinak tih nedostataka kontrola na oblikovanje daljnjih revizijskih postupaka u skladu s MRevS-om 330.
A183. Ako je revizor identificirao jedan ili više kontrolnih nedostataka, MRevS 265[864](MRevS 265, Priopćavanje nedostataka u internim kontrolama onima zaduženim za upravljanje i menadžmentu, točka 8.) zahtijeva od revizora da utvrdi tvore li nedostaci, pojedinačno ili u kombinaciji značajni nedostatak. Revizor koristi profesionalnu prosudbu pri utvrđivanju predstavlja li nedostatak značajni kontrolni nedostatak.[865](MRevS 265, točke A6‒A7 sadrže indikatore značajnih nedostataka i pitanja koja se moraju razmotriti pri utvrđivanju pitanja konstituira li nedostatak ili kombinacija nedostataka u internima kontrolama značajni nedostatak.)
Primjeri: Okolnosti koje mogu ukazivati na postojanje značajnog kontrolnog nedostatka uključuju pitanja kao što su: • identifikacija prijevare bilo kojeg opsega koja uključuje viši menadžment; • identificirani interni procesi koji su neprimjereni a odnose se na izvještavanje i komunikaciju o nedostacima koji su uočeni od strane interne revizije; • prethodno komunicirani nedostaci koji nisu pravovremeno ispravljeni od strane menadžmenta; • propusti menadžmenta u reagiranju na signifikantne rizike, na primjer, neimplementiranje kontrola nad signifikantnim rizicima; i • prepravljanje prethodno izdanih financijskih izvještaja. |
Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja (Vidjeti točke 28‒37)
Zašto revizor identificira i procjenjuje rizike značajnih pogrešnih prikazivanja
A184. Revizor identificira i procjenjuje rizike značajnih pogrešnih prikazivanja u svrhu utvrđivanja vrste, vremenskog rasporeda i opsega daljnjih revizijskih postupaka koji su potrebni za pribavljanje dostatnih primjerenih revizijskih dokaza. Ovi dokazi omogućuju revizoru izražavanje mišljenja o financijskim izvještajima na prihvatljivo niskoj razini revizijskog rizika.
A185. Informacije koje su prikupljene pri obavljanju postupaka procjene rizika koriste se kao revizijski dokazi koji pružaju osnovu za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Na primjer, revizijski dokazi koji su pribavljeni pri ocjenjivanju oblikovanja identificiranih kontrola i utvrđivanja jesu li te kontrole implementirane u komponenti kontrolnih aktivnosti koriste se kao revizijski dokazi koji podržavaju procjenu rizika. Takvi dokazi također pružaju osnovu revizoru za oblikovanje sveobuhvatnih reakcija koje se odnose na procijenjene rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja, kao i na oblikovanje i obavljanje daljnjih revizijskih postupaka čije vrste, vremenski raspored i opseg odgovaraju procijenjenim rizicima značajnih pogrešnih prikazivanja na razini tvrdnje u skladu s MRevS-om 330.
Identificiranje rizika značajnih pogrešnih prikazivanja (Vidjeti točku 28)
A186. Identifikacija rizika značajnih pogrešnih prikazivanja obavlja se prije razmatranja bilo kakvih povezanih kontrola (tj. inherentni rizik) i temelji se na revizorovom preliminarnom razmatranju pogrešnih prikazivanja za koje postoji razumna mogućnost i nastanka i značajnosti ako bi mogli nastati.[866](MRevS 200, točka A15a.)
A187. Identificiranje rizika značajnih pogrešnih prikazivanja također pruža osnovu za revizorovo utvrđivanje relevantnih tvrdnji, što pomaže pri revizorovom utvrđivanju signifikantnih klasa transakcija, stanja računa i objavljivanja.
Tvrdnje
Zašto revizor koristi tvrdnje
A188. Pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja revizor koristi tvrdnje za razmatranje različitih vrsta potencijalnih pogrešnih prikazivanja koja se mogu pojaviti. Tvrdnje za koje je revizor identificirao povezane rizike značajnih pogrešnih prikazivanja su relevantne tvrdnje.
Korištenje tvrdnji
A189. Pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja revizor može koristiti kategorije tvrdnji kao što je opisano dolje u točki A190(a)‒(b) ili ih može izraziti drugačije uz uvjet da su pokriveni svi aspekti koji su dolje opisani. Revizor može odabrati kombinaciju tvrdnji o klasama transakcija i događaja te povezanim objavljivanjima s tvrdnjama o stanjima računa i povezanim objavljivanjima.
A190. Tvrdnje koje koristi revizor pri razmatranju različitih vrsta potencijalnih pogrešnih prikazivanja koja se mogu pojaviti spadaju u sljedeće kategorije:
(a) tvrdnje o klasama transakcija ili događajima te povezanim objavljivanjima za razdoblje koje se revidira:
(i) nastanak – transakcije i događaji koji su evidentirani ili objavljeni su nastali i takve transakcije i događaji odnose se na subjekt,
(ii) potpunost – sve transakcije i događaji koji su morali biti evidentirani su evidentirani i sva povezana objavljivanja koja su morala biti uključena u financijske izvještaje su uključena,
(iii) točnost – iznosi i drugi podaci koji se odnose na evidentirane transakcije i događaje su primjereno evidentirani i povezana objavljivanja su primjereno mjerena i opisana,
(iv) razgraničenje – transakcije i događaji su evidentirani u ispravnom računovodstvenom razdoblju,
(v) klasifikacija – transakcije i događaji su evidentirani na odgovarajućim računima,
(vi) prezentacija – transakcije i događaji su primjereno agregirani ili dezagregirani te jasno opisani a povezane objave su relevantne i razumljive u kontekstu zahtjeva primjenjivog okvira financijskog izvještavanja.
(b) Tvrdnje o stanjima računa i povezanim objavljivanjima za kraj razdoblja:
(i) postojanje – imovina, obveze i interesi vlastitog kapitala postoje,
(ii) prava i obveze – subjekt drži ili kontrolira prava na imovinu, a iskazane obveze su obveze subjekta,
(iii) potpunost – imovina, obveze i interesi vlastitog kapitala koja su trebala biti evidentirana su evidentirana i sva povezana objavljivanja koja su morala biti uključena u financijske izvještaje su uključena,
(iv) točnost, vrednovanje i alociranje – imovina, obveze i interesi vlastitog kapitala su uključeni u financijske izvještaje po primjerenim iznosima i sve rezultirajuće uskladbe zbog vrednovanja ili alokacije su primjereno evidentirane i povezana objavljivanja su primjereno mjerena i opisana,
(v) klasifikacija – imovina, obveze i interesi vlastitog kapitala evidentirani su na pripadajućim računima,
(vi) prezentacija – imovina, obveze i vlasnički interesi su ispravno agregirani ili dezagregirani, i jasno opisani a povezana objavljivanja su relevantna i razumljiva u kontekstu zahtjeva primjenjivog okvira financijskog izvještavanja.
A191. Revizor može također koristiti tvrdnje koje su opisane gore u točkama A190(a)‒(b), prilagođene kako je primjereno, pri razmatranju različitih vrsta pogrešnih prikazivanja koja se mogu pojaviti u objavljivanjima koja nisu izravno povezana s evidentiranim klasama transakcija, događajima ili stanjima računa.
Primjer: Primjer takvog objavljivanja uključuje slučaj u kojem subjekt može biti obvezan sukladno primjenjivom okviru financijskog izvještavanja opisati njegovu izloženost rizicima koji proizlazi iz financijskih instrumenata uključujući način na koji ti rizici nastaju, ciljeve, politike i procese uspravljanja rizicima te metode za mjerenje tih rizika. |
Razmatranja koja su specifična za subjekte javnog sektora
A192. Kad se definiraju tvrdnje o financijskim izvještajima subjekata javnog sektora, menadžment često može, povrh tvrdnji sadržani u točkama A190(a)-(b), tvrditi da su transakcije i događaji izvršeni u skladu s zakonima, regulativom ili drugim zahtjevima vlasti.
Rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja (Vidjeti točke 28(a) i 30)
Zašto revizor identificira i procjenjuje rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja
A193. Revizor identificira rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja radi utvrđivanja imaju li rizici prožimajući učinak na financijske izvještaja te bi stoga zahtijevali sveobuhvatnu reakciju sukladno MRevS-u 330.[867](MRevS 330, točka 5.)
A194. Dodatno, rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja mogu također utjecati na pojedinačne tvrdnje te identificiranje ovih rizika može pomoći revizoru pri procjenjivanju rizika značajnih pogrešnih prikazivanja na razini tvrdnje i pri oblikovanju daljnjih revizijskih procedura kao reakciju na identificirane rizike.
Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja
A195. Rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja upućuju na rizike koji se prožimajuće odnose na financijske izvještaje kao cjelinu i potencijalno utječu na puno tvrdnji. Rizici ove prirode nisu nužno rizici koji se mogu identificirati u vezi s određenim tvrdnjama na razini klasa transakcija, stanja računa ili objava (npr. rizik menadžmentovog prekoračivanja kontrola). Oni više predstavljaju okolnosti koje mogu prožimajuće povećati rizik značajnih pogrešnih prikazivanja na razini tvrdnje. Revizorova ocjena pitanja odnose li se identificirani rizici na prožimajući način na financijske izvještaje podržava revizorovu procjenu rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja. U drugim slučajevima, jedan broj tvrdnji može također biti identificiran kao podložan riziku i može stoga utjecati na revizorovu identifikaciju rizika i procjenu rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
Primjer: Subjekt se suočava s poslovnim gubicima i problemima likvidnosti te se oslanja na financiranje koje još nije osigurano. U takvoj okolnosti revizor može utvrditi da računovodstvo na osnovi neograničenosti vremena poslovanja uzrokuje rizik značajnih pogrešnih prikazivanja na razini financijskih izvještaja. U ovoj situaciji može biti potrebno primijeniti računovodstveni okvir korištenjem likvidacijske osnove što bi vjerojatno prožimajuće utjecalo na sve tvrdnje. |
A196. Na revizorovu identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja utječe revizorovo razumijevanje subjektovog sustava internih kontrola, posebno revizorovo razumijevanje kontrolnog okruženja, subjektovog procesa procjene rizika i subjektovog procesa monitoringa sustava internih kontrola, i:
• ishod povezanih ocjena koje su zahtijevane točkama 21(b), 22(b), 24(c) i 25(c); i
• bilo koji kontrolni nedostaci identificirani u skladu s točkom 27.
Rizici na razini financijskih izvještaja mogu nastati osobito iz nedostataka u kontrolnom okruženju ili iz vanjskih događaja ili uvjeta kao što su pogoršanje ekonomskih uvjeta.
A197. Rizici značajnih pogrešnih prikazivanja zbog prijevare mogu biti osobito relevantni za revizorovo razmatranje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja.
Primjer: Revizorovo je razumijevanje na osnovi upita postavljenih menadžmentu da će se financijski izvještaji subjekta koristiti u diskusiji s davateljima zajma radi osiguravanja daljnjeg financiranja za održavanje radnog kapitala. Revizor stoga može utvrditi da postoji veća podložnost pogrešnom prikazivanju zbog čimbenika rizika prijevare koji utječu na inherentni rizik (tj. podložnost financijskih izvještaja značajnim pogrešnim prikazivanjima zbog rizika prijevarnog financijskog izvještavanja, kao što je precjenjivanje imovine i podcjenjivanje obveza i rashoda kako bi se osiguralo dobivanje financiranja). |
A198. Revizorovo razumijevanje, uključujući povezane ocjene, kontrolnog okruženja i drugih komponenti sustava internih kontrola može dovesti do sumnji o tome hoće li revizor moći pribaviti revizijske dokaze na kojima će utemeljiti revizorsko mišljenje ili će biti razlog za povlačenje iz angažmana ako je povlačenje moguće sukladno primjenjivim zakonima i regulativi.
Primjeri: • Kao posljedica ocjenjivanja subjektovog kontrolnog okruženja, revizora brine integritet subjektovog menadžmenta što može biti tako ozbiljno da dovede revizora do zaključka da je rizik namjernog pogrešnog prikazivanja od strane menadžmenta u financijskim izvještajima takav da se revizija ne može obaviti. • Kao posljedica ocjenjivanja subjektovog informacijskog sustava i komunikacije revizor utvrđuje da je značajnim promjenama u IT okruženju bilo loše upravljano s malo nadzora od strane menadžmenta i onih koji su zaduženi za upravljanje. Revizor zaključuje da postoji značajna zabrinutost o stanju i pouzdanosti subjektovih računovodstvenih evidencija. U takvim okolnostima revizor može utvrditi kako nije vjerojatno da će dostatni primjereni revizijski dokazi biti raspoloživi za potkrepljivanje nemodificiranog mišljenja o financijskim izvještajima. |
A199. MRevS 705 (izmijenjen) uspostavlja zahtjeve i daje upute za utvrđivanje postoji li potreba da revizor izrazi mišljenje s ogradom ili izda negativno mišljenje ili, kao što može biti zahtijevano u nekim slučajevima, da se povuče iz angažmana ako je povlačenje moguće prema primjenjivim zakonima ili regulativi.
Razmatranja koja su specifična za subjekte javnog sektora
A200. Za subjekte javnog sektora, identifikacija rizika na razini financijskih izvještaja može uključiti razmatranje pitanja povezanih s političkom klimom, javnim interesom i osjetljivošću programa.
Rizici značajnih pogrešnih prikazivanja na razini tvrdnje (Vidjeti točku 28(b))
Dodatak 2 navodi primjere u kontekstu čimbenika inherentnog rizika, događaja ili uvjeta koji mogu ukazivati na podložnost pogrešnom prikazivanju koje može biti značajno. |
A201. Rizici značajnih pogrešnih prikazivanja koji nisu povezani na prožimajući način s financijskim izvještajima su rizici značajnih pogrešnih prikazivanja na razini tvrdnje.
Relevantne tvrdnje i signifikantne klase transakcija, stanja računa i objavljivanja (Vidjeti točku 29)
Zašto se utvrđuju relevantne tvrdnje i signifikantne klase transakcija, stanja računa i objavljivanja
A202. Utvrđivanje relevantnih tvrdnji i signifikantnih klasa transakcija, stanja računa i objavljivanja pruža osnovu za opseg revizorovog razumijevanja subjektovog informacijskog sustava koji mora steći u skladu s točkom 25(a). Ovo razumijevanje može dalje pomoći revizoru pri identificiranju ili procjenjivanju rizika značajnih pogrešnih prikazivanja (vidjeti točku A86).
Automatizirani alati i tehnike
A203. Revizor može koristiti automatizirane tehnike za pomoć u identifikaciji signifikantnih klasa transakcija, stanja računa i objava.
Objavljivanja koja mogu biti signifikantna
A204. Signifikantna objavljivanja uključuju i kvantitativna i kvalitativna objavljivanja za koja postoji jedna ili više relevantnih tvrdnji. Primjeri objavljivanja koja imaju kvalitativne aspekte i koja mogu imati relevantne tvrdnje i stoga ih revizor može smatrati signifikantnima uključuju objavljivanja o:
• likvidnosti i ugovorima o dugovima subjekta u financijskim teškoćama,
• događajima ili okolnostima koje su dovele do priznavanja gubitka od umanjenja vrijednosti,
• ključnim izvorima nesigurnosti procjena, uključujući pretpostavke o budućnosti,
• prirodi promjene računovodstvene politike i drugim relevantnim objavljivanjima koje zahtijeva primjenjivi okvir financijskog izvještavanja kad se, na primjer, očekuje da će novi zahtjevi financijskog izvještavanja imati značajan utjecaj na financijski položaj i financijsku uspješnost subjekta,
• aranžmanima plaćanja u dionicama uključujući informacije o načinu na koji su utvrđeni bilo koji iznosi te ostala relevantna objavljivanja,
• povezanim osobama i transakcijama s povezanim osobama,
• analizi osjetljivosti uključujući informaciju o učincima promjena pretpostavki korištenih u subjektovim tehnikama procjene s namjerom da se korisnicima omogući razumijevanje osnovne nesigurnosti kod mjerenja evidentiranog ili objavljenog iznosa.
Procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje
Procjenjivanje inherentnog rizika (Vidjeti točke 31‒33)
Procjenjivanje vjerojatnosti i veličine pogrešnog prikazivanja (Vidjeti točku 31)
Zašto revizor procjenjuje vjerojatnost i veličinu pogrešnih prikazivanja
A205. Revizor procjenjuje vjerojatnost i veličinu pogrešnog prikazivanja za identificirane rizike značajnih pogrešnih prikazivanja jer je značajnost kombinacije vjerojatnosti nastanka pogrešnog prikazivanja i veličine potencijalnog pogrešnog prikazivanja ako bi pogrešno prikazivanje nastalo, određuje mjesto na spektru inherentnog rizika na kojem je procijenjen inherentni rizik što utječe na revizorovo oblikovanje daljnjih revizijskih postupaka koji se odnose na rizik.
