PROPISI.hr

MRevS 315 RAZUMIJEVANJE POSLOVNOG SUBJEKTA I NJEGOVOG OKRUŽENJA TE PROCJENJIVANJE RIZIKA ZNAČAJNOG POGREŠNOG PRIKAZIVANJA – važeći tekst, NN br. 28/2007

NAPOMENA: Propisi na ovom portalu ažuriraju se dnevno te su prikazani samo oni propisi koji su trenutno važeći!

>>> vidi cijeli propis  (grafički uređen) OVDJE

MRevS 315  Razumijevanje poslovnog subjekta i njegovog okruženja te procjenjivanje rizika  značajnog pogrešnog prikazivanja

 
(“Narodne novine”, broj 28/07)
 
 
(Primjenjiv za revizije financijskih izvještaja za razdoblja započeta
na 15. prosinca 2004. ili nakon toga datuma)

SADRŽAJ                                                                          Točke
Uvod                                                                                    1 – 5
Postupci procjene rizika i izvori informacija o poslovnom
subjektu i njegovom okruženju, uključujući njegove interne
kontrole                                                                              6 – 19
Razumijevanje poslovnog subjekta i njegovog okruženja,
uključujući njegove interne kontrole                                   20 – 99
Procjenjivanje rizika značajnog pogrešnog prikazivanja  100 – 119
Komuniciranje s onima koji su zaduženi za upravljanje
i menadžmentom                                                           120 – 121
Dokumentacija                                                             122 – 123
Datum stupanja na snagu                                                        124

Dodatak 1: Razumijevanje poslovnog subjekta i
njegovog okruženja
Dodatak 2: Komponente internih kontrola
Dodatak 3: Uvjeti i događaji koji mogu ukazivati na rizike
pogrešnog prikazivanja
Međunarodni revizijski standard (MRevS) 315, »Razumijevanje poslovnog subjekta i njegovog okruženja i procjenjivanje rizika značajnog pogrešnog prikazivanja« treba čitati u kontekstu »Predgovora Međunarodnih standarda kontrole kvalitete, revidiranja, uvida, izražavanja uvjerenja i povezanih usluga« u kojem je navedena primjena i nadležnost MRevS-ova.
Uvod
1. Svrha je ovog Međunarodnog revizijskog standarda (MRevS) utemeljiti standarde i pružiti upute za stjecanje razumijevanja poslovnog subjekta i njegovog okruženja, uključujući njegovih internih kontrola i procjenjivanje rizika pogrešnog prikazivanja u financijskim izvještajima. Važnost revizorove procjene rizika kao osnove za daljnje revizijske postupke raspravljena je pri objašnjavanju revizijskog rizika u MRevS-u 200, »Cilj i opća načela obavljanja revizije financijskih izvještaja«.
2. Revizor treba steći dovoljno razumijevanje poslovnog subjekta i njegovog okruženja, uključujući njegove interne kontrole, kako bi prepoznao i procijenio rizike značajnog pogrešnog prikazivanja financijskih izvještaja uslijed prijevare ili pogreške te dovoljno da oblikuje i obavi daljnje revizijske postupke. MRevS 500, »Revizijski dokaz« zahtijeva da revizor koristi dovoljno detaljno tvrdnje kako bi formirao osnovicu za procjenjivanje rizika značajnih pogrešnih prikazivanja te oblikovao i proveo daljnje revizijske postupke. Taj MRevS zahtijeva da revizor napravi procjene na razini financijskih izvještaja i na razini tvrdnji temeljene na odgovarajućem razumijevanju poslovnog subjekta i njegovog okruženja, uključujući interne kontrole. MRevS 330, »Revizorovi postupci kao reakcija na procijenjene rizike« razmatra revizorovu odgovornost da odredi cjelovite reakcije te oblikuje i provede daljnje revizijske postupke čije su vrste, vrijeme izvođenja i djelokrug svojevrsni odgovor na procjene rizika. Zahtjevi i upute iz ovoga MRevS-a trebaju se primijeniti povezano sa zahtjevima i uputama sadržanim u ostalim MRevS-ima. Poglavito, dodane su upute, u vezi s revizorovom odgovornošću da procijeni rizike značajnog pogrešnog prikazivanja uslijed prijevara, raspravljene u MRevS-u 240, »Revizorova odgovornost da u reviziji financijskih izvještaja razmotri prijevare«.
3. Sljedeće je sažetak zahtjeva ovog MRevS-a:
• Postupci procjene rizika i izvori informacija o poslovnom subjektu i njegovom okruženju, uključujući njegove interne kontrole. Ovaj dio objašnjava revizijske postupke koje revizor treba obaviti kako bi stekao razumijevanje poslovnog subjekta i njegovog okruženja, uključujući njegovih internih kontrola (postupci procjene rizika). On također zahtijeva raspravljanje među članovima tima o osjetljivosti financijskih izvještaja poslovnog subjekta na značajno pogrešno prikazivanje.
• Razumijevanje poslovnog subjekta i njegovog okruženja, uključujući njegove interne kontrole. Ovaj dio zahtijeva da revizor razumije određene aspekte poslovnog subjekta i njegovog okruženja te komponenti njegovih internih kontrola kako bi prepoznao i procijenio rizike značajnog pogrešnog prikazivanja.
• Procjenjivanje rizika značajnog pogrešnog prikazivanja. Ovaj dio zahtijeva da revizor prepozna i procijeni rizike značajnog pogrešnog prikazivanja na razini financijskih izvještaja i razinama tvrdnji. Revizor:
– prepoznaje rizike sagledavanjem poslovnog subjekta i njegovog okruženja, uključujući njegove interne kontrole te razmatranjem vrsta transakcija, stanja računa i objava u financijskim izvještajima;
– povezuje prepoznate rizike prema onome što bi moglo krenuti po zlu za razinu tvrdnje; i
– razmatra signifikantnost i vjerojatnost rizika.
Ovaj dio također zahtijeva da revizor odredi je li neki od procijenjenih rizika važan rizik koji zahtijeva posebnu revizorovu pozornost ili rizik za koji sami dokazni postupci neće pružiti dovoljne odgovarajuće revizijske dokaze. Od revizora se zahtijeva da ocijeni oblikovanost kontrola poslovnog subjekta i utvrdi provode li se one.
• Komuniciranje s onima koji su zaduženi za upravljanje i menadžmentom. Ovaj dio obrađuje pitanja u vezi s internim kontrolama koje revizor priopćava onima koji su zaduženi za upravljanje i menadžmentu.
• Dokumentiranje. Ovaj dio ustanovljuje zahtjeve u pogledu dokumentiranja.
4. Stjecanje razumijevanja poslovnog subjekta i njegovog okruženja bitan je segment obavljanja revizije u skladu s MRevS-ima. Pobliže, to razumijevanje uspostavlja kontekst unutar kojeg revizor planira reviziju i provodi profesionalne prosudbe o procjenjivanju rizika značajnih pogrešnih prikazivanja financijskih izvještaja i reagiranju na te rizike pomoću revizije, primjerice, kada:
• ustanovljuje značajnost i ocjenjuje tijekom obavljanja revizije je li prosudba o značajnosti i dalje prikladna;
• razmatra prikladnost izbora i primjene računovodstvenih politika te prikladnost objava u financijskim izvještajima;
• raspoznaje područja u kojima može biti potrebna posebna pozornost revizora, primjerice, transakcije s povezanim strankama, prikladnost menadžmentove primjene pretpostavke vremenske neograničenosti poslovanja ili sagledavanje poslovne osnovanosti transakcija;
• formiranje očekivanih vrijednosti za primjenu kada se obavljaju analitički postupci;
• oblikovanje i provođenje daljnjih revizijskih postupaka kako bi se revizijski rizici smanjili na prihvatljivo nisku razinu; i
• ocjenjivanje dostatnosti prikladnosti dobivenih revizijskih dokaza, kao što je prikladnosti pretpostavki i menadžmentovih usmenih i pisanih izjava.
5. Revizor koristi profesionalnu prosudbu kako bi odredio razmjer potrebnog razumijevanja poslovnog subjekta i njegovog okruženja, uključujući njegove interne kontrole. U fokusu revizorova razmatranja jest pitanje o tome je li stečeno razumijevanje dovoljno za procjenjivanje rizika značajnog pogrešnog prikazivanja financijskih izvještaja te oblikovanje i provođenje daljnjih revizijskih postupaka. Dubina cjelokupnog razumijevanja koja je potrebna revizoru u obavljanju revizije manja je od one koju menadžment ima u rukovođenju poslovnim subjektom.

Postupci procjene rizika i izvori informacija o poslovnom subjektu i njegovom okruženju, uključujući njegove interne kontrole6. Stjecanje razumijevanja poslovnog subjekta i njegovog okruženja, uključujući njegove interne kontrole je trajni, dinamični postupak prikupljanja, ažuriranja i analiziranja informacija tijekom revizije. Kao što je opisano u MRevS-u 500, revizijski postupci za stjecanje razumijevanja nazivaju se »postupci procjene rizika« jer neke informacije dobivene obavljanjem takvih postupaka revizor može koristiti kao revizijski dokaz za potkrjepljivanje procjena rizika značajnih pogrešnih prikazivanja. Osim toga, obavljanjem postupaka procjene rizika revizor može pribaviti revizijske dokaze o klasama transakcija, stanjima računa ili objavama i povezanim tvrdnjama te o uspješnosti djelovanja kontrola, čak i takvim revizijskim postupcima koji nisu bili posebno zamišljeni kao dokazni postupci ili testovi kontrola. Revizor isto tako može odabrati obavljanje dokaznih postupaka ili testova kontrola istodobno s postupcima procjene rizika jer je to učinkovitije.

Postupci procjene rizika7. Revizor treba obaviti sljedeće postupke procjene rizika kako bi stekao razumijevanje poslovnog subjekta i njegovog okruženja, uključujući njegove interne kontrole:
(a) postaviti upite menadžmentu i drugima unutar poslovnog subjekta;
(b) analitičke postupke; i
(c) promatrati i ispitivati.
Ne zahtijeva se da revizor obavi sve prethodno navedene postupke procjene rizika za svaki aspekt stjecanja razumijevanja opisan u točki 20. Međutim, revizor obavlja sve postupke procjene rizika tijekom stjecanja potrebnog razumijevanja.
8. Osim toga, kada prikupljene informacije mogu biti od pomoći za prepoznavanje rizika značajnih pogrešnih prikazivanja, revizor obavlja i druge revizijske postupke. Primjerice, revizor može razmotriti postavljanje upita vanjskom pravnom savjetniku poslovnog subjekta ili procjeniteljima koje poslovni subjekt koristi. Za pribavljanje informacija o poslovnom subjektu može također biti korisno pregledavanje informacija dobivenih iz vanjskih izvora kao što su izvješća analitičara, banaka ili agencija za ocjenu boniteta; poslovnih i gospodarskih časopisa; ili financijskih publikacija ili publikacija koje izdaju regulativna tijela.
9. Iako većinu informacija koje revizor dobiva upitima može biti pribavljena od menadžmenta i onih koji su odgovorni za financijsko izvještavanje, propitkivanje drugih unutar poslovnog subjekta, poput osoblja iz proizvodnje ili unutarnje revizije i drugih zaposlenih s različitim razinama ovlasti, može biti korisno u pružanju revizoru različitih pogleda pri prepoznavanju rizika pogrešnih prikazivanja. Pri određivanju drugih osoba unutar poslovnog subjekta, kojima se mogu postaviti upiti i razmjera tih upita, revizor treba razmotriti koje informacije može pribaviti kao pomoć u prepoznavanju rizika značajnog pogrešnog prikazivanja. Primjerice:
• upiti upućeni onima koji su zaduženi za upravljanje mogu revizoru pomoći u razumijevanju okruženja u kojem se sastavljaju financijski izvještaji;
• upiti upućeni osoblju unutarnje revizije mogu se odnositi na njihove aktivnosti povezane s oblikovanjem i uspješnošću internih kontrola poslovnog subjekta te na pitanje o tome je li menadžment na zadovoljavajući način reagirao pred nalazima utvrđenim tim aktivnostima;
• upiti zaposlenicima uključenim u iniciranje, obrađivanje ili evidentiranje složenih ili neuobičajenih transakcija mogu pomoći revizoru u ocjenjivanju prikladnosti izbora i primjene određenih računovodstvenih politika;
• upiti usmjereni pravnom savjetniku uposlenom u poslovnom subjektu mogu se odnositi na pitanja kao što su sporovi, udovoljavanje zakonima i regulativi, spoznaje o prijevari ili sumnji na prijevaru koja ima učinak na poslovni subjekt, varante, obveze koje slijede nakon prodaje, aranžmane (poput zajedničkih poduhvata) s poslovnim partnerima i značenje ugovorenih uvjeta.
• upiti usmjereni na osoblje marketinga ili prodaje mogu se odnositi na promjene strategije marketinga poslovnog subjekta, trendove prodaje ili ugovorne odnose s kupcima.
10. Analitički postupci mogu biti od pomoći za prepoznavanje postojanja neuobičajenih transakcija ili događaja, iznosa, postotaka i trendova koji mogu ukazivati na pitanja koja imaju implikacije na financijske izvještaje i reviziju. Pri obavljanju analitičkih postupaka kao postupaka procjene rizika, revizor stvara očekivanja o vjerojatnim odnosima za koje je razborito očekivati da postoje. Kada usporedba tih očekivanja s evidentiranim iznosima ili postocima, pokazuje, na osnovi evidentiranih iznosa, neuobičajene ili neočekivane odnose, revizor razmatra te rezultate pri prepoznavanju rizika značajnih pogrešnih prikazivanja. Međutim, kada se u takvim analitičkim postupcima koriste podaci agregirani na visokoj razini (što je čest slučaj), rezultati tih analitičkih postupaka osiguravaju samo načelnu početnu indikaciju o tome mogu li postojati značajna pogrešna prikazivanja. U skladu s tim, revizor razmatra rezultate takvih analitičkih postupaka zajedno s drugim informacijama pribavljenim pri identificiranju rizika značajnog pogrešnog prikazivanja. Pogledajte MRevS 520, »Analitički postupci« radi daljnjih uputa za korištenje analitičkih postupaka.
11. Promatranje i ispitivanje može poduprijeti upite postavljene menadžmentu i drugima te također osigurati informacije o poslovnom subjektu i njegovom okruženju. Takvi revizijski postupci uobičajeno uključuju sljedeće:
• promatranje aktivnosti i djelovanja poslovnog subjekta;
• ispitivanje dokumentacije (kao što su poslovni planovi i strategije), evidencija i uputa za interne kontrole;
• čitanje izvješća koje je pripremio menadžment (kao što su tromjesečna menadžmetova izvješća ili financijska izvješća za međurazdoblja) ili oni koji su zaduženi za upravljanje (kao što su zapisnici sjednica);
• posjet lokacijama i postrojenjima poslovnog subjekta; i
• provlačenje transakcija kroz informacijski sustav relevantan za financijsko izvještavanje.
12. Kada namjerava koristiti informacije o poslovnom subjektu i njegovom okruženju pribavljene u prethodnim razdobljima, revizor treba utvrditi jesu li nastale promjene koje mogu utjecati na relevantnost tih informacija u tekućem razdoblju. Kod angažmana koji se nastavljaju iz razdoblja u razdoblje, ranije stečeno revizorovo iskustvo s poslovnim subjektom pridonosi razumijevanju poslovnog subjekta. Primjerice, revizijski postupci obavljeni u ranijim revizijama uobičajeno pružaju revizijske dokaze o organizacijskoj strukturi, poslovanju i kontrolama poslovnog subjekta, kao i informacije o ranijim pogrešnim prikazivanjima i o tome jesu li ili nisu pravodobno ispravljena, što pomaže revizoru u procjenjivanju rizika pogrešnog prikazivanja u tekućoj reviziji. Međutim, takve se informacije mogu pribaviti uzgredno uslijed promjena u poslovnom subjektu ili njegovom okruženju. Revizor postavlja upite i provodi druge prikladne revizijske postupke, kao što je provlačenje transakcija kroz sustav, kako bi utvrdio jesu li nastale promjene koje mogu utjecati na relevantnost takvih informacija.
13. Kada je važno za reviziju, revizor također razmatra druge informacije poput onih pribavljenih revizorovim postupkom prihvaćanja ili zadržavanja klijenta ili, gdje je primjenjivo, iskustvom stečenim obavljanjem drugih angažmana za poslovni subjekt, primjerice skraćene revizije financijskih informacija za međurazdoblja.

