موانع و مشکلات استقرار حسابرسی مبتنی بر ریسک در ایران- میز گرد

میزگرد:

حسابرسی با تأکید بر مدیریت خطر؛ موانع و مشکلات استقرار حسابرسی مبتنی بر ریسک در ایران

عامل اصلی در تعیین پیامدهای حسابرسی، رویکردهای به‌کار گرفته‌شده به‌‌وسیله موسسه‌های حسابرسی در انجام کار حسابرسی است، تا آنجا که ممکن است موفقیت کار حسابرسی را به خطر بیاندازد.
رویکرد حسابرسی با تأکید بر مدیریت خطر از دهه 90 میلادی رواج یافته و به‌تدریج جایگزین رویکردهای سنتی شد. در رویکرد حسابرسی مبتنی بر ریسک، منابع حسابرسی به سمت عرصه‌هایی جهت داده می‌شود که ممکن است در نتیجه خطرهای حسابرسی و نیز خطرهای تجاری، دربرگیرنده تحریف باشند. بر این اساس حسابرس، بیشترین توجه حسابرسی را به عرصه‌هایی معطوف می‌کند که ریسک بالاتری دارند.
در ایران، رویکرد حسابرسی با تأکید بر مدیریت ریسک با استقبال زیادی روبه‌رو نشده است. چنانکه نظرخواهی‌ها، میزگردها و اظهارنظرهای انجام‌شده نشان می‌دهد، عوامل متعددی از جمله موارد زیر در ناموفق ماندن این رویکرد سهم داشته‌اند:•    نیاز به آموزش گسترده،•    هزینه‌بر بودن به کارگیری این رویکرد برای موسسه‌های حسابرسی،•    بی‌تفاوتی ذینفعان گزارشگری مالی در مورد به‌کارگیری این رویکرد،•    حساسیتِ کم مراجع نظارتی در مورد کیفیت گزارشگری حسابرس، و•    دور ماندن حرفه حسابرسی ایران از تحولات و پیشرفت‌های جهانی حرفه.
مجله حسابرس، «حسابرسی با تأکید بر مدیریت خطر؛ موانع و مشکلات استقرار حسابرسی مبتنی بر ریسک در ایران» را موضوع بحث میزگردی با حضور صاحبنظران قرار داد تا به طرح مسائل مرتبط با موضوع بپردازد. مطالب بالا و پرسشهای زیر عنوانهایی بودند که در این میزگرد، مورد بحث و تبادل نظر قرار گرفت:•    امروزه در انجام حسابرسی، تا چه حد مفاهیم مدیریت خطر حسابرسی، رعایت می‌شود؟ در صورت وجود موارد عدم رعایت، علت یا علتهای آن را در چه می‌دانید؟•    حسابرسی با تأکید بر مدیریت خطر مستلزم توجه به خطر ذاتی، خطر کنترل و خطر قابل پذیرش حسابرسی است. شما هریک از مفاهیم (خطر ذاتی، خطر کنترل و خطر قابل پذیرش حسابرس) را چگونه توصیف می‌کنید و به‌نظر شما، این مفاهیم در حسابرسی به روش سنتی چگونه مورد توجه قرار می‌گیرد؟•    آیا استانداردهای حسابرسی باید الزامات بیشتری را برای حسابرسان، به‌منظور شناخت بیشتر شرکت و محیط فعالیت آن، در نظر بگیرند؟•    آیا حسابرسی با تأکید بر مدیریت خطر می‌تواند به «استقلال حسابرس» کمک کند؟ (آیا بالابودن خطر ذاتی و خطر کنترل، ممکن است در پذیرش حسابرسی تردید ایجادکند؟)•    آیا ملزم کردن هیئت‌مدیره شرکتها در مورد تهیه گزارش کنترلهای داخلی می‌تواند زمینه‌ساز به‌کارگیری حسابرسی با تأکید بر مدیریت خطر باشد (در گزارش یادشده، مدیریت باید ریسکهای ناظر بر دستیابی به هدفهای واحد تجاری را نیز ارزیابی کند- مهمترین ریسکهایی که واحد تجاری با آن مواجه است)؟•    بررسی کنترلهای داخلی در حسابرسی سنتی و حسابرسی با تاکید بر مدیریت خطر چه تفاوتی دارد؟•    انجام حسابرسی با تأکید بر مدیریت خطر تا چه حد می‌تواند بر هرینه‌های انجام حسابرسی مؤثر و  در پاسخگویی آتی حسابرس به مراجع قانونی کمک کند؟ با توجه به قوانین فعلی، آیا نتایج حاصل از ارزیابی خطر ذاتی، خطر کنترل، خطر عدم کشف در پاسخگوییهای آتی قابلیت استناد دارند؟•    به‌نظر شما برای اجرایی کردن دستورالعمل «حسابرسی با تأکید بر مدیریت خطر» چه اقداماتی باید انجام شود؟•    اجرای حسابرسی صورتهای مالی مبتنی بر ریسک، چگونه می‌تواند به ایفای بهتر مسئولیت حسابرسان درباره برخورد با گزارشگری مالی متقلبانه و سوءاستفاده از داراییها و به تبع آن صدور گزارشهای مناسب در شرایط موجود و کاهش فاصله انتظارات ذینفعان کمک کند؟•    مزایا و چالشهای به‌کارگیری نشریه 150 سازمان حسابرسی با عنوان «بخشهای تجدیدنظرشده دستورالعمل حسابرسی با نگرش مدیریت خطر حسابرسی» و میزان انطباق آن با استانداردهای حسابرسی ایران چیست؟•    جامعه حسابداران رسمی ایران در راستای اجرای وظیفه اصلی خود یعنی نظارت حرفه‌ای بر اعضای جامعه، چه اقدامی در خصوص ترویج رویکرد و فرایند حسابرسی مبتنی بر ریسک انجام داه است و چه اقداماتی باید انجام شود؟

صفار
به نام خدا.

ویژگی اصلی رویکرد حسابرسی با تاکید بر مدیریت ریسک که در ادامه حسابرسی مبتنی ‌بر سیستم مطرح ‌شده مستمرکردن و کمّی‌کردن موضوعهایی است که پیش از آن در ذهن حسابرسان وجود داشته است. کوشش‌هایی که طی این 10یا12 سال در ایران صورت گرفته تقریباً به نتیجه جدی، دستکم در عمل نرسیده است.
بحث را با این پرسش آغاز کنیم که حسابرسی با تاکید بر مدیریت ریسک، چه تغییری در مفاهیم خطر، که در حسابرسی‌های سنتی و حسابرسی مبتنی بر سیستم نیز وجود داشته، ایجاد کرده است؟

صاره‌راز
عوامل مهمی که در این رویکرد وجود دارد همگی پیش از آن هم در ذهن حسابرسان مطرح بوده است؛ برای مثال در رسیدگی به حسابها، حسابهایی که پرخطرتر بودند مورد توجه بیشتری قرار می‌گرفت، و در معاملات هم همینطور؛ به‌ویژه در شرکت‌هایی که ذینفعان بیشتری داشت و سهام آنها نرخ‌گذاری شده بود سعی می‌شد نسبت به صورتهای مالی با اطمینان بیشتری اظهارنظر شود.
اولین نکته در تفاوت این رویکرد، شناسایی مشخص عوامل خطر در ابتدای کار و لحاظ نمودن آنها در برنامه‌ریزی است. حسابرس از ابتدای کار مشخص می‌کند که چه‌کار می‌خواهد بکند و تا آخر کار، مسیر را به‌‌گونه‌ای مدیریت می‌کند تا هدفی را که از ابتدا تعیین کرده، به زبان ساده تامین سطح اطمینان مورد نیاز اظهارنظر، با استفاده از عناصر مختلفی که در مدل وجود دارد تامین کند. در این مدل برنامه‌ریزی اهمیت زیادی دارد و حسابرسی آگاهانه‌تر انجام می‌شود.
تفاوت دیگر این رویکرد با رویکرد قبلی، کمّی کردن ریسک است. کار حسابرس به هر حال با قضاوت سروکار دارد و وقتی قرار است شما در مورد موضوعی قضاوت کنید ناچار هستید عوامل موثر در قضاوتتان را مشخص و وزن هر کدام را تعیین کنید.
نکته بعدی که بسیار اهمیت دارد این است که در گذشته شناسایی خطر و حوزه‌هایی که باید در حسابرسی بیشتر مورد تاکید قرار می‌گرفت، ذهنی بود و جایی مستند و مکتوب نمی‌شد. در این رویکرد چون شناسایی حوزه‌های ریسک مکتوب و مستند می‌شود در پاسخگویی بسیار موثر است.
به‌نظر من مهمترین نکته‌ای که در این مدل وجود دارد امکان استفاده از نمونه‌گیریهای آماری است. به دلیل همین کمّی‌کردن عناصر خطر و وجه مکمل آن سطح اطمینان، این امکان برای حسابرس فراهم می‌شود که در حوزه‌هایی که قرار است نمونه‌گیری کند، یعنی آزمون رعایت و آزمون محتوا، از نمونه‌گیری‌های آماری استفاده کند.