Primjeri: • Cijela populacija transakcija može biti analizirana korištenjem automatiziranih alata i tehnika u svrhu razumijevanja njihove prirode, izvora, veličine i količine. Primjenom automatiziranih tehnika revizor može, na primjer, identificirati račun sa stanjem nula na kraju razdoblja koji je obuhvaćao brojne međusobno saldirajuće transakcije i knjiženja u dnevniku koja su nastala tijekom razdoblja ukazujući na to da je stanje računa ili klasa transakcija može biti signifikantna (npr. prijelazni račun isplate plaća). Taj isti prijelazni račun plaća može također identificirati naknade troškova menadžmentu (i drugim zaposlenicima) što bi moglo biti signifikantno objavljivanje zbog toga što su ova plaćanja obavljena povezanim osobama. • Analiziranje tokova cijele populacije transakcija prihoda revizor može lakše identificirati signifikantnu klasu transakcija koja prethodno nije bila identificirana. |
A206. Procjenjivanje inherentnog rizika identificiranih rizika značajnih pogrešnih prikazivanja također pomaže revizoru pri utvrđivanju značajnih rizika. Revizor utvrđuje značajne rizike jer se u skladu s MRevS-om 330 i drugim MRevS-ovima zahtijevaju specifične reakcije na značajne rizike.
A207. Čimbenici inherentnog rizika utječu na revizorovu procjenu vjerojatnosti i veličine pogrešnog prikazivanja za identificirane rizike značajnih pogrešnih prikazivanja na razini tvrdnje. Što je viši stupanj do kojega je klasa transakcija, stanje računa ili objava podložna značajnog pogrešnom prikazivanju to je vjerojatnije da će procijenjeni inherentni rizik biti viši. Razmatrajući stupanj do kojega čimbenici inherentnog rizika utječu na podložnost tvrdnje pogrešnom prikazivanju pomaže revizoru u primjerenom procjenjivanju inherentnog rizika za rizike značajnih pogrešnih prikazivanja na razini tvrdnje i u oblikovanju preciznije reakcije na takav rizik.
Spektar inherentnog rizika
A208. Kod procjenjivanja inherentnog rizika revizor koristi profesionalnu prosudbu za utvrđivanje značajnosti kombinacije vjerojatnosti i veličine pogrešnog prikazivanja.
A209. Procijenjeni inherentni rizik koji se odnosi na posebni rizik značajnih pogrešnih prikazivanja na razini tvrdnje predstavlja prosudbu unutar raspona, od nižeg do višeg, u spektru inherentnog rizika. Prosudba o tome gdje se u rasponu nalazi procjena inherentnog rizika može varirati na osnovi vrste, veličine i kompleksnosti subjekta te uzima u obzir procijenjenu vjerojatnost i veličinu pogrešnog prikazivanja i čimbenike inherentnog rizika.
A210. Pri razmatranju vjerojatnosti pogrešnog prikazivanja revizor razmatra mogućnost pojavljivanja pogrešnog prikazivanja na osnovi razmatranja čimbenika inherentnog rizika.
A211. Pri razmatranju veličine pogrešnog prikazivanja revizor razmatra kvalitativne i kvantitativne aspekte mogućeg pogrešnog prikazivanja (tj. pogrešna prikazivanja u tvrdnjama o klasama transakcija, stanjima računa ili objavama mogu se prosuditi kao značajna zbog veličine, prirode ili okolnosti).
A212. Revizor koristi značajnost kombinacije vjerojatnosti i veličine mogućeg pogrešnog prikazivanja pri utvrđivanju gdje se u spektru inherentnog rizika (tj. rasponu) nalazi procjena inherentnog rizika. Što je viša kombinacija vjerojatnosti i veličine, to je viša procjena inherentnog rizika, a što je niža kombinacija vjerojatnosti i veličine, to je niža procjena inherentnog rizika.
A213. Da bi se rizik procijenio kao visoki u spektru inherentnog rizika, to ne znači da oboje, veličina i vjerojatnost trebaju biti procijenjeni kao visoki. Prije će sjecište veličine i vjerojatnosti značajnih pogrešnih prikazivanja na spektru inherentnog rizika odrediti je li procijenjeni inherentni rizik viši ili niži u spektru inherentnog rizika: Viša procjena inherentnog rizika može također proizaći iz različitih kombinacija vjerojatnosti i veličine, na primjer viša procjena inherentnog rizika mogla bi rezultirati iz manje vjerojatnosti ali vrlo velikog iznosa.
A214. U svrhu razvoja primjerenih strategija za odgovaranje na rizike značajnih pogrešnih prikazivanja revizor može odrediti rizike značajnih pogrešnih prikazivanja unutar kategorija kroz spektar inherentnog rizika na temelju njihove procjene inherentnog rizika. Ove kategorije mogu biti opisane na različite načine. Bez obzira na korištenu metodu kategorizacije, revizorova procjena inherentnog rizika je primjerena kad oblikovanje i implementacija daljnjih revizijskih postupaka za rješavanje identificiranih rizika značajnih pogrešnih prikazivanja na razini tvrdnje primjereno odgovara procjeni inherentnog rizika i razlozima za tu procjenu.
Prožimajući rizici značajnih pogrešnih prikazivanja na razini tvrdnje (Vidjeti točku 31(b))
A215. Pri procjenjivanju identificiranih rizika značajnih pogrešnih prikazivanja na razini tvrdnji revizor može zaključiti da se neki rizici značajnih pogrešnih prikazivanja odnose na više prožimajući način na financijske izvještaje kao cjelinu i potencijalno utječu na puno tvrdnji u kojem slučaju revizor može ažurirati identifikaciju rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja.
A216. U okolnostima u kojima su rizici značajnih pogrešnih prikazivanja identificirani kao rizici na razini financijskih izvještaja zbog njihovog prožimajućeg utjecaja na niz tvrdnji i moguće ih je povezati sa specifičnim tvrdnjama, od revizora se zahtijeva uzimanje u obzir tih rizika kad procjenjuje inherentni rizik za rizike značajnih pogrešnih prikazivanja na razini tvrdnje.
Razmatranja koja su specifična za subjekte javnog sektora
A217. Pri obavljanju profesionalne prosudbe u vezi s procjenom rizika značajnih pogrešnih prikazivanja revizori u javnom sektoru mogu razmatrati kompleksnost regulative i direktiva te rizike nepridržavanja zahtjeva vlasti.
Značajni rizici (Vidjeti točku 32)
Zašto se utvrđuju značajni rizici i implikacije za reviziju
A218. Utvrđivanje značajnih rizika dopušta revizoru da pozornost usredotoči više na one rizike koji se nalaze na gornjem kraju spektra inherentnog rizika kroz provođenje određenih zahtijevanih reakcija uključujući:
• kontrole koje rješavaju značajne rizike moraju se identificirati u skladu s točkom 26(a)(i), zajedno sa zahtjevom da se ocijeni je li kontrola bila oblikovana učinkovito i implementirana u skladu s točkom 26(d).
• MRevS 330 zahtijeva testiranje kontrola koje rješavaju značajne rizike u tekućem razdoblju (kad se revizor namjerava osloniti na operativnu učinkovitost takvih kontrola) te planiranje i obavljanje dokaznih postupaka koji su odgovarajući u odnosu na identificirani značajni rizik.
• MRevS 330 zahtijeva od revizora pribavljanje to više prožimajućih revizijskih dokaza što je viša revizorova procjena rizika
• MRevS 260 (izmijenjen) zahtijeva komuniciranje s onima koji su zaduženi za upravljanje o značajnim rizicima koje je identificirao revizor.
• MRevS 701 zahtijeva od revizora da uzme u obzir značajne rizike kad utvrđuje pitanja koja zahtijevaju značajnu pozornost revizora, a ta pitanja mogu biti ključna revizijska pitanja.[868](MRevS 701, Komuniciranje ključnih revizijskih pitanja u izvještaju neovisnog revizora, točka 9.)
• pravovremeni pregled revizijske dokumentacije od strane angažiranog partnera u odgovarajućim fazama tijekom revizije omogućuje pravovremeno razrješavanje značajnih pitanja, uključujući značajne rizike, sukladno zahtjevima angažiranog partnera na ili prije datuma revizorskog izvješća.[869](MRevS 220, točke 17 i A19.)
• MRevS 600 zahtijeva veću uključenost angažiranog partnera grupe ako se značajni rizik odnosi na komponentu u reviziji grupe te da angažirani tim grupe usmjerava rad koji je potreban u odnosu na komponentu a koji obavlja revizor komponente.[870](MRevS 600, točke 30 i 31.)
Utvrđivanje značajnih rizika
A219. Pri utvrđivanju značajnih rizika, revizor može prvo identificirati one procijenjene rizike značajnih pogrešnih prikazivanja koji su bili procijenjeni višima u spektru inherentnog rizika radi formiranja osnove za razmatranje koji rizici mogu biti bliži gornjem kraju raspona. Pozicija blizu gornjem kraju spektra inherentnog rizika će se razlikovati od subjekta do subjekta i neće nužno biti jednaka za istog subjekta iz razdoblja u razdoblje. Ona može ovisiti o prirodi i okolnostima subjekta za koji se procjenjuje rizik.
A220. Utvrđivanje koji se rizici od procijenjenih rizika značajnih pogrešnih prikazivanja nalaze bliže gornjem kraju spektra inherentnog rizika te su zbog toga značajni rizici, je pitanje profesionalne prosudbe osim ako je rizik one vrste za koju određeno da se tretira kao značajni rizik u skladu s odredbama drugog MRevS-a. MRevS 240 sadrži daljnje zahtjeve i upute u odnosu na identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja zbog prijevare.[871](MRevS 240, točke 26–28.)
Primjer: • Za novac bi se obično kod maloprodaje u supermarketu utvrdila visoka vjerojatnost mogućeg pogrešnog prikazivanja (zbog rizika neovlaštenog prisvajanja), međutim, veličina bi tipično bila vrlo niska (zbog niskih razina gotovine kojima se barata u trgovinama). Kombinacija ovih dvaju čimbenika u spektru inherentnog rizika vjerojatno neće rezultirati time da postojanje novca bude utvrđeno kao značajan rizik. • Subjekt je u pregovorima o prodaji dijela poslovanja. Revizor razmatra učinak na umanjenje goodwilla i može utvrditi postojanje veće vjerojatnosti postojanja mogućeg pogrešnog prikazivanja i većeg iznosa zbog učinka čimbenika inherentnog rizika subjektivnosti, nesigurnosti i podložnosti pristranosti menadžmenta ili drugim čimbenicima rizika prijevare. Ovo može rezultirati time da umanjenje vrijednosti goodwilla bude utvrđeno kao značajan rizik. |
A221. Revizor također uzima u obzir relativne učinke čimbenika inherentnog rizika kad procjenjuje inherentni rizik. Što je manji učinak čimbenika inherentnog rizika to je vjerojatnije da će procijenjeni rizik biti manji. Rizici značajnih pogrešnih prikazivanja za koje se može procijeniti da imaju veći inherentni rizik te se zbog toga mogu utvrditi kao značajan rizik, mogu nastati zbog sljedećih razloga:
• transakcije za koje postoji više prihvatljivih računovodstvenih tretmana tako da je uključena subjektivnost;
• računovodstvene procjene koje imaju visoku nesigurnost procjene ili kompleksne modele;
• kompleksnost u prikupljanju i obradi podataka radi potkrepljivanja stanja računa;
• stanja računa ili kvantitativne objave koje uključuju kompleksne kalkulacije;
• računovodstvena načela koja mogu biti podložna različitim tumačenjima;
• promjene u subjektovom poslovanju koje uključuju promjene u računovodstvu, na primjer, spajanja i akvizicije.
Rizici za koje sami dokazni postupci ne pružaju dostatne primjerene revizijske dokaze (Vidjeti točku 33)
Zašto se moraju identificirati rizici za koje sami dokazni postupci ne pružaju dostatne primjerene revizijske dokaze
A222. Zbog prirode rizika značajnog pogrešnog prikazivanja, te zbog kontrola koje rješavaju taj rizik, u nekim okolnostima jedini način za pribavljanje dostatnih i primjerenih revizijskih dokaza je testiranje operativne učinkovitosti kontrola. Sukladno tome, postoji zahtjev da revizor identificira bilo koje takve rizike zbog implikacija za oblikovanje i obavljanje daljnjih revizijskih postupaka u skladu s MRevS-om 330 radi rješavanja rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
A223. Točka 26(a)(iii) također zahtijeva identificiranje kontrola koje rješavaju rizike za koje dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze jer se od revizora zahtijeva, u skladu s MRevS 330, oblikovanje i obavljanje testova takvih kontrola.
Utvrđivanje rizika za koje sami dokazni postupci ne pružaju dostatne primjerene revizijske dokaze
A224. Kad su rutinske poslovne transakcije podložne visoko automatiziranoj obradi s malo ili bez ručne intervencije možda neće biti moguće obaviti samo dokazne postupke u odnosu na rizik. Ovo može biti slučaj u prilikama kad se značajna količina subjektovih informacija inicira, evidentira, obrađuje i o njima izvještava samo u elektroničkom obliku kao što je u informacijskom sustavu koji uključuje visok stupanj integracije njegovih IT aplikacija. U takvim slučajevima:
• revizijski dokazi mogu biti raspoloživi samo u elektroničkom obliku a njihova dostatnost i primjerenost obično ovisi o učinkovitosti kontrola nad njihovom točnošću i potpunošću.
• potencijal da se pojavi nepravilno iniciranje ili promjena informacija i ne bude otkriveno može biti veći ako primjerene kontrole ne funkcioniraju učinkovito.
Primjer: Obično nije moguće pribaviti dostatne i primjerene revizijske dokaze koji se odnose na prihode za telekomunikacijski subjekt samo na temelju dokaznih postupaka. Ovo stoga jer dokazi o pozivima ili podatkovna aktivnost ne postoje u opažljivom obliku. Umjesto toga, obično se obavlja opsežno testiranje kontrola radi utvrđivanja da su pokretanje i završetak poziva te podatkovna aktivnost ispravno obuhvaćeni (npr. minute poziva ili količina preuzetih podataka) i korektno evidentirani u subjektovom sustavu naplate. |
A225. MRevS 540 (izmijenjen) sadrži daljnje upute koje se odnose na računovodstvene procjene o rizicima za koje dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze.[872](MRevS 540 (izmijenjen), točke A87–A89.) U odnosu na računovodstvene procjene ovo se ne mora ograničiti na automatiziranu obradu već može također biti primjenjivo na kompleksne modele.
Procjenjivanje kontrolnog rizika (Vidjeti točku 34)
A226. Revizorovi planovi testiranja učinkovitosti operativnih kontrola zasniva se na očekivanju da su kontrole operativno učinkovite i da će to oblikovati osnovu revizorove procjene kontrolnog rizika. Početno očekivanje o operativnoj učinkovitosti kontrola bazirano je na revizorovoj ocjeni oblikovanja i utvrđenju implementiranosti identificiranih kontrola u komponenti kontrolnih aktivnosti. Nakon što revizor testira operativnu učinkovitost kontrola u skladu s MRevS-om 330, revizor će moći potvrditi početno očekivanje o operativnoj učinkovitosti kontrola. Ako kontrole ne djeluju učinkovito kao što je očekivano, revizor će morati izmijeniti procjenu kontrolnog rizika u skladu s točkom 37.
A227. Revizorova procjena kontrolnog rizika može biti obavljena na različite načine ovisno o preferiranim revizijskim tehnikama i metodologijama i može se izraziti na različite načine.
A228. Ako revizor planira testirati operativnu učinkovitost kontrola može biti nužno testirati kombinaciju kontrola kako bi se potvrdilo revizorovo očekivanje da kontrole funkcioniraju učinkovito. Revizor može planirati testiranje i izravnih i neizravnih kontrola, uključujući opće IT kontrole, i, ako je tako, uzeti u obzir kombinirani očekivani učinak kontrola kad procjenjuje kontrolni rizik. Do mjere u kojoj kontrola koja će se testirati ne pruža potpun odgovor na procijenjeni inherentni rizik, revizor utvrđuje implikacije na oblikovanje daljnjih revizijskih postupaka radi smanjenja revizijskog rizika na prihvatljivo nisku razinu.
A229. Kad revizor planira testirati operativnu učinkovitost automatizirane kontrole, revizor također može planirati test operativne učinkovitosti relevantnih općih IT kontrola koje podržavaju kontinuirano funkcioniranje te automatizirane kontrole radi rješavanja rizika koji proizlaze iz uporabe IT-a i radi pružanja osnove za revizorovo očekivanje da je automatizirana kontrola funkcionirala učinkovito kroz cijelo razdoblje. Kad revizor očekuje da su povezane opće IT kontrole neučinkovite ovo utvrđivanje može utjecati na revizorovu procjenu kontrolnog rizika na razini tvrdnje i može biti potrebno da revizorovi daljnji postupci uključuju dokazne postupke kako bi odgovorili na primjenjive rizike koji proizlaze iz uporabe IT-a. Daljnje upute o postupcima koje revizor može obaviti u ovakvim okolnosti dane su u MRevS-u 330.[873](MRevS 330, točke A29–A30.)
Ocjenjivanje revizijskih dokaza pribavljenih iz postupaka procjene rizika (Vidjeti točku 35)
Zašto revizor ocjenjuje revizijske dokaze iz postupaka procjene rizika
A230. Revizijski dokazi koji su pribavljeni iz obavljanja postupaka procjene rizika pružaju osnovu za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Ovo pruža osnovu za revizorovo oblikovanje vrste, vremenskog rasporeda i opsega daljnjih revizijskih postupaka koji odgovaraju na procijenjene rizike značajnih pogrešnih prikazivanja na razini tvrdnje u skladu s MRevS-om 330. Sukladno tome, revizijski dokazi pribavljeni iz postupaka procjene rizika pružaju osnovu za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja bilo zbog prijevare ili pogreške na razini financijskih izvještaja i na razini tvrdnje.
