معيار المراجعة المصري رقم 315 تفھم المنشأة وبیئتھا وتقييم مخاطر التحريف الھام .
تفھم المنشأة وبیئتھا وتقييم مخاطر التحريف الھام
ينبغى على المراقب تفهم المنشأة وبيئتها , بما فى ذلك نظام الرقابة الداخلية بدرجة كافية لتحديد وتقييم مخاطر التحريف الهام والمؤثر فى مراجعة القوائم المالية , سواء كان ذلك راجع إلى أعمال الغش والتدليس أم إلى الخطأ, وان يكون هذا التفهم كافياً إلى المدى الذي يستطيع معه المراقب القيام بتصميم والقيام بإجراءات مراجعة إضافية .
متطلبات تفھم المنشأة وبیئتھا وتقييم مخاطر التحريف الھام
- إجراءات تقييم الخطر ومصادر المعلومات عن المنشاة وعن بیئتھا ، بما في ذلك نظام الرقابة الداخلية فیھا .
- تفھم المنشأة وبیئتھا ، بما في ذلك نظام الرقابة الداخلية فیھا.
- تقييم مخاطر التحريف الھام والمؤثر.
- الاتصال مع المسئولين عن الحوكمة ومع الإدارة .
- التوثیق .
إجراءات تقييم الخطر
(أ) الاستفسار من الإدارة ومن الآخرين داخل المنشأة.
(ب) القيام بالإجراءات التحليلية.
(ج) القيام بأعمال الملاحظة والتفتيش .
(أ) الاستفسار
علي الرغم من أن أكثر المعلومات التي یحصل علیھا مراقب الحسابات عن طریق الاستفسار تكون من الإدارة ومن المسئولين عن إعداد التقارير المالية و من آخرین داخل المنشأة، مثل العاملین في الإنتاج وفي أعمال المراجعة الداخلية، والموظفين الآخرين من ذوي المستويات المختلفة للسلطة ، فإن ھذه المعلومات یمكن أن تكون مفيدة في إعطائه رؤیة مختلفة في تحديد مخاطر التحريف الھام والمؤثر .
(ب) الإجراءات التحلیلیة
یمكن أن تكون مفيدة في تحدید وجود معاملات أو أحداث غير عادية ومبالغ ونسب واتجاهات غیر عادیة والتي قد یستنبط منھا دلالات ذات تأثیر على القوائم المالیة وأعمال المراجعة.
- ملاحظة أنشطة وعمليات المنشأة.
- فحص المستندات ( مثل خطط واستراتیجیات النشاط ) والسجلات و دلیل أعمال الرقابة الداخلية.
- قراءة التقاریر المالیة التي أعدتھا الإدارة ( مثل تقاریر الإدارة الربع سنوية و القوائم المالية الدورية ) والمسئولون عن الحوكمة ( مثل محاضر اجتماعات مجلس الإدارة ) .
- زيارات إلى مواقع المنشأة.
- تتبع المعاملات من خلال نظام المعلومات ذو الصلة بعملية إعداد التقارير المالية ( الأعمال الروتینیة ) .
عندما ينوي المراقب استخدام المعلومات عن المنشأة وبيئتها التي حصل عليها فى فترات سابقة , فإنه يتوجب عليه تحديد ما إذا كان قد حدثت أية تغييرات يمكن أن تؤثر على مصداقية مثل هذه المعلومات بالنسبة لأعمال المراجعة الحالية.
المناقشة ما بین أعضاء فريق العمل
یتیح ھذا النقاش الفرصة لأعضاء فریق العمل الأكثر خبرة- بما في ذلك الشريك المسئول - للمشاركة بآرائھم المبنية على معلوماتھم عن المنشأة . وبالنسبة لأعضاء فريق العمل لتبادل المعلومات عن مخاطر النشاط التي تتعرض له المنشأة وعن كیفیته أين يمكن أن تتعرض القوائم المالیة للتحريف الھام والمؤثر.
تفھم المنشأة وبیئتھا بما في ذلك نظام الرقابة الداخلية فیھا
(أ) العوامل الصناعیة ، التنظیمیة ، والخارجية الأخرى بما في ذلك إطار إعداد التقارير المالية المطبق.(ب) طبیعة المنشأة بما في ذلك اختیار المنشأة وتطبیقھا للسياسات المحاسبية.
