یك روش جدید كه توسط توماس بایر گردآوری شده است .
حریفان در بازی شطرنج هر كسی زمین بازی (كه در این مورد ، كار تجاری ) از نقطه نظر خاص خودش می بیند .
در حسابرسی بر مبنای خطر ، حسابرسان در همان طرف میز كه مشتری می ایستد ، آن ها نیز می ایستند . اكنون مشتری یك نفر را با خود دارد چون دید آن ها به كار تجاری یكسان است .
محدودیت های روش قدیمی :
اكنون بیایید با هم موارد مخصوص مربوط به ساختار كار تجاری را بدست آوریم . در حسابرسی قدیمی ، حسابرسان واقعاً تمام تصمیمات حسابرسی شان را بر مبنای جنبه مادی اتخاذ می كردند ، كه آن در صد (یا كسری از درصد ) كار پیمانكار می باشد . كنترل های داخلی كه توسط پیمانكار صورت می گرفت برای اهداف حسابرسی كه بیمار سودمند بودند به طور گسترده مورد ارزیابی قرار نمی گرفتند ، چون توجه فقط بر روی تغییر ارقام و اعدادی بود كه در صورت حساب های مالی گزارش می شدند . و در پایان حسابرسی چیزی را كه قبلا پیمانكار می دانست تغییر می داد كه آن این بود كه شركت بر روی بعضی شغل سرمایه
گذاری كند و همچنین بعضی از شغل ها را رها كند . پس پیمانكار یك صورت حساب و جریان كاری بدست می آورد كه خودش را دوباره سال بعد تكرار می كرد .
در بعضی موقعیت ها این تنها روشی است كه حسابرسان می توانند بر عهده بگیرند به خاطر كنترل ضعیف محیط كه در شركت ارائه می شود به طور كلی زمانی كه كنترلهای ضعیف داخلی وجود دارد . به این خاطر است كه مدیریت تصمیم هوشیارانه ای اتخاذ كرده كه كنترلهای داخلی به اندازه عوامل دیگر كار
تجاری مهم نیستند . به هر حال كنترل ضعیف محیط به خودی خود یك خطر آشكاری دست و چیزی است كه باید مورد توجه مدیریت قرار داد (اهمیت آن را به یاد مدیریت آورد) در حالی كه روش قدیمی حسابرسی فقط در محیط هایی با كنترل ضعیف كار می كرد ، حسابرسی بر مبنای خطر این ضعف ها را تشخیص می داد تا این كه مدیریت بتواند گام های شایسته ای بردارد تا كنترل های داخلی را قوت ببخشد .
فایده های روش بر مبنای خطر
در حالی كه در حسابرسی بر مبنای خطر به اعداد و ارقام توجه می شود ، اما به هر حال آن همچنین درك فعالیت های تجاری نیز توجه دارد چون اعداد و ارقام از این فعالیت ها گرفته شده اند . آن شامل تسلط بر روی پرسنل اصلی می شود و بفهمیم چگونه آن ها فكر می كنند و در تصمیماتشان از چه اطلاعاتی استفاده می كنند . در اینجا مواردی ذكر شده كه اساساً در حسابرسی بر مبنای خطر مورد توجه قرار می گیرد .
این ساختار تجاری مخصوص چگونه است كه او را در رقابت مجزا كرده است و موقعیت حساس رقابتی اش چیست ؟
از لحاظ استراتژیكی اهداف بلند مدت و كوتاه مدت پیمانكار چه هستند ؟
موانع بلند مدت و كوتاه مدت (مانند كمبودهای مواد و كار ) چه هستند كه شركت برای رسیدن به اهدافش باید بر آن ها غلبه كند و چگونه شركت این كار را طراحی می كند ؟
مشكلات روزمره مربوط به كار كه مدیریت ارشد با آن ها مواجه می شود چه هستند ؟
چگونه آیا مدیریت ضعف های مربوط به كار را مورد توجه قرار می دهد .
