Hrvatska revizorska komora
1514
Na temelju članka 106. stavka 2. točke 6. i članka 108. stavka 1. točke 2. Zakona o reviziji (»Narodne novine«, broj 127/17) i članka 17. točke 6. Statuta Hrvatske revizorske komore (»Narodne novine«, broj 58/18 i 147/20), Upravno vijeće Hrvatske revizorske komore na sjednici održanoj 18. lipnja 2021., donijelo je
ODLUKU
O OBJAVLJIVANJU
MEĐUNARODNOG REVIZIJSKOG STANDARDA 315 (IZMIJENJEN 2019.) – IDENTIFICIRANJE I PROCJENJIVANJE RIZIKA ZNAČAJNIH POGREŠNIH PRIKAZIVANJA,
i usklađujuće i posljedične izmjene i dopune drugih Međunarodnih standarda koje proizlaze iz Međunarodnog revizijskog standarda 315
I
MEĐUNARODNOG STANDARDA ZA POVEZANE USLUGE 4400 (IZMIJENJEN) – ANGAŽMANI ZA DOGOVORENE POSTUPKE
Objavljuju se Međunarodni revizijski standardi koje je pripremio Međunarodni odbor za standarde revidiranja i izražavanja uvjerenja (International Auditing and Assurance Standards Board, IAASB) i u izvorniku objavila Međunarodna federacija računovođa (International Federation of Accountants, IFAC), a Hrvatska revizorska komora, uz odobrenje IFAC-a, prevela na hrvatski jezik:
1. Međunarodni revizijski standard 315 (izmijenjen 2019.) – Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja, izdanje prosinac 2019., i usklađujuće i posljedične izmjene i dopune drugih međunarodnih standarda koje proizlaze iz Međunarodnog revizijskog standarda 315.
Usklađujuće i posljedične izmjene i dopune drugih međunarodnih standarda koje proizlaze iz Međunarodnog revizijskog standarda 315, odnose se na sljedeće:
– Međunarodnog revizijskog standarda 200 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 210 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 230 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 240 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 250 (izmijenjen) (»Narodne novine«, br. 3/19)
– Međunarodnog revizijskog standarda 260 (izmijenjen) (»Narodne novine«, br. 107/16)
– Međunarodnog revizijskog standarda 265 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 300 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 330 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 402 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 500 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 501 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 530 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 540 (izmijenjen) (»Narodne novine«, br. 71/19)
– Međunarodnog revizijskog standarda 550 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 600 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 610 (izmijenjen) (»Narodne novine«, br. 33/16)
– Međunarodnog revizijskog standarda 620 (»Narodne novine«, br. 71/09)
– Međunarodnog revizijskog standarda 701 (»Narodne novine«, br. 107/16)
– Međunarodnog revizijskog standarda 720 (»Narodne novine«, br. 107/16).
Međunarodni revizijski standard 315 (izmijenjen 2019.) stupa na snagu za revizije financijskih izvještaja za razdoblja koja započinju na 15. prosinca 2021. ili nakon tog datuma.
Usklađujuće izmjene i dopune navedenih Međunarodnih revizijskih standarda stupaju na snagu istovremeno s Međunarodnim revizijskim standardom 315 (izmijenjen 2019.).
2. Međunarodni standard za povezane usluge 4400 (izmijenjen) – Angažmani za ugovorene postupke, izdanje travanj 2020.
Međunarodni standard za povezane usluge 4400 (izmijenjen) stupa na snagu za angažmane za dogovorene postupke za koje su uvjeti angažmana ugovoreni na 1. siječnja 2022. ili nakon tog datuma.
Klasa: 011-01/21-01/2
Urbroj: 251-442-01-21-01
Zagreb, 18. lipnja 2021.
Predsjednik
Hrvatske revizorske komore
Berislav Horvat, v. r.
MEĐUNARODNI REVIZIJSKI STANDARD 315 (IZMIJENJEN 2019.)
IDENTIFICIRANJE I PROCJENJIVANJE RIZIKA ZNAČAJNIH POGREŠNIH PRIKAZIVANJA
(izdanje prosinac 2019.)
Uvod
Područje primjene ovog MRevS-a
1. Ovaj Međunarodni revizijski standard (MRevS) uređuje revizorovu odgovornost za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja u financijskim izvještajima.
Ključni koncepti u ovom MRevS-u
2. MRevS 200 uređuje opće ciljeve revizora u obavljanju revizije financijskih izvještaja,[1](MRevS 200, Opći ciljevi neovisnog revizora i obavljanje revizije u skladu s Međunarodnim revizijskim standardima)
uključujući stjecanje dovoljnih i primjerenih revizijskih dokaza radi smanjenja revizijskog rizika na prihvatljivo nisku razinu.[2](MRevS 200, točka 17)
Revizijski rizik je funkcija rizika značajnih pogrešnih prikazivanja i rizika otkrivanja.[3](MRevS 200, točka 13(c))
MRevS 200 objašnjava da rizici značajnih pogrešnih prikazivanja mogu postojati na dvije razine:[4](MRevS 200, točka A36)
na razini financijskih izvještaja kao cjeline i na razini tvrdnje za klase transakcija, stanja računa i objava.
3. MRevS 200 zahtijeva od revizora korištenje profesionalne prosudbe u planiranju i obavljanju revizije te planiranje i obavljanje revizije s profesionalnim skepticizmom imajući u vidu mogućnost postojanja okolnosti koje uzrokuju značajna pogrešna prikazivanja u financijskim izvještajima.[5](MRevS 200, točke 15 – 16)
4. Rizici na razini financijskih izvještaja odnose se pretežno na financijske izvještaje kao cjelinu i potencijalno utječu na mnoge tvrdnje. Rizici značajnih pogrešnih prikazivanja na razini tvrdnje sastoje se od dvije komponente, inherentnog i kontrolnog rizika:
• inherentni rizik se opisuje kao podložnost tvrdnje o klasi transakcija, stanja računa ili objave pogrešnog prikazivanja koje može biti značajno, bilo pojedinačno ili skupno s drugim pogrešnim prikazivanjima prije uzimanja u obzir bilo koje povezane kontrole,
• kontrolni rizik se opisuje kao rizik da pogrešno prikazivanje, koje može nastati u nekoj tvrdnji o klasi transakcija, stanju računa ili objavi i koje može biti značajan pojedinačno ili zajedno s drugim pogrešnim prikazivanjima, ne bude pravovremeno prevenirano ili otkriveno i ispravljeno od strane subjektovog sustava internih kontrola.
5. MRevS 200 objašnjava da se rizici značajnih pogrešnih prikazivanja procjenjuju na razini tvrdnje radi utvrđivanja vrste, vremenskog rasporeda i opsega daljnjih revizijskih postupaka koji su potrebni radi pribavljanja dostatnih i primjerenih revizijskih dokaza.[6](MRevS 200, točka A43a i MRevS 330, Revizorovi odgovori na procijenjene rizike, točka 6) Za identificirane rizike značajnih pogrešnih prikazivanja na razini tvrdnje, ovaj MRevS zahtijeva zasebnu procjenu inherentnog i kontrolnog rizika. Kao što je objašnjeno u MRevS-u 200, inherentni rizik je viši za neke tvrdnje i s njima povezane klase transakcija, stanja računa i objava nego za druge. Stupanj do kojeg varira inherentni rizik naziva se u ovom MRevS-u »spektrom inherentnog rizika«.
6. Rizici značajnih pogrešnih prikazivanja koje je revizor identificirao i procijenio uključuju i one koji nastaju zbog pogreške kao i one koji nastaju zbog prijevare. Iako se ovaj MRevS primjenjuje na obje vrste rizka, značaj prijevare je takav da su daljnji zahtjevi i smjernice uključeni u MRevS-u 240[7](MRevS 240, Revizorova odgovornost u vezi s prijevarom u reviziji financijskih izvještaja) u svezi s postupcima procjene rizika i s time povezanim aktivnostima radi pribavljanja informacija koje se koriste za identificiranje, procjenjivanje i postupanje s rizicima značajnih pogrešnih prikazivanja zbog prijevare.
7. Revizorov proces identifikacije i procjenjivanje rizika je iterativan i dinamičan. Revizorovo razumijevanje subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola su međuovisni s konceptima u sklopu zahtjeva za identificiranjem i procjenjivanjem rizika značajnih pogrešnih prikazivanja. Pri stjecanju razumijevanja koje zahtijeva ovaj MRevS mogu se razvijati početna očekivanja rizika koja se mogu dalje razrađivati dok revizor nastavlja obavljati proces identifikacije i procjenjivanja rizika. Dodatno, ovaj MRevS i MRevS 330 zahtijevaju od revizora da ponovo pregleda procjene rizika te modificira daljnje opće postupke i daljnje revizijske postupke temeljno na revizijskim dokazima koji su pribavljeni tijekom obavljanja daljnjih revizijskih postupaka u skladu s MRevS-om 330, ili ako su pribavljene nove informacije.
8. MRevS 330 zahtijeva od revizora da oblikuje i implementira opće postupke radi postupanja s procijenjenim rizicima značajnih pogrešnih prikazivanja na razini financijskih izvještaja.[8](MRevS 330, točka 5)
Prilagodljivost opsega 9. MRevS 200 navodi da neki MRevS-ovi uključuju razmatranja o prilagodljivosti opsega koja ilustriraju primjenu zahtjeva na sve subjekte bez obzira na to jesu li njihove prirode i okolnosti manje ili više kompleksne.[10](MRevS 200, točka A65a) Ovaj MRevS primjenjuje se na revizije kod svih subjekata, bez obzira na njihovu veličinu ili kompleksnost te materijal za primjenu uključuje specifična razmatranja koja su specifična za manje i za više kompleksne subjekte, ovisno o tome što je u pojedinom slučaju primjereno. Iako veličina subjekta može biti pokazatelj njegove kompleksnosti, neki mali subjekti mogu biti kompleksni dok neki veliki subjekti mogu biti manje kompleksni. Datum stupanja na snagu 10. Ovaj MRevS stupa na snagu za revizije financijskih izvještaja za razdoblja koja započinju na 15. prosinca 2021. ili nakon toga. Cilj 11. Cilj revizora je identificirati i procijeniti rizike značajnih pogrešnih prikazivanja, uslijed prijevare ili pogreške, na razinama financijskih izvještaja i tvrdnji, stvarajući na taj način osnovu za oblikovanje i implementaciju reakcija na procijenjene rizike značajnih pogrešnih prikazivanja. Definicije 12. Za svrhe MRevS-ova, sljedeći pojmovi imaju niže navedena značenja: (a) Tvrdnje – iskazi, eksplicitni ili drugačiji, koji se odnose na priznavanje, mjerenje, prezentiranje i objavljivanje informacija u financijskim izvještajima koji su inherentni u menadžmentovom iskazu da su financijski izvještaji sastavljeni u skladu s primjenjivim okvirom financijskog izvještavanja. Tvrdnje koristi revizor pri razmatranju različitih vrsta potencijalnih pogrešnih prikazivanja koji se mogu pojaviti pri identificiranju, procjenjivanju i postupanju s rizicima značajnih pogrešnih prikazivanja. (Vidjeti točku: A1) (b) Poslovni rizik – rizik nastao uslijed značajnih uvjeta, događaja, okolnosti, radnji ili propusta koji mogu negativno utjecati na subjektovu sposobnost da postigne svoje ciljeve i realizira svoje strategije ili koji proizlazi iz postavljanja neprimjerenih ciljeva i strategija. (c) Kontrole – politike ili postupci koje uspostavlja subjekt radi postizanja kontrolnih ciljeva menadžmenta ili onih koji su zaduženi za upravljanje. U ovom kontekstu: (Vidjeti točke: A2 – A5) (i) politike su iskazi o tome što bi se trebalo ili se ne bi trebalo učiniti unutar subjekta radi realizacije kontrole. Takvi iskazi mogu biti dokumentirani, eksplicitno navedeni u komunikacijama ili implicitno sadržani u radnjama i odlukama. (ii) postupci su radnje kojima se implementiraju politike. (d) Opće kontrole informacijske tehnologije (IT) – kontrole nad subjektovim IT procesima koje podržavaju stalno i primjereno funkcioniranje IT okruženja, uključujući stalno i učinkovito funkcioniranje kontrola nad obradom informacija i integritetom informacija (tj. potpunost, točnost i valjanost informacija) u subjektovom informacijskom sustavu. Vidjeti, također, definiciju IT okruženja. (e) Kontrole obrade informacija – kontrole koje su povezane s obradom informacija u IT aplikacijama ili s ručnim obradama informacija u subjektovom informacijskom sustavu koje su izravno usmjerene na rizike integriteta informacija (tj. potpunost, točnost i valjanost transakcija i ostalih informacija). (Vidjeti točku: A6) (f) Čimbenici inherentnog rizika – karakteristike događaja ili stanja koje utječu na podložnost pogrešnom prikazivanju, bilo zbog prijevare ili pogreške, neke tvrdnje o klasi transakcija, stanju računa ili objavi prije razmatranja kontrola. Ovi čimbenici mogu biti kvalitativni ili kvantitativni i uključivati kompleksnost, subjektivnost, promjenu, neizvjesnost ili podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili drugih čimbenika rizika prijevare[11](MRevS 240, točke A24 – A27) ako utječu na inherentni rizik. (Vidjeti točke: A7 – A8) (g) IT okruženje – IT aplikacije i podržavajuća IT infrastruktura, kao i IT procesi i osoblje koje je uključeno u ove procese, a koje subjekt koristi radi podrške poslovanju i realizacije poslovnih strategija. Za svrhe ovog MRevS-a: (i) IT aplikacija je program ili skup programa koji se koristi u započinjanju, obradi, evidentiranju i izvještavanju o transakcijama ili informacijama. IT aplikacije uključuju skladišta podataka i sastavljače izvještaja, (ii) IT infrastruktura obuhvaća mrežu, operativne sustave i baze podataka te s njima povezani hardware i softver, (iii) IT procesi su subjektovi procesi u svrhu upravljanja pristupom IT okruženju, upravljanja promjenama programa ili promjenama IT okruženja i upravljanja IT aktivnostima. (h) Relevantne tvrdnje – tvrdnja o klasi transakcija, stanju računa ili objavi je relevantna ako je s njom povezan rizik značajnih pogrešnih prikazivanja. Utvrđivanje je li tvrdnja relevantna tvrdnja obavlja se prije razmatranja bilo kojih povezanih kontrola (tj. inherentni rizik). (Vidjeti točku: A9) (i) Rizici koji proizlaze iz korištenja IT – podložnost kontrola obrade informacija neučinkovitom oblikovanju ili funkcioniranju, ili rizici povezani s integritetom informacija (tj. potpunost, točnost i valjanost transakcija ili ostalih informacija) u subjektovom informacijskom sustavu zbog neučinkovitog oblikovanja ili funkcioniranja kontrola u subjektovim IT procesima (vidjeti IT okruženje). (j) Postupci procjene rizika – revizijski postupci oblikovani i provedeni radi identificiranja i procjene rizika značajnih pogrešnih prikazivanja zbog prijevare ili pogreške na razini financijskih izvještaja i na razini tvrdnje. (k) Signifikantna klasa transakcija, stanja računa ili objava – klasa transakcija, stanja računa ili objava za koje postoji jedna ili više relevantnih tvrdnji. (l) Značajan rizik – identificirani rizik značajnih pogrešnih prikazivanja: (Vidjeti točku: A10) (i) za koji je procjena inherentnog rizika blizu gornjoj granici spektra inherentnog rizika zbog stupnja do kojeg čimbenici inherentnog rizika utječu na kombinaciju vjerojatnosti nastanka pogrešnog prikazivanja i intenzitetu potencijalnog pogrešnog prikazivanja ako bi takvo pogrešno prikazivanje nastalo; ili (ii) koji se mora smatrati značajnim rizikom u skladu s zahtjevima ostalih MRevS-ova.[12](MRevS 240, točka 27 i MRevS 550, Povezane osobe, točka 18) (m) Sustav internih kontrola – sustav koji je oblikovan, implementiran i održavan od strane onih koji su zaduženi za upravljanje, menadžmenta i drugog osoblja radi pružanja razumnog uvjerenja o postizanju ciljeva subjekta u odnosu na pouzdanost financijskog izvještavanja, efektivnost i efikasnost poslovanja te usklađenost s primjenjivim zakonima i regulativom. Za potrebe MRevS-ova, sustav internih kontrola sastoji se od pet međusobno povezanih komponenti: (i) kontrolnog okruženja; (ii) subjektovog procesa procjene rizika; (iii) subjektovog procesa monitoringa sustava internih kontrola; (iv) informacijskog sustava i komunikacija; i (v) kontrolnih aktivnosti. Zahtjevi Postupci procjene rizika i povezane aktivnosti 13. Revizor će oblikovati i obaviti postupke procjene rizika radi pribavljanja revizijskih dokaza koji pružaju primjerenu osnovu za: (Vidjeti točke: A11 – A18) (a) identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja, zbog prijevare ili pogreške, na razini financijskih izvještaja i na razinama tvrdnji, i (b) oblikovanje daljnjih revizijskih postupaka u skladu s MRevS-om 330. Revizor će oblikovati i obaviti postupke procjene rizika na način koji nije pristran u smjeru pribavljanja onih revizijskih dokaza koji mogu biti potvrđujući ili u smjeru isključivanja revizijskih dokaza koji mogu biti opovrgavajući. (Vidjeti točku: A14) 14. Postupci procjenjivanja rizika uključivat će sljedeće: (Vidjeti točke: A19 – A21) (a) postavljanje upita menadžmentu i drugim odgovarajućim pojedincima unutar subjekta, uključujući pojedince unutar funkcije interne revizije (ako takva funkcija postoji), (Vidjeti točke: A22 – A26); (b) analitičke postupke, (Vidjeti točke: A27 – A31); (c) promatranje i provjeravanje. (Vidjeti točke: A32 – A36) Informacije iz ostalih izvora 15. Kod pribavljanja revizijskih dokaza u skladu s točkom 13., revizor će razmotriti informacije iz: (Vidjeti točke: A37 – A38) (a) revizorovih postupaka vezanih uz prihvaćanje ili nastavljanje odnosa s klijentom ili revizijskog angažmana; i (b) ako je primjenjivo, drugih angažmana koje je obavio angažirani partner kod subjekta. 16. Ako revizor namjerava koristiti informacije dobivene iz revizorovog prijašnjeg iskustva sa subjektom i iz revizijskih postupaka obavljenih u prethodnim revizijama, revizor će ocijeniti jesu li takve informacije i nadalje relevantne i pouzdane kao revizijski dokazi za tekuću reviziju. (Vidjeti točke: A39 – A41) Rasprava angažiranog tima 17. Angažirani partner i drugi ključni članovi angažiranog tima raspravit će primjenu primjenjivog okvira financijskog izvještavanja i podložnost financijskih izvještaja subjekta značajno pogrešnom prikazivanju. (Vidjeti točke: A42 – A47) 18. Ako postoje članovi angažiranog tima koji nisu bili uključeni u raspravu angažiranog tima, angažirani partner će odrediti pitanja koja moraju biti komunicirana tim članovima. Stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola (Vidjeti točke. A48 – A49) Razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja (Vidjeti točke: A50 – A55) 19. Revizor će obaviti postupke procjene rizika radi stjecanja razumijevanja o: (a) sljedećim aspektima subjekta i njegovog okruženja: (i) organizacijska struktura subjekta, vlasništvo i upravljanje te njegov poslovni model, uključujući opseg do kojega taj poslovni model uključuje korištenje informatičke tehnologije (IT); (Vidjeti točke: A56 – A67) (ii) industrijski (u smislu bilo koje vrste poslovne djelatnosti, op.prev.), regulatorni i drugi vanjski čimbenici; (Vidjeti točke: A68 – A73) i (iii) mjere, interne i eksterne, koje su korištene za procjenu financijske uspješnosti subjekta; (Vidjeti točke: A74 – A81) (b) primjenjivom okviru financijskog izvještavanja, računovodstvenim politikama subjekta te razlozima za bilo kakve promjene tih politika; (Vidjeti točke: A82 – A84) i (c) načinu na koji čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnom prikazivanju te stupanj do kojega to čine u pripremanju financijskih izvještaja u skladu s primjenjivim okvirom financijskog izvještavanja, utemeljeno na razumijevanju stečenom prema (a) i (b). (Vidjeti točke: A85 – A89) 20. Revizor će ocijeniti jesu li računovodstvene politike subjekta primjerene i konzistentne u odnosu na primjenjivi okvir financijskog izvještavanja. Razumijevanje komponenti subjektovog sustava internih kontrola (Vidjeti točke: A90 – A95) Kontrolno okruženje, subjektov proces procjene rizika i subjektov proces monitoringa sustava internih kontrola (Vidjeti točke: A96 – A98)
MRevS 330 dalje objašnjava da na revizorovu procjenu rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja te na revizorove opće postupke utječe revizorovo razumijevanje kontrolnog okruženja. MRevS 330 također zahtijeva od revizora da oblikuje i obavi daljnje revizijske postupke čija vrsta, vremenski raspored i opseg su utemeljeni na i odgovarajući su procijenjenim rizicima značajnih pogrešnih prikazivanja na razini tvrdnje.[9](MRevS 330, točka 6)
Kontrolno okruženje
21. Revizor će steći razumijevanje kontrolnog okruženja koje je relevantno za pripremanje financijskih izvještaja obavljanjem postupaka procjene rizika kroz: (Vidjeti točke: A99 – A100) | |
(a) razumijevanje skupa kontrola, procesa i struktura koje se odnose na: (Vidjeti točke: A101 – A102) (i) način na koji menadžment ispunjava svoje obveze nadzora, kao što je subjektova kultura i menadžmentova predanost integritetu i etičkim vrednotama; (ii) ako su oni zaduženi za upravljanje odvojeni od menadžmenta, njihovu neovisnost i nadzor nad subjektovim sustavom internih kontrola koji provode oni zaduženi za upravljanje; (iii) subjektovu alokaciju nadležnosti i odgovornosti; (iv) način na koji subjekt privlači, razvija i zadržava kompetentne pojedince; i (v) način na koji subjekt drži pojedince odgovornima za svoje obveze u postizanju ciljeva sustava internih kontrola; | i (b) procjenjivanje: (Vidjeti točke: A103 – A108) (i) je li menadžment, pod nadzorom onih koji su zaduženi za upravljanje, stvorio i održavao kulturu poštenja i etičnog ponašanja; (ii) pruža li kontrolno okruženje primjereni temelj za ostale sastavnice subjektovog sustava internih kontrola imajući u vidu vrstu i kompleksnost subjekta; i (iii) umanjuju li nedostaci kontrole koji su identificirani u kontrolnom okruženju ostale sastavnice subjektovog sustava internih kontrola. |
Subjektov proces procjene rizika
22. Revizor će steći razumijevanje subjektovog procesa procjenjivanja rizika koji je relevantan za sastavljanje financijskih izvještaja obavljanjem postupaka procjene rizika kroz: | |
(a) razumijevanje subjektovog procesa za: (Vidjeti točke: A109 – A110) (i) identificiranje poslovnih rizika koji su relevantni za ciljeve financijskog izvještavanja; (Vidjeti točku: A62) (ii) procjenjivanje značajnosti tih rizika, uključujući vjerojatnost njihovog nastanka; i (iii) postupanje s tim rizicima; | i (b) procjenjivanje je li subjektov proces procjenjivanja rizika primjeren subjektovim okolnostima imajući u vidu vrstu i kompleksnost subjekta. (Vidjeti točke: A111 – A113) |
23. Ako revizor identificira rizike značajnih pogrešnih prikazivanja koje je menadžment nije identificirao, revizor će:
(a) utvrditi jesu li bilo koji od tih rizika takve vrste da bi revizor očekivao kako su isti trebali biti identificirani u subjektovom procesu procjenjivanja rizika i, ako je tako, steći razumijevanje zašto subjektov proces procjenjivanja rizika nije identificirao takve rizike značajnih pogrešnih prikazivanja; i
(b) razmotriti implikacije za revizorovu ocjenu u točki 22(b).
Subjektov proces monitoringa sustava internih kontrola
24. Revizor će steći razumijevanje subjektovog procesa monitoringa sustava internih kontrola koje su relevantne za pripremanje financijskih izvještaja obavljanjem postupaka procjene rizika kroz: (Vidjeti točke: A114 – A115) | |
(a) azumijevanje onih aspekata subjektovog procesa koji se odnose na: (i) tekuće i zasebne ocjene monitoringa efektivnosti kontrola te identificiranje i otklanjanje utvrđenih nedostataka kontrola; i (Vidjeti točke: A116 – A117) (ii) subjektovu funkciju interne revizije, ako je ima, uključujući njezinu prirodu, odgovornosti i aktivnosti; (Vidjeti točku: A118) (b) razumijevanje izvora informacija u subjektovom procesu monitoring sustava internih kontrola te osnovu prema kojoj menadžment smatra da su informacije dostatno pouzdane za tu svrhu; (Vidjeti točke: A119 – A120) | i (c) ocjenjivanje je li subjektov proces monitoringa sustava internih kontrola primjeren subjektovim okolnostima uzimajući u obzir vrstu i kompleksnost subjekta. (Vidjeti točke. A121 – A122) |
Informacijski sustav i komuniciranje, i kontrolne aktivnosti (Vidjeti točke: A123 – A130)
Informacijski sustav i komuniciranje
25. Revizor će steći razumijevanje o subjektovom informacijskom sustavu i komuniciranju koje je relevantno za sastavljanje financijskih izvještaja obavljanjem postupaka procjene rizika kroz: (Vidjeti točku: A131) | |
(a) razumijevanje aktivnosti obrade informacija subjekta, uključujući njegove podatke i informacije, resursa koji se koriste u takvim aktivnostima i politika koje, za signifikantne klase transakcija, stanja računa i objave, definiraju: (Vidjeti točke: A132 – A143) (i) kako informacije teku kroz informacijski sustav subjekta, uključujući način na koji se: a. iniciraju transakcije i kako se informacije o njima evidentiraju, obrađuju, ispravljaju ako je potrebno, uključuju u glavnu knjigu i financijske izvještaje; i b. informacije o događajima i stanjima različitim od transakcija obuhvaćaju, obrađuju i objavljuju u financijskim izvještajima. (ii) knjigovodstvene evidencije, specifične račune u financijskim izvještajima i ostale pomoćne evidencije koje se odnose na protok informacija u informacijskom sustavu; (iii) proces financijskog izvještavanja koji se koristi za sastavljanje financijskih izvještaja subjekta, uključujući objavljivanja; i (iv) resurse subjekta, uključujući IT okruženje relevantno za navode pod (a)(i) do (a)(iii) gore; (b) razumijevanje načina na koji subjekt komunicira značajna pitanja koja podržavaju sastavljanje financijskih izvještaja i povezane obveze izvještavanja u informacijskom sustavu i drugim komponentama sustava internih kontrola: (Vidjeti točke: A144 – A145) (i) između pojedinaca unutar subjekta, uključujući način na koji se komuniciraju uloge i odgovornosti; (ii) između menadžmenta i onih zaduženih za upravljanje; i (iii) s vanjskim stranama, kao što su regulatorna tijela; | i (c) ocjenjivanje pitanja podržavaju li informacijski sustav subjekta i komuniciranje na primjeren način sastavljanje subjektovih financijskih izvještaja u skladu s primjenjivim okvirom financijskog izvještavanja. (Vidjeti točku: A146) |
Kontrolne aktivnosti
26. Revizor će steći razumijevanje sastavnice kontrolnih aktivnosti obavljanjem postupaka procjene rizika, kroz: (Vidjeti točke: A147 – A157) | |
(a) identificiranje kontrola koje se odnose na rizike značajnih pogrešnih prikazivanja na razini tvrdnje u sastavnici kontrolnih aktivnosti kako slijedi: (i) kontrole koje se odnose na rizik koji je utvrđen kao značajan rizik; (Vidjeti točke: A158 – A159) (ii) kontrole nad knjiženjima u dnevniku, uključujući nestandardna knjiženja u dnevniku kojima se evidentiraju jednokratne i neuobičajene transakcije ili usklađivanja; (Vidjeti točke: A160 – A161) (iii) kontrole za koje revizor planira testirati operativnu učinkovitost za utvrđivanje vrste, vremenskog rasporeda i opsega dokaznog testiranja, koje će uključivati kontrole koje se odnose na rizike za koje sami dokazni postupci ne pružaju dostatne i primjerene revizijske dokaze; i (Vidjeti točke: A162 – A164) (iv) ostale kontrole koje revizor smatra primjerenima da revizoru omoguće postizanje ciljeva iz točke 13 u odnosu na rizike na razini tvrdnje, a na temelju revizorove profesionalne prosudbe; (Vidjeti točku: A165) (b) identificiranje IT aplikacija i drugih aspekata subjektovog IT okruženja koji su podložni rizicima proizašlim iz korištenja IT-a, a na temelju kontrola identificiranih u dijelu (a); (Vidjeti točke: A166 – A172) (c) za takve IT aplikacije i druge aspekte IT okruženja identificirane u dijelu (b) identificiranje: (Vidjeti točke: A173 – A174) (i) povezanih rizika koji proizlaze iz korištenja IT-a; i (ii) općih kontrola IT-a subjekta koje postupaju s takvim rizicima; | i (d) za svaku kontrolu identificiranu prema (a) ili (c)(ii): (Vidjeti točke: A175 – A181) (i) ocjenjivanje je li kontrola učinkovito oblikovana za razrješavanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje ili je li učinkovito oblikovana kao podrška funkcioniranju ostalih kontrola; i (ii) utvrđivanje je li kontrola implementirana obavljanjem postupaka povrh onih koji se odnose na postavljanje upita subjektovom osoblju. |
Nedostaci kontrola unutar sustava internih kontrola subjekta
27. Na temelju revizorove ocjene svake od komponenti sustava internih kontrola subjekta, revizor će utvrditi je li identificiran jedan ili više nedostataka kontrola. (Vidjeti točke: A182 – A183)
Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja (Vidjeti točke: A184 – A185)
Identificiranje rizika značajnih pogrešnih prikazivanja
28. Revizor će identificirati rizike značajnih pogrešnih prikazivanja i utvrditi postoje li oni na: (Vidjeti točke: A186 – A192)
(a) razini financijskih izvještaja; (Vidjeti točke: A193 – A200) ili
(b) razini tvrdne za klase transakcija, stanja računa i objava. (Vidjeti točku: A201)
29. Revizor će utvrditi relevantne tvrdnje i povezane signifikantne klase transakcija, stanja računa i objavljivanja. (Vidjeti točke: A202 – A204)
Procjenjivanje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja
30. Za identificirane rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja revizor će procijeniti rizike i: (Vidjeti točke: A193 – A200)
(a) utvrditi utječu li ti rizici na procjenu rizika na razini tvrdnji; i
(b) ocijeniti vrstu i opseg njihovog prožimajućeg utjecaja na financijske izvještaje.
Procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje
Procjenjivanje inherentnog rizika (Vidjeti točke: A205 – A217)
31. Za identificirane rizike značajnih pogrešnih prikazivanja na razini tvrdnje revizor će procijeniti inherentni rizik procjenjivanjem vjerojatnosti i intenziteta pogrešnog prikazivanja. Revizor će pri tome voditi računa o načinu i stupnju do kojeg:
(a) čimbenici inherentnog rizika utječu na podložnost relevantnih tvrdnji pogrešnom prikazivanju; i
(b) rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja utječu na procjenu inherentnog rizika za rizike značajnih pogrešnih prikazivanja na razini tvrdnje (Vidjeti točke: A215 – A216)
32. Revizor će utvrditi jesu li neki od procijenjenih rizika značajnih pogrešnih prikazivanja značajni rizici. (Vidjeti točke: A218 – A221)
33. Revizor će utvrditi postoji li okolnost da dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze za bilo koji od rizika značajnih pogrešnih prikazivanja na razini tvrdnje. (Vidjeti točke: A222 – A225)
Procjenjivanje kontrolnog rizika
34. Revizor će procijeniti kontrolni rizik, ako planira testirati operativnu učinkovitost kontrola. Ako revizor ne planira testirati operativnu učinkovitost kontrola, revizorova procjena kontrolnog rizika mora biti takva da je procjena rizika značajnih pogrešnih prikazivanja jednaka procjeni inherentnog rizika. (Vidjeti točke: A226 – A229)
Ocjenjivanje revizijskih dokaza dobivenih iz postupaka procjene rizika
35. Revizor će procijeniti pružaju li revizijski dokazi dobiveni postupcima procjene rizika odgovarajuću osnovu za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Ako to nije slučaj, revizor će obaviti dodatne postupke procjene rizika sve dok se ne pribave revizijski dokazi koji pružaju takvu osnovu. Pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja, revizor će voditi računa o svim revizijskim dokazima dobivenim iz postupaka procjene rizika, bez obzir jesu li oni potkrepljujući ili opovrgavajući naspram tvrdnjama menadžmenta. (Vidjeti točke: A230 – A232)
Klase transakcija, stanja računa i objave koje nisu signifikantne ali koje su značajne
36. Za značajne klase transakcija, stanja računa ili objave koje nisu bile utvrđene kao signifikantne klase transakcija, stanja računa ili objave, revizor će ocijeniti ostaju li njegova utvrđenja i dalje primjerena. (Vidjeti točke: A233 – A235)
Izmjena procjene rizika
37. Ako revizor dobije novu informaciju koja je nedosljedna s revizijskim dokazima na kojima je revizor izvorno utemeljio identifikaciju ili procjenu rizika značajnih pogrešnih prikazivanja, revizor će izmijeniti identifikaciju ili procjenu. (Vidjeti točku: A236)
Dokumentacija
38. Revizor će u revizijsku dokumentaciju uključiti:[13](MRevS 230, Revizijska dokumentacija, točke 8-11, i A6-A7) (Vidjeti točke: A237 – A241)
(a) raspravu članova angažiranog tima te donesene značajne odluke;
(b) ključne elemente revizorovog razumijevanja u skladu s točkama 19, 21, 22, 24 i 25; izvore informacija iz kojih je revizor stekao razumijevanje te obavljene postupke procjene rizika;
(c) ocjenu oblikovanja identificiranih kontrola i utvrđivanje jesu li te kontrole implementirane, u skladu s zahtjevima iz točke 26; i
(d) identificirane i procijenjene rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja i na razini tvrdnje, uključujući značajne rizike i rizike za koje sami dokazni postupci ne mogu pružiti dostatne i primjerene revizijske dokaze te razumnu osnovu za značajne prosudbe koje su donesene.
Materijal za primjenu i ostali materijali s objašnjenjima
Definicije (Vidjeti točku: 12)
Tvrdnje (Vidjeti točku: 12(a))
A1. Revizori koriste kategorije tvrdnji radi razmatranja različitih vrsta potencijalnih pogrešnih prikazivanja koje mogu nastati pri identificiranju, procjenjivanju i reagiranju na rizike značajnih pogrešnih prikazivanja. Primjeri takvih kategorija tvrdnji opisani su u točki A190. Tvrdnje se razlikuju od pisanih izjava koje zahtijeva MRevS 580,[14](MRevS 580, Pisane izjave) kojima se potvrđuju određena pitanja ili potkrepljuju ostali revizijski dokazi.
Kontrole (Vidjeti točku: 12(c))
A2. Kontrole su ugrađene u komponentama subjektovog sustava internih kontrola.
A3. Politike se implementiraju radnjama osoblja unutar subjekta ili putem suzdržavanja osoblja od poduzimanje radnji koje bi bile u sukobu s takvim politikama.
A4. Postupci se mogu propisati putem formalne dokumentacije ili druge komunikacije od strane menadžmenta ili onih koji su zaduženi za upravljanje ili mogu rezultirati iz ponašanja koje nije propisano već je prije uvjetovano kulturom subjekta. Postupci se mogu provesti radnjama dopuštenim u IT aplikacijama koje subjekt koristi ili drugim aspektima subjektovog IT okruženja.
A5. Kontrole mogu biti izravne ili neizravne. Izravne kontrole su kontrole koje su dovoljno precizne da reagiraju na rizike značajnih pogrešnih prikazivanja na razini tvrdnji. Neizravne kontrole su kontrole koje podržavaju izravne kontrole.
Kontrole nad obradom informacija (Vidjeti točku: 12(e))
A6. Rizici za integritet informacija proizlaze iz njihove osjetljivosti na neučinkovitu implementaciju informacijskih politika subjekta, a to su politike koje definiraju tokove informacija, evidencije i procese izvještavanja u informacijskom sustavu subjekta. Kontrole nad obradom informacija su postupci koji podržavaju učinkovitu implementaciju informacijskih politika subjekta. Kontrole nad obradom informacija mogu biti automatizirane (npr. ugrađene u IT aplikacije) ili ručne (npr. kontrole inputa ili outputa) i mogu se oslanjati na druge kontrole, uključujući druge kontrole nad obradom informacija ili opće IT kontrole.
Čimbenici inherentnog rizika (Vidjeti točku: 12(f))
Dodatak 2 sadrži daljnja razmatranja povezana s razumijevanjem čimbenika inherentnog rizika. |
A7. Čimbenici inherentnog rizika mogu biti kvalitativni i kvantitativni i utjecati na podložnost tvrdnji pogrešnom prikazivanju. Kvalitativni čimbenici inherentnog rizika povezani s pripremom informacija koje zahtijeva primjenjivi okvir financijskog izvještavanja uključuju:
• kompleksnost;
• subjektivnost;
• promjena;
• neizvjesnost; ili
• podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili drugih čimbenika rizika prijevare ako oni utječu na inherentni rizik.
A8. Ostali čimbenici inherentnog rizika koji utječu na podložnost pogrešnom prikazivanju tvrdnje o klasi transakcija, stanju računa ili objavi mogu uključivati:
• kvantitativnu ili kvalitativnu signifikantnost klase transakcija, stanja računa ili objave; ili
• količinu ili manjak ujednačenosti u sastavu stavki koje će se obraditi u klasi transakcija ili stanju računa ili koje će se odraziti u objavi.
Relevantne tvrdnje (Vidjeti točku: 12(h))
A9. Rizik značajnih pogrešnih prikazivanje može se odnositi na više od jedne tvrdnje. U tom slučaju su sve tvrdnje s kojima je takav rizik povezan relevantne tvrdnje. Ako za neku tvrdnju nije identificiran rizik značajnih pogrešnih prikazivanja onda ona nije relevantna tvrdnja.
Značajan rizik (Vidjeti točku: 12(l))
A10. Značajnost se može opisati kao relativna važnost pitanja i revizor je prosuđuje u kontekstu u kojem se to pitanje razmatra. Za inherentni rizik, značajnost se može razmotriti u kontekstu načina i stupnja do kojeg čimbenici inherentnog rizika utječu na kombinaciju vjerojatnosti pojavljivanja pogrešnog prikazivanja i veličine potencijalnog pogrešnog prikazivanja u slučaju da se takvo pogrešno prikazivanje pojavi.
Postupci procjene rizika i povezane aktivnosti Vidjeti točke: 13 – 18)
A11. Rizici značajnih pogrešnih prikazivanja koje treba identificirati i procijeniti uključuju i one zbog prijevare i one zbog pogreške a oba su obuhvaćena ovim MRevS-om. Međutim, značajnost prijevare je takva da su dodatni zahtjevi i smjernice uključeni u MRevS 240 u vezi s postupcima procjenjivanja rizika i povezanim aktivnostima radi dobivanja informacija koje se koriste u svrhu identificiranja i procjenjivanja rizika značajnih pogrešnih prikazivanja zbog prijevare.[15](MRevS 240, točke 12 – 27) Povrh toga, sljedeći MRevS-ovi sadrže dodatne zahtjeve i smjernice za identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja u svezi s posebnim pitanjima ili okolnostima:
• MRevS 540 (izmijenjen)[16](MRevS 540 (izmijenjen), Revidiranje računovodstvenih procjena i povezanih objava) u vezi s računovodstvenim procjenama;
• MRevS 55022 u vezi s odnosima i transakcijama s povezanim stranama;
• MRevS 570 (izmijenjen)[17](MRevS 570 (izmijenjen), Vremenska neograničenost poslovanja) u vezi s vremenski neograničenim poslovanjem; i
• MRevS 600[18](MRevS 600, Posebna razmatranja-revizije financijskih izvještaja grupe (uključujući rad revizora sastavnih dijelova)) u vezi s financijskim izvještajima grupa.
A12. Profesionalni skepticizam je nužan za kritičku procjenu revizijskih dokaza prikupljenih tijekom obavljanja postupaka procjene rizika i pomaže revizoru da ostane na oprezu spram revizijskih dokaza koji nisu pristrani u smjeru potkrepljivanja postojanja rizika ili koji mogu biti opovrgavajući u odnosu na postojanje rizika. Profesionalni skepticizam je stav koji primjenjuje revizor u donošenju profesionalnih prosudbi koje su osnova za revizorove postupke. Revizor primjenjuje profesionalnu prosudbu pri utvrđivanju ima li revizor revizijske dokaze koji su primjerena osnova za procjenu rizika.
A13. Primjena profesionalnog skepticizma od strane revizora može uključivati:
• ispitivanje proturječnih informacija i pouzdanosti dokumenata;
• razmatranje odgovora na upite i drugih informacija dobivenih od menadžmenta i onih zaduženih za upravljanje;
• oprez naspram uvjeta koji mogu ukazivati na moguća pogrešna prikazivanja zbog prijevare ili pogreške; i
• razmatranje o tome podržavaju li dobiveni revizijski dokazi revizorovu identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja u svjetlu vrste i okolnosti subjekta.
Zašto je važno pribavljanje revizijskih dokaza na nepristran način (Vidjeti točku: 13)
A14. Oblikovanje i obavljanje postupaka procjene rizika radi pribavljanja revizijskih dokaza koji potkrepljuju identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja na nepristran način može pomoći revizoru u identifikaciji potencijalno kontradiktornih informacija a koje mogu pomoći revizoru u korištenju profesionalnog skepticizma pri identificiranju i procjenjivanju rizika značajno pogrešnog prikazivanja.
Izvori revizijskih dokaza (Vidjeti točku: 13)
A15. Oblikovanje i obavljanje postupaka procjene rizika radi pribavljanja revizijskih dokaza na nepristran način može uključivati pribavljanje dokaza iz više izvora unutar i izvan subjekta. Međutim, revizor nije obvezan provesti iscrpnu potragu radi identificiranja svih mogućih izvora revizijskih dokaza. Povrh informacija iz drugih izvora[19](Vidjeti točke A37 i A38), izvori informacija za postupke procjenjivanja rizika mogu uključivati:
• interakcije s menadžmentom, onima zaduženim za upravljanje i drugim ključnim osobljem subjekta kao što su interni revizori;
• određene vanjske strane kao što su regulatori, bilo da se informacije pribavljaju izravno ili neizravno;
• javno dostupne informacije o subjektu, na primjer priopćenja za tisak izdana od subjekta, materijali za analitičare ili sastanke grupa investitora, izvještaji analitičara ili informacije o aktivnostima trgovanja.
Bez obzira na izvor informacija revizor razmatra relevantnost i pouzdanost informacija koje će se koristiti kao revizijski dokazi u skladu s MRevS 500.[20](MRevS 500, Revizijski dokazi, točka 7)
Prilagodljivost opsega (Vidjeti točku: 13)
A16. Vrsta i opseg postupaka procjene rizika varirat će na osnovi vrste i okolnosti subjekta (npr. formalnost politika i postupaka subjekta te procesa i sustava). Revizor koristi profesionalnu prosudbu radi utvrđivanja vrste i opsega postupaka procjene rizika koje treba obaviti u svrhu ispunjenja zahtjeva ovog MRevS-a.
A17. Iako opseg do kojeg su politike i postupci subjekta te procesi i sustavi formalizirani može varirati, od revizora se ipak zahtijeva stjecanje razumijevanja u skladu s točkama 19, 21, 22, 24, 25 i 26.
Primjeri: Neki subjekti, uključujući manje kompleksne subjekte te osobito subjekte kojima upravlja vlasnik mogu nemati uspostavljene strukturirane procese i sustave (npr proces procjenjivanja rizika ili proces monitoringa sustava internih kontrola) ili mogu imati uspostavljene procese ili sustave s ograničenom dokumentacijom ili nepostojanjem konzistentnosti u načinu funkcioniranja. Ako takvi sustavi i procesi nisu formalni, revizor može ipak moći obaviti postupke procjenjivanja rizika putem promatranja i postavljanja upita. Za druge subjekte, uobičajeno kompleksnije subjekte, očekuje se da imaju formaliziranije ili dokumentiranije politike i postupke. Revizor može koristiti takvu dokumentaciju u obavljanju postupaka procjenjivanja rizika. |
A18. Vrste i opseg postupaka za procjenu rizika koji se moraju provesti kad se angažman provodi prvi put mogu biti opsežniji nego postupci kod angažmana koji se ponavlja. U sljedećim razdobljima revizor se može usredotočiti na promjene koje su nastale nakon prethodnog razdoblja.
Vrste postupaka za procjenjivanje rizika (Vidjeti točku: 14)
A19. MRevS 500[21](MRevS 500, točke A14 – A17 i A21 – A25)
objašnjava vrste revizijskih postupaka koji se mogu obaviti radi pribavljanja revizijskih dokaza iz postupaka procjene rizika i daljnjih revizijskih postupaka. Na vrste, vremenski raspored i opseg revizijskih postupaka može utjecati činjenica da neki računovodstveni podaci i drugi dokazi mogu biti raspoloživi samo u elektroničkom obliku ili samo u određenim vremenskim točkama.[22](MRevS 500, točka A12)
Revizor može obaviti dokazne postupke ili testiranje kontrola u skladu s MRevS-om 330 paralelno s postupcima procjene rizika ako je takav način obavljanja efikasan. Pribavljeni revizijski dokaz koji podržava identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja može također podržati otkrivanje pogrešnih prikazivanja na razini tvrdnje ili ocjenjivanje operativne učinkovitosti kontrola.
A20. Iako revizor ima obvezu obaviti sve postupke procjene rizika koje su opisane u točki 14 u tijeku pribavljanja potrebnog razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i sustava internih kontrola subjekta (vidjeti točke 19 – 26), revizor nema obvezu obaviti sve postupke za svaki aspekt tog razumijevanja. Ako informacija koju se treba pribaviti može biti od pomoći pri identifikaciji rizika značajnih pogrešnih prikazivanja mogu se obaviti drugi postupci. Primjeri takvih postupaka mogu uključivati postavljanje upita vanjskom pravnom savjetniku subjekta ili vanjskim supervizorima ili stručnjacima za procjene koje je koristio subjekt.
Automatizirani alati i tehnike (Vidjeti točku: 14)
A21. Korištenjem automatiziranih alata i tehnika revizor može obaviti postupke procjene rizika na velikim količinama podataka (iz glavne knjige, pomoćnih knjiga ili drugih poslovnih podataka) uključivo za analizu, rekalkulaciju, ponovno obavljanje ili usklađivanja.
Upiti postavljeni menadžmentu i ostalima u subjektu (Vidjeti točku: 14(a))
Zašto se postavljaju upiti menadžmentu i ostalima u subjektu
A22. Informacije koje revizor pribavlja za podršku primjerenoj osnovi za identifikaciju i procjenjivanje rizika te oblikovanje daljnjih revizijskih postupaka mogu biti pribavljene putem upita postavljenih menadžmentu i onima koji su odgovorni za financijsko izvještavanje.
A23. Upiti postavljeni menadžmentu i onima koji su odgovorni za financijsko izvještavanje i drugim odgovarajućim pojedincima unutar subjekta i drugim zaposlenicima sa različitim razinama nadležnosti mogu ponuditi revizoru različite perspektive pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja.
Primjeri: • Upiti upućeni onima koji su zaduženi za upravljanje mogu pomoći revizoru pri razumijevanju opsega nadzora koji provode oni zaduženi za upravljanje pri sastavljanju financijskih izvještaja od strane menadžmenta. MRevS 260 (izmijenjen)[23] u tom smislu identificira važnost učinkovite dvosmjerne komunikacije u pomaganju revizoru da pribavi informacije od zaduženih za upravljanje.
• Upiti zaposlenima koji su odgovorni za iniciranje, obradu ili evidentiranje kompleksnih ili neuobičajenih transakcija mogu pomoći revizoru pri ocjenjivanju primjerenosti izbora i primjene određenih računovodstvenih politika. • Upiti upućeni prema unutarnjem pravnom savjetniku mogu pružiti informacije o pitanjima kao što su: sudski sporovi, pridržavanje zakona i regulative, spoznaja o prijevari ili sumnja o prijevari koja se tiče subjekta, jamstva, obveze nakon prodaje, aranžmani (kao što su zajednička ulaganja) s poslovnim partnerima te značenje ugovornih uvjeta. • Upiti upućeni osoblju marketinga ili prodaje mogu pružiti informacije o promjenama subjektovih marketinških strategija, prodajnih trendova ili ugovornih aranžmana s kupcima. • Upiti upućeni funkciji upravljanja rizicima (ili upiti upućeni onima koji obavljaju takve uloge) mogu pružiti informacije o operativnim i regulatornim rizicima koji mogu utjecati na financijsko izvještavanje. • Upiti upućeni IT osoblju mogu pružiti informacije o promjenama sustava, greškama sustava ili kontrola ili o drugim rizicima povezanim s IT. |
Razmatranja koja su specifična za subjekte javnog sektora
A24. Kad postavlja upite onima koji mogu imati informacije koje vjerojatno mogu pomoći u identificiranju rizika značajnih pogrešnih prikazivanja, revizori javnog sektora mogu pribaviti informacije iz dodatnih izvora kao što su revizori uključeni u reviziju uspješnosti ili druge revizije koje se odnose na subjekt.
Postavljanje upita funkciji interne revizije
Dodatak 4 navodi razmatranja za razumijevanje funkcije interne revizije subjekta. |
Zašto se upiti postavljaju funkciji interne revizije (ako takva funkcija postoji)
A25. Ako subjekt ima funkciju interne revizije upiti upućeni odgovarajućim pojedincima unutar funkcije mogu pomoći revizoru pri razumijevanju subjekta i njegovog okruženja te sustava internih kontrola subjekta u identificiranju i procjenjivanju rizika.
Razmatranja koja su specifična za subjekte javnog sektora
A26. Revizori subjekata javnog sektora često imaju dodatne odgovornosti u odnosu na interne kontrole i usklađenost s primjenjivim zakonima i regulativom. Upiti postavljeni odgovarajućim pojedincima u funkciji interne revizije mogu pomoći revizorima pri identificiranju rizika značajne neusklađenosti s primjenjivim zakonima i regulativom i rizika nedostataka kontrola koji su povezani s financijskim izvještavanjem.
Analitički postupci (Vidjeti točku: 14(b))
Zašto se analitički postupci obavljaju kao postupak procjene rizika
A27. Analitički postupci pomažu pri identifikaciji nedosljednosti, neuobičajenih transakcija ili događaja te iznosa, pokazatelja i trendova koji ukazuju na pitanja koja mogu imati implikacije za reviziju. Neuobičajeni ili neočekivani odnosi koje su identificirani mogu pomoći revizoru pri identifikaciji rizika značajnih pogrešnih prikazivanja, osobito rizika značajnih pogrešnih prikazivanja zbog prijevare.
A28. Analitički postupci koji su obavljeni kao postupci procjene rizika mogu stoga biti od pomoći u identifikaciji i procjenjivanju rizika značajnih pogrešnih prikazivanja kroz identifikaciju aspekata subjekta kojih revizor nije bio svjestan ili kroz razumijevanje načina na koji čimbenici inherentnog rizika, kao što je promjena, utječu na podložnost tvrdnji pogrešnom prikazivanju.
Vrste analitičkih postupaka
A29. Analitički postupci koji su obavljeni kao postupci procjenjivanja rizika mogu:
• uključivati i financijske i nefinancijske informacije, na primjer, odnos između prodaje i kvadrata površine prodajnog prostora ili količine prodane robe (nefinancijski podatak).
• korištenje podataka koji su visoko agregirani. Sukladno tome, rezultati ovih analitičkih postupaka mogu pružiti široku početnu indikaciju o vjerojatnosti značajnih pogrešnih prikazivanja.
Primjer: U reviziji mnogih subjekata, uključujući one s manje kompleksnim poslovnim modelima i procesima te manje kompleksnim informacijskim sustavima, revizor može obaviti jednostavnu usporedbu informacija kao što je promjena na stanjima računa za mjesečna ili druga ispodgodišnja razdoblja u odnosu na stanja iz prethodnih razdoblja radi dobivanja indikacije o potencijalno visokorizičnim područjima. |
A30. Ovaj MRevS uređuje revizorovo korištenje analitičkih postupaka kao postupaka procjene rizika. MRevS 520[24](MRevS 520, Analitički postupci) uređuje revizorovo korištenje analitičkih postupaka kao dokaznih postupaka (»dokazni analitički postupci«) i revizorovu obvezu obavljanja analitičkih postupaka blizu kraja revizije. Sukladno time, analitički postupci koji su obavljeni kao postupci procjene rizika ne trebaju biti obavljeni sukladno zahtjevima MRevS-a 520. Međutim, zahtjevi i materijal za primjenu u MRevS-u 520 može pružiti korisne upute revizoru kad obavlja analitičke postupke kao dio postupaka procjene rizika.
Automatizirani alati i tehnike
A31. Analitički postupci mogu biti obavljeni korištenjem više alata ili tehnika koje mogu biti automatizirane. Primjena automatiziranih analitičkih postupaka na podatke može se nazivati analitikom podataka.
Primjer: Revizor može koristiti tablicu za obavljanje usporedbe evidentiranih ostvarenih iznosa s planiranim iznosima ili može obaviti napredniji postupak povlačenja podataka iz informacijskog sustava subjekta i dalje analizirati te podatke korištenjem tehnika vizualizacije za identifikaciju klasa transakcija, stanja računa ili objava za koje može biti opravdano provođenje daljnjih specifičnih postupaka. |
Promatranje i provjeravanje (Vidjeti točku: 14(c))
Zašto se promatranje i provjeravanje obavljaju kao postupci procjene rizika
A32. Promatranje i provjeravanje mogu potkrijepiti ili biti u kontradikciji s upitima postavljanim menadžmentu i drugima te mogu također pružiti informacije o subjektu i njegovu okruženju.
Prilagodljivost opsega
A33. Ako politike i postupci nisu dokumentirani ili subjekt ima manje formalizirane kontrole, revizor još uvijek može uvijek pribaviti neke revizijske dokaze radi podržavanja identifikacije i procjene rizika značajnih pogrešnih prikazivanja kroz promatranje ili provjeravanje funkcioniranja kontrole.
Primjeri: • Revizor može izravnim promatranjem steći razumijevanje kontrola nad brojanjem zaliha čak ako to nije dokumentirano od strane subjekta. • Revizor može biti u mogućnosti promatrati segregaciju dužnosti. • Revizor može biti u mogućnosti promatrati unose lozinki. |
Promatranje i provjeravanje kao postupci procjene rizika
A34. Postupci procjene rizika mogu uključivati promatranje ili ispitivanje sljedećeg:
• subjektovog poslovanja,
• internih dokumenata (kao što su poslovni planovi i strategije), evidencija i priručnika internih kontrola,
• izvještaja pripremljenih od strane menadžmenta (kao što su kvartalni izvještaji menadžmenta i financijski izvještaji za razdoblja kraća od izvještajnog razdoblja obuhvaćenog revizijom) i od strane onih koji su zaduženi za upravljanje (kao što su zapisnici sa sastanaka odbora direktora),
• subjektove lokacije i tvornice,
• informacija dobivenih od vanjskih izvora kao što su trgovački i ekonomski časopisi, izvještaji analitičara, banaka ili rejting agencija, regulatornih ili financijskih publikacija ili drugih vanjskih izvora o financijskoj uspješnosti subjekta (kao što su oni na koje upućuje točka A79),
• ponašanja i radnje menadžmenta ili onih koji su zaduženi za upravljanje (kao što je promatranje sastanka revizijskog odbora).
Automatizirani alati i tehnike
A35. Automatizirani alati ili tehnike mogu također biti korišteni radi promatranja ili provjeravanja, kod konkretnih predmeta imovine, na primjer, korištenjem alata za promatranje na daljinu (npr. dron).
Razmatranja koja su specifična za subjekte javnog sektora
A36. Postupci procjene rizika koje obavljaju revizori subjekata javnog sektora mogu također uključivati promatranje i provjeravanje dokumenata koji su pripremljeni od strane menadžmenta za zakonodavno tijelo, na primjer, dokumenti koji se odnose na obvezno izvještavanje o uspješnosti.
Informacije iz drugih izvora (Vidjeti točku: 15)
Zašto revizor razmatra informacije iz drugih izvora
A37. Informacije koje su dobivene iz drugih izvora mogu biti relevantne za identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja zbog toga što pružaju informacije i uvide o:
• vrsti subjekta i njegovih poslovnih rizika te o tome što se moglo promijeniti od ranijih razdoblja,
• integritetu i etičkim vrednotama menadžmenta i onih koji su zaduženi za upravljanje koji također mogu biti relevantni za revizorovo razumijevanje kontrolnog okruženja,
• primjenjivom okviru financijskog izvještavanja i njegovoj primjeni u odnosu na vrstu i okolnosti subjekta.
Ostali relevantni izvori
A38. Ostali relevantni izvori informacija uključuju:
• revizorove postupke koji se odnose prihvaćanje ili nastavljanje odnosa s klijentom ili revizijskog angažmana u skladu s MRevS-om 220, uključujući zaključke koji su pri tome doneseni.[25](MRevS 220, Kontrola kvalitete za reviziju financijskih izvještaja, točka 12)
• druge angažmane koji su obavljeni za subjekta od strane angažiranog partnera. Angažirani partner može steći znanje koje je relevantno za reviziju, uključujući i onu o subjektu i njegovu okruženju kroz obavljanje drugih angažmana za taj subjekt. Takvi angažmani mogu uključivati angažmane o dogovorenim postupcima ili druge revizijske angažmane ili angažmane s izražavanjem uvjerenja, uključujući angažmane radi postupanja s inkrementalnim zahtjevima za izvještavanjem u toj jurisdikciji.
Informacije iz revizorovog prijašnjeg iskustva sa subjektom i prijašnjih revizija (Vidjeti točku: 16)
Zašto su informacije iz prijašnjih revizija važne za tekuću reviziju
A39. Revizorovo prijašnje iskustvo sa subjektom i iz obavljenih revizijskih postupaka u prijašnjim revizijama mogu pružiti revizoru informacije koje su relevantne za revizorovo utvrđivanje vrste i opseg postupaka procjene rizika i za identifikaciju i procjenjivanja rizika značajnih pogrešnih prikazivanja.
Priroda informacija iz prijašnjih revizija
A40. Revizorovo prijašnje iskustvo sa subjektom i revizijskim postupcima obavljenim u prethodnim revizijama mogu revizoru pružiti informacije o pitanjima kao što su:
• prošla pogrešna prikazivanja i jesu li ista pravodobno ispravljena,
• vrsta subjekta i njegovog okruženja te sustav internih kontrola subjekta (uključujući nedostatke kontrola),
• značajne promjene koje su eventualno nastale u subjektu ili njegovu poslovanju od prethodnog financijskog razdoblja,
• specifične vrste transakcija i drugih događaja ili stanja računa (i povezanih objava) gdje je revizor naišao na poteškoće u obavljanju potrebnih revizijskih postupaka, na primjer, zbog njihove kompleksnosti.
A41. Revizor je dužan utvrditi je li informacija pribavljena iz revizorovog ranijeg iskustva i nadalje relevantna i pouzdana ako revizor namjerava koristiti tu informaciju za svrhe tekuće revizije. Ako su se vrsta ili okolnosti subjekta promijenile ili ako su pribavljene nove informacije, informacije iz ranijih razdoblja možda više nisu relevantne ili pouzdane za tekuću reviziju. Radi utvrđivanja jesu li nastale promjene koje mogu utjecati na relevantnost ili pouzdanosti takvih informacija revizor može postaviti upite i obaviti druge primjerene revizijske postupke kao što je prolaženje kroz relevantne sustave. Ako informacija nije pouzdana, revizor može razmotriti obavljanje dodatnih postupaka koji su primjereni u danim okolnostima.
Rasprave u angažiranom timu (Vidjeti točke: 17 – 18)
Zašto je angažirani tim dužan raspraviti primjenu primjenjivog okvira financijskog izvještavanja i podložnost financijskih izvještaja subjekta značajno pogrešnim prikazivanjima.
A42. Rasprava unutar angažiranog tima o primjeni primjenjivog okvira financijskog izvještavanja i podložnosti financijskih izvještaja subjekta značajno pogrešnim prikazivanjima:
• pruža priliku da iskusniji članovi angažiranog tima, uključujući angažiranog partnera, međusobno podijele svoje uvide temeljene na poznavanju subjekta. Međusobno dijeljenje informacija doprinosi boljem razumijevanju kod svih članova angažiranog tima.
• omogućava članovima angažiranog tima razmjenu informacija o poslovnim rizicima kojima je subjekt izložen, o tome kako čimbenici inherentnog rizika mogu utjecati na podložnost klasa transakcija, stanja računa i objava i o tome kako i gdje bi financijski izvještaji mogli biti podložni značajno pogrešnim prikazivanjima zbog prijevare ili pogreške.
• pomaže članovima angažiranog tima da steknu bolje razumijevanje potencijala za pogrešno prikazivanje financijskih izvještaja u određenim područjima koja su im dodijeljena i da razumiju kako rezultati revizijskih postupaka koje oni obavljaju mogu utjecati na druge aspekte revizije, uključivo odluke o vrsti, vremenskom rasporedu i opsegu daljnjih revizijskih postupaka. Osobito rasprava pomaže članovima angažiranog tima u daljnjem razmatranju kontradiktornih informacija temeljeno na vlastitom razumijevanju vrste i okolnosti subjekta koje ima svaki pojedini član.
• pruža temelj na kojem članovi angažiranog tima komuniciraju i dijele nove informacije pribavljene tijekom revizije a koje mogu utjecati na procjenu rizika značajnih pogrešnih prikazivanja ili na revizijske postupke koji su obavljeni kao reakcija na te rizike.
MRevS 240 zahtijeva da se u raspravi unutar angažiranog tima poseban naglasak stavi na način i dio financijskih izvještaja subjekta koji mogu biti podložni značajno pogrešnom prikazivanju zbog prijevare, uključujući i način na koji prijevara može nastati.[26](MRevS 240, točka 16)
A43. Profesionalni skepticizam je nužan za kritičku procjenu revizijskih dokaza, a jasna i otvorena rasprava angažiranog tima, uključujući i kod ponavljajućih revizija, može dovesti do poboljšane identifikacije i procjene rizika značajnih pogrešnih prikazivanja. Drugi ishod rasprave može biti da revizor identificira određena područja revizije za koja korištenje profesionalnog skepticizma može biti osobito važno te može dovesti do uključivanja iskusnijih članova angažiranog tima koji imaju primjerene vještine za uključivanje u obavljanje revizijskih postupaka koji se odnose na ta područja.
Prilagodljivost opsega
A44. Ako angažman obavlja jedna osoba, kao što je samostalni praktičar (tj. ako rasprava angažiranog tima ne bi bila moguća) razmatranje pitanja na koja se upućuje u točkama A42 i A46 mogu svejedno pomoći revizoru pri identifikaciji područja u kojima mogu postojati rizici značajnih pogrešnih prikazivanja.
A45. Ako angažman obavlja veliki angažirani tim, kao što je slučaj kod revizije grupnih financijskih izvještaja, nije uvijek nužno ni praktično da rasprava uključuje sve članove u jednog raspravi (na primjer, u multilokacijskoj reviziji), niti je potrebno da svi članovi angažiranog tima budu informirani o svim odlukama koje su donesene u raspravi. Angažirani partner može raspraviti pitanja s ključnim članovima angažiranog tima uključujući, ako se smatra primjerenim, one sa specifičnim vještinama ili znanjem, te one koji su odgovorni za revizije komponenti, uz delegiranje rasprave s drugima vodeći računa o opsegu komunikacije koja se smatra nužnom za čitavi angažirani tim. Pri tome može biti koristan plan komuniciranja koji je odobrio angažirani partner.
Rasprava o objavljivanjima u primjenjivom okviru financijskog izvještavanja
A46. Kao dio rasprave unutar angažiranog tima, razmatranje zahtjeva za objavljivanjima iz primjenjivog okvira financijskog izvještavanja pomaže, u ranoj fazi revizije, pri identificiranju mjesta gdje mogu postojati rizici značajnih pogrešnih prikazivanja u vezi s objavljivanjima, čak u okolnostima u kojima primjenjivi okvir financijskog izvještavanja zahtijeva samo pojednostavljena objavljivanja. Pitanja o kojima angažirani tim može raspravljati uključuju:
• promjene u zahtjevima financijskog izvještavanja koje mogu rezultirati značajnim novim ili izmijenjenim objavljivanjima;
• promjene u okruženju subjekta, financijskom stanju ili aktivnostima koje mogu rezultirati značajnim novim ili izmijenjenim objavljivanjima, na primjer, značajna poslovna kombinacija u razdoblju koje se revidira;
• objavljivanja za koje je u prošlosti pribavljanje dostatnih i primjerenih revizijskih dokaza bilo otežano; i
• objavljivanja o kompleksnim pitanjima, uključujući ona koja su vezana uz značajne prosudbe menadžmenta o tome koje će se informacije objaviti.
Razmatranja specifična za subjekte javnog sektora
A47. Kao dio rasprave unutar angažiranog tima za reviziju subjekata javnog sektora mogu se razmotriti bilo koji širi ciljevi i s time povezani rizici koji proizlaze iz revizijskog mandata ili obveza za subjekte javnog sektora.
Stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i sustava internih kontrola subjekta (Vidjeti točke: 19 – 27)
Dodaci 1 do 6 sadrže daljnja razmatranja koja se odnose na stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola. |
Stjecanje obveznog razumijevanja (Vidjeti točke: 19 – 27)
A48. Stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i sustava internih kontrola subjekta je dinamičan i iterativan proces prikupljanja, ažuriranja i analiziranja informacija koji se nastavlja se kroz čitavu reviziju. Stoga se revizorova očekivanja mogu promijeniti kad se pribave nove informacije.
A49. Revizorovo razumijevanje subjekta i njegovog okruženja i primjenjivog okvira financijskog izvještavanja može pomoći revizoru kod razvijanja početnih očekivanja o klasama transakcija, stanjima računa i objavama koje mogu biti signifikantne klase transakcija, stanja računa i objavljivanja. Ove očekivano signifikantne klase transakcija, stanja računa i objava tvore osnovu za opseg revizorovog razumijevanja informacijskog sustava subjekta.
Zašto je obvezno razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja (Vidjeti točke: 19 – 20)
A50. Revizorovo razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja pomaže revizoru u razumijevanju događaja i stanja koji su relevantni za subjekt i u identificiranju načina na koji čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnim prikazivanjima u sastavljanju financijskih izvještaja u skladu s primjenjivim okvirom financijskog izvještavanja te o stupnju do kojeg to čine. Takve informacije su referentni okvir unutar kojeg revizor identificira i procjenjuje rizike značajnih pogrešnih prikazivanja. Ovaj referentni okvir također pomaže revizoru u planiranju revizije i korištenju profesionalne prosudbe i profesionalnog skepticizma tijekom cijele revizije, na primjer, kad:
• identificira i procjenjuje rizike značajnih pogrešnih prikazivanja u financijskim izvještajima u skladu s MRevS-om 315 (izmijenjen 2019.) ili drugim relevantnim standardima (npr., u odnosu na rizike prijevare u skladu s MRevS-om 240 ili kad identificira rizike povezane s računovodstvenim procjenama u skladu s MRevS-om 540 (izmijenjen);
• obavlja postupke koji pomažu pri identificiranju slučajeva nepridržavanja zakona i regulative koji mogu imati značajan utjecaj na financijske izvještaje u skladu s MRevS 250;[27](MRevS 250 (izmijenjen), Razmatranje zakona i regulative u reviziji financijskih izvještaja, točka 14)
• ocjenjuje pružaju li financijski izvještaji adekvatne objave u skladu s MRevS-om 700 (izmijenjen);[28](MRevS 700 (izmijenjen), Formiranje mišljenja i izvještavanje o financijskim izvještajima, točka 13(e))
• utvrđuje značajnost ili značajnost za provedbu u skladu s MRevS-om 320;[29](MRevS 320, Značajnost u planiranju i obavljanju revizije, točke 10 – 1) ili
• razmatra primjerenost odabira i primjene računovodstvenih politika i adekvatnost objavljivanja u financijskim izvještajima.
A51. Revizorovo razumijevanje subjekta i njegovog okruženja i primjenjivog okvira financijskog izvještavanja također utječe na način na koji revizor planira i obavlja daljnje revizijske postupke, na primjer, kad:
• razvija očekivanja koja će upotrijebiti prilikom obavljanja analitičkih postupaka u skladu s MRevS-om 520;[30](MRevS 520, točka 5)
• oblikuje i obavlja daljnje revizijske postupke radi pribavljanja dostatnih i primjerenih revizijskih dokaza u skladu s MRevS-om 330; i
• ocjenjuje dostatnost i primjerenost pribavljenih revizijskih dokaza (npr. u odnosu na pretpostavke ili usmene ili pisane izjave menadžmenta).
Prilagodljivost opsega
A52. Vrsta i opseg obveznog razumijevanja je pitanje revizorove profesionalne prosudbe i varira od subjekta do subjekta na temelju vrste i okolnosti subjekta, uključujući:
• veličinu i kompleksnost subjekta uključivo s njegovim IT okruženjem;
• revizorovo prethodno iskustvo sa subjektom;
• vrstu subjektovih sustava i procesa, uključujući jesu li oni formalizirani ili nisu; i
• vrstu i oblik subjektove dokumentacije.
A53. Revizorovi postupci procjene rizika radi stjecanja obveznog razumijevanja mogu biti manji po opsegu u revizijama manje kompleksnih subjekata i opsežniji kod subjekata koji su kompleksniji. Očekuje se da je dubina razumijevanja koju revizor obvezno mora imati manja od one koju ima menadžment u upravljanju subjektom.
A54. Neki okviri financijskog izvještavanja dopuštaju manjim subjektima davanje jednostavnijih i manje detaljnih objavljivanja u financijskim izvještajima. Međutim, to ne oslobađa revizora odgovornosti stjecanja razumijevanja subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja i načina na koji se on primjenjuje na subjekt.
A55. Subjektovo korištenje IT-a te vrsta i opseg promjena u IT okruženju mogu također utjecati na specijalizirane vještine koje su potrebne kao pomoć u stjecanju obveznog razumijevanja.
Subjekt i njegovo okruženje (Vidjeti točku: 19(a))
Organizacijska struktura subjekta, vlasništvo nad subjektom i upravljanje te poslovni model (Vidjeti točku: 19(a)(i))
Organizacijska struktura subjekta i vlasništvo nad subjektom
A56. Razumijevanje subjektove organizacijske strukture i vlasništva može omogućiti revizoru da razumije pitanja kao što su:
• Kompleksnost strukture subjekta.
Primjer: Subjekt može biti zasebni subjekt ili subjektova struktura može uključivati ovisna društva, organizacijske jedinice ili druge komponente na više lokacija. Nadalje, pravna struktura može biti različita od poslovne strukture. Kompleksne strukture često uvode čimbenike koji mogu dovesti do povećane podložnosti rizicima značajnih pogrešnih prikazivanja. Ova pitanja mogu uključivati pitanja o tome jesu li goodwill, zajednička ulaganja, ulaganja ili subjekti specijalne namjene primjereno računovodstveno tretirani i jesu li odgovarajuća objavljivanja takvih pitanja uključena u financijske izvještaje. |
• Vlasništvo i odnosi između vlasnika i drugih osoba ili subjekata, uključujući povezane osobe. Ovo razumijevanje može pomoći u utvrđivanju jesu li transakcije s povezanim osobama primjereno identificirane, računovodstveno tretirane i na odgovarajući način objavljene u financijskim izvještajima.[31](MRevS 550 uređuje zahtjeve i pruža smjernice za revizorova razmatranja koja su relevantna za povezane osobe.)
• Razlika između vlasnika, onih zaduženih za upravljanje i menadžmenta.
Primjer: U manje kompleksnim subjektima, vlasnici subjekta mogu biti uključeni u upravljanje subjektom. Stoga je razlika mala ili je nema. Nasuprot tome, kao što je slučaj kod nekih uvrštenih subjekata, može postojati jasna razlika između menadžmenta, vlasnika subjekta i onih koji su zaduženi za upravljanje.[32]
|
• Struktura i kompleksnost subjektovog IT okruženja.
Primjeri: Subjekt može: • imati više naslijeđenih IT sustava u različitim poduzećima koji nisu dobro međusobno integrirani i rezultiraju kompleksnim IT okruženjem, • koristiti vanjske ili unutarnje pružatelje usluga za aspekte njegovog IT okruženja (npr. dodjeljivanje hostinga IT okruženja trećoj strani ili korištenje zajedničkog servisnog centra za centralno upravljanje IT procesima u grupi). |
Automatizirani alati i tehnike
A57. Revizor može koristiti automatizirane alate i tehnike za razumijevanje tokova transakcija i obrade kao dio revizorovih postupaka za razumijevanje informacijskog sustava. Rezultat ovih postupaka može biti revizorovo stjecanje informacija o organizacijskog strukturi samog subjekta ili onih s kojima subjekt posluje (npr. dobavljači, kupci, povezane osobe).