(ج) الأھداف و الاستراتیجیات وما يرتبط بھا من مخاطر النشاط والتي يمكن أن ينتج عنھا تحریف ھام ومؤثر للقوائم المالية.
(د) قياس وتقييم الأداء المالي للمنشأة.
(ھـ) الرقابة الداخلية .
(أ) العوامل الصناعیة
وتشمل ھذه العوامل ظروف الصناعة مثل(1) البيئة التنافسية و(2) العلاقات مع الموردين والعملاء و(3)التطورات التكنولوجية.و(4)البیئة التنظیمیة و(5)إطار إعداد التقارير المالية المطبق و(6)البیئة القانونیة و السیاسیة و(7)الاشتراطات البیئیة التي تؤثر على الصناعة وعلى المنشأة وكذلك العوامل الخارجية الأخرى مثل الظروف الاقتصادية العامة والمتطلبات الإضافية المرتبطة إطار العمل القانوني والتنظيمي المطبق في المنشأة وفي الصناعة (معيار المراجعة المصرى رقم (٢٥٠)).
(ب) طبیعة المنشأة
يجب على المراقب أن يتوصل إلى تفھم لطبیعة المنشأة. وتشير طبیعة المنشأة إلي عملیات المنشأة وملكیتھا وحوكمتھا وأنواع الاستثمارات التي تقوم بھا والخطط المزمع عملھا والطريقة التي یتم بھا ھیكله المنشأة و كیف یتم تمویلھا.
ويساعد فھم طبیعة المنشأة مراقب الحسابات من فھم فئات المعاملات وأرصدة الحسابات والافصاحات المتوقعة في القوائم المالیة .
(ج) الأھداف و الاستراتیجیات ومخاطر النشاط المرتبطة بھا
ينبغي على مراقب الحسابات أن يتوصل إلي تفھم لأھداف المنشأة وإستراتیجیتھا ومخاطر النشاط المرتبطة بھا والتي يمكن أن ينتج عنھا تحریف ھام ومؤثر في القوائم المالیة .
تعتبر مخاطر النشاط أوسع و أشمل من مخاطر التحريف الهام و المؤثر في القوائم المالية.
(د) قیاس وفحص الأداء المالى للمنشأة
یجب علي مراقب الحسابات أن یصل إلي تفھم لقیاس وفحص الأداء المالي للمنشأة . وتبين قياسات الأداء للمراقب جوانب أداء المنشأة التي تعتبرھا الإدارة والآخرين ذات أھمیة. وتنشئ قياسات الأداء سواء كانت خارجية أم داخلية ضغوطا علي المنشأة التي بدورھا یمكن أن تحفز الإدارة على اتخاذ إجراءات لتحسين أداء النشاط أو أن تحرف القوائم المالیة.
(ھـ) الرقابة الداخلية
الرقابة الداخلیة ھي العملیة المصممة والتي یتم تنفیذھا بواسطة المسئولين عن الحوكمة والإدارة والأفراد الآخرين وذلك لإعطاء درجة تأكد معقولة عن تحقیق أھداف المنشأة فیما یخص مصداقیة إعداد التقاریر المالیة و فعالیة وكفاءة العمليات والالتزام بالقوانين والنظم المطبقة.
يستتبع ذلك أن نظام الرقابة الداخلية يتم تصميمه وتنفيذه لمواجھة مخاطر النشاط المحددة التي تھدد تحقیق أي من ھذه الأھداف .
(أ) بيئة الرقابة.
(ب) عملیة تقییم المخاطر في المنشأة.
(ج) نظام المعلومات ويشمل عملیات النشاط المرتبطة بھ والمتعلقة بأعمال إعداد التقارير المالیة و نشرھا.
(د) أنشطة الرقابة.
(ھـ) متابعة أنظمة الرقابة .
عناصر الرقابة ذات الصلة بعملية المراجعة
- الحكم الشخصي للمراقب فیما یتعلق بالأھمیة النسبیة.
- حجم المنشأة.
- طبيعة نشاط المنشأة بما في ذلك خصائص تنظیمھا وملكیتھا.
- مدى تنوع وتعقيد عمليات المنشأة .
- المتطلبات القانونية والتنظیمیة المطبقة .
