Szkolenie dla wizytatorw Krajowej Izby Biegych Rewidentw Ocena

Szkolenie dla wizytatorów Krajowej Izby Biegłych Rewidentów Ocena i testowanie kontroli wewnętrznej w teorii i w przykładach Bronisławów, listopad 2013

Kontrola wewnętrzna w KSRF Uregulowania zasadniczo dość ubogie (KSRF 1) Główne wymogi wg KSRF • określenie i ocena ryzyk (w tym: ryzyka kontroli) –pkt 34, 35, 82 e KSRF 1 • udokumentowanie wyników badań zgodności uzasadniających obniżenie poziomu ryzyka kontroli – pkt 17 KSRF 1 • opis kontroli wewnętrznej wraz z ich oceną – pkt 37 KSRF 1 • szacunek ryzyka przeoczenia w oparciu o ocenę ryzyka nieodłącznego i kontroli – pkt. 17, 18, 28 KSRF 1

Kontrola wewnętrzna w KSRF Główne wymogi wg KSRF – cd. • pkt 81 KSRF nr 1 wśród elementów dokumentacji rewizyjnej wymienia między innymi te związane z dokumentowaniem kontroli wewnętrznej w jednostce: • plan i program badania oraz ich modyfikacje wraz z oceną ryzyka nieodłącznego, ryzyka kontroli w jednostce oraz ryzyka przeoczenia • dowody rozpoznania przez biegłego rewidenta systemu rachunkowości, w tym także prowadzonej za pomocą komputera, oraz kontroli wewnętrznej jednostki • dowody przeprowadzonej przez biegłego rewidenta analizy sprawności działania systemu kontroli wewnętrznej jednostki, zwłaszcza gdy zaufał jej działaniu

Kontrola wewnętrzna w KSRF Do kontroli wewnętrznej odnosi się rozdział VII KSRF 1 dot. nadużyć, naruszeń prawa oraz oceny ryzyka popełnienia nadużyć i przeciwdziałania nadużyciom Z powyższą oceną związane jest m. in. : • zrozumienie systemu działania kontroli wewnętrznej w jednostce • zrozumienie jak system kontroli wewnętrznej przeciwdziała powstawaniu nadużyć i naruszeń prawa • udokumentowanie powyższego zrozumienia

Kontrola wewnętrzna w KSRF Ubogie uregulowania w KSRF = skorzystanie z pkt 7 KSRF 1 (delegacja do MSRF) „Biegły rewident: w sprawach nieuregulowanych w krajowych standardach rewizji finansowej, przy ustalaniu szczegółowej metodyki planowania i przeprowadzania badania sprawozdania finansowego, w razie wątpliwości, kieruje się postanowieniami Międzynarodowych Standardów Rewizji Finansowej, wydanymi przez Międzynarodową Federację Księgowych. ” (pkt 7 KSRF nr 1) Szczegółowo kwestie kontroli wewnętrznej reguluje MSRF 315 „Poznanie jednostki i jej środowiska oraz szacowanie ryzyka wystąpienia istotnej nieprawidłowości. ”

Kontrola wewnętrzna a „Audit Risk Approach” • Kontrola wewnętrzna nierozerwalnie związana z szacowaniem ryzyka i audytem „opartym o szacowanie ryzyka” • Świadczy o tym także sposób ujęcia w MSRF 315 o nazwie „Poznanie jednostki, jej środowiska oraz szacowanie ryzyka wystąpienia istotnej nieprawidłowości • W modelu szacowania ryzyka, jakość kontroli wewnętrznej odzwierciedla stopień ryzyka kontroli MODEL RYZYKA: AR = IR x CR x DR Ryzyko kontroli w modelu powyżej to ryzyko wynikające z niemożności zapobiegnięcia, bądź wykrycia i naprawienia w odpowiednim czasie przez kontrolę wewnętrzną spółki nieprawidłowości mogącej wystąpić w stwierdzeniu, które może być istotne (osobno lub w powiązaniu z innymi błędami).

