پيش نويس استاندارد حسابرسی ۲۶۵ – اطلاعرسانی ضعفهای کنترلهای داخلی به ارکان راهبری و مدیران اجرایی
كميته تدوين استانداردهاى حسابرسی استاندارد حسابرسی بخش ۲۶۵ با عنوان ” اطلاعرسانی ضعفهای کنترلهای داخلی به ارکان راهبری و مدیران اجرایی “ را تدوین كرده است .انتشاراستاندارد تدوین شده به صورت پيش نويس باهدف كسب نظرات و پيشنهادات افراد ذينفع و ذيعلاقه در جامعه صورت مىگيرد و از ضروريات افزايش كيفيت استانداردهاى حسابداري است.
كميته تدوين استانداردهاى حسابرسی از تمام افراد صاحبنظر تقاضا دارد كه ضمن مطالعه دقيق پيش نويس استاندارد، پيشنهادات خود را حداكثر تا پايان شهریور ماه ۱۳۹۲ براى مديريت تدوين استانداردها (به آدرس – تهران، خيابان بيهقى، نبش خيابان۱۲، پلاك۱۲ و يا پايگاه اطلاع رسانى سازمان حسابرسى www. audit.org.ir) ارسال فرمايند.
توضيح سايت:
تاريخ اجراي اين استاندارد مشخص شد.
————————————————————————————
استاندارد حسابرسی ۲۶۵
اطلاعرسانی ضعفهای کنترلهای داخلی به ارکان راهبری و مدیران اجرایی
|
فهرست |
|
|
|
بند |
|
کلیات |
|
|
دامنه كاربرد |
۳-۱ |
|
تاريخ اجرا |
۴ |
|
هدف |
۵ |
|
تعاريف |
۶ |
|
الزامات |
۱۱-۷ |
|
توضیحات کاربردی |
|
|
تعیین اینکه آیا ضعفهای کنترلهای داخلی مشخص شدهاند یا خیر |
ت-۱ تا ت-۴ |
|
ضعفهای بااهمیت کنترلهای داخلی |
ت-۵ تا ت-۸ |
|
اطلاعرسانی ضعفهای کنترلهای داخلی |
ت-۹ تا ت-۲۵ |
اين استاندارد بايد همراه با استاندارد حسابرسي ۲۰۰ ”اهداف کلی حسابرس مستقل و انجام حسابرسی طبق استانداردهای حسابرسی“ مطالعه شود.
کلیات
دامنه كاربرد
۱- اين استاندارد، به مسئولیت حسابرس در زمینه اطلاعرسانی ضعفهای کنترلهای داخلی(۱)مشخص شده در حسابرسی صورتهای مالی، به ارکان راهبری و مدیران اجرایی (حسب مورد) میپردازد. این استاندارد در رابطه با مسئولیتهای حسابرس برای کسب شناخت از کنترلهای داخلی و طراحی و اجرای آزمون کنترلها، نسبت به آنچه که در استانداردهای ۳۱۵ و ۳۳۰(۲) مطرح شده است، الزامات بیشتری را مقرر نمیکند. در استاندارد ۲۶۰(۳)الزامات بیشتر و رهنمودهایی در خصوص مسئولیت حسابرس برای اطلاعرسانی به ارکان راهبری ارائه شده است.
۲- حسابرس هنگام تشخیص و ارزیابی خطرهای تحریف بااهمیت باید از کنترلهای داخلی مرتبط با حسابرسی صورتهای مالی شناخت کسب کند(۴). در انجام این ارزیابیها، حسابرس کنترلهای داخلی را به منظور طراحی روشهای حسابرسی مناسب شرایط موجود و نه قصد اظهارنظر نسبت به اثربخشی کنترلهای داخلی ارزیابی میکند. حسابرس ممکن است ضعفهای کنترلهای داخلی را نه تنها در جریان فرایند ارزیابی خطر، بلکه در هر مرحله دیگری از حسابرسی نیز تشخیص دهد. در این استاندارد آن دسته از ضعفهای مشخص شده توسط حسابرس که لازم است به ارکان راهبری و مدیران اجرایی اطلاعرسانی شود، تصریح شده است.
