LyhyeSTi: Ominaisriskit ja kontrolliriskit

Riskienarviointia tilintarkastuksessa koskeva ISA 315 -standardi on uudistunut. Tilintarkastajien on syytä tuntea riskienarviointiin liittyvät termit uudistettua standardia soveltaessaan. Tässä tekstissä esitellään termit ominaisriski ja kontrolliriski

Kirjoittaja: Riitta Laine

Tilintarkastusta suunnitellessaan tilintarkastajan pitää tunnistaa ja arvioida asiakkaan tilinpäätökseen liittyvät olennaisen virheellisyyden riskit sekä  tilinpäätöstasolla että kannanottotasolla. Kannanottotason riskiarvio auttaa tilintarkastajaa suunnittelemaan asianmukaiset tilintarkastustoimenpiteet riskeihin vastaamiseksi.  

Kannanottotasolla olennaisen virheellisyyden riskit koostuvat ominaisriskistä (ent. toimintariski) ja kontrolliriskistä.  

Ominaisriski arvioidaan ensin 

Ominaisriski on liiketapahtumien lajia (tuloslaskelmaa), tilin saldoa (tasetta) tai tilinpäätöksessä esitettävää tietoa [näistä kolmesta käytetään myöhemmin termiä tilinpäätöserä] koskevan kannanoton alttius olennaiselle virheellisyydelle.

Virhealttiutta eli sitä, kuinka ominaisia virheet kuhunkin tilinpäätöserään liittyville kannanotoille ovat, arvioidaan huomioiden 

  • asiakkaan ominaispiirteet ja olosuhteet sekä toimintaympäristö 
  • sovellettava tilinpäätösnormisto, ja  
  • ominaisriskitekijät, kuten monimutkaisuus, päätösten subjektiivisuus, muutokset ja alttius väärinkäytökselle 

Joihinkin tilinpäätöseriin ja kannanottoihin liittyy suurempi ominaisriski kuin toisiin. Ominaisriskit asettuvat mahdollisen virheen todennäköisyyden ja suuruuden yhteisvaikutuksen perusteella johonkin kohtaan ominaisriskiasteikkoa. Ominaisriskiasteikon yläpäässä ovat nk. merkittävät riskit. Asteikon alimpana ovat riskit, joihin ei liity lainkaan relevantteja kannanottoja

Ominaisriskit tunnistetaan ja arvioidaan ottamatta huomioon niitä kontrolleja, joita asiakas on mahdollisesti rakentanut kyseiseen riskiin vastaamiseksi.  

Kontrolliriski arvioidaan tarvittaessa 

Kontrolliriski on riski siitä, että asiakkaan sisäinen valvonta ei jostain syystä estä tai havaitse ja korjaa virhettä ajoissa. Kontrolliriskejä tunnistetaan ja arvioidaan huomioiden asiakkaan sisäisen valvonnan järjestelmä, kuten  

  • valvontaympäristö, 
  • asiakkaan riskienarviointiprosessi,
  • asiakkaan sisäisen valvonnan järjestelmän seurantaprosessi,  
  • tietojärjestelmät ja kommunikaatio sekä  
  • kontrollitoiminnot. 

Kontrolliriski pitää arvioida, jos tilintarkastaja suunnittelee testaavansa kontrollien toiminnan tehokkuutta. Tällöin ominaisriskiarvio ja kontrolliriskiarvio yhdessä määrittelevät olennaisen virheellisyyden riskin. Jos tilintarkastaja ei suunnittele testaavansa kontrolleja, arvio olennaisen virheellisyyden riskistä on sama kuin arvio ominaisriskistä. 

LyhyeSTi-blogikirjoituksissa käsitellään tiiviisti tilintarkastusstandardien ja lakien terminologiaa.