Rasprava unutar angažiranog tima14. Članovi angažiranog tima trebaju raspraviti osjetljivost financijskih izvještaja poslovnog subjekta na značajna pogrešna prikazivanja.
15. Cilj je te rasprave da članovi angažiranog tima steknu bolje razumijevanje mogućnosti značajnih pogrešnih prikazivanja financijskih izvještaja nastalih iz prijevare ili pogreške u određenom području koje im je dodijeljeno i da razumiju kako rezultati revizijskih postupaka koji oni provode mogu utjecati na druge aspekte revizije uključujući na odluke o vrstama, vremenu i obujmu daljnjih revizijskih postupaka.
16. Rasprava daje mogućnost iskusnijim članovima angažiranog tima da razmijene informacije o poslovnim rizicima1 kojima je izložen poslovni subjekt te o tome kako i gdje mogu biti financijski izvještaji osjetljivi na značajno pogrešno prikazivanje; uključujući pritom i mogućnost angažiranog partnera da podijeli svoje poglede temeljene na poznavanju poslovnog subjekta. Kao što zahtijeva MRevS 240, poseban se naglasak stavlja na osjetljivost financijskih izvještaja poslovnog subjekta na značajno pogrešno prikazivanje zbog prijevare. U raspravi se također razmatra primjena primjenjivog okvira financijskog izvještavanja na okolnosti i činjenično stanje poslovnog subjekta.
17. Profesionalna prosudba koristi se pri određivanju članova angažiranog tima koji se uključuju u raspravu, kada i kako se ona odvija te razmjer rasprave. Ključni se članovi angažiranog tima uobičajeno uključuju u raspravu. Međutim, nije nužno da svi članovi tima imaju sveobuhvatno poznavanje svih aspekata revizije. Na razmjer rasprave utječu uloge, iskustvo i informacijske potrebe članova angažiranog tima. Primjerice, u reviziji koja se odvija na više lokacija, može se održati više rasprava koje obuhvaćaju ključno članove angažiranog tima u svakoj značajnoj lokaciji. Drugi čimbenik koji treba razmotriti pri planiranju rasprave je pitanje uključivanja stručnjaka koji su dodijeljeni angažiranom timu. Primjerice, revizor može odrediti da je u angažirani tim potrebno uključiti profesionalnog stručnjaka za informacijske tehnologije (IT)2 ili druge vještine pa ih stoga i uključuje u raspravu.
18. Kako zahtijeva MRevS 200, revizor planira i obavlja reviziju uz profesionalni skepticizam. Rasprava između članova angažiranog tima naglašava potrebu očuvanja profesionalnog skepticizma tijekom angažmana, potrebu budnosti prema informacijama i uvjetima koji ukazuju na to da je moglo nastati značajno pogrešno prikazivanje zbog prijevare ili pogreške te na ozbiljnosti u istraživanju tih indikacija.
19. Ovisno o okolnostima revizije, mogu se voditi i daljnje rasprave s ciljem olakšavanja trajnog razmjenjivanja informacija između članova angažiranog tima glede osjetljivosti financijskih izvještaja poslovnog subjekta na značajno pogrešno prikazivanje. Svrha im je da članovi angažiranog tima priopćavaju i dijele informacije prikupljene tijekom revizije koje mogu utjecati na procjenu rizika značajnog pogrešnog prikazivanja zbog prijevare ili pogreške ili na revizijske postupke obavljene u vezi s rizicima.
_________
1
Vidjeti točku 30
2 Informacijske tehnologije (IT) obuhvaćaju automatizirana sredstva kreiranja, obrađivanja, pohranjivanja i priopćavanja informacija te uključuju sredstva za evidentiranje, komunikacijski sustav, računalni sustav (uključujući komponente hardvera i softvera i podatke) i ostale elektroničke uređaje.


Razumijevanje poslovnog subjekta i njegovog okruženja, uključujući njegove interne kontrole20. Revizorovo stjecanje razumijevanja poslovnog subjekta i njegovog okruženja sastoji se od razumijevanja sljedećih aspekata:
(a) Djelatnosti, regulative i ostalih vanjskih čimbenika, uključujući primjenjivi okvir financijskog izvještavanja.
(b) Karakteristika poslovnog subjekta, uključujući izbor i primjenu računovodstvenih politika poslovnog subjekta.
(c) Ciljeva i strategije i povezanih poslovnih rizika koji mogu rezultirati značajnim pogrešnim prikazivanjem u financijskim izvještajima.
(d) Mjerenja i pregleda financijske uspješnosti poslovnog subjekta.
(e) Internih kontrola.
Dodatak I sadrži primjere pitanja koje revizor može razmatrati pri stjecanju razumijevanja poslovnog subjekta i njegovog okruženja povezano s kategorijama gore navedenim od (a) do (d). Dodatak II sadrži detaljna objašnjenja komponenti interne kontrole.
21. Vrste, vrijeme i obujam obavljenih postupaka procjene rizika ovisi o okolnostima angažmana kao što su veličina i složenost poslovnog subjekta te revizorovo iskustvo s njim. Osim toga, za stjecanje dovoljnog razumijevanja poslovnog subjekta radi prepoznavanja i procjenjivanja rizika značajnog pogrešnog prikazivanja važno je utvrđivanje značajnih promjena u nekom od gore navedenih aspekata poslovnog subjekta u odnosu na ranija razdoblja.

Djelatnosti, regulative i ostali vanjski čimbenici, uključujući primjenjivi okvir financijskog izvještavanja22. Revizor treba steći razumijevanje o relevantnoj djelatnosti, regulativi i ostalim vanjskim čimbenicima, uključujući primjenjivi okvir financijskog izvještavanja. Ti čimbenici uključuju uvjete djelatnosti kao što su konkurencijsko okruženje, odnosi s dobavljačima i kupcima i tehnološka dostignuća; regulativno okruženje obuhvaća, između ostalog, pravno i političko okruženje, zahtjeve zaštite okoline koji utječu na djelatnost i poslovni subjekt; i druge vanjske čimbenike kao što su opći gospodarski uvjeti. Pogledati MRevS 250, »Razmatranje zakona i regulative u reviziji financijskih izvještaja« radi dodatnih zahtjeva koji se odnose na pravni i regulativni okvir primjenjiv na poslovni subjekt i djelatnost.
23. Djelatnost u kojoj posluje poslovni subjekt može stvarati specifične rizike značajnog pogrešnog prikazivanja koji nastaju zbog vrste posla ili stupnja reguliranosti. Primjerice, dugoročni ugovori mogu uključivati značajne procjene prihoda i rashoda koje pak stvaraju značajne rizike pogrešnog prikazivanja. U takvim slučajevima, revizor razmatra sadrži li angažirani tim članove s dovoljnim relevantnim znanjima i iskustvom.
24. Pravni i regulativni zahtjevi često određuju primjenjivi okvir financijskog izvještavanja koji menadžment treba primijeniti pri sastavljanju financijskih izvještaja poslovnog subjekta. U većini slučajeva primjenjiv okvir financijskog izvještavanja bit će onaj iz jurisdikcije u kojoj je poslovni subjekt registriran ili u kojoj posluje i u kojoj je revizor smješten te će revizor i poslovni subjekt imati istovrsno shvaćanje tog okvira. U nekim slučajevima neće postojati lokalni okvir financijskog izvještavanja te će se tada poslovni subjekt pri izboru ravnati prema lokalnoj praksi, praksi u djelatnosti, potrebama korisnika ili drugim čimbenicima. Primjerice, konkurenti poslovnog subjekta mogu primjenjivati Međunarodne standarde financijskog izvještavanja (MSFI-ove) te poslovni subjekt može istovremeno odrediti da su MSFI-ovi također prikladni za njegove potrebe financijskog izvještavanja. Revizor razmatra navodi lokalna regulativa određene zahtjeve financijskog izvještavanja za djelatnost u kojoj posluje poslovni subjekt, budući da financijski izvještaji mogu biti značajno pogrešno prikazani u kontekstu primjenjivog okvira financijskog izvještavanja, ako menadžment propusti sastaviti financijske izvještaje u skladu s takvom regulativom.

Karakteristike poslovnog subjekta25. Revizor treba steći razumijevanje u pogledu karakteristika poslovnog subjekta. Karakteristike poslovnog subjekta odnose se na poslovanje poslovnog subjekta, vlasništvo i upravljanje poslovnim subjektom, vrste ulaganja koja on ima ili planira imati, način na koji je strukturiran i kako se financira. Razumijevanje karakteristika poslovnog subjekta omogućava revizoru naslućivanje klasa transakcija, stanja računa i objavljivanja čiju pojavu može očekivati u financijskim izvještajima.
26. Poslovni subjekt može imati složenu strukturu s ovisnim društvima ili drugim sastavnim dijelovima na više lokacija. Osim problema konsolidiranja u takvim slučajevima, prisutna su i druga pitanja povezana sa složenom strukturom, koja mogu stvarati rizike značajnog pogrešnog prikazivanja, te ona uključuju: raspoređivanje goodwila na poslovne segmente i njegovo umanjenje; pitanje jesu li ulaganja zajednički pothvati, ovisna društva ili ulaganja obračunana metodom udjela; te pitanje jesu li poslovni subjekti posebne namjene odgovarajuće iskazani.
27. Razumijevanje vlasništva i odnosa između vlasnika i drugih osoba ili poslovnih subjekata također je važno pri određivanju jesu li na odgovarajući način identificirane i obračunane transakcije s povezanim strankama. MRevS 550, »Povezane stranke« pruža dodatne upute za revizorova razmatranja relevantna za povezane stranke.
28. Revizor treba steći razumijevanje izbora i primjene računovodstvenih politika poslovnog subjekta i razmotriti jesu li prikladne njegovom poslovanju te konzistentne primjenjivom okviru financijskog izvještavanja i računovodstvenim politikama koje se primjenjuju u relevantnoj djelatnosti. Razumijevanje obuhvaća metode koje poslovni subjekt primjenjuje za iskazivanje značajnih i neuobičajenih transakcija; učinke važnih računovodstvenih politika u kontroverznim područjima ili područjima koja se razvijaju i za koja nema mjerodavnih uputa ili konsenzusa; i promjene računovodstvenih politika. Revizor također identificira koji su novi standardi financijskog izvještavanja i regulativa te razmatra na koji će način poslovni subjekt usvojiti njihove zahtjeve. Ukoliko je poslovni subjekt promijenio svoj izbor ili metodu primjene važne računovodstvene politike, revizor razmatra razloge promjene te pitanje je li ona odgovarajuća i konzistentna zahtjevima primjenjivog okvira financijskog izvještavanja.
29. Prezentiranje financijskih izvještaja u skladu s primjenjivim okvirom financijskog izvještavanja uključuje odgovarajuće objavljivanje značajnih pitanja. Ta se pitanja odnose na formu, sastav i sadržaj financijskih izvještaja i njihove pridodane bilješke, uključujući, primjerice, korištenu terminologiju, iznose prikazanih detalja, klasifikaciju stavaka u izvještajima i osnovica na kojima se temelje brojevi. Revizor razmatra je li poslovni subjekt ispravno objavio određeno pitanje u kontekstu okolnosti i činjenica koje su revizoru poznate u to doba.

Ciljevi i strategije i povezani poslovni rizici30. Revizor treba steći razumijevanje ciljeva i strategija poslovnog subjekta te povezanih poslovnih rizika koji mogu imati za posljedicu značajno pogrešno prikazivanje financijskih izvještaja. Poslovni subjekt vodi svoje poslovanje u kontekstu djelatnosti, regulative i drugih unutarnjih i vanjskih čimbenika. Kako bi reagirali na te čimbenike, menadžment ili oni koji su zaduženi za upravljanje poslovnim subjektom definiraju ciljeve, koji su ujedno sveobuhvatni planovi za poslovni subjekt. Strategije su operativni pristupi kojima menadžment namjerava postići ciljeve. Poslovni rizici nastaju uslijed signifikantnih uvjeta, događaja, okolnosti, aktivnosti ili neaktivnosti koje mogu negativno utjecati na sposobnost poslovnog subjekta da postigne svoje ciljeve i provede svoje strategije, ili postavljanjem neprikladnih ciljeva i strategija. Kao što se mijenja vanjsko okruženje, tako je dinamično i vođenje poslovanja poslovnog subjekta te se tijekom vremena mijenjaju i strategije i ciljevi poslovnog subjekta.
31. Poslovni je rizik širi od rizika značajnog pogrešnog prikazivanja financijskih izvještaja. On uostalom i uključuje posljednje spomenuti rizik. Poslovni rizik može naročito nastati zbog promjene ili složenosti, iako i sam propust priznavanja potrebe promjene može također stvoriti rizik. Promjene mogu nastati, primjerice, razvojem novog proizvoda koji može propasti; iz neodgovarajućeg tržišta, čak i kad je uspješno razvijeno; ili zbog mana koje mogu stvoriti obveze i reputacijski rizik. Razumijevanje poslovnih rizika povećava vjerojatnost prepoznavanja rizika značajnih pogrešnih prikazivanja. Međutim, revizor nema odgovornost za prepoznavanje ili procjenjivanje svih poslovnih rizika.
32. Najveći će dio poslovnih rizika u konačnici imati financijske posljedice pa stoga i učinak na financijske izvještaje. Međutim, ne stvaraju svi poslovni rizici rizike pogrešnog prikazivanja. Poslovni rizici mogu imati izravne posljedice na rizik pogrešnog prikazivanja za klase transakcija, stanja računa i objave na razini tvrdnje ili financijskih izvještaja kao cjeline. Primjerice, poslovni rizik nastao uslijed smanjujućeg kruga kupaca zbog konsolidiranja djelatnosti može povećati rizik pogrešnog prikazivanja povezan s vrednovanjem potraživanja. Međutim, isti rizik, naročito u kombinaciji s padajućim gospodarstvom, može imati dugoročne posljedice, koje revizor razmatra kada procjenjuje prikladnost pretpostavke vremenske neograničenosti poslovanja. Revizorovo se razmatranje o tome može li poslovni rizik rezultirati značajnim pogrešnim prikazivanjem stoga obavlja u kontekstu okolnosti koje vrijede za poslovni subjekt. U Dodatku 3 dani su primjeri uvjeta i događaja koji mogu ukazivati na rizik pogrešnog prikazivanja.
33. Menadžment uobičajeno identificira poslovne rizike i gradi pristupe koji se na njih odnose. Takav postupak procjene rizika dio je internih kontrola i razmatra se u točkama 76-79.
34. Manji poslovni subjekti često ne postavljaju ciljeve i strategije ili upravljaju povezanim poslovnim rizicima pomoću formalnog plana ili postupka. U mnogim slučajevima za takva pitanja nema dokumentacije. Kod takvih poslovnih subjekata revizor uobičajeno stječe razumijevanje pomoću upita postavljenih menadžmentu te promatranjem reakcija poslovnog subjekta na takva pitanja.

Mjerenje i pregled financijske uspješnosti poslovnog subjekta35. Revizor treba steći razumijevanje o mjerenju i pregledu financijske uspješnosti poslovnog subjekta. Mjerenja uspješnosti i pregled uspješnosti pokazuju revizoru aspekte uspješnosti poslovnog subjekta koje menadžment i ostali smatraju važnim. Mjerenja uspješnosti, unutarnja ili vanjska, stvaraju pritisak na poslovni subjekt koji, s druge strane, može motivirati menadžment za poduzimanje aktivnosti radi poboljšanja poslovne uspješnosti ili pak pogrešno prikazivanje financijskih izvještaja. Stjecanje razumijevanja o mjerenju uspješnosti poslovnog subjekta pomaže revizoru u razmatranjima pitanja jesu li takvi pritisci rezultirali menadžmentovim aktivnostima koje mogu povećati rizike značajnog pogrešnog prikazivanja financijskih izvještaja.
36. Menadžmentovo mjerenje i pregledavanje financijske uspješnosti poslovnog subjekta treba se razlikovati od monitoringa kontrola (razmatra se kao komponenta internih kontrola u točkama 96-99) iako se njihove svrhe mogu preklapati. Međutim, monitoring kontrola posebno je usmjeren na djelotvornost internih kontrola kroz sagledavanje informacija o kontrolama. Mjerenje i pregled uspješnosti usmjereni su na pitanje o tome da li poslovna uspješnost ostvaruje ciljeve koje je postavio menadžment (ili treća strana). No, u nekim slučajevima pokazatelji uspješnosti pružaju također i informacije koje menadžmentu omogućavaju prepoznavanje manjkavosti u internim kontrolama.
37. Interno generirane informacije koje za ovu svrhu koristi menadžment mogu uključivati ključne pokazatelje uspješnosti (financijske i nefinancijske), budžet, analize odstupanja, informacije po segmentima i odjelima, izvješća uspješnosti na razni odjela ili drugih organizacijskih dijelova, usporedbu uspješnosti poslovnog subjekta u odnosu na konkurenciju. Eksterne stranke mogu također mjeriti i pregledavati financijsku uspješnost poslovnih subjekata. Primjerice, eksterne informacije, kao što su izvješća analitičara i izvješća bonitetnih agencija, mogu pružiti revizoru korisne informacije za stjecanje razumijevanja poslovnog subjekta i njegovog okruženja. Takva se izvješća često mogu dobiti od poslovnog subjekta koji se revidira.
38. Unutarnja mjerenja mogu ukazati na neočekivane rezultate ili trendove koji zahtijevaju od menadžmenta da postavlja upite drugima kako bi se utvrdili razlozi i poduzele korektivne mjere (uključujući, u nekim slučajevima, pravodobno otkrivanje i ispravljanje pogrešnih prikazivanja). Mjerenja uspješnosti mogu također ukazati revizoru na rizik pogrešnog prikazivanja povezanih informacija financijskih izvještaja. Primjerice, mjerenje uspješnosti može pokazati da poslovni subjekt ima neuobičajeno brzi rast ili profitabilnost u usporedbi s drugim poslovnim subjektima iz iste djelatnosti. Takve informacije, naročito u kombinaciji s drugim čimbenicima kao što su bonusi temeljeni na uspješnosti ili poticajno nagrađivanje, mogu ukazivati na mogući rizik menadžmentove pristranosti pri sastavljanju financijskih izvještaja.
39. Većina se informacija korištena pri mjerenju uspješnosti može stvoriti informacijskim sustavom poslovnog subjekta. Ako menadžment pretpostavlja točnost podataka koje koristi za pregledavanje uspješnosti poslovnog subjekta, bez osnovice koja bi opravdavala takvu pretpostavku, mogu postojati pogreške u informacijama te potencijalno voditi stvaranju pogrešnih zaključaka menadžmenta o uspješnosti. Kada revizor, za svrhe revizije, namjerava koristiti mjerenja uspješnosti (primjerice, za analitičke postupke), revizor razmatra pružaju li informacije povezane s menadžmentovim pregledom uspješnosti poslovnog subjekta pouzdanu osnovu te jesu li dovoljno precizne za tu svrhu. Ako koristi mjerenja uspješnosti, revizor razmatra jesu li dovoljno precizna za otkrivanje značajnih pogrešnih prikazivanja.
40. Manji poslovni subjekti uobičajeno nemaju formalizirani postupak mjerenja i pregleda financijske uspješnosti poslovnog subjekta. Menadžment se ipak često oslanja na određene ključne pokazatelje za koje se po iskustvu i saznanjima poslovanja smatra da su pouzdana osnovica za ocjenjivanje financijske uspješnosti te poduzimanje odgovarajućih akcija.

