Co obejmuje audyt zewnętrzny?

Czy audytorzy zewnętrzni testują kontrole wewnętrzne?

04/04/2024

Rating: 4.24 (8179 votes)

W dynamicznie zmieniającym się świecie biznesu, kontrole wewnętrzne stanowią fundament solidnego zarządzania i wiarygodności finansowej. Audytorzy zewnętrzni odgrywają kluczową rolę w ocenie tych kontroli, a standard ISA (UK) 315 (zrewidowany w lipcu 2020 r.) – Identyfikacja i ocena ryzyka istotnego zniekształcenia – wprowadził istotne zmiany w ich podejściu. Niniejszy artykuł ma na celu wyjaśnienie, czy i w jaki sposób audytorzy zewnętrzni testują kontrole wewnętrzne, a także jakie implikacje ma to dla przedsiębiorstw, w szczególności dla działów audytu wewnętrznego.

Czy audyt zewnętrzny jest obowiązkowy?
Przypominamy, że wykonanie projektów finansowanych ze środków NCN, których całkowita wartość dofinansowania przekracza 2 mln zł, podlega obowiązkowemu zewnętrznemu audytowi. Obowiązek ten został określony uchwałą nr 33/2011 z dnia 8 września 2011 r.
Spis treści

Zrozumienie standardu ISA 315 i jego wpływu

Standard ISA 315, obowiązujący dla okresów obrachunkowych rozpoczynających się 15 grudnia 2021 r. lub później, zasadniczo wpływa na sposób, w jaki audytorzy zewnętrzni przeprowadzają audyt. Jego głównym celem jest uspójnienie procesu identyfikacji i oceny ryzyka, udoskonalenie podejścia do zrozumienia systemu kontroli wewnętrznej oraz zapewnienie odpowiedniego uwzględnienia ryzyka związanego z technologiami informatycznymi (IT). Zmiany te mają bezpośredni wpływ na zakres i szczegółowość prac audytorów zewnętrznych w zakresie kontroli wewnętrznych.

Model ryzyka audytu

Statutowy model ryzyka audytu pozostaje niezmieniony. Audytorzy zewnętrzni nadal są zobowiązani do identyfikacji ryzyka istotnego zniekształcenia na poziomie sprawozdania finansowego i na poziomie asercji. Asercje są twierdzeniami zarządu dotyczącymi poszczególnych elementów sprawozdania finansowego. Ryzyko na poziomie asercji składa się z ryzyka inherentnego (ryzyka, że istotne zniekształcenie asercji może wystąpić przed uwzględnieniem powiązanych kontroli) i ryzyka kontroli (ryzyka, że istotne zniekształcenie asercji nie zostanie zapobiegnięte, wykryte i skorygowane przez system kontroli wewnętrznej jednostki).

Wymagane procedury oceny ryzyka audytu

ISA 315 wprowadza znaczące zmiany w wymaganych procedurach oceny ryzyka audytu. Standard jest bardziej szczegółowy w odniesieniu do prac, które należy wykonać, i obszarów, które należy objąć, aby promować większą spójność w podejściu do identyfikacji i oceny ryzyka audytu. Procedury oceny ryzyka obejmują zrozumienie jednostki i jej otoczenia, obowiązujących ram sprawozdawczości finansowej oraz systemu kontroli wewnętrznej jednostki.

Komponenty systemu kontroli wewnętrznej w świetle ISA 315

Standard ISA 315 definiuje system kontroli wewnętrznej jednostki jako składający się z następujących komponentów:

