Ο όρος «περιβάλλον» στο άρθρο δεν περιορίζεται στο φυσικό περιβάλλον ελέγχου, έχει μια ευρύτερη έννοια, που αναπτύσσεται στη συνέχεια και που θα πρέπει να τεκμηριώνεται στο Φύλλο Ελέγχου Περιβάλλοντος της ελεγχόμενης οντότητας. Οι παρακάτω σημειώσεις καλύπτουν τις κύριες πτυχές του ελέγχου του περιβάλλοντος και αποτελούν βασικά θέματα που πρέπει να λαμβάνονται υπόψη κατά τον σχεδιασμό του ελέγχου, καθώς και κατά τη διάρκειά του. Τα θέματα αυτά είναι:
➜ O έλεγχος συνείδησης (Control consciousness).
➜ O διαχωρισμός καθηκόντων (Segregation of duties).
➜ H διοικητική παράκαμψη (Management override).
➜ H ικανότητα προσωπικού (Competence of personnel).
➜ H προστασία περιουσιακών στοιχείων και βιβλίων (Protection of assets and records).
➜ H προκαταρκτική αξιολόγηση των μηχανογραφικών συστημάτων και εγκαταστάσεων (Preliminary evaluation of the EDP systems and installations).
Αναλυτικότερα:
1. Έλεγχος συνείδησης
Αποτελεί, ο έλεγχος συνείδησης (control of consciousness), τη συμπεριφορά της διοίκησης και των στελεχών που είναι υπεύθυνα για τον εσωτερικό έλεγχο προς εκπλήρωση των ευθυνών τους ως προς την αποτελεσματική λειτουργία των δικλίδων εσωτερικού ελέγχου. Κατά τον μεγάλο μας φιλόσοφο Αριστοτέλη, ο εσωτερικός έλεγχος αποτελεί θέμα σκέψης και γενικότερης συμπεριφοράς. Αποτελεσματική λογοδοσία (effective accounting) και εσωτερικός έλεγχος (internal control) απαιτούν τάξη και πειθαρχία εντός της οντότητας. Όταν η τάξη αυξάνεται, το πιθανότερο είναι ότι αυξάνεται και η αξιοπιστία των πληροφοριών σε μία οντότητα. Ομοίως, όταν η διοίκηση εμφανίζει μια θετική στάση απέναντι στον εσωτερικό έλεγχο, γενικά η στάση και η απόδοση των εργαζομένων αντανακλούν τη στάση της διοίκησης και ως αποτέλεσμα δημιουργείται μια αυξημένη αξιοπιστία και συνέπεια στην εκτελούμενη εργασία.
Εάν η διοίκηση κάνει χρήση των πληροφοριών που παρέχονται από ένα μηχανογραφικό λογιστικό σύστημα για σκοπούς ελέγχου, προγραμματισμού και αξιολόγησης της οντότητας που διοικεί προς λήψη αποφάσεων, η προσέγγιση αυτή ενδυναμώνει το περιβάλλον ελέγχου. Αντιθέτως, εάν η διοίκηση δεν χρησιμοποιεί την πληροφόρηση που της παρέχεται από το λογιστικό σύστημα, αυτό προσδιορίζει ότι η πληροφόρηση δεν είναι χρήσιμη ή η διοίκηση μπορεί να μην είναι ικανή ή αποτελεσματική στη χρήση των παραγομένων πληροφοριών. Σημειώνεται επίσης ότι η στάση της διοίκησης οδηγεί στο συμπέρασμα του κατά πόσο οι εσωτερικές δικλίδες ελέγχου είναι αποτελεσματικές ή πιθανόν να είναι λιγότερο αποτελεσματικές.
2. Διαχωρισμός καθηκόντων
Ο ελεγκτής εξετάζει εάν η υπάρχουσα δομή του οργανισμού και εάν ο προσδιορισμός των καθηκόντων του προσωπικού επιτρέπουν ένα ικανοποιητικό επίπεδο ελέγχου των προς εκτέλεση κάθε τύπου συναλλαγών. Επιπρόσθετα, ο ελεγκτής εξετάζει εάν ο διαχωρισμός αυτός αφορά επίσης τις συναλλαγές που εκτελούνται από τους χρήστες ή διενεργούνται από τα μηχανογραφικά συστήματα. Η έλλειψη ικανοποιητικού επιπέδου κατανομής καθηκόντων είναι πιθανό να εμποδίζει την αποτελεσματική λειτουργία των δικλίδων εσωτερικού ελέγχου. Όπου ο ελεγκτής αξιολογεί την ύπαρξη αυτού του κινδύνου, τον θεωρεί ουσιώδη (material) και θα πρέπει να τον κατατάσσει σε υψηλή βαθμολογία μεγέθους κινδύνου.