چه كنترل های عملی در محیط كار صورت می گیرد تا مطمئن شویم كه قراردادهای اجرا شده اند و كار مطابق با روشها و خط مشی های داخلی اش صورت گرفته است ؟
چه كنترل های داخلی در محیط كار صورت می گیرد تا مطمئن شویم كه كار مربوط به گزارشات و حساب های مالی بدون اشتباه و فریبكاری صورت می گیرد ؟
چگونه آیا مدیریت باید از درستی اطلاعات مالی كه در اتخاذ تصمیمات مهمش از آن ها استفاه می كند مطمئن شود ؟
از لحاظ تاریخی ، چه افرادی در شركت بی تجربه هستند و یا سطح كمتری از كار را نسبت به افراد قبل انجام داده اند ؟
به عبارت دیگر در حسابرسی بر مبنای خطر ، بر حسابرس واجب است كه تمام ویژگی های آن خاص ساختار تجاری كه قرار است مورد حسابرسی قرار دهد ، بفهمد .
مراحلی كه باید در یك حسابرسی بر مبنای خطر طی شود :
در مورد این سطح جدید خدمات حسابرسی به روش جدیدی از آمادگی و هدایت خود حسابرسی نیاز است .
زمانی كه روش حسابرسی بر مبنای خطر پذیرفته می شود ما نیز بیشتر خودمان را برای بررسی مقدماتی و طراحی آماده می كنیم . ما زمان بیشتر را صرف می كنیم تا كنترلهای عملی شركت را بفهمیم ،كنترلهای داخلی چون آن ها مربوط به كارگزارشات مالی هستند از نقطه نظر حسابرس ، این كار مقدماتی بسیار با ارزش است . چون ما واقعاً در این زمان وارد جریان كار می شویم و جواب اغلب سوالاتی كه قبلا پرسیده ایم را می دانیم .
در اینجا سه مرحله اصلی حسابرسی بر مبنای خطر ذكر شده است .
مرحله اول : سوال از تمام كاركنان اصلی
در صورت امكان حسابرسی با رئیس / LEO/ یا مالك شركت صحبت می كند آن فردی است كه می تواند درباره خطرات و اهداف بلند مدت و كوتاه مدت شركت صحبت كند . پس ما می خواهیم بدانیم (حسابرس)
بزرگترین خطری كه شركت سال بعد با آن مواجه می شود چیست ؟ و در مورد خطر ۵ سال بعد چه چیز ؟
آیا طرحهایی برای از بین بردن یا رفع آن خطرات وجود دارد ؟
با چه مشكلاتی كار تجاری امسال مواجه شده است ؟
آیا نگرانی های مخصوصی وجود دارد كه ما باید از آن ها مطلع شویم بخصوص زمانی كه كار حسابرسی انجام می دهیم ؟
و چیزی كه ما انتظار داریم در اعداد و ارقام ببینیم ؟
بعلاوه ما مواردی را كه در حسابرسی سال قبل بیان شده نیز دنبال می كنیم . پس ما به سوی سطوح پایین تر مدیریت می رویم و با مدیریت های سطوح پایین تر نیز صحبت می كنیم و كارمان را با CFO شروع می كنیم . و از او سوالات مشابه سوالات مدیریت ارشد می پرسیم كه به حوزه مسئولیت او مربوط است . همچنین سودمند است كه در این مرحله با نمایندگی انبار و كسانی كه از كار حمایت می كنند نیز صحبت كنیم . حتی وكیل مشتری نیز می تواند اطلاعات سودمندی را در مرحله طراحی در اختیار ما بگذارد .