Razmatranja koja su specifična za javni sektor
A58. Vlasništvo subjekta iz javnog sektora možda neće imati istu relevantnost kao u privatnom sektoru jer se odluke koje se odnose na subjekt mogu donositi izvan subjekta kao rezultat političkih procesa. Stoga, menadžment možda neće imati kontrolu nad određenim odlukama koje se donose. Pitanja koja mogu biti relevantna uključuju razumijevanje sposobnosti subjekta da donosi unilateralne odluke i sposobnost drugih subjekata javnog sektora da kontroliraju ili utječu na zadaće i strateško usmjerenje subjekta.
Primjer: Subjekt javnog sektora može biti obveznik primjene zakona ili drugih propisa vlasti koji ga obvezuju da pribavi suglasnost za svoju strategiju i ciljeve od strana koje su vanjske u odnosu na subjekt prije nego što ih subjekt počne primjenjivati. Stoga, pitanja koja se odnose na razumijevanje pravne strukture subjekta mogu uključivati primjenjive zakone i regulative te klasifikaciju subjekta (tj. je li subjekt ministarstvo, odjel, agencija ili druga vrsta subjekta). |
Upravljanje
Zašto revizor stječe razumijevanje upravljanja
A59. Razumijevanje subjektovog upravljanja može pomoći revizoru u razumijevanju sposobnosti subjekta da uspostavi primjeren nadzor svojeg sustava internih kontrola. Međutim, ovo razumijevanje može također pružiti dokaze o nedostacima koji mogu ukazivati na povećanje podložnosti subjektovih financijskih izvještaja rizicima značajnih pogrešnih prikazivanja.
Razumijevanje subjektovog upravljanja
A60. Pitanja koja mogu biti relevantna za revizorovo razmatranje kod stjecanja razumijevanja upravljanja subjektom uključuju:
• jesu li neki ili svi od onih koji su zaduženi za upravljanje uključeni u upravljanje subjektom,
• postojanje (i razdvojenost) neizvršnog odbora, ako postoji, od izvršnog menadžmenta,
• jesu li oni zaduženi za upravljanje na pozicijama koje su integralni dio subjektove pravne strukture, primjerice direktori,
• postoje li podgrupe onih zaduženih za upravljanje kao što je revizijski odbor i koje su odgovornosti takve grupe,
• odgovornosti onih zaduženih za upravljanje za nadzor nad financijskim izvještavanjem, uključujući odobravanje financijskih izvještaja.
Poslovni model subjekta
Dodatak 1 sadrži dodatna razmatranja radi stjecanja razumijevanja subjekta i njegovog poslovnog modela kao i dodatna razmatranja za revidiranje subjekata posebne namjene. |
Zašto revizor stječe razumijevanje poslovnog modela subjekta
A61. Razumijevanje subjektovih ciljeva strategije i poslovnog modela pomaže revizoru u razumijevanju subjekta na strateškoj razini te u razumijevanju poslovnih rizika koje subjekt preuzima i s kojima se suočava. Razumijevanje poslovnih rizika koji utječu na financijske izvještaje pomaže revizoru u identificiranju rizika značajnih pogrešnih prikazivanja, budući da će većina poslovnih rizika u konačnici imati financijske posljedice i, stoga, učinak na financijske izvještaje.
Primjeri: Poslovni model subjekta može se oslanjati na korištenje IT-a na različite načine: • subjekt prodaje cipele iz fizičkog prodajnog mjesta i koristi napredni sustav za zalihe i prodajno mjesto za evidentiranje prodaje obuće; ili • subjekt prodaje obuću online tako su sve prodajne transakcije obrađene u IT okruženju, uključujući iniciranje transakcija putem web stranice. Za oba ova subjekta poslovni rizici koji proizlaze iz značajno različitog poslovnog modela bili bi bitno različiti bez obzira na činjenicu da oba subjekta prodaju obuću. |
Razumijevanje poslovnog modela subjekta
A62. Nisu svi aspekti poslovnog modela relevantni za revizorovo razumijevanje. Poslovni rizici su šireg opsega od rizika značajnih pogrešnih prikazivanja financijskih izvještaja iako poslovni rizici uključuju potonje rizike. Revizor nema obvezu razumjeti ili identificirati sve poslovne rizike jer svi poslovni rizici ne uzrokuju rizike značajnih pogrešnih prikazivanja.
A63. Poslovni rizici koji povećavaju podložnost rizicima značajnih pogrešnih prikazivanja mogu biti uzrokovani:
• neprimjerenim ciljevima ili strategijama, neučinkovitom realizacijom strategija, promjenom ili kompleksnošću.
• neprepoznavanjem potrebe za promjenom što također može uzrokovati poslovni rizik zbog, primjerice:
o razvoja novih proizvoda ili usluga koji mogu biti neuspješni;
o tržišta koje je, čak i ako se uspješno razvije, neprimjereno za podršku proizvodu ili usluzi; ili
o nedostataka proizvoda ili usluge koji mogu rezultirati pravnom obvezom ili reputacijskim rizikom.
• poticajima i pritiscima na menadžment koji mogu rezultirati namjernom ili nenamjernom pristranošću menadžmenta i tako utjecati na razumnost značajnih pretpostavki i očekivanja menadžmenta ili onih koji su zaduženi za upravljanje.
A64. Primjeri pitanja koje revizor može razmotriti pri stjecanju razumijevanja poslovnog modela subjekta, ciljeva, strategija i povezanih poslovnih rizika koji mogu rezultirati rizikom značajnih pogrešnih prikazivanja financijskih izvještaja uključuju:
• razvoj uvjeta industrije kao što je manjak osoblja ili stručnosti za praćenje promjena u industriji;
• nove proizvode i usluge koji mogu dovesti do povećane pravne odgovornosti za proizvod;
• širenje poslovanja subjekta pri čemu potražnja nije bila točno procijenjena;
• nove računovodstvene zahtjeve ako je došlo do nepotpune ili nepravilne implementacije;
• regulatorne zahtjeve koji rezultiraju povećanom pravnom izloženošću;
• tekuće i buduće zahtjeve financiranja, kao što je gubitak financiranja zbog nesposobnosti subjekta da udovolji zahtjevima;
• korištenje informacijskog sustava, kao što je implementacija novog informacijskog sustava koji će utjecati na poslovanje i na financijsko izvještavanje; ili
• učinke implementacije neke strategije, osobito one učinke koji će dovesti do novih računovodstvenih zahtjeva.
A65. Menadžment obično identificira poslovne rizike i razvija pristupe za njihovo rješavanje. Takav proces procjene rizika je dio sustava internih kontrola subjekta i razmotren je u točki 22 i točkama A109 – A113.
Razmatranja specifična za subjekte javnog sektora
A66. Subjekti koji posluju u javnom sektoru mogu stvarati i isporučivati vrijednost na način koji je različit od načina na koji to čine oni koji stvaraju vrijednost za vlasnike ali će ipak imati »poslovni model« sa specifičnim ciljem. Pitanja o kojima revizori u javnom sektoru mogu steći razumijevanje a relevantna su za poslovni model subjekta uključuju:
• znanje o relevantnim aktivnostima vlade, uključujući povezane programe,
• ciljeve i strategije programa, uključujući elemente javne politike.
A67. Za revizije subjekata u javnom sektoru, na »ciljeve menadžmenta« mogu utjecati obveze javnog polaganja računa i mogu uključivati ciljeve čiji je izvor u zakonu, regulativi ili drugim autoritetima.
Industrija, regulatorni i ostali vanjski čimbenici (Vidjeti točku: 19(a)(ii))
Čimbenici djelatnosti
A68. Relevantni čimbenici djelatnosti uključuju uvjete poslovanja u djelatnosti kao što su konkurentno okruženje, odnosi s dobavljačima i kupcima te tehnološki razvoj. Pitanja koja revizor može razmotriti su:
• tržište i konkurencija, uključujući potražnju, kapacitet i cjenovnu konkurentnost.
• ciklična ili sezonska aktivnost.
• tehnologija proizvodnje koja se odnosi na proizvode subjekta.
• ponuda i cijena energije.
A69. Djelatnost u kojoj subjekt posluje može uzrokovati specifične rizike značajnih pogrešnih prikazivanja koji proizlaze iz vrste poslovanja ili stupnja regulacije.
Primjer: U građevinskoj industriji dugoročni ugovori mogu uključivati značajne procjene prihoda i rashoda koje uzrokuju rizike značajnih pogrešnih prikazivanja. U takvim slučajevima je važno da angažirani tim uključuje članove sa dostatnim relevantnim znanjem i iskustvom.[33]
|
Regulatorni čimbenici
A70. Relevantni regulatorni čimbenici uključuju regulatorno okruženje. Regulatorno okruženje obuhvaća, između ostalog, primjenjivi okvir financijskog izvještavanja kao i pravno i političko okruženje te bilo koje njihove promjene. Pitanja koja revizor može razmotriti uključuju:
• regulatorni okvir za reguliranu djelatnost, primjerice, bonitetni zahtjevi, uključujući povezana objavljivanja,
• zakone i regulaciju koji značajno utječu na poslovanje subjekta, primjerice, radno zakonodavstvo i regulativa,
• porezni zakoni i regulative,
• vladine politike koje trenutno utječu na poslovanje subjekta kao što su monetarna politika, uključujući i devizne kontrole, fiskalna politika, financijski poticaji (na primjer, vladini programi pomoći) te carinska ili politika ograničavanja trgovine,
• zahtjeve vezane uz okoliš koji utječu na djelatnost i poslovanje subjekta.
A71. MRevS 250 (izmijenjen) uključuje neke specifične zahtjeve koji se odnose na pravni i regulatorni okvir koji je primjenjiv na subjekt i djelatnost ili sektor u kojem subjekt posluje.[34](MRevS 250 (izmijenjen), točka 13)
Razmatranja specifična za subjekte javnog sektora
A72. Za revizije subjekata javnog sektora, mogu postojati posebni zakoni i regulative koji utječu na poslovanje subjekta. Takvi elementi mogu biti ključno razmatranje pri stjecanju razumijevanja subjekta i njegovog okruženja.
Ostali vanjski čimbenici
A73. Ostali vanjski čimbenici koji utječu na subjekt koje revizor može razmotriti uključuju opće ekonomske uvjete, kamatne stope i dostupnost financiranja te inflaciju ili revalorizaciju valute.
Mjere koje koristi menadžment za procjenu financijske uspješnosti subjekta (Vidjeti točku: 19(a)(iii))
Zašto revizor stječe razumijevanje mjera koje koristi menadžment
A74. Razumijevanje subjektovih mjera pomaže revizoru u razmatranju stvaraju li takve mjere, kad se koriste eksterno ili interno, pritisak na subjekt da postigne ciljeve uspješnosti. Ovi pritisci mogu motivirati menadžment na poduzimanje radnji koje povećavaju podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili prijevare (npr. radi poboljšavanja poslovne uspješnosti ili radi namjernog pogrešnog prikazivanja financijskih izvještaja) (vidjeti MRevS 240 za zahtjeve i smjernice u odnosu na rizike prijevare).
A75. Mjere mogu također ukazati revizoru na vjerojatnost rizika značajnih pogrešnih prikazivanja povezanih informacija u financijskim izvještajima. Na primjer, mjere uspješnosti mogu pokazivati da subjekt ima neuobičajeno brzi rast ili profitabilnost u usporedbi s drugim subjektima u istoj industriji.
Mjere koje koristi menadžment
A76. Menadžment i drugi redovno mjere i pregledavaju ona pitanja koja smatraju važnima. Postavljanje upita menadžmentu može otkriti da se menadžment oslanja na određene ključne pokazatelje, bez obzira jesu li javno dostupni ili ne, za ocjenu financijske uspješnosti i poduzimanje radnji. U takvim slučajevima, revizor može identificirati relevantne mjere uspješnosti, vanjske ili unutarnje, razmatrajući informacije koje subjekt koristi za upravljanje svojim poslovanjem. Ako takav upit pokazuje odsutnost mjerenja ili pregleda uspješnosti, može postojati povećani rizik da pogrešna prikazivanja nisu otkrivena i ispravljena.
A77. Ključni pokazatelji koji se koriste za ocjenu financijske uspješnosti mogu uključivati:
• ključne pokazatelje uspješnosti (financijske i nefinancijske) i ključne omjere, trendove i operativnu statistiku,
• analize financijske uspješnosti na temelju usporedbe s prethodnim razdobljem,
• planove, projekcije, analize odstupanja, informacije o segmentima i izvještaje o uspješnosti za sektore, odjele ili druge razine,
• mjere uspješnosti zaposlenika te politike poticajnog nagrađivanja,
• usporedbe uspješnosti subjekta s uspješnošću konkurenata.
Prilagodljivost opsega (Vidjeti točku: 19(a)(iii))
A78. Postupci koji se provode u svrhu razumijevanja mjera subjekta mogu varirati ovisno o veličini ili kompleksnosti subjekta kao i o uključenosti vlasnika ili onih koji su zaduženi za upravljanje u menadžment subjekta.
Primjeri: • Za neke manje kompleksne subjekte, uvjeti bankarskih zajmova za subjekt (tj. odredbe ugovora s bankom) mogu biti povezani sa specifičnim mjerama uspješnosti koji se odnose na uspješnost subjekta ili financijski položaj (npr. iznos maksimalnog radnog kapitala). Revizorovo razumijevanje mjera koje koristi banka može pomoći u identifikaciji područja na kojima postoji povećana podložnost riziku značajnih pogrešnih prikazivanja. • Za neke subjekte čija vrsta i okolnosti su kompleksniji, kao što su oni koji posluju u osiguravateljskoj ili bankarskoj djelatnosti, uspješnost ili financijski položaj mogu biti izmjereni u odnosu na regulatorne zahtjeve (npr. regulatorni zahtjevi o omjerima kao što su adekvatnost kapitala, omjeri likvidnosti, zadani pokazatelji uspješnosti). Revizorovo razumijevanje ovih mjera uspješnosti može pomoći pri identificiranju područja na kojima postoji povećana podložnosti riziku značajnih pogrešnih prikazivanja. |
Ostala razmatranja
A79. Vanjske strane mogu također pregledavati i analizirati financijsku uspješnost subjekta, osobito za subjekte čije su financijske informacije javno dostupne. Revizor može također razmotriti javno dostupne informacije koje mu mogu pomoći u daljnjem razumijevanju poslovanja ili identificiranju kontradiktornih informacija kao što su informacije od:
• analitičara ili bonitetnih agencija,
• novina i drugih medija, uključivo društvenih medija,
• poreznih vlasti,
• regulatora,
• sindikata,
• financijera.
Takve financijske informacije mogu se često pribaviti od subjekta revizije.
A80. Mjerenje i pregled financijske uspješnosti nije isto što i monitoring sustava internih kontrola (o čemu se raspravlja kao o komponenti sustava internih kontrola u točkama A114 – A122), iako se njihove svrhe mogu preklapati:
• mjerenje i pregled uspješnosti su usmjereni prema tome postiže li poslovna uspješnost ciljeve koje je postavio menadžment (ili treće strane).
• nasuprot tome, monitoring sustava internih kontrola se bavi praćenjem učinkovitosti kontrola uključujući one koje se odnose na menadžmentovo mjerenje i pregledavanje financijske uspješnosti.
U nekim slučajevima, međutim, pokazatelji uspješnosti također pružaju informacije koje omogućuju menadžmentu identifikaciju nedostataka kontrola.
Razmatranja specifična za subjekte javnog sektora
A81. Povrh razmatranja relevantnih mjera koje koristi subjekt javnog sektora u svrhu procjene financijske uspješnosti subjekta, revizori subjekata javnog sektora mogu također razmotriti nefinancijske informacije kao što su postizanje javnih koristi (na primjer, broj ljudi kojima je pomogao određeni program).
Primjenjivi okvir financijskog izvještavanja (Vidjeti točku: 19(b))
Razumijevanje primjenjivog okvira financijskog izvještavanja i računovodstvenih politika subjekta
A82. Pitanja koja revizor može razmotriti pri stjecanju razumijevanja primjenjivog okvira financijskog izvještavanja subjekta i načina na koji se on primjenjuje u kontekstu vrste i okolnosti subjekta i njegovog okruženja uključuju:
• prakse financijskog izvještavanja subjekta u terminima primjenjivog okvira financijskog izvještavanja kao što su:
o računovodstvena načela i prakse koje su specifične za djelatnost uključujući za djelatnost specifične signifikantne klase transakcija, stanja računa i povezane objave u financijskim izvještajima (na primjer, krediti i ulaganja za banke ili istraživanje i razvoj za farmaceutsku industriju),
o priznavanje prihoda,
o računovodstvo financijskih instrumenata uključujući s njima povezane kreditne gubitke,
o imovina, obveze i transakcije u stranoj valuti,
o računovodstvo neuobičajenih ili kompleksnih transakcija uključujući one na kontroverznim ili novonastajućim područjima (na primjer, računovodstvo kriptovaluta).
• razumijevanje subjektovog odabira i primjene računovodstvenih politika uključujući i bilo koje njihove promjene kao i razloge za te promjene mogu obuhvatiti pitanja kao što su:
o metode koje subjekt koristi za priznavanje, mjerenje, prezentiranje i objavu signifikantnih i neuobičajenih transakcija,
o učinak značajnih računovodstvenih politika u kontroverznim ili novonastajućim područjima za koje ne postoje mjerodavne smjernice ili konsenzus,
o promjene u okruženju, kao što su promjene u primjenjivom okviru financijskog izvještavanja ili porezne reforme koje mogu iziskivati promjene u računovodstvenim politikama subjekta,
o standardi financijskog izvještavanja, zakoni i regulative koji su novi za subjekt te kad i kako će te zahtjeve subjekt usvojiti ili se s njima uskladiti.
A83. Stjecanje razumijevanja subjekta i njegovog okruženja može pomoći revizoru pri razmatranju područja na kojima se mogu očekivati promjene u financijskom izvještavanju subjekta (npr. iz ranijih razdoblja).
Primjer: Ako je subjekt proveo značajnu poslovnu kombinaciju tijekom razdoblja, revizor bi vjerojatno očekivao promjene u klasama transakcija, stanjima računa i objavljivanjima povezanim s tom poslovnom kombinacijom. Alternativno, ako nije bilo značajnih promjena u okviru financijskog izvještavanja tijekom razdoblja, revizorovo razumijevanje može pomoći u potvrđivanju da razumijevanje stečeno u prethodnom razdoblju ostaje i nadalje primjenjivo. |
Razmatranja specifična za subjekte javnog sektora
A84. Primjenjivi okvir financijskog izvještavanja za subjekt javnog sektora određen je zakonskim i regulatornim okvirima koji su relevantni za svaku pojedinu jurisdikciju ili unutar svakog zemljopisnog područja. Pitanja koja se mogu razmotriti u subjektovoj primjeni zahtjeva primjenjivog okvira financijskog izvještavanja i načina na koji subjekt primjenjuje te zahtjeve u kontekstu vrste i okolnosti subjekta i njegovog okruženja uključuju pitanje o tome primjenjuje li subjekt računovodstvo na osnovi nastanka događaja u punoj mjeri, računovodstvo na osnovi novčanog toka u skladu s međunarodnim računovodstvenim standardima javnog sektora ili neki hibrid.
Kako čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnom prikazivanju (Vidjeti točku: 19(c))
Dodatak 2 sadrži primjere događaja i stanja koja mogu uzrokovati postojanje rizika značajnih pogrešnih prikazivanja, kategorizirane po čimbeniku inherentnog rizika. |
Zašto revizor stječe razumijevanje čimbenika inherentnog rizika kad razumije subjekt i njegovo okruženje te primjenjivi okvir financijskog izvještavanja
A85. Razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja pomaže revizoru kod identificiranja događaja ili stanja čije karakteristike mogu utjecati na podložnost tvrdnji o klasama transakcija, stanjima računa ili objavama pogrešnom prikazivanju. Ove karakteristike su čimbenici inherentnog rizika. Čimbenici inherentnog rizika mogu utjecati na podložnost tvrdnji pogrešnim prikazivanjima time što mogu utjecati na vjerojatnost nastanka pogrešnog prikazivanja ili na veličinu pogrešnog prikazivanja, ako bi ono nastalo. Razumijevanje načina na koji čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnog prikazivanja može pomoći revizoru kod preliminarnog razumijevanja vjerojatnosti ili veličine pogrešnih prikazivanja što pomaže revizoru kod identificiranja rizika značajnih pogrešnih prikazivanja na razini tvrdnje u skladu s točkom 28(b). Razumijevanje stupnja do kojeg čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnom prikazivanju također pomaže revizoru kod procjenjivanja vjerojatnosti i veličine mogućeg pogrešnog prikazivanja kad procjenjuje inherentni rizik u skladu s točkom 31(a). Sukladno tome, razumijevanje čimbenika inherentnog rizika može također pomoći revizoru kod oblikovanja i obavljanja daljnjih revizijskih postupaka u skladu s MRevS-om 330.
A86. Na revizorovu identifikaciju rizika značajnih pogrešnih prikazivanja na razini tvrdnje i procjena inherentnog rizika mogu također utjecati revizijski dokazi koje je revizor pribavio obavljanjem drugih postupaka procjene rizika, daljnjih revizijskih postupaka ili prilikom ispunjavanja drugih zahtjeva navedenih u MRevS-ovima (vidjeti točke A95, A103, A111, A121, A124 i A151).
Učinak čimbenika inherentnog rizika na klasu transakcija, stanje računa ili objavu
A87. Opseg podložnosti pogrešnom prikazivanju klase transakcija, stanja računa ili objave koji proizlaze iz kompleksnosti ili subjektivnosti često je usko povezan s opsegom u kojem je podložan promjeni ili neizvjesnosti.
Primjer: Ako subjekt ima računovodstvenu procjenu koja je utemeljena na pretpostavkama čiji odabir je podložan značajnoj prosudbi, vjerojatno je da će na mjerenje te računovodstvene procjene utjecati i subjektivnost i neizvjesnost. |
A88. Što je veći stupanj do kojeg su klase transakcija, stanje računa ili objava podložni pogrešnom prikazivanju zbog kompleksnosti ili subjektivnosti, to je veća potreba da revizor koristi profesionalni skepticizam. Nadalje, ako su klasa transakcija, stanje računa ili objava podložni pogrešnom prikazivanju zbog kompleksnosti, subjektivnosti, promjene ili neizvjesnosti, ovi čimbenici inherentnog rizika mogu stvoriti priliku za pristranost menadžmenta, bilo nenamjernu ili namjernu, i utjecati na podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti. Na revizorovu identifikaciju rizika značajnih pogrešnih prikazivanja i procjenjivanje inherentnog rizika na razini tvrdnje također utječu međuodnosi između čimbenika inherentnog rizika.
A89. Događaji ili stanja koji mogu utjecati na podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti mogu također utjecati na podložnost pogrešnom prikazivanju zbog ostalih čimbenika rizika prijevare. Sukladno tome, ovo može biti relevantna informacija za korištenje u skladu s točkom 24 MRevS-a 240, koji zahtijeva od revizora da ocijeni ukazuju li informacije pribavljene iz ostalih postupaka procjene rizika i povezanih aktivnosti na prisutnost jednog ili više čimbenika rizika prijevare.
Stjecanje razumijevanja sustava internih kontrola subjekta (Vidjeti točke: 21 – 27)
Dodatak 3 nadalje opisuje prirodu subjektovog sustava internih kontrola odnosno inherentnih ograničenja internih kontrola. Dodatak 3 također sadrži daljnja objašnjenja komponenata sustava internih kontrola za svrhe MRevS-ova. |
A90. Revizorovo razumijevanje subjektovog sustava internih kontrola stječe se kroz postupke procjene rizika koji se obavljaju radi razumijevanja i ocjenjivanja svake komponente sustava internih kontrola kako je navedeno u točkama 21 to 27.
A91. Komponente subjektovog sustava internih kontrola za svrhe ovog MRevS-a ne moraju nužno odražavati način na koji subjekt oblikuje, implementira i održava svoj sustav internih kontrola ili kako može klasificirati bilo koju pojedinu komponentu. Subjekti mogu koristiti različitu terminologiju ili okvire za opisivanje različitih aspekata sustava internih kontrola. Za svrhe revizije, revizori također mogu koristiti različitu terminologiju ili okvire pod uvjetom da su obrađeni sve komponente opisane u ovom MRevS-u.
Prilagodljivost opsega
A92. Način na koji je oblikovan, implementiran i održavan subjektov sustav internih kontrola varira s veličinom i kompleksnošću subjekta. Na primjer, manje kompleksni subjekti mogu koristiti slabije strukturirane ili jednostavnije kontrole (tj. politike i postupke) radi postizanja njihovih ciljeva.
Razmatranja specifična za subjekte javnog sektora
A93. Revizori subjekata u javnom sektoru često imaju dodatne odgovornosti u odnosu na interne kontrole, na primjer, izvijestiti o pridržavanju ustanovljenog kodeksa prakse ili izvještavanje o trošenju u odnosu na proračun. Revizori subjekata u javnom sektoru mogu također imati odgovornosti izvijestiti o usklađenosti s zakonima, regulativom ili drugim zahtjevima vlasti. Posljedično tome, njihova razmatranja o sustavu internih kontrola mogu biti šira i detaljnija.
Informacijska tehnologija u komponentama sustava internih kontrola subjekta
Dodatak 5 sadrži daljnje smjernice za razumijevanje subjektovog korištenja IT-a u komponentama sustava internih kontrola. |
A94. Ukupni cilj i opseg revizije ne razlikuje se bez obzira djeluje li subjekt uglavnom u ručnom okruženju, potpuno automatiziranom okruženju ili u okruženju koje uključuje neku kombinaciju ručnih i automatiziranih elemenata (tj. ručne i automatizirane kontrole i drugi resursi koji se koriste u sustavu internih kontrola subjekta).
Razumijevanje vrsta komponenata sustava internih kontrola subjekta
A95. U ocjenjivanju učinkovitosti oblikovanja kontrola i toga jesu li one bile implementirane (vidjeti točke A175 do A181) revizorovo razumijevanje svake od komponenti sustava internih kontrola subjekta pruža preliminarno razumijevanje načina na koji subjekt identificira poslovne rizike i kako na njih reagira. Ono također može utjecati na revizorovo identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja na različite načine (vidjeti točku A86). Ovo pomaže revizoru kod oblikovanja i obavljanja daljnjih revizijskih postupaka uključujući bilo koje planove testiranja operativne učinkovitosti kontrola. Na primjer:
• revizorovo razumijevanje subjektovog kontrolnog okruženja, subjektovog procesa procjene rizika i subjektovog procesa monitoringa komponenti kontrola će vjerojatnije utjecati na identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja.
• revizorovo razumijevanje subjektovog informacijskog sustava i komunikacije te subjektove komponente kontrolnih aktivnosti će vjerojatnije utjecati na identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
Kontrolno okruženje, subjektov proces procjene rizika i subjektov proces monitoringa sustava internih kontrola (Vidjeti točke: 21 – 24)
A96. Kontrole u kontrolnom okruženju, subjektov proces procjene rizika i subjektov proces monitoringa sustava internih kontrola su primarno neizravne kontrole (tj. kontrole koje nisu dovoljno precizne za sprječavanje, otkrivanje ili ispravljanje pogrešnih prikazivanja na razini tvrdnje ali one podržavaju druge kontrole i mogu stoga imati neizravan učinak na vjerojatnost da će pogrešno prikazivanje bili pravovremeno otkriveno ili spriječeno). Međutim, neke kontrole unutar ovih komponenti mogu biti izravne kontrole.
Zašto je revizor obvezan razumjeti kontrolno okruženje, subjektov proces procjene rizika i subjektov proces monitoringa sustava internih kontrola
A97. Kontrolno okruženje pruža ukupni temelj djelovanja drugih komponenti sustava internih kontrola. Kontrolno okruženje ne sprječava izravno ili ne otkriva i ne ispravlja pogrešna prikazivanja. Ono može, međutim, utjecati na učinkovitost kontrola u drugim komponentama sustava internih kontrola. Slično tome, subjektov proces procjene rizika i njegov proces monitoringa sustava internih kontrola su oblikovani kako bi funkcionirali na način koji također podržava cjelokupni sustav internih kontrola.
A98. Budući da su ove komponente temeljne za subjektov sustav internih kontrola, bilo koji nedostatak u njihovom funkcioniranju mogao bi imati prožimajuće učinke na sastavljanje financijskih izvještaja. Stoga, revizorovo razumijevanje i ocjenjivanje ovih komponenti utječe na revizorovu identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja te može također utjecati na identifikaciju i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje. Rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja utječu na revizorovo oblikovanje ukupnih reakcija, uključujući, kako je objašnjeno u MRevS-u 330, utjecaj na vrstu, vremenski raspored i opseg daljnjih revizijskih postupaka.[35](MRevS 330, točke A1 – A3)
Stjecanje razumijevanja kontrolnog okruženja (Vidjeti točku: 21)
Prilagodljivost opsega
A99. Vrsta kontrolnog okruženja u manje kompleksnim subjektima vjerojatno će se razlikovati od kontrolnog okruženja u kompleksnijem subjektu. Na primjer, oni koji su zaduženi za upravljanje u manje kompleksnom subjektu neće uključivati neovisnog ili vanjskog člana a ulogu upravljanja može obavljati izravno vlasnik-menadžer gdje nema drugih vlasnika. Sukladno tome, neka razmatranja o subjektovom sustavu internih kontrola mogu biti manje relevantna ili mogu biti neprimjenjiva.
A100. Povrh toga, revizijski dokazi o elementima kontrolnog okruženja u manje kompleksnim subjektima mogu biti nedostupni u obliku dokumentacije, osobito ako je komunikacija između menadžmenta i ostalog osoblja neformalna, ali dokazi ipak mogu biti primjereno relevantni i pouzdani u danim okolnostima.
Primjeri: • Organizacijska struktura u manje kompleksnom subjektu će vjerojatno biti jednostavna i može uključivati mali broj zaposlenih angažiranih u ulogama koje se odnose na financijsko izvještavanje. • Ako ulogu upravljanja obavlja izravno vlasnik-menadžer, revizor može utvrditi da neovisnost onih koji su zaduženi za upravljanje nije relevantna. • Manje kompleksni subjekti možda nemaju pisani kodeks ponašanja ali, umjesto toga, imaju razvijenu kulturu koja naglašava važnost integriteta i etičnog ponašanja kroz usmenu komunikaciju i kroz primjer menadžmenta. Posljedično tome, stavovi, svijest i postupci menadžmenta ili vlasnika-menadžera su od osobite važnosti za revizorovo razumijevanje kontrolnog okruženja u manje kompleksnom subjektu. |
Razumijevanje kontrolnog okruženja (Vidjeti točku: 21(a))
A101. Revizijski dokazi za revizorovo razumijevanje kontrolnog okruženja mogu se pribaviti kroz kombinaciju postavljanja upita i drugih postupaka procjene rizika (tj. potkrepljivanje upita promatranjem ili provjeravanjem dokumentacije)
A102. Pri razmatranju opsega do kojeg menadžment pokazuje predanost integritetu i etičkim vrijednostima, revizor može steći razumijevanje putem postavljanja upita menadžmentu i zaposlenima te putem razmatranja informacija iz vanjskih izvora o:
• načinu na koji menadžment komunicira zaposlenima svoje poglede na poslovnu praksu i etično ponašanje; i
• provjeravanjem menadžmentovog pisanog kodeksa ponašanja i promatranjem djeluje li menadžment na način koji odražava taj kodeks.
Ocjenjivanje kontrolnog okruženja (Vidjeti točku: 21(b))
Zašto revizor ocjenjuje kontrolno okruženje
A103. Revizorova ocjena o tome pokazuje li subjekt ponašanje dosljedno sa subjektovom predanošću integritetu i etičkim vrijednostima; pruža li kontrolno okruženje primjerenu osnovu za ostale komponente sustava internih kontrola subjekta i umanjuju li identificirani nedostaci kontrola ostale komponente sustava internih kontrola, pomaže revizoru pri identificiranju potencijalnih problema vezanih uz ostale komponente sustava internih kontrola. Navedeno pomaže revizoru jer je kontrolno okruženje temeljno za ostale komponente subjektovog sustava internih kontrola. Ova ocjena može također pomoći revizoru pri razumijevanju rizika s kojima se suočava subjekt te stoga pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja na razinama financijskih izvještaja i tvrdnji (vidi točku A86).
Revizorova ocjena kontrolnog okruženja
A104. Revizorova ocjena kontrolnog okruženja temelji se na razumijevanju stečenom u skladu s točkom 21(a).
A105. U nekim subjektima može dominirati jedna osoba koja može koristiti široka diskrecijska prava. Radnje i stavovi tog pojedinca mogu imati prožimajući učinak na kulturu subjekta što pak može imati prožimajući povratni učinak na kontrolno okruženje. Takav učinak može biti pozitivan ili negativan.
Primjer: Izravno uključivanje jedne osobe može biti ključno za omogućavanje subjektu da ostvari rast i druge ciljeve, i također može značajno doprinijeti učinkovitosti sustava internih kontrola. S druge strane, takva koncentracija znanja i autoriteta može također dovesti do povećane podložnosti pogrešnim prikazivanjima kroz menadžmentovo zaobilaženje kontrola. |
A106. Revizor može razmotriti kako na različite elemente kontrolnog okruženja mogu utjecati filozofija i stil poslovanja višeg menadžmenta vodeći računa o uključenosti neovisnih članova unutar grupe onih koji su zaduženi za upravljanje.
A107. Iako kontrolno okruženje može pružiti primjerenu osnovu za sustav internih kontrola i može pomoći smanjenju rizika prijevare, primjereno kontrolno okruženje nije nužno učinkovito sredstvo odvraćanja od prijevare.
Primjer: Politike i postupci ljudskih resursa koji su usmjereni prema zapošljavanju kompetentnog financijskog, računovodstvenog i IT osoblja mogu ublažiti rizik pogrešaka u obradi i evidentiranju financijskih informacija. Međutim, takve politike i postupci ne mogu ublažiti zaobilaženje kontrola od strane višeg menadžmenta (npr. kako bi se precijenila dobit). |
A108. Revizorova ocjena kontrolnog okruženja u mjeri u kojoj se odnosi na subjektovo korištenje IT-a može uključivati pitanja kao što su:
• je li upravljanje IT-om srazmjerno s vrstom i kompleksnošću subjekta i njegovog poslovanja koje omogućuje IT, uključujući kompleksnost ili zrelost subjektove tehnološke platforme ili arhitekture i opseg do kojeg se subjekt oslanja na IT aplikacije radi podržavanja svog financijskog izvještavanja,
• organizacijska struktura menadžmenta koja se odnosi na IT i dodijeljene resurse (na primjer, je li subjekt investirao u primjereno IT okruženje i nužna poboljšanja ili je li zaposlen dovoljan broj pojedinaca s primjerenim vještinama uključujući i situaciju u kojoj subjekt koristi komercijalni softver (bez ili s ograničenim modifikacijama).
Stjecanje razumijevanja subjektovog procesa procjene rizika (Vidjeti točke: 22 – 23)
Razumijevanje subjektovog procesa procjene rizika (Vidjeti točku: 22(a))
A109. Kao što je objašnjeno u točki A62, ne uzrokuju svi poslovni rizici rizike značajnih pogrešnih prikazivanja. Kako bi razumio način na koji su menadžment i oni zaduženi za upravljanje identificirali poslovne rizike koji su relevantni za sastavljanje financijskih izvještaja i odlučili o radnjama radi postupanja u vezi s tim rizicima, pitanja koja revizor može razmotriti uključuju jesu li menadžment ili, ako je primjereno, oni zaduženi za upravljanje:
• specificirali subjektove ciljeve s dostatnom preciznošću i jasnoćom kako bi omogućili identifikaciju i procjenjivanje rizika koji se odnose na ciljeve;
• identificirali rizike za postizanje subjektovih ciljeva i analizirali rizike kao osnovu za utvrđivanje načina na koji se upravlja rizicima; i
• razmotrili potencijal za prijevaru pri razmatranju rizika za postizanje subjektovih ciljeva.[36](MRevS 240, točka 19)
A110. Revizor može razmotriti implikacije takvih poslovnih rizika za sastavljanje financijskih izvještaja subjekta i druge aspekte njegovog sustava internih kontrola.
Ocjenjivanje subjektovog procesa procjene rizika (Vidjeti točku: 22(b))
Zašto revizor ocjenjuje primjerenost subjektovog procesa procjene rizika
A111. Revizorova ocjena subjektovog procesa procjene rizika može pomoći revizoru kod razumijevanja područja na kojima je subjekt identificirao rizike koji mogu nastati i kako je subjekt reagirao na te rizike. Revizorova ocjena načina na koji subjekt identificira svoje poslovne rizike i kako on procjenjuje i reagira na te rizike pomaže revizoru kod razumijevanja jesu li rizici s kojima se subjekt suočava identificirani, procijenjeni i razriješeni primjereno vrsti i kompleksnosti subjekta. Ova ocjena može također pomoći revizoru kod identificiranja i procjenjivanja rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja i na razini tvrdnje. (vidjeti točku A86).
Ocjenjivanje primjernosti subjektovog procesa procjene rizika (Vidjeti točku: 22(b))
A112. Revizorova ocjena primjerenosti subjektovih postupaka procjene rizika temelji se na razumijevanju stečenom u skladu s točkom 22(a).
Prilagodljivost opsega
A113. Pitanje je li subjektov proces procjene rizika primjeren okolnostima subjekta uzimajući u obzir vrstu i kompleksnost subjekta je pitanje revizorove profesionalne prosudbe.
Primjer: Kod manje kompleksnih subjekata, a osobito subjekata kojima upravlja vlasnik-menadžer, primjerena procjena rizika može biti obavljena kroz izravno uključivanje menadžmenta ili vlasnika-menadžera (npr. menadžer ili vlasnik-menadžer može rutinski posvetiti vrijeme praćenju aktivnosti konkurenata i drugim promjenama na tržištu radi identifikacije nastajućih poslovnih rizika. Dokaz da postoji ovakvo procjenjivanje rizika u ovim tipovima subjekata često nije formalno dokumentiran, ali iz rasprava koje revizor vodi s menadžmentom može biti očito da menadžment zaista obavlja postupke procjene rizika. |
Stjecanje razumijevanja subjektovog procesa monitoringa sustava internih kontrola subjekta (Vidjeti točku: 24)
Prilagodljivost opsega
A114. U manje kompleksnim subjektima a osobito u subjektima kojima upravlja vlasnik-menadžer, revizorovo razumijevanje subjektovog procesa monitoring sustava internih kontrola je često usredotočeno na način na koji je menadžment ili vlasnik-menadžer izravno uključen u poslovanje jer je moguće da nema drugih monitoring aktivnosti.
Primjer: Menadžment može primati žalbe kupaca o netočnostima u njihovom mjesečnom izvještaju što upozorava vlasnika-menadžera na probleme s pravovremenim priznavanjem plaćanja kupaca u računovodstvenim evidencijama. |
A115. Za subjekte kod kojih ne postoji formalni proces monitoringa sustava internih kontrola razumijevanje procesa monitoringa sustava internih kontrola može uključivati razumijevanje periodičkih pregleda informacija upravljačkog računovodstva koje su oblikovane s ciljem da doprinesu načinu na koji subjekt sprječava ili otkriva pogrešna prikazivanja.
Razumijevanje subjektovog procesa monitoringa sustava internih kontrola (Vidjeti točku: 24(a))
A116. Pitanja koja mogu biti relevantna za razmatranje od strane revizora u sklopu razumijevanja načina na koji subjekt obavlja monitoring svojeg sustava internih kontrola uključuju:
• oblikovanje monitoring aktivnosti, na primjer, jesu li one periodičke ili kontinuirane,
• obavljanje i učestalost monitoring aktivnosti,
• pravodobno ocjenjivanje rezultata monitoring aktivnosti radi utvrđivanja jesu li kontrole bili učinkovite, i
• način na koji se postupa s identificiranim nedostacima putem primjerenih korektivnih radnji, uključujući pravodobno komuniciranje takvih nedostataka onima koji su odgovorni za poduzimanje korektivnih radnji.
A117. Revizor također može razmotriti kako subjektov proces monitoringa sustava internih kontrola postupa s monitoringom kontrola obrade informacija koje uključuju korištenje IT-a. Ovo može uključivati, na primjer:
• kontrole radi praćenja kompleksnih IT okruženja koje:
o ocjenjuju kontinuiranu učinkovitost oblikovanja kontrola obrade informacija i modificiraju ih, kako je primjereno, zbog promjena uvjeta; ili
o ocjenjuju operativnu učinkovitost kontrola obrade informacija.
• kontrole koje nadziru dopuštenja primijenjena kod automatiziranih kontrola obrade informacija koje provode segregaciju dužnosti.
• kontrole koje nadziru kako se identificiraju i razrješavaju pogreške ili nedostaci kontrola koji se odnose na automatizaciju financijskog izvještavanja.
Razumijevanje subjektove funkcije interne revizije (Vidjeti točku: 24(a)(ii))
Dodatak 4 sadrži daljnja razmatranja za razumijevanje subjektove funkcije interne revizije. |
A118. Revizorovo postavljanje upita odgovarajućim pojedincima unutar funkcije interne revizije pomaže revizoru pri stjecanju razumijevanja vrsta odgovornosti funkcije interne revizije. Ako revizor utvrdi da su odgovornosti funkcije povezane s financijskim izvještavanjem, revizor može steći daljnje razumijevanje o aktivnostima koje su obavljene ili će se obaviti od strane funkcije interne revizije pregledom plana funkcije interne revizije za to razdoblje, ako postoji, i raspravljanjem o tom planu s odgovarajućim pojedincima unutar funkcije. Ovo razumijevanje zajedno s informacijama pribavljenim putem revizorovih upita može također pružiti informacije koje su izravno relevantne za revizorovu identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Ako revizor, na temelju njegovog preliminarnog razumijevanja funkcije interne revizije, očekuje koristiti rad funkcije interne revizije radi modificiranja vrste, vremenskog rasporeda ili smanjenje opsega revizijskih postupaka koji se moraju obaviti, primjenjuje se MRevS 610 (izmijenjen 2013.)[37](MRevS 610 (izmijenjen 2013), Korištenje radom internih revizora)
Ostali izvori informacija koji su korišteni u subjektovom procesu monitoringa sustava internih kontrola
Razumijevanje izvora informacija (Vidjeti točku: 24(b))
A119. Monitoring aktivnosti menadžmenta mogu koristiti informacije iz komunikacija s vanjskim stranama kao što su žalbe kupaca ili komentari regulatora, koje mogu ukazivati na probleme ili naznačiti područja na kojima postoji potreba za poboljšanjem.
Zašto je revizor dužan razumjeti izvore informacija korištenih za subjektov monitoring sustava internih kontrola
A120. Revizorovo razumijevanje izvora informacija koje koristi subjekt za monitoring subjektovog sustava internih kontrola, uključujući jesu li informacije relevantne i pouzdane, pomaže revizoru pri ocjenjivanju primjerenosti subjektovog procesa monitoringa sustava internih kontrola. Ako menadžment pretpostavlja da su informacije korištene za monitoring relevantne i pouzdane bez da ima osnovu za takvu pretpostavku, pogreške koje mogu postojati u informacijama mogle bi potencijalno dovesti menadžment do toga da iz svojih monitoring aktivnosti izvuče pogrešan zaključak.
Ocjenjivanje subjektovog procesa monitoringa sustava internih kontrola (Vidjeti točku 24(c))
Zašto revizor ocjenjuje primjerenost subjektovog procesa monitoringa sustava internih kontrola
A121. Revizorovo ocjenjivanje načina na koji subjekt provodi trajne i zasebne ocjene radi monitoringa učinkovitosti kontrola pomaže revizoru pri razumijevanju pitanja jesu li prisutne i funkcioniraju li ostale komponentne subjektovog sustava internih kontrola te stoga pomaže pri razumijevanju ostalih komponenti subjektovog sustava internih kontrola. Ova ocjena stoga pomaže pri razumijevanju ostalih komponenti subjektovog sustava internih kontrola. Ova ocjena može također pomoći revizoru pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja i na razini tvrdnji (vidjeti točku A86).
Ocjenjivanje je li subjektov proces monitoringa sustava internih kontrola primjeren (Vidjeti točku: 24(c))
A122. Revizorovo ocjenjivanje primjerenosti subjektovog monitoringa sustava internih kontrola temelji se na revizorovom razumijevanju subjektovog procesa monitoringa sustava internih kontrola.
Informacijski sustav i komunikacija te kontrolne aktivnosti (Vidjeti točke: 25 – 26)
A123. Kontrole u informacijskom sustavu i komuniciranju te komponente kontrolnih aktivnosti su primarno otkrivajuće kontrole (tj. kontrole koje su dostatno precizne za sprječavanje, otkrivanje i ispravljanje pogrešnih prikazivanja na razini tvrdnji).
Zašto je revizor dužan razumjeti informacijski sustav i komuniciranje te kontrole u komponenti kontrolnih aktivnosti
A124. Revizor je dužan razumjeti subjektov informacijski sustav i komuniciranje jer razumijevanje subjektovih politika koje definiraju tokove transakcija i ostale aspekte subjektovih aktivnosti obrade informacija koje su relevantne za sastavljanje financijskih izvještaja i ocjenjivanje pitanja podržava li komponenta primjereno sastavljanje subjektovih financijskih izvještaja, podržava revizorovo identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje. Ovo razumijevanje i ocjena mogu također rezultirati identifikacijom rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja kad su rezultati revizorovih postupaka nedosljedni s očekivanjima o subjektovom sustavu internih kontrola nastalih na temelju informacija dobivenih tijekom procesa prihvaćanja ili nastavljanja angažmana (vidjeti točku A86).
A125. Revizor je dužan identificirati specifične kontrole u komponenti kontrolnih aktivnosti i ocijeniti oblikovanje te utvrditi jesu li kontrole implementirane, budući da to pomaže revizorovom razumijevanju menadžmentovog pristupa razrješavanju određenih rizika te stoga pruža temelj za oblikovanje i obavljanje daljnjih revizijskih postupaka koji reagiraju na ove rizike kako to zahtijeva MRevS 330. Što se rizik ocjenjuje višim u spektru inherentnog rizika to uvjerljiviji trebaju biti revizijski dokazi. Čak ako revizor ne planira testirati operativnu učinkovitost identificiranih kontrola, revizorovo razumijevanje ipak može utjecati na oblikovanje, vrstu, vremenski raspored i opseg dokaznih revizijskih postupaka koji reagiraju na povezane rizike značajnih pogrešnih prikazivanja.
Iterativna priroda revizorovog razumijevanja i ocjenjivanja informacijskog sustava i komuniciranja te kontrolnih aktivnosti
A126. Kao što je objašnjeno u točki A49, revizorovo razumijevanje subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja može pomoći revizoru pri razvijanju početnih očekivanja o klasama transakcija, stanjima računa ili objavljivanjima koje mogu biti signifikantne klase transakcija, stanja računa i objavljivanja. U stjecanju razumijevanja komponente informacijskog sustava i komunikacije u skladu s točkom 25(a), revizor može koristiti ova početna očekivanja u svrhu utvrđivanja opsega razumijevanja subjektovih aktivnosti obrade informacija koji treba steći.
A127. Revizorovo razumijevanje informacijskog sustava uključuje razumijevanje politika koje definiraju tokove informacija povezanih sa subjektovim signifikantnim klasama transakcija, stanjima računa i objavljivanjima te ostalim povezanim aspektima subjektovih aktivnosti obrade informacija. Ova informacija i informacije dobivene iz revizorove ocjene informacijskog sustava mogu potvrditi ili dalje utjecati na revizorova očekivanja o početno identificiranim signifikantnim klasama transakcija, stanjima računa ili objavljivanjima (vidjeti točku A126).
A128. Pri stjecanju razumijevanja načina na koji informacije povezane s signifikantnim klasama transakcija, stanjima računa i objavljivanjima ulaze, prolaze i izlaze iz subjektovog informacijskog sustava, revizor može također identificirati kontrole u komponenti kontrolnih aktivnosti koje moraju biti identificirane u skladu s točkom 26(a). Revizorova identifikacija i ocjena kontrola u komponenti kontrolnih aktivnosti može se najprije usredotočiti na kontrole nad knjiženjima u dnevnik i kontrole čiju operativnu učinkovitost revizor planira testirati radi oblikovanja vrsta, vremenskog rasporeda i opsega dokaznih postupaka.
A129. Revizorova procjena inherentnog rizika može također utjecati na identifikaciju kontrola u komponenti kontrolnih aktivnosti. Na primjer, revizorova identifikacija kontrola povezanih s značajnim rizicima može se obaviti tek kad revizor procijeni inherentni rizik na razini tvrdnje u skladu s točkom 31. Nadalje, kontrole koje reagiraju na rizike za koje je revizor utvrdio da dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze (u skladu točkom 33) mogu se također identificirati tek nakon što revizor obavi procjene inherentnog rizika.
A130. Na revizorovo identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje utječu i revizorovo:
• razumijevanje subjektovih politika povezanih s njegovim aktivnostima obrade informacija u komponenti informacijskog sustava i komuniciranja, i
• identificiranje i ocjenjivanje kontrola u komponenti kontrolnih aktivnosti.
Stjecanje razumijevanja informacijskog sustava i komuniciranja (Vidjeti točku: 25)
Prilagodljivost opsega
A131. Informacijski sustav i povezani poslovni procesi u manje kompleksnim subjektima vjerojatno su manje sofisticirani nego u većim subjektima i vjerojatno uključuju manje kompleksno IT okruženje. Međutim, uloga informacijskog sustava jednako je važna. Manje kompleksni subjekti s izravno uključenim menadžmentom možda neće trebati opširne opise računovodstvenih postupaka, sofisticiranih računovodstvenih evidencija ili pisane politike. Razumijevanje relevantnih aspekata subjektovog informacijskog sustava može stoga zahtijevati manje napora u reviziji manje kompleksnog subjekta i može uključivati veći opseg postavljanja upita nego promatranja ili provjere dokumentacije. Međutim, potreba za stjecanjem razumijevanja ostaje važna kako bi se dobila osnova za oblikovanje daljnjih revizijskih postupaka u skladu s MRevS-om 330 te može dalje pomoći revizoru pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja. (vidjeti točku A86).
Stjecanje razumijevanja informacijskog sustava (Vidjeti točku: 25(a))
A132. U subjektov sustav internih kontrola uključeni su aspekti koji su povezani s subjektovim ciljevima izvještavanja, uključujući njegove ciljeve financijskog izvještavanja ali mogu također uključivati aspekte koji su povezani s njegovim poslovanjem ili ciljevima usklađenosti kad su takvi aspekti relevantni za financijsko izvještavanje. Razumijevanje načina na koji subjekt inicira transakcije i obuhvaća informacije kao dio revizorovog razumijevanja informacijskog sustava može uključivati informacije o subjektovim sustavima (njegovim politikama) koji su oblikovani za postizanje cilja usklađenosti i poslovnih ciljeva jer su takve informacije relevantne za sastavljanje financijskih izvještaja. Nadalje, neki subjekti mogu imati informacijske sustave koji su visoko integrirani tako da se kontrole mogu oblikovati na način da se istovremeno postignu ciljevi financijskog izvještavanja, usklađenosti i poslovni ciljevi te kombinacije tih ciljeva.
Dodatak 3, točke 15 – 19, navode daljnja razmatranja povezana s informacijskim sustavom i komuniciranjem. |
A133. Razumijevanje subjektovog informacijskog sustava također uključuje razumijevanje resursa koji se koriste u aktivnostima subjektove obrade informacija. Informacije o uključenim ljudskim resursima koje mogu biti relevantne za razumijevanje rizika koji se odnose na integritet informacijskog sustava uključuju:
• kompetentnost pojedinaca koji obavljaju posao;
• postoje li adekvatni resursi; i
• postoji li primjerena segregacija dužnosti.
A134. Pitanja koja revizor može razmotriti pri razumijevanju politika koje definiraju tokove informacija povezanih sa subjektovim signifikantnim klasama transakcija, stanjima računa i objavljivanjima u komponenti informacijskog sustava i komponenti komuniciranja uključuju prirodu:
(a) podataka ili informacija povezanih s transakcijama, drugim događajima ili uvjetima koji će se obraditi;
(b) obrade informacija radi očuvanja integriteta tih podataka ili informacija; i
(c) informacijskih procesa, osoblja i ostalih resursa korištenih u procesu obrade informacija.
A135. Stjecanje razumijevanja subjektovih poslovnih procesa, što uključuje način na koji su transakcije nastale, pomaže revizoru pri stjecanju razumijevanja subjektovog informacijskog sustava na način koji je primjeren okolnostima.
A136. Revizorovo razumijevanje informacijskog sustava može se steći na različite načine i može uključivati:
• postavljanje upita relevantnom osoblju o postupcima koji se koriste za iniciranje, evidentiranje, obradu i izvještavanje o transakcijama ili o subjektovom procesu financijskog izvještavanja;
• provjeravanje priručnika o politici ili procesu ili drugoj dokumentaciji o subjektovom informacijskom sustavu;
• promatranje realizacije politika ili postupaka od strane osoblja subjekta; ili
• odabiranje transakcija i njihovo praćenje kroz primjenjivi proces u informacijskom sustavu (tj. provedba »walk-through« postupka).
Automatizirani alati i tehnike
A137. Revizor također može koristiti automatizirane tehnike kako bi dobio izravni pristup bazama podataka ili digitalno preuzimao podatke iz baza podataka u subjektovom informacijskom sustavu koje pohranjuju računovodstvene evidencije transakcija. Primjenom automatiziranih alata ili tehnika na ove informacije revizor može potvrditi razumijevanje stečeno o tome kako transakcije protječu kroz informacijski sustav putem praćenja knjiženja u dnevniku ili drugim digitalnim evidencijama povezanim s određenom transakcijom ili čitavom populacijom transakcija od inicijacije u računovodstvenoj evidenciji sve do knjiženja u glavnoj knjizi. Analiza potpunih ili velikih skupova transakcija može rezultirati u identificiranju odstupanja od normalnih ili očekivanih postupaka obrade za takve transakcije što može rezultirati identificiranjem rizika značajnih pogrešnih prikazivanja.
Informacije dobivene izvan glavne i pomoćnih knjiga
A138. Financijski izvještaji mogu sadržavati informacije koje su dobivene iz izvora izvan glavne i pomoćnih knjiga. Primjeri takvih informacija koje revizor može razmotriti uključuju:
• informacije dobivene iz ugovora o najmu koje su relevantne za objavljivanja u financijskim izvještajima,
• informacije objavljene u financijskim izvještajima koje su proizašle iz subjektovog sustava za upravljanje rizicima,
• informacije o fer vrijednostima koje su sastavili menadžmentovi stručnjaci i koje su objavljene u financijskim izvještajima,
• informacije objavljene u financijskim izvještajima koje su dobivene pomoću modela ili pomoću drugih kalkulacija korištenih za razvijanje računovodstvenih procjena priznatih ili objavljenih u financijskim izvještajima uključujući informacije povezane s osnovnim podacima i pretpostavkama korištenim u ovim modelima, kao što su:
o interno razvijene pretpostavke koje mogu utjecati na korisni vijek predmeta imovine, ili
o podaci kao što su kamatne stope na koje utječu čimbenici izvan kontrole subjekta.
• informacije objavljene u financijskim izvještajima o analizi osjetljivosti koje su izvedene iz financijskih modela a koje pokazuju da je menadžment razmatrao alternativne pretpostavke,
• informacije koje su priznate ili objavljene u financijskim izvještajima a koje su dobivene iz subjektovih poreznih prijava i evidencija,
• informacije koje su objavljene u financijskim izvještajima dobivene iz analiza pripremljenih u svrhu potkrepljivanja menadžmentove procjene subjektove sposobnosti nastavljanja vremenski neograničenog poslovanja, kao što su objave, ako ih ima, povezane s događajima ili uvjetima koji su identificirani kao oni koji mogu stvoriti značajnu sumnju u subjektovu sposobnost nastavljanja vremenski neograničenog poslovanja.[38](MRevS 570 (izmijenjen), točke 19 – 20)
A139. Određeni iznosi ili objave u subjektovim financijskim izvještajima (kao što su objave o kreditnom riziku, riziku likvidnosti i tržišnom riziku) mogu biti utemeljene na informacijama dobivenim iz sustava upravljanja rizicima. Međutim, revizor nije dužan razumjeti sve aspekte sustava upravljanja rizicima i koristi profesionalnu prosudbu pri određivanju razine nužnog razumijevanja.
Subjektovo korištenje informacijske tehnologije u informacijskom sustavu
Zašto revizor stječe razumijevanje IT okruženja relevantnog za informacijski sustav
A140. Revizorovo razumijevanje informacijskog sustava uključuje IT okruženje koje relevantno za tokove transakcija ili obradu informacija u subjektovom informacijskom sustavu jer subjektovo korištenje IT aplikacija ili drugih aspekata u IT okruženju može prouzročiti rizike koji proizlaze iz korištenja IT-a.
A141. Razumijevanje subjektovog poslovnog modela i načina na koji subjekt integrira korištenje IT-a može također pružiti koristan kontekst za vrstu i opseg IT-a koji se očekuju u informacijskom sustavu.
Razumijevanje subjektovog korištenja IT-a
A142. Revizorovo razumijevanje IT okruženja može se usredotočiti na identificiranje i razumijevanje vrste i broja specifičnih IT aplikacija i drugih aspekata IT okruženja relevantnih za tokove transakcija i obradu informacija unutar informacijskog sustava. Promjene u toku transakcija ili informacije unutar informacijskog sustava mogu rezultirati iz promjena programa IT aplikacija ili izravnih promjena podataka u bazama podataka uključenih u obradu, ili same pohrane tih transakcija i informacija.
A143. Revizor može identificirati IT aplikacije i podržavajuću IT infrastrukturu istodobno s razumijevanjem načina na koji informacije povezane sa signifikantnim klasama transakcija, stanjima računa i objavljivanjima ulaze, prolaze i izlaze iz subjektovog informacijskog sustava.
Stjecanje razumijevanja subjektovog komuniciranja (Vidjeti točku: 25(b))
Prilagodljivost opsega
A144. U većim, kompleksnijim subjektima informacije koje revizor može razmotriti za razumijevanje subjektovog komuniciranja mogu doći iz priručnika za politike i priručnika za financijsko izvještavanje.
A145. U manje kompleksnim subjektima komuniciranje može biti manje strukturirano (tj. formalni priručnici se možda ne koriste) zbog manjeg broja razina odgovornosti i veće vidljivosti i raspoloživosti. Bez obzira na veličinu subjekta, otvoreni kanali za komuniciranje olakšavaju izvještavanje o iznimkama i postupanje s njima.
Ocjenjivanje pitanja podržavaju li relevantni aspekti informacijskog sustava sastavljanje subjektovih financijskih izvještaja (Vidjeti točku: 25(c))
A146. Revizorova ocjena pitanja podržavaju li subjektov informacijski sustav i komuniciranje na primjeren način pripremanje financijskih izvještaja temelji se na razumijevanju stečenom prema točkama 25(a) – (b).
Kontrolne aktivnosti (Vidjeti točku: 26)
Kontrole u komponenti kontrolnih aktivnosti
Dodatak 3, točke 20 i 21 sadrže daljnja razmatranja koja se odnose na kontrolne aktivnosti. |
A147. Komponenta kontrolnih aktivnosti uključuje kontrole koje su oblikovane kako bi osigurale pravilnu primjenu politika (koje su također i kontrole) u svim ostalim komponentama subjektovog sustava internih kontrola te uključuje i izravne i neizravne kontrole.
Primjer: Kontrole koje je subjekt uspostavio kako bi osigurao da njegovo osoblje ispravno broji i evidentira godišnju fizičku inventuru povezane su izravno s rizicima značajnih pogrešnih prikazivanja koji su relevantni za tvrdnje postojanja i potpunosti za stanje računa zaliha. |
A148. Revizorovo identificiranje i ocjenjivanje kontrola u komponenti kontrolnih aktivnosti usredotočeno je na kontrole obrade informacija, a to su kontrole koje se primjenjuju tijekom obrade informacija u subjektovom informacijskom sustavu a izravno postupaju s rizicima integriteta informacija (tj. potpunošću, točnošću i valjanošću transakcija i ostalih informacija). Međutim, revizor nije dužan identificirati i procijeniti sve kontrole nad obradom informacija koje se odnose na subjektove politike a koje definiraju tokove transakcija i ostale aspekte subjektovih aktivnosti obrade informacija za signifikantne klase transakcija, stanja računa ili objavljivanja.
A149. Također mogu postojati izravne kontrole u kontrolnom okruženju, subjektov proces procjene rizika ili subjektov proces monitoringa sustava internih kontrola koji mogu biti identificirani u skladu s točkom 26. Međutim, što je neizravniji odnos između kontrola koje podržavaju druge kontrole i kontrole koja se razmatra, manja može biti učinkovitost te kontrole u sprječavanju, otkrivanju i ispravljanju povezanih pogrešnih prikazivanja.
Primjer: Menadžerov pregled sumarnog izvještaja o prodajnim aktivnostima za pojedina prodajna mjesta po regiji obično je samo neizravno povezan s rizicima značajnih pogrešnih prikazivanja koji su relevantni za tvrdnju o potpunosti prihoda od prodaje. Sukladno tome, ta kontrola je možda manje učinkovita za razrješavanja tih rizika od kontrola koje su izravnije povezane s njima kao što je uparivanje dokumenata o otpremi s izlaznim računima. |
A150. Točka 26 također zahtijeva od revizora obavljanje identifikacije ili ocjenjivanja općih IT kontrola za IT aplikacije i druge aspekte IT okruženja koje je revizor utvrdio kao podložne rizicima koji proizlaze iz korištenja IT-a jer opće IT kontrole podržavaju kontinuirano učinkovito funkcioniranje kontrola obrade informacija. Opća IT kontrola sama za sebe uobičajeno nije dostatna za razrješavanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
A151. Kontrole koje je revizor u skladu s točkom 26 dužan identificirati i ocijeniti njihovo oblikovanje i utvrditi jesu li implementirane, su one:
• kontrole čiju operativnu učinkovitost revizor planira testirati za utvrđivanje vrste, vremenskog rasporeda i opsega dokaznih postupaka. Ocjenjivanje takvih kontrola pruža osnovu za revizorovo oblikovanje postupaka testiranja kontrole u skladu s MRevS-om 330. Ove kontrole također uključuju kontrole koje razrješavaju rizike za koje sami dokazni postupci ne pružaju dostatne i primjerene revizijske dokaze.
• kontrole koje uključuju kontrole koje razrješavaju značajne rizike i kontrole nad dnevničkim knjiženjima. Revizorovo identificiranje i ocjenjivanje takvih kontrola može također utjecati na revizorovo razumijevanje rizika značajnih pogrešnih prikazivanja uključujući identificiranje dodatnih rizika značajnih pogrešnih prikazivanja (vidjeti točku A95). Ovo razumijevanje također pruža osnovu za revizorovo oblikovanje vrsta, vremenskog rasporeda i opsega dokaznih revizijskih postupaka koji reagiraju na povezane procijenjene rizike značajnih pogrešnih prikazivanja.
• druge kontrole koje revizor smatra primjerenima da mu omoguće postizanje ciljeva iz točke 13 u odnosu na rizike na razini tvrdnje a na temelju revizorove profesionalne prosudbe.
A152. Kontrole u komponenti kontrolnih aktivnosti moraju se identificirati ako takve kontrole zadovoljavaju jedan ili više kriterija koji su uključeni u točku 26(a). Međutim, ako svaka od višestrukih kontrola postiže isti cilj, nije potrebno identificirani svaku od kontrola koje su povezane s tim ciljem.
Vrste kontrola u komponenti kontrolnih aktivnosti (Vidjeti točku: 26)
A153. Primjeri kontrola u komponenti kontrolnih aktivnosti uključuju autorizaciju i odobrenja, usklađivanja, verifikacije (kao što su provjere uređivanja i valjanosti ili automatizirani obračuni), segregaciju dužnosti, te fizičke i logičke kontrole uključujući one koje su povezane s čuvanjem imovine.
A154. Kontrole u komponenti kontrolnih aktivnosti mogu također uključivati kontrole koje je uspostavio menadžment a koje su povezane s rizicima značajnih pogrešnih prikazivanja u odnosu na objavljivanja koja nisu pripremljena u skladu s primjenjivim okvirom financijskog izvještavanja. Takve kontrole mogu se odnositi na informacije uključene u financijske izvještaja a koje su dobivene izvan glavne i pomoćnih knjiga.
A155. Bez obzira jesu ili kontrole unutar IT okruženja ili ručnih sustava, kontrole mogu imati različite ciljeve i mogu biti primijenjene na različitim organizacijskim i funkcionalnim razinama.
Prilagodljivost opsega (Vidjeti točku: 26)
A156. Kontrole u komponenti kontrolnih aktivnosti za manje kompleksne subjekte su vjerojatno slične onima u većim subjektima, ali formalnost kod njihove primjene može varirati. Nadalje, u manje kompleksnim subjektima, više kontrola može biti izravno primijenjeno od strane menadžmenta.
Primjer: Isključivo ovlaštenje menadžmenta za odobravanje kredita kupcima može pružiti jaku kontrolu nad važnim stanjima računa i transakcijama. |
A157. Možda je manje izvedivo uspostaviti segregaciju dužnosti u manje kompleksnim subjektima koji imaju manje zaposlenih. Međutim, u subjektu kojim upravlja vlasnik, vlasnik-menadžer može biti u mogućnosti obavljati učinkovitiji nadzor kroz izravno uključivanje nego u većem subjektu što može kompenzirati općenito veću ograničenost mogućnosti segregacije dužnosti. Iako, kako je također objašnjeno u MRevS-u 240, dominiranje menadžmentom od strane pojedinca može potencijalno biti nedostatak kontrole budući da postoji mogućnost za menadžmentovo zaobilaženje kontrola.[39](MRevS 240, točka A28)
Kontrole koje reagiraju na rizike značajnih pogrešnih prikazivanja na razini tvrdnje (Vidjeti točku: 26(a))
Kontrole koje reagiraju na rizik koji je utvrđen kao značajni rizik (Vidjeti točku: 26(a)(i))
A158. Bez obzira na to planira li revizor testirati operativnu učinkovitost kontrola koje rješavanju značajne rizike, stečeno razumijevanje o menadžmentovom pristupu rješavanju tih rizika može pružiti osnovu za oblikovanje i obavljanje dokaznih postupaka koji reagiraju na značajne rizike kao što zahtijeva MRevS 330.[40](MRevS 330, točka 21) Iako je često manje vjerojatno da bi rizici povezani s značajnim nerutinskim ili prosudbenim pitanjima podlijegali rutinskim kontrolama, menadžment može imati druga rješenja koja su namijenjena postupanju s takvim rizicima. Sukladno tome, revizorovo razumijevanje pitanja je li subjekt oblikovao i implementirao kontrole za značajne rizike koji proizlaze iz nerutinskih ili prosudbenih pitanja može uključivati pitanje je li i kako je menadžment reagirao na takve rizike. Takva reagiranja mogu uključivati:
• kontrole kao što je pregled pretpostavki od strane višeg menadžmenta ili stručnjaka,
• dokumentirani proces za računovodstvene procjene,
• odobrenje onih koji su zaduženi za upravljanje.
Primjer: Ako postoje jednokratni događaji kao što je primitak obavijesti o značajnoj sudskoj tužbi, razmatranje subjektovog reagiranja može uključivati takva pitanja kao što su: je li predmet upućen primjerenim stručnjacima (kao što su interni ili eksterni pravni savjetnik), je li učinjena procjena potencijalnog učinka i kakav je prijedlog za objavljivanje ovih okolnosti u financijskim izvještajima. |
A159. MRevS 240[41](MRevS 240, točke 28 i A33) zahtijeva od revizora razumijevanje kontrola povezanih s procijenjenim rizicima značajnih pogrešnih prikazivanja zbog prijevare (koje su tretirane kao značajni rizici) i dalje objašnjava kako je važno da revizor stekne razumijevanje kontrola koje je menadžment oblikovao, implementirao i koje održava radi sprječavanja i otkrivanja prijevare.
Kontrole nad knjiženjima u dnevnik (Vidjeti točku: 26(a)(ii))
A160. Kontrole koje rješavaju rizike značajnih pogrešnih prikazivanja na razini tvrdnje a čije se identificiranje očekuje u svim revizijama su kontrole nad dnevničkim knjiženjima jer način na koji subjekt inkorporira informacije iz obrade transakcija u glavnu knjigu redovito uključuje korištenje dnevničkih knjiženja bilo standardnih ili nestandardnih, odnosno automatiziranih ili ručnih. Opseg do kojeg su identificirane druge kontrole može varirati na temelju prirode subjekta i revizorovog planiranog pristupa daljnjim revizijskim postupcima.
Primjer: U reviziji manje kompleksnog subjekta, subjektov informacijski sustav možda nije kompleksan i revizor možda neće planirati oslanjanje na operativnu učinkovitost kontrola. Nadalje, revizor možda nije identificirao nikakve značajne rizike ili druge rizike značajnih pogrešnih prikazivanja za koje je nužno da revizor ocijeni oblikovanje kontrola i utvrdi da su one implementirane. U takvoj reviziji revizor može utvrditi da ne postoje identificirane kontrole nad knjiženjima u dnevnik. |
Automatizirani alati i tehnike
A161. U sustavima ručnih glavnih knjiga nestandardna knjiženja u dnevnik mogu se identificirati kroz provjeravanje poslovnih knjiga, dnevnika i pripadajuće dokumentacije. Ako se automatizirani postupci koriste radi održavanja glavne knjige i sastavljanja financijskih izvještaja takva knjiženja mogu postojati samo u elektroničkom obliku i stoga se mogu lakše identificirati korištenjem automatiziranih tehnika.
Primjer: U reviziji manje kompleksnog subjekta, revizor može biti u stanju povući ukupan popis svih knjiženja u dnevnik u jednostavnu tablicu. U tom slučaju revizoru može biti moguće sortirati dnevnička knjiženja primjenom različitih filtera kao što su iznos valute, ime sastavljača ili kontrolora, dnevnička knjiženja koja se zbrajaju samo u bilancu ili račun dobiti i gubitka ili pregled popisa po datumu na koji je dnevničko knjiženje uneseno u glavnu knjigu kako bi se revizoru pomoglo pri oblikovanju reagiranja na rizike koji su identificirani u odnosu na dnevnička knjiženja. |
Kontrole za koje revizor planira testirati operativnu učinkovitost (Vidjeti točku: 26(a)(iii))
A162. Revizor utvrđuje postoje li rizici značajnih pogrešnih prikazivanja na razini tvrdnje za koje nije moguće pribaviti dostatne i primjerene revizijske dokaze samo kroz dokazne postupke. Revizor je dužan, u skladu s MRevS-om 330,[42](MRevS 330, točka 8(b)) oblikovati i obaviti testove kontrola koje se odnose na one rizike značajnih pogrešnih prikazivanja za koje sami dokazni postupci ne pružaju dostatne i primjerene revizijske dokaze. Posljedično tome, ako postoje takve kontrole koje rješavaju te rizike, onda one moraju biti identificirane i procijenjene.
A163. U drugim slučajevima, ako revizor planira uzeti u obzir operativnu učinkovitost kontrola pri utvrđivanju vrste, vremenskog rasporeda i opsega dokaznih postupaka u skladu s MRevS-om 330, takve kontrole također moraju biti identificirane jer MRevS 330[43](MRevS 330, točka 8(a)) zahtijeva da revizor oblikuje i obavi testove tih kontrola.
Primjeri: Revizor može planirati testiranje operativne učinkovitosti kontrola: • nad rutinskim klasama transakcija jer takvo testiranje može biti efektivnije ili efikasnije za velike količine homogenih transakcija, • nad potpunošću i točnošću informacija koje stvara subjekt (npr. kontrole nad pripremom izvještaja koji generira sustav), radi utvrđivanja pouzdanosti takvih informacija, kad revizor namjerava uzeti u obzir operativnu učinkovitost ovih kontrola u oblikovanju i obavljanju daljnjih revizijskih postupaka, • koje se odnose na operativne ciljeve i ciljeve usklađenosti ako se odnose na podatke koje revizor procjenjuje ili koristi u primjeni revizijskih postupaka. |
A164. Na planove revizora da testira operativnu učinkovitost kontrola mogu također utjecati identificirani rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja. Na primjer, ako su identificirani nedostaci koji se odnose na kontrolno okruženje, tada to može utjecati na ukupna revizorova očekivanja o operativnoj učinkovitosti izravnih kontrola.
