14 marca 2018 Krystian Kubanek

Badanie środowiska kontroli wewnętrznej

Biegły rewident jest odpowiedzialny w wykonaniu swojej pracy za rozpoznanie i ocenę ryzyka istotnego zniekształcenia sprawozdań finansowych dzięki poznaniu jednostki i jej otoczenia, a w szczególności kontroli wewnętrznej jednostki której badanie sprawozdania przeprowadza. Bez znaczenia jest w jaki sposób to zniekształcenie powstaje, czy jest wynikiem oszustwa, czy błędu. Biegły musi umieć zaprojektować i wykonać odpowiednie procedury służące ocenie tego zniekształcenia.

Zrozumienie kontroli wewnętrznej funkcjonującej w badanej jednostce jest kluczowe dla przebiegu badania, nie tylko ze względu na możliwe zniekształcenia sprawozdania, ale także na ekonomię i racjonalność działania biegłego. To do zawodowego osądu biegły musi się odnieść, by ocenić jakie kontrole dotyczące sprawozdawczości finansowej są znaczące dla badania.

Pojęcie kontroli wewnętrznej Krajowy Standard Rewizji Finansowej 315 definiuje jako proces zaprojektowany, wdrożony i utrzymywany przez osoby sprawujące nadzór, kierownika jednostki i innych pracowników. Ma on dostarczać wystarczającej pewności, że cele jednostki dotyczące wiarygodności sprawozdawczości finansowej, skuteczności i wydajności działalności oraz zgodności z mającymi zastosowanie przepisami prawa oraz regulacjami są osiągane.

Ramy środowiska kontroli wewnętrznej

Środowisko kontroli obejmuje funkcje nadzorcze i zarządcze oraz postawy, świadomość i działania, podejmowane przez osoby sprawujące nadzór i kierownika jednostki, w zakresie kontroli wewnętrznej oraz ich znaczenie dla badanego podmiotu. Środowisko kontroli nadaje ton organizacji, wpływając na świadomość kontroli u jej pracowników.

Istotą działania biegłego rewidenta jest zrozumienie działania środowiska kontroli, które posiada badana jednostka. Występującą w podmiotach kontrolę wewnętrzną można postrzegać w dwóch wymiarach:

•  w ramach kontroli rozległych, 
•  w ramach kontroli zachodzących transakcji lub procesów.

Oba wymiary kontroli różnią się od siebie. Należy mieć na uwadze, że to kontrole rozległe, w znaczącym stopniu odpowiadają za skuteczność kontroli transakcji, lub jej brak.

Kontrole rozległe wiążą się z promowanym przez kierownictwo jednostki system wartości, opartym na kulturze uczciwości i etycznego zachowania. Dzięki odpowiednim „sygnałom z góry” przekazywanym przez pozytywne postawy kierownictwa w odniesieniu do kontroli wewnętrznej, zapobieganiu oszustwom, kształtowane są oczekiwane kompetencje pracowników i podejście przez nich do zagadnienia kontroli wewnętrznej. W korporacjach zazwyczaj przekazywanie pozytywnych postaw względem kontroli rozpoczyna się od nadzoru korporacyjnego. W małych i średniej wielkości podmiotach, podejście do uczciwości i etycznego postępowania wywodzi się często bezpośrednio od właściciela.

Dzięki istniejącym kontrolom rozległym, budowana jest podstawa do zaistnienia i praktycznego funkcjonowania szczegółowych kontroli transakcyjnych. Inaczej mówiąc, stawiane „z góry” wysokie wymagania ustalają ogólne oczekiwania wobec środowiska kontroli w jednostce. Przekłada się to na bezpośrednią zależność: dobrze zaprojektowane kontrole rozległe mogą w rzeczywistości stymulować unikanie wszelkiego rodzaju błędów i oszustw. Nieistniejące lub słabe kontrole rozległe będą stwarzały okazje do nadużyć i omyłek.

