مرکز آموزش عالی علمی کاربردی فرهنگ و هنر واحد 13 تهران


عنوان پروژه: حسابرسی مبتنی‌بر ریسک


دانشجو: اردوان طالبی بهابادی

رشته: حسابداری مالی

استاد: جناب آقای بابایی

تاریخ: فروردین ماه 1392


مقدمه
شاید مهمترین مساله‌ی حسابرسی آن است که حسابرس چگونه می‌تواند علاوهبر افزودن به ارزش محصول (صورتهای مالی) مشتری‌اش، سودآوری کار خود را نیز افزایش دهد؟ در دهه‌ی گذشته، حسابرسی مبتنی‌بر ریسک به مثابه‌ی مهمترین گرایش حسابرسی مستقل برای پاسخ به مساله فوق بود. در صورتی که حسابرسی مبتنی‌بر ریسک به درستی انجام گیرد، فنون آن می‌تواند ضمن کمک به توسعه راهبردهای تجاری واحد تحت حسابرسی، کارایی کامل گروه حسابرسی را نیز به طور قابل ملاحظه‌ای ارتقا بخشد. حسابرسی مبتنی‌بر ریسک را می‌توان به عنوان فرآیند شناسایی و گزارش ریسک تحریفات با اهمیت در صورت های مالی دانست. از اینرو، اولاً حسابرسی نیازمند شناسایی حوزه‌هایی است که دارای ریسک بالایی از تحریفات با اهمیت‌اند؛ ریسک‌های مذکور محدوده‌هایی هستند که مستلزم کاربرد روش‌های گسترده‌تری خواهند بود. ثانیاً حسابرسی باید تعیین کند که چقدر و چگونه روش‌های خود را برای حوزه‌های کم ریسک کاهش می‌دهد. همچنین جهت شناسایی ریسک تحریفات با اهمیت موارد زیر تجزیه و تحلیل شود:
الف) ریسک واحد تجاری (ریسکی که یک رویداد بر تحقق اهداف شرکت اثر منفی می‌گذارد).
ب) چگونگی برخورد مدیریت با ریسک‌های مذکور .
ج ) تعیین محدوده‌ی ریسک‌هایی که مدیریت به آنها توجهی نکرده است. نگارنده در این نوشتار ابتدا به بیان تفاوتهای حسابرسی مبتنی‌بر ریسک با حسابرسی سنتی (حسابرسی مبتنی‌بر سیستم و مبتنی‌بر ترازنامه) می‌پردازد، سپس ضمن ارائه محدودیتهای حسابرسی سنتی، مزایای حسابرسی مبتنی‌بر ریسک را برمی‌شمرد، آنگاه جهت کاربردی کردن مباحث، مراحل اجرای حسابرسی مبتنی‌بر ریسک در یک شرکت بررسی می‌شود. امید است نوشتار حاضر بتواند در استفاده علمیتر از این رویکرد سهمی داشته باشد.

حسابرسی مبتنی‌بر ریسک:
حسابرسان تا سه دهه پیش تلاش می‌کردند با انجام آزمونهای محتوای گسترده (سندرسی و سایر روشهای حسابرسی) خطر حسابرسی را کاهش دهند، اما توسعه شرکتها و افزایش روزافزون حجم عملیات آنها، حسابرسان را با مشکل روبرو نمود. از سوی دیگر پیشرفت فن‌آوری اطلاعات و ابزارهای آن (مانند رایانه) و بهره‌گیری از علوم ریاضی و آمار، حسابرسان را در وضعیتی قرار داد که بتوانند روش علمی و قابل استفاده برای خود بدست آورند و با استفاده از مدل خطر حسابرسی و محاسبات ریاضی، مقدار خطر حسابرسی و عناصر تشکیل دهنده آن (خطر ذاتی، خطر کنترل و خطر عدم کشف) را از پیش برآورد و تعیین کنند. حسابرسان با تعیین خطر عدم کشف می‌توانند نوع و ماهیت، زمانبندی اجرا و حدود آزمون های محتوای لازم را برای تامین پوشش کافی در برابر خطر حسابرسی، مشخص کنند.
هدف از به کارگیری حسابرسی مبتنی‌بر ریسک، افزایش کارایی و اثربخشی حسابرسی است، زیرا با تعیین نوع و ماهیت، زمان‌بندی اجرا و حدود آزمونهای محتوا به گونه‌ای معقول و همراه با قابلیت پاسخگویی کامل، رسیدگیها به میزان مناسبی انجام گردیده و در نتیجه زمان صرف شده به سطح منطقی‌تری تغییر می‌یابد. در طرح کلی حسابرسی در صورت اتکا بر سیستم کنترل داخلی، آزمونهای محتوا محدود و در صورت عدم اتکا بر سیستم کنترل داخلی، آزمونهای محتوا گسترده‌تر پیش‌بینی و انجام می‌گیرند.
در حسابرسی مبتنی‌بر ریسک، حسابرسی پس از کسب شناخت اولیه از سیستم‌های حسابداری و کنترل داخلی (ثبت سیستم با استفاده از شرح نوشته، پرسش نامه کنترلهای داخلی و نمودگر یا تلفیقی از آنها و انجام دادن آزمون شناخت سیستم)، خطرهای ذاتی و کنترل را برآورد می‌کند. براورد اولیه از خطرهای ذاتی و کنترل، حسابرس را در تشخیص قابل اتکا بودن سیستم کنترل داخلی، کمک می‌کند. در صورت قابل اتکا بودن سیستم کنترل داخلی، حسابرس به آزمون کنترلهایی می پردازد که می خواهد بر آن اتکا کند. پس از اجرای آن، و کسب نتایج حاصل از اجرای آن می‌تواند برآورد اولیه از خطرهای ذاتی و کنترل را تعدیل نموده و نهایی کند.

