A PCAOB 2. számú könyvvizsgálati standardja új szemléletet ad egy régi ellenőrzési eljárásnak.
A 2. számú, "A pénzügyi kimutatások könyvvizsgálatával együtt végzett pénzügyi beszámolás feletti belső kontroll ellenőrzése" című könyvvizsgálati standard (AS2) kiadásakor az Egyesült Államok Könyvvizsgálati Felügyeleti Testülete (PCAOB) felhívta a figyelmet egy alapvető ellenőrzési eljárásra, amely annyira elterjedt, hogy az ellenőrök talán természetesnek veszik - a végigjárási ellenőrzésre. A legtöbb könyvvizsgáló hagyományosan a végigkövetést tekintette a választott eljárásnak, amikor a kulcsfontosságú folyamatok és kontrollok megértésére törekedett. Most, az AS2 szerint, a végigjárási ellenőrzéseket megkövetelik, amikor az Egyesült Államok 2002. évi Sarbanes-Oxley törvényének 404. szakasza alapján a pénzügyi beszámolási kontrollokat tanúsítják. Bár technikailag a külső könyvvizsgálókra vonatkozik, az AS2 rávilágít a belső ellenőrökre is közvetlenül vonatkozó aggályokra. Valójában a Sarbanes-Oxley által a vezetésnek a belső ellenőrzésről való beszámolásra vonatkozó követelménye miatt a belső ellenőrök által nyújtható bizonyosság kritikus jelentőségre tett szert. Az AS2 rávilágít arra, hogy miért lényeges eleme az ilyen bizonyosság kialakítására irányuló erőfeszítéseknek a végigjárási vizsgálat, függetlenül attól, hogy a gazdálkodó egység a Sarbanes-Oxley hatálya alá tartozik-e. A standard iránymutatásai masszív hivatkozási keretet nyújtanak minden olyan ellenőr számára, aki hatékony végigjárási eljárásokat kíván végrehajtani.
A VÉGIGJÁRÁSI ELLENŐRZÉS ELVÉGZÉSE
Ellenőrzési szempontból a végigjárás egyszerűen egy tranzakció nyomon követése a szervezeti nyilvántartásokon és eljárásokon keresztül - ez egy józan megközelítés egy folyamat működésének megismerésére. A PCAOB ezt a "bölcsőtől a sírig" koncepciót alkalmazza a saját AS2 definíciójában: "A walkthrough során a könyvvizsgáló nyomon követi a tranzakciót a keletkezéstől kezdve a vállalat információs rendszerein keresztül egészen addig, amíg az a vállalat pénzügyi jelentéseiben megjelenik.". Bár most már kötelező az AS2 megbízásoknál, a pénzügyi kimutatások könyvvizsgálatánál korábban nem volt kötelező a végigjárás. A külső könyvvizsgálók azonban hagyományosan támaszkodtak a végigjárásokra a szervezet belső kontrolljainak megértése érdekében, ahogyan azt az USA általánosan elfogadott könyvvizsgálati standardjai megkövetelik. A PCAOB az általa "a pénzügyi beszámolás feletti belső kontrollok ellenőrzésének" nevezett eljárás részeként a végigjárások kötelezővé tételével azonosította azokat a kritikus információkat, amelyeket ezek az eljárások nyújthatnak:
A tranzakcióáramlás és a kontrollok kialakításának megértése, különösen az olyan kontrollok tekintetében, amelyek segíthetnek a csalás megelőzésében vagy felderítésében.
Annak megállapítása, hogy a kontrollokat hatékonyan tervezték-e meg és ténylegesen működésbe helyezték-e.
A szervezeti folyamatok azon pontjainak azonosítása, ahol a pénzügyi kimutatásokban valótlan állítások előfordulhatnak.
Az AS2 standardnak a végigjárásokra vonatkozó követelményei tovább hangsúlyozzák azok jelentőségét, mint általános könyvvizsgálati lépést. Ezek elsősorban azon ügyletek körére vonatkoznak, amelyeket végigjárásnak kell alávetni, valamint a végigjárás során elvégzendő vizsgálatok jellegére.
