(Hatályos a 2021. december 15-én vagy azt követően kezdődő időszakokra vonatkozó pénzügyi kimutatások könyvvizsgálatára.)
A magyar fordítás alapjául szolgáló eredeti angol nyelvű IFAC kiadvány megtekinthető a következő linken: ISA-315-Full-Standard-and-Conforming-Amendments-2019-.pdf (ifac.org)
A jelen 315. témaszámú (2019-ben felülvizsgált) nemzetközi könyvvizsgálati standard magyar nyelvű fordítása az ISA 315 (Revised 2019): Identifying and Assessing the Risks of Material Misstatement, December 2019 angol nyelvű IFAC kiadvány alapján 2022. októberben készült, és mint a 2007. évi LXXV. tv. 4. § (5) b) szerint megalkotott és jóváhagyott magyar nemzeti könyvvizsgálati standard 2023. január 1-jén lép hatályba, azaz a 2023. január 1-jén vagy azt követően kezdődő időszakokra vonatkozó pénzügyi kimutatások könyvvizsgálatára kell alkalmazni.
| A 315. témaszámú, „A lényeges hibás állítás kockázatainak azonosítása és felmérése” című, (2019-ben felülvizsgált) nemzetközi könyvvizsgálati standard a 200. témaszámú, „A független könyvvizsgáló átfogó céljai és a könyvvizsgálatnak a nemzetközi könyvvizsgálati standardokkal összhangban történő végrehajtása” című nemzetközi könyvvizsgálati standarddal együtt értelmezendő. Az 315. témaszámú (2019-ben felülvizsgált) nemzetközi könyvvizsgálati standard megkapta a jóváhagyást a Közfelügyeleti Bizottságtól (Public Interest Oversight Board, PIOB), amely arra a következtetésre jutott, hogy a standard kidolgozása során megfelelő folyamatot követtek, és megfelelő módon figyelembe vették a közérdeket. |
1. A jelen nemzetközi könyvvizsgálati standard a könyvvizsgálónak azzal a felelősségével foglalkozik, hogy azonosítsa és felmérje a pénzügyi kimutatásokban lévő hibás állítás kockázatait.
2. A 200. témaszámú nemzetközi könyvvizsgálati standard a könyvvizsgáló átfogó céljaival foglalkozik a pénzügyi kimutatások könyvvizsgálatának végrehajtása során * , beleértve elegendő és megfelelő könyvvizsgálati bizonyíték szerzését a könyvvizsgálati kockázat elfogadhatóan alacsony szintre való csökkentése céljából. * A könyvvizsgálati kockázat a lényeges hibás állítás kockázatainak és a feltárási kockázatnak a függvénye. * A 200. témaszámú nemzetközi könyvvizsgálati standard kifejti, hogy a lényeges hibás állítás kockázatai két szinten állhatnak fenn: * a pénzügyi kimutatások átfogó szintjén, az állítások szintjén az ügyletcsoportokra, számlaegyenlegekre és közzétételekre vonatkozóan.
3. A 200. témaszámú nemzetközi könyvvizsgálati standard előírja a könyvvizsgáló számára, hogy szakmai megítélést alkalmazzon egy könyvvizsgálat tervezése és végrehajtása során, valamint, hogy szakmai szkepticizmussal tervezze meg és hajtsa végre a könyvvizsgálatot, felismerve, hogy lehetnek olyan körülmények, amelyek miatt a pénzügyi kimutatások lényeges hibás állításokat tartalmaznak. *
4. A pénzügyi kimutatások szintjén fennálló kockázatok a pénzügyi kimutatások egészére átfogóan vonatkoznak és potenciálisan sok állítást érintenek. A lényeges hibás állítás állítások szintjén fennálló kockázatai két komponensből állnak, az eredendő kockázatból és az ellenőrzési kockázatból:
– Az eredendő kockázat egy ügyletcsoportra, számlaegyenlegre vagy közzétételre vonatkozó állítás hibás állításra való fogékonysága, amely hibás állítás lényeges lehet akár önmagában, akár egyéb hibás állításokkal együttesen, bármely kapcsolódó kontroll mérlegelése előtt.
– Az ellenőrzési kockázat az a kockázat, hogy a gazdálkodó egység belső kontroll rendszere nem fog időben megelőzni vagy feltárni és helyesbíteni egy olyan hibás állítást, amely egy ügyletcsoportra, számlaegyenlegre vagy közzétételre vonatkozó állításban felmerülhetett, és amely lényeges lehetett akár önmagában, akár egyéb hibás állításokkal együttesen
5. A 200. témaszámú nemzetközi könyvvizsgálati standard kifejti, hogy a lényeges hibás állítás kockázatait az állítások szintjén annak érdekében mérik fel, hogy meghatározzák az elegendő és megfelelő könyvvizsgálati bizonyíték megszerzéséhez szükséges további könyvvizsgálati eljárások jellegét, ütemezését és terjedelmét. * A lényeges hibás állítás állítások szintjén fennálló azonosított kockázataira vonatkozóan a jelen nemzetközi könyvvizsgálati standard az eredendő kockázat és az ellenőrzési kockázat elkülönült felmérését írja elő. Ahogy azt a 200. témaszámú nemzetközi könyvvizsgálati standard magyarázza, az eredendő kockázat magasabb bizonyos állításokra és kapcsolódó ügyletcsoportokra, számlaegyenlegekre és közzétételekre vonatkozóan, mint másokra vonatkozóan. Az eredendő kockázat változásának mértékére a jelen nemzetközi könyvvizsgálati standardban az „eredendő kockázat spektrumaként” hivatkoznak.
6. A lényeges hibás állítás könyvvizsgáló által azonosított és felmért kockázatai magukban foglalják mind a hibából, mind a csalásból eredő hibás állítás kockázatait. Bár a jelen nemzetközi könyvvizsgálati standard mindkettővel foglalkozik, a csalás akkora jelentőségű, hogy a 240. témaszámú nemzetközi könyvvizsgálati standard * további követelményeket és útmutatást tartalmaz az olyan információk megszerzését célzó kockázatfelmérési eljárásokkal és kapcsolódó tevékenységekkel kapcsolatban, amelyeket a csalásból eredő lényeges hibás állítás kockázatainak azonosításához, felméréséhez és az arra való válaszadáshoz használnak fel.
7. A könyvvizsgáló kockázatazonosítási és -felmérési folyamata ismétlődő és dinamikus. A gazdálkodó egység és annak környezete, a vonatkozó pénzügyi beszámolási keretelvek, valamint a gazdálkodó egység belső kontroll rendszere könyvvizsgáló általi megismerése kölcsönösen összefügg a lényeges hibás állítás kockázatainak azonosítására és felmérésére vonatkozó követelményeken belüli elgondolásokkal. A jelen nemzetközi könyvvizsgálati standard által előírt megismerés során kidolgozhatók kezdeti kockázati várakozások, amelyek azután tovább finomíthatók, ahogy a könyvvizsgáló előrehalad a kockázatazonosítási és -felmérési folyamatban. Emellett a jelen nemzetközi könyvvizsgálati standard és a 330. témaszámú nemzetközi könyvvizsgálati standard előírja a könyvvizsgáló számára, hogy a további könyvvizsgálati eljárásoknak a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban történő végrehajtásából szerzett könyvvizsgálati bizonyíték alapján, vagy ha új információkat szereznek, felülvizsgálja a kockázatfelméréseket, és módosítsa a további átfogó válaszokat és a további könyvvizsgálati eljárásokat.
8. A 330. témaszámú nemzetközi könyvvizsgálati standard előírja a könyvvizsgáló számára, hogy átfogó válaszokat alakítson ki és hajtson végre a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló felmért kockázatainak kezelése céljából. * A 330. témaszámú nemzetközi könyvvizsgálati standard továbbá kifejti, hogy a pénzügyi kimutatások szintjén fennálló lényeges hibás állítás kockázatainak a könyvvizsgáló általi felmérését, és a könyvvizsgáló átfogó válaszait befolyásolja a kontrollkörnyezet könyvvizsgáló általi megismerése. A 330. témaszámú nemzetközi könyvvizsgálati standard azt is előírja a könyvvizsgáló számára, hogy olyan további könyvvizsgálati eljárásokat alakítson ki és hajtson végre, amelyek jellege, ütemezése és terjedelme a lényeges hibás állítás állítások szintjén fennálló felmért kockázatain alapul és arra reagál. *
9. A 200. témaszámú nemzetközi könyvvizsgálati standard kimondja, hogy egyes nemzetközi könyvvizsgálati standardok méretre szabhatósági szempontokat tartalmaznak, amelyek az összes gazdálkodó egységre érvényes követelmények alkalmazását szemléltetik, függetlenül attól, hogy azok jellege és körülményeik összetettebbek vagy kevésbé összetettek. * A jelen nemzetközi könyvvizsgálati standardot minden gazdálkodó egység könyvvizsgálatára szánták, mérettől és összetettségtől függetlenül, és az alkalmazási anyag ezért adott esetben magában foglal specifikus szempontokat mind kevésbé, mind jobban összetett gazdálkodó egységekre vonatkozóan. Ugyan egy gazdálkodó egység mérete jelezheti annak összetettségét, egyes kisebb gazdálkodó egységek lehetnek összetettek és egyes nagyobb gazdálkodó egységek lehetnek kevésbé összetettek.
10. A jelen nemzetközi könyvvizsgálati standard a 2021. december 15-én vagy azt követően kezdődő időszakokra vonatkozó pénzügyi kimutatások könyvvizsgálatára hatályos.
11. A könyvvizsgáló célja az akár csalásból, akár hibából eredő lényeges hibás állításnak a pénzügyi kimutatások és az állítások szintjén fennálló kockázatainak az azonosítása és felmérése, alapot adva ezzel a lényeges hibás állítások felmért kockázataira adott válaszok kialakításához és végrehajtásához.
12. A nemzetközi könyvvizsgálati standardok alkalmazásában a következő kifejezéseknek az alábbi jelentésük van:
(a) Állítások – Kifejezett vagy egyéb módon létező nyilatkozatok, melyek információk pénzügyi kimutatásokban való megjelenítésével, értékelésével, bemutatásával és közzétételével kapcsolatosak, és amelyeket magában foglal a vezetés arra vonatkozó nyilatkozata, hogy a pénzügyi kimutatásokat a vonatkozó pénzügyi beszámolási keretelvekkel összhangban készítették. Az állításokat a könyvvizsgáló a potenciális hibás állítások különböző típusainak mérlegelésére használja a lényeges hibás állítás kockázatainak azonosításakor, felmérésekor és az azokra való válaszadáskor. (Hiv.: A1. bekezdés)
(b) Üzleti kockázat – Olyan kockázat, amely olyan jelentős körülményekből, eseményekből, intézkedésekből vagy intézkedések hiányából származik, amelyek kedvezőtlenül befolyásolhatják a gazdálkodó egység képességét a céljai elérésére és stratégiái megvalósítására, vagy olyan kockázat, amely nem megfelelő célok és stratégiák meghatározásából származik.
(c) Kontrollok – Politikák vagy eljárások, amelyeket egy gazdálkodó egység a vezetés vagy az irányítással megbízott személyek kontrollcéljainak elérése céljából kialakít. Ebben az összefüggésben: (Hiv.: A2–A5. bekezdések)
(i) A politikák arra vonatkozó kijelentések, hogy mit kellene vagy mit nem lehet tenni a gazdálkodó egységen belül a kontroll megvalósításához. Az ilyen kijelentések lehetnek dokumentáltak, kommunikációkban kifejezetten kinyilvánítottak, vagy intézkedéseken és döntéseken keresztül hallgatólagosan értetődők.
(ii) Az eljárások a politikák bevezetését szolgáló intézkedések.
(d) Általános informatikai (IT-) kontrollok – A gazdálkodó egységnek az IT-környezet folyamatos megfelelő működését támogató IT-folyamatai feletti kontrollok, beleértve az információfeldolgozási kontrollok folyamatos hatékony működését és az információk integritását (vagyis az információk teljességét, pontosságát és érvényességét) a gazdálkodó egység információs rendszerében. Lásd még az IT-környezet fogalmát.
(e) Információfeldolgozási kontrollok – Információknak a gazdálkodó egység információs rendszerében lévő IT-alkalmazásokban vagy manuális információs folyamatokban való feldolgozására vonatkozó kontrollok, amelyek közvetlenül az információk integritásával (vagyis az ügyletek és egyéb információk teljességével, pontosságával és érvényességével) kapcsolatos kockázatokat kezelnek. (Hiv.: A6. bekezdés)
(f) Eredendő kockázati tényezők – Események és körülmények olyan jellemzői, amelyek befolyásolják egy ügyletcsoporttal, számlaegyenleggel vagy közzététellel kapcsolatos állítás akár csalásból, akár hibából eredő hibás állításra való fogékonyságát, a kontrollok figyelembevétele előtt. Az ilyen tényezők lehetnek minőségiek vagy mennyiségiek, és magukban foglalják az összetettséget, a szubjektivitást, a változást, a bizonytalanságot, vagy a hibás állításra a vezetés elfogultsága vagy egyéb csalási kockázati tényezők * miatti fogékonyságot, amennyiben azok befolyásolják az eredendő kockázatot. (Hiv.: A7–A8. bekezdések)
(g) IT-környezet – Az IT-alkalmazások és a támogató IT-infrastruktúra, valamint az IT-folyamatok és az ezekben a folyamatokban részt vevő munkatársak, amelyeket egy gazdálkodó egység használ az üzleti működés támogatása és az üzleti stratégiák elérése céljából. A jelen nemzetközi könyvvizsgálati standard alkalmazásában:
(i) Egy IT-alkalmazás egy program vagy programegyüttes, amelyet ügyletek vagy információk létrehozása, feldolgozása, rögzítése és jelentése során használnak. Az IT-alkalmazások adattárházakat és jelentéskészítő programokat foglalnak magukban.
(ii) Az IT-infrastruktúra a hálózatból, az operációs rendszerekből, az adatbázisokból és azok kapcsolódó hardvereiből és szoftvereiből áll.
(iii) Az IT-folyamatok a gazdálkodó egységnek az IT-környezethez való hozzáférés kezelését, a programok változtatásának vagy az IT-környezet változtatásának kezelését, valamint az IT-működés kezelését szolgáló folyamatai.
(h) Releváns állítások – Egy ügyletcsoportra, számlaegyenlegre vagy közzétételre vonatkozó állítás akkor releváns, ha abban lényeges hibás állítás azonosított kockázata van. Azt, hogy egy állítás releváns állítás-e, bármely kapcsolódó kontroll mérlegelése előtt (vagyis az eredendő kockázat szintjén) határozzák meg. (Hiv.: A9. bekezdés)
(i) Az IT használatából eredő kockázatok – Az információfeldolgozási kontrolloknak a nem hatékony kialakításra vagy működésre való fogékonysága, vagy a gazdálkodó egység információs rendszerében lévő információk integritására (vagyis az ügyletek és egyéb információk teljességére, pontosságára és érvényességére) vonatkozó kockázatok, a gazdálkodó egység IT-folyamataiban (lásd IT-környezet) lévő kontrollok nem hatékony kialakítása vagy működése miatt.
(j) Kockázatfelmérési eljárások – Az akár csalásból, akár hibából eredő lényeges hibás állításnak a pénzügyi kimutatások és az állítások szintjén fennálló kockázatainak azonosítása és felmérésére céljából kialakított és végrehajtott könyvvizsgálati eljárások.
(k) Jelentős ügyletcsoport, számlaegyenleg vagy közzététel – Olyan ügyletcsoport, számlaegyenleg vagy közzététel, amelyre vonatkozóan egy vagy több releváns állítás van.
(l) Jelentős kockázat – A lényeges hibás állítás egy azonosított kockázata: (Hiv.: A10. bekezdés)
(i) amelyre vonatkozóan az eredendő kockázat felmérése közel van az eredendő kockázat spektrumának felső végéhez amiatt, amilyen mértékben az eredendő kockázati tényezők hatással vannak egy hibás állítás felmerülése valószínűségének és a hibás állítás felmerülése esetén a potenciális hibás állítás nagyságrendjének kombinációjára; vagy
(ii) amely az egyéb nemzetközi könyvvizsgálati standardok követelményeivel összhangban jelentős kockázatként kezelendő. *
(m) Belső kontroll rendszer – Az irányítással megbízott személyek, a vezetés és egyéb munkatársak által abból a célból kialakított, bevezetett és fenntartott rendszer, hogy kellő bizonyosságot nyújtson egy gazdálkodó egységnek a pénzügyi beszámolás megbízhatóságára, a működés hatékonyságára és eredményességére, valamint a vonatkozó jogszabályoknak és szabályozásoknak való megfelelésre vonatkozó céljainak az eléréséről. A nemzetközi könyvvizsgálati standardok alkalmazásában a belső kontroll rendszer öt összekapcsolódó komponensből áll:
(i) kontrollkörnyezet;
(ii) a gazdálkodó egység kockázatfelmérési folyamata;
(iii) a gazdálkodó egységnek a belső kontroll rendszer figyelemmel kísérését célzó folyamata;
(iv) az információs rendszer és kommunikáció; valamint
(v) a kontrolltevékenységek.
13. A könyvvizsgálónak kockázatfelmérési eljárásokat kell kialakítania és végrehajtania, hogy olyan könyvvizsgálati bizonyítékot szerezzen, amely megfelelő alapot nyújt: (Hiv.: A11–A18. bekezdések)
(a) az akár csalásból, akár hibából eredő lényeges hibás állításnak a pénzügyi kimutatások és az állítások szintjén fennálló kockázatainak azonosításához és felméréséhez, valamint
(b) a további könyvvizsgálati eljárások kialakításához a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban.
A könyvvizsgálónak olyan módon kell kockázatfelmérési eljárásokat kialakítania és végrehajtania, amely nem elfogult olyan könyvvizsgálati bizonyíték szerzése irányában, amely megerősítő lehet, vagy olyan könyvvizsgálati bizonyíték kizárása irányában, amely ellentmondó lehet. (Hiv.: A14. bekezdés)
14. A kockázatfelmérési eljárásoknak a következőket kell tartalmazniuk: (Hiv.: A19–A21. bekezdések)
(a) A vezetéssel és a gazdálkodó egységen belüli egyéb megfelelő személyekkel, beleértve a belső audit funkción belüli személyeket (ha van ilyen funkció), készített interjúk. (Hiv.: A22–A26. bekezdések)
(b) Elemző eljárások. (Hiv.: A27–A31. bekezdések)
(c) Megfigyelés és szemrevételezés. (Hiv.: A32–A36. bekezdések)
Egyéb forrásokból származó információk
15. A könyvvizsgálati bizonyítéknak a 13. bekezdéssel összhangban való megszerzése során a könyvvizsgálónak figyelembe kell vennie az alábbiakból származó információkat: (Hiv.: A37‒A38. bekezdések)
(a) A könyvvizsgálónak az ügyfélkapcsolat vagy a könyvvizsgálati megbízás elfogadásával, vagy megtartásával kapcsolatos eljárásai; és
(b) Ha értelmezhető, a megbízásért felelős partner által a gazdálkodó egységnek végzett egyéb megbízások.
16. Ha a könyvvizsgáló olyan információkat szándékozik használni, melyeket a gazdálkodó egységgel kapcsolatos korábbi tapasztalataiból, valamint korábbi könyvvizsgálatok során végrehajtott könyvvizsgálati eljárásokból szerzett, a könyvvizsgálónak értékelnie kell, hogy az ilyen információk relevánsak és megbízhatók maradnak-e a jelenlegi könyvvizsgálat könyvvizsgálati bizonyítékaként. (Hiv.: A39‒A41. bekezdések)
A megbízásért felelős munkacsoport megbeszélése
17. A megbízásért felelős partnernek és a megbízásért felelős munkacsoport egyéb kulcsfontosságú tagjainak meg kell beszélniük a vonatkozó pénzügyi beszámolási keretelvek alkalmazását, valamint a gazdálkodó egység pénzügyi kimutatásainak lényeges hibás állításra való fogékonyságát. (Hiv.: A42–A47. bekezdések)
18. Ha a megbízásért felelős munkacsoportnak vannak olyan tagjai, akik nem vesznek részt a megbízásért felelős munkacsoport megbeszélésén, a megbízásért felelős partnernek meg kell határoznia, hogy mely kérdések közlendők ezekkel a tagokkal.
A gazdálkodó egységnek és környezetének, valamint a vonatkozó pénzügyi beszámolási keretelveknek a megismerése (Hiv.: A50‒A55. bekezdések)
19. A könyvvizsgálónak kockázatfelmérési eljárásokat kell végrehajtania a következők megismerése érdekében:
(a) A gazdálkodó egység és környezete alábbi szempontjai:
(i) A gazdálkodó egység szervezeti felépítése, tulajdonlása és irányítása, valamint üzleti modellje, beleértve, hogy az üzleti modell milyen mértékben integrálja az IT használatát; (Hiv.: A56‒A67. bekezdések)
(ii) Ágazati, szabályozási és egyéb külső tényezők; (Hiv.: A68‒A73. bekezdések) és
(iii) A gazdálkodó egység pénzügyi teljesítményének értékeléséhez a szervezeten belül és azon kívül használt mérőszámok; (Hiv.: A74‒A81. bekezdések)
(b) A vonatkozó pénzügyi beszámolási keretelvek, valamint a gazdálkodó egység számviteli politikái és azok bármely változtatásának okai; (Hiv.: A82‒A84. bekezdések) továbbá
(c) Az, hogy az eredendő kockázati tényezők hogyan és milyen mértékben befolyásolják az állítások hibás állításra való fogékonyságát a pénzügyi kimutatások vonatkozó pénzügyi beszámolási keretelvekkel összhangban történő készítése során, az (a) és (b) pontokban ismertetettek megismerése alapján. (Hiv.: A85‒A89. bekezdések)
20. A könyvvizsgálónak értékelnie kell, hogy a gazdálkodó egység számviteli politikái megfelelők-e és összhangban vannak-e a vonatkozó pénzügyi beszámolási keretelvekkel.
A gazdálkodó egység belső kontroll rendszere komponenseinek a megismerése (Hiv.: A90–A95. bekezdések)
Kontrollkörnyezet, a gazdálkodó egység kockázatfelmérési folyamata és a gazdálkodó egységnek a belső kontroll rendszer figyelemmel kísérésére szolgáló folyamata (Hiv.: A96‒A98. bekezdések)
Kontrollkörnyezet
| 21. A könyvvizsgálónak kockázatfelmérési eljárások végrehajtásán keresztül meg kell ismernie a pénzügyi kimutatások készítése szempontjából releváns kontrollkörnyezetet azáltal, hogy: (Hiv.: A99–A100. bekezdések) | ||
| (a) Megismeri azt a kontrollokból, folyamatokból és struktúrákból álló együttest, mely választ ad a következőkre: (Hiv.: A101‒A102. bekezdések) (i) Hogyan valósítják meg a vezetés felügyeleti felelősségeit, mint például a gazdálkodó egység kultúrája és a vezetés elkötelezettsége a tisztességesség és etikai értékek iránt; (ii) Amikor az irányítással megbízott személyek elkülönülnek a vezetéstől, az irányítással megbízott személyek függetlensége és a gazdálkodó egység belső kontroll rendszere feletti felügyeletük; (iii) A hatáskör és a felelősség gazdálkodó egység általi kijelölése; (iv) A gazdálkodó egység hogyan vonz, fejleszt és tart meg kompetens személyeket; és (v) A gazdálkodó egység hogyan kéri számon a személyektől a belső kontroll rendszere céljainak elérésében meglévő felelősségeiket; | valamint (b) Értékeli, hogy: (Hiv.: A103‒A108. bekezdések) (i) a vezetés – az irányítással megbízott személyek felügyelete mellett – létrehozta-e és fenntartja-e a becsületesség és etikus viselkedés kultúráját; (ii) a kontrollkörnyezet megfelelő alapot nyújt-e a gazdálkodó egység belső kontroll rendszerének egyéb komponensei számára, figyelembe véve a gazdálkodó egység jellegét és összetettségét; és (iii) a kontrollkörnyezetben azonosított hiányosságok aláássák-e a gazdálkodó egység belső kontroll rendszerének egyéb komponenseit. | |
A gazdálkodó egység kockázatfelmérési folyamata
| 22. A könyvvizsgálónak kockázatfelmérési eljárások végrehajtásán keresztül meg kell ismernie a gazdálkodó egység pénzügyi kimutatások készítése szempontjából releváns kockázatfelmérési folyamatát azáltal, hogy: | ||
| (a) Megismeri a gazdálkodó egység folyamatát a következőkre vonatkozóan: (Hiv.: A109‒A110. bekezdések) (i) A pénzügyi beszámolás céljai szempontjából releváns üzleti kockázatok azonosítása; (Hiv.: A62. bekezdés) (ii) Az ilyen kockázatok jelentőségének felmérése, beleértve azok bekövetkezésének valószínűségét; és (iii) Ezeknek a kockázatoknak a kezelése; | továbbá (b) Értékeli, hogy a gazdálkodó egység kockázatfelmérési folyamata megfelelő-e a gazdálkodó egység körülményei szempontjából, figyelembe véve a gazdálkodó egység jellegét és összetettségét. (Hiv.: A111‒A113. bekezdések) | |
23. Ha a könyvvizsgáló a lényeges hibás állítás olyan kockázatait azonosítja, amelyeket a vezetés nem azonosított, a könyvvizsgálónak:
(a) meg kell határoznia, hogy bármelyik ilyen kockázat olyan fajta-e, amelyet a könyvvizsgáló várakozása szerint a gazdálkodó egység kockázatfelmérési folyamatának azonosítania kellett volna, és ha igen, meg kell ismernie, hogy a gazdálkodó egység kockázatfelmérési folyamata miért nem azonosította a lényeges hibás állítás ilyen kockázatait; és
(b) mérlegelnie kell a könyvvizsgáló általi, a 22. bekezdés (b) pontban ismertetett értékelésre vonatkozó kihatásokat.
A gazdálkodó egységnek a belső kontroll rendszer figyelemmel kísérését célzó folyamata
| 24. A könyvvizsgálónak kockázatfelmérési eljárások végrehajtásán keresztül meg kell ismernie a gazdálkodó egységnek a pénzügyi kimutatások készítése szempontjából releváns belső kontroll rendszer figyelemmel kísérését célzó folyamatát, azáltal, hogy: (Hiv.: A114–A115. bekezdések) | ||
| (a) Megismeri a gazdálkodó egység folyamatának azon szempontjait, amelyek kezelik: (i) a kontrollok hatékonyságának figyelemmel kísérésére vonatkozó folyamatos és különálló értékeléseket, és az azonosított kontrollhiányosságok azonosítását és helyrehozását; (Hiv.: A116‒A117. bekezdések) valamint (ii) a gazdálkodó egység belső audit funkcióját, ha van ilyen, beleértve annak jellegét, felelősségeit és tevékenységeit; (Hiv.: A118. bekezdés) (b) Megismeri a gazdálkodó egységnek a belső kontroll rendszer figyelemmel kísérését szolgáló folyamatában felhasznált információk forrásait, valamint azt, hogy a vezetés mi alapján tekinti az információkat megfelelően megbízhatónak a célra vonatkozóan; (Hiv.: A119‒A120. bekezdések) | továbbá (c) Értékeli, hogy a gazdálkodó egységnek a belső kontroll rendszer figyelemmel kísérését szolgáló folyamata megfelelő-e a gazdálkodó egység körülményei szempontjából, figyelembe véve a gazdálkodó egység jellegét és összetettségét. (Hiv.: A121‒A122. bekezdések) | |
Információs rendszer és kommunikáció, valamint kontrolltevékenységek (Hiv.: A123–A130. bekezdések)
Az információs rendszer és kommunikáció
| 25. A könyvvizsgálónak kockázatfelmérési eljárások végrehajtásán keresztül meg kell ismernie a gazdálkodó egységnek a pénzügyi kimutatások készítése szempontjából releváns információs rendszerét és kommunikációját azáltal, hogy: (Hiv.: A131. bekezdés) | ||
| (a) Megismeri a gazdálkodó egység információfeldolgozási tevékenységeit, beleértve annak adatait és információit, az ilyen tevékenységek során használandó erőforrásokat, valamint azokat a politikákat, amelyek a jelentős ügyletcsoportokra, számlaegyenlegekre és közzétételekre vonatkozóan definiálják: (Hiv.: A132‒A143. bekezdések) (i) azt, hogy az információ hogyan áramlik át a gazdálkodó egység információs rendszerén, beleértve, hogy: a. hogyan hozzák létre az ügyleteket, és az azokkal kapcsolatos információkat hogyan rögzítik, dolgozzák fel, javítják szükség esetén, építik be a főkönyvbe és jelentik a pénzügyi kimutatásokban; valamint b. hogyan gyűjtik, dolgozzák fel és teszik közzé a pénzügyi kimutatásokban az ügyleteken kívüli eseményekkel és körülményekkel kapcsolatos információkat; (ii) a számviteli nyilvántartásokat, a pénzügyi kimutatásokban lévő konkrét számlákat, valamint az információknak az információs rendszerben való áramlásaira vonatkozó egyéb alátámasztó nyilvántartásokat; (iii) a gazdálkodó egység pénzügyi kimutatásainak, beleértve a közzétételeket, a készítéséhez használt pénzügyi beszámolási folyamatot; továbbá (iv) a gazdálkodó egységnek a fenti (a) pont (i) alponttól az (a) pont (iii) alpontig terjedő részek szempontjából releváns erőforrásait, beleértve az IT-környezetet; (b) Megismeri, hogy a gazdálkodó egység hogyan kommunikálja azokat a jelentős kérdéseket, amelyek támogatják a pénzügyi kimutatások készítését, valamint az információs rendszerben és a belső kontroll rendszer egyéb komponenseiben meglévő kapcsolódó beszámolási felelősségeket: (Hiv.: A144‒A145. bekezdések) (i) a gazdálkodó egységen belüli személyek között, beleértve, hogy hogyan kommunikálják a pénzügyi beszámolási szerepköröket és felelősségeket; (ii) a vezetés és az irányítással megbízott személyek között; valamint (iii) külső felekkel, például szabályozó szervekkel; | továbbá (c) Értékeli, hogy a gazdálkodó egység információs rendszere és kommunikációja megfelelően támogatja-e a gazdálkodó egység pénzügyi kimutatásainak a vonatkozó pénzügyi beszámolási keretelvekkel összhangban való készítését. (Hiv.: A146. bekezdés) | |
Kontrolltevékenységek
| 26. A könyvvizsgálónak kockázatfelmérési eljárások végrehajtásán keresztül meg kell ismernie a kontrolltevékenységek komponenst azáltal, hogy: (Hiv.: A147–A157. bekezdések) | ||
| (a) Azonosítja azokat a kontrollokat, amelyek kezelik a lényeges hibás állítás állítások szintjén fennálló kockázatait a kontrolltevékenységek komponensben, az alábbiak szerint: (i) olyan kontrollok, amelyek jelentős kockázatként meghatározott kockázatot kezelnek; (Hiv.: A158‒A159. bekezdések) (ii) a naplótételek feletti kontrollok, beleértve azokat a nem standard naplótételeket is, amelyeket az egyszeri, szokatlan ügyletek vagy helyesbítések rögzítésére alkalmaznak; (Hiv.: A160‒A161. bekezdések) (iii) azok a kontrollok, amelyekre vonatkozóan a könyvvizsgáló a működési hatékonyság tesztelését tervezi az alapvető tesztelés jellegének, ütemezésének és terjedelmének meghatározása során, amelyeknek magukban kell foglalniuk azokat a kontrollokat, amelyek olyan kockázatokat kezelnek, amelyekre az alapvető vizsgálati eljárások önmagukban nem adnak elegendő és megfelelő könyvvizsgálati bizonyítékot; valamint (Hiv.: A162‒A164. bekezdések) (iv) egyéb kontrollok, amelyeket a könyvvizsgáló szakmai megítélése alapján a könyvvizsgáló megfelelőnek ítél ahhoz, hogy lehetővé tegyék a könyvvizsgáló számára az állítások szintjén fennálló kockázatok tekintetében a 13. bekezdés céljainak való megfelelést; (Hiv.: A165. bekezdés) (b) Az (a) pontban azonosított kontrollok alapján azonosítja azokat az IT-alkalmazásokat és a gazdálkodó egység IT-környezetének azon egyéb aspektusait, amelyek ki vannak téve az IT használatából eredő kockázatoknak; (Hiv.: A166‒A172. bekezdések) (c) A (b) pontban azonosított IT-alkalmazásokra és az IT-környezet egyéb aspektusaira vonatkozóan azonosítja: (Hiv.: A173‒A174. bekezdések) (i) az IT használatából eredő kapcsolódó kockázatokat; és (ii) a gazdálkodó egységnek az ilyen kockázatokat kezelő általános IT-kontrolljait; | továbbá (d) Az (a) pontban vagy a (c) pont (ii) alpontban azonosított minden egyes kontrollra vonatkozóan: (Hiv.: A175‒A181. bekezdések) (i) értékeli, hogy a kontroll hatékonyan van-e kialakítva a lényeges hibás állítás állítások szintjén fennálló kockázatának kezeléséhez, vagy hatékonyan van-e kialakítva, hogy támogatást nyújtson az egyéb kontrollok működéséhez; valamint (ii) meghatározza, hogy a kontrollt bevezették-e, azáltal, hogy a gazdálkodó egység munkatársaival készített interjúkon felüli eljárásokat hajt végre. | |
Kontrollhiányosságok a gazdálkodó egység belső kontroll rendszerén belül
27. A gazdálkodó egység belső kontroll rendszere minden egyes komponensének a könyvvizsgáló általi értékelése alapján a könyvvizsgálónak meg kell állapítania, hogy azonosítottak-e egy vagy több kontrollhiányosságot. (Hiv.: A182–A183. bekezdés)
A lényeges hibás állítás kockázatainak azonosítása
28. A könyvvizsgálónak azonosítania kell a lényeges hibás állítás kockázatait, és meg kell határoznia, hogy azok: (Hiv.: A186–A192. bekezdések)
(a) a pénzügyi kimutatások szintjén állnak-e fenn, (Hiv.: A193–A200. bekezdések) vagy
(b) az állítások szintjén, az ügyletcsoportokra, számlaegyenlegekre és közzétételekre vonatkozóan állnak-e fenn. (Hiv.: A201. bekezdés)
29. A könyvvizsgálónak meg kell határoznia a releváns állításokat és a kapcsolódó jelentős ügyletcsoportokat, számlaegyenlegeket és közzétételeket. (Hiv.: A202–A204. bekezdések)
A lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatainak felmérése
30. A lényeges hibás állítás pénzügyi kimutatások szintjén fennálló azonosított kockázataira vonatkozóan a könyvvizsgálónak fel kell mérnie a kockázatokat és: (Hiv.: A193–A200. bekezdések)
(a) meg kell határoznia, hogy ezek a kockázatok befolyásolják-e az állítások szintjén fennálló kockázatok felmérését; valamint
(b) értékelnie kell azok pénzügyi kimutatásokra gyakorolt átfogó hatásának jellegét és terjedelmét.
A lényeges hibás állítás állítások szintjén fennálló kockázatainak felmérése
Az eredendő kockázat felmérése (Hiv.: A205–A217. bekezdések)
31. A lényeges hibás állítás állítások szintjén fennálló azonosított kockázataira vonatkozóan a könyvvizsgálónak fel kell mérnie az eredendő kockázatot azáltal, hogy felméri a hibás állítás valószínűségét és nagyságrendjét. Ennek során a könyvvizsgálónak figyelembe kell vennie, hogy hogyan és milyen mértékben:
(a) befolyásolják az eredendő kockázati tényezők a releváns állítások hibás állításra való fogékonyságát; és
(b) befolyásolják a hibás állítás pénzügyi kimutatások szintjén fennálló kockázatai az eredendő kockázat felmérését a lényeges hibás állítás állítások szintjén fennálló kockázataira vonatkozóan. (Hiv.: A215‒A216. bekezdések)
32. A könyvvizsgálónak meg kell határoznia, hogy a lényeges hibás állítás felmért kockázatai közül bármelyik jelentős kockázat-e. (Hiv.: A218–A221. bekezdések)
33. A könyvvizsgálónak meg kell határoznia, hogy lehet-e, hogy alapvető vizsgálati eljárások önmagukban nem tudnak elegendő és megfelelő könyvvizsgálati bizonyítékot nyújtani a lényeges hibás állítás állítások szintjén fennálló kockázatainak bármelyikére vonatkozóan. (Hiv.: A222–A225. bekezdések)
Az ellenőrzési kockázat felmérése
34. Ha a könyvvizsgáló tervezi a kontrollok működési hatékonyságának tesztelését, a könyvvizsgálónak fel kell mérnie az ellenőrzési kockázatot. Ha a könyvvizsgáló nem tervezi a kontrollok működési hatékonyságának tesztelését, az ellenőrzési kockázat könyvvizsgáló általi felmérése az kell legyen, hogy a lényeges hibás állítás kockázatának felmérése megegyezik az eredendő kockázat felmérésével. (Hiv.: A226–A229. bekezdések)
A kockázatfelmérési eljárásokból szerzett könyvvizsgálati bizonyítékok értékelése
35. A könyvvizsgálónak értékelnie kell, hogy a kockázatfelmérési eljárásokból szerzett könyvvizsgálati bizonyítékok megfelelő alapot nyújtanak-e a lényeges hibás állítás kockázatainak azonosításához és felméréséhez. Ha nem, a könyvvizsgálónak további kockázatfelmérési eljárásokat kell végrehajtania, amíg ilyen alapot nyújtó könyvvizsgálati bizonyítékot nem szereznek. A lényeges hibás állítás kockázatainak azonosítása és felmérése során a könyvvizsgálónak a kockázatfelmérési eljárásokból szerzett minden könyvvizsgálati bizonyítékot figyelembe kell vennie, akár megerősítő, akár ellentmondó a vezetés által tett állítások szempontjából. (Hiv.: A230–A232. bekezdések)
Ügyletcsoportok, számlaegyenlegek és közzétételek, amelyek nem jelentősek, de amelyek lényegesek
36. Az olyan lényeges ügyletcsoportok, számlaegyenlegek vagy közzétételek esetében, amelyeket nem határoztak meg jelentős ügyletcsoportokként, számlaegyenlegekként vagy közzétételekként, a könyvvizsgálónak értékelnie kell, hogy a könyvvizsgáló meghatározása továbbra is megfelelő-e. (Hiv.: A233–A235. bekezdések)
A kockázatfelmérés felülvizsgálata
37. Ha a könyvvizsgáló olyan új információt szerez, amely nincs összhangban azzal a könyvvizsgálati bizonyítékkal, amelyre a könyvvizsgáló eredetileg alapozta a lényeges hibás állítás kockázatainak azonosítását vagy felméréseit, a könyvvizsgálónak felül kell vizsgálnia az azonosítást vagy felmérést. (Hiv.: A236. bekezdés)
38. A könyvvizsgálónak bele kell foglalnia a könyvvizsgálati dokumentációba: * (Hiv.: A237–A241. bekezdések)
(a) A megbízásért felelős munkacsoport megbeszélését, valamint a meghozott jelentős döntéseket;
(b) A könyvvizsgáló általi, a 19., 21., 22., 24. és 25. bekezdésekkel összhangban szerzett megismerés kulcsfontosságú elemeit; az információforrásokat, amelyekből a könyvvizsgáló ismereteinek szerzése történt; valamint a végrehajtott kockázatfelmérési eljárásokat;
(c) Az azonosított kontrollok kialakításának értékelését, és annak meghatározását, hogy bevezették-e azokat a kontrollokat, a 26. bekezdés követelményeivel összhangban; továbbá
(d) A lényeges hibás állításnak a pénzügyi kimutatások szintjén és az állítások szintjén fennálló azonosított és felmért kockázatait, beleértve a jelentős kockázatokat és azokat a kockázatokat, amelyekre vonatkozóan alapvető vizsgálati eljárások önmagukban nem tudnak elegendő és megfelelő könyvvizsgálati bizonyítékot nyújtani, valamint az alkalmazott jelentős megítélések indoklását.
Állítások (Hiv.: 12. bekezdés (a) pont)
A1. A könyvvizsgálók állításkategóriákat használnak azon potenciális hibás állítások különböző típusainak figyelembevétele céljából, amelyek előfordulhatnak a lényeges hibás állítás kockázatainak azonosításakor, felmérésekor és az azokra való válaszadáskor. Az A190. bekezdés ismertet példákat ezekre az állításkategóriákra. Az állítások különböznek az 580. témaszámú nemzetközi könyvvizsgálati standard * által bizonyos kérdések megerősítése vagy egyéb könyvvizsgálati bizonyíték alátámasztása céljából előírt írásbeli nyilatkozatoktól.
Kontrollok (Hiv.: 12. bekezdés (c) pont)
A2. A kontrollok be vannak ágyazva a gazdálkodó egység belső kontroll rendszerének komponenseibe.
A3. A politikákat a gazdálkodó egységen belüli munkatársak intézkedései által vagy annak révén vezetik be, hogy a munkatársakat visszatartják az olyan intézkedésektől, amelyek ellentétben állnának ezekkel a politikákkal.
A4. Az eljárások lehetnek elrendeltek, formális dokumentumok, vagy a vezetés vagy az irányítással megbízott személyek általi egyéb kommunikáció révén, vagy származhatnak olyan magatartásokból, amelyeket nem tesznek kötelezővé, hanem inkább a gazdálkodó egység kultúrája határoz meg. Az eljárásoknak érvényt szerezhetnek a gazdálkodó egység által használt IT-alkalmazások vagy a gazdálkodó egység IT-környezetének egyéb aspektusai által megengedett intézkedések révén.
A5. A kontrollok lehetnek közvetlenek vagy közvetettek. A közvetlen kontrollok olyan kontrollok, amelyek elég precízek ahhoz, hogy kezeljék a lényeges hibás állítás állítások szintjén fennálló kockázatait. A közvetett kontrollok olyan kontrollok, amelyek támogatják a közvetlen kontrollokat.
Információfeldolgozási kontrollok (Hiv.: 12. bekezdés (e) pont)
A6. Az információ integritásával kapcsolatos kockázatok a gazdálkodó egység információs politikáinak a nem hatékony bevezetésre való fogékonyságából merülnek fel, amelyek azok a politikák, amelyek a gazdálkodó egység információs rendszerében lévő információáramlásokat, nyilvántartásokat és beszámolási folyamatokat definiálják. Az információfeldolgozási kontrollok olyan eljárások, amelyek támogatják a gazdálkodó egység információs politikáinak hatékony bevezetését. Az információfeldolgozási kontrollok lehetnek automatizáltak (vagyis az IT-alkalmazásokba beágyazottak), vagy manuálisak (vagyis input- vagy output-kontrollok), és támaszkodhatnak egyéb kontrollokra, beleértve egyéb információfeldolgozási kontrollokat vagy általános IT-kontrollokat.
Eredendő kockázati tényezők (Hiv.: 12. bekezdés (f) pont)
| – A 2. sz. függelék tartalmaz az eredendő kockázati tényezők megismerésére vonatkozó további szempontokat. |
A7. Az eredendő kockázati tényezők lehetnek minőségiek és mennyiségiek, és befolyásolják az állításoknak a hibás állításra való fogékonyságát. A vonatkozó pénzügyi beszámolási keretelvek által előírt információk készítésére vonatkozó minőségi eredendő kockázati tényezők magukban foglalják a következőket:
– Összetettség;
– Szubjektivitás;
– Változás;
– Bizonytalanság; vagy
– A vezetés elfogultsága vagy egyéb csalási kockázati tényezők miatti hibás állításra való fogékonyság, amennyiben azok befolyásolják az eredendő kockázatot.
A8. Egyéb eredendő kockázati tényezők, amelyek befolyásolják egy ügyletcsoporttal, számlaegyenleggel vagy közzététellel kapcsolatos állítás hibás állításra való fogékonyságát, magukban foglalhatják:
– Az ügyletcsoport, számlaegyenleg vagy közzététel mennyiségi vagy minőségi jelentőségét; vagy
– Az ügyletcsoporton vagy számlaegyenlegen keresztül feldolgozandó, vagy a közzétételben tükrözendő tételek volumenét vagy összetételükben az egységesség hiányát.
Releváns állítások (Hiv.: 12. bekezdés (h) pont)
A9. A lényeges hibás állítás kockázata kapcsolódhat egynél több állításhoz, amely esetben az összes olyan állítás, amelyhez egy ilyen kockázat kapcsolódik, releváns állítás. Ha egy állításnak nincs azonosított lényeges hibás állítási kockázata, akkor az nem releváns állítás.
Jelentős kockázat (Hiv.: 12. bekezdés (l) pont)
A10. A jelentőség úgy írható le, mint egy kérdés viszonylagos fontossága, és azt a könyvvizsgáló abban az összefüggésben ítéli meg, amelyben a kérdést mérlegelik. Az eredendő kockázatra vonatkozóan a jelentőség annak összefüggésében mérlegelhető, hogy az eredendő kockázati tényezők hogyan és milyen mértékben vannak hatással egy hibás állítás felmerülésének valószínűsége és a hibás állítás felmerülése esetén a potenciális hibás állítás nagyságrendjének kombinációjára.
A11. * A hibás állítás azonosítandó és felmérendő kockázatai egyaránt tartalmazzák a csalásból eredőket és a hibából eredőket, és a jelen nemzetközi könyvvizsgálati standard lefedi mindkettőt. A csalás azonban akkora jelentőségű, hogy a 240. témaszámú nemzetközi könyvvizsgálati standard további követelményeket és útmutatást tartalmaz az olyan információk megszerzését célzó kockázatfelmérési eljárásokkal és a kapcsolódó tevékenységekkel kapcsolatban, amelyeket a csalásból eredő lényeges hibás állítás kockázatainak azonosításához és felméréséhez használnak fel. * Emellett az alábbi nemzetközi könyvvizsgálati standardok adnak további követelményeket és útmutatást a lényeges hibás állítás kockázatainak konkrét kérdésekkel vagy körülményekkel kapcsolatban történő azonosítására és felmérésére vonatkozóan:
– 540. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standard * a számviteli becslések tekintetében;
– 550. témaszámú nemzetközi könyvvizsgálati standard22 a kapcsolt felek közötti viszonyokkal és ügyletekkel kapcsolatban;
– 570. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standard * a vállalkozás folytatására vonatkozóan; és
– 600. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standard * a csoportra vonatkozó pénzügyi kimutatásokkal kapcsolatban.