Ocjena revizijskih dokaza
A231. Revizijski dokazi iz postupaka procjene rizika obuhvaćaju i informacije koje podržavaju i potvrđuju tvrdnje menadžmenta te bilo koje informacije koje opovrgavaju takve tvrdnje.[874](MRevS 500, točka A1.)
Profesionalni skepticizam
A232. Pri ocjenjivanju revizijskih dokaza iz postupaka procjene rizika revizor razmatra je li stekao dostatno razumijevanje subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola kako bi bio u stanju identificirati rizike značajnih pogrešnih prikazivanja kao i ustanoviti postoje li bilo kakvi kontradiktorni dokazi koji mogu ukazati na rizik značajnih pogrešnih prikazivanja.
Klase transakcija, stanja računa i objava koje nisu signifikantne ali su značajne (Vidjeti točku 36)
A233. Kao što je objašnjeno u MRevS-u 320,[875](MRevS 320, točka A1.) značajnost i revizijski rizik se razmatraju kad se identificiraju i procjenjuju rizici značajnih pogrešnih prikazivanja u klasama transakcija, stanjima računa, i objavama. Revizorovo utvrđivanje značajnosti je pitanje profesionalne prosudbe i na njega utječe revizorova percepcija potreba korisnika financijskih izvještaja za financijskim informacijama.[876](MRevS 320, točka 4.) Za svrhe ovog MRevS-a i točke 18 MRevS-a 330, klase transakcija, stanja računa ili objave su značajne ako se može razumno očekivati da bi njihovo ispuštanje, pogrešno prikazivanje ili prikrivanje informacija o njima utjecalo na ekonomske odluke korisnika koje su donesene na osnovi financijskih izvještaja kao cjeline.
A234. Mogu postojati klase transakcija, stanja računa ili objave koje su značajne ali nisu bile utvrđene kao signifikantne klase transakcija, stanja računa ili objava (tj. ne postoje identificirane relevantne tvrdnje).
Primjer: Subjekt može imati objavu o plaćama izvršnih osoba za koje revizor nije identificirao rizik značajnih pogrešnih prikazivanja. Međutim, revizor može utvrditi da je ova objava značajna na osnovi razmatranja u točki A233. |
A235. Revizijski postupci za rješavanje klasa transakcija, stanja računa ili objava koji su značajni ali nisu utvrđeni kao signifikantni uređeni su u MRevS 330. Kad je klasa transakcija, stanja računa ili objava utvrđena kao signifikantna kao što zahtijeva točka 29, klasa transakcija, stanje računa ili objava je također značajna klasa transakcija, stanja računa ili objava za svrhe točke 18 MRevS-a 330.
Promjena procjene rizika (Vidjeti točku 37)
A236. Za vrijeme revizije pozornost revizora mogu privući nove ili druge informacije koje se značajno razlikuju od onih na kojima je bila temeljena procjena rizika.
Primjer: Subjektova procjena rizika može biti temeljena na očekivanju da određene kontrole funkcioniraju učinkovito. U obavljanju testova tih kontrola revizor može pribaviti revizijske dokaze da one nisu funkcionirale učinkovito u relevantnim razdobljima tijekom revizije. Slično tome, kod obavljanja dokaznih postupaka revizor može otkriti pogrešna prikazivanja u iznosima ili učestalosti većoj nego što je konzistentno s revizorovima procjenama rizika. U takvim okolnostima, procjena rizika možda neće na odgovarajući način odražavati stvarne okolnosti subjekta i daljnji planirani revizijski postupci možda nisu učinkoviti u otkrivanju značajnih pogrešnih prikazivanja. Točke 16 i 17 MRevS-a 330 pružaju daljnje upute za ocjenjivanje operativne učinkovitosti kontrola. |
Dokumentacija (Vidjeti točku 38)
A237. Za ponavljajuće revizije, određena dokumentacija može se prenijeti iz ranije revizije i ažurirati po potrebi kako bi odražavala promjene u subjektovom poslovanju ili procesima.
A238. MRevS 230 navodi da, između ostalih razmatranja, iako možda ne postoji jedan način na koji se dokumentira revizorov profesionalni skepticizam, revizijska dokumentacija može ipak pružiti dokaze o revizorovom profesionalnom skepticizmu.[877](MRevS 230, točka A7.) Na primjer, kad revizijski dokazi pribavljeni iz postupaka procjene rizika uključuju dokaze koji i potvrđuju i opovrgavaju menadžmentove tvrdnje, dokumentacija može uključivati način na koji je revizor ocijenio takve dokaze uključujući profesionalne prosudbe koje je donio u ocjenjivanju pitanja pružaju li revizijski dokazi primjerenu osnovu za revizorovu identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Primjeri drugih zahtjeva u ovom MRevS-u za koje dokumentacija može pružiti dokaze o korištenju profesionalnog skepticizma od strane revizora uključuju:
• točka 13 koja zahtijeva od revizora oblikovanje i obavljanje postupaka procjene rizika na način koji nije pristran prema pribavljanju revizijskih dokaza koji mogu potkrijepiti postojanje rizika ili prema isključivanju revizijskih dokaza koji mogu opovrgnuti postojanje rizika;
• točka 17 koja zahtijeva diskusiju između ključnih članova angažiranog time o primjeni primjenjivog okvira financijskog izvještavanja i podložnosti subjektovih financijskih izvještaja značajnim pogrešnim prikazivanjima;
• točke 19(b) i 20 koje zahtijevaju od revizora stjecanje razumijevanja razloga za bilo koje promjene subjektovih računovodstvenih politika i ocjenjivanje jesu li računovodstvene politike subjekta primjerene i konzistentne s primjenjivim okvirom financijskog izvještavanja;
• točke 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) i 27 koje zahtijevaju od revizora da na temelju stečenog razumijevanja ocijeni jesu li komponente subjektovog sustava internih kontrola primjerene subjektovim okolnostima imajući u vidu prirodu i kompleksnost subjekta te utvrdi je li utvrđeni jedan ili više kontrolnih nedostataka;
• točka 35 koja zahtijeva od revizora uzimanje u obzir svih revizijskih dokaza pribavljenih iz postupaka procjene rizika bilo da su potkrepljujući ili opovrgavajući u odnosu na tvrdnje menadžmenta, te ocjenjivanje pitanja pružaju li revizijski dokazi pribavljeni iz postupaka procjene rizika primjerenu osnovu za identifikaciju ili procjenu rizika značajnih pogrešnih prikazivanja; i
• točka 36 koja zahtijeva od revizora ocjenjivanje o tome, kad je primjenjivo, ostaje li i dalje primjereno revizorovo utvrđenje o tome da ne postoje rizici značajnih pogrešnih prikazivanja za značajne klase transakcija, stanja računa ili objava.
Prilagodljivost opsega
A239. Način na koji se dokumentiraju zahtjevi iz točke 38 treba utvrditi revizor korištenjem profesionalne prosudbe.
A240. Potkrepljivanje razumne osnove za donesene teške prosudbe može zahtijevati detaljniju dokumentaciju koja je dostatna da omogući iskusnom revizoru, koji nema prethodnog iskustva s tom revizijom, razumijevanje vrste, vremenskog rasporeda i opsega obavljenih revizijskih postupaka.
A241. Za revizije manje kompleksnih subjekata oblik i sadržaj dokumentacije mogu biti jednostavni i relativno kratki. Na oblik i opseg revizorove dokumentacije utječe vrsta, veličina i kompleksnost subjekta i njegovog sustava internih kontrola, raspoloživost informacija od subjekta i revizijska metodologija i tehnologija koja se koristi tijekom revizije. Nije potrebno dokumentirati sveukupno revizorovo razumijevanje subjekta i pitanja koja su s time povezana. Ključni elementi[878](MRevS 230, točka 8.) razumijevanja dokumentirani od strane revizora mogu uključivati one elemente na kojima je revizor temeljio procjenu rizika značajnih pogrešnih prikazivanja. Međutim, od revizora se ne zahtijeva dokumentiranje svakog čimbenika inherentnog rizika koji je uzet u obzir pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
Primjer: U reviziji manje kompleksnih subjekata revizijska dokumentacija može biti ugrađena u revizorovu dokumentaciju sveukupne strategije i plana revizije.[879] Slično tome, na primjer, rezultati procjene rizika mogu biti dokumentirani zasebno ili mogu biti dokumentirani kao dio revizorove dokumentacije o daljnjim revizijskim postupcima. |
[879](MRevS 300, Planiranje revizije financijskih izvještaja, točke 7, 9 i A11.)
Dodatak 1
(Vidjeti točke A61‒A67)
Razmatranja za razumijevanje subjekta i njegovog poslovnog modela
Ovaj dodatak objašnjava ciljeve i opseg subjektovog poslovnog modela i pruža primjere pitanja koja revizor može razmotriti pri razumijevanju aktivnosti subjekta koje mogu biti uključene u poslovni model. Revizorovo razumijevanje subjektovog poslovnog modela i kako na njega utječe subjektova poslovna strategija i poslovni ciljevi, mogu pomoći revizoru pri identificiranju poslovnih rizika koji mogu utjecati na financijske izvještaje. Dodatno, ovo može pomoći revizoru pri identificiranju rizika značajnih pogrešnih prikazivanja.
Ciljevi i opseg subjektovog poslovnog modela
1. Subjektov poslovni model opisuje način na koji subjekt razmatra, na primjer, svoju organizacijsku strukturu, poslovanje ili opseg aktivnosti, poslovne linije (uključujući konkurente i njihove kupce), procese, mogućnosti za rast, globalizaciju, regulatorne zahtjeve i tehnologije. Subjektov poslovni model opisuje način na koji subjekt stvara, održava i evidentira financijsku ili širu vrijednost za svoje dionike.
2. Strategije su pristupi kojima menadžment planira ostvariti ciljeve subjekta, uključujući način na koji subjekt planira postupati s rizicima i prilikama s kojima se suočava. Menadžment s vremenom mijenja strategije subjekta kako bi reagirale na promjene svojih ciljeva te na unutarnje i vanjske okolnosti u kojima posluje.
3. Opis poslovnog modela uobičajeno uključuje:
• opseg subjektovih aktivnosti i zašto ih obavlja;
• struktura subjekta i opseg njegovog poslovanja;
• tržišta ili zemljopisna ili demografska područja i dijelovi lanca vrijednosti u kojem subjekt posluje, kako nastupa na tim tržištima ili područjima (glavni proizvodi, segmenti kupaca i metode distribucije) te osnovu na kojoj se natječe;
• poslovni ili operativni procesi subjekta (npr. ulaganje, financiranje i operativni procesi) koji se koriste u obavljanju aktivnosti subjekta kojima se služi za obavljanje svojih aktivnosti usredotočujući se na one dijelove poslovnih procesa koji su važni za stvaranje, očuvanje i evidentiranje vrijednosti;
• resursi (npr. financijski, ljudski, intelektualni, okolišni i tehnološki) i drugi inputi i odnosi (npr. kupci, konkurenti, dobavljači i zaposlenici) koji su nužni ili važni za uspjeh subjekta;
• način na koji poslovni model subjekta integrira korištenje IT-a u svojim interakcijama s kupcima, dobavljačima, financijerima i drugim dionicima kroz IT sučelja i druge tehnologije.
4. Poslovni rizik može imati neposrednu posljedicu za rizik značajnih pogrešnih prikazivanja za klase transakcija, stanja računa i objavljivanja na razini tvrdnje ili na razini financijskih izvještaja. Na primjer, poslovni rizik koji proizlazi iz značajnog pada tržišnih vrijednosti nekretnina može povećati rizik značajnih pogrešnih prikazivanja povezanog s tvrdnjom o vrijednosti za zajmodavca srednjoročnih zajmova osiguranih nekretninama. Međutim, isti rizik, osobito u kombinaciji s jakim ekonomskim padom koji istodobno povećava osnovni rizik kreditnih gubitaka kroz cijelo vrijeme trajanja zajmova, može imati i dugotrajne posljedice. Rezultirajuća neto izloženost kreditnim gubicima može baciti značajnu sumnju u sposobnost subjekta da nastavi s vremenski neograničenim poslovanjem. Ako je tako, to može imati implikacije za zaključke menadžmenta i revizora o primjerenosti subjektovog korištenja računovodstva na osnovi vremenski neograničenog poslovanja te za utvrđivanje postoji li značajna neizvjesnost. Može li poslovni rizik rezultirati rizikom značajnih pogrešnih prikazivanja se, stoga, razmatra u svjetlu okolnosti subjekta. Primjeri događaja i uvjeta koji mogu dovesti do postojanja rizika značajnih pogrešnih prikazivanja prikazani su u Dodatku 2.
Aktivnosti subjekta
5. Primjeri pitanja koja revizor može razmotriti kad stječe razumijevanje o aktivnostima subjekta (koje su uključene u poslovni model subjekta) uključuju:
(a) Poslovne aktivnosti kao što su:
o vrste izvora prihoda, proizvoda ili usluga te tržišta uključujući sudjelovanje u elektroničkoj trgovini kao što je internet prodaja i marketinške aktivnosti;
o provedba aktivnosti (na primjer, faze i metode proizvodnje ili aktivnosti izložene rizicima za okoliš);
o suradnje, zajednička ulaganja i aktivnosti outsourcinga;
o zemljopisna disperzija i industrijska segmentacija;
o lokacija proizvodnih pogona, skladišta i ureda te lokacija i količine zaliha;
o ključni kupci i važni dobavljači roba i usluga, aranžmani o zaposlenju (uključujući postojanje sindikalnih ugovora, mirovina i drugih naknada nakon prestanka zaposlenja, aranžmani o dodjeli dioničkih opcija ili aranžmani s poticajnim bonusima te vladina regulativa koja se odnosi na pitanja zapošljavanja;
o aktivnosti istraživanja i razvoja i izdaci;
o transakcije s povezanim osobama.
(b) Investicije i investicijske aktivnosti kao što su:
o planirane ili nedavno dovršene akvizicije ili otuđenja;
o investiranje u i otuđenja vrijednosnih papira i zajmova;
o aktivnosti kapitalnog investiranja;
o investiranje u nekonsolidirane subjekte uključujući nekontrolirana partnerstva, zajednička ulaganja i nekontrolirane subjekte posebne namjene.
(c) financiranje i aktivnosti financiranja kao što su:
o vlasnička struktura ključnih ovisnih društava i pridruženih subjekata uključujući konsolidirane i nekonsolidirane strukture;
o struktura duga i povezani uvjeti, uključujući izvanbilančne financijske aranžmane i aranžmane o najmu;
o vlasnici koji su krajnji korisnici (na primjer, lokalni, strani, poslovna reputacija i iskustvo) te povezane osobe;
o korištenje derivativnih financijskih instrumenata.
Priroda subjekata posebne namjene
6. Subjekt posebne namjene (ponekad nazvan uređajem posebne namjene) je subjekt koji je općenito osnovan za usku i dobro definiranu svrhu poput realizacije najma ili sekuritizacije imovine ili radi provođenja aktivnosti istraživanja i razvoja. Može biti u obliku korporacije, zaklade, partnerstva ili neinkorporiranog subjekta. Subjekt u čije ime je osnovan subjekt posebne namjene može često prenijeti imovinu na potonji subjekt (na primjer, kao dio transakcije s prestankom priznavanja koja uključuje financijsku imovinu), steći pravo korištenja imovine potonjeg ili pružati usluge za potonjeg dok druge strane mogu financirati potonjeg. Kao što navodi MRevS 550, u nekim okolnostima subjekt posebne namjene može biti povezana osoba subjekta.[880](MRevS 550, točka A7.)
7. Okviri financijskog izvještavanja često preciziraju detaljne uvjete za koje se smatra da dovode do kontrole ili okolnostima u kojima se mora razmotriti uključivanje subjekta posebne namjene u konsolidaciju. Tumačenje zahtjeva takvih okvira često zahtijeva detaljno poznavanje relevantnih ugovora koji uključuju subjekt posebne namjene.
Dodatak 2
(Vidjeti točke 12(f), 19(c), A7‒A8, A85‒A89)
Razumijevanje čimbenika inherentnog rizika
Ovaj dodatak sadrži daljnja objašnjenja o čimbenicima inherentnog rizika kao i pitanja koja revizor može razmotriti pri razumijevanju i primjenjivanju čimbenika inherentnog rizika kod identificiranja i procjenjivanja rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
Čimbenici inherentnog rizika
1. Čimbenici inherentnog rizika karakteristike su događaja ili stanja koje utječu na podložnost tvrdnje o klasi transakcija, stanju računa ili objavljivanju, pogrešnom prikazivanju, bilo zbog prijevare ili pogreške te prije razmatranja kontrola. Takvi čimbenici mogu biti kvalitativni ili kvantitativni te uključuju složenost, subjektivnost, promjenu, nesigurnost ili podložnost pogrešnom prikazivanju zbog pristranosti menadžmenta ili drugih čimbenika rizika prijevare[881](MRevS 240, točke A24–A27.) u mjeri u kojoj utječu na inherentni rizik. Pri stjecanju razumijevanja subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja i računovodstvenih politika subjekta, u skladu s točkama 19(a)-(b), revizor također razumije način na koji inherentni čimbenici rizika utječu na podložnost tvrdnji pogrešnom prikazivanju pri pripremi financijskih izvještaja.