Ostale kontrole koje revizor smatra primjerenima (Vidjeti točku: 26(a)(iv))
A165. Ostale kontrole koje revizor može smatrati primjerenima za identifikaciju, ocjenjivanje oblikovanja i utvrđivanje implementacije mogu uključivati:
• kontrole koje rješavaju rizike ocijenjene višima u spektru inherentnog rizika ali koji nisu utvrđeni kao značajni rizici;
• kontrole koje se odnose na usklađivanje analitičkih evidencija s glavnom knjigom; ili
• komplementarne kontrole subjekta korisnika, ako koristi servisnu organizaciju.[44](MRevS 402, Revizijska razmatranja koja se odnose na subjekt koji koristi servisnu organizaciju)
Identificiranje IT aplikacija i ostalih aspekata IT okruženja, rizika koji proizlaze iz korištenja IT-a i općih IT kontrola (Vidjeti točke: 26(b) – (c))
Dodatak 5 uključuje kao primjer karakteristike IT aplikacija i druge aspekte IT okruženja i smjernice koje se odnose na te karakteristike, a koje mogu biti relevantne pri identificiranju IT aplikacija i drugih aspekata IT okruženja koji su podložni rizicima koji proizlaze iz korištenja IT-a. |
Identificiranje IT aplikacija i ostalih aspekata IT okruženja (Vidjeti točku: 26(b))
Zašto revizor identificira rizike koji proizlaze iz korištenja IT-a i općih IT kontrola povezanih s identificiranim IT aplikacijama i ostalim aspektima IT okruženja
A166. Razumijevanje rizika koji proizlaze iz korištenja IT-a i općih IT kontrola koje je subjekt implementirao radi reagiranja na one rizike koji mogu utjecati na:
• revizorovu odluku o testiranju operativne učinkovitosti kontrola radi reagiranja na rizike značajnih pogrešnih prikazivanja na razini tvrdnje;
Primjer: Ako opće IT kontrole nisu oblikovane učinkovito ili nisu primjereno implementirane kako bi se razriješili rizici koji proizlaze iz uporabe IT-a (npr. kontrole na odgovarajući način ne sprječavaju ili ne otkrivaju neautorizirane promjene programa ili neautorizirani pristup IT aplikacijama), to može utjecati na revizorovu odluko o oslanjanju na automatizirane kontrole unutar IT aplikacija na koje se to odnosi. |
• revizorovu procjenu kontrolnog rizika na razini tvrdnje;
Primjer: Kontinuirana operativna učinkovitost kontrole obrade informacija može ovisiti o određenim općim IT kontrolama koje sprječavaju ili otkrivaju neovlaštene promjene programa za IT kontrolu obrade informacija (tj. kontrole promjene programa nad povezanim IT aplikacijama) U takvim okolnostima očekivana operativna učinkovitost (ili njezino nepostojanje) općih IT kontrola može utjecati na revizorovu procjenu kontrolnog rizika (npr. kontrolni rizik može biti veći ako se očekuje da su takve opće IT kontrole neučinkovite ili ako revizor ne planira testirati opće IT kontrole). |
• revizorovu strategiju testiranja informacija koje je proizveo subjekt a koje su proizvedene od strane subjektovih IT aplikacija ili uključuju informacije iz tih aplikacija;
Primjer: Ako informacije koje proizvodi subjekt i koje će se koristiti kao revizijski dokazi proizvode IT aplikacije, revizor može utvrditi da će testirati kontrole nad izvještajima koje generira sustav, uključujući identifikaciju i testiranje općih IT kontrola koje razrješavanju rizike neprimjerenih i neovlaštenih promjena programa ili izravne promjene podataka u izvještajima. |
• revizorovu procjenu inherentnog rizika na razini tvrdnji; ili
Primjer: Ako postoje značajne i opsežne programske promjene u IT aplikaciji radi rješavanja novih ili izmijenjenih zahtjeva primjenjivog okvira financijskog izvještavanja, to može biti pokazatelj kompleksnosti novih zahtjeva ili njihovog utjecaja na subjektove financijske izvještaje. Ako nastanu takve opsežne programske ili podatkovne promjene, IT aplikacija je također vjerojatno podložna rizicima koji proizlaze iz uporabe IT-a. |
• oblikovanje daljnjih revizijskih postupaka.
Primjer: Ako kontrole obrade informacija ovise o općim IT kontrolama revizor može utvrditi da će testirati operativnu učinkovitost općih IT kontrola što će zatim zahtijevati oblikovanje testova kontrola za takve opće IT kontrole. Ako, u istim okolnostima, revizor utvrdi da neće testirati operativnu učinkovitost općih IT kontrola ili se očekuje da su opće IT kontrole neučinkovite, na povezane rizike koji proizlaze iz korištenja IT-a možda će se trebati riješiti kroz oblikovanje dokaznih postupaka. Međutim, možda neće biti moguće riješiti rizike koji proizlaze iz uporabe IT-a ako su takvi rizici povezani s rizicima za koje dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze. U takvim okolnostima revizor će možda morati razmotriti implikacije za revizorsko mišljenje. |
Identificiranje IT aplikacija podložnih rizicima koji proizlaze iz korištenja IT-a
A167. Za IT aplikacije koje su relevantne za informacijski sustav, razumijevanje vrste i kompleksnosti specifičnih IT procesa i općih IT kontrola koje subjekt koristi mogu pomoći revizoru pri utvrđivanju na koje IT aplikacije se subjekt oslanja za točnu obradu informacija i održavanje integriteta informacija u informacijskom sustavu subjekta. Takve IT aplikacije mogu biti podložne rizicima koji proizlaze iz korištenja IT-a.
A168. Identificiranje IT aplikacija podložnih rizicima koji proizlaze iz korištenja IT-a uključuje uzimanje u obzir kontrola koje su identificirane od strane revizora jer takve kontrole mogu uključivati uporabu IT-a ili oslanjanje na IT. Revizor se može usredotočiti na pitanje uključuje li IT aplikacija automatizirane kontrole na koje se oslanja menadžment i koje je revizor identificirao uključujući kontrole koje rješavaju rizike za koje sami dokazni postupci ne pružaju dostane i primjerene revizijske dokaze. Revizor također može razmotriti način na koji su informacije pohranjene i obrađene u informacijskom sustavu u odnosu na signifikantne klase transakcija, stanja računa ili objavljivanja i oslanja li se menadžment na opće IT kontrole radi održavanja integriteta tih informacija.
A169. Kontrole koje je identificirao revizor mogu ovisiti o izvještajima koje generira sustav u kojem slučaju IT aplikacije koje proizvode te izvještaje mogu biti podložne rizicima zbog uporabe IT-a. U drugim slučajevima, revizor može ne planirati oslanjanje na kontrole nad izvještajima koje generira sustav i planirati izravno testirati ulazne i izlazne podatke takvih izvještaja, u kojem slučaju revizor može ne identificirati povezane IT aplikacije kao podložne rizicima koji proizlaze iz IT-a.
Prilagodljivost opsega
A170. Opseg revizorovog razumijevanja IT procesa uključujući opseg do kojeg subjekt ima uspostavljene opće IT kontrole, će varirati s prirodom i okolnostima subjekta i njegovog IT okruženja kao i na osnovi vrsta i opsega kontrola koje je identificirao revizor. Broj IT aplikacija koje su podložne rizicima koji proizlaze iz korištenja IT-a također će varirati na temelju ovih čimbenika.
Primjeri: • Nije vjerojatno da subjekt koji koristi komercijalni softver i nema pristup izvornom kodu za izvođenje programskih promjena ima proces za promjene programa ali može imati proces ili postupke za konfiguraciju softvera (npr. kontni plan, izvještajni parametri ili pragovi). Povrh toga, subjekt može imati proces ili postupke za upravljanje pristupom aplikaciji (npr. unaprijed određeni pojedinac sa administrativnim pristupom komercijalnom softveru). U takvim okolnostima nije vjerojatno da subjekt ima ili treba formalizirane opće IT kontrole. • Nasuprot tome, veliki subjekt se može u velikoj mjeri oslanjati na IT i IT okruženje može uključivati višestruke IT aplikacije te IT procese za upravljanje IT okruženjem koji mogu biti kompleksni (npr. postoji određeni IT odjel koji razvija i implementira promjene programa i upravlja pravima pristupanja) uključujući i to da je subjekt implementirao formalizirane opće IT kontrole nad svojim IT procesima. • Ako se menadžment ne oslanja na automatizirane kontrole ili opće IT kontrole za obradu transakcija ili održavanja podataka i revizor nije identificirao bilo koje automatizirane kontrole ili druge kontrole nad obradom informacija (niti one koje ovise o općim IT kontrolama), revizor može planirati izravno testirati bilo koje informacije koje proizvodi subjekt uz uključivanje IT te možda neće identificirati IT aplikacije koje su podložne rizicima koji proizlaze iz uporabe IT-a. • Ako se menadžment oslanja na IT aplikaciju radi obrade ili održavanja podataka i količina podataka je značajna te se menadžment oslanja na IT aplikaciju radi obavljanja automatiziranih kontrola koje je revizor također identificirao, IT aplikacija će vjerojatno biti podložna rizicima koji proizlaze iz korištenja IT-a. |
A171. Ako subjekt ima veću složenost u svom IT okruženju, identificiranje IT aplikacija i drugih aspekata IT okruženja, utvrđivanje povezanih rizika koji proizlaze iz korištenja IT-a te identificiranje općih IT kontrola će vjerojatno zahtijevati uključivanje članova tima koji imaju specijalizirane vještine na području IT-a. Takvo uključivanje će vjerojatno biti nužno i moguće je da će trebati biti opsežno u kompleksnim IT okruženjima.
Identificiranje ostalih aspekata IT okruženja koji su podložni rizicima koji proizlaze iz korištenja IT-a
A172. Ostali aspekti IT okruženja koji mogu biti podložni rizicima proizašlim iz korištenja IT-a uključuju mrežu, operativni sustav i baze podataka, te, u određenim okolnostima, sučelja između IT aplikacija. Ostali aspekti IT okruženja se općenito ne identificiraju ako revizor ne identificira IT aplikacije podložne rizicima proizašlim iz korištenja IT-a. Kad je revizor identificirao IT aplikacije podložne rizicima proizašlim iz korištenja IT-a, ostali aspekti IT okruženja (npr. baza podataka, operativni sustav, mreža) će vjerojatno biti identificirani jer takvi aspekti podržavaju i komuniciraju s identificiranim IT aplikacijama.
Identificiranje rizika koji proizlaze iz korištenja IT-a i općih IT kontrola (Vidjeti točku: 26(c))
Dodatak 6 sadrži razmatranja za razumijevanje općih IT kontrola. |
A173. Pri identificiranju rizika koji proizlaze iz korištenja IT-a revizor može razmotriti vrstu identificirane IT aplikacije ili drugi aspekt IT okruženja te razloge koji dovode do rizika zbog korištenja IT-a. Za neke identificirane aplikacije ili druge aspekte IT okruženja revizor može identificirati primjenjive rizike koji proizlaze iz korištenja IT-a a koji se primarno odnose na neovlašteni pristup ili neovlaštene promjene programa kao i na rizike koji se odnose na neprimjerene promjene podataka (npr. rizik neprimjerenih promjena podataka kroz izravni pristup bazi podataka ili kroz izravnu manipulaciju informacijama).
A174. Opseg i vrsta primjenjivih rizika koji proizlaze iz korištenja IT-a variraju ovisno o vrsti i karakteristikama identificiranih IT aplikacija i drugim aspektima IT okruženja. Primjenjivi IT rizici mogu nastati kad subjekt koristi eksterne ili interne pružatelje usluga za identificirane aspekte svojeg IT okruženja (npr. outsourcing usluga poslužitelja (hosting) IT okruženja trećoj osobi ili korištenje zajedničkog uslužnog centra za centralno upravljanje IT procesima u grupi). Primjenjivi rizici koji proizlaze iz korištenja IT-a mogu se također identificirati u odnosu na kibernetičku sigurnost. Vjerojatnije je da će postojati više rizika koji proizlaze iz korištenje IT-a kad je količina ili kompleksnost automatiziranih aplikacijskih kontrola viša i menadžment se više oslanja na te kontrole za učinkovitu obradu transakcija ili učinkovito održavanje integriteta osnovnih informacija.
Ocjenjivanje oblikovanja i utvrđivanje implementacije identificiranih kontrola u komponenti kontrolnih aktivnosti (Vidjeti točku 26(d))
A175. Ocjenjivanje oblikovanja identificirane kontrole uključuje revizorovo razmatranje pitanja je li kontrola, sama za sebe ili u kombinaciji s drugim kontrolama sposobna učinkovito sprječavati ili otkrivati i ispravljati značajno pogrešna prikazivanja (tj. cilj kontrole).
A176. Revizor utvrđuje implementaciju identificirane kontrole kroz utvrđivanje da kontrola postoji i da ju subjekt koristi. Malo je smisleno da revizor procjenjuje implementaciju neke kontrole koja nije učinkovito oblikovana. Stoga, revizor najprije procjenjuje oblikovanje kontrole. Nepravilno oblikovana kontrola može predstavljati nedostatak kontrole.
A177. Postupci procjene rizika radi pribavljanja revizijskih dokaza o oblikovanju i implementaciji identificiranih kontrola u komponenti kontrolnih aktivnosti mogu uključivati:
• postavljanje upita osoblju subjekta.
• promatranje funkcioniranja određenih kontrola.
• provjeravanje dokumentacije i izvještaja.
Postavljanje upita samo za sebe, međutim, nije dovoljno za takve svrhe.
A178. Revizor može očekivati, temeljem iskustva iz prethodne revizije ili temeljem postupka procjene rizika u tekućem razdoblju da menadžment nema učinkovito oblikovane ili implementirane kontrole za rješavanje značajnog rizika. U takvim slučajevima, postupci koji se obavljaju zbog zahtjeva u točki 26(d) mogu sadržavati utvrđivanje da takve kontrole nisu bile učinkovito oblikovane ili implementirane. Ako rezultati postupaka ukazuju da su kontrole nedavno oblikovane ili implementirane, revizor je dužan obaviti postupke iz točke 26(b) – (d) u odnosu na nedavno oblikovane ili implementirane kontrole.
A179. Revizor može zaključiti da testiranje može biti primjereno za kontrolu koja je učinkovito oblikovana i implementirana kako bi se pri oblikovanju dokaznih postupaka uzela u obzir njezina operativna učinkovitost. Međutim, kad kontrola nije oblikovana ili implementirana učinkovito nema koristi od njezinog testiranja. Kad revizor planira testirati kontrolu, informacije koje su pribavljene o opsegu u kojem kontrola rješava rizik(e) značajnih pogrešnih prikazivanja su ulazne informacije za revizorovu procjenu kontrolnog rizika na razini tvrdnje.
A180. Ocjenjivanje oblikovanja i utvrđivanje implementacije identificiranih kontrola u komponenti kontrolnih aktivnosti nije dovoljno za testiranje njihove operativne učinkovitosti. Međutim, za automatizirane kontrole revizor može planirati testiranje operativne učinkovitosti automatiziranih kontrola putem identificiranja i testiranja općih IT kontrola koje osiguravaju dosljedno funkcioniranje neke automatizirane kontrole umjesto obavljanja testova operativne učinkovitosti izravno na automatiziranim kontrolama. Pribavljanje revizijskih dokaza o implementaciji neke ručne kontrole u određenom trenutku ne pruža revizijske dokaze o operativnoj učinkovitosti te kontrole u drugim razdobljima tijekom razdoblja koje se revidira. Testovi operativne učinkovitosti kontrola, uključujući testove neizravnih kontrola su dalje opisani u MRevS-u 330.[45](MRevS 330, točke 8 – 11)
A181. Kad revizor ne planira testirati operativnu učinkovitost identificiranih kontrola, revizorovo razumijevanje još uvijek može pomoći pri oblikovanju vrsta, vremenskog rasporeda i opsega dokaznih revizijskih postupaka koji se odnose na povezane rizike značajnih pogrešnih prikazivanja.
Primjer: Rezultati ovih postupaka procjene rizika mogu pružiti osnovu za revizorovo razmatranje omogućih odstupanja u populaciji kad oblikuje revizijske uzorke. |
Nedostaci kontrola unutar subjektovog sustava internih kontrola (Vidjeti točku: 27)
A182. Pri obavljanju ocjenjivanja svake od komponenti subjektovog sustava internih kontrola,[46](Točke 21(b), 22(b), 24(c), 25(c) i 26(d)) revizor može utvrditi da neke od subjektovih politika u komponenti nisu primjerene za prirodu i okolnosti subjekta. Takav zaključak može biti pokazatelj koji pomaže revizoru pri identifikaciji kontrolnih nedostataka. Ako je revizor identificirao jedan ili više nedostataka kontrola, revizor može razmotriti učinak tih nedostataka kontrola na oblikovanje daljnjih revizijskih postupaka u skladu s MRevS-om 330.
A183. Ako je revizor identificirao jedan ili više kontrolnih nedostataka, MRevS 265[47](MRevS 265, Komuniciranje nedostataka u internim kotrolama onima zaduženim za upravljanje i menadžmentu, točka 8)
Primjeri: Okolnosti koje mogu ukazivati na postojanje značajnog kontrolnog nedostatka uključuju pitanja kao što su: • identifikacija prijevare bilo kojeg opsega koja uključuje viši menadžment; • identificirani interni procesi koji su neprimjereni a odnose se na izvještavanje i komunikaciju o nedostacima koji su uočeni od strane interne revizije; • prethodno komunicirani nedostaci koji nisu pravovremeno ispravljeni od strane menadžmenta; • propusti menadžmenta u reagiranju na signifikantne rizike, na primjer, neimplementiranje kontrola nad signifikantnim rizicima; i • prepravljanje prethodno izdanih financijskih izvještaja.
zahtijeva od revizora da utvrdi tvore li nedostaci, pojedinačno ili u kombinaciji značajni nedostatak. Revizor koristi profesionalnu prosudbu pri utvrđivanju predstavlja li nedostatak značajni kontrolni nedostatak.[48](MRevS 265, točke A6 – A7 sadrže indikatore značajnih nedostataka i pitanja koja se moraju razmotriti pri utvrđivanju pitanja konstituira li nedostatak ili kombinacija nedostataka u internima kontrolama značajni nedostatak.)
Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja (Vidjeti točke: 28 – 37)
Zašto revizor identificira i procjenjuje rizike značajnih pogrešnih prikazivanja
A184. Revizor identificira i procjenjuje rizike značajnih pogrešnih prikazivanja u svrhu utvrđivanja vrste, vremenskog rasporeda i opsega daljnjih revizijskih postupaka koji su potrebni za pribavljanje dostatnih primjerenih revizijskih dokaza. Ovi dokazi omogućuju revizoru izražavanje mišljenja o financijskim izvještajima na prihvatljivo niskoj razini revizijskog rizika.
A185. Informacije koje su prikupljene pri obavljanju postupaka procjene rizika koriste se kao revizijski dokazi koji pružaju osnovu za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Na primjer, revizijski dokazi koji su pribavljeni pri ocjenjivanju oblikovanja identificiranih kontrola i utvrđivanja jesu li te kontrole implementirane u komponenti kontrolnih aktivnosti koriste se kao revizijski dokazi koji podržavaju procjenu rizika. Takvi dokazi također pružaju osnovu revizoru za oblikovanje sveobuhvatnih reakcija koje se odnose na procijenjene rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja, kao i na oblikovanje i obavljanje daljnjih revizijskih postupaka čije vrste, vremenski raspored i opseg odgovaraju procijenjenim rizicima značajnih pogrešnih prikazivanja na razini tvrdnje u skladu s MRevS-om 330.
Identificiranje rizika značajnih pogrešnih prikazivanja (Vidjeti točku: 28)
A186. Identifikacija rizika značajnih pogrešnih prikazivanja obavlja se prije razmatranja bilo kakvih povezanih kontrola (tj. inherentni rizik) i temelji se na revizorovom preliminarnom razmatranju pogrešnih prikazivanja za koje postoji razumna mogućnost i nastanka i značajnosti ako bi mogli nastati.[49](MRevS 200, točka A15a)
A187. Identificiranje rizika značajnih pogrešnih prikazivanja također pruža osnovu za revizorovo utvrđivanje relevantnih tvrdnji, što pomaže pri revizorovom utvrđivanju signifikantnih klasa transakcija, stanja računa i objavljivanja.
Tvrdnje
Zašto revizor koristi tvrdnje
A188. Pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja revizor koristi tvrdnje za razmatranje različitih vrsta potencijalnih pogrešnih prikazivanja koja se mogu pojaviti. Tvrdnje za koje je revizor identificirao povezane rizike značajnih pogrešnih prikazivanja su relevantne tvrdnje.
Korištenje tvrdnji
A189. Pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja revizor može koristiti kategorije tvrdnji kao što je opisano dolje u točki A190(a) – (b) ili ih može izraziti drugačije uz uvjet da su pokriveni svi aspekti koji su dolje opisani. Revizor može odabrati kombinaciju tvrdnji o klasama transakcija i događaja te povezanim objavljivanjima s tvrdnjama o stanjima računa i povezanim objavljivanjima.
A190. Tvrdnje koje koristi revizor pri razmatranju različitih vrsta potencijalnih pogrešnih prikazivanja koja se mogu pojaviti spadaju u sljedeće kategorije:
(a) tvrdnje o klasama transakcija ili događajima te povezanim objavljivanjima za razdoblje koje se revidira:
(i) nastanak – transakcije i događaji koji su evidentirani ili objavljeni su nastali i takve transakcije i događaji odnose se na subjekt,
(ii) potpunost – sve transakcije i događaji koji su morali biti evidentirani su evidentirani i sva povezana objavljivanja koja su morala biti uključena u financijske izvještaje su uključena,
(iii) točnost – iznosi i drugi podaci koji se odnose na evidentirane transakcije i događaje su primjereno evidentirani i povezana objavljivanja su primjereno mjerena i opisana,
(iv) razgraničenje – transakcije i događaji su evidentirani u ispravnom računovodstvenom razdoblju,
(v) klasifikacija – transakcije i događaji su evidentirani na odgovarajućim računima,
(vi) prezentacija – transakcije i događaji su primjereno agregirani ili dezagregirani te jasno opisani a povezane objave su relevantne i razumljive u kontekstu zahtjeva primjenjivog okvira financijskog izvještavanja.
(b) Tvrdnje o stanjima računa i povezanim objavljivanjima za kraj razdoblja:
(i) postojanje – imovina, obveze i interesi vlastitog kapitala postoje,
(ii) prava i obveze – subjekt drži ili kontrolira prava na imovinu, a iskazane obveze su obveze subjekta,
(iii) potpunost – imovina, obveze i interesi vlastitog kapitala koja su trebala biti evidentirana su evidentirana i sva povezana objavljivanja koja su morala biti uključena u financijske izvještaje su uključena,
(iv) točnost, vrednovanje i alociranje – imovina, obveze i interesi vlastitog kapitala su uključeni u financijske izvještaje po primjerenim iznosima i sve rezultirajuće uskladbe zbog vrednovanja ili alokacije su primjereno evidentirane i povezana objavljivanja su primjereno mjerena i opisana,
(v) klasifikacija – imovina, obveze i interesi vlastitog kapitala evidentirani su na pripadajućim računima,
(vi) prezentacija – imovina, obveze i vlasnički interesi su ispravno agregirani ili dezagregirani, i jasno opisani a povezana objavljivanja su relevantna i razumljiva u kontekstu zahtjeva primjenjivog okvira financijskog izvještavanja.
A191. Revizor može također koristiti tvrdnje koje su opisane gore u točkama A190(a) – (b), prilagođene kako je primjereno, pri razmatranju različitih vrsta pogrešnih prikazivanja koja se mogu pojaviti u objavljivanjima koja nisu izravno povezana s evidentiranim klasama transakcija, događajima ili stanjima računa.
Primjer: Primjer takvog objavljivanja uključuje slučaj u kojem subjekt može biti obvezan sukladno primjenjivom okviru financijskog izvještavanja opisati njegovu izloženost rizicima koji proizlazi iz financijskih instrumenata uključujući način na koji ti rizici nastaju, ciljeve, politike i procese uspravljanja rizicima te metode za mjerenje tih rizika. |
Razmatranja koja su specifična za subjekte javnog sektora
A192. Kad se definiraju tvrdnje o financijskim izvještajima subjekata javnog sektora, menadžment često može, povrh tvrdnji sadržani u točkama A190(a)-(b), tvrditi da su transakcije i događaji izvršeni u skladu s zakonima, regulativom ili drugim zahtjevima vlasti.
Rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja (Vidjeti točke: 28(a) i 30)
Zašto revizor identificira i procjenjuje rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja
A193. Revizor identificira rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja radi utvrđivanja imaju li rizici prožimajući učinak na financijske izvještaja te bi stoga zahtijevali sveobuhvatnu reakciju sukladno MRevS-u 330.[50](MRevS 330, točka 5)
A194. Dodatno, rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja mogu također utjecati na pojedinačne tvrdnje te identificiranje ovih rizika može pomoći revizoru pri procjenjivanju rizika značajnih pogrešnih prikazivanja na razini tvrdnje i pri oblikovanju daljnjih revizijskih procedura kao reakciju na identificirane rizike.
Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja
A195. Rizici značajnih pogrešnih prikazivanja na razini financijskih izvještaja upućuju na rizike koji se prožimajuće odnose na financijske izvještaje kao cjelinu i potencijalno utječu na puno tvrdnji. Rizici ove prirode nisu nužno rizici koji se mogu identificirati u vezi s određenim tvrdnjama na razini klasa transakcija, stanja računa ili objava (npr. rizik menadžmentovog prekoračivanja kontrola). Oni više predstavljaju okolnosti koje mogu prožimajuće povećati rizik značajnih pogrešnih prikazivanja na razini tvrdnje. Revizorova ocjena pitanja odnose li se identificirani rizici na prožimajući način na financijske izvještaje podržava revizorovu procjenu rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja. U drugim slučajevima, jedan broj tvrdnji može također biti identificiran kao podložan riziku i može stoga utjecati na revizorovu identifikaciju rizika i procjenu rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
Primjer: Subjekt se suočava s poslovnim gubicima i problemima likvidnosti te se oslanja na financiranje koje još nije osigurano. U takvoj okolnosti revizor može utvrditi da računovodstvo na osnovi neograničenosti vremena poslovanja uzrokuje rizik značajnih pogrešnih prikazivanja na razini financijskih izvještaja. U ovoj situaciji može biti potrebno primijeniti računovodstveni okvir korištenjem likvidacijske osnove što bi vjerojatno prožimajuće utjecalo na sve tvrdnje. |
A196. Na revizorovu identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja utječe revizorovo razumijevanje subjektovog sustava internih kontrola, posebno revizorovo razumijevanje kontrolnog okruženja, subjektovog procesa procjene rizika i subjektovog procesa monitoringa sustava internih kontrola, i:
• ishod povezanih ocjena koje su zahtijevane točkama 21(b), 22(b), 24(c) i 25(c); i
• bilo koji kontrolni nedostaci identificirani u skladu s točkom 27.
Rizici na razini financijskih izvještaja mogu nastati osobito iz nedostataka u kontrolnom okruženju ili iz vanjskih događaja ili uvjeta kao što su pogoršanje ekonomskih uvjeta.
A197. Rizici značajnih pogrešnih prikazivanja zbog prijevare mogu biti osobito relevantni za revizorovo razmatranje rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja.
Primjer: Revizorovo je razumijevanje na osnovi upita postavljenih menadžmentu da će se financijski izvještaji subjekta koristiti u diskusiji s davateljima zajma radi osiguravanja daljnjeg financiranja za održavanje radnog kapitala. Revizor stoga može utvrditi da postoji veća podložnost pogrešnom prikazivanju zbog čimbenika rizika prijevare koji utječu na inherentni rizik (tj. podložnost financijskih izvještaja značajnim pogrešnim prikazivanjima zbog rizika prijevarnog financijskog izvještavanja, kao što je precjenjivanje imovine i podcjenjivanje obveza i rashoda kako bi se osiguralo dobivanje financiranja). |
A198. Revizorovo razumijevanje, uključujući povezane ocjene, kontrolnog okruženja i drugih komponenti sustava internih kontrola može dovesti do sumnji o tome hoće li revizor moći pribaviti revizijske dokaze na kojima će utemeljiti revizorsko mišljenje ili će biti razlog za povlačenje iz angažmana ako je povlačenje moguće sukladno primjenjivim zakonima i regulativi.
Primjeri: • Kao posljedica ocjenjivanja subjektovog kontrolnog okruženja, revizora brine integritet subjektovog menadžmenta što može biti tako ozbiljno da dovede revizora do zaključka da je rizik namjernog pogrešnog prikazivanja od strane menadžmenta u financijskim izvještajima takav da se revizija ne može obaviti. • Kao posljedica ocjenjivanja subjektovog informacijskog sustava i komunikacije revizor utvrđuje da je značajnim promjenama u IT okruženju bilo loše upravljano s malo nadzora od strane menadžmenta i onih koji su zaduženi za upravljanje. Revizor zaključuje da postoji značajna zabrinutost o stanju i pouzdanosti subjektovih računovodstvenih evidencija. U takvim okolnostima revizor može utvrditi kako nije vjerojatno da će dostatni primjereni revizijski dokazi biti raspoloživi za potkrepljivanje nemodificiranog mišljenja o financijskim izvještajima. |
A199. MRevS 705 (izmijenjen)[51](MRevS 705 (izmijenjen), Modifikacije mišljenja u izvješću neovisnog revizora) uspostavlja zahtjeve i daje upute za utvrđivanje postoji li potreba da revizor izrazi mišljenje s ogradom ili izda negativno mišljenje ili, kao što može biti zahtijevano u nekim slučajevima, da se povuče iz angažmana ako je povlačenje moguće prema primjenjivim zakonima ili regulativi.
Razmatranja koja su specifična za subjekte javnog sektora
A200. Za subjekte javnog sektora, identifikacija rizika na razini financijskih izvještaja može uključiti razmatranje pitanja povezanih s političkom klimom, javnim interesom i osjetljivošću programa.
Rizici značajnih pogrešnih prikazivanja na razini tvrdnje (Vidjeti točku: 28(b))
Dodatak 2 navodi primjere u kontekstu čimbenika inherentnog rizika, događaja ili uvjeta koji mogu ukazivati na podložnost pogrešnom prikazivanju koje može biti značajno. |
A201. Rizici značajnih pogrešnih prikazivanja koji nisu povezani na prožimajući način s financijskim izvještajima su rizici značajnih pogrešnih prikazivanja na razini tvrdnje.
Relevantne tvrdnje i signifikantne klase transakcija, stanja računa i objavljivanja (Vidjeti točku: 29)
Zašto se utvrđuju relevantne tvrdnje i signifikantne klase transakcija, stanja računa i objavljivanja
A202. Utvrđivanje relevantnih tvrdnji i signifikantnih klasa transakcija, stanja računa i objavljivanja pruža osnovu za opseg revizorovog razumijevanja subjektovog informacijskog sustava koji mora steći u skladu s točkom 25(a). Ovo razumijevanje može dalje pomoći revizoru pri identificiranju ili procjenjivanju rizika značajnih pogrešnih prikazivanja (vidjeti A86).
Automatizirani alati i tehnike
A203. Revizor može koristiti automatizirane tehnike za pomoć u identifikaciji signifikantnih klasa transakcija, stanja računa i objava.
Primjeri: • Cijela populacija transakcija može biti analizirana korištenjem automatiziranih alata i tehnika u svrhu razumijevanja njihove prirode, izvora, veličine i količine. Primjenom automatiziranih tehnika revizor može, na primjer, identificirati račun sa stanjem nula na kraju razdoblja koji je obuhvaćao brojne međusobno saldirajuće transakcije i knjiženja u dnevniku koja su nastala tijekom razdoblja ukazujući na to da je stanje računa ili klasa transakcija može biti signifikantna (npr. prijelazni račun isplate plaća). Taj isti prijelazni račun plaća može također identificirati naknade troškova menadžmentu (i drugim zaposlenicima) što bi moglo biti signifikantno objavljivanje zbog toga što su ova plaćanja obavljena povezanim osobama. • Analiziranje tokova cijele populacije transakcija prihoda revizor može lakše identificirati signifikantnu klasu transakcija koja prethodno nije bila identificirana. |
Objavljivanja koja mogu biti signifikantna
A204. Signifikantna objavljivanja uključuju i kvantitativna i kvalitativna objavljivanja za koja postoji jedna ili više relevantnih tvrdnji. Primjeri objavljivanja koja imaju kvalitativne aspekte i koja mogu imati relevantne tvrdnje i stoga ih revizor može smatrati signifikantnima uključuju objavljivanja o:
• likvidnosti i ugovorima o dugovima subjekta u financijskim teškoćama,
• događajima ili okolnostima koje su dovele do priznavanja gubitka od umanjenja vrijednosti,
• ključnim izvorima nesigurnosti procjena, uključujući pretpostavke o budućnosti,
• prirodi promjene računovodstvene politike i drugim relevantnim objavljivanjima koje zahtijeva primjenjivi okvir financijskog izvještavanja kad se, na primjer, očekuje da će novi zahtjevi financijskog izvještavanja imati značajan utjecaj na financijski položaj i financijsku uspješnost subjekta,
• aranžmanima plaćanja u dionicama uključujući informacije o načinu na koji su utvrđeni bilo koji iznosi te ostala relevantna objavljivanja,
• povezanim osobama i transakcijama s povezanim osobama,
• analizi osjetljivosti uključujući informaciju o učincima promjena pretpostavki korištenih u subjektovim tehnikama procjene s namjerom da se korisnicima omogući razumijevanje osnovne nesigurnosti kod mjerenja evidentiranog ili objavljenog iznosa.
Procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje
Procjenjivanje inherentnog rizika (Vidjeti točke: 31 – 33)
Procjenjivanje vjerojatnosti i veličine pogrešnog prikazivanja (Vidjeti točku: 31)
Zašto revizor procjenjuje vjerojatnost i veličinu pogrešnih prikazivanja
A205. Revizor procjenjuje vjerojatnost i veličinu pogrešnog prikazivanja za identificirane rizike značajnih pogrešnih prikazivanja jer je značajnost kombinacije vjerojatnosti nastanka pogrešnog prikazivanja i veličine potencijalnog pogrešnog prikazivanja ako bi pogrešno prikazivanje nastalo, određuje mjesto na spektru inherentnog rizika na kojem je procijenjen inherentni rizik što utječe na revizorovo oblikovanje daljnjih revizijskih postupaka koji se odnose na rizik.
A206. Procjenjivanje inherentnog rizika identificiranih rizika značajnih pogrešnih prikazivanja također pomaže revizoru pri utvrđivanju značajnih rizika. Revizor utvrđuje značajne rizike jer se u skladu s MRevS-om 330 i drugim MRevS-ovima zahtijevaju specifične reakcije na značajne rizike.
A207. Čimbenici inherentnog rizika utječu na revizorovu procjenu vjerojatnosti i veličine pogrešnog prikazivanja za identificirane rizike značajnih pogrešnih prikazivanja na razini tvrdnje. Što je viši stupanj do kojega je klasa transakcija, stanje računa ili objava podložna značajnog pogrešnom prikazivanju to je vjerojatnije da će procijenjeni inherentni rizik biti viši. Razmatrajući stupanj do kojega čimbenici inherentnog rizika utječu na podložnost tvrdnje pogrešnom prikazivanju pomaže revizoru u primjerenom procjenjivanju inherentnog rizika za rizike značajnih pogrešnih prikazivanja na razini tvrdnje i u oblikovanju preciznije reakcije na takav rizik.
Spektar inherentnog rizika
A208. Kod procjenjivanja inherentnog rizika revizor koristi profesionalnu prosudbu za utvrđivanje značajnosti kombinacije vjerojatnosti i veličine pogrešnog prikazivanja.
A209. Procijenjeni inherentni rizik koji se odnosi na posebni rizik značajnih pogrešnih prikazivanja na razini tvrdnje predstavlja prosudbu unutar raspona, od nižeg do višeg, u spektru inherentnog rizika. Prosudba o tome gdje se u rasponu nalazi procjena inherentnog rizika može varirati na osnovi vrste, veličine i kompleksnosti subjekta te uzima u obzir procijenjenu vjerojatnost i veličinu pogrešnog prikazivanja i čimbenike inherentnog rizika.
A210. Pri razmatranju vjerojatnosti pogrešnog prikazivanja revizor razmatra mogućnost pojavljivanja pogrešnog prikazivanja na osnovi razmatranja čimbenika inherentnog rizika.
A211. Pri razmatranju veličine pogrešnog prikazivanja revizor razmatra kvalitativne i kvantitativne aspekte mogućeg pogrešnog prikazivanja (tj. pogrešna prikazivanja u tvrdnjama o klasama transakcija, stanjima računa ili objavama mogu se prosuditi kao značajna zbog veličine, prirode ili okolnosti).
A212. Revizor koristi značajnost kombinacije vjerojatnosti i veličine mogućeg pogrešnog prikazivanja pri utvrđivanju gdje se u spektru inherentnog rizika (tj. rasponu) nalazi procjena inherentnog rizika. Što je viša kombinacija vjerojatnosti i veličine, to je viša procjena inherentnog rizika, a što je niža kombinacija vjerojatnosti i veličine, to je niža procjena inherentnog rizika.
A213. Da bi se rizik procijenio kao visoki u spektru inherentnog rizika, to ne znači da oboje, veličina i vjerojatnost trebaju biti procijenjeni kao visoki. Prije će sjecište veličine i vjerojatnosti značajnih pogrešnih prikazivanja na spektru inherentnog rizika odrediti je li procijenjeni inherentni rizik viši ili niži u spektru inherentnog rizika: Viša procjena inherentnog rizika može također proizaći iz različitih kombinacija vjerojatnosti i veličine, na primjer viša procjena inherentnog rizika mogla bi rezultirati iz manje vjerojatnosti ali vrlo velikog iznosa.
A214. U svrhu razvoja primjerenih strategija za odgovaranje na rizike značajnih pogrešnih prikazivanja revizor može odrediti rizike značajnih pogrešnih prikazivanja unutar kategorija kroz spektar inherentnog rizika na temelju njihove procjene inherentnog rizika. Ove kategorije mogu biti opisane na različite načine. Bez obzira na korištenu metodu kategorizacije, revizorova procjena inherentnog rizika je primjerena kad oblikovanje i implementacija daljnjih revizijskih postupaka za rješavanje identificiranih rizika značajnih pogrešnih prikazivanja na razini tvrdnje primjereno odgovara procjeni inherentnog rizika i razlozima za tu procjenu.
Prožimajući rizici značajnih pogrešnih prikazivanja na razini tvrdnje (Vidjeti točku 31(b))
A215. Pri procjenjivanju identificiranih rizika značajnih pogrešnih prikazivanja na razini tvrdnji revizor može zaključiti da se neki rizici značajnih pogrešnih prikazivanja odnose na više prožimajući način na financijske izvještaje kao cjelinu i potencijalno utječu na puno tvrdnji u kojem slučaju revizor može ažurirati identifikaciju rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja.
A216. U okolnostima u kojima su rizici značajnih pogrešnih prikazivanja identificirani kao rizici na razini financijskih izvještaja zbog njihovog prožimajućeg utjecaja na niz tvrdnji i moguće ih je povezati sa specifičnim tvrdnjama, od revizora se zahtijeva uzimanje u obzir tih rizika kad procjenjuje inherentni rizik za rizike značajnih pogrešnih prikazivanja na razini tvrdnje.
Razmatranja koja su specifična za subjekte javnog sektora
A217. Pri obavljanju profesionalne prosudbe u vezi s procjenom rizika značajnih pogrešnih prikazivanja revizori u javnom sektoru mogu razmatrati kompleksnost regulative i direktiva te rizike nepridržavanja zahtjeva vlasti.
Značajni rizici (Vidjeti točku: 32)
Zašto se utvrđuju značajni rizici i implikacije za reviziju
A218. Utvrđivanje značajnih rizika dopušta revizoru da pozornost usredotoči više na one rizike koji se nalaze na gornjem kraju spektra inherentnog rizika kroz provođenje određenih zahtijevanih reakcija uključujući:
• kontrole koje rješavaju značajne rizike moraju se identificirati u skladu s točkom 26(a)(i), zajedno sa zahtjevom da se ocijeni je li kontrola bila oblikovana učinkovito i implementirana u skladu s točkom 26(d).
• MRevS 330 zahtijeva testiranje kontrola koje rješavaju značajne rizike u tekućem razdoblju (kad se revizor namjerava osloniti na operativnu učinkovitost takvih kontrola) te planiranje i obavljanje dokaznih postupaka koji su odgovarajući u odnosu na identificirani značajni rizik.[52](MRevS 330, točke 15 i 21)
• MRevS 330 zahtijeva od revizora pribavljanje to više prožimajućih revizijskih dokaza što je viša revizorova procjena rizika[53](MRevS 330, točka 7(b))
• MRevS 260 (izmijenjen) zahtijeva komuniciranje s onima koji su zaduženi za upravljanje o značajnim rizicima koje je identificirao revizor.[54](MRevS 260 (izmijenjen), točka 15)
• MRevS 701 zahtijeva od revizora da uzme u obzir značajne rizike kad utvrđuje pitanja koja zahtijevaju značajnu pozornost revizora, a ta pitanja mogu biti ključna revizijska pitanja.[55](MRevS 701, Komuniciranje ključnih revizijskih pitanja u izvještaju neovisnog revizora, točka 9)
• pravovremeni pregled revizijske dokumentacije od strane angažiranog partnera u odgovarajućim fazama tijekom revizije omogućuje pravovremeno razrješavanje značajnih pitanja, uključujući značajne rizike, sukladno zahtjevima angažiranog partnera na ili prije datuma revizorovog izvješća.[56](MRevS 220, točke 17 i A19)
• MRevS 600 zahtijeva veću uključenost angažiranog partnera grupe ako se značajni rizik odnosi na komponentu u reviziji grupe te da angažirani tim grupe usmjerava rad koji je potreban u odnosu na komponentu a koji obavlja revizor komponente.[57](MRevS 600, točke 30 i 31)
Utvrđivanje značajnih rizika
A219. Pri utvrđivanju značajnih rizika, revizor može prvo identificirati one procijenjene rizike značajnih pogrešnih prikazivanja koji su bili procijenjeni višima u spektru inherentnog rizika radi formiranja osnove za razmatranje koji rizici mogu biti bliži gornjem kraju raspona. Pozicija blizu gornjem kraju spektra inherentnog rizika će se razlikovati od subjekta do subjekta i neće nužno biti jednaka za istog subjekta iz razdoblja u razdoblje. Ona može ovisiti o prirodi i okolnostima subjekta za koji se procjenjuje rizik.
A220. Utvrđivanje koji se rizici od procijenjenih rizika značajnih pogrešnih prikazivanja nalaze bliže gornjem kraju spektra inherentnog rizika te su zbog toga značajni rizici, je pitanje profesionalne prosudbe osim ako je rizik one vrste za koju određeno da se tretira kao značajni rizik u skladu s odredbama drugog MRevS-a. MRevS 240 sadrži daljnje zahtjeve i upute u odnosu na identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja zbog prijevare.[58](MRevS 240, točke 26 – 28)
Primjer: • Za novac bi se obično kod maloprodaje u supermarketu utvrdila visoka vjerojatnost mogućeg pogrešnog prikazivanja (zbog rizika neovlaštenog prisvajanja), međutim, veličina bi tipično bila vrlo niska (zbog niskih razina gotovine kojima se barata u trgovinama). Kombinacija ovih dvaju čimbenika u spektru inherentnog rizika vjerojatno neće rezultirati time da postojanje novca bude utvrđeno kao značajan rizik. • Subjekt je u pregovorima o prodaji dijela poslovanja. Revizor razmatra učinak na umanjenje goodwilla i može utvrditi postojanje veće vjerojatnosti postojanja mogućeg pogrešnog prikazivanja i većeg iznosa zbog učinka čimbenika inherentnog rizika subjektivnosti, nesigurnosti i podložnosti pristranosti menadžmenta ili drugim čimbenicima rizika prijevare. Ovo može rezultirati time da umanjenje vrijednosti goodwilla bude utvrđeno kao značajan rizik. |
A221. Revizor također uzima u obzir relativne učinke čimbenika inherentnog rizika kad procjenjuje inherentni rizik. Što je manji učinak čimbenika inherentnog rizika to je vjerojatnije da će procijenjeni rizik biti manji. Rizici značajnih pogrešnih prikazivanja za koje se može procijeniti da imaju veći inherentni rizik te se zbog toga mogu utvrditi kao značajan rizik, mogu nastati zbog sljedećih razloga:
• transakcije za koje postoji više prihvatljivih računovodstvenih tretmana tako da je uključena subjektivnost;
• računovodstvene procjene koje imaju visoku nesigurnost procjene ili kompleksne modele;
• kompleksnost u prikupljanju i obradi podataka radi potkrepljivanja stanja računa;
• stanja računa ili kvantitativne objave koje uključuju kompleksne kalkulacije;
• računovodstvena načela koja mogu biti podložna različitim tumačenjima;
• promjene u subjektovom poslovanju koje uključuju promjene u računovodstvu, na primjer, spajanja i akvizicije.
Rizici za koje sami dokazni postupci ne pružaju dostatne primjerene revizijske dokaze (Vidjeti točku: 33)
Zašto se moraju identificirati rizici za koje sami dokazni postupci ne pružaju dostatne primjerene revizijske dokaze
A222. Zbog prirode rizika značajnog pogrešnog prikazivanja, te zbog kontrola koje rješavaju taj rizik, u nekim okolnostima jedini način za pribavljanje dostatnih i primjerenih revizijskih dokaza je testiranje operativne učinkovitosti kontrola. Sukladno tome, postoji zahtjev da revizor identificira bilo koje takve rizike zbog implikacija za oblikovanje i obavljanje daljnjih revizijskih postupaka u skladu s MRevS-om 330 radi rješavanja rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
A223. Točka 26(a)(iii) također zahtijeva identificiranje kontrola koje rješavaju rizike za koje dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze jer se od revizora zahtijeva, u skladu s MRevS 330,[59](MRevS 330, točka 8) oblikovanje i obavljanje testova takvih kontrola.
Utvrđivanje rizika za koje sami dokazni postupci ne pružaju dostatne primjerene revizijske dokaze
A224. Kad su rutinske poslovne transakcije podložne visoko automatiziranoj obradi s malo ili bez ručne intervencije možda neće biti moguće obaviti samo dokazne postupke u odnosu na rizik. Ovo može biti slučaj u prilikama kad se značajna količina subjektovih informacija inicira, evidentira, obrađuje i o njima izvještava samo u elektroničkom obliku kao što je u informacijskom sustavu koji uključuje visok stupanj integracije njegovih IT aplikacija. U takvim slučajevima:
• revizijski dokazi mogu biti raspoloživi samo u elektroničkom obliku a njihova dostatnost i primjerenost obično ovisi o učinkovitosti kontrola nad njihovom točnošću i potpunošću.
• potencijal da se pojavi nepravilno iniciranje ili promjena informacija i ne bude otkriveno može biti veći ako primjerene kontrole ne funkcioniraju učinkovito.
Primjer: Obično nije moguće pribaviti dostatne i primjerene revizijske dokaze koji se odnose na prihode za telekomunikacijski subjekt samo na temelju dokaznih postupaka. Ovo stoga jer dokazi o pozivima ili podatkovna aktivnost ne postoje u opažljivom obliku. Umjesto toga, obično se obavlja opsežno testiranje kontrola radi utvrđivanja da su pokretanje i završetak poziva te podatkovna aktivnost ispravno obuhvaćeni (npr. minute poziva ili količina preuzetih podataka) i korektno evidentirani u subjektovom sustavu naplate. |
A225. MRevS 540 (izmijenjen) sadrži daljnje upute koje se odnose na računovodstvene procjene o rizicima za koje dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze.[60](MRevS 540 (izmijenjen), točke A87 – A89) U odnosu na računovodstvene procjene ovo se ne mora ograničiti na automatiziranu obradu već može također biti primjenjivo na kompleksne modele.
Procjenjivanje kontrolnog rizika (Vidjeti točku: 34)
A226. Revizorovi planovi testiranja učinkovitosti operativnih kontrola zasniva se na očekivanju da su kontrole operativno učinkovite i da će to oblikovati osnovu revizorove procjene kontrolnog rizika. Početno očekivanje o operativnoj učinkovitosti kontrola bazirano je na revizorovoj ocjeni oblikovanja i utvrđenju implementiranosti identificiranih kontrola u komponenti kontrolnih aktivnosti. Nakon što revizor testira operativnu učinkovitost kontrola u skladu s MRevS-om 330, revizor će moći potvrditi početno očekivanje o operativnoj učinkovitosti kontrola. Ako kontrole ne djeluju učinkovito kao što je očekivano, revizor će morati izmijeniti procjenu kontrolnog rizika u skladu s točkom 37.
A227. Revizorova procjena kontrolnog rizika može biti obavljena na različite načine ovisno o preferiranim revizijskim tehnikama i metodologijama i može se izraziti na različite načine.
A228. Ako revizor planira testirati operativnu učinkovitost kontrola može biti nužno testirati kombinaciju kontrola kako bi se potvrdilo revizorovo očekivanje da kontrole funkcioniraju učinkovito. Revizor može planirati testiranje i izravnih i neizravnih kontrola, uključujući opće IT kontrole, i, ako je tako, uzeti u obzir kombinirani očekivani učinak kontrola kad procjenjuje kontrolni rizik. Do mjere u kojoj kontrola koja će se testirati ne pruža potpun odgovor na procijenjeni inherentni rizik, revizor utvrđuje implikacije na oblikovanje daljnjih revizijskih postupaka radi smanjenja revizijskog rizika na prihvatljivo nisku razinu.
A229. Kad revizor planira testirati operativnu učinkovitost automatizirane kontrole, revizor također može planirati test operativne učinkovitosti relevantnih općih IT kontrola koje podržavaju kontinuirano funkcioniranje te automatizirane kontrole radi rješavanja rizika koji proizlaze iz uporabe IT-a i radi pružanja osnove za revizorovo očekivanje da je automatizirana kontrola funkcionirala učinkovito kroz cijelo razdoblje. Kad revizor očekuje da su povezane opće IT kontrole neučinkovite ovo utvrđivanje može utjecati na revizorovu procjenu kontrolnog rizika na razini tvrdnje i može biti potrebno da revizorovi daljnji postupci uključuju dokazne postupke kako bi odgovorili na primjenjive rizike koji proizlaze iz uporabe IT-a. Daljnje upute o postupcima koje revizor može obaviti u ovakvim okolnosti dane su u MRevS-u 330.[61](MRevS 330, točke A29 – A30)
Ocjenjivanje revizijskih dokaza pribavljenih iz postupaka procjene rizika (Vidjeti točku 35)
Zašto revizor ocjenjuje revizijske dokaze iz postupaka procjene rizika
A230. Revizijski dokazi koji su pribavljeni iz obavljanja postupaka procjene rizika pružaju osnovu za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Ovo pruža osnovu za revizorovo oblikovanje vrste, vremenskog rasporeda i opsega daljnjih revizijskih postupaka koji odgovaraju na procijenjene rizike značajnih pogrešnih prikazivanja na razini tvrdnje u skladu s MRevS-om 330. Sukladno tome, revizijski dokazi pribavljeni iz postupaka procjene rizika pružaju osnovu za identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja bilo zbog prijevare ili pogreške na razini financijskih izvještaja i na razini tvrdnje.
Ocjena revizijskih dokaza
A231. Revizijski dokazi iz postupaka procjene rizika obuhvaćaju i informacije koje podržavaju i potvrđuju tvrdnje menadžmenta te bilo koje informacije koje opovrgavaju takve tvrdnje.[62](MRevS 500, točka A1)
Profesionalni skepticizam
A232. Pri ocjenjivanju revizijskih dokaza iz postupaka procjene rizika revizor razmatra je li stekao dostatno razumijevanje subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola kako bi bio u stanju identificirati rizike značajnih pogrešnih prikazivanja kao i ustanoviti postoje li bilo kakvi kontradiktorni dokazi koji mogu ukazati na rizik značajnih pogrešnih prikazivanja.
Klase transakcija, stanja računa i objava koje nisu signifikantne ali su značajne (Vidjeti točku: 36)
A233. Kao što je objašnjeno u MRevS-u 320,[63](MRevS 320, točka A1)
A234. Mogu postojati klase transakcija, stanja računa ili objave koje su značajne ali nisu bile utvrđene kao signifikantne klase transakcija, stanja računa ili objava (tj. ne postoje identificirane relevantne tvrdnje). Primjer: Subjekt može imati objavu o plaćama izvršnih osoba za koje revizor nije identificirao rizik značajnih pogrešnih prikazivanja. Međutim, revizor može utvrditi da je ova objava značajna na osnovi razmatranja u točki A233.
značajnost i revizijski rizik se razmatraju kad se identificiraju i procjenjuju rizici značajnih pogrešnih prikazivanja u klasama transakcija, stanjima računa, i objavama. Revizorovo utvrđivanje značajnosti je pitanje profesionalne prosudbe i na njega utječe revizorova percepcija potreba korisnika financijskih izvještaja za financijskim informacijama.[64](MRevS 320, točka 4)
Za svrhe ovog MRevS-a i točke 18 MRevS-a 330, klase transakcija, stanja računa ili objave su značajne ako se može razumno očekivati da bi njihovo ispuštanje, pogrešno prikazivanje ili prikrivanje informacija o njima utjecalo na ekonomske odluke korisnika koje su donesene na osnovi financijskih izvještaja kao cjeline.
A235. Revizijski postupci za rješavanje klasa transakcija, stanja računa ili objava koji su značajni ali nisu utvrđeni kao signifikantni uređeni su u MRevS 330.[65](MRevS 330, točka 18) Kad je klasa transakcija, stanja računa ili objava utvrđena kao signifikantna kao što zahtijeva točka 29, klasa transakcija, stanje računa ili objava je također značajna klasa transakcija, stanja računa ili objava za svrhe točke 18 MRevS-a 330.
Promjena procjene rizika (Vidjeti točku: 37)
A236. Za vrijeme revizije pozornost revizora mogu privući nove ili druge informacije koje se značajno razlikuju od onih na kojima je bila temeljena procjena rizika.
Primjer: Subjektova procjena rizika može biti temeljena na očekivanju da određene kontrole funkcioniraju učinkovito. U obavljanju testova tih kontrola revizor može pribaviti revizijske dokaze da one nisu funkcionirale učinkovito u relevantnim razdobljima tijekom revizije. Slično tome, kod obavljanja dokaznih postupaka revizor može otkriti pogrešna prikazivanja u iznosima ili učestalosti većoj nego što je konzistentno s revizorovima procjenama rizika. U takvim okolnostima, procjena rizika možda neće na odgovarajući način odražavati stvarne okolnosti subjekta i daljnji planirani revizijski postupci možda nisu učinkoviti u otkrivanju značajnih pogrešnih prikazivanja. Točke 16 i 17 MRevS-a 330 pružaju daljnje upute za ocjenjivanje operativne učinkovitosti kontrola. |
Dokumentacija (Vidjeti točku: 38)
A237. Za ponavljajuće revizije, određena dokumentacija može se prenijeti iz ranije revizije i ažurirati po potrebi kako bi odražavala promjene u subjektovom poslovanju ili procesima.
A238. MRevS 230 navodi da, između ostalih razmatranja, iako možda ne postoji jedan način na koji se dokumentira revizorov profesionalni skepticizam, revizijska dokumentacija može ipak pružiti dokaze o revizorovom profesionalnom skepticizmu.[66](MRevS 230, točka A7) Na primjer, kad revizijski dokazi pribavljeni iz postupaka procjene rizika uključuju dokaze koji i potvrđuju i opovrgavaju menadžmentove tvrdnje, dokumentacija može uključivati način na koji je revizor ocijenio takve dokaze uključujući profesionalne prosudbe koje je donio u ocjenjivanju pitanja pružaju li revizijski dokazi primjerenu osnovu za revizorovu identifikaciju i procjenu rizika značajnih pogrešnih prikazivanja. Primjeri drugih zahtjeva u ovom MRevS-u za koje dokumentacija može pružiti dokaze o korištenju profesionalnog skepticizma od strane revizora uključuju:
• točka 13 koja zahtijeva od revizora oblikovanje i obavljanje postupaka procjene rizika na način koji nije pristran prema pribavljanju revizijskih dokaza koji mogu potkrijepiti postojanje rizika ili prema isključivanju revizijskih dokaza koji mogu opovrgnuti postojanje rizika;
• točka 17 koja zahtijeva diskusiju između ključnih članova angažiranog time o primjeni primjenjivog okvira financijskog izvještavanja i podložnosti subjektovih financijskih izvještaja značajnim pogrešnim prikazivanjima;
• točke 19(b) i 20 koje zahtijevaju od revizora stjecanje razumijevanja razloga za bilo koje promjene subjektovih računovodstvenih politika i ocjenjivanje jesu li računovodstvene politike subjekta primjerene i konzistentne s primjenjivim okvirom financijskog izvještavanja;
• točke 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) i 27 koje zahtijevaju od revizora da na temelju stečenog razumijevanja ocijeni jesu li komponente subjektovog sustava internih kontrola primjerene subjektovim okolnostima imajući u vidu prirodu i kompleksnost subjekta te utvrdi je li utvrđeni jedan ili više kontrolnih nedostataka;
• točka 35 koja zahtijeva od revizora uzimanje u obzir svih revizijskih dokaza pribavljenih iz postupaka procjene rizika bilo da su potkrepljujući ili opovrgavajući u odnosu na tvrdnje menadžmenta, te ocjenjivanje pitanja pružaju li revizijski dokazi pribavljeni iz postupaka procjene rizika primjerenu osnovu za identifikaciju ili procjenu rizika značajnih pogrešnih prikazivanja; i
• točka 36 koja zahtijeva od revizora ocjenjivanje o tome, kad je primjenjivo, ostaje li i dalje primjereno revizorovo utvrđenje o tome da ne postoje rizici značajnih pogrešnih prikazivanja za značajne klase transakcija, stanja računa ili objava.
Prilagodljivost opsega
A239. Način na koji se dokumentiraju zahtjevi iz točke 38 treba utvrditi revizor korištenjem profesionalne prosudbe.
A240. Potkrepljivanje razumne osnove za donesene teške prosudbe može zahtijevati detaljniju dokumentaciju koja je dostatna da omogući iskusnom revizoru, koji nema prethodnog iskustva s tom revizijom, razumijevanje vrste, vremenskog rasporeda i opsega obavljenih revizijskih postupaka.
A241. Za revizije manje kompleksnih subjekata oblik i sadržaj dokumentacije mogu biti jednostavni i relativno kratki. Na oblik i opseg revizorove dokumentacije utječe vrsta, veličina i kompleksnost subjekta i njegovog sustava internih kontrola, raspoloživost informacija od subjekta i revizijska metodologija i tehnologija koja se koristi tijekom revizije. Nije potrebno dokumentirati sveukupno revizorovo razumijevanje subjekta i pitanja koja su s time povezana. Ključni elementi[67](MRevS 230, točka 8) razumijevanja dokumentirani od strane revizora mogu uključivati one elemente na kojima je revizor temeljio procjenu rizika značajnih pogrešnih prikazivanja. Međutim, od revizora se ne zahtijeva dokumentiranje svakog čimbenika inherentnog rizika koji je uzet u obzir pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
Primjer: U reviziji manje kompleksnih subjekata revizijska dokumentacija može biti ugrađena u revizorovu dokumentaciju sveukupne strategije i plana revizije.[68] Slično tome, na primjer, rezultati procjene rizika mogu biti dokumentirani zasebno ili mogu biti dokumentirani kao dio revizorove dokumentacije o daljnjim revizijskim postupcima.[69]
|
DODATAK 1
(Vidjeti točke: A61 – A67)
Razmatranja za razumijevanje subjekta i njegovog poslovnog modela
Ovaj dodatak objašnjava ciljeve i opseg subjektovog poslovnog modela i pruža primjere pitanja koja revizor može razmotriti pri razumijevanju aktivnosti subjekta koje mogu biti uključene u poslovni model. Revizorovo razumijevanje subjektovog poslovnog modela i kako na njega utječe subjektova poslovna strategija i poslovni ciljevi, mogu pomoći revizoru pri identificiranju poslovnih rizika koji mogu utjecati na financijske izvještaje. Dodatno, ovo može pomoći revizoru pri identificiranju rizika značajnih pogrešnih prikazivanja.
Ciljevi i opseg subjektovog poslovnog modela
1. Subjektov poslovni model opisuje način na koji subjekt razmatra, na primjer, svoju organizacijsku strukturu, poslovanje ili opseg aktivnosti, poslovne linije (uključujući konkurente i njihove kupce), procese, mogućnosti za rast, globalizaciju, regulatorne zahtjeve i tehnologije. Subjektov poslovni model opisuje način na koji subjekt stvara, održava i evidentira financijsku ili širu vrijednost za svoje dionike.
2. Strategije su pristupi kojima menadžment planira ostvariti ciljeve subjekta, uključujući način na koji subjekt planira postupati s rizicima i prilikama s kojima se suočava. Menadžment s vremenom mijenja strategije subjekta kako bi reagirale na promjene svojih ciljeva te na unutarnje i vanjske okolnosti u kojima posluje.
3. Opis poslovnog modela uobičajeno uključuje:
• opseg subjektovih aktivnosti i zašto ih obavlja;
• struktura subjekta i opseg njegovog poslovanja;
• tržišta ili zemljopisna ili demografska područja i dijelovi lanca vrijednosti u kojem subjekt posluje, kako nastupa na tim tržištima ili područjima (glavni proizvodi, segmenti kupaca i metode distribucije) te osnovu na kojoj se natječe;
• poslovni ili operativni procesi subjekta (npr. ulaganje, financiranje i operativni procesi) koji se koriste u obavljanju aktivnosti subjekta kojima se služi za obavljanje svojih aktivnosti usredotočujući se na one dijelove poslovnih procesa koji su važni za stvaranje, očuvanje i evidentiranje vrijednosti;
• resursi (npr. financijski, ljudski, intelektualni, okolišni i tehnološki) i drugi inputi i odnosi (npr. kupci, konkurenti, dobavljači i zaposlenici) koji su nužni ili važni za uspjeh subjekta;
• način na koji poslovni model subjekta integrira korištenje IT-a u svojim interakcijama s kupcima, dobavljačima, financijerima i drugim dionicima kroz IT sučelja i druge tehnologije.
4. Poslovni rizik može imati neposrednu posljedicu za rizik značajnih pogrešnih prikazivanja za klase transakcija, stanja računa i objavljivanja na razini tvrdnje ili na razini financijskih izvještaja. Na primjer, poslovni rizik koji proizlazi iz značajnog pada tržišnih vrijednosti nekretnina može povećati rizik značajnih pogrešnih prikazivanja povezanog s tvrdnjom o vrijednosti za zajmodavca srednjoročnih zajmova osiguranih nekretninama. Međutim, isti rizik, osobito u kombinaciji s jakim ekonomskim padom koji istodobno povećava osnovni rizik kreditnih gubitaka kroz cijelo vrijeme trajanja zajmova, može imati i dugotrajne posljedice. Rezultirajuća neto izloženost kreditnim gubicima može baciti značajnu sumnju u sposobnost subjekta da nastavi s vremenski neograničenim poslovanjem. Ako je tako, to može imati implikacije za zaključke menadžmenta i revizora o primjerenosti subjektovog korištenja računovodstva na osnovi vremenski neograničenog poslovanja te za utvrđivanje postoji li značajna neizvjesnost. Može li poslovni rizik rezultirati rizikom značajnih pogrešnih prikazivanja se, stoga, razmatra u svjetlu okolnosti subjekta. Primjeri događaja i uvjeta koji mogu dovesti do postojanja rizika značajnih pogrešnih prikazivanja prikazani su u Dodatku 2.
Aktivnosti subjekta
5. Primjeri pitanja koja revizor može razmotriti kad stječe razumijevanje o aktivnostima subjekta (koje su uključene u poslovni model subjekta) uključuju:
(a) Poslovne aktivnosti kao što su:
o vrste izvora prihoda, proizvoda ili usluga te tržišta uključujući sudjelovanje u elektroničkoj trgovini kao što je internet prodaja i marketinške aktivnosti;
o provedba aktivnosti (na primjer, faze i metode proizvodnje ili aktivnosti izložene rizicima za okoliš);
o suradnje, zajednička ulaganja i aktivnosti outsourcinga;
o zemljopisna disperzija i industrijska segmentacija;
o lokacija proizvodnih pogona, skladišta i ureda te lokacija i količine zaliha;
o ključni kupci i važni dobavljači roba i usluga, aranžmani o zaposlenju (uključujući postojanje sindikalnih ugovora, mirovina i drugih naknada nakon prestanka zaposlenja, aranžmani o dodjeli dioničkih opcija ili aranžmani s poticajnim bonusima te vladina regulativa koja se odnosi na pitanja zapošljavanja;
o aktivnosti istraživanja i razvoja i izdaci;
o transakcije s povezanim osobama.
(b) Investicije i investicijske aktivnosti kao što su:
o planirane ili nedavno dovršene akvizicije ili otuđenja;
o investiranje u i otuđenja vrijednosnih papira i zajmova;
o aktivnosti kapitalnog investiranja;
o investiranje u nekonsolidirane subjekte uključujući nekontrolirana partnerstva, zajednička ulaganja i nekontrolirane subjekte posebne namjene.
(c) financiranje i aktivnosti financiranja kao što su:
o vlasnička struktura ključnih ovisnih društava i pridruženih subjekata uključujući konsolidirane i nekonsolidirane strukture;
o struktura duga i povezani uvjeti, uključujući izvanbilančne financijske aranžmane i aranžmane o najmu;
o vlasnici koji su krajnji korisnici (na primjer, lokalni, strani, poslovna reputacija i iskustvo) te povezane osobe;
o korištenje derivativnih financijskih instrumenata.
Priroda subjekata posebne namjene
6. Subjekt posebne namjene (ponekad nazvan uređajem posebne namjene) je subjekt koji je općenito osnovan za usku i dobro definiranu svrhu poput realizacije najma ili sekuritizacije imovine ili radi provođenja aktivnosti istraživanja i razvoja. Može biti u obliku korporacije, zaklade, partnerstva ili neinkorporiranog subjekta. Subjekt u čije ime je osnovan subjekt posebne namjene može često prenijeti imovinu na potonji subjekt (na primjer, kao dio transakcije s prestankom priznavanja koja uključuje financijsku imovinu), steći pravo korištenja imovine potonjeg ili pružati usluge za potonjeg dok druge strane mogu financirati potonjeg. Kao što navodi MRevS 550, u nekim okolnostima subjekt posebne namjene može biti povezana osoba subjekta.[70](MRevS 550, točka A7)
7. Okviri financijskog izvještavanja često preciziraju detaljne uvjete za koje se smatra da dovode do kontrole ili okolnostima u kojima se mora razmotriti uključivanje subjekta posebne namjene u konsolidaciju. Tumačenje zahtjeva takvih okvira često zahtijeva detaljno poznavanje relevantnih ugovora koji uključuju subjekt posebne namjene.
DODATAK 2
(Vidjeti točke: 12(f), 19(c), A7 – A8, A85 – A89)
Razumijevanje čimbenika inherentnog rizika
Ovaj dodatak sadrži daljnja objašnjenja o čimbenicima inherentnog rizika kao i pitanja koja revizor može razmotriti pri razumijevanju i primjenjivanju čimbenika inherentnog rizika kod identificiranja i procjenjivanja rizika značajnih pogrešnih prikazivanja na razini tvrdnje.
Čimbenici inherentnog rizika
1. Čimbenici inherentnog rizika karakteristike su događaja ili stanja koje utječu na podložnost tvrdnje o klasi transakcija, stanju računa ili objavljivanju, pogrešnom prikazivanju, bilo zbog prijevare ili pogreške te prije razmatranja kontrola. Takvi čimbenici mogu biti kvalitativni ili kvantitativni te uključuju složenost, subjektivnost, promjenu, nesigurnost ili podložnost pogrešnom prikazivanju zbog pristranosti menadžmenta ili drugih čimbenika rizika prijevare[71](MRevS 240, točke A24 – A27) u mjeri u kojoj utječu na inherentni rizik. Pri stjecanju razumijevanja subjekta i njegovog okruženja te primjenjivog okvira financijskog izvještavanja i računovodstvenih politika subjekta, u skladu s točkama 19(a)-(b), revizor također razumije način na koji inherentni čimbenici rizika utječu na podložnost tvrdnji pogrešnom prikazivanju pri pripremi financijskih izvještaja.
2. Čimbenici inherentnog rizika koji se odnose na pripremu informacija sukladno zahtjevima primjenjivog okvira financijskog izvještavanja (dalje u ovoj točki: »zahtijevane informacije«) uključuju:
• Kompleksnost – proizlazi ili iz prirode informacije ili iz načina pripremanja zahtijevane informacije, uključujući okolnosti u kojima je takve procese pripreme same po sebi teže primijeniti. Na primjer, kompleksnost može nastati:
o pri obračunu iznosa rabata dobavljačima jer može biti potrebno uzeti u obzir različite komercijalne uvjete za puno različitih dobavljača, ili puno međusobno isprepletenih komercijalnih uvjeta koji su svi relevantni za obračun iznosa rabata koji se duguje; ili
o kad postoji puno potencijalnih izvora podataka s različitim karakteristikama koje se koriste pri donošenju računovodstvene procjene, obrada podataka uključuje puno međusobno povezanih koraka i podatke je stoga inherentno teže identificirati, evidentirati, pribaviti, razumjeti ili obraditi.
• Subjektivnost – proizlazi iz inherentnih ograničenja u sposobnosti pripremanja zahtijevanih informacija na objektivan način, zbog ograničenja u raspoloživosti znanja ili informacija, tako da menadžment možda mora napraviti odabir ili subjektivnu prosudbu o primjeni primjerenog pristupa i o uključivanju tako dobivenih informacija u financijske izvještaje. Zbog različitih pristupa pripremi zahtijevanih informacija, različiti ishodi mogu rezultirati iz primjerene primjene zahtjeva primjenjivog okvira financijskog izvještavanja. Kako se povećavaju ograničenja u znanju ili podacima, povećat će se i subjektivnost u prosudbama koje bi mogli donijeti razumno upućeni i neovisni pojedinci te različitost mogućih ishoda tih prosudbi.
• Promjena – rezultira iz događaja ili stanja koji, kroz vrijeme, utječu na poslovanje subjekta ili ekonomske, računovodstvene, regulatorne, granske ili druge aspekte okruženja u kojem djeluje kad se učinci takvih događaja ili stanja odražavaju na zahtijevane informacije. Takvi događaji ili stanja mogu nastati za vrijeme ili između razdoblja financijskog izvještavanja. Na primjer, promjena može rezultirati iz razvoja zahtjeva primjenjivog okvira financijskog izvještavanja ili u subjektu i njegovu poslovnom modelu, ili u okruženju u kojem subjekt posluje. Takva promjena može utjecati na menadžmentove pretpostavke i prosudbe, uključujući one koje se odnose na menadžmentov odabir računovodstvenih politika ili način donošenja računovodstvenih procjena ili utvrđivanja povezanih objava.
• Nesigurnost – nastaje kad zahtijevane informacije ne mogu biti pripremljene samo na osnovi dostatno preciznih i sveobuhvatnih podataka koji se mogu verificirati kroz izravno promatranje. U tim okolnostima može biti potrebno primijeniti pristup koji primjenjuje raspoloživo znanje za pripremu informacija korištenjem dovoljno preciznih i sveobuhvatnih opažljivih podataka, u opsegu u kojem su dostupni, te razumne pretpostavke koje podržavaju najprimjereniji dostupni podaci, kad nisu dostupni. Ograničenja u raspoloživosti znanja ili podataka koja nisu pod kontrolom menadžmenta (podložno troškovnim ograničenjima ako je primjenjivo) su izvori nesigurnosti i njihov učinak na pripremu zahtijevanih informacija ne može biti eliminiran. Na primjer, nesigurnost procjene nastaje kad zahtijevani novčani iznos ne može biti utvrđen s preciznošću i ishod procjene nije poznat prije datuma dovršenja financijskih izvještaja.
• Podložnost pogrešnom prikazivanju zbog pristranosti menadžmenta ili drugih čimbenika rizika prijevare ako oni utječu na inherentni rizik – podložnost pristranosti menadžmenta rezultira iz uvjeta koji stvaraju podložnost namjernom ili nenamjernom propustu menadžmenta da održi neutralnost u pripremi informacija. Menadžmentova pristranost je često povezana s određenim uvjetima koji imaju potencijal biti uzrokom da menadžment ne održava neutralnost u stvaranju prosudbi (pokazatelji potencijalne pristranosti menadžmenta), što može dovesti do značajnog pogrešnog prikazivanja informacija koje bi moglo biti prijevarno ako je namjerno. Takvi pokazatelji uključuju poticaje ili pritiske ako utječu na inherentni rizik (na primjer, kao posljedica motiviranosti za postizanjem željenog rezultata kao što je željena ciljna dobit ili pokazatelj kapitala) i priliku da ne održavaju neutralnost. Čimbenici koji su relevantni za podložnost pogrešnom prikazivanju zbog prijevare u obliku prijevarnog financijskog izvještavanja ili prisvajanja imovine opisani su u točkama A1 do A5 MRevS-a 240.
3. Kad je kompleksnost čimbenik inherentnog rizika, može postojati inherentna potreba za kompleksnijim procesima pripreme informacija i takvi procesi mogu biti inherentno teži za primjenu. Posljedično tome, njihova primjena može zahtijevati specijalizirane vještine ili znanje te može zahtijevati korištenje menadžmentovog stručnjaka.
4. Kad je prosudba menadžmenta subjektivnija, podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti, nenamjerne ili namjerne, može također biti povećana. Na primjer, značajna prosudba menadžmenta može biti uključena u donošenje računovodstvenih procjena koje su identificirane kao visoka nesigurnost procjene i zaključci glede metoda, podataka i pretpostavki mogu održavati nenamjernu ili namjernu pristranost menadžmenta.