تعریف حسابرسی مبتنی‌بر ریسک:
حسابرسی مبتنی‌بر ریسک را می‌توان به عنوان فرآیند شناسایی و گزارش ریسک تحریفات با اهمیت در صورتهای مالی دانست. از اینرو اولاً حسابرسی نیازمند شناسایی حوزه‌هایی است که دارای ریسک بالایی از تحریفات با اهمیت‌اند؛ ریسک های مذکور محدوده‌هایی هستند که مستلزم کاربرد روشهای گسترده‌تری خواهند بود. ثانیاً حسابرسی باید تعیین کند که چقدر و چگونه روشهای خود را برای حوزه‌های کم ریسک کاهش می‌دهد. همچنین جهت شناسایی ریسک تحریفات با اهمیت باید موارد زیر تجزیه و تحلیل شود:
الف) ریسک واحد تجاری (ریسکی که یک رویداد بر تحقق اهداف شرکت اثر منفی می‌گذارد)
ب) چگونگی برخورد مدیریت با ریسکهای مذکور
ج) تعیین محدوده ریسکهایی که مدیریت به آنها توجهی نکرده است.

اهمیت و ریسک حسابرسی:
در مورد مفهوم اهمیت، محافل حرفه‌ای در سطح جهان اغلب رهنمودها یا استانداردهایی انتشار داده‌اند. و از جمله ارتباط "اهمیت" و "ریسک حسابرسی" را تشریح کرده‌اند. با توجه به حیاتی بودن درک صحیح این ارتباط در حسابرسی مبتنی‌بر ریسک، این بخش به موضوع «اهمیت و ریسک حسابرسی» اختصاص یافته است. اصولاً اهمیت در ارتباط با کاربرد اطلاعات توسط استفاده کننده صورتهای مالی مفهوم پیدا می‌کند. براین اساس، اطلاعاتی دارای اهمیت شناخته می‌شود که حذف یا ارایه آن به شکل نادرست بتواند بر تصمیمات اقتصادی استفاده‌کنندگان از صورتهای مالی تاثیر بگذارد. به تبع این تعریف، درحسابرسی نیز اهمیت یک موضوع به قضاوت حسابرس در مورد نیازهای یک فرد منطقی که بر صورتهای مالی اتکا می‌کند، بستگی دارد. این قضاوت شامل ارزیابی مبالغ یا ماهیت و کیفیت حذف یا ارایه نادرست اطلاعات است. رهنمودهای حسابرسی صادر شده از سوی محافل حرفه‌ای بین المللی در ارتباط با «اهمیت» بر موارد زیر اتفاق نظر دارد:
الف) برنامه‌ریزی و اجرای عملیات حسابرسی باید به گونه‌ای انجام شود که انتظار معقولی جهت کشف تحریفهای با اهمیت وجود داشته باشد. قضاوت حسابرسی در مورد اهمیت، معطوف به جنبه‌های کمی و کیفی اطلاعات است.
ب) حسابرس باید در ارزیابی جنبه کیفی و ماهیت یک موضوع دقت کافی به خرج دهد زیرا گاه، اشتباهات کوچک از لحاظ مقداری، اثری با اهمیت بر اطلاعات مالی دارد.
ج) حسابرس باید در موارد زیر مفهوم اهمیت را مدنظر قرار دهد:
1) در تعیین ماهیت، زمان و میزان آزمونهای حسابرسی
2) ارزیابی اثر تحریف بر اندازه‌گیری و طبقه‌بندی حسابها همراه با تعیین کفایت ارایه و افشای اطلاعات مالی.
با توجه به مراتب فوق می‌توان نتیجه گرفت که:
اولاً- اهمیت را اثر اطلاعات بر استفاده تعیین می‌کند. آستانه یا نقطه آغاز اهمیت، نقطه‌ای است که یک قلم اطلاعات برای قضاوت یا تصمیم‌گیری یک فرد منطقی مهم تلقی شود.
ثانیاً- یکی از هدفهای حسابرسی این است که حسابرس در مقام فردی منطقی، حسابها را مورد رسیدگی قرار دهد و از قضاوت خود جهت تعیین اهمیت موضوعات استفاده کند. بدین‌ترتیب، قضاوتهای مربوط به اهمیت، بخشی از مجموعه قضاوتهایی است که حسابرس در مورد درست و منصفانه بودن تصویر صورتهای مالی انجام می‌دهد.
ثالثاً- قضاوتهای مربوط به اهمیت، هم کمی و هم کیفی است جنبه کیفی اهمیت، مشکلترین جنبه‌ی آن از لحاظ قضاوت است.
رابعاً- قضاوتهای مربوط به اهمیت را باید هم در مرحله برنامه‌ریزی و هم در مرحله ارزیابی نهایی فرآیند حسابرسی انجام داد. در عمل نمی‌توان همه موارد تحریف را که از لحاظ کیفی مهم هستند، کشف نمود زیرا رهنمودهای عملی در مورد برنامه‌ریزی بیشتر معطوف به تحریفهای کمی است. با این حال، حسابرس باید قضاوت خویش را در شناخت زمینه‌های مهم تحریف کیفی احتمالی به کار گیرد تا شواهدی در مورد احتمال وجود چنین تحریفهایی گرد آورد.