ارجمندی
ابتدا می‌خواهم چند نکته را مطرح کنم و بعد به سئوال شما پاسخ بدهم.
اولین نکته این است که مدل ریسک حسابرسی ابزاری برای برنامه‌ریزی، انجام و کنترل عملیات حسابرسی است. نکته بعدی این است که حسابرس با مقوله ریسک همواره مواجه بوده است. از زمانی که حسابرسی زاده شده مفهوم ریسک حسابرسی نیز مطرح بوده و این خطر وجود داشته که تحریف یا تحریفهای بااهمیتی در حسابهای مورد رسیدگی باشد و حسابرس نتواند آن را کشف کند. پس ریسک حسابرسی موضوع جدیدی نیست. چیزی که مدل یا رویکرد حسابرسی صورتهای مالی با تاکید بر مدیریت خطر حسابرسی را از رویکرد مبتنی بر سیستم جدا می‌کند، ‌ارائه ابزاری است تا به کمک آن بتوان ریسک حسابرسی را عینی‌تر و کمّی‌تر از گذشته براورد و مدیریت کرد.
به‌علاوه، به‌نظر می‌رسد برداشتی غالب در سطح جامعه حرفه‌ای وجود دارد مبنی بر اینکه از مدل ریسک حسابرسی صرفاً در نمونه‌گیری آماری می‌توان استفاده کرد. در حالی که این مدل نقشی کلیدی در به‌کارگیری روش نمونه‌گیری قضاوتی و همچنین سایر روشهای حسابرسی ایفا می‌کند. مدل ریسک حسابرسی، براورد سطح اطمینان لازم در مورد مانده‌حسابها و گروه معاملات مختلف را امکان‌پذیر می‌کند. در جاهایی که لازم است از روش نمونه‌گیری آماری استفاده شود، به‌کارگیری این مدل ضروری است. لیکن جهت استفاده از سایر روشهای حسابرسی نیز مدل ریسک حسابرسی کاربرد گسترده‌ای دارد.
نکته دیگر این است که اگر حسابرسی با استفاده از مدل ریسک حسابرسی انجام نشود،‌ لزوماً به این معنا نیست که حسابرس کارش را به‌درستی انجام نداده و یا شواهد کافی فراهم نکرده است. بلکه در این صورت چنانچه لازم شود حسابرس ثابت کند که شواهد کافی برای اظهارنظر خود فراهم کرده است، شاید با مشکل جدی مواجه شود.
در پاسخ به پرسش مطرح‌شده باید گفت که در رویکردهای پیشین، رابطه‌ای عینی بین نتایج حاصل از ارزیابی کنترلهای داخلی و آزمون محتوا قابل تشخیص نبود. شایان توجه است که در یکی از نشریات سازمان حسابرسی با عنوان «آمار و کاربرد آن در حسابرسی» مدلی ریاضی ارائه شده که می‌توان بین نتایج حاصل از ارزیابی کنترلهای داخلی و حجم آزمونهای محتوا ارتباط برقرار نمود. به هر حال، ‌مدل ریسک حسابرسی،‌ با کمّی کردن اجزای این مدل (ریسک قابل پذیرش حسابرسی، ریسک کنترل،‌ ریسک ذاتی و ریسک بررسی‌های تحلیلی) برنامه‌ریزی، انجام، کنترل عملیات حسابرسی و در نهایت مدیریت ریسک حسابرسی را بسیار تسهیل کرده است.
مزیت بااهمیت رویکرد حسابرسی با تاکید بر مدیریت خطر حسابرسی، استفاده از مدل ریاضی ریسک حسابرسی است که علاوه بر حصول اطمینان در خصوص رعایت استانداردهای حسابرسی مربوط، مدیریت ریسک حسابرسی را نیز آسان می‌کند. نشریه 150 سازمان حسابرسی که به معرفی مدل ریسک حسابرسی و مفاهیم مرتبط با آن پرداخته، بدون شک گامی موثر در راستای به‌کارگیری این ابزار و زمینه‌ساز فرهنگی استفاده از دستاوردهای نوین برای مدیریت ریسک حسابرسی تلقی می‌شود. با این حال،‌مندرجات نشریه مذکور به‌عنوان بخشی از دستورالعمل حسابرسی صورتهای مالی،‌ نه‌تنها رعایت کامل استانداردهای حسابرسی را به‌نحو مناسب محقق نمی‌‌کند،‌ بلکه در مواردی نیز غیرکاربردی است. چنانچه فرصت شود به موارد بااهمیت در این خصوص اشاره خواهم کرد.

اسکندربیاتی
باید اضافه کنم که این رویکرد کمک کرد که قضاوت‌ها و موضع‌گیری‌های حرفه‌ای حسابرسان هم‌جنس‌تر و نزدیکتر شود. به‌علاوه، به کمک آن از قابلیت اثبات روشهای به‌کارگرفته‌شده به‌وسیله حسابرس هم اطمینان پیدا می‌کنیم و اگر استنتاج‌ها و نتیجه‌گیری‌های حسابرسی به‌نحوی تبیین شود که در پیگیری‌های بعدی نیاز به بررسی راه‌های طی‌شده باشد، این رویکرد می‌تواند به آن کمک بکند.
نکته دیگر اینکه در نشریه 150 در کنار مفهوم مدیریت خطر حسابرسی مفاهیم دیگری هم در نظر گرفته شده است. به‌نظر می‌رسد که مجموعه این مفاهیم کنار یکدیگر از ارتباط لازم برخوردار نیستند. کوشش‌هایی انجام شده برای اینکه ارتباطات بین این مفاهیم برقرار شود، اما به‌نظر می‌رسد هنوز در این زمینه کمبود داریم.
این رویکرد باعث شده که روش‌های حسابرسی به‌قدری ارتقا پیدا بکند که بتوانیم قضاوت‌های حسابرسی را به‌طور گسترده مدیریت بکنیم و در کنار آن بتوانیم عامل مهم خطر حسابرسی را به‌گونه‌ای مدیریت کنیم که بتوانیم عملیات حسابرسی را در سطح برنامه‌ریزی اولیه و یا در فازهای بعد، ارتقا دهیم.