Primjeri događaja ili stanja koji mogu dovesti do postojanja rizika značajnih pogrešnih prikazivanja
1. U nastavku su prikazani primjeri događaja (uključujući transakcije) i uvjeta koji mogu ukazivati na postojanje rizika značajnih pogrešnih prikazivanja u financijskim izvještajima na razini financijskih izvještaja ili na razini tvrdnje. Primjeri su navedeni prema čimbeniku inherentnog rizika i pokrivaju širok raspon događaja i uvjeta. Međutim, nisu svi događaji i uvjeti relevantni za svaki revizijski angažman te popis primjera nije nužno potpun. Događaji i uvjeti kategorizirani su prema čimbeniku inherentnog rizika koji može imati najveći utjecaj u danim okolnostima. Važno je napomenuti da će zbog međuodnosa između čimbenika inherentnog rizika primjeri događaja i uvjeta također vjerojatno biti podložni drugim čimbenicima inherentnog rizika ili će na njih utjecati.
Relevantni čimbenik inherentnog rizika: | Primjeri događaja ili stanja koji mogu dovesti do postojanja rizika značajnih pogrešnih prikazivanja na razini tvrdnje: |
Kompleksnost | Regulatorna: • poslovanje koje je znatno podložno kompleksnoj regulativi. Poslovni model: • postojanje kompleksnih saveza i zajedničkih ulaganja. Primjenjivi okvir financijskog izvještavanja: • računovodstvena mjerenja koja uključuju kompleksne procese. Transakcije: • korištenje izvanbilančnog financiranja, subjekata posebne namjene i drugih kompleksnih financijskih aranžmana. |
Subjektivnost | Primjenjivi okvir financijskog izvještavanja: • širok raspone mogućih kriterija mjerenja neke računovodstvene procjene. Na primjer, menadžmentovo priznavanje amortizacije ili prihoda i rashoda kod gradnje. • menadžmentov odabir tehnika procjene ili modela za trajnu imovinu kao što su ulaganja u nekretnine. |
Promjena | Ekonomski uvjeti: • poslovanje u područjima koja su ekonomski nestabilna, na primjer, zemlje sa značajnom devalvacijom valute ili u visoko inflatornim ekonomijama. Tržišta: • poslovanje je izloženo volatilnim tržištima, na primjer, trgovanje futures-ima. Gubljenje kupaca: • pitanja vremenski neograničenog poslovanja i likvidnosti uključujući gubitak značajnih kupaca. Industrijski (granski) model: • promjene u industriji u kojoj subjekt posluje. Poslovni model: • promjene u dobavnom lancu. • razvoj ili nuđenje novih proizvoda ili usluga ili ulaženje u nove poslovne linije. Zemljopis: • širenje na nove lokacije. Struktura subjekta: • promjene u subjektu kao što su velike akvizicije ili reorganizacije ili drugi neuobičajeni događaji. • subjekti ili poslovni segmenti koji će vjerojatno biti prodani. Kompetentnost ljudskih resursa: • promjene u ključnom osoblju uključujući odlazak ključnih izvršnih osoba. |
IT: • promjene u IT okruženju. • instalacija značajnih novih IT sustava koji su povezani s financijskim izvještavanjem. Primjenjivi okvir financijskog izvještavanja: • primjena novih računovodstvenih propisa. Kapital: • nova ograničenja raspoloživosti kapitala i kredita. Regulatorno: • započinjanje istraga vezanih uz subjektovo poslovanje ili financijske rezultate od strane regulatornih ili vladinih tijela. • utjecaj novih zakona koji se odnose na zaštitu okoliša. | |
Nesigurnost | Izvještavanje: • događaji ili transakcije koje uključuju značajnu nesigurnost mjerenja uključujući računovodstvene procjene i povezane objave, • predstojeći sudski spor i potencijalne obveze, na primjer, jamstva za prodane proizvode, financijska jamstva i sanacija okoliša. |
Podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili drugih čimbenika rizika prijevare ako oni utječu na inherentni rizik | Izvještavanje: • prilike za menadžment i zaposlene da sudjeluju u prijevarnom financijskom izvještavanju, uključujući izostavljanje ili prikrivanje značajnih informacija u objavama. Transakcije: • značajne transakcije s poveznim osobama, • značajan iznos nerutinskih ili nesustavnih transakcija uključujući međukompanijske transakcije i velike transakcije povezane s prihodima na kraju razdoblja, • transakcije koje su evidentirane na temelju menadžmentove namjere, na primjer, refinanciranje duga, imovina za prodaju i klasifikacija utrživih vrijednosnica. |
Ostali događaji ili uvjeti koji mogu ukazivati na rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja:
• nedostatak osoblja s primjerenim vještinama na području računovodstva i financijskog izvještavanja.
• nedostaci kontrola – osobito u kontrolnom okruženju, procesu procjene rizika i procesu monitoringa i posebno oni s kojima se menadžment nije bavio.
• prošla pogrešna prikazivanja, povijest pogrešaka ili značajan iznos usklađivanja na kraju razdoblja.
DODATAK 3
(Vidjeti točke: 12(m), 21 – 26, A90 – A181)
Razumijevanje subjektovog sustava internih kontrola
1. Subjektov sustav internih kontrola može se odražavati u priručnicima o politici i postupcima, sustavima i obrascima te informacijama koje su u njima ugrađene, te na koji utječu ljudi. Subjektov sustav internih kontrola implementira menadžment, oni koji su zaduženi za upravljanje ili drugo osoblje na temelju strukture subjekta. Subjektov sustav internih kontrola može se primijeniti na operativni model subjekta, pravnu strukturu subjekta ili njihovu kombinaciju na osnovi odluka menadžmenta, onih koji su zaduženi za upravljanje ili drugog osoblja u kontekstu zakonskih i regulatornih zahtjeva.
2. Ovaj dodatak dalje objašnjava komponente kao i ograničenja subjektovog sustava internih kontrola kako je navedeno u točkama 12(m), 21 – 26, i A90 – A181, jer se odnose na reviziju financijskih izvještaja.
3. Subjektov sustav internih kontrola uključuje aspekte koji se odnose na subjektove ciljeve izvještavanja uključujući njegove ciljeve financijskog izvještavanja, ali može uključivati aspekte koji se odnose na njegovo poslovanje ili ciljeve usklađenosti kad su takvi aspekti relevantni za financijsko izvještavanje.
Primjer: Kontrole nad usklađenošću s zakonima i regulativom mogu biti relevantne za financijsko izvještavanje kad su takve kontrole relevantne za subjektovo pripremanje objavljivanja potencijalnih obveza u financijskim izvještajima. |
Komponente subjektovog sustava internih kontrola
Kontrolno okruženje
4. Kontrolno okruženje uključuje funkcije upravljanja i menadžmenta te stavove, svijest i djelovanje onih koji su zaduženi za upravljanje i menadžment u vezi s subjektovim sustavom internih kontrola i njegovoj važnosti u subjektu. Kontrolno okruženje postavlja ton organizacije utječući na kontrolnu svijest njezinih ljudi i pruža sveukupni temelj za rad ostalih komponentni subjektovog sustava internih kontrola.
5. Na svijest o kontrolama subjekta utječu oni koji su zaduženi za upravljanje jer je jedna od njihovih uloga biti protuteža pritiscima na menadžment u odnosu na financijsko izvještavanja koji mogu proizaći iz zahtjeva tržišta ili shema naknada. Na učinkovitost oblika kontrolnog okruženja u odnosu na sudjelovanje onih koji su zaduženi za upravljanje stoga utječu pitanja kao što su:
• njihova neovisnost od menadžmenta i njihova sposobnost ocjenjivanja postupanja menadžmenta;
• razumiju li poslovne transakcije subjekta;
• opseg u kojem ocjenjuju jesu li financijski izvještaji pripremljeni u skladu s primjenjivim okvirom financijskog izvještavanja, uključujući i pitanje sadrže li financijski izvještaji adekvatna objavljivanja.
6. Kontrolno okruženje obuhvaća sljedeće elemente:
(a) Kako se provode odgovornosti menadžmenta kao što je stvaranje i održavanje subjektove kulture i pokazivanje predanosti menadžmenta integritetu i etičkim vrijednostima. Učinkovitost kontrola ne može biti postavljena iznad integriteta i etičkih vrijednosti ljudi koji ih stvaraju, upravljaju i nadgledaju. Integritet i etično ponašanje su proizvod subjektovih etičkih i standarda ponašanja ili kodeksa ponašanja, načina na koji se oni komuniciraju (npr. izjavama o politici) i načinu na koji se provode u praksi (npr. radnjama menadžmenta radi eliminiranja ili ublažavanja poticaja ili iskušenja koja bi mogla potaknuti osoblje na nepoštene, nezakonite ili neetične radnje). Komuniciranje subjektovih politika o integritetu i etičkim vrijednostima može uključivati komuniciranje – priopćavanje standarda ponašanja osoblju kroz izjave o politici i kodeks ponašanja te kroz primjer.
(b) Kad su oni koji su zaduženi za upravljanje odvojeni od menadžmenta način na koji oni zaduženi za upravljanje pokazuju neovisnost od menadžmenta i obavljaju nadzor nad subjektovim sustavom internih kontrola. Na svijest o subjektovim kontrolama utječu oni koji su zaduženi za upravljanje. Razmatranja mogu uključivati pitanja o tome postoji li dovoljno pojedinaca koji su neovisni od menadžmenta i koji su objektivni u svojim ocjenama i odlučivanju; način na koji oni zaduženi za upravljanje identificiraju i prihvaćaju nadzorne odgovornosti i zadržavaju li oni zaduženi za upravljanje odgovornost za nadzor nad menadžmentovim oblikovanjem, implementacijom i provođenjem subjektovog sustava internih kontrola. Važnost odgovornosti onih koji su zaduženi za upravljanje priznata je u kodeksima prakse i drugim zakonima i regulativi ili uputama koji su izrađeni u korist onih zaduženih za upravljanje. Druge odgovornosti onih koji su zaduženi za upravljanje uključuju nadzor nad oblikovanjem i učinkovitim djelovanjem postupaka vezanih za zviždače.
(c) Način na koji subjekt dodjeljuje nadležnosti i odgovornost u ostvarivanju svojih ciljeva. Ovo može uključivati razmatranja o:
• ključnim područjima nadležnosti i odgovornosti te primjerene linije izvještavanja;
• politike koje se odnose na primjerene poslovne prakse, znanje i iskustvo ključnog osoblja, te resurse koji postoje za izvršavanje dužnosti; i
• politike i komunikacije usmjerene na osiguravanje da svo osoblje razumije subjektove ciljeve, da je upoznato kako su njihove pojedinačne radnje međusobno povezane i kako doprinose tim ciljevima te kako će i za što odgovarati.
(d) Način na koji subjekt privlači, razvija i zadržava kompetentne pojedince u skladu sa svojim ciljevima. Ovo uključuje način na koji subjekt osigurava da pojedinci imaju znanje i vještine koji su potrebni za obavljanje zadataka koji definiraju radno mjesto pojedinca, kao što su:
• standardi za zapošljavanje najkvalificiranijih pojedinaca s naglaskom na obrazovanju, prethodnom radnom iskustvu, prošlim dostignućima i dokazima o integritetu i etičnom ponašanju;
• politike osposobljavanja koje komuniciraju buduće uloge i odgovornosti uključujući prakse poput škola za osposobljavanje i seminara koji ilustriraju očekivane razine uspješnosti i ponašanja; i
• periodična ocjenjivanja uspješnosti koje utječu na unapređenja koja pokazuju predanost subjekta napredovanju kvalificiranog osoblja prema višim razinama odgovornosti.
(e) Način na koji subjekt drži pojedince odgovornima za njihove nadležnosti u postizanju ciljeva subjektovog sustava internih kontrola. Ovo se može postići kroz, na primjer:
• mehanizme za komunikaciju i pozivanje pojedinaca na odgovornost za obavljanje kontrola te primjenu korektivnih radnji ako je potrebno;
• uspostavljanje mjera uspješnosti, poticaja i nagrada za one koji su odgovorni za subjektov sustav internih kontrola uključujući način na koji se mjere ocjenjuju i održavaju relevantnima;
• način na koji pritisci povezani s postizanjem kontrolnih ciljeva utječu na odgovornosti pojedinaca i mjere uspješnosti; i
• način na koji se pojedinci discipliniraju ako je potrebno.
Primjerenost gore navedenih pitanja bit će različita za svaki subjekt ovisno o njegovoj veličini, kompleksnosti njegove strukture i prirodi njegovih aktivnosti.
Subjektov proces procjene rizika
7. Subjektov proces procjene rizika je iterativni proces za identificiranje i analiziranje rizika za postizanje ciljeva subjekta i čini osnovu za način na koji menadžment ili oni koji su zaduženi za upravljanje utvrđuju rizike kojima treba upravljati.
8. Za svrhe financijskog izvještavanja, subjektov proces procjene rizika uključuje način na koji menadžment identificira poslovne rizike koji su relevantni za pripremu financijskih izvještaja u skladu sa subjektovim primjenjivim okvirom financijskog izvještavanja, ocjenjuje njihovu značajnost, procjenjuje vjerojatnost njihovog nastanka i odlučuje o radnjama za upravljanje njima i njihovim rezultatima. Na primjer, subjektov proces procjene rizika može se baviti načinom na koji subjekt razmatra mogućnost postojanja neproknjiženih transakcija ili identificira i analizira značajne procjene koje su evidentirane u financijskim izvještajima.
9. Rizici koji su relevantni za pouzdano financijsko izvještavanje uključuju vanjske i unutarnje događaje, transakcije ili okolnosti koje mogu nastati i negativno utjecati na subjektovu sposobnost da započne, evidentira, obradi i izvijesti o financijskoj informaciji dosljedno s tvrdnjama menadžmenta u financijskim izvještajima. Menadžment može inicirati planove, programe ili radnje radi razrješavanja specifičnih rizika ili može odlučiti prihvatiti rizik zbog troška ili drugih razloga. Rizici mogu nastati ili se promijeniti uslijed okolnosti kao što su sljedeće:
• Promjene u operativnom okruženju. Promjene u regulatornom, ekonomskom ili operativnom okruženju mogu rezultirati promjenama u natjecateljskom pritisku i značajno drugačijim rizicima.
• Novo osoblje. Novo osoblje može imati drugačiju usredotočenost na ili razumijevanje subjektovog sustava internih kontrola.
• Novi ili prerađeni informacijski sustav. Značajne i brze promjene informacijskog sustava mogu promijeniti rizik koji se odnosi na subjektov sustav internih kontrola.
• Brzi rast. Značajno i brzo proširenje operacija može napregnuti kontrole i povećati rizik poremećaja u kontrolama.
• Nova tehnologija. Ugrađivanje novih tehnologija u proizvodne procese ili informacijski sustav može promijeniti rizik povezan sa subjektovim sustavom internih kontrola.
• Novi poslovni modeli, proizvodi ili aktivnosti. Ulazak u poslovna područja ili transakcije s kojima subjekt ima malo iskustva može uvesti nove rizike povezane sa subjektovim sustavom internih kontrola.
• Korporativna restrukturiranja. Restrukturiranja mogu biti popraćena smanjenjima broja osoblja i promjenama u nadzoru i segregaciji dužnosti što može promijeniti rizik povezan sa subjektovim sustavom internih kontrola.
• Prošireno inozemno poslovanje. Ekspanzija ili akvizicija inozemnog poslovanja donosi nove i često jedinstvene rizike koji mogu utjecati na interne kontrole, na primjer, dodatni ili promijenjeni rizici zbog deviznih transakcija.
• Novi računovodstveni standardi. Usvajanje novih računovodstvenih načela ili promjene računovodstvenih načela mogu utjecati na rizike u pripremanju financijskih izvještaja.
• Korištenje IT-a. Rizici koji se odnose na:
o održavanje integriteta podataka i obrade informacija;
o rizici za subjektovu poslovnu strategiju koji nastaju ako subjektova IT strategija ne podržava učinkovito subjektovu poslovnu strategiju; ili
o promjene ili prekidi u subjektovom IT okruženju ili fluktuacija IT osoblja ili kad subjekt ne provede nužne promjene IT okruženja ili takve promjene nisu pravovremene.
Subjektov proces monitoring sustava internih kontrola
10. Subjektov proces monitoringa sustava internih kontrola je kontinuirani proces ocjenjivanja učinkovitosti subjektovog sustava internih kontrola i pravovremeno poduzimanje potrebnih korektivnih radnji. Subjektov proces monitoringa subjektovog sustava internih kontrola može se sastojati od stalnih aktivnosti, odvojenih ocjenjivanja (koja se obavljaju periodično) ili neka kombinacija toga dvojega. Stalne aktivnosti monitoringa su često ugrađene u redovne ponavljajuće aktivnosti subjekta i mogu uključivati redovne aktivnosti upravljanja i nadziranja. Subjektov proces će varirati u opsegu i učestalosti ovisno o subjektovoj procjeni rizika.
11. Ciljevi i opseg službe interne revizije obično uključuju aktivnosti oblikovane za ocjenjivanje ili monitoring učinkovitosti subjektovog sustava internih kontrola.[72](MRevS 610 (izmijenjen 2013.) i Dodatak 4 ovom MRevS-u sadrže daljnje upute povezane s internom revizijom.) Subjektov proces monitoringa subjektovog sustava internih kontrola može uključivati aktivnosti kao što je provjera od strane menadžmenta jesu li usklađivanja s bankama pripremljena pravovremeno, ocjenu od strane interne revizije o pridržavanju subjektovih politika koje se odnose na uvjete ugovora o prodaji te na nadzor nad pridržavanjem subjektovih politika vezanih uz etiku i poslovnu praksu. Monitoring se obavlja također radi osiguravanja da kontrole kroz vrijeme nastave učinkovito funkcionirati. Na primjer, ako se ne nadzire pravovremenost i točnost usklađivanja s bankama, vjerojatno je da će ih osoblje prestati pripremati.
12. Kontrole koje se odnose na subjektov proces monitoringa subjektovog sustava internih kontrola uključujući one koje nadziru osnovne automatizirane kontrole mogu biti automatizirane ili ručne ili kombinacija toga dvojega. Na primjer, subjekt može koristiti automatizirane kontrole monitoringa nad pristupom određenoj tehnologiji putem slanja automatiziranih izvještaja o neuobičajenim aktivnostima menadžmentu koji ručno istražuje identificirane anomalije.
13. Kod razlikovanja između aktivnosti monitoringa i kontrola povezanih s informacijskim sustavom razmatraju se osnovne pojedinosti aktivnosti osobito kad aktivnost uključuje neku razinu nadzornog pregleda. Nadzorni pregledi se klasificiraju automatski u aktivnosti monitoringa te ovo može biti pitanje za prosudbu o tome treba li neki pregled biti klasificiran kao kontrola povezana s informacijskim sustavom ili kao aktivnost monitoringa. Na primjer, namjera mjesečne kontrole potpunosti je detektirati i korigirati pogreške, dok bi aktivnost monitoringa postavila pitanje zašto se pogreške događaju i dodijelila menadžmentu odgovornost za popravljanje procesa radi sprječavanja budućih pogrešaka. Jednostavnim riječima, kontrola koja je povezana s informacijskim sustavom reagira na specifični rizik dok aktivnost monitoringa procjenjuje funkcioniraju li kontrole unutar svake od pet komponentni subjektovog sustava internih kontrola kao što je namjeravano.
14. Aktivnosti monitoringa mogu uključivati korištenje informacija iz komunikacija s vanjskim osobama što može ukazivati na probleme ili naznačiti područja na kojima je potrebno poboljšanje. Kupci implicitno potvrđuju podatke iz faktura plaćanjem računa ili podnošenjem žalbi zbog terećenja. Dodatno, regulatori mogu komunicirati sa subjektom u vezi s pitanjima koja utječu na funkcioniranja subjektovog sustava internih kontrola, na primjer, komunikacije u svezi s ispitivanjima od strane regulatornih agencija za banke. Također, u obavljanju aktivnosti monitoringa menadžment može razmotriti bilo koje komunikacije povezane s subjektovim sustavom internih kontrola koje su dobivene od vanjskih revizora.
Informacijski sustav i komunikacija
15. Informacijski sustav koji je relevantan za pripremanje financijskih izvještaja sastoji se od aktivnosti i politika te računovodstvenih i pomoćnih evidencija koje su oblikovane i uspostavljene radi:
• iniciranja, evidentiranja i obrade subjektovih transakcija (kao i evidentiranja, obrade i objavljivanja informacija o događajima i uvjetima koji nisu transakcije) i održavanja odgovornosti za odnosnu imovinu, obveze i vlastiti kapital;
• rješavanja netočne obrade transakcija, na primjer, praćenje automatiziranih suspenzijskih datoteka i postupci koji se obavljaju radi pravovremenog razrješenja suspenzijskih stavaka;
• obrade i izvještavanja o prekoračenjima sustava i zaobilaženjima kontrola;
• unosi informacija iz obrade transakcija u glavnu knjigu (tj. prijenos akumuliranih transakcija iz pomoćne knjige);
• evidentiranja i obrade informacija o događajima i stanjima koja nisu transakcije a koja su relevantna za pripremu financijskih izvještaja, kao što su amortizacija imovine i promjene u povrativosti imovine; i
• osiguravanja da informacije koje moraju biti objavljene sukladno primjenjivom okviru financijskog izvještavanja budu prikupljene, evidentirane, obrađene, agregirane i primjereno objavljene u financijskim izvještajima.
16. Poslovni procesi subjekta uključuju aktivnosti koje su oblikovane za:
• razvoj, nabavu, proizvodnju, prodaju i distribuciju subjektovih proizvoda i usluga;
• osiguranje usklađenosti sa zakonima i regulativom; i
• evidentiranje informacija, uključujući informacije vezane uz računovodstvo i financijsko izvještavanje.
Poslovni procesi rezultiraju transakcijama koje informacijski sustav evidentira, obrađuje i o kojima izvještava.
17. Kvaliteta informacija utječe na sposobnost menadžmenta da donosi primjerene odluke u upravljanju i kontroli subjektovih aktivnosti i pripremi pouzdane financijske izvještaje.
18. Komunikacija koja uključuje pružanje razumijevanja pojedinačnih uloga i odgovornosti koje se odnose na subjektov sustav internih kontrola može biti u obliku priručnika za politike, priručnika za računovodstvo i financijsko izvještavanje te memoranduma. Komunikacija se može ostvariti elektroničkim i usmenim putem te kroz radnje menadžmenta.
19. Komunikacija od strane subjekta o ulogama i odgovornostima u financijskom izvještavanju i značajnim pitanjima koja se odnose na subjektov sustav internih kontrola koji je relevantan za financijsko izvještavanje. To može uključivati pitanja kao što je opseg u kojem osoblje razumije način na koji su njihove aktivnosti u informacijskom sustavu povezane s radom drugih i način izvještavanja primjerene više razine unutar subjekta o iznimkama.
Kontrolne aktivnosti
20. Kontrole u komponenti kontrolnih aktivnosti se identificiraju u skladu s točkom 26. Takve kontrole uključuju kontrole obrade informacija i opće IT kontrole, s time da jedna i druga po vrsti mogu biti ručne ili automatizirane. Što je veći opseg automatiziranih kontrola ili kontrola koje uključuju automatizirane aspekte koje menadžment koristi i na koje se oslanja u vezi sa svojim financijskim izvještavanjem, to za subjekt može biti važnija implementacija općih IT kontrola koje se odnose na kontinuirano funkcioniranje automatiziranih aspekata kontrola obrade informacija. Kontrole u komponenti kontrolnih aktivnosti mogu se odnositi na sljedeće:
• Autorizaciju i odobrenja. Autorizacija potvrđuje da je transakcija valjana (tj. da predstavlja stvarni ekonomski događaj ili da je u okviru politike subjekta). Autorizacija tipično ima formu odobrenja više razine menadžmenta ili formu verifikacije i utvrđenja da je transakcija valjana. Na primjer, supervizor odobrava izvještaj o troškovima nakon pregleda čine li se troškovi razumnima i unutar politike. Primjer automatiziranog odobrenja je kad se jedinični trošak automatski uspoređuje s povezanim jediničnim troškom narudžbe u okviru prethodno utvrđene razine tolerancije. Fakture unutar granice tolerancije se automatski odobravaju za plaćanje. One fakture koje su izvan razine tolerancije označavaju se za daljnju provjeru.
• Usklađivanja – Usklađivanjima se uspoređuju dva ili više podataka. Ako se identificiraju razlike poduzima se radnja radi usklađivanja podataka. Usklađivanja se općenito odnose na potpunost ili točnost obrade transakcija.
• Verifikacije – Verifikacijama se uspoređuju dvije ili više stavki međusobno ili s politikom te će vjerojatno uključivati naknadnu radnju kad se dvije stavke ne podudaraju ili stavka nije konzistentna s politikom. Verifikacije se općenito bave s potpunošću, točnošću ili valjanošću obrade transakcija.
• Fizičke ili logičke kontrole, uključujući one koje se odnose na sigurnost imovine od neovlaštenog pristupa, stjecanja, korištenja ili otuđenja. Kontrole obuhvaćaju:
o fizičku sigurnost imovine, uključujući adekvatne zaštitne mjere kao što su zaštita objekata od pristupa imovini i evidencijama,
o autorizaciju za pristup računalnim programima i bazama podataka (tj. logični pristup),
o periodično brojanje i usporedba s iznosima koji su iskazani u kontrolnim evidencijama (na primjer, usporedba rezultata inventure gotovog novca, vrijednosnica i zaliha s računovodstvenim evidencijama).
Opseg do kojeg su fizičke kontrole kojima je cilj sprječavanje krađe imovine relevantne za pouzdanost pripremanja financijskih izvještaja ovisi o okolnostima kao što je slučaj kad je imovina u velikoj mjeri podložna protupravnom prisvajanju.
• Segregaciju dužnosti. Dodjeljivanje odgovornosti različitim ljudima za autorizaciju transakcija, evidentiranje transakcija i čuvanje imovine. Segregacija dužnosti ima za cilj smanjiti mogućnosti bilo kojoj osobi da bude u poziciji u kojoj može počiniti i sakriti pogreške ili prijevaru u redovnom obavljanju dužnosti te osobe.
Na primjer, menadžer koji autorizira prodaju na kredit nije odgovoran za održavanje analitičke evidencije kupaca ili postupanje s priljevima novca. Ako je jedna osoba u mogućnosti obaviti sve ove aktivnosti, ta osobi bi mogla, na primjer, kreirati fiktivnu prodaju koja bi mogla proći neotkriveno. Slično tome, osoblje prodaje ne smije imati mogućnost modificiranja datoteke s cijenama proizvoda ili stopa provizija.
Ponekad segregacija nije praktična, troškovno učinkovita ili provediva. Na primjer, manjim i jednostavnijim subjektima mogu nedostajati dostatni resursi za postizanje idealne segregacije i trošak zapošljavanja dodatnog osoblja može biti prohibitivan. U ovim situacijama menadžment može uspostaviti alternativne kontrole. U gornjem primjeru, ako osoba u prodaji može modificirati datoteku s cijenama proizvoda može se uspostaviti otkrivajuća kontrolna aktivnost uključivanjem osoblja koje nije povezano sa službom prodaje da periodično pregleda je li i u kojim okolnostima osoba iz prodaje promijenila cijene.
21. Određene kontrole mogu ovisiti o postojanju primjerenih nadzornih kontrola koje je uspostavio menadžment ili oni koji su zaduženi za upravljanje. Na primjer, kontrole autorizacije mogu se delegirati u skladu s utvrđenim smjernicama, kao što su kriteriji za ulaganja koje su postavili oni koji su zaduženi za upravljanje; alternativno, nerutinske transakcije kao što su velike akvizicije ili dezinvestiranje mogu zahtijevati posebno odobrenje na visokoj razini, uključujući u nekim slučajevima i dioničare.
Ograničenja internih kontrola
22. Subjektov sustav unutarnje kontrole, bez obzira na učinkovitost, može subjektu pružiti samo razumno uvjerenje o postizanju ciljeva financijskog izvještavanja subjekta. Na vjerojatnost njihova postizanja utječu inherentna ograničenja internih kontrola. Ona uključuju realnost da ljudska prosudba u donošenju odluka može biti neispravna i da poremećaji u subjektovom sustavu internih kontrola mogu nastati zbog ljudske pogreške. Na primjer, može postojati pogreška u oblikovanju ili u promjeni kontrole. Isto tako, funkcioniranje kontrole ne mora biti učinkovito, primjerice, ako se informacije proizvedene za potrebe subjektovog sustava internih kontrola (na primjer, izvještaj o iznimkama) ne koriste učinkovito jer pojedinac odgovoran za pregled informacija ne razumije njihovu svrhu ili ne poduzima odgovarajuće radnje.
23. Osim toga, kontrole se mogu zaobići dosluhom dviju ili više osoba ili neprimjerenim prekoračenjem od strane menadžmenta. Na primjer, menadžment može ući u sporedne dogovore s kupcima kojima mijenjaju uvjete i odredbe standardnih ugovora o prodaji što može rezultirati nepravilnim priznavanjem prihoda. Također, kontrole uređivanja teksta u IT aplikaciji koje su oblikovane radi identificiranja i izvještavanja o transakcijama koje prelaze određene kreditne limite mogu biti prekoračene ili isključene.
24. Nadalje, u oblikovanju i implementiraju kontrola menadžment može donositi prosudbe o prirodi i opsegu kontrola koje odluči implementirati i o vrsti i opsegu rizika koje odluči preuzeti.
DODATAK 4
(Vidjeti točke 14(a), 24(a)(ii), A25 – A28, A118)
Razmatranja za razumijevanje subjektove službe interne revizije
Ovaj dodatak sadrži daljnja razmatranja koja se odnose na razumijevanje subjektove službe interne revizije kad takva služba postoji.
Ciljevi i opseg službe interne revizije
1. Ciljevi i opseg službe interne revizije, priroda njezinih odgovornosti i njezin status unutar organizacije uključujući autoritet i odgovornost službe, široko variraju i ovise o veličini, kompleksnosti i strukturi subjekta i zahtjevima menadžmenta i, ako je primjenjivo, onih koji su zaduženi za upravljanje. Ova pitanja mogu se urediti u aktu o internoj reviziji ili referentnim uvjetima.
2. Odgovornosti službe interne revizije mogu uključivati obavljanje postupaka i ocjenjivanje rezultata kako bi se menadžmentu i onima koji su zaduženi za upravljanje pružilo uvjerenje o oblikovanju i učinkovitosti upravljanja rizicima, subjektovom sustavu internih kontrola i procesima nadziranja. Ako je tako, Služba interne revizije može igrati važnu ulogu u subjektovom procesu monitoringa subjektovog sustava internih kontrola. Međutim, odgovornosti službe interne revizije mogu biti usredotočene na ocjenjivanje ekonomičnosti, efikasnosti i efektivnosti poslovanja i, ako je tako, rad službe možda nije izravno povezan s financijskim izvještavanjem subjekta.
Postavljanje upita službi interne revizije
3. Ako subjekt ima službu interne revizije, postavljanje upita odgovarajućim pojedincima unutar službe može dati informacije koje su revizoru korisne pri stjecanju razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola te pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja i na razini tvrdnji. U obavljanju svojeg posla, služba interne revizije je vjerojatno stekla uvid u poslovanje subjekta i poslovne rizike, te može imati nalaze na osnovi svoga rada kao što su identificirani nedostaci kontrola ili rizici što može pružiti vrijedan doprinos revizorovom razumijevanju subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja, subjektovog sustava internih kontrola, revizorove procjene rizika i druge aspekte revizije. Upiti revizora postavljaju se stoga bez obzira očekuje li revizor koristiti se radom službe interne revizije za modificiranje vrste, vremenskog rasporeda ili smanjenja opsega revizijskih postupaka koje mora obaviti.[73](Relevantni zahtjevi sadržani su u MRevS-u 610 (izmijenjen 2013.).) Posebno relevantni upiti mogu biti oni o pitanjima koja je služba interne revizije pokrenula kod onih koji su zaduženi za upravljanje te o ishodima procesa procjene rizika same službe.
4. Ako se, na osnovi odgovora na revizorove upite, čini da postoje nalazi koji mogu biti relevantni za financijsko izvještavanje subjekta i reviziju financijskih izvještaja, revizor može smatrati primjerenim pročitati odnosne izvještaje službe interne revizije. Primjeri izvještaja službe interne revizije koji mogu biti relevantni uključuju dokumente službe o strategiji i planiranju te izvještaji koji su pripremljeni za menadžment ili one koji su zaduženi za upravljanje i koji opisuju nalaze ispitivanja koje je provela služba interne revizije.
5. Uz to, u skladu s MRevS-om 240,[74](MRevS 240, točka 19) ako služba interne revizije pruži revizoru informacije koje se odnose na bilo koju stvarnu, sumnjivu ili navodnu prijevaru, revizor će to uzeti u obzir u svojoj identifikaciji rizika značajnih pogrešnih prikazivanja zbog prijevare.
6. Odgovarajući pojedinci unutar službe interne revizije kojima se postavljaju upiti su oni, po prosudbi revizora, koji imaju primjereno znanje, iskustvo i autoritet, kao što je glavna izvršna osoba interne revizije ili, ovisno o okolnostima, drugo osoblje unutar službe. Revizor može također smatrati primjerenim održavati periodične sastanke s ovim pojedincima.
Razmatranja o službi interne revizije pri razumijevanju kontrolnog okruženja
7. U razumijevanju kontrolnog okruženja, revizor može razmotriti kako je menadžment odgovorio na nalaze i preporuke službe interne revizije u svezi s identificiranim nedostacima kontrola koji su relevantni za pripremanje financijskih izvještaja, uključujući pitanje jesu li i kako takvi odgovori implementirani i jesu li naknadno bili ocijenjeni od strane službe interne revizije.
Razumijevanje uloge koju služba interne revizije ima u subjektovom procesu monitoringa sustava internih kontrola
8. Ako je priroda odgovornosti i aktivnosti na izražavanju uvjerenja službe interne revizije povezana s financijskim izvještavanjem subjekta, revizor može također biti u mogućnosti koristiti rad službe interne revizije kako bi modificirao vrste ili vremenski raspored ili smanjio opseg revizijskih postupaka koje revizor mora obaviti radi pribavljanja revizijskih dokaza. Vjerojatnije je da su revizori u mogućnosti koristiti rad službe interne revizije subjekta kad se čini, na primjer, na temelju iskustva iz ranijih revizija ili revizorovih postupaka procjene rizika da subjekt ima službu interne revizije koja ima adekvatne i primjerene resurse u odnosu na kompleksnost subjekta i prirodu njegovog poslovanja te ima izravan odnos s onima koji su zaduženi za upravljanje.
9. Ako na osnovi revizorovog privremenog razumijevanja službe interne revizije revizor očekuje koristiti rad službe interne revizije kako bi modificirao vrstu ili vremenski raspored ili smanjio opseg revizijskih postupaka koje treba obaviti primjenjuje se MRevS 610 (izmijenjen 2013.).
10. Kao što je dalje raspravljeno u MRevS-u 610 (izmijenjen 2013.), aktivnosti službe interne revizije su različite od drugih monitoring kontrola koje mogu biti relevantne za financijsko izvještavanje kao što su pregledi računovodstvenih informacija za menadžment koji su oblikovani da doprinesu načinu na koji subjekt sprječava ili otkriva pogrešna prikazivanja.
11. Uspostavljanje komunikacija s primjerenim pojedincima unutar službe interne revizije subjekta rano u obavljanju angažmana i održavanje takvih komunikacija kroz odvijanje angažmana može olakšati učinkovito dijeljene informacija. To stvara okruženje u kojem revizor može biti informiran o značajnim pitanjima koja može uočiti služba interne revizije kad takva pitanja mogu utjecati na rad revizora. MRevS 200 raspravlja o važnosti toga da revizor planira i obavlja reviziju s profesionalnim skepticizmom,[75](MRevS 200, točka 7) uključivo s time da bude na oprezu spram informacija koje dovode u pitanje pouzdanost dokumenata i odgovora na upite koji će se koristiti kao revizijski dokazi. Sukladno tome, komunikacija sa službom interne revizije za vrijeme angažmana može pružiti mogućnosti internim revizorima da skrenu pozornost revizora na takve informacije. Revizoru to omogućuje da takve informacije uzme u obzir pri identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja.
DODATAK 5
(Vidjeti točke: 25(a), 26(b) – (c), A94, A166 – A172)
Razmatranja za razumijevanje informacijske tehnologije (IT)
Ovaj dodatak sadrži daljnja pitanja koja revizor može razmotriti pri razumijevanju subjektove uporabe IT-a u subjektovu sustavu internih kontrola.
Razumijevanje subjektovog korištenja informacijske tehnologije u komponentama subjektovog sustava internih kontrola
1. Subjektov sustav internih kontrola sadrži ručne elemente i automatizirane elemente (tj. ručne i automatizirane kontrole i druge resurse koji se koriste u subjektovom sustavu internih kontrola). Kombinacija ručnih i automatiziranih kontrola subjekta varira s prirodom i kompleksnošću subjektovog korištenja IT-a. Subjektovo korištenje IT-a utječe na način na koji se obrađuju, pohranjuju i komuniciraju informacije koje su relevantne za pripremanje financijskih izvještaja u skladu s primjenjivim okvirom financijskog izvještavanja te stoga utječe na način na koji je oblikovan i implementiran subjektov sustav internih kontrola. Svaka komponenta subjektovog sustava internih kontrola može koristit neki dio IT-a.
Općenito govoreći IT koristi subjektovom sustavu internih kontrola omogućavanjem subjektu da:
• dosljedno primjenjuje predefinirana poslovna pravila i obavlja složene kalkulacije u obradi velike količine transakcija ili podataka;
• poboljša pravovremenost, dostupnost i točnost informacija;
• olakšava dodatnu analizu informacija;
• poboljša mogućnost monitoringa nad provođenjem subjektovih aktivnosti te njegovih politika i postupaka;
• smanji rizik zaobilaženja kontrola; i
• poboljša sposobnost postizanja učinkovite segregacije dužnosti implementiranjem sigurnosnih kontrola u IT aplikacijama, bazama podataka i operativnim sustavima.
2. Karakteristike ručnih ili automatiziranih elemenata su relevantne za revizorovo identificiranje i procjenu rizika značajnih pogrešnih prikazivanja te na tome osnovanih daljnjih revizijskih postupaka. Automatizirane kontrole mogu biti pouzdanije od ručnih kontrola jer se ne mogu lako zaobići, zanemariti ili prekoračiti te su također manje podložne jednostavnim propustima i pogreškama. Automatizirane kontrole mogu biti učinkovitije od ručnih kontrola u sljedećim okolnostima:
• velika količina ponavljajućih transakcija ili u situacijama u kojima se mogu spriječiti pogreške koje se mogu očekivati ili predvidjeti ili otkriti i ispraviti kroz automatizaciju,
• kontrole kod kojih se specifični načini obavljanja kontrole mogu adekvatno oblikovati i automatizirati.
Razumijevanje subjektovog korištenja informacijske tehnologije u informacijskom sustavu (Vidjeti točku: 25(a))
3. Informacijski sustav subjekta može uključivati upotrebu ručnih i automatiziranih elemenata koji također utječu na način na koji se transakcije iniciraju, evidentiraju, obrađuju i o njima izvještava. Konkretno postupci iniciranja, evidentiranja, obrade i izvještavanja mogu biti provedeni putem IT aplikacija koje koristi subjekt i načina na koji je subjekt konfigurirao te aplikacije. Uz to, zapisi u obliku digitalnih informacija mogu zamijeniti ili dopuniti evidencije u obliku papirnatih dokumenata.
4. Radi stjecanja razumijevanja IT okruženja koje je relevantno za tokove transakcija i obradu informacija u informacijskom sustavu, revizor prikuplja informacije o prirodi i karakteristikama korištenih IT aplikacija kao i o pratećoj IT infrastrukturi i IT-u. Sljedeća tablica uključuje primjere pitanja koja revizor može razmotriti pri stjecanju razumijevanja IT okruženja i uključuje primjere tipičnih karakteristika IT okruženja na osnovi kompleksnosti IT aplikacija koje se koriste u informacijskom sustavu subjekta. Međutim, takve su karakteristike orijentacijske i mogu se razlikovati ovisno o prirodi određenih IT aplikacija koje subjekt koristi.
Primjeri tipičnih karakteristika za: | |||
Nekompleksni komercijalni softver | IT aplikacije ili komercijalni softver srednje veličine i umjerene kompleksnosti | Velike ili kompleksne IT aplikacije (npr. ERP sustavi) | |
Pitanja koja se odnose na opseg automatizacije i uporabe podataka: | |||
• Opseg automatiziranih postupaka za obradu i kompleksnost tih postupaka uključujući pitanje postoji li visoko automatizirana obrada bez papira. | N/P | N/P | Ekstenzivni i često kompleksni automatizirani postupci |
• Opseg subjektovog oslanjanja na izvještaje koje generira sustav pri obradi informacija. | Logika pojedinačnog automatiziranog izvještaja | Logika pojedinačnog relevantnog automatiziranog izvještaja | Kompleksna logika automatiziranog izvještaja; softver za pisanje izvještaja |
• Kako se unose podaci (tj. ručni unos, unos kupca ili dobavljača ili unos datoteke). | Ručni unos podataka | Mali broj podataka za unos ili jednostavna sučelja | Veliki broj podataka za unos ili kompleksna sučelja |
• Kako IT olakšava komunikaciju između aplikacija, baza podataka ili drugih aspekata IT okruženja, interno i eksterno, ovisno što je primjereno, kroz sučelja sustava. | Nema automatiziranih sučelja (samo ručni unos) | Mali broj unosa podataka ili jednostavna sučelja | Veliki broj unosa podataka ili kompleksna sučelja |
• Količina i kompleksnost podataka u digitalnom obliku koje obrađuje informacijski sustav uključujući pitanje jesu li računovodstvene evidencije ili druge informacije spremljene u digitalnom obliku i lokacija spremljenih podataka. | Mala količina podataka ili jednostavni podaci koje je moguće ručno verificirati; podaci su dostupni lokalno | Mala količina podataka ili jednostavni podaci | Velika količina podataka ili kompleksni podaci; skladišta podataka;[76] Korištenje internih ili eksternih pružatelja IT usluga (npr. pohranjivanje ili hosting kod trećih osoba) |
Pitanja koja se odnose na IT aplikacije i IT infrastrukturu: | |||
• vrsta aplikacije (npr. komercijalna aplikacija s malo ili bez prilagodbi ili visoko prilagođena ili visoko ili visoko integrirana aplikacija koja je mogla biti kupljena i prilagođena ili razvijena interno). | Kupljena aplikacija s malo ili bez prilagodbe | Kupljena aplikacija ili jednostavne naslijeđene ili obične ERP aplikacije s malo ili bez prilagodbi | Pojedinačno razvijene aplikacije ili kompleksniji ERP s značajnim prilagodbama |
• Kompleksnost prirode IT aplikacija i osnovne IT infrastrukture. | Malo, jednostavno rješenje za laptop ili klijentov server | Stariji i stabilni glavni okvir (mainframe), mali ili jednostavni server klijenta, softver kao usluga »oblaka« (clouda) | Kompleksni glavni okvir, veliki ili kompleksni klijentov server, infrastruktura okrenuta prema mreži kao »oblak« (cloud) usluga |
• Postoji li treća osoba za hosting ili outsourcing IT-a. | Ako postoji outsourcing, pružatelj je kompetentan, iskusan i dokazan (npr. »oblak« (cloud) pružatelj) | Ako postoji outsourcing, pružatelj je kompetentan, iskusan i dokazan (npr. »oblak« (cloud) pružatelj) | Kompetentan, iskusan, dokazan pružatelj za određene aplikacije a novi ili start-up pružatelj za druge |
• Koristi li subjekt novonastajuće tehnologije koje utječu na njegovo financijskog izvještavanje. | Nema korištenja novih tehnologija | Ograničena uporaba novih tehnologija u nekim aplikacijama | Mješovito korištenje novih tehnologija na raznim platformama |
Pitanja povezana s IT procesima. | |||
• Osoblje koje je uključeno u održavanje IT okruženja (broj i vještine resursa za IT podršku koji upravljaju sigurnošću i promjenama IT okruženja). | Mali broj osoblja s ograničenom IT znanjem za procesiranje ažuriranja dobavljača i upravljanje pristupom | Ograničeni broj osoblja s IT vještinama namijenjeno IT-u | Specijalizirani IT odjeli s uvježbanim osobljem, uključujući vještine programiranja |
• Kompleksnost procesa za upravljanje pravima pristupa. | Jedna osoba s administrativnim pristupom upravlja pravima pristupa | Manji broj osoba s administrativnim pristupom upravlja pravima pristupa | Kompleksni procesi kojima upravlja IT odjel za pristupna prava |
• Kompleksnost sigurnosti nad IT okruženjem, uključivo ranjivost IT aplikacija, baza podataka i drugih aspekata IT okruženja od kibernetičkih rizika osobito ako postoje transakcije preko mreže ili transakcije koje uključuju vanjska sučelja. | Jednostavni pristup na lokaciji bez eksternih elemenata povezanih s internetom | Nekoliko aplikacija baziranih na internetu s primarno jednostavnom sigurnošću na osnovi uloga korisnika | Višestruke platforme sa pristupom preko interneta i kompleksnim modelima sigurnosti |
• Je li bilo promjena programa u odnosu na način na koji se obrađuju informacije i opseg takvih promjena tijekom razdoblja. | Komercijalni softver bez instaliranog izvornog koda | Neke su komercijalne aplikacije bez izvornog koda a druge starije aplikacije s malim brojem ili jednostavnim promjenama; tradicionalni sustav razvojnih ciklusa | Nove promjene ili veliki broj kompleksnih promjena, nekoliko razvojnih ciklusa svake godine. |
• Opseg promjene unutar IT okruženja (npr. novi aspekti IT okruženja ili značajne promjene u IT aplikacijama ili osnovnoj IT infrastrukturi). | Promjene ograničene na aktualizacijsku verziju komercijalnog softvera | Promjene se sastoje od upgrade-a komercijalnog softvera, upgrade-a verzije ERP, ili poboljšanja naslijeđenog softvera | Nove promjene ili veliki broj promjena ili kompleksne promjene, nekoliko razvojnih ciklusa svake godine, velika prilagodba ERP-a |
• Je li obavljena značajna konverzija podataka tijekom razdoblja i, ako jest, priroda i značajnost učinjenih promjena te kako je konverzija provedena. | Aktualizaciju (upgrade) softvera proveo je dobavljač; nije bilo konverzije podataka za aktualizaciju | Manja verzija aktualizacije komercijalnih softver aplikacija s ograničenom konverzijom podataka | Velika verzija aktualizacije, novo izdanje, promjene platforme |
Nove tehnologije
5. Subjekti mogu koristiti nove tehnologije (npr. blockchain, robotiku ili umjetnu inteligenciju) jer takve tehnologije mogu pružati specifične prilike za povećanje operativnih efikasnosti ili poboljšati financijsko izvještavanje. Kad se nove tehnologije koriste u subjektovom informacijskom sustavu koji je relevantan za pripremu financijskih izvještaja, revizor može uključiti takve tehnologije u identifikaciju IT aplikacija i drugih aspekata IT okruženja koji su podložni rizicima koji proizlaze iz uporabe IT-a. Dok se nove tehnologije mogu činiti sofisticiranijima ili kompleksnijima u usporedbi s postojećim tehnologijama, revizorove odgovornosti u odnosu na IT aplikacije i identificirane opće IT kontrole u skladu s točkom 26(b) – (c) ostaju nepromijenjene.
Prilagodljivost
6. Stjecanje razumijevanja subjektovog IT okruženja može se lakše ostvariti kod manje kompleksnog subjekta koji koristi komercijalni softver i kad subjekt nema pristupa izvornom kodu za bilo kakve promjene programa. Takvi subjekti možda nemaju namjenske resurse ali mogu imati osobu kojoj je dodijeljena administratorska uloga u svrhu davanja pristupa zaposlenima ili u svrhu instaliranja ažuriranja IT aplikacija koje pruža dobavljač. Specifična pitanja koja revizor može razmotriti pri razumijevanju prirode komercijalnog računovodstvenog softverskog paketa koji može biti jedinstvena aplikacija koju koristi manje kompleksan subjekt u svojem informacijskom sustavu, mogu uključivati:
• u kojoj mjeri je softver dobro tržišno uspostavljen i ima reputaciju pouzdanosti;
• u kojoj je mjeri moguće subjektu modificirati izvorni kod softvera radi uključivanja dodatnih modula (tj. dodataka – add-ons) osnovnom softveru ili izravno izmijeniti podatke;
• priroda i opseg modifikacija koje su učinjene softveru. Iako subjekt možda ne može modificirati izvorni kod softvera, puno softverskih paketa dopušta konfiguraciju (npr. postavljanje ili mijenjanje izvještajnih parametara). Ovo obično ne uključuje modifikacije izvornog koda, međutim, revizor može razmotriti opseg u kojem subjekt može konfigurirati softver kad razmatra potpunost i točnost informacija koje proizvodi softver a koje se koriste kao revizijski dokaz; i
• opseg do kojega se podacima koji su povezani s pripremom financijskih izvještaja može izravno pristupiti (tj. izravan pristup bazi podataka bez korištenje IT aplikacije) i količina podataka koja se obrađuje. Što je veća količina podataka, to je vjerojatnije da će subjekt možda trebati kontrole koje se odnose na održavanje integriteta podataka, a koje mogu uključivati opće IT kontrole nad neovlaštenim pristupom i promjenama podataka.
7. Kompleksna IT okruženja mogu uključivati visoko prilagođene ili visoko integrirane IT aplikacije i mogu stoga zahtijevati više napora za razumijevanje. Procesi financijskog izvještavanja ili IT aplikacije mogu biti integrirane s drugim IT aplikacijama. Takva integracija može uključivati IT aplikacije koje se koriste u poslovanju subjekta i koje pružaju informacije IT aplikacijama koje su relevantne za tok transakcija i obradu informacija u informacijskom sustavu subjekta. U takvim okolnostima određene IT aplikacije koje se koriste u poslovanju subjekta mogu također biti relevantne za pripremu financijskih izvještaja. Kompleksna IT okruženja također mogu zahtijevati namjenske IT odjele koji imaju strukturirane IT procese podržane od strane osoblja sa vještinama na području razvoja softvera i održavanja IT okruženja. U drugim slučajevima subjekt može koristiti unutarnje ili vanjske pružatelje usluga za upravljanje određenim aspektima njegovog IT okruženja ili IT procesima unutar IT okruženja (npr. hosting koji obavlja treća strana).
Identificiranje IT aplikacija koje su podložne rizicima koji proizlaze iz korištenja IT-a
8. Kroz razumijevanje prirode i kompleksnosti subjektovog IT okruženja uključujući prirodu i opseg kontrola nad obradom informacija, revizor može utvrditi na koje se IT aplikacije subjekt oslanja za točno procesiranje i održavanje integriteta financijskih informacija. Identifikacija IT aplikacija na koje se subjekt oslanja može utjecati na revizorovu odluku o testiranju automatiziranih kontrola unutar takvih IT aplikacija, pretpostavljajući da takve automatizirane kontrole rješavanju identificirane rizike značajnih pogrešnih prikazivanja. Obrnuto, ako se subjekt ne oslanja na IT aplikaciju nije vjerojatno da bi automatizirane kontrole unutar takve IT aplikacije bile primjerene ili dovoljno precizne za svrhe testova operativne učinkovitosti. Automatizirane kontrole koje mogu biti identificirane u skladu s točkom 26(b) mogu uključivati, na primjer, automatizirane kalkulacije ili input, kontrole obrade ili outputa kao što je trostruko podudaranje narudžbenice, otpremnice dobavljača i računa dobavljača. Kad revizor identificira automatizirane kontrole i utvrdi kroz razumijevanje IT okruženja da se subjekt oslanja na IT aplikaciju koja uključuje te automatizirane kontrole može biti vjerojatnije da će revizor identificirati IT aplikaciju kao onu koja je podložna rizicima koji proizlaze iz upotrebe IT-a.
9. Pri razmatranju jesu li IT aplikacije za koje je revizor identificirao automatizirane kontrole podložne rizicima koji proizlaze iz upotrebe IT-a, revizor će vjerojatno razmotriti pitanje može li, i do koje mjere, subjekt imati pristup izvornom kodu koji omogućuje menadžmentu provedbu promjena programa za takve kontrole ili IT aplikacije. Opseg u kojem subjekt provodi promjene programa ili konfiguracije i opseg do kojeg su formalizirani IT procesi nad takvim promjenama mogu također biti relevantna razmatranja. Revizor će također vjerojatno razmotriti rizik neprimjerenog pristupa ili promjene podataka.
10. Izvještaji koje generira sustav koje revizor možda namjerava koristiti kao revizijski dokaz mogu uključivati, na primjer, izvještaj o starosnoj strukturi potraživanja od kupaca ili izvještaj o procjeni zaliha. Za takve izvještaje revizor može pribaviti revizijske dokaze o potpunosti i točnosti izvještaja putem dokaznog testiranja inputa i outputa izvještaja. U drugim slučajevima revizor može planirati testirati operativnu učinkovitost kontrola nad pripremom i održavanjem izvještaja u kojem slučaju je vjerojatno da će IT aplikacija koja proizvodi izvještaj biti podložna rizicima koji proizlaze iz uporabe IT-a. Povrh testiranja potpunosti i točnosti izvještaja revizor može planirati testiranje operativne učinkovitosti općih IT kontrola koje se odnose na rizike povezane s neprimjerenim ili neovlaštenim promjenama programa za izvještavanje ili promjenama podataka u izvještaju.
11. Neke IT aplikacije unutar njih uključuju funkcionalnost pisanja izvještaja dok neki subjekti mogu također koristiti odvojene aplikacije za pisanje izvještaja (tj. pisce izvještaja). U takvim slučajevima, revizor može trebati utvrditi izvor izvještaja koje generira sustav (tj. aplikaciju koja priprema izvještaj i izvora podataka koje izvještaj koristi) radi utvrđivanja IT aplikacija podložnih riziku koji proizlazi iz uporabe IT-a.
12. Izvori podataka korištenih u IT aplikaciji mogu biti baze podataka kojima se, na primjer, može pristupiti samo kroz IT aplikaciju ili od strane IT osoblja koje ima ovlaštenja za upravljanje bazom podataka. U drugim slučajevima, izvor podataka može biti skladište podataka koje može samo za sebe biti smatrano IT aplikacijom koja je podložna rizicima a koji proizlaze iz uporabe IT-a.
13. Revizor može identificirati rizik za koji dokazni postupci sami za sebe nisu dostatni zbog subjektovog korištenja visokoautomatiziranih obrada transakcija bez papira koje mogu uključivati više integriranih IT aplikacija. U takvim okolnostima kontrole koje je identificirao revizor vjerojatno uključuju automatizirane kontrole. Nadalje, subjekt se može osloniti na opće IT kontrole radi održavanja integriteta obrađenih transakcija i drugih informacija koje su korištene u obradi. U takvim slučajevima, IT aplikacije uključene u obradu i pohranjivanju informacija su vjerojatno podložne rizicima koji proizlaze iz uporabe IT-a.
Računalna rješenja krajnjeg korisnika
14. Iako revizijski dokazi mogu također biti u obliku sistemski generiranog outputa koji se koristi u kalkulaciji koju obavlja računalni alat krajnjeg korisnika (npr. tablični softver ili jednostavne baze podataka) takvi alati se obično ne identificiraju kao IT aplikacije u kontekstu točke 26(b). Oblikovanje i implementacija kontrola nad pristupom i promjenama alatima za računanje kod krajnjeg korisnika može biti izazovno i takve kontrole su rijetko jednakovrijedne ili učinkovite kao opće IT kontrole. Revizor može radije razmotriti kombinaciju kontrola obrade informacija uzimajući u obzir svrhu i kompleksnost danog računanja krajnjeg korisnika, kao što su/je:
• kontrole obrade informacija nad inicijacijom i obradom izvornih podataka, uključujući relevantne automatizirane ili kontrole sučelja do točke iz koje su povučeni podaci (tj. skladište podataka);
• kontrole za provjeru da logika funkcionira kao što je namjeravano, na primjer, kontrole koje »dokazuju« povlačenje podataka, kao što je usklađivanje izvještaja s podacima iz kojih je izveden, usporedbom pojedinačnih podataka iz izvještaja s izvornim podacima i obrnuto te kontrole koje provjeravaju formule ili makro programe; ili
• korištenje softverskog alata za validaciju koji sustavno provjerava formule ili makro programe kao što su alati za integritet tablica.
Prilagodljivost opsega
15. Subjektova sposobnost za održavanje integriteta informacija koje su pohranjene i obrađene u informacijskom sustavu može varirati na osnovi kompleksnosti i količine povezanih transakcija i drugih informacija. Što je veća kompleksnost i količina podataka koja podržava signifikantnu klasu transakcija, stanja računa ili objavljivanja, to je manje vjerojatno da će subjekt moći održavati integritet tih informacija samo kroz kontrole obrade informacija (npr. kontrole ulaza i izlaza ili kontrole pregledom). Također postaje manje vjerojatno da će revizor moći pribaviti revizijske dokaze o potpunosti i točnosti takvih informacija samo kroz dokazne postupke kad se takve informacije koriste kao revizijski dokazi. U nekim okolnostima kad su količina i kompleksnost manji, menadžment može imati kontrolu obrade podataka koja je dostatna za verificiranje točnosti i potpunosti podataka (npr. obrađene i fakturirane pojedinačne narudžbe prodaje mogu biti usklađene s pisanim primjerkom koji je izvorno unesen u IT aplikaciju). Kad se subjekt oslanja na opće IT kontrole radi održavanja integriteta određenih informacija koje koriste IT aplikacije, revizor može utvrditi da su IT aplikacije koje održavaju te informacije podložne rizicima uporabe IT-a.
Primjeri karakteristika IT aplikacije koja vjerojatno nije podložna rizicima koji proizlaze iz uporabe IT-a. | Primjeri karakteristika IT aplikacije koja je vjerojatno podložna rizicima koji proizlaze iz uporabe IT-a. |
• Samostalne aplikacije. • Količina podataka (transakcija) nije značajna. • Funkcionalnost aplikacije nije značajna. • Svaka transakcija je podržana izvornom dokumentacijom u papirnatom obliku. | • Aplikacije su povezane. • Količina podataka (transakcija) je značajna. • Funkcionalnost aplikacije je kompleksna jer: – aplikacija automatski pokreće transakcije; i – postoje različiti kompleksni izračuni na kojima su bazirani automatizirani unosi. |
IT aplikacija vjerojatno nije podložna rizicima koji proizlaze iz IT-a jer: • količina podataka nije značajna i stoga se menadžment ne oslanja na opće IT kontrole za obradu ili održavanje podataka. • menadžment se ne oslanja na automatizirane kontrole ili druge automatizirane funkcionalnosti. Revizor nije identificirao kontrole u skladu s točkom 26(a). • iako menadžment koristi sistemski generirane izvještaje u njegovim kontrolama, on se ne oslanja na ove izvještaje. Umjesto toga menadžment usklađuje izvještaje s papirnatom dokumentacijom i verificira izračune u izvještajima. • revizor će izravno testirati informacije proizvedene od strane subjekta koje koristi kao revizijske dokaze. | IT aplikacija je vjerojatno podložna rizicima koji proizlaze iz uporabe IT-a zbog toga što se: • menadžment oslanja na sustav aplikacija za obradu ili održavanje podataka jer je količina podataka značajna; • menadžment oslanja na sustav aplikacija za obavljanje određenih automatiziranih kontrola koje je revizor također identificirao. |
Drugi aspekti IT okruženja koji su podložni rizicima koji proizlaze iz uporabe IT-a
16. Kad revizor identificira IT aplikacije koje su podložne rizicima koji proizlaze iz uporabe IT-a, drugi aspekti IT okruženja su također obično podložni rizicima koji proizlaze iz korištenja IT-a. IT infrastruktura uključuje baze podataka, operativni sustav i mrežu. Baze podataka pohranjuju podatke koje koriste IT aplikacije i mogu se sastojati iz puno međusobno povezanih baza podataka. Podacima u bazama podataka može se pristupiti izravno kroz upravljačke sustave za baze podataka od strane IT-a ili drugog osoblja sa privilegijama za upravljanje bazama podataka. Operativni sustav je odgovoran za upravljanje komunikacijama između hardware-a, IT aplikacija i drugog softvera koji se koristi u mreži. Kao takvima, IT aplikacijama i bazama podataka može se izravno pristupiti kroz operativni sustav. Mreža se u IT infrastrukturi koristi za prijenos podataka i dijeljene informacija, resursa i usluga kroz zajedničku komunikacijsku poveznicu. Mreža također obično uspostavlja sloj logičke sigurnosti (omogućeno kroz operativni sustav) za pristup osnovnim resursima.
17. Kad IT aplikacije identificirane od strane revizora kao podložne rizicima koji proizlaze iz uporabe IT-a obično se identificira baza ili baze podataka koje pohranjuju podatke obrađene pomoću identificirane IT aplikacije. Slično tome, operativni sustav je obično podložan rizicima koji proizlaze iz uporabe IT-a jer je sposobnost funkcioniranja IT aplikacije često ovisna o operativnom sustavu i IT aplikacijama i bazama podataka može se izravno pristupiti iz operativnog sustava. Mreža se može identificirati kad je ona središnja točka pristupa identificiranim IT aplikacijama i povezanim bazama podataka ili kad IT aplikacija komunicira s dobavljačima ili vanjskim stranama preko interneta ili kad revizor identificira mrežne IT aplikacije.
Identificiranje rizika koji proizlaze iz uporabe IT-a i općih IT kontrola
18. Primjeri rizika koji proizlaze iz uporabe IT-a uključuju rizike povezane s neprimjerenim oslanjanjem na IT aplikacije koje netočno obrađuju podatke, obrađuju netočne podatke ili oboje, kao što su:
• neovlašteni pristup podacima koji može rezultirati uništenjem podataka ili nepropisnim promjenama podataka, uključujući evidentiranje neautoriziranih ili nepostojećih transakcija ili netočno evidentiranje transakcija. Posebni rizici mogu nastati gdje više korisnika pristupa zajedničkoj bazi podataka,
• mogućnost da IT osoblje dobije pravo pristupa šire od onoga koje je potrebne za obavljanje dužnosti koje su im dodijeljene te se time prekrše pravila o segregaciji dužnosti,
• neovlaštene promjene podataka u glavnim datotekama,
• neovlaštene promjene IT aplikacija ili drugih aspekata IT okruženja,
• propuštanje provođenja potrebnih promjena u IT aplikacijama i drugim aspektima IT okruženja,
• neprimjerena ručna intervencija,
• potencijalni gubitak podataka ili nemogućnosti pristupa podacima kad je to potrebno.
19. Revizorovo razmatranje neautoriziranog pristupa može uključivati rizike povezane s neautoriziranim pristupom internih ili eksternih strana (što se često naziva rizicima kibernetičke sigurnosti). Takvi rizici ne moraju nužno utjecati na financijsko izvještavanje budući da IT okruženje subjekta može također uključivati IT aplikacije i povezane podatke koji rješavaju operativne potrebe i potrebe za usklađenošću. Važno je napomenuti da se kibernetički incidenti obično najprije pojavljuju kroz slojeve perimetra ili interne mreže a koji se obično zatim uklanjaju iz IT aplikacije, baze podataka i operativnih sustava koji utječu na pripremu financijskih izvještaja. Sukladno tome, ako je identificirana informacija o povredi sigurnosti revizor redovno razmatra opseg do kojeg takva povreda ima potencijal utjecati na financijsko izvještavanje. Ako može utjecati na financijsko izvještavanje, revizor može odlučiti razumjeti i testirati povezane kontrole radi utvrđivanja mogućeg utjecaja ili opsega potencijalnih pogrešnih prikazivanja u financijskim izvještajima ili može utvrditi da je subjekt pružio adekvatne informacije u vezi s takvom povredom sigurnosti.
20. Povrh toga, zakoni i regulative koji mogu imati izravan ili neizravan utjecaj na financijske izvještaje subjekta mogu uključivati propise o zaštiti podatka. Razmatranje usklađenosti subjekta s takvim zakonima i regulativom u skladu s MRevS-om 250 (izmijenjen),[77](MRevS 250 (izmijenjen)) može uključivati razumijevanje subjektovih IT procesa ili općih IT kontrola koje je subjekt implementirao radi usklađivanja s relevantnim zakonima i regulativom.
21. Opće IT kontrole su implementirane radi rješavanja rizika koji proizlaze iz uporabe IT-a. Sukladno tome revizor za utvrđivanje općih IT kontrola koristi stečeno razumijevanje identificiranih IT aplikacija i drugih aspekata IT okruženja i primjenjivih rizika koji proizlaze iz uporabe IT-a. U nekim slučajevima subjekt može koristiti zajedničke IT procese iz njegovog IT okruženja ili iz određenih IT aplikacija, te u tom slučaju mogu biti identificirani zajednički rizici koji proizlaze iz uporabe IT-a i zajedničkih općih IT kontrola.
22. Općenito, vjerojatno će biti identificiran veći broj općih IT kontrola povezanih s IT aplikacijama i bazama podataka nego za ostale aspekte IT okruženja. To je zbog toga što su ovi aspekti najtješnje povezani s obradom i pohranjivanjem informacija u informacijskom sustavu subjekta. Pri identificiranju općih IT kontrola revizor može razmotriti kontrole nad radnjama i krajnjih korisnika i subjektovog IT osoblja ili pružatelja IT usluga.
23. Dodatak 6 sadrži daljnja obrazloženja vrsta općih IT kontrola obično implementiranih za različite aspekte IT okruženja. Osim toga, navedeni su primjeri općih IT kontrola za različite IT procese.
DODATAK 6
(Vidjeti točke: 25(c)(ii), A173 – A174)
Razmatranja za razumijevanje općih IT kontrola
Ovaj dodatak sadrži daljnja pitanja koja revizor može razmotriti u razumijevanju općih IT kontrola
Priroda općih IT kontrola koje su tipično implementirane za svaki od aspekata IT okruženja:
(a) Aplikacije
Opće IT kontrole na sloju IT aplikacija će korelirati s prirodom i opsegom funkcionalnosti aplikacija i pristupnim putovima koje dopušta tehnologija. Na primjer, više kontrola će biti relevantno za visokointegrirane IT aplikacije s kompleksnim sigurnosnim opcijama od naslijeđenih IT aplikacija koje podržavaju mali broj stanja računa s metodama pristupa samo kroz transakcije.
(b) Baza podataka
Opće IT kontrole na sloju baza podataka tipično rješavaju rizike koji proizlaze iz uporabe IT povezane s neovlaštenim ažuriranjima informacija financijskog izvještavanja u bazi podataka kroz izravni pristup bazi podataka ili izvršenjem skripta ili programa.
(c) Operativni sustav
Opće IT kontrole na sloju operativnog sustava tipično rješavaju rizike koji proizlaze iz uporabe IT-a a koja se odnosi na administrativni pristup koji može olakšati prekoračenje drugih kontrola. Ovo uključuje radnje kao što su kompromitiranje identifikacijskih podataka o drugim korisnicima, dodavanje novih, neovlaštenih korisnika, učitavanja malicioznog softvera ili izvršavanje skriptova ili drugih neautoriziranih programa.
(d) Mreža
Opće IT kontrole na sloju mreže tipično rješavaju rizike koji proizlaze iz uporabe IT-a koja se odnosi na segmentaciju mreže, pristup iz daljine i autentifikaciju. Mrežne kontrole mogu biti relevantne kad subjekt ima aplikacije sučeljene s mrežom koje koristi u financijskom izvještavanju. Mrežne kontrole također mogu biti relevantne kad subjekt ima značajne odnose s poslovnim partnerima ili trećim stranama zbog outsourcinga što može povećati prijenose podataka i potrebu za udaljenim pristupom.
1. Primjeri općih IT kontrola koje mogu postojati, organizirani prema IT procesima uključuju:
(a) Proces za upravljanje pristupom:
o Autentifikacija
Kontrole koje osiguravaju da korisnik koji pristupa IT aplikaciji ili drugom aspektu IT okruženja koristi njegove vlastite log-in identifikacijske podatke (tj. da korisnik ne koristi identifikacijske podatke drugog korisnika).
o Autorizacija
Kontrole koje dopuštaju korisnicima pristup informacijama potrebnim za obavljanje njihovog posla i ništa drugo, što olakšava primjerenu segregaciju dužnosti.
o Davanje prava pristupa
Kontrole za autorizaciju novih korisnika i modifikaciju pristupnih privilegija postojećih korisnika.
o Ukidanje prava pristupa
Kontrole za ukidanje korisničkog prava pristupa nakon prestanka zaposlenja ili premještaja.
o Privilegirani pristup
Kontrole nad administrativnim pravima pristupa ili pravima pristupa korisnika s širokim ovlaštenjima pristupa.
o Pregled korisničkih pristupa
Kontrole za recertificiranje ili ocjenjivanje pristupa korisnika za kontinuiranu autorizaciju tijekom vremena.
o Kontrole sigurnosne konfiguracije
Svaka tehnologija općenito ima ključne konfiguracijske postavke koje pomažu ograničiti pristup okruženju.
o Fizički pristup
Kontrole nad fizičkim pristupom podatkovnom centru i hardveru budući da takav pristup može biti korišten za prekoračenje drugih kontrola.
(b) Proces za upravljanje promjenama programa ili drugim promjenama IT okruženja:
o Proces upravljanja promjenama
Kontrole nad procesom oblikovanja, programiranja, testiranja i migracije promjena u proizvodno okruženje (tj. krajnjem korisniku).
o Segregacija dužnosti za migraciju promjena
Kontrole koje segregiraju pristup radi izrade promjena i njihove migracije u proizvodno okruženje.
o Razvoj, akvizicija i implementacija sustava
Kontrole nad početnim razvojem IT aplikacija ili njihovom implementacijom (ili u odnosu na druge aspekta IT okruženja).
o Konverzija podataka
Kontrole nad konverzijom podataka za vrijeme razvoja, implementacije ili ažuriranja IT okruženja.
(c) Proces za upravljanje IT operacijama
o Planiranje posla
Kontrole nad pristupom planiranju i iniciranju poslova ili programa koji mogu utjecati na financijsko izvještavanje.
o Monitoring posla
Kontrole za monitoring poslova ili programa financijskog izvještavanja u svrhu uspješnog izvršenja.
o Sigurnosne kopije i oporavci
Kontrole koje osiguravaju izradu sigurnosnih kopija podataka za financijsko izvještavanje te da su takvi podaci dostupni i može im se pristupiti u svrhu pravovremenog oporavka u slučaju prekida rada ili napada.
o Otkrivanje neovlaštenih ulaza
Kontrole za monitoring ranjivosti i/ili neovlaštenih ulaza u IT okruženje.
Donja tablica ilustrira primjere općih IT kontrola koje rješavaju primjere rizika koji proizlaze iz uporabe IT-a uključujući one za različite IT aplikacije na osnovi njihove prirode.