A12. Szakmai szkepticizmus szükséges a kockázatfelmérési eljárások végrehajtásakor gyűjtött könyvvizsgálati bizonyíték kritikus értékeléséhez, és az segít a könyvvizsgálónak fenntartani az éberséget az olyan könyvvizsgálati bizonyíték iránt, amely nem elfogult a kockázatok fennállásának megerősítése irányában, vagy amely ellentmondhat a kockázatok fennállásának. A szakmai szkepticizmus olyan hozzáállás, amelyet a könyvvizsgáló a szakmai megítélés gyakorlásakor alkalmaz, amely azután megalapozza a könyvvizsgáló lépéseit. A könyvvizsgáló szakmai megítélést alkalmaz annak meghatározása során, hogy a könyvvizsgáló mikor rendelkezik olyan könyvvizsgálati bizonyítékkal, amely megfelelő alapot nyújt a kockázatfelméréshez.
A13. A szakmai szkepticizmus könyvvizsgáló általi alkalmazása magában foglalhatja:
– ellentmondásos információknak és a dokumentumok megbízhatóságának megkérdőjelezését;
– interjúkra adott válaszok és a vezetéstől, valamint az irányítással megbízott személyektől szerzett egyéb információk mérlegelését;
– olyan körülményekre való éberséget, amelyek csalásból vagy hibából eredő lehetséges hibás állítást jelezhetnek; valamint
– annak mérlegelését, hogy a megszerzett könyvvizsgálati bizonyítékok alátámasztják-e a lényeges hibás állítás kockázatainak a könyvvizsgáló általi azonosítását és felmérését a gazdálkodó egység jellegének és körülményeinek fényében.
Miért fontos a könyvvizsgálati bizonyítékok elfogulatlan módon való megszerzése (Hiv.: 13. bekezdés)
A14. A lényeges hibás állítás kockázatai azonosításának és felmérésének alátámasztását szolgáló könyvvizsgálati bizonyíték elfogulatlan módon való megszerzését célzó kockázatfelmérési eljárások kialakítása és végrehajtása segíthet a könyvvizsgálónak azonosítani potenciálisan ellentmondásos információkat, ami segítheti a könyvvizsgálót a szakmai szkepticizmus gyakorlásában a lényeges hibás állítás kockázatainak azonosítása és felmérése során.
Könyvvizsgálati bizonyíték forrásai (Hiv.: 13. bekezdés)
A15. A könyvvizsgálati bizonyíték elfogulatlan módon való megszerzését célzó kockázatfelmérési eljárások kialakítása és végrehajtása magában foglalhatja bizonyítékoknak több, a gazdálkodó egységen belüli és kívüli forrásból való megszerzését. A könyvvizsgáló számára azonban nem előírás, hogy kimerítő keresést hajtson végre a könyvvizsgálati bizonyíték minden lehetséges forrásának azonosítása érdekében. Az egyéb forrásokból * származó információk mellett a kockázatfelmérési eljárások információforrásai magukban foglalhatják a következőket:
– Együttműködés a vezetéssel, az irányítással megbízott személyekkel és a gazdálkodó egység egyéb kulcsfontosságú munkatársaival, mint a belső auditorok.
– Bizonyos külső felek, mint a szabályozók, akár közvetlenül, akár közvetetten történik az információszerzés.
– A gazdálkodó egységgel kapcsolatos nyilvánosan hozzáférhető információk, például a gazdálkodó egység által kiadott sajtóközlemények, elemzők vagy befektetőcsoport megbeszélései részére készült anyagok, elemzői jelentések vagy a kereskedési tevékenységgel kapcsolatos információk.
Az információforrástól függetlenül a könyvvizsgáló a könyvvizsgálati bizonyítékként használandó információk relevanciáját és megbízhatóságát az 500. témaszámú nemzetközi könyvvizsgálati standarddal összhangban mérlegeli. *
Méretre szabhatóság (Hiv.: 13. bekezdés)
A16. A kockázatfelmérési eljárások jellege és terjedelme változó lesz a gazdálkodó egység jellege és körülményei alapján (például, a gazdálkodó egység politikáinak és eljárásainak, valamint folyamatainak és rendszereinek formalitása). A könyvvizsgáló szakmai megítélést alkalmaz, hogy meghatározza a jelen nemzetközi könyvvizsgálati standard követelményeinek teljesítéséhez végrehajtandó kockázatfelmérési eljárások jellegét és terjedelmét.
A17. Bár az, hogy egy gazdálkodó egység politikái és eljárásai, valamint folyamatai és rendszerei mennyire formalizáltak, változó lehet, a könyvvizsgáló számára továbbra is előírás a megismerés a 19., 21., 22., 24., 25. és 26. bekezdésekkel összhangban.
| – Példák: – Egyes gazdálkodó egységeknek, beleértve a kevésbé összetett gazdálkodó egységeket, és különösen a tulajdonos által vezetett gazdálkodó egységeknek lehet, hogy nincsenek kialakított strukturált folyamataik és rendszereik (például kockázatfelmérési folyamat vagy a belső kontroll rendszer figyelemmel kísérését szolgáló folyamat), vagy lehet, hogy a kialakított folyamataik vagy rendszereik dokumentáltsága korlátozott, vagy azok végzése nem következetes. Amikor az ilyen rendszerek és folyamatok nincsenek formalizálva, a könyvvizsgáló továbbra is képes lehet kockázatfelmérési eljárásokat végrehajtani megfigyelésen és interjún keresztül. – Más gazdálkodó egységeknek, jellemzően összetett gazdálkodó egységeknek, várhatóan formalizáltabb és jobban dokumentált politikáik és eljárásaik vannak. A könyvvizsgáló felhasználhatja az ilyen dokumentációt kockázatfelmérési eljárások végrehajtása során. |
A18. Egy megbízás első alkalommal való elvállalása esetén végrehajtandó kockázatfelmérési eljárások jellege és terjedelme kiterjedtebb lehet, mint az eljárások egy ismétlődő megbízás esetében. Későbbi időszakokban a könyvvizsgáló az előző időszak óta bekövetkezett változásokra összpontosíthat.
Kockázatfelmérési eljárások típusai (Hiv.: 14. bekezdés)
A19. Az 500. témaszámú nemzetközi könyvvizsgálati standard * ismerteti a könyvvizsgálati eljárások típusait, amelyek végrehajthatók a kockázatfelmérési eljárások és további könyvvizsgálati eljárások révén való könyvvizsgálati bizonyítékszerzés során. A könyvvizsgálati eljárások jellegét, ütemezését és terjedelmét befolyásolhatja az a tény, hogy a számviteli adatok és egyéb bizonyítékok közül néhány lehet, hogy csak elektronikus formában vagy csak bizonyos időpontokban áll rendelkezésre. * A könyvvizsgáló végrehajthat alapvető vizsgálati eljárásokat vagy kontrollok teszteléseit, a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban, a kockázatfelmérési eljárásokkal egyidejűleg olyankor, amikor hatékony így eljárni. Az olyan megszerzett könyvvizsgálati bizonyíték, amely alátámasztja a lényeges hibás állítás kockázatainak azonosítását és felmérését, szintén támogathatja az állítások szintjén fennálló hibás állítások feltárását vagy a kontrollok működési hatékonyságának értékelését.
A20. Annak ellenére, hogy a könyvvizsgáló számára követelmény, hogy a 14. bekezdésben leírt valamennyi kockázatfelmérési eljárást végrehajtsa a gazdálkodó egységnek és környezetének, a vonatkozó pénzügyi beszámolási keretelveknek, valamint a gazdálkodó egység belső kontroll rendszerének előírt megismerése során (lásd 19–26. bekezdések), nem követelmény, hogy a könyvvizsgáló az összes kockázatfelmérési eljárást a megismerés minden egyes aspektusára vonatkozóan végrehajtsa. Egyéb eljárásokat is végre lehet hajtani, ha a megszerzendő információ segíthet a lényeges hibás állítás kockázatainak azonosításában. Ilyen eljárások lehetnek például interjúk készítése a gazdálkodó egység külső jogi tanácsadójával vagy külső felügyelő szerveivel, vagy a gazdálkodó egység által igénybe vett értékelési szakértőkkel.
Automatizált eszközök és technikák (Hiv.: 14. bekezdés)
A21. Automatizált eszközök és technikák használatával a könyvvizsgáló nagy mennyiségű adaton (a főkönyvből, az analitikákból vagy egyéb működési adatokból) hajthat végre kockázatfelmérési eljárásokat, beleértve azok használatát elemzésre, újraszámításokra, ismételt végrehajtásra vagy egyeztetésekre.
A vezetéssel és a gazdálkodó egység egyéb munkatársaival készített interjúk (Hiv.: 14. bekezdés (a) pont)
Miért készítenek interjúkat a vezetéssel és a gazdálkodó egység egyéb munkatársaival
A22. A könyvvizsgáló által a kockázatok azonosításához és felméréséhez megfelelő alapnak, valamint a további könyvvizsgálati eljárások kialakításának az alátámasztása céljából szerzett információk megszerezhetők a vezetéssel és a pénzügyi beszámolásért felelős személyekkel készített interjúk révén.
A23. A vezetéssel, valamint a gazdálkodó egységen belüli egyéb megfelelő személyekkel és más, eltérő jogkörrel rendelkező munkavállalókkal készített interjúk különböző perspektívákat kínálhatnak a könyvvizsgáló számára a lényeges hibás állítás kockázatainak azonosításakor és felmérésekor.
| – Példák: – Az irányítással megbízott személyekkel készített interjúk segíthetnek a könyvvizsgálónak megismerni, hogy milyen mértékű felügyeletet gyakorolnak az irányítással megbízott személyek a pénzügyi kimutatások vezetés általi készítése felett. A 260. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standard * azonosítja a hatékony kétirányú kommunikáció fontosságát annak szempontjából, hogy segítse a könyvvizsgáló erre irányuló információszerzését az irányítással megbízott személyektől. – Az összetett vagy szokatlan ügyletek létrehozásáért, feldolgozásáért vagy rögzítéséért felelős munkatársakkal készített interjúk segíthetnek a könyvvizsgálónak értékelni bizonyos számviteli politikák kiválasztásának és alkalmazásának megfelelőségét. – A belső jogi tanácsadóval készített interjúk olyan témákról nyújthatnak információt, mint a peres ügyek, a jogszabályoknak és szabályozásoknak való megfelelés, a gazdálkodó egységet érintő csalással vagy vélt csalással kapcsolatos ismeretek, garanciák, értékesítés utáni kötelmek, üzleti partnerekkel fennálló szerveződések (például közös vállalkozások), valamint a szerződéses feltételek értelmezése. – A marketingtevékenységet vagy értékesítést folytató munkatársakkal készített interjúk információt nyújthatnak a gazdálkodó egység marketingstratégiáinak a változásairól, az árbevétel alakulásáról vagy a gazdálkodó egység vevőivel kötött szerződéses megállapodásokról. – A kockázatkezelési funkcióval (vagy az ilyen szerepet betöltő személyekkel) készített interjúk információt adhatnak olyan működési és szabályozási kockázatokról, amelyek hatással lehetnek a pénzügyi beszámolásra. – Az IT-rendszerekkel foglalkozó munkatársakkal készített interjúk információval szolgálhatnak a rendszerváltoztatásokról, a rendszerek vagy kontrollok hibáiról vagy az IT-vel kapcsolatos egyéb kockázatokról. |
Állami szektorbeli gazdálkodó egységekre jellemző szempontok
A24. Amikor olyan személyekkel készítenek interjúkat,akiknek lehetnek olyan információik, amelyek valószínű, hogy segítenek a lényeges hibás állítás kockázatainak azonosításában, állami szektorbeli gazdálkodó egységek könyvvizsgálói információt szerezhetnek további forrásokból, mint például a teljesítményre vonatkozó vagy a gazdálkodó egységgel kapcsolatos egyéb vizsgálatokban részt vevő könyvvizsgálóktól.
A belső audit funkcióval készített interjúk
| – A 4. sz. függelék bemutat a gazdálkodó egység belső audit funkciójának megismerésére vonatkozó szempontokat. |
Miért készítenek interjúkat a belső audit funkcióval (ha van ilyen funkció)
A25. Ha a gazdálkodó egységnek van belső audit funkciója, a funkción belüli megfelelő személyekkel készített interjúk segíthetnek a könyvvizsgálónak a kockázatok azonosítása és felmérése során megismerni a gazdálkodó egységet és környezetét, valamint a gazdálkodó egység belső kontroll rendszerét.
Állami szektorban működő gazdálkodó egységekre vonatkozó speciális szempontok
A26. Állami szektorban működő gazdálkodó egységek könyvvizsgálóinak gyakran további felelősségeik vannak a belső kontroll és a vonatkozó jogszabályoknak és szabályozásoknak való megfelelés tekintetében. A belső audit funkción belüli megfelelő személyekkel készített interjúk segíthetnek a könyvvizsgálóknak azonosítani a vonatkozó jogszabályoknak és szabályozásoknak való lényeges meg nem felelés kockázatát, valamint a pénzügyi beszámolásra vonatkozó kontrollhiányosságok kockázatát.
Elemző eljárások (Hiv.: 14. bekezdés (b) pont)
Miért hajtanak végre elemző eljárásokat kockázatfelmérési eljárásként
A27. Az elemző eljárások segítenek azonosítani következetlenségeket, szokatlan ügyleteket vagy eseményeket, valamint olyan kérdéseket jelző összegeket, arányszámokat és tendenciákat, amelyeknek könyvvizsgálati kihatásaik lehetnek. Az azonosított szokatlan vagy váratlan kapcsolatok segíthetik a könyvvizsgálót a lényeges hibás állítás kockázatainak, különösen a csalásból eredő lényeges hibás állítás kockázatainak az azonosításában.
A28. A kockázatfelmérési eljárásokként végrehajtott elemző eljárások ezért segíthetnek a lényeges hibás állítás kockázatainak azonosításában és felmérésében a gazdálkodó egység olyan aspektusainak az azonosítása által, amelyekről a könyvvizsgálónak nem volt tudomása, vagy annak megismerése által, hogy az eredendő kockázati tényezők, mint például a változás hogyan befolyásolják az állítások hibás állításra való fogékonyságát.
Elemző eljárások típusai
A29. A kockázatfelmérési eljárásokként végrehajtott elemző eljárások:
– Pénzügyi és nem pénzügyi információkat egyaránt tartalmazhatnak, például az árbevétel és az eladótér nagysága vagy az értékesített áruk mennyisége közötti kapcsolatot (nem pénzügyi).
– Magas szinten összevont adatokat használhatnak. Ennek megfelelően ezeknek az elemző eljárásoknak az eredményei általános kezdeti jelzést adhatnak egy lényeges hibás állítás valószínűségéről.
| – Példa: – Sok gazdálkodó egység könyvvizsgálata során, beleértve a kevésbé összetett üzleti modellekkel és folyamatokkal, valamint kevésbé összetett információs rendszerrel rendelkezőket, a könyvvizsgáló lehet, hogy az információk egyszerű összehasonlítását hajtja végre, mint például az évközi vagy havi számlaegyenlegekben az előző időszakokhoz képest bekövetkezett változást, hogy jelzést kapjon a potenciálisan magasabb kockázatú területekről. |
A30. A jelen nemzetközi könyvvizsgálati standard az elemző eljárásoknak a könyvvizsgáló által kockázatfelmérési eljárásokként való használatával foglalkozik. Az 520. témaszámú nemzetközi könyvvizsgálati standard * foglalkozik az elemző eljárások könyvvizsgáló által alapvető vizsgálati eljárásokként való használatával („alapvető elemző eljárások”), valamint a könyvvizsgáló felelősségével elemző eljárásoknak a könyvvizsgálat végéhez közeli időpontban való végrehajtására vonatkozóan. Ennek megfelelően nem előírás, hogy a kockázatfelmérési eljárásként végrehajtott elemző eljárásokat az 520. témaszámú nemzetközi könyvvizsgálati standard követelményeivel összhangban hajtsák végre. Az 520. témaszámú nemzetközi könyvvizsgálati standardban lévő követelmények és alkalmazási anyag azonban hasznos útmutatást adhat a könyvvizsgáló számára elemző eljárásoknak a kockázatfelmérési eljárások részeként való végrehajtásakor.
Automatizált eszközök és technikák
A31. Elemző eljárások végrehajthatók számos eszköz és technika használatával, amelyek lehetnek automatizáltak. Automatizált elemző eljárások adatokra való alkalmazására hivatkozhatnak adatelemzésként.
| – Példa: – A könyvvizsgáló használhat táblázatkezelő programot a tényleges rögzített összegek és a tervezett összegek összehasonlítására, vagy végrehajthat fejlettebb eljárást adatok kinyerésével a gazdálkodó egység információs rendszeréből és ezeknek az adatoknak megjelenítési technikák alkalmazásával való további elemzésével olyan ügyletcsoportok, számlaegyenlegek vagy közzétételek azonosítása céljából, amelyekre vonatkozóan további konkrét kockázatfelmérési eljárások lehetnek indokoltak. |
Megfigyelés és szemrevételezés (Hiv.: 14. bekezdés (c) pont)
Miért hajtanak végre megfigyelést és szemrevételezést kockázatfelmérési eljárásokként
A32. A megfigyelés és a szemrevételezés alátámaszthatja, megerősítheti vagy cáfolhatja a vezetéssel és másokkal készített interjúkat, valamint információt nyújthat a gazdálkodó egységről és annak környezetéről.
Méretre szabhatóság
A33. Ahol a politikák vagy eljárások nem dokumentáltak, vagy a gazdálkodó egységnek kevésbé formalizált kontrolljai vannak, a könyvvizsgáló mégis képes lehet bizonyos mennyiségű könyvvizsgálati bizonyítékot szerezni a kontroll végrehajtásának megfigyelésén vagy szemrevételezésén keresztül ahhoz, hogy a lényeges hibás állítás kockázatainak azonosítását és felmérését alátámassza.
| – Példák: – A könyvvizsgáló megismerheti a leltározás feletti kontrollokat, még ha a gazdálkodó egység nem is dokumentálta azokat, közvetlen megfigyelésen keresztül. – A könyvvizsgáló lehet, hogy megfigyelést tud végezni a feladatok szétválasztására vonatkozóan. – A könyvvizsgáló képes lehet megfigyelni jelszavak bevitelét. |
Megfigyelés és szemrevételezés, mint kockázatfelmérési eljárások
A34. A kockázatfelmérési eljárások magukban foglalhatják a következők megfigyelését vagy szemrevételezését:
– A gazdálkodó egység tevékenységei.
– Belső dokumentumok (mint például üzleti tervek és stratégiák), nyilvántartások és belső kontroll kézikönyvek.
– A vezetés által készített jelentések (mint például negyedéves vezetőségi jelentések és évközi pénzügyi kimutatások), valamint az irányítással megbízott személyek által készített jelentések (például igazgatósági ülések jegyzőkönyvei).
– A gazdálkodó egység telephelyei és üzemi létesítményei.
– Külső forrásokból, mint például kereskedelmi és gazdasági folyóiratokból, elemzők, bankok, minősítéssel foglalkozó ügynökségek jelentéseiből, szabályozási vagy pénzügyi publikációkból vagy egyéb külső dokumentumokból származó, a gazdálkodó egység pénzügyi teljesítményével kapcsolatos információk (mint például az A79. bekezdésben említett információk).
– A vezetés vagy az irányítással megbízott személyek viselkedése és cselekedetei (mint például egy auditbizottsági ülés megfigyelése).
Automatizált eszközök és technikák
A35. Automatizált eszközök vagy technikák használhatók megfigyeléshez vagy szemrevételezéshez is, különösen eszközökre vonatkozóan, például távmegfigyelési eszközök (például drón) használatán keresztül.
Állami szektorbeli gazdálkodó egységekre jellemző szempontok
A36. Állami szektorbeli gazdálkodó egységek könyvvizsgálói által végrehajtott kockázatfelmérési eljárások magukban foglalhatják a vezetés által a törvényhozó testület számára készített dokumentumok, például a teljesítményről szóló kötelező beszámolással kapcsolatos dokumentumok megfigyelését és szemrevételezését is.
Egyéb forrásokból származó információk (Hiv.: 15. bekezdés)
Miért vesz figyelembe a könyvvizsgáló egyéb forrásokból származó információkat
A37. Egyéb forrásokból származó információk relevánsak lehetnek a lényeges hibás állítás kockázatainak azonosítása és felmérése szempontjából azáltal, hogy információt és rálátást biztosítanak:
– a gazdálkodó egység és az üzleti kockázatai jellegéről, valamint arról, hogy mi változhatott a korábbi időszakokhoz képest;
– a vezetés és az irányítással megbízott személyek tisztességességéről és etikai értékeiről, ami releváns lehet a kontrollkörnyezet könyvvizsgáló általi megismerése szempontjából is;
– a vonatkozó pénzügyi beszámolási keretelvekről és annak a gazdálkodó egység jellegére és körülményeire való alkalmazásáról.
Egyéb releváns források
Egyéb forrásokból származó információk
A38. Az egyéb releváns információforrások magukban foglalják:
– A könyvvizsgáló eljárásait az ügyfélkapcsolat vagy a könyvvizsgálati megbízás elfogadásával vagy megtartásával kapcsolatban a 220. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standarddal összhangban, beleértve az arra vonatkozóan levont következtetéseket. *
– A megbízásért felelős partner által a gazdálkodó egység részére végzett egyéb megbízásokat. A megbízásért felelős partner lehet, hogy szerzett a könyvvizsgálat szempontjából releváns ismereteket, beleértve a gazdálkodó egységről és környezetéről való ismereteket, amikor egyéb megbízásokat végzett a gazdálkodó egység számára. Az ilyen megbízások magukban foglalhatnak megállapodás szerinti eljárások végrehajtására szóló megbízásokat vagy egyéb könyvvizsgálati, vagy bizonyosságot nyújtó szolgáltatásokra szóló megbízásokat, beleértve az adott joghatóságban fennálló kiegészítő beszámolási követelményekre irányuló megbízásokat.
A könyvvizsgálónak a gazdálkodó egységgel kapcsolatos korábbi tapasztalataiból és a korábbi könyvvizsgálatokból származó információk (Hiv.: 16. bekezdés)
Miért fontosak a korábbi könyvvizsgálatokból származó információk a jelenlegi könyvvizsgálat szempontjából
A39. A könyvvizsgálónak a gazdálkodó egységgel kapcsolatos és a korábbi könyvvizsgálatok során végrehajtott könyvvizsgálati eljárásokból származó korábbi tapasztalatai olyan információkat nyújthatnak a könyvvizsgálónak, amelyek relevánsak a kockázatfelmérési eljárások jellegének és terjedelmének a könyvvizsgáló általi meghatározása, valamint a lényeges hibás állítás kockázatainak azonosítása és felmérése szempontjából.
A korábbi könyvvizsgálatokból származó információk jellege
A40. A könyvvizsgálónak a gazdálkodó egységgel kapcsolatos korábbi tapasztalatai és a korábbi könyvvizsgálatok során végrehajtott könyvvizsgálati eljárások információkat nyújthatnak a könyvvizsgálónak olyan témákról, mint például:
– múltbeli hibás állítások, továbbá az, hogy azokat időben kijavították-e;
– a gazdálkodó egység és környezetének jellege, valamint a gazdálkodó egység belső kontroll rendszere (beleértve a kontrollhiányosságokat);
– jelentős változások, amelyeken a gazdálkodó egység vagy annak tevékenységei átmehettek a megelőző pénzügyi időszak óta;
– ügyletek és egyéb események vagy számlaegyenlegek (és kapcsolódó közzétételek) konkrét típusai, amelyeknél a könyvvizsgáló nehéznek találta a szükséges könyvvizsgálati eljárások végrehajtását, például azok összetettsége miatt.
A41. A könyvvizsgáló számára előírás annak meghatározása, hogy az információk, amelyeket a könyvvizsgáló a gazdálkodó egységgel kapcsolatos korábbi tapasztalataiból és a korábbi könyvvizsgálatok során végrehajtott könyvvizsgálati eljárásokból szerzett meg, relevánsak és megbízhatók maradnak-e, ha a könyvvizsgáló szeretné felhasználni ezeket az információkat a jelenlegi könyvvizsgálat céljaira. Ha a gazdálkodó egység jellege vagy körülményei megváltoztak, vagy új információkat szereztek, a korábbi időszakokból származó információk lehet, hogy már nem relevánsak vagy megbízhatók a jelenlegi könyvvizsgálatra vonatkozóan. Annak megállapítása céljából, hogy történtek-e olyan változások, amelyek érinthetik az ilyen információk relevanciáját vagy megbízhatóságát, a könyvvizsgáló interjúkat készíthet és egyéb megfelelő könyvvizsgálati eljárásokat hajthat végre, mint például a releváns rendszerek végigkövetései. Ha az információk nem megbízhatók, a könyvvizsgáló mérlegelheti az adott körülmények között megfelelő további eljárások végrehajtását.
A megbízásért felelős munkacsoport megbeszélése (Hiv.: 17–18. bekezdések)
Miért követelmény a megbízásért felelős munkacsoport számára, hogy megbeszéljék a vonatkozó pénzügyi beszámolási keretelvek alkalmazását és a gazdálkodó egység pénzügyi kimutatásainak lényeges hibás állításra való fogékonyságát
A42. A megbízásért felelős munkacsoportnak a vonatkozó pénzügyi beszámolási keretelvek alkalmazásával és a gazdálkodó egység pénzügyi kimutatásainak lényeges hibás állításra való fogékonyságával kapcsolatos megbeszélése:
– Alkalmat ad a megbízásért felelős munkacsoport tapasztaltabb tagjainak (a megbízásért felelős partnert is beleértve) arra, hogy megosszák a gazdálkodó egység ismeretén alapuló meglátásaikat. Az információk megosztása hozzájárul a megbízásért felelős munkacsoport minden tagja általi jobb megértéshez.
– Lehetővé teszi a megbízásért felelős munkacsoport tagjai számára, hogy információt cseréljenek azokról az üzleti kockázatokról, amelyeknek a gazdálkodó egység ki van téve, arról, hogy az eredendő kockázati tényezők hogyan befolyásolhatják az ügyletcsoportok, számlaegyenlegek és közzétételek hibás állításra való fogékonyságát, valamint arról, hogyan és hol lehetnek esetleg a pénzügyi kimutatások fogékonyak csalásból vagy hibából eredő lényeges hibás állításra.
– Segíti a megbízásért felelős munkacsoport tagjait, hogy jobb képet kapjanak annak lehetőségéről, hogy a számukra kijelölt területen a pénzügyi kimutatások lényeges hibás állításokat tartalmaznak, továbbá hogy megismerjék, hogyan érinthetik az általuk végrehajtott könyvvizsgálati eljárások eredményei a könyvvizsgálat egyéb aspektusait, beleértve a további könyvvizsgálati eljárások jellegéről, időzítéséről és terjedelméről hozott döntéseket. Különösképpen, a megbeszélés segíti a megbízásért felelős munkacsoport tagjait az ellentmondásos információk további mérlegelésében, az egyes tagoknak a gazdálkodó egység jellegére és körülményeire vonatkozó saját ismeretei alapján.
– Alapot teremt a megbízásért felelős munkacsoport tagjai számára a könyvvizsgálat során szerzett olyan új információk kommunikálásához és megosztásához, amelyek hatással lehetnek a lényeges hibás állítás kockázatainak a felmérésére vagy az ezen kockázatok kezelése érdekében végrehajtott könyvvizsgálati eljárásokra.
A 240. témaszámú nemzetközi könyvvizsgálati standard előírja, hogy a megbízásért felelős munkacsoport megbeszélése különös hangsúlyt helyezzen arra, hogy hogyan és hol lehetnek fogékonyak a gazdálkodó egység pénzügyi kimutatásai a csalásból eredő lényeges hibás állításra, beleértve azt is, hogy hogyan merülhet fel csalás. *
A43. Szakmai szkepticizmus szükséges a könyvvizsgálati bizonyítékok kritikus értékeléséhez, és a megbízásért felelős munkacsoport tartalmas és nyitott megbeszélése, beleértve az ismétlődő könyvvizsgálatokra vonatkozóan, a lényeges hibás állítás kockázatainak jobb azonosításához és felméréséhez vezethet. A megbeszélés egy másik eredménye lehet, hogy a könyvvizsgáló azonosítja a könyvvizsgálat olyan konkrét területeit, amelyekre vonatkozóan a szakmai szkepticizmus gyakorlása különösen fontos lehet, és a megbízásért felelős munkacsoport tapasztaltabb tagjainak bevonásához vezethet, akik megfelelően képzettek ahhoz, hogy az ezekkel a területekkel kapcsolatos könyvvizsgálati eljárások végrehajtásában részt vegyenek.
Méretre szabhatóság
A44. Amikor a megbízást egyetlen személy végzi, mint például egy egyéni könyvvizsgáló (vagyis, amikor megbízásért felelős munkacsoporti megbeszélés nem lenne lehetséges), az A42. és az A46. bekezdésekben említett kérdések mérlegelése mindazonáltal segíthet a könyvvizsgálónak azonosítani, hol lehetnek a lényeges hibás állítás kockázatai.
A45. * Amikor egy megbízást egy nagy megbízásért felelős munkacsoport végez, mint például csoportra vonatkozó pénzügyi kimutatások könyvvizsgálata esetében, nem mindig szükséges vagy megoldható, hogy egyetlen megbeszélésen legyen ott az összes tag (például egy több helyszínen végzett könyvvizsgálat esetében), és az sem szükséges, hogy a megbízásért felelős munkacsoport minden tagját tájékoztassák a megbeszélésen hozott összes döntésről. A megbízásért felelős partner megvitathatja a kérdéseket a megbízásért felelős munkacsoport kulcsfontosságú tagjaival, beleértve – ha ezt megfelelőnek találják – a speciális készségekkel vagy tudással rendelkező személyeket és a komponenseknél végrehajtandó munkáért felelős személyeket, delegálva ugyanakkor a másokkal folytatott megbeszéléseket, figyelembe véve az egész megbízásért felelős munkacsoporton belül szükségesnek ítélt kommunikáció mértékét. A megbízásért felelős partner által jóváhagyott kommunikációs terv hasznos lehet.
A vonatkozó pénzügyi beszámolási keretelvekben lévő közzétételek megbeszélése
A46. A megbízásért felelős munkacsoport megbeszélésének részeként a vonatkozó pénzügyi beszámolási keretelvek közzétételi követelményeinek figyelembevétele segít a könyvvizsgálat korai szakaszában azonosítani, hogy hol lehetnek a lényeges hibás állítás közzétételekkel kapcsolatos kockázatai, még olyan körülmények között is, amikor a vonatkozó pénzügyi beszámolási keretelvek csak egyszerűsített közzétételeket írnak elő. Az olyan kérdések, amelyeket a megbízásért felelős munkacsoport megbeszélhet, magukban foglalják:
– A pénzügyi beszámolási követelmények változásait, amelyek jelentős új vagy felülvizsgált közzétételeket eredményezhetnek.
– A gazdálkodó egység környezetének, pénzügyi állapotának vagy tevékenységeinek változásait, amelyek jelentős új vagy felülvizsgált közzétételeket eredményezhetnek, például egy jelentős üzleti kombináció az auditált időszakban.
– Olyan közzétételeket, amelyekre vonatkozóan lehet, hogy a múltban nehéz volt elegendő és megfelelő könyvvizsgálati bizonyítékot szerezni; valamint
– Összetett kérdésekkel kapcsolatos közzétételeket, beleértve azokat, amelyek arra vonatkozó jelentős vezetői megítéléssel járnak, hogy mely információkat tegyék közzé.
Állami szektorbeli gazdálkodó egységekre jellemző szempontok
A47. A megbízásért felelős munkacsoport állami szektorbeli gazdálkodó egységek könyvvizsgálói által tartott megbeszélésének részeként szintén mérlegelni lehet az állami szektorbeli gazdálkodó egységekre vonatkozó könyvvizsgálati megbízásból vagy kötelmekből eredő bármilyen további tágabb célt, valamint a kapcsolódó kockázatokat.
A gazdálkodó egységnek és környezetének, a vonatkozó pénzügyi beszámolási keretelveknek és a gazdálkodó egység belső kontroll rendszerének megismerése (Hiv.: 19‒27. bekezdések)
| – Az 1–6. sz. függelékek tartalmaznak a gazdálkodó egységnek és környezetének, a vonatkozó pénzügyi beszámolási keretelveknek és a gazdálkodó egység belső kontroll rendszerének megismerésére vonatkozó további szempontokat. |
Az előírt megismerés (Hiv.: 19‒27. bekezdések)
A48. A gazdálkodó egységnek és környezetének, a vonatkozó pénzügyi beszámolási keretelveknek és a gazdálkodó egység belső kontroll rendszerének megismerése információk gyűjtésének, frissítésének és elemzésének dinamikus és ismétlődő folyamata, és folytatódik a könyvvizsgálat egésze alatt. Ezért a könyvvizsgáló várakozásai új információk megszerzésével változhatnak.
A49. A gazdálkodó egységnek és környezetének, valamint a vonatkozó pénzügyi beszámolási keretelveknek a könyvvizsgáló általi megismerése segíthet a könyvvizsgálónak az olyan ügyletcsoportokkal, számlaegyenlegekkel és közzétételekkel kapcsolatos kezdeti várakozások kialakításában is, amelyek jelentős ügyletcsoportok, számlaegyenlegek és közzétételek lehetnek. Ezek a várható jelentős ügyletcsoportok, számlaegyenlegek és közzétételek alapozzák meg a gazdálkodó egység információs rendszere könyvvizsgáló általi megismerésének a hatókörét.
Miért előírás a gazdálkodó egységnek és környezetének, valamint a vonatkozó pénzügyi beszámolási keretelveknek a megismerése (Hiv.: 19‒20. bekezdések)
A50. A gazdálkodó egységnek és környezetének, valamint a vonatkozó pénzügyi beszámolási keretelveknek a könyvvizsgáló általi megismerése segít a könyvvizsgálónak megismerni azokat az eseményeket és körülményeket, amelyek relevánsak a gazdálkodó egység szempontjából, valamint azonosítani, hogy az eredendő kockázati tényezők hogyan befolyásolják az állítások hibás állításra való fogékonyságát a pénzügyi kimutatásoknak a vonatkozó pénzügyi beszámolási keretelvekkel összhangban való elkészítése során, valamint ennek a befolyásnak a mértékét. Ezek az információk hivatkozási keretet hoznak létre, amelyen belül a könyvvizsgáló azonosítja és felméri a lényeges hibás állítás kockázatait. Ez a hivatkozási keret segít továbbá a könyvvizsgálónak megtervezni a könyvvizsgálatot, valamint szakmai megítélést és szakmai szkepticizmust alkalmazni a könyvvizsgálat egésze során, például, amikor:
– azonosítja és felméri a pénzügyi kimutatásokban lévő lényeges hibás állítás kockázatait a 315. témaszámú (2019-ben felülvizsgált) nemzetközi könyvvizsgálati standarddal vagy egyéb releváns standardokkal összhangban (például a csalás kockázataira vonatkozóan a 240. témaszámú nemzetközi könyvvizsgálati standarddal összhangban, vagy a számviteli becslésekkel kapcsolatos kockázatok azonosításakor vagy felmérésekor a 540. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standarddal összhangban);
– eljárásokat hajt végre a jogszabályoknak és szabályozásoknak való olyan meg nem felelések azonosításának segítése céljából a 250. témaszámú nemzetközi könyvvizsgálati standarddal összhangban, amelyeknek lényeges hatásuk lehet a pénzügyi kimutatásokra; *
– értékeli a 700. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standarddal összhangban, hogy a pénzügyi kimutatások megfelelő közzétételeket nyújtanak-e; *
– meghatározza a lényegességet vagy a végrehajtási lényegességet a 320. témaszámú nemzetközi könyvvizsgálati standarddal összhangban; * vagy
– mérlegeli a számviteli politikák kiválasztásának és alkalmazásának megfelelőségét, valamint a pénzügyi kimutatásokban szereplő közzétételek megfelelőségét.
A51. A gazdálkodó egység és környezete, valamint a vonatkozó pénzügyi beszámolási keretelvek könyvvizsgáló általi megismerése arról is tájékoztat, hogy a könyvvizsgáló hogyan tervez és hajt végre további könyvvizsgálati eljárásokat, például, amikor:
– az elemző eljárások végrehajtása során használandó várakozásokat dolgoz ki az 520. témaszámú nemzetközi könyvvizsgálati standarddal összhangban; *
– további könyvvizsgálati eljárásokat alakít ki és hajt végre a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban, hogy elegendő és megfelelő könyvvizsgálati bizonyítékot szerezzen; valamint
– értékeli a megszerzett könyvvizsgálati bizonyítékok elegendőségét és megfelelőségét (például feltételezésekre vagy a vezetés szóbeli és írásbeli nyilatkozataira vonatkozóan).
Méretre szabhatóság
A52. Az elvárt megismerés jellege és terjedelme a könyvvizsgáló szakmai megítélésének kérdése és gazdálkodó egységenként változik a gazdálkodó egység jellegének és körülményeinek alapján, beleértve:
– a gazdálkodó egység méretét és összetettségét, beleértve annak IT-környezetét;
– a könyvvizsgálónak a gazdálkodó egységgel kapcsolatos korábbi tapasztalatait;
– a gazdálkodó egység rendszereinek és folyamatainak jellegét, beleértve, hogy azok formalizáltak-e vagy sem; valamint
– a gazdálkodó egység dokumentációjának jellegét és formáját.
A53. A könyvvizsgálónak az elvárt megismerést szolgáló kockázatfelmérési eljárásai kevésbé kiterjedtek lehetnek kevésbé összetett gazdálkodó egységek könyvvizsgálata során, és kiterjedtebbek lehetnek olyan gazdálkodó egységek esetében, amelyek összetettebbek. A könyvvizsgáló által megkívánt megismerés mélysége várhatóan kisebb, mint amellyel a vezetés rendelkezik a gazdálkodó egység vezetése során.
A54. Egyes pénzügyi beszámolási keretelvek lehetővé teszik kisebb gazdálkodó egységek számára, hogy egyszerűbb és kevésbé részletes közzétételeket tegyenek a pénzügyi kimutatásokban. Ez azonban nem menti fel a könyvvizsgálót annak felelőssége alól, hogy megismerje a gazdálkodó egységet és környezetét, valamint a vonatkozó pénzügyi beszámolási keretelveket, ahogyan azok a gazdálkodó egységre vonatkoznak.
A55. A gazdálkodó egység IT-használata, valamint az IT-környezetben végbemenő változások jellege és terjedelme szintén befolyásolhatják a speciális készségeket, amelyek szükségesek az elvárt megismerés elősegítéséhez.
A gazdálkodó egység és környezete (Hiv.: 19. bekezdés (a) pont)
A gazdálkodó egység szervezeti felépítése, tulajdonosi és irányítási szerkezete, valamint üzleti modellje (Hiv.: 19. bekezdés (a) pont (i) alpont)
A gazdálkodó egység szervezeti felépítése és tulajdonosi szerkezete
A56. A gazdálkodó egység szervezeti felépítésének és tulajdonosi szerkezetének megismerése lehetővé teheti a könyvvizsgáló számára, hogy megismerjen olyan kérdéseket, mint:
– A gazdálkodó egység felépítésének összetettsége.
| – Példa: – A gazdálkodó egység lehet egyetlen gazdálkodó egység, vagy a gazdálkodó egység felépítése magában foglalhat több helyszínen lévő leányvállalatokat, divíziókat vagy egyéb komponenseket. Emellett a jogi felépítés eltérhet a működési felépítéstől. Az összetett felépítésből gyakran merülnek fel olyan tényezők, amelyek a hibás állítás kockázataira való nagyobb fogékonyságot idézhetnek elő. Az ilyen kérdések magukban foglalhatják azt, hogy a goodwillt, közös vállalkozásokat, befektetéseket vagy a speciális célú gazdálkodó egységeket megfelelően számolják-e el, valamint, hogy megtörtént-e az ilyen ügyek megfelelő közzététele a pénzügyi kimutatásokban. |
– A tulajdonosi szerkezet, valamint a tulajdonosok és egyéb személyek vagy gazdálkodó egységek közötti kapcsolatok, beleértve a kapcsolt feleket. Ez az ismeret segíthet annak meghatározásában, hogy a kapcsolt felek közötti ügyleteket megfelelően azonosították-e és számolták-e el, és azokat megfelelően közzétették-e a pénzügyi kimutatásokban. *
– A tulajdonosok, az irányítással megbízott személyek és a vezetés megkülönböztetése.
| – Példa: – Kevésbé összetett gazdálkodó egységeknél a gazdálkodó egység tulajdonosai lehet, hogy részt vesznek a gazdálkodó egység vezetésében, ezért nincs vagy csak kicsi a megkülönböztetés. Ezzel szemben, mint például egyes tőzsdén jegyzett gazdálkodó egységeknél, egyértelmű lehet a vezetés, a gazdálkodó egység tulajdonosai és az irányítással megbízott személyek megkülönböztetése. * |
– A gazdálkodó egység IT-környezetének felépítése és összetettsége.
| – Példák: – A gazdálkodó egység: – rendelkezhet több, örökölt IT-rendszerrel az eltérő üzleti tevékenységekben, amelyek nincsenek megfelelően integrálva, ami összetett IT-környezetet eredményez; – használhat külső vagy belső szolgáltatókat IT-környezete aspektusaihoz (például az IT-környezet hostingjának harmadik félhez való kiszervezése, vagy közös szolgáltató központ igénybevétele egy csoporton belüli IT-folyamatok központi kezeléséhez). |
Automatizált eszközök és technikák
A57. A könyvvizsgáló az információs rendszer megismerését szolgáló eljárásainak részeként használhat automatizált eszközöket és technikákat az ügyletek áramlásainak * és a feldolgozásnak a megismerése céljából. Ezeknek az eljárásoknak egyik eredménye lehet, hogy a könyvvizsgáló információt szerez a gazdálkodó egység szervezeti felépítéséről, vagy azokról, akikkel a gazdálkodó egység üzleti tevékenységet folytat (például szállítók, vevők, kapcsolt felek).
Állami szektorban működő gazdálkodó egységekre vonatkozó speciális szempontok
A58. Állami szektorban működő gazdálkodó egységek tulajdonosi szerkezetének lehet, hogy nincs olyan relevanciája, mint a magánszektorban, mert a gazdálkodó egységre vonatkozó döntéseket lehet, hogy a gazdálkodó egységen kívül hozzák meg politikai folyamatok eredményeképpen. Ezért lehet, hogy a vezetésnek nincs ellenőrzése bizonyos meghozott döntések felett. Az olyan kérdések, amelyek relevánsak lehetnek, magukban foglalják annak a megismerését, hogy a gazdálkodó egység képes-e egyoldalú döntéseket hozni, valamint, hogy az állami szektorban működő más gazdálkodó egységek képesek-e ellenőrizni vagy befolyásolni a gazdálkodó egység megbízatását vagy stratégiai irányítását.
| – Példa: – Egy állami szektorban működő gazdálkodó egységre vonatkozhatnak olyan jogszabályok vagy más hatósági irányelvek, amelyek előírják számára, hogy a stratégiájára és céljaira a gazdálkodó egységen kívüli felektől jóváhagyást szerezzen azelőtt, hogy bevezeti azokat. Ezért a gazdálkodó egység jogi felépítésének megismeréséhez kapcsolódó kérdések magukban foglalhatnak vonatkozó jogszabályokat és szabályozásokat, valamint a gazdálkodó egység besorolását (vagyis, hogy a gazdálkodó egység minisztérium, igazgatási ágazati szerv, ügynökség vagy más típusú gazdálkodó egység). |
Irányítás
Miért ismeri meg a könyvvizsgáló az irányítást
A59. A gazdálkodó egység irányításának megismerése segítheti a könyvvizsgálót a gazdálkodó egység arra vonatkozó képességének megismerésében, hogy megfelelően felügyelje a belső kontroll rendszert. Ez a megismerés azonban hiányosságokra vonatkozó bizonyítékokkal is szolgálhat, amelyek a gazdálkodó egység pénzügyi kimutatásai lényeges hibás állítás kockázataira való fogékonyságának növekedését jelezhetik.
A gazdálkodó egység irányításának megismerése
A60. Az olyan kérdések, amelyeknek mérlegelése releváns lehet a könyvvizsgáló számára a gazdálkodó egység irányításának a megismerése során magukban foglalják az alábbiakat:
– Részt vesz-e valaki vagy mindenki az irányítással megbízott személyek közül a gazdálkodó egység vezetésében.
– Egy nem ügyvezető igazgatóság létezése (és elkülönülése), ha van ilyen, az ügyvezetéstől.
– Az irányítással megbízott személyek olyan pozíciókban vannak-e, amelyek szerves részei a gazdálkodó egység jogi felépítésének, például mint igazgatók.
– Az irányítással megbízott személyek alcsoportjának, mint például egy auditbizottság, létezése, valamint az ilyen csoport felelősségei.
– Az irányítással megbízott személyeknek a pénzügyi beszámolás felügyeletéért való felelősségei, beleértve a pénzügyi kimutatások jóváhagyását.