استفاده از اهمیت توسط حسابرس:
هر یک از حسابرسان به دلایل خاصی از این مفهوم استفاده می‌کنند. جدول زیر راههای استفاده از اهمیت به وسیله حسابرس را نشان می دهد:
راههای استفاده از اهمیت توسط حسابرس
- در نشانه‌گیری تلاش حسابرسی به جنبه‌های مهم
- در تصمیم‌گیری نسبت به ماهیت و میزان کار حسابرسی
- در طراحی نمونه‌های آماری
- در تصمیم‌گیری نسبت به میزان اتکا بر حسابرسان داخلی
در ارزیابی نیاز به استفاده از خدمات سایر متخصصان در جریان عملیات حسابرسی
- در ارزیابی اشتباهات کشف شده در جریان عملیات حسابرسی
- در صدور گزارشهای غیرمقبول

رابطه اهمیت و ریسک حسابرسی:
بین ریسک حسابرسی و اهمیت رابطه‌ای معکوس وجود دارد. اگر آستانه اهمیت افزایش یابد ریسک حسابرسی کاهش پیدا می‌کند و بر عکس. برای روشن شدن مطلب، ریسک پذیرش نادرست را (یعنی ریسک ارایه گزارش مقبول در مواردی که حسابها تصویری درست و منصفانه نشان نمی‌دهند) در نظر می‌گیریم. اگر سطح اهمیت را بالا ببریم، احتمال کمتری وجود دارد که اظهار نظر حسابرس نامناسب باشد.
فرض کنید که حسابرس ابتدا آستانه اهمیت را در سطح یک میلیون ریالی قرار دهد. و ریسک حسابرسی را در سطح 5% می‌پذیرد. به عبارت دیگر وی به دنبال 95% اطمینان است که همه تحریفهای یک میلیون ریالی و بالاتر کشف شود. حسابرس کارش را بر این مبنا انجام می‌دهد ولی در پی آن نتیجه می‌گیرد که آستانه اهمیت می‌توانست 2/1 میلیون ریال باشد. در نتیجه وی اکنون اطمینان بیشتری (یعنی ریسک کمتری) نسبت به آنچه قبلاً ضروری بود دارد چراکه با اطمینان بیشتری تحریفهای 2/1 میلیون ریالی و بالاتر از آن را می‌تواند کشف کند. بدین ترتیب رابطه معکوسی بین ریسک حسابرسی و اهمیت وجود دارد.

تفاوت های حسابرسی مبتنی‌بر ریسک با حسابرسی سنتی
عمده‌ترین تفاوتهای بین حسابرسی سنتی و حسابرسی مبتنی‌بر ریسک شامل موارد زیر است:
الف) نوع ریسکهایی که مورد ارزیابی قرار می‌گیرند.
ب) چگونگی ارزیابی ریسکهای مذکور.
به‌طور کلی، رویکرد حسابرسی سنتی تنها بر ریسکهای حسابرسی تمرکز دارد. در برنامه‌ریزی یک حسابرسی، حسابرس:
الف) نگران آن است که کنترلهای داخلی کافی وجود داشته باشد و در عمل نیز به نحو مناسب اجرا شود (ریسک کنترل)
ب) روشهای حسابرسی مورد عمل بتوانند تحریفها را کشف نمایند (ریسک کشف)
ج) همچنین حسابرس نگران ریسک ذاتی است، یعنی عواملی که بر ثروت مالی سازمان اثر می‌گذارد اما مدیریت و کنترل آن ها دشوار است.
حسابرسی مبتنی‌بر ریسک نسبت به حسابرسی سنتی یک گام جلو می‌گذارد و نه تنها بر ریسک حسابرسی تمرکز می‌نماید بلکه بر ریسک تجاری مشتری نیز تاکید می‌کند زیرا این ریسک می‌تواند بر سودآوری یک شرکت اثر بگذارد و به نوعی کلید حیات شرکت است. برای تجزیه و تحلیل این ریسک، حسابرس دریچه‌ای به عملیات شرکت حفر می‌نماید تا دریابد سازوکارهای عملیات شرکت چگونه است از این رو شرکت با چه ریسکهای تجاری کوتاه مدت و بلند مدتی روبه‌رو است. به این طریق، حسابرس می‌تواند با ارزیابی مستقل تمامی عوامل موثر بر تجارت و کسب و کار مشتری به مدیریت در کارآمد کردن عملیات یاری رساند. شاید به توان تفاوتهای حسابرسی سنتی و حسابرسی مبتنی‌بر ریسک را اینگونه توصیف کرد: در یک حسابرسی سنتی برای بررسی و ارزیابی صورتهای مالی حسابرسی و مدیریت شرکت مانند بازیکنان شطرنج در دو طرف یک میز یعنی مقابل هم می‌نشینند و از اینرو هر کدام زمینه بازی (تجارت مشتری) را از منظر خود می‌نگرند. اما در حسابرسی مبتنی‌بر ریسک، حسابرس و مشتری هر دو در یک طرف می‌نشیند. در این وضعیت، مشتری (مدیریت) دارای یک دوست یا شریک است زیرا هر دو واحد تجاری و تجارت آن را از منظری یکسان می‌نگرند.

محدودیت‌های رویکرد سنتی
برای تشریح موضوع یک شرکت پیمانکاری را در نظر بگیرید. در حسابرسی سنتی، حسابرسان قالب تصمیمات خود را برمبنای اهمیت شکل می‌دهند که در این جا قاعدتاً درصد(یا کسری) از حجم عملیات پیمانکار است. از آنجا که در این نوع حسابرسی تمرکز بر اثبات ارقام درج شده در صورتهای مالی است، کنترلهای داخلی شرکت به طور وسیع به منظور حسابرسی کارا مورد ارزیابی قرار نمی‌گیرد. در پایان حسابرسی هم، حسابرس چیزی را اثبات می‌کند که شرکت قبلاً می‌دانست یعنی شرکت روی برخی کارها سود می‌کند و روی برخی دیگر زیان می‌دهد. سپس شرکت صورت حسابی را از حسابرس دریافت می‌کند و فرآیند مذکور در سال بعد مجدداً تکرار می‌شود. به دلیل این که محیط کنترلی تعدادی از شرکتهای ایرانی ضعیف است، شاید رویکرد فوق، تنها رویکردی باشد که حسابرسان می‌توانند اتخاذ نمایند. اما توجه داشته باشیم که یک محیط کنترل داخلی ضعیف، ریسک فوق‌العاده‌ای دارد و حتماً باید در کانون توجه مدیریت شرکت قرار گیرد. در این حالت حسابرسی مبتنی‌بر ریسک بر عکس حسابرسی سنتی اقدام به شناسایی نقاط ضعف مذکور می‌نماید و از اینرو به مدیریت کمک می‌نماید تا گامهای مناسبی را برای تقویت کنترلهای داخلی بردارد.