از نقطه نظر حسابرس ، این فرایند كار اولیه در كوتاه كردن و خلاصه كردن روش های حسابرسی كمك زیادی خواهد كرد . در این مرحله ، ما انتظارات حسابرسی را توسعه می دهیم و به صورت امیدوارانه ، مدارك و شواهد مورد تایید حسابرسی را بدست می آوریم كه در زمان كار حسابرسی واقعی از آن ها استفاده كنیم . ما همچنین می فهمیم چه چیز در شركت جدید است و ارزیابی می كنیم چگونه ما می توانیم برای مشتری مان با ارزش تر باشیم .
مرحله دوم : مستند كردن كنترلها (سند كردن كنترلها )
بعد از اینكه كنترلهای مربوط به عملكرد و كنترلهای داخلی به صورت جزئی وجودشان اثبات شد ، برای ساختار شركت ، كنترل ها در سایت شغل و گردش اطلاعات از سایت شغل به اداره و بر عكس می تواند به مهمی كنترل های داخلی در اداره باشد . در این مرحله در جریان كار ، ما حسابرسان به گونه ای یكنواخت می رسیدم چرا ؟ به عنوان مثال چرا این سیاست در اینجا اعمال می شود .
چرا آیا نظارت و سرپرستی همان زمان های مشخص كه كار باید صورت بگیرد همانند موارد دیگر حفظ نمی كند ؟ چه خطری را آیا مدیر ندانسته پذیرفته و چرا ؟
تمام این سئوالات ممكنه از نظر مدیریت بسیار دردناك باشند . چون هیچ كس دوست ندارد درباره سیاست هایش ، روش ها و كنترلهای داخلی اش صحبت كند .
به هر حال ، كنترلهای داخلی فقط به این مطلب محدود نمی شود كه مطمئن شویم شركت به اندازه كافی وظایفش را در بخش حسابداری تفكیك كرده است . كنترل های دیگری نیز وجود دارد كه خارج از حوزه حسابداری صورت می گیرد كه همچنین باید ارزیابی شود . برای اینكه به گونه ای شایسته یك حسابرسی بر مبنای خطر را هدایت كنیم ما باید روش آن استاندارد كار تجارت را بفهمیم كه با پرسیدن سوالات سخت ، ضعفهای آن مهم نیز مشخص می شوند . بعضی از سوالاتی را كه یك حسابرس ممكنه بپرسد عبارتند از :
چه نوع كنترل ها یا توجهات در شركت برای فرایند تخمینات (براورد ها ) اعمال می شود .
آیا شركت از سودها بر روی قرارداد T,M با آماده نكردن مطالبات اجاره ای تجهیزات صرف نظر می كند ؟
چگونه آیا مدیریت مطمئن می شود كه مطالبات مربوط به تجهیزات نسبتا روشن برای شغل ها جمع آوری شده اند جایی كه تجهیزات استفاده شده اند ؟
آیا برآورد كننده ها (تخمین زنندگان) پیشنهاد قیمتی برای خرید كالا را بدون بازنگری مهم از اینكه تا حدودی قیمت را كاهش دهند ارائه می دهد ؟
این نوع سوالات و جواب ها كه دریافت می شوند برای موفقیت حسابرسی بر مبنای خطر ، قطعی هستند .
سودهای ساخت CFMA سپتامبر / اكتبر ۲۰۰۲
مرحله سوم : تحلیل و بررسی اطلاعات :
در شكل سوم حسابرسی بر مبنای خطر ، اطلاعات مالی بازنگری تحلیلی اولیه را طی می كنند و روشهای حسابرسی توسعه می یابند . هدف در اینجا این است كه حسابرسی زیادی را تاحد امكان كه از یك روش تحلیلی استفاده نموده انجام دهد . به جای اینكه جزئیات را مورد تست و آزمایش قرار دهد . اگر ما همانند حسابرسان شما معتقد باشیم كه كنترلهای داخلی به گونه ای مفید عمل می كنند ، ممكنه كنترل را مورد تست قرار دهیم و تست های جزئی تر دیگر را كم كنیم . اگر خطرات و كنترلها به اندازه كافی مشخص شوند و ارزیابی شوند ، ما می توانیم پس روشهای تحلیل مان را بر مبنای انتظاراتی درباره اینكه چه چیزهایی باید اطلاعات مالی نشان دهد را گسترش دهیم .
