Sally, pořád mi není jasná jedna věc. Riziko, že vedení může obcházet vlastní kontroly, je vždy přítomno. Jaký smysl má potom celé to zvažování faktorů a dotazování, když je dopředu dáno, že to stejně bude významné riziko?
Samotné riziko je přítomno vždy. Ale jeho míra a konkrétní oblasti, ve kterých se může projevovat, se budou lišit. Smyslem vyhodnocení rizika není jen určení jeho výše, ale stanovení jeho konkrétní podoby a určení vhodných procedur, kterými jej pokrýt.
Ale já myslel, že i ty procedury jsou předepsané přímo standardy. Ty přeci požadují tři kroky: zkontrolovat správnost účetních zápisů v hlavní knize a dalších úprav provedených při sestavení účetní závěrky, prověřit nepředpojatost účetních odhadů a zhodnotit neobvyklé významné transakce.
Ano, to jsou tři procedury, které musí být vždy provedeny. Ale jejich podobu určuješ právě v reakci na vyhodnocená rizika. Například u účetních zápisů budeš rozhodovat, zdali je prověřovat jen na konci roku nebo též v průběhu účetního období či jaké charakteristiky účetních zápisů budeš považovat za znaky možného podvodu.
Aha. Podobně u účetních odhadů budu rozhodovat, jakým způsobem a do jaké hloubky je budu prověřovat nebo na které účetní odhady se zaměřím víc.
Správně. A nezapomeň, že těmi uvedenými třemi procedurami to nemusí končit. Můžeš identifikovat další specifická rizika nedodržení kontrol vedením. Potom musíš určit, zda je třeba provést další auditorské postupy kromě těch třech povinných procedur.
To dává smysl. Takže když například identifikuji riziko, že by mohly být zaúčtovány náklady na služby, u kterých nedošlo ke skutečnému plnění, měl bych patřičně reagovat. Například tím, že se pro testované položky nespokojím s fakturou či smlouvou, ale budu požadovat další důkazní informace, že služba byla skutečně poskytnuta v plném deklarovaném rozsahu.