HATÓKÖR
A végigjárást igénylő ügylettípusok azonosítása nagyrészt a könyvvizsgáló megítélésének függvénye. Az AS2 külső könyvvizsgálókra vonatkozó követelményeivel összhangban a belső ellenőr által kidolgozott ellenőrzési tervnek az egyes főbb ügyletcsoportok esetében megállapított jelentős folyamatok azonosítását kell előírnia. Ebben a tekintetben a PCAOB a "jelentős ügyletcsoportot" úgy határozza meg, hogy az a pénzügyi kimutatások szempontjából jelentős. A PCAOB az AS2-ben példákat hoz ezekre a fő tranzakciós osztályokra, szemléltetve, hogy ilyen osztályok létezhetnek tágan meghatározott ciklusokon belül. A bevételek például a pénzügyi kimutatások szempontjából jelentősnek minősülnek, de a bevételi ciklus két fő tranzakciós osztályt is tartalmazhat a végigjárás szempontjából, ha a vállalat online és hagyományos kiskereskedelmi üzletekben is értékesít termékeket. Mivel ebben a helyzetben az elektronikus és a bolti értékesítésre létrehozott folyamatok különböznek, a könyvvizsgálónak mindkettőt végig kell járnia. A kérdéses tranzakcióktól vagy számláktól függetlenül a könyvvizsgáló elsődleges célja a végigjárás során a tranzakcióáramlás megértése, azaz a tranzakciók kezdeményezésének, engedélyezésének, rögzítésének, feldolgozásának és jelentésének módja. Ezen túlmenően a könyvvizsgálónak meg kell kísérelnie azonosítani a jelentős folyamatok azon pontjait, amelyeknél a pénzügyi kimutatásokban való hibás állítás lehetősége felmerülhet, valamint a vezetés által e lehetőség kezelésére bevezetett kontrollokat. Az AS2-ben meghatározottak szerint a csalás szempontjából releváns sebezhetőségekre és kontrollokra a könyvvizsgálónak különös figyelmet kell fordítania. Az AS2-ben szereplő útmutatás világossá teszi, hogy a végigjárások megtervezésekor a belső kontrollok valamennyi összetevőjét figyelembe kell venni. A The Committee of Sponsoring Organizations of the Treadway Commission (COSO) Internal Control- Integrated Framework (Belső ellenőrzés - integrált keretrendszer) című dokumentumában meghatározottak szerint ezek az összetevők a kontrollkörnyezet "puha" kontrolljai, valamint az alkalmazáskontrollok és egyéb elektronikusan végzett kontrolltevékenységek formájában jelenhetnek meg.
A puha kontrollok tekintetében a vezetés formális irányelveket hozhatott létre, amelyek szabályozzák a hatáskörök és felelősségek kiosztását a kulcsfontosságú funkcionális területeken, és ezeket a szervezet humánerőforrás-gyakorlatára vonatkozó nyilatkozatokkal támasztotta alá. Ezek a kontrollelemek közvetlenül befolyásolják a személyzet kompetenciáját és minőségét, különösen a kritikus számviteli funkciókban dolgozókét. Az ellenőröknek fontolóra kell venniük, hogy az átvizsgálást kezdeti eszközként használják annak megállapítására, hogy ezeket a politikákat és gyakorlatokat kommunikálták-e és végrehajtották-e. A puha kontrollokkal ellentétben az alkalmazás- és egyéb információtechnológiai alapú kontrollok hatékonysága minimálisan függ az emberi erőfeszítésektől és hozzáállástól. Ezek a kontrolltevékenységek azonban nem kevésbé fontosak a tranzakciók integritása szempontjából, és az ellenőrnek be kell őket vonnia a tervezett ellenőrző látogatások közé. A programozott ellenőrzések végigjárásának lehetőségét korlátozhatja az ellenőrzési nyomvonal rendelkezésre állása. Ideális esetben az ellenőrzési nyomvonalaknak megfelelőnek kell lenniük ahhoz, hogy az ellenőr azonosítani és újra elvégezni tudja az alkalmazásba bevitt adatokra alkalmazott minden egyes eljárást. Ha ez az ismétlés nem megvalósítható, az ellenőrök az AS2 B. függelékében leírt eljárás alapján modellezhetik végigjárásukat. A függelék példái között szerepel egy olyan végigjárás, amelyet nem az alkalmazás feldolgozásának érvényességének közvetlen tesztelésére, hanem a kapcsolódó be- és kimenetek pontosságára terveztek.