Proces | Rizici | Kontrole | IT aplikacije | ||
IT Proces1 | Primjer rizika koji proizlaze iz korištenja IT-a | Primjer općih IT kontrola | Nekompleksni komercijalni softver – primjenjivo (da / ne) | Srednji i umjereno kompleksni komercijalni softver ili IT aplikacije – primjenjivo (da / ne) | Velike ili kompleksne IT aplikacije (npr. ERP sustavi) – primjenjivo (da / ne) |
Upravljati pristupom | Privilegije korisničkog pristupa: Korisnici imaju pristupne privilegije izvan onih koje su potrebne za obavljanje dodijeljenih dužnosti što može stvoriti nepravilnu segregaciju dužnosti. | Menadžment odobrava vrstu i opseg korisničkih privilegija pristupa za nove i modificirane korisničke pristupe, uključujući standardne aplikacijske profile/uloge, kritične transakcije financijskog izvještavanja i segregaciju dužnosti | Da – umjesto pregleda korisničkih pristupa kako je dolje navedeno | Da | Da |
Pristup korisnika koji više nisu zaposleni ili su premješteni je pravovremeno ukinut ili modificiran | Da – umjesto dolje navedenih pregleda pristupa korisnika | Da | Da | ||
Pristup korisnika se periodično pregledava | Da – umjesto gore navedenih kontrola davanja/ukidanja prava | Da – za određene aplikacije | Da | ||
Segregacija dužnosti se nadzire i konfliktni pristupi se ili ukidaju ili povezuju s rješavajućim kontrolama koje su dokumentirane i testirane | N/P – nema sistemski omogućene segregacije | Da – za određene aplikacije | Da | ||
Pristup privilegirane razine (npr. administratori za konfiguraciju, podatke i sigurnost) je autoriziran i primjereno ograničen | Da – vjerojatno samo na sloju IT aplikacije | Da – na sloju IT aplikacije i određenim slojevima IT okruženja za platformu | Da – na svim slojevima IT okruženja za platformu | ||
Upravljati pristupom | Izravan pristup podacima; neprimjerene promjene se provode izravno u financijskim podacima kroz sredstva koja su različita od transakcija aplikacije. | Pristup datotekama aplikacije ili objektima baze podataka/tablicama/podacima je ograničen na autorizirano osoblje, na osnovi njihovih radnih odgovornosti i dodijeljene uloge i takav pristup je odobren od strane menadžmenta | N/P | Da – za određene aplikacije i baze podataka | Da |
Upravljati pristupom | Sistemske postavke: sistemi nisu adekvatno konfigurirani ili ažurirani radi ograničavanja pristupa pravilno autoriziranim i primjerenim korisnicima. | Pristup je autentificiran kroz jedinstvene korisničke identifikatore i lozinke ili druge metode kao mehanizam za validiranje da su korisnici autorizirani za dobivanje pristupa sustavu. Parametri lozinke udovoljavaju standardima kompanije ili industrije (npr. minimalna dužina lozinke i kompleksnost, trajanje, zaključavanje računa) | Da – samo autentifikacija lozinke | Da – kombinacija lozinke i više faktora autentifikacije | Da |
Ključna obilježja sigurnosne konfiguracije su primjereno implementirana | N/P – ne postoje tehničke sigurnosne konfiguracije | Da – za određene aplikacije i baze podataka | Da | ||
Upravljati promjenom | Promjene aplikacije: neprimjerne promjene su učinjene u sustavu aplikacija ili programima koji sadrže relevantne automatizirane kontrole (tj. postavke koje se mogu konfigurirati, automatizirani algoritmi, automatizirane kalkulacije i automatizirana povlačenja podataka) ili u logici izvještaja. | Promjene u aplikacijama su primjereno testirane i odobrene prije nego su stavljene u produkcijsko okruženje | N/P – verifikacija da izvorni kod nije instaliran | Da – za nekomercijalni softver | Da |
Pristup za implementaciju promjena u produkcijsko okruženje je primjereno ograničen i segregiran od razvojnog okruženja | N/P | Da – za nekomercijalni softver | Da | ||
Upravljati promjenom | Promjene u bazama podataka: neprimjerene promjene su učinjene u strukturi baze podataka i odnosima između podataka. | Promjene u bazama podataka su primjereno testirane i odobrene prije stavljanja u produkcijsko okruženje | N/P – promjene u bazama podataka se ne provode kod subjekta | Da – za nekomercijalni softver | Da |
Upravljati promjenom | Promjene u sustavnom softveru: neprimjerene promjene su učinjene u sistemskom softveru (npr. (operativni sustav, mreža, softvare za upravljanje promjenama, softvare za kontrolu pristupa). | Promjene u sustavnom softveru su primjereno testirane i odobrene prije stavljanja u produkciju | N/P – nikakve promjene sistemskog softvera se ne provode kod subjekta | Da | Da |
Upravljati promjenom | Konverzija podataka: podaci konvertirani iz naslijeđenih sustava ili ranijih verzija dovode do pogrešaka u podacima ako konverzija prenosi nepotpune, redundantne, zastarjele ili netočne podatke. | Menadžment odobrava rezultate konverzije podataka (npr. aktivnosti uravnoteženja i usklađenosti) iz starog aplikacijskog sustava ili strukture podataka u novi aplikacijski sustav ili strukturu podataka i nadzire je li konverzija obavljena u skladu s uspostavljenim politikama i postupcima konverzije | N/P – rješavaju se kroz ručne kontrole | Da | Da |
IT operacije | Mreža: mreža ne sprječava adekvatno da neautorizirani korisnici dobiju neprimjeren pristup informacijskim sustavima. | Pristup je autentificiran kroz jedinstvene identifikatore korisnika i lozinke ili druge metode kao mehanizam za validaciju da su korisnici autorizirani za dobivanje pristupa sustavu. Parametri lozinke udovoljavaju kompanijskim ili profesionalnim politikama ili standardima (npr. minimalna dužina lozinke, kompleksnost, trajanje i zaključavanje računa) | N/P – nema zasebnih metoda za autentifikaciju mreža | Da | Da |
Mreža je izrađena tako da odijeli aplikacije povezane s internetom od interne mreže gdje se pristupa relevantnim aplikacijama za internu kontrolu nad financijskim izvještavanjem | N/P – nema segmentacije mreže | Da – s prosudbom | Da – s prosudbom | ||
Periodično se obavljaju skeniranja ranjivosti perimetra mreže od strane tima za upravljanje mrežom koji također istražuje potencijalne ranjivosti | N/P | Da – s prosudbom | Da – s prosudbom | ||
Periodično se generiraju upozorenja radi pružanja obavijesti o prijetnjama koje su identificirali sustavi za otkrivanje neovlaštenih ulaza. Ove prijetnje istražuje tim za upravljanje mrežom. | N/P | Da – s prosudbom | Da – s prosudbom | ||
Implementiraju se kontrole radi ograničavanja Virtual Private Network (VPN) pristupa na autorizirane i primjerene korisnike. | N/P – nema VPN | Da – s prosudbom | Da – s prosudbom | ||
IT operacije | Kopije podataka i oporavak: financijski podaci ne mogu biti oporavljeni i ne može im se pristupiti pravovremeno kad postoji gubitak podataka. | Financijski podaci se redovno kopiraju prema utvrđenom planu i učestalosti. | N/P – oslanjanje na ručne sigurnosne kopije financijskog tima | Da | Da |
IT operacije | Planiranje poslova: produkcijski sustavi, program ili poslovni rezultiraju u netočnoj, nepotpunoj ili neautoriziranoj obradi podataka. | Samo autorizirani korisnici imaju pristup radi ažuriranja batch poslova (uključujući interface poslove) u softveru za planiranje poslova | N/P – nema batch poslova | Da – za određene aplikacije | Da |
Kritični sustavi, programi ili poslovi su nadzirani i pogreške u obradi su ispravljene radi osiguravanja uspješnog dovršenja posla. | N/P – nema monitoringa poslova | Da – za određene aplikacije | Da |
USKLAĐUJUĆE I POSLJEDIČNE IZMJENE I DOPUNE DRUGIH MEĐUNARODNIH REVIZIJSKIH STANDARDA
Napomena: U nastavku su usklađujuće izmjene i dopune drugih međunarodnih standarda koje su posljedica odobrenja MRevS-a 315 (izmijenjen 2019.). Ove izmjene i dopune stupit će na snagu istovremeno s MRevS-om 315 (izmijenjen 2019.), i prikazane su označenim promjenama u odnosu na zadnje odobrene verzije međunarodnih standarda koji se mijenjaju ili dopunjuju. Brojevi fusnota u ovim izmjenama i dopunama nisu usklađeni s međunarodnih standardima na koje se odnose izmjene i dopune i potrebno ih je referencirati na te međunarodne standarde. Ove usklađujuće izmjene i dopune odobrene su od strane PIOB-a koji je zaključio da su usklađujuće izmjene i dopune pripremane u skladu s propisanim postupkom te da je primjerena pozornost bila posvećena javnom interesu.
MRevS 200 – Opći ciljevi neovisnog revizora i obavljanje revizije u skladu s Međunarodnim revizijskim standardima (»Narodne novine«, br. 71/09)
Djelokrug ovog MRevS-a
Revizija financijskih izvještaja
7. MRevS-ovi sadrže ciljeve, zahtjeve i materijale za primjenu i ostale materijale s objašnjenima koji su oblikovani da pomognu revizoru stvoriti razumno uvjerenje. MRevS-ovi zahtijevaju da revizor koristi profesionalnu prosudbu i očuva profesionalni skepticizam tijekom planiranja i obavljanja revizije te da, između ostalog:
• identificira i procijeni rizike značajnih pogrešnih prikazivanja, bilo zbog prijevare ili zbog pogreške, temeljeno na razumijevanju subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola;
• pribavi dostatne i primjerene revizijske dokaze o tome postoje li značajno pogrešna prikazivanja, pomoću oblikovanja i implementiranja odgovarajućih reakcija na procijenjene rizike;
• formira mišljenje o financijskim izvještajima temeljeno na zaključcima izvedenim iz dobivenih revizijskih dokaza.
Datum stupanja na snagu
…
Opći ciljevi revizora
…
Definicije
13. Za svrhe MRevS-ova, sljedeći pojmovi imaju značenja koja su im dodijeljena kako slijedi:
(n) Rizik značajnih pogrešnih prikazivanja – rizik da su financijski izvještaji značajno pogrešno prikazani prije revizije. On ima dvije komponente, kako je niže opisano, za razinu tvrdnje: (Vidjeti točku: A15.a)
(i) inherentni rizik – podložnost neke tvrdnje, za klasu transakcija, stanje računa ili objavu, pogrešnom prikazivanju koje može biti značajno pojedinačno ili zajedno s ostalim pogrešnim prikazivanjima, prije razmatranja bilo kakvih povezanih kontrola.
(ii) kontrolni rizik – rizik da djelovanjem kontrola subjekta neće biti spriječeno, ili pravodobno otkriveno i ispravljeno, pogrešno prikazivanje koje može nastati za neku tvrdnju, za klasu transakcija, stanje računa ili objavu, i koje može biti značajno, pojedinačno ili zajedno s ostalim pogrešnim prikazivanjima.
Zahtjevi
Etički zahtjevi u vezi s revizijom financijskih izvještaja
Profesionalni skepticizam
…
Profesionalna prosudba
…
Dostatni i primjereni revizijski dokazi i revizijski rizik
17. Kako bi stekao razumno uvjerenje, revizor će pribaviti dostatne i primjerene revizijske dokaze kako bi smanjio revizijski rizik na prihvatljivo nisku razinu i time omogućio da revizor stvori razumne zaključke na kojima treba temeljiti revizorovo mišljenje. (Vidjeti točke A30.- A54.)
Obavljanje revizije u skladu s MRevS-ovima
Sukladnost s MRevS-ovima relevantnim za reviziju
…
19. Revizor će steći razumijevanje cijelog teksta MRevS-a, uključujući njegov materijal za primjenu i ostale materijale s objašnjenjima, kako bi razumio njegove ciljeve i ispravno primijenio njegove zahtjeve. (Vidjeti točke: A60. – A68.)
…
Ciljevi navedeni u pojedinačnim MRevS-ovima
…
Sukladnost s relevantnim zahtjevima
…
Propust postizanja cilja
…
Materijal za primjenu i ostali materijali s objašnjenjima
Revizija financijskih izvještaja
Djelokrug revizije (Vidjeti točku: 3.)
…
Sastavljanje financijskih izvještaja (Vidjeti točku: 4.)
…
Posebna razmatranja za revizije javnog sektora
…
Oblik revizorova mišljenja (Vidjeti točku: 8.)
…
Definicije
Financijski izvještaji (Vidjeti točku: 13.(f))
…
Rizik značajnih pogrešnih prikazivanja (Vidjeti točku: 13.(n))
A15a. Za svrhe MRevS-ova, rizik značajnih pogrešnih prikazivanja postoji onda ako postoji razumna mogućnost:
(a) nastanka pogrešnog prikazivanja (tj. njegova vjerojatnost); i
(b) da pogrešno prikazivanje bude značajno, ako bi nastalo (tj. njegova veličina).
Etički zahtjevi u vezi s revizijom financijskih izvještaja (Vidjeti točku: 14.)
…
Profesionalni skepticizam (Vidjeti točku: 15.)
…
Profesionalna prosudba (Vidjeti točku: 16.)
…
Dostatni i primjereni revizijski dokazi i revizijski rizik (Vidjeti točke: 5. i 17.)
Dostatnost i primjerenost revizijskih dokaza
A30. Revizijski dokaz nužan je za potkrjepljivanje revizorova mišljenja i izvješća. On je kumulativne prirode i prvenstveno se dobiva revizijskim postupcima obavljenim tijekom odvijanja revizije. On može, međutim, također uključiti informacije dobivene iz drugih izvora, kao što su revizije u prethodnim godinama (pod uvjetom da je revizor utvrdio jesu li nastale promjene od vremena kad su obavljane te revizije koje mogu utjecati na njihovu relevantnost u tekućoj reviziji[78](MRevS 315 (izmijenjen 2019.), Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja, točka 16)) ili iz tvrtkinih postupaka kontrole kvalitete za prihvaćanje i zadržavanje klijenta. Osim drugih izvora unutar i izvan poslovnog subjekta, subjektove računovodstvene evidencije važan su izvor revizijskih dokaza. Također, informacije koje se mogu koristiti kao revizijski dokaz mogu biti one koje pripremi ekspert zaposlen u tvrtki ili kojeg je angažirala tvrtka. Revizijski dokaz obuhvaća, kako informacije koje potkrjepljuju i potvrđuju menadžmentove tvrdnje, tako i svaku informaciju koja proturječi takvim tvrdnjama. Osim toga, u nekim slučajevima, revizor koristi činjenicu nepostojanja informacije (primjerice, menadžmentovo odbijanje davanja tražene izjave) i stoga to također tvori revizijski dokaz. Najveći dio revizorova posla u formiranju revizorova mišljenja sastoji se u dobivanju i ocjenjivanju revizijskih dokaza.
…
Revizijski rizik
…
Rizici značajnih pogrešnih prikazivanja
…
A40. Na inherentni rizik utječu čimbenici inherentnog rizika. Ovisno o stupnju u kojem čimbenici inherentnog rizika utječu na podložnost tvrdnje pogrešnom prikazivanju, razina inherentnog rizika varira u rasponu koji se naziva spektar inherentnog rizika. Revizor utvrđuje signifikantne klase transakcija, stanja računa i objavljivanja te njihove relevantne tvrdnje kao dio procesa identificiranja i procjenjivanja rizika značajnih pogrešnih prikazivanja. Primjerice, stanja računa koja se sastoje od iznosa izvedenih računovodstvenim procjenama koje su podložne značajnoj neizvjesnosti procjene mogu biti identificirana kao signifikantna stanja računa i revizorova procjena inherentnog rizika za povezane rizike na razini tvrdnje može biti viša zbog visoke neizvjesnosti procjene.
A40a. Vanjske okolnosti koje stvaraju poslovne rizike također mogu utjecati na inherentni rizik. Naprimjer, tehnološki razvoj može učiniti neke proizvode zastarjelima i na taj način uzrokovati podložnost zaliha precjenjivanju. Na inherentni rizik koji se odnosi na određenu tvrdnju mogu utjecati čimbenici u subjektu ili njegovu okruženju koji se odnose na nekoliko ili pak sve vrste transakcija, stanja računa ili objava. Takvi čimbenici mogu uključivati, primjerice, nedostatak dovoljnog obrtnog kapitala za nastavak poslovanja ili propadanje djelatnosti koju karakteriziraju brojni poslovni neuspjesi.
A41. Kontrolni rizik je funkcija učinkovitosti menadžmentovog oblikovanja, implementacije i održavanja kontrola usmjerenih na uočene rizike koji ugrožavaju postizanje subjektovih ciljeva relevantnih za sastavljanje subjektovih financijskih izvještaja. Međutim, interne kontrole, neovisno o tome koliko su dobro oblikovane i koliko dobro djeluju, mogu samo smanjiti, ali ne i eliminirati rizike značajnih pogrešnih prikazivanja u financijskim izvještajima, jer uvijek postoje inherentna ograničenja kontrola. To, primjerice, uključuje mogućnost ljudskih pogrešaka ili zabuna, ili zaobilaženje kontrola tajnim sporazumom ili neprimjerenim postupcima menadžmenta. U skladu s time, uvijek će postojati neki kontrolni rizik. MRevS-ovi utvrđuju uvjete pod kojima se od revizora zahtijeva, ili revizor može odabrati, da testira učinkovitost djelovanja kontrola pri određivanju vrste, vremenskog rasporeda i obujma dokaznih postupaka koje treba obaviti.[79](MRevS 330, Revizorove reakcije na procijenjene rizike, točke 7 – 17)
A42.[80](Napomena: točka A42. MRevS-a 200 je označena u odnosu na ažuriranu točku koja je navedena zasebno kao usklađujuća izmjena koja se odnosi na MRevS 540 (izmijenjen) i njegove usklađujuće izmjene i dopune.)
A43a. Rizik značajnih pogrešnih prikazivanja procjenjuje se na razini tvrdnje s ciljem da se odredi vrsta, vremenski raspored i opseg daljnjih revizijskih postupaka koji su potrebni za pribavljanje dostatnih i primjerenih revizijskih dokaza.[82](MRevS 330, točka 6) Rizik neotkrivanja … Inherentna ograničenja revizije … Sadržaj financijskih izvještaja … Sadržaj revizijskih postupaka … Pravodobnost financijskog izvještavanja i ravnoteža između koristi i troška … A52. U kontekstu pristupa opisanih u točki A51., MRevS-ovi sadrže zahtjeve za planiranje i obavljanje revizije te zahtijevaju da revizor, između ostalog: • ima osnovicu za prepoznavanje i procjenu rizika značajnih pogrešnih prikazivanja na razinama financijskih izvještaja i tvrdnji kroz obavljanje postupaka procjene rizika i povezanih aktivnosti;[83](MRevS 315 (izmijenjen 2019.), točke 17-22) i • koristi testiranja i ostale načine ispitivanja populacija na način koji revizoru osigurava razumnu osnovicu za stvaranje zaključaka o populaciji.[84](MRevS 330; MRevS 500; MRevS 520, Analitički postupci; MRevS 530, Revizijsko uzorkovanje) Ostala pitanja koja utječu na inherentna ograničenja revizije … Obavljanje revizije u skladu s MRevS-ovima Sadržaj MRevS-ova (Vidjeti točku: 18.) … Posebna razmatranja za revizije u javnom sektoru … Sadržaj MRevS-ova (Vidjeti točku: 19.) A60. Osim ciljeva i zahtjeva (zahtjevi su izraženi u MRevS-ovima korištenjem riječi »će« (ili drugim izrazom koji nameće obvezu (op. prev.)), MRevS-ovi sadrže s njima povezane upute u obliku materijala za primjenu i ostalih materijala s objašnjenjima. Oni također mogu sadržati i uvodne materijale koji osiguravaju kontekst važan za ispravno shvaćanje MRevS-a, kao i definicije. Stoga je cjelokupni tekst MRevS-a relevantan za razumijevanje ciljeva navedenih u MRevS-u te za ispravnu primjenu zahtjeva MRevS-a. A61. Gdje je nužno, materijal za primjenu i ostali materijali s objašnjenjima daju dodatna objašnjenja zahtjeva MRevS-a i upute za njegovo ispunjavanje. On može: • podrobnije objasniti što znači zahtjev ili što se njime namjerava postići, uključujući u nekim MRevS-ovima kao što je to MRevS 315 (izmijenjen 2019.) objašnjenje zašto se takav postupak zahtijeva; • sadržavati primjere postupaka koji mogu biti primjereni u danim okolnostima. U nekim MRevS-ovima kao što je to MRevS 315 (izmijenjen 2019.) primjeri su prikazani u okvirima. Iako takve upute same po sebi ne nameću zahtjeve, relevantne su za ispravnu primjenu zahtjeva MRevS-a. Materijal za primjenu i ostali materijali s objašnjenjima također mogu pružiti ishodišne informacije o pitanju koje se uređuje MRevS-om Razmatranja o prilagodljivosti A65a. Razmatranja o prilagodljivosti veličini uključena su u nekim MRevS-ovima (npr. MRevS 315 (izmijenjen 2019.)) i ilustriraju primjenu zahtjeva na sve subjekte bez obzira jesu li po svojoj vrsti ili okolnostima manje kompleksni ili više kompleksni. Subjekti koji su manje kompleksni su oni subjekti na koje se mogu primijeniti karakteristike u točki A66. A65b. »Razmatranja koja su specifična za manje subjekte« i koja su uključena u neke MRevS-ove pripremljena su primarno imajući na umu neuvrštene subjekte. Neka od tih razmatranja, međutim, mogu biti korisna za reviziju kod manjih uvrštenih subjekata. A66. Za svrhe određenih dodatnih razmatranja za revizije manjih subjekata, pojam »manji subjekt« odnosi se na subjekt koji uobičajeno ima kvalitativne karakteristike kao što su: (a) koncentracija vlasništva i rukovođenja u malom broju osoba (često u pojedincu – fizičkoj osobi ili drugoj pravnoj osobi koja u vlasništvu ima subjekt pod uvjetom da vlasnik ima relevantne kvalitativne karakteristike); i (b) jedno ili više od sljedećeg: (i) jednostavne ili nekomplicirane transakcije; (ii) jednostavno knjigovodstvo; (iii) malobrojne djelatnosti i nekoliko proizvoda unutar djelatnosti; (iv) jednostavni sustavi internih kontrola; (v) malo razina rukovođenja s odgovornostima za širok raspon kontrola; ili (vi) malobrojno osoblje sa širokim rasponom dužnosti. Ovo nisu sve kvalitativne karakteristike, niti su svojstvene samo manjim subjektima i manji subjekti ne moraju nužno imati sve navedene karakteristike. A67. [Pomaknut – sada: A65.b] Razmatranja koja su specifična za automatizirane alate i tehnike A67a. Razmatranja koja su specifična za »automatizirane alate i tehnike« i koja su uključena u neke MRevS-ove (npr. MRevS 315 (izmijenjen 2019.)) pripremljena su kao objašnjenje načina na koji revizor može primijeniti određene zahtjeve ako koristi automatizirane alate i tehnike u obavljanju revizijskih postupaka. Ciljevi navedeni u pojedinačnim MRevS-ovima (Vidjeti točku: 21.) … Korištenje ciljeva za određivanje potrebe dodatnih revizijskih postupaka (Vidjeti točku: 21.(a)) … Korištenje ciljeva za ocjenjivanje jesu li dobiveni dostatni i primjereni revizijski dokazi (Vidjeti točku: 21.(b)) … Sukladnost s relevantnim zahtjevima Relevantni zahtjevi (Vidjeti točku: 22.) … Odstupanje od zahtjeva (Vidjeti točku: 23.) … Propust postizanja cilja (Vidjeti točku: 24.)… MRevS 210 – Dogovaranje uvjeta revizijskih angažmana (»Narodne novine«, br. 71/09) Materijal za primjenu i ostali materijali s objašnjenjima … Preduvjeti za reviziju … Sporazum o odgovornostima menadžmenta … Interne kontrole … A18. Menadžment treba odrediti koje su interne kontrole nužne za omogućavanje sastavljanja financijskih izvještaja. Naziv »interne kontrole« obuhvaća široki raspon aktivnosti unutar komponenti sustava internih kontrola koje se opisuju kao kontrolno okruženje – subjektov postupak procjene rizika, subjektov proces monitoringa sustava internih kontrola, informacijski sustav i komuniciranje te kontrolne aktivnosti. Takva podjela, međutim, ne odražava nužno kako određeni subjekt može oblikovati, uvoditi i održavati svoje interne kontrole, ili kako on može klasificirati bilo koju određenu komponentu[85](MRevS 315 (izmijenjen 2019.), točka A91 i Dodatak 3). Subjektove interne kontrole (osobito, njegove računovodstvene knjige i evidencije ili računovodstveni sustavi) odražavat će potrebe menadžmenta, složenost poslovanja, vrste rizika kojima je izložen subjekt i relevantne zakone ili regulativu. MRevS 230 – Revizijska dokumentacija (»Narodne novine«, br. 71/09) Materijal za primjenu i ostali materijali s objašnjenjima … Dokumentacija o obavljenim revizijskim postupcima i dobivenim revizijskim dokazima … Identifikacija testiranih određenih stavki ili pitanja i sastavljača i pregledavatelja (Vidjeti točku: 9.) … Posebna razmatranja za male subjekte (Vidjeti točku: 8.) … A17. Kad priprema revizijsku dokumentaciju, revizor manjeg subjekta može također ustanoviti da je od pomoći i djelotvorno zabilježiti različite aspekte revizije zajedno u jedan dokument, uz odgovarajuće povezivanje na potkrjepljujuće radne papire. Primjeri pitanja koja mogu biti dokumentirana zajedno u reviziji manjih subjekta uključuju razumijevanje subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola, opću strategiju revizije i plan revizije, značajnost utvrđenu u skladu s MRevS-om 320[86](MRevS 320, Značajnost u planiranju i obavljanju revizije), procijenjene rizike, značajna pitanja uočena tijekom revizije i stvorene zaključke. … MRevS 250 (izmijenjen) – Razmatranje zakona i regulative u reviziji financijskih izvještaja (»Narodne novine«, br. 3/19) Primjena i ostali materijali s objašnjenjima … Revizijski postupci kad je otkrivena nesukladnost ili se sumnja da ona postoji … Ocjenjivanje posljedica otkrivene nesukladnosti ili sumnje da ona postoji (Vidjeti točku: 22) A23. Kao što zahtijeva točka 22, revizor ocjenjuje posljedice otkrivene nesukladnosti ili sumnje da ona postoji u odnosu na druga područja revizije, uključujući revizorovu procjenu rizika i pouzdanost pisanih izjava. Posljedice određene otkrivene nesukladnosti ili sumnje da ona postoji ovisit će o odnosu između izvršenja i prikrivanja, ako ga je bilo, na određene kontrole, kao i o razini uključenog menadžmenta ili pojedinaca koji rade za ili pod vodstvom subjekta, a osobito posljedica koje nastaju uključenošću onih s najvišom razinom ovlasti u subjektu. Kao što je navedeno u točki 9. revizorova sukladnost sa zakonom, regulativom ili relevantnim zahtjevima etike može osigurati daljnje informacije koje su relevantne za revizorove odgovornosti u skladu s točkom 22. … MRevS 260 (izmijenjen) – Komuniciranje s onima koji su zaduženi za upravljanje (»Narodne novine«, br. 107/16) Materijal za primjenu i ostali materijali s objašnjenjima … Pitanja o kojima treba komunicirati … Planirani opseg i vremenski raspored revizije (Vidjeti točku: 15) … A12. Komuniciranje o značajnim rizicima koje je uočio revizor pomaže onima koji su zaduženi za upravljanje da razumiju ta pitanja i zašto su ona određena kao značajni rizici. Komuniciranje o značajnim rizicima može pomoći onima koji su zaduženi za upravljanje u ispunjavanju njihove odgovornosti da nadziru proces financijskog izvještavanja. A13. Pitanja koja se komuniciraju mogu uključiti: • kako revizor planira baviti se sa značajnim rizicima pogrešnih prikazivanja uslijed prijevare ili pogreške. • kako revizor planira baviti se s područjima za koja je procijenjen viši rizik značajnih pogrešnih prikazivanja. • revizorov pristup subjektovom sustavu internih kontrola. • primjenu koncepta značajnosti u kontekstu revizije. • … DODATAK 2 (Vidjeti točke: 16(a), A19 – A20) Kvalitativni aspekti računovodstvenih praksa Komuniciranje zahtijevano točkom 16(a) i raspravljeno u točkama A19 – A20, može uključiti pitanja kao što su: … Računovodstvene procjene • Za stavke za koje su važne procjene, problematika raspravljena u MRevS-u 5401, uključuje, na primjer: o kako menadžment prepoznaje one transakcije, događaje ili uvjete koji mogu uzrokovati potrebu da računovodstvene procjene budu priznate ili objavljene u financijskim izvještajima; … MRevS 265 – Priopćavanje nedostataka u internim kontrolama onima koji su zaduženi za upravljanje (»Narodne novine«, br. 71/09) Uvod Djelokrug ovog MRevS-a 1. Ovaj Međunarodni revizijski standard (MRevS) bavi se revizorovom odgovornošću da primjereno priopći, onima koji su zaduženi za upravljanje i menadžmentu, nedostatke u internim kontrolama koje je revizor otkrio u reviziji financijskih izvještaja. Ovaj MRevS ne nameće dodatne odgovornosti revizoru u vezi sa stjecanjem razumijevanja subjektovog sustava internih kontrola i oblikovanjem i obavljanjem testova kontrola iznad zahtjeva MRevS-a 315 (izmijenjen 2019.) i MRevS-a 330. MRevS 260 (izmijenjen) ustanovljuje daljnje zahtjeve i pruža upute u vezi s revizorovom odgovornošću da povezano s revizijom komunicira s onima koji su zaduženi za upravljanje. 2. Od revizora se zahtijeva da stekne razumijevanje subjektovog sustava internih kontrola kad raspoznaje i procjenjuje rizike značajnih pogrešnih prikazivanja4. Pri stvaranju procjena rizika, revizor razmatra subjektov sustav internih kontrola kako bi oblikovao revizijske postupke koji su primjereni u danim okolnostima, ali ne i za svrhu izražavanja mišljenja o učinkovitosti internih kontrola. Revizor može uočiti nedostatke kontrole u internim kontrolama, ne samo tijekom tog postupka procjene rizika, nego i u bilo kojoj etapi revizije. Ovaj MRevS određuje za koje se utvrđene nedostatke zahtijeva da ih revizor priopći onima koji su zaduženi za upravljanje i menadžmentu. … Materijal za primjenu i ostali materijali s objašnjenjima Utvrđivanje je li otkriven nedostatak u internim kontrolama (Vidjeti točku: 7) … Posebna razmatranja za manje poslovne subjekte A3. Iako je koncept na kojem se zasnivaju kontrole u komponenti kontrolnih aktivnosti u manjim poslovnim subjektima vjerojatno sličan onome kod većih poslovnih subjekata, formalnost s kojom se one izvode su različite. Nadalje, kod manjih poslovnih subjekata može se ustanoviti da određene vrste kontrola nisu nužne zbog kontrola koje primjenjuje menadžment. Primjerice, menadžmentovo osobno odobravanje davanja kredita kupcima i odobravanje važnih kupovina može osigurati djelotvornu kontrolu nad važnim stanjima računa i transakcijama, umanjujući ili otklanjajući potrebu za detaljnijim kontrolama. … Važni nedostaci u internim kontrolama (Vidjeti točke: 6(b), 8) A8. Kontrole mogu biti oblikovane da djeluju pojedinačno ili u kombinaciji kako bi uspješno spriječile, ili otkrile i ispravile, pogrešna prikazivanja. Primjerice, kontrole nad računima potraživanja mogu se sastojati od ručnih i automatiziranih kontrola oblikovanih tako da djeluju zajedno kako bi spriječile, ili otkrile i ispravile, pogrešna prikazivanja stanja računa. Nedostatak u internim kontrolama, sam za sebe, ne mora biti dovoljno bitan da bi tvorio važan nedostatak. Međutim, kombinacija nedostataka koji utječu na isto stanje računa ili objavljivanje, tvrdnju ili sastavni dio subjektovog sustava internih kontrola može povećati rizike pogrešnog prikazivanja u tom razmjeru da nedostatak postane važan. MRevS 240 – Revizorove odgovornosti u vezi s prijevarama u reviziji financijskih izvještaja (»Narodne novine«, br. 71/09) Uvod Djelokrug ovog MRevS-a … Karakteristike prijevare … Odgovornost za prevenciju i detekciju prijevare … Odgovornost revizora … 7. Nadalje, rizik da revizor neće otkriti značajno pogrešno prikazivanje prijevare od strane menadžmenta veći je nego prijevara od strane djelatnika zato što je menadžment često u poziciji direktno ili indirektno manipulirati računovodstvenim evidencijama, prezentirati prijevarne financijske informacije ili zaobići kontrole koje su oblikovane kao prevencija sličnim prijevarama od strane ostalih djelatnika. … Datum stupanja na snagu … Ciljevi … Definicije … Zahtjevi Profesionalni skepticizam 12. U skladu s MRevS-om 200,[87](MRevS 200, točka 15) revizor će zadržati stav profesionalnog skepticizma kroz reviziju, priznajući mogućnost da bi mogla postojati značajna pogrešna prikazivanja uslijed prijevare, bez obzira na revizorovo prošlo iskustvo o poštenju i integritetu menadžmenta subjekta i onih koji su zaduženi za upravljanje. (Vidjeti točke: A7 – A8) 13. Osim ako revizor ima razlog zbog kojeg vjeruje u suprotno, revizor može prihvatiti evidencije i dokumente kao vjerodostojne. Ako uvjeti identificirani tijekom revizije uzrokuju da revizor vjeruje da dokument možda nije autentičan ili da su uvjeti u dokumentu mijenjani ali nisu objavljeni revizoru, revizor će istražiti dalje. (Vidjeti točku: A9) 14. Kad su odgovori na upite menadžmentu ili onima koji su zaduženi za upravljanje nekonzistentni, revizor će istražiti nekonzistentnosti. Diskusija između članova angažiranog tima 15. MRevS 315 (izmijenjen 2019.) zahtijeva diskusiju između članova angažiranog tima i određivanje od strane angažiranog partnera onih pitanja o kojima će se komunicirati sa članovima tima koji nisu bili uključeni u diskusiju.[88](MRevS 315 (izmijenjen 2019.), točke 17 – 18) Ta će diskusija poseban naglasak dati tome kako i gdje financijski izvještaji subjekta mogu biti podložni značajnim pogrešnim prikazivanjima uslijed prijevare, uključujući način na koji je prijevara mogla nastati. Diskusija će se provesti na način da se postrance ostave vjerovanja članova angažiranog tima da su menadžment i oni koji su zaduženi za upravljanje pošteni i imaju integritet. (Vidjeti točke: A10 – A11) Postupci procjene rizika i povezane aktivnosti 16. Kad provodi postupke procjene rizika i povezane aktivnosti kako bi stekao razumijevanje o subjektu i njegovu okruženju, primjenjivom okviru financijskog izvještavanja i o subjektovom sustavu internih kontrola, zahtijevano MRevS-om 315 (izmijenjen 2019.), revizor će provesti postupke u točkama 23 – 43 kako bi prikupio informacije za korištenje pri identificiranju rizika značajnih pogrešnih prikazivanja uslijed prijevare. Menadžment i ostali unutar subjekta … Oni koji su zaduženi za upravljanje 20. Osim ako svi oni koji su zaduženi za upravljanje nisu uključeni u menadžment subjekta[89](MRevS 260 (izmijenjen), Komuniciranje s onima koji su zaduženi za upravljanje, točka 13), revizor će steći razumijevanje da oni koji su zaduženi za upravljanje provode nadzor nad procesima menadžmenta za identificiranje i reagiranje na rizike prijevara u subjektu i kontrolama koje je menadžment uspostavio za ublažavanje tih rizika. (Vidjeti točke: A19 – A21) … Identificirani neuobičajeni ili neočekivani odnosi … Ostale informacije 23. Revizor će razmotriti upućuju li ostale informacije koje je prikupio, na rizike značajnih pogrešnih prikazivanja uslijed prijevare. (Vidjeti točku: A22) Ocjena čimbenika prijevara 24. Revizor će ocijeniti upućuju li informacije dobivene drugim postupcima procjene rizika i obavljenim povezanim aktivnostima na postojanje jednog ili više čimbenika rizika prijevara. Dok čimbenici rizika prijevara možda ne upućuju nužno na postojanje prijevara, oni su često prisutni u okolnostima u kojima su prijevare nastale i stoga mogu upućivati na rizike značajnih pogrešnih prikazivanja uslijed prijevara. (Vidjeti točke: A23 – A27) Identificiranje i procjena rizika značajnih pogrešnih prikazivanja uslijed prijevare 25. U skladu s MRevS-om 315 (izmijenjen 2019.), revizor će identificirati i ocijeniti rizike značajnih pogrešnih prikazivanja uslijed prijevare na razini financijskih izvještaja i na razini tvrdnji za klase transakcija, stanja računa i objava.[90](MRevS 315 (izmijenjen 2019.), točka 28) 26. Kod identificiranja i procjene rizika značajnih pogrešnih prikazivanja uslijed prijevara, revizor će, temeljem pretpostavke o postojanju rizika prijevara u priznavanju prihoda, ocijeniti koje vrste prihoda, transakcija prihoda ili tvrdnji uzrokuju takve rizike. Točka 47 navodi potrebnu dokumentaciju za slučajeve kad revizor zaključi da pretpostavka nije primjenjiva u okolnostima angažmana, i posljedično, priznavanje prihoda nije identificirano kao rizik značajnih pogrešnih prikazivanja uslijed prijevara. (Vidjeti točke: A28 – A30) 27. Revizor će tretirati one procijenjene rizike značajnih pogrešnih prikazivanja uslijed prijevare kao značajne rizike i u skladu s time, do mjere u kojoj to već nije obavio, revizor će identificirati subjektove kontrole, koje rješavanju takve rizike i ocijeniti njihovo oblikovanje te utvrditi jesu li bile implementirane.[91](MRevS 315 (izmijenjen 2019.), točke 26(a)(i) i 26(d)) (Vidjeti točke: A31 – A32) Reakcije na procijenjene rizike značajnih pogrešnih prikazivanja uslijed prijevara Sveobuhvatne reakcije … Revizijski postupci kao reakcija na procijenjene rizike značajnih pogrešnih prikazivanja uslijed prijevara na razini tvrdnji … Revizijski postupci kao reakcija na rizike povezane s menadžmentovim zaobilaženjem kontrola … 32. Neovisno o revizorovoj procjeni rizika menadžmentovog zaobilaženja kontrola, revizor će oblikovati i obaviti revizijske postupke kako bi: (a) testirao primjerenost dnevničkih knjiženja provedenih u glavnoj knjizi i ostalih usklađenja provedenih u pripremi financijskih izvještaja. U oblikovanju i provođenju revizijskih postupaka za takva testiranja, revizor će: (i) postaviti upite pojedincima koji su uključeni u proces financijskog izvještavanja o neprimjerenim ili neuobičajenim aktivnostima povezanim s procesiranjem dnevničkih knjiženja i ostalih usklađenja; (ii) odabrati dnevnička knjiženja i ostala usklađenja provedena na kraju izvještajnog razdoblja; i (iii) razmotriti potrebu za testiranjem dnevničkih knjiženja i ostalih usklađenja tijekom razdoblja. (Vidjeti točke: A41 – A44) … Ocjena revizijskih dokaza (Vidjeti točku: A49) … Revizor nije u mogućnosti nastaviti s angažmanom … Pisane izjave … Komunikacija s menadžmentom i onima koji su zaduženi za upravljanje … Komunikacije s regulatornim i provedbenim tijelima … Dokumentacija 44. U revizorsku dokumentaciju[92](MRevS 230, Revizijska dokumentacija, točke 8 – 11, i točka A6) (a) značajne odluke donesene tijekom diskusije između članova angažiranog tima o podložnosti subjektovih financijskih izvještaja značajnim pogrešnim prikazivanjima uslijed prijevara; i (b) identificirane i procijenjene rizike značajnih pogrešnih prikazivanja uslijed prijevara na razini financijskih izvještaja i na razini tvrdnji; i (c) identificirane kontrole u komponentni kontrolnih aktivnosti koje rješavaju procijenjene rizike značajnih pogrešnih prikazivanja uslijed prijevara. … Materijal za primjenu i ostali materijali s objašnjenjima Karakteristike prijevara (Vidjeti točku: 3) … Profesionalni skepticizam (Vidjeti točke: 12 – 14) A7. Održavanje stava profesionalnog skepticizma zahtjeva kontinuirano ispitivanje sugeriraju li dobivene informacije i revizijski dokazi postojanje značajnih pogrešnih prikazivanja uslijed prijevara. Ono uključuje razmatranja pouzdanosti informacija koje se koriste kao revizijski dokaz i identificiranih kontrola u komponenti kontrolnih aktivnosti, ako ih ima, oko njihovog pripremanja i održavanja. Zbog karakteristika prijevara, revizorov stav profesionalnog skepticizma posebno je važan kad se razmatraju rizici značajnih pogrešnih prikazivanja uslijed prijevara. … Diskusija između članova angažiranog tima (Vidjeti točku: 15) … Postupci procjene rizika i povezane aktivnosti Upiti menadžmentu Menadžmentova procjena rizika značajnih pogrešnih prikazivanja uslijed prijevare (Vidjeti točku: 17(a)) … Upit internoj reviziji (Vidjeti točku: 19) A18. MRevS 315 (izmijenjen 2019.) i MRevS 610 (izmijenjen 2013.) postavljaju zahtjeve i pružaju smjernice koje su relevantne za revizije onih subjekata koji imaju službu interne revizije.[94](MRevS 315 (izmijenjen 2019.), točke 14(a) i 24(a)(ii) i MRevS 610 (izmijenjen 2013.), Korištenje radom internih revizora) U provođenju takvih zahtjeva tih MRevS-ova u kontekstu prijevara, revizor može postaviti upite o specifičnim aktivnostima interne revizije, uključujući primjerice: • o obavljenim postupcima, ako postoje, od strane službe internih revizora tijekom godine radi otkrivanja prijevare; i • je li menadžment reagirao na zadovoljavajući način na bilo koje nalaze koji su proizašli iz tih postupaka. Stjecanje razumijevanja nadzora provedenog od strane onih koji su zaduženi za upravljanje (Vidjeti točku: 20) A19. Oni koji su zaduženi za upravljanje subjektom imaju nadzorne odgovornosti za sustav nadgledanja rizika, financijskih kontrola i postupanja u skladu sa zakonom. U mnogim su zemljama, prakse korporativnog upravljanja dobro razvijene i oni koji su zaduženi za upravljanje igraju aktivnu ulogu u nadzoru subjektovih procjena rizika prijevara i kontrola koje rješavaju takve rizike. Budući da odgovornosti onih koji su zaduženi za upravljanje i menadžmenta mogu varirati ovisno o subjektu i zemlji, važno je da revizor razumije njihove odgovornosti kako bi mogao steći razumijevanje nadzora provedenog od strane primjerenih pojedinaca.[95](MRevS 260 (izmijenjen), točke A1 – A8, razmatraju s kime revizor komunicira kad subjektova struktura upravljanja nije dobro definirana.) A20. Razumijevanje nadzora provedenog od strane onih koji su zaduženi za upravljanje može pružiti uvid o podložnosti subjekta prijevarama od strane menadžmenta, adekvatnosti kontrola koje rješavaju rizike prijevara, i kompetencijama i integritetu menadžmenta. Revizor može steći ovo razumijevanje na mnogo načina, kao što je prisustvovanje sastancima gdje se takve diskusije održavaju, iz zapisnika s takvih sastanaka ili postavljanjem upita onima koji su zaduženi za upravljanje. Razmatranja specifična za manje subjekte … Razmatranje ostalih informacija (Vidjeti točku: 23) A22. Kao dodatak informacijama dobivenim analitičkim postupcima, ostale informacije o subjektu i njegovu okruženju, primjenjivom okviru financijskog izvještavanja i subjektovom sustavu internih kontrola mogu biti korisne za identificiranje rizika značajnih pogrešnih prikazivanja uslijed prijevara. Diskusija između članova tima može pružiti informacije koje su korisne u identificiranju takvih rizika. Povrh toga, informacije dobivene revizorovim postupcima prihvaćanja klijenta i zadržavanja te iskustvo stečeno u ostalim angažmanima provedenim za subjekt, na primjer, uvid u financijske informacije za razdoblja kraća od razdoblja obuhvaćenog revizijom, mogu biti relevantni u identificiranju rizika značajnih pogrešnih prikazivanja uslijed prijevara. Ocjena čimbenika rizika prijevare (Vidjeti točku: 24) … A25. Primjeri čimbenika rizika prijevare koji se odnose na prijevarno financijsko izvještavanje i protupravno prisvajanje imovine navedeni su u Dodatku 1. Ti ilustrativni čimbenici rizika klasificirani su temeljem tri uvjeta koja su općenito prisutna kad postoji prijevara: • poticaj ili pritisak za počinjenje prijevare; • uočena prilika za počinjenje prijevare; i • mogućnost racionaliziranja prijevarnih aktivnosti. Čimbenici rizika prijevare mogu se odnositi na poticaje, pritiske ili prilike koje proizlaze iz uvjeta koji stvaraju podložnost pogrešnom prikazivanju prije razmatranja kontrola. Čimbenici rizika prijevare koji uključuju namjernu menadžmentovu pristranost su, u mjeri u kojoj utječu na inherentni rizik, čimbenici inherentnog rizika.[96](MRevS 315 (izmijenjen 2019.), točka 12(f)) … Identifikacija i procjena rizika značajnih pogrešnih prikazivanja uslijed prijevare Rizici prijevare u priznavanju prihoda (Vidjeti točku: 26) … Prepoznavanje i procjena rizika značajnih pogrešnih prikazivanja uslijed prijevara i razumijevanje subjektovih povezanih kontrola (Vidjeti točku: 27) A31. Menadžment može donositi prosudbe o vrstama i opsegu kontrola koje odluči implementirati te vrstama i opsegu rizika koje odluči prihvatiti. U odlučivanju koje kontrole implementirati radi sprječavanja i detektiranja prijevara, menadžment razmatra rizike da financijski izvještaji mogu biti značajno pogrešno prikazani kao rezultat prijevare. Kao dio ovih razmatranja, menadžment može zaključiti da implementiranje i održavanje pojedine kontrole nije troškovno efikasno u odnosu na smanjenje rizika značajnih pogrešnih prikazivanja uslijed prijevara koje se treba postići. A32. Stoga je važno da revizor stekne razumijevanje kontrola koje je menadžment oblikovao, implementirao i održava radi prevencije i detekcije prijevara. Pri identificiranju kontrola koje rješavaju rizike značajnih pogrešnih prikazivanja uslijed prijevare revizor može saznati, naprimjer, da je menadžment namjerno izabrao prihvaćanje rizika povezanog s nedostatkom podjele odgovornosti. Informacije iz identificiranja ovih kontrola i ocjenjivanja njihovog oblikovanja te utvrđivanja jesu li implementirane također mogu biti korisne u prepoznavanju čimbenika rizika prijevara koji mogu utjecati na revizorovu procjenu rizika da financijski izvještaji mogu sadržavati značajna pogrešna prikazivanja uslijed prijevara. Reakcije na procijenjene rizike značajnih pogrešnih prikazivanja uslijed prijevare Sveobuhvatne reakcije (Vidjeti točku: 28) … Dodjela i nadzor djelatnika (Vidjeti točku: 29(a)) … Nepredvidivost u izboru revizijskih postupaka (Vidjeti točku: 29(c)) … Revizijski postupci kao reakcija na procijenjene rizike značajnih pogrešnih prikazivanja uslijed prijevara na razini tvrdnje (Vidjeti točku: 30) … Revizijski postupci kao reakcija na rizike povezane s menadžmentovim zaobilaženjem kontrola Dnevnička knjiženja i ostala usklađivanja (Vidjeti točku: 32(a)) … A42. Nadalje, revizorovo razmatranje rizika značajnih pogrešnih prikazivanja povezanih s neprimjerenim zaobilaženjem kontrola nad dnevničkim knjiženjima.[98](MRevS 315 (izmijenjen 2019.), točka 26(a)(ii)) važno je budući da automatizirani procesi i kontrole mogu smanjiti rizik nenamjernih pogrešaka ali ne sprječavaju rizik da pojedinci mogu neprimjereno zaobići takve automatizirane procese, na primjer, promjenom iznosa koji se automatski procesira u glavnu knjigu ili sustav financijskog izvještavanja. Nadalje, kad je IT korišten za automatski prijenos informacija, može biti malo ili ništa vidljivih dokaza takvih intervencija unutar informacijskog sustava. A43. Kod identificiranja i izbora dnevničkih knjiženja i ostalih usklađenja za testiranje i određivanje primjerene metode ispitivanja osnovne podrške izabranim stavkama, relevantna su sljedeća pitanja: • Identifikacija i procjena rizika značajnih pogrešnih prikazivanja uslijed prijevara – prisutnost čimbenika rizika prijevara i ostalih informacija prikupljenih tijekom revizorove identifikacije i procjene rizika značajnih pogrešnih prikazivanja uslijed prijevara mogu pomoći revizoru kod identificiranja specifičnih klasa dnevničkih knjiženja i ostalih usklađenja za testiranje. • Kontrole koje su implementirane nad dnevničkim knjiženjima i ostalim usklađenjima – efikasne kontrole nad pripremanjem i kontiranjem knjiženja u dnevnik i ostalim usklađenjima mogu smanjiti opseg potrebnih dokaznih postupaka, pod uvjetom da revizor testira operativnu učinkovitost kontrola. • Subjektov proces financijskog izvještavanja i vrste dokaza koji mogu biti prikupljeni – za mnoge subjekte rutinsko procesiranje transakcija uključuje kombinaciju ručnih i automatiziranih kontrola. Slično tome, obrada dnevničkih knjiženja i ostalih usklađenja može uključivati ručne i automatizirane kontrole. Kad se informacijska tehnologija koristi za proces financijskog izvještavanja, dnevnička knjiženja i ostala usklađenja mogu postojati jedino u elektroničkoj formi. • Karakteristike prijevarnih dnevničkih knjiženja ili ostalih usklađenja – neprimjerena dnevnička knjiženja ili ostala usklađenja često imaju jedinstvene identificirajuće karakteristike. Te karakteristike mogu uključivati knjiženja (a) po nepovezanim, neuobičajenim ili rijetko korištenim računima; (b) provedena od strane pojedinaca koji obično ne provode dnevnička knjiženja; (c) evidentirana na kraju razdoblja ili kao knjiženja nakon zatvaranja knjiga koja imaju malo ili nimalo objašnjenja ili opisa; (d) provedena ili prije ili tijekom pripreme financijskih izvještaja koja nemaju broj računa, ili (e) sadrže okrugle brojeve ili brojeve konzistentnog završetka. • Vrste i kompleksnost računa – neprimjerena dnevnička knjiženja ili usklađenja mogu se odnositi na račune koji (a) sadrže transakcije koje su kompleksne ili neuobičajene po prirodi; (b) sadrže značajne procjene i usklađenja na kraju razdoblja; (c) su bili skloni pogrešnom prikazivanju u prošlosti; (d) nisu ažurno usklađeni ili sadrže neusklađene razlike; (e) sadrže međukompanijske transakcije; ili (f) su na drugi način povezani s identificiranim rizikom značajnih pogrešnih prikazivanja uslijed prijevara. U revizijama subjekata koji imaju nekoliko lokacija ili komponenti, razmatra se potreba izbora knjiženja u dnevnicima iz različitih lokacija. • Dnevnička knjiženja ili ostala usklađivanja procesirana izvan uobičajenog tijeka poslovanja – nestandardna knjiženja ne mogu biti podvrgnuta istoj vrsti i opsegu kontrola kao ponavljajuća knjiženja kojima se evidentiraju transakcije kao što je mjesečna prodaja, nabave i gotovinske isplate. … Računovodstvene procjene (Vidjeti točku: 32(b)) … Poslovna opravdanost za signifikantne transakcije (Vidjeti točku: 32(c)) … Ocjena revizijskih dokaza (Vidjeti točke: 34 – 37) … Analitički postupci provedeni pri kraju revizije radi formiranja sveobuhvatnog zaključka (Vidjeti točku: 34) … Razmatranje identificiranih pogrešnih prikazivanja (Vidjeti točke: 35 – 37) … Revizor nije u mogućnosti nastaviti s angažmanom (Vidjeti točku: 38) … Pisane izjave (Vidjeti točku: 39) … Komuniciranje s menadžmentom i onima koji su zaduženi za upravljanje Komunikacija s menadžmentom (Vidjeti točku: 40) … Komunikacija s onima koji su zaduženi za upravljanje (Vidjeti točku: 41) … Ostala pitanja koja se odnose na prijevaru (Vidjeti točku: 42) … Komuniciranje s regulativnim i provedbenim tijelima (Vidjeti točku: 43) … DODATAK 1 (Vidjeti točku: A25) Primjeri čimbenika rizika prijevara Čimbenici rizika prijevara navedeni u ovom Dodatku primjeri su čimbenika s kojima se revizori mogu susresti u širokom spektru situacija. Odvojeno su navedeni primjeri koji se odnose na dvije vrste prijevara relevantnih za razmatranje revizora – prijevarno financijsko izvještavanje i protupravno prisvajanje imovine. Za svaku od ovih vrsta prijevara, čimbenici rizika nadalje su klasificirani temeljem tri uvjeta općenito prisutna kod nastanka značajnih pogrešaka prikazivanja zbog prijevara, a to su: (a) poticaji/pritisci, (b) prilike, (c) stavovi/racionalizacija. Iako čimbenici rizika pokrivaju širok spektar situacija, oni su samo primjeri; i posljedično, revizor može identificirati dodatne ili drugačije čimbenike rizika. Nisu svi ovi primjeri relevantni u svim situacijama te neki mogu biti od veće ili manje važnosti u subjektima različite veličine ili različitih karakteristika vlasništva ili okolnosti. Također, redoslijedom primjera čimbenika rizika nije bilo namjeravano odraziti njihovu relativnu važnost ili učestalost pojavljivanja. Čimbenici rizika prijevara mogu se odnositi na poticaje ili pritiske koji proizlaze iz uvjeta koji stvaraju podložnosti pogrešnom prikazivanju prije razmatranja kontrola (tj. inherentnog rizika). Takvi čimbenici su čimbenici inherentnog rizika u mjeri u kojoj utječu na inherentni rizik i mogu nastati zbog pristranosti menadžmenta. Čimbenici rizika prijevare koji se odnose na prilike mogu također nastati iz drugih identificiranih čimbenika inherentnog rizika (naprimjer, kompleksnost ili nesigurnost mogu stvoriti prilike koje rezultiraju podložnošću pogrešnom prikazivanju uslijed prijevare). Čimbenici rizika prijevare koji se odnose na prilike mogu također biti povezani s uvjetima unutar subjektovog sustava internih kontrola, kao što su ograničenja ili nedostaci subjektovih internih kontrola koji stvaraju takve prilike. Čimbenici rizika prijevare koji se odnose na stavove i racionalizacije mogu nastati osobito iz ograničenja ili nedostataka u kontrolnom okruženju subjekta. Čimbenici rizika vezanih uz pogrešna prikazivanja nastala prijevarnim financijskim izvještavanjem U nastavku su primjeri čimbenika rizika vezanih uz pogrešna prikazivanja koja su nastala prijevarnim financijskim izvještavanjem. Poticaji/pritisci Financijska stabilnost ili profitabilnost ugrožena je ekonomskim, industrijskim ili poslovnim uvjetima subjekta, kao što su (ili na što upućuje): … Pretjerani pritisak postoji za menadžment da ispuni zahtjeve ili očekivanja trećih stranaka zbog sljedećeg: … Dostupne informacije ukazuju da je osobna financijska situacija menadžmenta ili onih koji su zaduženi za upravljanje ugrožena financijskim poslovanjem subjekta zbog: … Prilike Priroda industrije ili poslovanja subjekta pruža prilike za prijevarno izvještavanje koje može proizaći iz: … Nadgledanje menadžmenta nije efikasno zbog sljedećeg: … Postoje kompleksna ili nestabilna organizacijska struktura, što je evidentno iz sljedećeg: … Nedostaci internih kontrola kao rezultat sljedećeg: • neprimjerenog procesa monitoringa subjektovog sustava internih kontrola, uključujući automatizirane kontrole nad financijskim izvještavanjem za razdoblja kraća od izvještajnog razdoblja obuhvaćenog revizijom (gdje je zahtijevano eksterno izvještavanje); • visoke stope odljeva djelatnika ili zapošljavanje djelatnika u računovodstvu, internoj reviziji ili IT-u, koji nisu učinkoviti; i • računovodstveni i IT sustavi koji nisu učinkoviti, uključujući situacije koje uključuju značajne nedostatke u internim kontrolama. Stavovi/racionalizacije … Čimbenici rizika koji proizlaze iz pogrešnog prikazivanja kao rezultat protupravnog prisvajanja imovine Čimbenici rizika koji se odnose na pogrešna prikazivanja koje proizlaze iz protupravnog prisvajanja imovine također se klasificiraju temeljem tri uvjeta koji su općenito prisutni kad postoji prijevara, a to su: poticaji/pritisci, prilike i stavovi/racionalizacije. Neki od čimbenika rizika koji se odnose na pogrešno prikazivanje zbog prijevarnog financijskog izvještavanja također mogu biti prisutni kad dođe do pogrešnog prikazivanja zbog protupravnog prisvajanja imovine. Na primjer, nadgledanje menadžmenta i nedostaci u internim kontrolama koje nisu efikasne mogu biti prisutni kad postoji pogrešno prikazivanje zbog prijevarnog financijskog izvještavanja ili protupravnog prisvajanja imovine. Sljedeći primjeri čimbenika rizika odnose se na pogrešna prikazivanja temeljem protupravnog prisvajanja imovine. Poticaji/pritisci … Prilike Određene karakteristike ili okolnosti mogu povećati pogodnost imovine za protupravno prisvajanje. Naprimjer, prilike za protupravno prisvajanje imovine povećavaju se gdje postoji sljedeće: … Neprimjerene kontrole nad imovinom mogu povećati podložnost protupravnom prisvajanju te imovine. Naprimjer, protupravno prisvajanje imovine može nastati zbog sljedećeg: • neprimjerene podjele odgovornosti ili neprimjerenih neovisnih provjera; • neprimjerenog nadzora nad troškovima višeg menadžmenta kao što su putni troškovi i ostale nadoknade; • neprimjerenog nadzora menadžmenta nad djelatnicima zaduženim za imovinu, na primjer neprimjeren nadzor ili nadgledanje udaljenih lokacija; • neprimjerenog pregleda prijava za posao djelatnika koji imaju pristup imovini; • neprimjerenog vođenja evidencija imovine; • neprimjerenog sustava autorizacije i odobravanja transakcija (naprimjer, kod nabave); • neprimjerenog fizičkog čuvanja gotovine, ulaganja, zaliha ili dugotrajne materijalne imovine; • nedostatka potpunih i pravovremenih usklađivanja imovine; • nedostatka pravovremene i primjerene dokumentacije transakcije, na primjer odobrenja za povrat kupljene robe; • izostanka obveznih godišnjih odmora djelatnika koji provode ključne kontrolne funkcije; • neprimjerenog razumijevanja informacijskih tehnologija od strane menadžmenta, što omogućuje djelatnicima u informacijskim tehnologijama protupravno prisvajanje; • neprimjerenih kontrola pristupa automatiziranim evidencijama, uključujući kontrole nad pregledom logova sistemskih događaja. Stavovi/racionalizacije • zanemarivanje potrebe nadgledanja ili smanjivanja rizika povezanih s protupravnim prisvajanjem imovine; • zanemarivanje kontrola nad protupravnim prisvajanjem imovine kroz zaobilaženje postojećih kontrola ili propustom popravljanja poznatih nedostataka u internim kontrolama; • ponašanje kojim se pokazuje nezadovoljstvo subjektom ili njegovim tretmanom djelatnika; • promjene u ponašanju ili stilu života koje mogu upućivati na protupravno prisvajanje imovine; • toleriranje sitnih krađa. DODATAK 2 (Vidjeti točku: A40) Primjeri mogućih revizijskih postupaka s ciljem razrješenja procijenjenih rizika značajnih pogrešnih prikazivanja uslijed prijevara U nastavku su navedeni primjeri mogućih revizijskih postupaka s ciljem razrješenja procijenjenih rizika značajnih pogrešnih prikazivanja uslijed prijevara koje proizlaze iz prijevarnog financijskog izvještavanja i zloupotrebe imovine. Iako ovi postupci pokrivaju širok spektar situacija, one su samo primjeri i posljedično tome možda neće biti najprimjereniji ili potrebni u svakoj situaciji. Također, redoslijed navedenih postupaka ne pokazuje njihovu relativnu važnost. Razmatranje na razini tvrdnji Specifične reakcije na revizorovu procjenu rizika značajnih pogrešnih prikazivanja uslijed prijevare će varirati ovisno o vrstama ili kombinaciji čimbenika rizika prijevare ili identificiranih uvjeta i klasa transakcija, stanja računa, objava i tvrdnji na koje mogu utjecati. U nastavku su navedeni specifični primjeri reakcija: … • ako posao stručnjaka postane osobito značajan u pogledu stavke financijskih izvještaja za koje je procijenjeni rizik značajnih pogrešnih prikazivanja uslijed prijevare visok, provođenje dodatnih postupaka koje se tiču nekih ili svih pretpostavki stručnjaka, metoda ili nalaza kako bi se utvrdilo da nalazi nisu nerazumni, ili angažiranjem drugog stručnjaka za tu svrhu; … Specifične reakcije – pogrešno prikazivanje koje proizlazi iz prijevarnog financijskog izvještavanja Primjeri reakcija na revizorovu procjenu rizika značajnih pogrešnih prikazivanja uslijed prijevarnog financijskog izvještavanja su sljedeći: … Dodatak 3 (Vidjeti točku: A49) Primjeri okolnosti koje ukazuju na mogućnost prijevare U nastavku slijede primjeri okolnosti koje mogu ukazati na mogućnost da financijski izvještaji sadržavaju značajna pogrešna prikazivanja kao rezultat prijevare. … MRevS 300 – Planiranje revizije financijskih izvještaja (»Narodne novine«, br.71/09) Materijal za primjenu i ostali materijali s objašnjenjima … Dokumentacija (Vidjeti točku 12) … Razmatranja specifična za manje subjekte A21. Kako je razmotreno u točki A11, prikladan, kratak memorandum može služiti kao dokumentirana strategija za reviziju manjeg subjekta. Kao plan revizije mogu se koristiti standardni revizijski programi ili kontrolne liste (vidjeti točku A19) kreirani uz pretpostavku o malom broju kontrola[99](MRevS 315 (izmijenjen 2019.), točka 26(a)), kao što je to vjerojatno u slučaju manjeg subjekta, pod uvjetom da su prilagođeni prema okolnostima angažmana, kao i prema revizorovim procjenama rizika. … MRevS 402 – Revizijska razmatranja u vezi sa subjektima koji koriste uslužne organizacije (»Narodne novine«, br. 71/09) Uvod Djelokrug ovog MRevS-a 1. Odredbe ovog Međunarodnog revizijskog standarda (MRevS-a) odnose se na odgovornost revizora u pogledu stjecanja dostatnih i primjerenih revizijskih dokaza u procesu revizije kod subjekata koji koriste usluge jedne ili više uslužnih organizacija. To se osobito proširuje na način na koji revizor primjenjuje MRevS 315 (izmijenjen 2019.) i MRevS 330 i to posebice prilikom stjecanja razumijevanja subjekta korisnika, uključujući i subjektov sustav internih kontrola koje su relevantne za pripremu financijskih izvještaja i koje je dovoljno za identificiranje i procjenu rizika značajnih pogrešnih prikazivanja te za oblikovanje i provođenje daljnjih revizijskih postupaka koji su reakcija na te rizike. … 3. Usluge izvršene od strane uslužne organizacije relevantne su za reviziju financijskih izvještaja subjekta korisnika kad su te usluge i kontrole nad njima dio informacijskog sustava subjekta korisnika, relevantnog za pripremu financijskih izvještaja. Većina kontrola u uslužnim organizacijama vjerojatno je dio informacijskog sustava subjekta korisnika koji je relevantan za pripremu financijskih izvještaja ili su povezane kontrole kao što su to, na primjer, kontrole vezane uz sigurnost imovine. Usluge uslužne organizacije su dio informacijskog sustava subjekta, ako takve usluge utječu na sljedeće: (a) način na koji informacije koje se odnose na signifikantne klase transakcija, stanja računa i objava teku kroz informacijski sustav subjekta korisnika, bilo ručno ili uz uporabu IT-a te bilo da su stečene unutar ili izvan glavne knjige i pomoćnih knjiga. Ovo uključuje slučajeve kad uslužna organizacija utječe na način na koji su: (i) transakcije subjekta korisnika inicirane i kako su informacije o njima evidentirane, obrađene, po potrebi ispravljene i unesene u glavnu knjigu i u financijske izvještaje; i (ii) informacije o događajima i uvjetima, osim transakcija, zabilježene, obrađene i objavljene od strane subjekta korisnika u financijskim izvještajima. (b) poslovne knjige, specifične pozicije financijskih izvještaja subjekta korisnika i druge podržavajuće evidencije povezane s tokovima informacija u točki 3(a); (c) proces financijskog izvještavanja korišten u svrhu pripreme financijskih izvještaja subjekta korisnika iz evidencija opisanih u točki 3(b), uključujući dio povezan s objavljivanjima i s računovodstvenim procjenama koje se odnose na signifikantne klase transakcija, stanja računa i objavljivanja; i (d) subjektovo IT okruženje koje je relevantno za (a) do (c) gore. … Ciljevi 7. Ciljevi revizora korisnika, u slučaju kad subjekt korisnik koristi usluge servisne organizacije, su: (a) steći razumijevanje vrste i značaja usluga pruženih od strane uslužne organizacije i njihovog utjecaja na interne kontrole subjekta korisnika koje je dovoljno za pružanje primjerene osnove za identificiranje i procjenu rizika značajnih pogrešnih prikazivanja; i (b) odrediti i provesti revizorske postupke koji odgovaraju tim rizicima. … Zahtjevi Stjecanje razumijevanja vrste usluge koju pruža uslužna organizacija, uključujući i interne kontrole … 10. Pri stjecanju razumijevanja o subjektovom sustavu internih kontrola, sukladno MRevS-u 315 (izmijenjen 2019.), revizor korisnika će identificirati kontrole u komponenti kontrolnih aktivnosti[100](MRevS 315 (izmijenjen 2019.), točke 26(a)) 11. Revizor korisnika će utvrditi je li stekao dostatno razumijevanje vrste i značajnosti usluga koje je pružila uslužna organizacija i utjecaja tih usluga na subjektov sustav internih kontrola koje će biti primjerena osnova za identificiranje i procjenu rizika značajnih pogrešnih prikazivanja. 12. Ako revizor korisnika ne može dobiti dovoljno informacija od subjekta korisnika, može ih dobiti na neki od sljedećih načina: … (c) posjetom uslužnoj organizaciji i izvođenjem postupaka koji će osigurati potrebne informacije o relevantnim kontrolama u uslužnoj organizaciji; ili (d) korištenjem drugog revizora koji će osigurati potrebne informacije o kontrolama u uslužnoj organizaciji. (Vidjeti točke A15-A20.) Korištenje izvješća vrste 1 ili vrste 2 za revizorovo razumijevanje uslužne organizacije … 14. Ako revizor namjerava za revizijski dokaz koristiti izvješće vrste 1 ili izvješće vrste 2, kako bi podržao svoje razumijevanje oblikovanja i implementacije internih kontrola u uslužnoj organizaciji, revizor korisnika će: … (b) ocijeniti dostatnost i prikladnost dokaza iz izvještaja za razumijevanje kontrola kod uslužne organizacije; i … Materijal za primjenu i ostali materijali s objašnjenjima Stjecanje razumijevanja usluga koju pruža uslužna organizacija, uključujući i interne kontrole … Daljnji postupci koje je potrebno primijeniti kad se od subjekta korisnika ne može steći dovoljno razumijevanje (Vidjeti točku 12.) … A19. Drugi revizor može biti korišten za provođenje postupaka koji će osigurati potrebne informacije o relevantnim kontrolama u uslužnoj organizaciji koje se odnose na usluge pružene subjektu korisniku. Ako je izdano izvješće vrste 1 ili izvješće vrste 2, revizor korisnika može koristiti rad revizora usluga za provedbu tih postupaka budući da revizor usluga ima već postojeći odnos s uslužnom organizacijom. Revizor korisnika koji koristi rad drugog revizora može u MRevSu 600 pronaći korisne upute vezane za razumijevanje angažmana drugog revizora (uključujući njegovu neovisnost i kompetentnost), upute vezane za uključenost u rad drugog revizora prilikom planiranja vrste, vremenskog rasporeda i obujma takvog rada i ocjenjivanje dostatnosti i prikladnosti pribavljenih revizijskih dokaza. … Korištenje izvješća vrste 1 i izvješća vrste 2 radi podrške revizorovom razumijevanju uslužne organizacije (Vidjeti točke: 13 – 14) … A22. Izvješće vrste 1 i izvješće vrste 2, zajedno s informacijama o subjektu, mogu pomoći revizoru korisnika u dobivanju spoznaja o: (a) aspektima kontrola u uslužnoj organizaciji koji mogu utjecati na obradu transakcija subjekta korisnika, uključujući korištenje uslužne organizacije – podizvođača; (b) toku signifikantnih transakcija obrađenih od strane uslužne organizacije koji može poslužiti za utvrđivanje točaka u toku transakcija gdje bi mogla nastati značajna pogrešna prikazivanja; (c) kontrolnim ciljevima u uslužnoj organizaciji koji su relevantni za tvrdnje u financijskim izvještajima subjekta korisnika; i: (d) o tome jesu li kontrole u uslužnoj organizaciji primjereno oblikovane i implementirane u svrhu prevencije i detekcije pogrešaka u obradi koje mogu rezultirati značajno pogrešnim prikazivanjima u financijskim izvještajima subjekta korisnika. Izvješće vrste 1 ili izvješće vrste 2 može pomoći revizoru korisnika u dobivanju dovoljnog razumijevanja za identificiranje i procjenu rizika značajnih pogrešnih prikazivanja. Izvješće vrste 1, međutim, ne osigurava dokaze o učinkovitosti djelovanja kontrola. Reakcija na procijenjeni rizik značajnih pogrešnih prikazivanja … Testovi kontrola A29. Od revizora korisnika MRevS 330 zahtijeva da oblikuje i provede testove kontrola radi dobivanja dostatnih i primjerenih revizijskih dokaza o učinkovitosti djelovanja kontrola u određenim okolnostima. U kontekstu uslužne organizacije, taj se zahtjev primjenjuje kad: … A30. Ako izvješće vrste 2 nije raspoloživo, revizor korisnika može kontaktirati uslužnu organizaciju putem subjekta korisnika kako bi zahtijevao da revizor usluga bude angažiran da osigura izvješće vrste 2 koje uključuje testove operativne učinkovitosti kontrola ili revizor korisnika može koristiti drugog revizora za izvođenje postupaka u uslužnoj organizaciji koji testiraju učinkovitost djelovanja tih kontrola. Revizor korisnika također može posjetiti uslužnu organizaciju i provesti testove kontrola ako se uslužna organizacija s time slaže. Procjene rizika revizora korisnika temelje se na kombinaciji dokaza osiguranih radom drugog revizora i njegovih vlastitih postupaka. Upotreba izvješća vrste 2 kao revizijskog dokaza da su kontrole u uslužnoj organizaciji operativno učinkovite … A33. Također, može biti potrebno da revizor korisnika dobije dodatne dokaze o značajnim promjenama kontrola u uslužnoj organizaciji izvan razdoblja pokrivenog u izvješću vrste 2 ili da odredi dodatne revizijske postupke koje treba izvršiti. Čimbenici koje treba uzeti u obzir prilikom određivanja dodatnih revizijskih dokaza o kontrolama u uslužnoj organizaciji, koje su funkcionirale izvan razdoblja pokrivenog izvješćem vrste 2, uključuju: … • učinkovitost kontrolnog okruženja i proces monitoringa sustava internih kontrola kod subjekta korisnika A34. Dodatni revizijski dokazi mogu biti dobiveni, naprimjer, proširenim testovima kontrola nad preostalim razdobljem ili testiranjem procesa monitoringa sustava internih kontrola kod subjekta korisnika. … A39. Od revizora korisnika se zahtijeva pravovremeno izvještavanje u pisanom obliku o značajnim nedostacima utvrđenim za vrijeme obavljanja revizije kako menadžmentu, tako i onima koji su zaduženi za upravljanje.11 Od revizora korisnika se također zahtijeva da pravovremeno izvještava primjerenu razinu menadžmenta o nedostacima internih kontrola koji su uočeni za vrijeme obavljanja revizije i koji su dovoljno važni da zahtijevaju pažnju menadžmenta sukladno profesionalnoj prosudbi revizora.12 Pitanja koja revizor korisnika može identificirati u procesu revizije i o kojima može komunicirati s subjektovim menadžmentom i onima zaduženim za upravljanje uključuju: • bilo koje kontrole unutar subjektovog procesa monitoringa sustava internih kontrola koje bi mogle biti implementirane od strane subjekta korisnika, uključujući one identificirane zbog pribavljanja izvješća vrste 1 ili izvješća vrste 2; … MRevS 330, Revizorove reakcije na procijenjene rizike (»Narodne novine«, br. 71/09) Uvod Djelokrug ovog MRevS-a 1. Ovaj Međunarodni revizijski standard (MRevS) uređuje odgovornost za oblikovanje i implementaciju reakcija na rizike značajnih pogrešnih prikazivanja koje je tijekom revizije financijskih izvještaja pronašao i procijenio revizor u skladu s MRevS-om 315 (izmijenjen 2019.)