۳- این استاندارد مانع از آن نیست که حسابرس، سایر موضوعات مربوط به کنترلهای داخلی را که در جریان حسابرسی توسط وی مشخص شده است، به اطلاع ارکان راهبری و مدیران اجرایی برساند.
تاريخ اجرا
۴- اين استاندارد براي حسابرسي صورتهای مالي كه دوره مالي آنها از اول فروردین … و پس از آن شروع ميشود، لازمالاجراست.
هدف
۵- هدف حسابرس، اطلاعرسانی ضعفهای کنترلهای داخلی مشخص شده در جریان حسابرسی به ارکان راهبری و مدیران اجرایی (حسب مورد) است، که به نظر حسابرس، برای آنها دارای اهمیت کافی است.
تعاريف
۶- در این استاندارد، اصطلاحات زیر با معانی مشخص شده برای آنها بکار رفته است:
الف-ضعف کنترلهای داخلی- ضعف کنترلهای داخلی در مواردی وجود دارد که:
الف-۱-کنترلهای داخلی به شیوهای طراحی، پیادهسازی یا اجرا شده باشند که قادر به پیشگیری، یا کشف و اصلاح به موقع تحریفهای بااهمیت در صورتهای مالی نباشند، یا
الف-۲-کنترلهای داخلی لازم برای پیشگیری، یا کشف و اصلاح به موقع تحریفهای بااهمیت در صورتهای مالی وجود نداشته باشد.
ب-ضعف بااهمیت کنترلهای داخلی- یک ضعف یا ترکیبی از ضعفهای کنترلهای داخلی که به نظر حسابرس برای ارکان راهبری دارای اهمیت کافی باشد.
الزامات
۷- حسابرس باید بر مبنای کار حسابرسی انجام شده، تعیین کند که آیا ضعف یا ضعفهایی در کنترلهای داخلی مشخص شده است یا خیر (رک: بندهای ت-۱ تا ت-۴).
۸- اگر حسابرس یک یا چند ضعف را در کنترلهای داخلی مشخص کرده باشد، وی باید بر مبنای کار حسابرسی انجام شده تعیین کند که آیا این ضعفها به تنهایی یا در مجموع، بااهمیت محسوب میشوند یا خیر (رک: بندهای ت-۵ تا ت-۸).
۹- حسابرس باید ضعفهای بااهمیت کنترلهای داخلی مشخص شده در جریان حسابرسی را بهطور مکتوب و به موقع به اطلاع ارکان راهبری برساند. (رک: بندهای ت-۹ تا ت-۱۵، و ت-۲۳)
۱۰- حسابرس باید موارد زیر را نیز بهموقع به اطلاع سطح مناسبی از مدیران اجرایی برساند: (رک: بندهای ت-۱۶ و ت-۲۳)
الف-ضعفهای بااهمیت کنترلهای داخلی که حسابرس آنها را به طور مکتوب به ارکان راهبری اطلاعرسانی کرده است یا قصد دارد اطلاعرسانی کند، مگر اینکه اطلاعرسانی مستقیم به مدیران اجرایی در شرایط موجود مناسب نباشد، و (رک: بندهای ت-۱۱ و ت-۱۷)
ب-سایر ضعفهای کنترلهای داخلی مشخص شده در جریان حسابرسی که توسط اشخاص دیگر به مدیران اجرایی اطلاعرسانی نشده و به نظر حسابرس برای مدیران اجرایی دارای اهمیت کافی است. (رک: بندهای ت-۱۸ تا ت-۲۲).