A gazdálkodó egység üzleti modellje
| – Az 1. sz. függelék tartalmaz további szempontokat a gazdálkodó egység és üzleti modelljének megismerésére vonatkozóan, valamint további szempontokat speciális célú gazdálkodó egységek könyvvizsgálatával kapcsolatosan. |
Miért ismeri meg a könyvvizsgáló a gazdálkodó egység üzleti modelljét
A61. A gazdálkodó egység céljainak, stratégiájának és üzleti modelljének megismerése segít a könyvvizsgálónak stratégiai szinten megismerni a gazdálkodó egységet, valamint megismerni azokat az üzleti kockázatokat, amelyeket a gazdálkodó egység vállal, és amelyekkel szembesül. A pénzügyi kimutatásokra hatást gyakorló üzleti kockázatok megismerése segít a könyvvizsgálónak azonosítani a lényeges hibás állítás kockázatait, mivel a legtöbb üzleti kockázatnak végső soron lesznek pénzügyi következményei, és így hatása a pénzügyi kimutatásokra.
| – Példák: – Egy gazdálkodó egység üzleti modellje különböző módokon támaszkodhat az IT használatára: – A gazdálkodó egység cipőket ad el egy fizikai boltban, és fejlett készletezési és értékesítőhelyi rendszert használ a cipők eladásának rögzítésére; vagy – A gazdálkodó egység online értékesít cipőket, úgy, hogy az összes értékesítési ügyletet egy IT-környezetben dolgozzák fel, beleértve az ügyletek létrehozását egy weboldalon keresztül. – Mindkét gazdálkodó egység esetében a jelentősen eltérő üzleti modellből eredő üzleti kockázatok alapvetően különbözők lennének, annak ellenére, hogy mindkét gazdálkodó egység cipőket értékesít. |
A gazdálkodó egység üzleti modelljének megismerése
A62. Az üzleti modellnek nem minden aspektusa releváns a könyvvizsgáló általi megismerés szempontjából. Az üzleti kockázatok tágabbak, mint a pénzügyi kimutatásokban lévő lényeges hibás állítás kockázatai, bár az üzleti kockázatok magukban foglalják ez utóbbit.A könyvvizsgáló nem felelős azért, hogy minden üzleti kockázatot megismerjen vagy azonosítson, mert nem minden üzleti kockázat eredményezi a lényeges hibás állítás kockázatait.
A63. A lényeges hibás állítás kockázataira való fogékonyságot növelő üzleti kockázatok eredhetnek a következőkből:
– Nem megfelelő célok vagy stratégiák, stratégiák nem hatékony végrehajtása, vagy változás, vagy összetettség.
– A változtatás szükségességének fel nem ismerése is például az alábbiakból származó üzleti kockázatot idézhet elő:
– olyan új termékek vagy szolgáltatások kifejlesztése, amelyek sikertelenek lehetnek;
– olyan piac, amely, még ha sikeresen alakítják is ki, nem elegendő a termék vagy szolgáltatás támogatására; vagy
– egy termék vagy szolgáltatás hibái, amelyek jogi kötelezettségeket és hírnévvel kapcsolatos kockázatot vonhatnak maguk után.
– Ösztönzés vagy nyomás a vezetés számára, amely a vezetés szándékos vagy nem szándékos elfogultságát eredményezheti, és így befolyásolja a jelentős feltételezések észszerűségét és a vezetés vagy az irányítással megbízott személyek várakozásait.
A64. Példák olyan kérdésekre, amelyeket a könyvvizsgáló mérlegelhet a gazdálkodó egység üzleti modelljének, céljainak, stratégiáinak és az olyan kapcsolódó üzleti kockázatoknak a megismerésekor, amelyek a pénzügyi kimutatásokban lévő lényeges hibás állítás kockázatát eredményezhetik:
– Iparági fejlemények, mint például az iparági változásokat kezelő munkaerő vagy szakértelem hiánya;
– Új termékek és szolgáltatások, amelyek nagyobb termékfelelősséghez vezethetnek;
– A gazdálkodó egység üzleti tevékenységének bővülése, és nem pontosan becsülték meg a keresletet;
– Új számviteli követelmények, ahol hiányos vagy nem megfelelő volt a bevezetés;
– Nagyobb jogi kitettséget eredményező szabályozói követelmények;
– Jelenlegi és jövőben várható finanszírozási követelmények, mint például finanszírozás elvesztése amiatt, hogy a gazdálkodó egység nem képes teljesíteni a követelményeket;
– Az IT használata, mint például egy új IT-rendszer bevezetése, amely hatással lesz mind a működésre, mind a pénzügyi beszámolásra; vagy
– Egy stratégia megvalósításának hatásai, különösen bármilyen olyan hatás, amely új számviteli követelményekhez vezet majd.
A65. Rendszerint a vezetés azonosítja az üzleti kockázatokat, és megközelítéseket dolgoz ki azok kezelésére. Egy ilyen kockázatfelmérési folyamat a gazdálkodó egység belső kontroll rendszerének része, és azzal a 22. bekezdés, valamint az A109–A113. bekezdések foglalkoznak.
Állami szektorban működő gazdálkodó egységekre vonatkozó speciális szempontok
A66. Az állami szektorban működő gazdálkodó egységek más módokon hozhatnak létre és közvetíthetnek értéket azokhoz képest, amelyek a tulajdonosok számára hoznak létre vagyont, de továbbra is lesz egy konkrét céllal rendelkező üzleti modelljük. Az állami szektorban dolgozó könyvvizsgálók által megismerhető olyan kérdések, amelyek relevánsak a gazdálkodó egység üzleti modellje szempontjából, magukban foglalják:
– a releváns kormányzati tevékenységek ismeretét, beleértve a kapcsolódó programokat;
– programcélokat és stratégiákat, beleértve közpolitikai elemeket.
A67. Az állami szektorbeli gazdálkodó egységek könyvvizsgálatánál a „vezetés céljait” befolyásolhatják a közelszámoltathatóság tanúsítását előíró követelmények, valamint azok tartalmazhatnak olyan célokat, amelyeknek a forrása jogszabályban, szabályozásban vagy más autoritásban van.
Ágazati, szabályozási és egyéb külső tényezők (Hiv.: 19. bekezdés (a) pont (ii) alpont)
Ágazati tényezők
A68. A releváns ágazati tényezők közé tartoznak az ágazati feltételek, mint a versenykörnyezet, a szállítói és vevői kapcsolatok és a technológiai fejlesztések. Az olyan kérdések, amelyeket a könyvvizsgáló mérlegelhet, magukban foglalják:
– a piacot és a versenyt, beleértve a keresletet, a kapacitást és az árversenyt;
– a ciklikus vagy szezonális tevékenységet;
– a gazdálkodó egység termékeihez kapcsolódó terméktechnológiát;
– az energiaellátást és -költséget.
A69. Abban az ágazatban, amelyben a gazdálkodó egység működik, a lényeges hibás állítás sajátos kockázatai merülhetnek fel az üzleti tevékenység jellegéből vagy a szabályozás mértékéből adódóan.
| Példa: Az építőiparban hosszú távú szerződések az árbevétel és a ráfordítások jelentős becsléseivel járhatnak, amelyekből lényeges hibás állítás kockázatai származnak. Ilyen esetekben fontos, hogy a megbízásért felelős munkacsoportnak legyenek megfelelő szakértelemmel és képességekkel rendelkező tagjai. * |
Szabályozási tényezők
A70. A releváns szabályozási tényezők a szabályozási környezetet foglalják magukban. A szabályozási környezet többek között a vonatkozó pénzügyi beszámolási keretelveket és a jogi és politikai környezetet, valamint ezek bármilyen változását jelenti. Az olyan kérdések, amelyeket a könyvvizsgáló mérlegelhet, magukban foglalják:
– a szabályozási keretelveket egy szabályozott ágazat esetében, például prudenciális követelményeket, beleértve a kapcsolódó közzétételeket;
– a gazdálkodó egység működését jelentősen érintő jogszabályokat és szabályozásokat, például munkaerővel kapcsolatos jogszabályokat és szabályozásokat;
– adóügyi jogszabályokat és szabályozásokat;
– a gazdálkodó egység üzletvitelét jelenleg befolyásoló kormánypolitikákat, mint például a monetáris – beleértve a deviza- – kontrollokat, az adózási, pénzügyi ösztönzőket (például kormányzati segélyprogramokat), valamint a vámtarifákra vagy a kereskedelmi korlátozásokra vonatkozó politikákat;
– az ágazatot és a gazdálkodó egység üzleti tevékenységét érintő környezetvédelmi követelményeket.
A71. A 250. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standard tartalmaz néhány konkrét követelményt a gazdálkodó egységre és az arra az ágazatra vagy szektorra vonatkozó jogi és szabályozási keretelvekre vonatkozóan, amelyben a gazdálkodó egység működik. *
Állami szektorban működő gazdálkodó egységekre vonatkozó speciális szempontok
A72. Állami szektorban működő gazdálkodó egységek könyvvizsgálata esetében lehetnek konkrét jogszabályok vagy szabályozások, amelyek befolyásolják a gazdálkodó egység működését. Az ilyen elemek alapvető mérlegelési szempontok lehetnek a gazdálkodó egység és környezetének megismerésekor.
Egyéb külső tényezők
A73. A gazdálkodó egységre hatással levő egyéb külső tényezők, amelyeket a könyvvizsgáló mérlegelhet, magukban foglalják az általános gazdasági feltételeket, a kamatlábakat és a finanszírozás rendelkezésre állását, valamint az inflációt vagy deviza-átértékelést.
A vezetés által a gazdálkodó egység pénzügyi teljesítményének értékeléséhez használt mérőszámok (Hiv.: 19. bekezdés (a) pont (iii) alpont)
Miért ismeri meg a könyvvizsgáló a vezetés által használt mérőszámokat
A74. A gazdálkodó egység mérőszámainak megismerése segít a könyvvizsgálónak mérlegelni, hogy ezek a mérőszámok, akár külső, akár belső használatra vannak, létrehoznak-e nyomást a gazdálkodó szervezetre a teljesítménycélok elérése érdekében. Ez a nyomás olyan intézkedések megtételére motiválhatja a vezetést, amelyek növelik a vezetés elfogultságából vagy a csalásból eredő lényeges hibás állításra való fogékonyságot (például az üzleti teljesítmény javítására vagy hibás állítás szándékos szerepeltetésére a pénzügyi kimutatásokban) (a csalás kockázataival kapcsolatos követelményeket és útmutatást lásd a 240. témaszámú nemzetközi könyvvizsgálati standardban).
A75. A mérőszámok jelezhetik a könyvvizsgálónak a pénzügyi kimutatásokban foglalt kapcsolódó információkban lévő hibás állítás kockázatainak valószínűségét is. A teljesítményértékelések jelezhetik például, hogy a gazdálkodó egység szokatlanul gyors növekedést vagy jövedelmezőséget ért el az ágazatban működő más gazdálkodó egységekhez képest.
A vezetés által használt mérőszámok
A76. A vezetés és mások rendszerint azokat a kérdéseket értékelik és tekintik át, amelyeket fontosnak tartanak. A vezetéssel készített interjúkból kiderülhet, hogy a vezetés a pénzügyi teljesítmény értékelésére és az intézkedések meghozatalára vonatkozóan bizonyos kulcsfontosságú mutatószámokra támaszkodik, akár nyilvánosan hozzáférhetők, akár nem. Ilyen esetekben a könyvvizsgáló, azoknak az információknak a mérlegelésével, amelyeket a gazdálkodó egység az üzleti tevékenységének vezetéséhez használ, azonosíthatja az akár belső, akár külső releváns teljesítmény-mérőszámokat. Ha az ilyen interjú a teljesítmény mérésének vagy áttekintésének hiányát jelzi, akkor fokozott kockázata állhat fenn annak, hogy a hibás állításokat nem tárják fel és nem helyesbítik.
A77. A pénzügyi teljesítmény értékeléséhez használt kulcsfontosságú mutatószámok magukban foglalhatják:
– a (pénzügyi és nem pénzügyi) kulcsfontosságú teljesítménymutatókat és a kulcsfontosságú mutatókat, tendenciákat és működési statisztikákat;
– a pénzügyi teljesítmény egymást követő időszakokra vonatkozó elemzéseit;
– a terveket, az előrejelzéseket, az eltéréselemzéseket, a szegmensenkénti információkat, a divíziók, a részlegek szintjén vagy egyéb szinteken készült teljesítménybeszámolókat;
– a munkavállalói teljesítményértékelést és az ösztönző javadalmazási politikákat;
– a gazdálkodó egység teljesítményének a versenytársakéval való összehasonlítását.
Méretre szabhatóság (Hiv.: 19. bekezdés (a) pont (iii) alpont)
A78. A gazdálkodó egység mérőszámainak megismerése céljából végrehajtott eljárások a gazdálkodó egység méretétől vagy összetettségétől, valamint a tulajdonosoknak vagy az irányítással megbízott személyeknek a gazdálkodó egység vezetésében való részvételétől függően változók lehetnek.
| – Példák: – Egyes kevésbé összetett gazdálkodó egységek esetében a gazdálkodó egység bankkölcsöneinek feltételei (vagyis a banki kovenánsok) a gazdálkodó egység teljesítményére vagy pénzügyi helyzetére vonatkozó konkrét teljesítményértékelésekhez lehetnek kapcsolva (például a működő tőke maximális összege). A bank által használt teljesítményértékelések könyvvizsgáló általi megismerése segíthet azonosítani az olyan területeket, ahol nagyobb a lényeges hibás állítás kockázatára való fogékonyság. – Egyes olyan gazdálkodó egységek esetében, amelyeknek jellege és körülményei összetettebbek, mint például a biztosítási vagy bankszférában működők, a teljesítményt vagy a pénzügyi helyzetet lehet, hogy szabályozói követelményekhez képest értékelik (például szabályozói mutatókra vonatkozó követelmények, mint a tőkemegfelelési és likviditási mutatókkal kapcsolatos minimális teljesítmény-előírások). Ezeknek a teljesítményértékeléseknek a könyvvizsgáló általi megismerése segíthet azonosítani az olyan területeket, ahol nagyobb a lényeges hibás állítás kockázatára való fogékonyság. |
Egyéb szempontok
A79. Külső felek szintén áttekinthetik és elemezhetik a gazdálkodó egység pénzügyi teljesítményét, különösen az olyan gazdálkodó egységek esetében, ahol a pénzügyi információk nyilvánosan hozzáférhetők. A könyvvizsgáló szintén figyelembe vehet nyilvánosan hozzáférhető, például az alábbiaktól származó információkat, hogy segítségükkel jobban megismerje az üzleti tevékenységet vagy azonosítani tudjon ellentmondásos információkat:
– Elemzők vagy hitelminősítők.
– Hírek vagy egyéb média, beleértve a közösségi médiát.
– Adóhatóságok.
– Szabályozók.
– Szakszervezetek.
– Finanszírozást nyújtók.
Az ilyen pénzügyi információk gyakran beszerezhetők az auditált gazdálkodó egységtől.
A80. A pénzügyi teljesítmény mérése és áttekintése nem ugyanaz, mint a belső kontroll rendszer figyelemmel kísérése (amelyről az A114–A122. bekezdésekben van szó, mint a belső kontroll rendszer komponenséről), bár lehet átfedés a céljaik között:
– A teljesítmény mérése és áttekintése arra irányul, hogy az üzleti teljesítmény megfelel-e a vezetés (vagy harmadik felek) által meghatározott céloknak.
– Ezzel szemben a belső kontroll rendszer figyelemmel kísérése a kontrollok hatékonyságának figyelemmel kísérését jelenti, beleértve a pénzügyi teljesítmény vezetés általi méréséhez és áttekintéséhez kapcsolódó kontrollokat.
Egyes esetekben azonban a teljesítménymutatók olyan információkat is nyújtanak, amelyek lehetővé teszik a vezetés számára kontrollhiányosságok azonosítását.
Állami szektorban működő gazdálkodó egységekre vonatkozó speciális szempontok
A81. Egy állami szektorban működő gazdálkodó egység által használt releváns mérőszámok figyelembevétele mellett az állami szektorban működő gazdálkodó egységek könyvvizsgálói figyelembe vehetnek nem pénzügyi információkat is, mint például közhasznú eredményeket (például egy konkrét program által segített emberek száma).
A vonatkozó pénzügyi beszámolási keretelvek (Hiv.: 19. bekezdés (b) pont)
A vonatkozó pénzügyi beszámolási keretelvek és a gazdálkodó egység számviteli politikáinak megismerése
A82. Azok a kérdések, amelyeket a könyvvizsgáló mérlegelhet a gazdálkodó egység vonatkozó pénzügyi beszámolási keretelveinek, valamint annak megismerésekor, hogy azok hogyan vonatkoznak a gazdálkodó egység és környezete jellegének és körülményeinek összefüggésében, magukban foglalják a következőket:
– A gazdálkodó egység pénzügyi beszámolási gyakorlata a vonatkozó pénzügyi beszámolási keretelvek szempontjából:
o a számviteli alapelvek és az ágazatspecifikus gyakorlatok, beleértve a jelentős ágazatspecifikus ügyletcsoportokra, számlaegyenlegekre és a pénzügyi kimutatásokban lévő kapcsolódó közzétételekre vonatkozókat (például: hitelek és befektetések a bankoknál, vagy kutatás és fejlesztés a gyógyszergyártóknál);
o az árbevétel megjelenítése;
o pénzügyi instrumentumok elszámolása, beleértve a kapcsolódó hitelezési veszteségeket;
o külföldi pénznemben lévő eszközök, kötelezettségek és ügyletek;
o a szokatlan vagy összetett ügyletek elszámolása, beleértve az ellentmondásos vagy újonnan felmerülő területeken lévőkét (például a kriptovaluta elszámolása).
– A számviteli politikák gazdálkodó egység általi kiválasztásának és alkalmazásának megismerése, beleértve azok bármilyen változását, valamint annak okait, magában foglalhat olyan kérdéseket, mint:
o A gazdálkodó egység által a jelentős és szokatlan ügyletek megjelenítéséhez, értékeléséhez, bemutatásához és közzétételéhez használt módszerek.
o A jelentős számviteli politikák hatása az olyan ellentmondásos vagy újonnan felmerülő területeken, amely területekre vonatkozóan nincs irányadó útmutatás vagy konszenzus.
o A környezet változásai, mint például a vonatkozó pénzügyi beszámolási keretelvek változásai vagy adóreformok, amelyek szükségessé tehetik a gazdálkodó egység számviteli politikájának megváltoztatását.
o A gazdálkodó egység számára új pénzügyi beszámolási standardok, jogszabályok és szabályozások, valamint az, hogy a gazdálkodó egység mikor és hogyan fogja átvenni ezeket a követelményeket vagy megfelelni azoknak.
A83. A gazdálkodó egységnek és környezetének megismerése segíthet a könyvvizsgálónak mérlegelni, hogy hol lehet számítani a gazdálkodó egység pénzügyi beszámolásának változására (például a korábbi időszakokhoz képest).
| – Példa: – Ha a gazdálkodó egységnél jelentős üzleti kombinációra került sor az időszak alatt, a könyvvizsgáló valószínűleg változásokat várna az adott üzleti kombinációhoz kapcsolódó ügyletcsoportokban, számlaegyenlegekben és közzétételekben. Másik oldalról, ha az időszak alatt nem változtak jelentősen a pénzügyi beszámolási keretelvek, a könyvvizsgáló általi megismerés segíthet megerősíteni, hogy az előző időszakban szerzett ismeretek továbbra is alkalmazhatók. |
Állami szektorban működő gazdálkodó egységekre vonatkozó speciális szempontok
A84. Egy állami szektorban működő gazdálkodó egységnél a vonatkozó pénzügyi beszámolási keretelveket az egyes joghatóságok szempontjából vagy az egyes földrajzi területeken belül releváns jogszabályi és szabályozási keretelvek határozzák meg. Az olyan kérdések, amelyeket mérlegelni lehet a vonatkozó pénzügyi beszámolási követelmények gazdálkodó egység általi alkalmazása során, és azzal kapcsolatban, hogy az hogyan vonatkozik a gazdálkodó egységnek és környezetének jellege és körülményei összefüggésében, magukban foglalják, hogy a gazdálkodó egység teljes eredményszemléletű elszámolást vagy a Nemzetközi Költségvetési Számviteli Standardok szerinti pénzforgalmi elszámolást, vagy egy hibridet alkalmaz-e.
Hogyan befolyásolják az eredendő kockázati tényezők az állítások hibás állításra való fogékonyságát (Hiv.: 19. bekezdés (c) pont)
| – A 2. sz. függelék ad példákat olyan eseményekre és körülményekre, eredendő kockázati tényezők szerint, amelyek lényeges hibás állítás kockázatainak fennállását idézhetik elő. |
Miért ismeri meg a könyvvizsgáló az eredendő kockázati tényezőket, amikor megismeri a gazdálkodó egységet és környezetét, valamint a vonatkozó pénzügyi beszámolási keretelveket
A85. A gazdálkodó egységnek és környezetének, valamint a vonatkozó pénzügyi beszámolási keretelveknek a megismerése segít a könyvvizsgálónak azonosítani olyan eseményeket vagy körülményeket, amelyeknek a jellemzői befolyásolhatják az ügyletcsoportokkal, számlaegyenlegekkel vagy közzétételekkel kapcsolatos állítások hibás állításra való fogékonyságát. Ezek a jellemzők eredendő kockázati tényezők. Az eredendő kockázati tényezők hatással lehetnek az állítások hibás állításra való fogékonyságára azáltal, hogy befolyásolják egy hibás állítás felmerülésének valószínűségét, vagy a hibás állítás nagyságrendjét, ha az felmerülne. Annak megismerése, hogy az eredendő kockázati tényezők hogyan befolyásolják az állítások hibás állításra való fogékonyságát, segíthet a könyvvizsgálónak előzetesen megismerni a hibás állítások valószínűségét vagy nagyságrendjét, ami segítséget nyújt a könyvvizsgálónak a lényeges hibás állítás állítások szintjén fennálló kockázatainak azonosításában a 28. bekezdés (b) pontjával összhangban. Annak megismerése, hogy az eredendő kockázati tényezők milyen mértékben befolyásolják az állítások hibás állításra való fogékonyságát, segít a könyvvizsgálónak egy lehetséges hibás állítás valószínűségének és nagyságrendjének a felmérésében is az eredendő kockázatnak a 31. bekezdés (a) pontjával összhangban való felmérésekor. Ennek megfelelően, az eredendő kockázati tényezők megismerése segíthet a könyvvizsgálónak abban is, hogy további könyvvizsgálati eljárásokat alakítson ki és hajtson végre a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban.
A86. A lényeges hibás állítás állítások szintjén fennálló kockázatainak könyvvizsgáló általi azonosítását és az eredendő kockázat könyvvizsgáló általi felmérését befolyásolhatják a könyvvizsgáló által egyéb kockázatfelmérési eljárások és további könyvvizsgálati eljárások végrehajtása során, vagy a nemzetközi könyvvizsgálati standardok egyéb követelményeinek teljesítése során szerzett könyvvizsgálati bizonyítékok (lásd A95., A103., A111., A121., A124. és A151. bekezdések).
Az eredendő kockázati tényezők hatása egy ügyletcsoportra, számlaegyenlegre vagy közzétételre
A87. Egy ügyletcsoport, számlaegyenleg vagy közzététel hibás állításnak való, összetettségből vagy szubjektivitásból adódó fogékonyságának mértéke gyakran szorosan összefügg azzal, hogy milyen mértékben van kitéve változásnak vagy bizonytalanságnak.
| – Példa: – Ha egy gazdálkodó egységnek olyan feltételezéseken alapuló számviteli becslése van, amelyeknek a kiválasztása jelentős megítélésnek van kitéve, a számviteli becslés értékelését valószínűleg egyaránt befolyásolja szubjektivitás és bizonytalanság. |
A88. Minél nagyobb mértékű egy ügyletcsoport, számlaegyenleg vagy közzététel hibás állításra való fogékonysága összetettség vagy szubjektivitás miatt, annál inkább szükséges, hogy a könyvvizsgáló szakmai szkepticizmust alkalmazzon. Továbbá, amikor egy ügyletcsoport, számlaegyenleg vagy közzététel összetettség, szubjektivitás, változás vagy bizonytalanság miatt fogékony hibás állításra, ezek az eredendő kockázati tényezők lehetőséget teremthetnek a vezetés akár nem szándékos, akár szándékos elfogultságára, és befolyásolhatják a vezetés elfogultsága miatti hibás állításra való fogékonyságot. A lényeges hibás állítás kockázatainak könyvvizsgáló általi azonosítását, valamint az állítások szintjén fennálló eredendő kockázat könyvvizsgáló általi felmérését befolyásolják az eredendő kockázati tényezők közötti kölcsönös összefüggések is.
A89. Az olyan események vagy körülmények, amelyek befolyásolhatják a vezetés elfogultsága miatti hibás állításra való fogékonyságot, hatással lehetnek az egyéb csalási kockázati tényezők miatti hibás állításra való fogékonyságra is. Ennek megfelelően ez olyan releváns információ lehet, amely felhasználható a 240. témaszámú nemzetközi könyvvizsgálati standard 24. bekezdése szerint, amely előírja a könyvvizsgáló számára annak értékelését, hogy az egyéb kockázatfelmérési eljárásokból és a kapcsolódó tevékenységekből szerzett információk jelzik-e, hogy jelen van egy vagy több csalási kockázati tényező.
A gazdálkodó egység belső kontroll rendszerének megismerése (Hiv.: 21‒27. bekezdések)
| – A 3. sz. függelék ismerteti részletesebben a gazdálkodó egység belső kontroll rendszerének jellegét, valamint a belső kontroll eredendő korlátait. A 3. sz. függelék emellett további magyarázatot tartalmaz a belső kontroll rendszer komponenseiről a nemzetközi könyvvizsgálati standardok céljaira. |
A90. A gazdálkodó egység belső kontroll rendszerének könyvvizsgáló általi megismerése a belső kontroll rendszer minden egyes komponensének megismerése és értékelése céljából végrehajtott kockázatfelmérési eljárásokon keresztül történik a 21–27. bekezdésekben meghatározottak szerint.
A91. A gazdálkodó egység belső kontroll rendszerének komponensei a jelen nemzetközi könyvvizsgálati standard alkalmazásában lehet, hogy nem szükségszerűen tükrözik azt, hogy a gazdálkodó egység hogyan alakítja ki, vezeti be és tartja fenn a belső kontroll rendszert, vagy azt, hogy a gazdálkodó egység hogyan sorolhatja be bármelyik konkrét komponenst. A gazdálkodó egységek eltérő terminológiát vagy keretelveket használhatnak a belső kontroll rendszer különböző szempontjainak ismertetéséhez. Egy könyvvizsgálat céljaira a könyvvizsgálók szintén használhatnak eltérő terminológiát vagy keretelveket, feltéve hogy a jelen nemzetközi könyvvizsgálati standardban ismertetett minden komponenssel foglalkoznak.
Méretre szabhatóság
A92. A gazdálkodó egység belső kontroll rendszere kialakításának, bevezetésének és fenntartásának módja a gazdálkodó egység mérete és összetettsége szerint változik. Kevésbé összetett gazdálkodó egységek például használhatnak kevésbé strukturált vagy egyszerűbb kontrollokat (vagyis politikákat és eljárásokat) céljaik elérése érdekében.
Állami szektorbeli gazdálkodó egységekre jellemző szempontok
A93. Állami szektorbeli gazdálkodó egységek könyvvizsgálóinak gyakran vannak további felelősségeik a belső kontrollal kapcsolatban, például, hogy jelentést tegyenek egy bevett gyakorlati kódexnek való megfelelésről vagy a kiadásoknak a tervezetthez képest való alakulásáról. Az állami szektorbeli gazdálkodó egységek könyvvizsgálóinak felelősségéhez tartozhat a jogszabályi, szabályozási vagy más autoritással kapcsolatos megfelelésre vonatkozó jelentéstétel is. Ennek eredményeképpen a belső kontroll rendszer általuk való vizsgálata szélesebb körű és részletesebb lehet.
Informatika a gazdálkodó egység belső kontroll rendszerének komponenseiben
| – Az 5. sz. függelék ad további útmutatást az IT-nak a belső kontroll rendszer komponenseiben való, a gazdálkodó egység általi használatának megismerésére vonatkozóan. |
A94. Egy könyvvizsgálat átfogó célja és hatóköre nem különbözik attól függően, hogy egy gazdálkodó egység főként manuális környezetben, teljesen automatizált környezetben, vagy egy olyan környezetben működik-e, amelyben manuális és automatizált elemek (vagyis a gazdálkodó egység belső kontroll rendszerében alkalmazott manuális és automatizált kontrollok és egyéb erőforrások) valamilyen kombinációja áll fenn.
A gazdálkodó egység belső kontroll rendszere komponensei jellegének megismerése
A95. A kontrollok kialakításának és annak értékelése során, hogy bevezették-e azokat (lásd A175-A181. bekezdések), a gazdálkodó egység belső kontroll rendszere minden egyes komponensének a könyvvizsgáló általi megismerése előzetes ismereteket ad arra vonatkozóan, hogy a gazdálkodó egység hogyan azonosítja az üzleti kockázatokat, és hogyan válaszol azokra. Ez különböző módokon befolyásolhatja a lényeges hibás állítás kockázatainak könyvvizsgáló általi azonosítását és felmérését is (lásd A86. bekezdés). Ez segít a könyvvizsgálónak további könyvvizsgálati eljárásokat kialakítani és végrehajtani, beleértve bármilyen tervet a kontrollok működési hatékonyságának tesztelésére. Például:
– A gazdálkodó egység kontrollkörnyezete, a gazdálkodó egység kockázatfelmérési folyamata, valamint a gazdálkodó egység kontrollok figyelemmel kísérését szolgáló folyamata komponenseknek a könyvvizsgáló általi megismerése nagyobb valószínűséggel a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatainak azonosítására és felmérésére van hatással.
– A gazdálkodó egység információs rendszere és kommunikációja, valamint a gazdálkodó egység kontrolltevékenységei komponenseknek a könyvvizsgáló általi megismerése nagyobb valószínűséggel a lényeges hibás állítás állítások szintjén fennálló kockázatainak azonosítására és felmérésére van hatással.
Kontrollkörnyezet, a gazdálkodó egység kockázatfelmérési folyamata és a gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamata (Hiv.: 21–24. bekezdések)
A96. A kontrollkörnyezetben, a gazdálkodó egység kockázatfelmérési folyamatában, valamint a gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamatában lévő kontrollok elsősorban közvetett kontrollok (vagyis olyan kontrollok, amelyek nem elég precízek ahhoz, hogy megelőzzenek, feltárjanak vagy helyesbítsenek az állítások szintjén fennálló hibás állításokat, de amelyek támogatnak más kontrollokat és ezért közvetett hatásuk lehet annak valószínűségére, hogy időben megtörténik egy hibás állítás feltárása vagy megelőzése). Az ezeken a komponenseken belüli kontrollok közül néhány azonban lehet közvetlen kontroll is.
Miért előírás a könyvvizsgáló számára, hogy megismerje a kontrollkörnyezetet, a gazdálkodó egység kockázatfelmérési folyamatát és a gazdálkodó egység belső kontroll rendszer figyelemmel kísérésére szolgáló folyamatát
A97. A kontrollkörnyezet átfogó alapot nyújt a belső kontroll rendszer többi komponensének működéséhez. A kontrollkörnyezet közvetlenül nem előz meg, vagy tár fel és helyesbít hibás állításokat. Befolyásolhatja azonban a belső kontroll rendszer többi komponensében lévő kontrollok hatékonyságát. Hasonlóképpen, a gazdálkodó egység kockázatfelmérési folyamata és a belső kontroll rendszer figyelemmel kísérését szolgáló folyamata úgy van kialakítva, hogy olyan módon működjön, amely támogatja a teljes belső kontroll rendszert is.
A98. Mivel ezek a komponensek alapvetők a gazdálkodó egység belső kontroll rendszere szempontjából, működésük bármilyen hiányossága átfogó hatásokat gyakorolhat a pénzügyi kimutatások készítésére. Ezért ezeknek a komponenseknek a könyvvizsgáló általi megismerése és értékelése befolyásolja a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatainak a könyvvizsgáló általi azonosítását és felmérését, és befolyásolhatja a lényeges hibás állítás állítások szintjén fennálló kockázatainak azonosítását és felmérését is. A lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatai befolyásolják az átfogó válaszoknak a könyvvizsgáló általi kialakítását, beleértve, ahogyan azt a 330. témaszámú nemzetközi könyvvizsgálati standard kifejti, a könyvvizsgáló további eljárásainak jellegére, ütemezésére és terjedelmére gyakorolt hatást. *
A kontrollkörnyezet megismerése (Hiv.: 21. bekezdés)
Méretre szabhatóság
A99. A kontrollkörnyezet jellege egy kevésbé összetett gazdálkodó egységben valószínűleg eltér egy összetettebb gazdálkodó egységben lévő kontrollkörnyezettől. Például az irányítással megbízott személyek között a kevésbé összetett gazdálkodó egységeknél lehet, hogy nincs független vagy külső személy, és az irányítási szerepkört közvetlenül a tulajdonos-vezető töltheti be ott, ahol nincsen más tulajdonos. Ennek megfelelően a gazdálkodó egység kontrollkörnyezetével kapcsolatos egyes szempontok kevésbé relevánsak lehetnek vagy lehet, hogy nem értelmezhetők.
A100. Emellett, a kontrollkörnyezet elemeivel kapcsolatos könyvvizsgálati bizonyítékok kevésbé összetett gazdálkodó egységeknél lehet, hogy nem állnak rendelkezésre dokumentumok formájában, különösen, ahol a vezetés és a többi munkatárs közötti kommunikáció informális, ennek ellenére a bizonyítékok továbbra is megfelelően relevánsak és megbízhatók lehetnek az adott körülmények között.
| – Példák: – Egy kevésbé összetett gazdálkodó egységnél a szervezeti felépítés valószínűleg egyszerűbb lesz, és lehet, hogy kevés munkatárs van a pénzügyi beszámoláshoz kapcsolódó szerepkörökben. – Ha az irányítási szerepkört közvetlenül a tulajdonos-vezető tölti be, a könyvvizsgáló lehet, hogy azt állapítja meg, hogy az irányítással megbízott személyek függetlensége nem releváns. – Lehet, hogy kevésbé összetett gazdálkodó egységek nem rendelkeznek írásos magatartási kódexszel, hanem ehelyett olyan kultúrát fejlesztenek ki, amely a tisztességesség és etikus magatartás fontosságát szóbeli kommunikációkon és a vezetés példamutatásán keresztül hangsúlyozza. Következésképpen a vezetés vagy a tulajdonos-vezető hozzáállása, tudatossága és intézkedései különösen fontosak egy kevésbé összetett gazdálkodó egység kontrollkörnyezetének könyvvizsgáló általi megismerése szempontjából. |
A kontrollkörnyezet megismerése (Hiv.: 21. bekezdés (a) pont)
A101. A kontrollkörnyezet könyvvizsgáló általi megismeréséhez interjúk és egyéb kockázatfelmérési eljárások kombinációja (vagyis az interjúk megfigyelésen vagy dokumentumok szemrevételezésén keresztül való megerősítése) révén szerezhető könyvvizsgálati bizonyíték.
A102. Annak mérlegelése során, hogy a vezetés milyen mértékben tanúsít elkötelezettséget a tisztességesség és az etikai értékek iránt, a könyvvizsgáló a vezetéssel és a munkatársakkal készített interjúkon keresztül, valamint külső forrásokból származó információk mérlegelésén keresztül ismereteket szerezhet az alábbiakról:
– Hogyan kommunikálja a vezetés a munkatársak felé az üzleti gyakorlatokra és az etikus viselkedésre vonatkozó nézeteit; és
– A vezetés írásbeli magatartáskódexének szemrevételezése és annak megfigyelése, hogy a vezetés a kódexet alátámasztó módon viselkedik-e.
A kontrollkörnyezet értékelése (Hiv.: 21. bekezdés (b) pont)
Miért értékeli a könyvvizsgáló a kontrollkörnyezetet
A103. A könyvvizsgáló azzal kapcsolatos értékelése, hogy a gazdálkodó egység hogyan tanúsít a gazdálkodó egység tisztességesség és etikai értékek iránti elkötelezettségével összhangban lévő viselkedést; a kontrollkörnyezet megfelelő alapot nyújt-e a gazdálkodó egység belső kontroll rendszere egyéb komponensei számára; valamint, hogy bármilyen azonosított kontrollhiányosság aláássa-e a belső kontroll rendszer többi komponensét, segít a könyvvizsgálónak azonosítani potenciális problémákat a belső kontroll rendszer többi komponensében. Ez azért van így, mert a kontrollkörnyezet alapvető a gazdálkodó egység belső kontrollrendszerének többi komponense szempontjából. Ez az értékelés abban is segít a könyvvizsgálónak, hogy megismerje, milyen kockázatokkal szembesül a gazdálkodó egység, és ezáltal segít azonosítani és felmérni a lényeges hibás állításnak a pénzügyi kimutatások és az állítások szintjén fennálló kockázatait (lásd A86. bekezdés).
A kontrollkörnyezet könyvvizsgáló általi értékelése
A104. A kontrollkörnyezet könyvvizsgáló általi értékelésének alapja a 21. bekezdés (a) pont szerinti megismerés.
A105. Egyes gazdálkodó egységeknél domináns szerepet játszhat egyetlen személy, aki lehet, hogy nagymértékben saját belátása szerint intézi az ügyeket. Ennek a személynek az intézkedései és a hozzáállása átfogó hatással lehetnek a gazdálkodó egység kultúrájára, amely viszont átfogó hatással lehet a kontrollkörnyezetre. Egy ilyen hatás lehet pozitív vagy negatív.
| – Példa: – Egyetlen személy közvetlen részvétele kulcsfontosságú lehet abból a szempontból, hogy a gazdálkodó egység teljesítse növekedési és egyéb céljait, és jelentősen hozzájárulhat egy hatékony belső kontroll rendszerhez is. Másfelől, az ismeretek és a jogosultság ilyen koncentrációja a hibás állításra való nagyobb fogékonysághoz is vezethet a kontrollok vezetés általi felülírásán keresztül. |
A106. A könyvvizsgáló mérlegelheti, hogy a kontrollkörnyezet különböző elemeit hogyan befolyásolhatja a felső szintű vezetés filozófiája és működési stílusa, figyelemmel azok részvételére az irányítással megbízott személyek közül, akik függetlenek.
A107. Bár a kontrollkörnyezet megfelelő alapot nyújthat a belső kontroll rendszerhez és segíthet csökkenteni a csalás kockázatát, egy megfelelő kontrollkörnyezet nem szükségszerűen hatékony elrettentő eszköz a csalással szemben.
| – Példa: – Képzett pénzügyi, számviteli és IT-munkatársak felvételét célzó emberi erőforrás politikák és eljárások csökkenthetik a hibák kockázatát a pénzügyi információk feldolgozása és rögzítése során. Az ilyen politikák és eljárások azonban lehet, hogy nem csökkentik a kontrollok vezetés általi felülírását (például a jövedelem túlzott kimutatása céljából). |
A108. A kontrollkörnyezet könyvvizsgáló általi értékelése a gazdálkodó egység IT-használata szempontjából magában foglalhat olyan kérdéseket, mint:
– Az IT feletti irányítás arányban áll-e a gazdálkodó egység és az IT által támogatott üzleti tevékenység jellegével és összetettségével, beleértve a gazdálkodó egység technológiai platformjának vagy architektúrájának összetettségét vagy fejlettségét, valamint azt, hogy a gazdálkodó egység milyen mértékben támaszkodik IT-alkalmazásokra pénzügyi beszámolása támogatásának céljából.
– A vezetés IT-re vonatkozó szervezeti felépítése, valamint az ahhoz rendelt erőforrások (például, hogy a gazdálkodó egység befektetett-e megfelelő IT-környezetbe és a szükséges továbbfejlesztésekbe, vagy, hogy elegendő számú megfelelően képzett személyt alkalmaznak-e, beleértve, amikor a gazdálkodó egység kereskedelmi szoftvert használ (módosítások nélkül vagy korlátozott módosításokkal)).
A gazdálkodó egység kockázatfelmérési folyamatának megismerése (Hiv.: 22–23. bekezdések)
A gazdálkodó egység kockázatfelmérési folyamatának megismerése (Hiv.: 22. bekezdés (a) pont)
A109. Ahogyan azt az A62. bekezdés kifejti, nem minden üzleti kockázat idézi elő a lényeges hibás állítás kockázatait. Annak megismerése során, hogy a vezetés és az irányítással megbízott személyek hogyan azonosították a pénzügyi kimutatások készítése szempontjából releváns üzleti kockázatokat, és hogyan hoztak döntést ezeknek a kockázatoknak a kezelését célzó intézkedésekről, a könyvvizsgáló által mérlegelhető kérdések magukban foglalják, hogy a vezetés vagy, adott esetben, az irányítással megbízott személyek hogyan:
– határozták meg a gazdálkodó egység céljait kellően precízen és világosan ahhoz, hogy lehetővé váljon a célokkal kapcsolatos kockázatok azonosítása és felmérése;
– azonosították a gazdálkodó egység céljainak elérését veszélyeztető kockázatokat és elemezték a kockázatokat alapként annak meghatározásához, hogy hogyan kellene kezelni a kockázatokat; továbbá
– vették figyelembe a csalás lehetőségét a gazdálkodó egység céljainak elérését veszélyeztető kockázatok mérlegelésekor. *
A110. A könyvvizsgáló mérlegelheti az ilyen üzleti kockázatok kihatásait a gazdálkodó egység pénzügyi kimutatásainak készítésére, valamint belső kontroll rendszerének egyéb aspektusaira.
A gazdálkodó egység kockázatfelmérési folyamatának értékelése (Hiv.: 22. bekezdés (b) pont)
Miért értékeli a könyvvizsgáló, hogy megfelelő-e a gazdálkodó egység kockázatfelmérési folyamata
A111. A gazdálkodó egység kockázatfelmérési folyamatának könyvvizsgáló általi értékelése segíthet a könyvvizsgálónak megismerni, hogy a gazdálkodó egység hol azonosított olyan kockázatokat, amelyek felmerülhetnek, valamint, hogy a gazdálkodó egység hogyan válaszolt ezekre a kockázatokra. A könyvvizsgáló arra vonatkozó értékelése, hogy a gazdálkodó egység hogyan azonosítja üzleti kockázatait és hogyan méri fel és kezeli ezeket a kockázatokat, segít a könyvvizsgálónak megérteni, hogy a gazdálkodó egységet érintő kockázatokat a gazdálkodó egység jellegének és összetettségének megfelelően azonosították, mérték fel és kezelték-e. Ez az értékelés segíthet a könyvvizsgálónak a lényeges hibás állításnak a pénzügyi kimutatások szintjén és az állítások szintjén fennálló kockázatainak azonosításában és felmérésében is (lásd A86. bekezdés).
Annak értékelése, hogy megfelelő-e a gazdálkodó egység kockázatfelmérési folyamata (Hiv.: 22. bekezdés (b) pont)
A112. A könyvvizsgáló értékelése a gazdálkodó egység kockázatfelmérési folyamatának a megfelelőségéről a 22. bekezdés (a) pont szerinti megismerésen alapul.
Méretre szabhatóság
A113. Az, hogy a gazdálkodó egység kockázatfelmérési folyamata megfelelő-e a gazdálkodó egység körülményei szempontjából, figyelembe véve a gazdálkodó egység jellegét és összetettségét, a könyvvizsgáló szakmai megítélésének kérdése.
| – Példa: – Egyes kevésbé összetett gazdálkodó egységeknél, és különösen tulajdonos által vezetett gazdálkodó egységeknél, megfelelő kockázatfelmérést lehet végrehajtani a vezetés vagy a tulajdonos-vezető közvetlen bevonásán keresztül (például a vezető vagy tulajdonos-vezető rutinszerűen időt szán a versenytársak tevékenységeinek és a piac egyéb fejleményeinek figyelemmel kísérésére a felmerülő üzleti kockázatok azonosítása céljából). Ennek a kockázatfelmérésnek a megtörténtére vonatkozó bizonyíték gyakran nincs formálisan dokumentálva, de a könyvvizsgáló vezetéssel folytatott megbeszéléseiből nyilvánvaló lehet, hogy a vezetés valóban végrehajt kockázatfelmérési eljárásokat. |
A gazdálkodó egységnek a gazdálkodó egység belső kontroll rendszerének figyelemmel kísérését szolgáló folyamatának megismerése (Hiv.: 24. bekezdés)
Méretre szabhatóság
A114. Kevésbé összetett gazdálkodó egységeknél, és különösen tulajdonos által vezetett gazdálkodó egységeknél, a gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamatának a könyvvizsgáló általi megismerése gyakran arra összpontosít, hogy a vezetés vagy a tulajdonos-vezető hogyan vesz részt közvetlenül a működésben, mivel lehet, hogy nincs semmilyen egyéb figyelemmel kísérési tevékenység.
| – Példa: – Lehet, hogy a vezetéshez panaszok érkeznek a vevőktől a havi kimutatásaikban lévő pontatlanságokkal kapcsolatban, ami azt jelzi a tulajdonos-vezetőnek, hogy problémák vannak a vevői fizetések számviteli nyilvántartásokban való megjelenítésének időzítésével. |
A115. Olyan gazdálkodó egységek esetében, ahol nincs formális folyamat a belső kontroll rendszer figyelemmel kísérésére, a belső kontroll rendszer figyelemmel kísérési folyamatának a megismerése magában foglalhatja a vezetői számviteli információk azon időszakos ellenőrzéseinek megismerését, amelyeket azért alakítottak ki, hogy azok hozzájáruljanak ahhoz, ahogyan a gazdálkodó egység megelőzi vagy feltárja a hibás állításokat.
A gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamatának megismerése (Hiv.: 24. bekezdés (a) pont)
A116. Az olyan kérdések, amelyeknek mérlegelése releváns lehet a könyvvizsgáló számára annak megismerésekor, hogy a gazdálkodó egység hogyan kíséri figyelemmel belső kontroll rendszerét, magukban foglalják:
– a figyelemmel kísérési tevékenységek kialakítását, például, hogy az időszakos vagy folyamatos figyelemmel kísérés-e;
– a figyelemmel kísérési tevékenységek végrehajtását és gyakoriságát;
– a figyelemmel kísérési tevékenységek eredményeinek időben történő értékelését annak meghatározása céljából, hogy a kontrollok hatékonyak voltak-e; valamint
– azt, hogy az azonosított hiányosságokat hogyan kezelték megfelelő helyrehozó intézkedéseken keresztül, beleértve az ilyen hiányosságok időben történő kommunikálását a helyrehozó intézkedésekért felelős személyek felé.
A117. A könyvvizsgáló mérlegelheti azt is, hogy a gazdálkodó egységnek a belső kontroll rendszer figyelemmel kísérését szolgáló folyamata hogyan kezeli az olyan információfeldolgozási kontrollok figyelemmel kísérését, amelyek IT-használattal járnak. Ez magában foglalhat például:
– Olyan összetett IT-környezetek figyelemmel kísérését célzó kontrollokat, amelyek:
– értékelik az információfeldolgozási kontrollok folyamatos kialakítási hatékonyságát, és módosítják azokat, az adott esetnek megfelelően, a körülmények változásaival összhangban; vagy
– értékelik az információfeldolgozási kontrollok működési hatékonyságát.
– Olyan kontrollokat, amelyek figyelemmel kísérik az automatizált információfeldolgozási kontrollokban alkalmazott engedélyeket, amelyek érvényre juttatják a feladatok szétválasztását.
– Olyan kontrollokat, amelyek figyelemmel kísérik, hogy a pénzügyi beszámolás automatizálásához kapcsolódó hibákat vagy kontrollhiányosságokat hogyan azonosítják és kezelik.
A gazdálkodó egység belső audit funkciójának megismerése (Hiv.: 24. bekezdés (a) pont (ii) alpont)
| – A 4. sz. függelék tartalmaz további szempontokat a gazdálkodó egység belső audit funkciójának megismeréséhez. |
A118. A könyvvizsgáló belső audit funkción belüli megfelelő személyekkel készített interjúi segítséget nyújtanak a könyvvizsgálónak abban, hogy megismerje a belső audit funkció feladatainak jellegét. Ha a könyvvizsgáló azt állapítja meg, hogy a funkció feladatai kapcsolódnak a gazdálkodó egység pénzügyi beszámolásához, további ismereteket szerezhet a belső audit funkció által végzett vagy végzendő tevékenységekről a belső audit funkció adott időszakra vonatkozó ellenőrzési tervének (ha van ilyen) áttekintése, valamint a tervnek a funkción belüli megfelelő személyekkel történő megbeszélése útján. Ez az ismeret a könyvvizsgáló interjúiból szerzett információkkal együtt olyan információt is nyújthat, amely közvetlenül releváns a lényeges hibás állítás kockázatainak a könyvvizsgáló általi azonosítása és felmérése szempontjából. Ha a könyvvizsgálónak a belső audit funkcióra vonatkozó előzetes ismeretei alapján a könyvvizsgáló a belső audit funkció munkájának felhasználására számít a végrehajtandó könyvvizsgálati eljárások jellegének vagy ütemezésének módosításához vagy terjedelmének csökkentéséhez, a 610. témaszámú (2013-ban felülvizsgált) nemzetközi könyvvizsgálati standard * alkalmazandó.
A gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamatában felhasznált információk egyéb forrásai
Az információforrások megismerése (Hiv.: 24. bekezdés (b) pont)
A119. A vezetés figyelemmel kísérési tevékenységei felhasználhatnak külső felektől származó kommunikációkban lévő információkat, mint például vevői reklamációk vagy szabályozói észrevételek, amelyek jelezhetnek problémákat vagy kiemelhetnek olyan területeket, amelyeknél fejlesztésre van szükség.
Miért előírás a könyvvizsgáló számára a belső kontroll rendszer gazdálkodó egység általi figyelemmel kíséréséhez felhasznált információk forrásának megismerése
A120. A gazdálkodó egység által a gazdálkodó egység belső kontroll rendszerének figyelemmel kísérése során felhasznált információk forrásának könyvvizsgáló általi megismerése, beleértve, hogy a felhasznált információk relevánsak és megbízhatók-e, segít a könyvvizsgálónak értékelni, hogy a gazdálkodó egységnek a gazdálkodó egység belső kontroll rendszere figyelemmel kísérését szolgáló folyamata megfelelő-e. Ha a vezetés alap nélkül feltételezi, hogy a figyelemmel kíséréshez felhasznált információk relevánsak és megbízhatók, olyan hibák, amelyek az információkban lehetnek, potenciálisan ahhoz vezethetnének, hogy a vezetés helytelen következtetéseket von le a figyelemmel kísérési tevékenységeiből.
A gazdálkodó egység belső kontroll rendszer figyelemmel kísérésését szolgáló folyamatának értékelése (Hiv.: 24. bekezdés (c) pont)
Miért értékeli a könyvvizsgáló, hogy megfelelő-e a gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamata
A121. A könyvvizsgáló azzal kapcsolatos értékelése, hogy a gazdálkodó egység hogyan végez folyamatos és különálló értékeléseket a kontrollok hatékonyságának figyelemmel kíséréséhez, segít a könyvvizsgálónak megismerni, hogy a gazdálkodó egység belső kontroll rendszerének többi komponense jelen van-e és működik-e, és ezáltal segít megismerni a gazdálkodó egység belső kontroll rendszerének többi komponensét. Ez az értékelés segíthet a könyvvizsgálónak a lényeges hibás állításnak a pénzügyi kimutatások szintjén és az állítások szintjén fennálló kockázatainak az azonosításában és felmérésében is (lásd A86. bekezdés).
Annak értékelése, hogy a gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamata megfelelő-e (Hiv.: 24. bekezdés (c) pont)
A122. A könyvvizsgáló értékelése a gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamatának a megfelelőségéről a gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamatának a könyvvizsgáló általi megismerésén alapul.
Információs rendszer és kommunikáció, valamint kontrolltevékenységek (Hiv.: 25‒26. bekezdések)
A123. Az információs rendszer és kommunikáció, valamint a kontrolltevékenységek komponensekben lévő kontrollok elsősorban közvetlen kontrollok (vagyis olyan kontrollok, amelyek elegendően precízek ahhoz, hogy megelőzzenek, feltárjanak vagy helyesbítsenek az állítások szintjén fennálló hibás állításokat).
Miért előírás a könyvvizsgáló számára, hogy megismerje az információs rendszert és a kommunikációt, valamint a kontrolltevékenységek komponensben lévő kontrollokat
A124. A könyvvizsgáló számára azért előírás a gazdálkodó egység információs rendszerének és kommunikációjának megismerése, mert a gazdálkodó egység azon politikáinak megismerése, amelyek definiálják az ügyletek áramlásait és a gazdálkodó egység pénzügyi kimutatások készítése szempontjából releváns információfeldolgozási tevékenységeinek egyéb aspektusait, valamint annak értékelése, hogy a komponens megfelelően alátámasztja-e a gazdálkodó egység pénzügyi kimutatásainak készítését, támogatja a lényeges hibás állítás állítások szintjén fennálló kockázatainak könyvvizsgáló általi azonosítását és felmérését. Ez a megismerés és értékelés a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatainak azonosítását is eredményezheti olyankor, amikor a könyvvizsgáló eljárásainak eredményei nincsenek összhangban a gazdálkodó egység belső kontroll rendszerével kapcsolatos várakozásokkal, amelyeket lehet, hogy a megbízáselfogadási vagy -megtartási folyamat során szerzett információk alapján alakítottak ki (lásd A86. bekezdés).
A125. A könyvvizsgáló számára előírás, hogy konkrét kontrollokat azonosítson a kontrolltevékenységek komponensben, valamint, hogy értékelje a kialakítást és megállapítsa, hogy bevezették-e a kontrollokat, mivel ez segít a könyvvizsgálónak megismerni bizonyos kockázatok kezelésének a vezetés általi megközelítését, és ezáltal megalapozza az ezekre a kockázatokra reagáló további könyvvizsgálati eljárások kialakítását és végrehajtását, ahogyan azt a 330. témaszámú nemzetközi könyvvizsgálati standard előírja. Minél magasabbra mérnek fel egy kockázatot az eredendő kockázat spektrumán, annál átfogóbb könyvvizsgálati bizonyítékra van szükség. Még amikor a könyvvizsgáló nem tervezi az azonosított kontrollok működési hatékonyságának tesztelését, a könyvvizsgáló ismeretei akkor is befolyásolhatják a lényeges hibás állítás kapcsolódó kockázataira reagáló alapvető könyvvizsgálati eljárások jellegének, ütemezésének és terjedelmének tervezését.
Az információs rendszer és kommunikáció, valamint a kontrolltevékenységek könyvvizsgáló általi megismerésének és értékelésének ismétlődő jellege
A126. Ahogyan azt az A49. bekezdés kifejti, a gazdálkodó egység és környezete, valamint a vonatkozó pénzügyi beszámolási keretelvek könyvvizsgáló általi megismerése segíthet a könyvvizsgálónak az olyan ügyletcsoportokkal, számlaegyenlegekkel és közzétételekkel kapcsolatos kezdeti várakozásokat kialakítani, amelyek jelentős ügyletcsoportok, számlaegyenlegek és közzétételek lehetnek. Az információs rendszer és kommunikáció komponens 25. bekezdés (a) pont szerinti megismerése során a könyvvizsgáló felhasználhatja ezeket a kezdeti várakozásokat abból a célból, hogy meghatározza a gazdálkodó egység információfeldolgozási tevékenységeire vonatkozóan megszerzendő megismerésének a terjedelmét.
A127. Az információs rendszer könyvvizsgáló általi megismerése magában foglalja azoknak a politikáknak a megismerését, amelyek definiálják a gazdálkodó egység jelentős ügyletcsoportjaira, számlaegyenlegeire és közzétételeire, valamint a gazdálkodó egység információfeldolgozási tevékenységeinek egyéb kapcsolódó aspektusaira vonatkozó információs folyamatokat. Ezek az információk és az információs rendszer könyvvizsgáló általi értékeléséből szerzett információk megerősíthetik, vagy tovább befolyásolhatják a könyvvizsgálónak a kezdetben azonosított jelentős ügyletcsoportokkal, számlaegyenlegekkel és közzétételekkel kapcsolatos várakozásait (lásd A126. bekezdés).
A128. Annak megismerése során, hogy a jelentős ügyletcsoportokra, számlaegyenlegekre és közzétételekre vonatkozó információk hogyan áramlanak be a gazdálkodó egység információs rendszerébe, hogyan áramlanak azon keresztül és abból ki, a könyvvizsgáló olyan kontrollokat is azonosíthat a kontrolltevékenységek komponensben, amelyeknek azonosítása előírás a 26. bekezdés (a) pont szerint. A kontrolltevékenységek komponensben lévő kontrollok könyvvizsgáló általi azonosítása és értékelése először a naplótételek feletti kontrollokra és azokra a kontrollokra fókuszálhat, amelyek működési hatékonyságának tesztelését tervezi a könyvvizsgáló az alapvető vizsgálati eljárások jellegének, ütemezésének és terjedelmének tervezése során.
A129. Az eredendő kockázat könyvvizsgáló általi felmérése befolyásolhatja a kontrolltevékenységek komponensben lévő kontrollok azonosítását is. Például a jelentős kockázatokhoz kapcsolódó kontrollok könyvvizsgáló általi azonosítása csak akkor végezhető el, amikor a könyvvizsgáló felmérte az állítások szintjén fennálló eredendő kockázatot a 31. bekezdéssel összhangban.Emellett az olyan kockázatokat kezelő kontrollok, amelyekre vonatkozóan a könyvvizsgáló azt állapította meg, hogy alapvető vizsgálati eljárások önmagukban nem adnak elegendő és megfelelő könyvvizsgálati bizonyítékot (a 33. bekezdéssel összhangban), szintén csak akkor azonosíthatók, ha már megtörténtek az eredendő kockázat könyvvizsgáló általi felmérései.
A130. A lényeges hibás állítás állítások szintjén fennálló kockázatainak könyvvizsgáló általi azonosítását és felmérését egyaránt befolyásolja:
– a gazdálkodó egységnek az információs rendszer és kommunikáció komponensben lévő információfeldolgozási tevékenységekre vonatkozó politikáinak a könyvvizsgáló általi megismerése, valamint
– a kontrolltevékenység komponensben lévő kontrollok könyvvizsgáló általi azonosítása és értékelése.
Az információs rendszer és kommunikáció megismerése (Hiv.: 25. bekezdés)
| – A 3. sz. függelék 15–19. bekezdései tartalmaznak további szempontokat az információs rendszerre és kommunikációra vonatkozóan. |
Méretre szabhatóság
A131. Az információs rendszer és a kapcsolódó üzleti folyamatok kevésbé összetett gazdálkodó egységeknél valószínűleg kevésbé kifinomultak, mint nagyobb gazdálkodó egységeknél, és valószínűleg kevésbé összetett IT-környezettel járnak; az információs rendszer szerepe azonban épp annyira fontos. Kevésbé összetett, a vezetés közvetlen részvételével működő gazdálkodó egységeknek lehet, hogy nincs szükségük a számviteli eljárások részletes leírásaira, kifinomult számviteli nyilvántartásokra vagy írásbeli politikákra. A gazdálkodó egység információs rendszere releváns aspektusainak a megismerése ezért lehet, hogy kisebb erőfeszítést igényel egy kevésbé összetett gazdálkodó egység könyvvizsgálata során, és nagyobb volumenben tartalmazhat interjút, mint megfigyelést vagy dokumentumok szemrevételezését. A megismerés szükségessége azonban fontos marad ahhoz, hogy alapot nyújtson a további könyvvizsgálati eljárásoknak a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban történő kialakításához, és további segítséget nyújthat a könyvvizsgálónak a lényeges hibás állítás kockázatainak azonosításában vagy felmérésében (lásd A86. bekezdés).
Az információs rendszer megismerése (Hiv.: 25. bekezdés (a) pont)
A132. A gazdálkodó egység belső kontroll rendszerében vannak olyan aspektusok, amelyek a gazdálkodó egység beszámolási céljaihoz kapcsolódnak, beleértve annak pénzügyi beszámolási céljait, de beletartozhatnak olyan aspektusok is, amelyek a működéséhez vagy a megfelelési céljaihoz kapcsolódnak, akkor, ha az ilyen aspektusok relevánsak a pénzügyi beszámolás szempontjából. Az információs rendszer könyvvizsgáló általi megismerésének részeként annak megismerése, hogy a gazdálkodó egység hogyan hoz létre ügyleteket és gyűjt információkat, magában foglalhat a gazdálkodó egység megfelelési és működési célok kezelésére kialakított rendszereivel (politikáival) kapcsolatos információkat, mert az ilyen információk relevánsak a pénzügyi kimutatások készítése szempontjából. Emellett egyes gazdálkodó egységeknek lehetnek olyan információs rendszerei, amelyek nagymértékben integráltak olyan módon, hogy a kontrollok úgy lehetnek kialakítva, hogy egy időben érjenek el pénzügyi beszámolási, megfelelési és működési célokat, valamint ezek kombinációját.
A133. A gazdálkodó egység információs rendszerének megismerése magában foglalja a gazdálkodó egység információfeldolgozási tevékenységeiben használandó erőforrások megismerését is. A bevont emberi erőforrásokkal kapcsolatos információk, amelyek relevánsak lehetnek az információs rendszer integritását veszélyeztető kockázatok megismerése szempontjából, magukban foglalják:
– a munkát elvégző személyek kompetenciáját;
– azt, hogy megfelelő erőforrások vannak-e; valamint
– azt, hogy megvan-e a feladatok megfelelő szétválasztása.
A134. Azok a kérdések, amelyeket a könyvvizsgáló mérlegelhet azoknak a politikáknak a megismerésekor, amelyek definiálják a gazdálkodó egység jelentős ügyletcsoportjaira, számlaegyenlegeire és közzétételeire vonatkozó információknak az információs rendszer és kommunikáció komponensben való áramlását, magukban foglalják a következőknek a jellegét:
(a) Feldolgozandó ügyletekre, egyéb eseményekre és körülményekre vonatkozó adatok vagy információk;
(b) Az ilyen adatok vagy információk integritásának fenntartását célzó információfeldolgozás; valamint
(c) Az információfeldolgozási folyamat során használt információs folyamatok, munkatársak és egyéb erőforrások.
A135. A gazdálkodó egység üzleti folyamatainak megismerése, amely magában foglalja azt, hogy az ügyletek hogyan jönnek létre, segíti a könyvvizsgálót a gazdálkodó egység információs rendszerének olyan módon való megismerésében, amely megfelel a gazdálkodó egység körülményeinek.
A136. A könyvvizsgáló különböző módokon ismerheti meg az információs rendszert, és a megismerés magában foglalhatja:
– az ügyletek létrehozásához, rögzítéséhez, feldolgozásához és beszámolóba foglalásához használt eljárásokkal vagy a gazdálkodó egység pénzügyi beszámolási folyamatával kapcsolatos interjúkat a releváns munkatársakkal;
– politikák kézikönyvének vagy folyamatleíró kézikönyveknek, vagy a gazdálkodó egység információs rendszere egyéb dokumentációjának szemrevételezését;
– a politikák vagy eljárások gazdálkodó egység munkatársai általi teljesítésének megfigyelését; vagy
– ügyletek kiválasztását és az információs rendszeren belüli, vonatkozó folyamaton keresztüli visszakövetését (vagyis egy végigkövetés végrehajtását).
Automatizált eszközök és technikák
A137. A könyvvizsgáló automatizált technikákat is használhat ahhoz, hogy közvetlenül hozzáférjen a gazdálkodó egység információs rendszerében lévő, az ügyletek számviteli nyilvántartásait tároló adatbázisokhoz, vagy digitális letöltést szerezzen azokból. Automatizált eszközöknek vagy technikáknak ezekre az információkra való alkalmazásával a könyvvizsgáló megerősítheti az azzal kapcsolatos megismerést, hogy az ügyletek hogyan áramlanak keresztül az információs rendszeren, azáltal, hogy visszakövet egy adott ügyletre vagy ügyletek teljes sokaságára vonatkozó naplótételeket vagy egyéb digitális nyilvántartásokat, a számviteli nyilvántartásokban való létrehozástól a főkönyvben való rögzítésig. Az ügyletek teljes vagy nagy állományának elemzése eredményezheti az ezekre az ügyletekre vonatkozó szokásos vagy várt feldolgozási folyamatoktól való eltérések azonosítását is, ami a lényeges hibás állítás kockázatainak azonosítását eredményezheti.
A főkönyvön és az analitikákon kívülről szerzett információk
A138. A pénzügyi kimutatások tartalmazhatnak a főkönyvön és az analitikákon kívülről szerzett információkat. Példák ilyen információkra, amelyeket a könyvvizsgáló mérlegelhet:
– Lízingszerződésekből szerzett, a pénzügyi kimutatásokban lévő közzétételek szempontjából releváns információk.
– A pénzügyi kimutatásokban közzétett információk, amelyeket a gazdálkodó egység kockázatkezelési rendszere állít elő.
– A valós értékre vonatkozó, a vezetés szakértői által előállított és a pénzügyi kimutatásokban közzétett információk.
– A pénzügyi kimutatásokban közzétett információk, amelyeket modellekből vagy a pénzügyi kimutatásokban megjelenített vagy közzétett számviteli becslések kidolgozásához használt egyéb számításokból szereztek, beleértve az adott modellekben használt mögöttes adatokra és feltételezésekre vonatkozó információkat, mint:
o saját kidolgozású feltételezések, amelyek érinthetik egy eszköz hasznos élettartamát; vagy
o olyan adatok, mint a kamatlábak, amelyekre a gazdálkodó egység hatókörén kívül eső tényezők vannak hatással.
– Pénzügyi modellekből származó érzékenységi elemzésekre vonatkozó, a pénzügyi kimutatásokban közzétett információk, amelyek tanúsítják, hogy a vezetés mérlegelt alternatív feltételezéseket.
– Egy gazdálkodó egység adóbevallásaiból és adónyilvántartásaiból szerzett, a pénzügyi kimutatásokban megjelenített vagy közzétett információk.
– A pénzügyi kimutatásokban közzétett információk, amelyeket a vezetésnek a gazdálkodó egység vállalkozás folytatására való képességére vonatkozó felmérésének alátámasztása céljából készített elemzésekből szereztek, mint például olyan eseményekre vagy körülményekre vonatkozó közzétételek, ha vannak ilyenek, amelyeket azonosítottak, hogy azok jelentős kétséget vethetnek fel a gazdálkodó egységnek a vállalkozás folytatására való képességével kapcsolatban. *
A139. A gazdálkodó egység pénzügyi kimutatásaiban lévő bizonyos összegek vagy közzétételek (mint például a hitelezési kockázatra, likviditási kockázatra és a piaci kockázatra vonatkozó közzétételek) alapulhatnak a gazdálkodó egység kockázatkezelési rendszeréből szerzett információkon. A könyvvizsgáló számára azonban nem előírás, hogy ismerje a kockázatkezelési rendszer minden aspektusát, és szakmai megítélést alkalmaz a szükséges megismerés meghatározása során.
A gazdálkodó egység informatikahasználata az információs rendszerben
Miért ismeri meg a könyvvizsgáló az információs rendszer szempontjából releváns IT-környezetet
A140. Az információs rendszer könyvvizsgáló általi megismerése magában foglalja a gazdálkodó egység információs rendszerén belüli ügylet- és információfeldolgozási áramlások szempontjából releváns IT-környezetet, mert az IT-alkalmazások vagy az IT-környezetben lévő egyéb aspektusok gazdálkodó egység általi használata az IT használatából eredő kockázatokat idézhet elő.
A141. A gazdálkodó egység üzleti modelljének és annak megismerése, hogy az hogyan integrálja az IT használatát, szintén hasznos összefüggést nyújthat az információs rendszerben elvárt IT jellegéhez és terjedelméhez.
A gazdálkodó egység IT-használatának megismerése
A142. Az IT-környezet könyvvizsgáló általi megismerése összpontosíthat azoknak a konkrét IT-alkalmazásoknak és az IT-környezet egyéb aspektusainak az azonosítására, valamint jellegük és számuk megismerésére, amelyek relevánsak az információs rendszerben lévő ügylet- és információfeldolgozási áramlások szempontjából. Az ügyletek áramlásának vagy az információs rendszeren belüli információknak a változásai eredhetnek az IT-alkalmazásokban bekövetkezett programváltoztatásokból, vagy ezeknek az ügyleteknek vagy információknak a feldolgozásában vagy tárolásában részt vevő adatbázisokban lévő adatok közvetlen változtatásaiból.
A143. A könyvvizsgáló az IT-alkalmazásokat és a támogató IT-infrastruktúrát azonosíthatja annak könyvvizsgáló általi megismerésével párhuzamosan, hogy a jelentős ügyletcsoportokra, számlaegyenlegekre és közzétételekre vonatkozó információk hogyan áramlanak be a gazdálkodó egység információs rendszerébe, hogyan áramlanak azon keresztül és abból ki.
A gazdálkodó egység kommunikációjának megismerése (Hiv.: 25. bekezdés (b) pont)
Méretre szabhatóság
A144. Nagyobb, összetettebb gazdálkodó egységekben az olyan információk, amelyeket a könyvvizsgáló mérlegelhet a gazdálkodó egység kommunikációjának megismerése során, származhatnak politikák kézikönyveiből és pénzügyi beszámolási kézikönyvekből.
A145. Kevésbé összetett gazdálkodó egységeknél a kevesebb felelősségi szint, valamint a vezetés erőteljesebb jelenléte és rendelkezésre állása miatt lehet, hogy a kommunikáció kevésbé strukturált (például lehet, hogy nem használnak formális kézikönyveket). A gazdálkodó egység méretétől függetlenül a nyitott kommunikációs csatornák megkönnyítik a kivételek jelentését és az azokkal kapcsolatos intézkedést.
Annak értékelése, hogy az információs rendszer releváns aspektusai támogatják-e a gazdálkodó egység pénzügyi kimutatásainak készítését (Hiv.: 25. bekezdés (c) pont)
A146. A könyvvizsgáló értékelése arról, hogy a gazdálkodó egység információs rendszere és kommunikációja megfelelően támogatja-e a pénzügyi kimutatások készítését, a 25. bekezdés (a)‒(b) pontjai szerinti megismerésen alapul.
Kontrolltevékenységek (Hiv.: 26. bekezdés)
Kontrollok a kontrolltevékenységek komponensben
| – A 3. sz. függelék 20. és 21. bekezdései tartalmaznak további szempontokat a kontrolltevékenységekre vonatkozóan. |
A147. A kontrolltevékenységek komponens olyan kontrollokat tartalmaz, amelyek úgy vannak kialakítva, hogy biztosítsák a politikák (amelyek szintén kontrollok) megfelelő alkalmazását a gazdálkodó egység belső kontroll rendszerének összes többi komponensében, és tartalmaz mind közvetlen, mind közvetett kontrollokat.
| – Példa: – Azok a kontrollok, amelyeket egy gazdálkodó egység annak biztosítása céljából hozott létre, hogy a munkatársak megfelelően számolják és rögzítik az éves fizikai leltárt, közvetlenül kapcsolódik a lényeges hibás állításnak a készlet számlaegyenlegre vonatkozó létezési és teljességi állítások szempontjából releváns kockázataihoz. |
A148. A kontrolltevékenységek komponensben lévő kontrollok könyvvizsgáló általi azonosításának és értékelésének középpontjában az információfeldolgozási kontrollok állnak, amelyek információknak a gazdálkodó egység információs rendszerében való feldolgozása során alkalmazott kontrollok, amelyek közvetlenül kezelik az információk integritását (vagyis az ügyletek és egyéb információk teljességét, pontosságát és érvényességét) veszélyeztető kockázatokat. A könyvvizsgáló számára azonban nem előírás, hogy azonosítson és értékeljen minden, a gazdálkodó egység olyan politikáira vonatkozó információfeldolgozási kontrollt, amelyek definiálják az ügyletek áramlásait és a gazdálkodó egység információfeldolgozási tevékenységeinek egyéb aspektusait a jelentős ügyletcsoportokra, számlaegyenlegekre és közzétételekre vonatkozóan.
A149. Lehetnek olyan közvetlen kontrollok is, amelyek a kontrollkörnyezetben, a gazdálkodó egység kockázatfelmérési folyamatában vagy a gazdálkodó egység belső kontroll rendszer figyelemmel kísérésére szolgáló folyamatában léteznek, amelyeket lehet, hogy azonosítanak a 26. bekezdéssel összhangban. Minél közvetettebb azonban a kapcsolat az egyéb kontrollokat támogató kontrollok és a vizsgált kontroll között, annál kevésbé lehet hatékony az a kontroll a kapcsolódó hibás állítások megelőzésében vagy feltárásában és helyesbítésében.
| – Példa: – Konkrét üzletekre vonatkozó értékesítési tevékenység régiók szerinti összesítésének egy értékesítési vezető általi áttekintése rendszerint csak közvetetten kapcsolódik lényeges hibás állításnak az árbevételre vonatkozó teljességi állítás szempontjából releváns kockázataihoz. Ennek megfelelően kevésbé lehet hatékony azoknak a kockázatoknak a kezelésében, mint az azokhoz közvetlenebbül kapcsolódó kontrollok, mint például a fuvarokmányok és a számlázási okmányok összevetése. |
A150. A 26. bekezdés azt is előírja a könyvvizsgáló számára, hogy azonosítsa és értékelje az általános IT-kontrollokat az olyan IT-alkalmazásokra és az IT-környezet olyan egyéb aspektusaira vonatkozóan, amelyekről a könyvvizsgáló azt állapította meg, hogy az IT használatából eredő kockázatoknak vannak kitéve, mert az általános IT-kontrollok támogatják az információfeldolgozási kontrollok folyamatos hatékony működését. Egy általános IT-kontroll önmagában jellemzően nem elegendő a lényeges hibás állítás állítások szintjén fennálló kockázatának kezeléséhez.
A151. Azok a kontrollok, amelyeknek az azonosítása, valamint kialakításuk értékelése és bevezetésük megállapítása a 26. bekezdéssel összhangban előírás a könyvvizsgáló számára:
– Azok a kontrollok, amelyeknek a működési hatékonyságát a könyvvizsgáló tesztelni tervezi az alapvető vizsgálati eljárások jellegének, ütemezésének és terjedelmének meghatározása során. Az ilyen kontrollok értékelése nyújt alapot a kontrolltesztelési eljárásoknak a könyvvizsgáló által a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban való kialakításához. Ezek a kontrollok magukban foglalnak olyan kockázatokat kezelő kontrollokat is, amelyekre vonatkozóan alapvető vizsgálati eljárások önmagukban nem nyújtanak elegendő és megfelelő könyvvizsgálati bizonyítékot.
– Jelentős kockázatokat kezelő kontrollok és naplótételek feletti kontrollok. Az ilyen kontrollok könyvvizsgáló általi azonosítása és értékelése szintén befolyásolhatja a lényeges hibás állítás kockázatainak könyvvizsgáló általi megismerését, beleértve a lényeges hibás állítás további kockázatainak azonosítását (lásd A95. bekezdés). Ez a megismerés is megalapozza a lényeges hibás állítás kapcsolódó felmért kockázataira reagáló alapvető könyvvizsgálati eljárások jellegének, ütemezésének és terjedelmének könyvvizsgáló általi kialakítását.
– Egyéb kontrollok, amelyeket a könyvvizsgáló szakmai megítélése alapján a könyvvizsgáló megfelelőnek ítél arra, hogy lehetővé tegyék a könyvvizsgáló számára a 13. bekezdés céljainak való megfelelést az állítások szintjén fennálló kockázatok vonatkozásában.
A152. A kontrolltevékenységek komponensben lévő kontrollok azonosítása akkor követelmény, amikor az ilyen kontrollok megfelelnek a 26. bekezdés (a) pontban foglalt egy vagy több kritériumnak. Amikor azonban több kontroll mindegyike ugyanazt a célt éri el, nem szükséges az arra a célra vonatkozó minden egyes kontrollt azonosítani.
A kontrolltevékenységek komponensben lévő kontrollok típusai (Hiv.: 26. bekezdés)
A153. Példák a kontrolltevékenységekben lévő kontrollokra magukban foglalnak engedélyezéseket és jóváhagyásokat, egyeztetéseket, igazolásokat (mint például szerkesztési és érvényesítési ellenőrzések vagy automatizált számítások), a feladatok szétválasztását, valamint fizikai és logikai kontrollokat, beleértve a vagyonvédelemre vonatkozó kontrollokat.
A154. A kontrolltevékenységek komponensben lévő kontrollok magukban foglalhatnak a vezetés által létrehozott olyan kontrollokat is, amelyek a lényeges hibás állításnak az olyan közzétételekkel kapcsolatos kockázatait kezelik, amelyeket nem a vonatkozó pénzügyi beszámolási keretelvekkel összhangban készítenek. Az ilyen kontrollok vonatkozhatnak a pénzügyi kimutatásokban foglalt olyan információkra, amelyeket a főkönyvön és az analitikákon kívülről szereznek.
A155. Függetlenül attól, hogy a kontrollok az IT-környezeten vagy manuális rendszereken belül vannak-e, a kontrolloknak több céljuk lehet, és azokat különböző szervezeti és funkcionális szinteken alkalmazhatják.
Méretre szabhatóság (Hiv.: 26. bekezdés)
A156. A kontrolltevékenységek komponensben lévő kontrollok a kevésbé összetett gazdálkodó egységekre vonatkozóan valószínűleg hasonlók a nagyobb gazdálkodó egységeknél lévő kontrollokhoz, de működésük formalitása változó lehet. Emellett a kevésbé összetett gazdálkodó egységeknél több kontrollt lehet, hogy közvetlenül a vezetés alkalmaz.
| – Példa: – A vezetés kizárólagos engedélye az ügyfeleknek való hitelnyújtásra és jelentős beszerzések jóváhagyására erős kontrollt biztosíthat fontos számlaegyenlegek és ügyletek felett. |
A157. Lehet, hogy kevésbé kivitelezhető a feladatok szétválasztása kevesebb munkavállalót foglalkoztató, kevésbé összetett gazdálkodó egységeknél. Azonban egy tulajdonos-vezető által irányított gazdálkodó egységnél a tulajdonos-vezető lehet, hogy hatékonyabb felügyeletet tud gyakorolni közvetlen részvételen keresztül, mint egy nagyobb gazdálkodó egységnél, ami kompenzálhatja a feladatok szétválasztásának általában véve korlátozottabb lehetőségét. Ugyanakkor, ahogyan azt a 240. témaszámú nemzetközi könyvvizsgálati standard is kifejti, a vezetés egyetlen személy általi dominanciája potenciális kontrollhiányosság lehet, mivel lehetőség van a kontrollok vezetés általi felülírására. *
A lényeges hibás állítás állítások szintjén fennálló kockázatait kezelő kontrollok (Hiv.: 26. bekezdés (a) pont)
A jelentős kockázatként meghatározott kockázatokat kezelő kontrollok (Hiv.: 26. bekezdés (a) pont (i) alpont)
A158. Függetlenül attól, hogy a könyvvizsgáló tervezi-e a jelentős kockázatokat kezelő kontrollok működési hatékonyságának tesztelését, a vezetés ilyen kockázatok kezelésére vonatkozó megközelítésének megismerése alapot nyújthat a jelentős kockázatokra reagáló alapvető vizsgálati eljárásoknak a 330. témaszámú nemzetközi könyvvizsgálati standardban előírtak szerinti kialakításához és végrehajtásához. * Bár a jelentős, nem rutinszerű vagy megítéléstől függő ügyekhez kapcsolódó kockázatok gyakran kevésbé valószínű, hogy rutinszerű kontrollok tárgyát képezik, a vezetésnek lehetnek az ilyen kockázatok kezelését célzó más válaszai. Ennek megfelelően annak a könyvvizsgáló általi megismerése, hogy a gazdálkodó egység alakított-e ki és vezetett-e be kontrollokat a nem rutinszerű vagy megítéléstől függő kérdésekből eredő jelentős kockázatokra vonatkozóan, magában foglalhatja azt is, hogy a vezetés válaszol-e és hogyan válaszol a kockázatokra. Ilyen válaszok magukban foglalhatnak:
– kontrollokat, mint például a feltételezéseknek a felső szintű vezetés vagy szakértők általi áttekintése;
– számviteli becslésekre vonatkozó dokumentált folyamatokat;
– az irányítással megbízott személyek általi jóváhagyást.
| – Példa: – Ha olyan egyszeri események fordulnak elő, mint például egy jelentős perrel kapcsolatos értesítés kézhezvétele, a gazdálkodó egység válaszának a mérlegelése magában foglalhat olyan kérdéseket, mint például az, hogy az ügyet a megfelelő szakértők (például belső vagy külső jogi tanácsadók) hatáskörébe utalták-e, hogy a lehetséges hatást felmérték-e, és hogy miként javasolják a körülmények közzétételét a pénzügyi kimutatásokban. |
A159. A 240. témaszámú nemzetközi könyvvizsgálati standard * előírja a könyvvizsgáló számára a csalásból eredő lényeges hibás állítás felmért kockázataira (amelyeket jelentős kockázatokként kezelnek) vonatkozó kontrollok megismerését, és részletesebben kifejti, hogy fontos, hogy a könyvvizsgáló megismerje a vezetés által a csalás megelőzése és feltárása céljából kialakított, bevezetett és fenntartott kontrollokat.
Naplótételek feletti kontrollok (Hiv.: 26. bekezdés (a) pont (ii) alpont)
A160. A lényeges hibás állítás állítások szintjén fennálló kockázatait kezelő olyan kontrollok, amelyeket várhatóan minden könyvvizsgálat esetében azonosítanak, a naplótételek feletti kontrollok, mert az a mód, ahogyan egy gazdálkodó egység beépíti az ügyletfeldolgozásból származó információkat a főkönyvbe, rendszerint magában foglalja akár standard, akár nem standard, akár automatizált, akár manuális naplótételek használatát. Az, hogy milyen mértékben azonosítanak egyéb kontrollokat, a gazdálkodó egység jellege és a könyvvizsgáló további könyvvizsgálati eljárásokkal kapcsolatos tervezett megközelítése alapján változó lehet.
| – Példa: – Egy kevésbé összetett gazdálkodó egység könyvvizsgálata során lehet, hogy a gazdálkodó egység információs rendszere nem összetett és a könyvvizsgáló lehet, hogy nem tervezi azt, hogy támaszkodik a kontrollok működési hatékonyságára. Továbbá lehet, hogy a könyvvizsgáló nem azonosított semmilyen jelentős kockázatot vagy a lényeges hibás állítás bármilyen egyéb kockázatát, amelyre vonatkozóan szükséges, hogy a könyvvizsgáló értékelje a kontrollok kialakítását és megállapítsa, hogy bevezették azokat. Egy ilyen könyvvizsgálatnál a könyvvizsgáló lehet, hogy azt állapítja meg, hogy nincsenek más azonosított kontrollok, mint a gazdálkodó egységnek a naplótételek feletti kontrolljai. |
Automatizált eszközök és technikák
A161. A manuális főkönyvi rendszerekben a nem standard naplótételeket az analitikák, a naplók és az alátámasztó dokumentáció vizsgálata révén lehet azonosítani. Amikor automatizált eljárásokat alkalmaznak a főkönyv vezetéséhez és a pénzügyi kimutatások készítéséhez, az ilyen tételek lehet, hogy csak elektronikus formában léteznek, és ezáltal könnyebben azonosíthatók lehetnek automatizált technikák alkalmazásával.
| – Példa: – Egy kevésbé összetett gazdálkodó egység könyvvizsgálata során a könyvvizsgáló lehet, hogy az összes naplótétel teljes listáját ki tudja nyerni egy egyszerű táblázatba. Ezután lehet, hogy a könyvvizsgáló rendezni tudja a naplótételeket különböző szűrők használatával, mint például pénznemösszeg, készítő vagy ellenőrző neve, csak a mérleget vagy az eredménykimutatást kitevő naplótételek, vagy megtekintheti a listát a naplótétel főkönyvbe való feladásának dátuma szerint, hogy segítse a könyvvizsgálót a naplótételekre vonatkozóan azonosított kockázatokra való válaszok kialakításában. |
Kontrollok, amelyekre vonatkozóan a könyvvizsgáló a működési hatékonyság tesztelését tervezi (Hiv.: 26. bekezdés (a) pont (iii) alpont)
A162. A könyvvizsgáló megállapítja, hogy van-e a lényeges hibás állításnak az állítások szintjén fennálló bármely olyan kockázata, amelyre vonatkozóan önmagukban alapvető vizsgálati eljárások révén nem lehetséges elegendő és megfelelő könyvvizsgálati bizonyítékot szerezni. A 330. témaszámú nemzetközi könyvvizsgálati standarddal * összhangban a könyvvizsgáló számára előírás, hogy kialakítsa és végrehajtsa a lényeges hibás állítás ilyen kockázatait kezelő kontrollok teszteléseit, amikor alapvető vizsgálati eljárások önmagukban nem nyújtanak elegendő és megfelelő könyvvizsgálati bizonyítékot az állítások szintjén. Ennek eredményeképpen, amikor léteznek olyan kontrollok, amelyek ezeket a kockázatokat kezelik, előírás azok azonosítása és értékelése.
A163. Más esetekben, amikor a könyvvizsgáló a kontrollok működési hatékonyságának figyelembevételét tervezi az alapvető vizsgálati eljárások jellegének, ütemezésének és terjedelmének a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban történő meghatározása során, az ilyen kontrollok azonosítása szintén követelmény, mert a 330. témaszámú nemzetközi könyvvizsgálati standard * előírja a könyvvizsgáló számára ezen kontrollok teszteléseinek a kialakítását és végrehajtását.
| – Példák: – A könyvvizsgáló tervezheti a működési hatékonyság tesztelését: – rutinszerű ügyletcsoportok fölötti kontrollokra vonatkozóan, mert az ilyen tesztelés hatékonyabb vagy eredményesebb lehet homogén ügyletek nagy mennyisége esetében; – a gazdálkodó egység által előállított információk teljessége és pontossága feletti kontrollokra vonatkozóan (például rendszer által előállított jelentések * készítése feletti kontrollok), az ilyen információk megbízhatóságának megállapítása érdekében, amikor a könyvvizsgálónak szándékában áll figyelembe venni ezeknek a kontrolloknak a működési hatékonyságát a további könyvvizsgálati eljárások kialakítása és végrehajtása során; – a működéshez és a megfelelési célokhoz kapcsolódó kontrollokra vonatkozóan, amikor azok olyan adatokra vonatkoznak, amelyeket a könyvvizsgáló értékel vagy felhasznál a könyvvizsgálati eljárások alkalmazása során. |
A164. A könyvvizsgálónak a kontrollok működési hatékonyságának tesztelésére vonatkozó terveit befolyásolhatják a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló azonosított kockázatai is. Például, ha hiányosságokat azonosítanak a kontrollkörnyezettel kapcsolatban, ez befolyásolhatja a könyvvizsgálónak a közvetlen kontrollok működési hatékonyságával kapcsolatos átfogó várakozásait.
Egyéb kontrollok, amelyeket a könyvvizsgáló megfelelőnek ítél (Hiv.: 26. bekezdés (a) pont (iv) alpont)
A165. Az egyéb kontrollok, amelyeknek az azonosítását, valamint a kialakítás értékelését és a bevezetés megállapítását a könyvvizsgáló helyénvalónak tarthatja, magukban foglalhatnak:
– olyan kontrollokat, amelyek az eredendő kockázat spektrumán magasabbra felmért, de nem jelentős kockázatként meghatározott kockázatokat kezelnek;
– a részletes nyilvántartásoknak a főkönyvvel való egyeztetéséhez kapcsolódó kontrollokat; vagy
– az igénybe vevő gazdálkodó egység kiegészítő kontrolljait, ha szolgáltató szervezetet vesznek igénybe. *
IT-alkalmazásoknak és az IT-környezet egyéb aspektusainak, az IT használatából eredő kockázatoknak és az általános IT-kontrolloknak az azonosítása (Hiv.: 26. bekezdés (b)‒(c) pontok)
| – Az 5. sz. függelék tartalmaz példákat az IT alkalmazásoknak és az IT környezet egyéb aspektusainak jellemzőire, valamint azokra a jellemzőkre vonatkozó útmutatást, amelyek relevánsak lehetnek az IT használatából eredő kockázatoknak kitett IT alkalmazások és az IT környezet egyéb aspektusai azonosítása során. |
IT-alkalmazások és az IT-környezet egyéb aspektusainak azonosítása (Hiv.: 26. bekezdés (b) pont)
Miért azonosítja a könyvvizsgáló az IT használatából eredő kockázatokat, valamint az azonosított IT-alkalmazásokra és az IT-környezet egyéb aspektusaira vonatkozó általános IT-kontrollokat
A166. Az IT használatából eredő kockázatok, valamint a gazdálkodó egység által ezeknek a kockázatoknak a kezelése céljából bevezetett általános IT-kontrollok megismerése befolyásolhatja az alábbiakat:
– A könyvvizsgáló azzal kapcsolatos döntését, hogy tesztelje-e a lényeges hibás állítás állítások szintjén fennálló kockázatainak kezelését célzó kontrollok működési hatékonyságát;
| – Példa: – Amikor az általános IT-kontrollok nincsenek hatékonyan kialakítva vagy megfelelően bevezetve az IT használatából eredő kockázatok kezelése céljából (például, a kontrollok nem előzik meg vagy tárják fel megfelelően a jogosulatlan programváltoztatásokat vagy az IT-alkalmazásokhoz való jogosulatlan hozzáférést), ez befolyásolhatja a könyvvizsgáló arra vonatkozó döntését, hogy támaszkodjon az érintett IT-alkalmazásokon belüli automatizált kontrollokra. |
– Az ellenőrzési kockázat könyvvizsgáló általi felmérését az állítások szintjén;
| – Példa: – Egy információfeldolgozási kontroll folyamatos működési hatékonysága függhet bizonyos általános IT-kontrolloktól, amelyek megelőzik vagy feltárják az IT információfeldolgozási kontroll jogosulatlan programváltoztatásait (vagyis a kapcsolódó IT-alkalmazás feletti programváltoztatási kontrollok). Ilyen körülmények között az általános IT-kontroll várható működési hatékonysága (vagy annak hiánya) befolyásolhatja az ellenőrzési kockázat könyvvizsgáló általi felmérését (például, magasabb lehet az ellenőrzési kockázat, amikor az ilyen általános IT-kontrollok várhatóan nem hatékonyak, vagy, ha a könyvvizsgáló nem tervezi az általános IT-kontrollok tesztelését). |
– A könyvvizsgálónak a gazdálkodó egység által előállított olyan információk tesztelésére vonatkozó stratégiája, amelyeket a gazdálkodó egység IT-alkalmazásai állítottak elő, vagy amelyek a gazdálkodó egység IT-alkalmazásaiból származó információkat tartalmaznak;
| – Példa: – Amikor a könyvvizsgálati bizonyítékként használandó, a gazdálkodó egység által előállított információt IT-alkalmazások állítják elő, a könyvvizsgáló határozhat úgy, hogy teszteli a rendszer által generált jelentések feletti kontrollokat, beleértve azoknak az általános IT-kontrolloknak az azonosítását és tesztelését, amelyek kezelik a nem megfelelő vagy jogosulatlan programváltoztatásokat vagy a közvetlen adatváltoztatásokat a jelentésekben. |
– Az eredendő kockázat könyvvizsgáló általi felmérését az állítások szintjén; vagy
| – Példa: – Amikor jelentős vagy kiterjedt programozási változások vannak egy IT-alkalmazásban abból a célból, hogy kezeljék a vonatkozó pénzügyi beszámolási keretelvek új vagy felülvizsgált beszámolási követelményeit, ez jelezheti az új követelményeknek és az általuk a gazdálkodó egység pénzügyi kimutatásaira gyakorolt hatásnak az összetettségét. Amikor ilyen kiterjedt programozási vagy adatváltozások történnek, az IT-alkalmazás valószínűleg szintén ki van téve az IT használatából eredő kockázatoknak. |
– A további könyvvizsgálati eljárások kialakítását.
| – Példa: – Ha az információfeldolgozási kontrollok az általános IT-kontrolloktól függnek, a könyvvizsgáló határozhat úgy, hogy teszteli az általános IT-kontrollok működési hatékonyságát, ami azután megköveteli a kontrollok teszteléseinek a tervezését az ilyen általános IT-kontrollokra vonatkozóan. Ha ugyanilyen körülmények között a könyvvizsgáló úgy határoz, hogy nem teszteli az általános IT-kontrollok működési hatékonyságát, vagy az általános IT-kontrollok várhatóan nem hatékonyak, az IT használatából eredő kapcsolódó kockázatokat lehet, hogy alapvető vizsgálati eljárások kialakítása révén szükséges kezelni. Az IT használatából eredő kockázatok azonban lehet, hogy nem kezelhetők akkor, ha ezek a kockázatok olyan kockázatokra vonatkoznak, amelyekre vonatkozóan alapvető vizsgálati eljárások önmagukban nem nyújtanak elegendő és megfelelő könyvvizsgálati bizonyítékot. Ilyen körülmények között szükséges lehet, hogy a könyvvizsgáló mérlegelje a könyvvizsgálói véleményre gyakorolt hatásokat. |
Az IT használatából eredő kockázatoknak kitett IT-alkalmazások azonosítása
A167. Az információs rendszer szempontjából releváns IT-alkalmazások esetében a gazdálkodó egységnél alkalmazott konkrét IT-folyamatok és általános IT-kontrollok jellegének és összetettségének megismerése segíthet a könyvvizsgálónak meghatározni, hogy mely IT-alkalmazásokra támaszkodik a gazdálkodó egység a gazdálkodó egység információs rendszerében lévő információk pontos feldolgozása és integritásuk fenntartása céljából. Az ilyen IT-alkalmazások ki lehetnek téve az IT használatából eredő kockázatoknak.