2. Čimbenici inherentnog rizika koji se odnose na pripremu informacija sukladno zahtjevima primjenjivog okvira financijskog izvještavanja (dalje u ovoj točki: »zahtijevane informacije«) uključuju:
• Kompleksnost – proizlazi ili iz prirode informacije ili iz načina pripremanja zahtijevane informacije, uključujući okolnosti u kojima je takve procese pripreme same po sebi teže primijeniti. Na primjer, kompleksnost može nastati:
o pri obračunu iznosa rabata dobavljačima jer može biti potrebno uzeti u obzir različite komercijalne uvjete za puno različitih dobavljača, ili puno međusobno isprepletenih komercijalnih uvjeta koji su svi relevantni za obračun iznosa rabata koji se duguje; ili
o kad postoji puno potencijalnih izvora podataka s različitim karakteristikama koje se koriste pri donošenju računovodstvene procjene, obrada podataka uključuje puno međusobno povezanih koraka i podatke je stoga inherentno teže identificirati, evidentirati, pribaviti, razumjeti ili obraditi.
• Subjektivnost – proizlazi iz inherentnih ograničenja u sposobnosti pripremanja zahtijevanih informacija na objektivan način, zbog ograničenja u raspoloživosti znanja ili informacija, tako da menadžment možda mora napraviti odabir ili subjektivnu prosudbu o primjeni primjerenog pristupa i o uključivanju tako dobivenih informacija u financijske izvještaje. Zbog različitih pristupa pripremi zahtijevanih informacija, različiti ishodi mogu rezultirati iz primjerene primjene zahtjeva primjenjivog okvira financijskog izvještavanja. Kako se povećavaju ograničenja u znanju ili podacima, povećat će se i subjektivnost u prosudbama koje bi mogli donijeti razumno upućeni i neovisni pojedinci te različitost mogućih ishoda tih prosudbi.
• Promjena – rezultira iz događaja ili stanja koji, kroz vrijeme, utječu na poslovanje subjekta ili ekonomske, računovodstvene, regulatorne, granske ili druge aspekte okruženja u kojem djeluje kad se učinci takvih događaja ili stanja odražavaju na zahtijevane informacije. Takvi događaji ili stanja mogu nastati za vrijeme ili između razdoblja financijskog izvještavanja. Na primjer, promjena može rezultirati iz razvoja zahtjeva primjenjivog okvira financijskog izvještavanja ili u subjektu i njegovu poslovnom modelu, ili u okruženju u kojem subjekt posluje. Takva promjena može utjecati na menadžmentove pretpostavke i prosudbe, uključujući one koje se odnose na menadžmentov odabir računovodstvenih politika ili način donošenja računovodstvenih procjena ili utvrđivanja povezanih objava.
• Nesigurnost – nastaje kad zahtijevane informacije ne mogu biti pripremljene samo na osnovi dostatno preciznih i sveobuhvatnih podataka koji se mogu verificirati kroz izravno promatranje. U tim okolnostima može biti potrebno primijeniti pristup koji primjenjuje raspoloživo znanje za pripremu informacija korištenjem dovoljno preciznih i sveobuhvatnih opažljivih podataka, u opsegu u kojem su dostupni, te razumne pretpostavke koje podržavaju najprimjereniji dostupni podaci, kad nisu dostupni.. Ograničenja u raspoloživosti znanja ili podataka koja nisu pod kontrolom menadžmenta (podložno troškovnim ograničenjima ako je primjenjivo) su izvori nesigurnosti i njihov učinak na pripremu zahtijevanih informacija ne može biti eliminiran. Na primjer, nesigurnost procjene nastaje kad zahtijevani novčani iznos ne može biti utvrđen s preciznošću i ishod procjene nije poznat prije datuma dovršenja financijskih izvještaja.
• Podložnost pogrešnom prikazivanju zbog pristranosti menadžmenta ili drugih čimbenika rizika prijevare ako oni utječu na inherentni rizik – podložnost pristranosti menadžmenta rezultira iz uvjeta koji stvaraju podložnost namjernom ili nenamjernom propustu menadžmenta da održi neutralnost u pripremi informacija. Menadžmentova pristranost je često povezana s određenim uvjetima koji imaju potencijal biti uzrokom da menadžment ne održava neutralnost u stvaranju prosudbi (pokazatelji potencijalne pristranosti menadžmenta), što može dovesti do značajnog pogrešnog prikazivanja informacija koje bi moglo biti prijevarno ako je namjerno. Takvi pokazatelji uključuju poticaje ili pritiske ako utječu na inherentni rizik (na primjer, kao posljedica motiviranosti za postizanjem željenog rezultata kao što je željena ciljna dobit ili pokazatelj kapitala) i priliku da ne održavaju neutralnost. Čimbenici koji su relevantni za podložnost pogrešnom prikazivanju zbog prijevare u obliku prijevarnog financijskog izvještavanja ili prisvajanja imovine opisani su u točkama A1 do A5 MRevS-a 240.
3. Kad je kompleksnost čimbenik inherentnog rizika, može postojati inherentna potreba za kompleksnijim procesima pripreme informacija i takvi procesi mogu biti inherentno teži za primjenu. Posljedično tome, njihova primjena može zahtijevati specijalizirane vještine ili znanje te može zahtijevati korištenje menadžmentovog stručnjaka.
4. Kad je prosudba menadžmenta subjektivnija, podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti, nenamjerne ili namjerne, može također biti povećana. Na primjer, značajna prosudba menadžmenta može biti uključena u donošenje računovodstvenih procjena koje su identificirane kao visoka nesigurnost procjene i zaključci glede metoda, podataka i pretpostavki mogu održavati nenamjernu ili namjernu pristranost menadžmenta.
Primjeri događaja ili stanja koji mogu dovesti do postojanja rizika značajnih pogrešnih prikazivanja
1. U nastavku su prikazani primjeri događaja (uključujući transakcije) i uvjeta koji mogu ukazivati na postojanje rizika značajnih pogrešnih prikazivanja u financijskim izvještajima na razini financijskih izvještaja ili na razini tvrdnje. Primjeri su navedeni prema čimbeniku inherentnog rizika i pokrivaju širok raspon događaja i uvjeta. Međutim, nisu svi događaji i uvjeti relevantni za svaki revizijski angažman te popis primjera nije nužno potpun. Događaji i uvjeti kategorizirani su prema čimbeniku inherentnog rizika koji može imati najveći utjecaj u danim okolnostima. Važno je napomenuti da će zbog međuodnosa između čimbenika inherentnog rizika primjeri događaja i uvjeta također vjerojatno biti podložni drugim čimbenicima inherentnog rizika ili će na njih utjecati.
Relevantni čimbenik inherentnog rizika |
Primjeri događaja ili stanja koji mogu dovesti do postojanja rizika značajnih pogrešnih prikazivanja na razini tvrdnje |
Kompleksnost |
Regulatorna: • poslovanje koje je znatno podložno kompleksnoj regulativi. Poslovni model: • postojanje kompleksnih saveza i zajedničkih ulaganja. Primjenjivi okvir financijskog izvještavanja: • računovodstvena mjerenja koja uključuju kompleksne procese. Transakcije: • korištenje izvanbilančnog financiranja, subjekata posebne namjene i drugih kompleksnih financijskih aranžmana. |
Subjektivnost |
Primjenjivi okvir financijskog izvještavanja: • širok raspone mogućih kriterija mjerenja neke računovodstvene procjene. Na primjer, menadžmentovo priznavanje amortizacije ili prihoda i rashoda kod gradnje. • menadžmentov odabir tehnika procjene ili modela za trajnu imovinu kao što su ulaganja u nekretnine. |
Promjena |
Ekonomski uvjeti: • poslovanje u područjima koja su ekonomski nestabilna, na primjer, zemlje sa značajnom devalvacijom valute ili u visoko inflatornim ekonomijama. Tržišta: • poslovanje je izloženo volatilnim tržištima, na primjer, trgovanje futures-ima. Gubljenje kupaca: • pitanja vremenski neograničenog poslovanja i likvidnosti uključujući gubitak značajnih kupaca. Industrijski (granski) model: • promjene u industriji u kojoj subjekt posluje. Poslovni model: • promjene u dobavnom lancu. • razvoj ili nuđenje novih proizvoda ili usluga ili ulaženje u nove poslovne linije. Zemljopis: • širenje na nove lokacije. Struktura subjekta: • promjene u subjektu kao što su velike akvizicije ili reorganizacije ili drugi neuobičajeni događaji. • subjekti ili poslovni segmenti koji će vjerojatno biti prodani. Kompetentnost ljudskih resursa: • promjene u ključnom osoblju uključujući odlazak ključnih izvršnih osoba. |
IT: • promjene u IT okruženju. • instalacija značajnih novih IT sustava koji su povezani s financijskim izvještavanjem. Primjenjivi okvir financijskog izvještavanja: • primjena novih računovodstvenih propsa. Kapital: • nova ograničenja raspoloživosti kapitala i kredita. Regulatorno: • započinjanje istraga vezanih uz subjektovo poslovanje ili financijske rezultate od strane regulatornih ili vladinih tijela. • utjecaj novih zakona koji se odnose na zaštitu okoliša. |
|
Nesigurnost |
Izvještavanje: • događaji ili transakcije koje uključuju značajnu nesigurnost mjerenja uključujući računovodstvene procjene i povezane objave, • predstojeći sudski spor i potencijalne obveze, na primjer, jamstva za prodane proizvode, financijska jamstva i sanacija okoliša. |
Podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili drugih čimbenika rizika prijevare ako oni utječu na inherentni rizik |
Izvještavanje: • prilike za menadžment i zaposlene da sudjeluju u prijevarnom financijskom izvještavanju, uključujući izostavljanje ili prikrivanje značajnih informacija u objavama. Transakcije: • značajne transakcije s poveznim osobama, • značajan iznos nerutinskih ili nesustavnih transakcija uključujući međukompanijske transakcije i velike transakcije povezane s prihodima na kraju razdoblja, • transakcije koje su evidentirane na temelju menadžmentove namjere, na primjer, refinanciranje duga, imovina za prodaju i klasifikacija utrživih vrijednosnica. |
Ostali događaji ili uvjeti koji mogu ukazivati na rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja:
• nedostatak osoblja s primjerenim vještinama na području računovodstva i financijskog izvještavanja.
• nedostaci kontrola – osobito u kontrolnom okruženju, procesu procjene rizika i procesu monitoringa i posebno oni s kojima se menadžment nije bavio.
• prošla pogrešna prikazivanja, povijest pogrešaka ili značajan iznos usklađivanja na kraju razdoblja.
Dodatak 3
(Vidjeti točke 12(m), 21 – 26, A90 – A181)
Razumijevanje subjektovog sustava internih kontrola
1. Subjektov sustav internih kontrola može se odražavati u priručnicima o politici i postupcima, sustavima i obrascima te informacijama koje su u njima ugrađene, te na koji utječu ljudi. Subjektov sustav internih kontrola implementira menadžment, oni koji su zaduženi za upravljanje ili drugo osoblje na temelju strukture subjekta. Subjektov sustav internih kontrola može se primijeniti na operativni model subjekta, pravnu strukturu subjekta ili njihovu kombinaciju na osnovi odluka menadžmenta, onih koji su zaduženi za upravljanje ili drugog osoblja u kontekstu zakonskih i regulatornih zahtjeva.
2. Ovaj dodatak dalje objašnjava komponente kao i ograničenja subjektovog sustava internih kontrola kako je navedeno u točkama 12(m), 21 – 26, i A90 – A181, jer se odnose na reviziju financijskih izvještaja.
3. Subjektov sustav internih kontrola uključuje aspekte koji se odnose na subjektove ciljeve izvještavanja uključujući njegove ciljeve financijskog izvještavanja, ali može uključivati aspekte koji se odnose na njegovo poslovanje ili ciljeve usklađenosti kad su takvi aspekti relevantni za financijsko izvještavanje.
Primjer: Kontrole nad usklađenošću s zakonima i regulativom mogu biti relevantne za financijsko izvještavanje kad su takve kontrole relevantne za subjektovo pripremanje objavljivanja potencijalnih obveza u financijskim izvještajima. |
Komponente subjektovog sustava internih kontrola
Kontrolno okruženje
4. Kontrolno okruženje uključuje funkcije upravljanja i menadžmenta te stavove, svijest i djelovanje onih koji su zaduženi za upravljanje i menadžment u vezi s subjektovim sustavom internih kontrola i njegovoj važnosti u subjektu. Kontrolno okruženje postavlja ton organizacije utječući na kontrolnu svijest njezinih ljudi i pruža sveukupni temelj za rad ostalih komponentni subjektovog sustava internih kontrola.
5. Na svijest o kontrolama subjekta utječu oni koji su zaduženi za upravljanje jer je jedna od njihovih uloga biti protuteža pritiscima na menadžment u odnosu na financijsko izvještavanja koji mogu proizaći iz zahtjeva tržišta ili shema naknada. Na učinkovitost oblika kontrolnog okruženja u odnosu na sudjelovanje onih koji su zaduženi za upravljanje stoga utječu pitanja kao što su:
• njihova neovisnost od menadžmenta i njihova sposobnost ocjenjivanja postupanja menadžmenta;
• razumiju li poslovne transakcije subjekta;
• opseg u kojem ocjenjuju jesu li financijski izvještaji pripremljeni u skladu s primjenjivim okvirom financijskog izvještavanja, uključujući i pitanje sadrže li financijski izvještaji adekvatna objavljivanja.
6. Kontrolno okruženje obuhvaća sljedeće elemente:
(a) Kako se provode odgovornosti menadžmenta kao što je stvaranje i održavanje subjektove kulture i pokazivanje predanosti menadžmenta integritetu i etičkim vrijednostima. Učinkovitost kontrola ne može biti postavljena iznad integriteta i etičkih vrijednosti ljudi koji ih stvaraju, upravljaju i nadgledaju. Integritet i etično ponašanje su proizvod subjektovih etičkih i standarda ponašanja ili kodeksa ponašanja, načina na koji se oni komuniciraju (npr. izjavama o politici) i načinu na koji se provode u praksi (npr. radnjama menadžmenta radi eliminiranja ili ublažavanja poticaja ili iskušenja koja bi mogla potaknuti osoblje na nepoštene, nezakonite ili neetične radnje). Komuniciranje subjektovih politika o integritetu i etičkim vrijednostima može uključivati komuniciranje – priopćavanje standarda ponašanja osoblju kroz izjave o politici i kodeks ponašanja te kroz primjer.
(b) Kad su oni koji su zaduženi za upravljanje odvojeni od menadžmenta način na koji oni zaduženi za upravljanje pokazuju neovisnost od menadžmenta i obavljaju nadzor nad subjektovim sustavom internih kontrola. Na svijest o subjektovim kontrolama utječu oni koji su zaduženi za upravljanje. Razmatranja mogu uključivati pitanja o tome postoji li dovoljno pojedinaca koji su neovisni od menadžmenta i koji su objektivni u svojim ocjenama i odlučivanju; način na koji oni zaduženi za upravljanje identificiraju i prihvaćaju nadzorne odgovornosti i zadržavaju li oni zaduženi za upravljanje odgovornost za nadzor nad menadžmentovim oblikovanjem, implementacijom i provođenjem subjektovog sustava internih kontrola. Važnost odgovornosti onih koji su zaduženi za upravljanje priznata je u kodeksima prakse i drugim zakonima i regulativi ili uputama koji su izrađeni u korist onih zaduženih za upravljanje. Druge odgovornosti onih koji su zaduženi za upravljanje uključuju nadzor nad oblikovanjem i učinkovitim djelovanjem postupaka vezanih za zviždače.
(c) Način na koji subjekt dodjeljuje nadležnosti i odgovornost u ostvarivanju svojih ciljeva. Ovo može uključivati razmatranja o:
• ključnim područjima nadležnosti i odgovornosti te primjerene linije izvještavanja;
• politike koje se odnose na primjerene poslovne prakse, znanje i iskustvo ključnog osoblja, te resurse koji postoje za izvršavanje dužnosti; i
• politike i komunikacije usmjerene na osiguravanje da svo osoblje razumije subjektove ciljeve, da je upoznato kako su njihove pojedinačne radnje međusobno povezane i kako doprinose tim ciljevima te kako će i za što odgovarati.
(d) Način na koji subjekt privlači, razvija i zadržava kompetentne pojedince u skladu sa svojim ciljevima. Ovo uključuje način na koji subjekt osigurava da pojedinci imaju znanje i vještine koji su potrebni za obavljanje zadataka koji definiraju radno mjesto pojedinca, kao što su:
• standardi za zapošljavanje najkvalificiranijih pojedinaca s naglaskom na obrazovanju, prethodnom radnom iskustvu, prošlim dostignućima i dokazima o integritetu i etičnom ponašanju;
• politike osposobljavanja koje komuniciraju buduće uloge i odgovornosti uključujući prakse poput škola za osposobljavanje i seminara koji ilustriraju očekivane razine uspješnosti i ponašanja; i
• periodična ocjenjivanja uspješnosti koje utječu na unapređenja koja pokazuju predanost subjekta napredovanju kvalificiranog osoblja prema višim razinama odgovornosti.
