2.4 Audit založený na rizikách V roku 2007 ukončil IFAC práce na projekte zameranom na implementáciu ISA v podmienkach malých a stredných podnikov. Jeho výstupom je Príručka na používanie medzinárodných audítorských štandardov pri výkone auditu v malých a stredných podnikoch, (Slovenský preklad). Bratislava : UDVA 2009. Metodika auditu v týchto podnikoch je podľa tejto implementačnej príručky rozdelená do troch etáp. Základný prístup k auditu menších a stredných podnikov založenom na rizikách 1 možno opísať ako trojfázový proces takto 2 : 1. začiatočná fáza zhodnotenie rizík (zahrňuje postupy na akceptovanie klienta alebo pokračovanie v zákazke ---> začatie plánovania auditu ---> vykonanie postupov na zhodnotenie rizík), 2. priebežné fáza - návrh a vykonanie audítorských postupov(zahrňuje postupy tvorby podrobného plánu auditu ---> testy kontrol ---> vecné testy) a 3. konečná fáza auditu posúdenie získaných audítorských dôkazov a stanovenie, ich dostatočnosti a vhodnosti na zníženie rizík významnej nesprávnosti v účtovnej závierke na prijateľnú úroveň (zahrňuje postupy vyhodnotenia získaných audítorských dôkazov ---> určenia (ak sa to ukáže ako potrebné), aké ďalšie audítorské práce sa požadujú. Ak vyhodnotenie získaných audítorských dôkazov neindikuje potrebu dodatočnej práce, resp. audítor sa pre vykonanie dodatočnej práce nerozhodne, čo môže byť zohľadnené v modifikácii stanoviska audítora ---> pripraviť správu audítora. V prípade, že sa audítor rozhodne pre výkon ďalšej práce, musí sa v trajektórii audítorského procesu vrátiť do začiatočnej fáze a vykonať postupy zhodnotenia rizík. Potom prejde vykoná potrebné činností fáze 2. a 3. 1 Príručka na používanie medzinárodných audítorských štandaardov pri výkone auditu v malých a stredných podnikoch, (2007). IFAC UDVA, 2007 2 Bližšie je tento proces opísaný nielen z pohľadu vykonávaných aktivít ale i ich účelu a dokumentovania v schéme pozri. nižšie
Schematicky možno uvedený proces znázorniť takto: Fáza auditu Aktivita Účel Dokumentácia Vykonať postupy na Rozhodnúť, či sa Zoznam rizikových faktorov 1.1 akceptovanie klienta alebo prijme zákazka pokračovanie v zákazke 3 Zákazkový list 1. Zhodnotenie rizík 1.2 Naplánovať audit 1.3 Vykonať postupy zhodnotenia rizík Vypracovať celkový prístup auditu Poznať účtovnú jednotku Identifikovať a zhodnotiť RVN Celková stratégia auditu Významnosť Diskusie audítorského tímu Riziká podnikania a podvodu vrátane závažných rizík Návrh/implementácia relevantných interných kontrol Posúdené RVN na úrovni: - FV - tvrdení 2.1 2. Reakcia na riziká 2.2 Navrhnúť ďalšie audítorské postupy Vykonať ďalšie audítorské postupy Vypracovať primeranú reakciu na zhodnotené riziká Znížiť riziko auditu na prijateľne nízku úroveň Aktualizácia celkovej stratégie Podrobný plán auditu, ktorý spája zhodnotené riziká s ďalšími audítorskými postupmi Vykonaná práca Zistenia auditu Dohľad nad personálom Kontrola pracovných dokumentov 3. Vyhodnotenie dôkazov a správa audítora 3.1 Vyhodnotiť získané audítorské dôkazy Vyžaduje sa ďalšia práca? Určiť (v prípade potreby), aké ďalšie audítorské práce sa požadujú áno - choď na 3.2 nie - choď na 1.3 Ďalšie rizikové faktory Revidované audítorské postupy Zmeny vo významnosti Dosiahnuté závery 3.2 Pripraviť správu audítora Vysvetlivky: FV finančné výkazy RVN riziká významných nesprávností. Formovať názor na základe zistení auditu Významné rozhodnutia Podpísaný názor audítora ISA obsahujú ciele, požiadavky a aplikačný a iný vysvetľujúci materiál, ktoré majú audítorovi pomôcť pri získavaní primeraného uistenia. ISA (ISA 200 ods. 7) vyžadujú, aby audítor počas celého plánovania a vykonávania auditu uplatňoval odborný úsudok a zachovával profesionálny skepticizmus, a aby okrem iného: 3 S účinnosťou od 1.1.2008 zverila posledná novela zákona o účtovníctve (publikovaná pod č. 198/2007 Z.z.) do pôsobnosti valného zhromaždenia a členskej schôdze (v určených účtovných jednotkách v zmysle 19 ods. 1 písm. a), b) a d)) schvaľovať a odvolávať audítora. K tomu vydala SKAU 31.7.2008 Stanovisko