Badanie środowiska kontroli wewnętrznej – elementy

Środowisko kontroli jest jednym z pięciu ramowych elementów kontroli wewnętrznej, które to biegły rewident powinien zrozumieć, w celu zidentyfikowania istotnego zniekształcenia. Pozostałe elementy kontroli to:

• proces oceny ryzyka przez jednostkę – który wiąże się z identyfikacją i analizą ryzyka dla osiągnięcia celów jednostki,
• system informacyjny – który obejmuje powiązane procesy gospodarcze stosowne dla sprawozdawczości finansowej i komunikację, dzięki temu można prowadzić i kontrolować działalność,
• czynności kontrolne – obejmują szereg podejmowanych w jednostce działań, takich jak zgody, zezwolenia, weryfikacje, uzgodnienia, przeglądy działalności operacyjnej, bezpieczeństwa aktywów i podziały obowiązków,
• monitorowanie kontroli – jest procesem służącym ocenie skuteczności działania kontroli wewnętrznej na przestrzeni czasu.

Rozpoznanie i zrozumienie poszczególny elementów kontroli, powinno w efekcie, wpłynąć na rodzaj, rozłożenie w czasie i zakres dalszych procedur, które biegły rewident zaplanuje do wykonania. Poznawanie kontroli jest czynnością dynamiczną, wpisaną w cały proces badania prowadzony przez biegłego rewidenta. Skutkiem tego poznania może być zmiana postrzegania możliwości wystąpienia istotnego zniekształcenia, a w konsekwencji na procedury badania.

W zależności od wielkości i stopnia złożoności jednostki, zaprojektowany i wdrożony system kontroli wewnętrznej, będzie różny. Mniejsze jednostki do osiągnięcia swoich celów wykorzystują często mniej sformalizowane sposoby, prostsze procesy i procedury. Chociaż pięć elementów kontroli wewnętrznej może nie być wyraźnie rozróżnionych, to ich podstawowe cele są tak samo ważne. Przykładowo właściciel – kierownik może (a przy braku dodatkowych pracowników powinien) spełniać funkcje przyporządkowane kilku elementom kontroli wewnętrznej.

Wykonane testy kontroli (badania zgodności) często oznaczają znacznie mniejszą ilość pracy do wykonania, niż w przypadku przeprowadzania rozległych badań szczegółowych. Nie mniej wszystkie pięć elementów kontroli musi być poddanych badaniu.

Identyfikacja procesów zachodzących w jednostce

Procesy gospodarcze odzwierciedlają występujące transakcje w jednostce gospodarczej. W ramach funkcjonującego systemu informacyjnego, procesy są ujmowane, przetwarzane i prezentowane w formie sprawozdań (raportów). Klasyfikacja pozwalająca nazywać procesy może być bardzo zróżnicowana.

Zgodnie z KSRF 315 procesy gospodarcze jednostki są działaniami mającymi na celu:

• Opracowanie, zakup, produkcję, sprzedaż oraz rozprowadzenie produktów i usług jednostki,
• Zapewnienie przestrzegania prawa i regulacji oraz
• Ewidencjonowanie informacji, w tym prowadzenie księgowości i sporządzanie sprawozdawczości finansowej. Proces ten obejmuje on oprogramowanie księgowe, arkusze elektroniczne oraz zasady i procedury używane do sporządzenia sprawozdań finansowych,

Dzięki zrozumieniu procesów gospodarczych funkcjonujących w jednostce, w tym sposobu zapoczątkowywania transakcji, biegły rewident ma okazję do poznania systemu informacyjnego jednostki, powiązanego ze sprawozdawczością finansową, w sposób odpowiedni do okoliczności właściwych dla jednostki. Rzetelne zrozumienie kontroli na poziomie jednostki, zapewnia podstawę oceny istotnych kontroli nad sprawozdawczością finansową na poziomie procesów działalności gospodarczej. Jeżeli, na przykład występuje słaba kontrola rzetelności danych na poziomie jednostki, wpływa to zazwyczaj na wiarygodność wszystkich informacji generowanych przez np. systemy sprzedaży, zakupów czy płac.