نیکوکار
طبق استانداردهای حسابرسی ایران که الزامات و ضوابط مربوط به حسابرسی مبتنی بر ریسک را ارائه می‌کند، یعنی استانداردهای 200، 240، 315 و 330، مفهوم حسابرسی مبتنی بر ریسک را می‌توان در سه مرحله اساسی بیان کرد؛ مرحله اول شناسایی ریسک یا عوامل خطرهای تحریف بااهمیت، مرحله دوم طراحی و اجرای روش‌های حسابرسی در برخورد با عوامل خطرهای تحریف شناسایی‌شده، و مرحله سوم گزارشگری یافته‌ها.
در رویکرد حسابرسی مبتنی بر ریسک از منظر مسئولیت حسابرس در ارتباط با شناخت و ارزیابی کنترلهای داخلی، به لحاظ مفهومی هیچ تفاوتی با مدل حسابرسی مبتنی بر سیستم وجود ندارد. اما در استاندارد 315 بر شناخت ویژگیهای واحد مورد رسیدگی از لحاظ محیط اقتصادی، محیط قانونی و مقرراتی، نوع و ماهیت فعالیت‌ها، همچنین شیوه ارزیابی خطر و شیوه ارزیابی عملکرد توسط مدیریت و خطرهای تحریف مرتبط با ویژگیهای مزبور تاکید گردیده است. لذا در چارچوب این استاندارد در واقع منبع شناخت خطرهای تحریف بااهمیت توسعه پیدا کرده است و تنها منحصر به خطر کنترل نیست.
بنابراین، حسابرسان علاوه بر ارزیابی خطر کنترل یا ارزیابی و شناخت سیستم کنترل داخلی ملزم هستند خطرهای تحریف مرتبط با ویژگیهای صنعت، ویژگیهای مدیریت، ویژگیهای محیط اقتصادی و قانونی، ویژگیهای خطرهای تحریف تجاری و از این دست را ارزیابی و خطرهای تحریف بالقوه‌ای را که ممکن است در سطح کلیت صورتهای مالی یا در سطح ادعاهای مرتبط با گروه معاملات، مانده‌حسابها و موارد افشا رخ بدهد شناسایی و در ارتباط مستقیم با خطرهای تحریف شناسایی‌شده، روشهای حسابرسی لازم را طراحی و اجرا کنند.
بنابراین، حسابرسی مبتنی بر ریسک در مقایسه با حسابرسی مبتنی بر سیستم، دو تفاوت عمده دارد؛ اول توسعه دادن مفاهیم مربوط به شناسایی عوامل خطرهای تحریف بااهمیت مرتبط با گزارشگری مالی و دوم کمّی کردن عوامل خطرهای تحریف شناسایی‌شده و استفاده از آن در تعیین حدود اجرای آزمونهای محتوا و مدیریت خطر حسابرسی.

صفار
گفتگوهای انجام‌شده ما را به پرسش دوم که به استاندارد 315 مربوط است نزدیک کرد. من نمی‌دانم چقدر به استاندارد 315 توجه می‌شود و چقدر به آن عمل می‌شود. اساساً به‌نظر می‌رسد که استانداردهای حسابرسی هر روز الزامات بیشتری برای شناخت کنترل‌های داخلی که وجه مشترک هردو رویکرد قدیم و جدید است، در نظر می‌گیرند. با فرض اینکه حسابرس‌ها استانداردها را می‌خوانند و اجرا می‌کنند، آیا لازم است گام‌های بیشتری در استانداردها برای شناخت کنترل‌های داخلی برداشته شود؟

صاره راز

من نکته‌ای را در مورد صحبت‌های آقای ارجمندی باید توضیح بدهم. اساساً سطح اطمینان یک مفهوم آماری است؛ یعنی هیچ استفاده دیگری غیر از آمار ندارد. این رویکرد فضا را آماده کرد که به سمتی برویم که بتوانیم از نمونه‌گیریهای آماری استفاده بکنیم.
اما در پاسخ به پرسش مطرح‌شده، در وضعیت فعلی و موجود آن حداقل‌های لازم را که در این رویکرد توصیه ‌شده انجام نمی‌دهیم. فکر می‌کنم تلاش باید بر این باشد که به آن حداقل‌ها برسیم و بهتر است کار را از این دشوارتر و پیچیده‌تر نکنیم.
واقعیت این است که در مورد شناخت واحد کسب‌وکار و ریسک‌های آن، دچار این مشکل هستیم که حسابرسان براساس شناخت کلی که در نتیجه تجربه چندساله در محیط صاحبکار پیدا کرده‌اند فکر می‌کنند به همه زوایای کار آشنایی دارند؛ در حالی که با پیچیده‌ترشدن روابط اقتصادی و تجاری و محیط اقتصادی لازم است که این شناخت به‌روز شود.
استانداردهای حسابرسی چارچوب کلی کسب شناخت و رهنمودهای لازم را ارائه کرده‌اند. به‌نظر می‌رسد به دستورالعملهای اجرایی در این زمینه یعنی روشهای کسب شناخت، نحوه مستند کردن آن و ارائه آموزشهای لازم خصوصاً در زمینه ثبت سیستم کنترلهای داخلی و ارزیابی آن (به‌ویژه ارزیابی مناسب بودن  طراحی سیستم) نیاز بیشتری وجود دارد.

ارجمندی

من خیلی با عبارت حسابرسی مبتنی بر ریسک موافق نیستم. عبارت «حسابرسی صورتهای مالی با تاکید بر مدیریت ریسک حسابرسی» عبارت گویاتری است. حسابرسی مبتنی بر ریسک همیشه مطرح بوده ولی اگر آن را به مفهوم استفاده از یک مدل ریاضی در نظر می‌گیریم آن بحث دیگری است.
ریسک حسابرسی یعنی احتمال اینکه یک تحریف، (اشتباه یا تقلب) بااهمیت در حسابها باشد و حسابرس نتواند آن را کشف کند. این احتمال در حقیقت مبتنی بر تئوری احتمالات است. در مدل ریسک چه‌کار می‌کنیم؟ می‌گوییم در مانده‌حسابها یا گروه معاملات مختلف ریسک مجازمان چقدر است؛ نه ریسک قابل پذیرش حسابرسی. یعنی اگر ریسک قابل پذیرش 5 درصد است ما باید به 95 درصد اطمینان برسیم. ولی در مورد مانده یک حساب خاص که ریسک مجاز 40 درصد است (ریسک مجاز استخراج‌شده از مدل ریسک حسابرسی)، ما در این مورد به یک سطح اطمینان 60 درصد نیاز داریم.
برای مثال مانده یک حساب بدهکاران را درنظر بگیرید. فرض کنیم مانده‌حساب مذکور مبلغ 100 میلیارد ریال است. مانده‌حساب یکی از بدهکاران 60 میلیارد ریال (بدهکار اصلی) و مانده بقیه 40 میلیارد ریال است و ما به سطح اطمینان 60 درصدی در مورد مانده‌حساب بدهکاران نیاز داریم. اگر صرفاً مانده‌حساب بدهکار اصلی را رسیدگی کنیم، آیا به اطمینانی معادل 60 درصد رسیده‌ایم؟ آیا می‌توانیم بگوییم مانده‌حساب بدهکاران با اطمینان 60 درصد در چه وضعیتی است؟ البته براساس تئوری احتمالات پاسخ مثبت است، ولی زمانی اطمینان مذکور حاصل می‌گردد که از حسابرسان با صلاحیت حرفه‌ای نیز برای حسابرسی استفاده شود. آیا در چنین حالتی از نمونه‌گیری آماری استفاده شده است؟ خیر؛ اما مدل ریسک حسابرسی نقش کلیدی خود را ایفا کرده است.
من روی این موضوع تاکید دارم که اگر از این مدل درست استفاده کنیم، حق‌‌الزحمه حسابرسی با حفظ کیفیت کار‌ کاهش پیدا می‌کند و می‌تواند تاثیر مهمی بر موقعیت و شرایط کار حسابرسان بگذارد. علت اینکه از این رویکرد جدید به‌طور گسترده استفاده نمی‌شود، این است که عموماً فکر می‌کنند اگر در جهت کمّی کردن ریسک حرکت کنند، الزاماتی که استانداردهای مربوط مطرح کرده،‌ باعث خواهد شد که هزینه حسابرسی بالا رود. در حالی که اگر از این ابزار درست استفاده کنند، ‌هزینه حسابرسی به‌طور چشم‌گیری پایین می‌آید.
هنوز مفهوم کنترل‌های داخلی به گونه‌ای که در گزارش 20 سال پیش کوزو آمده متاسفانه در بین اکثریت اعضای حرفه ما خیلی جا نیافتاده است. این مطلب در حالی است که نسخه 2013 گزارش کوزو مشتمل بر تغییرات بااهمیتی است. استاندارد حسابرسی 315 علاوه بر کنترل‌های داخلی مرتبط با حساب‌ها، یک سری کنترل‌های عمومی را هم مطرح می‌کند، مثل محیط کنترلی، و ارزیابی ریسک. ولی اغلب اعضای حرفه با آن آشنایی کافی ندارند. در ایران غیر از بانکها که یک واحد ارزیابی ریسک دارند، اکثر بنگاهها اصلاً واحدی به نام ارزیابی ریسک ندارند؛ در حالی که مهمترین جزء کنترل داخلی مطابق گزارش کوزو، ارزیابی ریسک است.
چون اعضای حرفه ما با این مفاهیم آشنایی ندارند عملاً استاندارد 315 را نمی‌توانند درست اجرا کنند. به‌نظر من اجرای استاندارد 315 و سایر استانداردها این امکان را فراهم می‌کند که حسابرس به شناخت کافی برای برنامه‌ریزی برسد. اما اینکه آیا حسابرس با این شناخت و این برنامه‌ریزی، با استفاده از دستورالعمل موجود در تارنمای جامعه حسابداران رسمی نیز می‌تواند حسابرسی را به نحو اثربخش انجام دهد، جای سئوال دارد. از نظر اینجانب دستورالعمل مذکور در برخی موارد بااهمیت قادر به تحقق استانداردهای حسابرسی (به‌ویژه در مورد استاندارد 315) به‌نحو مناسب نیست و از لحاظ کاربردی نیز دارای نارساییهای بااهمیت است.