Interne kontrole41. Revizor treba steći razumijevanje internih kontrola relevantnih za reviziju. Revizor koristi razumijevanje internih kontrola za raspoznavanje vrsta mogućih pogrešnih prikazivanja, razmatranje čimbenika koji utječu na rizike značajnog pogrešnog prikazivanja i određivanje vrsta, razmjera i vremena obavljanja daljnjih revizijskih postupaka. Interne kontrole relevantne za reviziju razmatrane su niže u točkama 57-53. Osim toga, razmjer razumijevanja razmatra se niže u točkama 54-56.
42. Interne su kontrole postupci koje su oblikovali i stavili na snagu oni koji su zaduženi za upravljanje, menadžment i drugo osoblje s ciljem osiguranja razumnog uvjerenja o postizanju ciljeva poslovnog subjekta u pogledu pouzdanosti financijskog izvještavanja, učinkovitosti i djelotvornosti poslovanja te poštivanja primjenjivih zakona i regulative. Iz tog slijedi da su interne kontrole oblikovane i uvedene kako bi se odnosile na identificirane poslovne rizike koji ugrožavaju postizanje nekog od tih ciljeva.
43. Interne kontrole, kako se razmatra u ovom MRevS-u, sastoje se od sljedećih komponenti:
(a) Okruženje kontrola.
(b) Postupci poslovnog subjekta za procjenu rizika.
(c) Informacijski sustav, uključujući povezane poslovne obrade, relevantan za financijsko izvještavanje te komuniciranje.
(d) Kontrolne aktivnosti.
(e) Monitoring kontrola.
Dodatak 2 sadrži detaljno razmatranje komponenti internih kontrola.
44. Podjela internih kontrola u pet komponenti osigurava revizoru koristan okvir za razmatranje mogućih utjecaja različitih aspekata internih kontrola poslovnog subjekta na reviziju. Podjela nužno ne odražava načine na koje poslovni subjekt sagledava i primjenjuje interne kontrole. Također, revizorova osnovna preokupacija jest pitanje da li određena kontrola, i na koji način, sprječava ili otkriva i ispravlja značajna pogrešna prikazivanja klasa transakcija, stanja računa ili objava i s njima povezane tvrdnje, a ne njihova klasifikacija u određenu komponentu. U skladu s tim revizor može koristiti različite terminologije ili okvire, u odnosu na one korištene u ovom MRevS-u, za opisivanje različitih aspekata internih kontrola i njihovih učinaka na reviziju, ako se njome obuhvaćaju sve komponente opisane u ovom MRevS-u.
45. Način na koji su interne kontrole oblikovane i primijenjene razlikuje se prema veličini i složenosti poslovnog subjekta. Mali subjekti osobito koriste manje formalne načine i jednostavnije postupke i procese radi postizanja svojih ciljeva. Primjerice, mali poslovni subjekti, kod kojih se menadžment aktivno uključuje u postupak financijskog izvještavanja, ne moraju imati opširne opise računovodstvenih postupaka ili detaljne pisane politike. Za neke poslovne subjekte, naročito one vrlo male, vlasnik-menadžer3 može obavljati funkcije koje bi se u većem poslovnom subjektu provodile kroz nekoliko komponenti internih kontrola. Stoga se komponente internih kontrola ne mogu jasno razdvojiti unutar manjeg poslovnog subjekta, ali su njihove svrhe jednako valjane.
46. Za svrhe ovog MRevS-a, pojam »interne kontrole« obuhvaća svih pet ranije spomenutih komponenti internih kontrola. Osim toga, pojam »kontrole« odnosi se na jednu ili više komponenti ili neki njihov aspekt.
_________
3 Ovaj MRevS koristi pojam »vlasnik-menadžer« za označavanje vlasnika poslovnog subjekta koji je svakodnevno uključen u vođenje poslovnog subjekta.
Kontrole relevantne reviziji
47. Postoji izravna veza između ciljeva poslovnog subjekta i kontrola koje implementira s ciljem osiguranja razboritog uvjerenja o njihovom postizanju. Ciljevi poslovnog subjekta, stoga i kontrole, odnose se na financijsko izvještavanje, poslovanje i postizanje sukladnosti. Međutim, nisu svi ciljevi i kontrole važni za revizorovu procjenu rizika.
48. Uobičajeno, kontrole koje su relevantne revizoru odnose se na cilj poslovnog subjekta da sastavi financijske izvještaje za eksterne potrebe koji pružaju istinit i fer prikaz (ili fer prikazuju, u svim značajnim odrednicama) u skladu s primjenjivim okvirom financijskog izvještavanja, kao i upravljanje rizikom koji može stvarati značajna pogrešna prikazivanja u tim financijskim izvještajima. Pitanje je revizorove profesionalne prosudbe, ovisno o zahtjevima ovog MRevS-a, jesu li kontrole, pojedinačno ili u kombinaciji s drugima, relevantne za revizorova razmatranja pri procjenjivanju rizika značajnog pogrešnog prikazivanja, kao i za oblikovanje i provođenje daljnjih postupaka kao reakcije na procijenjene rizike. U provođenju te prosudbe revizor razmatra sljedeće okolnosti, primjenjive komponente i čimbenike:
• svoju prosudbu značajnosti;
• veličinu poslovnog subjekta;
• vrstu poslovanja poslovnog subjekta, uključujući njegovu organizaciju i karakteristike vlasništva;
• raznovrsnost i složenost poslovanja poslovnog subjekta;
• primjenjive pravne i regulativne zahtjeve;
• vrste i složenost sustava koji su dio internih kontrola poslovnog subjekta, uključujući korištenje uslužnih organizacija.
49. Kontrole nad potpunošću i točnošću informacija koje stvara poslovni subjekt također mogu biti važne za reviziju ako revizor namjerava koristiti te informacije pri oblikovanju i provođenju daljnjih postupaka. Revizorova ranija iskustva s poslovnim subjektom i informacije prikupljene pri stjecanju razumijevanja poslovnog subjekta i njegovog okruženja te kroz obavljanje revizije pomažu revizoru u prepoznavanju kontrola važnih za reviziju. Nadalje, iako se interne kontrole primjenjuju na cjelokupni poslovni subjekt ili neku njegovu poslovnu jedinicu ili poslovne obrade, za reviziju ne mora biti relevantno razumijevanje internih kontrola koje se odnose na svaku poslovnu jedinicu ili poslovnu obradu.
50. Kontrole koje se odnose na poslovne ciljeve i postizanje sukladnosti ipak mogu biti relevantne za reviziju ukoliko se odnose na podatke koje revizor ocjenjuje ili koristi pri primjenjivanju revizijskih postupaka. Primjerice, za reviziju mogu biti relevantne kontrole u vezi s nefinancijskim podacima koje revizor koristi u analitičkim postupcima, kao što su statistike proizvodnje ili kontrole koje se odnose na otkrivanje nesukladnosti sa zakonima ili regulativama i koje mogu imati izravan i značajan učinak na financijske izvještaje, poput kontrola za postizanje sukladnosti s propisima za porez na dobit korištenih za određivanje poreznih obveza.
51. Poslovni subjekt uobičajeno ima kontrole u vezi s ciljevima koji nisu relevantni za reviziju i koje stoga ne treba razmatrati. Primjerice, poslovni se subjekt može oslanjati na sofisticirani sustav automatiziranih kontrola radi osiguravanja djelotvornog i uspješnog poslovanja (poput komercijalnih zrakoplovnih sustava automatske kontrole radi održavanja reda letenja), ali takve kontrole neće uobičajeno biti relevantne za reviziju.
52. Interne kontrole za zaštitu imovine od neovlaštenog stjecanja, uporabe ili otuđivanja mogu uključivati kontrole koje se odnose na financijsko izvještavanje i ciljeve poslovanja. Pri stjecanju razumijevanja svake komponente internih kontrola, revizorova su razmatranja kontrola zaštite općenito ograničena na one kontrole koje su relevantne za pouzdanost financijskog izvještavanja. Primjerice, za reviziju financijskih izvještaja može biti relevantno korištenje kontrola pristupa, kao što su lozinke, koje ograničavaju pristup podacima i programima koji obrađuju novčane isplate. Suprotno tome, kontrole koje sprječavaju prekomjerno trošenje materijala u proizvodnji načelno nisu relevantne za reviziju financijskih izvještaja.
53. Kontrole relevantne za reviziju mogu postojati u svakoj komponenti internih kontrola. Daljnja razmatranja za reviziju važnih kontrola uključena su niže u podnaslovima svake komponente internih kontrola. Osim toga, u točkama 113 – 115 razmatraju se određeni rizici uz koje se povezuje zahtjev da revizor ocijeni oblikovanost kontrola poslovnog subjekta te utvrdi jesu li one implementirane.