[102](MRevS 315 (izmijenjen 2019.), Identificiranje i procjenjivanje rizika značanih pogrešnih prikazivanja). Datum stupanja na snagu 2. Međunarodni revizijski standard (MRevS) stupa na snagu za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2009. ili nakon tog datuma. Cilj 3. Cilj je revizora da oblikovanjem i implementacijom odgovarajućih reakcija na procijenjene rizike značajnih pogrešnih prikazivanja prikupi dostatne i primjerene revizijske dokaze koji se odnose na te procijenjene rizike. Definicije 4. Za svrhe MRevS-ova, sljedeći pojmovi imaju niže navedena značenja: (a) Dokazni postupak – revizijski postupak oblikovan radi otkrivanja značajno pogrešnih prikazivanja na razini tvrdnje. Dokazni postupci obuhvaćaju: (i) testove detalja (za klase transakcija, stanja računa i objave); (ii) dokazne analitičke postupke. (b) Test kontrola – revizijski postupak oblikovan radi ocjenjivanja učinkovitosti djelovanja kontrola u sprječavanju ili otkrivanju i ispravljanju značajnih pogrešnih prikazivanja na razini tvrdnje. Zahtjevi Sveobuhvatne reakcije 5. Revizor će oblikovati i implementirati sveobuhvatne reakcije kako bi reagirao na procijenjene rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja. (Vidjeti točke: A1 – A3) Revizijski postupci kao reakcija na procijenjene rizike značajnih pogrešnih prikazivanja na razini tvrdnje 6. Revizor će oblikovati i provoditi daljnje revizijske postupke čija se vrsta, vremenski raspored i opseg temelje na procijenjenim rizicima značajnih pogrešnih prikazivanja na razini tvrdnje i koji odgovaraju na te rizike. (Vidjeti točke: A4 – A8; A42-A52) 7. Prilikom oblikovanja daljnjih revizijskih postupaka koje treba obaviti, revizor mora: (a) razmotriti razloge za procjenu rizika značajnih pogrešnih prikazivanja na razini tvrdnje za svaku signifikantnu klasu transakcija, stanje računa ili objavu, uključujući: (i) vjerojatnost i veličinu značajnih pogrešnih prikazivanja zbog određenih karakteristika signifikantne klase transakcija, stanja računa, ili objavljivanja (tj. inherentni rizik); i (ii) pitanje je li se prilikom procjene rizika vodilo računa o kontrolama koje rješavaju rizik značajnih pogrešnih prikazivanja (tj. o kontrolnom riziku), zahtijevajući time od revizora da pribavi revizijske dokaze kako bi utvrdio djeluju li kontrole učinkovito (tj. revizor planira testirati učinkovitost djelovanja kontrola prilikom određivanja vrsta, vremenskog rasporeda i obujma dokaznih postupaka); i (Vidjeti točke: A9 – A18) (b) prikupiti to uvjerljivije revizijske dokaze što je viša revizorova procjena rizika. (Vidjeti točku: A19) Testovi kontrola 8. Revizor će oblikovati i obaviti testove kontrola kako bi prikupio dostatne i primjerene revizijske dokaze za učinkovitost djelovanja kontrola ako: (a) revizorova procjena rizika značajnih pogrešnih prikazivanja na razini tvrdnje uključuje očekivanje da kontrole djeluju učinkovito (tj. revizor planira testirati učinkovitost djelovanja kontrola prilikom određivanja vrsta, vremenskog rasporeda i opsega dokaznih postupaka); ili (b) dokazni postupci sami za sebe ne mogu osigurati dostatne i primjerene revizijske dokaze na razini tvrdnje. (Vidjeti točke: A20 – A24) 9. Prilikom oblikovanja i obavljanja testova kontrola, što je veći stupanj revizorova oslanjanja na učinkovitost kontrola, revizor će prikupiti uvjerljivije revizijske dokaze. (Vidjeti točku: A25) Vrsta i opseg testova kontrola 10. Prilikom oblikovanja i obavljanja testova kontrola revizor će: (a) kako bi prikupio revizijske dokaze o učinkovitosti djelovanja kontrola provesti druge revizijske postupke u kombinaciji s postavljanjem upita, uključujući o: (i) načinu na koji su kontrole primijenjene u relevantnom vremenu tijekom razdoblja obuhvaćenog revizijom; (ii) dosljednosti njihove primjene; i (iii) tome tko ih je i na koji način primijenio; (Vidjeti točke: A26 – A29a) (b) u mjeri u kojoj to pitanje nije riješeno, odrediti ovise li kontrole koje treba testirati o drugim kontrolama (indirektne kontrole) i, ako ovise, je li potrebno prikupiti revizijske dokaze koji će potkrepljivati učinkovitost djelovanja tih indirektnih kontrola. (Vidjeti točke: A30 – A31) Vremenski raspored testova kontrole 11. Revizor će testirati kontrole za određeno razdoblje ili kroz određeno razdoblje, za koje se namjerava pouzdati u te kontrole, ovisno o točkama 12 i 15 u nastavku, kako bi osigurao primjerenu osnovu za revizorovo namjeravano pouzdavanje. (Vidjeti točku: A32) Korištenje revizijskih dokaza prikupljenih za razdoblje kraće od razdoblja obuhvaćenog revizijom 12. Ako revizor prikuplja revizijski dokaz o učinkovitosti djelovanja kontrola tijekom razdoblja kraćeg od razdoblja obuhvaćenog revizijom, revizor će: (a) prikupiti revizijske dokaze o značajnim promjenama tih kontrola za razdoblje nakon provedenih revizijskih postupaka; i (b) odrediti dodatne revizijske dokaze koji se trebaju prikupiti za preostalo razdoblje. (Vidjeti točke: A33 – A34) Korištenje revizijskih dokaza koji su pribavljeni u prethodnim revizijama 13. Prilikom odlučivanja je li prikladno koristiti revizijski dokaz o učinkovitosti djelovanja kontrola, koji je prikupljen u revizijama prethodnih razdoblja i, ako je prikladno, prilikom određivanja vremena koje može proteći prije ponovnog testiranja kontrole, revizor će razmotriti sljedeće: (a) učinkovitost drugih komponenti subjektovog sustava internih kontrola, uključujući kontrolno okruženje, proces monitoringa sustava internih kontrola te proces procjene rizika od strane poslovnog subjekta; (b) rizike koji proizlaze iz karakteristika kontrola, uključujući pitanje jesu li kontrole ručne ili automatizirane; (c) učinkovitost općih IT kontrola; (d) učinkovitost kontrola i njihovu primjenu od strane subjekta, uključujući vrstu i opseg odstupanja od njihove primjene zabilježene u prethodnim revizijama, i pitanje je li bilo promjena osoblja koja značajno utječu na primjenu kontrole; (e) pitanje uzrokuje li, uslijed promijenjenih okolnosti, nemijenjanje određene kontrole rizik; i (f) rizike značajnih pogrešnih prikazivanja i razmjer pouzdavanja u kontrolu. (Vidjeti točku: A35) 14. Ako revizor planira koristiti revizijski dokaz o operativnoj učinkovitosti određenih kontrola prikupljen u reviziji prethodnog razdoblja, revizor će osigurati i kontinuiranu relevantnost i pouzdanost tih dokaza prikupljanjem revizijskih dokaza o tome jesu li se nakon te revizije dogodile značajne promjene u tim kontrolama. Kako bi potvrdio razumijevanje tih određenih kontrola, revizor će taj dokaz prikupiti postavljanjem upita u kombinaciji s promatranjem ili provjeravanjem te će: (a) ako su se dogodile promjene koje utječu na nastavak relevantnosti revizijskog dokaza iz revizije prethodnog razdoblja, testirati kontrole tijekom tekuće revizije; i (Vidjeti točku: A36) (b) ako nije bilo takvih promjena, revizor će testirati kontrole najmanje jedanput u svakoj trećoj reviziji, a neke će kontrole testirati u svakoj reviziji kako bi se izbjegla mogućnost da se sve kontrole na koje se revizor namjerava osloniti testiraju u jednom razdoblju revizije bez testiranja kontrola u sljedeća dva razdoblja revizije. (Vidjeti točke: A37 – A39) Kontrole nad značajnim rizicima 15. Ako se revizor namjerava pouzdati u kontrole nad rizikom koji je utvrdio kao značajan, revizor će testirati te kontrole u tekućem razdoblju. Ocjenjivanje operativne učinkovitosti kontrola 16. Kad ocjenjuje operativnu učinkovitost kontrola, na koje se revizor namjerava osloniti, revizor će ocijeniti ukazuju li pogrešna prikazivanja koja su otkrivena dokaznim postupcima na to da kontrole ne djeluju učinkovito. Činjenica da se dokaznim postupcima nisu otkrila pogrešna prikazivanja, međutim, ne pruža revizijski dokaz da su kontrole koje se povezuju s testiranom tvrdnjom učinkovite. (Vidjeti točku: A40) 17. Ako se otkriju odstupanja od kontrola u koje se revizor namjerava pouzdati, revizor će postaviti posebne upite kako bi razumio te događaje i njihove moguće posljedice te će utvrditi: (Vidjeti točku: A41) (a) pružaju li obavljeni testovi kontrola odgovarajuću osnovu za oslanjanje na te kontrole; (b) jesu li potrebni dodatni testovi kontrola; ili (c) treba li rizike značajnih pogrešnih prikazivanja razriješiti korištenjem dokaznih postupaka. Dokazni postupci 18. Neovisno o procijenjenim rizicima značajnih pogrešnih prikazivanja, revizor će oblikovati i provesti dokazne postupke za svaku značajnu klasu transakcija, stanje računa i objavu. (Vidjeti točke: A42 – A47) 19. Revizor će razmotriti moraju li se postupci eksternih konfirmiranja provoditi kao dokazni revizijski postupci. (Vidjeti točke: A48 – A51) Dokazni postupci koji se odnose na proces zaključivanja financijskih izvještaja 20. Revizorovi dokazni postupci će uključiti sljedeće revizijske postupke koji se odnose na proces zaključivanja financijskih izvještaja: (a) uspoređivanje ili usklađivanje financijskih izvještaja s povezanim poslovnim knjigama, uključujući uspoređivanje ili usklađivanje informacije u objavama bez obzira jesu li takve informacije pribavljene iz ili izvan glavne i pomoćnih knjiga; i; (b) ispitivanje značajnih knjiženja u dnevniku i drugih usklađivanja knjiženih tijekom razdoblja pripreme financijskih izvještaja. (Vidjeti točku: A52) Dokazni postupci kao reakcije na značajne rizike 21. Ako revizor utvrdi da je procijenjeni rizik značajnih pogrešnih prikazivanja na razini tvrdnje značajan rizik, revizor će provesti dokazne postupke koji su odgovarajući za taj rizik. Kad se revizijski pristup reagiranja na značajni rizik sastoji samo u provedbi dokaznih postupaka, ti će postupci uključiti testove detalja. (Vidjeti točku: A53) Vremenski raspored dokaznih postupaka 22. Ako se dokazni postupci provode na datum prije kraja razdoblja obuhvaćenog revizijom, revizor će pokriti preostalo razdoblje provodeći: (a) dokazne postupke u kombinaciji s testovima kontrola za nepokriveno razdoblje; ili (b) ako revizor odredi da je dovoljno, samo daljnje dokazne postupke, koji osiguravaju razumnu osnovu za proširivanje revizijskih zaključaka na razdoblje od datuma prije datuma bilance kad su postupci provedeni do kraja razdoblja obuhvaćenog revizijom (Vidjeti točke: A54 – A57) 23. Ako na datum prije kraja razdoblja obuhvaćenog revizijom otkrije pogrešna prikazivanja koja nije očekivao da će otkriti kad je procjenjivao rizik značajnih pogrešnih prikazivanja, revizor će ocijeniti trebaju li se mijenjati povezana procjena rizika i planirane vrste, vremenski raspored ili opseg dokaznih postupaka koji se odnose na preostalo razdoblje do kraja razdoblja obuhvaćenog revizijom. (Vidjeti točku: A58) Prikladnost prezentacije financijskih izvještaja 24. Revizor će obaviti revizijske postupke kako bi ocijenio je li cjelokupna prezentacija financijskih izvještaja zajedno s povezanim objavama u skladu s primjenjivim okvirom financijskog izvještavanja. Pri tom ocjenjivanju revizor će razmotriti jesu li financijski izvještaji prezentirani na način koji primjereno odražava: • klasifikaciju i opis financijskih informacija i osnovnih transakcija, događaja i uvjeta: i • prezentaciju, strukturu i sadržaj financijskih izvještaja. (Vidjeti točku: A59) Ocjenjivanje dostatnosti i primjerenosti revizijskih dokaza 25. Revizor će na temelju provedenih revizijskih postupaka i prikupljenih revizijskih dokaza prije zaključivanja revizije ocijeniti jesu li procjene rizika značajnih pogrešnih prikazivanja na razini tvrdnje i dalje prikladne. (Vidjeti točke: A60 – A61) 26. Revizor će zaključiti jesu li prikupljeni dostatni i primjereni revizijski dokazi. Prilikom formiranja mišljenja, revizor će razmotriti sve značajne revizijske dokaze neovisno o tome potvrđuju li ili pobijaju li ti dokazi tvrdnje u financijskim izvještajima. (Vidjeti točku: A62) 27. Ako revizor nije prikupio dostatne i primjerene revizijske dokaze koji se odnose na relevantnu tvrdnju o klasi transakcija, stanju računa ili objavi, revizor će nastojati prikupiti dodatne revizijske dokaze. Ako revizor nije u mogućnosti prikupiti dostatne i primjerene revizijske dokaze, revizor će izraziti mišljenje s rezervom ili suzdržati se od mišljenja o financijskim izvještajima. Dokumentacija 28. Revizor će u revizijsku dokumentaciju uključiti: [103](MRevS 230, Revizijska dokumentacija, točke 8 – 11, i A6) (a) sveobuhvatne reakcije usmjerene na procijenjene rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja te vrste, vremenski raspored i opseg provedenih daljnjih revizijskih postupaka; (b) povezanost tih postupaka s procijenjenim rizicima na razini tvrdnji; i (c) rezultate revizijskih postupaka, uključujući zaključke u slučaju da oni nisu na drugačiji način očigledni. (Vidjeti točku: A63) 29. Ako revizor planira koristiti revizijske dokaze o operativnoj učinkovitosti kontrola prikupljene u proteklim revizijama, revizor će u revizijsku dokumentaciju uključiti zaključke donesene u vezi s oslanjanjem na kontrole koje su bile testirane u prethodnoj reviziji. 30. Revizorova dokumentacija će pokazivati da su informacije u financijskim izvještajima usklađene s potkrepljujućim računovodstvenim evidencijama, uključujući usklađivanje objavljivanja bez obzira jesu li takve informacije pribavljene iz ili izvan glavne i pomoćnih knjiga. Materijal za primjenu i ostali materijali s objašnjenjima Sveobuhvatne reakcije (Vidjeti točku: 5) A1. Sveobuhvatne reakcije radi rješavanja procijenjenih rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja mogu uključivati: • naglašavanje angažiranom timu potrebe za održavanjem profesionalnog skepticizma; • dodjeljivanje iskusnijeg osoblja ili onog osoblja koje ima specijalne vještine, odnosno korištenje eksperata; • promjene vrste, vremenskog rasporeda i opsega usmjeravanja i nadzora članova angažiranog tima i pregled obavljenog posla; • uključivanje dodatnih elemenata nepredvidljivosti u izboru daljnjih revizijskih postupaka koji se moraju obaviti; i • promjene sveobuhvatne revizijske strategije kao što zahtijeva MRevS 300, ili planiranih revizijskih postupaka i može uključivati promjene: o revizorovog utvrđenja značajnosti za provedbu u skladu s MRevS-om 320; o revizorovih planova testiranja operativne učinkovitosti kontrola i uvjerljivosti revizijskih dokaza koji su potrebni kao osnova za planirano oslanjanje na operativnu učinkovitost kontrola, osobito kad su identificirani nedostaci u kontrolnom okruženju ili subjektovim monitoring aktivnostima; o vrste, vremenskog rasporeda i opsega dokaznih postupaka. Naprimjer, može biti primjereno obaviti dokazne postupke na dan ili blizu datuma financijskih izvještaja kad je rizik značajnih pogrešnih prikazivanja procijenjen kao rizik više razine. A2. Na procjenu rizika značajnih pogrešnih prikazivanja na razini financijskih izvještaja, a samim time i na revizorove sveobuhvatne reakcije, utječe revizorovo razumijevanje kontrolnog okruženja. Učinkovito kontrolno okruženje omogućuje revizoru veće povjerenje u interne kontrole i pouzdanost interno prikupljenih revizijskih dokaza unutar poslovnog subjekta i stoga može, naprimjer, dopustiti revizoru provođenje nekih revizijskih postupka ranije tijekom razdoblja obuhvaćenog revizijom radije nego da ih provede na kraju tog razdoblja. Nedostaci u kontrolnom okruženju imaju suprotan učinak; na primjer, revizor može reagirati na neučinkovito kontrolno okruženje na način da: • obavi više revizijskih postupaka na kraju razdoblja, radije nego ranije tijekom razdoblja; • dokaznim postupcima prikupi šire revizijske dokaze; i • povećava broj lokacija koje treba uključiti u opseg revizije. A3. Stoga su takva razmatranja značajna za revizorov opći pristup, na primjer pristup u kojemu je naglasak na dokaznim postupcima (dokazni pristup) ili pristup koji koristi testove kontrola i dokazne postupke (kombinirani pristup). Revizijski postupci kao reakcija na procijenjene rizike značajnih pogrešnih prikazivanja na razini tvrdnje Vrsta, vremenski raspored i opseg daljnjih revizijskih postupaka (Vidjeti točku: 6) A4. Revizorova procjena identificiranih rizika značajnih pogrešnih prikazivanja na razini tvrdnje osigurava osnovu za razmatranja primjerenog revizijskog pristupa u oblikovanju i provedbi daljnjih revizijskih postupaka. Naprimjer, revizor može odrediti da: (a) jedino obavljanjem testova kontrola revizor može postići učinkovitu reakciju na procijenjeni rizik nastanka značajnih pogrešnih prikazivanja za određenu tvrdnju; (b) je obavljanje samo dokaznih postupaka prikladno za određene tvrdnje i stoga revizor isključuje utjecaj kontrola iz procjene rizika značajnih pogrešnih prikazivanja. To može biti zbog toga što revizor nije identificirao rizik za koji dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze te se stoga ne zahtijeva testiranje operativne učinkovitosti kontrola. Stoga revizor možda neće planirati testiranje operativne učinkovitosti kontrola prilikom određivanja vrsta, vremenskog rasporeda i opsega dokaznih postupaka; ili (c) je učinkoviti pristup upravo kombinirani pristup, gdje se zajedno koriste testovi kontrola i dokazni postupci. Revizor ne treba oblikovati i obaviti daljnje revizijske postupke gdje je procjena rizika značajnih pogrešnih prikazivanja ispod prihvatljivo niske razine. Međutim, kao što nalaže točka 18, neovisno o odabranom pristupu i procijenjenom riziku značajnih pogrešnih prikazivanja revizor oblikuje i provodi dokazne postupke za svaku značajnu klasu transakcija, stanje računa, i objavu. A5. Vrsta revizijskog postupka odnosi se na njegovu svrhu (tj. test kontrola ili dokazni postupak) i na njegov tip (tj. provjeravanje, promatranje, upit, konfirmiranje, ponovno izračunavanje, ponovno izvođenje ili analitičke postupke). Vrsta revizijskih postupaka je od najveće važnosti u reagiranju na procijenjene rizike. A6. Vremenski raspored revizijskog postupka odnosi se na vrijeme kad se postupak provodi ili na razdoblje ili datum na koji se odnosi revizijski dokaz. A7. Opseg revizijskog postupka odnosi se na količinu postupaka koji se trebaju provesti, primjerice, na veličinu uzorka ili broj promatranja kontrola. A8. Oblikovanje i provedba daljnjih revizijskih postupaka čija se vrsta, vremenski raspored i opseg temelje na procijenjenim rizicima značajnih pogrešnih prikazivanja na razini tvrdnje, i reakcija su na njih, pružaju jasnu vezu između revizorovih daljnjih revizijskih postupaka i procjene rizika. Reakcije na procijenjene rizike na razini tvrdnje (Vidjeti točku: 7(a)) Vrsta A9. MRevS 315 (izmijenjen 2019.) zahtijeva da se revizorova procjena rizika značajnih pogrešnih prikazivanja na razini tvrdnje obavi kroz procjenu inherentnog rizika i kontrolnog rizika. Revizor procjenjuje inherentni rizik procjenom vjerojatnosti i veličine pogrešnog prikazivanja uzimajući u obzir način i stupanj do kojeg čimbenici inheretnog rizika utječu na podložnost relevantnih tvrdnji pogrešnom prikazivanju.[104](MRevS 315 (izmijenjen 2019.), točke 31 i 34) Revizorovi procijenjeni rizici, uključujući razloge za te procijenjene rizike, mogu utjecati na izvođenje obje vrste revizijskih postupaka koje treba obaviti i na njihovu kombinaciju. Primjerice, kad je procijenjeni rizik visok, revizor može tražiti da, uz provjeru dokumenta, treća stranka konfirmira potpunost uvjeta iz ugovora. Nadalje, za neke tvrdnje pojedini revizijski postupci mogu biti primjereniji nego neki drugi. Primjerice, kad je riječ o prihodima, testovi kontrola mogu biti najbolja reakcija na procijenjeni rizik značajnih pogrešnih prikazivanja tvrdnje o potpunosti, dok dokazni postupci mogu biti najbolja reakcija na procjenu rizika značajnih pogrešnih prikazivanja tvrdnje o nastanku događaja. A10. Za određivanje vrsta revizijskih postupaka značajni su razlozi za procjenu koja se pridružuje riziku. Naprimjer, ako je procijenjeni rizik niži zbog pojedinih karakteristika klase transakcija, bez razmatranja povezanih kontrola, tada revizor može odrediti da sami dokazni analitički postupci mogu osigurati dostatne i primjerene revizijske dokaze. S druge pak strane, ako je zbog toga što revizor planira testirati operativnu učinkovitost kontrola niži rizik, i revizor namjerava temeljiti dokazne postupke na toj niskoj procjeni, tada provodi testove tih kontrola, kao što to nalaže točka 8(a). To može biti slučaj kod, primjerice, klase transakcija razumno istovrsnih jednostavnih karakteristika koje se rutinski obrađuju i kontroliraju subjektovim informacijskim sustavom. Vremenski raspored A11. Revizor može obavljati testove kontrola ili dokazne postupke u tijeku razdoblja obuhvaćenog revizijom ili na kraju tog razdoblja. Što je rizik značajnih pogrešnih prikazivanja viši, to je vjerojatnije da revizor može odlučiti kako je učinkovitije obaviti dokazne postupke u vremenu blizu ili na kraju razdoblja radije nego na neki raniji datum, ili će revizijske postupke obaviti nenajavljeno ili u nepredvidivo vrijeme (na primjer, provodeći nenajavljene revizijske postupke na odabranim lokacijama). To je osobito relevantno pri razmatranju reakcija na rizike prijevare. Naprimjer, revizor može zaključiti da, kad su identificirani rizici namjernog pogrešnog prikazivanja ili manipulacija, revizijski postupci, kojima se proširuju revizijski zaključci za razdoblje od kad su postupci provedeni do kraja razdoblja obuhvaćenog revizijom, neće biti učinkoviti. A12. S druge strane, obavljanje revizijskih postupaka prije datuma kraja razdoblja može pomoći revizoru u identificiranju značajnih pitanja u ranim fazama revizije te ih posljedično tome može riješiti uz pomoć menadžmenta, ili kroz razvijanje djelotvornog revizijskog pristupa rješavanju takvih pitanja. A13. Povrh toga, određeni revizijski postupci mogu se provoditi isključivo na kraju razdoblja ili nakon toga, naprimjer: • usklađivanje informacija u financijskim izvještajima s računovodstvenim evidencijama, uključujući usklađivanje objavljivanja bez obzira jesu li informacije pribavljene iz ili izvan glavne knjige i pomoćnih knjiga; • ispitivanje usklađivanja obavljenih tijekom sastavljanja financijskih izvještaja; i • postupci kojima se reagira na rizik da subjekt, na kraju razdoblja, može sklopiti neodgovarajuće ugovore o prodaji ili transakcije koje možda neće moći biti završene do kraja razdoblja. A14. Daljnji relevantni čimbenici koji utječu na revizorovo razmatranje vremenskog rasporeda obavljanja revizijskih postupaka uključuju sljedeće: • kontrolno okruženje; • vrijeme dostupnosti relevantnih informacija (naprimjer, elektronički dokumenti mogu biti naknadno upisani preko starih podataka pri čemu se stari podaci nepovratno brišu ili postupci koje treba promatrati mogu nastati isključivo u određeno vrijeme); • vrstu rizika (naprimjer, ako postoji rizik prikazivanja nerealnih prihoda kako bi se naknadnim stvaranjem lažnih sporazuma o prodaji postigla očekivana zarada, revizor može tražiti da se ispitaju ugovori dostupni na datum kraja razdoblja); • razdoblje ili datum na koji se odnosi revizijski dokaz; i • vremenski raspored pripreme financijskih izvještaja, osobito za ona objavljivanja koja pružaju daljnja objašnjenja o iznosima koji su knjiženi u izvještaju o financijskom položaju, izvještaju o sveobuhvatnoj dobiti ili gubitku, izvještaju o promjenama na kapitalu ili u izvještaju o novčanim tokovima. Opseg A15. Opseg revizijskih postupaka koji se prosuđuje potrebnim određuje se nakon razmatranja značajnosti, procijenjenog rizika i stupnja uvjerenja koji revizor planira postići. Kad se pojedina svrha ostvaruje kombinacijom postupaka, opseg svakog postupka razmatra se zasebno. Općenito, opseg revizijskih postupaka se povećava kako se povećava rizik značajnih pogrešnih prikazivanja. Naprimjer, kao reakcija na procijenjeni rizik značajnih pogrešnih prikazivanja zbog prijevare može biti primjereno povećati veličinu uzorka ili obaviti dokazne analitičke postupke na detaljnijoj razini. Međutim, povećanje opsega revizijskih postupaka je učinkovito jedino ako je sam revizijski postupak relevantan za specifičan rizik. A16. Upotreba revizijskih tehnika potpomognutih računalom (CAATs) može omogućiti opsežnije testiranje elektroničkih transakcija i datoteka što može biti korisno, naprimjer, kad revizor, reagirajući na rizike značajnih pogrešnih prikazivanja koja se povezuju s prijevarom, odluči promijeniti opseg testiranja. Takve se tehnike mogu koristiti za izbor uzroka transakcija iz ključnih elektroničkih datoteka kako bi se izabrale transakcije sa specifičnim karakteristikama ili kako bi se umjesto uzorka testirala čitava populacija. Posebna razmatranja za subjekte javnog sektora A17. Kad je riječ o revizijama subjekata javnog sektora, ovlaštenje za provedbu revizije i bilo koji drugi posebni revizijski zahtjevi mogu utjecati na revizorovo razmatranje vrste, vremenskog rasporeda i opsega daljnjih revizijskih postupaka. Posebna razmatranja za manje subjekte A18. Kod vrlo malih subjekata možda neće postojati mnogo kontrola koje bi revizor mogao identificirati, ili može biti ograničen pisani trag o njihovom postojanju, odnosno načinu njihova djelovanja. U takvim slučajevima, za revizora može biti učinkovitije provoditi daljnje revizijske postupke koji su primarno dokazni postupci. U rijetkim pak slučajevima odsustvo kontrola ili komponenti sustava internih kontrola može onemogućiti prikupljanje dostatnih i primjerenih revizijskih dokaza. Više procjene rizika (Vidjeti točku 7(b)) A19. Kad zbog više procjene rizika prikuplja više uvjerljivijih revizijskih dokaza, revizor može povećati količinu dokaza ili prikupiti relevantniji ili pouzdaniji dokaz, primjerice, stavljanjem većeg naglaska na prikupljanje dokaza od trećih stranaka ili prikupljanjem potvrđujućih dokaza iz nekoliko neovisnih izvora. Testovi kontrola Oblikovanje i provedba testova kontrola (Vidjeti točku: 8) A20. Testovi kontrola provode se isključivo za one kontrole za koje je revizor utvrdio da su prikladno oblikovane za sprječavanje, ili otkrivanje i ispravljanje, značajnih pogrešnih prikazivanja u relevantnoj tvrdnji i revizor planira testirati te kontrole. Ako su u različitim periodima obračunskog razdoblja obuhvaćenog revizijom korištene bitno različite kontrole, svaka se razmatra odvojeno. A21. Testiranje operativne učinkovitosti kontrola razlikuje se od stjecanja razumijevanja kontrola i ocjenjivanja oblikovanosti i implementacije kontrola. Međutim, koriste se iste vrste revizijskih postupaka. Prema tome, revizor može odlučiti da je učinkovitije testirati operativnu učinkovitost kontrola u isto vrijeme kad se ocjenjuje i njihovo oblikovanje te kad se utvrđuje jesu li te kontrole i implementirane. A22. Nadalje, premda neki postupci procjene rizika možda nisu izričito oblikovani kao testovi kontrola, oni usprkos tome mogu osigurati revizijske dokaze o operativnoj učinkovitosti kontrola i, kao takvi služiti kao testovi kontrola. Naprimjer, revizorovi postupci procjene rizika mogu uključivati: • postavljanje upita o menadžmentovom korištenju planova; • promatranje menadžmentove usporedbe mjesečnih planiranih i ostvarenih rashoda; • provjeravanje izvješća koja se odnose na istraživanje odstupanja između planiranih i ostvarenih iznosa. Ovi revizijski postupci pružaju spoznaju o subjektovoj oblikovanosti politika planiranja i o tome jesu li te politike implementirane te se njima također mogu prikupiti revizijski dokazi o učinkovitosti djelovanja politike planiranja u sprječavanju ili otkrivanju značajnih pogrešnih prikazivanja u klasifikaciji rashoda. A23. Dodatno, revizor može oblikovati test kontrola koji će se izvoditi istovremeno s testom detalja iste transakcije. Premda se svrha testa kontrola razlikuje od svrhe testa detalja, obje se mogu istovremeno postići provedbom testa kontrola i testa detalja iste transakcije, također poznatih pod nazivom ‘’test s dvostrukom svrhom’’. Primjerice, revizor može oblikovati i procijeniti rezultate testa kako bi ispitivanjem fakture odredio je li faktura odobrena i kako bi osigurao revizijski dokaz o transakciji. Test s dvostrukom svrhom oblikuje se i ocjenjuje razmatranjem svrhe svakog testa odvojeno. A24. U nekim slučajevima, revizor može utvrditi da nije moguće oblikovati učinkovite dokazne postupke pomoću kojih bi prikupio dostatne i primjerene revizijske dokaze na razini tvrdnje.[105](MRevS 315 (izmijenjen 2019.), točka 33) To može nastati kad subjekt u poslovanju koristi informacijske tehnologije te ne nastaje dokumentacija o transakcijama niti se ona održava na drugačiji način od onog u samom IT sustavu. U takvim slučajevima, točka 8(b) zahtijeva da revizor obavi testove kontrola koje rješavaju rizik za koji dokazni postupci sami za sebe ne mogu pružiti dovoljne i primjerene revizijske dokaze. Revizijski dokaz i namjeravano oslanjanje na kontrole (Vidjeti točku: 9) A25. Kad se prihvaćeni pristup prvenstveno sastoji od testova kontrola, posebice gdje nije moguće ili gdje nije praktično prikupiti dostatne i primjerene revizijske dokaze isključivo putem dokaznih postupaka, može se tražiti viša razina uvjerenja o učinkovitosti djelovanja kontrola. Vrste i opseg testova kontrola Drugi revizijski postupci u kombinaciji s upitom (Vidjeti točku: 10(a)) A26. Upit sam za sebe nije dovoljan za testiranje operativne učinkovitosti kontrola. Stoga se u kombinaciji s upitom provode drugi revizijski postupci. U tom pogledu, upit u kombinaciji s provjerom ili ponovnim izvođenjem može osigurati veće uvjerenje nego upit i promatranje, budući da se promatranje odnosi isključivo na trenutak u kojem je provedeno promatranje. A27. Vrsta pojedine kontrole utječe na vrstu revizijskog postupka potrebnog za prikupljanje revizijskog dokaza o tome jesu li kontrole učinkovito djelovale. Primjerice, ako za neke kontrole postoji dokumentacija o njihovoj operativnoj učinkovitosti, revizor može odlučiti provjeriti tu dokumentaciju kako bi prikupio revizijski dokaz o operativnoj učinkovitosti. Za druge kontrole pak takva dokumentacija možda neće biti dostupna ili relevantna. Naprimjer, dokumentacija o djelovanju možda neće postojati za neke čimbenike u kontrolnom okruženju, kao što su dodjeljivanje ovlaštenja i odgovornosti, ili za neke vrste kontrola, kao što su automatizirane kontrole. U tim se okolnostima revizijski dokaz o operativnoj učinkovitosti može prikupiti upitom u kombinaciji s drugim revizijskim postupcima, kao što su promatranje ili upotreba revizijskih tehnika potpomognutih računalom (CAAT). Opseg testova kontrola A28. Kad je potreban još uvjerljiviji revizijski dokaz o učinkovitosti kontrole, može biti prikladno povećati opseg testova kontrole. Uz razmatranje stupnja oslanjanja na kontrole, prilikom određivanja obujma testova kontrola, revizor može razmotriti sljedeća pitanja: • učestalost provedbe kontrola od strane poslovnog subjekta tijekom razdoblja; • duljinu vremena u kojem se revizor oslanja na operativnu učinkovitost kontrola tijekom revizijskog razdoblja; • očekivanu stopu odstupanja od kontrola; • relevantnost i pouzdanost revizijskih dokaza koji se prikupljaju u vezi s učinkovitošću djelovanja kontrola na razini tvrdnji; i. • opseg revizijskih dokaza prikupljen testovima drugih kontrola povezanih s tvrdnjom. MRevS 530[106](MRevS 530, Revizijsko uzorkovanje) sadrži daljnje upute o opsegu testiranja. A29. Revizor možda neće trebati povećati opseg testiranja automatizirane kontrole upravo zbog konzistentnosti svojstvene IT obradama. Može se očekivati da će automatizirane kontrole funkcionirati dosljedno sve dok se IT aplikacija ne izmijeni (uključujući tabele, datoteke ili druge stalne podatke koje IT aplikacija koristi). Jednom kad revizor utvrdi da automatizirana kontrola djeluje kao što je očekivano (što se može provesti u isto vrijeme kad se kontrole inicijalno implementiraju ili na neki drugi datum), revizor može razmotriti provedbu testova kako bi utvrdio da kontrole i dalje učinkovito djeluju. Takvi testovi mogu uključiti testiranje općih IT kontrola povezanih s IT aplikacijom. A29a. Slično tome, revizor može obaviti testove kontrola koje rješavanju rizike značajnih pogrešnih prikazivanja koji su povezani s integritetom subjektovih podataka ili s potpunošću i točnošću izvještaja koje generira subjektov sustav ili s rješavanjem rizika značajnih pogrešnih prikazivanja za koje dokazni postupci sami za sebe ne mogu pružiti dostatne i primjerene revizijske dokaze. Ovi testovi kontrola mogu uključivati testove općih IT kontrola koje rješavaju pitanja iz točke 10(a). Kad je to slučaj, revizor će možda trebati obaviti daljnje testiranje radi pribavljanja revizijskih dokaza o pitanjima iz točke 10(a). A29b. Kad revizor utvrdi da opća IT kontrola ima nedostatak, revizor može razmotriti vrstu povezanog(ih) rizika koji proizlaze iz uporabe IT-a koji su identificirani u skladu s MRevS 315 (izmijenjen 2019.)[107](MRevS 315 (izmijenjen 2019.), točka 26(c)(i)) kako bi pružili osnovu za oblikovanje revizorovih dodatnih postupaka za rješavanje procijenjenog rizika značajnih pogrešnih prikazivanja. Takvi postupci mogu riješiti pitanja: • je(su) li nastao(nastali) povezani rizik(rizici) koji proizlaze iz IT-a. Na primjer, ako korisnici imaju neovlašteni pristup IT aplikaciji (ali ne mogu pristupiti ili modificirati sistemske logove koji bilježe pristup), revizor može provjeriti sistemske logove radi pribavljanja revizijskih dokaza o tome da korisnici nisu pristupali toj IT aplikaciji tijekom razdoblja. • postoje li bilo koje alternativne ili suvišne opće IT kontrole ili bilo koje druge kontrole koje rješavaju povezani rizik(rizike) koji proizlaze iz uporabe IT-a. Ako postoje, revizor može identificirati takve kontrole (ako već nisu identificirane) i stoga ocijeniti njihovo oblikovanje, utvrditi da su implementirane i obaviti testove njihove operativne učinkovitosti. Naprimjer, ako opća IT kontrola povezana s pristupanjem korisnika ima nedostatak, subjekt može imati alternativnu kontrolu pri čemu IT menadžment pravovremeno pregledava izvještaje o pristupanju krajnjih korisnika. Okolnosti u kojima aplikacijska kontrola može riješiti rizik koji proizlazi iz uporabe IT-a može uključivati situaciju kad se informacija na koju može utjecati nedostatak opće IT kontrole može uskladiti s eksternim izvorima (npr. izvodom iz računa banke) ili internim izvorima na koje nije utjecao nedostatak opće IT kontrole (npr. posebna IT aplikacija ili izvor podataka). Testiranje indirektnih kontrola (Vidjeti točku: 10(b)) A30. U nekim okolnostima, može biti nužno prikupiti revizijski dokaz koji potkrepljuje učinkovito djelovanje indirektnih kontrola (npr. općih IT kontrola). Kako je objašnjeno u točkama A29 do A29b, opće IT kontrole su možda identificirane u skladu s MRevS 315 (izmijenjen 2019.) zbog njihove podrške operativnoj učinkovitosti automatiziranih kontrola ili zbog njihove podrške održavanju integriteta informacija koje se koriste u financijskom izvještavanju subjekta, uključujući izvještaje koje generira sustav. Zahtjev iz točke 10(b) priznaje da je revizor već mogao testirati određene neizravne kontrole kako bi riješio pitanja iz točke 10(a). Vremenski raspored testova kontrola Namjeravano razdoblje oslanjanja na kontrole (Vidjeti točku: 11) A32. Revizijski dokaz koji se isključivo odnosi na točku u vremenu može biti dovoljan za potrebe revizije, naprimjer, kad se testiraju kontrole nad fizičkim popisivanjem zaliha subjekta na kraju razdoblja. Ako se pak, s druge strane, revizor namjerava osloniti na kontrole tijekom razdoblja, primjereni su testovi koji mogu pružiti revizijski dokaz o učinkovitosti kontrola u relevantnom vremenu tijekom razdoblja pod revizijom. Takvi testovi mogu uključiti testove kontrola subjektovog procesa monitoringa sustava internih kontrola. Korištenje revizijskih dokaza prikupljenih u razdoblju kraćem od razdoblja obuhvaćenog revizijom (Vidjeti točku: 12(b)) A33. Za određivanje koji se dodatni revizijski dokazi o kontrolama koje djeluju tijekom preostalog razdoblja nakon isteka razdoblja kraćeg od razdoblja obuhvaćenog revizijom trebaju prikupiti relevantni čimbenici uključuju: • značajnost procijenjenih rizika značajnih pogrešnih prikazivanja na razini tvrdnje; • specifične kontrole koje su testirane tijekom razdoblja kraćeg od razdoblja obuhvaćenog revizijom i značajne promjene tih kontrola nakon što su testirane, uključujući promjene u informacijskom sustavu, procesima i osoblju; • stupanj do kojeg su se osigurali revizijski dokazi o učinkovitosti djelovanja tih kontrola; • duljina preostalog razdoblja; • opseg do kojeg revizor namjerava smanjiti daljnje dokazne postupke na temelju pouzdavanja u kontrole; i • kontrolno okruženje. A34. Dodatni se revizijski dokaz može prikupiti, naprimjer, proširivanjem testova kontrola na preostalo razdoblje ili testiranjem subjektovog monitoringa kontrola. Korištenje revizijskog dokaza prikupljenog u prethodnim revizijama (Vidjeti točku: 13) A35. U određenim okolnostima, revizijski dokaz prikupljen u prethodnim revizijama može pružiti revizijski dokaz ako revizor obavlja revizijske postupke kako bi utvrdio njegovu kontinuiranu relevantnost i pouzdanost. Naprimjer, prilikom obavljanja prethodne revizije, revizor je mogao utvrditi da je automatizirana kontrola djelovala u skladu s njezinom namjenom. Revizor može pribaviti revizijski dokaz radi utvrđivanja jesu li učinjene promjene automatizirane te kontrole koje utječu na njezino kontinuirano funkcioniranje i to, primjerice, postavljanjem upita menadžmentu i provjeravanjem logova što može ukazivati na to koje su kontrole promijenjene. Uzimanje u obzir revizijskog dokaza o tim promjenama može biti razlogom za prikupljanje većeg ili manjeg opsega revizijskih dokaza o učinkovitom djelovanju kontrola u tekućem razdoblju. Kontrole koje su se promijenile nakon prethodnih revizija (Vidjeti točku: 14(a)) A36. Promjene kontrola mogu utjecati na relevantnost i pouzdanost revizijskih dokaza koji su prikupljeni u prethodnim revizijama pa tako ti dokazi možda više neće biti osnova za nastavak oslanjanja na te kontrole. Naprimjer, promjene u sustavu koji omogućuje subjektu primanje novog izvješća iz postojećeg sustava, vjerojatno ne utječu na relevantnost revizijskog dokaza prikupljenog u prethodnoj reviziji; međutim, promjena koja uzrokuje prikupljanje i obradu podataka na drugačiji način utječe na relevantnost dokaza. Kontrole koje se nisu promijenile nakon prethodnih revizija (Vidjeti točku: 14(b)) A37. Revizorova odluka hoće li se osloniti na revizijski dokaz prikupljen u prethodnim revizijama: (a) za kontrole koje se nisu promijenile od trenutka kad su posljednji put testirane, i (b) kad se radi o kontrolama koje ne smanjuju značajan rizik, pitanje je profesionalne prosudbe. Dodatno, trajanje razdoblja između ponovnog testiranja takvih kontrola također je pitanje profesionalne prosudbe, ali kao što se zahtijeva točkom 14(b) to se testiranje treba provesti najmanje jednom svake tri godine. A38. Općenito, što je rizik značajnih pogrešnih prikazivanja viši, ili što je veće oslanjanje na kontrole, vjerojatno treba proteći kraće vremensko razdoblje za testiranje kontrola. Čimbenici koji mogu skratiti vrijeme ponovnog testiranja kontrola ili zbog kojih se revizor uopće ne oslanja na revizijski dokaz prikupljen u prethodnim revizijama, uključuju sljedeće: • manjkavo kontrolno okruženje; • nedostatak u subjektovom procesu monitoringa sustava internih kontrola; • značajni ručni element u kontrolama; • promjene onog osoblja koje značajno utječe na primjenu kontrole; • promjene u okolnostima koje ukazuju na potrebu promjena u kontroli; i • manjkave opće IT kontrole. A39. Kad postoji nekoliko kontrola za koje se revizor namjerava osloniti na revizijske dokaze koji su pribavljeni u prethodnim revizijama, testiranje nekih od tih kontrola u svakoj reviziji pruža potkrepljujuću informaciju o kontinuiranoj učinkovitosti kontrolnog okruženja. To pomaže revizorovoj odluci o primjerenosti pouzdavanja u revizijski dokaz koji je pribavljen u prethodnim revizijama. Ocjenjivanje učinkovitosti djelovanja kontrola (Vidjeti točke:16 – 17) A40. Značajno pogrešno prikazivanje otkriveno revizorovim postupcima predstavlja snažan indikator postojanja značajnih nedostataka u internim kontrolama. A41. Koncept učinkovitosti djelovanja kontrola uvažava mogućnost nastanka odstupanja u načinu primjene kontrola od strane poslovnog subjekta. Odstupanja od propisanih kontrola mogu nastati, primjerice, zbog čimbenika kao što su promjene ključnog osoblja, značajne sezonske fluktuacije u opsegu transakcija i ljudske pogreške. Otkrivena stopa odstupanja, osobito u usporedbi s očekivanom stopom, može upućivati na to da se na te kontrole ne može oslanjati da bi se rizik na razini tvrdnje smanjio na onaj koji je procijenio revizor. Dokazni postupci (Vidjeti točke: 6, 18) A42. Točka 18 zahtijeva od revizora da oblikuje i obavi dokazne postupke za svaku signifikantnu klasu transakcija, stanje računa i objavu. Za signifikantne klase transakcija, stanja računa i objava, dokazni postupci su već mogli biti obavljeni jer točka 6 zahtijeva od revizora oblikovanje i obavljanje daljnjih revizijskih postupaka koji su reakcija na procijenjene rizike značajnih pogrešnih prikazivanja na razini tvrdnje. Sukladno tome, dokazni postupci moraju biti oblikovani i provedeni u skladu s točkom 18: • kad daljnji revizijski postupci za signifikantne klase transakcija, stanja računa ili objava koji su oblikovani i obavljeni u skladu s točkom 6 nisu uključili dokazne postupke; ili • za svaku klasu transakcija, stanja računa ili objave koja nije signifikantna klasa transakcija, stanje računa ili objava, ali koja je identificirana kao značajna u skladu s MRevS-om 315 (izmijenjen 2019).[108](MRevS 315 (izmijenjen 2019.), točka 36); • ovaj se zahtjev odnosi na činjenicu da: (a) revizorova procjena rizika je pitanje prosudbe pa revizor možda neće identificirati sve rizike značajnih pogrešnih prikazivanja; i (b) postoje inherentna ograničenja internih kontrola, uključujući mogućnost da ih menadžment zaobiđe. A42a. Nije potrebno testirati sve tvrdnje u sklopu značajne klase transakcija, stanja računa ili objave. Umjesto toga, pri oblikovanju dokaznih postupaka koje treba obaviti, revizorovo razmatranje tvrdnje (tvrdnji) za koje, ako bi nastalo pogrešno prikazivanje, postoji razumna mogućnost značajnosti pogrešnog prikazivanja, može pomoći pri identificiranju primjerenih vrsti, vremenskog rasporeda i opsega postupaka koje treba obaviti. Vrste i opseg dokaznih postupaka A43. Ovisno o okolnostima, revizor može odrediti da: • će provedba isključivo dokaznih analitičkih postupaka biti dovoljna da se revizijski rizik smanji na prihvatljivo nisku razinu. Naprimjer, gdje se revizorova procjena rizika temelji na revizijskim dokazima iz testova kontrola; • su jedino testovi detalja primjereni; i • je kombinacija dokaznih analitičkih postupaka i testova detalja najbolja reakcija na procijenjene rizike. A44. Dokazni analitički postupci općenito su primjenjiviji na velike iznose transakcija koji se mogu predvidjeti u tijeku razdoblja. MRevS 520[109](MRevS 520, Analitički postupci) određuje zahtjeve i pruža upute za primjenu analitičkih postupaka tijekom revizije A45. Procjena rizika ili vrste tvrdnje je relevantna za oblikovanje testova detalja. Naprimjer, testovi detalja povezani s tvrdnjom o postojanju ili nastanku mogu uključivati izbor iz stavaka sadržanih u iznosu iskazanom u financijskom izvještaju i prikupljanje relevantnih revizijskih dokaza. S druge strane, testovi detalja povezani s tvrdnjom o potpunosti mogu uključivati izbor između stavaka za koje se očekuje da će biti uključene u relevantan iznos u financijskom izvještaju i ispitivanje jesu li te stavke uključene. A46. Upravo stoga što procjena rizika značajnih pogrešnih prikazivanja uzima u obzir kontrole koje revizor planira testirati, možda će trebati povećati opseg dokaznih postupaka kad rezultati testova kontrola postanu nezadovoljavajući. Međutim, porast opsega revizijskog postupka primjeren je samo ako je sam revizijski postupak relevantan za određeni rizik. A47. U oblikovanju testova detalja, pod opsegom testiranja uobičajeno se misli na veličinu uzorka. Međutim, druga su pitanja također relevantna, uključujući pitanje je li učinkovitije koristiti ostale načine testiranja. Vidjeti MRevS 500.[110](MRevS 500, Revizijski dokazi, točka 10) Razmatranje treba li provesti postupke eksternog konfirmiranja (Vidjeti točku: 19) A48. Postupci eksternih konfirmiranja često su relevantni za tvrdnje koje se povezuju sa stanjima računa i njihovim elementima, ali ne smiju biti ograničeni na te stavke. Na primjer, revizor može tražiti vanjsko konfirmiranje uvjeta iz sporazuma, ugovora ili transakcija između subjekta i drugih stranaka. Postupci eksternog konfirmiranja također se mogu provoditi kako bi se prikupili revizijski dokazi o odsutnosti određenih uvjeta. Na primjer, u zahtjevu se može izričito tražiti konfirmiranje da ne postoji »dodatni sporazum« koji može biti relevantan za ispitivanje tvrdnje o razgraničenju subjektovih prihoda. Druge situacije gdje postupci eksternog konfirmiranja mogu osigurati relevantne revizijske dokaze koji se odnose na procijenjene rizike značajnih pogrešnih prikazivanja uključuju: • stanja računa u banci i druge informacije relevantne za odnose s bankom; • stanje potraživanja od kupaca i rokove dospijeća; • zalihe koje drže treće stranke u carinskim skladištima za obradu ili u konsignaciji; • vlasničke dokumente koje drže odvjetnici ili financijski djelatnici radi sigurnog čuvanja ili kao osiguranje; • ulaganja koja se drže na čuvanju kod trećih strana ili koja su kupljena od burzovnih mešetara a koja nisu isporučena do datuma bilance; • iznose koji se duguju vjerovnicima, uključujući relevantne rokove otplate i restriktivne klauzule; i • stanje obveza prema dobavljačima i rokove dospijeća. A49. Premda eksterna konfirmiranja mogu osigurati relevantne revizijske dokaze koji se odnose na određene tvrdnje, postoje neke tvrdnje za koje eksterna konfirmiranja osiguravaju manje relevantne revizijske dokaze. Naprimjer, eksterne konfirmacije pružaju manje relevantne revizijske dokaze u vezi s naplativošću potraživanja od kupaca, nego u vezi s njihovim postojanjem. A50. Revizor može odrediti da postupci eksternog konfirmiranja provedeni u jednu svrhu pružaju mogućnost prikupljanja revizijskih dokaza o drugim pitanjima. Naprimjer, zahtjev za konfirmiranjem stanja računa u banci često uključuje zahtjev za informacijama koje su relevantne za druge tvrdnje financijskih izvještaja. Takva razmatranja mogu utjecati na revizorovu odluku o tome hoće li provesti postupke eksternog konfirmiranja. A51. Čimbenici koji mogu pomoći revizoru u odlučivanju trebaju li se obaviti postupci eksternog konfirmiranja kao dokazni revizijski postupci, uključuju: • poznavanje problematike od strane osobe kojoj se upućuje zahtjev za konfirmiranje – odgovori mogu biti još pouzdaniji ako ih daje osoba koja ima potrebna saznanja o informacijama koje se potvrđuju; • sposobnost ili voljnost ciljane osobe kojoj se upućuje zahtjev za konfirmiranje da odgovori, naprimjer, stranka na koju se odnosi zahtjev: o ne može prihvatiti odgovornost za odgovaranje na zahtjev za konfirmaciju; o može smatrati odgovaranje preskupim ili će smatrati da zahtijeva previše vremena; o je zabrinuta za potencijalnu pravnu odgovornost koja proizlazi iz odgovaranja; o može obračunavati transakcije u različitim valutama; ili o može djelovati u okruženju gdje odgovaranje na zahtjev za konfirmiranje nije značajni aspekt svakodnevnog poslovanja. U tim situacijama, stranke koje bi trebale potvrditi informaciju možda ne odgovore, možda odgovore površno ili možda pokušaju ograničiti oslanjanje na te odgovore; i • objektivnost ciljane osobe kojoj se upućuje zahtjev za konfirmiranje – ako je ta osoba povezana stranka subjekta, odgovori na zahtjev za konfirmiranje mogu biti manje pouzdani. Dokazni postupci povezani s procesom zaključivanja financijskih izvještaja (Vidjeti točku: 20) A52. Vrsta, a također i opseg revizorovih dokaznih postupaka koji se odnose na proces zaključivanja financijskih izvještaja ovise o vrsti i složenosti subjektovog procesa financijskog izvještavanja i o povezanim rizicima značajnih pogrešnih prikazivanja. Dokazni postupci kao reakcija na značajne rizike (Vidjeti točku: 21) A53. Točka 21 ovog MRevS-a zahtijeva od revizora da obavi dokazne postupke koji predstavljaju konkretnu reakciju na one rizike koje revizor utvrdio kao značajne. Revizijski dokazi u obliku eksterne konfirmacije koju revizor primi izravno od odgovarajućih konfirmirajućih strana može pomoći revizoru u prikupljanju revizijskih dokaza s visokom razinom pouzdanosti koje revizor zahtijeva kako bi reagirao na značajne rizike značajnih pogrešnih prikazivanja, bilo zbog prijevare ili pogreške. Na primjer, ako revizor otkrije da je menadžment pod pritiskom kako bi ispunio očekivanja vezana uz zaradu, može postojati rizik da menadžment napuhuje prodaju nepravilno priznavajući prihode povezane s ugovorima o prodaji čiji uvjeti onemogućavaju priznavanje prihoda ili fakturiranje prodaje prije otpreme. U tim okolnostima, revizor može, naprimjer, oblikovati postupke eksternog konfirmiranja ne samo da bi potvrdio neplaćene iznose, već da bi isto tako potvrdio detalje sporazuma o prodaji, uključujući datum, bilo koje pravo povrata i uvjete isporuke. Dodatno, revizor može smatrati učinkovitim dopuniti takve postupke eksternog konfirmiranja s upitima nefinancijskom osoblju subjekta o bilo kakvim promjenama u sporazumima o prodaji i uvjetima isporuke. Vremenski raspored dokaznih postupaka (Vidjeti točke: 22 – 23) A54. U većini slučajeva, revizijski dokazi prikupljeni dokaznim postupcima iz prethodnih revizija predstavljaju slab ili ne predstavljaju nikakav revizijski dokaz za tekuće razdoblje. Međutim, postoje izuzeci koji mogu biti relevantni za tekuće razdoblje, primjerice, pravno mišljenje o strukturi sekuritizacije u kojoj nije bilo promjena, koje je pribavljeno u prethodnoj reviziji. U tim slučajevima, može biti prikladno koristiti revizijski dokaz pribavljen dokaznim postupcima u prethodnoj reviziji ako se taj dokaz i povezano pitanje nisu značajno promijenili i provode se revizijski postupci tijekom tekućeg razdoblja kako bi se ustanovila njegova kontinuirana relevantnost. Korištenje revizijskog dokaza pribavljenog tijekom razdoblja kraćeg od razdoblja obuhvaćenog revizijom (Vidjeti točku: 22) A55. U nekim okolnostima, revizor može odrediti da je učinkovito provesti dokazne postupke na neki datum prije kraja razdoblja obuhvaćenog revizijom te usporediti i uskladiti informacije koje se odnose na stanja na kraju razdoblja obuhvaćenog revizijom s usporednim informacijama za datum prije kraja tog razdoblja kako bi: (a) identificirao iznose koji se čine neuobičajenima; (b) istražio sve takve iznose; i (c) obavio dokazne analitičke postupke ili testove detalja u cilju testiranja tog razdoblja. A56. Provedba dokaznih postupaka na datum prije kraja razdoblja obuhvaćenog revizijom bez provođenja dodatnih postupaka na kasniji datum povećava rizik da revizor neće otkriti pogrešna prikazivanja koja mogu postojati na kraju tog razdoblja. Taj je rizik veći što je preostalo razdoblje dulje. Čimbenici kao što su sljedeći mogu utjecati na to hoće li se provoditi dokazni postupci na datum prije kraja razdoblja: • kontrolno okruženje i druge kontrole; • dostupnost informacija koje su neophodne za revizijske postupke na kasniji datum; • svrha dokaznih postupaka; • procijenjeni rizik značajnih pogrešnih prikazivanja; • vrsta klasa transakcija ili stanja računa te povezanih tvrdnji; i • mogućnost da revizor obavi prikladne dokazne postupke ili dokazne postupke kombinirane s testovima kontrola kako bi obuhvatio preostalo razdoblje i na taj način smanjio rizik neotkrivanja pogrešnog prikazivanja koje može postojati na kraju razdoblja. A57. Čimbenici kao što su sljedeći, mogu utjecati na to hoće li revizor provoditi dokazne revizijske postupke za razdoblje između ranijeg datuma i datuma na kraju razdoblja obuhvaćenog revizijom: • jesu li stanja na kraju razdoblja za određenu klasu transakcija ili stanje računa razumno predvidiva s aspekta njihova iznosa, relativne značajnosti i strukture; • jesu li prikladni subjektovi postupci analiziranja i usklađivanja takvih klasa transakcija ili stanja računa provedeni na ranije datume u tijeku razdoblja i za određivanje ispravnog računovodstvenog razgraničavanja; • hoće li informacijski sustav relevantan za financijsko izvještavanje osigurati informacije u vezi sa zaključnim stanjima i s transakcijama u preostalom razdoblju koje su dovoljne za ispitivanje: (a) značajnih neuobičajenih transakcija ili knjiženja (uključujući transakcije, odnosno knjiženja provedena na kraju ili pri kraju razdoblja); (b) ostalih uzroka značajnih fluktuacija ili očekivanih fluktuacija koje nisu nastale; i (c) promjena u strukturi klasa transakcija ili stanja računa. Pogrešna prikazivanja otkrivena na datum prije kraja razdoblja obuhvaćenog revizijom (Vidjeti točku: 23) A58. Kad revizor zaključi da se planirane vrste, vremenski raspored ili opseg dokaznih postupaka koji pokrivaju preostalo razdoblje trebaju mijenjati kao posljedica neočekivanih pogrešnih prikazivanja otkrivenih na datum prije kraja razdoblja obuhvaćenog revizijom, takvo mijenjanje može uključiti proširenje ili ponavljanje na kraju razdoblja onih postupaka koji su obavljeni na raniji datum. Prikladnost prezentacije financijskih izvještaja (Vidjeti točku: 24) A59. Ocjena primjerene prezentacije, strukture i sadržaja financijskih izvještaja uključuje, na primjer, razmatranje korištene terminologije sukladno zahtjevima primjenjivog okvira financijskog izvještavanja, razine prikazanih pojedinosti, agregiranosti i dezagregiranost iznosa i osnova za iskazane iznose. Ocjenjivanje dostatnosti i primjerenosti revizijskih dokaza (Vidjeti točke: 25 – 27) A60. Revizija financijskih izvještaja je kumulativan i iterativan proces. Kako revizor obavlja planirane revizijske postupke, prikupljeni revizijski dokazi mogu biti razlogom revizorove promjene vrste, vremenskog rasporeda i opsega drugih planiranih revizijskih postupaka. Informacije koje revizor dobiva tijekom provedbe revizije mogu se značajno razlikovati od informacija na kojima se temeljila procjena rizika. Primjerice: • opseg pogrešnih prikazivanja koje revizor otkriva dokaznim postupcima može izmijeniti revizorovu procjenu rizika te može ukazivati na značajan nedostatak u internim kontrolama; • revizor može postati svjestan neusklađenosti u računovodstvenim evidencijama ili proturječnih ili nedostajućih dokaza; i • analitički postupci provedeni u sveobuhvatnom pregledu na kraju revizije mogu ukazati na rizik značajnih pogrešnih prikazivanja koji prethodno nije uočen. U tim okolnostima, na temelju ponovnog razmatranja procijenjenih rizika značajnih pogrešnih prikazivanja i učinka na signifikantne klase transakcija, stanja računa ili objave i njihove relevantne tvrdnje, revizor može trebati ponovno ocijeniti planirane revizijske postupke. MRevS 315 (izmijenjen 2019.) sadrži daljnje upute za izmjenu revizorove procjene rizika.[111](MRevS 315 (izmijenjen 2019.), točka 53) A61. Revizor ne može pretpostaviti da je pojava prijevare ili pogreške izolirani događaj. Stoga je razmatranje kako otkrivanje pogrešnog prikazivanja utječe na procijenjene rizike značajnih pogrešnih prikazivanja važno za određivanje ostaje li procjena rizika i dalje primjerena. A62. Na revizorovu prosudbu o tome što čini dostatne i primjerene revizijske dokaze utječu čimbenici kao što su: • značajnost potencijalnog pogrešnog prikazivanja u tvrdnji i vjerojatnost da će takvo prikazivanje, bilo pojedinačno ili skupno, s drugim potencijalno pogrešnim prikazivanjima imati značajan učinak na financijske izvještaje; • učinkovitost menadžmentovih reakcija i kontrola za rješavanje rizika; • iskustvo sa sličnim potencijalnim pogrešnim prikazivanjima, koje je stečeno tijekom proteklih revizija; • rezultati obavljenih revizijskih postupaka, uključujući pitanje jesu li takvi revizijski postupci identificirali određene slučajeve prijevare ili pogreške; • izvor i pouzdanost dostupnih informacija; • uvjerljivost revizijskih dokaza; i • razumijevanje subjekta i njegova okruženja, primjenjivog okvira financijskog izvještavanja i subjektov sustav internih kontrola. Dokumentacija (Vidjeti točku: 28) A63. Oblik i opseg revizijske dokumentacije pitanje je profesionalne prosudbe te ovisi o vrsti, veličini i složenosti subjekta, njegovog sustava internih kontrola, dostupnosti informacija od strane subjekta te revizijskoj metodologiji i tehnologiji koja se koristi u reviziji. MRevS 500 – Revizijski dokazi (»Narodne novine«, br. 71/09) Materijal za primjenu i ostali materijali s objašnjenjima Dostatnost i primjerenost revizijskih dokaza (Vidjeti točku: 6) A1. Revizijski dokazi potrebni su kako bi potkrijepili revizorovo mišljenje i izvješće. Revizijski su dokazi kumulativni po prirodi te su primarno pribavljeni iz revizijskih postupaka provedenih tijekom obavljanja revizije. Oni također mogu uključivati informacije prikupljene iz drugih izvora kao što su prijašnje revizije (pod pretpostavkom da je revizor ocijenio ostaje li takva informacija i dalje relevantna i pouzdana kao revizijski dokaz za tekuću reviziju) ili iz postupaka kontrole kvalitete za prihvaćanje i zadržavanje klijenta koje provodi društvo. Pored ostalih izvora unutar ili izvan subjekta, računovodstvene evidencije subjekta važan su izvor revizijskih dokaza. Također, informacije koje se mogu upotrijebiti kao revizijski dokazi mogu biti pripremljene korištenjem rada menadžmentovog eksperta. Revizijski dokazi obuhvaćaju informacije koje podupiru i podržavaju menadžmentove tvrdnje, ali i sve informacije koje pobijaju te tvrdnje. Dodatno, u nekim slučajevima nedobivanje informacije (primjerice, zbog odbijanja menadžmenta da pruži zahtijevanu izjavu) također može poslužiti kao revizijski dokaz. … Revizijski postupci za pribavljanje revizijskih dokaza … Promatranje A17. Promatranje uključuje gledanje procesa ili postupa kojeg obavljaju drugi, primjerice, revizor promatra brojenje zaliha što ga provodi osoblje subjekta ili promatranje izvođenja kontrola. Promatranje pruža revizijski dokaz o izvođenju procesa ili postupka, ali je limitirano vremenskim trenutkom u kojem se to promatranje odvija, kao i činjenicom da spoznaja o podvrgnutosti promatranju može utjecati na način kako se provodi proces ili postupak. Vidjeti MRevS 501 za upute o promatranju brojanja zaliha. … MRevS 501- Revizorski dokazi – posebna razmatranja za odabrane stavke (»Narodne novine«, br. 71/09) Materijal za primjenu i ostali materijali s objašnjenjima Zalihe Prisustvovanje fizičkom brojanju zaliha (Vidjeti točku: 4(a)) … Ocjena menadžmentovih uputa i postupaka (Vidjeti točku: 4(a)(i)) A4. Pitanja relevantna za procjenu menadžmentovih uputa i postupaka za evidentiranje i kontroliranje fizičkog brojanja zaliha uključuju pitanja o tome rješavaju li se time, naprimjer: • primjena primjerenih kontrola, primjerice, prikupljanje korištenih popisnih lista, tretman neiskorištenih popisnih lista te postupci brojanja i ponavljanja brojanja; … MRevS 530 – Revizijska dokumentacija (»Narodne novine«, br. 71/09) Materijal za primjenu i ostali materijali s objašnjenjima … Oblikovanje i veličina uzorka te izbor stavki za testiranje Oblikovanje uzorka (Vidjeti točku: 6) … A7. U razmatranju karakteristika populacije, za testove kontrole, revizor radi procjenu očekivane stope devijacija temeljenu na revizorovom razumijevanju kontrola ili na ispitivanju malog broja stavki iz populacije. Ta se procjena provodi u cilju oblikovanja revizijskog uzorka, kao i određivanja veličine uzorka… … DODATAK 2 (Vidjeti točku: A11) Primjeri čimbenika koji utječu na veličinu uzorka za testove kontrola Slijedi prikaz čimbenika koje revizor može razmatrati pri određivanju veličine uzorka za testove kontrola. Ti čimbenici, koje revizor treba razmotriti zajedno, podrazumijevaju da revizor, kao reakciju na procijenjene rizike, nije modificirao vrste ili vremenski raspored testova kontrole ili na drugi način modificirao pristup temeljen na dokaznim postupcima. Čimbenik 1 Povećanje opsega u kojem revizorova procjena rizika uzima u obzir planove za testiranje operativne učinkovitosti kontrola. … MRevS 550 – Povezane stranke (»Narodne novine«, br. 71/09) Materijal za primjenu i ostali materijali s objašnjenjima … Postupci procjene rizika i povezane aktivnosti … Razumijevanje odnosa i transakcija s povezanim strankama subjekta Diskusija unutar angažiranog tima (Vidjeti točku: 12) A9. Pitanja koja se mogu razmatrati u diskusiji unutar angažiranog tima uključuju: • … • važnost koju menadžment i oni koji su zaduženi za upravljanje pridaju identifikaciji, odgovarajućem računovodstvenom iskazivanju i objavljivanju odnosa i transakcija s povezanim strankama (ako primjenjivi okvir financijskog izvještavanja postavlja zahtjeve u vezi s povezanim strankama) i povezani rizik da menadžment zaobiđe kontrole. … Identitet subjektovih povezanih stranaka (Vidjeti točku: 13(a)) … A12. Međutim, tamo gdje okvir ne postavlja zahtjeve o povezanim strankama, subjekt možda nema takav informacijski sustav na raspolaganju. U tim okolnostima, moguće je da menadžment nije ni svjestan postojanja svih povezanih stranaka. Unatoč tome, zahtjev postavljanja upita naveden u točki 13 se i nadalje primjenjuje zato što menadžment može imati spoznaju o strankama koje ispunjavaju uvjete iz definicije povezanih stranaka navedene u ovom MRevS-u. U tom slučaju, međutim, revizorovo postavljanje upita u vezi s identitetom subjektovih povezanih stranaka bit će vjerojatno dio revizorovih postupaka procjene rizika i s tim povezanih aktivnosti obavljenih u skladu s MRevS-om 315 (izmijenjen 2019.) kako bi se dobile informacije vezane za subjektovu organizacijsku strukturu, vlasništvo, upravljanje i poslovni model. U pojedinom slučaju odnosa sa subjektima pod zajedničkom kontrolom, budući da je vjerojatnije da će menadžment biti svjesniji tih odnosa ako oni imaju ekonomsku značajnost za subjekt, revizorovo postavljanje upita vjerojatno će biti učinkovitije ako se fokusira na to jesu li stranke s kojima subjekt obavlja signifikantne transakcije ili u značajnoj mjeri s njima dijeli resurse, povezane stranke. … Posebna razmatranja za manje subjekte A20. Kontrolne aktivnosti u manjim subjektima vjerojatno su manje formalne i manji subjekti ne moraju imati dokumentirani proces za postupanje s odnosima i transakcijama s povezanim strankama. Vlasnik-menadžer može smanjiti neke od rizika koji nastaju zbog transakcija s povezanim strankama ili ih može potencijalno povećati aktivnim djelovanjem kroz sve glavne aspekte transakcije. Za takve subjekte, revizor može steći razumijevanje o odnosima i transakcijama s povezanim strankama i o kontrolama koje mogu postojati nad njima pomoću postavljanja upita menadžmentu zajedno s ostalim postupcima, kao što su promatranje menadžmentovog nadzora i pregleda aktivnosti te provjerom dostupne relevantne dokumentacije. … Dijeljenje informacija o povezanim strankama unutar angažiranog tima (Vidjeti točku: 17) A28. Važne informacije o povezanim strankama mogu se podijeliti između članova angažiranog tima, a te informacije mogu, na primjer, uključivati sljedeće: • identitet subjektovih povezanih stranaka; • vrstu odnosa i transakcija s povezanim strankama. Signifikantne ili složene odnose ili transakcije s povezanim strankama koji mogu biti utvrđeni kao značajni rizici, posebno one transakcije u koje su menadžment ili oni koji su zaduženi za upravljanje financijski umiješani. … Reakcija na rizike značajnih pogrešnih prikazivanja povezane s odnosom i transakcijama s povezanim strankama (Vidjeti točku: 20) … A34. Ovisno o rezultatima revizorovih postupaka procjene rizika, revizor može smatrati prikladnim pribaviti revizijske dokaze bez testiranja subjektovih kontrola nad odnosima i transakcijama s povezanim strankama. U nekim okolnostima, međutim, neće biti moguće dobiti dostatne i primjerene revizijske dokaze iz samih dokaznih revizijskih postupaka u vezi s rizicima značajnih pogrešnih prikazivanja povezanih s odnosima i transakcijama s povezanim strankama. Na primjer, gdje su transakcije unutar grupe između subjekta i njegovih komponenti brojne i značajan se broj informacija o tim transakcijama elektronički inicira, evidentira, obrađuje ili se o njima izvještava u integriranom sustavu, revizor može utvrditi kako nije moguće oblikovati učinkovite dokazne revizijske postupke koji bi sami za sebe smanjili rizike značajnih pogrešnih prikazivanja povezane s tim transakcijama na prihvatljivo nisku razinu. U tom slučaju, u ispunjavanju zahtjeva MRevS-a 330 da se pribave dostatni i primjereni revizijski dokazi o učinkovitosti djelovanja kontrola,[112](MRevS 330, točka 8(b)) od revizora se zahtijeva testiranje subjektovih kontrola potpunosti i točnosti evidentiranja odnosa i transakcija s povezanim strankama. A34. Ovisno o rezultatima revizorovih postupaka procjene rizika, revizor može smatrati prikladnim pribaviti revizijske dokaze bez testiranja subjektovih kontrola nad odnosima i transakcijama s povezanim strankama. U nekim okolnostima, međutim, neće biti moguće dobiti dostatne i primjerene revizijske dokaze iz samih dokaznih revizijskih postupaka u vezi s rizicima značajnih pogrešnih prikazivanja povezanih s odnosima i transakcijama s povezanim strankama. Na primjer, gdje su transakcije unutar grupe između subjekta i njegovih komponenti brojne i značajan se broj informacija o tim transakcijama elektronički inicira, evidentira, obrađuje ili se o njima izvještava u integriranom sustavu, revizor može utvrditi kako nije moguće oblikovati učinkovite dokazne revizijske postupke koji bi sami za sebe smanjili rizike značajnih pogrešnih prikazivanja povezane s tim transakcijama na prihvatljivo nisku razinu. U tom slučaju, u ispunjavanju zahtjeva MRevS-a 330 da se pribave dostatni i primjereni revizijski dokazi o učinkovitosti djelovanja kontrola, od revizora se zahtijeva testiranje subjektovih kontrola potpunosti i točnosti evidentiranja odnosa i transakcija s povezanim strankama. … MRevS 540 (izmijenjen) – Revidiranje računovodstvenih procjena i povezanih objava (»Narodne novine«, br. 71/19) Uvod Djelokrug ovog MRevS-a 1. Ovaj Međunarodni revizijski standard (MRevS) uređuje revizorove odgovornosti koje se odnose na računovodstvene procjene i povezane objave u reviziji financijskih izvještaja. Osobito, ovaj Standard uključuje zahtjeve i smjernice koje upućuju na način, ili proširuju objašnjenja načina na koji se moraju primijeniti MRevS 315 (izmijenjen 2019.),[113](MRevS 315 (izmijenjen 2019.), Identifciranje i procjenjivanje rizika značajnih pogrešnih prikazivanja)
Priroda računovodstvenih procjena 2. Računovodstvene procjene jako variraju po svome sadržaju i zahtijeva se da ih menadžment učini kad se novčani iznosi ne mogu izravno promatrati. Mjerenje tih novčanih iznosa je podložno nesigurnosti procjene koja odražava inherentna ograničenja u znanju ili podacima. Ta ograničenja uzrokuju inherentnu subjektivnost i varijacije u mjerenju ishoda. Proces stvaranja računovodstvene procjene uključuje odabiranje i primjenjivanje metode uz korištenje pretpostavki i podataka, što zahtijeva prosudbu menadžmenta i može uzrokovati složenost u mjerenju. Učinci složenosti, subjektivnosti ili drugih čimbenika inherentnog rizika na mjerenja tih novčanih iznosa utječe na njihovu podložnost pogrešnom prikazivanju. (Vidjeti točke: A1 – A6, Dodatak 1) 3. Iako se ovaj MRevS primjenjuje na sve računovodstvene procjene, stupanj do kojeg je neka računovodstvena procjena podložna nesigurnosti procjene će značajno varirati. Vrste, vremenski raspored i opseg procjene rizika i daljnjih revizijskih postupaka koji su zahtijevani ovim MRevS-om varirat će u odnosu na nesigurnost procjene i procjenu povezanih rizika značajnih pogrešnih prikaza. Za određene računovodstvene procjene, nesigurnost procjene može biti vrlo niska, temeljeno na njihovoj prirodi, te složenost i subjektivnost uključena u njihovo stvaranje može također biti vrlo niska. Za takve računovodstvene procjene, ne bi se očekivalo da će postupci procjene rizika i daljnji revizijski postupci zahtijevani ovim MRevS-om biti opsežni. Kad su nesigurnost procjene, složenost ili subjektivnost vrlo visoke, očekivalo bi se da su takvi postupci puno opsežniji. Ovaj MRevS sadrži upute o tome kako se zahtjevi ovog MRevS-a mogu tome prilagoditi. (Vidjeti točku: A7) Ključni koncepti ovog MRevS-a 4. MRevS 315 (izmijenjen 2019.) zahtijeva odvojenu procjenu inherentnog rizika za identificirane rizika značajnih pogrešnih prikazivanja na razini tvrdnje.[117](MRevS 315 (izmijenjen 2019.), točka 31)