A168. Az IT használatából eredő kockázatoknak kitett IT-alkalmazások azonosítása magában foglalja a könyvvizsgáló által azonosított kontrollok figyelembevételét, mivel az ilyen kontrollok IT-használattal járhatnak vagy IT-re támaszkodhatnak. A könyvvizsgáló összpontosíthat arra, hogy egy IT-alkalmazás tartalmaz-e automatizált kontrollokat, amelyekre a vezetés támaszkodik, és amelyeket a könyvvizsgáló azonosított, beleértve az olyan kockázatokat kezelő kontrollokat, amelyekre vonatkozóan alapvető vizsgálati eljárások önmagukban nem nyújtanak elegendő és megfelelő könyvvizsgálati bizonyítékot. A könyvvizsgáló mérlegelheti azt is, hogyan tárolják és dolgozzák fel az információkat az információs rendszerben a jelentős ügyletcsoportokhoz, számlaegyenlegekhez és közzétételekhez kapcsolódóan, valamint, hogy a vezetés támaszkodik-e általános IT-kontrollokra az ilyen információk integritásának fenntartása céljából.
A169. A könyvvizsgáló által azonosított kontrollok rendszer által előállított jelentésekre támaszkodhatnak, amely esetben az ezeket a jelentéseket előállító IT-alkalmazások ki lehetnek téve az IT használatából eredő kockázatoknak. Más esetekben lehet, hogy a könyvvizsgáló nem tervezi a rendszer által előállított jelentések feletti kontrollokra való támaszkodást, és az ilyen jelentések inputjainak és outputjainak közvetlen tesztelését tervezi, amely esetben a könyvvizsgáló lehet, hogy nem azonosítja a kapcsolódó IT-alkalmazásokat olyanként, mint amelyek IT-ből eredő kockázatoknak kitettek.
Méretre szabhatóság
A170. Az IT-folyamatok – beleértve azt, hogy milyen mértékben vannak általános IT-kontrollok a gazdálkodó egységnél – könyvvizsgáló általi megismerésének terjedelme a gazdálkodó egység és IT-környezetének jellege szerint, valamint a könyvvizsgáló által azonosított kontrollok jellege és terjedelme alapján változó lesz. Az IT használatából eredő kockázatoknak kitett IT-alkalmazások száma szintén változó lesz ezeknek a tényezőknek az alapján.
| – Példák: – Egy olyan gazdálkodó egységnek, amely kereskedelmi szoftvert használ, és amelynek nincs hozzáférése a forráskódhoz, hogy bármilyen programváltoztatást hajtson végre, nem valószínű, hogy van programváltoztatásokra vonatkozó folyamata, rendelkezhet viszont a szoftver konfigurálását (például számlatükör, beszámolási paraméterek vagy küszöbértékek) szolgáló folyamattal vagy eljárásokkal. Emellett a gazdálkodó egység rendelkezhet az alkalmazáshoz való hozzáférés kezelését szolgáló folyamattal vagy eljárásokkal (például egy kijelölt személy a kereskedelmi szoftverhez való adminisztrátori hozzáféréssel). Ilyen körülmények között a gazdálkodó egységnek nem valószínű, hogy vannak formalizált általános IT-kontrolljai vagy, hogy szüksége van ilyenekre. – Ezzel szemben, egy nagyobb gazdálkodó egység nagymértékben támaszkodhat az IT-re, és az IT-környezet több IT-alkalmazást foglalhat magában, az IT-környezetet kezelő IT-folyamatok pedig összetettek lehetnek (például van egy szakosodott IT-részleg, amely programváltoztatásokat fejleszt ki és vezet be, valamint kezeli a hozzáférési jogokat), beleértve, hogy a gazdálkodó egység formalizált általános IT-kontrollokat vezetett be az IT-folyamataira vonatkozóan. – Amikor a vezetés nem támaszkodik automatizált kontrollokra vagy általános IT-kontrollokra az ügyletek feldolgozása vagy az adatok karbantartása céljából, és a könyvvizsgáló nem azonosított semmilyen automatizált kontrollt vagy egyéb információfeldolgozási kontrollt (vagy olyat, amely általános IT-kontrolloktól függ), a könyvvizsgáló lehet, hogy a gazdálkodó egység által az IT bevonásával előállított bármilyen információ közvetlen tesztelését tervezi, és lehet, hogy nem azonosít semmilyen IT-alkalmazást, amely ki van téve az IT használatából eredő kockázatoknak. – Amikor a vezetés egy IT-alkalmazásra támaszkodik az adatok feldolgozása vagy karbantartása céljából és az adatok mennyisége jelentős, és a vezetés az IT-alkalmazásra támaszkodik olyan automatizált kontrollok végrehajtása céljából, amelyeket a könyvvizsgáló is azonosított, az IT-alkalmazás valószínűleg ki van téve az IT használatából eredő kockázatoknak. |
A171. Amikor egy gazdálkodó egységnél összetettebb az IT-környezet, az IT-alkalmazásoknak és az IT-környezet egyéb aspektusainak azonosítása, az IT használatából eredő kapcsolódó kockázatok meghatározása, valamint az általános IT-kontrollok azonosítása valószínűleg IT szakképzettséggel rendelkező munkacsoporttagok bevonását igényli. Az összetett IT-környezetekben az ilyen részvétel valószínűleg alapvető, és lehet, hogy szükséges kiterjedtnek lennie.
Az IT-környezet olyan egyéb aspektusainak azonosítása, amelyek ki vannak téve az IT használatából eredő kockázatoknak
A172. Az IT-környezet egyéb aspektusai, amelyek ki lehetnek téve az IT használatából eredő kockázatoknak, magukban foglalják a hálózatot, az operációs rendszert és az adatbázisokat, valamint bizonyos körülmények között az IT-alkalmazások közötti interfészeket. Az IT-környezet egyéb aspektusait rendszerint nem azonosítják, amikor a könyvvizsgáló nem azonosít olyan IT-alkalmazásokat, amelyek ki vannak téve az IT használatából eredő kockázatoknak. Amikor a könyvvizsgáló azonosított olyan IT-alkalmazásokat, amelyek ki vannak téve IT-ből eredő kockázatoknak, valószínűleg azonosítják az IT-környezet egyéb aspektusait (például adatbázis, operációs rendszer, hálózat), mert az ilyen aspektusok támogatják az azonosított IT-alkalmazásokat és kölcsönhatásban vannak azokkal.
Az IT használatából eredő kockázatok és az általános IT-kontrollok azonosítása (Hiv.: 26. bekezdés (c) pont)
| – A 6. sz. függelék tartalmaz az általános IT kontrollok megismerésére vonatkozó szempontokat. |
A173. Az IT használatából eredő kockázatok azonosítása során a könyvvizsgáló mérlegelheti az azonosított IT-alkalmazás vagy az IT-környezet egyéb aspektusa jellegét, valamint azokat az okokat, amelyek miatt az ki van téve az IT használatából eredő kockázatoknak. Egyes IT-alkalmazások vagy az IT-környezet egyéb aspektusai esetében lehet, hogy a könyvvizsgáló az IT használatából eredő olyan kockázatokat azonosít, amelyek elsősorban jogosulatlan hozzáférésre vagy jogosulatlan programváltoztatásokra vonatkoznak, továbbá, amelyek nem megfelelő adatváltoztatásokkal kapcsolatos kockázatokat kezelnek (például az adatok nem megfelelő változtatása az adatbázishoz való közvetlen hozzáférésen vagy az információk közvetlen manipulálására való képességen keresztül).
A174. Az IT használatából eredő vonatkozó kockázatok terjedelme és jellege változó az azonosított IT-alkalmazások és az IT-környezet egyéb aspektusai jellegétől és jellemzőitől függően. Vonatkozó IT-kockázatokat eredményezhet, amikor a gazdálkodó egység külső vagy belső szolgáltatókat vesz igénybe IT-környezetének azonosított aspektusaihoz (például az IT-környezet hostingjának harmadik félhez való kiszervezése, vagy közös szolgáltatóközpont igénybevétele az IT-folyamatok központi menedzselésére egy csoporton belül). Az IT használatából eredő vonatkozó kockázatok a kiberbiztonsággal kapcsolatban is azonosíthatók. Valószínűbb, hogy több, az IT használatából eredő kockázat lesz, amikor az automatizált alkalmazáskontrollok mennyisége vagy összetettsége nagyobb, és a vezetés nagyobb mértékben támaszkodik ezekre a kontrollokra az ügyletek hatékony feldolgozásához vagy a mögöttes információk integritásának hatékony fenntartásához.
A kontrolltevékenységek komponensben lévő azonosított kontrollok kialakításának értékelése és bevezetésének megállapítása (Hiv.: 26. bekezdés (d) pont)
A175. Egy azonosított kontroll kialakításának értékelése magában foglalja annak a könyvvizsgáló általi mérlegelését, hogy a kontroll, önmagában vagy más kontrollokkal együtt képes-e hatékonyan megelőzni, vagy feltárni és helyesbíteni lényeges hibás állításokat (vagyis a kontrollcélt).
A176. Egy azonosított kontroll bevezetését a könyvvizsgáló annak megállapításával határozza meg, hogy a kontroll létezik, valamint, hogy a gazdálkodó egység használja azt. Nincs sok értelme annak, hogy a könyvvizsgáló felmérje egy olyan kontroll bevezetését, amely nem hatékonyan van kialakítva. Ezért a könyvvizsgáló először egy kontroll kialakítását értékeli. Egy nem megfelelően kialakított kontroll kontrollhiányosságot testesíthet meg.
A177. A kontrolltevékenységek komponensben lévő azonosított kontrollok kialakításával és bevezetésével kapcsolatos könyvvizsgálati bizonyíték szerzésére szolgáló kockázatfelmérési eljárások magukban foglalhatják:
– a gazdálkodó egység munkatársaival készített interjúkat;
– a konkrét kontrollok alkalmazásának megfigyelését;
– dokumentumok és jelentések szemrevételezését.
Az interjúk önmagukban azonban nem elegendők ilyen célokra.
A178. Az előző könyvvizsgálatból származó tapasztalat vagy a tárgyidőszaki kockázatfelmérési eljárások alapján lehet, hogy a könyvvizsgáló arra számít, hogy a vezetés nem hatékonyan alakított ki vagy vezetett be kontrollokat egy jelentős kockázat kezelése céljából. Ilyen esetekben a 26. bekezdés (d) pontjában foglalt követelmény kezelése céljából végrehajtott eljárások állhatnak annak meghatározásából, hogy az ilyen kontrollokat nem hatékonyan alakították ki vagy vezették be. Ha az eljárások eredményei azt jelzik, hogy újonnan alakítottak ki vagy vezettek be kontrollokat, a könyvvizsgáló számára az újonnan kialakított vagy bevezetett kontrollokra vonatkozóan követelmény a 26. bekezdés (b)‒(d) pontokban foglalt eljárások végrehajtása.
A179. A könyvvizsgáló levonhatja azt a következtetést, hogy egy hatékonyan kialakított és bevezetett kontroll megfelelő lehet tesztelés céljára annak érdekében, hogy működési hatékonyságát figyelembe vegye az alapvető vizsgálati eljárások tervezése során. Ha azonban egy kontroll nincs hatékonyan kialakítva vagy bevezetve, nincs haszna a tesztelésének. Amikor a könyvvizsgáló tervezi egy kontroll tesztelését, az azzal kapcsolatban szerzett információ, hogy az adott kontroll milyen mértékben kezeli a lényeges hibás állítás kockázatát (kockázatait), egy input az ellenőrzési kockázatnak a könyvvizsgáló által az állítások szintjén való felméréséhez.
A180. A kontrolltevékenységek komponensben lévő azonosított kontrollok kialakításának értékelése és bevezetésének megállapítása nem elegendő azok működési hatékonyságának teszteléséhez. Automatizált kontrollok esetében azonban a könyvvizsgáló tervezheti azt, hogy az automatizált kontrollok működési hatékonyságát a működési hatékonyság tesztelésének közvetlenül az automatizált kontrollokra vonatkozó végrehajtása helyett olyan általános IT-kontrollok azonosításával és tesztelésével teszteli, amelyek biztosítják az automatizált kontrollok folyamatos működését. Egy manuális kontroll bevezetésével kapcsolatos könyvvizsgálati bizonyíték szerzése egy adott időpontban nem nyújt bizonyítékot a kontroll működési hatékonyságára vonatkozóan a vizsgált időszak egyéb időpontjaiban. A kontrollok működési hatékonyságának tesztjeit, beleértve a közvetett kontrollok tesztjeit, a 330. témaszámú nemzetközi könyvvizsgálati standard írja le részletesebben. *
A181. Amikor a könyvvizsgáló nem tervezi az azonosított kontrollok működési hatékonyságának tesztelését, a könyvvizsgáló megismerése akkor is segíthet a lényeges hibás állítás kapcsolódó kockázataira reagáló alapvető könyvvizsgálati eljárások jellegének, ütemezésének és terjedelmének kialakításában.
| – Példa: – Ezeknek a kockázatfelmérési eljárásoknak az eredményei alapot nyújthatnak egy sokaságon belüli lehetséges eltérések könyvvizsgáló általi figyelembevételéhez könyvvizsgálati minták kialakításakor. |
Kontrollhiányosságok a gazdálkodó egység belső kontroll rendszerén belül (Hiv.: 27. bekezdés)
A182. A gazdálkodó egység belső kontroll rendszere minden egyes komponense értékelésének végrehajtása során * a könyvvizsgáló lehet, hogy azt állapítja meg, hogy a gazdálkodó egység bizonyos politikái egy komponensben nem megfelelők a gazdálkodó egység jellege és körülményei szempontjából. Egy ilyen megállapítás jelzés lehet, amely segít a könyvvizsgálónak kontrollhiányosságokat azonosítani. Ha a könyvvizsgáló azonosított egy vagy több kontrollhiányosságot, a könyvvizsgáló mérlegelheti azoknak a kontrollhiányosságoknak a hatását a további könyvvizsgálati eljárásoknak a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban való kialakítására.
A183. Ha a könyvvizsgáló azonosított egy vagy több kontrollhiányosságot, a 265. témaszámú nemzetközi könyvvizsgálati standard * előírja a könyvvizsgáló számára annak megállapítását, hogy a hiányosságok önmagukban vagy egymással kombinálva jelentős hiányosságot testesítenek-e meg. A könyvvizsgáló szakmai megítélést alkalmaz annak meghatározása során, hogy egy hiányosság jelentős kontrollhiányosságot jelent-e. *
| – Példák: – Az olyan körülmények, amelyek jelezhetik, hogy egy jelentős kontrollhiányosság áll fenn, olyan kérdéseket foglalnak magukban, mint: – Bármilyen nagyságrendű olyan csalás azonosítása, amelyben a felső szintű vezetés érintett; – Olyan azonosított belső folyamatok, amelyek nem megfelelők a belső audit által észlelt hiányosságok jelentése és kommunikálása tekintetében; – Korábban kommunikált hiányosságok, amelyeket a vezetés nem helyesbített időben; – Jelentős kockázatokra való válaszadás elmulasztása a vezetés részéről, például azáltal, hogy nem vezetnek be jelentős kockázatok feletti kontrollokat; valamint – Korábban kibocsátott pénzügyi kimutatások újramegállapítása * . |
A lényeges hibás állítás kockázatainak azonosítása és felmérése (Hiv.: 28‒37. bekezdések)
Miért azonosítja és méri fel a könyvvizsgáló a lényeges hibás állítás kockázatait
A184. A lényeges hibás állítás kockázatait a könyvvizsgáló elegendő és megfelelő könyvvizsgálati bizonyíték megszerzéséhez szükséges további könyvvizsgálati eljárások jellegének, ütemezésének és terjedelmének a meghatározása érdekében azonosítja és méri fel. Ez a bizonyíték lehetővé teszi, hogy a könyvvizsgáló a könyvvizsgálati kockázat elfogadhatóan alacsony szintje mellett véleményezze a pénzügyi kimutatásokat.
A185. A kockázatfelmérési eljárások végrehajtásával gyűjtött információkat könyvvizsgálati bizonyítékként használják a lényeges hibás állítás kockázatai azonosításának és felmérésének megalapozásához. Például, az azonosított kontrollok kialakításának értékelésekor és annak megállapításakor szerzett könyvvizsgálati bizonyítékokat, hogy ezeket a kontrollokat bevezették-e a kontrolltevékenységek komponensben, könyvvizsgálati bizonyítékként használják a kockázatfelmérés alátámasztása céljából. Az ilyen bizonyítékok emellett alapot nyújtanak a könyvvizsgáló számára, hogy átfogó válaszokat alakítson ki a lényeges hibás állítás felmért kockázatainak a kezelése céljából, valamint olyan további könyvvizsgálati eljárásoknak a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban való kialakításához és végrehajtásához, amelyeknek jellege, ütemezése és terjedelme reagál a lényeges hibás állítás állítások szintjén fennálló felmért kockázataira.
A lényeges hibás állítás kockázatainak az azonosítása (Hiv.: 28. bekezdés)
A186. A lényeges hibás állítás kockázatainak az azonosítását bármely kapcsolódó kontroll mérlegelése előtt hajtják végre (vagyis az eredendő kockázatra), és annak alapja a könyvvizsgáló előzetes mérlegelése az olyan hibás állításokra vonatkozóan, amelyek esetében észszerű lehetőség van mind arra, hogy bekövetkezzenek, mind pedig arra, hogy lényegesek legyenek, ha bekövetkeznének. *
A187. A lényeges hibás állítás kockázatainak azonosítása alapot nyújt a releváns állítások könyvvizsgáló általi meghatározásához is, amely segíti a jelentős ügyletcsoportok, számlaegyenlegek és közzétételek könyvvizsgáló általi meghatározását.
Állítások
Miért használ a könyvvizsgáló állításokat
A188. A lényeges hibás állítás kockázatainak azonosítása és felmérése során a könyvvizsgáló abból a célból használ állításokat, hogy mérlegelje a különböző típusú lehetséges hibás állításokat, amelyek felmerülhetnek. Az olyan állítások, amelyekre vonatkozóan a könyvvizsgáló lényeges hibás állítás kapcsolódó kockázatait azonosította, releváns állítások.
Az állítások felhasználása
A189. A lényeges hibás állítás kockázatainak azonosítása és felmérése során a könyvvizsgáló használhatja az állítások kategóriáit a lenti A192. bekezdés (a)‒(b) pontjaiban ismertetettek szerint, vagy kifejezheti azokat attól eltérően, feltéve, hogy a lent ismertetett minden szempont le van fedve.A könyvvizsgáló választhatja azt, hogy kombinálja az ügyletcsoportokra és eseményekre, valamint a kapcsolódó közzétételekre vonatkozó állításokat a számlaegyenlegekre és a kapcsolódó közzétételekre vonatkozó állításokkal.
A190. Azok az állítások, amelyeket a könyvvizsgáló felhasznál az esetlegesen felmerülő lehetséges hibás állítások különböző típusainak mérlegelése során, a következő kategóriákba eshetnek:
(a) A könyvvizsgált időszaki ügyletcsoportokra és eseményekre, valamint kapcsolódó közzétételekre vonatkozó állítások:
(i) Előfordulás – a rögzített vagy közzétett ügyletek és események felmerültek és az ilyen ügyletek és események a gazdálkodó egységgel kapcsolatosak.
(ii) Teljesség – minden ügyletet és eseményt, amelyet rögzíteni kellett volna, rögzítettek, és minden kapcsolódó közzétételt, amelyet bele kellett volna foglalni a pénzügyi kimutatásokba, belefoglaltak.
(iii) Pontosság – a rögzített ügyletekre és eseményekre vonatkozó összegeket és egyéb adatokat megfelelően rögzítették, és a kapcsolódó közzétételeket megfelelően értékelték és ismertették.
(iv) Elhatárolás – az ügyleteket és az eseményeket a helyes számviteli időszakban rögzítették.
(v) Besorolás – az ügyleteket és az eseményeket a megfelelő számlán rögzítették.
(vi) Bemutatás – az ügyleteket és eseményeket megfelelően összevonják vagy alábontják és egyértelműen ismertetik, és a kapcsolódó közzétételek relevánsak és érthetőek a vonatkozó pénzügyi beszámolási keretelvek követelményeinek összefüggésében.
(b) Az időszak végi számlaegyenlegekre és kapcsolódó közzétételekre vonatkozó állítások:
(i) Létezés – az eszközök, a kötelezettségek, és a tőkeérdekeltségek léteznek.
(ii) Jogok és kötelmek – a gazdálkodó egység birtokolja vagy ellenőrzi az eszközök feletti jogokat, valamint a kötelezettségek a gazdálkodó egység kötelmei.
(iii) Teljesség – minden eszközt, kötelezettséget és tőkeérdekeltséget, amelyet rögzíteni kellett volna, rögzítettek, és minden kapcsolódó közzétételt, amelyet bele kellett volna foglalni a pénzügyi kimutatásokba, belefoglaltak.
(iv) Pontosság, értékelés és felosztás – az eszközöket, a kötelezettségeket és a tőkeérdekeltségeket megfelelő összegben belefoglalták a pénzügyi kimutatásokba, és bármely bekövetkező értékelési vagy felosztási helyesbítést megfelelően rögzítettek, valamint a kapcsolódó közzétételeket megfelelően értékelték és ismertették.
(v) Besorolás – az eszközöket, a kötelezettségeket és a tőkeérdekeltségeket a megfelelő számlákon rögzítették.
(vi) Bemutatás – az eszközöket, a kötelezettségeket és a tőkeérdekeltségeket megfelelően összevonják vagy alábontják és egyértelműen ismertetik, és a kapcsolódó közzétételek relevánsak és érthetőek a vonatkozó pénzügyi beszámolási keretelvek követelményeinek összefüggésében.
A191. A fenti A190. bekezdés (a)‒(b) pontjaiban ismertetett állításokat az adott esetnek megfelelően módosítva a könyvvizsgáló használhatja az olyan hibás állítások különböző típusainak mérlegelése során is, amelyek nem közvetlenül a rögzített ügyletcsoportokhoz, eseményekhez vagy számlaegyenlegekhez kapcsolódó közzétételekben fordulhatnak elő.
| – Példa: – Példa ilyen közzétételre, amikor a vonatkozó pénzügyi beszámolási keretelvek a gazdálkodó egység számára előírhatják, hogy ismertesse a pénzügyi instrumentumokból eredő kockázatoknak való kitettségét, beleértve a kockázatok felmerülésének módját; a kockázatok kezelésének céljait, politikáit és folyamatait; valamint a kockázatok mérésére használt módszereket. |
Állami szektorbeli gazdálkodó egységekre jellemző szempontok
A192. Amikor állításokat tesznek az állami szektorbeli gazdálkodó egységek pénzügyi kimutatásaival kapcsolatban, az A190. bekezdés (a)‒(b) pontjaiban leírt állításokon felül a vezetés gyakran tehet olyan állítást, hogy az ügyleteket és eseményeket jogszabálynak, szabályozásnak vagy más kötelező érvényű előírásnak megfelelően hajtották végre. Az ilyen állítások beletartozhatnak a pénzügyi kimutatások könyvvizsgálatának hatókörébe.
A lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatai (Hiv.: 28. bekezdés (a) pont és 30. bekezdés)
Miért azonosítja és méri fel a könyvvizsgáló a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatait
A193. A könyvvizsgáló annak meghatározása céljából azonosítja a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatait, hogy a kockázatoknak átfogó hatásuk van-e a pénzügyi kimutatásokra, és ezért átfogó választ igényelnének-e a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban. *
A194. Emellett a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatai érinthetnek egyedi állításokat is, és ezeknek a kockázatoknak az azonosítása segíthet a könyvvizsgálónak a lényeges hibás állítás állítások szintjén fennálló kockázatainak a felmérésében, valamint az azonosított kockázatok kezelését célzó további könyvvizsgálati eljárások kialakításában.
A lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatainak azonosítása és felmérése
A195. A lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatai olyan kockázatokat jelentenek, amelyek a pénzügyi kimutatások egészére átfogóan vonatkoznak, és potenciálisan sok állítást érintenek. Az ilyen jellegű kockázatok nem szükségszerűen az ügyletcsoport, számlaegyenleg vagy közzététel szintjén lévő konkrét állításokkal azonosítható kockázatok (például a kontrollok vezetés általi felülírásának kockázata). Ezek inkább olyan körülményeket jelentenek, amelyek átfogóan növelhetik a lényeges hibás állítás állítások szintjén fennálló kockázatait. Annak a könyvvizsgáló általi értékelése, hogy az azonosított kockázatok átfogóan vonatkoznak-e a pénzügyi kimutatásokra, támogatja a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatainak könyvvizsgáló általi felmérését. Más esetekben lehet, hogy számos állítást szintén olyannak azonosítanak, mint amely fogékony a kockázatra, és így hatással lehet a lényeges hibás állítás állítások szintjén fennálló kockázatainak a könyvvizsgáló általi azonosítására és felmérésére.
| – Példa: – A gazdálkodó egység működése veszteséges és likviditási gondjai vannak, és rá van szorulva olyan finanszírozásra, amely még nem biztosított. Ilyen körülmények között a könyvvizsgáló meghatározhatja, hogy a vállalkozás folytatásának elvén alapuló számvitel a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatát idézi elő. Ebben a helyzetben a számviteli keretelveket szükséges lehet felszámolás alapú számvitel használatával alkalmazni, ami valószínűleg átfogóan érintené mindegyik állítást. |
A196. A lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatainak könyvvizsgáló általi azonosítását és felmérését befolyásolja a gazdálkodó egység belső kontroll rendszerének könyvvizsgáló általi megismerése, különösen a kontrollkörnyezetnek, a gazdálkodó egység kockázatfelmérési folyamatának és a gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamatának a könyvvizsgáló általi megismerése, továbbá:
– A 21. bekezdés (b) pont, 22. bekezdés (b) pont, 24. bekezdés (c) pont és 25. bekezdés (c) pont által előírt kapcsolódó értékelések végeredménye; és
– A 27. bekezdéssel összhangban azonosított bármely kontrollhiányosság.
Konkrétan, a pénzügyi kimutatások szintjén fennálló kockázatok felmerülhetnek a kontrollkörnyezetben lévő hiányosságokból, vagy külső eseményekből vagy körülményekből, mint például a hanyatló gazdasági feltételek.
A197. A csalásból eredő lényeges hibás állítás kockázatai különösen relevánsak lehetnek a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatainak a könyvvizsgáló általi mérlegelése szempontjából.
| – Példa: – A vezetéssel készített interjúkból a könyvvizsgáló megtudja, hogy a gazdálkodó egység pénzügyi kimutatásait hitelezőkkel való megbeszéléseken fogják használni, hogy további finanszírozást biztosítsanak a működő tőke fenntartásához. Ezért a könyvvizsgáló lehet, hogy azt állapítja meg, hogy az eredendő kockázatot érintő csalási kockázati tényezők miatt a hibás állításra való nagyobb fogékonyság áll fenn (vagyis a pénzügyi kimutatások lényeges hibás állításra való fogékonysága a beszámolókészítés során elkövetett csalás kockázata miatt, mint amilyen az eszközök és az árbevétel túlértékelése, valamint a kötelezettségek és ráfordítások alulértékelése a finanszírozás megszerzésének biztosítása céljából). |
A198. A kontrollkörnyezet és a belső kontroll rendszer egyéb komponenseinek könyvvizsgáló általi megismerése, beleértve a kapcsolódó értékeléseket, kétségeket vethet fel azzal kapcsolatban, hogy képes-e a könyvvizsgáló könyvvizsgálati bizonyítékot szerezni, amely megalapozza a könyvvizsgálói véleményt, vagy oka lehet a megbízástól való visszalépésnek, ahol vonatkozó jogszabály vagy szabályozás értelmében lehetséges a visszalépés.
| – Példák: – A gazdálkodó egység kontrollkörnyezete értékelésének eredményeképpen a könyvvizsgálónak kételyei vannak a gazdálkodó egység vezetésének tisztességességével kapcsolatban, amelyek olyan súlyosak lehetnek, hogy azok nyomán a könyvvizsgáló arra a következtetésre juthat, hogy a pénzügyi kimutatásokban lévő, a vezetés általi szándékos hibás nyilatkozatok kockázata olyan, hogy a könyvvizsgálatot nem lehet végrehajtani. – A gazdálkodó egység információs rendszere és kommunikációja értékelésének eredményeként a könyvvizsgáló megállapítja, hogy az IT-környezetben bekövetkező jelentős változásokat hiányosan kezelték, a vezetés és az irányítással megbízott személyek csekély felügyeletével. A könyvvizsgáló arra a következtetésre jut, hogy jelentős kételyek vannak a gazdálkodó egység számviteli nyilvántartásainak állapotával és megbízhatóságával kapcsolatban. Ilyen körülmények között a könyvvizsgáló határozhat úgy, hogy nem valószínű, hogy elegendő és megfelelő könyvvizsgálati bizonyíték áll majd rendelkezésre a pénzügyi kimutatásokra vonatkozó minősítés nélküli vélemény alátámasztásához. |
A199. A 705. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standard * állít fel követelményeket és nyújt útmutatást annak meghatározásához, szükség van-e arra, hogy a könyvvizsgáló korlátozott véleményt adjon ki, visszautasítsa a véleménynyilvánítást, vagy ahogy ezt bizonyos esetek megkövetelhetik, visszalépjen a megbízástól, ahol vonatkozó jogszabály vagy szabályozás lehetővé teszi a visszalépést.
Állami szektorbeli gazdálkodó egységekre jellemző szempontok
A200. Állami szektorbeli gazdálkodó egységek esetében kockázatoknak a pénzügyi kimutatások szintjén való azonosítása magában foglalhat a politikai légkörrel, a közérdekkel és programérzékenységgel kapcsolatos kérdéseket.
A lényeges hibás állítás állítások szintjén fennálló kockázatai (Hiv.: 28. bekezdés (b) pont)
| – A 2. sz. függelék tartalmaz példákat az eredendő kockázati tényezők összefüggésében olyan eseményekre és körülményekre, amelyek olyan hibás állításra való fogékonyságot jelezhetnek, amely lényeges lehet. |
A201. A lényeges hibás állítások olyan kockázatai, amelyek nem vonatkoznak átfogóan a pénzügyi kimutatásokra, a lényeges hibás állítás állítások szintjén fennálló kockázatai.
Releváns állítások és jelentős ügyletcsoportok, számlaegyenlegek és közzétételek (Hiv.: 29. bekezdés)
Miért határozzák meg a releváns állításokat és a jelentős ügyletcsoportokat, számlaegyenlegeket és közzétételeket
A202. A releváns állítások, valamint a jelentős ügyletcsoportok, számlaegyenlegek és közzétételek meghatározása alapozza meg a hatókörét a gazdálkodó egység információs rendszerének a könyvvizsgáló általi, a 25. bekezdés (a) ponttal összhangban előírt megismerésének. Ez a megismerés továbbá segíthet a könyvvizsgálónak azonosítani és felmérni a lényeges hibás állítás kockázatait (lásd A86).
Automatizált eszközök és technikák
A203. A könyvvizsgáló használhat automatizált technikákat a jelentős ügyletcsoportok, számlaegyenlegek és közzétételek azonosításának elősegítésére.
| – Példák: – Ügyletek teljes sokasága elemezhető automatizált eszközök és technikák használatával jellegük, forrásuk, nagyságuk és volumenük megismerése céljából. Automatizált technikák használatával a könyvvizsgáló például azonosíthatja, hogy az időszak végén nulla egyenlegű számla az időszak alatt végbement sok egymást kiegyenlítő ügyletből és naplótételből állt, jelezve, hogy a számlaegyenleg vagy ügyletcsoport jelentős lehet (például bérszámfejtési klíringszámla). Ugyanez a bérszámfejtési klíringszámla azonosíthat a vezetésnek (és más munkatársaknak) adott költségtérítéseket, ami jelentős közzététel lehetne amiatt, hogy ezek a kifizetések kapcsolt felek részére történtek. – Árbevételügyletek teljes sokasága áramlásainak elemzésével a könyvvizsgáló könnyebben azonosíthat egy jelentős ügyletcsoportot, amelyet korábban nem azonosítottak. |
Közzétételek, amelyek jelentősek lehetnek
A204. A jelentős közzétételek tartalmaznak mind mennyiségi, mind minőségi közzétételeket, amelyekre vonatkozóan van egy vagy több releváns állítás. Olyan közzétételekre vonatkozó példák, amelyeknek minőségi aspektusai vannak, és amelyeknek lehetnek releváns állításaik és ezért a könyvvizsgáló jelentősnek tekintheti azokat, magukban foglalnak az alábbiakkal kapcsolatos közzétételeket:
– Pénzügyi nehézséggel küzdő gazdálkodó egység likviditása és adósságkovenánsai.
– Események vagy körülmények, amelyek értékvesztés miatti veszteség megjelenítéséhez vezettek.
– A becslési bizonytalanság fő forrásai, beleértve a jövőre vonatkozó feltételezéseket.
– A számviteli politika változásának jellege, és a vonatkozó pénzügyi beszámolási keretelvek által előírt egyéb releváns közzétételek, amikor például új pénzügyi beszámolási követelményeknek várhatóan jelentős hatása van a gazdálkodó egység pénzügyi helyzetére és pénzügyi teljesítményére.
– Részvényalapú kifizetési megállapodások, beleértve az arra vonatkozó információkat, hogy hogyan történt bármilyen megjelenített összeg meghatározása, valamint egyéb releváns közzétételeket.
– Kapcsolt felek és kapcsolt felekkel folytatott ügyletek.
– Érzékenységi elemzés, beleértve a gazdálkodó egység értékelési technikáiban használt feltételezések változásainak hatásait, amelyek célja, hogy lehetővé tegye a felhasználók számára egy adott rögzített vagy közzétett összeg mögöttes értékelési bizonytalanságának megértését.
A lényeges hibás állítás kockázatainak felmérése az állítások szintjén
Eredendő kockázat felmérése (Hiv.: 31‒33. bekezdések)
Hibás állítás valószínűségének és nagyságrendjének felmérése (Hiv.:31. bekezdés)
Miért méri fel a könyvvizsgáló a hibás állítás valószínűségét és nagyságrendjét
A205. A könyvvizsgáló azért méri fel a hibás állítás valószínűségét és nagyságrendjét a lényeges hibás állítás azonosított kockázataira vonatkozóan, mert egy hibás állítás felmerülésének valószínűsége, valamint a hibás állítás felmerülése esetén a potenciális hibás állítás nagyságrendje kombinációjának a jelentősége határozza meg, hogy az eredendő kockázat spektrumán hol mérik fel az azonosított kockázatot, ami információt nyújt a kockázat kezelését célzó további könyvvizsgálati eljárások könyvvizsgáló általi kialakításához.
A206. A lényeges hibás állítás azonosított kockázataihoz kapcsolódó eredendő kockázat felmérése segít a könyvvizsgálónak a jelentős kockázatok meghatározásában is. A könyvvizsgáló azért határozza meg a jelentős kockázatokat, mert a jelentős kockázatokra konkrét válaszok vannak előírva a 330. témaszámú nemzetközi könyvvizsgálati standarddal és egyéb nemzetközi könyvvizsgálati standardokkal összhangban.
A207. Az eredendő kockázati tényezők befolyásolják a hibás állítás valószínűségének és nagyságrendjének könyvvizsgáló általi felmérését a lényeges hibás állítás állítások szintjén fennálló azonosított kockázataira vonatkozóan. Minél nagyobb mértékben fogékony egy ügyletcsoport, számlaegyenleg vagy közzététel a lényeges hibás állításra, valószínűleg annál magasabb lesz az eredendő kockázatra vonatkozó felmérés. Annak mérlegelése, hogy az eredendő kockázati tényezők milyen mértékben befolyásolják egy állítás hibás állításra való fogékonyságát, segít a könyvvizsgálónak megfelelően felmérni az eredendő kockázatot a lényeges hibás állítás állítások szintjén fennálló kockázataira vonatkozóan, valamint precízebb választ kialakítani az ilyen kockázatra.
Az eredendő kockázat spektruma
A208. Az eredendő kockázat felmérésekor a könyvvizsgáló szakmai megítélést alkalmaz a hibás állítás valószínűsége és nagyságrendje kombinációja jelentőségének meghatározása során.
A209. A felmért eredendő kockázat, amely a lényeges hibás állítás állítások szintjén fennálló egy adott kockázatával kapcsolatos, az eredendő kockázat spektrumán az alacsonyabbtól a magasabb felé tartó tartományon belüli megítélést fejez ki. Az azzal kapcsolatos megítélés, hogy a tartományon belül hova mérik fel az eredendő kockázatot, a gazdálkodó egység jellege, mérete és összetettsége alapján változó lehet, és figyelembe veszi a hibás állítás felmért valószínűségét és nagyságrendjét és az eredendő kockázati tényezőket.
A210. Egy hibás állítás valószínűségének mérlegelése során a könyvvizsgáló az eredendő kockázati tényezők alapján mérlegeli annak a lehetőségét, hogy egy hibás állítás felmerülhet.
A211. Egy hibás állítás nagyságrendjének mérlegelése során a könyvvizsgáló a lehetséges hibás állítás minőségi és mennyiségi aspektusait veszi figyelembe (vagyis az ügyletcsoportokkal, számlaegyenlegekkel vagy közzétételekkel kapcsolatos állításokban lévő hibás állításokat lényegesnek ítélhetnek méret, jelleg vagy körülmények miatt).
A212. A könyvvizsgáló egy lehetséges hibás állítás valószínűsége és nagyságrendje kombinációjának jelentőségét használja annak meghatározása során, hogy az eredendő kockázatot hova méri fel az eredendő kockázat spektrumán (vagyis a tartományban). Minél magasabb a valószínűség és nagyságrend kombinációja, annál magasabb az eredendő kockázat felmérése; minél alacsonyabb a valószínűség és nagyságrend kombinációja, annál alacsonyabb az eredendő kockázat felmérése.
A213. Egy kockázatnak az eredendő kockázat spektrumán magasabbra való felméréséhez nem szükséges, hogy a nagyságrendet és a valószínűséget egyaránt magasnak mérjék fel. Ehelyett a lényeges hibás állítás nagyságrendjének és valószínűségének az eredendő kockázat spektrumán lévő metszete fogja meghatározni, hogy a felmért eredendő kockázat magasabb vagy alacsonyabb az eredendő kockázat spektrumán. Egy magasabb eredendő kockázati felmérés eredhet a valószínűség és nagyságrend különböző kombinációiból is, például egy magasabb eredendő kockázati felmérés adódhatna egy alacsonyabb valószínűségből és egy nagyon magas nagyságrendből.
A214. A lényeges hibás állítás kockázataira való válaszadásra vonatkozó megfelelő stratégiák kidolgozásának érdekében a könyvvizsgáló megjelölheti a lényeges hibás állítás kockázatait kategóriákon belül az eredendő kockázat spektruma mentén, azok eredendő kockázati felmérése alapján. Ezek a kategóriák többféle módon írhatók le. A kategóriákba sorolás alkalmazott módszerétől függetlenül az eredendő kockázat könyvvizsgáló általi felmérése akkor megfelelő, amikor a lényeges hibás állítás állítások szintjén fennálló azonosított kockázatainak a kezelését célzó további könyvvizsgálati eljárások kialakítása és végrehajtása megfelelően reagál az eredendő kockázat felmérésére és a felmérés okaira.
A lényeges hibás állítás állítások szintjén fennálló átfogó kockázatai (Hiv.: 31. bekezdés (b) pont)
A215. A lényeges hibás állítás állítások szintjén fennálló azonosított kockázatainak felmérése során a könyvvizsgáló arra a következtetésre juthat, hogy a lényeges hibás állítás egyes kockázatai átfogóbban vonatkoznak a pénzügyi kimutatások egészére, és potenciálisan sok állítást érintenek, amely esetben a könyvvizsgáló frissítheti a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatainak azonosítását.
A216. Olyan körülmények között, amikor számos állításra gyakorolt átfogó hatásuk miatt a lényeges hibás állítás kockázatait a pénzügyi kimutatások szintjén fennálló kockázatokként azonosítják, és azok konkrét állításokkal azonosíthatók, a könyvvizsgáló számára előírás ezeknek a kockázatoknak a figyelembevétele a lényeges hibás állítás állítások szintjén fennálló kockázataira vonatkozó eredendő kockázat felmérésekor.
Állami szektorbeli gazdálkodó egységekre jellemző szempontok
A217. Szakmai megítélésnek a lényeges hibás állítás kockázatának felméréséhez való alkalmazása során az állami szektorban dolgozó könyvvizsgálók mérlegelhetik a szabályozások és irányelvek összetettségét, valamint a hatóságoknak való meg nem felelés kockázatait.
Jelentős kockázatok (Hiv.: 32. bekezdés)
Miért határozzák meg a jelentős kockázatokat és a könyvvizsgálatra való kihatásokat
A218. * A jelentős kockázatok meghatározása lehetővé teszi a könyvvizsgáló számára, hogy nagyobb figyelmet fordítson az eredendő kockázat spektrumának felső végénél lévő kockázatokra, bizonyos előírt válaszok végrehajtásán keresztül, beleértve a következőket:
– A jelentős kockázatokat kezelő kontrollok azonosítása előírás a 26. bekezdés (a) pont (i) alponttal összhangban, egy annak értékelésére vonatkozó követelmény mellett a 26. bekezdés (d) pont szerint, hogy a kontrollt hatékonyan alakították-e ki és vezették-e be.
– A 330. témaszámú nemzetközi könyvvizsgálati standard előírja, hogy a jelentős kockázatokat kezelő kontrollokat a tárgyidőszakban teszteljék (amikor a könyvvizsgáló támaszkodni szándékozik az ilyen kontrollok működési hatékonyságára), valamint hogy olyan alapvető vizsgálati eljárásokat alakítsanak ki és hajtsanak végre, amelyek konkrétan reagálnak az azonosított jelentős kockázatra. *
– A 330. témaszámú nemzetközi könyvvizsgálati standard előírja a könyvvizsgáló számára, hogy annál meggyőzőbb könyvvizsgálati bizonyítékot szerezzen, minél magasabb a kockázat könyvvizsgáló általi felmérése. *
– A 260. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standard előírja az irányítással megbízott személyekkel való kommunikációt a könyvvizsgáló által azonosított jelentős kockázatokkal kapcsolatban. *
– A 701. témaszámú nemzetközi könyvvizsgálati standard előírja a könyvvizsgáló számára, hogy vegye figyelembe a jelentős kockázatokat azoknak a kérdéseknek a meghatározásakor, amelyek jelentős könyvvizsgálói figyelmet igényeltek, amelyek olyan kérdések, amelyek kulcsfontosságú könyvvizsgálati kérdések lehetnek. *
– A könyvvizsgálati dokumentációnak a megbízásért felelős partner által a könyvvizsgálat megfelelő szakaszaiban, időben történő áttekintése lehetővé teszi, hogy a jelentős kérdéseket, beleértve a jelentős kockázatokat, a megbízásért felelős partner megelégedésére időben, a könyvvizsgálói jelentés időpontjában vagy azt megelőzően megoldják. *
– A 600. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standard előírja a csoportkönyvvizsgáló számára, hogy értékelje a további könyvvizsgálati eljárások kialakításának és végrehajtásának megfelelőségét az olyan területek esetében, ahol magasabbak a felmért kockázatai annak, hogy a csoportra vonatkozó pénzügyi kimutatások lényeges hibás állítást tartalmaznak, vagy a jelentős kockázatú területeken, amelyekre vonatkozóan a komponens-könyvvizsgáló állapítja meg a végrehajtandó további könyvvizsgálati eljárásokat. *
Jelentős kockázatok meghatározása
A219. A jelentős kockázatok meghatározása során a könyvvizsgáló először lehet, hogy a lényeges hibás állítás azon felmért kockázatait azonosítja, amelyeket az eredendő kockázat spektrumán magasra mértek fel, hogy megalapozza annak mérlegelését, hogy mely kockázatok lehetnek a felső végéhez közel. Az eredendő kockázat spektrumának felső végéhez közel eső elhelyezkedés gazdálkodó egységenként különbözni fog, és nem lesz szükségszerűen ugyanaz egy gazdálkodó egységnél időszakról időszakra. Függhet annak a gazdálkodó egységnek a jellegétől és körülményeitől, amelyre vonatkozóan a kockázatot felmérik.