اسکندربیاتی

اگر بخواهیم الزامات استاندارد 315 را خلاصه کنیم می‌شود گفت که به حسابرس کمک می‌کند در مقابله با خطر تحریف بااهمیت در سطح صورتهای مالی چگونه برخورد کند و همچنین راهنمایی‌هایی در اختیار حسابرس قرار می‌دهد که بتواند ماهیت این برخوردها را بیان کند. استاندارد 315 روش‌های حسابرسی لازم برای برخورد با تحریف بااهمیت در سطح صورتهای مالی را بیان می‌کند.
به‌‌عبارت دیگر آن چیزی که در استاندارد 315 هست و آن چیزی که به‌عنوان اهداف انجام حسابرسی مبتنی بر مدیریت ریسک وجود دارد لازم و ملزوم یکدیگر هستند؛ هیچکدام قابل تفکیک نیستند. در حقیقت استاندارد 315 در چارچوب کلی استانداردها الهام گرفته‌شده از مجموع مدیریت خطر حسابرسی در سطح صورتهای مالی است.
اما به دلایل گوناگون، در این استاندارد ارزیابی کنترل‌های داخلی، و همچنین تعیین اثر آنها بر مجموعه روش‌های حسابرسی و خیلی کلی‌تر بر خطرها و بازهم کلی‌تر بر ادعاهایی که در صورتهای مالی هست، این زنجیره ارتباطی را نداریم. اجرای دقیق استانداردهای 315 و استانداردهای مربوط به برنامه‌ریزی و شناخت از واحد مورد رسیدگی می‌تواند کمک بکند که حسابرسی مبتنی بر ریسک اجرایی‌تر بشود.
زمانی که نشریه 150 منتشر شد استانداردهای حسابرسی به این گستردگی که امروز در دسترس ماست، در دسترس نبود. اما امروز این ارتباط تکمیل‌تر شده و باعث می‌شود که در صورت اجرا کردن استاندارد 315 خودبه‌خود حسابرسی مبتنی بر ریسک اجرایی‌تر بشود و ترویج پیدا بکند.
به یک نکته دیگر هم اشاره بکنم که بحث اثر اجرای حسابرسی مبتنی بر مدیریت ریسک و اثر آن بر حق‌الزحمه حسابرسی است، که خود نیاز به یک پژوهش جدی دارد. برای اینکه شاید ما ضوابط خیلی دقیق برای اجرای استاندارد 315 و مجموعه استانداردهای مربوط به برنامه‌ریزی و حسابرسی مبتنی بر ریسک را نداریم. این پژوهش باید انجام بشود که واقعاً آیا به‌کارگیری این رویکرد باعث کاهش حق‌الزحمه حسابرسی می‌شود؟ شاید هم باعث افزایش حق‌الزحمه حسابرسی بشود. شاید هم‌اکنون روش‌هایی را به‌کار می‌گیریم که اصلاً ضرورتی برای انجام آن روش‌ها نیست و شاید روشهای حسابرسی را که لازمه اجرای استانداردهای حسابرسی است، انجام نمی‌دهیم. این موضوع نیاز به پژوهش دارد.

نیکوکار

من در پاسخ به سئوال قبلی به سه مرحله اصلی حسابرسی مبتنی بر ریسک اشاره کردم. شناسایی خطر، طراحی و اجرای روش‌های حسابرسی در برخورد با خطر، و گزارشگری یافته‌ها. استاندارد 315 اولین مرحله را به‌صورت کامل پشتیبانی می‌کند. استاندارد مزبور بسیار جامع و با توضیحات تفصیلی تدوین شده و پیوست‌های مناسب، منابع شناسایی تمام حوزه‌‌های خطر را معرفی و راهنمایی‌های لازم را در این ارتباط ارائه می‌کند. به‌ویژه در این استاندارد حوزه شناسایی منابع خطر بسیار فراتر از خطر کنترل داخلی تعریف می‌شود و الزاماتی برای شناسایی خطرهای مرتبط با محیط کنترلی و نظارت بر کنترلها، همچنین خطرهای مرتبط با ویژگیهای صنعت، محیط اقتصادی، ‌قانونی و مقرراتی، ماهیت فعالیت و ... تعیین کرده است.
به این ترتیب اگر در این حوزه وارد بشویم و آموزش لازم در زمینه شناخت عوامل خطرهای مرتبط با ویژگیهای محیط اقتصادی و صنعتی و فعالیتی و مدیریتی شرکت را از طریق طراحی پرسشنامه‌های مربوط‌تر با فضای شرکت‌داری و محیط حسابرسی ایران ارائه کنیم، می‌توانیم زمینه‌های لازم برای اجرای کامل الزامات استاندارد 315 را فراهم نماییم.
اما در حوزه کنترل داخلی به دلیل اجزای پنجگانه‌ای که در استاندارد 315 تعریف شده، این تصور پیش آمده که باید مدل ارزیابی کنترل داخلی را تغییر بدهیم. این برداشت، به‌نظر من صحیح نیست؛ چون استاندارد 315 همان‌طور که از عنوانش پیداست شناخت واحد مورد رسیدگی و روشهای براورد خطرهای تحریف بااهمیت است.
از نظر این استاندارد، نه تقسیم‌بندی خطر به ذاتی و کنترل مهم است، و نه تفکیک آن به اجزا. آنچه مهم است، شناسایی خطر و ارتباط آن با تحریف‌های بالقوه در سطح کلیت صورتهای مالی و در سطح ادعا است. بنابراین برای ارزیابی کنترلهای داخلی و براورد خطر کنترل، تدوین پرسشنامه‌هایی لازم است که بتواند به‌صورت مستقیم فعالیتهای کنترلی را با هدفهای حسابرسی در سطح ادعا پیوند دهد. در این ارتباط پرسشنامه‌های نشریه 150 سازمان حسابرسی، با اعمال تعدیلات لازم، اهداف مورد نظر را تامین می‌کند.
از منظر استاندارد حسابرسی 315، خطرها که شناسایی شد، باید طبقه‌بندی شود. این خطرها هم در خطرهای مربوط به ویژگیهای محیط اقتصادی و صنعتی و مدیریتی وجود دارد و هم در خطرهای مربوط به کنترل. بنابراین باید آن گونه ارزیابی انجام بگیرد که نهایتاً خروجی به‌گونه‌ای باشد که فهرستی از این خطرها را بتوانیم احصا بکنیم تا بتوانیم با تشخیص ماهیت‌ خطرهای شناسایی‌شده آنها را به سطح کلیت صورتهای مالی و سطح ادعا ارتباط بدهیم و بر این اساس، روشهای حسابرسی مناسب را طراحی و اجرا کنیم؛ این ماتریسی است که ما در عمل به آن نیاز داریم. تهیه این ماتریس از منظر کاربردی،‌ مرحله اساسی حسابرسی مبتنی بر ریسک محسوب می‌گردد.
من معتقدم که چارچوب پرسشنامه‌های تهیه‌شده به‌وسیله کمیته کوزو برای ارزیابی اجزای پنجگانه کنترلهای داخلی واحدهای مورد رسیدگی، با توجه به تاکید حسابرسی بر شناخت خطرهای تحریف بااهمیت مرتبط با گزارشگری مالی، یعنی شناسایی عوامل خطرهای تحریف بااهمیت در سطح کلیت صورتهای مالی و در سطح ادعاهای مرتبط با گروه معاملات و مانده‌حسابها و موارد افشا، باید برای ارزیابی کنترلهای داخلی مرتبط با هریک از چرخه‌های‌ عمده مالی و تجاری واحدهای مورد رسیدگی، بازتولید شود. محصول این بازتولید، پرسشنامه‌هایی  مشابه پرسشنامه‌های نشریه 150سازمان حسابرسی، البته با سئوالات کمتر، خواهد بود. چارچوبی که کوزو تعیین کرده اهداف سطح ادعا یا سطح صورتهای مالی را اصلاً پوشش نمی‌دهد. بنابراین، باید تلاش کنیم که دستورالعمل‌های اجرایی را برای این استاندارد تدوین کنیم. در ارتباط با کنترل‌های داخلی دستورالعمل‌های موجود نشریه 150 تنها نیاز به بازنگری دارد.

