Hogyan kezdjük idén a könyvvizsgálat megtervezését?

Van néhány új fogalom – mint a releváns állítás, eredendő kockázati tényezők, spektrum –, ám ezek csak kihangsúlyoznak bizonyos elemeket, céljuk a kockázatbecslés segítése, de a lényegen nem változtatnak. A kockázatbecslés változatlanul az eredendő kockázat – ellenőrzési kockázat – lényeges hibás állítás kockázata szigorú logikájára épül, vagyis e téren még követhetjük a megszokott logikát.

A lényeges hibás állítások kockázatának azonosítása és felmérése során továbbra is meg kell határoznunk, hogy azok

• a pénzügyi kimutatás szintjén állnak-e fenn (ezek az átfogó kockázatok), vagy 
• az állítások szintjén, az ügyletcsoportokra, számlaegyenlegekre és közzétételekre vonatkozóan állnak fenn.

A standard felülvizsgálata előtti szemléletben megállapítottuk a jelentős (kritikus) területeket, és azok minden állítására könyvvizsgálati bizonyítékot kellett szereznünk az audit során. Az új megközelítés szerint a kockázatok és az állítások vannak a középpontban, azokat keressük. Ezek azonosításához persze alaposan meg kell ismernünk a gazdálkodó egység működését, környezetét – a felülvizsgált standard ugyanis erre az eddiginél nagyobb hangsúlyt is helyez. Ha egy állításban lényeges hiba kockázatát azonosítjuk (tehát az releváns állítás), legyen az például a készleteknél az Értékelés, akkor az Értékeléshez kapcsolódó eljárásokat kell megtervezni és elvégezni annak érdekében, hogy az azonosított kockázathoz tartozó lehetséges hibát kizárjuk vagy feltárjuk. 

Miben könnyíti meg a munkánkat egy jó szoftver a kockázatok azonosításában, felmérésében és az elvégzendő vizsgálatok, feladatok kijelölésében?

A tervezés felfűzhető egy egyszerű folyamatra:

1. A lényegességi küszöbérték meghatározása.
2. Az ügyfél és környezetének megismerése keretében, egy széles körű kérdéssor mentén, a felmerülő témák megválaszolásával egy időben tudjuk azonosítani az eredendő és az átfogó kockázatokat. 
3. A kockázatokhoz hozzákapcsoljuk a lehetséges hibákat, amire fókuszálunk. Ahogy a könyvelő program is tartalmaz számos könyvelést segítő funkciót és törzsadatot úgy, mint például a kontírtörzs – előnyös, ha a könyvvizsgálói szoftverben is rendelkezésre áll egy hibakatalógus. Az általában előforduló hibák túlnyomó része minden területhez standardizálható, katalógusba rendezhető, ezzel jelentős támogatást kap a könyvvizsgáló a munkájához. A lehetséges hibákhoz hozzá vannak rendelve az érintett állítások, amiből következnek az elvégzendő munkaprogram feladatok is. Az ellenőrzési kockázat felmérése során megismerjük és értékeljük a hibát kezelő kontrollokat. Az ezt követő tesztelés eredménye befolyásolja a lényeges hibás állítás kockázatának mértékét.  
4. Az előzőek alapján a munkaprogram már tartalmaz egy sor ajánlott feladatot (eljárást), ami az azonosított kockázat és felvett hiba vizsgálatára irányul. Ezen felül figyelemmel kell lenni az olyan, alapvető vizsgálati eljárásokra is, amelyeket az előforduló hibáktól függetlenül is ajánlott elvégezni. Lényegesen növeli a könyvvizsgáló hatékonyságát, ha a program automatikusan felkínálja a kockázatokhoz felvett hibákat kezelő eljárásokat. Így biztosak lehetünk benne, hogy ha a felvett lehetséges hiba például az Értékelés állításra vonatkozik a Készletek mérlegsoron, akkor az Értékelés vizsgálatára irányuló feladatok szerepelni fognak a készletek vizsgálatára összeállított munkaprogramban. Fontos azonban kiemelni, hogy a munkaprogram összeállítása továbbra is a könyvvizsgáló szakmai megítélésének függvénye, ezért elengedhetetlen szempont a feladatok szerkeszthetősége, a munkaprogram ügyfélre szabhatósága. Bármely ügyfélnél felmerülhetnek speciális ügyletek, egyéb szempontok, ami egy új feladat tervezését, vagy egy meglévő módosítását, esetleg törlését teheti szükségessé. 