مزایای رویکرد مبتنی‌بر ریسک
حسابرسی سنتی بر ریسک علاوه‌بر تمرکز بر ارقام صورتهای مالی، توجه خود را به شناخت فعالیت تجاری
شرکت معطوف می‌نماید. زیرا ارقام مذکور حاصل فعالیتهای مزبور است. شناخت حسابرس شامل شناخت از افرادی کلیدی و رهبران شرکت و نحوه‌ی تصمیم‌سازی و تصمیم‌گیری آنها می‌شود. در زیر به برخی مسائلی پرداخته می‌شود که نوعاً در حسابرسی مبتنی‌بر ریسک به آنها توجه می‌شود.
• ساختار خاص واحد تجاری چگونه از رقبایش متمایز می‌شود و حاشیه رقابتی واحد تجاری چیست؟
• مسائل عملیاتی روزمره‌ای که مدیریت کلیدی شرکت با آن مواجه است چیست؟
• مدیریت با مسائل و مشکلات عملیاتی چگونه برخورد می‌کند؟
• برای حصول اطمینان از اجرای مفاد قراردادها، قوانین و مقررات چه کنترلهای عملیاتی به اجرا در می‌آید ؟
• برای حصول اطمینان از این که عملیات گزارشگری و حسابداری سال بدون خطا وتقلب باشند چه کنترل‌های داخلی مشخصی اجرا می‌شود؟
• مدیریت چگونه از صحت اطلاعات مالی مورد استفاده در تصمیمات مهم اطمینان می‌یابد؟
• کارکنان بی تجربه در چه کارکردهایی گمارده شده‌اند؟
به عبارت دیگر، در یک حسابرسی مبتنی‌بر ریسک، حسابرس مسئول شناخت تمامی ویژگیهای ساختاری تجاری شرکت تحت بررسی است.

احتمال خطر حسابرسی (ریسک حسابرسی) (AR): Audit Risk
احتمال خطر حسابرسی به این احتمال اشاره دارد که حسابرسان ممکن است نادانسته نظر خود را نسبت به صورتهای مالی حاوی تحریفی با اهمیت، تعدیل ننمایند. احتمال خطر حسابرسی از لحاظ کلیت صورتهای مالی عبارتست از احتمال اینکه تحریفی با اهمیت در صورتهای مالی وجود داشته ولی حسابرسان با روشهای رسیدگی خود آنرا کشف نکنند. حسابرسان در برنامه ریزی حسابرسی باید به عوامل موثر بر احتمال خطر حسابرسی توجه نمایند. حسابرسان باید طوری حسابرسی و برنامه ریزی کنند که خطر حسابرسی به حداقل محدود شود، یعنی خطر حسابرسی باید تا میزانی به حداقل برسد که حسابرسان بنا به قضاوت حرفه‌ای خود، آن میزان را برای ابراز اظهار نظر حرفه‌ای خویش مناسب ببیند. نکته اساسی اینست که احتمال ارائه
نادرست صورتهای مالی توسط برخی از صاحبکاران بیش از سایرین است.

عوامل موثر بر احتمال خطر حسابرسی:
خصوصیات مدیریت
- تنها یک نفر نسبت به امور مالی و مدیریت عملیاتی تصمیم می‌گیرد.
- رفتار مدیریت با گزارشگری مالی، مناسب نیست.
- تغییر مدیریت (کارکنان ارشد مالی) زیاد اتفاق می‌افتد.
- مدیریت واحد تجاری بیش از اندازه نسبت به دستیابی به پیش‌بینی‌های مربوط به کسب درآمد پافشاری می‌کند.
- مدیریت واحد مورد رسیدگی، در محفل تجاری حسن شهرتی ندارد.

ویژگیهای عملیات
- سودآوری واحد تجاری در مقایسه با سایر واحدهای صنعت، کافی نیست یا ثباتی ندارد.
- نتایج عملیات واحد تجاری در برابر عوامل اقتصادی (مانند تورم، نرخهای بهره، بیکاری) بسیار حساس و شکننده است.
- سرعت تغییرات در این رشته فعالیت بسیار زیاد است.
- صنعتی که واحد تجاری در آن فعالیت می‌کند به دلیل ورشکستگی تعداد زیادی از واحدهای شاغل در آن، رو به زوال است.
- واحد تجاری بطور غیرمتمرکز و بدون نظارت کافی اداره می شود.
- عواملی در داخل یا خارج واحد تجاری وجود دارد که تداوم فعالیت آنرا مورد تردید قرار می‌دهد.
ویژگیهای حسابرسی واحد مورد رسیدگی
1- مسایل حسابداری پیچیده یا ضد نقیضی وجود دارد.
2- معاملات یا مانده حسابهای عمده‌ای وجود دارد که رسیدگی به آنها ذاتاً دشوار است.
3- معاملات عمده و غیرعادی با اشخاص وابسته وجود دارد که در روال عادی کار شرکت نیست.
4- نوع، دلیل یا مبلغ تحریفهای شناخته شده یا احتمالی که در رسیدگیهای سال قبل، کشف شده و حایز اهمیت است.
5- صاحبکار جدیدی که در سالهای قبل حسابرسی نشده است یا دسترسی به اطلاعات کافی از حسابرس قبلی آن میسر نیست.