3. Διοικητική παράκαμψη
Η διοικητική παράκαμψη (management override), κατά την εμπειρία μου, αποτελεί συνήθως ουσιώδη κίνδυνο μεγέθους υψηλού. Πρέπει όμως κατά περίπτωση ο ελεγκτής να εξετάζει το κατά πόσον ο κίνδυνος αυτός είναι ουσιώδης (significant) για τη συγκεκριμένη οντότητα η οποία ελέγχεται. Μεγάλα σκάνδαλα έχουν προκύψει και στην Ελλάδα από διοικητικές παρακάμψεις, ακόμα και παρεμβάσεις σε μηχανογραφικά συστήματα από μέλη Διοικητικών Συμβουλίων, ειδικότερα γνώστες προγραμματισμού και διαχείρισης (administration) μηχανογραφικών συστημάτων. Ακόμα και εταιρείες των οποίων οι μετοχές κατά πλειοψηφία ανήκουν σε ιδρυτές τους αντιμετωπίζουν συνήθως αυτών τον κίνδυνο και ο ελεγκτής θα πρέπει να εξετάζει αυτές τις ενδείξεις υπερβάσεων πριν κατατάξει τον παράγοντα αυτό σε κίνδυνο μεγέθους υψηλού.
4. Ικανότητα προσωπικού
Η ικανότητα (competence) ή ανικανότητα (incompetence) του προσωπικού αποτελούν παράγοντες αποτελεσματικής εφαρμογής ή ακύρωσης της αποτελεσματικότητας των δικλίδων εσωτερικού ελέγχου λόγω ανικανότητας ορθής εκτέλεσης διαδικασιών. Ο ελεγκτής θέτει ερωτήματα για τις διαδικασίες που ακολουθούνται από τον πελάτη αναφορικά με την πρόσληψη προσωπικού και τις ακολουθούμενες πολιτικές ανθρώπινου δυναμικού, για να βεβαιωθεί εάν παρέχεται στο προσωπικό η απαιτούμενη εκπαίδευση, εάν το προσωπικό επιβλέπεται και εάν αξιολογείται για να εξασφαλίζεται η ικανή εκτέλεση των ευθυνών τους. Η μελέτη της ικανότητας του προσωπικού μπορεί να επηρεάσει επίσης και την εκτίμηση του ελεγκτή για τον ενδογενή κίνδυνο (inherent risk). Η εκτίμηση αυτή δεν θεωρείται ως διπλό μέτρημα (double counting), επειδή το προσωπικό όταν εκτελεί μια συγκεκριμένη δράση επεξεργασίας (processing activity) θα είναι, ως άτομο, διαφορετικό από το άτομο που λειτουργεί τις δικλίδες εσωτερικού ελέγχου της οντότητας στην οποία διενεργείται ο έλεγχος. Υποθέτουμε ότι ο διαχωρισμός καθηκόντων είναι ικανοποιητικός και, ως εκ τούτου, η ικανότητα του ατόμου κρίνεται για τις δύο εκτιμήσεις κινδύνων.
5. Προστασία περιουσιακών στοιχείων και βιβλίων
Η φύλαξη των στοιχείων ενεργητικού και των βιβλίων (Protection of assets and records) περιλαμβάνει, φυσικά, μέτρα αποφυγής καταστροφών και παράκαμψης των κανόνων φύλαξης και προσπέλασης σε βιβλία, εξοπλισμό αποθήκευσης στοιχείων, περιλαμβανομένου του μηχανογραφικού συστήματος και των εγκαταστάσεων.
Οι ενέργειες φύλαξης στοχεύουν στη μείωση των πιθανοτήτων προσπέλασης στο λογιστικό σύστημα, μειώνουν τις περιπτώσεις να συμβούν ατυχήματα ή καταστροφές και στη διασφάλιση της ανάκτησης των δεδομένων (recovery of data), εάν κάτι στραβό συμβεί.
Το πιο σημαντικό χαρακτηριστικό σε σχέση με τους ελέγχους μηχανογράφησης (EDP controls) αποτελεί η φυσική και λογική πρόσβαση (physical and logical access) στον υπολογιστή, στους τερματικούς σταθμούς, στα προγράμματα ή αρχεία, μαγνητικά αποθηκευτικά μέσα και τεκμηρίωση, όπου θα πρέπει να περιορίζεται η πρόσβαση σε εξουσιοδοτημένα άτομα, και όπου τα λογιστικά δεδομένα μπορεί να αλλάζουν μόνο με τη χρήση κατάλληλων προγραμμάτων.
Η απουσία πολιτικών (policies) και διαδικασιών (procedures) που αφορούν πρόσβαση στα συστήματα υπολογιστή κανονικά αποκλείει την εξάρτηση από τους ελέγχους μηχανογράφησης (EDP controls).