5. Ovaj MRevS se poziva na relevantne zahtjeve u MRevS-u 315 (izmijenjen 2019.) i MRevS-u 330, i pruža povezane upute, kako bi se istaknula važnost revizorovih odluka o kontrolama koje se odnose na računovodstvene procjene, uključujući odluke o tome: • postoje li kontrole za koje MRevS 315 (izmijenjen 2019.) zahtijeva da ih se identificira, a za koje se od revizora zahtijeva da ocijeni njihovu oblikovanost i utvrdi jesu li bile implementirane. • da li testirati operativnu učinkovitost kontrola. 6. MRevS 315 (izmijenjen 2019.) također zahtijeva odvojenu procjenu kontrolnog rizika kad se procjenjuju rizici značajnih pogrešnih prikazivanja na razini tvrdnje. U procjenjivanju kontrolnog rizika, revizor uzima u obzir pitanje razmišlja li se u revizorovim daljnjim revizijskim postupcima o planiranom oslanjanju na operativnu učinkovitost kontrola. Ako revizor ne planira testiranje operativne učinkovitosti kontrola ili se ne namjerava osloniti na operativnu učinkovitost kontrola, revizorova procjena kontrolnog rizika je takva da je procjena rizika značajnih pogrešnih prikazivanja ista kao i procjena inherentnog rizika. (Vidjeti točku: A10) 7. Ovaj MRevS ističe da revizorovi daljnji revizijski postupci (uključujući, gdje je primjereno, testove kontrola) trebaju biti reakcija na razloge za procijenjene rizike značajnih pogrešnih prikazivanja na razini tvrdnje, uzimajući u obzir učinak jednog ili više čimbenika inherentnog rizika i revizorovu procjenu kontrolnog rizika. 8. Na primjenu profesionalnog skepticizma u vezi s računovodstvenim procjenama utječe revizorovo razmatranje čimbenika inherentnog rizika i njegova važnost raste kad su računovodstvene procjene podložne većem stupnju nesigurnosti procjene ili na njih utječe veći stupanj složenosti, subjektivnosti ili drugih čimbenika inherentnog rizika. Slično tome, primjena profesionalnog skepticizma je važna kad postoji veća podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili drugih čimbenika rizika prijevare ako oni utječu na inherentni rizik. (Vidjeti točku: A11) … … Cilj … Definicije … Zahtjevi Postupci procjene rizika i povezane aktivnosti 13. Pri stjecanju razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i sustava internih kontrola subjekta, kako zahtjeva MRevS 315 (izmijenjen 2019.),[119](MRevS 315 (izmijenjen 2019.), točke 19 – 27) revizor će steći razumijevanje sljedećih pitanja povezanih s subjektovim računovodstvenim procjenama. Revizorovi postupci za stjecanje razumijevanja biti će obavljeni u opsegu koji je nužan za pribavljanje revizijskih dokaza koji pružaju odgovarajuću osnovu za identificiranje i procjenu rizika značajnih pogrešnih prikaza na razinama financijskih izvještaja i tvrdnji. (Vidjeti točke: A19 – A22) Stjecanje razumijevanja subjekta i njegovog okruženja i primjenjivog okvira financijskog izvještavanja (a) subjektove transakcije i drugi događaji ili uvjeti ili njihove promjene mogu uzrokovati potrebu da računovodstvene procjene budu priznate ili objavljene u financijskim izvještajima. (Vidjeti točku: A23) (b) zahtjevi primjenjivog okvira financijskog izvještavanja koji je povezan s računovodstvenim procjenama (uključujući kriterije priznavanja, osnove mjerenja i povezane zahtjeve prezentiranja i objavljivanja); i kako se ti zahtjevi primjenjuju u kontekstu vrste i okolnosti subjekta i njegovog okruženja, uključujući kako čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnom prikazivanju. (Vidjeti točke: A24 – A25) (c) regulatorni čimbenici relevantni za subjektove računovodstvene procjene, uključujući, kad je primjenjivo, regulatorne okvire povezane s bonitetnim nadzorom. (Vidjeti točku: A26) (d) priroda računovodstvenih procjena i povezanih objava koje revizor očekuje da budu uključene u subjektove financijske izvještaje, temeljeno na revizorovu razumijevanju pitanja u 13(a) – (c) gore. (Vidjeti točku: A27) Stjecanje razumijevanja subjektovog sustava internih kontrola (a) vrste i opseg nadzora i upravljanja koje je subjekt uspostavio nad menadžmentovim procesom financijskog izvještavanja relevantnim za računovodstvene procjene. (Vidjeti točke: A28 – A30). (b) kako menadžment identificira potrebu za, i primjenjuje, specijalizirane vještine ili znanja povezana s računovodstvenim procjenama, uključujući i u odnosu na korištenje menadžmentova stručnjaka. (Vidjeti točku: A31) (c) kako subjektov proces procjene rizika identificira i postupa s rizicima povezanim s računovodstvenim procjenama. (Vidjeti točke: A32 – A33) (d) kako se subjektov informacijski sustav odnosi prema računovodstvenim procjenama, uključujući: (i) kako informacije koje se odnose na računovodstvene procjene i povezane objave za signifikantne klase transakcija, stanja računa ili objava teku kroz subjektov informacijski sustav; i (Vidjeti točke: A34 – A35) (ii) za takve računovodstvene procjene i povezane objave, kako menadžment: a. identificira relevantne metode, pretpostavke ili izvore podataka i potrebu za promjenama u njima, koje su primjerene u kontekstu primjenjivog okvira financijskog izvještavanja, uključujući kako menadžment: (Vidjeti točke: A36 – A37) i. odabire ili oblikuje, i primjenjuje, korištene metode, uključujući i korištenje modela; (Vidjeti točke: A38 – A39) ii. odabire pretpostavke koje će se koristiti, uključujući razmatranje alternativa i identificira važne pretpostavke; (Vidjeti točke: A40 – A43); i iii. odabire podatke koje će se koristiti; (Vidjeti točku: A44) b. razumije stupanj nesigurnosti procjene, uključujući kroz razmatranje raspona mogućih ishoda mjerenja; i (Vidjeti točku: A45) c. postupa s nesigurnošću procjene, uključujući odabiranje točke procjene i povezanih objava za uključivanje u financijske izvještaje. (Vidjeti točke: A46 – A49) (i) identificirane kontrole u komponenti kontrolnih aktivnosti[120](MRevS 315 (izmijenjen 2019.), točke 26(a)(i) – (iv)) nad menadžmentovim procesom stvaranja računovodstvenih procjena kako je opisano u točki 13(h)(ii). (Vidjeti točke: A50 – A54) (e) kako menadžment pregledava ishode prethodnih računovodstvenih procjena i postupa s rezultatima tog pregleda. 14. Revizor će pregledati ishod prethodnih računovodstvenih procjena, ili, gdje je primjenjivo, njihove ponovne procjene kako bi to pomoglo u identificiranju i procjenjivanju rizika značajnih pogrešnih prikaza u tekućem razdoblju. Revizor će uzeti u obzir karakteristike računovodstvene procjene u određivanju sadržaja i obujma tog pregleda. Namjera pregleda nije da se dovedu u pitanje prosudbe o računovodstvenim procjenama prethodnog razdoblja koje su bile primjerene temeljeno na informacijama dostupnim u vrijeme kad su bile učinjene. (Vidjeti točke: A55 – A60) … Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja 16. U identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja povezanih s računovodstvenim procjenama i povezanim objavama na razini tvrdnje, uključujući zasebno procjenjivanje inherentnog rizika i kontrolnog rizika na razini tvrdnje, kao što zahtijeva MRevS 315 (izmijenjen 2019.),[121](MRevS 315 (izmijenjen 2019.), točke 31 i 34) revizor će u identificiranju rizika značajnih pogrešnih prikazivanja i u procjenjivanju inherentnog rizika uzeti u obzir sljedeće: (Vidjeti točke: A64 – A71) 16. U identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja povezanih s računovodstvenim procjenama i povezanim objavama na razini tvrdnje, uključujući zasebno procjenjivanje inherentnog rizika i kontrolnog rizika na razini tvrdnje, kao što zahtijeva MRevS 315 (izmijenjen 2019.), revizor će u identificiranju rizika značajnih pogrešnih prikazivanja i u procjenjivanju inherentnog rizika uzeti u obzir sljedeće: (Vidjeti točke: A64 – A71) (a) stupanj do kojeg je računovodstvena procjena podložna nesigurnosti procjene; i (Vidjeti točke: A72 – A75) (b) stupanj do kojega složenost, subjektivnost ili drugi čimbenici inherentnog rizika utječu na sljedeće: (Vidjeti točke: A76 – A79) (i) odabir i primjenu metode, pretpostavki i podataka u stvaranju računovodstvene procjene; ili (ii) odabir menadžmentove točke procjene i povezanih objava za uključivanje u financijske izvještaje. 17. Revizor će utvrditi je li, po revizorovoj prosudbi, neki od rizika značajnih pogrešnih prikazivanja identificiran i procijenjen u skladu s točkom 16, značajni rizik[122](MRevS 315 (izmijenjen 2019.), točka 32)
… 19. Sukladno zahtjevima MRevS 330,[125](MRevS 330, točka 8) revizor će oblikovati i obaviti testove radi pribavljanja dostatnih i primjerenih revizijskih dokaza o operativnoj učinkovitosti kontrola, ako: (a) revizorova procjena rizika značajnih pogrešnih prikazivanja na razini tvrdnje uključuje očekivanje da kontrole djeluju učinkovito; ili (b) dokazni postupci sami za sebe ne mogu osigurati dostatne i primjerene revizijske dokaze na razini tvrdnje. U vezi s računovodstvenim procjenama, revizorovi testovi takvih kontrola će reagirati na razloge za procjenu koja se odnosi na rizike značajnih pogrešnih prikazivanja. U oblikovanju i obavljanju testova kontrola, revizor će pribaviti to uvjerljivije revizijske dokaze što se više revizor oslanja na učinkovitost kontrola.[126](MRevS 330, točka 9) (Vidjeti točke: A85 – A89) … Druga razmatranja povezana s revizijskim dokazima 30. U pribavljanju revizijskih dokaza u vezi s rizicima značajnih pogrešnih prikazivanja povezanog s računovodstvenim procjenama, neovisno od izvora informacija koje treba koristiti kao revizijske dokaze, revizor će postupati u skladu s relevantnim zahtjevima MRevS-a 500. Ako koristi rad menadžmentova stručnjaka, zahtjevi u točkama 21 – 29 ovog MRevS-a mogu pomoći revizoru u ocjenjivanju primjerenosti stručnjakovog rada kao revizijskog dokaza za relevantne tvrdnje u skladu s točkom 8(c) MRevS-a 500. U ocjenjivanju rada menadžmentova stručnjaka, na vrste, vremenski raspored i opseg daljnjih revizijskih postupaka utječe revizorova ocjena stručnjakovih kompetentnosti, sposobnosti i objektivnosti, revizorovo razumijevanje sadržaja posla kojeg je obavio stručnjak i revizorovo poznavanje područja stručnosti stručnjaka. (Vidjeti točke: A126 – A132) … Dokumentacija 39. Revizor će uključiti u revizijsku dokumentaciju:[127](MRevS 230, Revizijska dokumentacija, točke 8 – 11, A6, A7 i A10) (Vidjeti točke: A149 – A152) (a) ključne elemente revizorova razumijevanja subjekta i njegovog okruženja, uključujući razumijevanje subjektovih internih kontrola povezanih sa subjektovim računovodstvenim procjenama; (b) povezanost revizorovih daljnjih revizijskih postupaka s procijenjenim rizicima značajnih pogrešnih prikazivanja na razini tvrdnje[128](MRevS 330, točka 28(b)), uzimajući u obzir razloge (jesu li povezani s inherentnim rizikom ili kontrolnim rizikom) koji su navedeni u procjeni tih rizika; (c) revizorove reakcije kad menadžment nije poduzeo odgovarajuće radnje da razumije i postupi s nesigurnošću procjene; (d) pokazatelje moguće pristranosti menadžmenta povezane s računovodstvenim procjenama, ako ih ima, i revizorovo ocjenjivanje posljedica za reviziju, kako zahtjeva točka 32; i (e) važne prosudbe povezane s revizorovim određivanjem jesu li računovodstvene procjene i povezane objave razumne u kontekstu primjenjivog okvira financijskog izvještavanja ili su pogrešno prikazane. Materijal za primjenu i ostali materijali s objašnjenjima Priroda računovodstvenih procjena (Vidjeti točku: 2) Primjeri računovodstvenih procjena … Metode A2. Metoda je tehnika mjerenja koju koristi menadžment radi obavljanja računovodstvene procjene u skladu sa zahtijevanom osnovom mjerenja. Naprimjer, jedna od priznatih metoda korištenih za obavljanje računovodstvenih procjena povezanih s transakcijama plaćanja temeljenih na dionicama je da se odredi teoretska cijena opcije koja daje pravo na prodaju korištenjem Black-Scholes formule za određivanje cijene opcije. Metoda se primjenjuje korištenjem računalnih alata ili procesa, ponekad poznatim kao model, i uključuje primjenu pretpostavki i podataka i uzimanje u obzir skupa odnosa među njima. Pretpostavke i podaci A3. Pretpostavke obuhvaćaju prosudbe temeljene na dostupnim informacijama o pitanjima kao što su izbor kamatne stope, diskontne stope ili prosudbe o budućim uvjetima ili događajima. Menadžment može odabrati pretpostavku iz raspona odgovarajućih alternativa. Pretpostavke koje može stvoriti ili utvrditi menadžmentov stručnjak postaju menadžmentove pretpostavke ako ih koristi menadžment u stvaranju neke računovodstvene procjene. A4. Za svrhe ovog MRevS-a, podaci su informacije koje se mogu dobiti kroz izravno promatranje ili od strana koje su vanjske u odnosu na subjekt. Informacije dobivene primjenom analitičkih ili interpretativnih tehnika u vezi s podacima nazivaju se izvedeni podaci ako takve tehnike imaju dobro uspostavljenu teoretsku osnovu i zbog toga imaju manju potrebu za menadžmentovom prosudbom. U protivnom, takve informacije su pretpostavka. A5. Primjeri podataka uključuju: • cijene dogovorene u tržišnim transakcijama; • operativna vremena ili količine izlaza iz proizvodnog stroja; • povijesne cijene ili drugi uvjeti uključeni u ugovore, kao što su ugovorena kamatna stopa, plan otplate i uvjeti uključeni u sporazum o zajmu; • prospektivne informacije kao što su ekonomske prognoze ili prognoze zarada dobivene iz eksternih izvora informacija, ili • buduću kamatnu stopu određenu korištenjem interpolacijskih tehnika iz kamatnih stopa terminskih ugovora (izvedeni podaci). A6. Podaci mogu dolaziti iz širokog raspona izvora. Naprimjer, podaci mogu biti: • stvoreni unutar organizacije ili izvan nje; • dobiveni iz sustava koji je ili unutar ili izvan glavne knjige ili pomoćnih knjiga; • vidljivi u ugovorima; ili • vidljivi u objavljenim tekstovima zakona ili regulative. Prilagodljivost (Vidjeti točku: 3) A7. Primjeri točki koje uključuju upute o tome kako se mogu prilagoditi zahtjevi ovog MRevS-a uključuju točke A20 – A22, A63, A67 i A84. Ključni koncepti ovog MRevS-a Čimbenici inherentnog rizika (Vidjeti točku: 4) A8. Čimbenici inherentnog rizika su karakteristike ili događaja ili uvjeta koji utječu na podložnost pogrešnom prikazivanju, bilo zbog prijevare ili pogreške, tvrdnje o klasi transakcija, stanju računa ili objavljivanjima, prije razmatranja kontrola.[129](MRevS 315 (izmijenjen 2019.), točka 12(f)) Dodatak 1 dalje objašnjava vrste tih čimbenika inherentnog rizika i njihov međusobni odnos, u kontekstu stvaranja računovodstvenih procjena i njihovog prezentiranja u financijskim izvještajima. A9. Kad procjenjuje rizike značajnih pogrešnih prikazivanja na razini tvrdnje[130](MRevS 315 (izmijenjen 2019.), točka 31) osim ocjene nesigurnosti, kompleksnosti i subjektivnosti, revizor također uzima u obzir i stupanj u kojem čimbenici inherentnog rizika uključeni u MRevS 315 (izmijenjen 2019.) (osim onih koji se odnose na nesigurnost procjene, kompleksnost i subjektivnost) utječu na podložnost tvrdnji o računovodstvenoj procjeni pogrešnom prikazivanju. Takvi dodatni čimbenici inherentnog rizika uključuju: • promjenu u prirodi ili okolnostima relevantnih stavki financijskog izvještaja ili zahtjevima primjenjivog okvira financijskog izvještavanja koji mogu uzrokovati potrebu za promjenama u metodi, pretpostavkama ili podacima korištenim u stvaranju računovodstvene procjene. • podložnost pogrešnom prikazivanju zbog menadžmentove pristranosti ili drugih čimbenika prijevare u mjeri u kojoj oni utječu na inherentni rizik u stvaranju računovodstvene procjene. • nesigurnost koja je različita od nesigurnosti procjene. Kontrolni rizik (Vidjeti točku: 6) A10. U procjenjivanju kontrolnog rizika na razini tvrdnje u skladu s MRevS 315 (izmijenjen 2019.), revizor uzima u obzir pitanje planira li on testirati operativnu učinkovitost kontrola. Kad revizor razmatra pitanje da li testirati operativnu učinkovitost kontrola, revizorova ocjena o tome jesu li kontrole učinkovito oblikovane i implementirane podržava očekivanje revizora o operativnoj učinkovitosti kontrola u izradi plana za njihovo testiranje. Profesionalni skepticizam (Vidjeti točku: 8) …. Koncept »Razumno« (Vidjeti točke: 9, 35) … Postupci procjene rizika i povezane aktivnosti Stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola (Vidjeti točku: 13) A19. Točke 19 – 27 u MRevS 315 (izmijenjen 2019.) zahtijevaju od revizora da stekne razumijevanje određenih pitanja o subjektu i njegovu okruženju, primjenjivom okviru financijskog izvještavanja i subjektovom sustavu internih kontrola. Zahtjevi iz točke 13 ovog MRevS-a odnose se na određeniji način na računovodstvene procjene i zasnovani su na širim zahtjevima sadržanim u MRevS-u 315 (izmijenjen 2019.). Prilagodljivost A20. Vrste, vremenski raspored i opseg revizorovih postupaka radi stjecanja razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i razumijevanja subjektovog sustava internih kontrola, povezano sa subjektovim računovodstvenim procjenama, mogu ovisiti, u većem ili manjem stupnju, o mjeri u kojoj se pojedinačno pitanje (pitanja) primjenjuju u danim okolnostima. Naprimjer, subjekt može imati nekoliko transakcija ili drugih događaja ili uvjeta koji stvaraju potrebu za računovodstvenim procjenama, a zahtjevi primjenjivog financijskog izvještavanja mogu biti jednostavni za primjenu i može biti da nema relevantnih regulatornih čimbenika. Nadalje, računovodstvene procjene mogu ne zahtijevati važne prosudbe i proces za stvaranje računovodstvenih procjena može biti manje složen. U takvim okolnostima, računovodstvene procjene mogu biti u manjoj mjeri podložne, ili na njih mogu utjecati, nesigurnost procjene, složenost, subjektivnost ili drugi čimbenici inherentnog rizika i može postojati manje identificiranih kontrola u komponenti kontrolnih aktivnosti. Ako je tako, revizorovi postupci identifikacije i procjene rizika su vjerojatno manje ekstenzivni i mogu se ostvariti prvenstveno kroz upite menadžmentu s odgovarajućim odgovornostima za financijsko izvještavanje, i postupke kao što su jednostavni walk-through testovi menadžmentovih procesa za stvaranje računovodstvenih procjena (uključujući ocjenjivanje jesu li u tom procesu identificirane kontrole učinkovito oblikovane i utvrđivanje jesu li te kontrole implementirane). A21. Suprotno prethodnom, računovodstvene procjene mogu zahtijevati važne menadžmentove prosudbe i proces za stvaranje računovodstvenih procjena može biti složen i uključivati korištenje složenih modela. Dodatno, subjekt može imati sofisticiraniji informacijski sustav i ekstenzivnije kontrole nad računovodstvenim procjenama. U takvim okolnostima, računovodstvene procjene mogu biti u većoj mjeri podložne, ili na njih mogu utjecati, nesigurnost procjene, složenost, subjektivnost ili drugi čimbenici inherentnog rizika. Ako je tako, vrste ili vremenski raspored revizorovih postupaka procjene rizika će vjerojatno biti različiti, ili će biti ekstenzivniji, nego u okolnostima iz točke A20. A22. Sljedeća razmatranja mogu biti relevantna za subjekte s jednostavnim poduzećima, koja mogu uključivati mnoge manje subjekte: • procesi relevantni za računovodstvene procjene mogu biti nekomplicirani jer su poslovne aktivnosti jednostavne ili zahtijevane procjene mogu imati manji stupanj nesigurnosti procjene; • računovodstvene procjene mogu biti stvarane izvan glavne knjige i pomoćnih knjiga, kontrole nad njihovim razvojem mogu biti ograničene i vlasnik-menadžer može imati važan utjecaj nad njihovim određivanjem. Revizor će možda trebati uzeti u obzir ulogu vlasnika-menadžera i onda kad identificira rizike značajnih pogrešnih prikazivanja kao i onda kad razmatra rizik menadžmentove pristranosti. Subjekt i njegovo okruženje Subjektove transakcije i drugi događaji ili uvjeti (Vidjeti točku: 13(a)) A23. Promjene u okolnostima koje mogu uzrokovati potrebu za, ili promjenu u, računovodstvenim procjenama mogu uključivati pitanja, na primjer: • je li subjekt angažiran u novim vrstama transakcija; • jesu li se promijenili uvjeti transakcija; ili • jesu li nastali novi događaji ili uvjeti. Zahtjevi primjenjivog okvira financijskog izvještavanja (Vidjeti točku: 13(b)) A24. Stjecanje razumijevanja zahtjeva primjenjivog okvira financijskog izvještavanja pruža revizoru osnovu za raspravu s menadžmentom i, gdje je primjenjivo, s onima koji su zaduženi za upravljanje o tome kako je menadžment primijenio zahtjeve primjenjivog okvira financijskog izvještavanja koji su relevantni za računovodstvene procjene, i o revizorovu utvrđivanju o tome jesu li ti zahtjevi bili primijenjeni na odgovarajući način. To razumijevanje također može pomoći revizoru u komuniciranju s onima koji su zaduženi za upravljanje kad revizor razmatra važnu računovodstvenu praksu koja je prihvatljiva prema primjenjivom okviru financijskog izvještavanja ali koja nije najprimjerenija u okolnostima subjekta.[131](MRevS 260 (izmijenjen), točka 16(a)) A25. U stjecanju tog razumijevanja, revizor može nastojati shvatiti da li: • primjenjivi okvir financijskog izvještavanja: o propisuje određene kriterije za priznavanje ili metode za mjerenje računovodstvenih procjena; o specificira određene kriterije koji dopuštaju ili zahtijevaju mjerenje fer vrijednosti, na primjer, pozivajući se na menadžmentove namjere da provede određene pravce djelovanja u vezi s nekom imovinom ili obvezom; ili o specificira zahtijevane ili sugerirane objave, uključujući objave u vezi s prosudbama, pretpostavkama ili drugim izvorima nesigurnosti procjene povezane s računovodstvenim procjenama; i • promjene u primjenjivom okviru financijskog izvještavanja zahtijevaju promjene subjektovih računovodstvenih politika povezanih s računovodstvenim procjenama. Regulatorni čimbenici (Vidjeti točku: 13(c)) … Vrste računovodstvenih procjena i povezanih objavljivanja za koje revizor očekuje da budu uključene u financijske izvještaje (Vidjeti točku: 13(d)) … Subjektov sustav internih kontrola Vrste i opseg nadzora i upravljanja (Vidjeti točku: 13(e)) A28. U primjenjivanju MRevS-a 315 (izmijenjen 2019.)[132](MRevS 315 (izmijenjen 2019.), točka 21(a)), revizorovo razumijevanje vrste i opsega nadzora i upravljanja koje je subjekt uspostavio nad menadžmentovim procesom stvaranja računovodstvenih procjena može biti važno za ocjenu koja se zahtijeva od revizora o tome: • je li menadžment, pod nadzorom onih koji su zaduženi za upravljanje, stvorio i podržava li etičko ponašanje i kulturu poštenja; • pruža li kontrolno okruženje primjerenu osnovu za sustav internih kontrola uzimajući u obzir prirodu i veličinu subjekta; i • oslabljuju li nedostaci koji su identificirani u kontrolnom okruženju druge komponente sustava internih kontrola. … A30. Stjecanje razumijevanje nadzora kojeg obavljaju oni koji su zaduženi za upravljanje može biti važno kad postoje računovodstvene procjene koje: • zahtijevaju značajnu menadžmentovu prosudbu radi postupanja sa subjektivnošću; • imaju visoku nesigurnost procjene; • su složene za stvaranje, na primjer, zbog ekstenzivne uporabe informacijskih tehnologija, velikih količina podataka ili korištenja više izvora podataka ili pretpostavki sa složenim međusobnim odnosima; • su imale ili su trebale imati promjene u metodi, pretpostavkama ili podacima u usporedbi s prethodnim razdobljima; ili • uključuju važne pretpostavke. Menadžmentova primjena specijaliziranih vještina ili znanja, uključujući korištenje menadžmentovih stručnjaka (Vidjeti točku: 13(f)) … Subjektov proces procjene rizika (Vidjeti točku: 13(g)) A32. Razumijevanje kako subjektov proces procjene rizika identificira i postupa s rizicima koji su povezani s računovodstvenim procjenama može pomoći revizoru u razmatranju promjena u: • zahtjevima primjenjivog okvira financijskog izvještavanja povezanim s računovodstvenim procjenama; • dostupnosti ili vrsti izvora podataka koji su relevantni za stvaranje računovodstvenih procjena ili koji mogu utjecati na pouzdanost korištenih podataka; • subjektovim informacijskim sustavima ili IT okruženju; i • ključnom osoblju. A33. Pitanja koja revizor može razmatrati u stjecanju razumijevanja kako menadžment prepoznaje i bavi se s podložnošću pogrešnom prikazivanju zbog menadžmentove pristranosti ili prijevare u stvaranju računovodstvenih procjene, uključuje da li i kako menadžment: • posvećuje posebnu pozornost odabiranju ili primjenjivanju metoda, pretpostavki i korištenih podataka u stvaranju računovodstvenih procjena, • prati ključne pokazatelje uspješnosti koji mogu ukazivati na neočekivanu ili nedosljednu uspješnost u usporedbi s povijesnom ili planiranom uspješnošću ili s drugim poznatim čimbenicima, • identificira financijske ili druge poticaje koji mogu biti motivacija za pristranost, • prati potrebu za promjenama u metodama, važnim pretpostavkama ili korištenim podacima u stvaranju računovodstvenih procjena, • ustanovljuje odgovarajući nadzor i pregled modela korištenih u stvaranju računovodstvenih procjena, • zahtijeva dokumentaciju o osnovi za zaključivanje, ili neovisni pregled, važnih prosudbi stvorenih u stvaranju računovodstvenih procjena. Subjektov informacijski sustav povezan s računovodstvenim procjenama (Vidjeti točku: 13(h)(i)) A34. Signifikantne klase transakcija, događaji i uvjeti unutar djelokruga točke 13(h) su isti kao i signifikantne klase transakcija, događaji i uvjeti povezani s računovodstvenim procjenama i povezanim objavama koji su podložni točki 25(a) MRevS-a 315 (izmijenjen 2019.). U stjecanju razumijevanja subjektovog informacijskog sustava u dijelu koji se odnosi na računovodstvene procjene, revizor može razmatrati: • nastaju li računovodstvene procjene iz evidentiranja rutinskih i ponavljajućih transakcija ili nastaju iz nerutinskih i neponavljajućih transakcija; • kako se informacijski sustav bavi potpunošću računovodstvenih procjena i povezanih objava, osobito za računovodstvene procjene povezane s obvezama. A35. Tijekom revizije, revizor može identificirati klase transakcija, događaje ili uvjete koji stvaraju potrebu za računovodstvenim procjenama i povezanim objavama a koje je menadžment propustio identificirati. MRevS 315 (izmijenjen 2019.) uređuje postupanje u okolnostima u kojima je revizor identificirao rizike značajnih pogrešnih prikazivanja koje je menadžment propustio identificirati, uključujući razmatranje implikacija za revizorovu ocjenu subjektovog procesa procjene rizika.[133](MRevS 315 (izmijenjen 2019.), točka 22(b)) Menadžmentovo identificiranje relevantnih metoda, pretpostavki i izvora podataka (Vidjeti točku: 13(h)(ii)(a) … Metode (Vidjeti točku: 13(h)(ii)(a)(i)) … Modeli A39. Menadžment može oblikovati i implementirati specifične kontrole oko modela korištenih za stvaranje računovodstvenih procjena, neovisno o tome je li riječ o menadžmentovom vlastitom modelu ili nekom eksternom modelu. Ako sam model ima povećanu razinu složenosti ili subjektivnosti, kao što je model za očekivani kreditni gubitak ili model za fer vrijednost koji koristi ulaz 3 razine, za kontrole koje se bave takvom složenošću ili subjektivnošću. je vjerojatnije da će biti identificirane kao relevantne za reviziju. Ako postoji složenost u vezi s modelom, za kontrole nad integritetom podataka je također vjerojatnije da će biti kontrole identificirane u skladu s MRevS 315 (izmijenjen 2019.). Čimbenici za koje može biti primjereno da ih revizor razmotri u stjecanju razumijevanja modela i povezanih identificiranih kontrola uključuju sljedeće: • kako menadžment određuje relevantnost i točnost modela; • ocjenjivanje ili povratno testiranje modela, uključujući je li model validiran (potvrđen) prije uporabe, ponovno validiran u redovitim intervalima kako bi se utvrdilo je li i nadalje prikladan za njegovu namjeravanu uporabu. Subjektova validacija modela može uključiti ocjenjivanje: o teoretske utemeljenosti modela; o matematičkog integriteta modela; i o točnosti i potpunosti podataka i prikladnost podataka i pretpostavki korištenih u modelu; • kako je model pravodobno primjereno promijenjen ili prilagođen promjenama na tržištu ili promjenama drugih uvjeta i postoje li primjerene politike kontrola nad promjenama modela; • jesu li usklađivanja, također znana u određenim djelatnostima kao prekrivanja, učinjena na izlaznim učincima modela i jesu li takva usklađivanja primjerena u danim okolnostima u skladu sa zahtjevima primjenjivog okvira financijskog izvještavanja. Ako usklađivanja nisu primjerena, takva usklađivanja mogu biti pokazatelji moguće pristranosti menadžmenta; i • je li model adekvatno dokumentiran, uključujući i njegove namjeravane primjene, ograničenja, ključne parametre, zahtijevane podatke i pretpostavke, rezultate bilo kakvog obavljenog ocjenjivanja njega te sadržaja i osnove za bilo kakva usklađivanja učinjena na njegovim izlaznim veličinama Pretpostavke (Vidjeti točke: 13(h)(ii)(a)(ii)) … Podaci (Vidjeti točke: 13(h)(ii)(a)(iii)) A44. Pitanja koja revizor može razmatrati u stjecanju razumijevanja kako menadžment odabire podatke na kojima se temelje računovodstvene procjene uključuju: • vrste i izvor podataka, uključujući informacije dobivene iz vanjskog izvora informacija. • kako menadžment ocjenjuje jesu li podaci primjereni. • točnost i potpunost podataka. • dosljednost korištenih podataka s podacima korištenim u prethodnim razdobljima. • složenost IT aplikacija i drugih aspekata subjektovog IT okruženja korištenih za dobivanje i obradu podataka, uključujući kad to involvira rukovanje velikim količinama podataka. • kako su podaci dobiveni, prenijeti i obrađeni i kako je očuvan njihov integritet. Kako menadžment razumije i postupa s nesigurnošću procjene (Vidjeti točke: 13(h)(ii)(b) – 13(h)(ii)(c)) … Identificirane kontrole nad menadžmentovim procesom stvaranja računovodstvenih procjena (Vidjeti točku 13(i)) A50. Revizorova prosudba u identificiranju kontrola u komponenti kontrolnih aktivnosti te stoga i potreba da se ocijeni oblikovanost tih kontrola i utvrdi jesu li one bile implementirane, odnosi se na menadžmentov proces opisan u točki 13(h)(ii). Revizor može neidentificirati kontrole u vezi sa svim aspektima točke 13(h)(ii). A51. Kao dio identificiranja kontrola i ocjenjivanja njihovog oblikovanja te utvrđivanja jesu li implementirane, revizor može razmatrati: • kako menadžment određuje primjerenost korištenih podataka za razvoj računovodstvene procjene, uključujući i slučaj kad menadžment koristi vanjski izvor informacija ili podatke izvan glavne knjige i pomoćnih knjiga. • pregled i odobravanje računovodstvenih procjena, uključujući i pretpostavki ili korištenih podataka u njihovom razvijanju, kojeg provode odgovarajuće razine menadžmenta i, gdje je odgovarajuće, oni koji su zaduženi za upravljanje. • podjelu dužnosti između onih koji su odgovorni za stvaranje računovodstvenih procjena i onih koji obvezuju subjekt na povezane transakcije, uključujući da li dodjeljivanje odgovornosti primjereno uzima u obzir vrstu subjekta i njegove proizvode ili usluge. Naprimjer, u slučaju velike financijske institucije, relevantna podjela dužnosti može se sastojati od neovisne funkcije odgovorne za procjenjivanje i ocjenjivanje fer vrijednosti cijena subjektovih financijskih proizvoda ekipiranu osobama čije nagrađivanje nije povezano s tim proizvodima. • efikasnost oblikovanosti kontrola. Općenito, menadžmentu može biti teže oblikovati kontrole koje se bave subjektivnošću i nesigurnošću procjene na način koji djelotvorno sprječava ili ispravlja i otkriva značajno pogrešna prikazivanja, nego oblikovati kontrole koje se bave složenošću. Kontrole koje se bave subjektivnostima i nesigurnostima procjene mogu trebati uključiti više ručnih elemenata, koji mogu biti manje pouzdani od automatiziranih kontrola jer ih menadžment može lakše premostiti, zanemariti ili zaobići. Efikasnost oblikovanosti kontrola koje se bave složenostima može varirati ovisno o razlozima i vrsti složenosti. Naprimjer, može biti lakše oblikovati efikasnije kontrole nad metodom koja se rutinski koristi ili nad integritetom podataka. A52. Kad menadžment ekstenzivnije koristi informacijske tehnologije u stvaranju neke računovodstvene procjene, identificirane kontrole u komponenti kontrolnih aktivnosti će vjerojatno uključiti opće IT kontrole i kontrole obrade informacija. Takve kontrole mogu se baviti rizicima povezanim s: • pitanjem imaju li IT aplikacije i drugi aspekti IT okruženja kapacitet i jesu li odgovarajuće konfigurirani da obrade velike količine podataka; • kompleksnim izračunima u primjenjivanju metode. Ako se razne IT aplikacije zahtijevaju za obradu kompleksnih transakcija, obavljaju se redovita usklađivanja između IT aplikacija, osobito kad IT aplikacije nemaju automatizirana sučelja ili mogu biti podložne ručnim intervencijama; • pitanjem ocjenjuje li se periodično oblikovanost i kalibriranost modela; • potpunim i točnim povlačenjem podataka iz subjektovih evidencija ili vanjskih izvora informacija u vezi s računovodstvenim procjenama; • podacima, uključujući i potpunim i točnim protokom podataka kroz subjektov informacijski sustav, prikladnošću bilo kojih modifikacija podataka korištenih u stvaranju računovodstvenih procjena, održavanjem integriteta i zaštitom podataka, kad se koriste vanjski izvori informacija, rizicima povezanim s obrađivanjem ili evidentiranjem podataka; • pitanjem ima li menadžment kontrole nad pristupom, promjenom i održavanjem pojedinačnog modela radi održavanja jakog revizijskog traga za akreditiranu verziju modela i za sprječavanje neovlaštenog pristupa ili izmjene modela; i • pitanjem postoje li odgovarajuće kontrole nad prijenosom informacija povezanih s računovodstvenim procjenama u glavnu knjigu, uključujući i odgovarajuće kontrole nad knjiženjima u dnevnik. A53. U nekim djelatnostima, kao što su bankarstvo ili osiguranje, pojam upravljanje može biti korišten za opis aktivnosti unutar kontrolnog okruženja, subjektovog procesa monitoringa sustava internih kontrola i drugih komponenti sustava internih kontrola, kako je opisano u MRevS-u 315 (izmijenjen 2019.)[134](MRevS 315 (izmijenjen 2019.), Dodatak 3) A54. Za subjekte sa službom interne revizije, njezin rad može biti osobito od koristi revizoru u stjecanju razumijevanja: • vrste i opsega menadžmentova korištenja računovodstvenih procjena; • oblikovanja i implementacije kontrola koje se bave rizicima povezanim s podacima, pretpostavkama i modelima korištenim u stvaranju računovodstvenih procjena; • aspekata subjektova informacijskog sustava koji stvara podatke na kojima se temelje računovodstvene procjene; i • kako su novi rizici povezani s računovodstvenim procjenama identificirani, procijenjeni i kako se njima upravlja. Pregledavanje ishoda ili ponovno procjenjivanje prethodnih računovodstvenih procjena (Vidjeti točku: 14) … A58. Temeljeno na revizorovoj prethodnoj procjeni rizika značajnih pogrešnih prikazivanja, na primjer, ako je inherentni rizik procijenjen kao viši za jedan ili više rizika značajnih pogrešnih prikazivanja, revizor može prosuditi da je potreban detaljniji retrospektivni pregled. Kao dio detaljnijeg retrospektivnog pregleda, revizor može posvetiti osobitu pozornost, kad je izvedivo, učinku podataka i važnih korištenih pretpostavki u stvaranju prethodne računovodstvene procjene. S druge strane, na primjer, za računovodstvene procjene koje nastaju iz evidentiranja rutinskih i ponavljajućih transakcija, revizor može prosuditi da je primjena analitičkih postupaka kao postupka procjene rizika dostatna za svrhe pregleda. A59. Cilj mjerenja za računovodstvene procjene fer vrijednosti i druge računovodstvene procjene, temeljen na tekućim uvjetima na datum mjerenja, bavi se s percepcijama o vrijednosti u vremenskoj točki, koje se mogu promijeniti značajno i brzo kako se mijenja okruženje u kojem posluje subjekt. Revizor može zato usmjeriti pregled na pribavljanje informacija koje mogu biti relevantne za identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja. Naprimjer, u nekim slučajevima, može biti malo vjerojatno da stjecanje razumijevanja o promjenama u pretpostavkama tržišnog sudionika koje su utjecale na ishod u računovodstvenim procjenama fer vrijednosti prethodnog razdoblja može osigurati relevantne revizijske dokaze. U takvom slučaju, revizijski dokazi mogu biti pribavljeni razumijevanjem ishoda pretpostavki (kao što su projekcije novčanih tokova) i razumijevanjem efikasnosti menadžmentova ranijeg procesa procjenjivanja koji potkrepljuje identificiranje i procjenu rizika značajnih pogrešnih prikazivanja u tekućem razdoblju. A60. Razlika između ishoda računovodstvene procjene i iznosa priznatog u financijskim izvještajima prethodnog razdoblja ne predstavlja nužno pogrešno prikazivanje financijskih izvještaja prethodnog razdoblja. Međutim, takva razlika može predstavljati pogrešno prikazivanje ako, na primjer, razlika nastaje iz informacije koja je bila dostupna menadžmentu kad su dovršeni financijski izvještaji prethodnog razdoblja ili za koje bi se razumno očekivalo da su bile pribavljene i uzete u obzir u kontekstu primjenjivog okvira financijskog izvještavanja[135](MRevS 560, Naknadni događaji, točka 14). Takva razlika može dovesti u pitanje menadžmentov proces uzimanja u obzir informacija u stvaranju računovodstvena procjena. Kao posljedica toga, revizor može ponovno procijeniti bilo koji plan za testiranje povezanih kontrola i povezanu procjenu kontrolnog rizika ili može odrediti da uvjerljiviji dokazi trebaju biti pribavljeni o pitanju. Mnogi okviri financijskog izvještavanja sadrže upute za razlikovanje između promjena u računovodstvenim procjenama koje predstavljaju pogrešna prikazivanja od onih koja to nisu, i računovodstvene tretmane koje se zahtijeva primijeniti u svakom od tih slučajeva Specijalizirane vještine ili znanja (Vidjeti točku: 15) … Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja (Vidjeti točke: 4, 16) A64. Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja na razini tvrdnje povezane s računovodstvenim procjenama je važno za sve računovodstvene procjene, uključujući i ne samo one koje su priznate u financijskim izvještajima, nego također i one koje su uključene u bilješke uz financijske izvještaje. A65. Točka A42 MRevS-a 200 navodi da se MRevS-ovi tipično radije pozivanju na »rizike značajnih pogrešnih prikazivanja« nego odvojeno na inherentni rizik i kontrolni rizik. MRevS 315 (izmijenjen 2019.) zahtijeva odvojenu procjenu inherentnog rizika i kontrolnog rizika kako bi se osigurala osnova za oblikovanje i obavljanje daljnjih revizijskih postupaka kao reakcija na rizike značajnih pogrešnih prikazivanja na razini tvrdnje, uključujući i značajne rizike u skladu s MRevS-om 330. A66. U identificiranju rizika značajnih pogrešnih prikazivanja i u procjenjivanju inherentnog rizika za računovodstvene procjene u skladu s MRevS-om 315 (izmijenjen 2019.),[137](MRevS 315 (izmijenjen 2019.), točka 31(a)) od revizora se zahtijeva da uzme u obzir, čimbenike inherentnog rizika koji utječu na podložnost tvrdnji pogrešnom prikazivanju i način na koji to čine. Revizorovo razmatranje čimbenika inherentnog rizika može također osigurati informacije koje treba koristiti u: • procjenjivanju vjerojatnosti i intenziteta pogrešnog prikazivanja (tj. gdje je inherentni rizik procijenjen unutar spektra inherentnog rizika); i • utvrđivanju razloga za danu procjenu rizika značajnih pogrešnih prikazivanja na razini tvrdnje i da su revizorovi daljnji revizijski postupci u skladu s točkom 18 primjerena reakcija prema tim razlozima. Međusobni odnosi između čimbenika inherentnog rizika su dalje objašnjeni u Dodatku 1. A67. Razlozi za revizorovu procjenu inherentnog rizika na razini tvrdnje mogu rezultirati iz jednog ili više čimbenika inherentnog rizika nesigurnosti procjene, složenosti, subjektivnosti ili drugih čimbenika inherentnog rizika. Naprimjer: (a) računovodstvene procjene očekivanih kreditnih gubitaka vjerojatno će biti složene jer se očekivani kreditni gubici ne mogu izravno promatrati i mogu zahtijevati upotrebu složenog modela. Model može koristiti složeni skup povijesnih podataka i pretpostavki o budućim razvojima u različitim scenarijima specifičnim za subjekt koji mogu biti teški za predvidjeti. Računovodstvene procjene za očekivane kreditne gubitke su također vjerojatno podložne visokoj nesigurnosti procjene i značajnoj subjektivnosti u stvaranju prosudbe o budućim događajima ili uvjetima. Slična razmatranja odnose se na obveze iz ugovora o osiguranju. (b) računovodstvena procjena zastarjelosti zaliha subjekta sa širokim rasponom različitih vrsta zaliha može zahtijevati složene sustave i procese, ali može uključivati malo subjektivnosti i stupanj nesigurnosti procjene može biti nizak, ovisno o vrsti zalihe. (c) druge računovodstvene procjene mogu biti jednostavne ali mogu imati visoku nesigurnost procjene i zahtijevati važnu prosudbu, na primjer, računovodstvena procjena koja zahtijeva jednu kritičnu prosudbu o obvezi, čiji iznos je moguć kao ishod sudskog spora. A68. Relevantnost i važnost čimbenika inherentnog rizika može varirati od procjene do procjene. U skladu s tim, čimbenici inherentnog rizika mogu, ili pojedinačno ili skupno, utjecati na jednostavne računovodstvene procjene u manjem stupnju i revizor može identificirati nekoliko rizika ili procijeniti inherentni rizik bliže nižem kraju spektra inherentnog rizika. A69. Obrnuto, čimbenici inherentnog rizika mogu, pojedinačno ili skupno, utjecati na složene računovodstvene procjene u većem stupnju i mogu dovesti do toga da revizor procijeni inherentni rizik na višem kraju spektra inherentnog rizika. Za te računovodstvene procjene, revizorovo razmatranje učinaka čimbenika inherentnog rizika će vjerojatno izravno utjecati na broj i vrste identificiranih rizika pogrešnog prikaza, procjenu takvih rizika i konačno na uvjerljivost revizijskih dokaza potrebnih kao reagiranje na procijenjene rizike. Također, za te računovodstvene procjene revizorova primjena profesionalnog skepticizma može biti osobito važna. A70. Događaji nastali nakon datuma financijskih izvještaja mogu pružiti dodatne informacije relevantne za revizorovu procjenu rizika značajnih pogrešnih prikazivanja na razini tvrdnje. Na primjer, ishod računovodstvene procjene može postati poznat tijekom revizije. U takvim slučajevima, revizor može procijeniti ili izmijeniti procjenu rizika pogrešnog prikaza na razini tvrdnje[138](MRevS 315 (izmijenjen 2019.), točka 37), neovisno o načinu na koji čimbenici inherentnog rizika utječu na podložnost tvrdnji pogrešnom prikazivanju u odnosu na računovodstvenu procjenu. Događaji nastali nakon datuma financijskih izvještaja također mogu utjecati na revizorov odabir pristupa testiranju računovodstvene procjene u skladu s točkom 18. Naprimjer, za jednostavni obračun bonusa koji se temelji na jednostavnoj stopi naknade za odabrane zaposlenike, revizor može zaključiti da postoji relativno mala složenost ili subjektivnost u stvaranju računovodstvene procjene i da stoga može procijeniti inherentni rizik na razini tvrdnje bliže nižem kraju spektra inherentnog rizika. Plaćanje bonusa nakon kraja razdoblja može pružiti dostatne i primjerene revizijske dokaze u vezi s procijenjenim rizicima pogrešnog prikaza na razini tvrdnje. A71. Revizorova procjena kontrolnog rizika može biti obavljena na različite načine ovisno o preferiranim revizijskim tehnikama i metodologijama. Procjena kontrolnog rizika može biti izražena korištenjem kvalitativnih kategorija (na primjer, kontrolni rizik procijenjen kao maksimalni, umjereni ili minimalni) ili izrazima za revizorovo očekivanje o učinkovitosti kontrole u postupanju s identificiranim rizikom, tj. planiranim oslanjanjem na učinkovito djelovanje kontrole. Na primjer, ako je kontrolni rizik procijenjen kao maksimalni, revizor ne razmatra oslanjanje na učinkovito djelovanje kontrola. Ako je kontrolni rizik procijenjen kao niži od maksimalnog, revizor razmatra oslanjanje na učinkovito djelovanje kontrola. Nesigurnost procjene (Vidjeti točku: 16(a)) A72. Pri uzimanju u obzir stupnja do kojeg je računovodstvena procjena podložna nesigurnosti procjene, revizor može razmatrati: • zahtijeva li primjenjivi okvir financijskog izvještavanja: o korištenje metoda za stvaranje računovodstvene procjene koja inherentno ima visoku razinu nesigurnosti procjene. Na primjer, okvir financijskog izvještavanja može zahtijevati korištenje ulaznih vrijednosti koje nisu opažljive, o korištenje pretpostavki koje inherentno imaju visoku razinu nesigurnosti procjene kao što su pretpostavke s dugim razdobljem prognoze, pretpostavke temeljene na podacima koji nisu opažljivi i stoga je menadžmentu teško razvijati ih ili korištenje različitih pretpostavki koje su međusobno povezane, o objave o nesigurnosti procjene. • poslovno okruženje. Subjekt može biti aktivan na tržištu koje je suočeno s metežom ili mogućim poremećajem (na primjer, zbog kretanja glavnih valuta ili neaktivnih tržišta) i računovodstvena procjena može zato biti ovisna o podacima koji nisu odmah opažljivi. • je li moguće (ili izvedivo, utoliko da je dopušteno primjenjivim okvirom financijskog izvještavanja) da menadžment: o stvori precizno i pouzdano predviđanje o budućoj realizaciji transakcije iz prošlosti (na primjer, iznos koji će biti plaćen prema mogućim ugovornim uvjetima), ili o učestalosti i utjecaju budućih događaja ili uvjeta (na primjer, iznos budućeg kreditnog gubitka ili iznos po kojem će biti riješen odštetni zahtjev i vrijeme njegovog rješenja); ili o dobije precizne i potpune informacije o postojećim uvjetima (na primjer, informacije o atributima vrednovanja koji bi odražavali perspektivu tržišnih sudionika na datum financijskih izvještaja, da razviju procjenu fer vrijednosti). A73. Veličina iznosa priznatog ili objavljenog u financijskim izvještajima za neku računovodstvenu procjenu nije, sama za sebe, pokazatelj njezine podložnosti pogrešnom prikazivanju jer, na primjer, računovodstvena procjena može biti podcijenjena. A74. U nekim okolnostima, nesigurnost procjene može biti tako visoka da ne može biti stvorena razumna procjena. Primjenjivi okvir financijskog izvještavanja može spriječiti priznavanje neke stavke u financijskim izvještajima ili njezino mjerenje po fer vrijednosti. U takvim slučajevima, mogu postojati rizici pogrešnog prikaza koji se odnose ne samo na to treba li računovodstvena procjena biti priznata ili treba li biti mjerena po fer vrijednosti, nego također i na razumnost objave. U vezi s takvim računovodstvenim procjenama, primjenjivi okvir financijskog izvještavanja može zahtijevati objavu računovodstvenih procjena i nesigurnosti procjena povezanih s njima (vidjeti točke A112 – A113, A143 – A144). A75. U nekim slučajevima, nesigurnost procjene povezana s računovodstvenom procjenom može stvoriti značajnu sumnju u subjektovu sposobnost da nastavi s vremenski neograničenim poslovanjem. MRevS 570 (izmijenjen)[139](MRevS 570 (izmijenjen), Vremenska neograničenost poslovanja) ustanovljuje zahtjeve i pruža upute za takve okolnosti. Složenost ili subjektivnost (Vidjeti točku: 16(b)) Stupanj do kojeg složenost utječe na odabir i primjenu metode A76. U uzimanju u obzir stupanj do kojeg složenost utječe na odabir i primjena metode korištene u stvaranju računovodstvene procjene, revizor može razmatrati: • potrebu za specijaliziranim vještinama ili znanjima menadžmenta koja može ukazivati da je metoda korištena za stvaranje računovodstvene procjene inherentno složena i zato računovodstvena procjena može imati veću podložnost značajnom pogrešnom prikazivanju. Može postojati veća podložnost značajnom pogrešnom prikazivanju ako je menadžment interno razvio model i ima relativno malo iskustva u tome ili koristi model koji primjenjuje metode koje nisu ustanovljene ili uobičajeno korištene u određenoj industriji ili okruženju. • prirodu osnove mjerenja koju zahtijeva primijenjeni okvir financijskog izvještavanja, koja može imati za posljedicu potrebu za složenom metodom koja zahtijeva višestruke izvore povijesnih i prema budućnosti usmjerenih podataka ili pretpostavki s višestrukim međusobnim odnosima. Na primjer, rezerviranje za očekivane kreditne gubitke može zahtijevati prosudbe o budućim otplatama i drugim novčanim tokovima, temeljeno na razmatranju povijesnih iskustvenih podataka i primjeni pretpostavki usmjerenih prema budućnosti. Slično tome, vrednovanje obveze temeljem ugovora o osiguranju može zahtijevati prosudbe o budućim plaćanjima temeljem ugovora o osiguranju projiciranim na iskustvu iz povijesti i tekućim i procijenjenim budućim trendovima Stupanj do kojeg složenost utječe na odabir i primjenu podataka A77. U uzimanju u obzir stupnja do kojeg složenost utječe na odabir i primjenu podataka korištenih u stvaranju računovodstvene procjene, revizor može razmatrati: • složenost procesa izvlačenja podataka, uzimanjem u obzir relevantnost i pouzdanost izvora podataka. Podaci iz određenog izvora mogu biti pouzdaniji od onih iz drugih izvora. Također, iz razloga očuvanja povjerljivosti ili vlasništva, neki vanjski izvori informacija neće (ili neće u potpunosti) objaviti informacije koje mogu biti relevantne u razmatranju pouzdanosti podataka koje pružaju, kao što su izvori ishodišnih podataka koje oni koriste ili kako su prikupljeni i obrađeni. • inherentnu složenost u održavanju integriteta podataka. Kad postoji veliki volumen podataka ili višestruki izvori podataka, mogu postojati inherentne složenosti u održavanju integriteta podataka koji se koriste za stvaranje računovodstvene procjene. • potrebu za tumačenjem složenih ugovornih uvjeta. Na primjer, određivanje novčanih priljeva ili odljeva nastalih od komercijalnih dobavljača ili rabata kupcima može ovisiti o vrlo složenim ugovornim uvjetima koji zahtijevaju posebno iskustvo ili kompetentnost za razumijevanje ili tumačenje. Stupanj do kojeg subjektivnost utječe na odabir i primjenu metode, pretpostavki ili podataka A78. U uzimanju u obzir stupnja do kojeg subjektivnost utječe na odabir i primjenu metode, pretpostavki ili podataka, revizor može razmatrati: • stupanj do kojeg primjenjivi okvir financijskog izvještavanja ne specificira pristupe, koncepte, tehnike i čimbenike vrednovanja za korištenje u metodi procjene. • neizvjesnost u vezi iznosa ili vremena, uključujući i trajanje razdoblja prognoze. Iznos ili vrijeme su izvor inherentne nesigurnosti procjene i stvaraju potrebu za menadžmentovom prosudbom u odabiranju točke procjene koja za uzvrat stvara mogućnost za menadžmentovu pristranost. Naprimjer, računovodstvena procjena koja uključuje da se pretpostavke unaprijed sagledavaju može imati veći stupanj subjektivnosti koji može biti podložan menadžmentovoj pristranosti. Drugi čimbenici inherentnog rizika 16(b)) A79. Stupanj subjektivnosti povezan s nekom računovodstvenom procjenom utječe na podložnost računovodstvene procjene pogrešnom prikazivanju zbog menadžmentove pristranosti ili drugih čimbenika rizika prijevare u mjeri u kojoj utječu na inherentni rizik. Naprimjer, kad je neka računovodstvena procjena podložna visokom stupnju subjektivnosti, računovodstvena procjena će vjerojatno biti jače podložna pogrešnom prikazivanju zbog menadžmentove pristranosti ili prijevare i to može imati za posljedicu širi raspon mogućih rezultata mjerenja. Menadžment može odabrati točku procjene iz raspona koji je neprimjeren u danim okolnostima, ili na koju je neprimjereno utjecala nenamjerna ili namjerna menadžmentova pristranost, i koja je stoga pogrešno prikazana. Za revizije koje se obavljaju iz razdoblja u razdoblje, pokazatelji moguće pristranosti menadžmenta otkriveni tijekom revizija prethodnih razdoblja mogu utjecati na planiranje i postupke procjene rizika u tekućem razdoblju Značajni rizici (Vidjeti točku: 17) A80. Revizorova procjena inherentnog rizika, koja uzima u obzir stupanj do kojeg je neka računovodstvena procjena podložna, ili na nju utječe, nesigurnost procjene, složenost, subjektivnost ili drugi čimbenici inherentnog rizika, pomaže revizoru u određivanju je li neki od prepoznatih i procijenjenih rizika značajnih pogrešnih prikazivanja značajni rizik. … Kad se revizor namjerava osloniti na operativnu učinkovitost kontrola (Vidjeti točku: 19) A85. Testiranje operativne učinkovitosti kontrola može biti primjereno kad je inherentni rizik procijenjen kao visok u spektru inherentnog rizika, uključujući i za značajne rizike. Ovo može biti slučaj kad je računovodstvena procjena podložna ili na nju utječe visok stupanj složenosti. Ako na računovodstvenu procjenu utječe visok stupanj subjektivnosti i stoga zahtijeva važnu menadžmentovu prosudbu, inherentna ograničenja u učinkovitosti oblikovanosti kontrole mogu voditi revizora k tome da se više usmjeri na dokazne postupke nego na testiranje operativne učinkovitosti kontrole. Sveobuhvatno ocjenjivanje temeljeno na obavljenim revizijskim postupcima (Vidjeti točku: 33) … Određivanje jesu li računovodstvene procjene razumne ili pogrešne (Vidjeti točke: 9, 35) … MRevS 600 – Posebna razmatranja – revizija grupnih financijskih izvještaja (uključujući rad revizora komponente) (»Narodne novine«, br. 71/09) Zahtjevi Razumijevanje grupe, njezinih komponenti i njihovog okruženja 17. Od revizora se zahtijeva da identificira i procijeni rizike značajnih pogrešnih prikazivanja kroz stjecanje razumijevanja subjekta ili njegovog okruženja, primjenjivog okvira financijskog izvještavanja i sustava internih kontrola. Angažirani tim za grupu će: (a) … Materijal za primjenu i ostali materijali s objašnjenjima … Definicije … Značajna komponenta (Vidjeti točku: 9(m)) … A6. Angažirani tim za grupu također može identificirati komponentu koja vjerojatno uključuje značajne rizike značajnih pogrešnih prikazivanja financijskih izvještaja grupe zbog specifične prirode ili okolnosti. Naprimjer, komponenta može biti odgovorna za trgovanje stranim valutama i zbog toga izlaže grupu značajnom riziku značajnih pogrešnih prikazivanja iako komponenta na drugi način nije pojedinačno financijski značajna za grupu. … Razumijevanje grupe, njezinih komponenti i njihovih okruženja Pitanja o kojima angažirani tim za grupu stječe razumijevanje (Vidjeti točku: 17) A23. MRevS 315 (izmijenjen 2019.) sadrži upute za pitanja koja revizor može razmatrati kad stječe razumijevanje industrije, regulative i ostalih vanjskih čimbenika koji utječu na subjekt, uključujući i razumijevanje o primjenjivom okviru financijskog izvještavanja; o vrsti subjekta, ciljevima i strategijama i povezanim poslovnim rizicima; i o mjerenju i pregledu subjektove financijske uspješnosti. [140](MRevS 315 (izmijenjen 2019.), točke A62 – A64 i Dodatak 1) Dodatak 2 ovog MRevS-a sadrži upute za pitanja specifična za grupu kao i za proces konsolidacije. DODATAK 2 Primjeri pitanja o kojima angažirani tim za grupu stječe razumijevanje … Kontrole na razini grupe 1. Kontrole na razini grupe mogu uključivati kombinaciju sljedećeg: • redovne sastanke između grupe i menadžmenta komponente radi diskusije poslovnog razvoja i pregleda ostvarenih rezultata; • … • kontrole unutar IT sustava koji je zajednički za sve ili neke komponente; • kontrole unutar procesa grupe za monitoring sustava internih kontrola, uključujući aktivnosti službe interne revizije i programe samoprocjene; • … DODATAK 5 Zahtijevanja i ostala pitanja uključena u pismo instrukcija angažiranog tima za grupu Pitanja koja su relevantna za planiranje rada revizora komponente • … … Pitanja koja su relevantna za obavljanje posla revizora komponente • Nalazi testiranja kontrola angažiranog tima za grupu u sustavu procesiranja koji su zajednički za sve ili neke komponente te testovi kontrola koje treba obaviti revizor komponente. • … MRevS 610 (izmijenjen 2013.) – Korištenje radom internih revizora (»Narodne novine«, br. 33/16) Uvod … Odnos između MRevS 315 (izmijenjen 2019.) i MRevS 610 (izmijenjen 2013.) … 7. MRevS 315 (izmijenjen 2019.) uređuje način na koji znanja i iskustva službe interne revizije mogu doprinijeti eksternom revizoru u njegovu razumijevanju subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola kao i u identificiranju i procjenjivanju rizika značajnih pogrešnih prikazivanja. MRevS 315 (izmijenjen 2019.)3 također objašnjava način na koji učinkovita komunikacija između internih i eksternih revizora također stvara okruženje u kojem eksterni revizor može biti informiran o značajnim pitanjima koja mogu utjecati na rad eksternog revizora. … Materijal za primjenu i ostali materijali s objašnjenjima Definicija službe interne revizije (Vidjeti točke: 2, 14(a)) … A3. Povrh toga, za svrhe ovog MRevS-a oni unutar subjekta s operativnim i menadžerskim dužnostima i odgovornostima izvan službe interne revizije uobičajeno će se suočavati s prijetnjama svojoj objektivnosti što će im onemogućavati da ih se tretira kao dio službe interne revizije iako oni mogu obavljati kontrole koje se mogu testirati u skladu s MRevS-om 330.12 Iz tog razloga, monitoring kontrola koji obavlja vlasnik-menadžer ne bi se smatrao ekvivalentom službe interne revizije. … Ocjenjivanje službe interne revizije … Primjena sustavnog i discipliniranog pristupa (Vidjeti točku: 15(c)) A10. Primjena sustavnog i discipliniranog pristupa planiranju, obavljanju, nadziranju, pregledavanju i dokumentiranju svojih aktivnosti razlikuje aktivnosti službe interne revizije od drugih monitoringa kontrola koje mogu biti obavljene unutar subjekta. … A21. Kao što je objašnjeno u MRevS-u 315 (izmijenjen 2019.)[141](MRevS 315 (izmijenjen 2019.), točka 124), značajni rizici su rizici procijenjeni blizu gornje granice spektra inherentnog rizika i zbog toga će eksternom revizoru mogućnost korištenja rada službe interne revizije u vezi sa značajnim rizicima, biti svedena na postupke koji uključuju ograničeno prosuđivanje. Dodatno, gdje je rizik značajnih pogrešnih prikazivanja različit od niskog, nije vjerojatno da će korištenje samo rada službe interne revizije smanjiti revizijski rizik na prihvatljivo nisku razinu i eliminirati potrebu obavljanja nekih testova izravno od strane eksternog revizora. … MRevS 620 – Korištenje radom revizorovog eksperta (»Narodne novine«, br. 71/09) Materijal za primjenu i ostali materijali s objašnjenjima … Utvrđivanje potrebe za revizorovim ekspertom (Vidjeti točku: 7) A4. Revizorov ekspert može biti potreban kako bi pomogao revizoru u jednom ili više od sljedećeg: • stjecanju razumijevanja poslovanja subjekta i njegovog okruženja, kao i njegovih internih kontrola; stjecanje razumijevanja subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola; • … MRevS 701 – Priopćavanje ključnih revizijskih pitanja u izvješću neovisnog revizora (»Narodne novine«, br. 107/16) Materijal za primjenu i ostali materijali s objašnjenjima … Utvrđivanje ključnih revizijskih pitanja (Vidjeti točke: 9 – 10) … Razmatranja u određivanju onih pitanja koja zahtijevaju važnu pozornost revizora (Vidjeti točku: 9) … Područja s višim procijenjenim rizikom značajnih pogrešnih prikazivanja ili sa značajnim rizicima identificiranim u skladu s MRevS-om 315 (izmijenjen 2019.) (Vidjeti točku 9(a).) … A20. MRevS 315 (izmijenjen 2019.) definira značajni rizik kao identificirani rizik značajnih pogrešnih prikazivanja za koji je procjena inherentnog rizika blizu gornje granice spektra inherentnog rizika zbog stupnja do kojeg čimbenici inherentnog rizika utječu na kombinaciju vjerojatnosti nastanka pogrešnog prikazivanja i veličine potencijalnog pogrešnog prikazivanja ako takvo pogrešno prikazivanje nastane.[142](MRevS 315 (izmijenjen 2019.), točka 12(l)) Područja važnih menadžmentovih prosudbi i važne neuobičajene transakcije mogu često biti identificirane kao značajni rizici. Značajni rizici su stoga često područja koja zahtijevaju osobitu revizorovu pozornost … MRevS 720 (izmijenjen), Revizorove odgovornosti u vezi s ostalim informacijama (»Narodne novine«, br.107/16) Materijal za primjenu i ostali materijali s objašnjenjima … Čitanje i razmatranje ostalih informacija (Vidjeti točke: 14 – 15) … Razmatranje o tome postoji li značajna proturječnost između ostalih informacija i revizorovih saznanja stečenih u reviziji (Vidjeti točku: 14(b)) … A31. Revizorove spoznaje stečene u reviziji uključuju revizorovo razumijevanje subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola, stečeno u skladu s MRevS-om 315 (izmijenjen 2019.).[143](MRevS 315 (izmijenjen 2019.), Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja, točke 19 – 27) MRevS 315 (izmijenjen 2019.) navodi razumijevanje koje se zahtijeva od revizora, a koje uključuje takva pitanja kao što su sjecanje razumijevanja: (a) subjektove organizacijske strukture, vlasništva i upravljanja, njegovog poslovnog modela uključujući opseg do kojeg poslovni model integrira korištenje IT-a; (b) relevantnih industrijskih, regulativnih i ostalih vanjskih čimbenika; (c) relevantnih mjera koje se koriste, interno i eksterno, za procjenu subjektove financijske uspješnosti. … Reagiranje kad postoji značajni pogrešni prikaz u financijskim izvještajima ili revizorovo razumijevanje subjekta i njegovog okruženja treba biti ažurirano (Vidjeti točku: 20) A51. Čitanjem ostalih informacija, revizor može postati svjestan novih informacija koje imaju posljedice na: • revizorovo razumijevanje subjekta i njegovog okruženja, primjenjivog okvira financijskog izvještavanja i subjektovog sustava internih kontrola i, u skladu s tim, može ukazati na potrebu izmjene revizorove procjene rizika • … … MEĐUNARODNI STANDARD ZA POVEZANE USLUGE 4400 (IZMIJENJEN) ANGAŽMANI ZA DOGOVORENE POSTUPKE Uvod Područje primjene ovog MSPU-a 1. Ovaj Međunarodni standard za povezane usluge (MSPU) uređuje: (a) odgovornosti praktičara kada je angažiran obaviti angažman za dogovorene postupke; i (b) oblik i sadržaj izvješća o dogovorenim postupcima. 2. Ovaj MSPU primjenjuje se na obavljanje angažmana za dogovorene postupke u vezi s financijskim ili nefinancijskim predmetnim pitanjima. (Vidjeti točke A1 – A2) Odnos s MSKK 1[144](Međunaroni standard kontrole kvalitete (MSKK) 1, Kontrola kvalitete za društva koja obavljaju revizije i uvide u financijske izvještaje te druge angažmane s izražavanjem uvjerenja i angažmane za povezane usluge.) 3. Sustavi kontrole kvalitete, politike i postupci su odgovornost društva. MSKK 1 se primjenjuje na društva profesionalnih računovođa u pogledu angažmana za obavljanje dogovorenih postupaka koje je ugovorilo društvo. Odredbe ovog MSPU-a u pogledu kontrole kvalitete na razini pojedinačnog angažmana za obavljanje dogovorenih postupaka se pretpostavljaju na osnovi da je društvo obveznik primjene zahtjeva MSKK 1 ili zahtjeva koji su barem jednako toliko zahtjevni. (Vidjeti točke A3 – A8) Angažman za obavljanje dogovorenih postupaka 4. U angažmanu za dogovorene postupke, praktičar obavlja postupke koji su ugovoreni od strane praktičara i angažirajuće strane, pri čemu je angažirajuća strana potvrdila da su postupci koji se obavljaju primjereni za svrhu angažmana. Praktičar izvješćuje o obavljenim postupcima i povezanim nalazima u izvješću o dogovorenim postupcima. Angažirajuća strana i drugi namjeravani korisnici sami razmatraju dogovorene postupke i nalaze o kojima je izvijestio praktičar te izvlače vlastite zaključke iz rada koji je obavio praktičar. 5. Vrijednost angažmana za dogovorene postupke koji su obavljeni u skladu s ovim MSPU-om proizlazi iz: (a) praktičarevog pridržavanja profesionalnih standarda, uključujući relevantne etičke zahtjeve; i (b) jasnog izvješćivanja o obavljenim postupcima i povezanim nalazima. 6. Angažman za dogovorene postupke nije revizija, uvid ili drugi angažman s izražavanjem uvjerenja. Angažman za dogovorene postupke ne uključuje pribavljanje dokaza s ciljem da praktičar izrazi mišljenje ili zaključak s izražavanjem uvjerenja u bilo kojem obliku. Mjerodavnost ovog MSPU-a 7. Ovaj MSPU sadrži ciljeve praktičara u primjeni MSPU-a, koji daju kontekst u kojem se postavljaju zahtjevi ovog MSPU-a. Ciljevi su namijenjeni pomaganju praktičaru pri razumijevanju onoga što treba biti postignuto u angažmanu za dogovorene postupke. 8. Ovaj MSPU sadrži zahtjeve koji su izraženi korištenjem termina »će/mora/dužan je/obvezan je« koji su oblikovani s ciljem da praktičar postigne navedene ciljeve. 