- طبیعة و تعقید النظم التي تمثل جزءاً من نظام الرقابة الداخلية في المنشأة ، بما في ذلك استخدام المنشآت الخدمية.
التفھم العمیق للرقابة الداخلية
يستدعى الحصول على تفھم للرقابة الداخلية تقييم مدى دقة تصميم كل عنصر من عناصر الرقابة وتحديد ما إذا كان قد تم تنفيذه أم لا. و یشمل ھذا التقییم دراسة ما إذا كانت ھذه العناصر سواء كانت منفردة أو مجتمعة مع عناصر رقابة أخرى قادرة على القیام بكفاءة بمنع أو اكتشاف وتصحيح التحريفات الھامة والمؤثرة .
إن الحصول على تفھم لأحد عناصر الرقابة لا يكفي ليكون اختباراً لفاعلية تشغیل عناصر الرقابة ما لم يكن ھناك شيء من الميكنة التي توفر التطبيق المستمر لعمل عنصر الرقابة. وعلى سبيل المثال فإن الحصول على أدلة مراجعة عن تنفیذ عناصر الرقابة التي تعمل یدویا في وقت من الأوقات لا تعطي أي أدلة مراجعة عن مدى الفعالية التشغيلية لعناصر الرقابة في أوقات أخرى أثناء الفترة محل المراجعة .
مزايا تكنولوجيا المعلومات
* أن تطبق بثبات قواعد محددة مسبقا للأنشطة وتؤدي حسابات معقدة في شكل تشغیل عدد كبیر من المعاملات أو البیانات .
* تحسين إمكانية توفیر ودقة وسلامة توقیت المعلومات .
* تسھیل التحلیل الإضافي للمعلومات .
* تسھیل القدرة على متابعة أداء أنشطة المنشأة وسیاساتھا وإجراءاتھا .
* تقليل خطر اختراق عناصر الرقابة .
* تعزز من القدرة على تحقیق توزیع فعال للاختصاصات، وذلك بتنفيذ عناصر الرقابة الآمنة في التطبيقات وقواعد البيانات ونظم المعلومات .
مخاطر تكنولوجيا المعلومات
* الاعتماد على نظم أو برامج تعالج البیانات بطریقة غیر دقیقة ، أو تعالج بیانات غیر دقیقة ، أو الاثنین معاً .
* الوصول غير المصرح بھ للبیانات والذي يمكن أن ینتج عنه تدمیر للبیانات أو تغییرات غیر مناسبة علیھا، ویشمل ذلك تسجیل معاملات غير مصرح بھا أو غیر موجودة ، أو تسجیل غیر دقیق لمعاملات. كما تنشأ مخاطر عندما يتاح لأكثر من مستخدم الوصول إلى قاعدة مشتركة للبیانات .
* احتمال حصول الأفراد العاملين في مجال تكنولوجيا المعلومات على مزايا الوصول تزید عن تلك المزايا الضرورية لأداء الواجبات الموكلة لھم مما یؤدى إلى خرق توزیع الاختصاصات .
* التغييرات غير المصرح بها للبيانات في الملفات الرئیسیة .
* التغييرات غير المصرح بھا في النظم والبرامج .
* الفشل في عمل التغییرات الضروریة للنظم أو للبرامج .
* التدخل اليدوي غیر المناسب.
* احتمال فقدان البيانات أو عدم القدرة علي الوصول إلي البیانات كما ھو مطلوب .
- معاملات عالیة القیمة و غیر عادیة أو غیر متكررة .
- الظروف التي یكون من الصعب فیھا تحدید الخطأ أو تقديره ، أو التنبؤ به.
- في الظروف المتغيرة والتي تتطلب استجابة رقابية خارج نطاق عناصر الرقابة الآلية الموجودة .
- عند متابعة مدى فعالية عناصر الرقابة الآلية .
محددات الرقابة الداخلية
(١) الحكم الشخصى یمكن أن یخطئ فى صنع القرار.
(٢) القصور في الطبیعة البشرية ويتمثل فى السھو أو الأخطاء البسیطة.
(٣) وجود قصور فى فھم العاملین في نظام معلومات المنشأة.
(٤) تواطؤ أثنين أو أكثر من العاملین بالمنشأة.
(٥) تجاوز الإدارة غير المناسب لنظام الرقابة الداخلية .