(e) Način na koji subjekt drži pojedince odgovornima za njihove nadležnosti u postizanju ciljeva subjektovog sustava internih kontrola. Ovo se može postići kroz, na primjer:
• mehanizme za komunikaciju i pozivanje pojedinaca na odgovornost za obavljanje kontrola te primjenu korektivnih radnji ako je potrebno;
• uspostavljanje mjera uspješnosti, poticaja i nagrada za one koji su odgovorni za subjektov sustav internih kontrola uključujući način na koji se mjere ocjenjuju i održavaju relevantnima;
• način na koji pritisci povezani s postizanjem kontrolnih ciljeva utječu na odgovornosti pojedinaca i mjere uspješnosti; i
• način na koji se pojedinci discipliniraju ako je potrebno.
Primjerenost gore navedenih pitanja bit će različita za svaki subjekt ovisno o njegovoj veličini, kompleksnosti njegove strukture i prirodi njegovih aktivnosti.
Subjektov proces procjene rizika
7. Subjektov proces procjene rizika je iterativni proces za identificiranje i analiziranje rizika za postizanje ciljeva subjekta i čini osnovu za način na koji menadžment ili oni koji su zaduženi za upravljanje utvrđuju rizike kojima treba upravljati.
8. Za svrhe financijskog izvještavanja, subjektov proces procjene rizika uključuje način na koji menadžment identificira poslovne rizike koji su relevantni za pripremu financijskih izvještaja u skladu sa subjektovim primjenjivim okvirom financijskog izvještavanja, ocjenjuje njihovu značajnost, procjenjuje vjerojatnost njihovog nastanka i odlučuje o radnjama za upravljanje njima i njihovim rezultatima. Na primjer, subjektov proces procjene rizika može se baviti načinom na koji subjekt razmatra mogućnost postojanja neproknjiženih transakcija ili identificira i analizira značajne procjene koje su evidentirane u financijskim izvještajima.
9. Rizici koji su relevantni za pouzdano financijsko izvještavanje uključuju vanjske i unutarnje događaje, transakcije ili okolnosti koje mogu nastati i negativno utjecati na subjektovu sposobnost da započne, evidentira, obradi i izvijesti o financijskoj informaciji dosljedno s tvrdnjama menadžmenta u financijskim izvještajima. Menadžment može inicirati planove, programe ili radnje radi razrješavanja specifičnih rizika ili može odlučiti prihvatiti rizik zbog troška ili drugih razloga. Rizici mogu nastati ili se promijeniti uslijed okolnosti kao što su sljedeće:
• Promjene u operativnom okruženju. Promjene u regulatornom, ekonomskom ili operativnom okruženju mogu rezultirati promjenama u natjecateljskom pritisku i značajno drugačijim rizicima.
• Novo osoblje. Novo osoblje može imati drugačiju usredotočenost na ili razumijevanje subjektovog sustava internih kontrola.
• Novi ili prerađeni informacijski sustav. Značajne i brze promjene informacijskog sustava mogu promijeniti rizik koji se odnosi na subjektov sustav internih kontrola.
• Brzi rast. Značajno i brzo proširenje operacija može napregnuti kontrole i povećati rizik poremećaja u kontrolama.
• Nova tehnologija. Ugrađivanje novih tehnologija u proizvodne procese ili informacijski sustav može promijeniti rizik povezan sa subjektovim sustavom internih kontrola.
• Novi poslovni modeli, proizvodi ili aktivnosti. Ulazak u poslovna područja ili transakcije s kojima subjekt ima malo iskustva može uvesti nove rizike povezane sa subjektovim sustavom internih kontrola.
• Korporativna restrukturiranja. Restrukturiranja mogu biti popraćena smanjenjima broja osoblja i promjenama u nadzoru i segregaciji dužnosti što može promijeniti rizik povezan sa subjektovim sustavom internih kontrola.
• Prošireno inozemno poslovanje. Ekspanzija ili akvizicija inozemnog poslovanja donosi nove i često jedinstvene rizike koji mogu utjecati na interne kontrole, na primjer, dodatni ili promijenjeni rizici zbog deviznih transakcija.
• Novi računovodstveni standardi. Usvajanje novih računovodstvenih načela ili promjene računovodstvenih načela mogu utjecati na rizike u pripremanju financijskih izvještaja.
• Korištenje IT-a. Rizici koji se odnose na:
o održavanje integriteta podataka i obrade informacija;
o rizici za subjektovu poslovnu strategiju koji nastaju ako subjektova IT strategija ne podržava učinkovito subjektovu poslovnu strategiju; ili
o promjene ili prekidi u subjektovom IT okruženju ili fluktuacija IT osoblja ili kad subjekt ne provede nužne promjene IT okruženja ili takve promjene nisu pravovremene.
Subjektov proces monitoring sustava internih kontrola
10. Subjektov proces monitoringa sustava internih kontrola je kontinuirani proces ocjenjivanja učinkovitosti subjektovog sustava internih kontrola i pravovremeno poduzimanje potrebnih korektivnih radnji. Subjektov proces monitoringa subjektovog sustava internih kontrola može se sastojati od stalnih aktivnosti, odvojenih ocjenjivanja (koja se obavljaju periodično) ili neka kombinacija toga dvojega. Stalne aktivnosti monitoringa su često ugrađene u redovne ponavljajuće aktivnosti subjekta i mogu uključivati redovne aktivnosti upravljanja i nadziranja. Subjektov proces će varirati u opsegu i učestalosti ovisno o subjektovoj procjeni rizika.
11. Ciljevi i opseg službe interne revizije obično uključuju aktivnosti oblikovane za ocjenjivanje ili monitoring učinkovitosti subjektovog sustava internih kontrola.[882](MRevS 610 (izmijenjen 2013.) i Dodatak 4 ovom MRevS-u sadrže daljnje upute povezane s internom revizijom.) Subjektov proces monitoringa subjektovog sustava internih kontrola može uključivati aktivnosti kao što je provjera od strane menadžmenta jesu li usklađivanja s bankama pripremljena pravovremeno, ocjenu od strane interne revizije o pridržavanju subjektovih politika koje se odnose na uvjete ugovora o prodaji te na nadzor nad pridržavanjem subjektovih politika vezanih uz etiku i poslovnu praksu. Monitoring se obavlja također radi osiguravanja da kontrole kroz vrijeme nastave učinkovito funkcionirati. Na primjer, ako se ne nadzire pravovremenost i točnost usklađivanja s bankama, vjerojatno je da će ih osoblje prestati pripremati.
12. Kontrole koje se odnose na subjektov proces monitoringa subjektovog sustava internih kontrola uključujući one koje nadziru osnovne automatizirane kontrole mogu biti automatizirane ili ručne ili kombinacija toga dvojega. Na primjer, subjekt može koristiti automatizirane kontrole monitoringa nad pristupom određenoj tehnologiji putem slanja automatiziranih izvještaja o neuobičajenim aktivnostima menadžmentu koji ručno istražuje identificirane anomalije.
13. Kod razlikovanja između aktivnosti monitoringa i kontrola povezanih s informacijskim sustavom razmatraju se osnovne pojedinosti aktivnosti osobito kad aktivnost uključuje neku razinu nadzornog pregleda. Nadzorni pregledi se klasificiraju automatski u aktivnosti monitoringa te ovo može biti pitanje za prosudbu o tome treba li neki pregled biti klasificiran kao kontrola povezana s informacijskim sustavom ili kao aktivnost monitoringa. Na primjer, namjera mjesečne kontrole potpunosti je detektirati i korigirati pogreške, dok bi aktivnost monitoringa postavila pitanje zašto se pogreške događaju i dodijelila menadžmentu odgovornost za popravljanje procesa radi sprječavanja budućih pogrešaka. Jednostavnim riječima, kontrola koja je povezana s informacijskim sustavom reagira na specifični rizik dok aktivnost monitoringa procjenjuje funkcioniraju li kontrole unutar svake od pet komponentni subjektovog sustava internih kontrola kao što je namjeravano.
14. Aktivnosti monitoringa mogu uključivati korištenje informacija iz komunikacija s vanjskim osobama što može ukazivati na probleme ili naznačiti područja na kojima je potrebno poboljšanje. Kupci implicitno potvrđuju podatke iz faktura plaćanjem računa ili podnošenjem žalbi zbog terećenja. Dodatno, regulatori mogu komunicirati sa subjektom u vezi s pitanjima koja utječu na funkcioniranja subjektovog sustava internih kontrola, na primjer, komunikacije u svezi s ispitivanjima od strane regulatornih agencija za banke. Također, u obavljanju aktivnosti monitoringa menadžment može razmotriti bilo koje komunikacije povezane s subjektovim sustavom internih kontrola koje su dobivene od vanjskih revizora.
Informacijski sustav i komunikacija
15. Informacijski sustav koji je relevantan za pripremanje financijskih izvještaja sastoji se od aktivnosti i politika te računovodstvenih i pomoćnih evidencija koje su oblikovane i uspostavljene radi:
• iniciranja, evidentiranja i obrade subjektovih transakcija (kao i evidentiranja, obrade i objavljivanja informacija o događajima i uvjetima koji nisu transakcije) i održavanja odgovornosti za odnosnu imovinu, obveze i vlastiti kapital;
• rješavanja netočne obrade transakcija, na primjer, praćenje automatiziranih suspenzijskih datoteka i postupci koji se obavljaju radi pravovremenog razrješenja suspenzijskih stavaka;
• obrade i izvještavanja o prekoračenjima sustava i zaobilaženjima kontrola;
• unosi informacija iz obrade transakcija u glavnu knjigu (tj. prijenos akumuliranih transakcija iz pomoćne knjige);
• evidentiranja i obrade informacija o događajima i stanjima koja nisu transakcije a koja su relevantna za pripremu financijskih izvještaja, kao što su amortizacija imovine i promjene u povrativosti imovine; i
• osiguravanja da informacije koje moraju biti objavljene sukladno primjenjivom okviru financijskog izvještavanja budu prikupljene, evidentirane, obrađene, agregirane i primjereno objavljene u financijskim izvještajima.
16. Poslovni procesi subjekta uključuju aktivnosti koje su oblikovane za:
• razvoj, nabavu, proizvodnju, prodaju i distribuciju subjektovih proizvoda i usluga;
• osiguranje usklađenosti sa zakonima i regulativom; i
• evidentiranje informacija, uključujući informacije vezane uz računovodstvo i financijsko izvještavanje.
Poslovni procesi rezultiraju transakcijama koje informacijski sustav evidentira, obrađuje i o kojima izvještava.
17. Kvaliteta informacija utječe na sposobnost menadžmenta da donosi primjerene odluke u upravljanju i kontroli subjektovih aktivnosti i pripremi pouzdane financijske izvještaje.
18. Komunikacija koja uključuje pružanje razumijevanja pojedinačnih uloga i odgovornosti koje se odnose na subjektov sustav internih kontrola može biti u obliku priručnika za politike, priručnika za računovodstvo i financijsko izvještavanje te memoranduma. Komunikacija se može ostvariti elektroničkim i usmenim putem te kroz radnje menadžmenta.
19. Komunikacija od strane subjekta o ulogama i odgovornostima u financijskom izvještavanju i značajnim pitanjima koja se odnose na subjektov sustav internih kontrola koji je relevantan za financijsko izvještavanje. To može uključivati pitanja kao što je opseg u kojem osoblje razumije način na koji su njihove aktivnosti u informacijskom sustavu povezane s radom drugih i način izvještavanja primjerene više razine unutar subjekta o iznimkama.
Kontrolne aktivnosti
20. Kontrole u komponenti kontrolnih aktivnosti se identificiraju u skladu s točkom 26. Takve kontrole uključuju kontrole obrade informacija i opće IT kontrole, s time da jedna i druga po vrsti mogu biti ručne ili automatizirane. Što je veći opseg automatiziranih kontrola ili kontrola koje uključuju automatizirane aspekte koje menadžment koristi i na koje se oslanja u vezi sa svojim financijskim izvještavanjem, to za subjekt može biti važnija implementacija općih IT kontrola koje se odnose na kontinuirano funkcioniranje automatiziranih aspekata kontrola obrade informacija. Kontrole u komponenti kontrolnih aktivnosti mogu se odnositi na sljedeće:
• Autorizaciju i odobrenja. Autorizacija potvrđuje da je transakcija valjana (tj. da predstavlja stvarni ekonomski događaj ili da je u okviru politike subjekta). Autorizacija tipično ima formu odobrenja više razine menadžmenta ili formu verifikacije i utvrđenja da je transakcija valjana. Na primjer, supervizor odobrava izvještaj o troškovima nakon pregleda čine li se troškovi razumnima i unutar politike. Primjer automatiziranog odobrenja je kad se jedinični trošak automatski uspoređuje s povezanim jediničnim troškom narudžbe u okviru prethodno utvrđene razine tolerancije. Fakture unutar granice tolerancije se automatski odobravaju za plaćanje. One fakture koje su izvan razine tolerancije označavaju se za daljnju provjeru.
• Usklađivanja – Usklađivanjima se uspoređuju dva ili više podataka. Ako se identificiraju razlike poduzima se radnja radi usklađivanja podataka. Usklađivanja se općenito odnose na potpunost ili točnost obrade transakcija.
• Verifikacije – Verifikacijama se uspoređuju dvije ili više stavki međusobno ili s politikom te će vjerojatno uključivati naknadnu radnju kad se dvije stavke ne podudaraju ili stavka nije konzistentna s politikom. Verifikacije se općenito bave s potpunošću, točnošću ili valjanošću obrade transakcija.
• Fizičke ili logičke kontrole, uključujući one koje se odnose na sigurnost imovine od neovlaštenog pristupa, stjecanja, korištenja ili otuđenja. Kontrole obuhvaćaju:
o fizičku sigurnost imovine, uključujući adekvatne zaštitne mjere kao što su zaštita objekata od pristupa imovini i evidencijama,
o autorizaciju za pristup računalnim programima i bazama podataka (tj. logični pristup),
o periodično brojanje i usporedba s iznosima koji su iskazani u kontrolnim evidencijama (na primjer, usporedba rezultata inventure gotovog novca, vrijednosnica i zaliha s računovodstvenim evidencijama).
Opseg do kojeg su fizičke kontrole kojima je cilj sprječavanje krađe imovine relevantne za pouzdanost pripremanja financijskih izvještaja ovisi o okolnostima kao što je slučaj kad je imovina u velikoj mjeri podložna protupravnom prisvajanju.
• Segregaciju dužnosti. Dodjeljivanje odgovornosti različitim ljudima za autorizaciju transakcija, evidentiranje transakcija i čuvanje imovine. Segregacija dužnosti ima za cilj smanjiti mogućnosti bilo kojoj osobi da bude u poziciji u kojoj može počiniti i sakriti pogreške ili prijevaru u redovnom obavljanju dužnosti te osobe.
Na primjer, menadžer koji autorizira prodaju na kredit nije odgovoran za održavanje analitičke evidencije kupaca ili postupanje s priljevima novca. Ako je jedna osoba u mogućnosti obaviti sve ove aktivnosti, ta osobi bi mogla, na primjer, kreirati fiktivnu prodaju koja bi mogla proći neotkriveno. Slično tome, osoblje prodaje ne smije imati mogućnost modificiranja datoteke s cijenama proizvoda ili stopa provizija.
Ponekad segregacija nije praktična, troškovno učinkovita ili provediva. Na primjer, manjim i jednostavnijim subjektima mogu nedostajati dostatni resursi za postizanje idealne segregacije i trošak zapošljavanja dodatnog osoblja može biti prohibitivan. U ovim situacijama menadžment može uspostaviti alternativne kontrole. U gornjem primjeru, ako osoba u prodaji može modificirati datoteku s cijenama proizvoda može se uspostaviti otkrivajuća kontrolna aktivnost uključivanjem osoblja koje nije povezano sa službom prodaje da periodično pregleda je li i u kojim okolnostima osoba iz prodaje promijenila cijene.
21. Određene kontrole mogu ovisiti o postojanju primjerenih nadzornih kontrola koje je uspostavio menadžment ili oni koji su zaduženi za upravljanje. Na primjer, kontrole autorizacije mogu se delegirati u skladu s utvrđenim smjernicama, kao što su kriteriji za ulaganja koje su postavili oni koji su zaduženi za upravljanje; alternativno, nerutinske transakcije kao što su velike akvizicije ili dezinvestiranje mogu zahtijevati posebno odobrenje na visokoj razini, uključujući u nekim slučajevima i dioničare.
Ograničenja internih kontrola
22. Subjektov sustav unutarnje kontrole, bez obzira na učinkovitost, može subjektu pružiti samo razumno uvjerenje o postizanju ciljeva financijskog izvještavanja subjekta. Na vjerojatnost njihova postizanja utječu inherentna ograničenja internih kontrola. Ona uključuju realnost da ljudska prosudba u donošenju odluka može biti neispravna i da poremećaji u subjektovom sustavu internih kontrola mogu nastati zbog ljudske pogreške. Na primjer, može postojati pogreška u oblikovanju ili u promjeni kontrole. Isto tako, funkcioniranje kontrole ne mora biti učinkovito, primjerice, ako se informacije proizvedene za potrebe subjektovog sustava internih kontrola (na primjer, izvještaj o iznimkama) ne koriste učinkovito jer pojedinac odgovoran za pregled informacija ne razumije njihovu svrhu ili ne poduzima odgovarajuće radnje.
