Denetimdeki en büyük görevlerimizden biri, finansal tablolarda önemli yanlışlık risklerini bulmaktır. Bu riskler, iki farklı seviyede ortaya çıkabilir:
Bizim için önemli olan, bu riskleri doğru bir şekilde değerlendirmektir. Çünkü riskin seviyesi, bizim denetim prosedürlerimizi (ne kadar test yapacağımızı) belirler. Risk ne kadar yüksekse, bizim de o kadar çok ve titiz çalışmamız gerekir. Bu değerlendirme, matematiksel modellerle desteklenebilse de, özünde bir mesleki muhakeme konusudur.
Bir yazılım firması, finansal raporlama sistemini tamamen değiştiriyor ve yeni bir yazılım kullanmaya başlıyor. Bu yeni yazılım, şirketin tüm muhasebe süreçlerini etkileyeceği için, denetçi ekibi bunu finansal tabloların geneli düzeyinde bir önemli yanlışlık riski olarak değerlendirir. 💻
Aynı denetimde, denetçi, şirketin sattığı yazılım lisanslarının gelirlerinin doğru hesaplanıp hesaplanmadığına ilişkin bir risk fark eder. Bu risk, sadece "gelir" hesabını etkilediği için yönetim beyanı düzeyinde bir risk olarak değerlendirilir. Denetçi, bu iki farklı risk seviyesine göre farklı denetim planları hazırlar.
Yönetim beyanı düzeyindeki riskler, iki ana bileşene ayrılır:
Bu iki risk de, denetimden bağımsız olarak şirketin kendi içinde zaten var olan risklerdir. Kontrol riskini değerlendirirken, yönetim tarafından kurulan iç kontrollerin ne kadar etkili olduğunu inceleriz. Ne kadar iyi olursa olsun, iç kontrollerin de kusurları olabilir (insan hatası, anlaşmalı hile gibi). Bu nedenle, hiçbir zaman kontrol riskini sıfır olarak kabul edemeyiz.
Bir e-ticaret şirketi, stok sayımı için yeni bir barkod sistemi kullanıyor. 🏷️ Bu sistem, insan hatasını en aza indirmek için mükemmel tasarlanmış. Ancak, şirket çalışanlarından biri, stokları çalmak için sistemi manipüle etmeyi başarır.
Bu durumda, barkod sistemi çok iyi tasarlanmış olsa bile, bu hile nedeniyle kontrol riski yine de mevcuttur. Çünkü iç kontroller, mükemmel değildir ve her zaman aşılabilir. Bu yüzden denetçi, sadece kontrollerin varlığına değil, aynı zamanda onların ne kadar etkili çalıştığına da bakar.
Risk değerlendirmelerimizi hem niteliksel (örneğin "çok yüksek risk") hem de niceliksel (örneğin "yüzde 90 risk") olarak ifade edebiliriz. Önemli olan, hangi yaklaşımı kullandığımızdan daha çok, riskleri doğru bir şekilde anlamamızdır.
Bir denetçi için en önemli şey, bu risk değerlendirmelerini doğru bir şekilde yapmak ve bulgularımıza göre denetim prosedürlerimizi tasarlamaktır. Riskler ne kadar yüksekse, bizim de o risklere karşılık veren, daha kapsamlı ve etkili denetim prosedürleri uygulamamız gerekir. Bu sayede, finansal tablolar hakkında güvenilir bir görüş oluşturabiliriz.
Denetçi Zeynep, iki farklı müşteri denetliyor.
Müşteri A: Sağlam iç kontrollere ve şeffaf bir yönetime sahip. Zeynep, bu müşterideki "önemli yanlışlık" riskini düşük olarak değerlendirir ve detaylı testler yapmak yerine daha az örneklemle çalışır.
Müşteri B: İç kontrolleri zayıf, sektördeki rakipleri ise iflas ediyor. Zeynep, bu müşterideki "önemli yanlışlık" riskini yüksek olarak değerlendirir.
Bu durumda Zeynep, mesleki muhakemesini kullanarak Müşteri B için daha fazla denetim prosedürü uygulamaya karar verir. Her iki denetim de standartlara uygun olsa da, risk seviyeleri farklı olduğu için uygulanan prosedürlerin kapsamı ve yoğunluğu da farklıdır. Bu, risk değerlendirmesinin denetimi nasıl şekillendirdiğinin mükemmel bir örneğidir.