۱۱- اطلاعرسانی کتبی حسابرس در مورد ضعفهای بااهمیت کنترلهای داخلی باید شامل موارد زیر باشد:
الف-شرحی از ضعفها و تشریح آثار بالقوه آنها، و (رک: بند ت-۲۴)
ب-اطلاعات کافی برای کمک به درک چارچوب اطلاعرسانی. به طور مشخص، حسابرس باید موارد زیر را تشریح کند: (رک: بند ت-۲۵)
ب-۱-هدف از حسابرسی، اظهارنظر نسبت به صورتهای مالی بوده است،
ب-۲-حسابرسی شامل بررسی کنترلهای داخلی مرتبط با تهیه صورتهای مالی به منظور طراحی روشهای حسابرسی مناسب شرایط موجود و نه به قصد اظهارنظر نسبت به اثربخشی کنترلهای داخلی است، و
ب-۳-موضوعات اطلاعرسانی شده به ضعفهایی محدود میشود که حسابرس در جریان حسابرسی آنها را مشخص کرده است و به نظر وی برای ارکان راهبری با اهمیت است.
توضیحات کاربردی
تعیین اینکه آیا ضعفهای کنترلهای داخلی مشخص شدهاند یا خیر (رک: بند ۷)
ت-۱-حسابرس برای تعیین اینکه آیا یک یا چند ضعف در کنترلهای داخلی مشخص شده است یا خیر، ممکن است درمورد یافتههای خود با سطح مناسبی از مدیران اجرایی مذاکره کند. این مذاکره فرصتی را برای حسابرس فراهم میآورد تا به موقع، در مورد وجود ضعفهایی که ممکن است مدیران اجرایی قبلاً از آنها آگاه نشده باشند، به آنها هشدار دهد. سطح مناسب مدیران اجرایی برای مذاکره درخصوص یافتههای حسابرس، سطحی است که با حوزه کنترلهای داخلی مربوط آشنا باشد و قدرت انجام اقدامات اصلاحی در مورد هر یک از ضعفهای مشخص شده در کنترلهای داخلی را داشته باشد. در برخی شرایط، ممکن است مذاکره مستقیم با مدیران اجرایی درخصوص یافتههای حسابرس مناسب نباشد، برای مثال، در صورتی که یافتهها بیانگر تردید نسبت به صداقت یا شایستگی مدیران اجرایی باشد (به بند
ت-۱۷ مراجعه شود).
ت-۲-حسابرس در مذاکره با مدیران اجرایی درخصوص واقعیتها و شرایط مربوط به یافتههای خود، ممکن است اطلاعات مربوط دیگری، نظیر موارد زیر، را برای بررسی بیشتر کسب کند:
-شناخت مدیران اجرایی از علل واقعی یا احتمالی ضعفها.
-ضعفهای مورد انتظاری که مدیران اجرایی ممکن است به آنها توجه کرده باشند، برای مثال، تحریفهایی که کنترلهای فناوری اطلاعات از وقوع آنها پیشگیری نکرده است.
-عکسالعمل اولیه مدیران اجرایی به یافتههای حسابرس.
ملاحظات خاص واحدهای تجاری کوچک
ت-۳-اگرچه مفاهیم زیربنایی فعالیتهای کنترلی در واحدهای تجاری کوچک اساساً مشابه واحدهای تجاری بزرگتر است اما نحوه اجرای آنها با هم متفاوت است. علاوه بر این، با توجه به اینکه در واحدهای تجاری کوچک، برخی از کنترلها توسط مدیران اجرایی اعمال میشود، ممکن است انواع خاصی از فعالیتهای کنترلی ضرورت نداشته باشد. برای مثال، اختیار انحصاری مدیران اجرایی برای اعطای اعتبار به مشتریان و تصویب خریدهای عمده، میتواند کنترل مؤثری را بر معاملات و مانده حسابهای عمده فراهم آورد، و در نتیجه، نیاز به فعالیتهای کنترلی تفصیلیتر را کاهش دهد یا منتفی کند.