23. Osim toga, kontrole se mogu zaobići dosluhom dviju ili više osoba ili neprimjerenim prekoračenjem od strane menadžmenta. Na primjer, menadžment može ući u sporedne dogovore s kupcima kojima mijenjaju uvjete i odredbe standardnih ugovora o prodaji što može rezultirati nepravilnim priznavanjem prihoda. Također, kontrole uređivanja teksta u IT aplikaciji koje su oblikovane radi identificiranja i izvještavanja o transakcijama koje prelaze određene kreditne limite mogu biti prekoračene ili isključene.
24. Nadalje, u oblikovanju i implementiraju kontrola menadžment može donositi prosudbe o prirodi i opsegu kontrola koje odluči implementirati i o vrsti i opsegu rizika koje odluči preuzeti.
Dodatak 4
(Vidjeti točke 14(a), 24(a)(ii), A25‒A28, A118)
Razmatranja za razumijevanje subjektove službe interne revizije
Ovaj dodatak sadrži daljnja razmatranja koja se odnose na razumijevanje subjektove službe interne revizije kad takva služba postoji.
Ciljevi i opseg službe interne revizije
1. Ciljevi i opseg službe interne revizije, priroda njezinih odgovornosti i njezin status unutar organizacije uključujući autoritet i odgovornost službe, široko variraju i ovise o veličini, kompleksnosti i strukturi subjekta i zahtjevima menadžmenta i, ako je primjenjivo, onih koji su zaduženi za upravljanje. Ova pitanja mogu se urediti u aktu o internoj reviziji ili referentnim uvjetima.
2. Odgovornosti službe interne revizije mogu uključivati obavljanje postupaka i ocjenjivanje rezultata kako bi se menadžmentu i onima koji su zaduženi za upravljanje pružilo uvjerenje o oblikovanju i učinkovitosti upravljanja rizicima, subjektovom sustavu internih kontrola i procesima nadziranja. Ako je tako, Služba interne revizije može igrati važnu ulogu u subjektovom procesu monitoringa subjektovog sustava internih kontrola. Međutim, odgovornosti službe interne revizije mogu biti usredotočene na ocjenjivanje ekonomičnosti, efikasnosti i efektivnosti poslovanja i, ako je tako, rad službe možda nije izravno povezan s financijskim izvještavanjem subjekta.
Postavljanje upita službi interne revizije
3. Ako subjekt ima službu interne revizije, postavljanje upita odgovarajućim pojedincima unutar službe može dati informacije koje su revizoru korisne pri stjecanju razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola te pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja i na razini tvrdnji. U obavljanju svojeg posla, služba interne revizije je vjerojatno stekla uvid u poslovanje subjekta i poslovne rizike, te može imati nalaze na osnovi svoga rada kao što su identificirani nedostaci kontrola ili rizici što može pružiti vrijedan doprinos revizorovom razumijevanju subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja, subjektovog sustava internih kontrola, revizorove procjene rizika i druge aspekte revizije. Upiti revizora postavljaju se stoga bez obzira očekuje li revizor koristiti se radom službe interne revizije za modificiranje vrste, vremenskog rasporeda ili smanjenja opsega revizijskih postupaka koje mora obaviti.[883](Relevantni zahtjevi sadržani su u MRevS-u 610 (izmijenjen 2013.).) Posebno relevantni upiti mogu biti oni o pitanjima koja je služba interne revizije pokrenula kod onih koji su zaduženi za upravljanje te o ishodima procesa procjene rizika same službe.
4. Ako se, na osnovi odgovora na revizorove upite, čini da postoje nalazi koji mogu biti relevantni za financijsko izvještavanje subjekta i reviziju financijskih izvještaja, revizor može smatrati primjerenim pročitati odnosne izvještaje službe interne revizije. Primjeri izvještaja službe interne revizije koji mogu biti relevantni uključuju dokumente službe o strategiji i planiranju te izvještaji koji su pripremljeni za menadžment ili one koji su zaduženi za upravljanje i koji opisuju nalaze ispitivanja koje je provela služba interne revizije.
5. Uz to, u skladu s MRevS-om 240,[884](MRevS 240, točka 19.) ako služba interne revizije pruži revizoru informacije koje se odnose na bilo koju stvarnu, sumnjivu ili navodnu prijevaru, revizor će to uzeti u obzir u svojoj identifikaciji rizika značajnih pogrešnih prikazivanja zbog prijevare.
6. Odgovarajući pojedinci unutar službe interne revizije kojima se postavljaju upiti su oni, po prosudbi revizora, koji imaju primjereno znanje, iskustvo i autoritet, kao što je glavna izvršna osoba interne revizije ili, ovisno o okolnostima, drugo osoblje unutar službe. Revizor može također smatrati primjerenim održavati periodične sastanke s ovim pojedincima.
Razmatranja o službi interne revizije pri razumijevanju kontrolnog okruženja
7. U razumijevanju kontrolnog okruženja, revizor može razmotriti kako je menadžment odgovorio na nalaze i preporuke službe interne revizije u svezi s identificiranim nedostacima kontrola koji su relevantni za pripremanje financijskih izvještaja, uključujući pitanje jesu li i kako takvi odgovori implementirani i jesu li naknadno bili ocijenjeni od strane službe interne revizije.
Razumijevanje uloge koju služba interne revizije ima u subjektovom procesu monitoringa sustava internih kontrola
8. Ako je priroda odgovornosti i aktivnosti na izražavanju uvjerenja službe interne revizije povezana s financijskim izvještavanjem subjekta, revizor može također biti u mogućnosti koristiti rad službe interne revizije kako bi modificirao vrste ili vremenski raspored ili smanjio opseg revizijskih postupaka koje revizor mora obaviti radi pribavljanja revizijskih dokaza. Vjerojatnije je da su revizori u mogućnosti koristiti rad službe interne revizije subjekta kad se čini, na primjer, na temelju iskustva iz ranijih revizija ili revizorovih postupaka procjene rizika da subjekt ima službu interne revizije koja ima adekvatne i primjerene resurse u odnosu na kompleksnost subjekta i prirodu njegovog poslovanja te ima izravan odnos s onima koji su zaduženi za upravljanje.
9. Ako na osnovi revizorovog privremenog razumijevanja službe interne revizije revizor očekuje koristiti rad službe interne revizije kako bi modificirao vrstu ili vremenski raspored ili smanjio opseg revizijskih postupaka koje treba obaviti primjenjuje se MRevS 610 (izmijenjen 2013.).
10. Kao što je dalje raspravljeno u MRevS-u 610 (izmijenjen 2013.), aktivnosti službe interne revizije su različite od drugih monitoring kontrola koje mogu biti relevantne za financijsko izvještavanje kao što su pregledi računovodstvenih informacija za menadžment koji su oblikovani da doprinesu načinu na koji subjekt sprječava ili otkriva pogrešna prikazivanja.
11. Uspostavljanje komunikacija s primjerenim pojedincima unutar službe interne revizije subjekta rano u obavljanju angažmana i održavanje takvih komunikacija kroz odvijanje angažmana može olakšati učinkovito dijeljene informacija. To stvara okruženje u kojem revizor može biti informiran o značajnim pitanjima koja može uočiti služba interne revizije kad takva pitanja mogu utjecati na rad revizora. MRevS 200 raspravlja o važnosti toga da revizor planira i obavlja reviziju s profesionalnim skepticizmom,[885](MRevS 200, točka 7.) uključivo s time da bude na oprezu spram informacija koje dovode u pitanje pouzdanost dokumenata i odgovora na upite koji će se koristiti kao revizijski dokazi. Sukladno tome, komunikacija sa službom interne revizije za vrijeme angažmana može pružiti mogućnosti internim revizorima da skrenu pozornost revizora na takve informacije. Revizoru to omogućuje da takve informacije uzme u obzir pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja.
Dodatak 5
(Vidjeti točke 25(a), 26(b)‒(c), A94, A166‒A172)
Razmatranja za razumijevanje informacijske tehnologije (IT)
Ovaj dodatak sadrži daljnja pitanja koja revizor može razmotriti pri razumijevanju subjektove uporabe IT-a u subjektovu sustavu internih kontrola.
Razumijevanje subjektovog korištenja informacijske tehnologije u komponentama subjektovog sustava internih kontrola
1. Subjektov sustav internih kontrola sadrži ručne elemente i automatizirane elemente (tj. ručne i automatizirane kontrole i druge resurse koji se koriste u subjektovom sustavu internih kontrola). Kombinacija ručnih i automatiziranih kontrola subjekta varira s prirodom i kompleksnošću subjektovog korištenja IT-a. Subjektovo korištenje IT-a utječe na način na koji se obrađuju, pohranjuju i komuniciraju informacije koje su relevantne za pripremanje financijskih izvještaja u skladu s primjenjivim okvirom financijskog izvještavanja te stoga utječe na način na koji je oblikovan i implementiran subjektov sustav internih kontrola. Svaka komponenta subjektovog sustava internih kontrola može koristit neki dio IT-a.
Općenito govoreći IT koristi subjektovom sustavu internih kontrola omogućavanjem subjektu da:
• dosljedno primjenjuje predefinirana poslovna pravila i obavlja složene kalkulacije u obradi velike količine transakcija ili podataka;
• poboljša pravovremenost, dostupnost i točnost informacija;
• olakšava dodatnu analizu informacija;
• poboljša mogućnost monitoringa nad provođenjem subjektovih aktivnosti te njegovih politika i postupaka;
• smanji rizik zaobilaženja kontrola; i
• poboljša sposobnost postizanja učinkovite segregacije dužnosti implementiranjem sigurnosnih kontrola u IT aplikacijama, bazama podataka i operativnim sustavima.
2. Karakteristike ručnih ili automatiziranih elemenata su relevantne za revizorovo identificiranje i procjenu rizika značajnih pogrešnih prikazivanja te na tome osnovanih daljnjih revizijskih postupaka. Automatizirane kontrole mogu biti pouzdanije od ručnih kontrola jer se ne mogu lako zaobići, zanemariti ili prekoračiti te su također manje podložne jednostavnim propustima i pogreškama. Automatizirane kontrole mogu biti učinkovitije od ručnih kontrola u sljedećim okolnostima:
• velika količina ponavljajućih transakcija ili u situacijama u kojima se mogu spriječiti pogreške koje se mogu očekivati ili predvidjeti ili otkriti i ispraviti kroz automatizaciju,
• kontrole kod kojih se specifični načini obavljanja kontrole mogu adekvatno oblikovati i automatizirati.
Razumijevanje subjektovog korištenja informacijske tehnologije u informacijskom sustavu (Vidjeti točku 25(a))
3. Informacijski sustav subjekta može uključivati upotrebu ručnih i automatiziranih elemenata koji također utječu na način na koji se transakcije iniciraju, evidentiraju, obrađuju i o njima izvještava. Konkretno postupci iniciranja, evidentiranja, obrade i izvještavanja mogu biti provedeni putem IT aplikacija koje koristi subjekt i načina na koji je subjekt konfigurirao te aplikacije. Uz to, zapisi u obliku digitalnih informacija mogu zamijeniti ili dopuniti evidencije u obliku papirnatih dokumenata.
4. Radi stjecanja razumijevanja IT okruženja koje je relevantno za tokove transakcija i obradu informacija u informacijskom sustavu, revizor prikuplja informacije o prirodi i karakteristikama korištenih IT aplikacija kao i o pratećoj IT infrastrukturi i IT-u. Sljedeća tablica uključuje primjere pitanja koja revizor može razmotriti pri stjecanju razumijevanja IT okruženja i uključuje primjere tipičnih karakteristika IT okruženja na osnovi kompleksnosti IT aplikacija koje se koriste u informacijskom sustavu subjekta. Međutim, takve su karakteristike orijentacijske i mogu se razlikovati ovisno o prirodi određenih IT aplikacija koje subjekt koristi.
Primjeri tipičnih karakteristika za: |
|||
|
Nekompleksni komercijalni softver |
IT aplikacije ili komercijalni softver srednje veličine i umjerene kompleksnosti |
Velike ili kompleksne IT aplikacije (npr. ERP sustavi) |
Pitanja koja se odnose na opseg automatizacije i uporabe podataka: |
|||
• Opseg automatiziranih postupaka za obradu i kompleksnost tih postupaka uključujući pitanje postoji li visoko automatizirana obrada bez papira. |
N/P |
N/P |
Ekstenzivni i često kompleksni automatizirani postupci |
• Opseg subjektovog oslanjanja na izvještaje koje generira sustav pri obradi informacija. |
Logika pojedinačnog automatiziranog izvještaja |
Logika pojedinačnog relevantnog automatiziranog izvještaja |
Kompleksna logika automatiziranog izvještaja; softver za pisanje izvještaja |
• Kako se unose podaci (tj. ručni unos, unos kupca ili dobavljača ili unos datoteke). |
Ručni unos podataka |
Mali broj podataka za unos ili jednostavna sučelja |
Veliki broj podataka za unos ili kompleksna sučelja |
• Kako IT olakšava komunikaciju između aplikacija, baza podataka ili drugih aspekata IT okruženja, interno i eksterno, ovisno što je primjereno, kroz sučelja sustava. |
Nema automatiziranih sučelja (samo ručni unos) |
Mali broj unosa podataka ili jednostavna sučelja |
Veliki broj unosa podataka ili kompleksna sučelja |
• Količina i kompleksnost podataka u digitalnom obliku koje obrađuje informacijski sustav uključujući pitanje jesu li računovodstvene evidencije ili druge informacije spremljene u digitalnom obliku i lokacija spremljenih podataka. |
Mala količina podataka ili jednostavni podaci koje je moguće ručno verificirati; podaci su dostupni lokalno |
Mala količina podataka ili jednostavni podaci |
Velika količina podataka ili kompleksni podaci; skladišta podataka;[886] Korištenje internih ili eksternih pružatelja IT usluga (npr. pohranjivanje ili hosting kod trećih osoba) |
Pitanja koja se odnose na IT aplikacije i IT infrastrukturu: |
|||
• vrsta aplikacije (npr. komercijalna aplikacija s malo ili bez prilagodbi ili visoko prilagođena ili visoko ili visoko integrirana aplikacija koja je mogla biti kupljena i prilagođena ili razvijena interno). |
Kupljena aplikacija s malo ili bez prilagodbe |
Kupljena aplikacija ili jednostavne naslijeđene ili obične ERP aplikacije s malo ili bez prilagodbi |
Pojedinačno razvijene aplikacije ili kompleksniji ERP s značajnim prilagodbama |
• Kompleksnost prirode IT aplikacija i osnovne IT infrastrukture. |
Malo, jednostavno rješenje za laptop ili klijentov server |
Stariji i stabilni glavni okvir (mainframe), mali ili jednostavni server klijenta, softver kao usluga »oblaka«(clouda) |
Kompleksni glavni okvir, veliki ili kompleksni klijentov server, infrastruktura okrenuta prema mreži kao »oblak« (cloud) usluga |
• Postoji li treća osoba za hosting ili outsourcing IT-a. |
Ako postoji outsourcing, pružatelj je kompetentan, iskusan i dokazan (npr. »oblak« (cloud) pružatelj) |
Ako postoji outsourcing, pružatelj je kompetentan, iskusan i dokazan (npr. »oblak« (cloud) pružatelj) |
Kompetentan, iskusan, dokazan pružatelj za određene aplikacije a novi ili start-up pružatelj za druge |
• Koristi li subjekt novonastajuće tehnologije koje utječu na njegovo financijskog izvještavanje. |
Nema korištenja novih tehnologija |
Ograničena uporaba novih tehnologija u nekim aplikacijama |
Mješovito korištenje novih tehnologija na raznim platformama |
Pitanja povezana s IT procesima. |
|||
• Osoblje koje je uključeno u održavanje IT okruženja (broj i vještine resursa za IT podršku koji upravljaju sigurnošću i promjenama IT okruženja). |
Mali broj osoblja s ograničenom IT znanjem za procesiranje ažuriranja dobavljača i upravljanje pristupom |
Ograničeni broj osoblja s IT vještinama namijenjeno IT-u |
Specijalizirani IT odjeli s uvježbanim osobljem, uključujući vještine programiranja |
• Kompleksnost procesa za upravljanje pravima pristupa. |
Jedna osoba s administrativnim pristupom upravlja pravima pristupa |
Manji broj osoba s administrativnim pristupom upravlja pravima pristupa |
Kompleksni procesi kojima upravlja IT odjel za pristupna prava |
• Kompleksnost sigurnosti nad IT okruženjem, uključivo ranjivost IT aplikacija, baza podataka i drugih aspekata IT okruženja od kibernetičkih rizika osobito ako postoje transakcije preko mreže ili transakcije koje uključuju vanjska sučelja. |
Jednostavni pristup na lokaciji bez eksternih elemenata povezanih s internetom |
Nekoliko aplikacija baziranih na internetu s primarno jednostavnom sigurnošću na osnovi uloga korisnika |
Višestruke platforme sa pristupom preko interneta i kompleksnim modelima sigurnosti |
• Je li bilo promjena programa u odnosu na način na koji se obrađuju informacije i opseg takvih promjena tijekom razdoblja. |
Komercijalni softver bez instaliranog izvornog koda |
Neke su komercijalne aplikacije bez izvornog koda a druge starije aplikacije s malim brojem ili jednostavnim promjenama; tradicionalni sustav razvojnih ciklusa |
Nove promjene ili veliki broj kompleksnih promjena, nekoliko razvojnih ciklusa svake godine. |
• Opseg promjene unutar IT okruženja (npr. novi aspekti IT okruženja ili značajne promjene u IT aplikacijama ili osnovnoj IT infrastrukturi). |
Promjene ograničene na aktualizacijsku verziju komercijalnog softvera |
Promjene se sastoje od upgrade-a komercijalnog softvera, upgrade-a verzije ERP, ili poboljšanja naslijeđenog softvera |
Nove promjene ili veliki broj promjena ili kompleksne promjene, nekoliko razvojnih ciklusa svake godine, velika prilagodba ERP-a |
• Je li obavljena značajna konverzija podataka tijekom razdoblja i, ako jest, priroda i značajnost učinjenih promjena te kako je konverzija provedena. |
Aktualizaciju (upgrade) softvera proveo je dobavljač; nije bilo konverzije podataka za aktualizaciju |
Manja verzija aktualizacije komercijalnih softver aplikacija s ograničenom konverzijom podataka |
Velika verzija aktualizacije, novo izdanje, promjene platforme |
[886](Skladište podataka se općenito opisuje kao središnji repozitorij integriranih podataka iz jednog ili više različitih izvora (kao što su višestruke baze podataka) iz kojih se mogu generirati izvještaji ili koje subjekt može koristiti za druge aktivnosti analize podataka. Pisanje izvještaja je aplikacija koja se koristi za povlačenje podataka iz jednog ili više izvora (kao što je skladište podataka, baza podataka ili IT aplikacija) i prezentiranje tih podataka u određenom formatu.)