Razmjer razumijevanja internih kontrola
54. Stjecanje razumijevanja internih kontrola uključuje ocjenjivanje oblikovanosti kontrola i utvrđivanje jesu li one implementirane. Ocjenjivanje oblikovanosti kontrole uključuje razmatranje je li kontrola, pojedinačno ili u kombinaciji s ostalim kontrolama, sposobna uspješno spriječiti, ili otkriti i ispraviti, značajna pogrešna prikazivanja. Daljnja su objašnjenja dana niže pri razmatranju svake komponente interne kontrole. Implementacija kontrole znači da kontrola postoji te da je poslovni subjekt koristi. Revizor razmatra oblikovanost kontrole pri određivanju hoće li razmatrati njezinu primjenu. Neispravno oblikovana kontrola može predstavljati značajnu slabost4 u internim kontrolama poslovnog subjekta i revizor razmatra treba li je, kao što se zahtijeva u točki 120, priopćiti onima koji su zaduženi za upravljanje i menadžmentu.
55. Postupci procjene rizika radi dobivanja revizijskih dokaza o oblikovanosti i implementaciji relevantnih kontrola može uključivati postavljanje upita osoblju poslovnog subjekta, promatranje primjene određenih kontrola, pregledavanje dokumenata i izvješća te provlačenje transakcija kroz informacijski sustav relevantan za financijsko izvještavanje. Samo postavljanje upita nije dovoljno za ocjenjivanje oblikovanosti kontrole relevantne za reviziju i utvrđivanje je li ona bila implementirana.
56. Stjecanje razumijevanja internih kontrola poslovnog subjekta nije dovoljno da bi poslužilo kao testiranje uspješnosti djelovanja kontrola, osim ako postoji određena automatiziranost koja osigurava dosljednu primjenu djelovanja kontrole (ručni i automatizirani elementi internih kontrola relevantni za reviziju opisani su kasnije). Primjerice, pribavljanje revizijskih dokaza o implementaciji ručnih kontrola koje djeluju u određenoj vremenskoj točki ne pruža revizijski dokaz o uspješnosti djelovanja kontrole u ostalom vremenu tijekom razdoblja obuhvaćenog revizijom. Međutim, IT omogućava poslovnom subjektu dosljedno obrađivanje golemog broja podataka i postizanje uspješne raspodjele dužnosti pri implementiranju kontrola zaštite aplikacija, baza podataka i operativnih sustava. Stoga, zbog dosljednosti svojstvene obradama zasnovanim na primjeni IT, obavljanje revizijskih postupaka radi utvrđivanja primijenjenosti automatizirane kontrole može poslužiti kao test da te kontrole uspješno djeluju, ovisno o revizorovoj procjeni i testiranju kontrola kao što su one nad promjenama programa. Testovi uspješnosti djelovanja kontrola dalje su opisani u MRevS-u 330.
_______
4 Značajna slabost u internoj kontroli je ona koja može imati značajan učinak na financijske izvještaje.
Karakteristike ručnih i automatiziranih elemenata internih kontrola relevantni za revizorovu procjenu rizika
57. Najveći dio poslovnih subjekta koristi IT za svrhe financijskog izvještavanja i poslovanja. Međutim, čak i kada se IT intenzivno koristi, postojat će ručni elementi u sustavu. Odnos ručnih i automatiziranih elemenata varira. U određenim slučajevima, naročito kod poslovnih subjekata manje veličine ili manje složenosti, sustavi mogu biti uglavnom ručni. U drugim slučajevima, razmjer automatizacije može varirati tako da postoje neki sustavi koji su značajno automatizirani te sa svega nekoliko povezanih ručnih elemenata, odnosno drugi sustavi, čak i unutar istog poslovnog subjekta, koji su pretežno ručni. Kao posljedica toga vjerojatno je da će sustav internih kontrola poslovnog subjekta sadržati ručne i automatizirane elemente, čije su karakteristike relevantne za revizorovu procjenu rizika i daljnje revizijske postupke temeljene na njoj.
58. Korištenje ručnih i automatiziranih elemenata internih kontrola također utječe na način na koji se transakcije iniciraju, evidentiraju, obrađuju i izvještavaju.5 Kontrole u ručnom sustavu mogu uključivati takve postupke kao što su odobravanja i pregledavanja aktivnosti i usklađivanja te naknadna usuglašavanja stavki. Poslovni subjekt može alternativno koristiti automatizirane postupke za iniciranje, evidentiranje, obrađivanje i izvještavanje transakcija, pri čemu zapisi u elektroničkom obliku zamjenjuju papirnate dokumente kao što su narudžbenice, fakture, otpremnice i s tim povezane računovodstvene evidencije. Kontrole u IT sustavima sastoje se od kombinacije automatiziranih kontrola (primjerice, kontrola uključenih u računalne programe) i ručne kontrole. Nadalje, ručne kontrole mogu biti neovisne o IT-u, mogu koristiti informacije stvorene IT-om ili se mogu ograničiti na monitoring djelotvornosti funkcioniranja IT-a i automatiziranih kontrola te na postupanje s odbačenim stavkama. Kada se IT koristi za iniciranje, evidentiranje, obrađivanje i izvještavanje transakcija ili drugih podataka za uključivanje u financijske izvještaje, sustavi i programi mogu sadržati kontrole povezane s odgovarajućim tvrdnjama za značajne račune ili mogu biti presudne za djelotvorno funkcioniranje ručnih kontrola koje su ovisne o IT-u. Mješavina ručnih i automatiziranih kontrola poslovnog subjekta varira prema karakteristikama i složenosti primjene IT u poslovnom subjektu.
59. Općenito, IT pruža potencijalne korisnosti za djelotvornost i uspješnost interne kontrole poslovnog subjekta jer omogućava poslovnom subjektu:
• dosljednu primjenu prethodno utvrđenih pravila poslovanja i obavljanje složenih izračuna pri obrađivanju golemog broja transakcija i podataka;
• poboljšanje pravodobnosti, raspoloživosti i točnosti informacija;
• olakšavanje dodatnih analiza informacija;
• unaprjeđivanje mogućnosti za praćenje uspješnosti aktivnosti poslovnog subjekta i njegovih politika i postupaka;
• smanjenje rizika da će kontrole biti zaobiđene;
• unaprjeđivanje mogućnosti postizanja djelotvorne podjele dužnosti implementiranjem kontrola zaštite u aplikacije, baze podataka i operativne sustave.
60. IT također stvara specifične rizike za interne kontrole poslovnog subjekta, uključujući sljedeće:
• oslanjanje na sustave ili programe koji netočno obrađuju podatke, obrađivanje netočnih podataka ili oboje;
• neovlašteni pristup podacima koji za posljedicu može imati uništavanje podataka ili njihovo neodgovarajuće mijenjanje, uključujući evidentiranje neodobrenih ili nepostojećih transakcija ili netočno evidentiranje transakcija. Posebni rizici mogu nastati gdje više korisnika pristupa zajedničkoj bazi podataka;
• mogućnost da osoblje IT-a dobije prava pristupa iznad razine koja je potrebna za obavljanje dužnosti koje mu je dodijeljeno, narušavajući time podjelu dužnosti;
• neovlašteni pristup podacima u matičnim datotekama;
• neovlašteno mijenjanje sustava ili programa;
• propust obavljanja nužnih promjena sustava ili programa;
• neodgovarajuće ručne intervencije;
• potencijalni gubitak podataka ili nemogućnost pristupa podacima kada su potrebni.
61. Ručni aspekti sustava mogu biti prikladniji tamo gdje su potrebne prosudbe ili pak postoji sloboda izbora kao, primjerice, u sljedećim okolnostima:
• velikim, neuobičajenim ili neponovljivim transakcijama;
• okolnostima u kojima je teško definirati, anticipirati ili predvidjeti pogreške;
• u promjenjivim okolnostima koje zahtijevaju kontrole izvan djelokruga postojećih automatiziranih kontrola;
• pri monitoringu djelotvornosti automatiziranih kontrola.
62. Ručne kontrole obavljaju ljudi i stoga nameću specifične rizike za interne kontrole poslovnog subjekta. Ručne kontrole mogu biti manje pouzdane od automatiziranih kontrola jer se mogu lakše zaobići, ignorirati ili preskočiti te su podložnije jednostavnim pogreškama i previdima. Zbog toga se ne može pretpostaviti dosljedno primjenjivanje ručnog kontrolnog elementa. Ručni sustav može biti manje prikladan u slučajevima:
• ponavljajućih ili vrlo brojnih transakcija ili u situacijama gdje pogreške, koje se mogu anticipirati ili predvidjeti, mogu biti spriječene ili otkrivene kontrolnim parametrima koji su automatizirani.
• kontrolnih aktivnosti gdje se specifičan način obavljanja kontrole može prikladno oblikovati i automatizirati.
63. Razmjer i vrste rizika internih kontrola varira ovisno o vrsti i karakteristikama informacijskog sustava poslovnog subjekta. Stoga, pri stjecanju razumijevanja internih kontrola, revizor razmatra je li poslovni subjekt na odgovarajući način reagirao na rizike nastale korištenjem IT-a ili ručnih sustava uspostavljanjem djelotvornih kontrola.
__________
5 Točka 9 Dodatka 2 definira iniciranje, evidentiranje, obrađivanje i izvještavanje koje se spominje u ovom MRevS-u.
Ograničenja internih kontrola
64. Interne kontrole, neovisno koliko su dobro oblikovane i kako dobro djeluju, mogu osigurati poslovnom subjektu samo razumno uvjerenje o postizanju ciljeva financijskog izvještavanja poslovnog subjekta. Na vjerojatnost postizanja ciljeva utječu ograničenja svojstvena internim kontrolama. To uključuje realnost da ljudska prosudba pri donošenju odluke može biti pogrešna i da lomovi u internim kontrolama mogu nastati zbog propusta ljudi, kao što su obične pogreške ili previdi. Primjerice, ako osoblje informacijskog sustava poslovnog subjekta ne razumije u potpunosti kako sustav unosa narudžbenica obrađuje transakcije prodaje, oni mogu pogrešno oblikovati promjene sustava radi obrade prodaja novih linija proizvoda. S druge strane, takve promjene mogu biti ispravno oblikovane ali ih pogrešno shvaćaju osobe koje trebaju transformirati to oblikovanje u niz programskih kodova. Pogreške mogu nastati i u upotrebi informacija koje stvara IT. Primjerice, automatizirane kontrole mogu biti oblikovane tako da izvještavaju transakcije preko određenog iznosa radi menadžentovog pregleda, ali osoba koja je odgovorna za taj pregled može ne razumjeti svrhu takvog izvješća, i propustiti pregledati ga ili istražiti neuobičajene stavke.
65. Dodatno, kontrole mogu biti zaobiđene tajnim dogovorom dvije ili više osobe ili neodgovarajućim preskakanjem kontrola od strane menadžmenta. Primjerice, menadžment može zaključiti pobočni ugovor s kupcima koji mijenja uvjete ili kondicije standardnog prodajnog ugovora poslovnog subjekta, što može rezultirati neispravnim priznavanjem prihoda. Također, mogu biti zaobiđene ili onesposobljene kontrole editiranja u softverskim programima koji su oblikovani za prepoznavanje i izvještavanje transakcija koje prelaze određeni kreditni limit.
66. Manji subjekti često imaju manje zaposlenika što može ograničavati razmjer u kojem je izvediva podjela dužnosti. Međutim, za ključna područja, čak i u vrlo malim poslovnim subjektima, izvedivo je implementirati određeni stupanj podjela dužnosti ili druge oblike nesofisticiranih ali djelotvornih kontrola. Mogućnost da vlasnik-menadžer zaobiđe kontrole ovisi u velikoj mjeri o okruženju kontrola i naročito, o stavovima vlasnika-menadžera spram važnosti internih kontrola.
Okruženje kontrola
67. Revizor treba steći razumijevanje okruženja kontrola. Okruženje kontrola uključuje funkcije upravljanja i rukovođenja i stavove, svjesnost i aktivnosti onih koji su zaduženi za upravljanje i menadžment u vezi s internim kontrolama poslovnog subjekta i njihovom važnošću za poslovni subjekt. Okruženje kontrola određuje opredijeljenost organizacije utječući na svijest zaposlenika spram kontrola. To je temelj djelotvornih internih kontrola koji osigurava disciplinu i ustroj.
68. Osnovnu odgovornost za sprječavanje te otkrivanje prijevara i pogrešaka imaju oni koji su zaduženi za upravljanje i menadžment poslovnog subjekta. Pri ocjenjivanju oblikovanosti okruženja kontrola i utvrđivanju je li implementirana, revizor shvaća kako je menadžment, pod nadzorom onih koji su zaduženi za upravljanje, stvorio i podržao klimu poštenog i etičkog ponašanja te uspostavio odgovarajuće kontrole radi sprječavanja i otkrivanja prijevara i pogrešaka u poslovnom subjektu.
69. Pri ocjenjivanju oblikovanosti okruženja kontrola poslovnog subjekta, revizor razmatra sljedeće elemente i kako su ugrađeni u procese poslovnog subjekta:
• Priopćavanje i nametanje čestitosti i etičkih vrijednosti – bitni elementi koji utječu na djelotvornost oblikovanja, izvršavanje i monitoring kontrola.
• Privrženost kompetentnosti – menadžmentovo sagledavanje razina kompetentnosti za određene poslove i kako se te razine preobražavaju u zahtijevano znanje i vještine.
• Sudjelovanje onih koji su zaduženi za upravljanje – neovisnost od menadžmenta, njihovo iskustvo i dojam koji stvaraju, razmjer njihove uključenosti i aktivnosti pomnog praćenja, informacije koje primaju, u kojoj mjeri postavljaju složena pitanja ili ih rješavaju s menadžmentom i interakcije s unutarnjim i vanjskim revizorima.
• Menadžmentova filozofija i stil djelovanja – menadžmentov pristup preuzimanju poslovnih rizika i upravljanju tim rizicima, menadžemtovi stavovi i aktivnosti u pogledu financijskog izvještavanja, obrađivanja informacija te računovodstvenih funkcija i osoblja.
• Organizacijska struktura – okvir unutar kojeg se planiraju, izvode, kontroliraju i pregledavaju aktivnosti poslovnog subjekta za postizanje njegovih ciljeva.
• Dodjeljivanje ovlasti i odgovornosti – kako se dodjeljuju ovlasti i odgovornosti za odvijanje aktivnosti i kako je uspostavljena hijerarhija odobravanja i izvještavanja.
• Politika i praksa glede ljudskih resursa – aktivnosti zapošljavanja, usmjeravanja, osposobljavanja, ocjenjivanja, savjetovanja, unaprjeđivanja, nagrađivanja i sankcioniranja.
70. Pri stjecanju razumijevanja elemenata okruženja kontrola, revizor također razmatra jesu li oni implementirani. Revizor uobičajeno pribavlja relevantne revizijske dokaze pomoću kombinacije upita i drugih postupaka procjene rizika, primjerice, potkrjepljujući upite s promatranjem ili pregledom dokumentacije. Primjerice, pomoću upita postavljenih menadžmentu i zaposlenicima, revizor može steći razumijevanje kako menadžment priopćava zaposlenicima svoje poglede na poslovnu praksu i etično ponašanje. Revizor utvrđuje jesu li kontrole implementirane sagledavanjem je li menadžment ustanovio formalni kodeks ponašanja i djeluje li on na način koji podržava kodeks ili oprašta li kršenja ili odobrava izuzimanja od obveze poštivanja kodeksa.
71. Revizijski dokazi za elemente okruženja kontrola ne moraju biti raspoloživi u dokumentarnom obliku, naročito kod manjih poslovnih subjekata, gdje komuniciranje menadžmenta sa zaposlenicima može biti neformalno ali djelotvorno. Primjerice, menadžmentova privrženost etičkim vrijednostima i kompetentnosti često je implementirana kroz ponašanje i stavove koje oni pokazuju pri rukovođenju poslovanjem poslovnog subjekta umjesto u pisanom kodeksu ponašanja. U skladu s tim, menadžmentovi su stavovi, svjesnost i aktivnosti od posebne važnosti pri oblikovanju okruženja kontrola manjeg poslovnog subjekta. Osim toga, gdje nema drugih vlasnika, ulogu onih koji su zaduženi za upravljanje često preuzima vlasnik – menadžer.
72. Opće odgovornosti onih koji su zaduženi za upravljanje su navedene u kodeksu postupanja i drugim regulativama ili uputama za korištenje onih koji su zaduženi za upravljanje. Jedna, ali ne i jedina uloga onih koji su zaduženi za upravljanje jest da budu protuteža pritisku na menadžment u vezi s financijskim izvještavanjem. Primjerice, osnovica za nagrađivanje menadžmenta može stvarati stres menadžmentu uslijed konflikta potrebe za fer izvještavanjem i spoznatih koristi od friziranja rezultata. Pri stjecanju razumijevanja oblikovanosti okruženja kontrola, revizor razmatra pitanja kao što su neovisnost direktora i njihovu mogućnost da ocjenjuju aktivnosti menadžmenta. Revizori također razmatraju postoji li odbor za reviziju koji shvaća poslovne transakcije poslovnog subjekta i ocjenjuje daju li financijski izvještaji istinit i fer prikaz (ili fer prezentiraju, u svim značajnim odrednicama) u skladu s primjenjivim okvirom financijskog izvještavanja.
73. Priroda okruženja kontrola poslovnog subjekta je takva da ima prožimajući učinak na procjenjivanje rizika značajnih pogrešnih prikazivanja. Primjerice, kontrole vlasnika-menadžera mogu kompenzirati nedostatak podjela dužnosti u manjem poslovanju ili aktivni i neovisni odbor direktora može utjecati na filozofiju i stil poslovanja višeg menadžmenta u većim poslovnim subjektima. Revizorova ocjena oblikovanosti okruženja kontrolna poslovnog subjekta uključuje razmatranje osigurava li snaga elemenata okruženja kontrola u ukupnosti odgovarajuću osnovu za ostale komponente internih kontrola te da ona nije potkopana slabostima okruženja kontrola. Primjerice, politika i praksa u pogledu ljudskih resursa usmjerena na zapošljavanje kompetentnog financijskog, računovodstvenog i IT osoblja ne može kompenzirati veliku pristranost top menadžmenta da precijeni zarade poslovnog subjekta. Promjene u okruženju kontrola mogu utjecati na relevantnost informacija dobivenih u ranijim revizijama. Primjerice, menadžmentova odluka da pribavi dodatne resurse za osposobljavanje i stvaranje svijesti o aktivnostima financijskog izvještavanja može smanjiti rizik pogrešaka u obrađivanju financijskih informacija. Suprotno tome, menadžmentov propust da osigura dovoljne resurse za suočavanje s rizicima zaštite na koje ukazuje IT može negativno utjecati na interne kontrole dopuštajući da budu učinjene neispravne promjene programa ili podataka ili dopuštajući obradu neodobrenih transakcija.
74. Postojanje zadovoljavajućeg okruženja kontrola može biti pozitivan čimbenik kada revizor procjenjuje rizike značajnih pogrešnih prikazivanja i, kao što je objašnjeno u točki 5 MRevS-a 330, utječe na vrste, vrijeme i obujam daljnjih revizorovih postupaka. Ono naročito može smanjiti rizik prijevara, iako zadovoljavajuće okruženje kontrola nije potpuna zaštita od prijevara. Suprotno tome, slabosti u okruženju kontrola može potkopati djelotvornost kontrola i stoga biti negativni čimbenik u revizorovoj procjeni rizika značajnih pogrešnih prikazivanja, naročito u vezi s prijevarama.
75. Okruženje kontrola samo po sebi ne sprječava ili, otkriva i ispravlja, značajna pogrešna prikazivanja u klasama transakcija, stanjima računa i objavama te povezanim tvrdnjama. Kada procjenjuje rizike značajnih pogrešnih prikazivanja, primjerice učinke monitoringa kontrola i djelovanja određenih kontrolnih aktivnosti, revizor uobičajeno razmatra učinke drugih komponenti zajedno s okruženjem kontrola.
Postupak poslovnog subjekta za procjenu rizika
76. Revizor treba steći razumijevanje postupka poslovnog subjekta za prepoznavanje poslovnih rizika relevantnih za ciljeve financijskog izvještavanja i odlučivanje o aktivnostima usmjerenim na te rizike, kao i rezultata tih aktivnosti. Postupak se opisuje kao »postupak poslovnog subjekta za procjenu rizika« i predstavlja osnovu na kojoj menadžment utvrđuje kako treba upravljati rizicima.
77. Pri ocjenjivanju oblikovanja i implementacije postupka poslovnog subjekta za procjenu rizika, revizor utvrđuje kako menadžment identificira poslovne rizike relevantne za financijsko izvještavanje, procjenjuje važnost rizika, procjenjuje vjerojatnost njihovog nastanka i određuje aktivnosti radi upravljanja njima. Ako je postupak poslovnog subjekta za procjenu rizika odgovarajuć u danim okolnostima, on pomaže revizoru u prepoznavanju rizika značajnog pogrešnog prikazivanja.
78. Revizor postavlja upite o poslovnim rizicima koje je menadžment identificirao i razmatra mogu li oni rezultirati značajnim pogrešnim prikazivanjem. Tijekom revizije revizor može otkriti rizike značajnog pogrešnog prikazivanja koje je menadžment propustio identificirati. U takvim slučajevima, revizor razmatra postoji li povezan rizik takve vrste koji je trebao biti identificiran postupkom poslovnog subjekta za procjenu rizika te ako je to slučaj, zašto je postupak propustio prepoznati rizik i je li postupak odgovarajuć u danim okolnostima. Ako, kao posljedica toga, revizor prosudi da postoji značajna slabost u postupku poslovnog subjekta za procjenu rizika, revizor to priopćava onima koji su zaduženi za upravljanje, kako je to zahtijevano u točki 120.
79. U manjem poslovnom subjektu menadžment ne mora, kako je opisano u točki 76, imati formalizirani postupak procjene rizika. U takvim poslovnim subjektima revizor raspravlja s menadžmentom kako menadžment identificira rizike u poslovanju i kako se s njima suočava.
Informacijski sustav, uključujući povezane poslovne postupke, relevantan za financijsko izvještavanje i priopćavanje
80. Informacijski sustav relevantan za ciljeve financijskog izvještavanja, koji uključuje računovodstveni sustav, sastoji se od postupaka i evidencija ustanovljenih za iniciranje, evidentiranje, obrađivanje i izvještavanje transakcija poslovnog subjekta (kao i događaja i uvjeta) te održavanje odgovornosti za povezanu imovinu, obveze i glavnicu.
81. Revizor treba steći znanje o informacijskom sustavu, uključujući povezane poslovne postupke, relevantnom za financijsko izvještavanje, uključujući znanje o sljedećim područjima:
• klasama transakcija u poslovanju poslovnog subjekta koje su važne za financijske izvještaje;
• postupcima, unutar IT i ručnih sustava, kojima se transakcije iniciraju, evidentiraju, obrađuju i izvještavaju u financijskim izvještajima;
• povezanim računovodstvenim evidencijama, elektroničkim ili ručnim, potkrepljujućim informacijama i određenim računima u financijskim izvještajima u vezi s iniciranjem, evidentiranjem, obrađivanjem i izvještavanjem transakcija;
• kako se sustav hvata u koštac s događajima i uvjetima, različitim od klasa transakcija, koji su važni za financijske izvještaje;
• postupcima financijskog izvještavanja primijenjenim za sastavljanje financijskih izvještaja, uključujući važne računovodstvene procjene i objave.
82. Pri stjecanju ovog razumijevanja, revizor razmatra postupke koji se primjenjuju za prijenos informacija iz sustava obrade transakcija u glavnu knjigu ili sustave financijskog izvještavanja. Revizor također stječe razumijevanje o postupcima poslovnog subjekta za hvatanje u koštac s informacijama relevantnim za financijsko izvještavanje o događajima i uvjetima različitim od transakcija, kao što je amortizacija i ispravak vrijednosti imovine te promjene nadoknadivog iznosa za račune potraživanja.
83. Informacijski sustav poslovnog subjekta uobičajeno uključuje primjenu standardnih knjiženja u dnevnik koji su ponavljajućeg karaktera radi evidentiranja transakcija, kao što su prodaje, nabave i isplate, u glavnoj knjizi ili radi evidentiranja računovodstvenih procjena koje periodično radi menadžment, kao što su promjene u procjeni nenaplativih računa potraživanja.
84. Postupak financijskog izvještavanja poslovnog subjekta također uključuje nestandardna knjiženja u dnevniku radi evidentiranja neponavljajućih, neuobičajenih transakcija ili prilagodbi. Primjeri takvih unosa uključuju konsolidacijske prilagodbe i unose za poslovno spajanje ili otuđivanje ili neponavljajuće procjene kao što su one za umanjenje imovine. U ručnim sustavima temeljenim na glavnoj knjizi u papirnatom obliku, nestandardna se knjiženja mogu otkriti pregledom knjiga, dnevnika i potkrjepljujuće dokumentacije. Međutim, kada se koriste automatizirani postupci za vođenje glavne knjige i sastavljanje financijskih izvještaja, takva knjiženja mogu postojati samo u elektroničkom obliku te ih može biti lakše identificirati primjenom revizijskih tehnika potpomognutih računalom.
85. Sastavljanje financijskih izvještaja poslovnog subjekta uključuje postupke koji su oblikovani za postizanje da su informacije, koje je potrebno objaviti prema primjenjivom okviru financijskog izvještavanja, prikupljene, evidentirane, obrađene, zbrojene te odgovarajuće izvještene u financijskim izvještajima.
86. Pri stjecanju razumijevanja, revizor razmatra rizike značajnog pogrešnog prikazivanja povezane s neispravnim zaobilaženjem kontrola nad unosima u dnevnik te kontrolama koje obuhvaćaju nestandardne unose u dnevnik. Primjerice, automatizirani postupci i kontrole mogu ublažiti rizik nehotične pogreške, ali ne mogu nadvladati rizik da pojedinci mogu zaobići takve automatizirane postupke, primjerice, mijenjajući iznose koji se automatski prenose u glavnu knjigu ili sustav financijskog izvještavanja. Nadalje, revizor treba voditi računa da u slučajevima korištenja IT-a radi automatiziranog prijenosa informacija, može biti malo, ili ih uopće i nema, vidljivih dokaza takvih intervencija u informacijskom sustavu.
87. Revizor također stječe razumijevanje kako se rješavaju neispravne obrade transakcija, primjerice, postoji li automatizirana datoteka odbačenih stavki i način na koji je poslovni subjekt koristi kako bi osigurao da se pravodobno razriješe odbačene stavke te kako se obrađuju i iskazuju zaobilaženja sustava ili kontrola.
88. Revizor stječe razumijevanje o informacijskom sustavu poslovnog subjekta relevantnom za financijsko izvještavanje na način koji je odgovarajuć u okolnostima poslovnog subjekta. To uključuje stjecanje razumijevanja o tome kako transakcije nastaju unutar poslovnih postupaka poslovnog subjekta. Poslovni postupci poslovnog subjekta su aktivnosti oblikovane radi razvoja, nabave, proizvodnje, prodaje i distribucije proizvoda te usluga poslovnog subjekta; osiguranja sukladnosti sa zakonima i regulativama; i evidentiranje informacija, uključujući računovodstvene i financijske informacije za izvještavanje.
89. Revizor treba steći razumijevanje kako poslovni subjekt priopćava uloge i odgovornosti za financijsko izvještavanje te značajna pitanja u vezi s financijskim izvještavanjem. Komuniciranje uključuje osiguravanje shvaćanja uloga i odgovornosti pojedinaca koje se odnose na interne kontrole nad financijskim izvještavanjem te mogu biti u obliku priručnika o politikama i priručnika za financijsko izvještavanje. To uključuje razmjer u kojem osoblje shvaća kako su njegove aktivnosti u informacijskom sustavu financijskog izvještavanja povezane s radom drugih i značenje izvještavanih izuzetaka za odgovarajuću višu razinu unutar poslovnog sustava. Otvoreni komunikacijski kanali pomažu osigurati da se izuzeci izvještavaju i da se na njih reagira. Revizorovo stjecanje razumijevanja komuniciranja, koje se odnosi na pitanja financijskog izvještavanja, također uključuje i komuniciranje između menadžmenta i onih koji su zaduženi za upravljanje, naročito, revizijskog odbora, kao i eksterno komuniciranje kao što je ono s regulativnim tijelima.
Kontrolne aktivnosti
90. Revizor treba steći dovoljno razumijevanje kontrolnih aktivnosti kako bi procijenio rizik značajnih pogrešnih prikazivanja na razini tvrdnje i oblikovao daljnje revizijske postupke kao reakciju na procijenjene rizike. Kontrolne aktivnosti su politike i postupci koje pomažu osigurati da se izvršavaju menadžmetove smjernice; primjerice, da su poduzete aktivnosti nužne radi suočavanja s rizicima koji ugrožavaju postizanje ciljeva poslovnog subjekta. Kontrolne aktivnosti, neovisno o tome jesu li unutar IT sustava ili ručnih sustava, imaju različite ciljeve te se primjenjuju na različitim organizacijskim i funkcionalnim razinama. Primjeri određenih kontrolnih aktivnosti uključuju one koje su u vezi sa sljedećim:
• autoriziranjem;
• pregledom izvršenja;
• obradom informacija;
• fizičkim kontrolama;
• podjelom dužnosti.
91. Pri stjecanju razumijevanja kontrolnih aktivnosti, revizor prvenstveno razmatra da li, i na koji način, kontrolne aktivnosti, samostalno ili u kombinaciji s drugima, sprječavaju ili otkrivaju i ispravljaju značajna pogrešna prikazivanja u klasama aktivnosti, stanjima računa ili objavama. Kontrolne aktivnosti relevantne za reviziju su one za koje revizor smatra da su neophodne za stjecanje razumijevanja kako bi se procijenili rizici značajnog pogrešnog prikazivanja na razini tvrdnje i oblikovali te obavili daljnji revizijski postupci kao reakcija na te rizike. Revizija ne zahtijeva razumijevanje svih kontrolnih aktivnosti povezanih sa svakom značajnom klasom transakcija, stanjem računa i objavom u financijskim izvještajima ili za svaku tvrdnju koja im je relevantna. Revizorova pozornost je usmjerena na prepoznavanje i stjecanje razumijevanja o kontrolnim aktivnostima koja se odnose na područja za koja revizor smatra da je vjerojatnije da će u njima nastati značajna pogrešna prikazivanja. Kada više kontrolnih aktivnosti postiže isti cilj, nužno je steći razumijevanje o svakoj kontrolnoj aktivnosti koja je povezana s tim ciljem.
92. Revizor razmatra saznanja o postojanju ili nepostojanju kontrolnih aktivnosti, dobivena stjecanjem razumijevanja o drugim komponentama internih kontrola, pri odlučivanju je li nužno posvetiti dodatnu pozornost stjecanju razumijevanja kontrolnih aktivnosti. Pri razmatranju jesu li kontrolne aktivnosti relevantne za reviziju, revizor razmatra rizike koje je identificirao kao one koji mogu stvarati značajno pogrešno prikazivanje. Osim toga, kontrolne su aktivnosti relevantne za reviziju ako se od revizora zahtijeva da ih ocijeni kako je razmotreno u točkama 113 do 115.
93. Revizor treba steći razumijevanje kako poslovni subjekt reagira na rizike nastale uslijed IT-a. Primjena IT-a utječe na način na koji se implementiraju kontrolne aktivnosti. Revizor razmatra je li poslovni subjekt odgovarajuće reagirao na rizike nastale uslijed IT-a uspostavljajući djelotvorne opće IT kontrole i aplikacijske kontrole. S revizorova gledišta, kontrole nad IT sustavima su djelotvorne ako održavaju nepovredivost informacija i štite podatke koje takvi sustavi obrađuju.
94. Opće IT kontrole su politike i postupci koje se odnose na mnoge aplikacije i podržavaju djelotvorno funkcioniranje aplikacijskih kontrola pomažući da se osigura trajno ispravno funkcioniranje informacijskih sustava. Opće IT kontrole koje održavaju nepovredivost informacija i štite podatke uobičajeno uključuju kontrole nad sljedećim:
• centrom obrade podataka i djelovanjem mreže;
• kupovanjem, promjenama i održavanjem sistemskog softvera;
• zaštitom podataka;
• kupovinom, razvojem i održavanjem aplikativnih sustava.
One se općenito provode radi suočavanja s rizicima navedenim ranije u točki 60.
95. Aplikacijske kontrole su ručni i automatizirani postupci koji tipično djeluju na razini poslovnog procesa. Prema vrstama aplikacijske kontrole mogu biti preventivne ili detektivne i oblikovane su kako bi osigurale nepovredivost računovodstvenih evidencija. U skladu s tim, aplikacijske se kontrole odnose na postupke primijenjene pri iniciranju, evidentiranju, obrađivanju i izvještavanju transakcija ili drugih financijskih podataka. Te kontrole pomažu osigurati da transakcije koje su nastale jesu autorizirane te potpuno i točno evidentirane i obrađene. Primjeri uključuju kontrole editiranja podataka i kontrole numeričkog niza s ručnim naknadnim ispitivanjem izvješća o izuzecima ili ispravljanjem na točki unosa podataka.
Monitoring kontrola
96. Revizor treba steći razumijevanje glavnih vrsta aktivnosti koje poslovni subjekt koristi pri monitoringu internih kontrola nad financijskim izvještavanjem, uključujući one koje se odnose na takve kontrolne aktivnosti relevantne za reviziju i kako poslovni subjekt inicira korektivne aktivnosti za svoje kontrole.
97. Monitoring kontrola je postupak za procjenjivanje djelotvornosti izvođenja kontrolnih aktivnosti tijekom vremena. On uključuje procjenjivanje oblikovanosti i pravodobnost djelovanja kontrola i poduzimanje korektivnih akcija modificiranih prema promjenama uvjeta. Menadžment provodi monitoring kontrola kao istodobnih aktivnosti, odvojenih aktivnosti ili njihovo kombiniranje. Istodobne su aktivnosti često ugrađene u uobičajene ponavljajuće aktivnosti poslovnog subjekta i uključuju redovne rukovodne i nadzorne aktivnosti.
98. U mnogim poslovnim subjektima, unutarnji revizori ili osoblje koje obavlja slične funkcije doprinose monitoring aktivnostima poslovnog subjekta. Radi dodatnih uputa, pogledajte MRevS 610, »Razmatranje rada unutarnjeg revidiranja«. Monitoring aktivnosti menadžmenta mogu uključivati korištenje informacija iz komuniciranja s vanjskim strankama kao što su reklamacije kupaca i nalazi regulatora koje mogu ukazivati na probleme ili skretati pozornost na područja koja zahtijevaju poboljšanja.
99. Većina informacija korištenih u monitoringu može biti proizvedena informacijskim sustavom poslovnog subjekta. Ako menadžment pretpostavlja da su podaci korišteni za monitoring točni, bez osnova za takvu pretpostavku, mogu postojati pogreške u informacijama koje mogu menadžment voditi k pogrešnim zaključcima izvedenih iz aktivnosti monitoringa. Revizor stječe razumijevanje o izvorima informacija povezanim s aktivnostima monitoringa poslovnog subjekta i osnovama na kojima menadžment temelji dovoljnu pouzdanost informacija za tu svrhu. Kada namjerava koristiti informacije poslovnog subjekta kreirane za aktivnosti monitoringa, kao što su izvješća unutarnjih revizora, revizor razmatra stvaraju li informacije pouzdane osnove i jesu li dovoljno detaljne za potrebe revizora.