چون ما قبلا سوالاتی را مطرح كرده ایم و اطلاعاتی را از سطوح مختلف مدیریتی جمع آوری كرده ایم ، پس ما می توانیم روش های تحلیلی مان را بر روی این اطلاعات قرار دهیم . اگر اعداد و ارقام انتظارات ما را برآورده نمی كنند ، پس ما متعهدیم روشهای بیشتری را انجام دهیم . به عنوان مثال ، برنامه شغلی برای پیمانكاران استاندارد یك سری اطلاعات كلیدی است و كسی است كه ما قبلا در حسابرسی برای تحلیل خطر نیاز داشتیم .
در حقیقت ما ممكنه این اطلاعات را قبل از انجام مراحل ۱و۲ بالا در مقابل مان داشته باشیم . موضوع این نیست كه تخلیل ما از خطر در مراحل مقدماتی حسابرسی چه نشان می دهد برآوردهای مدیریت (كه دربرنامه شغلی هستند ) همیشه نقطه مركزی هستند زماهنی كه ما درباره خطر صحبت می كنیم . بنابراین برنامه شغلی به گونه ای مجزا مورد تحلیل و بررسی قرار می گیرد تا مشخص كند كدام شغل ها خطر بیشتری را ارائه می دهند . در زیر تعدادی از عوامل ذكر شده اند كه در اتخاذ تصمیمات استفاده می شوند .
درصد اطلاعات تكمیل شده در تراز نامه
اندازه قرارداد
نوع قرار داد
تجربه پیمانكار در نوع قرار داد
كارمندان اصلی در قرار داد (سرپرست ، مدیر ، پروژه)
ناخالصی سود برآورده شده
میزان هزینه های كار در قرار داد
وجود شروطی در قرار داد مانند مجازات هایی برای تاخیر تكمیل كار
وجود مصرف زیاد زمان یا هزینه بیش از میزان انتظار داشته یا مشكلات دیگری با توجه به پرسش آن دیگر ذكر شد .
روشهای تحلیلها معمولا به ما اجازه می دهند كه زمان اختصاص یافته به تست ها درباره جزئیات را به حداقل برسانیم . زمانی كه روشهای آن تحلیلی مدرك حسابرسی با ارزش تری نسبت به روشهای حسابرسی دیگر در اختیار ما می گذارند پس ما نه فقط موثرتر نیستم بلكه ما همچنین كار آمد تر نیز هستیم . حسابرسی بر مبنای خطر به درستی مثالی از موقعیت موفقیت آمیز چیزی است كه احتمالا چنین مطلبی را شما درباره حسابرسی قدیمی نشنیده اید .
نتایج :
اگر حسابرسی بر مبنای خطر بدرستی انجام شود به هر كسی اجازه می دهد كه تا انتهای فرآیند كار جلو برود و درباره چیزی كه انجام شده نیز احساس خوبی داشته باشد . حسابرسان احساس می كنند خدماتی با ارزش واقعی برای مشتری فراهم كرده اند مشتریان نیز احساس می كنند كه آن ها اطلاعات با ارزش دریافت كرده اند كه آن ها می توانند استفاه كنند تا شركت هایشان را قدرتمند سازند ، بالاخره من اعتقاد دارم كه حسابرسی بر مبنای خطر می تواند كل فرآیند حسابرسی را تغییر داده و به یك تجربه پاداشی برای تمام قسمت ها تبدیل كند .
مطالبی درباره نویسنده :
توماس بایر مدیر اسیكیچ است و در زمینه ساختار حسابداری سالها تجربه دارد .
Risk-Based
Auditing:
A New
Approach
opponents in a chess match, each seeing the playing field (in this case, the business) from his or her particular point of view.