A220. Annak meghatározása, hogy a lényeges hibás állítás felmért kockázatai közül melyek vannak közel az eredendő kockázat spektrumának felső végéhez, és így jelentős kockázatok, szakmai megítélés kérdése, kivéve, ha a kockázat olyan típusú, amely jelentős kockázatként kezelendőnek van meghatározva egy másik nemzetközi könyvvizsgálati standard követelményeivel összhangban. A 240. témaszámú nemzetközi könyvvizsgálati standard ad további követelményeket és útmutatást a csalásból eredő lényeges hibás állítás kockázatainak azonosítására és felmérésére vonatkozóan. *
| – Példa: – Egy szupermarket kiskereskedő pénzeszközei vonatkozásában rendszerint a lehetséges hibás állítás nagy valószínűségét határoznák meg (a pénzeszközök elsikkasztásának kockázata miatt), a nagyságrend azonban jellemzően nagyon alacsony lenne (az üzletekben kezelt készpénz alacsony szintje miatt). Ennek a két tényezőnek a kombinációja az eredendő kockázat spektrumán nem valószínű, hogy azt eredményezné, hogy a pénzeszközök létezését jelentős kockázatként határozzák meg. – Egy gazdálkodó egység tárgyalásokat folytat egy üzleti szegmens értékesítéséről. A könyvvizsgáló mérlegeli a goodwill értékvesztésére gyakorolt hatást, és lehet, hogy azt állapítja meg, hogy nagyobb a valószínűsége a lehetséges hibás állításnak és nagyobb a nagyságrend a szubjektivitás, a bizonytalanság és a vezetés elfogultságára való fogékonyság eredendő kockázati tényezői vagy az egyéb csalási kockázati tényezők hatása miatt. Ez azt eredményezheti, hogy a goodwill értékvesztését jelentős kockázatként határozzák meg. |
A221. Az eredendő kockázat felmérése során a könyvvizsgáló figyelembe veszi az eredendő kockázati tényezők viszonylagos hatásait is. Minél alacsonyabb az eredendő kockázati tényezők hatása, valószínűleg annál alacsonyabb a felmért kockázat. A lényeges hibás állítás olyan kockázatai, amelyeket magasabb eredendő kockázatúnak mérhetnek fel és amelyeket ezért lehet, hogy jelentős kockázatként határoznak meg, olyan kérdésekből adódhatnak, mint az alábbiak:
– Olyan ügyletek, amelyekre vonatkozóan több elfogadható számviteli kezelés van, úgy, hogy ez szubjektivitással jár.
– Számviteli becslések, amelyek esetében magas a becslési bizonytalanság, vagy amelyekhez összetett modelleket használnak.
– A számlaegyenlegek alátámasztását szolgáló adatgyűjtés és adatfeldolgozás összetettsége.
– Összetett számításokkal járó számlaegyenlegek vagy mennyiségi közzétételek.
– Számviteli elvek, amelyek eltérő értelmezésnek lehetnek kitéve.
– A gazdálkodó egység üzleti tevékenységének olyan változásai, amelyek a számviteli elszámolások változásával járnak, például egyesülések és felvásárlások.
Kockázatok, amelyekre vonatkozóan az alapvető vizsgálati eljárások önmagukban nem nyújtanak elegendő és megfelelő könyvvizsgálati bizonyítékot (Hiv.: 33. bekezdés)
Miért előírás az olyan kockázatok azonosítása, amelyekre vonatkozóan az alapvető vizsgálati eljárások önmagukban nem nyújtanak elegendő és megfelelő könyvvizsgálati bizonyítékot
A222. A lényeges hibás állítás egy kockázatának, valamint az ezt a kockázatot kezelő kontrolltevékenységeknek a jellege miatt bizonyos körülmények között az elegendő és megfelelő könyvvizsgálati bizonyíték megszerzésének egyetlen módja a kontrollok működési hatékonyságának tesztelése. Ennek megfelelően előírás a könyvvizsgáló számára, hogy azonosítson bármilyen ilyen kockázatot a lényeges hibás állítás állítások szintjén fennálló kockázatainak kezelésére szolgáló további könyvvizsgálati eljárásoknak a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban való kialakítására és végrehajtására vonatkozó kihatások miatt.
A223. A 26. bekezdés (a) pont (iii) alpont előírja az olyan kontrollok azonosítását is, amelyek olyan kockázatokat kezelnek, amelyekre vonatkozóan az alapvető vizsgálati eljárások önmagukban nem nyújtanak elegendő és megfelelő könyvvizsgálati bizonyítékot, mert a 330. témaszámú nemzetközi könyvvizsgálati standarddal * összhangban a könyvvizsgáló számára előírás az ilyen kontrollok tesztelésének kialakítása és végrehajtása.
Azoknak a kockázatoknak a meghatározása, amelyekre vonatkozóan az alapvető vizsgálati eljárások önmagukban nem nyújtanak elegendő és megfelelő könyvvizsgálati bizonyítékot
A224. Ha a rutinszerű üzleti ügyletek nagymértékben automatizált feldolgozás tárgyát képezik, ahol a manuális beavatkozás nagyon kevés vagy nincs is, akkor előfordulhat, hogy nem lehet kizárólag alapvető vizsgálati eljárásokat végrehajtani a kockázattal kapcsolatban. Ez lehet a helyzet olyan körülmények között, amikor a gazdálkodó egység adatainak jelentős részét csak elektronikus formában hozzák létre, rögzítik, dolgozzák fel vagy foglalják jelentésbe, mint például egy információs rendszerben, amely nagyfokú integrációval jár az IT-alkalmazásaiban. Ilyen esetekben:
– a könyvvizsgálati bizonyíték lehet, hogy csak elektronikus formában áll rendelkezésre, és elegendősége és megfelelősége rendszerint a kontrolloknak a bizonyíték pontosságával és teljességével kapcsolatos hatékonyságától függ;
– az adatok nem megfelelő módon történő létrehozása vagy módosítása előfordulásának és fel nem tárásának nagyobb lehet az esélye, ha a megfelelő kontrollok nem működnek hatékonyan.
| – Példa: – Jellemzően nem lehetséges elegendő és megfelelő könyvvizsgálati bizonyítékot szerezni egy távközlési gazdálkodó egység árbevételeire vonatkozóan önmagukban alapvető vizsgálati eljárások alapján. Ennek az az oka, hogy a hívási vagy adattevékenység bizonyítéka nem létezik megfigyelhető formában. Ehelyett jellemzően kiterjedt kontrollteszteléseket hajtanak végre annak megállapítása céljából, hogy a hívások indítását és befejezését, valamint az adattevékenységet helyesen jegyzik fel (például egy hívás idejét vagy egy letöltés mennyiségét) és helyesen rögzítik a gazdálkodó egység számlázási rendszerében. |
A225. Az 540. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standard további útmutatást ad számviteli becslésekre vonatkozóan olyan kockázatokkal kapcsolatban, amelyek esetében alapvető vizsgálati eljárások önmagukban nem nyújtanak elegendő és megfelelő könyvvizsgálati bizonyítékot. * Számviteli becslések vonatkozásában ez lehet, hogy nem korlátozódik automatizált feldolgozásra, hanem vonatkozhat összetett modellekre is.
Az ellenőrzési kockázat felmérése (Hiv.: 34. bekezdés)
A226. A könyvvizsgálónak a kontrollok működési hatékonyságának tesztelésére vonatkozó tervei azon a várakozáson alapulnak, hogy a kontrollok hatékonyan működnek, és ez képezi majd az alapját az ellenőrzési kockázat könyvvizsgáló általi felmérésének. A kontrollok működési hatékonyságára vonatkozó kezdeti várakozás alapja a kontrolltevékenységek komponensben lévő azonosított kontrollok kialakításának könyvvizsgáló általi értékelése és bevezetésük könyvvizsgáló általi megállapítása. Miután a könyvvizsgáló tesztelte a kontrollok működési hatékonyságát a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban, a könyvvizsgáló meg tudja majd erősíteni a kontrollok működési hatékonyságával kapcsolatos kezdeti várakozást. Ha a kontrollok nem működnek hatékonyan úgy, ahogy várták, akkor a könyvvizsgálónak szükséges lesz felülvizsgálnia az ellenőrzési kockázat felmérését a 37. bekezdéssel összhangban.
A227. Az ellenőrzési kockázat könyvvizsgáló általi felmérése különböző módokon hajtható végre az előnyben részesített könyvvizsgálati technikáktól vagy módszertanoktól függően, és különböző módokon fejezhető ki.
A228. Ha a könyvvizsgáló tervezi a kontrollok működési hatékonyságának tesztelését, szükséges lehet a kontrollok egy kombinációját tesztelni a könyvvizsgáló azon várakozásának megerősítése céljából, hogy a kontrollok hatékonyan működnek. A könyvvizsgáló tervezheti mind a közvetlen, mind a közvetett kontrollok tesztelését, beleértve az általános IT-kontrollokat, és ha így van, akkor a kontrollok kombinált várható hatásának figyelembevételét az ellenőrzési kockázat felmérésekor. Amennyiben a tesztelendő kontroll nem kezeli teljeskörűen a felmért eredendő kockázatot, a könyvvizsgáló meghatározza a könyvvizsgálati kockázat elfogadhatóan alacsony szintre való csökkentését célzó további könyvvizsgálati eljárások kialakítására vonatkozó kihatásokat.
A229. Amikor a könyvvizsgáló egy automatizált kontroll működési hatékonyságának tesztelését tervezi, a könyvvizsgáló tervezheti az adott automatizált kontroll folyamatos működését alátámasztó releváns általános IT-kontrollok működési hatékonyságának tesztelését is az IT használatából eredő kockázatok kezelése céljából, valamint, hogy megalapozza a könyvvizsgáló várakozását, hogy az automatizált kontroll hatékonyan működött az időszak egészében. Amikor a könyvvizsgáló várakozása szerint a kapcsolódó általános IT-kontrollok nem hatékonyak, ez a megállapítás befolyásolhatja az állítások szintjén fennálló ellenőrzési kockázat könyvvizsgáló általi felmérését, és szükséges lehet, hogy a könyvvizsgáló további könyvvizsgálati eljárásai magukban foglaljanak alapvető vizsgálati eljárásokat az IT használatából eredő vonatkozó kockázatok kezelése céljából. A 330. témaszámú nemzetközi könyvvizsgálati standard nyújt további útmutatást azokkal az eljárásokkal kapcsolatban, amelyeket a könyvvizsgáló ilyen körülmények között végrehajthat. *
A kockázatfelmérési eljárásokból szerzett könyvvizsgálati bizonyítékok értékelése (Hiv.: 35. bekezdés)
Miért értékeli a könyvvizsgáló a kockázatfelmérési eljárásokból származó könyvvizsgálati bizonyítékokat
A230. A kockázatfelmérési eljárásokból szerzett könyvvizsgálati bizonyítékok alapozzák meg a lényeges hibás állítás kockázatainak azonosítását és felmérését. Ez nyújt alapot a lényeges hibás állítás állítások szintjén fennálló felmért kockázataira reagáló további könyvvizsgálati eljárások jellegének, ütemezésének és terjedelmének könyvvizsgáló általi kialakításához a 330. témaszámú nemzetközi könyvvizsgálati standarddal összhangban. Ennek megfelelően, a kockázatfelmérési eljárásokból szerzett könyvvizsgálati bizonyítékok alapot nyújtanak az akár csalásból, akár hibából eredő lényeges hibás állításnak a pénzügyi kimutatások és az állítások szintjén fennálló kockázatainak az azonosításához és felméréséhez.
A könyvvizsgálati bizonyítékok értékelése
A231. A kockázatfelmérési eljárásokból származó könyvvizsgálati bizonyítékok egyaránt magukban foglalnak a vezetés állításait alátámasztó és megerősítő információkat, és bármely olyan információt, amely cáfolja ezeket az állításokat. *
Szakmai szkepticizmus
A232. A kockázatfelmérési eljárásokból származó könyvvizsgálati bizonyítékok értékelése során a könyvvizsgáló mérlegeli, hogy elegendő ismeretet szereztek-e a gazdálkodó egységről és környezetéről, a vonatkozó pénzügyi beszámolási keretelvekről, valamint a gazdálkodó egység belső kontroll rendszeréről ahhoz, hogy azonosítani tudják a lényeges hibás állítás kockázatait, továbbá, hogy van-e bármilyen bizonyíték, amely ellentmondó, ami lényeges hibás állítás kockázatát jelezheti.
Ügyletcsoportok, számlaegyenlegek és közzétételek, amelyek nem jelentősek, de amelyek lényegesek (Hiv.: 36. bekezdés)
A233. Ahogyan azt a 320. témaszámú nemzetközi könyvvizsgálati standard * kifejti, a lényegességet és a könyvvizsgálati kockázatot figyelembe veszik az ügyletcsoportokban, számlaegyenlegekben és közzétételekben lévő lényeges hibás állítás kockázatainak azonosítása és felmérése során . A lényegesség könyvvizsgáló általi meghatározása szakmai megítélés kérdése, és hatással van rá az, hogy a könyvvizsgáló hogyan érzékeli a pénzügyi kimutatások felhasználóinak pénzügyi információ iránti igényét. * A jelen nemzetközi könyvvizsgálati standard és a 330. témaszámú nemzetközi könyvvizsgálati standard 18. bekezdésének alkalmazásában az ügyletcsoportok, számlaegyenlegek vagy közzétételek lényegesek, ha a velük kapcsolatos információk kihagyása, azokban hibás állítás szerepeltetése vagy azok elfedése észszerű várakozások szerint befolyásolhatná a felhasználóknak a pénzügyi kimutatások egésze alapján hozott gazdasági döntéseit.
A234. Lehetnek olyan ügyletcsoportok, számlaegyenlegek vagy közzétételek, amelyek lényegesek, de amelyeket nem határoztak meg jelentős ügyletcsoportokként, számlaegyenlegekként vagy közzétételekként (vagyis nem azonosítottak releváns állításokat).
| – Példa: – Lehet, hogy a gazdálkodó egységnek van a felső szintű vezető kompenzációjával kapcsolatos közzététele, amelyre vonatkozóan a könyvvizsgáló nem azonosította a lényeges hibás állítás kockázatát. A könyvvizsgáló azonban határozhat úgy, hogy az A233. bekezdésben lévő szempontok alapján ez a közzététel lényeges. |
A235. Az olyan ügyletcsoportok, számlaegyenlegek vagy közzétételek kezelését célzó könyvvizsgálati eljárásokkal, amelyek lényegesek, de nincsenek jelentősként meghatározva, a 330. témaszámú nemzetközi könyvvizsgálati standard foglalkozik. * Amikor egy ügyletcsoportot, számlaegyenleget vagy közzétételt a 29. bekezdésben előírtak szerint jelentősként határoznak meg, az adott ügyletcsoport, számlaegyenleg vagy közzététel egyben lényeges ügyletcsoport, számlaegyenleg vagy közzététel a 330. témaszámú nemzetközi könyvvizsgálati standard 18. bekezdése alkalmazásában.
A kockázatfelmérés felülvizsgálata (Hiv.: 37. bekezdés)
A236. A könyvvizsgálat során új vagy egyéb információ juthat a könyvvizsgáló tudomására, amely jelentősen eltér attól az információtól, amelyen a kockázatfelmérés alapult.
| – Példa: – A gazdálkodó egység kockázatfelmérése alapulhat azon a várakozáson, hogy bizonyos kontrollok hatékonyan működnek. Az ilyen kontrollok tesztelésekor a könyvvizsgáló könyvvizsgálati bizonyítékot szerezhet arról, hogy a kontrollok nem működtek hatékonyan releváns időpontokban a könyvvizsgálat során. Hasonló módon, az alapvető vizsgálati eljárások végrehajtásakor a könyvvizsgáló olyan összegű vagy gyakoriságú hibás állításokat tárhat fel, amelyek nagyobbak annál a mértéknél, amely összhangban van a könyvvizsgáló kockázatfelmérésével. Ilyen körülmények között a kockázatfelmérés lehet, hogy nem tükrözi megfelelően a gazdálkodó egység valódi körülményeit és a további tervezett könyvvizsgálati eljárások lehet, hogy nem lesznek hatékonyak a lényeges hibás állítások feltárásában. A 330. témaszámú nemzetközi könyvvizsgálati standard 16. és 17. bekezdései adnak további útmutatást a kontrollok működési hatékonyságának értékelésével kapcsolatban. |
A237. Ismétlődő könyvvizsgálatok esetében bizonyos dokumentációt tovább lehet vinni, szükség szerint frissítve annak érdekében, hogy tükrözze a gazdálkodó egység üzletmenetében vagy folyamataiban bekövetkezett változásokat.
A238. A 230. témaszámú nemzetközi könyvvizsgálati standard megjegyzi, hogy – egyéb megfontolások mellett – lehetséges ugyan, hogy nincs egyetlen módja a könyvvizsgáló által gyakorolt szakmai szkepticizmus dokumentálásának, a könyvvizsgálati dokumentáció ennek ellenére bizonyítékot nyújthat arra, hogy a könyvvizsgáló szakmai szkepticizmussal jár el. * Például, amikor a kockázatfelmérési eljárásokból szerzett könyvvizsgálati bizonyítékok egyaránt tartalmaznak a vezetés állításait megerősítő és cáfoló bizonyítékokat, a dokumentáció tartalmazhatja azt, hogy a könyvvizsgáló hogyan értékelte ezeket a bizonyítékokat, beleértve az annak értékelése során alkalmazott szakmai megítéléseket, hogy a könyvvizsgálati bizonyítékok megfelelő alapot nyújtanak-e a lényeges hibás állítás kockázatainak könyvvizsgáló általi azonosításához és felméréséhez.Példák a jelen nemzetközi könyvvizsgálati standard egyéb követelményeire, amelyekre vonatkozóan a dokumentáció bizonyítékát nyújthatja a szakmai szkepticizmus könyvvizsgáló általi gyakorlásának:
– a 13. bekezdés, amely előírja a könyvvizsgáló számára a kockázatfelmérési eljárások olyan módon való kialakítását és végrehajtását, amely nem elfogult olyan könyvvizsgálati bizonyíték szerzése irányában, amely megerősítheti kockázatok fennállását, vagy olyan könyvvizsgálati bizonyíték kizárása irányában, amely cáfolhatja kockázatok fennállását;
– a 17. bekezdés, amely a megbízásért felelős munkacsoport kulcsfontosságú tagjainak megbeszélését írja elő a vonatkozó pénzügyi beszámolási keretelvek alkalmazásáról, valamint a gazdálkodó egység pénzügyi kimutatásainak lényeges hibás állításra való fogékonyságáról;
– a 19. bekezdés (b) pontja és a 20. bekezdés, amelyek előírják a könyvvizsgáló számára, hogy ismerje meg a gazdálkodó egység számviteli politikájában bekövetkezett bármilyen változás okait, valamint értékelje, hogy a gazdálkodó egység számviteli politikái megfelelők-e és összhangban vannak-e a vonatkozó pénzügyi beszámolási keretelvekkel;
– a 21. bekezdés (b) pontja, a 22. bekezdés (b) pontja, a 23. bekezdés (b) pontja, a 24. bekezdés (c) pontja, a 25. bekezdés (c) pontja, a 26. bekezdés (d) pontja és a 27. bekezdés, amelyek előírják a könyvvizsgáló számára, hogy az előírt megismerés alapján értékelje, hogy a gazdálkodó egység belső kontroll rendszerének komponensei megfelelnek-e a gazdálkodó egység körülményeinek, figyelembe véve a gazdálkodó egység jellegét és összetettségét, valamint állapítsa meg, hogy azonosítottak-e egy vagy több kontrollhiányosságot;
– a 35. bekezdés, amely előírja a könyvvizsgáló számára, hogy vegyen figyelembe a kockázatfelmérési eljárásokból szerzett minden könyvvizsgálati bizonyítékot, akár megerősítő, akár ellentmondó a vezetés által tett állítások szempontjából, továbbá értékelje, hogy a kockázatfelmérési eljárásokból szerzett könyvvizsgálati bizonyítékok megfelelő alapot nyújtanak-e a lényeges hibás állítás kockázatainak azonosításához és felméréséhez; valamint
– a 36. bekezdés, amely előírja a könyvvizsgáló számára, hogy értékelje, ha értelmezhető, hogy a könyvvizsgáló azon megállapítása, hogy nincsenek lényeges hibás állítás kockázatai egy lényeges ügyletcsoportra, számlaegyenlegre vagy közzétételre vonatkozóan, továbbra is megfelelő-e.
Méretre szabhatóság
A239. Az, hogy milyen módon dokumentálják a 38. bekezdés követelményeit, a könyvvizsgáló által határozandó meg szakmai megítélést alkalmazva.
A240. Részletesebb dokumentálás lehet szükséges az alkalmazott nehéz megítélések indoklásának alátámasztására, amely elegendő ahhoz, hogy egy tapasztalt könyvvizsgáló, akinek nincs korábbi tapasztalata az adott könyvvizsgálattal, megértse a végrehajtott könyvvizsgálati eljárások jellegét, ütemezését és terjedelmét,.
A241. Kevésbé összetett gazdálkodó egységek esetében a dokumentálás formája és terjedelme egyszerű és viszonylag tömör lehet. A könyvvizsgáló dokumentációjának formáját és terjedelmét befolyásolja a gazdálkodó egység és belső kontroll rendszerének jellege, mérete és összetettsége, a gazdálkodó egységtől származó információk rendelkezésre állása, valamint a könyvvizsgálat során alkalmazott könyvvizsgálati módszertan és technológia. Nem szükséges teljes egészében dokumentálni a könyvvizsgáló gazdálkodó egységről szerzett ismereteit és az ehhez kapcsolódó kérdéseket. Az ismeretek könyvvizsgáló által dokumentált legfőbb elemei * azokat foglalhatják magukban, amelyekre a könyvvizsgáló a lényeges hibás állítás kockázatainak felmérését alapozta. A könyvvizsgáló számára azonban nem előírás minden egyes olyan eredendő kockázati tényező dokumentálása, amelyet figyelembe vettek a lényeges hibás állítás állítások szintjén fennálló kockázatainak azonosítása és felmérése során.
| – Példa: – Kevésbé összetett gazdálkodó egységek könyvvizsgálata során a könyvvizsgálati dokumentációt beépíthetik a könyvvizsgálónak az átfogó stratégiával és könyvvizsgálati tervvel kapcsolatos dokumentációjába. * Hasonlóképpen, például a kockázatfelmérés eredményeit dokumentálhatják külön vagy a további eljárások könyvvizsgáló általi dokumentálásának részeként is. * |
(Hiv.: A61‒A67. bekezdések)
Szempontok a gazdálkodó egység és üzleti modellje megismeréséhez
Ez a függelék kifejti a gazdálkodó egység üzleti modelljének céljait és hatókörét, és példákat ad olyan kérdésekre, amelyeket a könyvvizsgáló mérlegelhet a gazdálkodó egység olyan tevékenységeinek megismerése során, amelyeket az üzleti modell tartalmazhat. A gazdálkodó egység üzleti modelljének, valamint annak a könyvvizsgáló általi megismerése, hogy hogyan befolyásolják az üzleti modellt a gazdálkodó egység üzleti stratégiája és üzleti céljai, segítségére lehet a könyvvizsgálónak az olyan üzleti kockázatok azonosításában, amelyek hatással lehetnek a pénzügyi kimutatásokra. Emellett segítheti a könyvvizsgálót a lényeges hibás állítás kockázatainak azonosításában.
A gazdálkodó egység üzleti modelljének céljai és hatóköre
1. Egy gazdálkodó egység üzleti modellje leírja, hogyan látja egy gazdálkodó egység például a szervezeti felépítését, a működést vagy tevékenységi kört, az üzletágakat (beleértve a versenytársakat és azok vevőit), a folyamatokat, a növekedési lehetőségeket, a globalizációt, a szabályozói követelményeket és a technológiákat. A gazdálkodó egység üzleti modellje leírja, hogy a gazdálkodó egység hogyan hoz létre, őriz meg és szerez meg pénzügyi vagy tágabb értelemben vett értéket érdekelt felei számára.
2. A stratégiák azok a megközelítések, amelyekkel a vezetés elérni tervezi a gazdálkodó egység céljait, beleértve, hogy a gazdálkodó egység hogyan tervezi kezelni azokat a kockázatokat és lehetőségeket, amelyekkel szembesül. Egy gazdálkodó egység stratégiáit a vezetés az idő során megváltoztatja, hogy reagáljon a gazdálkodó egység céljainak, valamint azoknak a belső és külső körülményeknek a változásaira, amelyek között a gazdálkodó egység működik.
3. Egy üzleti modell leírása jellemzően magában foglalja:
– A gazdálkodó egység tevékenységeinek körét, és hogy miért végzi azokat a tevékenységeket;
– A gazdálkodó egység felépítését és működésének nagyságrendjét;
– A piacokat, vagy földrajzi vagy demográfiai síkokat, és az értéklánc részeit, amelyekben működik; azt, hogy hogyan foglalkozik ezekkel a piacokkal vagy síkokkal (fő termékek, vevőszegmensek és forgalmazási módok), valamint a versenyben való részvételének alapját;
– A gazdálkodó egység által tevékenységeinek végzése során alkalmazott üzleti vagy működési folyamatokat (például befektetési, finanszírozási és működési folyamatok), az üzleti folyamatoknak azokra a részére összpontosítva, amelyek fontosak az értékteremtésben, értékmegőrzésben vagy az érték megszerzésében;
– Az erőforrásokat (például pénzügyi, emberi, intellektuális, környezeti és technológiai) és egyéb inputokat és kapcsolatokat (például vevők, versenytársak, szállítók és munkavállalók), amelyek szükségesek vagy fontosak a sikere szempontjából;
– Azt, hogy a gazdálkodó egység üzleti modellje hogyan integrálja az IT használatát a vevőkkel, szállítókkal, hitelezőkkel és egyéb érdekelt felekkel való érintkezéseiben az IT-interfészeken és egyéb technológiákon keresztül.
4. Egy üzleti kockázatnak lehet azonnali következménye az ügyletcsoportok, a számlaegyenlegek és a közzétételek vonatkozásában a lényeges hibás állításnak az állítások vagy a pénzügyi kimutatások szintjén fennálló kockázatára vonatkozóan. Például, az ingatlanpiaci értékek jelentős csökkenéséből eredő üzleti kockázat növelheti az értékelés állításhoz kapcsolódó lényeges hibás állítás kockázatát egy középtávra szóló hiteleket ingatlanfedezet mellett nyújtó hitelező számára. Ugyanez a kockázat azonban, különösen egy súlyos gazdasági visszaeséssel kombinálva, amely egyidejűleg növeli a hiteleinek élettartama alatti hitelezési veszteségek mögöttes kockázatát, hosszabb távú következménnyel is járhat. Az ennek eredményeként adódó, hitelezési veszteségekkel szembeni nettó kitettség jelentős kétséget vethet fel a gazdálkodó egységnek a vállalkozás folytatására való képességével kapcsolatban. Ha így van, ennek kihatásai lehetnének a vezetés és a könyvvizsgáló arra vonatkozó következtetésére, hogy helyénvaló-e a vállalkozás folytatásának elvén alapuló számvitel alkalmazása a gazdálkodó egység által, valamint annak meghatározására, hogy fennáll-e lényeges bizonytalanság. Ezért azt, hogy az üzleti kockázat eredményezhet-e lényeges hibás állítást, a gazdálkodó egység körülményeinek fényében mérlegelik. A 2. sz. függelék mutat példákat olyan eseményekre és körülményekre, amelyek lényeges hibás állítás kockázatainak fennállását idézhetik elő.
A gazdálkodó egység tevékenységei
5. Példák olyan kérdésekre, amelyeket a könyvvizsgáló mérlegelhet a gazdálkodó egység (a gazdálkodó egység üzleti modelljében foglalt) tevékenységeinek megismerésekor, magukban foglalják:
(a) Az üzleti tevékenységeket, mint például:
– a bevételforrások jellegét, a termékeket vagy a szolgáltatásokat és a piacokat, beleértve az elektronikus kereskedelemben való részvételt, mint például az internetes eladásokat és marketingtevékenységeket;
– a tevékenységek végzését (például a termelés szakaszait és módszereit, vagy a környezeti kockázatoknak kitett tevékenységeket);
– a szövetségeket, a közös vállalkozásokat és a kiszervezett tevékenységeket;
– a földrajzi eloszlást és ágazati szegmentációt;
– a termelőlétesítmények, raktárak és irodák elhelyezkedését, valamint a készletek helyét és mennyiségeit;
– a főbb vevőket és a fontos áruszállítókat és szolgáltatásnyújtókat, a munkaügyi megállapodásokat (beleértve a szakszervezeti szerződések meglétét, a nyugdíjat és egyéb, munkaviszony megszűnése utáni juttatásokat, részvényopciókat vagy ösztönző bónuszmegállapodásokat, valamint a foglalkoztatás kérdéseihez kapcsolódó kormányzati szabályozást);
– a kutatási és fejlesztési tevékenységeket és ráfordításokat;
– a kapcsolt felekkel folytatott ügyleteket.
(b) A befektetéseket és befektetési tevékenységeket, mint például:
– a tervezett vagy közelmúltbeli felvásárlásokat vagy részesedés-elidegenítéseket;
– az értékpapírokba vagy hitelekbe történt befektetéseket és azok elidegenítéseit;
– a tőkebefektetési tevékenységeket;
– a nem konszolidált gazdálkodó egységekbe történő befektetéseket, beleértve a nem ellenőrzött társulásokat, közös vállalkozásokat és nem ellenőrzött speciális célú gazdálkodó egységeket.
(c) A finanszírozást és a finanszírozási tevékenységeket, mint például:
– a főbb leányvállalatok és a társult vállalkozások tulajdonosi szerkezetét, beleértve a konszolidált és nem konszolidált struktúrákat;
– az adósság struktúráját és a kapcsolódó feltételeket, beleértve a mérlegen kívüli finanszírozási megállapodásokat és a lízingmegállapodásokat;
– a haszonélvezőket (például helyi, külföldi, üzleti hírnév és tapasztalat) valamint a kapcsolt feleket;
– a származékos pénzügyi instrumentumok használatát.
A speciális célú gazdálkodó egységek jellege
6. A speciális célú gazdálkodó egység (néha speciális célú szervezetnek is nevezik), olyan gazdálkodó egység, amelyet általában egy szűk és jól definiált célra hoznak létre, például lízing végrehajtására, vagy pénzügyi eszközök értékpapírosítására, vagy kutatási és fejlesztési tevékenységek végzésére. A formája lehet társaság, tröszt, társulás vagy jogi személyiség nélküli társaság. A gazdálkodó egység, amelynek a nevében a speciális célú gazdálkodó egységet létrehozták, gyakran átadhat eszközöket az utóbbinak (például pénzügyi eszközöket magában foglaló kivezetési ügylet részeként), jogot szerezhet az utóbbi eszközeinek használatára, vagy szolgáltatást nyújthat annak, míg lehet, hogy egyéb felek biztosítják annak finanszírozását. Amint az 550. témaszámú nemzetközi könyvvizsgálati standard jelzi, bizonyos körülmények között a speciális célú gazdálkodó egység lehet a gazdálkodó egység kapcsolt fele. *
7. A pénzügyi beszámolási keretelvek gyakran az ellenőrzéssel egyenértékűnek tekintett részletes feltételeket, vagy olyan körülményeket határoznak meg, amelyek mellett a speciális célú gazdálkodó egységet figyelembe kellene venni a konszolidálás szempontjából.Az ilyen keretelvek követelményeinek értelmezése gyakran megköveteli a speciális célú gazdálkodó egységet érintő releváns megállapodások részletes ismeretét.
(Hiv.: 12. bekezdés (f) pont, 19. bekezdés (c) pont, A7‒A8., A85‒A89. bekezdések)
Az eredendő kockázati tényezők megismerése
Ez a függelék további magyarázatot ad az eredendő kockázati tényezőkkel, valamint olyan kérdésekkel kapcsolatban, amelyeket a könyvvizsgáló mérlegelhet az eredendő kockázati tényezők megismerése és alkalmazása során a lényeges hibás állítás állítások szintjén fennálló kockázatainak azonosításában és felmérésében.
Az eredendő kockázati tényezők
1. Az eredendő kockázati tényezők események és körülmények olyan jellemzői, amelyek befolyásolják egy ügyletcsoporttal, számlaegyenleggel vagy közzététellel kapcsolatos állítás akár csalásból, akár hibából eredő hibás állításra való fogékonyságát, a kontrollok mérlegelése előtt. Az ilyen tényezők lehetnek minőségiek vagy mennyiségiek, és magukban foglalják az összetettséget, a szubjektivitást, a változást, a bizonytalanságot, vagy a hibás állításra a vezetés elfogultsága vagy egyéb csalási kockázati tényezők * miatti fogékonyságot, amennyiben azok befolyásolják az eredendő kockázatot. A gazdálkodó egységnek és környezetének, valamint a vonatkozó pénzügyi beszámolási keretelveknek és a gazdálkodó egység számviteli politikáinak a 19. bekezdés (a)‒(b) pontjaival összhangban való megismerése során a könyvvizsgáló azt is megismeri, hogy az eredendő kockázati tényezők hogyan befolyásolják az állítások hibás állításra való fogékonyságát a pénzügyi kimutatások készítése során.
2. A vonatkozó pénzügyi beszámolási keretelvek által előírt információk (a továbbiakban ebben a bekezdésben „előírt információk”) készítésére vonatkozó eredendő kockázati tényezők magukban foglalják a következőket:
– Összetettség- vagy az információ jellegéből, vagy az előírt információk elkészítésének módjából adódik, beleértve, amikor az ilyen elkészítési folyamatokat eredendőbben nehéz alkalmazni. Összetettség adódhat például:
– Szállítói engedményekre képzett céltartalékok számítása során, mert sok különböző szállítóval fennálló, különféle kereskedelmi feltételeket, vagy sok kölcsönösen összefüggő kereskedelmi feltételt lehet szükséges figyelembe venni, amelyek mind relevánsak a járó engedmény számításában; vagy
– Amikor egy számviteli becslés készítése során sok potenciális, különböző jellemzőkkel bíró adatforrást használnak, ezeknek az adatoknak a feldolgozása sok kölcsönösen összefüggő lépést foglal magában, és ezért az adatokat eredendően nehezebb azonosítani, begyűjteni, azokhoz hozzáférni, azokat megérteni vagy feldolgozni.
– Szubjektivitás- az előírt információk objektív módon való elkészítésére való képesség eredendő korlátaiból adódik az ismeretek vagy információk korlátozott elérhetősége miatt úgy, hogy szükség lehet arra, hogy a vezetés választást tegyen vagy szubjektív megítélést használjon az alkalmazandó megfelelő megközelítéssel kapcsolatban, és az ennek eredményeként adódó, a pénzügyi kimutatásokba belefoglalandó információkkal kapcsolatban. Az előírt információk készítésének különböző megközelítései miatt különböző végeredmények születhetnek a vonatkozó pénzügyi beszámolási keretelvek követelményeinek megfelelő alkalmazásából. Az ismeretekben vagy adatokban lévő korlátozások növekedésével az olyan megítélésekben lévő szubjektivitás, amelyeket kellően tájékozott és független személyek alkalmazhatnak, valamint a megítélések lehetséges végeredményeinek sokfélesége szintén nő.
– Változás- olyan eseményekből vagy körülményekből ered, amelyek az idő során hatással vannak a gazdálkodó egység üzleti tevékenységére vagy működési környezetének gazdasági, számviteli, szabályozási, ágazati vagy egyéb aspektusaira, amikor az ilyen események vagy körülmények hatásai tükröződnek az előírt információkban. Ilyen események vagy körülmények bekövetkezhetnek a pénzügyi beszámolási időszakok alatt vagy azok között. Például változást eredményezhetnek a vonatkozó pénzügyi beszámolási keretelvek követelményeiben, a gazdálkodó egységben és üzleti modelljében vagy a gazdálkodó egység működési környezetében végbemenő fejlemények. Az ilyen változás hatással lehet a vezetés feltételezéseire és megítéléseire, beleértve, ahogyan azok kihatnak a számviteli politikák vezetés általi kiválasztására, vagy arra, hogy hogyan készítik a számviteli becsléseket vagy határozzák meg a kapcsolódó közzétételeket.
– Bizonytalanság- akkor merül fel, amikor az előírt információkat nem lehet kizárólag elegendően precíz és átfogó, közvetlen megfigyelésen keresztül ellenőrizhető adatok alapján elkészíteni. Ilyen körülmények között szükséges lehet egy olyan megközelítést alkalmazni, amely a rendelkezésre álló ismereteket alkalmazza az információk készítéséhez, elegendően precíz és átfogó megfigyelhető adatok használatával, amennyiben rendelkezésre állnak ilyenek, és a legmegfelelőbb rendelkezésre álló adatok által alátámasztott észszerű feltételezések használatával, amikor nem állnak rendelkezésre megfigyelhető adatok. Ismeretek vagy adatok rendelkezésre állásának olyan korlátai, amelyek nem állnak a vezetés ellenőrzése alatt (költségkorlátok függvényében, ha értelmezhető), bizonytalanság forrásai és az előírt információk készítésére gyakorolt hatásuk nem küszöbölhető ki. Például, becslési bizonytalanság merül fel, amikor az előírt monetáris összeg nem határozható meg precízen, és a becslés végeredménye nem ismert a pénzügyi kimutatások véglegesítésének időpontja előtt.
– A vezetés elfogultsága vagy egyéb csalási kockázati tényezők miatti hibás állításra való fogékonyság, amennyiben azok befolyásolják az eredendő kockázatot - a vezetés elfogultságára való fogékonyság olyan körülményekből ered, amelyek az információk készítése során a semlegesség fenntartásának vezetés általi szándékos vagy nem szándékos elmulasztására való fogékonyságot hoznak létre. A vezetés elfogultsága gyakran bizonyos olyan körülményekkel áll kapcsolatban, amelyek potenciálisan azt eredményezhetik, hogy a vezetés nem tartja fenn a semlegességet a megítélés alkalmazása során (a vezetés potenciális elfogultságára utaló jelzések), ami az információkban lévő lényeges hibás állításhoz vezethetne, amely ha szándékos, csalásnak minősülne. Az ilyen jelzések magukban foglalnak ösztönzőket vagy nyomásokat, amennyiben azok hatással vannak az eredendő kockázatra (például, egy kívánt eredmény, mint például egy kitűzött nyereségcél vagy tőkearány elérésére való motiváció eredményeképpen), valamint alkalmat arra, hogy ne tartsák fenn a semlegességet. A beszámolókészítés során elkövetett csalás formájában vagy az eszközök elsikkasztása formájában lévő, csalásból eredő hibás állításra való fogékonyság szempontjából releváns tényezőket a 240. témaszámú nemzetközi könyvvizsgálati standard A1-A5. bekezdései írják le.
3. Amikor az összetettség egy eredendő kockázati tényező, eredendően szükség lehet összetettebb folyamatokra az információk készítése során, és az ilyen folyamatokat eredendően nehezebb lehet alkalmazni. Ennek eredményeképpen, azok alkalmazása speciális készségeket vagy tudást igényelhet, és a vezetés egy szakértőjének igénybevételét kívánhatja meg.
4. Amikor a vezetés megítélése szubjektívebb, a vezetés akár nem szándékos, akár szándékos elfogultsága miatti hibás állításra való fogékonyság szintén nőhet. Például a vezetés jelentős megítélésével járhat olyan számviteli becslések készítése, amelyeket úgy azonosítottak, mint amelyeknek nagy a becslési bizonytalansága, és a módszerekre, adatokra és feltételezésekre vonatkozó következtetések a vezetés nem szándékos vagy szándékos elfogultságát tükrözhetik.
Példák olyan eseményekre vagy körülményekre, amelyek lényeges hibás állítás kockázatainak fennállását idézhetik elő
5. Az alábbiak példák olyan eseményekre (beleértve ügyleteket) és körülményekre, amelyek a pénzügyi kimutatásokban lévő lényeges hibás állításnak a pénzügyi kimutatások szintjén vagy az állítások szintjén fennálló kockázatainak fennállását jelezhetik. Az eredendő kockázati tényezők szerint megadott példák az események és körülmények széles körét fedik le; ugyanakkor nem minden esemény és körülmény releváns minden egyes könyvvizsgálati megbízás szempontjából, és a példák listája nem szükségszerűen teljes. Az események és körülmények a szerint az eredendő kockázati tényező szerint lettek kategorizálva, amelyik a legnagyobb hatású lehet az adott körülmények között. Fontos, hogy az eredendő kockázati tényezők közötti kölcsönös összefüggések miatt az események és körülmények példái, változó mértékben, valószínűleg ki vannak téve egyéb eredendő kockázati tényezőknek is, vagy azok változó mértékben befolyásolják azokat.
| Releváns eredendő kockázati tényező: | Példák olyan eseményekre vagy körülményekre, amelyek a lényeges hibás állítás állítások szintjén fennálló kockázatainak fennállását jelezhetik: | |
| Összetettség | Szabályozás: – Magas fokú összetett szabályozás tárgyát képező tevékenységek. Üzleti modell: – Összetett szövetségek és közös vállalkozások létezése. Vonatkozó pénzügyi beszámolási keretelvek: – Összetett folyamatokat magukban foglaló számviteli értékelések. Ügyletek: – Mérlegen kívüli finanszírozás, speciális célú gazdálkodó egységek és egyéb összetett finanszírozási megállapodások alkalmazása. | |
| Szubjektivitás | Vonatkozó pénzügyi beszámolási keretelvek: – Egy számviteli becslés lehetséges értékelési kritériumainak széles skálája. Például az értékcsökkenési leírás vagy építőipari bevételek és ráfordítások vezetés általi megjelenítése. – Értékelési technika vagy modell vezetés általi kiválasztása egy befektetett eszközre, mint például befektetési célú ingatlanokra vonatkozóan. | |
| Változás | Gazdasági feltételek: – Olyan régiókban végzett tevékenységek, amelyek gazdaságilag instabilak, például olyan országok, ahol jelentős a deviza leértékelődése vagy magas az infláció. Piacok: – Változékony piacoknak kitett tevékenységek, például a határidős kereskedelem. Vevő elvesztése: – A vállalkozás folytatásával kapcsolatos és likviditási kérdések, beleértve a jelentős ügyfelek elvesztését. Ágazati modell: – Változások abban az ágazatban, amelyben a gazdálkodó egység működik. Üzleti modell: – Változások az ellátási láncban. – Új termékek vagy szolgáltatások kifejlesztése vagy kínálása, vagy új üzletágak felvétele. Földrajz: – Új helyszínekre való kiterjeszkedés. A gazdálkodó egység felépítése: – Változások a gazdálkodó egységnél, például nagy akvizíciók vagy átszervezések, vagy egyéb szokatlan események. – Olyan gazdálkodó egységek vagy üzleti szegmensek, amelyek valószínűleg eladásra kerülnek. Emberi erőforrás kompetencia: – Változások a kulcsfontosságú munkatársak személyében, beleértve a kulcsfontosságú vezetők távozását is. IT: – Az IT-környezet változásai. – A pénzügyi beszámoláshoz kapcsolódó jelentős új informatikai rendszerek bevezetése. Vonatkozó pénzügyi beszámolási keretelvek: – Új számviteli szabályok alkalmazása. Tőke: – A tőke és a hitelek rendelkezésre állásának új korlátai. Szabályozás: – A gazdálkodó egység működésével vagy pénzügyi eredményeivel kapcsolatos vizsgálatok megkezdése szabályozó szervek vagy kormányzati szervek által. – A környezetvédelemmel kapcsolatos új jogszabály hatása. | |
| Bizonytalanság | Beszámolás: – Jelentős értékelési bizonytalanságot magukban foglaló események vagy ügyletek, beleértve a számviteli becsléseket és a kapcsolódó közzétételeket is. – Le nem zárt peres ügyek és függő kötelezettségek, például értékesítési és pénzügyi garanciák, valamint környezetvédelmi helyreállítás. | |
| A vezetés elfogultsága vagy egyéb csalási kockázati tényezők miatti hibás állításra való fogékonyság, amennyiben azok befolyásolják az eredendő kockázatot. | Beszámolás: – Lehetőségek a vezetés és a munkavállalók számára a beszámolókészítés során elkövetett csalásra, beleértve a közzétételekben lévő jelentős információk kihagyását vagy elfedését. Ügyletek: – Jelentős ügyletek kapcsolt felekkel. – Jelentős számú nem rutinszerű vagy nem szisztematikus ügylet, beleértve csoporton belüli ügyleteket és az időszak végi nagy bevétellel járó ügyleteket is. – A vezetés szándéka alapján rögzített ügyletek, például az adósságrefinanszírozás, az értékesítésre szánt eszközök és a piacképes értékpapírok besorolása. |
Egyéb események és körülmények, amelyek a lényeges hibás állítás pénzügyi kimutatások szintjén fennálló kockázatait jelezhetik:
– A megfelelő számviteli és pénzügyi beszámolási ismeretekkel rendelkező munkaerő hiánya.
– Kontrollhiányosságok – különösen a kontrollkörnyezetben, a kockázatfelmérési folyamatban és a figyelemmel kísérést szolgáló folyamatban, és különösen azok, amelyeket a vezetés nem kezel.
– Múltbeli hibás állítások, múltbeli hibák vagy jelentős összegű helyesbítések az időszak végén.