Procjenjivanje rizika značajnih pogrešnih prikazivanja100. Revizor treba prepoznati i procijeniti rizike značajnih pogrešnih prikazivanja na razini financijskih izvještaja i razini tvrdnje za klase transakcija, stanja računa i objave. Revizor za tu svrhu:
• identificira rizike kroz postupak stjecanja razumijevanja poslovnog subjekta i njegovog okruženja, uključujući relevantne kontrole koje se odnose na rizike, kao i razmatranjem klasa transakcija, stanja računa i objava u financijskim izvještajima;
• povezuje identificirane rizike s onim što bi moglo krenuti krivo na razini tvrdnje;
• razmatra jesu li rizici takve veličine da bi mogli rezultirati značajnim pogrešnim prikazivanjem u financijskim izvještajima; i
• razmatra vjerojatnost da rizici mogu rezultirati značajnim pogrešnim prikazivanjem u financijskim izvještajima.
101. Revizor koristi informacije prikupljene obavljanjem postupaka procjene rizika, uključujući revizijske dokaze prikupljene pri ocjenjivanju oblikovanosti kontrola i utvrđivanju jesu li bile primijenjene, kao i revizijske dokaze koji potkrjepljuju procjenu rizika. Revizor koristi procjenu rizika radi određivanja vrsta, vremena i obujma daljnjih revizijskih postupaka koje treba obaviti.
102. Revizor utvrđuje odnose li se identificirani rizici pogrešnog prikazivanja na određene klase transakcija, stanja računa i objave te povezane tvrdnje ili su oni pak prožimajući za financijske izvještaje kao cjelinu te potencijalno utječu na mnoge tvrdnje. Posljednje spomenuti rizici (rizici na razini financijskih izvještaja) mogu naročito nastati iz slabog okruženja kontrola.
103. Priroda rizika nastalih iz slabog okruženja kontrola je takva da nije vjerojatno da će se ograničiti na određene rizike pogrešnog prikazivanja u određenoj klasi transakcija, stanja računa i objava. Umjesto toga, slabosti kao što su nedostatak kompetentnosti menadžmenta mogu imati prožimajući učinak na financijske izvještaje te mogu zahtijevati sveobuhvatnu reakciju revizora.
104. Pri obavljanju procjena rizika, revizor može identificirati kontrole za koje je vjerojatno da sprječavaju ili otkrivaju i ispravljaju značajna pogrešna prikazivanja u određenim tvrdnjama. Općenito, revizor stječe razumijevanje kontrola i povezuje ih s tvrdnjama u kontekstu obrada i sustava u kojima one postoje. Takav je pristup koristan jer pojedinačne kontrolne aktivnosti često same po sebi ne upućuju na rizik. Često će tek višestruke kontrolne aktivnosti, zajedno s drugim elementima internih kontrola, biti dovoljne za upućivanje na rizik.
105. Nasuprot tome, neke kontrolne aktivnosti mogu imati određen učinak na pojedinačnu tvrdnju utjelovljenu u određenoj klasi transakcija ili stanju računa. Primjerice, kontrolne aktivnosti koje je poslovni subjekt uspostavio kako bi osigurao da njegovo osoblje ispravno broji i evidentira fizičke zalihe pri godišnjem popisu odnose se izravno na tvrdnje o postojanju i potpunosti za stanje računa zaliha.
106. Kontrole mogu biti ili izravno ili neizravno povezane s nekom tvrdnjom. Što je veza više neizravna, to manje djelotvorna može biti ta kontrola u sprječavanju ili otkrivanju i ispravljanju pogrešnih prikazivanja za tu tvrdnju. Primjerice, pregled rekapitulacije prodajnih aktivnosti za određena skladišta po regijama, koju obavlja menadžer prodaje, jest samo neizravno povezana s tvrdnjom o potpunosti prihoda od prodaje. Sukladno tome, pregled može biti manje djelotvoran u smanjivanju rizika za tu tvrdnju od izravnijih kontrola povezanih s tom tvrdnjom, kao što je uparivanje otpremnica s fakturama.
107. Revizorovo razumijevanje internih kontrola može stvoriti dvojbe o mogućnosti revidiranja financijskih izvještaja poslovnog subjekta. Zabrinutost glede čestitosti menadžmenta poslovnog subjekta može biti toliko ozbiljna da revizor zaključi kako je rizik da menadžment pogrešno prikaže financijske izvještaje takav da se revizija ne može obaviti. Također, zabrinutost o uvjetima i pouzdanosti evidencija poslovnog subjekta može uzrokovati to da revizor zaključi kako nije vjerojatno da će biti raspoloživi dovoljno odgovarajući revizijski dokazi za potkrjepljivanje pozitivnog mišljenja o financijskim izvještajima. U takvim okolnostima revizor razmatra izražavanje mišljenja s rezervom ili suzdržavanje od izražavanja mišljenja, ali u nekim slučajevima jedini revizorov izbor može biti povlačenje iz angažmana.