Co daje poleganie na kontroli wewnętrznej w jednostce? Niższe Ryzyko Kontroli Przyjęcie Wyższego Ryzyka Przeoczenia Ograniczone Testy Szczegółowe • mniej testów wiarygodności • mniejsze próby • możliwość ograniczenia nadzoru • oraz składu i doświadczenia zespołu

Stosowanie kontroli wewnętrznej („ścieżka decyzyjna” podejścia do badania)

Kontrola wewnętrzna (definicja i składniki) Definicja (MSRF 315) Kontrola wewnętrzna to proces zaprojektowany, wdrożony i wykonywany przez osoby sprawujące nadzór, kierownictwo i innych pracowników, mający dostarczyć wystarczającej pewności, że cele jednostki dotyczące wiarygodności sprawozdawczości finansowej, skuteczności i wydajności działalności oraz przestrzegania odnośnych praw i regulacji są realizowane Składniki systemu kontroli wewnętrznej • środowisko kontroli • proces oceny ryzyka przez jednostkę • system informacyjny • działania (czynności) kontrolne • nadzorowanie kontroli (audyt wewnętrzny)

Zakres dokumentowania kontroli wewnętrznej dla celów badania Według MSRF 315 biegły rewident ma obowiązek poznania kontroli wewnętrznej w zakresie związanym z badaniem Poznanie i zrozumienie systemu kontroli wewnętrznej ma służyć: • rozpoznaniu typów potencjalnych zniekształceń sprawozdań finansowych • rozważeniu czynników, które mają wpływ na ryzyko istotnego zniekształcenia badanych finansowych • zaprojektowaniu rodzaju, rozłożenia w czasie i zakresu dalszych procedur badania

Zakres dokumentowania a podejście do badania Dokumentowanie, jeśli nie polegamy na kontroli wewnętrznej • udokumentowanie działania kontroli wewnętrznej w kluczowych obszarach działalności (inaczej: kluczowych procesach) zrozumienie kontroli • ślad rewizyjny tzw. walk-through, inaczej przejście przez 1 transakcję (upewniające, że system działa tak jak zaprojektowany) Dokumentowanie, jeśli polegamy na kontroli wewnętrznej • jak wyżej oraz • testy efektywności kontroli

Przykład 1 (istotne pozycje, kluczowe procesy, strategia badania) Dla każdej z poniżej wymienionych jednostek wypisz istotne pozycje sprawozdania finansowego (max 5), odpowiadające im kluczowe procesy (max 3) oraz wybraną strategię badania (tj. czy polegamy na kontrolach wewnętrznych jednostki). W każdym poniższym przypadku wielkość jednostki jest na poziomie uzasadniającym badanie obligatoryjne według wymogów określonych w Uo. R: a/ spółka celowa (SPV) posiadająca nieruchomość biurową wynajmowaną, 1 nieruchomość w budowie oraz 2 działki budowlane; zatrudnienie 3 osoby; księgowość, administracja i inne funkcje realizowane przez zewnętrzne podmioty (outsourcing) b/ sieć supermarketów spożywczych c/ produkcja materiałów budowlanych (glazura, ceramika)

Przykład 1 a SPV nieruchomości (istotne pozycje / kluczowe procesy)

Przykład 1 a SPV nieruchomości (Jaka strategia badania? ) Kontrole występujące raczej nieformalne ze względu na: • nierozbudowaną strukturę organizacyjną • minimalną ilość pracowników • brak dużej ilości rutynowych transakcji Strategia badania powinna zakładać: • brak spodziewanych skutecznych kontroli • oparcie się na testach wiarygodności. Przy stosunkowo niewielkiej ilości transakcji i ich indywidualności, taka strategia będzie dawać zazwyczaj lepsze rezultaty (większa efektywność pracy, lepsze dowody badania)

Przykład 1 b Sieć supermarketów spożywczych (istotne pozycje / kluczowe procesy)

Przykład 1 b Sieć supermarketów spożywczych (Jaka strategia badania? ) Z uwagi na: • wiele transakcji rutynowych w sprzedaży i zakupie • niewielkie kwoty jednostkowe pojedynczych transakcji w sprzedaży • znaczną ilość asortymentów, cen sprzedaży i zakupu • ogromną ilość klientów oraz stosunkowo dużą ilość dostawców Strategia badania powinna zakładać: • spodziewane skuteczne kontrole w kluczowych procesach tj. sprzedaży i zakupie towarów handlowych • przegląd procesów i testowanie kluczowych kontroli Oparcie się na skutecznych kontrolach pozwoli ograniczyć testy wiarygodności (a szczególnie próby dobierane do testów)

Przykład 1 c Produkcja materiałów budowlanych (istotne pozycje / kluczowe procesy)

Przykład 1 c Produkcja materiałów budowlanych (Jaka strategia badania? ) Z uwagi na: • sprzedaż i zakupy opierają się na powtarzalnych transakcjach • wiele transakcji sprzedaży i zakupu w ciągu roku • stosunkowo duża ogromną ilość klientów oraz dostawców • duża ilość zapasów WG i materiałów do produkcji Strategia badania powinna zakładać: • spodziewane skuteczne kontrole w kluczowych procesach tj. sprzedaży i produkcji WG oraz zakupie materiałów do produkcji • przegląd procesów i testowanie kluczowych kontroli Oparcie się na skutecznych kontrolach pozwoli ograniczyć testy wiarygodności (a szczególnie próby dobierane do testów)