  • Środowisko kontroli: Obejmuje ramy ładu korporacyjnego i nadzoru, kulturę, wartości etyczne, przydział uprawnień i odpowiedzialności, rekrutację i szkolenia, rozliczalność i zarządzanie wynikami. Audytorzy muszą ocenić, czy jednostka ma kulturę uczciwości i zachowań etycznych, czy środowisko kontroli stanowi odpowiedni fundament dla pozostałych komponentów systemu kontroli wewnętrznej oraz czy braki kontroli w środowisku kontroli podważają pozostałe komponenty.
  • Proces oceny ryzyka jednostki: Audytorzy muszą zrozumieć proces identyfikacji, oceny i przeciwdziałania ryzykom biznesowym istotnym dla celów sprawozdawczości finansowej i ocenić, czy proces ten jest odpowiedni dla jednostki.
  • Proces monitorowania systemu kontroli wewnętrznej przez jednostkę: Obejmuje działania monitorujące kontrole wykonywane przez kierownictwo i audyt wewnętrzny. Audytorzy zewnętrzni muszą zrozumieć te procesy i ocenić, czy są one odpowiednie dla jednostki.
  • System informacyjny i komunikacja: System informacyjny obejmuje działania związane z przetwarzaniem informacji dla każdej istotnej klasy transakcji, sald kont i ujawnień, wraz z zasobami ludzkimi i IT oraz środowiskiem IT. Należy je zrozumieć i ocenić. Komunikacja odnosi się do sposobów, w jakie istotne sprawy wspierające sporządzanie sprawozdań finansowych są komunikowane wewnątrz jednostki, między kierownictwem a osobami sprawującymi nadzór oraz ze stronami zewnętrznymi, takimi jak organy regulacyjne.
  • Działania kontrolne: Standard wyraźnie kieruje prace audytu zewnętrznego na identyfikację kontroli, które odnoszą się do ryzyka istotnego zniekształcenia na poziomie asercji. Są to kontrole, które odnoszą się do istotnego ryzyka istotnego zniekształcenia, kontrole nad dziennikami, kontrole, w przypadku których audytor planuje przetestować efektywność operacyjną w celu określenia zakresu testów merytorycznych, oraz wszelkie inne kontrole, które audytor uzna za istotne.

Relevancja dla audytu wewnętrznego

Podejście audytu zewnętrznego przesunęło się w kierunku bardziej szczegółowej oceny kontroli finansowych, środowiska IT i ogólnych kontroli IT, nawet jeśli audytorzy zewnętrzni nie zamierzają na nich polegać. Oczekiwania wzrosły, a audytorzy są teraz zobowiązani do uzyskania bardziej szczegółowych informacji, aby mogli zrozumieć i ocenić system kontroli wewnętrznej jednostki. W rezultacie dział audytu wewnętrznego może znaleźć się pod większą kontrolą. Audyt wewnętrzny może zostać poproszony o pomoc kierownictwu w odpowiadaniu na wnioski o dokumentację kontroli i o udostępnienie większej liczby swoich raportów i harmonogramów.

Wdrożenie proponowanych zmian w brytyjskim ładzie korporacyjnym również postępuje, a większość dużych podmiotów korporacyjnych rozpoczęła już przygotowania do oczekiwanego wymogu dotyczącego wyraźnego oświadczenia dyrektorów o skuteczności kontroli wewnętrznej nad sprawozdawczością finansową i podstawach tej oceny. To również napędza bardziej formalną dokumentację kontroli finansowych i IT.

Jak powinni reagować szefowie audytu wewnętrznego?

Szefowie audytu wewnętrznego muszą być świadomi wpływu tej zmiany podejścia i go rozumieć. Zrewidowany standard jest obecnie stosowany do wszystkich audytów zewnętrznych, a kontrole finansowe i IT audytowanych jednostek są oceniane przez zespoły audytowe bardziej dogłębnie niż wcześniej. Reforma brytyjskiego ładu korporacyjnego również koncentruje się na tych kontrolach. Organizacja otrzyma więcej pytań, w raportach z audytu zewnętrznego dla komitetu audytu zostanie uwzględnionych więcej punktów kontrolnych, a kierownictwo może zwrócić się do swojego zespołu audytu wewnętrznego o wsparcie i doradztwo.

