محدودیتها: کنترلهای داخلی بر اثربخشی برنامه حسابرسی |
متاسفانه، عدهای از افراد از کنترل داخلی توقعات غیر واقعبینانه و خارقالعاده دارند. آنها به دنبال مطلقها هستند ولی کنترل داخلی بدلیل محدودیتهای ذاتی که دارد نمیتواند شواهدی قطعی مبنی بر دستیابی به هدفها را، برای مدیریت فراهم کند. نمونههایی از این محدودیتها عبارتند از:
* احتمال نارسا شدن یکی از روش های کنترل داخلی بدلیل تغییرات ایجاد شده در شرایط و کاهش میزان رعایت آن؛
* احتمال نادیده گرفتن کنترلهای داخلی از طرف مدیران یا کارکنان؛
* اشتباهات بالقوه انسانی ناشی از بی دقتی، حواس پرتی، خطای قضاوتی و تفسیر نادرست از دستورالعملها؛
*اغلب کنترلهای داخلی درباره معاملات و رویدادهای روزمره و نه غیر متعارف برقرار میشوند؛
* مخارج استقرار هر یک از روش های کنترل داخلی نباید بیشتر از منافع مورد انتظار آن روش باشد؛
* دادن اطمینانی معقول و نه مطلق، در خصوص تحقق اهداف واحد اقتصادی.
۲-۹- اجزای کنترلهای داخلی
کنترلهای داخلی از اجزای زیر تشکیل میشود:
۱- محیط کنترلی.
۲ – فرایندارزیابی خطرتوسط واحد مورد رسیدگی.
۳ – سیستم اطلاعاتی، شامل فرایندهای تجاری مربوط، در ارتباط با گزارشگری مالی و اطلاعرسانی.
۴ – فعالیتهای کنترلی.
۵ – نظارت برکنترلها.
تقسیم کنترلهای داخلی به اجزای پنجگانه بالا، چارچوب مفیدی را برای ارزیابی چگونگی تأثیر جنبههای مختلف کنترلهای داخلی واحد مورد رسیدگی برحسابرسی، برای حسابرس فراهم میآورد. اما این تقسیمبندی لزوماً چگونگی بررسی و اجرای کنترلهای داخلی توسط واحد مورد رسیدگی را نشان نمیدهد. همچنین، نگرانی اصلی حسابرس این است که آیا یک کنترل خاص، بهجای طبقهبندی آن به اجزای خاص، از وقوع تحریف با اهمیت در گروه های معاملات، مانده حسابها یا موارد افشا و ادعاهای مربوط پیشگیری یا آنها را کشف و اصلاح میکند یا خیر. از این رو، حسابرس میتواند به منظور تشریح جنبههای مختلف کنترلهای داخلی و اثر آنها بر حسابرسی، از واژگان یا چارچوبهایی متفاوت با موارد مندرج در این قسمت، مشروط به درنظر گرفتن همه اجزای مندرج در این قسمت، استفاده کند(استاندارد بین المللی ۳۱۵).
طراحی و استقرار کنترلهای داخلی بسته به اندازه و پیچیدگی واحد مورد رسیدگی متفاوت است. بهویژه، واحدهای کوچکتر ممکن است برای دستیابی به اهداف خود از ابزارهایی با رسمیت کمتر و پردازشها و روش های سادهتر استفاده کنند. برای مثال، واحدهای کوچکتری که مدیریت آن در فرایند گزارشگری مالی به طور فعال مشارکت میکند، ممکن است شرح تفصیلی و کتبی روش های حسابداری یا خط مشیها را نداشته باشد. در برخی واحدهای مورد رسیدگی، به ویژه واحدهای خیلی کوچک، صاحب سرمایه- مدیر، ممکن است وظایفی را انجام دهد که دریک واحد بزرگتر توسط چندین جزء کنترلهای داخلی انجام میشود. بنابراین، اجزای کنترلهای داخلی ممکن است در داخل واحدهای کوچکتر به روشنی تفکیک نشده باشد، اما اهداف اصلی آنها یکسان است.
جزییات بیشتر درباره این پایان نامه :
پایان نامه بررسی تأثیر کنترلهای داخلی بر اثربخشی برنامه حسابرسی – مدارک تجربی از اعضاء جامعه حسابداران رسمی ایران
۲-۱۰- میزان شناخت از کنترلهای داخلی
کسب شناخت از کنترلهای داخلی شامل ارزیابی طراحی یک کنترل و تعیین اجرا یا عدم اجرای آن است. ارزیابی طراحی یک کنترل عبارت است از بررسی توانایی آن کنترل، به تنهایی یا همراه با سایر کنترلها، در پیشگیری یا کشف و اصلاح مؤثر تحریفهای با اهمیت. اجرای کنترل بهمعنای وجود کنترل و بکارگیری آن توسط واحد مورد رسیدگی است. حسابرس طراحی یک کنترل را بررسی میکند تا ضرورت ارزیابی اجرای آن را مشخص کند. طراحی نامناسب یک کنترل ممکن است نشانه ضعفی با اهمیت در کنترلهای داخلی واحد مورد رسیدگی باشد .