ت-۴-علاوهبر این، واحدهای تجاری کوچک اغلب دارای کارکنان کمتری هستند، و در نتیجه امکان تفکیک وظایف محدود میشود. با این وجود در واحدهای تجاری کوچکی که مالک و مدیر شخص واحدی است، ممکن است مالک – مدیر قادر به اعمال نظارت مؤثرتری نسبت به واحدهای تجاری بزرگ باشد. این اعمال نظارت بیشتر توسط مدیران اجرایی، احتمال زیر پا گذاردن بیشتر کنترلها توسط آنها را به همراه خواهد داشت.
ضعفهای بااهمیت کنترلهای داخلی (رک: بندهای ۶-ب و ۸)
ت-۵-اهمیت یک ضعف یا ترکیبی از ضعفهای کنترلهای داخلی نه تنها به وقوع یک تحریف، بلکه به احتمال وقوع و تبعات بالقوه آن نیز بستگی دارد. بنابراین، ممکن است ضعفهای بااهمیت وجود داشته باشند، حتی اگر حسابرس در جریان حسابرسی تحریفی را مشخص نکرده باشد.
ت-۶-نمونههایی از موضوعاتی که حسابرس ممکن است در تعیین با اهمیت بودن یا نبودن یک ضعف یا ترکیبی از ضعفهای کنترلهای داخلی، در نظر بگیرد، شامل موارد زیر است:
-احتمال اینکه ضعفها در آینده منجر به بروز تحریفهای بااهمیتی در صورتهای مالی شود.
-آسیبپذیری دارایی یا بدهی مربوط در برابر تقلب.
-ذهنی و پیچیده بودن تعیین مبالغ برآوردی، نظیر برآوردهای حسابداری ارزش منصفانه.
-مبالغی از صورتهای مالی که وجود ضعفها میتواند بر آنها تأثیرگذار باشد.
-حجم فعالیتی که یک مانده حساب یا گروه معاملات در معرض ضعف، داشته است یا میتواند داشته باشد.
-اهمیت کنترلهایی نظیر موارد زیر در فرایند گزارشگری مالی:
–کنترلهای نظارتی عمومی (نظیر نظارت مدیران اجرایی).
–کنترلهای مربوط به پیشگیری و کشف تقلب.
–کنترلهای مربوط به انتخاب و بکارگیری رویههای حسابداری.
–کنترلهای مربوط به معاملات عمده با اشخاص وابسته.
–کنترلهای مربوط به معاملات عمده خارج از روال عادی عملیات واحد تجاری.
–کنترلهای مربوط به فرایند گزارشگری مالی پایان دوره (نظیر کنترلهای مربوط به ثبتهای حسابداری غیرمکرر).
-علت و فراوانی اشکالات کشف شده در نتیجه ضعفهای کنترلی.
-رابطه متقابل بین یک ضعف با سایر ضعفهای کنترلهای داخلی.
ت-۷-نمونههایی از نشانههای ضعفهای بااهمیت کنترلهای داخلی شامل موارد زیر است:
-شواهد حاکی از اثربخش نبودن برخی از عوامل محیط کنترلی، نظیر:
–وجود نشانههایی از عدم بررسی دقیق و مناسب معاملات عمده توسط ارکان راهبری که مدیران اجرایی در آنها منافع مالی دارند.
–تشخیص تقلب مدیران اجرایی (خواه بااهمیت، خواه بیاهمیت) که کنترلهای داخلی واحد تجاری از آن پیشگیری نکرده است.
–قصور مدیران اجرایی در انجام اقدامات اصلاحی مناسب درخصوص ضعفهای بااهمیتی که قبلاً اطلاعرسانی شده است.
-نبود فرایند ارزیابی خطر در واحد تجاری که به طور معمول انتظار میرود چنین فرایندی در آن واحد تجاری وجود داشته باشد.
-وجود شواهدی از اثربخش نبودن فرایند ارزیابی خطر واحد تجاری، نظیر قصور مدیران اجرایی در تشخیص خطر تحریف بااهمیتی که حسابرس انتظار دارد فرایند ارزیابی خطر واحد تجاری آن را مشخص کرده باشد.