Opis procesów, identyfikacja i opis kontroli

Procesy gospodarcze które są opisane przez system informacyjny muszą być zrozumiałe dla biegłego rewidenta, co najmniej w następujących obszarach:

• Dla transakcji będących przedmiotem działalności jednostki, biegły powinien dokonać identyfikacji jakie grupy transakcji są istotne dla sprawozdania finansowego;
• Procedur stosowanych zarówno w ramach technologii informacyjnych (IT), jak i systemów ręcznych, biegły powinien poznać w jaki sposób inicjowane, przetwarzane i raportowane są transakcje w procesach działalności gospodarczej jednostki;
• Powiązanych zapisów księgowych, wspierających informacje i poszczególne salda w sprawozdaniach finansowych, biegły ma za zadanie zrozumienie standardów księgowania w jaki sposób system wychwytuje zdarzenia i warunki (inne niż grupy transakcji), które są istotne dla sprawozdania finansowego;
• Sposobu, w jaki w systemie informacyjnym są ujmowane zdarzenia i warunki, inne niż transakcje, które są znaczące dla sprawozdań finansowych;
• Procesu sprawozdawczości finansowej stosowanego do sporządzania sprawozdań finansowych jednostki, w tym znaczących wartości szacunkowych i ujawnień oraz kontroli dotyczących zapisów dziennika, w tym nietypowych zapisów księgowych.

Badanie procesów nie wymaga zrozumienia działania wszystkich czynności kontrolnych dotyczących każdej znaczącej grupy transakcji, salda konta i ujawnienia w sprawozdaniach finansowych lub każdego stwierdzenia ich dotyczącego. Wybór zakresu pozostawia się osądowi biegłego rewidenta.

Kontrole transakcyjne (kontrole procesów działalności gospodarczej) to określone procesy – kontrole zaprojektowane, aby transakcje były prawidłowo rejestrowane dla celów przygotowania sprawozdania finansowego. Kontrole te polegają również na sprawdzeniu czy zapisy księgowe były prowadzone w sposób wystarczająco szczegółowy, by dokładnie i uczciwie odzwierciedlać wszystkie transakcje i zarządzanie aktywami. Mają również oceniać, czy wpływy i wydatki były dokonywane wyłącznie za zgodą kierownictwa oraz czy zapobiegają defraudacji.

Procesy kontroli transakcji powinny obejmować zarówno transakcje rutynowe (takie jak przychody, zakupy i płace) jak i nietypowe (takie jak zakup sprzętu lub koszty związane z rozpoczęciem nowej linii działalności).

Czynności podejmowane przez biegłego w związku z badaniem środowiska kontroli wewnętrznej powinny zostać odpowiednio opisane i udokumentowane. Nie jest konieczne dokumentowanie każdej rozpatrywanej drobnej sprawy lub każdego dokonanego zawodowego osądu w trakcie badania kontroli. Obowiązuje w tym względzie podstawowa zasada, że dokumentacja z badania jest wystarczająca, jeżeli umożliwia innemu doświadczonemu biegłemu niezwiązanemu z badaniem, w oparciu o zebrane dowody, zrozumienie przeprowadzonych procedur, ich rezultatów, znaczących osądów oraz dotyczących ich wniosków.

Wielkość dokumentacji, sposób dokumentowania jest uzależniona od wielkości badanej jednostki. Dokumentacja badania dla mniejszych jednostek na ogół jest mniejsza, niż ta dla badania większych jednostek. Dla małych jednostek wystarczające może być rejestrowanie różnych aspektów badania, w tym kontroli wewnętrznej, łącznie w jednym dokumencie, z odpowiednimi powiązaniami do dokumentacji roboczej. W przypadku dużych podmiotów dokumentacja badania kontroli wewnętrznej może z kolei stanowić znaczącą, odrębną sekcję dokumentacji badania.

Testowanie działania kontroli w praktyce

Ograniczony czas jakim dysponuje biegły rewident, w porównaniu z znaczną ilością dokumentów i operacji, jakie są wynikiem działalności jednostki, powoduje konieczność oparcia się na wykonanej ocenie jakości systemu kontroli wewnętrznej. Jakość systemu kontroli wewnętrznej ma istotne znaczenie dla biegłego przy wyborze metod i technik badania. Pozytywna ocena funkcjonującej kontroli umożliwia biegłemu zastosowanie reprezentatywnych i analitycznych metod badania, ograniczając tym samym ilość kontrolowanych dokumentów źródłowych.

