Conform ISSAI 131514 ”Identificarea și evaluarea riscurilor unei erori semnificative prin înțelegerea entității și a mediului său”, se precizează că: ”Auditorul trebuie să obțină înțelegerea controlului intern relevant pentru activitatea de audit. Măsura în care un control, individual sau în combinație cu altele, este relevant pentru acțiunea de audit, depinde de raționamentul profesional al auditorului”.
Elemente esențiale care trebuie avute în vedere de auditorii publici externi atunci când obțin o înțelegere a entității și a mediului său sunt legea de înființare, reglementările sau alte cerințe legislative care pot afecta operațiunile economice ale entității.
Exemple de aspecte care trebuie luate în considerare la obținerea înțelegerii naturii entității includ:
* activități precum:
- natura surselor de venit, a produselor sau a serviciilor;
- modul de derulare a operațiunilor (activități expuse riscului de mediu);
- activități externalizate (contracte de audit intern);
- activități de cercetare și dezvoltare și cheltuieli aferente,
* investiții și activități investiționale:
- achiziții planificate sau efectuate recent;
- investiții, cesionări de titluri și valori și împrumuturi;
- activități de investiții de capital;
* finanțare și activități:
- structura datoriilor și termenii împrumuturilor, contracte de leasing;
- uzufructuari (cei care pot utiliza bunuri care se află în proprietatea altuia);
* modificări semnificative suferite de entitate în perioade recente/anterioare.
După înțelegerea activității desfășurate de entitate, auditorul trebuie să cunoască și să înțeleagă suficient de bine controlul managerial intern al entității din următoarele considerente:
- pentru a se convinge că a obținut probe suficiente și temeinice;
- pentru a identifica tipurile de erori și fraude potențiale care ar putea influența situațiile financiare și pentru a evalua riscurile apariției acestora;
- pentru a estima/evalua riscul de control;
- pentru a concepe teste de audit eficace pentru informațiile din situațiile financiare.
Acest lucru presupune înțelegerea de către auditor a mediului de control, a procedurilor de evaluare a riscurilor implementate de entitate, a sistemului de informare și comunicare (inclusiv contabilă) și a metodelor de monitorizare și evaluare a sistemului de control intern.
De asemenea, pentru o bună înțelegere a controlului intern, auditorul trebuie însă să analizeze, pentru fiecare din cele cinci componente ale controlului intern (model COSO):
(1) modul în care mecanismele de control au fost concepute (proiectate);
(2) dacă aceste mecanisme au fost puse în aplicare (utilizate).
Pentru analizarea conceperii și implementării mecanismelor de control intern managerial se pot folosi următoarele proceduri:
Actualizarea și utilizarea experienței anterioare la entitatea în cauză
Cu excepția auditurilor inițiale, auditorul începe auditul raportându-se la informațiile privind controlul intern acumulate în misiunile precedente, realizate la entitatea respectivă și documentate în rapoartele de audit din anii precedenți. Aceste informații pot fi actualizate și preluate ca punct de plecare a auditului în curs.
Chestionarea angajaților entității
Această procedură se poate utiliza prin completarea unor chestionare de către unii angajați ai entității auditate care ocupă poziții cheie, atât la nivel de execuție, cât și la nivel de management.
Consultarea manualelor de proceduri
Examinarea documentelor justificative și a evidențelor contabile ajută auditorul să înțeleagă conținutul manualelor de proceduri prin faptul că prin acestea se concretizează informațiile din manuale. În același timp, examinarea documentelor și evidențelor oferă probe asupra faptului că mecanismele de control intern au fost puse în aplicare. Auditorul poate observa personalul entității, atât în timpul întocmirii documentelor și evidențelor, cât și pe parcursul derulării operațiunilor contabile sau de control.
Documentarea/întocmirea documentelor aferentă înțelegerii controlului intern poate fi făcută prin una din următoarele metode:
- prezentarea narativă - o descriere scrisă a mecanismelor de control intern;
- diagrama secvențială – o reprezentare grafică a documentelor și circuitului acestora în cadrul entității;
- chestionarele de control intern – conțin întrebări formulate de auditori pentru clarificarea unor aspecte care ar putea fi necorespunzătoare în aplicarea mecanismelor de control.
Prin utilizarea chestionarelor auditorul poate face o analiza riguroasă și rapidă a fiecărui domeniu verificat, însă acestea nu oferă o imagine de ansamblu a sistemelor de control ci doar asupra unor părți componente ale acestuia. Răspunsurile la chestionare nu pot înlocui însă, aprecierea directă a auditorului, efectuată prin constatări la fața locului, sub formă de interviuri, consultarea documentației care prezintă relevanță, precum și verificarea datelor și informațiilor.
Probele de audit pentru înţelegerea activităţii entităţii verificate și cele pentru evaluarea sistemului de control intern al acesteia se obțin din informațiile, actele, documentele, răspunsurile la chestionare și declarația conducerii entității auditate, furnizate auditorului public extern la începutul misiunii de verificare, urmare solicitării lor prin adresa de notificare, precum și pe parcursul întregii derulări a misiunii de audit/control.