Signifikantni rizici koji zahtijevaju posebna revizijska razmatranja108. Kao dio procjene rizika, kao što je opisano u točki 100, revizor treba utvrditi koji su od identificiranih rizika po revizorovoj prosudbi rizici koji zahtijevaju posebno revizijsko razmatranje (takvi se rizici definiraju kao »signifikantni rizici«). Nadalje, točke 41 i 51 MRevS-a 330 opisuju kako se na daljnje revizijske postupke odražavaju rizici koji su identificirani kao signifikantni.
109. Utvrđivanje signifikantnih rizika, koji nastaju u većini revizija, stvar je revizorove profesionalne prosudbe. U provođenju te prosudbe, revizor isključuje učinke identificiranih kontrola povezanih s rizikom kako bi utvrdio jesu li sadržaj rizika, vjerojatna veličina potencijalnog pogrešnog prikazivanja uključujući mogućnost da rizik može stvarati višestruka pogrešna prikazivanja te vjerojatnost nastajanja rizika takvi da oni zahtijevaju posebna revizijska razmatranja. Manja je vjerojatnost signifikantnog rizika za rutinske, jednostavne transakcije koje su podložne sustavnom obrađivanju jer one imaju niži inherentni rizik. S druge strane, signifikantni rizici često proizlaze iz poslovnih rizika koji mogu rezultirati značajnim pogrešnim prikazivanjem. Pri razmatranju sadržaja rizika, revizor sagledava brojna pitanja, uključujući sljedeća:
• je li rizik rizik prijevare.
• je li rizik povezan s nedavnim značajnim gospodarskim, računovodstvenim ili drugim dostignućima i stoga zahtijeva posebnu pozornost.
• složenost transakcija.
• uključuje li rizik značajne transakcije s povezanim strankama.
• stupanj subjektivnosti pri mjerenju financijskih informacija povezanih s rizikom, naročito onim koji uključuje široki raspon mjerenja neizvjesnosti.
• uključuje li rizik značajne transakcije izvan uobičajenog poslovanja poslovnog subjekta ili koje se na drugi način čine neuobičajenim.
110. Značajni su rizici često povezani sa signifikantnim nerutinskim transakcijama i pitanjima prosudbe. Nerutinske transakcije su transakcije koje su neuobičajene zbog veličine ili sadržaja pa stoga ne nastaju često. Pitanja prosudbe mogu uključivati stvaranje računovodstvenih procjena za koje je signifikantno mjerenje neizvjesnosti.
111. Rizici značajnog pogrešnog prikazivanja mogu biti veći za rizike povezane sa signifikantnim nerutinskim transakcijama nastalim uslijed pitanja kao što su sljedeća:
• veće intervencije menadžmenta radi određivanja računovodstvenog tretmana;
• veće ručne intervencije oko prikupljanja podataka i obrade;
• složeni izračuni ili računovodstvena načela;
• vrste nerutinskih transakcija koje poslovnom subjektu mogu otežati implementaciju djelotvornih kontrola nad rizicima.
112. Rizici značajnog pogrešnog prikazivanja mogu biti veći za rizike povezane sa signifikantnim pitanjima prosudbe koja zahtijevaju stvaranje računovodstvenih procjena, nastalih iz pitanja kao što su sljedeća:
• računovodstvena načela za računovodstvene procjene ili priznavanje prihoda mogu biti podložna različitim tumačenjima;
• potrebno prosuđivanje može biti subjektivno, složeno ili zahtijevati pretpostavke o učinku budućih događaja, primjerice, prosudbe o fer vrijednostima.
113. Za signifikantne rizike, u mjeri u kojoj revizor to već nije učinio, revizor treba ocijeniti oblikovanost odgovarajućih kontrola poslovnog subjekta, uključujući relevantne kontrolne aktivnosti te odrediti jesu li one bile implementirane. Kako bi se revizoru osigurale odgovarajuće informacije za razvijanje djelotvornog revizijskog pristupa potrebno je razumijevanje kontrola poslovnog subjekta povezanih sa signifikantnim rizicima. Menadžment bi trebao znati signifikantne rizike. Međutim, često je manje vjerojatno da će kontrolama biti podvrgnuti rizici povezani sa signifikantnim nerutinskim pitanjima ili pitanjima prosudbe. Stoga, revizorovo razumijevanje o tome je li poslovni subjekt oblikovao i implementirao kontrole za takve signifikantne rizike uključuje pitanja je li i kao menadžment reagirao na rizike te jesu li kontrolne aktivnosti radi suočavanja s rizicima bile implementirane, poput pregleda pretpostavki koji obavlja viši menadžment ili stručnjaci, formalnih postupaka za procjene ili odobravanje koje obavljaju oni koji su zaduženi za upravljanje. Primjerice, kada postoji jednokratni događaji kao što je primitak obavijesti o sudskom sporu, razmatranje reakcije poslovnog subjekta uključivat će pitanja kao što su – je li to razmotreno s odgovarajućim stručnjacima (kao što su unutarnji ili vanjski pravni savjetnici), je li napravljena procjena mogućeg učinka i kako je predloženo da se te okolnosti objave u financijskim izvještajima.
114. Ako menadžment nije odgovarajuće reagirao uvođenjem kontrola za signifikantne rizike i ako, kao rezultat toga, revizor prosudi da postoji značajna slabost u internim kontrolama poslovnog subjekta, revizor priopćava to pitanje onima koji su zaduženi za upravljanje, kako se zahtijeva u točki 120. U tim okolnostima revizor također razmatra i implikacije na svoju procjenu rizika.

Rizici za koje sami dokazni postupci ne osiguravaju dovoljno odgovarajućih revizijskih dokaza115. Kao dio procjene rizika, kako je opisano u točki 100, revizor treba ocijeniti oblikovanost i utvrditi implementiranost kontrola poslovnog subjekta, uključujući relevantne kontrolne aktivnosti, nad onim rizicima za koje po revizorovoj prosudbi nije moguće ili nije izvedivo smanjiti rizik značajnog pogrešnog prikazivanja za razinu tvrdnje na prihvatljivo nisku razinu pomoću revizijskih dokaza prikupljenih samo dokaznim postupcima. Posljedice prepoznavanja takvih rizika na daljnje revizijske postupke opisane su u točki 25 MRevS-a 330.
116. Razumijevanje informacijskog sustava poslovnog subjekta relevantnog za financijsko izvještavanje omogućava revizoru identificiranje rizika značajnog pogrešnog prikazivanja koji se izravno odnosi na evidentiranje rutinskih klasa transakcija ili stanja računa te sastavljanje pouzdanih financijskih izvještaja. To uključuje rizike netočnog ili nepotpunog obrađivanja. Uobičajeno se takvi rizici odnose na signifikantne klase transakcija kao što su prihodi poslovnog subjekta, nabave i plaćanja ili naplate.
117. Karakteristike rutinskih svakodnevnih poslovnih transakcija često dopuštaju vrlo automatizirano obrađivanje s malo ili bez ručnih intervencija. U takvim okolnostima nije moguće obaviti samo dokazne postupke u vezi s rizikom. Primjerice, u okolnostima gdje se značajni broj informacija poslovnog subjekta inicira, evidentira ili izvještava elektronički, kao što je u integriranom sustavu, revizor može utvrditi nemogućnost oblikovanja djelotvornih dokaznih postupaka koji bi sami po sebi osigurali dovoljne odgovarajuće revizijske dokaze da relevantne klase transakcija ili stanja računa nisu značajno pogrešno prikazane. U takvim slučajevima, revizijski dokazi mogu biti raspoloživi samo u elektroničkom obliku te njihova dostatnost i prikladnost često ovisi o djelotvornosti kontrola točnosti i potpunosti. Nadalje, mogućnost nastanka ili neotkrivanja neispravnog iniciranja ili mijenjanja informacija može biti veća ako se informacije iniciraju, evidentiraju, obrađuju ili izvještavaju samo u elektroničkom obliku te odgovarajuće kontrole ne djeluju uspješno.
118. Primjeri situacija gdje revizor može ustanoviti nemogućnost oblikovanja djelotvornih dokaznih postupaka koji bi sami osigurali dovoljne odgovarajuće revizijske dokaze da određene tvrdnje nisu značajno pogrešno prikazane uključuje sljedeće:
• Poslovni subjekt koji vodi svoje poslovanje koristeći IT za iniciranje narudžbi za nabavu ili isporuku robe koje se temelji na unaprijed utvrđenim pravilima što treba naručiti i u kojim količinama, kao i platiti radi zatvaranja obveze. To se pak temelji na odlukama koje generira sustav nakon potvrde primitka robe i uvjeta plaćanja. Druga dokumentacija o ispostavljenim narudžbama ili primljenim robama ne stvara se ili održava, osim one koja nastaje kroz IT sustav.
• Poslovni subjekt koji pruža usluge kupcima pomoću elektroničkih medija (primjerice, davatelj internetske usluge ili telekomunikacijska kompanija) i koristi IT za kreiranje dnevnika usluga pruženih svojim kupcima, inicira fakturiranje za usluge i obrađuje fakture te automatski evidentira takve iznose u elektroničkim računovodstvenim evidencijama koje su dio sustava korištenog za stvaranje financijskih izvještaja poslovnog subjekta.

Mijenjanje procjene rizika119. Revizorova procjena rizika značajnog pogrešnog prikazivanja za razinu tvrdnje temelji se na raspoloživim revizijskim dokazima i može se mijenjati tijekom revizije kako se pribavljaju dodatni revizijski dokazi. Osobito, procjena se rizika može temeljiti na očekivanju da kontrole uspješno djeluju na sprječavanje ili otkrivanje i ispravljanje značajnih pogrešnih prikazivanja na razini tvrdnje. Pri obavljanju testova kontrola, revizor može dobiti revizijske dokaze da kontrole ne djeluju uspješno u relevantnom vremenu tijekom revizije. Slično tome, pri obavljanju dokaznih postupaka revizor može otkriti pogrešna prikazivanja u iznosima ili s učestalošću koja nije konzistentna s revizorovom procjenom rizika. U okolnostima u kojima revizor pribavlja revizijske dokaze obavljanjem daljnjih revizijskih postupaka, koji su kontradiktorni u odnosu na revizijske dokaze na kojima je revizor izvorno temeljio procjenu, revizor mijenja procjenu i u skladu s tim mijenja daljnje planirane revizijske postupke. Radi daljnjih uputa vidjeti točke 66 i 70 MRevS-a 330.

Komuniciranje s onima koji su zaduženi za upravljanje i menadžmentom120. Revizor treba upoznati one koji su zaduženi za upravljanje ili menadžment, čim je to izvedivo, te na odgovarajućoj razini odgovornosti sa značajnim slabostima u oblikovanju ili implementaciji internih kontrola koje revizor spozna.
121. Ako revizor prepozna rizike značajnog pogrešnog prikazivanja koje poslovni subjekt ne kontrolira, ili za koje kontrole nisu odgovarajuće, ili ako po revizorovoj prosudbi postoje značajne slabosti u postupku poslovnog subjekta za procjenu rizika, revizor uključuje takve slabosti internih kontrola u priopćavanje revizijskih pitanja od važnosti za upravljanje. Vidjeti MRevS 260, »Komuniciranje revizijskih pitanja s onima koji su zaduženi za upravljanje«.

Dokumentacija122. Revizor treba dokumentirati:
(a) raspravu između angažiranog tima u vezi s osjetljivošću financijskih izvještaja poslovnog subjekta na pogrešna prikazivanja uslijed pogreške ili prijevare te donesene značajne odluke;
(b) ključne elemente za razumijevanja stečenog u vezi sa svakim aspektom poslovnog subjekta i njegovog okruženja navedenog u točki 20, uključujući svaku komponentnu internih kontrola navedenu u točki 43 radi procjene rizika pogrešnog prikazivanja financijskih izvještaja; izvore informacija iz kojih je stečeno razumijevanje; i postupke procjene rizika;
(c) prepoznate i procijenjene rizike značajnog pogrešnog prikazivanja za razinu financijskih izvještaja i za razinu tvrdnji, kako zahtijeva točka 100; i
(d) kao posljedicu zahtjeva iz točke 113 i 115, rizike koji su identificirani te povezane kontrole koje su ocijenjene.
123. Način na koji će se dokumentirati navedena pitanja stvar je revizorove prosudbe. Rezultati procjene rizika mogu se dokumentirati odvojeno ili se pak mogu dokumentirati kao dio revizorove dokumentacije daljnjih postupaka (vidjeti točku 73 MRevS-a 330 radi dodatnih uputa). Primjeri uobičajenih tehnika, korištenih samostalno ili u kombinaciji, uključuju tekstualne opise, upitnike, kontrolne liste i hodograme. Takve tehnike mogu biti korisne za dokumentiranje revizorove procjene rizika značajnih pogrešnih prikazivanja za razinu cjelovitih financijskih izvještaja i za razine tvrdnji. Na oblik i obujam te dokumentacije utječe vrsta, veličina i složenost poslovnog subjekta i njegove interne kontrole, raspoloživost informacija koje ima poslovni subjekt te revizijska metodologija i tehnologija koja se koristi tijekom revizije. Primjerice, dokumentiranje razumijevanja složenog informacijskog sustava u kojem se velik obujam transakcija elektronički inicira, evidentira, obrađuje te izvještava može uključivati hodograme, upitnike ili stabla odlučivanja. Za informacijski sustav s ograničenom primjenom IT-a ili bez IT-a sa svega nekoliko obrađenih transakcija (primjerice, dugoročne obveze), dovoljna može biti dokumentacija u obliku zapisa. Općenito, što je složeniji poslovni subjekt i što je revizor obavio sveobuhvatnije revizijske postupke, to će ekstenzivnija biti i revizorova dokumentacija. MRevS 230,6 »Dokumentacija« pruža upute u vezi s dokumentacijom u kontekstu revizije financijskih izvještaja.
_______
6
MRevS 230, »Dokumentacija« bit će povučen kada stupi na snagu MRevS 230 (revidiran), »Revizijska dokumentacija«. MRevS 230 (revidiran) na snazi je za revizije financijskih informacija za razdoblja započeta na 15. lipnja 2006. ili nakon toga datuma.

Datum stupanja na snagu124. Ovaj je MRevS na snazi za revizije financijskih izvještaja za razdoblja započeta na 15. prosinca 2004. ili nakon toga datuma.

Zahtjevi javnog sektora
1. Kada se obavlja revizija subjekata javnog sektora, revizor uzima u obzir pravni okvir i svaku drugu relevantnu regulativu, uredbe i ukaze koji utječu na zadatak revizije i druge posebne zahtjeve u vezi s revidiranjem. Stoga, pri stjecanju razumijevanja regulativnog okvira, kako se zahtijeva u točki 22 ovog MRevS-a, revizori će uzeti u obzir zakonodavstvo i stvarne ovlasti vođenja poslovanja poslovnog subjekta. Slično, u vezi s točkom 30 ovog MRevS-a, revizor mora voditi računa da na »ciljeve rukovođenja« subjekata javnog sektora mogu utjecati nastojanja u vezi s javnom odgovornošću te mogu uključivati ciljeve kojima je izvorište u legislativi, regulativi, vladinim uredbama i ministarskim ukazima.
2. Točke 47-53 ovog MRevS-a objašnjavaju kontrole relevantne za reviziju. Revizori javnog sektora često imaju dodatne odgovornosti u vezi s internim kontrolama, primjerice izvještavati o sukladnosti s Kodeksom postupanja. Revizori javnog sektora mogu također imati i odgovornost izvještavanja o sukladnosti zakonodavnih tijela. Njihov pregled internih kontrola može biti širi i detaljniji.
3. Točke 120 i 121 ovog MRevS-a odnose se na priopćavanje slabosti. Za revizore javnog sektora mogu postojati i dodatni zahtjevi u vezi s priopćavanjem ili izvješćivanjem. Primjerice, moguće je da će o slabostima internih kontrola izvještavati zakonodavno ili drugo upravno tijelo.
DODATAK 1

RAZUMIJEVANJE POSLOVNOG SUBJEKTA I NJEGOVOG OKRUŽENJA KONTROLA
Ovaj dodatak pruža dodatne upute za pitanja koje revizor može razmatrati kada stječe razumijevanje za djelatnost, regulativu i druge eksterne čimbenike koji utječu na poslovni subjekt, uključujući primjenjiv okvir financijskog izvještavanja; karakteristike poslovnog subjekta; ciljeve i strategije i povezane poslovne rizike; i mjerenje i pregledavanje uspješnosti poslovnog subjekta. Primjeri obuhvaćaju široki raspon pitanja primjenjivih u mnogim angažmanima; međutim, nisu sva pitanja relevantna za sve angažmane te popis primjera nije nužno i konačan. Dodatne upute za interne kontrole sadržane su u Dodatku-2.