Komunikowanie słabości kontroli wewnętrznej do kierownictwa i osób sprawujących nadzór Regulowane przez MSRF 265 Komunikowanie się z osobami sprawującymi nadzór i kierownictwem w sprawie słabości kontroli wewnętrznej Według uregulowań: Rozpoznane w trakcie badania znaczące słabości kontroli wewnętrznej należy zakomunikować w formie pisemnej informacji do kierownictwa i osób sprawujących nadzór

Komunikowanie słabości kontroli wewnętrznej do kierownictwa i osób sprawujących nadzór- cd Słabość kontroli wewnętrznej występuje wówczas, kiedy kontrola wewnętrzna w jednostce jest zaprojektowana, wdrożona, wykonywana tak, że nie jest w stanie na bieżąco zapobiegać lub wykrywać i naprawiać zniekształceń w sprawozdaniach finansowych Znacząca słabość (significant deficiency) –pojedyncza słabość lub splot słabości kontroli wewnętrznej, które zgodnie z zawodowym osądem biegłego rewidenta mają na tyle duże znaczenie, że zasługują na uwagę osób sprawujących nadzór.

Znaczące słabości kontroli wewnętrznej (przykłady) • • nieefektywność procesu oceny ryzyka w jednostce • powtarzające się przypadki omijania istotnych części kontroli wewnętrznych np. w związku z omijaniem kontroli przez główne kierownictwo brak procesu oceny ryzyka w jednostce nieefektywne reakcje na rozpoznane znaczące ryzyko istotne zniekształcenia wykryte przez BR, którym kontrola wewnętrzna nie zapobiegła lub, których nie wykryła i nie skorygowała

Ocena kontroli wewnętrznej • adekwatność – że zaprojektowana do adekwatnych ryzyk • skuteczność (efektywność) – że zaprojektowana, wdrożona i wykonywana skutecznie, aby zapobiegać, wykrywać i naprawiać znaczące nieprawidłowości

Case study 1 (istotne ryzyka w kluczowych procesach) Jednostka zajmująca się handlem hurtowym materiałami biurowymi i drobnym sprzętem IT „BIURMAT” jest przedmiotem badania sprawozdania finansowego za okres kończący się 31 grudnia 2012 r. Przychody: 75 mln zł; Suma aktywów: 24 mln zł; Zatrudnienie: 134 osoby. Średnia miesięczna ilość transakcji sprzedaży: 2. 400 faktur. Średnia miesięczna ilość zakupów: 670 faktur. Ilość odbiorców: a/ powtarzalni (sklepy detaliczne, duże przedsiębiorstwa): 280, b/ sporadyczni (mali przedsiębiorcy, osoby fizyczne): 940. Ilość dostawców: 430. Ilość asortymentów (wg kodów produktowych): ok. 5000. Należy utworzyć grupy w ramach zespołów stolikowych. ½ stolika to przedstawiciele klienta, ½ to zespół audytorski. Poprzez dyskusję zespołów audytorskich z przedstawicielami klienta prosimy ustalić po 2 najistotniejsze ryzyka w poszczególnych , wypisanych w tabeli elementach procesu sprzedaży i zakupów. Skupiamy się na ryzykach mających znaczący wpływ na istotne pozycje badanego sprawozdania finansowego.

Case Study 2 (identyfikacja kluczowych kontroli) W zespołach jak w przykładzie 2 i dla BIURMAT opisanego w przykładzie 2, poprzez wywiad zespołów audytorskich z przedstawicielami klientów, należy zidentyfikować i wypisać potencjalne, adekwatne, kluczowe kontrole adresujące ryzyka z przykładu 2.

Testy kontroli (czyli jak ograniczyć ryzyko i zakres stosowanych procedur wiarygodności) Definicja wg MSRF 315 Testy kontroli to ocena skuteczności działania kontroli służących zapobieganiu lub wykrywaniu i korygowaniu istotnych zniekształceń na poziomie stwierdzeń

Testy kontroli (czyli jak ograniczyć ryzyko i zakres stosowanych procedur wiarygodności) Procedury uzyskiwania dowodów (testy kontroli): • Inspekcja - analiza zapisów, dokumentów • Obserwacja - przyglądanie się zapisom, procedurom wykonywanym przez innych • Ponowne wykonanie procedur - wykonane na dokumentach przekazanych przez audytowanego lub kontrolach • Wywiad / zapytanie – uzyskanie informacji od osób posiadających wiedzę o departamencie, organizacji lub osób spoza jednostki, ale z jednostką związanych Właściwa kombinacja w/w procedur zależna jest od osądu i oceny ryzyka przez biegłego rewidenta