احتمال خطر حسابرسی در سطح یک حساب به سه جزء به شرح ذیل تقسیم‌بندی می‌شود:
1- احتمال خطر ذاتی IR
2- احتمال خطر کنترل CR
3- احتمال خطر عدم کشف DR

خطر ذاتی Inhernet Risk
خطر ذاتی عبارت است از احتمال رخ دادن یک اشتباه یا تحریف با اهمیت درمانده یک حساب یا گروه معاملات، با فرض این که برای آن، کنترل داخلی وجود نداشته باشد. خطر ذاتی را باید درمرحله برنامه‌ریزی ارزیابی کرد و به طور مستمر طی عملیات حسابرسی تحت نظر قرار داد. حسابرس در برآورد خطر ذاتی عوامل گوناگونی را با استفاده از قضاوت حرفه‌ای خود ارزیابی می کند که نمونه‌هایی از آن به شرح زیر است:
1- درستکاری مدیریت
2- تجربه و دانش مدیریت و تغییرات مدیریت طی دوره
3- نوع و ماهیت فعالیت تجاری واحد مورد رسیدگی
4- عوامل موثر بر صنعتی که واحد رسیدگی در آن فعالیت می کند
5- آثار وجود اشخاص وابسته
6- نتیجه حسابرسی سالهای گذشته
7- استعداد ذاتی یک حساب برای تحریف
8- میزان قضاوت بکار رفته در تعیین مانده حسابها
9- معاملات خارج از روال عادی فعالیت واحد تجاری
10- وجود معاملات غیرعادی و پیچیده، به ویژه در پایان یا اواخر دوره مالی

خطر کنترل Control Risk
خطر کنترل عبارت است از احتمال رخ دادن یک اشتباه یا تحریف با اهمیت در مانده، یک حساب یا گروه معاملات، با فرض اینکه ساختار کنترل داخلی شرکت نتواند از وقوع آنها جلوگیری و یا به موقع آنها را کشف کند. هدف حسابرس مستقل از برآورد خطر کنترل، برآورد خطر عدم کشف برای ادعاهای مندرج در صورتهای مالی است. لازم به توضیح است که هر چه کنترل داخلی جامعتر و کاملتر باشد، خطر کنترل پایین‌تر ارزیابی خواهد شد.

خطر عدم کشف Detection Risk
خطر عدم کشف عبارت است است احتمال خطر اینکه روشهای رسیدگی حسابرسان سبب شود به این نتیجه برسند که اشتباه یا تحریف با اهمیتی درمانده حساب مورد رسیدگی یا گروه معاملات وجود ندارد، در حالی که حساب مزبور در واقع دارای اشتباه یا تحریف با اهمیت است.
خطر عدم کشف به طور مستقیم به موثر بودن روشهای رسیدگی حسابرسان مربوط است، در حالی که خطر ذاتی و خطر کنترل متأثر از صاحبکار و محیط کار آن بوده و مستقل از حسابرسی صورتهای مالی در محیط صاحبکار وجود دارند. حسابرسان هنگام برنامه‌ریزی حسابرسی باید میزان خطرهای ذاتی و کنترل هر یک از حسابهای عمده صورتهای مالی یا گروه‌های معاملات را تعیین کنند و سپس برای کاهش خطر عدم کشف تا سطح قابل پذیرش، روشهای رسیدگی کافی را برنامه‌ریزی نمایند تا با محدود نمودن خطر حسابرسی، بتوانند در مورد صورتهای مالی اظهار نظری عاری از اشتباه یا تحریف با اهمیت ارائه دهند.
خطر عدم کشف تا سطح مورد قبول، روشهای رسیدگی کافی را برنامه‌ریزی و اجرا نمایند. بدین‌ترتیب، خطر کلی حسابرسی به حدی کم خواهد بود که حسابرسان بتوانند اظهار دارند صورتهای مالی عاری از تحریف با اهمیت است. برای مثال، چنانچه حسابرسان بر این باور باشد که سیستم کنترل داخلی صاحبکار در مورد حسابهای دریافتی ضعیف است، که نتیجه آن زیاد بودن احتمال خطر عدم کشف در مورد حسابهای دریافتی است، حسابرسان می‌توانند برای جبران آن، روشهای آزمون محتوای خود را افزایش دهند. تا بدین‌ترتیب، احتمال خطر عدم کشف را کاهش دهند. انواع عمده شواهدی که برای محدود کردن احتمال خطر عدم کشف جمع‌آوری می‌شود، به شرح زیر خلاصه می‌شود:
1) شواهد عینی: شمارش وجوه نقد یا مشاهده عینی موجودیهای کالا و ...
2) مدارک:
الف: مدارکی که در خارج از سازمان صاحبکار بوجود آمده و مستقیماً برای حسابرسان ارسال شده است (که از قویترین شواهد و دارای بهترین کیفیت برای حسابرسان هستند.)
ب: مدارکی که در خارج از سازمان صاحبکار بوجود آمده و توسط صاحبکار نگهداری می‌شود (اگر این مدارک از نوع غیر تغییر باشند برای حسابرسان دارای اعتبار بیشتری هستند). مثل صورت حسابهای بانک، فاکتورهای خرید کالا، به شرطی که قابل دستکاری نباشند.
ج: مدارکی که در درون سازمان صاحبکار ایجاد و نگهداری می‌شود (در صورتی که کنترلهای داخلی قوی در مورد این قبیل مدارک وجود داشته باشد، قابلیت اطمینان آنها افزایش می‌یابد). مثل فاکتور فروش، رسید انبار و ...
3) دفاتر و اسناد حسابداری (در صورتی که کنترلهای داخلی قوی در این مورد وجود داشته باشد، قابلیت اطمینان آنها را افزایش می‌دهد).
4) روشهای تحلیلی (مقایسات و نسبتها).
5) محاسبات (محاسبات مستقلی که حسابرسان انجام می‌دهند و درستی عملیات ریاضی را تایید می‌کنند، مثل کنترل محاسبات مربوط به استهلاک و ...)
6) نظرات کارشناسان (حسابرسان ممکن است در زمینه امور فنی مثل قضاوت نسبت به کیفیت موجودیهای کالای صاحبکار تخصص نداشته باشند و از کارشناس استفاده کنند. کارشناس شخصی است که دارای دانش و تخصصی غیر از حسابداری و حسابرسی باشد).
7) شواهد شفاهی (سوالات متعددی که حسابرسان از مسئولین شرکت می‌نمایند از قبیل سوال در مورد میزان برآورد ذخیره م.م از صاحبکار و مقایسه آن با ذخیره م.م محاسبه شده توسط حسابرس).
تاییدیه‌های مدیریت (که در تاریخ پایان رسیدگیها اخذ می‌شود). حسابرسان نامه تاییدیه مدیران در هر کار حسابرسی را دریافت می‌نمایند. ولی دقت داشته باشیم که نامه تاییدیه مدیران یکی از شواهد کم اهمیت حسابرسی است و هرگز نباید جایگزین سایر روشهای رسیدگی شود. (صورتهای مالی خود اظهارات مدون صاحبکار بوده و بنابراین یک نامه تاییدیه مدیران چیزی جزء تاکید بر صحت اظهارات اولیه مدیران نیست).