Djelatnost, regulativni i ostali vanjski čimbenici, uključujući primjenjiv okvir financijskog izvještavanjaPrimjeri pitanja koje revizor može razmatrati:
• Uvjeti djelatnosti
o Tržište i konkurencija, uključujući potražnju, kapacitet i cjenovnu konkurenciju
o Ciklične ili sezonske aktivnosti
o Tehnologija proizvodnje povezana s proizvodima poslovnog subjekta
o Ponuda energije i trošak
• Regulativno okruženje
o Računovodstvena načela i specifična praksa za djelatnost
o Regulativni okvir za reguliranu djelatnost
o Zakonodavstvo i regulativa koja značajno utječe na poslovanje poslovnog subjekta
– zahtjevi regulative
– aktivnosti izravnog nadzora
o Oporezivanje (na dobit i ostalo)
o Državna politika koja trenutno utječe na vođenje poslovanja poslovnog subjekta
– monetarna, uključujući devizne kontrole
– fiskalna
– fiskalne olakšice (primjerice, državni programi pomoći)
– tarife, trgovinska ograničenja
o Zahtjevi zaštite okoline koji utječu na poslovanje poslovnog subjekta
• Ostali vanjski čimbenici koji trenutno utječu na poslovanje poslovnog subjekta
o Opća razina gospodarskih aktivnosti (primjerice, recesija, rast)
o Kamatne stope i raspoloživost financiranja
o Inflacija, promjena tečaja

Karakteristike poslovnog subjektaPrimjeri pitanja koje revizor može razmatrati:
Poslovanje
• Vrste izvora prihoda (primjerice, proizvođač, veletrgovac, bankarske, osiguravajuće ili druge financijske usluge, uvozno-izvozno trgovanje, usluge, transport i tehnološki proizvodi i usluge)
• Proizvodi ili usluge i tržišta (primjerice, glavni kupci i ugovori, uvjeti plaćanja, pokazatelji profitabilnosti, tržišni udio, konkurencija, izvoz, politike određivanja cijena, renome proizvoda, jamstva, knjiga narudžbi, trendovi, strategija i ciljevi marketinga, postupak proizvodnje)
• Vođenje poslovanja (primjerice, etape i metode proizvodnje, poslovni segmenti, isporuka proizvoda i usluga, detalji o širenju ili sužavanju poslovanja)
• Savezi, zajednički pothvati i aktivnosti vanjskih resursa (tzv. Outsourcing)
• Uključenost u elektroničko trgovanje, uključujući prodaju putem Interneta i aktivnosti marketinga
• Zemljopisna disperziranost i segmenti
• Lokacija proizvodnih pogona, skladišta i ureda
• Ključni kupci
• Važni dobavljači roba i usluga (primjerice, dugoročni ugovori, stabilnost nabave, uvjeti plaćanja, uvoz, metode isporuke kao što je »just-in-time«)
• Zapošljavanje (primjerice, po lokacijama, ponuda, razina plaća, ugovori sa sindikatom, mirovine i druga primanja, dioničke opcije ili poticajni bonusi i državna regulativa u vezi s pitanjima zapošljavanja)
• Aktivnosti istraživanja i razvoja i troškovi
• Transakcije s povezanim strankama
Ulaganja
• Stjecanja, spajanja ili prodaje poslovnih aktivnosti (planirane ili nedavno obavljene)
• Ulaganja i prodavanja vrijednosnih papira i krediti
• Aktivnosti kapitalnih ulaganja, uključujući ulaganja u postrojenja, opremu i tehnologiju te sve nedavne ili planirane promjene
• Ulaganja u nekonsolidirane poslovne subjekte, uključujući ortakluke, zajedničke pothvate i poslovne subjekte posebne namjene
Financiranje
• Struktura grupe – glavna ovisna društva i pridružena društva, uključujući konsolidirane i nekonsolidirane strukture
• Struktura duga, uključujući klauzule ugovora, ograničenja, garancije i angažmane izvan bilančnog financiranja
• Najam nekretnina, postojanja i opreme za korištenje u poslovanju
• Povlaštene vlasnike (lokalne, inozemne, poslovni ugled i iskustvo)
• Povezane stranke
• Korištenje derivatnih financijskih instrumenata
Financijsko izvještavanje
• Računovodstvena načela i specifična praksa djelatnosti
• Prakse priznavanja prihoda
• Računovodstvo fer vrijednosti
• Zalihe (primjerice, lokacije, količine)
• Imovina, obveze i transakcije u stranoj valuti
• Specifične signifikantne kategorije za djelatnost (primjerice, krediti i ulaganja za banke, potraživanja i zalihe za proizvođače, istraživanje i razvoj za farmaceutiku)
• Računovodstvo za neuobičajene ili složene transakcije, uključujući one u kontroverznim ili rastućim područjima (primjerice, računovodstvo za plaćanja temeljena na dionicama).

Ciljevi i strategije te povezani poslovni riziciPrimjeri pitanja koje revizor može razmatrati:
• Postojanje ciljeva (tj. kako se poslovni subjekt suočava s čimbenicima djelatnosti, regulative i ostalim vanjskim čimbenicima) povezanim s, primjerice, sljedećim:
o razvojem djelatnosti (mogući povezani poslovni rizik može biti, primjerice, da poslovni subjekt nema osoblje ili znanje za rad s promjenama u djelatnosti)
o novim proizvodima ili uslugama (mogući povezani poslovni rizik može biti, primjerice, povećanje obveza iz poslovanja)
o ekspanzijom poslovanja (mogući povezani poslovni rizik može biti, primjerice, nepotpuna ili neispravna implementacija ili povećani troškovi)
o zahtjevima regulative (mogući povezani poslovni rizik može biti, primjerice, povećanje pravne izloženosti)
o zahtjevima tekućeg i budućeg financiranja (mogući povezani poslovni rizik može biti, primjerice, gubitak mogućnosti financiranja zbog nemogućnosti poslovnog subjekta da ispuni zahtjeve)
o primjenom IT-a (mogući povezani poslovni rizik može biti, primjerice, nekompatibilnost sustava i obrade)
• Učinci implementiranja strategije, posebno svi učinci koji vode k novim računovodstvenim zahtjevima (mogući povezani poslovni rizik može biti, primjerice, nepotpuna ili neispravna implementacija)

Mjerenje i pregledavanje uspješnosti poslovnog subjektaPrimjeri pitanja koje revizor može razmatrati:
• Ključne pokazatelje i poslovne statistike
• Ključne pokazatelje uspješnosti
• Mjere uspješnosti zaposlenika i politike poticajnog nagrađivanja
• Trendove
• Primjenu prognoza, budžeta i analizu odstupanja
• Izvješća analitičara i izvješća o bonitetu
• Analize konkurencije
• Financijsku uspješnost od razdoblja do razdoblja (rast prihoda, profitabilnost, omjer tuđeg i vlastitog kapitala)
DODATAK 2

KOMPONENTE INTERNIH KONTROLA
1. Kao što je navedeno u točki 43. i opisano u točkama 67 – 99, interne kontrole sastoje se od sljedećih komponenti:
(a) Okruženje kontrola.
(b) Postupci poslovnog subjekta za procjenu rizika.
(c) Informacijski sustav, uključujući povezane poslovne obrade, relevantan za financijsko izvještavanje te komuniciranje.
(d) Kontrolne aktivnosti.
(e) Monitoring kontrola.
Ovaj dodatak u nastavku objašnjava kako su gore navedene komponente povezane s revizijom financijskih izvještaja.

Okruženje kontrola2. Okruženje kontrola uključuje stavove, svjesnost i aktivnosti menadžmenta i onih koji su zaduženi za upravljanje u vezi s internim kontrolama poslovnog subjekta i njihovom važnošću za poslovni subjekt. Okruženje kontrola također uključuje funkcije upravljanja i rukovođenja te određuje opredijeljenost organizacije utječući na svijest zaposlenika spram kontrola. To je temelj djelotvornih internih kontrola koji osigurava disciplinu i ustroj.
3. Okruženje kontrola obuhvaća sljedeće elemente:
(a) Priopćavanje i nametanje čestitosti i etičkih vrijednosti. Djelotvornost kontrola ne može nadmašiti čestitost i etičke vrijednosti ljudi koji ih kreiraju, njima administriraju te ih nadziru. Čestitost i etičke vrijednosti ključan su element okruženja kontrola koji utječe na oblikovanje, administriranje i monitoring ostalih komponenti internih kontrola. Čestitost i etičko ponašanje produkt su standarda etike i ponašanja poslovnog subjekta, načina na koji se priopćavaju i nameću u praksi. Ono uključuje menadžmentovo djelovanje radi uklanjanja ili ublažavanja poticaja i iskušenja koje mogu poticati osoblje da se uključi u nečasne, nelegalne ili neetične aktivnosti. Ono uključuje priopćavanje vrijednosnih sudova poslovnog subjekta i standarda ponašanja osoblju pomoću pravilnika ili kodeksa ponašanja i primjerima.
(b) Privrženost kompetentnosti. Kompetentnost je znanje i vještina nužna za izvršavanje zadataka koji određuju posao pojedine osobe. Privrženost kompetentnosti uključuje menadžmentova razmatranja razine kompetentnosti za određeni posao i kako se te razine preobražavaju u zahtijevane vještine i znanje.
(c) Sudjelovanje onih koji su zaduženi za upravljanje. Na svijest poslovnog subjekta o kontrolama značajan utjecaj imaju oni koji su zaduženi za upravljanje. Svojstva onih koji su zaduženi za upravljanje uključuju neovisnost od menadžmenta, njihovo iskustvo i status, razmjer njihove uključenosti i detaljno praćenje aktivnosti, prikladnost njihovih akcija, informacije koje dobivaju, mjera u kojoj se složena pitanja postavljaju menadžmentu i rješavaju s njim te njihova interakcija s unutarnjim i vanjskim revizorima.
(d) Menadžmentova filozofija i stil. Menadžmentova filozofija i stil obuhvaća širok raspon karakteristika. Takve karakteristike mogu uključivati sljedeće: menadžmentov pristup prihvaćanja i monitoringa poslovnih kontrola; menadžmentovi stavovi i aktivnosti u vezi s financijskim izvještavanjem (konzervativni ili agresivni pristup izbora između raspoloživih računovodstvenih načela, savjesnost i konzervativizam u stvaranju računovodstvenih procjena); i stavovi menadžmenta u vezi s obrađivanjem informacija i računovodstvenim funkcijama i osobljem.
(e) Organizacijska struktura. Organizacijska struktura poslovnog subjekta osigurava okvir unutar kojeg se planiraju, izvode, kontroliraju i pregledavaju njegove aktivnosti za postizanje ciljeva za razinu poslovnog subjekta. Uspostavljanje odgovarajuće organizacijske strukture uključuje razmatranje ključnih područja ovlasti i odgovornosti te prikladnih linija izvještavanja. Poslovni subjekt razvija organizacijsku strukturu kako bi odgovarala njegovim potrebama. Prikladnost organizacijske strukture poslovnog subjekta djelomično ovisi i o njegovoj veličini i vrstama njegovih aktivnosti.
(f) Dodjeljivanje ovlasti i odgovornosti. Ovaj čimbenik uključuje načine na koje se dodjeljuju ovlasti i odgovornosti za poslovne aktivnosti te se uspostavljaju odnosi izvještavanja i hijerarhijaja odobravanja. On također uključuje politike u vezi s prikladnom poslovnom praksom, znanje i iskustvo ključnog osoblja i resurse za obavljanje dužnosti. Osim toga, on uključuje politike i komuniciranje usmjereno na osiguravanje da cjelokupno osoblje razumije ciljeve poslovnog subjekta, zna kakav je međusobni odnos njihovih aktivnosti i pridonose ostvarivanju tih ciljeva i shvaćanje za što će i kako biti odgovorni.
(g) Politika i praksa u vezi s ljudskim resursima. Politika i praksa u vezi s ljudskim resursima odnosi se na zapošljavanje, usmjeravanje, trening, ocjenjivanje, savjetovanje, unapređivanje, nagrađivanje i kažnjavanje. Primjerice, standardi zapošljavanja najkvalificiranijih osoba – s naglaskom na školsku spremu, radno iskustvo, provedeno usavršavanje i dokazima čestitog i etičkog ponašanja – pokazuju privrženost poslovnog subjekta kompetentnim osobama i osobama vrijednim povjerenja. Politike treninga koje ukazuju na buduće uloge i odgovornosti te uključuju mjere kao što su pohađanje centara za trening i seminara pokazuju očekivane razine izvršavanja i ponašanja. Unapređivanje zasnovano na periodičnom ocjenjivanju uspješnosti pokazuje privrženost poslovnog subjekta unaprjeđivanju kvalificiranih osoba na više razine odgovornosti.
Primjena na male poslovne subjekte
4. Mali poslovni subjekti mogu implementirati elemente okruženja kontrola različito u odnosu na veće poslovne subjekte. Primjerice, mali poslovni subjekti ne moraju imati pisani kodeks ponašanja, nego umjesto toga graditi pristup koji naglašava važnost čestitog i etičkog ponašanja kroz razgovor i osobnim primjerom menadžmenta. Slično, oni koji su zaduženi za upravljanje u malim poslovnim subjektima ne moraju u svoje redove primati neovisne ili vanjske članove.

Postupci poslovnog subjekta za procjenu rizika5. Postupak poslovnog subjekta za procjenu rizika jest njegov postupak identificiranja i reagiranja na poslovne rizike i njihove posljedice. Za svrhe financijskog izvještavanja, postupak poslovnog subjekta za procjenu rizika uključuje načine na koje menadžment identificira rizike relevantne za sastavljanje financijskih izvještaja koji pružaju istinit i fer prikaz (ili fer prezentiraju, u svim značajnim odrednicama) u skladu s primjenjivim okvirom financijskog izvještavanja poslovnog subjekta, procjenjuje njihovu signifikantnost, procjenjuje vjerojatnost njihovog nastanka i odlučuje o aktivnostima za upravljanje njima. Primjerice, postupak poslovnog subjekta za procjenu rizika može uređivati način na koji poslovni subjekt sagledava mogućnost neevidentiranih transakcija ili identificira i analizira signifikantne procjene iskazane u financijskim izvještajima. Rizici relevantni za pouzdano financijsko izvještavanje također su u vezi sa specifičnim događajima ili transakcijama.
6. Rizici relevantni za financijsko izvještavanje uključuju vanjske i unutarnje događaje i okolnosti koji mogu nastati ili negativno utjecati na mogućnost poslovnog subjekta da inicira, evidentira, obradi i izvijesti financijske podatke dosljedno tvrdnjama menadžmenta u financijskim izvještajima. Jednom kad je rizik identificiran, menadžment razmatra njegovu signifikantnost, vjerojatnost njegovog nastanka te način upravljanja njime. Menadžment može inicirati planove, programe ili aktivnosti radi suočavanja s određenim rizicima ili pak prihvatiti rizik zbog troškova ili drugih razloga. Rizici mogu nastati ili se mijenjati zbog okolnosti kao što su sljedeće:
• Promjene u poslovnom okruženju. Promjene u regulativnom ili poslovnom okruženju mogu imati za posljedicu promjene u pritiscima koje stvara konkurencija te značajno različite rizike.
• Novo osoblje. Novo osoblje može imati drugačiji odnos spram internih kontrola ili različito shvaćanje.
• Novi i obnovljeni informacijski sustavi. Značajne i brze promjene informacijskih sustava mogu promijeniti rizike u vezi s internim kontrolama.
• Brzi rast. Značajno i brzo širenje poslovanja može naprezati kontrole i povećati rizik loma kontrola.
• Nova tehnologija. Uvođenje nove tehnologije u poslovne procese ili informacijske sustave može promijeniti rizik povezan s internim kontrolama.
• Novi poslovni modeli, proizvodi ili aktivnosti. Ulazak u područja poslovanja ili transakcija s kojima poslovni subjekt ima malo iskustva može stvoriti nove rizike povezane s internim kontrolama.
• Restrukturiranje kompanije. Restrukturiranje može biti popraćeno smanjenjem broja osoblja i promjenama u nadzoru i podjelama dužnosti što može promijeniti rizik u vezi s internim kontrolama.
• Širenje inozemnog poslovanja. Širenje ili stjecanje inozemnog poslovanja stvara nove i često jedinstvene rizike koji mogu utjecati na interne kontrole. Primjerice, povećavanjem ili mijenjanjem rizika iz transakcija u stranoj valuti.
• Nova računovodstvena dostignuća. Primjena novih računovodstvenih načela ili promjena računovodstvenih načela može utjecati na rizike koji se odnose na sastavljanje financijskih izvještaja.
Primjena na male poslovne subjekte
7. Osnovni je koncept postupka poslovnog subjekta za procjenu rizika primjenjiv za svaki poslovni subjekt, neovisno o njegovoj veličini, ali je vjerojatnije da će biti manje formaliziran i organiziran u manjim poslovnim subjektima nego u velikima. Svi poslovni subjekti trebaju utvrditi ciljeve financijskog izvještavanja, ali oni kod malih mogu biti navedeni posredno, a ne neposredno. Menadžment može biti svjestan rizika povezanih s tim ciljevima i bez korištenja formaliziranih postupaka, i to upravo kroz osobni kontakt sa zaposlenicima i vanjskim strankama.