In a risk-based audit, the auditor sits on the same side of the desk as the client. Now the client has a partner, an ally, since both are viewing the business from the same perspective.
The Limitations of the Traditional Approach
Now, let’s get specific about the business of construction. In a traditional audit, auditors typically make all of their audit decisions on the basis of materiality, which is a percentage (or a fraction of a percentage) of a contractor’s volume. The inter¬nal controls established by the contractor are not extensively evaluated for audit-efficiency purposes because the focus is on verifying the numbers presented in the financial state¬ments. In the end, the auditor verifies what the contractor already knows – the company made money on some jobs and lost some on others. Then, the contractor gets a bill and the process repeats itself again next year.
In some situations, this is the only approach auditors can take because of the weak control environment present in the com¬pany. Generally, when weak internal controls exist, manage-ment has made a conscious decision that internal controls are not as important as other aspects of the business. However, a weak control environment is a glaring risk in and of itself, and is something which should be brought to the attention of man¬agement. While the traditional audit approach works within a weak control environment, a risk-based audit identifies these weaknesses so that management can take the proper steps to strengthen internal controls.
September/October 2006
The Advantages of the Risk-Based Approach
While a risk-based audit focuses on the numbers, it also focus¬es on understanding the business activity that drives those numbers. It involves “getting into the heads” of key person¬nel and understanding how they think and what information they use to make their decisions. Here are some of the issues typically addressed in a risk-based audit:
. • How is this particular construction business distinguished from its competition – what is its competitive edge?
. • Strategically, what are the contractor’s short-
and long-term goals?
. • What are the short- and long-term obstacles (such as labor or material shortages) the com¬pany must overcome to reach its goals, and how does it plan to do so?
. • What are the day-to-day operational problems encountered by key management?
. • How has management addressed any opera
¬tional weaknesses?
. • What operational controls are in place to
ensure that contracts are being executed, and
that work is being performed in accordance
with internal policies and procedures?
. • What internal controls are in place to ensure
that the financial accounting and reporting
function is without error or fraud?
. • How does management ensure the accuracy of the financial information used to make impor¬tant decisions?
. • Historically, what personnel within the company are inexperienced or have performed at a lower level than their peers?
In other words, in a risk-based audit, it is incumbent upon the auditor to understand all the particulars of the construction business being audited.
The Steps in a Risk-Based Audit
Providing this new level of service requires new ways of preparing for and conducting the audit itself. When adopting the risk-based audit approach, we auditors find ourselves doing more up-front planning and preliminary analysis. We spend more time understanding the company’s operational controls, as well as the internal controls as they relate to the financial reporting function. From an auditor’s standpoint, this preliminary work is very rewarding; by the time we actu¬ally get into the fieldwork, we often know the answers to many of these questions before we ask.
Here are the three basic steps of a risk-based audit:
Step 1: Question All Key Players
As soon as possible, the auditor sits down with the President/CEO/owner – the person who can talk about the short- and long-term risks and goals for the company. We want to know:
. • What is the biggest risk facing the company in the next year? The next 5 years?
. • Are there plans to mitigate those risks?
. • What problems has the business encountered this year?
. • Are there any specific concerns which we should be aware of as we conduct this audit?
. • What should we expect to see in the numbers?
In addition, we follow up on issues from the prior year’s audit. Then, we go down the line, talking to key members of management, starting with the CFO, asking similar questions relating to their area of responsibility. It can also be helpful at this stage to talk with the bonding agent and other profes¬sional support providers. Even the client’s attorney can pro¬vide useful information in the planning stage.
From an auditor’s standpoint, this initial process helps in for¬mulating the audit procedures. At this stage, we are develop¬ing audit expectations and, hopefully, getting corroborating audit evidence to use when performing the actual audit. We’re also learning what’s new in the company and assessing how we can be of the most value to our client.