(Hiv.: 12. bekezdés (m) pont, 21–26., A90–A181. bekezdések)
A gazdálkodó egység belső kontroll rendszerének megismerése
1. A gazdálkodó egység belső kontroll rendszerét tükrözhetik politikákat tartalmazó kézikönyvek és eljárásokra vonatkozó kézikönyvek, rendszerek és formanyomtatványok, valamint az azokba beágyazott információk, és azt emberek valósítják meg. A gazdálkodó egység belső kontroll rendszerét a vezetés, az irányítással megbízott személyek és egyéb munkatársak vezetik be a gazdálkodó egység felépítésének megfelelően. A gazdálkodó egység belső kontroll rendszere alkalmazható a gazdálkodó egység működési modelljére, a jogi személy felépítésére vagy ezek kombinációjára, a vezetés, az irányítással megbízott személyek vagy más munkatársak döntései alapján, és a jogi és szabályozási követelmények összefüggésében.
2. A jelen függelék tovább részletezi a gazdálkodó egységnek a 12. bekezdés (m) pontja, a 21–26. és az A90–A181. bekezdésekben meghatározott belső kontroll rendszerének komponenseit, valamint korlátait, azoknak a pénzügyi kimutatások könyvvizsgálatával való kapcsolatában.
3. A gazdálkodó egység belső kontroll rendszerén belül vannak olyan aspektusok, amelyek a gazdálkodó egység beszámolási céljaihoz kapcsolódnak, beleértve annak pénzügyi beszámolási céljait, de lehetnek olyan aspektusok is, amelyek a működéséhez vagy megfelelési céljaihoz kapcsolódnak, amikor az ilyen aspektusok relevánsak a pénzügyi beszámolás szempontjából.
| Példa: A jogszabályoknak és szabályozásoknak való megfelelés feletti kontrollok relevánsak lehetnek a pénzügyi beszámolás szempontjából akkor, amikor az ilyen kontrollok relevánsak a függő tételek pénzügyi kimutatásokban való közzétételének gazdálkodó egység általi elkészítése szempontjából. |
A gazdálkodó egység belső kontroll rendszerének komponensei
A kontrollkörnyezet
4. A kontrollkörnyezet az irányítási és vezetési funkciókat, valamint az irányítással és vezetéssel megbízott személyeknek a gazdálkodó egység belső kontroll rendszerével és annak a gazdálkodó egységen belüli fontosságával kapcsolatos hozzáállását, tudatosságát és intézkedéseit foglalja magában. A kontrollkörnyezet megadja a szervezet alapszellemét, befolyásolva az ott dolgozók kontrollal kapcsolatos tudatosságát, és biztosítja az átfogó alapot a gazdálkodó egység belső kontroll rendszere egyéb komponenseinek működéséhez.
5. Egy gazdálkodó egység kontrolltudatosságát befolyásolják az irányítással megbízott személyek, mert az egyik feladatuk az, hogy ellensúlyozzák a pénzügyi beszámolással kapcsolatban a vezetésre nehezedő azon nyomásokat, amelyek piaci igényekből vagy javadalmazási programokból eredhetnek. A kontrollkörnyezet kialakításának hatékonyságát, az irányítással megbízott személyek részvétele vonatkozásában ezért olyan kérdések befolyásolják, mint:
– a vezetéstől való függetlenségük és a vezetés intézkedéseinek értékelésére való képességük;
– az, hogy ismerik-e a gazdálkodó egység üzleti ügyleteit;
– az, hogy milyen mértékben értékelik, hogy a pénzügyi kimutatásokat a vonatkozó pénzügyi beszámolási keretelvekkel összhangban készítették-e el, beleértve, hogy a pénzügyi kimutatások megfelelő közzétételeket tartalmaznak-e.
6. A kontrollkörnyezet a következő elemeket foglalja magában:
(a) Hogyan teljesítik a vezetés felelősségeit, mint a gazdálkodó egység kultúrájának kialakítása és fenntartása, valamint a vezetés tisztességesség és etikai értékek iránti elkötelezettségének a demonstrálása. A kontrollok hatékonysága nem emelkedhet azoknak az embereknek a tisztességessége és etikai értékei fölé, akik létrehozzák, adminisztrálják és figyelemmel kísérik azokat. A tisztességesség és az etikus magatartás a gazdálkodó egység etikai és magatartási standardjainak vagy magatartási kódexeinek, valamint annak a terméke, hogy azokat hogyan kommunikálják (például politikák kihirdetésén keresztül), és azokat hogyan érvényesítik a gyakorlatban (például a vezetésnek az arra irányuló ösztönzők vagy kísértések megszüntetésére vagy csökkentésére tett intézkedésein keresztül, amelyek esetleg arra sarkallják a munkatársakat, hogy tisztességtelen, illegális vagy etikátlan tetteket hajtsanak végre). A gazdálkodó egység tisztességességre és etikai értékekre vonatkozó politikáinak kommunikálása magában foglalhatja a viselkedési standardoknak a munkavállalók felé történő kommunikálását a politikák kihirdetésén, a magatartási kódexeken és a példákon keresztül.
(b) Amikor az irányítással megbízott személyek elkülönülnek a vezetéstől, hogyan tanúsítanak az irányítással megbízott személyek a vezetéstől való függetlenséget, és hogyan gyakorolnak felügyeletet a gazdálkodó egység belső kontroll rendszere felett. A gazdálkodó egység kontrolltudatosságát befolyásolják az irányítással megbízott személyek. A mérlegelési szempontok tartalmazhatják, hogy van-e elegendő személy, akik függetlenek a vezetéstől és objektívek értékeléseik és döntéseik során; az irányítással megbízott személyek hogyan azonosítják és fogadják el a felügyeleti felelősségeiket, és az irányítással megbízott személyek fenntartanak-e felügyeleti felelősséget a gazdálkodó egység belső kontroll rendszerének vezetés általi kialakítása, bevezetése és végrehajtása felett. Az irányítással megbízott személyek felelősségének fontosságát a gyakorlati kódexekben, valamint az irányítással megbízott személyek érdekében létrehozott egyéb jogszabályokban és szabályozásokban vagy iránymutatásokban elismerik. Az irányítással megbízott személyek egyéb felelősségéhez tartozik a bizalmas jelentéstételi eljárások kialakításának és hatékony működésének felügyelete.
(c) Hogyan jelöl ki a gazdálkodó egység hatáskört és felelősséget céljai követése során. Ez magában foglalhat az alábbiakkal kapcsolatos mérlegelési szempontokat:
– A hatáskör és felelősség kulcsterületei, valamint a beszámolás megfelelő szintjei;
– A megfelelő üzleti gyakorlatokhoz kapcsolódó politikák, a kulcsfontosságú munkatársak ismeretei és tapasztalata, valamint a feladatok végrehajtásához biztosított erőforrások; valamint
– Azok a politikák és kommunikációk, amelyek célja annak biztosítása, hogy minden munkatárs megértse a gazdálkodó egység céljait, tudja, hogy egyedi cselekedeteik hogyan kapcsolódnak egymáshoz és hogyan járulnak hozzá a célok eléréséhez, és felismerje, hogy hogyan és miért tehető felelőssé.
(d) Hogyan vonz, fejleszt és tart meg a gazdálkodó egység kompetens személyeket céljaival összhangban. Ez magában foglalja, hogy a gazdálkodó egység hogyan biztosítja azt, hogy a személyek birtokában legyenek azoknak az ismereteknek és készségeknek, amelyek szükségesek azon feladatok elvégzéséhez, amelyek definiálják a személy munkakörét, mint például:
– A legképzettebb személyek felvételére vonatkozó standardok – hangsúlyt helyezve az oktatási háttérre, az addigi munkatapasztalatra, a múltbeli eredményekre, valamint a tisztességességre és az etikus magatartásra.
– A jövőbeni szerepeket és felelősséget kommunikáló képzési politikák, beleértve a gyakorlatokat, mint például iskolákat és szemináriumokat, amelyek a teljesítmény és magatartás elvárt szintjeit illusztrálják; továbbá
– Az előléptetéseket meghatározó időszakos teljesítményértékelések, amelyek a gazdálkodó egységnek a képzett munkatársak magasabb felelősségi szintre történő előléptetése iránti elkötelezettségét tanúsítják.
(e) Hogyan kéri számon a gazdálkodó egység a személyektől a gazdálkodó egység belső kontroll rendszere céljainak elérésében fennálló felelősségeiket. Ez például az alábbiakon keresztül valósítható meg:
– A kontrollokért való felelősségek kommunikálását és az ezeknek a felelősségeknek való megfelelésnek a személyektől való számonkérését, valamint szükség szerint helyrehozó intézkedések megvalósítását szolgáló mechanizmusok;
– Teljesítményértékelések, ösztönzők és jutalmak létrehozása a gazdálkodó egység belső kontroll rendszeréért felelős személyek számára, beleértve, hogy az értékelési mutatókat hogyan értékelik, és azok hogyan tartják fenn relevanciájukat;
– Hogyan hatnak a kontrollcélok elérésével kapcsolatos nyomások a személy felelősségeire és teljesítményértékelésére; valamint
– Szükség esetén hogyan történik a személyek fegyelmezése.
A fenti kérdések megfelelősége eltérő lesz az egyes gazdálkodó egységeknél, azok méretétől, felépítésük összetettségétől és tevékenységeik jellegétől függően.
A gazdálkodó egység kockázatfelmérési folyamata
7. A gazdálkodó egység kockázatfelmérési folyamata a gazdálkodó egység céljainak elérését veszélyeztető kockázatok azonosítására és elemzésére szolgáló ismétlődő folyamat, és ez képezi az alapját annak, hogy a vezetés vagy az irányítással megbízott személyek hogyan határozzák meg a kezelendő kockázatokat.
8. A pénzügyi beszámolás szempontjából a gazdálkodó egység kockázatfelmérési folyamata magában foglalja azt, hogy a vezetés hogyan azonosítja a pénzügyi kimutatásoknak a gazdálkodó egységre vonatkozó pénzügyi beszámolási keretelvek szerinti elkészítése szempontjából releváns üzleti kockázatokat, hogyan méri fel a jelentőségüket, hogyan méri fel a bekövetkezésük valószínűségét, és hogyan dönti el, hogy milyen intézkedéseket tesz a kockázatok kezelésére, valamint azok eredményeinek kezelésére. A gazdálkodó egység kockázatfelmérési folyamata például foglalkozhat azzal, hogy a gazdálkodó egység hogyan mérlegeli a nem rögzített ügyletek lehetőségét, vagy hogy hogyan azonosítja és elemzi a pénzügyi kimutatásokban rögzített jelentős becsléseket.
9. A megbízható pénzügyi beszámolás szempontjából releváns kockázatok közé tartoznak azok a külső és belső események, ügyletek vagy körülmények, amelyek bekövetkezhetnek és hátrányosan befolyásolhatják a gazdálkodó egységnek azt a képességét, hogy a vezetés pénzügyi kimutatásokban szereplő állításaival összhangban lévő pénzügyi információkat hozzon létre, rögzítsen, dolgozzon fel és foglaljon jelentésbe. A vezetés kezdeményezhet terveket, programokat vagy intézkedéseket az egyes kockázatok kezelése érdekében, vagy úgy is dönthet, hogy vállalja a kockázatot költség vagy egyéb megfontolások miatt. A kockázatok felmerülhetnek vagy megváltozhatnak olyan körülmények miatt, mint például a következők:
– A működési környezet változásai. A szabályozási, gazdasági vagy működési környezet változásai módosíthatják a versenyből származó nyomást és jelentősen eltérő kockázatokat eredményezhetnek.
– Új munkatársak. Az új munkatársak más jelentőséget tulajdoníthatnak a gazdálkodó egység belső kontroll rendszerének vagy azt másképp értelmezhetik.
– Új vagy modernizált információs rendszer.Az információs rendszerben végrehajtott jelentős és gyors változások módosíthatják a gazdálkodó egység belső kontroll rendszeréhez kapcsolódó kockázatot.
– Gyors növekedés. A tevékenységek jelentős és gyors bővülése megterhelheti a kontrollokat, és növelheti a kontrollok összeomlásának kockázatát.
– Új technológia. Az új technológiáknak a termelési folyamatokba vagy az információs rendszerbe történő beépítése módosíthatja a gazdálkodó egység belső kontroll rendszeréhez kapcsolódó kockázatot.
– Új üzleti modellek, termékek vagy tevékenységek. Ha a gazdálkodó egység olyan üzleti területekre vagy ügyletekbe lép be, amelyekkel kapcsolatban kevés tapasztalattal rendelkezik, új kockázatok merülhetnek fel a gazdálkodó egység belső kontroll rendszere tekintetében.
– Vállalati átszervezés. Az átszervezéseket kísérhetik elbocsátások, valamint a felügyeletnek és a feladatkörök szétválasztásának a változásai, ami módosíthatja a gazdálkodó egység belső kontroll rendszerével kapcsolatos kockázatot.
– Kiterjesztett külföldi érdekeltségek . A külföldi érdekeltségek bővítése vagy felvásárlása olyan új és gyakran egyedi kockázatokat hordoz, amelyek befolyásolhatják a belső kontrollt (például a külföldi pénznemben végrehajtott ügyletekből származó további vagy módosult kockázatokat).
– Új számviteli szabályok. Az új számviteli alapelvek vagy a változó számviteli alapelvek bevezetése befolyásolhatja a pénzügyi kimutatások elkészítésében lévő kockázatokat.
– Az IT használata. Az alábbiakra vonatkozó kockázatok:
– Az adat- és információfeldolgozás integritásának fenntartása;
– A gazdálkodó egység üzleti stratégiáját veszélyeztető kockázatok, amelyek akkor merülnek fel, ha a gazdálkodó egység IT-stratégiája nem támogatja hatékonyan a gazdálkodó egység üzleti stratégiáját; vagy
– A gazdálkodó egység IT-környezetének változásai vagy szakadozásai, vagy az IT-munkatársak cserélődése, vagy amikor a gazdálkodó egység nem hajtja végre az IT-környezet szükséges frissítéseit, vagy nem időben kerül sor az ilyen frissítésekre.
A gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamata
10. A gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamata a gazdálkodó egység belső kontroll rendszere hatékonyságának értékelését, valamint a szükséges helyrehozó intézkedések időben való megtételét célzó visszatérő folyamat. A gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamata állhat folyamatos tevékenységekből, különálló (időszakosan végzett) értékelésekből vagy ennek a kettőnek valamilyen kombinációjából. A folyamatos figyelemmel kísérő tevékenységeket gyakran beépítik egy gazdálkodó egység szokásos ismétlődő tevékenységeibe, és azok magukban foglalhatnak rendszeres vezetési és felügyeleti tevékenységeket. A gazdálkodó egység folyamata a hatókör és a gyakoriság tekintetében valószínűleg változó lesz, a kockázatok gazdálkodó egység általi felmérésétől függően.
11. A belső audit funkciók céljai és hatóköre jellemzően magukban foglalnak a gazdálkodó egység belső kontroll rendszere hatékonyságának értékelése vagy figyelemmel kísérése céljából kialakított tevékenységeket. * A gazdálkodó egységnek a gazdálkodó egység belső kontroll rendszere figyelemmel kísérését szolgáló folyamata magában foglalhat olyan tevékenységeket, mint például a banki egyeztetések határidőre történő elkészítésének a vezetés általi ellenőrzése; a belső auditorok értékelése arról, hogy az értékesítési munkatársak megfelelnek-e a gazdálkodó egység által az adásvételi szerződések feltételeire vonatkozóan kidolgozott politikáknak; valamint a gazdálkodó egység etikai és üzleti gyakorlati politikáinak való megfelelés jogi osztály által végzett felügyelete. A figyelemmel kísérést annak biztosítása érdekében is végzik, hogy a kontrollok az idő előrehaladtával továbbra is hatékonyan működjenek. Például, ha a banki egyeztetések időszerűségét és pontosságát nem kísérik figyelemmel, a munkatársak valószínűleg abbahagyják ezeknek az elkészítését.
12. A gazdálkodó egységnek a gazdálkodó egység belső kontroll rendszere figyelemmel kísérését szolgáló folyamatához kapcsolódó kontrollok, beleértve azokat, amelyek mögöttes automatizált kontrollokat kísérnek figyelemmel, lehetnek automatizáltak vagy manuálisak, vagy a kettő kombinációja. Például, egy gazdálkodó egység használhat automatizált figyelemmel kísérési kontrollokat bizonyos technológiához való hozzáférés felett azzal, hogy a szokatlan tevékenységről automatizált jelentések készülnek a vezetés részére, akik manuálisan vizsgálják meg az azonosított rendellenességeket.
13. Egy figyelemmel kísérési tevékenység és az információs rendszerhez kapcsolódó kontroll megkülönböztetésekor a tevékenység mögöttes részleteit veszik figyelembe, különösen, amikor a tevékenység valamilyen szintű felügyeleti felülvizsgálatot foglal magában. A felügyeleti felülvizsgálatokat nem sorolják be automatikusan figyelemmel kísérési tevékenységekként, és szakmai megítélés kérdése lehet, hogy egy adott felülvizsgálatot az információs rendszerhez kapcsolódó kontrollként vagy figyelemmel kísérési tevékenységként sorolnak-e be. Például egy havi teljességi kontroll célja hibák feltárása és helyesbítése lenne, míg egy figyelemmel kísérési tevékenység megkérdezné, hogy miért történnek hibák, és kijelölné a vezetésnek azt a felelősséget, hogy javítsák ki a folyamatot a jövőbeli hibák megelőzése érdekében. Egyszerűen fogalmazva, az információs rendszerhez kapcsolódó kontroll egy konkrét kockázatra válaszol, a figyelemmel kísérési tevékenység viszont felméri, hogy a kontrollok a gazdálkodó egység belső kontroll rendszerének mind az öt komponensében rendeltetésszerűen működnek-e.
14. A figyelemmel kísérési tevékenységek magukban foglalhatják az olyan, külső felektől származó kommunikációkban szereplő információk felhasználását, amelyek problémákat jelezhetnek vagy kiemelhetnek területeket, ahol fejlesztésre van szükség. Az ügyfelek burkoltan megerősítik a számlázási adatokat azzal, hogy kifizetik a számláikat, vagy épp panaszt tesznek a felszámított összegek miatt. Emellett a szabályozók kommunikálhatnak a gazdálkodó egységgel olyan kérdésekről, amelyek érintik a gazdálkodó egység belső kontroll rendszerének működését, például a banki szabályozószervek általi vizsgálatokkal kapcsolatos kommunikációk. Emellett, a figyelemmel kísérési tevékenységek végrehajtása során a vezetés figyelembe vehet a gazdálkodó egység belső kontroll rendszerével kapcsolatos, külső könyvvizsgálóktól származó bármilyen kommunikációkat.
Az információs rendszer és kommunikáció
15. A pénzügyi kimutatások készítése szempontjából releváns információs rendszer az alábbiak céljából kialakított és létrehozott tevékenységekből és politikákból, valamint számviteli és alátámasztó nyilvántartásokból áll:
– A gazdálkodó egység ügyleteinek létrehozása, nyilvántartása és feldolgozása (valamint az ügyletektől eltérő eseményekkel és körülményekkel kapcsolatos információk begyűjtése, feldolgozása és közzététele), valamint a kapcsolódó eszközökre, kötelezettségekre és saját tőkére vonatkozó elszámoltathatóság fenntartása;
– Az ügyletek helytelen feldolgozásának megoldása, például automatizált függő fájlok és a függő tételek megfelelő időben történő tisztázása céljából követett eljárások;
– A rendszer felülírásainak vagy a kontrollok megkerüléseinek feldolgozása és elszámolása;
– Az ügyletek feldolgozásából származó információk beépítése a főkönyvbe (például felhalmozott ügyletek átvitele egy analitikából);
– A pénzügyi kimutatások készítése szempontjából releváns, az ügyletektől eltérő eseményekre és körülményekre, mint például az eszközök értékcsökkenési leírására és amortizációjára, valamint az eszközök behajthatóságának változására vonatkozó információk begyűjtése és feldolgozása; továbbá
– A vonatkozó pénzügyi beszámolási keretelvek szerint közzéteendő információk összegyűjtésének, rögzítésének, feldolgozásának, összegezésének és a pénzügyi kimutatásokban történő megfelelő szerepeltetésének a biztosítása.
16. A gazdálkodó egység üzleti folyamatai az alábbi célokból kialakított tevékenységeket foglalják magukban:
– A gazdálkodó egység termékeinek és szolgáltatásainak kifejlesztése, beszerzése, előállítása, eladása és forgalmazása;
– A jogszabályoknak és szabályozásoknak való megfelelés biztosítása; és
– Információk rögzítése, beleértve a számviteli és pénzügyi beszámolási információkat.
Az üzleti folyamatok eredményezik azokat az ügyleteket, amelyeket az információs rendszer rögzít, feldolgoz és jelentésbe foglal.
17. Az információk minősége befolyásolja a vezetés képességét arra, hogy a gazdálkodó egység tevékenységeinek menedzselésében és kontrollálásában megfelelő döntéseket hozzon, továbbá hogy megbízható pénzügyi beszámolókat készítsen.
18. Az olyan kommunikáció, amely magában foglalja a gazdálkodó egység belső kontroll rendszeréhez kapcsolódó egyéni feladatok és felelősségek ismertetését, megvalósulhat politikákat tartalmazó kézikönyvek, számviteli és pénzügyi beszámolási kézikönyvek, valamint feljegyzések formájában. A kommunikáció emellett történhet elektronikus úton, szóban, valamint a vezetés intézkedésein keresztül is.
19. A gazdálkodó egység kommunikációja a pénzügyi beszámolási feladatokról és felelősségekről, valamint a pénzügyi beszámolásra vonatkozó jelentős kérdésekről magában foglalja a gazdálkodó egység pénzügyi beszámolás szempontjából releváns belső kontroll rendszeréhez kapcsolódó egyéni feladatok és felelősségek ismertetését. Magában foglalhat olyan kérdéseket, mint azt, hogy a munkatársak mennyire értik azt, hogy az információs rendszeren belüli tevékenységeik hogyan kapcsolódnak mások munkájához, valamint a kivételeknek a gazdálkodó egység egy megfelelő magasabb szintje felé való jelentésének eszközeit.
Kontrolltevékenységek
20. A kontrolltevékenységek komponensben lévő kontrollok azonosítása a 26. bekezdéssel összhangban történik. Az ilyen kontrollok információfeldolgozási kontrollokat és általános IT-kontrollokat foglalnak magukban; jellegét tekintve mind a kettő lehet manuális vagy automatizált. Minél nagyobb mértékben használ a vezetés automatizált kontrollokat vagy automatizált aspektusokat tartalmazó kontrollokat és támaszkodik ilyenekre a pénzügyi beszámolás vonatkozásában, annál fontosabbá válhat a gazdálkodó egység számára, hogy bevezessen általános IT-kontrollokat, amelyek kezelik az információfeldolgozási kontrollok automatizált aspektusainak folyamatos működését. A kontrolltevékenységek komponensben lévő kontrollok az alábbiakhoz tartozhatnak:
– Engedélyezés és jóváhagyások. Egy engedélyezés megerősíti, hogy egy ügylet érvényes (vagyis az egy tényleges gazdasági eseményt képvisel, vagy egy gazdálkodó egység politikájának megfelelő). Egy engedélyezés jellemzően a vezetés magasabb szintje általi jóváhagyás formájában, vagy igazolás és az ügylet érvényességének megállapítása formájában történik. Például, egy ellenőr azután hagy jóvá egy ráfordításkimutatást, miután áttekintette, hogy a ráfordítások észszerűnek és a politikának megfelelőnek tűnnek-e. Példa automatizált jóváhagyásra, amikor egy számlában lévő egységköltséget automatikusan összehasonlítanak a kapcsolódó megrendelésben lévő egységköltséggel egy előre meghatározott toleranciaszinten belül. A toleranciaszinten belüli számlák kifizetését automatikusan jóváhagyják. A toleranciaszinten kívül eső számlákat megjelölik további vizsgálatra.
– Egyeztetések – Az egyeztetések összehasonlítanak két vagy több adatelemet. Ha eltéréseket azonosítanak, intézkednek az adatok egyezőségének elérése céljából. Az egyeztetések általában az ügyletek feldolgozásának teljességét vagy pontosságát kezelik.
– Igazolások – Az igazolások összehasonlítanak két vagy több tételt egymással, vagy összehasonlítanak egy tételt egy politikával, és valószínűleg utókövetési intézkedéssel fognak járni, amikor két tétel nem egyezik, vagy a tétel nincs összhangban a politikával. Az igazolások általában az ügyletek feldolgozásának teljességét, pontosságát vagy érvényességét kezelik.
– Fizikai vagy logikai kontrollok, beleértve azokat, amelyek az eszközök jogosulatlan hozzáféréssel, megszerzéssel, használattal vagy elidegenítéssel szembeni biztonságát szolgálják. Olyan kontrollok, amelyek kiterjednek:
– az eszközök fizikai biztonságára, beleértve az olyan megfelelő biztosítékokat is, mint például az eszközökhöz és nyilvántartásokhoz való hozzáférés feletti biztonsági eszközök;
– a számítógépes programokhoz és adatfájlokhoz való hozzáférés (vagyis logikai hozzáférés) engedélyezésére;
– az időszakos átszámolásra és a kontrollnyilvántartásokban szereplő összegekkel való összehasonlításra (például: a készpénz-, az értékpapír- és a készletleltárak eredményeinek összevetése a számviteli nyilvántartásokkal).
Az, hogy az eszközök ellopásának megelőzését célzó fizikai kontrollok mennyire relevánsak a pénzügyi kimutatások elkészítésének a megbízhatósága szempontjából, olyan körülményektől függ, mint például amikor az eszközök nagymértékben fogékonyak a jogtalan eltulajdonításra.
– A feladatok szétválasztása. Az ügyletek engedélyezéséhez, az ügyletek rögzítéséhez, valamint az eszközök megőrzéséhez kapcsolódó felelősségek eltérő személyek számára történő kijelölése. A feladatok szétválasztása azt célozza, hogy csökkenjenek azok a lehetőségek, amelyek lehetővé teszik, hogy bárki olyan helyzetbe kerüljön, hogy a szokásos feladatai elvégzése keretében hibákat vagy csalást egyaránt elkövessen és elrejtsen.
Például, a hitelre történő értékesítéseket engedélyező vezető nem felelős a vevőkövetelés-nyilvántartásért vagy a pénztári bevételek kezeléséért. Ha egy személy jogosult végrehajtani mindezeket a tevékenységeket, az a személy létrehozhatna például egy fiktív értékesítést, amely feltáratlan maradhatna. Hasonlóképpen, az értékesítési munkatársaknak nem lehet jogosultságuk arra, hogy termékárfájlokat vagy jutalékrátákat módosítsanak.
Néha a szétválasztás nem célszerű, nem költséghatékony vagy nem megvalósítható. Például, kisebb és kevésbé összetett gazdálkodó egységeknek lehet, hogy nincs elegendő erőforrásuk az ideális szétválasztás eléréséhez, a pótlólagos munkatársak felvételének költsége pedig túlságosan nagy lehet. Ilyen helyzetekben a vezetés alternatív kontrollokat létesíthet. A fenti példában, ha az értékesítési munkatárs módosíthat termékárfájlokat, feltáró kontrolltevékenységet lehet bevezetni avégett, hogy az értékesítési funkciótól független munkatársak időszakosan ellenőrizzék, hogy az értékesítési munkatárs változtatott-e árakat és milyen körülmények között.
21. Bizonyos kontrollok függhetnek a vezetés vagy az irányítással megbízott személyek által létrehozott megfelelő felügyeleti kontrollok meglététől. Például, engedélyezési kontrollok delegálhatók kialakított útmutatások alapján, mint például az irányítással megbízott személyek által meghatározott befektetési kritériumok; alternatív módon, az olyan nem rutinszerű ügyletek, mint például a nagyobb akvizíciók vagy tőkekivonások konkrét, magas szinten történő jóváhagyást igényelhetnek, beleértve néhány esetben a részvényesek jóváhagyását.
A belső kontroll korlátai
22. A gazdálkodó egység belső kontroll rendszere, bármennyire is hatékony, a gazdálkodó egység számára csak kellő bizonyosságot szolgáltathat a gazdálkodó egység pénzügyi beszámolási céljainak eléréséről. Azok elérésének valószínűségére hatással vannak a belső kontroll eredendő korlátai. Ilyenek azok a tények, hogy az emberi megítélés a döntéshozatal során tévedhet, valamint hogy emberi hibák miatt zavar keletkezhet a gazdálkodó egység belső kontroll rendszerében. Például hiba léphet fel egy kontroll kialakításakor vagy változtatásakor. Ugyanígy lehet, hogy egy kontroll működése nem hatékony, például akkor, ha a gazdálkodó egység belső kontroll rendszerének céljából készített információkat (például egy kivételekről szóló jelentést) nem hatékonyan használják, mert az információk áttekintéséért felelős személy nem érti ennek célját vagy nem tesz megfelelő intézkedéseket.
23. Emellett a kontrollok kijátszhatók két vagy több ember összejátszásával, vagy a kontrollok nem helyénvaló vezetés általi felülírásával. A vezetés például a vevőkkel kiegészítő megállapodásokat köthet, amelyek megváltoztatják a gazdálkodó egység standard értékesítési szerződéseinek feltételeit, ami az árbevétel helytelen megjelenítését eredményezheti. Egy IT-alkalmazásban lévő, a meghatározott hitelezési limiteket túllépő ügyletek azonosítására és jelentésére kialakított szerkesztés-ellenőrzések is felülírhatók vagy kikapcsolhatók.
24. Ezenkívül a kontrollok kialakításánál és bevezetésénél a vezetés megítélheti az általa bevezetésre kiválasztott kontrollok jellegét és terjedelmét, valamint az általa felvállalni választott kockázatok jellegét és terjedelmét.
(Hiv.: 14. bekezdés (a) pont, 24. bekezdés (a) pont (ii) alpont, A25‒A28. bekezdések, A118. bekezdés)
Egy gazdálkodó egység belső audit funkciójának megismerésére vonatkozó szempontok
Ez a függelék további szempontokat ad a gazdálkodó egység belső audit funkciójának megismerésére vonatkozóan, amikor létezik ilyen funkció.
A belső audit funkció céljai és hatóköre
1. A belső audit funkció céljai és hatóköre, felelősségeinek jellege, valamint a szervezeten belül elfoglalt helye, beleértve a funkció hatáskörét és elszámoltathatóságát, nagymértékben változó és függ a gazdálkodó egység méretétől, összetettségétől és felépítésétől, valamint a vezetés és, ahol értelmezhető, az irányítással megbízott személyek elvárásaitól. Ezek a kérdések belső audit szabályzatban vagy feladatköri leírásban kerülhetnek rögzítésre.
2. A belső audit funkció felelősségei közé tartozhat eljárások végrehajtása és az eredmények értékelése abból a célból, hogy bizonyosságot nyújtson a vezetés és az irányítással megbízott személyek számára a kockázatkezelés, a gazdálkodó egység belső kontroll rendszere és a vállalatirányítási folyamatok kialakítására és hatékonyságára vonatkozóan. Ha így van, a belső audit funkció fontos szerepet játszhat a gazdálkodó egységnek a gazdálkodó egység belső kontroll rendszerének figyelemmel kísérését szolgáló folyamatában. Lehet azonban, hogy a belső audit funkció felelősségei a működés gazdaságosságára, hatékonyságára és eredményességére irányulnak és, ha így van, a funkció munkája lehet, hogy nem vonatkozik közvetlenül a gazdálkodó egység pénzügyi beszámolására.
A belső audit funkcióval készített interjúk
3. Ha egy gazdálkodó egységnél működik belső audit funkció, a funkción belüli megfelelő személyekkel készített interjúk nyújthatnak olyan információkat, amelyek hasznosak a könyvvizsgáló számára a gazdálkodó egységnek és környezetének, a vonatkozó pénzügyi beszámolási keretelveknek és a gazdálkodó egység belső kontroll rendszerének a megismerése, valamint a lényeges hibás állításnak a pénzügyi kimutatások és az állítások szintjén fennálló kockázatainak azonosítása és felmérése szempontjából. Munkája végzése során a belső audit funkció valószínűleg rálátást szerez a gazdálkodó egység működésére és üzleti kockázataira, és munkája alapján megállapításai lehetnek, mint például azonosított kontrollhiányosságok vagy -kockázatok, amelyek értékes inputot jelenthetnek a gazdálkodó egység és környezete, a vonatkozó pénzügyi beszámolási keretelvek, a gazdálkodó egység belső kontroll rendszere könyvvizsgáló általi megismeréséhez, a könyvvizsgáló kockázatfelméréséhez vagy a könyvvizsgálat más szempontjaihoz. A könyvvizsgáló ezért interjúkat készít függetlenül attól, hogy számít-e a belső audit funkció munkájának felhasználására a végrehajtandó könyvvizsgálati eljárások jellegének vagy ütemezésének módosítása vagy terjedelmük csökkentése céljából. * Különösen relevánsak lehetnek a belső audit funkció által az irányítással megbízott személyek felé felvetett kérdésekkel és a funkció saját kockázatfelmérési folyamatának kimeneteleivel kapcsolatos interjúk.
4. Ha a könyvvizsgáló kérdéseire adott válaszok alapján úgy tűnik, hogy vannak olyan megállapítások, amelyek relevánsak lehetnek a gazdálkodó egység pénzügyi beszámolása és a pénzügyi kimutatások könyvvizsgálata szempontjából, a könyvvizsgáló helyénvalónak tarthatja a belső audit funkció kapcsolódó jelentéseinek átolvasását. A belső audit funkció olyan jelentései, amelyek relevánsak lehetnek, például a funkció stratégiai és tervezési dokumentumai, valamint a vezetés vagy az irányítással megbízott személyek részére készített, a belső audit funkció vizsgálatainak megállapításait ismertető jelentések.
5. Emellett a 240. témaszámú nemzetközi könyvvizsgálati standarddal * összhangban, ha a belső audit funkció bármilyen tényleges, vélt vagy állítólagos csalásról ad információt a könyvvizsgálónak, a könyvvizsgáló ezt figyelembe veszi a csalásból eredő lényeges hibás állítás kockázatának azonosítása során.
6. A belső audit funkción belüli megfelelő személyek, akikkel interjúkat készítenek, azok, akik a könyvvizsgáló megítélése szerint rendelkeznek a megfelelő ismeretekkel, tapasztalattal és hatáskörrel, mint például a belső audit funkció vezetője vagy – a körülményektől függően – a funkción belüli más munkatársak. A könyvvizsgáló helyénvalónak tarthatja rendszeres megbeszélések tartását ezekkel a személyekkel.
A belső audit funkció figyelembevétele a kontrollkörnyezet megismerése során
7. A kontrollkörnyezet megismerése során a könyvvizsgáló megvizsgálhatja azt is, hogyan válaszolt a vezetés a belső audit funkció pénzügyi kimutatások készítése szempontjából releváns azonosított kontrollhiányosságokra vonatkozó megállapításaira és javaslataira, beleértve azt, hogy megtörtént-e és hogyan ezeknek a válaszoknak a végrehajtása, valamint, hogy ezt követően értékelte-e azokat a belső audit funkció.
Annak a szerepnek a megismerése, amelyet a belső audit funkció betölt a gazdálkodó egység belső kontroll rendszer figyelemmel kísérését szolgáló folyamatában
8. Ha a belső audit funkció felelősségeinek és bizonyosságot nyújtó tevékenységeinek jellege kapcsolódik a gazdálkodó egység pénzügyi beszámolásához, a könyvvizsgáló lehet, hogy fel tudja használni a belső audit funkció munkáját a könyvvizsgáló által a könyvvizsgálati bizonyítékok megszerzése során közvetlenül végrehajtandó könyvvizsgálati eljárások jellegének vagy ütemezésének módosításához vagy terjedelmének csökkentéséhez. A könyvvizsgálók nagyobb valószínűséggel lehetnek képesek felhasználni a gazdálkodó egység belső audit funkciójának munkáját, ha úgy tűnik, például korábbi könyvvizsgálatok tapasztalata vagy a könyvvizsgáló kockázatfelmérési eljárásai alapján, hogy a gazdálkodó egységnek olyan belső audit funkciója van, amely a gazdálkodó egység összetettségéhez és működésének jellegéhez képest elegendő és megfelelő forrásokkal rendelkezik és közvetlen jelentéstételi kapcsolatban áll az irányítással megbízott személyekkel.
9. Ha a könyvvizsgálónak a belső audit funkcióra vonatkozó előzetes ismeretei alapján a könyvvizsgáló a belső audit funkció munkájának felhasználására számít a végrehajtandó könyvvizsgálati eljárások jellegének vagy ütemezésének módosításához vagy terjedelmének csökkentéséhez, a 610. témaszámú (2013-ban felülvizsgált) nemzetközi könyvvizsgálati standard alkalmazandó.
10. Amint azt a 610. témaszámú (2013-ban felülvizsgált) nemzetközi könyvvizsgálati standard részletezi, a belső audit funkció tevékenységei különböznek más, olyan figyelemmel kísérési kontrolloktól, amelyek relevánsak lehetnek a pénzügyi beszámolás szempontjából, mint például a vezetői számviteli információknak olyan áttekintései, amelyeket azért alakítottak ki, hogy hozzájáruljanak ahhoz, amiképpen a gazdálkodó egység megelőzi vagy feltárja a hibás állításokat.
11. A gazdálkodó egység belső audit funkcióján belüli megfelelő személyekkel történő kommunikáció megteremtése a megbízás kezdeti szakaszában és az ilyen kommunikáció fenntartása végig a megbízás során megkönnyítheti az információk hatékony megosztását. Ez olyan környezetet hoz létre, amelyben a könyvvizsgáló tájékoztatást kaphat olyan jelentős kérdésekről, amelyek a belső audit funkció tudomására juthatnak, ha az ilyen kérdések érinthetik a könyvvizsgáló munkáját. A 200. témaszámú nemzetközi könyvvizsgálati standard foglalkozik annak fontosságával, hogy a könyvvizsgáló szakmai szkepticizmussal tervezze meg és hajtsa végre a könyvvizsgálatot, * beleértve az olyan információkra vonatkozó éberséget, amelyek megkérdőjelezik a könyvvizsgálati bizonyítékként felhasználandó dokumentumok és interjúkra adott válaszok megbízhatóságát. Ennek megfelelően a belső audit funkcióval a megbízás egésze során folytatott kommunikáció lehet, hogy lehetőséget ad a belső auditoroknak arra, hogy ilyen információkat hozzanak a könyvvizsgáló tudomására. A könyvvizsgáló ekkor figyelembe tudja venni az ilyen információkat a lényeges hibás állítás kockázatainak általa végzett azonosítása és felmérése során.
(Hiv.: 25. bekezdés (a) pont, 26. bekezdés (b)‒(c) pontok, A94. bekezdés, A166‒A172. bekezdések)
Szempontok az informatika (IT) megismeréséhez
Ez a függelék további kérdéseket tartalmaz, amelyeket a könyvvizsgáló mérlegelhet az IT-nak a gazdálkodó egység általi, a belső kontroll rendszerében való használatának a megismerése során.
Az informatikának a gazdálkodó egység általi, a gazdálkodó egység belső kontroll rendszerében való használatának megismerése
1. Egy gazdálkodó egység belső kontroll rendszere tartalmaz manuális elemeket és automatizált elemeket (vagyis a gazdálkodó egység belső kontroll rendszerében használt manuális és automatizált kontrollokat és egyéb erőforrásokat). A manuális és automatizált elemeknek a gazdálkodó egységnél fennálló keveréke a gazdálkodó egység IT-használatának jellegével és összetettségével változik. A gazdálkodó egység IT-használata befolyásolja annak a módját, ahogyan a pénzügyi kimutatások vonatkozó pénzügyi beszámolási keretelvekkel összhangban való készítése szempontjából releváns információkat feldolgozzák, tárolják és kommunikálják, és így befolyásolja annak módját, ahogyan a gazdálkodó egység belső kontroll rendszerét kialakítják és bevezetik. A gazdálkodó egység belső kontroll rendszerének minden egyes komponense használhat valamilyen mértékű IT-t.
Az IT általában előnyös a gazdálkodó egység belső kontroll rendszere számára, mert a gazdálkodó egységet képessé teszi arra, hogy:
– következetesen alkalmazzon előre definiált üzleti szabályokat, és bonyolult számításokat hajtson végre nagy mennyiségű ügylet vagy adat feldolgozása során;
– javítsa az információk időszerűségét, elérhetőségét és pontosságát;
– megkönnyítse az információ további elemzését;
– javítsa a gazdálkodó egység tevékenységei teljesítményének, valamint a gazdálkodó egység politikáinak és eljárásainak a figyelemmel kísérésére való képességet;
– csökkentse annak kockázatát, hogy a kontrollokat kijátsszák; és
– javítsa a feladatok hatékony szétválasztásának elérésére való képességet biztonsági kontrolloknak az IT-alkalmazásokba, adatbázisokba és operációs rendszerekbe történő bevezetésével.
2. A manuális és automatizált elemek jellemzői relevánsak a lényeges hibás állítás kockázatainak könyvvizsgáló általi azonosítása és felmérése, valamint az azon alapuló további könyvvizsgálati eljárások szempontjából. Az automatizált kontrollok megbízhatóbbak lehetnek, mint a manuális kontrollok, mert nem olyan könnyen megkerülhetők, figyelmen kívül hagyhatók vagy felülírhatók, továbbá kevésbé vannak kitéve az egyszerű hibáknak és tévedéseknek. Az automatizált kontrollok hatékonyabbak lehetnek a manuális kontrolloknál az alábbi körülmények között:
– Nagy mennyiségű ismétlődő ügylet, vagy olyan helyzetekben, ahol előre látható vagy előre jelezhető hibák automatizáláson keresztül megelőzhetők, vagy feltárhatók és helyesbíthetők.
– Olyan kontrolltok, ahol a kontroll végrehajtásának konkrét módjai megfelelően kialakíthatók és automatizálhatók.
A gazdálkodó egység által az információs rendszerben használt informatika megismerése (Hiv.: 25. bekezdés (a) pont)
3. A gazdálkodó egység információs rendszere magában foglalhatja manuális és automatizált elemek használatát, amelyek befolyásolják annak módját, ahogyan az ügyleteket létrehozzák, rögzítik, feldolgozzák és jelentésbe foglalják. Konkrétan, az ügyletek létrehozására, rögzítésére, feldolgozására és jelentésbe foglalására szolgáló eljárások a gazdálkodó egység által használt IT-alkalmazásokon és azon keresztül érvényesíthetők, ahogyan a gazdálkodó egység konfigurálta ezeket az alkalmazásokat. Emellett, digitális információk formájában lévő nyilvántartások felválthatnak vagy kiegészíthetnek papíralapú dokumentumok formájában lévő nyilvántartásokat.