Informacijski sustav, uključujući povezane poslovne obrade, relevantan za financijsko izvještavanje te komuniciranje8. Informacijski sustav sastoji se od infrastrukture (fizičkih i hardverskih komponenti), softvera, ljudi, postupaka i podataka. U sustavima koji su isključivo ili pretežno ručni infrastruktura i softver neće postojati ili će imati mali značaj. Mnogi informacijski sustavi rašireno koriste informacijsku tehnologiju (IT).
9. Informacijski se sustav relevantan za ciljeve financijskog izvještavanja, koji uključuje sustav financijskog izvještavanja, sastoji od postupaka i evidencija uspostavljenih radi iniciranja, evidentiranja, obrađivanja i izvještavanja transakcija poslovnog subjekta (kao i događaja i uvjeta) te radi održavanja odgovornosti za imovinu, obveze i glavnicu. Transakcije se mogu inicirati ručno ili automatizirano pomoću programiranih postupaka. Evidentiranje uključuje identificiranje i bilježenje informacija relevantnih za transakcije ili događaje. Obrađivanje uključuje funkcije kao što su editiranje i ocjenjivanje valjanosti, izračunavanje, mjerenje, vrednovanje, sažimanje i usklađivanje, neovisno o tome je li obavljeno automatiziranim ili ručnim postupcima. Izvještavanje je povezano sa sastavljanjem financijskih izvještaja kao i drugih informacija, u elektroničkom ili papirnatom obliku, koje poslovni subjekt koristi pri mjerenju i pregledavanju financijske uspješnosti poslovnog subjekta i za druge potrebe. Kvaliteta sustavom generiranih informacija utječe na sposobnost menadžmenta da donese odgovarajuće odluke pri rukovođenju i kontroliranju poslovanja poslovnog subjekta te sastavljanja pouzdanih financijskih izvještaja.
10. Sukladno navedenom, informacijski sustav obuhvaća metode i evidencije koje:
• identificiraju i evidentiraju sve valjane transakcije;
• pravodobno opisuju transakciju s dovoljno detalja koji dopuštaju odgovarajuću klasifikaciju transakcija za financijsko izvještavanje;
• mjere vrijednost transakcija na način koji dopušta evidentiranje njihove ispravne novčane vrijednosti u financijskim izvještajima;
• određuju vremensko razdoblje u kojem su transakcije nastale kako bi dopustio evidentiranje transakcija u odgovarajućem obračunskom razdoblju;
• ispravno prezentiraju transakcije i objave u financijskim izvještajima.
11. Komuniciranje uključuje osiguranje razumijevanja pojedinačnih uloga i odgovornosti koje pripadaju internim kontrolama nad financijskim izvještavanjem. Ono uključuje razmjer u kojem osoblje shvaća kako su njegove aktivnosti u informacijskom sustavu financijskog izvještavanja povezane s radom drugih te način izvještavanja odgovarajuće više razine unutar poslovnog subjekta o izuzecima. Otvoreni komunikacijski kanali pomažu postizanju da se izuzeci izvještavaju te da ih se istražuje.
12. Priopćavanje ima oblike kao što su priručnici politika, računovodstveni i financijski priručnici za izvještavanje i dopisi. Komunicirati se može elektronski, usmeno ili kroz aktivnosti menadžmenta.
Primjena na male poslovne subjekte
13. Informacijski sustavi i povezani poslovni postupci relevantni za financijsko izvještavanje u malim subjektima bit će vjerojatno manje formalni nego u velikim poslovnim subjektima, ali njihova uloga je jednako tako važna. Mali poslovni subjekti s aktivno uključenim menadžmentom ne moraju zahtijevati dugačke opise računovodstvenih postupaka, sofisticirane računovodstvene evidencije ili pisane politike. Komuniciranje može biti manje formalno i lakše se ostvaruje u manjim nego u velikim poslovnim subjektima zbog veličine malog poslovnog subjekta, kao i veće prisutnosti i dostupnosti menadžmenta.

Kontrolne aktivnosti14. Kontrolne aktivnosti su politike i postupci koje pomažu osiguranju provođenja menadžmentovih smjernica, primjerice poduzimanje nužnih aktivnosti radi suočavanja s rizicima koji ugrožavaju postizanje ciljeva poslovnog subjekta. Kontrolne aktivnosti, neovisno o tome jesu li unutar IT ili ručnih sustava, imaju različite ciljeve i primjenjuju se na različitim organizacijskim i funkcionalnim razinama.
15. Općenito, kontrolne aktivnosti koje mogu biti relevantne za reviziju mogu se kategorizirati kao politike i postupci:
• Pregledi uspješnosti. Ove kontrolne aktivnosti uključuju preglede i analize ostvarene uspješnosti u odnosu na budžete, prognoze i ostvarenja prethodnih razdoblja; povezivanje različitih skupova podataka – poslovnih ili financijskih – jednih s drugima, zajedno s analizama odnosa te istražiteljskim i korektivnim aktivnostima; uspoređivanje internih podataka s vanjskim izvorima informacija; pregledavanje funkcionalne ili poslovne uspješnosti, kao što je pregled izvješća po granama, regijama i vrstama kredita koji provodi bankovni kreditni menadžer radi odobravanja kredita i naplate.
• Obrađivanje informacija. Različite se kontrole obavljaju radi provjere točnosti, potpunosti i autorizacije transakcija. Dvije opsežne grupe kontrolnih aktivnosti informacijskih sustava su aplikacijske kontrole i opće IT kontrole. Aplikacijske se kontrole primjenjuju pri obradi pojedinačnih aplikacija. Te kontrole pomažu odobrenju te potpunoj i točnoj evidenciji i obradi pritom nastalih transakcija. Primjeri aplikacijskih kontrola uključuju provjeru matematičke točnosti evidencija, održavanje i pregledavanje računa i bruto bilanci, automatizirane kontrole kao što su kontrole editiranja ulaznih podataka i kontrola neprekinutosti numeričkog niza i naknadno ručno pregledavanje izvješća o izuzecima. Opće IT kontrole su politike i postupci koji se odnose na mnoge aplikacije i podržavaju djelotvorno funkcioniranje aplikacijskih kontrola pomažući ispravno trajno djelovanje informacijskog sustava. Opće IT kontrole uobičajeno obuhvaćaju kontrole nad centrom obrade i djelovanjem mreže; stjecanjem, mijenjanjem i održavanjem sistemskog softvera; zaštitom pristupa; i stjecanjem, razvojem i održavanjem aplikacijskog sustava. Te se kontrole primjenjuju u okruženjima krajnjeg korisnika, kao i drukčijim okruženjima. Primjeri takvih općih IT kontrola su kontrole promjena programa, kontrole koje ograničavaju pristup programima ili podacima, kontrole nad primjenom novih verzija paketa aplikacijskog softvera i kontrole nad sistemskim softverom koji ograničava pristup ili prati uporabu pomoćnih programa sustava koji mogu mijenjati financijske podatke ili evidencije bez ostavljanja revizijskih dokaza.
• Fizičke kontrole. Te kontrole obuhvaćaju fizičku zaštitu imovine, uključujući odgovarajuće zaštite kao što su zaštitna sredstva za pristup imovini i evidencijama; autoriziranje pristupa računalnim programima i datotekama; periodično inventariziranje i uspoređivanje s iznosima prikazanim na kontrolnim računima (primjerice, uspoređivanje rezultata popisa novca, vrijednosnih papira i zaliha s računovodstvenim podacima). Razmjer u kojem su fizičke kontrole namijenjene sprječavanju krađe imovine relevantan je za sastavljanje financijskih izvještaja te stoga i za reviziju, ovisno o okolnostima kao što su one kada je imovina vrlo podložna otuđivanju. Primjerice, takve kontrole neće uobičajeno biti važne kada se manjkovi zaliha utvrđuju kontinuiranim popisom i evidentiraju u financijskim izvještajima. Međutim, ako se za svrhe financijskog izvještavanja menadžment isključivo oslanja na evidencije iz kontinuiranog popisa, tada će kontrole fizičke zaštite biti relevantne za reviziju.
• Podjela dužnosti. Dodjeljivanje različitim osobama odgovornosti za autoriziranje transakcija, evidentiranje transakcija i čuvanje imovine smišljeno je radi smanjivanja mogućnosti koja bi omogućavala bilo kojoj osobi da bude u poziciji počiniti i sakriti pogreške ili prijevare u normalnom tijeku odvijanju njezinih dužnosti. Primjeri podjele dužnosti uključuju izvještavanje, pregledavanje i odobravanje usklađivanja, odobravanje i kontrolu dokumenata.
16. Određene kontrolne aktivnosti mogu ovisiti o postojanju odgovarajućih politika viših razina koje su donijeli menadžeri ili oni koji su zaduženi za upravljanje. Primjerice, kontrole autoriziranja mogu se delegirati po ustanovljenim uputama kao što su kriteriji za investiranje koje su postavili oni koji su zaduženi za upravljanje; suprotno tome, nerutinske transakcije kao što su velika stjecanja ili otuđivanja mogu zahtijevati određena odobrenja s više razine, uključujući u nekim slučajevima ona od dioničara.
Primjena na male poslovne subjekte
17. Koncepti na kojem počivaju kontrolne aktivnosti u malim poslovnim subjektima vjerojatno su slični onima u velikim poslovnim subjektima, ali se razlikuju s obzirom na to s kojom se formalnošću provode. Nadalje, kod malih poslovnih subjekta može se ustanoviti da određene vrste kontrolnih aktivnosti nisu relevantne jer ih primjenjuje menadžment. Primjerice, ako menadžment zadržava ovlast odobravanja prodaje, značajnih nabava ili povlačenja kreditnih linija, to može predstavljati jaku kontrolu nad tim aktivnostima, umanjujući ili otklanjajući potrebu detaljnijih kontrolnih aktivnosti. Odgovarajuće je dijeljenje dužnosti čest problem kod malih poslovnih subjekta. Međutim, čak i kompanije sa svega nekoliko zaposlenika mogu dodjeljivati odgovornosti radi postizanja odgovarajuće podjele ili, kada to nije moguće, koristiti da menadžment pregledava nespojive aktivnosti kako bi se postigli ciljevi kontrola.

Monitoring kontrola18. Važna odgovornost menadžmenta je uspostava i održavanje internih kontrola na trajnoj osnovi. Menadžmentov monitoring kontrola uključuje razmatranje djeluju li one kako je namjeravano te jesu li promijenjene prikladno promjenama uvjeta. Monitoring kontrola može uključivati aktivnosti poput menadžmentovog pregleda jesu li pravodobno pripremljeni dokumentacija za usklađivanje s bankom, ocjene unutarnjih revizora o tome postupa li osoblje u prodaji u skladu s politikom poslovnog subjekta o ugovornim uvjetima prodaje i pregled pravnog odjela o tome postupa li se u skladu s politikama poslovnog subjekta koje se odnose na etiku i poslovanje.
19. Monitoring kontrola je postupak procjenjivanja kvalitete s kojom se kontrole obavljaju tijekom vremena. On uključuje procjenjivanje oblikovanosti i djelovanja u pravo vrijeme te poduzimanja odgovarajućih korektivnih aktivnosti. Monitoring se obavlja kako bi se osiguralo trajno djelotvorno provođenje kontrola. Primjerice, ako se prati pravodobnost i točnost usklađivanja bankovnih izvješća s poslovnim evidencijama klijenata, osoblje će vjerojatno prestati pripremati ta izvješća. Monitoring kontrola se obavlja kroz svakodnevni monitoring aktivnosti, odvojeno ocjenjivanje ili njihovu kombinaciju.
20. Svakodnevne aktivnosti monitoringa ugrađene su u uobičajene ponavljajuće aktivnosti poslovnog subjekta te uključuju redovite rukovodeće i nadzorne aktivnosti. Menadžeri prodaje, nabave i proizvodnje na razinama dijelova ili tvrtke kao cjeline u dodiru su s poslovanjem te mogu ispitivati izvješća koja se značajno razlikuju od onoga što bi trebala sadržavati po njihovim saznanjima.
21. U mnogim poslovnim subjektima unutarnji revizori ili osoblje koje provodi slične funkcije doprinose monitoringu kontrola poslovnog subjekta kroz odvojeno ocjenjivanje. Oni redovito stvaraju informacije o funkcioniranju internih kontrola, usmjeravajući značajnu pozornost na ocjenjivanju oblikovanosti i djelovanju internih kontrola. Oni priopćavaju informacije o dobrim i lošim rezultatima te preporuke za unaprjeđivanje internih kontrola.
22. Monitoring kontrola može uključivati korištenje informacija iz komunikacije s trećim stranama koje može ukazivati na probleme ili navoditi područja koja zahtijevaju poboljšanja. Kupci implicitno potvrđuju datume računa plaćanjem računa ili reklamiranjem terećenja. Osim toga, regulatori mogu komunicirati s poslovnim subjektom u vezi s pitanjima koja utječu na funkcioniranje internih kontrola. Primjer su izvješća regulativnih agencija za banke. Također, pri obavljanju aktivnosti monitoringa menadžment može razmatrati od vanjskih revizora dobivene obavijesti u vezi s internim kontrolama.
Primjena na male poslovne subjekte
23. Za svakodnevne aktivnosti monitoringa malih poslovnih subjekata vjerojatnije je da će biti neformalne i uobičajeno će se obavljati kao dio sveobuhvatnog rukovođenja poslovanjem subjekta. Menadžmentova bliska uključenost u poslovanje često će otkrivati značajna odstupanja u odnosu na očekivanja i netočnost financijskih podataka te voditi ka korektivnim akcijama u pogledu kontrola.
DODATAK 3

UVJETI I DOGAĐAJI KOJI MOGU UKAZIVATI NA RIZIKE POGREŠNOG PRIKAZIVANJA

Ono što slijedi su primjeri uvjeta i događaja koji mogu ukazivati na postojanje rizika značajnih pogrešnih prikazivanja. Primjeri obuhvaćaju široki raspon uvjeta i događaja. Međutim, nisu svi uvjeti i događaji relevantni za svaki revizijski angažman niti je popis potpun za sve slučajeve.
• Poslovanje u regijama koje su gospodarski nestabilne, primjerice, države sa značajnom devalvacijom ili visoko inflatorna gospodarstva.
• Poslovanje izloženo nepostojanim tržištima, primjerice trgovanje derivatima.
• Visok stupanj složenosti regulative.
• Problem likvidnosti i neograničenosti vremena poslovanja, uključujući gubitak značajnih kupaca.
• Ograničena dostupnost kapitala i kredita.
• Promjene u djelatnosti u kojoj posluje subjekt.
• Promjene u lancu nabave.
• Razvijanje ili nuđenje novih proizvoda ili usluga ili ulazak u nove djelatnosti.
• Širenje na nove lokacije.
• Promjene u poslovnom subjektu kao što su velika stjecanja ili reorganizacije ili drugi neuobičajeni događaji.
• Poslovni segmenti ili društva za koje je vjerojatno da će biti prodani.
• Kompleksni savezi i zajednički pothvati.
• Korištenje izvanbilančnog financiranja, poslovnih subjekata posebne namjene i drugi složeni financijski aranžmani.
• Signifikantne transakcije s povezanim strankama.
• Manjak osoblja s odgovarajućim vještinama računovodstvenog i financijskog izvještavanja.
• Promjene u ključnom osoblju, uključujući odlazak ključnih izvršitelja.
• Slabosti u internim kontrolama, posebno u onima s kojima se menadžment ne suočava.
• Nedosljednost između IT strategije poslovnog subjekta i njegove poslovne strategije.
• Promjene u IT okruženju.
• Instaliranje važni novih IT sustava u vezi s financijskim izvještavanjem.
• Upiti regulativnih ili državnih tijela o poslovanju ili financijskim rezultatima poslovnog subjekta.
• Pogrešna prikazivanja u prošlosti, pogreške ili značajni iznosi prilagodbi na kraju razdoblja.
• Značajni iznosi nerutinskih ili nesustavnih transakcija, uključujući unutarkompanijske transakcije i veliki iznosi prihoda na kraju razdoblja.
• Transakcije koje su evidentirane na osnovi menadžmentovih namjera, primjerice, refinanciranje duga, imovina namijenjena prodaji i klasifikacija utrživih vrijednosnih papira.
• Primjena novih računovodstvenih dostignuća.
• Računovodstvena mjerenja koja uključuju složene postupke.
• Događaji ili transakcije koji uključuju mjerenje značajne neizvjesnosti, uključujući računovodstvene procjene.
• Nedovršeni sudski sporovi i potencijalne obveze, primjerice, garancije u vezi s prodajom, financijske garancije i popravljanje šteta u vezi s očuvanjem okoline.