Aby sprostać tym wyzwaniom, istotne jest, aby szefowie audytu wewnętrznego ponownie przyjrzeli się swojemu podejściu do kontroli finansowych i IT. Powinno to obejmować strategię - zakres pokrycia tych obszarów w planie - i sposób, w jaki jest on dostosowany do działalności audytu zewnętrznego i wszelkich zapewnień na poparcie proponowanego oświadczenia dyrektorów. Umożliwi to zminimalizowanie powielania wysiłków audytowych.

Należy również rozważyć cel i zakres poszczególnych audytów wewnętrznych dotyczących kontroli finansowych i IT w tym świetle. Cele i podejście audytu wewnętrznego bardzo różnią się od audytu zewnętrznego. Ryzyko audytu dla audytorów zewnętrznych koncentruje się przede wszystkim na zniekształceniu sprawozdania finansowego, podczas gdy audyt wewnętrzny ma na celu zapewnienie pewności w odniesieniu do znacznie szerszej populacji ryzyk związanych ze strategią i celami biznesowymi organizacji.

Podsumowanie i wnioski

Odpowiadając na pytanie „Czy audytorzy zewnętrzni testują kontrole wewnętrzne?” – odpowiedź brzmi: tak, audytorzy zewnętrzni testują kontrole wewnętrzne, a standard ISA 315 wzmacnia ich obowiązki w tym zakresie. Chociaż ich celem nie jest przeprowadzanie audytu kontroli wewnętrznej w takim samym zakresie jak audyt wewnętrzny lub w kontekście SOX, muszą oni zrozumieć i ocenić kontrole wewnętrzne, aby zidentyfikować i ocenić ryzyko istotnego zniekształcenia sprawozdania finansowego. Zmiany wprowadzone przez ISA 315 oznaczają, że audytorzy zewnętrzni będą badać kontrole wewnętrzne bardziej szczegółowo, szczególnie w obszarze IT. Działy audytu wewnętrznego powinny dostosować swoje podejście, aby zapewnić wartość dodaną i uniknąć powielania wysiłków, jednocześnie wspierając organizację w spełnianiu nowych wymogów audytu zewnętrznego i ładu korporacyjnego.

Często zadawane pytania (FAQ)

  1. Czy ISA 315 to nowy standard?
    ISA 315 nie jest całkowicie nowy, ale został zrewidowany w lipcu 2020 r., a zrewidowana wersja obowiązuje dla okresów obrachunkowych rozpoczynających się 15 grudnia 2021 r. lub później.
  2. Jakie są główne zmiany wprowadzone przez ISA 315?
    Główne zmiany dotyczą uspójnienia procesu identyfikacji i oceny ryzyka, udoskonalenia podejścia do zrozumienia systemu kontroli wewnętrznej oraz zapewnienia odpowiedniego uwzględnienia ryzyka związanego z IT.
  3. Czy audytorzy zewnętrzni będą testować wszystkie kontrole wewnętrzne?
    Nie, audytorzy zewnętrzni nie testują wszystkich kontroli wewnętrznych. Koncentrują się na kontrolach istotnych dla sprawozdawczości finansowej i tych, które odnoszą się do ryzyka istotnego zniekształcenia na poziomie asercji.
  4. Jak audyt wewnętrzny może pomóc w procesie audytu zewnętrznego?
    Audyt wewnętrzny może pomóc, dostarczając dokumentację kontroli, dzieląc się raportami i harmonogramami oraz przeprowadzając „przed-audytowe oceny” kontroli.
  5. Czy ISA 315 wpłynie na koszty audytu zewnętrznego?
    Prawdopodobnie tak. Bardziej szczegółowe podejście do oceny kontroli wewnętrznych może wymagać więcej czasu i zasobów ze strony audytorów zewnętrznych, co może wpłynąć na koszty audytu.

Jeśli chcesz poznać inne artykuły podobne do Czy audytorzy zewnętrzni testują kontrole wewnętrzne?, możesz odwiedzić kategorię Audyt.

Go up