Postup audítora a medzinárodné štandardy ISA v praxi

Frederik

Cieľ externého auditu a význam audítorských štandardov

Externý audit je dôležitým nástrojom overovania, ktorý poskytuje primeranú istotu, že účtovná závierka ako celok neobsahuje významné nesprávnosti spôsobené podvodom alebo chybou. Tento štandard primeranej istoty predstavuje vysokú, avšak nie absolútnu úroveň dôvery vzhľadom na inherentné obmedzenia auditu, medzi ktoré patria testovanie vzoriek, možné nedostatky interných kontrol, potreba profesionálneho úsudku a časové či finančné limity vykonávania auditu. Neodmysliteľnou súčasťou práce audítora sú medzinárodné audítorské štandardy ISA (International Standards on Auditing), systém riadenia kvality podľa ISQM 1/2 a etické normy definované v IESBA Code, ktoré zdôrazňujú zásady nezávislosti, integrity, objektivity a profesionálnej starostlivosti (due care).

Normatívny rámec auditu: ISA, ISQM a etické pravidlá

  • ISA (International Standards on Auditing): stanovujú požiadavky na plánovanie auditu, posúdenie rizík, získavanie a vyhodnocovanie dôkazov, dokumentáciu a zostavenie audítorskej správy. Medzi najdôležitejšie patria ISA 200 (cieľ a základné princípy auditu), ISA 230 (dokumentácia auditu), ISA 315 a 330 (identifikácia a reakcia na riziká), ISA 240 (riadenie rizika podvodu), ISA 320 (významnosť), ISA 500+ (zásady získavania dôkazov), ISA 540 (audit odhadov), ISA 570 (posúdenie schopnosti pokračovať v činnosti), ISA 700, 705, 706 a 701 (zostavenie, modifikácie a komunikácia audítorskej správy), ISA 600 (audit skupín), ISA 620 (využívanie odborníkov) a ďalšie.
  • ISQM 1 a ISQM 2: zavádzajú systém riadenia kvality na úrovni audítorskej firmy a kvality jednotlivých zákaziek (engagement quality review – EQR). Cieľom je efektívny manažment rizík kvality v oblastiach riadenia, zdrojov, etiky, akceptácie klientov, realizácie zákaziek a monitorovania dodržiavania štandardov.
  • IESBA Code of Ethics: zabezpečuje etické rámce vrátane nezávislosti v myslení a v zdaní, povinnosti identifikovať a zmierniť možné hrozby ako sú self-review, advocacy, familiarity, intimidation a self-interest.

Akceptácia a pokračovanie spolupráce s klientom

  • Predbežný screening klienta: hodnotenie integrity manažmentu a vlastníckej štruktúry, identifikácia reputačných rizík, overenie prípadných konfliktov záujmov a práve právnych obmedzení, vrátane analýzy proti praniu špinavých peňazí (AML) a financovaniu terorizmu (CFT).
  • Posúdenie nezávislosti a kapacít: audit musí zohľadniť hrozby pre nezávislosť, personálne a odborne zabezpečiť adekvátnu úroveň znalostí a dostupnosť expertov v prípade špecifických požiadaviek.
  • Engagement letter: formálny dokument potvrdzujúci cieľ, rozsah auditu, zodpovednosti manažmentu pri príprave účtovnej závierky, úlohy interných kontrol a súčinnosť audítora pri poskytovaní primeranej istoty a zhotovení audítorskej správy.

Plánovanie auditu a definovanie stratégie zákazky

  • Formulácia celkovej stratégie: stanovuje sa rozsah, načasovanie auditu a spôsob jeho realizácie, vrátane pridelenia kvalifikovaného personálu a odborníkov špecializujúcich sa na oblasti ako IT, dane či oceňovanie.
  • Vypracovanie detailného auditného plánu: obsahuje postupy a testy špecifické pre identifikované rizikové oblasti, vrátane testov účinnosti interných kontrol a substanciálnych testov podľa ISA 330.
  • Stanovenie významnosti (materiality): určuje sa overall materiality, performance materiality a prahové hodnoty pre zanedbateľné chyby (trivial errors), pričom sa zohľadňujú relevantné finančné ukazovatele ako zisk, tržby, aktíva či vlastné imanie.

Porozumenie subjektu a jeho podnikateľskému prostrediu podľa ISA 315

Audítor analyzuje obchodný model, odvetvové charakteristiky, regulačný rámec, ciele a podnikateľské stratégie, metódy merania výkonnosti, informačné systémy a interné kontroly. Podrobná analýza obsahuje skúmanie kontrolného prostredia, procesov hodnotenia rizík, kontrolných aktivít, tokov informácií a monitorovacích mechanizmov. Výsledkom je identifikácia a zmapovanie rizík významných nesprávností (inherent risk – IR, control risk – CR) na úrovni celej účtovnej závierky i jednotlivých tvrdení (assertions).

Významnosť a jej aplikačné aspekty podľa ISA 320

  • Výber benchmarku: pri určovaní významnosti sa zvažujú stabilita ziskov, sezónne výkyvy, kapitálová štruktúra a iné špecifiká; často sa využívajú kombinované benchmarky pri vysokej volatilite finančných údajov.
  • Performance materiality: táto hodnota je nižšia ako overall materiality a slúži na obmedzenie rizika, že nezachytené alebo neopravené nesprávnosti prekročia hranicu významnosti.
  • Priebežné prehodnocovanie: prahy významnosti sa počas auditu aktualizujú na základe získaných poznatkov, skutočných zistení a zmien v predpokladoch.

