خلاصهای جامع از استاندارد حسابرسی 265 و ضعفهای کنترل داخلی
استاندارد حسابرسی 265: اطلاعرسانی ضعفهای کنترلهای داخلی
کلیات
دامنه کاربرد: این استاندارد مسئولیت حسابرس را در زمینه اطلاعرسانی ضعفهای کنترلهای داخلی مشخص شده در حسابرسی صورتهای مالی به ارکان راهبری و مدیران اجرایی تعیین میکند. این استاندارد الزامات بیشتری نسبت به استانداردهای 315 و 330 در زمینه شناخت کنترلهای داخلی و آزمون کنترلها ندارد و باید همراه با استاندارد 200 مطالعه شود.
حسابرس باید کنترلهای داخلی مرتبط با حسابرسی صورتهای مالی را برای تشخیص و ارزیابی خطرهای تحریف بااهمیت بررسی کند تا بتواند روشهای حسابرسی مناسب طراحی کند. ارزیابی اثربخشی کنترلها جهت اظهارنظر نیست بلکه برای طراحی روشهای حسابرسی است. ضعفهای کنترل داخلی میتواند در هر مرحله از حسابرسی مشخص شود و حسابرس موظف به اطلاعرسانی ضعفهای بااهمیت است.
این استاندارد مانع اطلاعرسانی سایر مسائل کنترل داخلی توسط حسابرس نمیشود.
تاریخ اجرا
این استاندارد برای حسابرسی صورتهای مالی دورههای مالی آغاز شده از اول فروردین 1394 و پس از آن لازمالاجرا است.
هدف
هدف اصلی، اطلاعرسانی ضعفهای کنترل داخلی مشخص شده که از نظر حسابرس برای ارکان راهبری و مدیران اجرایی اهمیت کافی دارد، میباشد.
تعاریف کلیدی
- ضعف بااهمیت کنترلهای داخلی: ضعف یا ترکیبی از ضعفها که از نظر حسابرس برای ارکان راهبری اهمیت دارد.
- ضعف کنترلهای داخلی: زمانی که کنترلها به نحوی طراحی، اجرا یا پیادهسازی نشده یا اصلاً وجود ندارند که بتوانند از وقوع، کشف یا اصلاح به موقع تحریف در صورتهای مالی جلوگیری کنند.
الزامات استاندارد
تعیین وجود ضعفهای کنترل داخلی
حسابرس باید بر اساس کار انجام شده مشخص کند که آیا ضعف یا ضعفهایی در کنترلهای داخلی وجود دارد یا خیر (بندهای ت-1 تا ت-4).
ارزیابی اهمیت ضعفها
در صورت شناسایی ضعف، باید مشخص کند که آیا این ضعفها به تنهایی یا در مجموع بااهمیت هستند یا نه (بندهای ت-5 تا ت-8).
اطلاعرسانی به ارکان راهبری
ضعفهای بااهمیت کنترلهای داخلی باید به صورت مکتوب و به موقع به ارکان راهبری گزارش شود (بندهای ت-9 تا ت-15 و ت-23).
اطلاعرسانی به مدیران اجرایی
- ضعفهای بااهمیت که به ارکان راهبری اطلاعرسانی شده یا قرار است شود، مگر در شرایطی که اطلاعرسانی مستقیم به مدیران اجرایی مناسب نباشد.
- سایر ضعفهای کنترلهای داخلی که به مدیران اجرایی اطلاع داده نشده و از نظر حسابرس برای آنها اهمیت دارد.
محتوای اطلاعرسانی کتبی ضعفهای بااهمیت
- شرح ضعفها و آثار بالقوه آنها.
- اطلاعاتی برای درک چارچوب اطلاعرسانی شامل: هدف حسابرسی، محدوده بررسی کنترلهای داخلی، و محدودیت اطلاعرسانی به ضعفهای مشخص شده.
توضیحات کاربردی
تعیین وجود ضعفهای کنترل داخلی (بند 7)
حسابرس ممکن است در خصوص یافتهها با مدیران اجرایی مذاکره کند تا اطلاعات بیشتری کسب کند و در صورت لزوم به آنها هشدار دهد. سطح مدیران اجرایی برای مذاکره باید آشنا به حوزه کنترلها و دارای قدرت اصلاح ضعفها باشد. در مواردی که ضعفها به صلاحیت یا درستکاری مدیران تردید وارد کند، مذاکره مستقیم مناسب نیست.
ملاحظات در واحدهای تجاری کوچک
- فعالیتهای کنترلی اساساً مشابه واحدهای بزرگ است اما نحوه اجرای آن متفاوت است.
- کنترلهای تفکیک وظایف ممکن است محدود باشد اما مالک-مدیر ممکن است نظارت مؤثرتری اعمال کند.
ضعفهای بااهمیت کنترلهای داخلی (بندهای 6-ب و 8)
اهمیت ضعفها به وقوع تحریف، احتمال وقوع و تبعات آن بستگی دارد. ممکن است ضعفهای بااهمیت وجود داشته باشند حتی اگر تحریفی کشف نشده باشد.