6. Προκαταρκτική αξιολόγηση των μηχανογραφικών συστημάτων και εγκαταστάσεων
Ο ελεγκτής, με τη χρήση ειδικών ερωτηματολογίων, θα πρέπει να αντλήσει μια βασική αντίληψη (conceptual understanding) για τον μηχανογραφικό εξοπλισμό (hardware configuration), τα χρησιμοποιούμενα συστήματα επικοινωνίας (communications systems), το λογισμικό συστήματος (system software) και τις λογιστικές εφαρμογές (accounting applications). Ο ελεγκτής, βασισμένος στην αντίληψη αυτή, καθώς και στις πληροφορίες που έχει αποκτήσει για την οργάνωση της μηχανογράφησης, θα πρέπει να σκεφθεί τις τυχόν επιπτώσεις της χρήσης της τεχνολογίας στον έλεγχο περιβάλλοντος (control environment). Η πληροφόρηση που ο ελεγκτής έχει αντλήσει, χρησιμοποιείται επίσης για:
➜ Να αποφασίσει εάν είναι αναγκαίο να συμμετάσχει στον έλεγχο ειδικός μηχανογράφος (EDP specialist).
➜ Να διενεργήσει προκαταρκτική αξιολόγηση (preliminary assessment) εάν είναι πιθανό ο έλεγχος να εξαρτηθεί και για τους ελέγχους που πραγματοποιούνται από το μηχανογραφικό σύστημα.
➜ Να προσδιορίσει περιοχές όπου ο πελάτης χρειάζεται ειδικές συμβουλές (specialist advice) σε θέματα ασφάλειας, οργάνωσης, παραγωγικότητας, εφαρμογής νέων συστημάτων ή σχεδιασμό αποκατάστασης καταστροφών (disaster recovery planning).
Μεταξύ άλλων, παράγοντες οι οποίοι εξετάζονται κατά την αξιολόγηση των εγκαταστάσεων μηχανογράφησης είναι οι εξής:
➜ Εάν η μέθοδος επεξεργασίας δεδομένων είναι άμεσης καταχώρησης (on-line mode) ή σε λειτουργία δέσμης (batch mode).
➜ Εάν ο υπολογιστής προετοιμάζει τις συναλλαγές (initiates transactions), δέχεται έτοιμα δεδομένα συναλλαγών από τρίτους ή εάν εκτελεί εξελιγμένες λειτουργίες λήψης αποφάσεων (sophisticated decision-making functions).
➜ Ο βαθμός στον οποίο η πολιτική της διεύθυνσης κατευθύνεται, δηλαδή εάν έχει τοποθετήσει άμεση εξάρτηση από τη συνεχιζόμενη ακρίβεια επεξεργασίας του υπολογιστή ως μια αποτελεσματική εναλλακτική λύση, αντί της διατήρησης χειροκίνητων συστημάτων ελέγχου.
➜ Ο βαθμός στον οποίο ο πελάτης εξαρτά τη συνέχιση της επιχείρησής του από τις λειτουργίες του ηλεκτρονικού υπολογιστή.
Συμπέρασμα: Αξιολόγηση ελέγχου περιβάλλοντος
Όταν ο ελεγκτής αξιολογεί τον κίνδυνο εσωτερικού ελέγχου (internal control risk) λαμβάνει υπόψη του τις τυχόν αδυναμίες (weakness) που προέκυψαν από την αξιολόγηση ελέγχου περιβάλλοντος (control environment evaluation) και την αξιολόγηση αυτή την κάνει για κάθε συγκεκριμένο ισχυρισμό (assertion) των χρηματοοικονομικών καταστάσεων.
Είναι απίθανο, υπό τις προαναφερόμενες περιστάσεις, ο ελεγκτής να θεωρήσει από την αξιολόγησή του ότι ο κίνδυνος εσωτερικού ελέγχου εμπίπτει σε χαμηλό (low) μέγεθος βαθμολόγησης, αν και είναι πιθανό ο έλεγχος περιβάλλοντος να διαφοροποιείται για κάθε ροή πληροφοριών (information stream). Παραδείγματος χάριν, ο έλεγχος περιβάλλοντος μπορεί να είναι δυνατός στο σύστημα μισθοδοσίας ενώ, αντίθετα, μπορεί να είναι αδύνατος σε λοιπά θέματα καταχώρισης ή προσπέλασης πληροφοριών. Για τον λόγο αυτό απαιτείται τουλάχιστον μια ελάχιστη αλλά πλήρης τεκμηρίωση.
Οι περισσότερες επιχειρήσεις που σήμερα ελέγχονται από μέλη του ΣΟΕΛ χρησιμοποιούν μηχανογραφικά συστήματα –άλλα πολύπλοκα και άλλα εύκολης κατανόησης, επειδή έχουν σχεδόν ίδια χαρακτηριστικά σχεδιασμού και λειτουργίας. Για τον προσδιορισμό όμως του ελεγκτικού κινδύνου, μέγιστη σημασία έχει και η αξιολόγηση του περιβάλλοντος μέσα στο οποίο λειτουργεί ένα σύστημα της υπό έλεγχο οντότητας.
Αξιολόγηση και τεκμηρίωση του περιβάλλοντος ελέγχου σε ένα μηχανογραφικό σύστημα
Γιάγκος Χαραλάμπους
FCCA, Aντιπρόεδρος Δ.Σ. Uhy Axon, Πρώην Α’ Αντιπρόεδρος της Ελληνικής Επιτροπής Κεφαλαιαγοράς