4. Az információs rendszerben lévő ügyletáramlások és az információfeldolgozás szempontjából releváns IT-környezet megismerése során a könyvvizsgáló információt gyűjt a használt IT-alkalmazások, valamint a támogató IT-infrastruktúra és IT jellegéről és jellemzőiről. Az alábbi táblázat példákat tartalmaz olyan kérdésekre, amelyeket a könyvvizsgáló mérlegelhet az IT-környezet megismerése során, és példákat tartalmaz az IT-környezetek tipikus jellemzőire a gazdálkodó egység információs rendszerében használt IT-alkalmazások összetettsége alapján. Az ilyen jellemzők azonban iránymutatók és eltérhetnek a gazdálkodó egységnél használatos konkrét IT-alkalmazások jellegétől függően.
| Példák az alábbiak tipikus jellemzőire: | ||||
| Nem összetett kereskedelmi szoftverek | Közepes és közepesen összetett kereskedelmi szoftverek vagy IT-alkalmazások | Nagy vagy összetett IT-alkalmazások (például vállalatirányítási (ERP) rendszerek) | ||
| Az automatizálás és adathasználat terjedelméhez kapcsolódó kérdések: | ||||
| – A feldolgozásra szolgáló automatizált eljárások terjedelme, valamint ezeknek az eljárásoknak az összetettsége, beleértve, hogy nagyon automatizált, papírmentes feldolgozás van-e. | N/A | N/A | Kiterjedt és gyakran összetett automatizált eljárások | |
| – Annak mértéke, amennyire a gazdálkodó egység támaszkodik rendszer által előállított jelentésekre az információk feldolgozása során. | Egyszerű automatizált jelentési logika | Egyszerű releváns automatizált jelentési logika | Összetett automatizált jelentési logika; Jelentéskészítő szoftver | |
| – Hogyan viszik be az adatokat (vagyis manuális bevitel, vevő vagy szállító általi bevitel, vagy fájlfeltöltés). | Manuális adatbevitelek | Kisszámú adatbevitel vagy egyszerű interfészek | Nagyszámú adatbevitel vagy összetett interfészek | |
| – Hogyan segíti elő az IT rendszerinterfészeken keresztül az alkalmazások, adatbázisok vagy az IT-környezet egyéb aspektusai közötti kommunikációt, belsőleg és külsőleg, az adott esetnek megfelelően. | Nincsenek automatizált interfészek (csak manuális bevitelek) | Kisszámú adatbevitel vagy egyszerű interfészek | Nagyszámú adatbevitel vagy összetett interfészek | |
| – Az információs rendszer által feldolgozott, digitális formában lévő adatok mennyisége és összetettsége, beleértve, hogy a számviteli nyilvántartásokat vagy egyéb információkat digitális formában tárolják-e, valamint a tárolt adatok helyszíne. | Kis mennyiségű adat vagy egyszerű adatok, amelyeket manuálisan ellenőrizni lehet; Az adatok helyben rendelkezésre állnak | Kis mennyiségű adat vagy egyszerű adatok | Nagy mennyiségű adat vagy összetett adatok; Adattárházak; * Belső vagy külső IT-szolgáltatók igénybevétele (például adatok harmadik félnél való tárolása vagy hostingja) | |
| Az IT-alkalmazásokhoz és IT-infrastruktúrához kapcsolódó kérdések: | ||||
| – Az alkalmazás típusa (például kereskedelmi alkalmazás, amely csak kismértékben van vagy egyáltalán nincs egyedi igényekhez alakítva, vagy nagymértékben egyedi igényekhez alakított vagy nagymértékben integrált alkalmazás, amelyet lehet, hogy vásároltak és egyedi igényekhez alakítottak, vagy cégen belül fejlesztettek ki). | Vásárolt alkalmazás, amely csak kismértékben van vagy egyáltalán nincs egyedi igényekhez alakítva | Vásárolt alkalmazás, vagy egyszerű örökölt vagy alsó kategóriás vállalatirányítási (ERP) alkalmazások, amelyek csak kismértékben vannak vagy egyáltalán nincsenek egyedi igényekhez alakítva | Vevői igényeknek megfelelően kifejlesztett alkalmazások vagy összetettebb vállalatirányítási (ERP) rendszerek, amelyek jelentős mértékben egyedi igényekhez vannak alakítva | |
| – Az IT-alkalmazások és a mögöttes IT-infrastruktúra jellegének összetettsége. | Kicsi, egyszerű laptop vagy kliens-szerver alapú megoldás | Kiforrott és állandó nagyszámítógép, kis vagy egyszerű kliens-szerver, szoftver mint szolgáltatásfelhő | Összetett nagyszámítógép, nagy vagy összetett kliens-szerver, webbel kapcsolatban lévő infrastruktúra mint szolgáltatásfelhő | |
| – Van-e harmadik fél általi hosting vagy IT-kiszervezés. | Ha ki van szervezve, kompetens, érett, bizonyított szolgáltató (például felhőszolgáltató) | Ha ki van szervezve, hozzáértő, érett, bizonyított szolgáltató (például felhőszolgáltató) | Hozzáértő, érett, bizonyított szolgáltató bizonyos alkalmazások esetében és új vagy start-up szolgáltató más alkalmazásoknál | |
| – Használ-e a gazdálkodó egység olyan feltörekvő technológiákat, amelyek befolyásolják a pénzügyi beszámolását. | Feltörekvő technológiákat nem használ | Feltörekvő technológiák korlátozott használata néhány alkalmazásban | Feltörekvő technológiák vegyes használata a platformok egészében | |
| Az IT-folyamatokhoz kapcsolódó kérdések: | ||||
| – Az IT-környezet fenntartásában részt vevő munkatársak (az IT-környezet biztonságát és változtatását kezelő, IT-t támogató erőforrások száma és képzettségük szintje). | Kevés munkatárs korlátozott informatikai ismeretekkel a szállítói frissítések feldolgozásához és a hozzáférés kezeléséhez | Korlátozott számú, IT képzettséggel rendelkező / IT-területre kijelölt munkatárs | Kijelölt IT-részlegek szakképzett munkatársakkal, beleértve programozási készségeket | |
| – A hozzáférési jogok kezelését szolgáló folyamat összetettsége. | Egyetlen, adminisztrátori hozzáféréssel rendelkező személy kezeli a hozzáférési jogokat | Néhány, adminisztrátori hozzáféréssel rendelkező személy kezeli a hozzáférési jogokat | Az IT-részleg által kezelt összetett folyamat a hozzáférési jogokra vonatkozóan | |
| – Az IT-környezet feletti biztonság összetettsége, beleértve az IT-alkalmazások, adatbázisok és az IT-környezet egyéb aspektusainak kiberkockázatokkal szembeni sérülékenységét, különösen, ha vannak webalapú ügyletek vagy külső interfészeket tartalmazó ügyletek. | Egyszerű helyszíni hozzáférés külső webbel kapcsolatban lévő elemek nélkül | Néhány webalapú alkalmazás elsődlegesen egyszerű, szerepalapú biztonsággal | Több platform webalapú hozzáféréssel és összetett biztonsági modellekkel | |
| – Történtek-e programváltoztatások annak módjában, ahogyan az információkat feldolgozzák, valamint az ilyen változtatások mértéke az időszak alatt. | Kereskedelmi szoftver telepített forráskód nélkül | Néhány kereskedelmi alkalmazás forráskód nélkül és egyéb kiforrott alkalmazások kisszámú vagy egyszerű változtatásokkal; hagyományos rendszerfejlesztési életciklus | Új vagy nagyszámú, vagy összetett változtatások, minden évben több fejlesztési ciklus | |
| – Az IT-környezeten belüli változás terjedelme (például az IT-környezet új aspektusai vagy jelentős változások az IT-alkalmazásokban vagy a mögöttes IT-infrastruktúrában). | A változtatások a kereskedelmi szoftverek verziófrissítéseire korlátozódnak | A változások kereskedelmi szoftverek frissítéseiből, ERP verziófrissítésekből vagy örökölt programok továbbfejlesztéseiből állnak | Új vagy nagyszámú, vagy összetett változtatások, minden évben több fejlesztési ciklus, ERP nagymértékű egyedi igényekhez alakítása | |
| – Volt-e nagyobb adatkonverzió az időszak alatt, és ha igen, a változtatások jellege és jelentősége, valamint a konverzió végrehajtásának módja. | A szállító által adott szoftverfrissítések; Nincsenek adatkonverziós jellemzők a frissítéshez | Kisebb verziófrissítések a kereskedelmi szoftveralkalmazásokhoz, korlátozott számú konvertált adattal | Nagyobb verziófrissítés, új kiadás, platformcsere | |
Feltörekvő technológiák
5. A gazdálkodó egységek használhatnak feltörekvő technológiákat (például blokklánc, robotika vagy mesterséges intelligencia), mert az ilyen technológiák konkrét lehetőségeket jelenthetnek a működési hatékonyság javítására vagy a pénzügyi beszámolás fejlesztésére. Amikor feltörekvő technológiákat használnak a gazdálkodó egység pénzügyi kimutatások készítése szempontjából releváns információs rendszerében, a könyvvizsgáló belefoglalhatja az ilyen technológiákat az olyan IT-alkalmazások és az IT-környezet egyéb aspektusai azonosításába, amelyek ki vannak téve az IT használatából eredő kockázatoknak. Ugyan a feltörekvő technológiák kifinomultabbnak vagy összetettebbnek tűnhetnek, mint a meglévő technológiák, a könyvvizsgáló felelősségei az IT-alkalmazásokra és az azonosított általános IT-kontrollokra vonatkozóan a 26. bekezdés (b)‒(c) pontokkal összhangban változatlanok maradnak.
Méretre szabhatóság
6. A gazdálkodó egység IT-környezetének megismerése könnyebben teljesíthető lehet egy kevésbé összetett gazdálkodó egység esetében, amely kereskedelmi szoftvert használ, és amikor a gazdálkodó egységnek nincs hozzáférése a forráskódhoz, hogy programváltoztatásokat hajtson végre. Az ilyen gazdálkodó egységeknek lehet, hogy nincsenek kijelölt IT-erőforrásaik, hanem lehet egy rendszergazdai szerepkörre kijelölt személy, hogy a munkavállalóknak hozzáférést adjon vagy telepítse az IT-alkalmazások szállítók által adott frissítéseit. Azok a konkrét kérdések, amelyeket a könyvvizsgáló mérlegelhet egy kereskedelmi számviteli szoftvercsomag jellegének megismerése során, amely egy kevésbé összetett gazdálkodó egység által az információs rendszerében használt egyetlen IT-alkalmazás lehet, magukban foglalhatják a következőket:
– Annak mértéke, hogy mennyire jól megalapozott és megbízhatóságáról ismert a szoftver;
– Milyen mértékben lehetséges a gazdálkodó egység számára a szoftver forráskódjának változtatása további modulok (vagyis hozzáadások) alapszoftverbe való belefoglalása, vagy az adatok közvetlen változtatása céljából;
– A szoftveren végrehajtott módosítások jellege és terjedelme. Noha lehet, hogy egy gazdálkodó egység nem tudja módosítani a szoftver forráskódját, sok szoftvercsomag lehetővé teszi a konfigurálást (például jelentéskészítési paraméterek beállítása vagy módosítása). Ezek rendszerint nem járnak a forráskód módosításával; a könyvvizsgáló ugyanakkor mérlegelheti, hogy a gazdálkodó egység milyen mértékben képes konfigurálni a szoftvert, amikor a szoftver által előállított olyan információk teljességét és pontosságát vizsgálja, amelyeket könyvvizsgálati bizonyítékként használnak fel; valamint
– Milyen mértékben lehet közvetlenül hozzáférni a pénzügyi kimutatások készítéséhez kapcsolódó adatokhoz (vagyis közvetlen hozzáférés az adatbázishoz az IT-alkalmazás használata nélkül), valamint a feldolgozott adatok mennyisége. Minél nagyobb az adatok mennyisége, annál valószínűbb, hogy a gazdálkodó egységnek szüksége lehet kontrollokra, amelyek az adatok integritásának fenntartását kezelik, amelyek magukban foglalhatnak jogosulatlan hozzáférés és adatváltoztatás feletti általános IT-kontrollokat.
7. Az összetett IT-környezetek magukban foglalhatnak nagymértékben egyedi igényekhez alakított vagy nagymértékben integrált IT-alkalmazásokat, és ezért nagyobb erőfeszítést igényelhet a megismerésük. A pénzügyi beszámolási folyamatok vagy IT-alkalmazások egyéb IT-alkalmazásokkal integráltak lehetnek. Az ilyen integráció magában foglalhat IT-alkalmazásokat, amelyeket a gazdálkodó egység üzleti tevékenységében használnak, és amelyek információkat szolgáltatnak a gazdálkodó egység információs rendszerében lévő ügyletáramlások és információfeldolgozás szempontjából releváns IT-alkalmazásokhoz. Ilyen körülmények között a gazdálkodó egység üzleti tevékenységében használt bizonyos IT-alkalmazások szintén relevánsak lehetnek a pénzügyi kimutatások készítése szempontjából. Az összetett IT-környezetek igényelhetnek kijelölt IT-részlegeket is, amelyeknek strukturált IT-folyamatai vannak, szoftverfejlesztői és IT-környezet-fenntartói készségekkel rendelkező munkatársi háttérrel. Más esetekben egy gazdálkodó egység igénybe vehet belső vagy külső szolgáltatókat IT-környezete bizonyos aspektusainak vagy az IT-környezetében lévő IT-folyamatoknak a kezelése céljából (például harmadik fél általi hosting).
Olyan IT-alkalmazások azonosítása, amelyek ki vannak téve az IT használatából eredő kockázatoknak
8. A gazdálkodó egység IT-környezete jellegének és összetettségének megismerésén keresztül, beleértve az információfeldolgozási kontrollok jellegét és terjedelmét, a könyvvizsgáló meghatározhatja, hogy a gazdálkodó egység mely IT-alkalmazásokra támaszkodik a pénzügyi információk pontos feldolgozása és integritásuk fenntartása céljából. Azoknak az IT-alkalmazásoknak az azonosítása, amelyekre a gazdálkodó egység támaszkodik, befolyásolhatja a könyvvizsgálónak az ilyen IT-alkalmazásokban lévő automatizált kontrollok tesztelésére vonatkozó döntését, feltételezve, hogy az ilyen automatizált kontrollok kezelik a lényeges hibás állítás azonosított kockázatait. Fordítva, ha a gazdálkodó egység nem támaszkodik egy IT-alkalmazásra, az azon az IT-alkalmazáson belüli automatizált kontrollok nem valószínű, hogy megfelelők vagy elegendően precízek működési hatékonyság tesztek céljára. A 26. bekezdés (b) ponttal összhangban azonosítható automatizált kontrollok magukban foglalhatnak például automatizált számítási vagy input-, feldolgozási és outputkontrollokat, mint például megrendelés, szállítói fuvarokmány és szállítói számla háromoldalú egyeztetése. Amikor a könyvvizsgáló automatizált kontrollokat azonosít, és a könyvvizsgáló az IT-környezet megismerésén keresztül azt állapítja meg, hogy a gazdálkodó egység támaszkodik arra az IT-alkalmazásra, amely tartalmazza ezeket az automatizált kontrollokat, valószínűbb lehet, hogy a könyvvizsgáló olyanként azonosítja az IT-alkalmazást, mint amely ki van téve az IT használatából eredő kockázatoknak.
9. Annak mérlegelése során, hogy azok az IT-alkalmazások, amelyek esetében a könyvvizsgáló automatizált kontrollokat azonosított, ki vannak-e téve az IT-használatából eredő kockázatoknak, a könyvvizsgáló valószínűleg mérlegeli, hogy a gazdálkodó egységnek lehet-e hozzáférése, és milyen mértékben, a forráskódhoz, amely lehetővé teszi a vezetés számára programváltoztatások végrehajtását az ilyen kontrollokon vagy IT-alkalmazásokon. Az, hogy a gazdálkodó egység milyen mértékben hajt végre program- vagy konfigurációváltoztatásokat, valamint, hogy az ilyen változtatások feletti IT-folyamatok milyen mértékben formalizáltak, szintén releváns szempontok lehetnek. A könyvvizsgáló valószínűleg mérlegeli az adatokhoz való nem megfelelő hozzáférésnek vagy az adatok nem megfelelő változtatásának kockázatát is.
10. Azok a rendszer által előállított olyan jelentések, amelyeket a könyvvizsgáló lehet, hogy könyvvizsgálati bizonyítékként szándékozik felhasználni, magukban foglalhatnak például egy vevőkövetelés-korosítási jelentést vagy egy készletértékelési jelentést. Az ilyen jelentésekre vonatkozóan a könyvvizsgáló a jelentés inputjainak és outputjainak alapvető vizsgálatával szerezhet könyvvizsgálati bizonyítékot a jelentések teljességével és pontosságával kapcsolatban. Más esetekben a könyvvizsgáló tervezheti a jelentés készítése és karbantartása feletti kontrollok működési hatékonyságának a tesztelését, amely esetben az az IT-alkalmazás, amelyből előállították, valószínűleg ki van téve az IT használatából eredő kockázatoknak. A jelentés teljességének és pontosságának tesztelésén túl, a könyvvizsgáló tervezheti az olyan általános IT-kontrollok működési hatékonyságának tesztelését, amelyek a jelentésen végrehajtott nem megfelelő vagy jogosulatlan programváltoztatásokhoz, vagy a jelentésben végrehajtott nem megfelelő vagy jogosulatlan adatváltoztatásokhoz kapcsolódó kockázatokat kezelik.
11. Egyes IT-alkalmazások magukban foglalhatnak jelentéskészítő funkciót, míg más gazdálkodó egységek külön jelentéskészítő alkalmazásokat (vagyis jelentéskészítőket) is használhatnak. Ilyen esetekben szükséges lehet, hogy a könyvvizsgáló meghatározza a rendszer által előállított jelentések forrását (vagyis azt az alkalmazást, amelyik készíti a jelentést, valamint a jelentés által használt adatforrásokat) ahhoz, hogy meghatározza az IT használatából eredő kockázatoknak kitett IT-alkalmazásokat.
12. Az IT-alkalmazások által használt adatforrások lehetnek olyan adatbázisok, amelyekhez csak az IT-alkalmazáson keresztül, vagy csak az adatbázis-rendszergazdai jogosultsággal rendelkező IT munkatársak számára lehetséges a hozzáférés. Más esetekben az adatforrás lehet egy adattárház, amely önmaga tekinthető az IT használatából eredő kockázatoknak kitett IT-alkalmazásnak.
13. Lehet, hogy a könyvvizsgáló olyan kockázatot azonosított, amelyre vonatkozóan alapvető vizsgálati eljárások önmagukban nem elegendők, mert a gazdálkodó egység nagymértékben automatizált és papírmentes ügyletfeldolgozást használ, amely több integrált IT-alkalmazást foglalhat magában. Ilyen körülmények között a könyvvizsgáló által azonosított kontrollok valószínűleg magukban foglalnak automatizált kontrollokat. Emellett lehet, hogy a gazdálkodó egység általános IT-kontrollokra támaszkodik a feldolgozott ügyletek és a feldolgozás során felhasznált egyéb információk integritásának fenntartása céljából. Ilyen esetekben az információk feldolgozásában és tárolásában részt vevő IT-alkalmazások valószínűleg ki vannak téve az IT használatából eredő kockázatoknak.
Végfelhasználói számítástechnika
14. Bár könyvvizsgálati bizonyíték jöhet olyan rendszer által előállított output formájában is, amelyet egy végfelhasználói számítástechnikai eszközben (például táblázatkezelő szoftver vagy egyszerű adatbázisok) végrehajtott számítás során használnak, az ilyen eszközöket jellemzően nem azonosítják IT-alkalmazásokként a 26. bekezdés (b) pont összefüggésében. A végfelhasználói számítástechnikai eszközökhöz való hozzáférés és azok megváltoztatása körüli kontrollokat kialakítani és bevezetni kihívást jelenthet, és az ilyen kontrollok ritkán egyenértékűek az általános IT-kontrollokkal vagy ritkán olyan hatékonyak, mint az általános IT-kontrollok. Ehelyett a könyvvizsgáló mérlegelheti olyan információfeldolgozási kontrollok kombinációját, figyelembe véve az érintett végfelhasználói számítástechnika célját és összetettségét, mint például:
– A forrásadatok létrehozása és feldolgozása feletti információfeldolgozási kontrollok, beleértve releváns automatizált vagy interfészkontrollokat addig a pontig, ahonnét az adatokat kinyerik (vagyis az adattárházig);
– Annak ellenőrzésére szolgáló kontrollok, hogy a logika rendeltetésének megfelelően működik, például kontrollok, amelyek „bizonyítják” az adatok kinyerését, mint például a jelentés egyeztetése az adatokkal, amelyekből származik, a jelentésből származó egyéni adatok összehasonlítása a forrással és viszont, valamint a képleteket és makrókat ellenőrző kontrollok; vagy
– Érvényesítési szoftvereszközök használata, amelyek szisztematikusan ellenőriznek képleteket vagy makrókat, mint például táblázatintegritási eszközök.
Méretre szabhatóság
15. A gazdálkodó egység képessége arra, hogy fenntartsa az információs rendszerben tárolt és feldolgozott információk integritását, a kapcsolódó ügyletek és egyéb információk összetettsége és mennyisége alapján változó lehet. Minél nagyobb azoknak az adatoknak az összetettsége és mennyisége, amelyek alátámasztanak egy jelentős ügyletcsoportot, számlaegyenleget vagy közzétételt, annál kevésbé valószínűvé válhat a gazdálkodó egység számára, hogy ezeknek az információknak az integritását kizárólag információfeldolgozási kontrollokon (például input- vagy outputkontrollokon, vagy áttekintési kontrollokon) keresztül tartsa fenn. Szintén kevésbé valószínűvé válik, hogy a könyvvizsgáló könyvvizsgálati bizonyítékot fog tudni szerezni az ilyen információk teljességével és pontosságával kapcsolatban kizárólag alapvető tesztelés révén olyankor, amikor az ilyen információkat könyvvizsgálati bizonyítékként használják fel. Bizonyos körülmények között, amikor az ügyletek összetettsége és mennyisége kisebb, a vezetésnek lehet olyan információfeldolgozási kontrollja, amely elegendő az adatok pontosságának és teljességének ellenőrzéséhez (például feldolgozott és kiszámlázott egyéni vevői megrendeléseket egyeztetni lehet az IT-alkalmazásba eredetileg bevitt papíralapú dokumentumokkal). Amikor a gazdálkodó egység általános IT-kontrollokra támaszkodik az IT-alkalmazások által használt bizonyos információk integritásának fenntartása céljából, lehet, hogy a könyvvizsgáló azt állapítja meg, hogy az információkat fenntartó IT-alkalmazások ki vannak téve az IT használatából eredő kockázatoknak.
| Példák egy olyan IT-alkalmazás jellemzőire, amely valószínűleg nincs kitéve IT-ből eredő kockázatoknak | Példák egy olyan IT-alkalmazás jellemzőire, amely valószínűleg ki van téve IT-ből eredő kockázatoknak | |
| – Önálló alkalmazások. – Az adatok (ügyletek) mennyisége nem jelentős. – Az alkalmazás funkciója nem összetett. – Minden egyes ügylet alá van támasztva eredeti papíralapú dokumentációval. | – Az alkalmazások interfészesek. – Az adatok (ügyletek) mennyisége jelentős. – Az alkalmazás funkciója összetett, mivel: – Az alkalmazás automatikusan hoz létre ügyleteket; és – Számos összetett számítás húzódik meg az automatizált bevitelek mögött. | |
| Az IT-alkalmazás valószínűleg nincs kitéve IT-ből eredő kockázatoknak, mert: – Az adatok mennyisége nem jelentős, és ezért a vezetés nem támaszkodik általános IT-kontrollokra az adatok feldolgozása vagy fenntartása céljából. – A vezetés nem támaszkodik automatizált kontrollokra vagy egyéb automatizált funkciókra. A könyvvizsgáló nem azonosított automatizált kontrollokat a 26. bekezdés (a) ponttal összhangban. – Bár a vezetés használ rendszer által előállított jelentéseket a kontrolljaikban, nem támaszkodik ezekre a jelentésekre. Ehelyett egyezteti a jelentéseket a papíralapú dokumentációval és ellenőrzi a számításokat a jelentésekben. – A könyvvizsgáló közvetlenül tesztelni fogja a gazdálkodó egység által készített olyan információkat, amelyeket könyvvizsgálati bizonyítékként használnak. | Az IT-alkalmazás valószínűleg ki van téve IT-ből eredő kockázatoknak, mert: – A vezetés egy alkalmazásrendszerre támaszkodik az adatok feldolgozásához vagy fenntartásához, mivel az adatok mennyisége jelentős. – A vezetés az alkalmazásrendszerre támaszkodik bizonyos automatizált kontrollok végrehajtásához, amelyeket a könyvvizsgáló is azonosított. |
Az IT-környezet egyéb aspektusai, amelyek ki vannak téve az IT használatából eredő kockázatoknak
16. Amikor a könyvvizsgáló azonosít olyan IT-alkalmazásokat, amelyek ki vannak téve az IT használatából eredő kockázatoknak, az IT-környezet egyéb aspektusai is jellemzően ki vannak téve az IT használatából eredő kockázatoknak. Az IT-infrastruktúra magában foglalja az adatbázisokat, az operációs rendszert és a hálózatot. Az adatbázisok tárolják az IT-alkalmazások által használt adatokat, és sok kölcsönösen összefüggő adattáblázatból állhatnak. Az adatbázisokban lévő adatokhoz közvetlenül is hozzáférhetnek adatbázis-rendszergazdai jogosultsággal rendelkező informatikai vagy egyéb munkatársak adatbázis-kezelő rendszereken keresztül. Az operációs rendszer felelős a hardver, az IT-alkalmazások és a hálózatban használt egyéb szoftverek közötti kommunikáció kezeléséért. Ennélfogva, az IT-alkalmazásokhoz és az adatbázisokhoz közvetlenül hozzá lehet férni az operációs rendszeren keresztül. Egy hálózatot az IT-infrastruktúrában adatok átvitelére, valamint információk, erőforrások és szolgáltatások közös kommunikációs összeköttetésen keresztüli megosztására használnak. A hálózat jellemzően (az operációs rendszeren keresztül engedélyezett) logikai biztonsági réteget is létrehoz a mögöttes erőforrásokhoz való hozzáféréshez.
17. Amikor a könyvvizsgáló azonosít IT-alkalmazásokat olyanként, amelyek ki vannak téve IT-ből eredő kockázatoknak, az(ok) az adatbázis(ok), amely(ek) egy azonosított IT-alkalmazás által feldolgozott adatokat tárolja (tárolják), jellemzően szintén azonosított(ak). Hasonlóképpen, mivel egy IT-alkalmazás működésre való képessége gyakran az operációs rendszertől függ, és az IT-alkalmazások és adatbázisok közvetlenül hozzáférhetők lehetnek az operációs rendszerből, az operációs rendszer jellemzően ki van téve az IT használatából eredő kockázatoknak. A hálózatot akkor azonosíthatják, amikor az egy központi hozzáférési pont az azonosított IT-alkalmazásokhoz és a kapcsolódó adatbázisokhoz, vagy amikor egy IT-alkalmazás az interneten keresztül van kapcsolatban szállítókkal vagy külső felekkel, vagy amikor a könyvvizsgáló a webbel kapcsolatban lévő IT-alkalmazásokat azonosít.
Az IT használatából eredő kockázatok és az általános IT-kontrollok azonosítása
18. Példák az IT használatából eredő kockázatokra magukban foglalják az olyan IT-alkalmazásokra történő nem helyénvaló támaszkodáshoz kapcsolódó kockázatokat, amelyek pontatlanul dolgoznak fel adatokat, pontatlan adatokat dolgoznak fel, vagy mindkettő, mint például
– Az adatokhoz való jogosulatlan hozzáférés, ami adatok megsemmisülését vagy adatok nem megfelelő megváltoztatását eredményezheti, beleértve a nem engedélyezett vagy nem létező ügyletek rögzítését, vagy az ügyletek nem pontos rögzítését. Különös kockázatok merülhetnek fel ott, ahol több felhasználónak van hozzáférése egy közös adatbázishoz.
– Annak lehetősége, hogy az informatikai munkatársak a számukra kijelölt feladatokhoz szükséges hozzáférésen felüli hozzáférési privilégiumokhoz jutnak, lerontva ezáltal a feladatok szétválasztását.
– A törzsállományok adatainak jogosulatlan változtatásai.
– Az IT-alkalmazások vagy az IT-környezet egyéb aspektusainak jogosulatlan megváltoztatásai.
– Az IT-alkalmazások vagy az IT-környezet egyéb aspektusai szükséges változtatásainak elmulasztása.
– A nem megfelelő manuális beavatkozás.
– A potenciális adatvesztés vagy az adatokhoz való szükséges hozzáférés képességének hiánya.
19. A jogosulatlan hozzáférés könyvvizsgáló általi mérlegelése magában foglalhat belső vagy külső felek általi jogosulatlan hozzáféréshez kapcsolódó kockázatokat (amelyeket gyakran kiberbiztonsági kockázatoknak neveznek). Az ilyen kockázatok lehet, hogy nem érintik szükségszerűen a pénzügyi beszámolást, mivel egy gazdálkodó egység IT-környezete magában foglalhat olyan IT-alkalmazásokat és kapcsolódó adatokat is, amelyek működési vagy megfelelési szükségletekkel foglalkoznak. Fontos megjegyezni, hogy a kiberincidensek rendszerint először a perem- és belső hálózati rétegeken keresztül történnek, amelyeket tendenciaszerűen távolabb visznek attól az IT-alkalmazástól, adatbázistól és azoktól az operációs rendszerektől, amelyek befolyásolják a pénzügyi kimutatások készítését. Ennek megfelelően, ha a biztonság megsértésével kapcsolatos információt azonosítottak, a könyvvizsgáló rendszerint mérlegeli, hogy egy ilyen megsértés milyen mértékben lehetett hatással a pénzügyi beszámolásra. Ha a pénzügyi beszámolásra hatással lehetett, a könyvvizsgáló úgy dönthet, hogy megismeri és teszteli a kapcsolódó kontrollokat a pénzügyi kimutatásokban lévő potenciális hibás állítások lehetséges hatásának vagy hatókörének meghatározása céljából, vagy arra a megállapításra juthat, hogy a gazdálkodó egység megfelelő közzétételeket adott a biztonság efféle megsértésével kapcsolatosan.
20. Emellett a jogszabályok és szabályozások, amelyeknek közvetlen vagy közvetett hatásuk lehet a gazdálkodó egység pénzügyi kimutatásaira, tartalmazhatnak adatvédelmi jogszabályokat. Annak a 250. témaszámú (felülvizsgált) nemzetközi könyvvizsgálati standarddal * összhangban való mérlegelése, hogy egy gazdálkodó egység megfelel-e az ilyen jogszabályoknak és szabályozásoknak, magában foglalhatja a gazdálkodó egység olyan IT-folyamatainak és általános IT-kontrolljainak megismerését, amelyeket a gazdálkodó egység a releváns jogszabályok vagy szabályozások kezelése céljából vezetett be.
21. Az általános IT-kontrollokat az IT használatából eredő kockázatok kezelése céljából vezetik be. Ennek megfelelően, a könyvvizsgáló az azonosított IT-alkalmazásokkal és az IT-környezet egyéb aspektusaival, valamint az IT használatából eredő vonatkozó kockázatokkal kapcsolatos megismerést használja fel az azonosítandó általános IT-kontrollok meghatározása során. Egyes esetekben a gazdálkodó egység lehet, hogy közös IT-folyamatokat alkalmaz IT-környezete egészében vagy bizonyos IT-alkalmazásokon keresztül, amely esetben lehet, hogy az IT használatából eredő közös kockázatokat és közös általános IT-kontrollokat azonosítanak.
22. Általában nagyobb számú általános IT-kontroll azonosítása valószínű az IT-alkalmazásokhoz és adatbázisokhoz kapcsolódóan, mint az IT-környezet egyéb aspektusaira vonatkozóan. Ennek oka, hogy ezek az aspektusok vannak a legszorosabb kapcsolatban az információfeldolgozással és az információk tárolásával a gazdálkodó egység információs rendszerében. Az általános IT-kontrollok azonosítása során a könyvvizsgáló egyaránt mérlegelheti a végfelhasználóknak, valamint a gazdálkodó egység IT munkatársainak vagy IT-szolgáltatóinak a tevékenységei feletti kontrollokat.
23. A 6. sz. függelék további magyarázatot ad az IT-környezet különböző aspektusaira jellemzően bevezetett általános IT-kontrollok jellegéről. Emellett példákat tartalmaz a különböző IT-folyamatokra vonatkozó általános IT-kontrollokra.
(Hiv.: 25. bekezdés (c) pont (ii) alpont, A173‒A174. bekezdések)
Az általános IT-kontrollok megismerésére vonatkozó szempontok
Ez a függelék további kérdéseket tartalmaz, amelyeket a könyvvizsgáló mérlegelhet az általános IT-kontrollok megismerése során.
1. Az IT-környezet egyes aspektusaira jellemzően bevezetett általános IT-kontrollok jellege:
(a) Alkalmazások
Az IT-alkalmazási rétegnél lévő általános IT-kontrollok az alkalmazási funkció jellegének és terjedelmének, valamint a technológiában lehetővé tett hozzáférési utaknak fognak megfelelni. Például több kontroll lesz releváns összetett biztonsági opciókkal rendelkező, nagymértékben integrált IT-alkalmazások esetében, mint egy örökölt IT-alkalmazásnál, amely kisszámú, csak ügyleteken keresztüli hozzáférési módszerekkel rendelkező számlaegyenleget támogat.
(b) Adatbázis
Az adatbázis rétegnél lévő általános IT-kontrollok jellemzően az adatbázisban lévő pénzügyi beszámolási információk közvetlen adatbázis-hozzáférésen, vagy egy szkript vagy program végrehajtásán keresztüli jogosulatlan frissítéséhez kapcsolódó, IT használatából eredő kockázatokat kezelnek.
(c) Operációs rendszer
Az operációs rendszer rétegnél lévő általános IT-kontrollok jellemzően azokat a kockázatokat kezelik, amelyek az IT használatából erednek az adminisztrátori hozzáféréshez kapcsolódóan, amely megkönnyítheti egyéb kontrollok felülírását. Ez magában foglal olyan tevékenységeket, mint más felhasználók azonosítóinak veszélyeztetése, új, jogosulatlan felhasználók hozzáadása, rosszindulatú szoftverek vagy végrehajtó szkriptek, vagy egyéb nem engedélyezett programok feltöltése.
(d) Hálózat
A hálózati rétegen lévő általános IT-kontrollok jellemzően a hálózati szegmentációval, távoli hozzáféréssel és felhasználóazonosítással kapcsolatos, IT használatából eredő kockázatokat kezelnek. Hálózati kontrollok akkor lehetnek relevánsak, amikor egy gazdálkodó egységnél webbel kapcsolatban lévő alkalmazások vannak használatban a pénzügyi beszámolásban. Hálózati kontrollok akkor is relevánsak lehetnek, amikor a gazdálkodó egységnek jelentős üzleti partneri kapcsolatai vagy harmadik félnek való kiszervezései vannak, ami növelheti az adatátvitelt és a távoli hozzáférés szükségességét.
2. Példák olyan általános IT-kontrollokra, amelyek előfordulhatnak, IT-folyamatonként rendszerezve, magukban foglalják a következőket:
(a) Hozzáférés kezelését szolgáló folyamat:
o Felhasználóazonosítás
Kontrollok, amelyek azt biztosítják, hogy az IT-alkalmazáshoz vagy az IT-környezet egyéb aspektusaihoz hozzáférő felhasználó a saját bejelentkezési azonosítóit használja (vagyis a felhasználó nem egy másik felhasználó azonosítóját használja).
o Engedélyezés
Kontrollok, amelyek lehetővé teszik a felhasználóknak, hogy hozzáférjenek a munkaköri felelősségeikhez szükséges információkhoz és azokon túl semmi máshoz, ami elősegíti a feladatok megfelelő szétválasztását.
o Felhasználói azonosítók létrehozása
Új felhasználók engedélyezését és meglévő felhasználók hozzáférési jogosultságának módosítását szolgáló kontrollok.
o Felhasználói azonosítók megszüntetése
Felhasználói hozzáférés munkaviszony megszűnésekor vagy áthelyezéskor való megszüntetését szolgáló kontrollok.
o Privilegizált hozzáférés
Adminisztrátori vagy teljes felhatalmazással rendelkező felhasználók hozzáférése feletti kontroll.
o Felhasználóihozzáférés-ellenőrzések
Folyamatos engedélyezés esetében idővel a felhasználói hozzáférés újbóli igazolását vagy értékelését szolgáló kontrollok.
o Biztonsági konfigurációs kontrollok
Minden egyes technológiának általában vannak alapvető konfigurációs beállításai, amelyek segítenek korlátozni a környezethez való hozzáférést.
o Fizikai hozzáférés
Az adatközponthoz és a hardverhez való fizikai hozzáférés feletti kontrollok, mivel az ilyen hozzáférést fel lehet használni egyéb kontrollok felülírására.
(b) Programváltoztatások vagy az IT-környezet egyéb változtatásainak kezelését szolgáló folyamat:
o Változáskezelési folyamat
Változtatások kialakítását, programozását, tesztelését és egy éles üzemi (vagyis végfelhasználói) környezetbe való migrálását szolgáló folyamat feletti kontrollok.
o A feladatok szétválasztása a változtatások migrálásával kapcsolatban.
Kontrollok, amelyek szétválasztják a hozzáférést a változtatások végrehajtásához és egy éles üzemi környezetbe való migrálásához.
o Rendszerek fejlesztése vagy beszerzése, vagy bevezetése
IT-alkalmazás kezdeti fejlesztése vagy bevezetése feletti (vagy az IT-környezet egyéb aspektusaira vonatkozó) kontrollok.
o Adatkonverzió
Az adatoknak az IT-környezet fejlesztése, bevezetése vagy frissítése közbeni konverziója feletti kontroll.
(c) Az IT-működés kezelésére szolgáló folyamat
o Munkaütemezés
Olyan munkák és programok ütemezéséhez és létrehozásához való hozzáférés feletti kontrollok, amelyek befolyásolhatják a pénzügyi beszámolást.
o Feladatok figyelemmel kísérése
Pénzügyi beszámolási feladatok vagy programok sikeres végrehajtásra vonatkozó figyelemmel kísérését szolgáló kontrollok.
o Mentés és visszaállítás
Kontrollok annak biztosítására, hogy a pénzügyi beszámolási adatok mentései terv szerint megtörténnek, valamint, hogy az ilyen adatok rendelkezésre állnak és hozzáférhetők időben történő visszaállítás céljából üzemszünet vagy támadás esetén.
o Behatolás észlelése
A sebezhetőség és vagy az IT-környezetbe való behatolások figyelemmel kísérését szolgáló kontrollok.
Az alábbi táblázat az IT használatából eredő kockázatok példáit kezelő általános IT-kontrollok példáit szemlélteti, beleértve jellegüktől függően különböző IT-alkalmazásokat.
| Folyamat | Kockázatok | Kontrollok | IT-alkalmazások | |||
| IT-folyamat | Példák az IT használatából eredő kockázatokra | Példák általános IT-kontrollokra | Nem összetett kereskedelmi szoftver – Alkalmazható (igen / nem) | Közepes méretű és közepesen összetett kereskedelmi szoftver vagy IT-alkalmazások – Alkalmazható (igen / nem) | Nagy vagy összetett IT-alkalmazások (például ERP rendszerek) – Alkalmazható (igen / nem) | |
| Hozzáférés kezelése | Felhasználói hozzáférési jogosultságok: A felhasználók rendelkeznek a kijelölt feladataikhoz szükséges jogosultságon felüli hozzáférési jogosultságokkal, ami a feladatok nem megfelelő szétválasztását hozhatja létre. | A vezetés hagyja jóvá az új és módosított felhasználói hozzáférésre vonatkozó felhasználói hozzáférési jogosultságok jellegét és terjedelmét, beleértve a standard alkalmazási profilokat/szerepköröket, a kritikus pénzügyi beszámolási ügyleteket, valamint a feladatok szétválasztását. | Igen – az alább jelzett felhasználói hozzáférés ellenőrzése helyett | Igen | Igen | |
| Azoknak a felhasználóknak a hozzáférését, akiknek megszűnt a munkaviszonyuk, vagy akiket áthelyeztek, időben megszüntetik vagy módosítják | Igen – a lenti felhasználói hozzáférés ellenőrzése helyett | Igen | Igen | |||
| A felhasználói hozzáféréseket rendszeres időközönként ellenőrzik | Igen – a fenti felhasználói azonosító létrehozási/ megszüntetési kontrollok helyett | Igen ‒ bizonyos alkalmazások esetében | Igen | |||
| A feladatok szétválasztását figyelemmel kísérik, és az ellentmondásos hozzáférést vagy megszüntetik vagy csökkentő kontrollokhoz rendelik hozzá, amelyeket dokumentálnak és tesztelnek | N/A – nincsen a rendszer által engedélyezett szétválasztás | Igen ‒ bizonyos alkalmazások esetében | Igen | |||
| A privilegizált szintű hozzáférést (például konfiguráció, adat- és biztonsági rendszergazdák) engedélyezik és megfelelően korlátozzák | Igen – valószínűleg csak az IT-alkalmazás rétegnél | Igen ‒ az IT-alkalmazásnál és az IT-környezet platformra vonatkozó bizonyos rétegeinél | Igen ‒ az IT-környezet platformra vonatkozó összes rétegénél | |||
| Hozzáférés kezelése | Közvetlen adathozzáférés: Nem megfelelő változtatásokat hajtanak végre közvetlenül a pénzügyi adatokban, alkalmazásügyletektől eltérő más eszközökön keresztül. | Az alkalmazási adatfájlokhoz vagy az adatbázisban lévő objektumokhoz/táblázatokhoz/adatokhoz való hozzáférés feljogosított munkatársakra korlátozódik a munkaköri felelősségeik és kijelölt szerepkörük alapján, és az ilyen hozzáférést a vezetés hagyja jóvá | N/A | Igen ‒ bizonyos alkalmazásokra és adatbázisokra vonatkozóan | Igen | |
| Hozzáférés kezelése | Rendszerbeállítások: A rendszerek nincsenek megfelelően konfigurálva vagy frissítve, hogy a rendszerhez való hozzáférés a megfelelő jogosultsággal felruházott és megfelelő felhasználókra legyen korlátozva. | A hozzáférés hitelesítése egyedi felhasználói azonosítókkal és jelszavakkal, vagy egyéb módszerekkel történik, mint annak érvényesítési mechanizmusa, hogy a felhasználók jogosultak a rendszerhez való hozzáférésre. A jelszóra vonatkozó paraméterek megfelelnek a társasági vagy ágazati standardoknak (például a jelszó minimális hosszúsága és bonyolultsága, lejárata, fiókzárolás) | Igen – csak jelszavas felhasználóazonosítás | Igen – jelszavas és többtényezős felhasználóazonosítás | Igen | |
| A biztonsági konfiguráció kulcsfontosságú jellemzőit megfelelően bevezették | N/A – nincsenek technikai biztonsági konfigurációk | Igen ‒ bizonyos alkalmazásokra és adatbázisokra vonatkozóan | Igen | |||
| Változtatások kezelése | Alkalmazásváltoztatások: Nem megfelelő változtatásokat hajtanak végre olyan alkalmazási rendszerekben vagy programokban, amelyek releváns automatizált kontrollokat (vagyis konfigurálható beállításokat, automatizált algoritmusokat, automatizált számításokat és automatizált adatkinyeréseket) vagy jelentési logikát tartalmaznak. | Az alkalmazásváltoztatásokat megfelelően tesztelik és jóváhagyják, mielőtt éles üzemi környezetbe teszik át azokat | N/A ‒ azt igazolná, hogy nincs telepített forráskód | Igen ‒ nem kereskedelmi szoftver esetében | Igen | |
| Az alkalmazási éles üzemi környezetben való változtatások bevezetéséhez való hozzáférést megfelelően korlátozzák és elkülönítik a fejlesztési környezettől | N/A | Igen, nem kereskedelmi szoftver esetében | Igen | |||
| Változtatások kezelése | Az adatbázis változtatásai: Nem megfelelő változtatásokat hajtanak végre az adatbázis felépítésében és az adatok közötti kapcsolatokban. | Az adatbázis változtatásait megfelelően tesztelik és jóváhagyják, mielőtt éles üzemi környezetbe teszik át azokat | N/A – a gazdálkodó egységnél nem hajtanak végre változtatást az adatbázisban | Igen ‒ nem kereskedelmi szoftver esetében | Igen | |
| Változtatások kezelése | A rendszerszoftver változtatásai: Nem megfelelő változtatásokat hajtanak végre a rendszerszoftverben (például operációs rendszer, hálózat, változáskezelő szoftver, hozzáféréskontroll szoftver). | A rendszerszoftver változtatásait megfelelően tesztelik és jóváhagyják, mielőtt éles üzemi környezetbe teszik át azokat | N/A – a gazdálkodó egységnél nem hajtanak végre változtatást a rendszerszoftverben | Igen | Igen | |
| Változtatások kezelése | Adatkonverzió: Örökölt rendszerekből vagy korábbi verziókból konvertált adatok adathibákhoz vezetnek, ha a konverzió hiányos, felesleges, elavult vagy pontatlan adatokat visz át. | A vezetés hagyja jóvá az adatoknak a régi alkalmazási rendszerből vagy adatstruktúrából az új alkalmazási rendszerbe vagy adatstruktúrába való konverziójának (például kiegyenlítő és egyeztető tevékenységek) eredményeit, és figyelemmel kíséri, hogy a konverziót a meglévő konverziós politikákkal és eljárásokkal összhangban hajtják végre | N/A – Manuális kontrollokon keresztül kezelik | Igen | Igen | |
| IT-működés | Hálózat: A hálózat nem megfelelőképpen akadályozza meg jogosulatlan felhasználóknak az információs rendszerekhez való nem megfelelő hozzáférésszerzését. | A hozzáférés hitelesítése egyedi felhasználói azonosítókkal és jelszavakkal, vagy egyéb módszerekkel történik, mint annak érvényesítési mechanizmusa, hogy a felhasználók jogosultak a rendszerhez való hozzáférésre. A jelszóra vonatkozó paraméterek megfelelnek a társasági vagy szakmai politikáknak és standardoknak (például a jelszó minimális hosszúsága és bonyolultsága, lejárata, fiókzárolás) | N/A – nincsenek külön hálózati felhasználóazonosítói módszerek | Igen | Igen | |
| A hálózat úgy van megtervezve, hogy leválassza a webbel kapcsolatban lévő alkalmazásokat a belső hálózattól, ahol a pénzügyi beszámolás feletti belső kontroll szempontjából releváns alkalmazásokhoz férnek hozzá | N/A – nem alkalmaznak hálózati szegmentációt | Igen ‒ megítéléssel | Igen ‒ megítéléssel | |||
| Adott időszakonként a hálózatkezelő munkacsoport sebezhetőségi vizsgálatokat végez a hálózati peremre vonatkozóan, és kivizsgálja a potenciális sebezhetőségeket is | N/A | Igen ‒ megítéléssel | Igen ‒ megítéléssel | |||
| Adott időszakonként figyelmeztetéseket állítanak elő, hogy jelezzék a behatolásészlelő rendszerek által azonosított veszélyeket. Ezeket a veszélyeket a hálózatkezelő munkacsoport kivizsgálja | N/A | Igen ‒ megítéléssel | Igen ‒ megítéléssel | |||
| Kontrollokat vezetnek be, hogy jogosult és megfelelő felhasználókra korlátozzák a virtuális magánhálózathoz (VPN) való hozzáférést | N/A – nincs VPN | Igen ‒ megítéléssel | Igen ‒ megítéléssel | |||
| IT-működés | Adatmentés és -visszaállítás: A pénzügyi adatok nem állíthatók vissza vagy nem férhetők hozzá kellő időben, amikor adatvesztés történik. | A pénzügyi adatokról rendszeresen mentések készülnek egy megállapított ütemterv és gyakoriság szerint | N/A – a pénzügyi munkacsoport kézi mentéseire támaszkodnak | Igen | Igen | |
| IT-működés | Munkaütemezés: A termelési rendszerek, programok vagy munkák adatok pontatlan, hiányos vagy jogosulatlan feldolgozását eredményezik. | Csak jogosult felhasználóknak van hozzáférése a kötegelt feladások frissítéséhez (beleértve az interfész munkákat) a munkaütemezési szoftverben | N/A – nincsenek kötegelt feladások | Igen ‒ bizonyos alkalmazások esetében | Igen | |
| A kritikus rendszereket, programokat vagy munkákat figyelemmel kísérik, és a feldolgozási hibákat kijavítják a sikeres végrehajtás biztosítása érdekében. | N/A – nem kísérik figyelemmel a munkákat | Igen ‒ bizonyos alkalmazások esetében | Igen | |||