روش های برآورد خطر برای کسب شواهد حسابرسی در باره طراحی و اجرای کنترلهای مربوط، ممکن است شامل پرس وجو از کارکنان واحد مورد رسیدگی، مشاهده اجرای کنترلهای خاص، وارسی مدارک و گزارشها و ردیابی معاملات از طریق سیستم اطلاعاتی مربوط به گزارشگری مالی باشد. برای ارزیابی طراحی یک کنترل مربوط به حسابرسی و تشخیص نحوه اجرای آن، پرس و جو به تنهایی کافی نیست.
کسب شناخت از کنترلهای واحد مورد رسیدگی به منظور استفاده از آن به عنوان آزمون اثربخشی اجرایی کنترلها کافی نیست، مگر این که یک سیستم خودکار برای اجرای یکنواخت کنترلها وجود داشته باشد برای
مثال، کسب شواهد حسابرسی درباره اجرای یک کنترل دستی در یک لحظه از زمان، شواهد حسابرسی در باره اثربخشی اجرایی آن کنترل را در سایر زمانهای طی دوره مورد حسابرسی فراهم نمیکند. به هر حال، فناوری اطلاعات، امکان پردازش یکنواخت مقادیر زیادی از اطلاعات را برای واحد مورد رسیدگی فراهم میکند و توان آن را در نظارت بر اجرای فعالیتهای کنترلی و دستیابی به تفکیک اثربخش وظایف از طریق برقراری کنترلهای ایمنی در برنامههای کاربـردی، بانـکهای اطلاعـاتی و سیستم های عـامل، بالا میبـرد. بدینسان، به دلیل یکنواختی ذاتی در پـردازش اطلاعات در سیستم های رایانهای و با تـوجه به بـرآورد حسابرس و آزمون کنترلهایی چون کنترلهای مربوط به تغییرات برنامه، اجرای روش های حسابرسی برای تشخیص نحوه اجرای یک کنترل خودکار میتواند به عنوان یک آزمون اثربخشی اجرایی آن کنترل نیز محسوب شود.
۲-۱۱- ویژگیهای اجزای دستی و خود کار کنترلهای داخلی مربوط به برآورد خطر توسط حسابرس
بیشتر واحدهای تجاری از سیستم های فناوری اطلاعات برای گزارشگری مالی و اهداف عملیاتی استفاده میکنند. اما، حتی در مواردی که از فناوری اطلاعات بطور گسترده استفاده میشود، عناصری دستی در سیستم ها وجود خواهد داشت. توازن بین اجزای دستی و خودکار، متفاوت است. در برخی موارد، به ویژه در واحدهای کوچکتر و با پیچیدگی کمتر، سیستم ها اساساً دستی است. در دیگر موارد، میزان خودکار بودن سیستم ها از این لحاظ متفاوت است که برخی سیستم ها اساساً خودکار است و عناصر دستی اندکی دارد و سایر سیستم ها، حتی در همان واحد تجاری، اساساً دستی است. درنتیجه، ساختار کنترلهای داخلی یک واحد مورد رسیدگی احتمالاً شامل عناصری دستی و خودکار است که ویژگیهای آن، به برآورد خطر توسط حسابرس و روش های حسابرسی لازم مبتنی بر آن، مربوط میشود.