صفار

آیا این رویکرد می‌تواند کمکی به استقلال حسابرس بکند؟ آیا بالا بودن خطرذاتی و خطر کنترل ممکن است بر پذیرش کار از طرف حسابرس تاثیر داشته باشد؟

صاره راز

اینکه در استاندارد 315 بحث تقسیم‌بندی‌ خطر دیگر مطرح نیست، حرف درستی است. چون بر خلاف گذشته در استاندارد اشاره‌ای به انواع خطر نشده و خطر تحریف بااهمیت مطرح است.
در مورد سئوال شما، این رویکرد باعث می‌شود پذیرش کار با آگاهی بیشتری صورت گیرد. البته در خصوص خطر کنترل؛ به هر حال خط قرمزی به‌عنوان غیرقابل حسابرسی بودن واحد تجاری مطرح است که بدیهی است پذیرش کار در چنین شرایطی، اصولی نخواهد بود. من ارتباط موضوع را با استقلال حسابرسی چندان متوجه نمی‌شوم، چون استقلال بیشتر یک مفهوم اخلاقی است و به آیین رفتار حرفه‌ای مربوط است. در شرایطی که خطر ذاتی بالا است حسابرسی باید با آگاهی بیشتری اقدام به پذیرش کار کند، یعنی به این مسئله توجه کند که این خطر چه میزان قابل مدیریت است و تا چه میزان بر حوزه‌های دیگر اثرگذار است، برای مثال امکان زیرپاگذاری کنترلها توسط مدیریت.

ارجمندی
من معتقد نیستم که پرسشنامه‌های نشریه 150 قابلیت این را دارد که بتوانیم ادعا کنیم به اتکای آن می‌توانیم استاندارد 315 را اجرا کنیم. باید حتماً تکمیل شود. درست است که در دستورالعمل و استاندارد هم شرح سیستم مطرح شده و هم پرسشنامه، ولی واقعیتش این است که کوزو از 20 سال پیش عملاً موضوع ثبت سیستم به روشهای سنتی را منسوخ کرده و اساساً روش ارزیابی ریسک را جایگزین کرده است.
پیش از استاندارد 315 هم وقتی حسابرس می‌خواست کارش را شروع کند باید شناخت کافی کسب می‌کرد. این استاندارد شناخت مذکور را توسعه داده است. دستورالعملی که جامعه حسابداران رسمی در تارنمای آن جامعه قرار داده و دستورالعملهای سازمان حسابرسی، روش دستیابی به شناخت را تا حدودی فراهم می‌کند اما هیچ کدام کاملاً منطبق با استاندارد 315 نیستند.
به‌نظر من این استاندارد هیچ ربطی به موضوع استقلال ندارد و تاکید آن بر مدیریت ریسک حسابرسی است.

اسکندربیاتی

استفاده صحیح از این مدل به نوعی برای موسسه‌های حسابرسی این فرصت را فراهم می‌کند که بتوانند ارزیابی روشن‌تری از استقلال خودشان داشته باشند و در ضمن از زاویه خود موسسه‌ حسابرسی بتوانند  خطر حسابرسی خود را مدیریت بکنند. چرا که به موسسه حسابرسی این فرصت را می‌دهد که بتواند سبد مناسبی از ریسک خودش را انتخاب بکند و از کارهایی که ریسک‌های مدیریت‌نشده‌ای ممکن است در آنجا وجود داشته باشد پرهیز بکند.
یعنی زمانی که روش‌های کنترل داخلی بسیار ناکارامدی در شرکت وجود داشته باشد که خطر تحریف و خطر حسابرسی در آنها بسیار بالا باشد موسسه حسابرسی می‌تواند از این رویکرد به‌عنوان یک ابزار برای ارزیابی استقلال خودش و پذیرش کار استفاده کند.

نیکوکار
موارد نقض‌کننده استقلال حسابرس در بخش «ب» احکام مورد عمل حسابداران رسمی شاغل، مندرج در آیین رفتار حرفه‌ای، تاکید شده است. در آنها هیچ اشاره‌ای به بحث ریسک در حسابرسی و ارزیابی خطر حسابرسی نیست. بنابراین این پرسش می‌تواند موضوع یک پژوهش باشد که ببینیم ریسک حسابرسی چقدر می‌تواند با استقلال حسابرس ارتباط داشته باشد.
مضافاً در مرحله پذیرش کار، ارزیابی خطر محیط کنترلی که زیربنای اجزای پنجگانه کنترل داخلی واحدهای مورد رسیدگی محسوب می‌شود و دربرگیرنده عواملی از قبیل اشاعه ارزشهای اخلاقی و درستکاری مدیریت، شایسته‌سالاری، نگرش و ریسک‌پذیری مدیریت، و مدیریت منابع انسانی است، می‌تواند منجر به شناسایی عوامل خطرهای تحریف بااهمیت در سطح کلیت صورتهای مالی شود و در چنین شرایطی حسابرس می‌تواند تصمیم بگیرد که کار را نپذیرد. اما این یک الزام نیست. بنابراین این فرض که هرجا خطر  حسابرسی واحد مورد رسیدگی بالا باشد نباید کار را پذیرفت، منطبق با الزامات استانداردهای حسابرسی و مفاد آیین رفتار حرفه‌ای نمی‌باشد.

صفار

به موضوع الزامات بورس در مورد تهیه گزارش مدیریت بپردازیم. به‌نظر شما این موضوع می‌تواند ارتباطی به بحث حسابرسی با تاکید بر مدیریت ریسک داشته باشد؟

صاره راز
من آن را بسیار مفید می‌دانم. در واقع یکی از مشکلات بزرگ حسابرسان به‌دست آوردن شناخت در شرکتی است که هیچ سیستم کنترل داخلی مکتوب و مدونی ندارد. فکر می‌کنم یک گام به جلوست که فضا را قطعاً در آینده آماده می‌کند برای اینکه حسابرس بتواند مدیریت خطر حسابرسی را به‌نحو مناسبی انجام دهد.
جمع‌بندیها به این نتیجه رسیده که یکی از بزرگترین چالش‌هایی که در به‌کارگیری رویکرد حسابرسی مبتنی بر ریسک وجود دارد بحث شناخت سیستم کنترل داخلی و ارزیابی آن است که فراهم نبودن زمینه آن موجب شده حسابرسان از این رویکرد گریزان باشند.
من فکر می‌کنم الزامات بورس قطعاً فضا را در آینده آماده می‌کند که بتوانیم این رویکرد را به‌کار بگیریم.

ارجمندی
موضوع استقرار سیستم کنترل‌های داخلی در سازمانها یک کار بلندمدت است. فصل دوم بخشنامه مربوط به الزامی کردن استقرار کنترل‌های داخلی تقریباً همین چارچوب کوزو را مطرح کرده بدون اینکه اسمی از آن ببرد. اجرای این بخشنامه بسترسازی می‌خواهد. برای مثال، محیط کنترلی که بحث درستکاری و صداقت را مطرح می‌کند یک شبه ایجاد نمی‌شود.
بخشنامه بورس می‌تواند یک نقطه شروع باشد ولی انتظار نمی‌رود که ظرف یکسال سیستم کنترل داخلی تمام شرکت‌ها در چارچوب اصول کوزو مستقر شوند. اما این حرکت باید شروع شود. بورس در پایان سال 91 دو بخشنامه صادر کرد و درخواست کرد که شرکت‌های بورسی و فرابورسی کمیته حسابرسی‌ را مطابق منشور کمیته حسابرسی تشکیل دهند و منشور مربوط را به تصویب هیئت‌مدیره برسانند و به همین ترتیب در مورد منشور فعالیت‌های حسابرسی داخلی.
به‌نظر من اقدام بورس به هر صورت حرکت خوبی است و شرکت‌ها را به سمت اینکه سیستمهای کنترل داخلی مناسب‌تری مستقر کنند، هدایت می‌کند و درنهایت به نفع ما حسابرسان هم هست؛ چرا که هزینه حسابرسی را کاهش می‌دهد.
اما اینکه حسابرس راجع‌ به سیستم کنترل داخلی اظهارنظر کند، بحثی جدا از این موضوع است که جای دیگری باید درباره آن گفتگو کرد.