نمونههایی از موارد موثر در ارزیابی اهمیت ضعفها:
- احتمال وقوع تحریف در آینده
- آسیبپذیری داراییها یا بدهیها نسبت به تقلب
- پیچیدگی تعیین مبالغ براوردی
- مبالغ مورد تأثیر ضعفها
- حجم عملیاتی مربوط به مانده یا معاملات
- اهمیت کنترلها در فرایند گزارشگری مالی
- علت و فراوانی اشکالات کشف شده
- رابطه متقابل ضعفها
نمونههای نشانه ضعفهای بااهمیت
- عدم اثربخشی عوامل محیط کنترلی (مانند عدم بررسی معاملات عمده توسط ارکان راهبری)
- تشخیص تقلب مدیران اجرایی که کنترلها از آن جلوگیری نکردهاند
- عدم اقدام اصلاحی مناسب در برابر ضعفهای قبلاً اعلام شده
- نبود فرایند ارزیابی خطر
- شواهد عدم اثربخشی ارزیابی خطر یا برخورد با خطرهای عمده
- تحریفهای کشف شده که کنترلها نتوانستهاند پیشگیری یا کشف کنند
- تجدید ارائه صورتهای مالی برای اصلاح تحریفهای بااهمیت
- ناتوانی مدیران اجرایی در نظارت بر تهیه صورتهای مالی
ترکیب ضعفها و اهمیت آن
یک ضعف به تنهایی ممکن است بااهمیت نباشد اما ترکیب چند ضعف میتواند خطر تحریف بااهمیت را افزایش دهد و به عنوان ضعف بااهمیت شناخته شود.
اطلاعرسانی ضعفهای کنترلهای داخلی
اطلاعرسانی به ارکان راهبری
اطلاعرسانی کتبی ضعفهای بااهمیت به ارکان راهبری ضروری است و در انجام مسئولیت نظارتی آنها کمک میکند. زمان صدور گزارش باید به گونهای باشد که به ایفای مسئولیتهای نظارتی کمک کند.
گزارش کتبی باید در چارچوب تکمیل پرونده حسابرسی صادر شود که معمولاً تا 60 روز پس از تاریخ گزارش حسابرس زمان مناسبی است.
اطلاعرسانی شفاهی به مدیران اجرایی و در موارد مقتضی به ارکان راهبری نیز میتواند به صورت زودهنگام انجام شود اما مسئولیت اطلاعرسانی کتبی را کاهش نمیدهد.
میزان جزئیات اطلاعرسانی
- ماهیت و اندازه و پیچیدگی واحد تجاری
- ماهیت ضعفهای بااهمیت مشخص شده
- ترکیب ارکان راهبری و تجربه آنها
- الزامات قانونی یا مقرراتی مربوط
ملاحظات خاص
مدیران اجرایی و ارکان راهبری ممکن است پیشتر از ضعفهای بااهمیت مطلع باشند و به دلایلی از اصلاح آنها خودداری کرده باشند. مسئولیت ارزیابی هزینه و منافع اصلاح به عهده آنها است و اطلاعرسانی حسابرس بدون توجه به این ملاحظات انجام میشود.
در صورت عدم اصلاح ضعفهای بااهمیت گزارش شده در حسابرسی قبلی، اطلاعرسانی باید تکرار شود. عدم اصلاح ممکن است خود نشانه ضعف بااهمیت باشد.
اطلاعرسانی در واحدهای تجاری کوچک
ساختار اطلاعرسانی ممکن است سادهتر باشد.
اطلاعرسانی به مدیران اجرایی
سطح مناسب مدیران اجرایی برای اطلاعرسانی فردی است که مسئول ارزیابی ضعفها و انجام اقدامات اصلاحی است، معمولاً مدیرعامل یا مدیر مالی.
اطلاعرسانی ضعفهای بااهمیت به مدیران اجرایی
برخی ضعفها ممکن است تردید در صلاحیت یا درستکاری مدیران ایجاد کند؛ در این موارد اطلاعرسانی مستقیم به مدیران اجرایی مناسب نیست.
اطلاعرسانی سایر ضعفهای کنترل داخلی
حسابرس ممکن است ضعفهای غیر بااهمیت را نیز به مدیران اجرایی اطلاع دهد که ارزش اطلاعرسانی دارد، این اطلاعرسانی معمولاً شفاهی و بر اساس قضاوت حرفهای انجام میشود.
اگر این ضعفها قبلاً اطلاعرسانی شده یا توسط اشخاص دیگر گزارش شده باشند، اطلاعرسانی مجدد لازم نیست مگر تغییر مدیریتی یا اطلاعات جدید وجود داشته باشد.
عدم اصلاح ضعفهای غیر بااهمیت ممکن است به ضعف بااهمیت تبدیل شود که باید به ارکان راهبری اطلاع داده شود.
ارکان راهبری ممکن است بخواهند درباره سایر ضعفها اطلاع داشته باشند که حسابرس میتواند به صورت شفاهی یا کتبی اطلاعرسانی کند.
ملاحظات بخش عمومی
حسابرسان بخش عمومی ممکن است مسئولیتها و الزامات اطلاعرسانی بیشتری نسبت به این استاندارد داشته باشند.
محتوای اطلاعرسانی کتبی ضعفهای بااهمیت
- شرح ضعفها و آثار بالقوه آنها به صورت کیفی (نیازی به بیان کمّی نیست).
- امکان گروهبندی ضعفها برای مقاصد گزارشگری.
- گنجاندن پیشنهادات اصلاحی، اقدامات انجام شده یا پیشبینی شده توسط مدیران اجرایی.
- اشاره به اینکه اگر حسابرس بررسی گستردهتری انجام میداد، ممکن بود ضعفهای بیشتری مشخص شود یا برخی گزارش نشود.
- توضیح اینکه اطلاعرسانی فقط برای استفاده ارکان راهبری است و ممکن است برای سایر مقاصد مناسب نباشد.