مراحل حسابرسی با نگرش مبتنی‌بر ریسک:
1- برنامه‌ریزی حسابرسی
2- اجرای آزمون کنترلها و برآورد خطر کنترل (CR)
3- برآورد خطر عدم کشف (DR)
4- طراحی، اجرا و ارزیابی نتایج آزمون محتوا
5- بررسی تکمیلی و صدور گزارش حسابرس مستقل
مرحله 1): برنامه‌ریزی حسابرسی
برنامه‌ریزی یعنی پیش از کار حسابرسی در مورد واحد رسیدگی جدید تحقیق شود، درباره فعالیت واحد مورد رسیدگی، شناخت لازم کسب شود و برای سازماندهی، یکنواخت‌سازی و تنظیم برنامه کار حسابرسان، طرح کلی تنظیم شود.
1- مراحل برنامه ریزی به شرح زیر است:
1-1- کسب اطلاعات لازم برای پذیرش کار: حسابرس پیش از پذیرش کار حسابرسی باید شناختی مقدماتی از صنعت مربوط و مالکیت، مدیریت و عملیات واحد مورد رسیدگی بدست آورد.
2-1- کسب اطلاعات کلی و شناخت الزامات قانونی: حسابرس در رسیدگی به صورتهای مالی باید چنان شناختی از فعالیت واحد مورد رسیدگی داشته باشد که برای درک روش کار واحد مورد رسیدگی و شناسایی آن گروه از رویدادها و معاملات که به اعتقاد حسابرس می‌تواند بر صورتهای مالی یا رسیدگی‌ها یا گزارش وی اثر عمده‌ای بگذارد، کافی باشد.
3-1- برآورد خطر عدم کشف ناشی از بررسی تحلیلی مقدماتی (APR): هدف از بکارگیری بررسی‌های تحلیلی در این مرحله به منظور کسب شناخت از فعالیت واحد مورد رسیدگی و تعیین زمینه‌های بالقوه مخاطره آمیز کار، است.
4-1- برآورد خطر ذاتی (IR): در دو سطح صورتهای مالی و مانده حسابها برآورد می‌شود. حسابرس برای تدوین طرح کلی حسابرسی باید خطر ذاتی را در سطح صورتهای مالی برآورد کند و برای تدوین برنامه حسابرسی این برآورد را به مانده حسابهای با اهمیت ربط دهد.
5-1- شناخت اولیه از سیستم کنترل داخلی و برآورد اولیه از خطر کنترل (CR): پس از کسب شناخت اولیه از سیستم کنترل داخلی، حسابرس باید برآورد اولیه‌ای از خطر کنترل به عمل آورد. خطر کنترل میزان انتظار حسابرس از عدم کشف یا پیشگیری اشتباهات و یا تحریفات توسط سیستم کنترل داخلی است و در بهترین شرایط، حداقل معادل 30 درصد پیشنهاد می‌شود. برآورد اولیه حسابرس از خطر کنترل متکی به ارزیابی اطلاعات مقدماتی کسب شده درباره سیستم کنترل داخلی و قضاوت وی در این باره است.
در این مرحله، حسابرس با طرح چند سوال اصلی از چرخه‌های عملیاتی شرکت و یافتن پاسخ آنها براساس روشهایی چون پرس و جو، مطالعه و بررسی رویه‌ها و دستورالعمل‌های مربوط، مشاهده و مرور اسناد و مدارک، مشاهده اقدامات و عملیات در حال اجرا و جمع‌بندی تجربیات حسابرس از حسابرسی واحد مورد رسیدگی در دوره‌های گذشته، با توجه به رعایت شدن و نشدن سوالات اصلی، اقدام به برآورد اولیه خطر کنترل می‌نماید. برآورد اولیه خطر کنترل با هدفهایی چون موارد زیر صورت می‌گیرد:
1- تشخیص قابل حسابرسی بودن صورتهای مالی
2- تدوین استراتژی حسابرسی
3- تعیین خطر عدم کشف برنامه‌ریزی شده
در این مرحله، حسابرس عمدتاً به منظور قابل حسابرسی بودن صورتهای مالی، اسناد و مدارک و سوابق حسابداری را به عنوان منابع کسب شواهد حسابرسی مورد بررسی قرار می‌دهد. اگر حسابرس براساس شواهد به این نتیجه برسد که صورتهای مالی به دلیل ضعف شدید کنترل‌های داخلی غیر قابل حسابرسی است، ضمن طرح موضوع با بالاترین مقام ذیصلاح در واحد مورد رسیدگی، باید کناره‌گیری از کار و یا اعلام نوع اظهار نظر حرفه‌ای (عدم اظهارنظر) را به واحد مورد رسیدگی مدنظر قرار دهد. در صورت قابل حسابرسی بودن و قابل اتکا بودن سیستم کنترل داخلی شرکت، حسابرس با انجام آزمون کنترلها نسبت به اجرای سایر مراحل مدل خطر حسابرسی مبتنی‌بر ریسک اقدام خواهد کرد.
6-1- برآورد اهمیت: برآورد حسابرس از اهمیت با توجه به کمیت، ماهیت و شرایط ایجاد اقلام و اندازه واحد مورد رسیدگی است که اشتباه قابل تحمل نیز نامیده می‌شود.
مراحل تعیین اهمیت در جریان حسابرسی:
الف) برآورد اهمیت
ب) تخصیصی اهمیت برآوردی به اجزای صورتهای مالی
ج) برآورد جمع اشتباهات و یا تحریفات در هر یک از اجزای صورتهای مالی
د) برآورد جمع اشتباهات و یا تحریفات
و) مقایسه مجموع اشتباهات و تحریفات با اهمیت برآوردی
در برآورد اهمیت به دو مقوله کارایی و اثربخشی توجه ویژه‌ای می‌شود به طوری که حسابهایی که مستلزم صرف هزینه و زمان بیشتر است (افزایش کارایی) اهمیت بیشتری تخصیص می‌یابد.
7-1- تعیین خطر قابل پذیرش حسابرسی (AAR): خطر حسابرسی یعنی احتمال خطر اینکه حسابرس نسبت به صورتهای مالی حاوی اشتباه و یا تحریف با اهمیت، نظر حرفه‌ای نامناسب اظهار کند. خطر قابل پذیرش حسابرسی میزانی از خطر است که حسابرس حاضر به پذیرش آن است. خطر قابل پذیرش حسابرسی رابطه‌ای معکوس با سطح اطمینان دارد، یعنی هنگامی که حسابرس خطر قابل پذیرش حسابرسی را کاهش می‌دهد مفهوم آن این است که با اطمینان بیشتری نبود اشتباه و یا تحریف در صورتهای مالی را می‌پذیرد. به عبارت دیگر خطر قابل پذیرش حسابرسی و سطح اطمینان مکمل یکدیگرند، یعنی خطر قابل پذیرش حسابرسی به میزان 5 درصد به منزله سطح اطمینان حسابرسی 95 درصد است. یعنی:
در مدل خطر حسابرسی، خطر قابل پذیرش حسابرسی دارای رابطه مستقیم با خطر عدم کشف و در نتیجه رابطه معکوس با شواهد حسابرسی (آزمونهای محتوا) است. خطر قابل پذیرش حسابرس با پیشنهاد مسئول کار و تایید شریک یا مدیر کار براساس عواملی چون خطر گریزی حسابرس، نوع و ترکیب مشتریان موسسه حسابرسی، گستردگی استفاده‌کنندگان صورتهای مالی، خصوصی و دولتی بودن واحد مورد رسیدگی و تجارب حسابرس از واحد مورد رسیدگی تعیین می‌شود.
8-1- برآورد اولیه از خطر عدم کشف ناشی از آزمون جزئیات (TDDR): خطر عدم کشف ناشی از آزمون جزئیات یعنی خطر اینکه آزمونهای جزئیات و در نتیجه، شواهد حسابرسی گردآوری شده، اشتباهات و یا تحریفهای با اهمیت موجود در مانده حسابها یا گروه‌های معاملات را کشف نکند. خطر قابل پذیرش حسابرسی با خطر عدم کشف و خطر عدم کشف ناشی از آزمون جزئیات رابطه مستقیم دارد. خطر ذاتی و خطر کنترل با خطر عدم کشف ناشی از آزمونهای جزئیات رابطه معکوس دارد. بین خطر عدم کشف و حجم کار (شواهد حسابرسی) رابطه معکوس وجود دارد، یعنی هر چه کنترلهای داخلی ضعیف ارزیابی شود، خطر کنترل افزایش خواهد یافت و با افزایش خطر کنترل، خطر عدم کشف به سطح پایینی کاهش یافته و حسابرس جهت پذیرش خطر پایین حسابرسی بایستی شواهد بیشتری جمع‌آوری نماید، لذا خطر کنترل با حجم کار (آزمونهای محتوا) رابطه مستقیم و با خطر عدم کشف رابطه معکوس دارد، اما تاثیر خطر عدم کشف بر حجم کار در مرحله برنامه‌ریزی، عمدتاً بر قضاوت حرفه‌ای حسابرس متکی است.
9-1- تهیه بودجه و تنظیم قرارداد: با توجه به برآورد حجم کار حسابرسی و نرخهای حق‌الزحمه حسابرسی، بودجه کار حسابرسی تهیه و قرارداد حسابرسی تنظیم می‌شود.
10-1- تعیین اعضای گروه حسابرسی: پس از تعیین بودجه حسابرسی، اعضای گروه حسابرسی با توجه به آموزش و مهارت کارکنان، آشنایی کارکنان با صنعت مربوطه، تجربه قبلی از واحد مورد رسیدگی، نوع و ماهیت آزمونهای محتوای طراحی شده و پیچیدگی عملیات واحد مورد رسیدگی تعیین می‌شود.