(٦) التكلفة و العائد.
بيئة الرقابة
تقع المسؤولية الأساسية لمنع واكتشاف أعمال الغش والخطأ على عاتق المسئولين عن الحوكمة والإدارة في المنشأة و ذلك بتقييم تصميم بيئة الرقابة وتحديد ما إذا كان يتم تنفيذھا أم لا, الا أنه يجب على المراقب أن يتفھم كيف قامت والإدارة بتوفير بيئة آمنة وسلوك أخلاقي والحفاظ عليھا، وقامت بوضع عناصر رقابة مناسبة لمنع واكتشاف أعمال الغش والخطأ داخل المنشأة
عند تقييم تصمیم بیئة الرقابة فى المنشأة ، یدرس المراقب العناصر التالية :
(أ) غرس وتطبیق النزاھة و القیم الأخلاقیة .
(ب) الالتزام بالكفاءة .
(ج) مساھمة المسئولين عن الحوكمة.
(د) فلسفة الإدارة و أسلوب التشغیل.
(ھـ) الهيكل التنظيمى.
(و) توزیع السلطة و المسئولية .
(ى) سياسات وممارسات الموارد البشریة.
إجراءات تقييم الخطر فى المنشأة
يستفسر المراقب عن مخاطر النشاط التي حددتھا الإدارة ودراسة ما إذا كان سينتج عنھا تحریف ھام ومؤثر، وأثناء عملية المراجعة، یمكن أن یحدد المراقب مخاطر التحريف الھام والمؤثر الذي فشلت الإدارة في تحدیدھا. وفي مثل ھذه الحالات ، یضع المراقب في اعتباره ما إذا كان ھناك خطر ضمني من النوع الذي كان يجب تحديده بواسطة إجراءات الإدارة لتقییم الخطر في المنشأة، وأسباب فشل إجراءات التقییم في تحدیده، وتحديد مدى مناسبة الإجراءات لإنجاز مھمة التقییم .نظام المعلومات
يجب على المراقب الوصول إلي تفھم لنظام المعلومات، ويتضمن ذلك المجالات التالية:
- فئات المعاملات في عمليات المنشأة ذات الأھمیة للقوائم المالیة.
- الإجراءات التي تتم داخل كل من نظم تكنولوجيا المعلومات والنظم الیدویة و التى عن طریقھا یتم بدء، وتسجيل، ومعالجة، وعرض المعاملات في القوائم المالیة.
- السجلات المحاسبية ذات الصلة، سواء كانت إلكترونية أو یدویة، والمعلومات المساندة والحسابات المحددة في القوائم المالیة، فیما یخص بدء، وتسجیل، ومعالجة وعرض المعاملات.
- كیفیة جمع نظام المعلومات للأحداث والحالات – بخلاف فئات المعاملات - والتي تكون ذات أھمیة للقوائم المالیة.
-عملية إعداد التقارير المالية المستخدمة لإعداد القوائم المالية للمنشأة، بما في ذلك التقديرات المحاسبية الھامة والافصاحات.
يشمل نظام المعلومات فى المنشأة قيود اليومية النمطية و قيود يومية غير النمطية وذلك لتسجيل معاملات أو تسويات غير متكررة أو غير عادية .
الأنشطة الرقابية المحددة* سلطة الاعتماد .
* فحص الأداء .
* تشغیل المعلومات .
* عناصر الرقابة المادیة .
* فصل الاختصاصات .
تتمثل عناصر الرقابة الھامة لتكنولوجيا المعلومات فى ما يلى :
* مركز البیانات و تشغيل شبكة الاتصالات .
* اقتناء برمجیات النظام، والتغییر فیھا، وصیانتھا .
* أمن الوصول إلى النظام .
* اقتناء تطبيقات النظام وتطويره وصيانته .
تقييم مخاطر التحريف الھام والمؤثر
* تحديد المخاطر طوال عملیة تفھم المنشأة وبیئتھا، بما في ذلك عناصر الرقابة ذات الصلة التي ترتبط بالمخاطر، وبدراسة فئات المعاملات، وأرصدة الحسابات والافصاحات في القوائم المالیة.* ربط المخاطر المحددة بما يمكن أن يحدث من خطأ على مستوى التأكيد .