Step 2: Document the Controls
Next, the contractor’s internal and operational controls are documented in detail. For a construction company, the con¬trols at the jobsite and the flow of information from the job-site to the office (and vice versa) can be as important as the internal controls within the office. At this stage in the pro¬cess, we auditors are constantly asking, “Why?” Why is this policy in place? Why is that superintendent not held to the same deadlines as the others? What risk has management un¬knowingly accepted and why?
All of this questioning may seem very painful from manage-ment’s perspective. No one likes to talk about policies, pro¬cedures, and internal controls. However, internal controls aren’t limited to ensuring that the company has adequately segregated the duties in the accounting department; there are other controls occurring well outside the accounting area that must also be evaluated. In order to properly conduct a risk-based audit, we must have a thorough understanding of the standard operating procedures of the business. By asking the hard questions, significant weaknesses can be identified. Some of the questions an auditor might ask include:
. • What kind of monitoring or oversight is in
place for the estimating process?
. • Do estimators submit bids without a second
review of their take-offs?
. • How does management ensure that equipment charges are fairly allocated to the jobs where the equipment is being used?
. • Is the company relinquishing profits on a
T&M or cost-plus contract by not providing
for equipment rental charges?
These types of questions, and the answers received, are criti¬cal to the success of the risk-based audit.
CFMA Building Profits • September/October 2006
Step 3: Analyze the Information
In the third phase of a risk-based audit, the financial infor¬mation undergoes an initial analytical review, and audit procedures are developed. The goal here is to perform as much of the audit as possible using an analytical approach, instead of tests of details. If we, as your auditors, believe that internal controls are operating effectively, we may do a test of controls and limit some other detail tests. If risks and controls have been adequately identified and evaluated, we can then develop our analytical procedures based on expectations about what the financial information should indicate.
Because we have already made inquiries and accumulated information from the key members of management, we can base our analytical procedures on this information. If the numbers don’t meet our expectations, we would then have an obligation to perform further procedures.
As an example, the job schedule for standard contractors is a key piece of information and one that we need early in the audit for risk analysis. In fact, we may have this information in front of us before we do Steps 1 and 2 above. No matter what our analysis of risk in the preliminary stages of the audit reveals, estimates of management (which are in the job schedule) always become the focal point when we talk about risk. So, the job schedule is analyzed separately to determine which jobs represent the most risk. The following are some of the factors used in making these decisions:
. • Percent complete at balance sheet date
. • Size of contract
. • Type of contract (fixed-price, T&M, cost-plus)
. • Experience of contractor in type of contract
. • Key personnel on contract (superintendent, pro¬ject manager)
. • Estimated profit margin
. • Amount of labor costs in contract
. • Presence of contract stipulations, such as penal¬ties for late completion
. • Presence of overruns or other problems noted
from other inquiries
Our analytical procedures usually allow us to reduce the more time-consuming detail tests to a minimum. Since analytical procedures provide more valuable audit evidence than many other audit procedures, we are not only being more effective, we are also being more efficient. The risk-based audit is truly an example of a win-win situation – something you’re not likely to hear being said about a traditional audit!
Conclusion
A properly performed risk-based audit allows everyone to walk away at the end of the process feeling good about what was accomplished. The auditors feel they have provided a ser¬vice of real value to the client. The clients feel (and rightly so) that they have received valuable information they can use to strengthen their companies. Ultimately, I believe that risk-based auditing can transform the entire audit process into a rewarding experience for all parties.
Thomas E. Bayer, CPA, is a Manager for Sikich, Gardner & Co., LLP in Spring¬field, Illinois (e-mail: tomb@sikich gardner.com or phone: 217-793-3363). Tom has seven years of expe¬rience in construction accounting.
He holds a BS from Eastern Illinois University and obtained his CPA in2006. Tom has also been published in the “CICPAC Quarterly Newsletter” and the Journal of Construction Accounting and Taxation.
Builders Association.
حسابداری