W praktyce ocena sytemu kontroli może się opierać na zestandaryzowanych testach (listy czynników ryzyka, formularze, kwestionariusze) poprzez łączenie licznych zapytań i procedur szacowania ryzyka, takich jak: potwierdzanie, obserwacja, inspekcja dokumentów procedury analityczne. Analiza wyników testów, pozwala na zrozumienie kontroli przez biegłego rewidenta i wyciąganie wniosków odnoszących się do planowania przebiegu badania. Testy te dotyczą poszczególnych procesów istotnych dla działalności jednostki, a w konsekwencji istotnych dla sprawozdawczości. Przykładowo: w przedsiębiorstwie handlowym są to zazwyczaj procesy związane z zakupem, magazynowaniem i sprzedażą towarów.

W przypadku tego typu testów, po rozpoznaniu procesów i stosowanych do nich kontroli, biegły dla poszczególnych stwierdzeń może w praktyce dokonywać oceny ryzyka i wpływu na badanie sprawozdania. Biegły może tego dokonać poprzez przyznanie odpowiedniej liczby punktów w skali 10-100, dla każdego stwierdzenia dotyczącego określonej pozycji lub grupy transakcji. W przypadku gdy odpowiedź biegłego jest zgodna z odpowiedzią oczekiwaną, a odpowiedź ta została potwierdzona w przeprowadzonych testach zgodności, przydzielane są punkty w zakresie 10-40, co jest równoznaczne z uznaniem ryzyka kontroli jako niskiego lub średniego.

Inną formą dokumentowania oceny systemu kontroli przez biegłego jest forma opisowa. Biegły na podstawie wykonanych czynności (np. zapytań, inspekcji, obserwacji, potwierdzeń) opisuje podjęte czynności i formułuje wnioski odnoszące się do sytemu kontroli, oszacowanych ryzyk i dalszego badania.

Obojętnie jaka jest forma dokumentowania oceny ryzyka kontroli, to dokumentacja powinna zawierać:

• określenie na czym polega rozpoznane istotne ryzyko,
• w jaki sposób do tego ryzyka odnosi się kierownictwo jednostki,
• jaka będzie reakcja na rozpoznane istotne ryzyko biegłego w odniesieniu do badania sprawozdania,
• odniesienie się do dowodu z badania.

Konsekwencją dokonanej przez biegłego oceny ryzyka kontroli na poziomie ogólnym, czy poszczególnych procesów jest, po ustaleniu ryzyka nieodłącznego, możliwość oszacowania ryzyka przeoczenia, a idąc dalej określenia poziomu istotności dla badanego sprawozdania.

Często w małej jednostce zarządzanej przez właściciela, środowisko kontroli różni się od środowiska kontroli w dużych podmiotach. Jest mało prawdopodobne, aby w małej jednostce ustalony został proces oceny ryzyka. Jest prawdopodobne, że kierownik jednostki identyfikuje ryzyka poprzez bezpośrednie osobiste zaangażowanie w działalność. Biegły w tej sytuacji może poprzestać wyłącznie na ogólnym rozpoznaniu i ocenie stosowanego systemu kontroli. Oznacza to automatycznie przyjęcie ryzyka kontroli dla poszczególnych procesów i sald jako wysokiego.

Sposób doboru próby do testów zgodności

Przy doborze próby do testów zgodności biegły jest zobowiązany do stosowania się do zasad określonych w KSRF 530 Badanie Wyrywkowe (Próbkowanie). Oznacza to dla biegłego:

• konieczność rozważenia celu procedury badania oraz cechy populacji, z której dana próbka będzie pobrana,
• obowiązek ustalenia wielkość próbki wystarczającej dla zmniejszenia ryzyka próbkowania do możliwego do zaakceptowania niskiego poziomu,
• należy wybrać pozycje wchodzące w skład próby, w taki sposób, że każda z jednostek znajdująca się
  w populacji miała jednakowe szanse, aby zostać wybraną,
• przeprowadzenie wobec każdej wybranej pozycji procedury badania odpowiadającej określonemu celowi. Jeżeli procedura badania nie ma zastosowania do wybranej pozycji, biegły rewident stosuje procedurę do pozycji zastępczej.
• jeżeli biegły rewident nie jest w stanie zastosować wobec wybranej pozycji opracowanych procedur badania lub odpowiednich procedur alternatywnych, traktuje tę pozycję w przypadku testów kontroli, jako odchylenie od stosowanych procedur kontroli,
• potrzebę zbadania charakteru i przyczyny wszelkich rozpoznanych odchyleń i zniekształceń oraz oceny ich ewentualnego wpływ na cel procedur badania oraz na pozostałe obszary badania.