-وجود شواهدی از اثربخش نبودن برخورد با خطرهای عمده مشخص شده (برای نمونه، نبود کنترل برای چنین خطری).
-تحریفهای کشف شده در نتیجه اجرای روشهای حسابرسی که توسط کنترلهای داخلی واحد تجاری پیشگیری، یا کشف و اصلاح نشده است.
-تجدید ارائه صورتهای مالی منتشر شده قبلی به منظور انعکاس اصلاحات انجام شده در خصوص تحریف بااهمیت ناشی از اشتباه یا تقلب.
-وجود شواهدی از ناتوانی مدیران اجرایی در نظارت بر تهیه صورتهای مالی.
ت-۸-کنترلها ممکن است بهگونهای طراحی شوند که به تنهایی یا در مجموع باعث پیشگیری، یا کشف و اصلاح اثربخش تحریفها شوند(۵) برای مثال، کنترلهای مربوط به حسابهای دریافتنی ممکن است شامل هر دو نوع کنترلهای دستی و خودکار باشد و بهگونهای طراحی شوند که با هم برای پیشگیری، یا کشف و اصلاح تحریفهای مانده حساب، مورد استفاده قرار گیرند. وجود یک ضعف در کنترلهای داخلی به خودی خود ممکن است آنقدر حائز اهمیت نباشد که بتوان آن را ضعف بااهمیت تلقی کرد. به هر حال، ترکیبی از ضعفهای اثرگذار بر یک مانده حساب یا مورد افشا، ادعای مربوط، یا یکی از اجزای کنترلهای داخلی، ممکن است خطرهای تحریف بااهمیت را چنان افزایش دهد که بتوان آنها را ضعف بااهمیت تلقی کرد.
اطلاعرسانی ضعفهای کنترلهای داخلی
اطلاعرسانی ضعفهای بااهمیت کنترلهای داخلی به ارکان راهبری (رک: بند ۹)
ت-۹-اطلاعرسانی کتبی ضعفهای بااهمیت به ارکان راهبری بیانگر اهمیت این موضوع است، و به ارکان راهبری در انجام مسئولیت نظارتی آنها کمک میکند. در استاندارد ۲۶۰ ملاحظات مربوط به اطلاعرسانی به ارکان راهبری، در مواردی که همه آنها در اداره واحد تجاری مسئولیت اجرایی دارند، تعیین شده است(۶).
ت-۱۰-در تعیین زمان صدور گزارش، حسابرس ممکن است این نکته را مدنظر قرار دهد که آیا چنین گزارشی، عامل مهمی در کمک به ایفای مسئولیتهای نظارتی ارکان راهبری محسوب میشود یا خیر. باتوجه به اینکه صدور گزارش حسابرس در مورد ضعفهای بااهمیت، بخشی از کار تکمیل پرونده حسابرسی است، گزارش کتبی در چارچوب الزامات (۷)مربوط به تکمیل بهموقع پرونده حسابرسی صادر میشود. براساس استاندارد ۲۳۰ معمولاً تا ۶۰ روز پس از تاریخ گزارش حسابرس، دوره زمانی مناسبی برای تکمیل پروندههای حسابرسی است(۸).
ت-۱۱-حسابرس صرف نظر از زمان اطلاعرسانی کتبی ضعفهای بااهمیت، ممکن است در اولین فرصت آنها را به طور شفاهی به مدیران اجرایی، و در موارد مقتضی، به ارکان راهبری گزارش کند تا به آنها در انجام اقدام اصلاحی برای به حداقل رساندن خطرهای تحریف بااهمیت کمک کند. با این حال، انجام این کار، مسئولیت حسابرس برای اطلاعرسانی کتبی ضعفهای بااهمیت، طبق الزامات این استاندارد را کاهش نمیدهد.