na základe poznania účtovnej jednotky a jej prostredia vrátane internej kontroly účtovnej jednotky identifikoval a posúdil riziká významných nesprávností, či už z dôvodu podvodu alebo chyby; vypracovaním a implementáciou vhodných reakcií na posúdené riziká získal dostatočné a vhodné audítorské dôkazy o tom, či existujú významné nesprávnosti; na základe záverov vyvodených zo získaných audítorských dôkazov sformuloval stanovisko k finančným výkazom. Štandard ISA 200 uvádza: 6. /1, 18 / Audítor je povinný vykonávať audit v súlade s Medzinárodnými audítorskými štandardmi. 11. /18/ Pri stanovovaní audítorských postupov, ktoré treba uskutočniť pri vykonávaní auditu v súlade s Medzinárodnými audítorskými štandardmi, musí audítor splniť požiadavky každého Medzinárodného audítorského štandardu relevantného pre daný audit. 15. /15/ Audítor je povinný audit naplánovať a vykonať s profesionálne skeptickým postojom, ktorý pripúšťa, že môžu existovať okolnosti spôsobujúce významné nesprávnosti finančných výkazov. 37 /3/. Audítor musí zistiť, či rámec finančného vykazovania, ktorý manažment použil pri zostavovaní finančných výkazov, je prijateľný. V rámci tejto príručky je proces auditu prezentovaný v troch rozdielnych fázach: - zhodnotenie rizík; - reakcia na riziko; a - správa audítora (vykazovanie) Jednotlivé úlohy obsiahnuté v každej z týchto fáz sú uvedené ďalej. Každá fáza je uvedená podrobnejšie v nasledujúcich kapitolách tejto príručky. 2.4.1 Zhodnotenie rizika Audity založené na rizikách Audítor musí poznať účtovnú jednotku a jej prostredie vrátane internej kontroly. Účel - identifikovať a zhodnotiť riziká významnej nesprávnosti finančných výkazov. identifikácii a zhodnotení rôznych typov rizík a následnej tvorbe vhodnej audítorskej reakcie. Hodnotenie rizík vyžaduje značný odborný úsudok (práca pre partnera zodpovedného za audit a personálu v pozícii starší asistent audítora.
Fáza zhodnotenia rizík pri audite zahŕňa tieto kroky: vykonanie postupov pre prijatie klienta alebo pre pokračovanie na zákazke; plánovanie celkovej zákazky; vykonanie postupov zhodnotenia rizík na účel poznania podnikania a identifikovania prirodzeného rizika a kontrolného rizika; identifikácia relevantných postupov internej kontroly a zhodnotenie ich návrhu a implementácie (kontroly, ktoré by zabránili vzniku významných nesprávností, alebo odhalili a napravili nesprávnosti po ich výskyte); zhodnotenie rizík významnej nesprávnosti vo finančných výkazoch; identifikácia významných rizík, ktoré vyžadujú špeciálne audítorské zohľadnenie a tých rizík, pre ktoré sú iba substantívne postupy nedostačujúce; informovanie manažmentu a osôb poverených spravovaním o každej významnej slabej stránke v návrhu a implementácii internej kontroly; vykonanie hodnotenia rizík významnej nesprávnosti na úrovni finančných výkazov a na úrovni tvrdení. Časti fázy auditu zhodnotenie rizík môžu byť často vykonané oveľa skôr pred koncom roka. Čas potrebný na vykonanie postupov hodnotenia rizík môže byť kompenzovaný znížením, alebo dokonca elimináciou audítorskej práce v oblastiach nízkeho rizika. Získané vedomosti a prehľad sa tiež môže využiť na účel poskytnutia praktických rád a odporúčaní manažmentu účtovnej jednotky, ako minimalizovať alebo znížiť riziká. Efektívny proces hodnotenia rizík vyžaduje, aby všetci členovia tímu na zákazke boli zúčastnení a komunikovali efektívne. Audítorský tím by sa mal pravidelne stretávať a diskutovať, aby sa mohol podeliť o svoje poznatky. To sa dá dosiahnuť formou: tímového plánovacieho stretnutia v záujme prediskutovania všeobecnej stratégie auditu a podrobného plánu auditu, otvorenej diskusie na tému, ako môže vzniknúť podvod, a v záujme navrhnutia audítorských postupov, ktoré môžu odhaliť, či podvod v skutočnosti už nastal; tímového analytického stretnutia (v priebehu alebo na konci práce u klienta), na ktorom sa diskutuje dôsledkoch audítorských zistení, identifikujú sa náznaky o podvode a určí sa (prípadná) potreba na vykonanie ďalších audítorských postupov.