اسکندربیاتی

نبود کنترل‌های داخلی کارامد و اثربخش در واحدهای تجاری در ابعاد مختلف واحد تجاری را درگیر مشکلات می‌کند و یکی از آن ابعاد، نبود قابلیت اتکا نسبت به اطلاعات ارائه‌شده است. طبیعی است که استقرار سیستم کنترل‌های داخلی در واحدها می‌تواند بهبود ایجاد کند در قابلیت اتکا به اطلاعات.
اما نکته اینجاست که ایجاد سیستم کنترل داخلی را از چه طریق می‌توان الزامی کرد. یافته‌های گروههای کنترل کیفیت در سال‌های گذشته نشان داده که در حسابرسی‌ها توجه لازم و کافی به ارزیابی مناسب کنترل‌های داخلی نمی‌شود. به‌نظر من قبل از اینکه موضوعی را الزامی بکنیم، ابتدا باید فرهنگ سازمانی تقویت شود، الزامات دیگری تقویت شود، و براساس یک زمینه واقعی برای استقرار کنترل‌های داخلی در واحدهای تجاری اقدام کنیم.
آیا پیاده‌سازی چارچوب‌هایی که در گزارش کوزو ذکر شده در مورد واحدهای تجاری ایران اصولاً امکان‌پذیر است؟ آیا اثرگذار است؟ و تا چه حد باید خودمان را در این چارچوب‌ها محدود بکنیم؟ به‌عبارت دیگر اگر موضوعی در بقیه کشورهای دنیا پیاده شد آیا انتقال آنها بدون ارزیابی شرایط محیطی خود ما می‌تواند موثر باشد؟ اینکه توجه به کنترلهای داخلی و الزامی کردن آنها ضروری است فکر می‌کنم همه روی آن اتفاق نظر دارند، اما مولفه‌های آن کدام است و آیا در کشور ما هم اثرگذار هست یا نه؛ این محل تامل است که به‌نظر من نیاز به یک پژوهش جدی دارد.

نیکوکار

مدیریت ریسک مدل مدرن و نوینی است برای  کنترل و پیشبرد هدف‌های واحد تجاری به‌وسیله مدیریت آن. این مدل زیرمجموعه مدیریت استراتژیک محسوب می‌شود. در چارچوب این مدل فرض بر این است که براساس اهداف مدیریتی، رعایتی و گزارشگری همه خطرهایی که هر یک از این اهداف را تهدید می‌کند شناسایی و فهرستی از خطرهای مختلفی که در همه حوزه‌های رعایتی، عملیاتی و گزارشگری مالی هست تهیه می‌شود. بنابراین مدیر می‌تواند راهکارها و کنترل‌ها را در ارتباط با اینکه این خطرها را حذف کند، یا کاهش دهد، یا انتقال دهد، یا بپذیرد، تعریف ‌کند.
طبیعتاً اگر این مدل مدیریتی در کشور ما پیاده بشود خیلی خوب است. ولی در کشور ما که بیشتر مدیریت‌ها سنتی است و دانش یا انگیزه لازم برای توسعه و ارتقای بنگاههای تحت مدیریت خود را ندارند، باید زیرساخت‌هایی فراهم بشود؛ یعنی باید نسلی از مدیرانی تربیت شوند که با این ادبیات آشنا و معتقد و مصمم باشند که این نوع نگاه مدیریتی را اجرا کنند. در چنین نگاهی شناسایی و ارزیابی خطر و انجام اقدامات کنترلی برای حذف یا کاهش خطرها، دو وجه اصلی اداره بنگاه محسوب می‌گردد.
سازمان بورس چنین الزاماتی را به‌وجود آورده و حسابرسان هم به خودی خود از آن استقبال می‌کنند؛ ولی طبیعتاً بدون ایجاد زیرساخت‌های لازم و آموزش‌های لازم و خانه‌تکانی در مدیریت‌های موجود کشور، چنین چیزی عملی نمی‌شود. البته همه اینها به این معنی نیست که مسئولیت ارزیابی خطر از حسابرس ساقط می‌شود.

صفار
شاید یکی از ویژگیهای حسابرسی مبتنی بر ریسک فراهم ساختن امکان پاسخگویی است. نظر شما چیست؟

صاره راز

کاملاً درست است؛ دلیلش هم این است که امکان تعامل فراهم می‌شود. هر چقدر برنامه‌ریزی و اجرای یک کار شفاف‌تر، و مستندتر باشد، امکان ارزیابی آن هم راحت‌تر است. وقتی کاری در فضای مبهم و ذهنی برنامه‌ریزی و مدیریت شود قطعاً برای کسی که می‌خواهد کار نظارتی بکند درک فرایند انجام کار دشوارتر است.
در این رویکرد به دلیل اینکه همه مراحل انجام کار که در قضاوت‌ها و تصمیم‌گیریهای حسابرس موثر است، کاملاً شفاف و مشخص است و حسابرس موظف است نحوه رسیدن به قضاوت‌ها و مسیری که برای آن طی می‌کند را مستند و در مدارک حسابرسی نگهداری کند، دستگاه‌های نظارتی راحت‌تر می‌توانند آن را کنترل کنند و به‌طور قطع تعامل بهتری اتفاق می‌افتد.

ارجمندی
شکی در آن نیست که اگر از این مدل استفاده کنیم شواهدی کافی فراهم خواهد شد. این شواهد ما را از لحاظ پاسخگویی در مقابل هر ذینفع در موضع بهتری برای دفاع از گزارش‌مان قرار می‌دهد و می‌توانیم مستندتر ادعا کنیم که کار حسابرسی طبق استانداردهای مربوط انجام شده است.
اصولاً این رویکرد جذابیت کار حسابرسی را بالا می‌برد. به حسابرس کمک می‌کند که کار حسابرسی را به‌صورت علمی و ساخت‌یافته انجام دهد. من اعتقادم این است که یک حسابرس می‌تواند بعد از 5 سال و نه 20 سال، مدیر حسابرسی شود؛ البته در صورتی که کار را از پایه ساخت‌یافته و علمی بیاموزد. اگر کار حسابرسی متکی به رویکردهای عملی و مطابق استاندارد مربوط باشد حسابرس می‌تواند این مهارت را در مدت زمان کوتاهتری کسب کند. این رویکرد می‌تواند به حفظ نیروها در موسسات حسابرسی کمک بکند و این احساس را در آنها پدید نیاورد که کارشان معمولی و تکراری است.

اسکندربیاتی
یکی از اهداف حسابرسی براساس استاندارد 200 این است که بتواند به‌طور بالقوه خطر عدم کشف تحریف موجود در یک ادعا را کشف بکند و این به اثربخشی حسابرسی مربوط است. استفاده از مدل حسابرسی مبتنی بر ریسک به افزایش اثربخشی حسابرسی کمک می‌کند، در نتیجه به‌طور طبیعی احتمال کشف تحریف، اشتباه، تقلب و بقیه مواردی که انتظار می‌رود در فرایند معمول حسابرسی کشف بشود را افزایش می‌دهد.

نیکوکار
اجرای این نوع حسابرسی با معطوف کردن فرایند برنامه‌ریزی و اجرای حسابرسی حول محور شناسایی عوامل خطرهای تحریف بااهمیت و طراحی و اجرای روشهای حسابرسی در برخورد با خطرهای شناسایی‌شده،‌ کار حسابرسی را به‌صورت هوشمندانه هدایت می‌کند و این هوشمندی منجر به تمرکز بودجه و منابع حسابرسی در همه حوزه‌هایی است که خطرهای بااهمیتی در آن قابل شناسایی است و به این ترتیب می‌تواند به اثربخشی حسابرسی کمک کند و فاصله انتظارات ذینفعان از حسابرس برای کشف تقلب و یا اشتباه را کاهش می‌دهد.