Analytické postupy pri identifikácii neobvyklých vzorcov

V úvodnej fáze auditu audítor aplikuje predbežné analytické testy, využívajúce finančné pomery, horizontálne a vertikálne analýzy, trendové sledovanie či regresné modely, aby odhalil potenciálne neobvyklosti alebo nezrovnalosti. Na záver auditu sa tieto postupy používajú komplexne na potvrdenie primeranosti výkazných údajov vzhľadom na očakávania a zostrené poznatky z vykonaných testov.

Testy interných kontrol a substanciálne overovacie procedúry podľa ISA 330

  • Testy kontrol: realizujú sa v prípadoch, keď audítor plánuje ako podklad pre svoj názor využiť efektívnosť kľúčových interných kontrol, napríklad autorizácie platieb, správa prístupových práv v ERP systémoch alebo automatizované dohody transakcií.
  • Substanciálne testy: predstavujú detailné overovanie transakcií a zostáv, vrátane výberu vzoriek, overovania správnosti účtovania (cut-off), existencie, ocenenia, práv k aktívam a riadneho prezentovania a zverejnenia informácií.
  • Kombinovaný prístup: pri identifikovaných významných rizikách audítor vykonáva substanciálne postupy nezávisle od výsledkov testov interných kontrol.

Vzorkovanie a kvantifikácia rizika nesprávneho výberu

  • Metódy vzorkovania: používajú sa štatistické techniky (attribute sampling pre testy kontrol, monetary unit sampling – MUS pre vyhodnocovanie zostatkov) a neštatistické prístupy s cieľom určiť tolerovateľnú mieru chyby, očakávanú odchýlku a požadovanú úroveň dôveryhodnosti výsledkov.
  • Výber a definícia vzorky: zahŕňa stanovenie populácie, jej rozdelenie (stratifikáciu), náhodné alebo systematické metódy výberu, ako aj detailnú dokumentáciu zahrnutých a vylúčených položiek.
  • Extrapolácia výsledkov: zistenia z testovaných vzoriek sa projektujú na celú populáciu s prihliadnutím na kvalitatívne faktory, napríklad charakter chýb, ich systematickosť či prípadný podvod.

Audítorské dôkazy: zásady dostatočnosti a vhodnosti (ISA 500)

  • Externé konfirmácie (ISA 505): kľúčový zdroj overenia pohľadávok, záväzkov, bankových zostatkov a právnych nárokov. Súčasťou sú tiež inventúry zásob a fyzické prehliadky majetku podľa ISA 501.
  • Audit odhadov a manažérskych úsudkov (ISA 540): zahŕňa overovanie modelov na diskontovanie, tvorbu opravných položiek, impairmentov či rezerv, vrátane testovania vstupných parametrov a citlivosti. Používa sa metodika CCE – challenging, corroborating, evaluating.
  • Tržby ako riziková oblasť: vzhľadom na ich významné riziko sa realizujú testy cut-off, analýza zmluvných podmienok, incoterms, vyhodnocovanie vrátení a dobropisov, ako aj detailné analytické procedúry.

IT audit a digitálne nástroje na podporu auditu

  • General IT Controls (GITC): kontrola správy zmien softvéru, prístupových práv, vývoja a prevádzky informačných systémov s cieľom zabezpečiť spoľahlivosť automatizovaných kontrol a generovaných správ.
  • Computer-Assisted Audit Techniques (CAATs) a data analytics: využitie úplných súborov dát na detekciu anomálií, ako sú duplicitné platby, analýzy podľa Benfordovho zákona alebo vyhľadávanie odľahlých hodnôt; opakované výpočty a sledovanie digitálnych stôp v ERP systémoch.
  • Persistent audit file: vytváranie a správa knižníc a skriptov na opakované použitie pri audite vrátane evidencia audítorskej stopy a verzovania dokumentácie.

Prevencia podvodov a zvládanie neetického správania (ISA 240)

  • Profesionálny skepticizmus: neustále vyhľadávanie a kritické hodnotenie dôkazov, využívanie auditného brainstormingu a analytických nástrojov na odhalenie nezrovnalostí alebo neobvyklých správaní.
  • Oblasti vysokého rizika podvodu: manipulácie s uzávierkovými zápismi, nesprávne uznávanie výnosov, evidovanie zásob, transakcie s prepojenými stranami a použitie neštandardných zmlúv či „side letters“.
  • Komunikácia o rizikách podvodu: pravidelné a transparentné informovanie vedenia a výboru pre audit o zistených rizikách, nálezoch a stave interných kontrol.

Posúdenie schopnosti pokračovať v činnosti a následné udalosti

Pri posudzovaní schopnosti účtovnej jednotky pokračovať v činnosti sa audítor zameriava na analýzu finančnej stability, predpoklady budúceho vývoja a možné nejistoty, ktoré by mohli ohroziť existenciu spoločnosti v horizonte najmenej 12 mesiacov od dátumu závierky. Tento proces zahŕňa vyhodnotenie prevádzkových, finančných a legislatívnych faktorov, ako aj plánované opatrenia manažmentu na riešenie zistených problémov.

Následné udalosti, ktoré nastanú po dátume účtovnej závierky až do dátumu vyjadrenia audítora, majú významný dopad na celkový obraz finančnej situácie. Audítor preto monitoruje tieto udalosti, aby zabezpečil, že všetky relevantné informácie sú riadne zohľadnené v účtovnej závierke alebo sú vhodne zverejnené v poznámkach k účtovnej závierke.

Dodržiavanie medzinárodných štandardov auditu a systematické uplatňovanie vyššie opísaných postupov umožňujú audítorom získať primeranú istotu o správnosti a spoľahlivosti finančných výkazov, čím prispievajú k zvýšeniu dôvery užívateľov týchto informácií a k transparentnosti finančného prostredia.

Ďalšie články