شناخت سیستم‌های حسابداری و کنترل داخلی و برآورد نهایی خطر کنترل
پس از کسب شناخت اولیه از سیستم‌های حسابداری و کنترل داخلی و تصمیم حسابرس مبنی‌بر پذیرش و انجام کار، اولین مرحله اجرای عملیات، کسب شناخت کافی از طراحی سیستم‌های حسابداری و کنترل داخلی و چگونگی اعمال آنها است. پس از کسب شناخت کافی از سیستم‌های حسابداری و کنترل داخلی و با توجه به برآورد اولیه از خطر کنترل، حسابرس روشهای کنترل اصلی و تفصیلی هر یک از مانده حسابهای با اهمیت یا گروه‌های عمده معاملات را طراحی و با توجه به تعداد نمونه‌های انتخابی، نسبت به انجام آزمونهای کنترل و رعایت در هر یک از چرخه‌های عملیاتی اقدام می‌نماید. بعد از اجرای آزمونهای کنترل داخلی و کسب شواهد لازم، حسابرس برآورد نهایی خطر کنترل را انجام می‌دهد.
کسب شناخت از سیستم‌های حسابداری و کنترلهای داخلی معمولاً از طریق روشهای زیر صورت می‌گیرد ضمناً می‌بایست در کاربرگهای حسابرسی مستند شود.
1- به روز کردن شناخت کسب شده در حسابرسیهای گذشته
2- پرس و جو از مدیریت و سطوح مختلف کارکنان
3- مطالعه و بررسی دستورالعملهای اجرایی، شرح وظایف و نمودگرهای واحد مورد رسیدگی
4- بازرسی مستندات و مدارک سیستم‌های حسابداری و کنترل داخلی
5- مشاهده فعالیتها و عملیات واحد مورد رسیدگی