صفار
چه موانع مهمی بر سر راه رسیدن به این نوع حسابرسی وجود دارد و برای رفع آنها چه باید کرد؟

صاره راز
من این فرصت را داشته‌ام که این رویکرد را شاید بیش از 200 ساعت در کلاس آموزش بدهم. تجربه به من نشان داد که در واقع اولین سئوالی که در بیشتر کلاس‌ها مطرح می‌شد این بود که آیا تا به‌حال خود من اینکار را انجام داده‌ام؟ یا اینکه اساساً آیا کسی قبلاً اینکار را انجام داده است؟
این نشان می‌دهد که به‌تدریج این دارد در اذهان جا می‌افتد که این کار مثل خیلی از کارهای دیگر، برای شرایط کشور ما مناسب نیست. بد نیست اشاره کنم روزی که بحث دستورالعمل را در سازمان حسابرسی شروع کردیم بعضی از دوستان به طنز یا جدی می‌گفتند این حرفه در کشور ما اصلاً حرفه پرخطری نیست.
توصیه‌ام این است که سازمان حسابرسی بالاخره باید اینکار را انجام بدهد؛ یک کار حسابرسی را براساس این رویکرد انجام بدهد که در دسترس هم باشد تا کسانی که علاقه‌مند هستند بتوانند استفاده کنند. توصیه‌ام هم این است که این کار در مهلت قانونی انجام نشود، بلکه یکی از کارهای انجام‌شده به‌دلیل اینکه امکان قیاس هم فراهم بشود یکبار دیگر با این مدل انجام شود و نتایج آن هم در اختیار بقیه قرار گیرد.
این نکته مهم است که این تحول را به‌طور اصولی انجام نداده‌ایم. به هرحال موسسه‌های حسابرسی باید بپذیرند که زمانی که می‌خواهند روش کار خود را تغییر دهند و از این رویکرد استفاده کنند باید با تمهیداتی از جمله زودتر شروع کردن کار، بر مشکل محدودیت وقت و مشکل بودجه غلبه کنند. حتماً تاکید می‌کنم که انتخاب مناسبی داشته باشند و نیازی نیست که این مدل را در ابتدا با همه ابعاد آن انجام دهند. از طرفی برای برخی از کارها خصوصاً کارهای کوچک این رویکرد چندان مناسب نخواهد بود.
نکته مهم دیگر فقر منابع آموزشی‌ است که تقریباً در حد صفر است. بیشتر منابع خارجی است. منابع ما بسیار محدود است. کتابی هست که آقای ارجمندی زحمتش را کشیده بودند، بخشهایی از کتاب آقای آرنز هست که آقای بزرگ اصل ترجمه کردند، اما از اینها که بگذریم منابع و ادبیات کافی در دسترس نیست.
نکته آخر اینکه خود شناخت و ارزیابی سیستم کنترلهای داخلی در دوران معاصر بسیار سخت‌تر از گذشته شده؛ به‌دلیل استفاده از نرم‌افزارها و تجارت الکترونیک. قطعاً به نیروهایی احتیاج داریم که تخصص لازم برای شناخت و مستند کردن را داشته باشند. در مرحله ارزیابی هم قطعاً لازم است از کسانی استفاده کنیم که با این فضا و این سازوکار آشنایی داشته باشند.
در این کار هم مثل هر کار نو مقداری ترس وجود دارد؛ یعنی موسسه‌ها به‌رغم اینکه می‌دانند نهایتاً این کار منجر به کاهش هزینه‌هایشان می‌شود و پاسخگویی‌شان را افزایش می‌دهد و خیلی حسن‌ها در بلندمدت دارد، ولی جرات نمی‌کنند به‌سمت آن بروند.

ارجمندی
از سازمان حسابرسی به‌خاطر نشریه 150 و از جامعه حسابداران رسمی ایران که تلاش کرده دستورالعمل  حسابرسی صورتهای مالی را با استانداردهای جدید تا حد قابل‌توجهی تطبیق دهد، تقدیر می‌کنم. اما در جمع‌بندی کلی معتقدم کارهای انجام شده کافی نیست و دستورالعملهای مذکور نیازمند بازنگری هستند.
من با توجه به تجربه طولانی‌ام در این کار، به این نتیجه رسیده‌ام که چالشهای موجود ریشه در چند موضوع دارد. از جمله این تصور وجود دارد که فرایند حسابرسی فرایندی عمودی است. یعنی ابتدا باید برنامه‌ریزی کنیم، بعد سیستم کنترل داخلی را شناسایی و ارزیابی کنیم و سپس وارد مرحله آزمون محتوا شویم. در حالی که در عمل این دو کار، یعنی ارزیابی کنترل‌های داخلی و آزمون‌های محتوا، به‌طور موازی انجام می‌شود.
این موضوع مشکلاتی را در عمل ایجاد کرده است. مثلاً حدود 50 درصد محتوای ‌نشریه 150 به مرحله برنامه‌ریزی اختصاص یافته که نتیجه نهایی آن براورد یک PDR>> برای همه حسابها است. این PDR>> نمی‌تواند در مرحله برنامه‌ریزی به حسابرس برای براورد زمان انجام کار به‌طور موثر کمک کند.
موضوع مهم دیگر، مفهوم اهمیت است. حسابرسی بر پایه یک مثلث قرار دارد که یک راس آن اهمیت، یک راس آن شواهد و راس سوم هم ریسک است. ما این مفاهیم را به هیچ‌وجه نمی‌توانیم جدا از هم در نظر بگیریم. در حال حاضر، در اغلب موارد به‌صورت عینی سطح اهمیت در مرحله برنامه‌ریزی مورد توجه قرار نمی‌گیرد و در براورد زمان انجام کار نقشی ندارد. تصمیم‌گیری در مورد سطح اهمیت به قضاوت حرفه‌ای بستگی دارد. به‌نظر من نشریه 150 به اندازه کافی درباره این موضوع تاکید نکرده است. به‌علاوه، ابزار موجود برای شناسایی و ارزیابی کنترلهای داخلی در عمل فاقد اثربخشی و کارایی لازم هستند.
در مورد راهکارها، اعتقادم این است که فعالیت گروهی نتیجه می‌دهد. در فعالیت گروهی خرد جمعی وارد می‌شود و به آسانی مقبولیت عام پیدا می‌کند. من اعتقادم این است که به محوریت سازمان حسابرسی و با مشارکت جامعه حسابداران رسمی ایران و سایر صاحبنظران، کارگروهی تشکیل شود که نشریه 150 و همچنین نشریه 95 را بازنگری و ارتباط بین آنها را برقرار کند و آنجایی که مفاد نشریات مذکور مغایر با استانداردهای موجود است آنها را اصلاح نماید و این دو را به یک دستورالعمل جامع تبدیل کند.

اسکندربیاتی
مشکلات موجود یکی ضعف آموزش‌های حرفه‌ای است که این امر خود مرتبط با کمبود افراد صاحب‌نظر حرفه‌ای که برای آموزش وقت بگذارند، نامناسب بودن برنامه‌های آموزش حرفه‌ای، مستند و به‌روز نبودن آن آموزش‌ها، تدوین نشدن برنامه‌های آموزشی از پیش طراحی‌شده برای مجموعه موسسه‌ها، و ضعف آموزش دانشگاهی است که هماهنگی لازم بین آموزش‌های دانشگاهی و نیازهای حرفه‌ای حسابرسی وجود ندارد.
نکته بعد بحث مقرون‌به‌صرفه نبودن ارزیابی کنترل‌های داخلی است، به لحاظ کوچک بودن موسسه‌ها و یا ناآگاهی نسبت به اثربخشی ارزیابی کنترل‌های داخلی در فرایند حسابرسی. این امر باعث می‌شود ارزیابی کنترل‌های داخلی به‌عنوان پایه اصلی استفاده از دستورالعمل حسابرسی مبتنی بر ریسک ناقص بماند.
نکته دیگر بحث حق‌الزحمه حسابرسی و پایین بودن حق‌الزحمه حسابرسی است؛ اینکه حرفه خودش بتواند این امکان را فراهم بکند که این رویکرد در سطح موسسه‌های حسابرسی از نظر کارسازی و کارامدی بررسی شود. نبود فضای پژوهشی در این زمینه و تعمیم نیافتن این پژوهش‌ها به موسسه‌های حسابرسی و ناروشن بودن اثر این مجموعه در بخش قابل ملاحظه‌ای از دامنه حسابرسی کشور خودش یک علت است.
می‌دانیم که حرفه حسابرسی شاید تنها حرفه‌ای در کشور باشد که بیشتر از 50 درصد آن به بخش خصوصی واگذار شده است. بدون دست داشتن به اطلاعات بخش خصوصی ما نمی‌توانیم راه‌حلی برای معضلات حرفه داشته باشیم.
نکته بعد بحث سنتی بودن سیستم در واحدهای تجاری مورد رسیدگی‌ است که خود باعث می‌شود که پیاده کردن این دستورالعمل و کارامدی یا اثرگذاری آن در کارهای حسابرسی به‌سرعت مشخص نشود.