ت-۱۲-میزان جزئیات اطلاعرسانی ضعفهای بااهمیت، به قضاوت حرفهای حسابرس در آن شرایط بستگی دارد. نمونههایی از عواملی که حسابرس ممکن است در تعیین میزان جزئیات اطلاعرسانی در نظر بگیرد، شامل موارد زیر است:
-ماهیت واحد تجاری. برای مثال، اطلاعرسانی برای یک شرکت سهامی عام ممکن است متفاوت از اطلاعرسانی برای سایر واحدهای تجاری باشد.
-اندازه و پیچیدگی واحد تجاری. برای مثال، اطلاعرسانی برای یک واحد تجاری پیچیده ممکن است متفاوت از اطلاعرسانی برای واحد تجاری با عملیات تجاری ساده باشد.
-ماهیت ضعفهای بااهمیت مشخص شده توسط حسابرس.
-ترکیب ارکان راهبری واحد تجاری. برای مثال، اگر ارکان راهبری شامل اعضایی باشد که تجربه قابل ملاحظهای در صنعت واحد تجاری یا حوزههای متأثر از ضعفهای با اهمیت نداشته باشند، ممکن است ارائه جزئیات بیشتری مورد نیاز باشد.
-الزامات قانونی یا مقرراتی در مورد اطلاعرسانی انواع خاصی از ضعفهای کنترلهای داخلی.
ت-۱۳-مدیران اجرایی و ارکان راهبری ممکن است قبلاً از ضعفهای بااهمیتی که حسابرس در جریان حسابرسی مشخص کرده است آگاهی داشته باشند و ممکن است بدلیل هزینهبر بودن یا دیگر ملاحظات، از انجام اقدامات اصلاحی خودداری کرده باشند. مسئولیت ارزیابی هزینهها و منافع انجام اقدامات اصلاحی به عهده مدیران اجرایی و ارکان راهبری است. بنابراین، الزام بند ۹، بدون توجه به هزینه یا سایر ملاحظاتی که ممکن است از نظر مدیران اجرایی و ارکان راهبری در تعیین اصلاح یا عدم اصلاح چنین ضعفهایی مربوط تلقی شود، همچنان کاربرد دارد.
ت-۱۴-اگر حسابرس در حسابرسی قبلی ضعف بااهمیتی را به ارکان راهبری و مدیران اجرایی اطلاعرسانی کرده، و اقدام اصلاحی در این خصوص انجام نشده باشد، حسابرس باید اطلاعرسانی را تکرار کند. اگر ضعف بااهمیتی که قبلاً اطلاعرسانی شده است به قوت خود باقی مانده باشد، در اطلاعرسانی دوره جاری ممکن است اطلاعرسانی قبلی تکرار شود، یا اینکه فقط به اطلاعرسانی قبلی ارجاع داده شود. حسابرس ممکن است از مدیران اجرایی، یا در صورت لزوم، ارکان راهبری سؤال کند که چرا ضعف بااهمیت یاد شده هنوز اصلاح نشده است. قصور در انجام اقدام اصلاحی مناسب (در صورت نبود توضیح منطقی)، ممکن است به خودی خود بیانگر ضعف بااهمیتی باشد.
ملاحظات خاص واحدهای تجاری کوچک
ت-۱۵-در حسابرسی واحدهای تجاری کوچک، ممکن است ساختار اطلاعرسانی به ارکان راهبری در مقایسه با واحدهای تجاری بزرگ، سادهتر باشد.
اطلاعرسانی ضعفهای کنترلهای داخلی به مدیران اجرایی (رک: بند ۱۰)
ت-۱۶-معمولاً سطح مناسب مدیران اجرایی، فردی است که در ارزیابی ضعفهای کنترلهای داخلی و انجام اقدام اصلاحی لازم، دارای اختیار و مسئولیت است. در مورد ضعفهای بااهمیت، سطح مناسب احتمالاً مدیرعامل یا مدیر مالی (یا معادل آنها) است، هر چند اطلاعرسانی این موضوعات به ارکان راهبری نیز الزامی است. در مورد سایر ضعفهای کنترلهای داخلی، سطح مناسب، ممکن است مدیران اجرایی باشد که مشارکت مستقیمتری در حوزههای کنترلی متأثر از ضعفهای با اهمیت دارند و همچنین دارای اختیار انجام اقدام اصلاحی مناسب هستند.