Természetesen akkor is el kell készíteni a munkaprogramot, ha egy adott területen nem azonosítottuk lényeges hibás állítás kockázatát, azaz a számlaegyenleg, ügyletcsoport, közzététel nem válik jelentőssé. Ha a sor „csak” lényeges (azaz meghaladja a végrehajtási lényegességet), akkor is vannak olyan alapfeladatok, amelyek egy megfelelően felkészített programmal automatizáltan kiválasztásra kerülnek. Ha nem jelentős és nem lényeges a vizsgálati terület (ügyletcsoport, számlaegyenleg, közzététel), akkor a standardban nem szerepel semmilyen követelmény vele kapcsolatban, tehát elvileg nem kell vizsgálni, de a könyvvizsgáló – szakmai megítélése alapján - dönthet úgy, hogy mégis elvégez bizonyos alapvető eljárásokat, tehát a munkaprogramban erre a területre is jelölhet ki feladatokat.

Ettől az évtől kezdve sokkal nagyobb hangsúlyt kapott az IT-alkalmazások és az IT-környezet, valamint az információs rendszerek és kommunikáció megismerése, hiszen a számítástechnika szerepének változása miatt komplexebbek már a követelmények. A mélyebb megismerés előnye, hogy ezen keresztül azonosítani tudjuk az IT-használatból eredő kockázatokat, illetve az ezeket kezelő IT-kontrollokat. Ez a folyamat pozitívan befolyásolja a könyvvizsgálói kockázatfelmérést és értékelést.

Mit tegyen a könyvvizsgáló, ha nem érzi magát informatikusnak?

1. Egy erre kialakított IT kérdőív segítségével kérjen információt az ügyféltől az IT rendszer megismerésére.
2. A válaszok kiértékeléséhez figyelembe kell venni az ügyfél méretét és tevékenységét, így a nem értelmezhető kérdéseket figyelmen kívül kell hagyni. Amennyiben szükséges, javasolt informatikus szakember segítségét kérni az értelmezéshez.
3. Az IT rendszer ismeretében azonosítsa, mely ponton lát IT-használatból eredő kockázatot valamely IT-alkalmazásban vagy az általános IT-környezetben. Például, ha minden dolgozó azonos jelszavakat használ és nyáron diákok is dolgoznak az ügyfélnél, akkor felmerül a kellő szakértelem meglétének kérdése és az adatok megfelelősége, teljessége is bizonytalannál válhat.
4. Mérje fel, hogy a megállapított IT-kockázatok csökkentésére az ügyfél milyen IT-kontrollokat alkalmaz? Szükséges-e a kontrollok kialakításának hatékonyságát és bevezetés megvalósulását ellenőrizni? A hiányzó, de indokoltan szükséges IT-kontrollokat bevezetésének javaslatát célszerű jelezni a vezetői levélben.

Az információs rendszerek felmérése során megismerjük az információk áramlását, az adatok bekerülésétől a beszámoló közzétételének pontjáig. Ennek során nem csak a főkönyvre koncentrálunk, hanem kitérünk az analitikus nyilvántartásokra és minden olyan információra is, amelyet a beszámolóban be kell mutatni. Ilyenek lehetnek például a vezetői becslések, vagy a mérlegen kívüli tételek.

Ha már az információs rendszerrel foglalkozunk, ne feledkezzünk meg az ügyfél rendszeréből exportálható állományok valódiságának ellenőrzéséről se. A tervezés megkezdése előtt egyeztessük tehát az audit.xml-t vagy más adatexportból képzett főkönyvi kivonatot, hogy az megfelelő alapja legyen a lényegesség számításnak és a kockázatbecslésnek. Hasonlóan validáljuk a számla.xml, NAV online számla adatszolgálatatás (NAV-OSA) adatok és az adószámla.xml adatait is, de ezek már nem a tervezési folyamathoz tartoznak.

A fenti folyamatot akár érdemes egy online bemutató keretében is megismerni, ahol a felmerülő szakmai kérdéseikre is választ kaphatnak az érdeklődők.

A cikk szerzői:
Tusnádiné Ágoston Márta
kamarai tag könyvvizsgáló, adótanácsadó, informatikus mérnök, valamint

Luxné Tálas Ilona
kamarai tag könyvvizsgáló

a Metrum Referencia könyvvizsgáló program és az ELZA elektronikus zárást támogató program szakmai fejlesztői,
a Magyar könyvvizsgálói Kamara Oktatási Központ oktatója