نیکوکار
واقعیت این است که باید رویکرد فعلی مورد عمل در برنامه‌ریزی و اجرای کار حسابرسی در انطباق با استانداردهای حسابرسی ارتقا یابد. در چارچوب رویکرد فعلی یک سری برنامه چاپ‌شده همراه با پرونده حسابرسی سال قبل را به دست همکاران می‌دهیم و می‌گوییم بروید از روی پرونده سال قبل رسیدگیهای سال جاری را انجام دهید. این نوع برنامه‌ریزی و برخورد، منابع تخصیص‌یافته برای حسابرسی و نظارت در کشور را به هدر داده و خروجی آن نیز اثربخش نبوده است.
به جرات می‌توانیم بگوییم در هر جا که نقصانی یا سوءاستفاده‌ای کشف گردیده، سهم ما حسابرسان در حد صفر و یا ناچیز بوده است، و این نشان می‌دهد که بایستی برای راهکارهای بهبود و افزایش اثربخشی حسابرسی اقدامی اساسی بکنیم.
در حال حاضر تنها دستورالعمل موضوع نشریه 150 سازمان حسابرسی است که مدعی اثربخشی و کشف حلقه مفقوده مربوط به میزان آزمون محتوا در مقایسه با حسابرسی مبتنی بر سیستم می‌باشد. ولی به‌دلیل چالش‌های به‌کارگیری و نارساییهای این نشریه، صرفاً در تعداد اندکی از موسسات حسابرسی و آن هم به‌صورت شکلی استفاده می‌شود.
به‌عنوان مثال شاید یکی از بزرگترین کاستی‌ این نشریه آن است که در حسابرسی مبتنی بر ریسک تاکید بر طراحی روش حسابرسی است تا تاکید بر تعداد نمونه و حجم رسیدگی. حسابرس بعد از شناخت تحریف‌ها باید روش‌های حسابرسی مناسب در برخورد با خطرهای تحریف را طراحی و اجرا کند ولی نشریه 150 هیچ راهنمایی اصولی و کلیدی در این حوزه ندارد. همچنین به‌دلیل نامشخص بودن تعریف جامعه آماری تشکیل‌دهنده مبلغ مانده‌حسابها و ادعاهای مربوط، اجرای دستورالعمل در خصوص تعیین تعداد نمونه هم با مشکل جدی مواجه است. بدین ترتیب حسابرسان ما می‌روند به سراغ همان برنامه‌های سنتی موجود.
بنابراین در عمل به‌رغم زحماتی که روی این نشریه کشیده شده است، می‌بینیم که چون کارامدی لازم و نتایج لازم را به‌دست نمی‌دهد، نه سازمان حسابرسی روی آن تاکید می‌کند نه جامعه.
نبود منابع آموزشی لازم و از همه مهمتر نبود یک دستورالعمل جامع حسابرسی مبتنی بر ریسک است، که اجرای استانداردهای حسابرسی پشتیبان آن را با چالش جدی مواجه ساخته است. بنابراین لازم است که یک دستورالعمل جامع مبتنی بر ریسک و یکپارچه با نگاه شناسایی تحریف، طراحی روشهای برخورد با تحریف، اجرا و گزارشگری یافته‌ها، تدوین گردد.
به‌نظر من، ‌تا تدوین یک دستورالعمل جامع می‌توانیم با الگو قرار دادن نشریه 150 سازمان حسابرسی و اعمال اصلاحات لازم در آن از طریق تشکیل یک کارگروه ویژه، نسخه اصلاح‌شده آن را به جامعه حرفه‌ای ارائه نماییم و مصمم گردیم که این مدل در کشور اجرا شود.

صاره راز
از جمله نقاط ضعف دستورالعمل سازمان حسابرسی، عدم توجه به جنبه‌های کیفی نقاط ضعف در کنترلهای داخلی و ارتباط ان با ادعاهای مدیریت است، در حالیکه در دستورالعمل سازمان در ارزیابی کنترل داخلی‌ خیلی به جنبه‌های کمی آن تاکید کرده‌ایم. یکی از حسن‌های دستورالعمل جامعه همین نکته‌ است که اجرای آزمونهای محتوا با هدف اثبات انواع ادعاهای مدیریت انجام می‌شود. زیرا نتایج ارزیابی کنترل داخلی به ادعاهای مدیریت ربط پیدا می‌کند. یکی دیگر از دستاوردهای دستورالعمل سازمان حسابرسی نشان دادن ارتباط تعداد آزمونهای رعایت با میزان اتکا به کنترلهای داخلی است که قبلاً براساس یک ذهنیت غیرعلمی معمولاً به تعداد بیش از اندازه لازم انجام می‌شد.
ارجمندی
دستورالعمل حسابرسی باید به‌گونه‌ای باشد که حسابرسان بتوانند از خلاقیت‌هایشان استفاده کنند و کلیشه‌ای نباشد، باید نقش قضاوتی حسابرس را پررنگ‌تر کنیم و به قضاوت حرفه‌ای همواره احترام بگذاریم. اگر دستورالعملهای موجود اصلاح شود، اعتقادم این است که به‌سمتی خواهیم رفت که کلیشه‌ای عمل نشود و از خلاقیت‌ها استفاده شود و حسابرسان بتوانند از دانش و تجربه خود هم استفاده کنند.

اسکندربیاتی
اگر به گذشته نگاهی داشته باشیم زمانی که نشریه 95 (دستورالعمل حسابرسی) تدوین می‌شد آن زمان ادبیاتی که ما در اختیار داشتیم مجموعه چارتک بود و تجربیات حسابرسی. بعد از آن که نشریه 150 تدوین شد همان نشریه ادبیات بود به اضافه تغییراتی که براساس مطالعات تدوین‌کنندگان آن دستورالعمل فراهم می‌شد. اما امروز در کنار همه آن بضاعتی که در گذشته داشتیم استانداردهای حسابرسی هم به موضوع اضافه شده، در نتیجه طبیعی است که اگر امروز ضرورت به‌روزرسانی نشریه 150 مطرح است باید در قالب دستورالعمل کلی حسابرسی منطبق با استانداردهای حسابرسی انجام بشود.
به‌نظر می‌رسد تشکیل کارگروهی در سازمان حسابرسی با بهره‌گیری از توانی که در جامعه وجود دارد برای بازنگری و به‌روزکردن دستورالعمل حسابرسی و بخش‌های مختلف آن راهکار مناسبی برای توسعه حسابرسی مبتنی بر ریسک در کشور است. توجه به آموزش دقیق آن به تمام سطوح حرفه‌ای و تمام سطح‌هایی که درگیر اجرای آن هستند نیز موثر خواهد بود.

نیکوکار
تدوین دستورالعمل جامع حسابرسی مبتنی بر ریسک بر مبنای استانداردهای حسابرسی ایران با تاکید بر استانداردهای 200، 240، 315 و 330 می‌تواند واقعاً راهگشا باشد. تدوین چنین دستورالعملی با دانش فنی موجود در اعضای حرفه ما میسر است و فکر می‌کنم با توانی که داریم انشاالله بتوانیم در تدوین و جاری‌سازی دستورالعمل حسابرسی مبتنی بر خطر حسابرسی گامهای سازنده‌ای برداریم و حرفه حسابرسی را در راستای حفظ منافع عمومی به اثربخشی و کارامدی برسانیم.

صفار
از شرکت همکاران ارجمند در این جلسه تشکر می‌کنم و امیدوارم امکان عملی تجدیدنظر در دستورالعملهای مورد بحث فراهم شود.