* دراسة ما إذا كانت المخاطر قوية للحد الذي قد ينتج عنھ تحریف ھام ومؤثر في القوائم المالیة .
* دراسة احتمال أن ينشأ عن المخاطر تحریف ھام ومؤثر في القوائم المالیة .
المخاطر الھامة التي تتطلب اعتبارات مراجعة خاصة
أن تحديد المخاطر الجوهرية هي أمور تعود إلى الحكم المهني للمراقب و عند ممارسة هذا الحكم , فأن المراقب يستثني تأثير الضوابط التي تم التعرف عليها والمرتبطة بالخطر وذلك لتحديد ما إذا كانت طبيعة الخطر والحجم المتوقع للتحريف المحتمل بما فى ذلك إمكانية أن يتيح الخطر الفرصة لنشوء تحريفات متعددة ومما يستدعى إعتبارات مراجعة خاصة .
وعند الأخد الاعتبار طبيعة المخاطر , يدرس المراقب عدداً من الموضوعات التى تشمل الأمور التالية :
- ما إذا كان ھذا الخطر ھو خطر غش وتدليس .
- ما إذا كان الخطر مرتبطا بأیة تطورات اقتصادیة أو محاسبية أو أية تطورات أخرى ھامة، وبالتالي فانھ یتطلب اھتماما خاصاً .
- مدى تعقد المعاملات .
- ما إذا كان الخطر یشمل معاملات ھامة مع الأطراف ذوى العلاقة .
- درجة عدم الموضوعية في قیاس المعلومات المالیة المرتبطة بالخطر، وبصفة خاصة تلك التي تشمل مجالاً واسعاً من قیاسات عدم التأكد.
- ما إذا كان الخطر یشمل معاملات ھامة تكون خارج المسار الطبيعي لنشاط المنشأة، أو تلك التي تبدو غير عادية .
- تدخل الإدارة بدرجة كبيرة لتحدید المعالجة المحاسبية.
- التدخل اليدوي الكبیر لتجميع ومعالجة البيانات.
- الحسابات أو المبادئ المحاسبية المعقدة.
- طبیعة المعاملات غیر الروتینیة والتي قد تجعل من الصعب على المنشأة تنفیذ عناصر رقابة فعالة على المخاطر.
* التباین في تفسيرات المبادئ المحاسبية المتعلقة بالتقديرات المحاسبية أو الاعتراف بالإيراد.
* قد تتسم الأحكام الشخصية المطلوبة بعدم الموضوعية، أو تكون معقدة أو تتطلب افتراضات عن تأثيرات الأحداث المستقبلیة، مثل الأحكام الخاصة بالقيمة العادلة.
المخاطر التي لا تستطیع إجراءات التحقق بمفردھا توفیر أدلة مراجعة كافیةً ومناسبة لھا
ھى التي طبقا لحكم المراقب المھنى لا یكون من الممكن أو الواقعي تخفیض مخاطر التحريف الھام والمؤثر على مستوى التأكيد إلى مستوى منخفض مقبول مع أدلة مراجعة تم الحصول علیھا فقط من إجراءات التحقق.
الاتصال بالمسئولين عن الحوكمة والإدارة
على المراقب سرعة إبلاغ المسئولين عن الحوكمة والإدارة، وعلى المستوى الوظيفي المناسب من المسؤولیة، بنقاط الضعف الھامة والمؤثرة في تصمیم أو تنفيذ نظام الرقابة الداخلية، التي قد یكتشفھا المراقب .التوثیق
على المراقب توثيق الأمور التالية:(أ) المناقشات التى تتم بين أعضاء فريق العمل .
(ب) العناصر الرئیسیة لمدى التفھم الذي تم الحصول علیھ فیما یخص كل جانب من جوانب المنشأة وبیئتھا، بما في ذلك كل من عناصر على ھذا التفھم، وكذلك إجراءات تقييم الخطر. الرقابة الداخلية وذلك من أجل تقييم مخاطر التحريف الھام والمؤثر في القوائم المالية، وتقييم مصادر المعلومات التي تم الحصول منھا
(ج) مخاطر التحريف الھام والمؤثر التي تم تحدیدھا على مستوى القوائم المالیة وعلى مستوى التأكد.
(د) المخاطر المحددة وعناصر الرقابة ذات الصلة التي تم تقییمھا.