2.4.2 Reakcia na riziko Druhou fázou auditu je návrh a vykonanie ďalších audítorských postupov, ktoré sú reakciou na posúdené riziká významnej nesprávnosti a poskytnú dôkazy potrebné na podporu audítorského výroku. Audítor teda reaguje na identifikované riziká - adekvátnym plánovaním audítorských postupov a - vykonaním audítorských procedúr za účelom formovania názoru na účtovnú závierku Pri plánovaní audítorských postupov posudzuje audítor najmä: tvrdenia, ktoré nemôžu byť riešené iba substantívnymi postupmi; či sa v niektorých prípadoch bude môcť spoliehať na interné kontroly, ak by sa otestovali (znížiť úroveň substantívneho testovania); možnosť znížiť potrebu alebo náročnosť iných typov testovania pomocou analytických postupov; potrebu včleniť prvok nepredvídateľnosti do vykonávaných postupov; potrebu vykonať ďalšie audítorské postupy pokrývajúce riziko potlačovania vnútornej kontroly alebo iných variantov podvodu; potrebu vykonať špecifické postupy na účel pokrytia identifikovaných významných rizík Audítorské postupy navrhnuté na posúdenie identifikovaných rizík by mohli zahŕňať kombináciu: testov prevádzkovej efektívnosti internej kontroly a substantívne postupy - testy detailov a analytické postupy. 2.4.3 Vyhodnotenie dôkazov a správa audítora Poslednou fázou auditu je posúdiť získané audítorské dôkazy a stanoviť, či sú dostatočné a vhodné na zníženie rizík významnej nesprávnosti vo finančných výkazoch na prijateľne nízku úroveň. Štandard ISA 200 uvádza: 14 /20/. Audítor nesmie vyhlásiť, že boli splnené Medzinárodné audítorské štandardy, ak v plnom rozsahu nesplnil všetky Medzinárodné audítorské štandardy relevantné pre daný audit. V tomto štádiu je dôležité venovať dostatok času na určenie toho či: sa vyskytla zmena v posudzovanej úrovni rizika;
závery vyvodené z vykonanej práce sú primerané; a sa vyskytli nejaké podozrivé okolnosti. Každé dodatočné riziko by malo byť primerane posúdené a mali by byť vykonané ďalšie požadované audítorské postupy. Po uskutočnení všetkých postupov a vyvodení záverov: mali by byť manažmentu a osobám povereným spravovaním oznámené zistenia auditu; a mal by byť formulované stanovisko (názor. výrok) audítora a malo by byť vykonané rozhodnutie o vhodnej forme audítorskej správy. 2.4.4 Zhrnutie Audit založený na rizikách vyžaduje, aby audítori predovšetkým - porozumeli účtovnej jednotke a - potom identifikovali/zhodnotili riziká významnej nesprávnosti vo finančných výkazoch. Tento postup umožní audítorovi identifikovať a reagovať na nasledujúce rizikové oblasti: Možné zostatky účtov, skupiny transakcií alebo zverejnenie informácií vo finančných výkazoch, ktoré môžu byť vo finančných výkazoch neúplné, nepresne uvedené alebo chýbajúce. Napr. podhodnotené záväzky; nezaúčtované aktíva; aktíva, napríklad hotovosť, ceniny, zásoby, ktoré boli odcudzené; chýbajúce alebo neúplné zverejnenia (v poznámkach). Oblasti, v ktorých má manažment možnosť obísť kontroly, prípadne vedome manipulovať finančné výkazy. Príklady môžu obsahovať: zmeny účtovných zápisov; princípy týkajúce sa účtovania výnosov a nákladov (pre uznávanie výnosov, časové a vecná súvislosť); a odhady manažmentu. Iné nedostatky vo vnútorných kontrolách, ktoré, ak nebudú odstránené, mohli by viesť k významnej nesprávnosti v účtovnej závierke. Niektoré z výhod tohto prístupu možno zhrnúť takto: Časová flexibilita pre audítorskú prácu Úsilie audítorského tímu zamerané na kľúčové oblasti Audítorské postupy zamerané na špecifické riziká Informovanie manažmentu o dôležitých záležitostiach Skvalitnená dokumentácia audítorského spisu