Testy kontroli (wybór prób) Techniki wyboru próby jak przy testach wiarygodności. Najczęściej stosowane: • Losowy • Systematyczny • Niesystematyczny (przypadkowy) • Według wartości ważonych (Monetary Unit Sampling) Ilość elementów w próbach zależny od częstości wykonywania kontroli w jednostce. Najczęściej stosowane przez biegłych praktyki co do ilości w próbie: • Dzienna – 25/30 • Tygodniowa – 5 -10 • Miesięczna – 2 • Roczna – 1

Case study 3 (projektowanie testów kontroli) W zespołach jak w przykładzie 2 oraz 3 dla BIURMAT opisanego w przykładzie 2, poprzez dyskusję zespołów audytorskich, zaprojektować testy kontroli dla kluczowych kontroli z przykładu 3. Zaprojektowane testy kontroli prosimy wypisać w tabeli w poszczególnych miejscach, których one dotyczą.

Ocena wyników testów kontroli 1. Brak rozbieżności / błędów – kontrola skuteczna 2. Wystąpiły błędy • należy ocenić, co spowodowało błąd • ocenić, jaki jest wpływ na inne obszary badania • rozważyć, czy to nie anomalia, tj. pojedynczy, wyizolowany przypadek, czy też błąd o charakterze systemowym, powtarzający się • należy przyjąć poziom błędów dopuszczalny (w praktyce dopuszczalne 1 -2 rozbieżności/ błędy przy kontroli dziennej i próbie 25 -30 elementowej) • i zweryfikować, czy poziom mieści się w granicy błędów dopuszczalnych oraz poprzez rozszerzenie próby zweryfikować, czy błąd nie jest powtarzalny (o ile z analizy przyczyn wyżej nie widać a’priori, że błąd ma charakter systemowy/ powtarzalny !!!)

Ocena wyników testów kontroli- cd UWAGA! Przy ocenie wyników testów kontroli nie stosujemy ekstrapolacji Wskaźnik odchyleń próbki jest jednocześnie wskaźnikiem odchylenia populacji jako całości np. : kontrola dzienna, w próbie 30 elementów, znaleźliśmy 3 błędy to wskaźnik odchyleń jest 10%.

Ocena wyników testów kontroli – reakcja BR Jeżeli ocena BR wskazuje na istotne słabości / nieskuteczność kontroli wewnętrznej, BR powinien: • zwrócić się do kierownictwa o sprawdzenie rozpoznanych zniekształceń, określenie prawdopodobieństwa powstania kolejnych • uwzględnić nieskuteczność kontroli wewnętrznej przy planowaniu dalszej pracy (odpowiednio wyższa ilość testów wiarygodności) • rozważyć implikacje dla sprawozdania finansowego jako całości (np. powtarzające się błędy / oszustwa w procesie wystawiania faktur sprzedaży)

Przykład 2 (ocena wyników testów kontroli) Oceń z poziomu biegłego rewidenta badającego jednostkę następujące wyniki testów kontroli (w każdym przypadku 25 elementów testowanych): a/ test kontroli zapasów wykazał 1 błąd w wycenie towaru handlowego o wartości poniżej poziomu istotności; analiza błędu wykazała, że jego przyczyną była awaria systemu komputerowego; ustalono, że w ciągu badanego okresu w jednostce zdarzyła się tylko jedna taka awaria; b/ test kontroli procesu wystawiania faktur sprzedaży wykazał 2 rozbieżności; w wyniku dalszych analiz, ustalono, że błędy miał charakter systemowy i wynikały z nieprawidłowo ustalonych w systemie cen i kodów na cześć produktów jednostki; c/ test kontroli limitów kredytowych wykazał 2 sytuacje nieszczelności przy 30 elementowej próbie; analiza przyczyn wystąpienia nieszczelności wykazała, iż wynikały one z błędnego zaprojektowania kontroli tj. limity kredytowe mogły być zmieniane nie tylko przez Dz. Księgowości, ale także przez Dz. Sprzedaży. d/ w trakcie wykonywania testu kontroli na sprzedaż powyżej ceny zakupu zidentyfikowano kilka przypadków sprzedaży towarów ze znaczącą ujemną marżą; dalsza analiza wykazała, że ich przyczyną było pomijanie systemu kontroli i bezpośrednia sprzedaż „zaprzyjaźnionym klientom” po „specjalnych cenach” przez wiceprezesa ds. sprzedaży. Podaj sposób oceny oraz reakcję jaka powinna być zastosowana w każdym z wyżej wymienionych 4 przypadków przez BR.