Nove tehnologije
5. Subjekti mogu koristiti nove tehnologije (npr. blockchain, robotiku ili umjetnu inteligenciju) jer takve tehnologije mogu pružati specifične prilike za povećanje operativnih efikasnosti ili poboljšati financijsko izvještavanje. Kad se nove tehnologije koriste u subjektovom informacijskom sustavu koji je relevantan za pripremu financijskih izvještaja, revizor može uključiti takve tehnologije u identifikaciju IT aplikacija i drugih aspekata IT okruženja koji su podložni rizicima koji proizlaze iz uporabe IT-a. Dok se nove tehnologije mogu činiti sofisticiranijima ili kompleksnijima u usporedbi s postojećim tehnologijama, revizorove odgovornosti u odnosu na IT aplikacije i identificirane opće IT kontrole u skladu s točkom 26(b)‒(c) ostaju nepromijenjene.
Prilagodljivost
6. Stjecanje razumijevanja subjektovog IT okruženja može se lakše ostvariti kod manje kompleksnog subjekta koji koristi komercijalni softver i kad subjekt nema pristupa izvornom kodu za bilo kakve promjene programa. Takvi subjekti možda nemaju namjenske resurse ali mogu imati osobu kojoj je dodijeljena administratorska uloga u svrhu davanja pristupa zaposlenima ili u svrhu instaliranja ažuriranja IT aplikacija koje pruža dobavljač. Specifična pitanja koja revizor može razmotriti pri razumijevanju prirode komercijalnog računovodstvenog softverskog paketa koji može biti jedinstvena aplikacija koju koristi manje kompleksan subjekt u svojem informacijskom sustavu, mogu uključivati:
• u kojoj mjeri je softver dobro tržišno uspostavljen i ima reputaciju pouzdanosti;
• u kojoj je mjeri moguće subjektu modificirati izvorni kod softvera radi uključivanja dodatnih modula (tj. dodataka – add-ons) osnovnom softveru ili izravno izmijeniti podatke;
• priroda i opseg modifikacija koje su učinjene softveru. Iako subjekt možda ne može modificirati izvorni kod softvera, puno softverskih paketa dopušta konfiguraciju (npr. postavljanje ili mijenjanje izvještajnih parametara). Ovo obično ne uključuje modifikacije izvornog koda, međutim, revizor može razmotriti opseg u kojem subjekt može konfigurirati softver kad razmatra potpunost i točnost informacija koje proizvodi softver a koje se koriste kao revizijski dokaz; i
• opseg do kojega se podacima koji su povezani s pripremom financijskih izvještaja može izravno pristupiti (tj. izravan pristup bazi podataka bez korištenje IT aplikacije) i količina podataka koja se obrađuje. Što je veća količina podataka, to je vjerojatnije da će subjekt možda trebati kontrole koje se odnose na održavanje integriteta podataka, a koje mogu uključivati opće IT kontrole nad neovlaštenim pristupom i promjenama podataka.
7. Kompleksna IT okruženja mogu uključivati visoko prilagođene ili visoko integrirane IT aplikacije i mogu stoga zahtijevati više napora za razumijevanje. Procesi financijskog izvještavanja ili IT aplikacije mogu biti integrirane s drugim IT aplikacijama. Takva integracija može uključivati IT aplikacije koje se koriste u poslovanju subjekta i koje pružaju informacije IT aplikacijama koje su relevantne za tok transakcija i obradu informacija u informacijskom sustavu subjekta. U takvim okolnostima određene IT aplikacije koje se koriste u poslovanju subjekta mogu također biti relevantne za pripremu financijskih izvještaja. Kompleksna IT okruženja također mogu zahtijevati namjenske IT odjele koji imaju strukturirane IT procese podržane od strane osoblja sa vještinama na području razvoja softvera i održavanja IT okruženja. U drugim slučajevima subjekt može koristiti unutarnje ili vanjske pružatelje usluga za upravljanje određenim aspektima njegovog IT okruženja ili IT procesima unutar IT okruženja (npr. hosting koji obavlja treća strana).
Identificiranje IT aplikacija koje su podložne rizicima koji proizlaze iz korištenja IT-a
8. Kroz razumijevanje prirode i kompleksnosti subjektovog IT okruženja uključujući prirodu i opseg kontrola nad obradom informacija, revizor može utvrditi na koje se IT aplikacije subjekt oslanja za točno procesiranje i održavanje integriteta financijskih informacija. Identifikacija IT aplikacija na koje se subjekt oslanja može utjecati na revizorovu odluku o testiranju automatiziranih kontrola unutar takvih IT aplikacija, pretpostavljajući da takve automatizirane kontrole rješavanju identificirane rizike značajnih pogrešnih prikazivanja. Obrnuto, ako se subjekt ne oslanja na IT aplikaciju nije vjerojatno da bi automatizirane kontrole unutar takve IT aplikacije bile primjerene ili dovoljno precizne za svrhe testova operativne učinkovitosti. Automatizirane kontrole koje mogu biti identificirane u skladu s točkom 26(b) mogu uključivati, na primjer, automatizirane kalkulacije ili input, kontrole obrade ili outputa kao što je trostruko podudaranje narudžbenice, otpremnice dobavljača i računa dobavljača. Kad revizor identificira automatizirane kontrole i utvrdi kroz razumijevanje IT okruženja da se subjekt oslanja na IT aplikaciju koja uključuje te automatizirane kontrole može biti vjerojatnije da će revizor identificirati IT aplikaciju kao onu koja je podložna rizicima koji proizlaze iz upotrebe IT-a.
9. Pri razmatranju jesu li IT aplikacije za koje je revizor identificirao automatizirane kontrole podložne rizicima koji proizlaze iz upotrebe IT-a, revizor će vjerojatno razmotriti pitanje može li, i do koje mjere, subjekt imati pristup izvornom kodu koji omogućuje menadžmentu provedbu promjena programa za takve kontrole ili IT aplikacije. Opseg u kojem subjekt provodi promjene programa ili konfiguracije i opseg do kojeg su formalizirani IT procesi nad takvim promjenama mogu također biti relevantna razmatranja. Revizor će također vjerojatno razmotriti rizik neprimjerenog pristupa ili promjene podataka.
10. Izvještaji koje generira sustav koje revizor možda namjerava koristiti kao revizijski dokaz mogu uključivati, na primjer, izvještaj o starosnoj strukturi potraživanja od kupaca ili izvještaj o procjeni zaliha. Za takve izvještaje revizor može pribaviti revizijske dokaze o potpunosti i točnosti izvještaja putem dokaznog testiranja inputa i outputa izvještaja. U drugim slučajevima revizor može planirati testirati operativnu učinkovitost kontrola nad pripremom i održavanjem izvještaja u kojem slučaju je vjerojatno da će IT aplikacija koja proizvodi izvještaj biti podložna rizicima koji proizlaze iz uporabe IT-a. Povrh testiranja potpunosti i točnosti izvještaja revizor može planirati testiranje operativne učinkovitosti općih IT kontrola koje se odnose na rizike povezane s neprimjerenim ili neovlaštenim promjenama programa za izvještavanje ili promjenama podataka u izvještaju.
11. Neke IT aplikacije unutar njih uključuju funkcionalnost pisanja izvještaja dok neki subjekti mogu također koristiti odvojene aplikacije za pisanje izvještaja (tj. pisce izvještaja). U takvim slučajevima, revizor može trebati utvrditi izvor izvještaja koje generira sustav (tj. aplikaciju koja priprema izvještaj i izvora podataka koje izvještaj koristi) radi utvrđivanja IT aplikacija podložnih riziku koji proizlazi iz uporabe IT-a.
12. Izvori podataka korištenih u IT aplikaciji mogu biti baze podataka kojima se, na primjer, može pristupiti samo kroz IT aplikaciju ili od strane IT osoblja koje ima ovlaštenja za upravljanje bazom podataka. U drugim slučajevima, izvor podataka može biti skladište podataka koje može samo za sebe biti smatrano IT aplikacijom koja je podložna rizicima a koji proizlaze iz uporabe IT-a.
13. Revizor može identificirati rizik za koji dokazni postupci sami za sebe nisu dostatni zbog subjektovog korištenja visokoautomatiziranih obrada transakcija bez papira koje mogu uključivati više integriranih IT aplikacija. U takvim okolnostima kontrole koje je identificirao revizor vjerojatno uključuju automatizirane kontrole. Nadalje, subjekt se može osloniti na opće IT kontrole radi održavanja integriteta obrađenih transakcija i drugih informacija koje su korištene u obradi. U takvim slučajevima, IT aplikacije uključene u obradu i pohranjivanju informacija su vjerojatno podložne rizicima koji proizlaze iz uporabe IT-a.
Računalna rješenja krajnjeg korisnika
14. Iako revizijski dokazi mogu također biti u obliku sistemski generiranog outputa koji se koristi u kalkulaciji koju obavlja računalni alat krajnjeg korisnika (npr. tablični softver ili jednostavne baze podataka) takvi alati se obično ne identificiraju kao IT aplikacije u kontekstu točke 26(b). Oblikovanje i implementacija kontrola nad pristupom i promjenama alatima za računanje kod krajnjeg korisnika može biti izazovno i takve kontrole su rijetko jednakovrijedne ili učinkovite kao opće IT kontrole. Revizor može radije razmotriti kombinaciju kontrola obrade informacija uzimajući u obzir svrhu i kompleksnost danog računanja krajnjeg korisnika, kao što su/je:
• kontrole obrade informacija nad inicijacijom i obradom izvornih podataka, uključujući relevantne automatizirane ili kontrole sučelja do točke iz koje su povučeni podaci (tj. skladište podataka);
• kontrole za provjeru da logika funkcionira kao što je namjeravano, na primjer, kontrole koje »dokazuju« povlačenje podataka, kao što je usklađivanje izvještaja s podacima iz kojih je izveden, usporedbom pojedinačnih podataka iz izvještaja s izvornim podacima i obrnuto te kontrole koje provjeravaju formule ili makro programe; ili
• korištenje softverskog alata za validaciju koji sustavno provjerava formule ili makro programe kao što su alati za integritet tablica.
Prilagodljivost opsega
15. Subjektova sposobnost za održavanje integriteta informacija koje su pohranjene i obrađene u informacijskom sustavu može varirati na osnovi kompleksnosti i količine povezanih transakcija i drugih informacija. Što je veća kompleksnost i količina podataka koja podržava signifikantnu klasu transakcija, stanja računa ili objavljivanja, to je manje vjerojatno da će subjekt moći održavati integritet tih informacija samo kroz kontrole obrade informacija (npr. kontrole ulaza i izlaza ili kontrole pregledom). Također postaje manje vjerojatno da će revizor moći pribaviti revizijske dokaze o potpunosti i točnosti takvih informacija samo kroz dokazne postupke kad se takve informacije koriste kao revizijski dokazi. U nekim okolnostima kad su količina i kompleksnost manji, menadžment može imati kontrolu obrade podataka koja je dostatna za verificiranje točnosti i potpunosti podataka (npr. obrađene i fakturirane pojedinačne narudžbe prodaje mogu biti usklađene s pisanim primjerkom koji je izvorno unesen u IT aplikaciju). Kad se subjekt oslanja na opće IT kontrole radi održavanja integriteta određenih informacija koje koriste IT aplikacije, revizor može utvrditi da su IT aplikacije koje održavaju te informacije podložne rizicima uporabe IT-a.
Primjeri karakteristika IT aplikacije koja vjerojatno nije podložna rizicima koji proizlaze iz uporabe IT-a |
Primjeri karakteristika IT aplikacije koja je vjerojatno podložna rizicima koji proizlaze iz uporabe IT-a |
• Samostalne aplikacije. • Količina podataka (transakcija) nije značajna. • Funkcionalnost aplikacije nije značajna. • Svaka transakcija je podržana izvornom dokumentacijom u papirnatom obliku. |
• Aplikacije su povezane. • Količina podataka (transakcija) je značajna. • Funkcionalnost aplikacije je kompleksna jer: – aplikacija automatski pokreće transakcije; i – postoje različiti kompleksni izračuni na kojima su bazirani automatizirani unosi. |
IT aplikacija vjerojatno nije podložna rizicima koji proizlaze iz IT-a jer: • količina podataka nije značajna i stoga se menadžment ne oslanja na opće IT kontrole za obradu ili održavanje podataka. • menadžment se ne oslanja na automatizirane kontrole ili druge automatizirane funkcionalnosti. Revizor nije identificirao kontrole u skladu s točkom 26(a). • iako menadžment koristi sistemski generirane izvještaje u njegovim kontrolama, on se ne oslanja na ove izvještaje. Umjesto toga menadžment usklađuje izvještaje s papirnatom dokumentacijom i verificira izračune u izvještajima. • revizor će izravno testirati informacije proizvedene od strane subjekta koje koristi kao revizijske dokaze. |
IT aplikacija je vjerojatno podložna rizicima koji proizlaze iz uporabe IT-a zbog toga što se: • menadžment oslanja na sustav aplikacija za obradu ili održavanje podataka jer je količina podataka značajna; • menadžment oslanja na sustav aplikacija za obavljanje određenih automatiziranih kontrola koje je revizor također identificirao. |
Drugi aspekti IT okruženja koji su podložni rizicima koji proizlaze iz uporabe IT-a
16. Kad revizor identificira IT aplikacije koje su podložne rizicima koji proizlaze iz uporabe IT-a, drugi aspekti IT okruženja su također obično podložni rizicima koji proizlaze iz korištenja IT-a. IT infrastruktura uključuje baze podataka, operativni sustav i mrežu. Baze podataka pohranjuju podatke koje koriste IT aplikacije i mogu se sastojati iz puno međusobno povezanih baza podataka. Podacima u bazama podataka može se pristupiti izravno kroz upravljačke sustave za baze podataka od strane IT-a ili drugog osoblja sa privilegijama za upravljanje bazama podataka. Operativni sustav je odgovoran za upravljanje komunikacijama između hardware-a, IT aplikacija i drugog softvera koji se koristi u mreži. Kao takvima, IT aplikacijama i bazama podataka može se izravno pristupiti kroz operativni sustav. Mreža se u IT infrastrukturi koristi za prijenos podataka i dijeljene informacija, resursa i usluga kroz zajedničku komunikacijsku poveznicu. Mreža također obično uspostavlja sloj logičke sigurnosti (omogućeno kroz operativni sustav) za pristup osnovnim resursima.
17. Kad IT aplikacije identificirane od strane revizora kao podložne rizicima koji proizlaze iz uporabe IT-a obično se identificira baza ili baze podataka koje pohranjuju podatke obrađene pomoću identificirane IT aplikacije. Slično tome, operativni sustav je obično podložan rizicima koji proizlaze iz uporabe IT-a jer je sposobnost funkcioniranja IT aplikacije često ovisna o operativnom sustavu i IT aplikacijama i bazama podataka može se izravno pristupiti iz operativnog sustava. Mreža se može identificirati kad je ona središnja točka pristupa identificiranim IT aplikacijama i povezanim bazama podataka ili kad IT aplikacija komunicira s dobavljačima ili vanjskim stranama preko interneta ili kad revizor identificira mrežne IT aplikacije.