برآورد خطر عدم کشف (DR)
خطر عدم کشف یعنی خطر این که آزمونهای محتوای حسابرس، اشتباه و یا تحریف موجود در مانده یک حساب یا گروهی از معاملات را که بتواند به تنهایی در مجموع با اشتباهات و یا تحریفهای موجود در سایر مانده حسابها و گروه‌های معاملات، با اهمیت باشد، کشف نکند. خطر عدم کشف عامل اصلی در تعیین نوع و ماهیت، زمان‌بندی اجرا و حدود آزمونهای محتوا در حسابرسی است و برای هر یک از مانده حسابها و گروه‌های معاملات تعیین می‌شود. در تعیین خطر عدم کشف، خطر قابل پذیرش حسابرسی و خطر ذاتی تعیین شده در مرحله برنامه‌ریزی مورد استفاده قرار می‌گیرد.

طراحی، اجرا و ارزیابی نتایج آزمونهای محتوا
آزمونهای محتوا، آزمونهایی هستند که برای اثبات مطلوبیت ارائه هر قلم منعکس در صورتهای مالی طراحی و اجرا می‌شوند. این آزمونها معمولاً بعد از پایان سال مالی انجام می‌گیرند و بر دو گونه می‌باشند:
1- آزمون جزئیات معاملات و رویدادهای مالی و مانده حسابها
2- بررسی تحلیلی
با توجه به ارتباط خطر عدم کشف با ازمونهای محتوا، خطر عدم کشف خود از دو خطر فرعی به شرح زیر تشکیل می‌شود:
مراحل طراحی، اجرا و ارزیابی نتایج آزمونهای محتوا به ترتیب به شرح زیر صورت می‌گیرد:
1- تعیین خطر عدم کشف
2- اجرای بررسی تحلیلی در مورد مانده هر حساب یا گروه معاملات و تعیین خطر بررسی تحلیلی (APR)
3- تعیین خطر عدم کشف آزمون جزئیات معاملات (TDDR) با توجه به خطر بررسی تحلیلی تعیین شده
4- طراحی و اجرای آزمون جزئیات معاملات با توجه به تعیین عدم کشف آزمون جزئیات
5- ارزیابی نتایج حاصل از اجرای آزمون جزئیات
پس از تعیین خطر عدم کشف مربوط به آزمونهای محتوا، با اجرای بررسی تحلیلی در مورد هر مانده حساب یا گروه معاملات، خطر بررسی تحلیلی برآورد شده و با استفاده از رابطه، خطر عدم کشف آزمونهای جزئیات مانده حساب یا گروه معاملات محاسبه می‌شود.

خلاصه و نتیجه‌گیری
به طور خلاصه، حسابرسی مبتنی‌بر ریسک نه تنها نقش ارزش‌افزایی حسابرسی برای محصول(صورتهای مالی) مشتری را تثبیت می‌کند بلکه کار حسابرسی را سودآورتر می‌سازد. به عبارت دیگر، حسابرسی مبتنی‌بر ریسک این امکان را فراهم می‌سازد تا در پایان کار هر دو طرف، مدیران و حسابرسان، احساس رضایت کنند. ارزیابی ریسک به حسابرس کمک می‌کند تا با کمک ارزشمند خود به مشتری که برای تقویت عملیات صورت می‌گیرد رویکردی فعال داشته باشد. دلایل عدم گسترش استفاده از رویکرد حسابرسی مبتنی‌بر ریسک در موسسات حسابرسی شامل فقدان اطمینان از اعمال قضاوتهای مربوط به ریسک حسابرسی، نیاز فراوان به دانش تخصصی ریسکها، فقدان زمان برای برنامه‌ریزی نوع جدید راهبرد کار حسابرسی و این تلقی نادرست است که از آن نمی‌توان برای تمامی حسابرس‌ها استفاده کرد. بر عکس، براساس تحقیقات نظری و عملی انجام گرفته در برخی کشورها نه تنها روش‌شناسی این رویکرد به فن پیچیده و بالایی نیاز ندارد، بلکه منابع حاصل از صرف زمان بیشتر در برنامه‌ریزی حسابرسی، بیش از هزینه‌های عدم استفاده از این رویکرد است. همچنین حسابرسی مبتنی‌بر ریسک را می‌توان برای انواع حسابرسی به کار گرفت و آن را برای حسابرسی موسسات خصوصی و دولتی و عمومی اعمال نمود. البته حسابرسی مبتنی‌بر ریسک با ریسکهای مشخصی نیز روبرو است. استفاده از حسابرس بی‌تجربه، بی‌توجهی به تغییرات محیطی و تجاری شرکت تحت حسابرسی، تکیه بر دانش تجربی مشتری و دانش قبلی حسابرس و عدم توجه به ویژگی‌های خاص صنعت از جمله‌ی این ریسکها است.

سلام
با تشكر