Określając wielkość próby biegły rewident ustala wskaźnik dopuszczalnego odchylenia (wyjątków), który można byłoby zaakceptować.

Im niższe jest ryzyko, jakie biegły rewident jest skłonny zaakceptować, tym większa będzie musiała być próbka. Wielkość próbki można ustalić na podstawie wzoru statystycznego lub kierując się zawodowym osądem. Dla testów kontroli poziom dopuszczalnych odchyleń jest, co do zasady bardzo niski, często nie dopuszcza się żadnych odchyleń. Testy kontroli dostarczają dowodów na to, czy kontrole działają. Wobec tego, używa się ich tylko tam, gdzie oczekuje się, że działanie kontroli jest niezawodne. Kontrole niewiarygodne to takie, dla których istnieje prawdopodobieństwo, że zostaną znalezione odstępstwa. Wielkości próbek dla testów kontroli są często nieznaczne, ponieważ opierają się one na braku znalezionych wyjątków. W przeciwnym wypadku wymagany rozmiar próby byłby znacznie większy.

W przypadku testów zgodności wykorzystuje się najczęściej podejście statystyczne do próbkowania. Jest ono mało skomplikowane, a przy tym pozwala na uzyskanie wiarygodnych dowodów badania. Do wyboru poszczególnych pozycji do badania najczęściej stosuje się generator liczb losowych.

Spośród metod statystycznych, do próbkowania zgodności znajdują zastosowanie przede wszystkim: próbkowanie według atrybutów oraz metoda akceptacji wyników próbki.

Metoda próbkowania według atrybutów to inaczej badanie zgodności z przyjętą normą występowania pewnych cech w elementach określonego zbioru. Atrybutami są istotne cechy i właściwości mogą to być na przykład: składowe faktur, ich kontrola, wycena, kontrola kredytu kupieckiego, ceny sprzedaży, zlecenia zakupów, płace. Podczas badania sprawdza się, czy weryfikowane elementy posiadają wymagane atrybuty czy też nie. W przypadku testów kontroli, jeżeli liczba wykrytych odchyleń (brak wymaganych atrybutów) nie przekracza dopuszczalnego poziomu ufności na podstawie wstępnego szacunku ryzyka kontroli, to przyjmuje się, że ocena ryzyka kontroli była poprawna. W przeciwnym przypadku, albo należy rozszerzyć zakres próby, albo przyjąć, że procedura nie działa poprawnie.

Metoda akceptacji wyników próbki jest odmianą metody próbkowania według atrybutów z tą różnicą, że biegły rewident nie weryfikuje czy dla badanej procedury liczba jej naruszeń nie przekracza poziomu dopuszczalnego. Robi to poprzez dokonanie estymacji poziomu błędu, jakim obarczona jest oceniana procedura. Wnioskowanie na podstawie jednej próbki, którą liczebność jest ustalana arbitralnie, jest mniej wiarygodne niż w przypadku metody próbkowania według atrybutów.

W najbliższym czasie biegli rewidenci będą zobligowani do przeprowadzania badań sprawozdań finansowych wykorzystaniem wprowadzonych do stosowania, Międzynarodowych Standardów Badania jako krajowych standardów rewizji finansowej.

Problematyka badania środowiska kontroli, jest złożona ze względu na różnorodność i niepowtarzalność podejścia do procesów kontroli wewnętrznej w badanych jednostkach, zarówno na poziomie postaw jak i kontroli transakcji. Taka sytuacja stwarza wobec biegłego rewidenta konieczność dopasowywania stosowanych przez niego narzędzi badawczych, tak by stosowane przez niego procedury, pozwoliły na uniknięcie istotnego zniekształcenia badanego sprawozdania finansowego. Celowym w tej sytuacji byłoby opracowanie w oparciu o omawiane KRSF modelowych programów badania ryzyka kontroli, które mogły by być, adaptowane na potrzeby wykonywanych badań przez Kancelarie biegłych rewidentów.

Autor
Krystian Kubanek
Biegły rewident