Identificiranje rizika koji proizlaze iz uporabe IT-a i općih IT kontrola
18. Primjeri rizika koji proizlaze iz uporabe IT-a uključuju rizike povezane s neprimjerenim oslanjanjem na IT aplikacije koje netočno obrađuju podatke, obrađuju netočne podatke ili oboje, kao što su:
• neovlašteni pristup podacima koji može rezultirati uništenjem podataka ili nepropisnim promjenama podataka, uključujući evidentiranje neautoriziranih ili nepostojećih transakcija ili netočno evidentiranje transakcija. Posebni rizici mogu nastati gdje više korisnika pristupa zajedničkoj bazi podataka,
• mogućnost da IT osoblje dobije pravo pristupa šire od onoga koje je potrebne za obavljanje dužnosti koje su im dodijeljene te se time prekrše pravila o segregaciji dužnosti,
• neovlaštene promjene podataka u glavnim datotekama,
• neovlaštene promjene IT aplikacija ili drugih aspekata IT okruženja,
• propuštanje provođenja potrebnih promjena u IT aplikacijama i drugim aspektima IT okruženja,
• neprimjerena ručna intervencija,
• potencijalni gubitak podataka ili nemogućnosti pristupa podacima kad je to potrebno.
19. Revizorovo razmatranje neautoriziranog pristupa može uključivati rizike povezane s neautoriziranim pristupom internih ili eksternih strana (što se često naziva rizicima kibernetičke sigurnosti). Takvi rizici ne moraju nužno utjecati na financijsko izvještavanje budući da IT okruženje subjekta može također uključivati IT aplikacije i povezane podatke koji rješavaju operativne potrebe i potrebe za usklađenošću. Važno je napomenuti da se kibernetički incidenti obično najprije pojavljuju kroz slojeve perimetra ili interne mreže a koji se obično zatim uklanjaju iz IT aplikacije, baze podataka i operativnih sustava koji utječu na pripremu financijskih izvještaja. Sukladno tome, ako je identificirana informacija o povredi sigurnosti revizor redovno razmatra opseg do kojeg takva povreda ima potencijal utjecati na financijsko izvještavanje. Ako može utjecati na financijsko izvještavanje, revizor može odlučiti razumjeti i testirati povezane kontrole radi utvrđivanja mogućeg utjecaja ili opsega potencijalnih pogrešnih prikazivanja u financijskim izvještajima ili može utvrditi da je subjekt pružio adekvatne informacije u vezi s takvom povredom sigurnosti.
20. Povrh toga, zakoni i regulative koji mogu imati izravan ili neizravan utjecaj na financijske izvještaje subjekta mogu uključivati propise o zaštiti podatka. Razmatranje usklađenosti subjekta s takvim zakonima i regulativom u skladu s MRevS-om 250 (izmijenjen),[887](MRevS 250 (izmijenjen)) može uključivati razumijevanje subjektovih IT procesa ili općih IT kontrola koje je subjekt implementirao radi usklađivanja s relevantnim zakonima i regulativom.
21. Opće IT kontrole su implementirane radi rješavanja rizika koji proizlaze iz uporabe IT-a. Sukladno tome revizor za utvrđivanje općih IT kontrola koristi stečeno razumijevanje identificiranih IT aplikacija i drugih aspekata IT okruženja i primjenjivih rizika koji proizlaze iz uporabe IT-a. U nekim slučajevima subjekt može koristiti zajedničke IT procese iz njegovog IT okruženja ili iz određenih IT aplikacija, te u tom slučaju mogu biti identificirani zajednički rizici koji proizlaze iz uporabe IT-a i zajedničkih općih IT kontrola.
22. Općenito, vjerojatno će biti identificiran veći broj općih IT kontrola povezanih s IT aplikacijama i bazama podataka nego za ostale aspekte IT okruženja. To je zbog toga što su ovi aspekti najtješnje povezani s obradom i pohranjivanjem informacija u informacijskom sustavu subjekta. Pri identificiranju općih IT kontrola revizor može razmotriti kontrole nad radnjama i krajnjih korisnika i subjektovog IT osoblja ili pružatelja IT usluga.
23. Dodatak 6 sadrži daljnja obrazloženja vrsta općih IT kontrola obično implementiranih za različite aspekte IT okruženja. Osim toga, navedeni su primjeri općih IT kontrola za različite IT procese.
Dodatak 6
(Vidjeti točke 25(c)(ii), A173‒A174)
Razmatranja za razumijevanje općih IT kontrola
Ovaj dodatak sadrži daljnja pitanja koja revizor može razmotriti u razumijevanju općih IT kontrola
Priroda općih IT kontrola koje su tipično implementirane za svaki od aspekata IT okruženja:
(a) Aplikacije
Opće IT kontrole na sloju IT aplikacija će korelirati s prirodom i opsegom funkcionalnosti aplikacija i pristupnim putovima koje dopušta tehnologija. Na primjer, više kontrola će biti relevantno za visokointegrirane IT aplikacije s kompleksnim sigurnosnim opcijama od naslijeđenih IT aplikacija koje podržavaju mali broj stanja računa s metodama pristupa samo kroz transakcije.
(b) Baza podataka
Opće IT kontrole na sloju baza podataka tipično rješavaju rizike koji proizlaze iz uporabe IT povezane s neovlaštenim ažuriranjima informacija financijskog izvještavanja u bazi podataka kroz izravni pristup bazi podataka ili izvršenjem skripta ili programa.
(c) Operativni sustav
Opće IT kontrole na sloju operativnog sustava tipično rješavaju rizike koji proizlaze iz uporabe IT-a a koja se odnosi na administrativni pristup koji može olakšati prekoračenje drugih kontrola. Ovo uključuje radnje kao što su kompromitiranje identifikacijskih podataka o drugim korisnicima, dodavanje novih, neovlaštenih korisnika, učitavanja malicioznog softvera ili izvršavanje skriptova ili drugih neautoriziranih programa.
(d) Mreža
Opće IT kontrole na sloju mreže tipično rješavaju rizike koji proizlaze iz uporabe IT-a koja se odnosi na segmentaciju mreže, pristup iz daljine i autentifikaciju. Mrežne kontrole mogu biti relevantne kad subjekt ima aplikacije sučeljene s mrežom koje koristi u financijskom izvještavanju. Mrežne kontrole također mogu biti relevantne kad subjekt ima značajne odnose s poslovnim partnerima ili trećim stranama zbog outsourcinga što može povećati prijenose podataka i potrebu za udaljenim pristupom.
1. Primjeri općih IT kontrola koje mogu postojati, organizirani prema IT procesima uključuju:
(a) Proces za upravljanje pristupom:
o Autentifikacija
Kontrole koje osiguravaju da korisnik koji pristupa IT aplikaciji ili drugom aspektu IT okruženja koristi njegove vlastite log-in identifikacijske podatke (tj. da korisnik ne koristi identifikacijske podatke drugog korisnika).
o Autorizacija
Kontrole koje dopuštaju korisnicima pristup informacijama potrebnim za obavljanje njihovog posla i ništa drugo, što olakšava primjerenu segregaciju dužnosti.
o Davanje prava pristupa
Kontrole za autorizaciju novih korisnika i modifikaciju pristupnih privilegija postojećih korisnika.
o Ukidanje prava pristupa
Kontrole za ukidanje korisničkog prava pristupa nakon prestanka zaposlenja ili premještaja.
o Privilegirani pristup
Kontrole nad administrativnim pravima pristupa ili pravima pristupa korisnika s širokim ovlaštenjima pristupa.
o Pregled korisničkih pristupa
Kontrole za recertificiranje ili ocjenjivanje pristupa korisnika za kontinuiranu autorizaciju tijekom vremena.
o Kontrole sigurnosne konfiguracije
Svaka tehnologija općenito ima ključne konfiguracijske postavke koje pomažu ograničiti pristup okruženju.
o Fizički pristup
Kontrole nad fizičkim pristupom podatkovnom centru i hardveru budući da takav pristup može biti korišten za prekoračenje drugih kontrola.
(b) Proces za upravljanje promjenama programa ili drugim promjenama IT okruženja:
o Proces upravljanja promjenama
Kontrole nad procesom oblikovanja, programiranja, testiranja i migracije promjena u proizvodno okruženje (tj. krajnjem korisniku).
o Segregacija dužnosti za migraciju promjena
Kontrole koje segregiraju pristup radi izrade promjena i njihove migracije u proizvodno okruženje.
o Razvoj, akvizicija i implementacija sustava
Kontrole nad početnim razvojem IT aplikacija ili njihovom implementacijom (ili u odnosu na druge aspekta IT okruženja).
o Konverzija podataka
Kontrole nad konverzijom podataka za vrijeme razvoja, implementacije ili ažuriranja IT okruženja.
(c) Proces za upravljanje IT operacijama
o Planiranje posla
Kontrole nad pristupom planiranju i iniciranju poslova ili programa koji mogu utjecati na financijsko izvještavanje.
o Monitoring posla
Kontrole za monitoring poslova ili programa financijskog izvještavanja u svrhu uspješnog izvršenja.
o Sigurnosne kopije i oporavci
Kontrole koje osiguravaju izradu sigurnosnih kopija podataka za financijsko izvještavanje te da su takvi podaci dostupni i može im se pristupiti u svrhu pravovremenog oporavka u slučaju prekida rada ili napada.
o Otkrivanje neovlaštenih ulaza
Kontrole za monitoring ranjivosti i/ili neovlaštenih ulaza u IT okruženje.
Donja tablica ilustrira primjere općih IT kontrola koje rješavaju primjere rizika koji proizlaze iz uporabe IT-a uključujući one za različite IT aplikacije na osnovi njihove prirode.
Proces |
Rizici |
Kontrole |
IT aplikacije |
||
IT Proces 1 |
Primjer rizika koji proizlaze iz korištenja IT-a |
Primjer općih IT kontrola |
Nekompleksni komercijalni softver – primjenjivo (da / ne) |
Srednji i umjereno kompleksni komercijalni softver ili IT aplikacije – primjenjivo (da / ne) |
Velike ili kompleksne IT aplikacije (npr. ERP sustavi) – primjenjivo (da / ne) |
Upravljati pristupom |
Privilegije korisničkog pristupa: Korisnici imaju pristupne privilegije izvan onih koje su potrebne za obavljanje dodijeljenih dužnosti što može stvoriti nepravilnu segregaciju dužnosti. |
Menadžment odobrava vrstu i opseg korisničkih privilegija pristupa za nove i modificirane korisničke pristupe, uključujući standardne aplikacijske profile/uloge, kritične transakcije financijskog izvještavanja i segregaciju dužnosti |
Da – umjesto pregleda korisničkih pristupa kako je dolje navedeno |
Da |
Da |
Pristup korisnika koji više nisu zaposleni ili su premješteni je pravovremeno ukinut ili modificiran |
Da – umjesto dolje navedenih pregleda pristupa korisnika |
Da |
Da |
||
Pristup korisnika se periodično pregledava |
Da – umjesto gore navedenih kontrola davanja/ukidanja prava |
Da ‒ za određene aplikacije |
Da |
||
Segregacija dužnosti se nadzire i konfliktni pristupi se ili ukidaju ili povezuju s rješavajućim kontrolama koje su dokumentirane i testirane |
N/P – nema sistemski omogućene segregacije |
Da ‒ za određene aplikacije |
Da |
||
Pristup privilegirane razine (npr. administratori za konfiguraciju, podatke i sigurnost) je autoriziran i primjereno ograničen |
Da – vjerojatno samo na sloju IT aplikacije |
Da ‒ na sloju IT aplikacije i određenim slojevima IT okruženja za platformu |
Da ‒ na svim slojevima IT okruženja za platformu |
||
Upravljati pristupom |
Izravan pristup podacima; neprimjerene promjene se provode izravno u financijskim podacima kroz sredstva koja su različita od transakcija aplikacije. |
Pristup datotekama aplikacije ili objektima baze podataka/tablicama/podacima je ograničen na autorizirano osoblje, na osnovi njihovih radnih odgovornosti i dodijeljene uloge i takav pristup je odobren od strane menadžmenta |
N/P |
Da ‒ za određene aplikacije i baze podataka |
Da |
Upravljati pristupom |
Sistemske postavke: sistemi nisu adekvatno konfigurirani ili ažurirani radi ograničavanja pristupa pravilno autoriziranim i primjerenim korisnicima. |
Pristup je autentificiran kroz jedinstvene korisničke identifikatore i lozinke ili druge metode kao mehanizam za validiranje da su korisnici autorizirani za dobivanje pristupa sustavu. Parametri lozinke udovoljavaju standardima kompanije ili industrije (npr. minimalna dužina lozinke i kompleksnost, trajanje, zaključavanje računa) |
Da – samo autentifikacija lozinke |
Da – kombinacija lozinke i više faktora autentifikacije |
Da |
Ključna obilježja sigurnosne konfiguracije su primjereno implementirana |
N/P – ne postoje tehničke sigurnosne konfiguracije |
Da ‒ za određene aplikacije i baze podataka |
Da |
||
Upravljati promjenom |
Promjene aplikacije: neprimjerne promjene su učinjene u sustavu aplikacija ili programima koji sadrže relevantne automatizirane kontrole (tj. postavke koje se mogu konfigurirati, automatizirani algoritmi, automatizirane kalkulacije i automatizirana povlačenja podataka) ili u logici izvještaja. |
Promjene u aplikacijama su primjereno testirane i odobrene prije nego su stavljene u produkcijsko okruženje |
N/P ‒ verifikacija da izvorni kod nije instaliran |
Da ‒ za nekomercijalni softver |
Da |
Pristup za implementaciju promjena u produkcijsko okruženje je primjereno ograničen i segregiran od razvojnog okruženja |
N/P |
Da – za nekomercijalni softver |
Da |
||
Upravljati promjenom |
Promjene u bazama podataka: neprimjerene promjene su učinjene u strukturi baze podataka i odnosima između podataka. |
Promjene u bazama podataka su primjereno testirane i odobrene prije stavljanja u produkcijsko okruženje |
N/P – promjene u bazama podataka se ne provode kod subjekta |
Da ‒ za nekomercijalni softver |
Da |
Upravljati promjenom |
Promjene u sustavnom softveru: neprimjerene promjene su učinjene u sistemskom softveru (npr. (operativni sustav, mreža, softvare za upravljanje promjenama, softvare za kontrolu pristupa). |
Promjene u sustavnom softveru su primjereno testirane i odobrene prije stavljanja u produkciju |
N/P – nikakve promjene sistemskog softvera se ne provode kod subjekta |
Da |
Da |
Upravljati promjenom |
Konverzija podataka: podaci konvertirani iz naslijeđenih sustava ili ranijih verzija dovode do pogrešaka u podacima ako konverzija prenosi nepotpune, redundantne, zastarjele ili netočne podatke. |
Menadžment odobrava rezultate konverzije podataka (npr. aktivnosti uravnoteženja i usklađenosti) iz starog aplikacijskog sustava ili strukture podataka u novi aplikacijski sustav ili strukturu podataka i nadzire je li konverzija obavljena u skladu s uspostavljenim politikama i postupcima konverzije |
N/P – rješavaju se kroz ručne kontrole |
Da |
Da |
IT operacije |
Mreža: mreža ne sprječava adekvatno da neautorizirani korisnici dobiju neprimjeren pristup informacijskim sustavima. |
Pristup je autentificiran kroz jedinstvene identifikatore korisnika i lozinke ili druge metode kao mehanizam za validaciju da su korisnici autorizirani za dobivanje pristupa sustavu. Parametri lozinke udovoljavaju kompanijskim ili profesionalnim politikama ili standardima (npr. minimalna dužina lozinke, kompleksnost, trajanje i zaključavanje računa) |
N/P – nema zasebnih metoda za autentifikaciju mreža |
Da |
Da |
Mreža je izrađena tako da odijeli aplikacije povezane s internetom od interne mreže gdje se pristupa relevantnim aplikacijama za internu kontrolu nad financijskim izvještavanjem |
N/P – nema segmentacije mreže |
Da ‒ s prosudbom |
Da ‒ s prosudbom |
||
Periodično se obavljaju skeniranja ranjivosti perimetra mreže od strane tima za upravljanje mrežom koji također istražuje potencijalne ranjivosti |
N/P |
Da ‒ s prosudbom |
Da ‒ s prosudbom |
||
Periodično se generiraju upozorenja radi pružanja obavijesti o prijetnjama koje su identificirali sustavi za otkrivanje neovlaštenih ulaza. Ove prijetnje istražuje tim za upravljanje mrežom. |
N/P |
Da ‒ s prosudbom |
Da ‒ s prosudbom |
||
Implementiraju se kontrole radi ograničavanja Virtual Private Network (VPN) pristupa na autorizirane i primjerene korisnike. |
N/P – nema VPN |
Da ‒ s prosudbom |
Da ‒ s prosudbom |
||
IT operacije |
Kopije podataka i oporavak: financijski podaci ne mogu biti oporavljeni i ne može im se pristupiti pravovremeno kad postoji gubitak podataka. |
Financijski podaci se redovno kopiraju prema utvrđenom planu i učestalosti. |
N/P – oslanjanje na ručne sigurnosne kopije financijskog tima |
Da |
Da |
IT operacije |
Planiranje poslova: produkcijski sustavi, program ili poslovni rezultiraju u netočnoj, nepotpunoj ili neautoriziranoj obradi podataka. |
Samo autorizirani korisnici imaju pristup radi ažuriranja batch poslova (uključujući interface poslove) u softveru za planiranje poslova |
N/P – nema batch poslova |
Da ‒ za određene aplikacije |
Da |
Kritični sustavi, programi ili poslovi su nadzirani i pogreške u obradi su ispravljene radi osiguravanja uspješnog dovršenja posla. |
N/P – nema monitoringa poslova |
Da ‒ za određene aplikacije |
Da |