اطلاعرسانی ضعفهای بااهمیت کنترلهای داخلی به مدیران اجرایی (رک: بند ۱۰ – الف)
ت-۱۷-برخی از ضعفهای بااهمیت مشخص شده در کنترلهای داخلی ممکن است باعث تردید در شایستگی یا صداقت مدیران اجرایی گردد. برای مثال، ممکن است شواهدی از تقلب یا عدم رعایت عمدی قوانین و مقررات توسط مدیران اجرایی، یا ناتوانی مدیران اجرایی در نظارت مناسب بر تهیه صورتهای مالی وجود داشته باشد که تردید در مورد شایستگی مدیران اجرایی را افزایش دهد. بنابراین اطلاعرسانی مستقیم چنین ضعفی به مدیران اجرایی ممکن است مناسب نباشد.
اطلاعرسانی سایر ضعفهای کنترلهای داخلی به مدیران اجرایی (رک: بند ۱۰- ب)
ت-۱۸-حسابرس ممکن است در جریان حسابرسی ضعفهای دیگری را در کنترلهای داخلی تشخیص دهد که هر چند ضعفهای بااهمیتی نیستند اما ممکن است ارزش اطلاعرسانی به مدیران اجرایی را داشته باشند. تعیین اینکه کدام یک از این ضعفها ارزش اطلاعرسانی به مدیران اجرایی را دارد، به قضاوت حرفهای حسابرس در آن شرایط بستگی دارد که در آن، احتمال وقوع و اهمیت نسبی تحریفهایی که ممکن است در نتیجه این ضعفها در صورتهای مالی به وجود آید، در نظر گرفته میشود.
ت-۱۹-در مورد سایر ضعفهای کنترلهای داخلی که ارزش اطلاعرسانی به مدیران اجرایی را دارند، نیازی به اطلاعرسانی کتبی وجود ندارد، بلکه انجام این کار میتواند به صورت شفاهی انجام شود. زمانی که حسابرس در مورد واقعیتها و شرایط یافتههای خود با مدیران اجرایی مذاکره میکند، ممکن است همزمان این ضعفها را نیز به طور شفاهی به مدیران اجرایی اطلاع دهد، بنابراین متعاقباً نیازی به اطلاعرسانی کتبی نیست.
ت-۲۰-اگر حسابرس سایر ضعفهای کنترلهای داخلی را در دوره قبل به مدیران اجرایی اطلاع داده باشد و مدیران اجرایی اقدام اصلاحی آنها را به دلیل هزینهبر بودن یا دلایل دیگر انجام نداده باشند، اطلاعرسانی مجدد آنها در دوره جاری ضرورت ندارد. همچنین اگر اینگونه ضعفها قبلاً توسط اشخاص دیگری نظیر حسابرسان داخلی یا مراجع قانونی به اطلاع مدیران اجرایی رسیده باشد، حسابرس ملزم به تکرار اطلاعرسانی چنین ضعفهایی نیست. چنانچه تغییر مدیریتی رخ داده باشد یا حسابرس به اطلاعات جدیدی دست یابد که شناخت قبلی وی و مدیران اجرایی از ضعفها را تغییر دهد، اطلاعرسانی مجدد این ضعفها میتواند مناسب باشد. با این وجود، قصور مدیران اجرایی در اصلاح سایر ضعفهای کنترلهای داخلی که قبلاً گزارش شده است، ممکن است ضعف بااهمیتی تلقی شود که باید به ارکان راهبری اطلاعرسانی شود. اطلاعرسانی این موضوع به قضاوت حسابرس در شرایط موجود بستگی دارد.