9. Dodatno, ovaj MSPU sadrži uvodni materijal, definicije, materijal za primjenu i ostale materijale s objašnjenjima koji daju kontekst relevantan za ispravno razumijevanje ovog MSPU-a. 10. Materijal za primjenu i ostali materijali s objašnjenjima daju daljnja objašnjenja zahtjeva i smjernice za njihovu provedbu. Iako smjernice same po sebi ne nameću zahtjev, one su relevantne za ispravnu primjenu zahtjeva. Materijal za primjenu i ostali materijali s objašnjenjima mogu također dati pozadinske informacije o pitanjima iz ovog MSPU-a koje pomažu u primjeni zahtjeva. Stupanje na snagu 11. Ovaj MSPU stupa na snagu za angažmane za dogovorene postupke za koje su uvjeti angažmana ugovoreni na dan 1. siječnja 2022. ili nakon toga dana. (Vidjeti točku A9) Ciljevi 12. Ciljevi praktičara u angažmanu za dogovorene postupke prema ovom MSPU su: (a) s angažirajućom stranom dogovoriti postupke koje treba obaviti; (b) obaviti dogovorene postupke; i (c) izvijestiti o obavljenim postupcima i povezanim nalazima u skladu s zahtjevima ovog MSPU-a. Definicije 13. Za svrhe ovog MSPU-a, sljedeći pojmovi imaju značenja koja su im dolje pripisana: (a) Dogovoreni postupci – postupci koji su dogovoreni od strane praktičara i angažirajuće strane (i, ako je relevantno, drugih strana). (Vidjeti točku A10) (b) Angažman za dogovorene postupke – angažman u kojem je praktičar angažiran za provedbu postupaka koje su dogovorili praktičar i angažirajuća strana (i, ako je relevantno, druge strane) i izvijestiti o obavljenim postupcima i povezanim nalazima u izvješću o dogovorenim postupcima. (Vidjeti točku A10) (c) Angažirani partner – partner ili druga osoba u društvu koja je odgovorna za angažman i njegovu provedbu te za izvješće o dogovorenim postupcima koje se izdaje u ime društva i koja, ako postoji obveza, ima primjereno ovlaštenje izdano od strane profesionalnog, zakonskog ili regulatornog tijela. (d) Angažirajuća strana – strana (strane) koja angažira (angažiraju) praktičara u svrhu provedbe angažmana za dogovorene postupke. (Vidjeti točku A11) (e) Angažirani tim – svi partneri i osoblje koje obavlja angažman za dogovorene postupke i bilo koji pojedinci koje je angažiralo društvo ili društvo u mreži koji obavljaju postupke u okviru angažmana. Ovo isključuje praktičarevog vanjskog eksperta kojeg je angažiralo društvo ili društvo u mreži. (f) Nalazi – nalazi su činjenični rezultati obavljenih dogovorenih postupaka. Nalaze se može objektivno verificirati. Pozivanje na nalaze u ovom MSPU-u isključuje mišljenja ili zaključke u bilo kojem obliku kao i bilo koje preporuke koje praktičar može dati. (Vidjeti točke A12 – A13) (g) Namjeravani korisnici – pojedinac (pojedinci) ili organizacija (organizacije) ili grupa (grupe) za koje praktičar očekuje da će koristiti izvješće o dogovorenim postupcima. U nekim slučajevima mogu postojati namjeravani korisnici različiti od onih na koje je naslovljeno izvješće o dogovorenim postupcima. (Vidjeti točku A10) (h) Praktičar – pojedinac (pojedinci) koji obavljaju angažman (obično angažirani partner ili drugi članovi angažiranog tima, ili, kada je primjenjivo, društvo). Ako ovaj MSPU izričito namjerava da zahtjev ili odgovornost ispuni odnosno preuzme angažirani partner, radije je korišten termin »angažirani partner« nego »praktičar«. (i) Praktičarev stručnjak – pojedinac ili organizacija koja ima ekspertizu na području koje je različito od usluga s izražavanjem mišljenja i povezanih usluga, a čiji se rad u tom području koristi radi pomoći praktičaru u ispunjavanju njegovih obveza po osnovi angažmana za dogovorene postupke. Praktičarev stručnjak može biti ili praktičarev interni stručnjak (koji je partner ili dio osoblja, uključujući privremeno osoblje, praktičarevog društva ili društva u mreži) ili praktičarev eksterni stručnjak. (j) Profesionalna prosudba – primjena relevantnog treninga, znanja i iskustva unutar konteksta koji daje ovaj MSPU i relevantnih etičkih zahtjeva u donošenju informiranih odluka o pravcima djelovanja koji su primjereni u danim okolnostima angažmana za dogovorene postupke. (k) Relevantni etički zahtjevi – etički zahtjevi kojima podliježe angažirani tim kada obavlja angažmane za dogovorene postupke. Ovi zahtjevi obično obuhvaćaju Međunarodni kodeks etike za profesionalne računovođe (uključujući Međunarodne standarde neovisnosti (IESBA Kodeks)) Međunarodnog odbora za standarde etike za računovođe (eng. IESBA) zajedno s nacionalnim zahtjevima koji su restriktivniji. (l) Odgovorna strana – strana/strane koje su odgovorne za predmetno pitanje u vezi s kojim se obavljaju dogovoreni postupci. Zahtjevi Obavljanje angažmana za dogovorene postupke u skladu s ovim MSPU-om 14. Praktičar je dužan razumjeti cijeli tekst ovog MSPU-a uključivo s materijalom za primjenu i drugim materijalima s objašnjenjima kako bi razumio njegove ciljeve i ispravno primijenio njegove zahtjeve. Usklađenost s relevantnim zahtjevima 15. Praktičar će se pridržavati svakog zahtjeva ovog MSPU-a osim ako neki zahtjev nije relevantan za određeni angažman za dogovorene postupke, na primjer, ako okolnosti na koje se odnosi zahtjev ne postoje u tom angažmanu. 16. Praktičar se neće pozivati na usklađenost s ovim MSPU-om osim ako je praktičar primijenio sve zahtjeve ovog MSPU-a koji su relevantni za angažman za dogovorene postupke. Relevantni etički zahtjevi 17. Praktičar će se pridržavati relevantnih etičkih zahtjeva. (Vidjeti točke A14 – A20) Profesionalna prosudba 18. Praktičar će donositi profesionalnu prosudbu u prihvaćanju, obavljanju i izvješćivanju o angažmanu za dogovorene postupke, uzimajući u obzir dane okolnosti angažmana. (Vidjeti točke A21 – A23) Kontrola kvalitete na razini angažmana 19. Angažirani partner bit će odgovoran za: (a) ukupnu kvalitetu angažmana za dogovorene postupke uključujući, ako je primjenjivo, rad obavljen od strane praktičarevog stručnjaka; i (Vidjeti točku A24) (b) angažman koji je obavljen u skladu s politikama i postupcima društva povezanim s kontrolom kvalitete tako da: (i) se pridržava primjerenih postupaka u odnosu na prihvaćanje i nastavljanje odnosa s klijentom i prihvaćanje i nastavljanje angažmana; (Vidjeti točku A25) (ii) bude uvjeren da angažirani tim i bilo koji praktičarevi stručnjaci koji nisu dio angažiranog tima, skupno imaju primjerene kompetencije i sposobnosti za obavljanje angažmana za dogovorene postupke; (iii) bude na oprezu naspram indikatora nepridržavanja relevantnih etičkih zahtjeva od strane članova angažiranog tima te da odredi primjerene radnje ako uoči pojave koje ukazuju na to da se članovi angažiranog tima nisu pridržavali relevantnih etičkih zahtjeva; (Vidjeti točku A26) (iv) usmjeruje, nadzire i obavlja angažman u skladu s profesionalnim standardima i primjenjivim zakonskim i regulatornim zahtjevima; i (v) preuzima odgovornost za održavanje primjerene dokumentiranosti angažmana. 20. Ako će se koristiti rad praktičarevog stručnjaka, angažirani partner mora biti uvjeren da će praktičar biti uključen u rad praktičarevog stručnjaka u onoj mjeri koja je dovoljna da preuzme odgovornost za nalaze uključene u izvješće o dogovorenim postupcima. (Vidjeti točku A27) Prihvaćanje i nastavljanje angažmana 21. Prije prihvaćanja ili nastavljanja angažmana za dogovorene postupke praktičar će steći razumijevanje svrhe angažmana. Praktičar neće prihvatiti ili nastaviti angažman ako je svjestan bilo koje činjenice ili okolnosti koje ukazuju na to da su postupci čije obavljanje se traži od praktičara neprimjereni za svrhu angažmana za dogovorene postupke. (Vidjeti točke A28 – A31) 22. Praktičar će prihvatit ili nastaviti angažman za dogovorene postupke samo ako: (Vidjeti točke A28 – A31) (a) angažirajuća strana potvrdi da su očekivani postupci koji će obaviti primjereni za svrhu angažmana; (b) očekuje kako će moći pribaviti informacije koje su potrebne za obavljanje dogovorenih postupaka; (c) se dogovoreni postupci i povezani nalazi mogu opisati objektivno, u terminima koji su jasni i ne dovode u zabludu i nisu podložnim raznim tumačenjima; (Vidjeti točke A32 – A36) (d) nema razloga vjerovati da se neće ispuniti relevantni etički zahtjevi; i (e) nema razloga vjerovati da zahtjevi neovisnosti neće biti ispunjeni, ako je dužan pridržavati se zahtjeva neovisnosti. (Vidjeti točke A37 – A38) 23. Ako angažirani partner pribavi informacije koje bi bile razlog da društvo odbije angažman da su te informacije bile raspoložive ranije, angažirani partner će te informacije promptno komunicirati društvu tako da društvo i angažirani partner mogu poduzeti potrebne radnje. Ugovaranje uvjeta angažmana 24. Praktičar će dogovoriti uvjete angažmana za dogovorene postupke s angažirajućom stranom i unijeti dogovorene uvjete angažmana u pismo o angažiranju ili drugi prikladni oblik pisanog ugovora. Ovi uvjeti uključivat će sljedeće: (Vidjeti točke A39 – A40) (a) identifikaciju predmetnog (predmetnih) pitanja u vezi s kojim(a) će se obaviti dogovoreni postupci; (b) svrhu angažmana i namjeravane korisnike izvješća o dogovorenim postupcima a koje korisnike je identificirala angažirajuća strana; (c) ako je primjenjivo, odgovornu stranu koja je identificirana od strane angažirajuće strane te izjava da se angažman za dogovorene postupke obavlja na temelju toga da je odgovorna strana odgovorna za predmetno pitanje u vezi s kojim se obavljaju dogovoreni postupci; (d) prihvaćanje relevantnih etičkih zahtjeva kojih će se praktičar pridržavati u obavljanju angažmana za dogovorene postupke; (e) izjavu o tome je li praktičar obvezan se pridržavati zahtjeva neovisnosti i, ako jest, navod o relevantnim zahtjevima neovisnosti; (Vidjeti točke A37 – A38) (f) vrstu angažmana za dogovorene postupke, uključujući odredbe o tome da: (i) angažman za dogovorene postupke uključuje praktičara koji obavlja postupke dogovorene s angažirajućom stranom (i, ako je relevantno, drugim stranama) i izvješćuje o nalazima; (Vidjeti točku A10) (ii) su nalazi činjenični rezultati obavljenih dogovorenih postupaka; (iii) angažman za dogovorene postupke nije angažman s izražavanjem uvjerenja i sukladno tome praktičar ne izražava mišljenje ili zaključak s uvjerenjem; (g) potvrdu angažirajuće strane (i, ako je relevantno, drugih strana) da su dogovoreni postupci primjereni za svrhu angažmana; (Vidjeti točku A10) (h) identifikaciju adresata izvješća o dogovorenim postupcima; (i) vrstu, vremenski raspored i opseg postupaka koji će se obaviti, opisano u terminima koji su jasni, ne dovode u zabludu i nisu podložni raznim tumačenjima; i (Vidjeti točke A41 – A42) (j) navod o očekivanom obliku i sadržaju izvješća o dogovorenim postupcima. 25. Ako dogovoreni postupci budu modificirani tijekom trajanja angažmana, praktičar će dogovoriti izmjene i dopune uvjeta angažmana s angažirajućom stranom koje održavaju modificirane postupke. (Vidjeti točku A43) Ponavljajući angažmani za dogovorene postupke 26. Kod ponavljajućih angažmana za dogovorene postupke, praktičar će ocijeniti zahtijevaju li okolnosti, uključujući promjene u razmatranjima vezanim za prihvaćanje angažmana, izmjene i dopune uvjeta angažmana i postoji li potreba za podsjećanjem angažirajuće strane o postojećim uvjetima angažmana. (Vidjeti točku A44) Obavljanje dogovorenih postupaka 27. Praktičar će obaviti postupke kao što je dogovoreno u uvjetima angažmana. 28. Praktičar će razmotriti hoće li zatražiti pisane izjave. (Vidjeti točku A45) Korištenje rada praktičarevog stručnjaka 29. Ako praktičar koristi rad svojeg stručnjaka, praktičar će: (Vidjeti točke A46 – A47, A50) (a) ocijeniti kompetencije, sposobnosti i objektivnost svojeg stručnjaka; (b) dogovoriti se sa svojim stručnjakom o vrsti, opsegu i ciljevima stručnjakovog rada; (Vidjeti točke A48 – A49) (c) utvrditi jesu li vrsta, vremenski raspored i opseg rada koji je obavio praktičarev stručnjak konzistentni s zadatkom koji je s njime dogovoren; i (d) utvrditi opisuju li nalazi adekvatno rezultate obavljenog rada, uzimajući u obzir rad obavljen od strane praktičarevog stručnjaka. Izvješće o dogovorenim postupcima 30. Izvješće o dogovorenim postupcima bit će u pisanom obliku i uključivat će: (Vidjeti točku A51) (a) naslov izvješća koji jasno navodi da je riječ o izvješću o dogovorenim postupcima; (b) naslovljenika kao što je navedeno u uvjetima angažmana; (c) identifikaciju predmetnog pitanja u vezi s kojim su obavljeni dogovoreni postupci; (Vidjeti točku A52) (d) identifikaciju svrhe izvješća o dogovorenim postupcima i navod da izvješće o dogovorenim postupcima ne može biti prikladno za drugu svrhu; (Vidjeti točke A53 – A54) (e) opis angažmana za dogovorene postupke koji navodi da: (i) angažman za dogovorene postupke uključuje praktičara koji obavlja postupke dogovorene s angažirajućom stranom (i ako je relevantno, drugim stranama) i koji izvješćuje o nalazima; (Vidjeti točku A10) (ii) su nalazi činjenični rezultati obavljenih dogovorenih postupaka; i (iii) je angažirajuća strana (i, ako je relevantno, druge strane) potvrdila da su dogovoreni postupci primjereni za svrhu angažmana; (Vidjeti točku A10) (f) ako je primjenjivo, odgovornu stranu koju je identificirala angažirajuća strana te navod da je odgovorna strana odgovorna za predmetno pitanje u vezi s kojim su obavljeni dogovoreni postupci; (g) navod o tome da je angažman obavljen u skladu s MSPU-om 4400 (»izmijenjen«); (h) navod da se praktičar ne izjašnjava o prikladnosti dogovorenih postupaka; (i) navod o tome da angažman za dogovorene postupke nije angažman s izražavanjem uvjerenja te da sukladno tome praktičar ne izražava mišljenje ili zaključak s uvjerenjem; (j) navod o tome da bi praktičar mogao uočiti druga pitanja da je obavio dodatne postupke; (k) navod o tome da praktičar ispunjava etičke zahtjeve IESBA Kodeksa ili drugih profesionalnih zahtjeva ili zahtjeva koje nameće zakon ili regulativa koji su barem jednako zahtjevni; (l) u odnosu na neovisnost: (i) ako praktičar nije obvezan biti neovisan te nije na drugi način dogovorio u uvjetima angažmana pridržavanje zahtjeva neovisnosti, navod o tome da za svrhe angažmana ne postoje zahtjevi neovisnosti kojih se praktičar mora pridržavati; ili (ii) ako je praktičar dužan biti neovisan ili je u uvjetima angažmana ugovorio da će ispunjavati zahtjeve neovisnosti, navod o tome da je praktičar ispunio sve relevantne zahtjeve neovisnosti. Navod će identificirati relevantne zahtjeve neovisnosti; (m) navod da društvo u kojem je praktičar član primjenjuje MSKK 1 ili druge profesionalne zahtjeve ili zahtjeve zakona ili regulative koji su barem jednako zahtjevni kao i MSKK 1. Ako praktičar nije profesionalni računovođa navod će identificirati profesionalne zahtjeve ili zahtjeve zakona ili regulative koji su barem jednako zahtjevni kao MSKK 1; (n) opis obavljenih postupaka s pojedinostima o vrsti, opsegu, i, ako je primjenjivo, vremenskom rasporedu, za svaki postupak kao što je ugovoreno u uvjetima angažmana; (Vidjeti točke A55 – A57) (o) nalaze proizašle iz svakog obavljenog postupka uključujući pojedinosti o utvrđenim odstupanjima; (Vidjeti točke A55 – A56) (p) praktičarev potpis; (q) datum izvješća o dogovorenim postupcima; i (r) mjesto u jurisdikciji u kojem praktičar obavlja djelatnost. 31. Ako se praktičar u izvješću o dogovorenim postupcima poziva na rad koji je obavio praktičarev stručnjak formulacija teksta u izvješću neće podrazumijevati da je praktičareva odgovornost za obavljanje postupaka smanjena zbog uključivanja stručnjaka. (Vidjeti točku A58) 32. Ako praktičar osim opisa nalaza sukladno točki 30(o) daje i sažetak nalaza u izvješću o dogovorenim postupcima: (a) sažetak nalaza bit će opisan na objektivan način u pojmovima koji su jasni i ne dovode u zabludu te nisu podložni različitim tumačenjima; i (b) izvješće o dogovorenim postupcima će uključivati navod o tome da čitanje sažetka nije zamjena za čitanje cjelovitog izvješća. 33. Praktičar će datirati izvješće o dogovorenim postupcima ne ranije od datuma na koji je praktičar dovršio dogovorene postupke i utvrdio nalaze u skladu s ovim MSPU-om. Poduzimanje angažmana za obavljanje dogovorenih postupaka zajedno s drugim angažmanom 34. Izvješće o dogovorenim postupcima mora se jasno razlikovati od izvješća o drugim angažmanima. (Vidjeti točku A59) Dokumentacija 35. Praktičar će u pisanu dokumentaciju angažmana uključiti: (Vidjeti točku A60) (a) pisane uvjete angažmana i, ako je primjenjivo, suglasnost angažirajuće strane s izmjenama i dopunama postupaka; (b) vrstu, vremenski raspored i opseg obavljenih dogovorenih postupaka; i (c) nalaze proizašle iz obavljenih dogovorenih postupaka. Materijal za primjenu i ostali materijali s objašnjenjima Područje primjene ovog MSPU-a (Vidjeti točku 2) A1. Navođenje »predmetnih pitanja« u ovom MSPU-u obuhvaća bilo koje pitanje u svezi s kojim se izvode dogovorenih postupci, uključujući informacije, dokumente, mjerenja ili pridržavanje zakona i regulative, ovisno što je relevantno. A2. Primjeri financijskih i nefinancijskih predmetnih pitanja u vezi s kojima se može obaviti angažman za dogovorene postupke uključuju: • financijska predmetna pitanja koja su povezana s: o financijskim izvještajima subjekta ili posebnim grupama transakcija, stanja računa ili objavljivanja unutar financijskih izvještaja, o prihvatljivošću izdataka koji se potražuju od programa financiranja, o prihodom radi utvrđivanja licencnih naknada, najamnine ili fanšiznih naknada koje se temelje na postotku od prihoda, o pokazateljima adekvatnosti kapitala za regulatorna tijela. • nefinancijska predmetna pitanja koja su povezana s: o brojevima putnika o kojima se izvještavaju tijela nadležna za civilnu avijaciju, o promatranjem uništavanja lažne ili oštećene robe o kojem se izvješćuje regulatorno tijelo, o procesima generiranja podataka za lutrijska izvlačenja o kojima se izvješćuje regulatorno tijelo, o količinom emisije stakleničkih plinova o kojoj se izvješćuje regulatorno tijelo. Gornji popis nije potpun. Dodatne vrste predmetnih pitanja mogu nastati kako se zahtjevi za eksternim izvještavanjem razvijaju. Odnos s MSKK 1 (Vidjeti točku 3) A3. MSKK 1 uređuje odgovornosti društva za uspostavljanje i održavanje vlastitog sustava kontrole kvalitete angažmana za povezane usluge, uključujući angažmane za dogovorene postupke. Ove odgovornosti usmjerene su uspostavi: • sustava kontrole kvalitete društva; i • povezanih politika društva koje su oblikovanje radi postizanja cilja sustava kontrole kvalitete i njegovih postupaka za implementaciju i monitoring pridržavanja tih politika. A4. Prema MSKK 1, društvo ima obvezu uspostaviti i održavati sustav kontrole kvalitete kako bi steklo razumno uvjerenje o tome da: (a) se društvo i njegovo osoblje pridržavaju profesionalnih standarda i primjenjivih zakonskih i regulatornih zahtjeva; i (b) su izvješća izdana od strane društva ili angažiranih partnera primjerena u danim okolnostima.[145](MSKK 1, točka 11) A5. Jurisdikcija koja nije usvojila MSKK 1 u odnosu na angažmane za dogovorene postupke može donijeti zahtjeve kontrole kvalitete u društvima koja obavljaju takve angažmane. Odredbe ovog MSPU-a koje se odnose na kontrolu kvalitete na razini angažmana pretpostavljaju da su doneseni zahtjevi kontrole kvalitete barem jednako zahtjevni kao i zahtjevi MSKK 1. To se postiže onda kada ti zahtjevi nameću društvu obvezu postizanja ciljeva zahtjeva iz MSKK 1, uključujući obvezu uspostavljanja sustava kontrole kvalitete koji uključuje politike i postupke za postupanje sa svakim od sljedećih elemenata: • odgovornošću vodstva za kvalitetu unutar društva; • relevantnim etičkim zahtjevima; • prihvaćanjem i nastavljanjem odnosa s klijentom i određenih angažmana; • ljudskim resursima; • uspješnošću angažmana; i • monitoringom. A6. Unutar konteksta sustava internih kontrola društva, angažirani timovi imaju odgovornost implementirati postupke kontrole kvalitete koji su primjenjivi na angažman. A7. Angažirani tim je ovlašten oslanjati se na sustav internih kontrola društva osim ako informacije koje pruža društvo ili druge strane ne govore drugačije. Na primjer, angažirani tim može se osloniti na sustav kontrole kvalitete društva u odnosu na: • kompetentnost osoblja zbog postupaka provedenih pri zapošljavanju i formalnog treninga, • održavanje odnosa s klijentima putem sustava prihvaćanja i nastavljanja, • pridržavanje pravnih i regulatornih zahtjeva putem monitoring procesa. Pri razmatranju nedostataka koji su identificirani u sustavu kontrola kvalitete društva a koji mogu utjecati na angažman za dogovorene postupke, angažirani partner može razmatrati mjere koje je društvo poduzelo radi otklanjanja nedostataka a koje angažirani partner smatra dostatnima u kontekstu konkretnog angažmana za dogovorene postupke. A8. Nedostatak u sustavu internih kontrola kvalitete ne znači nužno da angažman za dogovorene postupke nije obavljen u skladu s profesionalnim standardima i primjenjivim pravnim i regulatornim zahtjevima ili da izvješće o dogovorenim postupcima nije primjereno. Datum stupanja na snagu (Vidjeti točku 11) A9. Za uvjete obavljanja angažmana koji obuhvaćaju više godina, praktičari mogu htjeti ažurirati uvjete angažmana tako da se ti angažmani za dogovorene postupke obavljaju u skladu s ovim MSPU-om na ili nakon datuma stupanja na snagu ovog MSPU-a. Definicije Angažirajuća strana i ostali namjeravani korisnici (Vidjeti točke 13(a), 13(b), 13(d), 13(g), 24(f)(i), 24(g), 30(e)(i), 30(e)(iii)) A10. U određenim uvjetima, povrh dogovora s angažirajućom stranom postupci mogu biti dogovoreni s namjeravanim korisnicima. Namjeravani korisnici koji nisu angažirajuća strana mogu također potvrditi primjerenost postupaka. A11. Angažirajuća strana može biti, u raznim okolnostima, odgovorna strana, regulator ili drugi namjeravani korisnik. Upućivanja na angažirajuću stranu u ovom MSPU-u uključuju više angažirajućih strana kada je to relevantno. Nalazi (Vidjeti točku 13(f)) A12. Nalazi se mogu objektivno verificirati, što znači da se očekuje da bi različiti praktičari obavljanjem istih postupaka došli do istih rezultata. Nalazi isključuju izražavanje uvjerenja ili zaključka kao i bilo kakve preporuke koje bi praktičar mogao dati. A13. Praktičari mogu koristiti termin »činjenični nalazi« umjesto »nalaza«, na primjer, u slučajevima u kojima praktičar smatra da termin »nalazi« može biti pogrešno shvaćen. Ovo može biti u jurisdikcijama ili jezicima gdje se termin »nalazi« može shvatiti na način da uključuje rezultate koji nisu činjenični. Relevantni etički zahtjevi (Vidjeti točku 17) Objektivnost i neovisnost A14. Praktičar koji obavlja angažman za dogovorene postupke dužan je pridržavati se relevantnih etičkih zahtjeva. Relevantni etički zahtjevi redovno obuhvaćaju IESBA Kodeks, zajedno s nacionalnim zahtjevima koji su stroži. IESBA Kodeks zahtijeva od praktičara pridržavanje temeljnih načela uključujući objektivnost koja zahtijeva od praktičara da ne kompromitiraju svoju profesionalnu ili poslovnu prosudbu zbog pristranosti, sukoba interesa ili neprimjerenog utjecaja drugih osoba. Sukladno tome, relevantni etički zahtjevi kojima podliježe praktičar bi od praktičara barem zahtijevali objektivnost u obavljanju angažmana za dogovorene postupke. A15. IESBA Kodeks ne sadrži zahtjeve neovisnosti za angažmane za dogovorene postupke. Međutim, nacionalni etički kodeksi, zakoni ili regulative, ostali profesionalni zahtjevi ili odredbe ugovora, program ili aranžman koji se odnosi na predmetno pitanje angažmana za dogovorene postupke može sadržavati zahtjeve koji se odnose na neovisnost. Nepridržavanje zakona i regulative[146](Relevantni etički zahtjevi mogu ukazivati da nepridržavanje zakona i regulative uključuje prijevaru. Vidjeti, na primjer, 360.5 P2 IESBA Kodeksa.) A16. Zakon, regulativa ili relevantni etički zahtjevi mogu: (a) zahtijevati od praktičara izvještavanje o identificiranom nepridržavanju ili sumnji na nepridržavanje zakona i regulative odgovarajućem tijelu izvan društva, (b) uspostaviti odgovornosti prema kojima izvještavanja odgovarajućeg tijela izvan društva može biti primjereno u danim okolnostima.[147](Vidjeti, na primjer, točke Z360.36 do 360.36P3 IESBA Kodeksa.) A17. Izvještavanje o identificiranim nepridržavanjima zakona i regulative odgovarajućem tijelu izvan društva može biti obvezno ili primjereno u danim okolnostima zbog toga što: (a) zakon, regulativa ili relevantni etički zahtjevi nameću praktičaru obvezu izvještavanja; (b) je praktičar utvrdio da je izvještavanje primjerena radnja za postupanje s identificiranim nepridržavanjima ili sumnjom na nepridržavanje u skladu s relevantnim etičkim zahtjevima; ili (c) zakon, regulative ili relevantni etički zahtjevi daju praktičaru pravo da to učini. A18. Od praktičara se ne očekuje razina razumijevanja zakona i regulative viša od one koja je potrebna za obavljanje angažmana za dogovorene postupke. Međutim, zakon, regulative ili relevantni etički zahtjevi mogu očekivati da praktičar primijeni znanje, profesionalnu prosudbu i ekspertizu pri postupanju s identificiranim nepridržavanjem ili sumnjom na nepridržavanje. Postoji li nepridržavanje je u konačnici stvar koju mora utvrditi sud ili drugo primjereno tijelo koje donosi odluke. A19. U nekim okolnostima, izvještavanje o identificiranom nepridržavanju ili sumnji na nepridržavanje zakona i regulative odgovarajućem nadležnom tijelu izvan subjekta može biti zabranjeno praktičarevom obvezom čuvanja povjerljivosti sukladno zakonu, regulativi ili drugim relevantnim etičkim zahtjevima. U drugim slučajevima izvještavanje o identificiranom nepridržavanju ili sumnji na nepridržavanje zakona i regulative odgovarajućem nadležnom tijelu izvan subjekta ne bi se smatralo povredom obveze čuvanja povjerljivosti sukladno relevantnim etičkim zahtjevima.[148](Vidjeti, na primjer, točke Z114.1, 114.1 P1 i Z360.37 IESBA Kodeksa.) A20. Praktičar može razmotriti obavljanje interne konzultacije (npr. unutar društva ili društva iz mreže), pribavljanje pravnog savjeta radi razumijevanja profesionalnih ili zakonskih implikacija poduzimanja neke određene radnje, ili konzultiranje, na anonimnoj osnovi, s regulatorom ili profesionalnim tijelom (osim ako je to zabranjeno zakonom ili regulativom ili bi bilo povreda obveze čuvanja povjerljivosti).[149](Vidjeti, na primjer, točku 360.39 P1 IESBA Kodeksa.) Profesionalna prosudba (Vidjeti točku 18) A21. Profesionalna prosudba se ostvaruje u primjeni zahtjeva ovog MSPU-a i relevantnih etičkih zahtjeva i u donošenju informiranih odluka o pravcima djelovanja kroz cijeli angažman za dogovorene postupke, kada je primjereno. A22. U prihvaćanju, provedbi i izvješćivanju o angažmanu za dogovorene postupke profesionalna prosudba se ostvaruje, na primjer u: Prihvaćanju angažmana • raspravljanjem i dogovaranjem s angažirajućom stranom (i, ako je relevantno, drugim stranama) o vrsti, vremenskom rasporedu i opsegu postupaka koje treba obaviti (uzimajući u obzir svrhu angažmana), • utvrđivanjem jesu li ispunjeni uvjeti za prihvaćanje i nastavljanje angažmana, • utvrđivanjem resursa koji su potrebni za obavljanje postupaka koji su ugovoreni u uvjetima angažmana, uključujući potrebu za uključivanjem praktičarevog stručnjaka, • određivanjem primjerenih radnji ako praktičar postane svjestan činjenica ili okolnosti koje sugeriraju da su postupci, za koje je od praktičara tražena suglasnost, neprimjereni svrsi angažmana za dogovorene postupke. Provedbi angažmana • određivanjem primjerenih radnji ili reakcija ako pri obavljanju dogovorenih postupaka praktičar postane svjestan: o pojava koje mogu ukazivati na prijevaru ili nepridržavanje ili sumnju na nepridržavanje zakona ili regulative. o drugih pojava koje mogu baciti sumnju na integritet informacija koje su relevantne za angažman za dogovorene postupke ili koje indiciraju da informacije mogu dovoditi u zabludu. o postupaka koji se ne mogu obaviti kako je ugovoreno. Izvješćivanju o angažmanu • opisivanjem nalaza na objektivan način i s dostatnim pojedinostima, uključujući slučajeve u kojima su utvrđena odstupanja. A23. U provedbi angažmana za dogovorene postupke, potreba praktičara za profesionalnom prosudbom u obavljanju dogovorenih postupaka je ograničena iz razloga koji uključuju: • angažman za dogovorene postupke uključuje obavljanje postupaka koji su ugovoreni od strane praktičara i angažirajuće strane pri čemu je angažirajuća strana potvrdila da su obavljeni postupci primjereni svrsi angažmana, • dogovoreni postupci i nalazi koji proizlaze iz obavljanja tih postupaka mogu biti opisani objektivno u terminima koji su jasni, koji ne dovode u zabludu i koji nisu podložni različitim tumačenjima, • nalazi se mogu objektivno verificirati što znači da se očekuje da različiti praktičari koji obavljaju iste postupke doći do jednakih rezultata. Kontrola kvalitete na razini angažmana (Vidjeti točke 19 – 20) A24. Radnje angažiranog partnera i primjerene poruke ostalim članovima angažiranog tima u preuzimanju odgovornosti za ukupnu kvalitetu angažmana, naglašavaju važnost postizanja kvalitete angažmana kroz: (a) obavljanje posla uz pridržavanje profesionalnih standarda te regulatornih i zakonskih zahtjeva; (b) pridržavanje politika i postupaka društva koji se odnose na kontrolu kvalitete kada je primjenjivo; i (c) izdavanje praktičarevog izvješća za angažman u skladu s ovim MSPU-om. A25. MSKK 1 zahtijeva od društva pribavljanje informacija koje društvo smatra nužnim u danim okolnostima prije prihvaćanja angažmana s novim klijentom, prilikom odlučivanja o nastavljanju postojećeg angažmana i prilikom razmatranja prihvaćanja novog angažmana s postojećim klijentom. Informacije koje pomažu angažiranom partneru pri utvrđivanju je li prihvaćanje ili nastavljanje odnosa s klijentom i angažmana za dogovorene postupke primjereno mogu uključivati informacije povezane s integritetom glavnih vlasnika, ključnog menadžmenta i onih zaduženih za upravljanje. Ako angažirani partner ima razloga sumnjati u menadžmentov integritet u mjeri koja će vjerojatno utjecati na ispravno obavljanje angažmana, možda nije primjereno prihvatiti angažman. A26. MSKK 1 određuje odgovornosti društva za uspostavljanje politika i postupaka oblikovanih radi pružanja razumnog uvjerenja da se društvo i njegovo osoblje pridržava relevantnih etičkih zahtjeva. Ovaj MSPU određuje odgovornosti angažiranog partnera u odnosu na pridržavanje relevantnih etičkih zahtjeva od strane angažiranog tima. A27. Ako praktičar ne može ispuniti zahtjev iz točke 20, može biti primjereno da se praktičar dogovori s angažirajućom stranom o ograničenju opsega angažmana za dogovorene postupke na one postupke za koje praktičar može primjereno preuzeti odgovornost. Angažirajuća strana može zasebno angažirati stručnjaka za obavljanje ostalih postupaka. Prihvaćanje i nastavljanje angažmana (Vidjeti točke 21 – 23) A28. Pri stjecanju razumijevanja svrhe angažmana za dogovorene postupke praktičar može postati svjestan indikatora o tome da su postupci, za koje je od praktičara traženo da ih obavi, neprimjereni svrsi angažmana za dogovorene postupke. Na primjer, praktičar može biti svjestan činjenica ili okolnosti koje ukazuju na sljedeće: • postupci su odabrani s ciljem postizanja pristranosti u donošenju odluka od strane namjeravanih korisnika, • predmetno pitanje u vezi s kojima se obavljaju dogovoreni postupci je nepouzdano, • angažman s izražavanjem uvjerenja ili savjetodavna usluga može bolje udovoljiti potrebama angažirajuće strane ili drugih namjeravanih korisnika. A29. Druge radnje koje mogu uvjeriti praktičara da su ispunjeni uvjeti iz točaka 21 i 22 uključuju: • uspoređivanje postupaka koje treba obaviti s pisanim zahtjevima navedenim, na primjer, u zakonu ili regulativi, ili u ugovoru (ponekad nazvanom »uvjeti ugovora«), gdje je primjereno; • traženje od angažirajuće strane da: o namjeravanom korisniku (korisnicima) dostavi primjerak anticipiranih postupaka te oblik i sadržaj izvješća o dogovorenim postupcima kako su navedeni u uvjetima angažmana, o od namjeravanog (namjeravanih) korisnika pribavi potvrdu o prihvaćanju postupaka koje treba obaviti, o raspravi postupke koje treba obaviti s odgovarajućim predstavnicima namjeravanog (namjeravanih) korisnika. • čitanje korespondencije između angažirajuće strane i drugog (drugih) namjeravanog (namjeravanih) korisnika ako angažirajuća strana nije jedini namjeravani korisnik. A30. Ako uvjeti iz točaka 21 i 22 nisu ispunjeni, malo je vjerojatno da će angažman za dogovorene postupke udovoljiti potrebama angažirajuće strane ili drugih namjeravanih korisnika. U takvim okolnostima praktičar može predložiti druge usluge kao što je angažman s izražavanjem uvjerenja koji može biti primjereniji. A31. Svi uvjeti iz točaka 21 i 22 se također primjenjuju na postupke koji su dodani ili modificirani tijekom angažmana. Opisi dogovorenih postupaka i nalaza (Vidjeti točku 22(c)) A32. Postupci koje treba obaviti tijekom angažmana za dogovorene postupke mogu biti propisani zakonom ili regulativom. U nekim okolnostima, zakon ili regulativa mogu također propisati način na koji postupci ili nalazi moraju biti opisani u izvješću o dogovorenim postupcima. Kao što je navedeno u točki 22(c), uvjet za prihvaćanje angažmana za dogovorene postupke jest da je praktičar utvrdio da se dogovoreni postupci i nalazi mogu opisati objektivno, u terminima koji su jasni, koji ne dovode u zabludu i ne podliježu različitim tumačenjima. A33. Dogovoreni postupci su opisani objektivno, u terminima koji su jasni i ne dovode u zabludu i nisu podložni različitim tumačenjima. Ovo znači da su opisani na razini određenosti koja je dostatna da namjeravani korisnik razumije vrstu, opseg i, ako je primjenjivo, vremenski raspored postupaka koji su obavljeni. Važno je razumjeti da se bilo koji termin može potencijalno koristiti na način koji je nejasan ili koji dovodi u zabludu ovisno o kontekstu ili izostanku konteksta. Pretpostavljajući da su termini primjereni u kontekstu u kojem su korišteni, primjeri opisa radnji koji mogu biti prihvatljivi uključuju: • potvrditi, • usporediti, • provjeriti usklađenost, • pratiti trag, • pregledati, • postaviti upit, • ponovo izračunati, • promatrati. A34. Termini koji mogu biti nejasni, dovoditi u zabludu ili podložni različitim tumačenjima ovisno o kontekstu u kojem se koriste, mogu uključivati, na primjer: • termine koji se povezuju s izražavanjem mišljenja sukladno IAASB-ovim standardima kao što su: »fer prezentiraju« ili »istinito i objektivno«, »revizija«, »uvid«, »izražavanje mišljenja«, »mišljenje« ili »zaključak«. • termine koji podrazumijevaju izražavanje mišljenja u izražavanju uvjerenja ili izražavanje zaključka kao što su: »potvrđujemo«, »verificiramo«, »utvrdili smo« ili »osigurali smo« u odnosu na nalaze. • nejasne ili neodređene rečenice kao što je »pribavili smo sva objašnjenja i obavili postupke koje smo smatrali potrebnim.« • termine koji su podložni različitim tumačenjima kao što su »značajno« ili »signifikantno.« • neprecizne opise postupaka kao što su »raspraviti«, »ocijeniti«, »testirati«, »analizirati« ili »ispitati« bez navođenja vrste i opsega te, ako je primjenjivo, vremenskog rasporeda postupaka koji će se obaviti. Na primjer, korištenje riječi »raspraviti« može biti neprecizno ako se ne odredi s kim će se rasprava obaviti ili koja će se pitanja postaviti. • termine koji sugeriraju da nalazi ne odražavaju činjenične rezultate kao što su »prema našem mišljenju«, »iz naše perspektive« ili »zauzeli smo stajalište da.« A35. Na primjer, malo je vjerojatno da će postupak kao što je »uvid u alokaciju troškova radi utvrđivanja njihove razumnosti« ispuniti uvjet da termini budu jasni, ne dovode u zabludu ili da nisu podložni različitim tumačenjima jer: • termin »uvid« može biti pogrešno protumačen od strane nekih korisnika na način da je alokacija troškova bila podvrgnuta angažmanu s izražavanjem ograničenog uvjerenja čak i ako takvo izražavanje mišljenja u tom postupku nije bilo namjeravano. • termin »razumno« je podložan različitim tumačenjima o tome što je »razumno«. A36. U okolnostima u kojima zakon ili regulativa određuje postupak ili opisuje postupak koristeći termine koji su nejasni, dovode u zabludu ili su podložni različitim tumačenjima, praktičar može ispuniti uvjet iz točke 22(c) na način da, na primjer, zatraži od angažirajuće strane: • modificiranje postupka ili opisa postupka tako da isti više nije nejasan, ne dovodi u zabludu ili nije podložan različitim tumačenjima. • uključivanje definicije termina u izvješće o dogovorenim postupcima ako termin koji je nejasan, dovodi u zabludu ili je podložan različitim tumačenjima, na primjer, zbog zakona ili regulative. Pridržavanje zahtjeva neovisnosti (Vidjeti točke 22(e), 24(e)) A37. Točka 22(e) primjenjuje se kada se od praktičara zahtijeva pridržavanje zahtjeva neovisnosti iz razloga kao što su oni navedeni u točki A15. Točka 22(e) se također primjenjuje kada se praktičar suglasi s angažirajućom stranom u uvjetima angažmana da će se pridržavati zahtjeva neovisnosti. Na primjer, praktičar je mogao inicijalno utvrditi da nije dužan pridržavati se zahtjeva neovisnosti sukladno relevantnim etičkim zahtjevima, zakonu ili regulativi ili zbog drugih razloga. Međutim, prilikom razmatranja prihvaćanja i nastavljanja angažmana ili ugovaranja uvjeta angažmana, praktičarevo znanje o sljedećim pitanjima može ukazivati da je primjereno za svrhu angažmana obaviti raspravu s angažirajućom stranom o pridržavanju određenih zahtjeva neovisnosti: • svrha angažmana za dogovorene postupke; • identificiranje angažirajuće strane, drugih namjeravanih korisnika i odgovorne strane (ako je različita od angažirajuće strane); • vrsta, vremenski raspored i opseg postupaka koji će se obaviti; ili • drugi angažmani koje obavlja praktičar ili je obavljao za angažirajuću stranu, druge namjeravane korisnike ili odgovornu stranu (ako je različita od angažirajuće strane). A38. Praktičar može biti revizor financijskih izvještaja angažirajuće strane (ili odgovorne strane ako je ona različita od angažirajuće strane). U takvim okolnostima, ako je praktičar također angažiran za obavljanje angažmana za dogovorene postupke, namjeravani korisnici izvješća o dogovorenim postupcima mogu pretpostaviti da je praktičar neovisan za svrhe angažmana za dogovorene postupke. Stoga praktičar može ugovoriti s angažirajućom stranom da je praktičarevo pridržavanje zahtjeva neovisnosti koji se primjenjuju na reviziju financijskih izvještaja primjereno za svrhe angažmana za dogovorene postupke. U takvim se slučajevima odredba o obvezi praktičara da se pridržava zahtjeva neovisnosti uključuje u uvjete angažmana u skladu s točkom 24(e). Ugovaranje uvjeta angažmana (Vidjeti točke 24 – 25) A39. Ako je relevantno, dodatne odredbe mogu biti uključene u pismo o angažiranju, na primjer: • aranžmani koji se tiču uključivanja praktičarevog stručnjaka u neke aspekte angažmana o dogovorenim postupcima. • bilo koja ograničenja vezana uz korištenje ili distribuciju izvješća o dogovorenim postupcima. A40. Ilustrativno pismo o angažiranju za dogovorene postupci dano je u Dodatku 1. A41. Praktičar može ugovoriti s angažirajućom stranom da će postupci koji trebaju biti obavljeni uključivati kvantitativne pragove za utvrđivanje izuzetaka. Ako je tome tako, ovi kvantitativni pragovi se uključuju u opise postupaka u uvjetima angažmana. A42. U nekim okolnostima, zakon ili regulativa može propisati samo vrstu postupaka koje treba obaviti. U takvim okolnostima, a u skladu s točkom 24(i), praktičar s angažirajućom stranom ugovara vremenski raspored i opseg postupaka tako da angažirajuća strana ima osnovu za potvrđivanje primjerenosti postupaka koji se trebaju obaviti za svrhu angažmana. A43. U nekim okolnostima, ugovaranje uvjeta angažmana i obavljanje dogovorenih postupaka odvija se na linearan i diskontinuiran (točkast) način. U drugim okolnostima ugovaranje uvjeta angažmana i obavljanje dogovorenih postupaka je iterativan proces s promjenama dogovorenih postupaka koje se ugovaraju tijekom odvijanja angažmana kao reakcija na nove informacije koje se pojavljuju. Ako se postupci koji su prethodno ugovoreni trebaju modificirati, točka 25 zahtijeva od praktičara dogovaranje izmjena i dopuna uvjeta angažmana s angažirajućom stranom. Izmijenjeni i dopunjeni uvjeti angažmana mogu, na primjer, imati oblik ažuriranog pisma o angažiranju, dodatka postojećem pismu o angažiranju ili neki drugi oblik pisanog potvrđivanja. Ponavljajući angažmani (Vidjeti točku 26) A44. Praktičar može odlučiti ne poslati novo pismo o angažiranju ili drugi pisani ugovor za ponavljajući angažman. Međutim, sljedeći čimbenici mogu ukazivati da je primjereno promijeniti uvjete angažmana ili podsjetiti angažirajuću stranu na postojeće uvjete angažmana: • bilo koja naznaka da agažirajuća strana ne razumije svrhu angažmana za dogovorene postupke ili vrstu, vremenski raspored ili opseg dogovorenih postupaka, • bilo koja izmjena uvjeta ili posebni uvjeti angažmana uključujući bilo koje promjene u prethodno dogovorenim postupcima, • promjene u zakonskim, regulatornim ili ugovornim zahtjevima koje utječu na angažman, • promjena u menadžmentu ili onima koji su zaduženi za upravljanje kod angažirajuće strane. Obavljanje dogovorenih postupaka (Vidjeti točku 28) A45. Praktičar može odlučiti zatražiti pisane izjave u nekim okolnostima, na primjer: • ako dogovoreni postupci uključuju postavljanje upita, praktičar može zatražiti pisane izjave o odgovorima koji su dani usmeno, • ako angažirajuća strana nije odgovorna strana, praktičar može ugovoriti s angažirajućom stranom uključivanje, kao jednog dogovorenog postupka, traženje pisanih izjava od odgovorne strane. Korištenje rada praktičarevog stručnjaka (Vidjeti točku 29) A46. Korištenje rada praktičarevog stručnjaka može uključivati korištenje stručnjaka radi pomoći praktičaru pri: • raspravljanju s angažirajućom stranom o dogovorenim postupcima koje treba obaviti. Na primjer, odvjetnik može dati praktičaru savjete o oblikovanju nekog postupka radi rješavanja pravnih aspekata nekog ugovora; ili • obavljanju jednog ili više dogovorenih postupaka. Na primjer, kemičar može obaviti jedan od dogovorenih postupaka kao što je utvrđivanje razina toksina u uzorku zrna. A47. Praktičarev stručnjak može biti eksterni stručnjak kojega je angažirao praktičar ili interni stručnjak koji je dio društva i stoga podliježe sustavu društva za kontrolu kvalitete. Praktičar je ovlašten osloniti se na sustav društva za kontrolu kvalitete osim ako informacije koje dobiva od društva ili drugih strana ne sugeriraju drugačije. Opseg toga oslanjanja varirat će s okolnostima i može utjecati na vrstu, vremenski raspored i opseg praktičarevih postupaka u odnosu na pitanja kao što su: • kompetencije i sposobnosti kroz programe zapošljavanja i treninga, • praktičareva ocjena objektivnosti praktičarevog stručnjaka, • ugovor s praktičarevim stručnjakom. Takvo oslanjanje ne smanjuje praktičarevu odgovornost za ispunjenje zahtjeva ovog MSPU-a. A48. Ako praktičarev stručnjak obavlja jedan ili više dogovorenih postupaka, dogovor o vrsti, opsegu i ciljevima toga rada stručnjaka kao što je zahtijevano točkom 29(b) uključuje vrstu, vremenski raspored postupaka koje treba obaviti praktičarev stručnjak. Povrh zahtjeva koje sadrži točka 29(b), može biti primjereno da praktičarev ugovor s praktičarevim stručnjakom uključuje pitanja kao što su sljedeća: (a) odnosne uloge i odgovornosti praktičara i tog stručnjaka; (b) vrstu, vremenski raspored i opseg komunikacije između praktičara i tog stručnjaka uključujući o oblik bilo kojeg izvješća koje taj stručnjak mora pružiti; i (c) potrebu da se praktičarev stručnjak pridržava zahtjeva povjerljivosti. A49. Pitanja koja su navedena u točki A47 mogu utjecati na razinu pojedinosti i formalnosti ugovora između praktičara i praktičarevog stručnjaka uključujući je li primjereno da taj ugovor bude u pisanom obliku. Ugovor između praktičara i praktičarevog eksternog stručnjaka je često u obliku pisma o angažiranju. A50. Kada će se koristiti rad praktičarevog stručnjaka može biti primjereno obaviti neke od postupaka koje zahtijeva točka 29 u fazi prihvaćanja ili nastavljanja angažmana. Izvješće o dogovorenim postupcima (Vidjeti točke 30 – 33) A51. Dodatak 2 sadrži ilustracije izvješća o dogovorenim postupcima. Predmetno pitanje u vezi s kojim se obavljaju dogovoreni postupci (Vidjeti točku 30(c)) A52. Ako je primjenjivo, radi izbjegavanja nesporazuma, praktičar može htjeti razjasniti da izvješće o dogovorenim postupcima ne pruža informacije izvan opsega predmetnih pitanja u vezi s kojima su obavljeni dogovoreni postupci. Na primjer, ako je praktičar angažiran za obavljanje dogovorenih postupaka u vezi sa salda-kontima kupaca i zaliha subjekta, praktičar može htjeti uključiti navod da se izvješće o dogovorenim postupcima odnosi samo na te račune i ne proteže se na financijske izvještaje subjekta kao cjelinu. Svrha izvješća o dogovorenim postupcima (Vidjeti točku 30(d)) A53. Povrh navoda koji se zahtijeva u točki 30(d), praktičar može smatrati primjerenim ukazati na to da je izvješće o dogovorenim postupcima isključivo namijenjeno angažirajućoj strani i namjeravanim korisnicima. Ovisno o zakonu ili regulativi određene jurisdikcije, ovo se može postići ograničenjem distribucije ili korištenja izvješća o dogovorenim postupcima. U nekim jurisdikcijama može biti moguće ograničiti korištenje izvješća o dogovorenim postupcima ali ne i njihovu distribuciju. U drugim jurisdikcijama može biti moguće ograničiti distribuciju izvješća o dogovorenim postupcima ali ne i njegovo korištenje. A54. Čimbenici koje praktičar može razmotriti pri odlučivanju o tome hoće li ograničiti distribuciju ili korištenje izvješća o dogovorenim postupcima (ako je to dopušteno) uključuju: • postoji povećani rizik da će korisnici koji nisu namjeravani korisnici pogrešno razumjeti svrhu angažmana za dogovorene postupke ili pogrešno protumačiti nalaze, • dogovoreni postupci su oblikovani isključivo za korištenje od strane internih korisnika kao što je menadžment i oni koji su zaduženi za upravljanje angažirajućom stranom, • dogovoreni postupci ili nalazi uključuju povjerljive informacije. Dogovoreni postupci i nalazi (Vidjeti točku 30(n) – 30(o)) A55. Ako praktičar ne može opisati dogovorene postupke ili nalaze bez uključivanja povjerljivih ili osjetljivih informacija, praktičar može razmotriti: • interno konzultiranje (na primjer, unutar društva ili društva iz mreže); • eksterno konzultiranje (na primjer, s relevantnim profesionalnim tijelom ili drugim praktičarem); ili • pribavljanje pravnog savjeta, kako bi razumio profesionalne ili pravne implikacije poduzimanja nekog određenog pravca djelovanja. A56. Mogu postojati okolnosti u kojima je činjenica da prethodno dogovoreni postupci nisu bili obavljeni ili su bili modificirani važna za razmatranje dogovorenih postupaka i nalaza od strane namjeravanih korisnika. Na primjer, ovo može biti slučaj kada su postupci navedeni u zakonu i regulativi. U takvim okolnostima, praktičar može u izvješću o dogovorenim postupcima identificirati postupke koji su dogovoreni u izvornim uvjetima angažmana a koji nisu obavljeni ili su bili modificirani te zašto je došlo do tih okolnosti. A57. Praktičar može upućivati na datum na koji su sklopljeni dogovoreni postupci u uvjetima angažmana. Upućivanje na praktičarevog stručnjaka (Vidjeti točku 31) A58. U nekim okolnostima, zakon ili regulativa može zahtijevati pozivanje u izvješću o dogovorenim postupcima na praktičarevog stručnjaka koji je obavio bilo koji od dogovorenih postupaka. Na primjer, takvo upućivanje može biti zahtijevano u svrhu transparentnosti u javnom sektoru. Praktičar može ovo također smatrati primjerenim u drugim okolnostima, na primjer, kada upućuje na praktičarevog stručnjaka u opisivanju dogovorenih postupaka. Unatoč tome, praktičar ima isključivu odgovornost za nalaze koji su uključeni u izvješće o dogovorenim postupcima i ta odgovornost se ne smanjuje korištenjem praktičarevog stručnjaka. Stoga je važno da ako izvješće o dogovorenim postupcima upućuje na praktičarevog stručnjaka, izvješće ne podrazumijeva da je praktičareva odgovornost smanjena zbog pozivanja na praktičarevog stručnjaka. Poduzimanje angažmana za dogovorene postupke zajedno s drugim angažmanom (Vidjeti točku 34) A59. Od praktičara se može tražiti obavljanje drugih angažmana zajedno s angažmanom za dogovorene postupke, kao što je pružanje preporuka koje proizlaze iz angažmana za dogovorene postupke. Takva traženja mogu imati oblik jednog zahtjeva da praktičar obavi dogovorene postupke i da daje preporuke te uvjeti različitih angažmana mogu biti navedeni u jednom pismu o angažiranju. Radi izbjegavanja nesporazuma, točka 34 zahtijeva da izvješće o dogovorenim postupcima bude jasno odvojeno od izvješća za ostale angažmane. Na primjer, preporuke mogu biti: • dane u dokumentu koji je odvojen od izvješća o dogovorenim postupcima; ili • uključene u dokument koji sadrži i izvješće o dogovorenim postupcima i preporuke ali sa jasno odvojenim preporukama od izvješća o dogovorenim postupcima, na primjer, stavljanjem izvješća o dogovorenim postupcima i preporuka u odvojene dijelove dokumenta. Dokumentacija (Vidjeti točku 35) A60. Dokumentacija o vrsti, vremenskom rasporedu i opsegu obavljenih dogovorenih postupaka može uključivati, na primjer, evidenciju o: • identificirajućim obilježjima predmetnog (predmetnih) pitanja u vezi s kojima se obavljaju dogovoreni postupci. Identificirajuća obilježja će varirati ovisno o vrsti dogovorenih postupaka i predmetnom pitanju (predmetnim pitanjima) u vezi s kojima se obavlja neki dogovoreni postupak. Na primjer: o u postupku s narudžbenicama praktičar može identificirati dokumente odabrane prema njihovom datumu i jedinstvenim brojevima narudžbenica, o u postupku koji zahtijeva odabir svih stavki koje prelaze određeni iznos iz dane populacije, praktičar može evidentirati opseg postupka i identificirati populaciju (na primjer, sva knjiženja u dnevniku iznad određenog iznosa za određeno razdoblje, svi radni listovi za sate iznad određenog broja za određene mjesece ili svaka deseta stavka na određenom popisu), o u postupku koji zahtijeva postavljanje upita određenom osoblju praktičar može evidentirati datume upita, imena i nazive radnih mjesta osoblja i pitanja koja su postavljena, o u postupku promatranja, praktičar može evidentirati proces ili pojavu koja se promatra, relevantne pojedince, njihove odnosne odgovornosti i mjesto i vrijeme obavljenog promatranja. • tko je obavio dogovorene postupke i datum na koji su obavljeni ti postupci, • tko je pregledao obavljene dogovorene postupke te datum i opseg tog pregleda. DODATAK 1 (Vidjeti točku A40) Ilustrativno pismo o angažiranju za angažman za dogovorene postupke Sljedeće je primjer pisma o angažiranju za angažman za dogovorene postupke koji ilustrira relevantne zahtjeve i upute koje su sadržane u ovom MSPU-u. Ovo pismo nije mjerodavno i namjera je da bude vodič koji se može koristiti u svezi s razmatranjima prikazanim u ovom MSPU-u. Potrebno ga je prilagoditi sukladno zahtjevima pojedinih angažmana za dogovorene postupke. Ovaj nacrt odnosi se na angažman za dogovorene postupke u jednom izvještajnom razdoblju i moralo bi ga se preinačiti ako se namjerava ili se očekuje primjena na ponavljajući angažman kao što je opisano u ovom MSPU-u. Može biti primjereno tražiti pravni savjet o tome je li bilo koje predloženo pismo prikladno. [Naslovljenik – Angažirajuća strana] Zatražili ste da obavimo angažman za dogovorene postupke vezano uz nabavu [xyz] proizvoda. Ovo pismo ima za svrhu potvrditi naše razumijevanje uvjeta i ciljeva našeg angažmana i vrstu i ograničenja usluga koje ćemo pružiti. Naš angažman bit će proveden u skladu s Međunarodnim standardom o povezanim uslugama (MSPU) 4400 (izmijenjen), Angažmani za dogovorene postupke. U provedbi angažmana za dogovorene postupke pridržavat ćemo se [opisati relevantne etičke zahtjeve], koji od nas ne zahtijevaju neovisnost. Angažman za dogovorene postupke koji se obavlja u skladu s MSPU-om 4400 (izmijenjen) uključuje naše obavljanje postupaka koji su dogovoreni s vama i izvješćivanje o nalazima u izvješću o dogovorenim postupcima. Nalazi su činjenični rezultati obavljenih dogovorenih postupaka. Vi [i, ako je relevantno, druge strane] potvrđuju da su postupci primjereni svrsi angažmana. Ne izražavamo mišljenje o primjerenosti postupaka. Ovaj angažman za dogovorene postupke bit će obavljen na temelju toga da je [odgovorna strana] odgovorna za predmetno pitanje u vezi s kojim se obavljaju dogovoreni postupci. Nadalje, ovaj angažman za dogovorene postupke nije angažman s izražavanjem uvjerenja. Sukladno tome, ne izražavamo mišljenje ili zaključak s izražavanjem uvjerenja. Postupci koje ćemo obaviti imaju isključivu svrhu pomoći vam pri utvrđivanju je li vaša nabava [xyz] proizvoda u skladu s vašim politikama nabave.[150](U ovom slučaju angažirajuća strana je također i namjeravani korisnik.) Sukladno tome, naše izvješće će biti naslovljeno na vas i naše izvješće možda nije prikladno za drugu svrhu. Dogovorili smo obaviti sljedeće postupke i izvijestiti vas o nalazima koji proizađu iz našeg rada: • pribaviti od menadžmenta [odgovorna strana] popis svih ugovora koji su potpisani u razdoblju od [1. siječnja, 20X1.] do [31. prosinca, 20X1.] za [xyz] proizvode (»popis«) i identificirati sve ugovore čija vrijednost prelazi 25.000 USD. • Za svaki identificirani ugovor na popisu čija vrijednost prelazi 25.000 USD usporediti ugovor s evidencijom nuđenja i utvrditi je li ugovor bio podložan nadmetanju od strane najmanje tri ugovaratelja koji su na »Popisu pretkvalificiranih ugovaratelja« [odgovorne strane]. • Za svaki identificirani ugovor na popisu čija vrijednost prelazi 25.000 USD usporediti iznos plativ po potpisanom ugovoru s iznosom koji je konačno plaćen od [odgovorne strane] ugovaratelju i utvrditi je li konačno plaćeni iznos jednak ugovorenom iznosu u ugovoru Postupci će se provesti u razdoblju od [datum] do [datum]. Naše izvješće o dogovorenim postupcima Kao dio našeg angažmana izdat ćemo izvješće koje će opisati dogovorene postupke i nalaze obavljenih postupaka [unijeti prikladno upućivanje na očekivani oblik i sadržaj izvješća o dogovorenim postupcima]. Molimo potpišite i vratite priloženi primjerak ovog pisma radi potvrđivanja i prihvaćanja uvjeta našeg angažmana uključujući i pojedinačne postupke koje smo dogovorili i koje će biti obavljene te da su iste prikladne za svrhu ovog angažmana. [Unijeti druge informacije kao što su odredbe o naknadi, fakturiranju ili ostale specifične odredbe, ovisno o tome što je primjereno.] [Naziv društva] Potvrđeno i prihvaćeno u ime [Naziv angažirajuće strane] od: [Potpis] [Ime i prezime i naslov] [Datum] DODATAK 2 (Vidjeti točku A51) Ilustracije izvješća o dogovorenim postupcima Ilustracija 1 Za svrhe ovog ilustrativnog izvješća o dogovorenim postupcima pretpostavljaju se sljedeće okolnosti: • angažirajuća strana je naslovljenik i jedini namjeravani korisnik. Angažirajuća strana nije odgovorna strana. Na primjer, regulator je angažirajuća strana i namjeravani korisnik, a subjekt koji je nadziran od strane regulatora je odgovorna strana, • nisu nađena odstupanja, • praktičar nije angažirao svog stručnjaka za obavljanje bilo kojeg dogovorenog postupka, • postoji ograničenje za korištenje i distribuciju izvješća, • ne postoje zahtjevi neovisnosti koje je praktičar dužan ispuniti, • s angažirajućom stranom ugovoren je kvantitativni prag u iznosu od 100 USD za izvještavanje o odstupanjima nađenim u postupku 3. IZVJEŠĆE O DOGOVORENIM POSTUPCIMA ZA NABAVU [XYZ] PROIZVODA [Naslovljenik] Svrha ovog izvješća o dogovorenim postupcima Naše izvješće je isključivo namijenjeno za pomoć [angažirajuća strana] kod utvrđivanja je li njezina nabava [xyz] proizvoda u skladu s njezinim politikama nabave i možda nije prikladno za drugu svrhu. Odgovornosti angažirajuće strane i odgovorne strane [Angažirajuća strana] je potvrdila da su dogovoreni postupci primjereni svrsi angažmana. [Odgovorna strana], koju je utvrdila [angažirajuća strana], je odgovorna za predmetno pitanje u vezi s kojim se obavljaju dogovoreni postupci. Odgovornosti praktičara Obavili smo angažman za dogovorene postupke u skladu s Međunarodnim standardom za povezane usluge (MSPU) 4400 (izmijenjen), Angažmani za dogovorene postupke. Angažman za dogovorene postupke uključuje naše obavljanje postupaka koji su ugovoreni s [angažirajuća strana], i izvješćivanje o nalazima, koji su činjenični rezultati obavljenih dogovorenih postupaka. Ne izražavamo mišljenje o primjerenosti dogovorenih postupaka. Ovaj angažman za dogovorene postupke nije angažman s izražavanjem uvjerenja. Sukladno tome, ne izražavamo mišljenje ili zaključak s izražavanjem uvjerenja. Da smo obavili dodatne postupke, možda bi uočili druga pitanja o kojima bismo izvijestili. Profesionalna etika i kontrola kvalitete Pridržavali smo se etičkih zahtjeva sadržanih u [opisati relevantne etičke zahtjeve]. Za svrhu ovog angažmana ne postoje zahtjevi neovisnosti kojih smo se dužni pridržavati. Naše društvo primjenjuje Međunarodni standard kontrole kvalitete (MSKK) 1, Kontrola kvalitete za društva koja obavljaju revizije i uvide u financijske izvještaje i druge angažmane s izražavanjem uvjerenja i angažmane za povezane usluge te sukladno tome održava opsežan sustav kontrole kvalitete uključujući dokumentirane politike i postupke koji su povezani s pridržavanjem etičkih zahtjeva, profesionalnih standarda i primjenjivih zakonskih i regulatornih zahtjeva. Postupci i nalazi Obavili smo postupke koji su dolje opisani, a koji su bili ugovoreni s [angažirajuća strana], u vezi s nabavom [xyz] proizvoda. Pribavili smo od menadžmenta popis svih ugovora za [xyz] proizvode koji su potpisani u razdoblju od [1. siječnja 20X1.] do [31. prosinca 31, 20X1.]. Od 125 ugovora na popisu identificirali smo 37 ugovora čija vrijednost prelazi 25.000 USD. Pribavili smo potpisane ugovore za 37 ugovora s popisa čija vrijednost prelazi 25.000 USD i usporedili plative iznose u ugovorima s iznosima koji su ugovaratelju konačno plaćeni od strane [Odgovorne strane]. Našli smo da su konačno plaćeni iznosi unutar odstupanja u visini od 100 USD u odnosu na ugovorene iznose kod svih 37 ugovora bez nađenih odstupanja.
[Potpis praktičara] [Datum praktičarevog izvješća] [Adresa praktičara] Ilustracija 2 Za svrhe ovog ilustrativnog izvješća pretpostavljaju se sljedeće okolnosti: • angažirajuća strana je odgovorna strana. Namjeravani korisnik, koji je različit od angažirajuće strane je dodatni adresat u odnosu na angažirajuću stranu. Na primjer, regulator je angažirajuća strana, a subjekt koji je nadziran od strane regulatora je angažirajuća i odgovorna strana, • nađena su odstupanja, • praktičar je angažirao svog stručnjaka za obavljanje jednog dogovorenog postupka i upućivanje na tog stručnjaka uključeno je u izvješće o dogovorenim postupcima, • postoji ograničenje za korištenje i distribuciju izvješća, • praktičar je revizor financijskih izvještaja angažirajuće strane (koja je odgovorna strana). Praktičar je ugovorio s angažirajućom stranom da je praktičarevo pridržavanje zahtjeva neovisnosti koji su primjenjivi za reviziju financijskih izvještaja primjereno za svrhu angažmana za dogovorene postupke. Praktičar se suglasio s uključenjem, u uvjete angažmana, pridržavanja zahtjeva neovisnosti koji su primjenjivi na reviziju financijskih izvještaja za svrhu angažmana za dogovorene postupke, • praktičar je uključio upućivanje na datum na koji su dogovoreni postupci ugovoreni u uvjetima angažmana. IZVJEŠĆE O DOGOVORENIM POSTUPCIMA VEZANO ZA NABAVU [XYZ] PROIZVODA [Naslovljenici] Svrha ovog izvješća o dogovorenim postupcima i ograničenje korištenja i distribucije Naše izvješće je isključivo namijenjeno za pomoć [namjeravani korisnik] pri utvrđivanju je li nabava [xyz] proizvoda koju je provela [angažirajuća strana] u skladu s politikama nabave [namjeravani korisnik] možda neće biti prikladno za druge svrhe. Ovo izvješće namijenjeno je isključivo za [angažirajuća strana] i [namjeravani korisnici], te ga se ne smije dostaviti drugima niti ga smiju koristiti bilo koje druge strane. Odgovornosti angažirajuće strane [Angažirajuća strana] je potvrdila da su dogovoreni postupci primjereni svrsi angažmana. [Angažirajuća strana (također i odgovorna strana)] odgovorna je za predmetno pitanja u vezi s kojima se obavljaju dogovoreni postupci. Odgovornosti praktičara Obavili smo angažman za dogovorene postupke u skladu s Međunarodnim standardom za povezane usluge (MSPU) 4400 (izmijenjen), Angažmani za dogovorene postupke. Angažman za dogovorene postupke uključuje naše obavljanje postupaka koji su ugovoreni s [angažirajuća strana], i izvješćivanje o nalazima, koji su činjenični rezultati obavljenih dogovorenih postupaka. Ne izražavamo mišljenje o primjerenosti dogovorenih postupaka. Ovaj angažman za dogovorene postupke nije angažman s izražavanjem uvjerenja. Sukladno tome, ne izražavamo mišljenje ili zaključak s izražavanjem uvjerenja. Da smo obavili dodatne postupke, možda bi uočili druga pitanja o kojima bismo izvijestili. Profesionalna etika i kontrola kvalitete Pridržavali smo se etičkih zahtjeva sadržanih u [opisati relevantne etičke zahtjeve] i zahtjeva neovisnosti u skladu s [opisati relevantne zahtjeve neovisnosti].[151](Na primjer, ako su relevantni etički zahtjevi IESBA Kodeksa i Dio 4A IESBA Kodeksa su relevantni zahtjevi vezanih za neovisnost, ova rečenica može se formulirati otprilike ovako: Pridržavali smo se etičkih zahtjeva Međunarodnog kodeksa etike za profesionalne računovođe (uključujući Međunarodne standarde neovisnosti) (IESBA Kodeks) i zahtjeva vezanih za neovisnost iz Dijela 4A IESBA Kodeksa sve objavljeno od strane Međunarodnog odbora za standarde etike za računovođe.) Naše društvo primjenjuje Međunarodni standard kontrole kvalitete (MSKK) 1, Kontrola kvalitete za društva koja obavljaju revizije i uvide u financijske izvještaje i druge angažmane s izražavanjem uvjerenja i angažmane za povezane usluge te sukladno tome održava opsežan sustav kontrole kvalitete uključujući dokumentirane politike i postupke koji su povezani s pridržavanjem etičkih zahtjeva, profesionalnih standarda i primjenjivih zakonskih i regulatornih zahtjeva. Postupci i nalazi Obavili smo dolje opisane postupke koji su dogovoreni s [angažirajuća strana] u uvjetima angažmana datiranog [datum] vezano za nabavu [xyz] proizvoda.
Procjena rizika značajnih pogrešnih prikazivanja može biti izražena u količinskim izrazima, kao što su postoci ili u nekoličinskim izrazima. U svakom slučaju, važnija je potreba da revizor napravi procjenu rizika nego različiti pristupi kojima se to može obaviti. MRevS-ovi tipično upućuju na »rizik značajnih pogrešnih prikazivanja« radije nego odvojeno na inherentni rizik i kontrolni rizik. Međutim, MRevS 315 (izmijenjen 2019.)[81](MRevS 315 (izmijenjen 2019.), Identificiranje i procjenjivanje rizika značajnih pogrešnih prikazivanja)
zahtijeva da se inherentni rizik procijeni odvojeno od kontrolnog rizika kako bi se na taj način dobila osnova za oblikovanje i obavljanje daljnjih revizijskih postupaka u svrhu reagiranja na procijenjene rizike značajnih pogrešnih procjenjivanja na razini tvrdnje u skladu s MRevS-om 330.
o identificiranju i procjeni rizika značajnih pogrešnih prikazivanja koje zahtjeva MRevS 315 (izmijenjen 2019.) [93](MRevS 315 (izmijenjen 2019.), točka 38)
revizor će uključiti sljedeće:
Čimbenici inherentnog rizika mogu se također odnositi na uvjete unutar subjektovog sustava internih kontrola koji pružaju priliku za počinjenje prijevare ili koji mogu utjecati na menadžmentov stav ili sposobnost za racionaliziranje prijevarnih radnji. Čimbenici rizika prijevare, koji se odražavaju u stavu koji dozvoljava racionalizaciju prijevarnih aktivnosti, možda neće biti podložni opažanju od strane revizora. Međutim, revizor može postati svjestan postojanja takve informacije kroz, na primjer, razumijevanje subjektovog kontrolnog okruženja. [97](MRevS 315 (izmijenjen 2019.), točka 21)
Iako čimbenici rizika prijevare opisani u Dodatku 1 pokrivaju širok spektar situacija s kojima se revizor može suočiti, to su samo primjeri te ostali čimbenici mogu postojati.
kod subjekta korisnika koje se odnose na usluge primljene od uslužne organizacije, uključujući i one koje su vezane uz transakcije koje je izvršila uslužna organizacija i ocijeniti njihovo oblikovanje te utvrditi jesu li implementirane. [101](MRevS 315 (izmijenjen 2019.), točka 26(d))
(Vidjeti točke A12-A14.)
MRevS 330,[114](MRevS 330, Revizorove reakcije na procijenjene rizike)
MRevS 450,[115](MRevS 450, Ocjenjivanje pogrešnih prikazivanja koji su identificirani tijekom revizije)
MRevS 500[116](MRevS 500, Revizijski dokazi)
i drugi relevantni MRevS-ovi u odnosu na računovodstvene procjene i povezane objave. On također uključuje zahtjeve i smjernice za ocjenu pogrešnih prikazivanja računovodstvenih procjena i povezanih objava te pokazatelje moguće menadžmentove pristranosti.
U kontekstu MRevS-a 540 (izmijenjen), i ovisno o vrsti određene računovodstvene procjene, podložnost tvrdnje pogrešnom prikazivanju koje bi moglo biti značajno može ovisiti o ili na nju može utjecati nesigurnost procjene, složenost, subjektivnost ili drugi čimbenici inherentnog rizika i njihovi međusobni odnosi. Kao što je objašnjeno u MRevS 200,[118](MRevS 200, Sveukupni ciljevi neovisnog revizora i provedba revizije u skladu s međunarodnim revizijskim standardima, točka A40)
inherentni rizik je viši za neke tvrdnje i povezane klase transakcija, stanja računa i objave nego za druge. U skladu s tim, procjena inherentnog rizika ovisi o stupnju do kojeg čimbenici inherentnog rizika utječu na vjerojatnost ili raspon pogrešnog prikazivanja i varira u rasponu koji se naziva spektrom inherentnog rizika. (Vidjeti točke: A8 – A9, A65 – A66, Dodatak 1)
. Ako je revizor utvrdio da postoji značajni rizik, revizor će identificirati kontrole koje rješavaju taj rizik[123](MRevS 315 (izmijenjen 2019.), točka 26(a)(i))
i ocijeniti jesu li te kontrole učinkovito oblikovane i utvrditi jesu li implementirane.[124](MRevS 315 (izmijenjen 2019.), točka 26(a))
(Vidjeti točku: A80)
(izdanje, travanj 2020.)
Postupci Nalazi 1 Pribaviti od menadžmenta [odgovorna strana] popis svih ugovora koji su potpisani u razdoblju od [1. siječnja, 20X1.] do [31. prosinca, 20X1.] za [xyz] proizvode (»popis«) i identificirati sve ugovore čija vrijednost prelazi 25.000 USD. 2 Za svaki identificirani ugovor na popisu čija vrijednost prelazi 25.000 USD usporediti ugovor s evidencijom nuđenja i utvrditi je li ugovor bio podložan nadmetanju od strane najmanje tri ugovaratelja koji su na »Popisu pretkvalificiranih ugovaratelja« [odgovorne strane]. Provjerili smo evidencije nuđenja povezane s 37 ugovora čija vrijednost prelazi 25.000. Našli smo da je svih 37 ugovora bilo podložno nuđenju od strane najmanje 3 ugovaratelja s »Popisa pretkvalificiranih ugovaratelja« [odgovorne strane]. 3 Za svaki identificirani ugovor na popisu čija vrijednost prelazi 25.000 USD usporediti iznos plativ po potpisanom ugovoru s iznosom koji je konačno plaćen od [odgovorne strane] ugovaratelju i utvrditi je li konačno plaćeni iznos unutar odstupanja u visini od 100 USD od ugovorenog iznosa u ugovoru.
[Potpis praktičara]
[Datum praktičarevog izvješća]
[Adresa praktičara]
Postupci | Nalazi | |
1 | Pribaviti od menadžmenta [angažirajuća strana] popis svih ugovora koji su potpisani u razdoblju od [1. siječnja, 20X1.] do [31. prosinca, 20X1.] za [xyz] proizvode (»popis«) i identificirati sve ugovore čija vrijednost prelazi 25.000 USD. | Pribavili smo od menadžmenta popis svih ugovora za [xyz] proizvode koji su potpisani u razdoblju od [1. siječnja 20X1.] do [31. prosinca 31, 20X1.]. Od 125 ugovora na popisu identificirali smo 37 ugovora čija vrijednost prelazi 25.000 USD. |
2 | Za svaki identificirani ugovor na popisu čija vrijednost prelazi 25.000 USD usporediti ugovor s evidencijom nuđenja i utvrditi je li ugovor bio podložan nadmetanju od strane najmanje tri ugovaratelja koji su na »Popisu pretkvalificiranih ugovaratelja« [angažirajuća strana]. Za evidencije nuđenja koje su podnesene na [strani jezik] prevesti evidencije nuđenja pomoću prevoditelja kojega angažira praktičar prije obavljanja usporedbe. | Pregledali smo evidencije nuđenja povezane s 37 ugovora čija vrijednost prelazi 25.000 USD. Od evidencija nuđenja koje su povezane s 37 ugovora, pet ih je podneseno na [strani jezik]. Angažirali smo prevoditelja da nam pomogne u prevođenju ovih 5 evidencija o nuđenju. Našli smo da su 36 od 37 ugovora bili podložni nadmetanju od najmanje 3 ugovaratelja s »Popisa pretkvalificiranih ugovaratelja« [angažirajuća strana]. Našli smo 1 ugovor čija vrijednost je 65.000 USD koji nije bio podložan nadmetanju. Menadžment nam je izjavio da je razlog zbog kojeg ovaj ugovor nije bio podložan nadmetanju bila žurnost radi ispunjavanja ugovornog roka. Angažiranje prevoditelja da nam pomogne u prevođenu evidencija nuđenja ne smanjuje našu odgovornost za obavljanje postupaka i izvješćivanje o nalazima. |
3 | Za svaki identificirani ugovor na popisu čija vrijednost prelazi 25.000 USD usporediti iznos plativ po potpisanom ugovoru s iznosom koji je konačno plaćen od [angažirajuća strana] ugovaratelju i utvrditi je li konačno plaćeni iznos unutar odstupanja u visini od 100 USD od ugovorenog iznosa u ugovoru. | Pribavili smo potpisane ugovore za 37 ugovora s popisa čija vrijednost prelazi 25.000 USD i usporedili plative iznose u ugovorima s iznosima koji su dobavljaču konačno plaćeni od strane [angažirajuća strana]. Našli smo da se iznosi plativi u potpisanim ugovorenim razlikuju od iznosa koji su konačno plaćeni od strane [angažirajuća strana] za 26 od 37 ugovora. U svim ovim slučajevima, menadžment nam je izjavio da je razlika u iznosima zbog povećanja stope poreza na promet za 1% u [jurisdikcija] koje je stupilo na snagu u rujnu 20X1. |