KÉRDÉS
A végigjárás során az ellenőrök a személyzetet a folyamatok és az ellenőrzések működésével kapcsolatban kérdezik ki. Annak érdekében, hogy ez az információ alapos legyen, fontos, hogy az ellenőrök ne csak arra kérjék a dolgozókat, hogy magyarázzák el, mit csinálnak, hanem arra is, hogy mutassák be a feladataikat. A szervezet ellenőrzési jellemzőinek a rendelkezésre álló dokumentációból nyert megértése alapján az ellenőrnek egyszerre kell meghallgatnia és keresnie az előírt irányelvekkel és eljárásokkal való összhangot - vagy az azoktól való eltéréseket. A vizsgálat alapvető célja tehát olyan információk gyűjtése, amelyek vagy megerősítik, vagy megkérdőjelezik a vizsgált folyamatok és kontrollok működőképességét. Ebből a célból az AS2 számos kérdést határoz meg, amelyeket az ellenőröknek fel kell tenniük - olyan kérdéseket, amelyek feltárhatják a kivételeket azoktól az eljárásoktól és kontrolloktól, amelyeket a vezetés úgy véli, hogy létrehozott. Például, tekintettel a végigjárás lépésről lépésre történő jellegére, az ellenőröknek fontolóra kell venniük, hogy megkérjék az alkalmazottakat, hogy írják le, hogyan értelmezik az "előtte és utána" tevékenységeket, vagy azokat a tevékenységeket, amelyekről úgy vélik, hogy közvetlenül az egyes folyamatokban való részvételük előtt és közvetlenül utána történnek. A kapott válaszok értékes betekintést nyújthatnak a kritikus folyamatok és kontrollok általános integritásába (pl. az "átfogó kép"). Ezen túlmenően a válaszok a COSO egyes elemkategóriáira vonatkozó ellenőrzési következtetéseket is tartalmazhatnak. Különösen a válaszok közötti következetlenségek utalhatnak arra, hogy a COSO keretrendszerben leírt kontrollkomponensek közül legalább három esetében aggodalomra adhat okot. Ezek például a következők bármelyikére utalhatnak:
A kontrollok nem a tervezett módon működnek (kontrolltevékenységek).
Az alkalmazottak nem értik a kulcsfontosságú folyamatokat (információ és kommunikáció).
A vezetés nem azonosította a szervezeti célok elérését veszélyeztető eljárási hiányosságokat (kockázatértékelés).
Az új standard több olyan nyomonkövetési kérdést is javasol, amelyek feltevését az ellenőröknek fontolóra kell venniük. Ezek a kérdések arra irányulnak, hogy kiderüljön, hogy az alkalmazottak hogyan értik a hibákat, valamint a problémák azonosításának és kezelésének módját:
Mit vizsgálnak a munkatársak annak megállapítására, hogy történt-e hiba?
Mit tesznek, ha úgy vélik, hogy hibát találtak?
Milyen típusú hibákat találtak ténylegesen?
Mi történt a hibák megtalálásának eredményeképpen?
Hogyan oldották meg ezeket a hibákat?
A PCAOB jelzi, hogy az ilyen vizsgálatok segíthetnek az ellenőrzésekkel való visszaélések vagy a csalásra utaló jelek azonosításában. Ha a vizsgálat során piros zászló merül fel, az ellenőrnek fontolóra kell vennie, hogy megkérdezze, kérték-e valaha is a személyzetet, hogy felülbírálja a folyamatokat vagy kontrollokat, és ha igen, miért. Hasonlóképpen, az ellenőröknek figyelniük kell a kulcsszemélyzet körében bekövetkező fluktuációra, ami arra utalhat, hogy szükség lehet a korábban elvégzett, a végigjárással kapcsolatos vizsgálatok megismétlésére. Tágabb értelemben az ellenőrnek gondosan mérlegelnie kell a kritikus folyamatokban és kontrollokban bekövetkezett változásokat. Amennyiben az ilyen módosításokat jelentősnek ítélik, az ellenőrnek el kell végeznie a változásokat követő átvizsgálásokat, és dokumentálnia kell azok eredményét.