استفاده از عناصر دستی یا خودکار در کنترلهای داخلی، بر چگونگی شروع، ثبت، پردازش و گزارش معاملات نیز اثر میگذارد. کنترلها در سیستم دستی ممکن است شامل روشهایی چون تصویب و بررسی فعالیتها و مغایرتگیری و پیگیری اقلام باز باشد. از سوی دیگر، واحد مورد رسیدگی ممکن است برای شروع، ثبت، پردازش و گزارش معاملات از روش های خودکار استفاده کند که در این صورت، سوابق الکترونیکی جایگزین مستندات کاغذی چون سفارشات خرید، فاکتورهای فروش، مدارک حمل و سوابق حسابداری مربوط میشود. کنترل در سیستم های فناوری اطلاعات شامل ترکیبی از کنترلهای خودکار (برای مثال، کنترلهای تعبیه شده در برنامههای کامپیوتری) و کنترلهای دستی است. افزون بر این، کنترلهای دستی میتواند مستقل از فناوری اطلاعات باشد، از اطلاعات تهیه شده توسط فنـاوری اطلاعات اسـتفاده کند یا ممکـن است به نظارت بر عملکرد مؤثر فناوری اطلاعات و کنترلهای خودکار و همچنین، پیگیری موارد استثنا محدود باشد. در مواردیکه برای شروع، ثبت، پردازش یا گزارش معاملات یا سایر اطلاعات مالی مندرج در صورتهای مالی از فناوری اطلاعات استفاده میشود، سیستم ها و برنامهها ممکن است شامل کنترلهای مربوط به ادعاهای مرتبط با حسابهای با اهمیت باشد یا از لحاظ عملکرد مؤثر کنترلهای دستی متکی به فناوری اطلاعات، نقش اساسی داشته باشد. ترکیب کنترلهای دستی و خود کار واحد مورد رسیدگی برحسب ماهیت و پیچیدگی استفاده آن از فناوری اطلاعات، فرق میکند.
معمولاً فناوری اطلاعات مزیتهای بالقوهای را برای اثر بخشی و کارایی کنترلهای داخلی واحد مورد رسیدگی فراهم میکند، زیرا واحد مورد رسیدگی را قادر به انجام موارد زیر میکند:
اجرای یکنواخت قواعد تجاری از پیش تعیین شده و انجام محاسبات پیچیده در پردازش حجم بزرگی از معاملات یا اطلاعات.
افزایش قابلیت دسترسی، بهموقع بودن و صحت اطلاعات.
تسهیل تحلیل بیشتر اطلاعات.
افزایش توان نظارتبر عملکرد واحد مورد رسیدگی و سیاستها و رویههای آن.
کاهش خطر نادیده گرفتن کنترلها.
افزایش توان دستیابی به تفکیک مؤثر وظایف ازطریق استقرار کنترلهای ایمنی در برنامههای کاربردی، بانکهای اطلاعاتی و سیستم های عامل.
فناوری اطلاعات، کنترلهای داخلی واحد مورد رسیدگی را در معرض خطرهای خاصی چون موارد زیر نیز قرار میدهد :
اعتماد به سیستم ها یا برنامههایی که اطلاعات را نادرست پردازش میکند، اطلاعات نادرست را پردازشمیکند، یا هردو.
دسترسی غیرمجاز به اطلاعات، که ممکن است به از بین رفتن اطلاعات یا تغییر نابجا در اطلاعات، شامل ثبت معاملات غیرمجاز یا واهی، یا ثبت نادرست معاملات بیانجامد. برخی خطرها ممکن است در مواردی پدید آید که بیش از یک استفادهکننده به یک بانک اطلاعاتی عمومی دسترسی دارند.
احتمال برخورداری کارکنان فناوری اطلاعات از امکان دسترسی بیش از حد مورد نیاز برای انجام وظایف خود و ازاین رو، نقض تفکیک وظایف.
تغییرات غیرمجاز در اطلاعات پروندههای اصلی.
تغییرات غیرمجاز در سیستم ها یا برنامهها.
قصور در اعمال تغییرات لازم در سیستم ها یا برنامهها.
دخالتهای دستی نابجا.
احتمال بالقوه از دست رفتن اطلاعات یا ناتوانی در دسترسی به اطلاعات مورد نیاز. درشرایطی نظـیر موارد زیر که مستـلزم قضاوت و آزادی عمـل است، جنبههای دستی سیستم ها ممکن است مناسبتر باشد:
معاملات بزرگ، غیرعادی یا غیرمکرر.
شرایطی که تشخیص یا پیشبینی اشتباهات دشوار است.
شرایط متغیری که به یک واکنش کنترلی، خارج از حدود یک کنترل خودکار موجود، نیاز است.
نظارت بر اثربخشی کنترلهای خودکار.
کنترلهای دستی توسط افراد انجام میشود و از اینرو، کنترلهای داخلی واحد مورد رسیدگی را در معرض خطرهای بخصوصی قرار میدهد. کنترلهای دستی ممکن است کمتر از کنترلهای خودکار قابل اعتماد باشد، زیرا بهآسانی میتواند دور زده شود، نادیده گرفته شود یا زیر پا گذارده شود و همچنین، بیشتر در معرض رخداد اشتباهات و خطاهای ساده قرار دارد. از این رو، نمیتوان فرض کرد که اجزای کنترلهای دستی به طور یکنواخت اعمال میشود. سیستم های دستی ممکن است در موارد زیر چندان مناسب نباشد:
فرم در حال بارگذاری ...
[یکشنبه 1399-01-31] [ 03:35:00 ق.ظ ]
|