ت-۲۱-در برخی شرایط، ارکان راهبری ممکن است مایل باشند از جزئیات سایر ضعفهای کنترلهای داخلی که حسابرس به مدیران اجرایی اطلاعرسانی کرده است، یا بهطور خلاصه از ماهیت سایر ضعفها، آگاه شوند. از سوی دیگر ممکن است به نظر حسابرس مطلع شدن ارکان راهبری از اطلاعرسانی سایر ضعفها به مدیران اجرایی، مناسب باشد. در هر دو حالت، حسابرس ممکن است به طور شفاهی یا کتبی (هر کدام مناسب باشد) به ارکان راهبری اطلاعرسانی کند.
ت-۲۲-در استاندارد ۲۶۰، ملاحظات مربوط برای اطلاعرسانی به ارکان راهبری در شرایطی که همه اعضای ارکان راهبری در اداره واحد تجاری مسئولیت اجرایی دارند، ارائه شده است(۹).
ملاحظات خاص واحدهای بخش عمومی (رک: بندهای ۹ و ۱۰)
ت-۲۳-حسابرسان بخش عمومی ممکن است درخصوص اطلاعرسانی ضعفهای کنترلهای داخلی مشخص شده در جریان حسابرسی روش اطلاعرسانی، میزان ارائه جزئیات و مخاطبان، مسئولیتهای بیشتری از آنچه که در این استاندارد پیشبینی شده است، داشته باشند.
محتوای اطلاعرسانی کتبی ضعفهای بااهمیت کنترلهای داخلی (رک: بند ۱۱)
ت-۲۴-حسابرس در تشریح آثار بالقوه ضعفهای بااهمیت، ملزم نیست آثار آن ضعفها را به صورت کمی بیان کند. ضعفهای بااهمیت ممکن است در شرایطی که برای مقاصد گزارشگری مناسب باشد، گروهبندی شوند. همچنین حسابرس ممکن است در گزارش کتبی، پیشنهادهایی را برای انجام اقدامات اصلاحی مربوط به ضعفها، اقدامات انجام شده یا پیشبینیشده توسط مدیران اجرایی، و بررسیهای حسابرس برای تأیید اقدامات مدیران اجرایی درج کند.
ت-۲۵-حسابرس ممکن است اطلاعات زیر را نیز در گزارش کتبی درج کند:
-اشاره به این موضوع که اگر حسابرس روشهای گستردهتری را درباره کنترلهای داخلی اجرا میکرد، ممکن بود ضعفهای قابل گزارش بیشتری مشخص میشد، یا به این نتیجه میرسید که گزارش برخی ضعفها لازم نبود.
-اشاره به این موضوع که اطلاعرسانی برای استفاده ارکان راهبری انجام شده است، و ممکن است برای سایر مقاصد مناسب نباشد.
———————————————————
[۱].استاندارد حسابرسی ۳۱۵، ”شناخت واحد مورد رسیدگی و محیط آن و برآورد خطرهای تحریف بااهمیت“، بندهای ۱۲۰ و ۱۲۱.
[۲]. استاندارد حسابرسی ۳۳۰، ”روشهای حسابرسی در برخورد با خطرهای برآوردی“.
[۳]. استاندارد حسابرسی ۲۶۰، ”اطلاعرسانی به ارکان راهبری“.
[۴]. استاندارد حسابرسی ۳۱۵، بندهای ۴۱ و ۵۷ تا ۶۳ رهنمودهایی در مورد
[۵]. استاندارد حسابرسی ۳۱۵، بند ۵۴.
[۶]. استاندارد حسابرسی ۲۶۰، بند ۱۳.
[۷]. استاندارد حسابرسی ۲۳۰، ”مستندسازی“، بند ۲۵.
[۸]. استاندارد حسابرسی ۲۳۰، بند ۲۶.
[۹]. استاندارد حسابرسی ۲۶۰، بند ۱۳.