AZ EREDMÉNYEK DOKUMENTÁLÁSA
Az AS2 általános dokumentációs követelményei hasznos útmutatást nyújtanak minden olyan ellenőrzési környezetben, amely magában foglalja a végigjárást. Ezek a követelmények a végigjárás elvégzésének fő ellenőrzési céljaira helyezik a hangsúlyt, és tartalmazzák annak szükségességét, hogy az ellenőr dokumentálja a kontrollelemek megértésének és a lehetséges gyengeségekkel kapcsolatos megítélésének szükségességét. A végigjárásra vonatkozó további követelmények megtalálhatók a PCAOB későbbi kiadásában, a 3. számú könyvvizsgálati standardban (AS3), Audit dokumentáció. A PCAOB standardjai szerint végzett bármely megbízásra alkalmazandó AS3 előírja, hogy az egyes végigjárásokat alátámasztó dokumentációnak tartalmaznia kell az egyes ellenőrzött elemek azonosítását és azt a forrást, amelyből azokat kiválasztották. A dokumentáció az alapul szolgáló sokaság azonosító jellemzőinek leírása, és adott esetben a kiválasztás alapjául szolgáló kör leírása lehet. Az AS3 követelményein túlmenően az átvizsgálást végző ellenőrnek sorrendben le kell írnia az elvégzett lépéseket, és adott esetben kereszthivatkozásokat kell tennie az elvégzett lépésekre a végigjárási folyamat során használt vagy az általa létrehozott leírásokra és folyamatábrákra. Ezenkívül azonosítani kell a megkérdezett alkalmazottakat, valamint a beosztásukat és a megkérdezésük időpontját. Az ellenőrnek dokumentálnia kell a végigjárás minden egyes lépésének elvégzésének időpontját és az érintett időszakot.
KOORDINÁCIÓ A KÜLSŐ KÖNYVVIZSGÁLÓVAL
Tekintettel általános ellenőrzési hasznosságukra és alapvető fontosságukra, a végigjárások potenciális metszéspontot jelentenek a belső és a külső ellenőrök munkája között. És bár az AS2 számos olyan területet határoz meg, ahol a külső könyvvizsgálók felhasználhatják a belső ellenőrök munkáját, a végigjárás nem tartozik ezek közé. A Sarbanes-Oxley által most megkövetelt belső kontrollok ellenőrzése során a külső könyvvizsgálóknak el kell végezniük saját végigjárásukat; nem támaszkodhatnak a belső ellenőrök által végzettekre. Az AS2 szerint ez a követelmény még olyan környezetben is érvényes, ahol a belső ellenőrzési funkció igen fejlett, és a belső ellenőrök egyértelműen képzettek és objektívek. Az ilyen környezetek azonban lehetőséget biztosítanak a két ellenőrző csoport közötti koordinációra. Bár a külső könyvvizsgálók nem használhatják a belső ellenőrzés által végzett végigjárásokat a sajátjuk helyettesítésére, elvárható, hogy figyelembe vegyék az ilyen munkát annak értékelésekor, hogy a belső ellenőrzési funkció milyen hatással lehet az AS2 megbízások során elvégzendő eljárások jellegére, időzítésére és mértékére. A két ellenőrzési csoport közötti folyamatos párbeszéd ezért fontosabbá vált, mint valaha.
EGY JÓL ISMERT ESZKÖZ ÚJRAFELFEDEZÉSE
Bár néhány ellenőr az AS2 végigjárási követelményét az erőfeszítések megkettőzésének tekintheti, a belső kontroll feladatokra vonatkozó külső könyvvizsgálati végigjárások előírásának bölcsessége egyértelmű. Amint azt a belső ellenőrök már régóta tudják, a saját kezűleg szerzett ismereteket nem lehet helyettesíteni. Az AS2 egy ismerős eszköz új szemszögből való megismerését kínálja. Az új standard kibocsátásával a PCAOB minden könyvvizsgálónak lehetőséget biztosított arra, hogy újra megismerkedjen ezzel a hatékony eljárással. Amint azt a standardot a javaslat formájában véleményezők közül sokan kifejtették, a végigjárás követelményét pozitív lépésnek kell tekinteni a könyvvizsgálói szakma számára, és egy nagyon szükséges "vissza az alapokhoz" fejlesztésnek.
RICHARD A. TURPEN, PHD, CPA, CISA, is associate professor in the Department of Accounting and Information Systems at the University of Alabama at Birmingham School of Business.
A cikk eredeti, angol nyelvű változata az Internal Auditor 2004. decemberi számában jelent meg.
Kiegészítés a Globális Belső Ellenőrzési Normák alapján:
"14.1 norma: Elemzés és értékelés céljából végzett információgyűjtés" szerint a walk-through jelentése: A folyamat közvetlen megfigyelése, más néven lépésről lépésre való áttekintés