revision i et computerbaseret miljø

Relevant for Foundation level Paper FAU og ACCA Kvalifikationspapirer F8 og P7

specifikke aspekter af revision i et computerbaseret miljø

Informationsteknologi (IT) er integreret i moderne regnskabs-og ledelsesinformationssystemer. Det er derfor bydende nødvendigt, at revisorer er fuldt ud opmærksomme på virkningen af IT på revisionen af en klients årsregnskab, både i sammenhæng med, hvordan det bruges af en klient til at indsamle, behandle og rapportere økonomiske oplysninger i sit årsregnskab, og hvordan revisor kan bruge det i processen med revision af årsregnskabet.
formålet med denne artikel er at give vejledning om følgende aspekter af revision i et computerbaseret regnskabsmiljø:

  • applikationskontrol, der omfatter input -, behandlings -, output-og masterfilkontrol, der er oprettet af en revisionsklient, over dets computerbaserede regnskabssystem og
  • computerassisterede revisionsteknikker (CAATs), der kan anvendes af revisorer til at teste og konkludere om integriteten af en klients computerbaserede regnskabssystem.

eksamensspørgsmål om hvert af de aspekter, der er identificeret ovenfor, besvares ofte til en utilstrækkelig standard af et betydeligt antal studerende – deraf årsagen til denne artikel.
håndtering af applikationskontrol og CAATs igen:
applikationskontrol
applikationskontrol er de kontroller (manuel og edb), der vedrører transaktionen og stående data vedrørende et computerbaseret regnskabssystem. De er specifikke for en given ansøgning, og deres mål er at sikre, at regnskabsposterne er fuldstændige og nøjagtige, og at oplysningerne i disse optegnelser er gyldige. Et effektivt computerbaseret system vil sikre, at der findes tilstrækkelige kontroller på tidspunktet for input -, behandlings-og outputstadierne i computerbehandlingscyklussen og over stående data indeholdt i masterfiler. Ansøgningskontroller skal konstateres, registreres og evalueres af revisor som led i processen med at bestemme risikoen for væsentlig fejlinformation i revisionsklientens årsregnskab.
Indgangskontroller
kontrolaktiviteter, der er designet til at sikre, at input er godkendt, fuldstændige, nøjagtige og rettidige, kaldes indgangskontroller. Afhængig af kompleksiteten af det pågældende applikationsprogram vil sådanne kontroller variere med hensyn til mængde og sofistikering. Faktorer, der skal tages i betragtning ved fastsættelsen af disse variabler, omfatter omkostningsovervejelser og fortrolighedskrav med hensyn til dataindtastningen. Inputkontroller, der er fælles for de mest effektive applikationsprogrammer, inkluderer hurtige faciliteter på skærmen (for eksempel en anmodning om en autoriseret bruger til at ‘logge ind’) og en mulighed for at udarbejde et revisionsspor, der giver en bruger mulighed for at spore en transaktion fra dens oprindelse til disposition i systemet.
specifikke input validering kontrol kan omfatte:
Format kontrol
disse sikre, at oplysninger er indtastet i den korrekte form. For eksempel kravet om, at datoen for et salg i stemme kun indtastes i numerisk format – ikke numerisk og alfanumerisk.
Områdekontrol
disse sikrer, at informationsinput er rimeligt i overensstemmelse med forventningerne. For eksempel, hvor en virksomhed sjældent, hvis nogensinde, foretager køb i bulk med en værdi på over $50.000, afvises en købsfaktura med en inputværdi på over $50.000 til gennemgang og opfølgning.
kompatibilitetskontrol
disse sikrer, at datainput fra to eller flere felter er kompatible. For eksempel skal en salgsfakturaværdi være kompatibel med det momsbeløb, der opkræves på fakturaen.
Validitetskontrol
disse sikrer, at datainputtet er gyldigt. For eksempel, hvis en virksomhed driver et jobomkostningssystem – omkostninger input til et tidligere afsluttet job bør afvises som ugyldigt.
Undtagelseskontrol
disse sikrer, at der udarbejdes en undtagelsesrapport, der fremhæver usædvanlige situationer, der er opstået efter input af en bestemt vare. For eksempel fremførsel af en negativ værdi for beholdningen.
Sekvenskontrol
disse Letter fuldstændigheden af behandlingen ved at sikre, at dokumenter, der behandles uden for sekvensen, afvises. For eksempel, hvor forudnummererede varer modtagne noter udstedes til ac viden modtagelse af varer i fysisk opgørelse, enhver input af noter ud af rækkefølge bør afvises.
Kontroltotaler
disse letter også fuldstændigheden af behandlingen ved at sikre, at pre-input, manuelt forberedte kontroltotaler sammenlignes med kontroltotaler input. For eksempel bør ikke-matchende totaler af en ‘batch’ af købsfakturaer resultere i en brugerprompt på skærmen eller produktion af en undtagelsesrapport til opfølgning. Brugen af kontroltotaler på denne måde kaldes også almindeligvis outputkontroller (se nedenfor).
kontroller digitverifikation
denne proces bruger algoritmer til at sikre, at dataindtastningen er nøjagtig. For eksempel, internt genererede gyldige leverandør numeriske referencekoder, skal formateres på en sådan måde, at eventuelle købsfakturaer input med en forkert kode vil automatisk blive afvist.
behandlingskontrol
behandlingskontrol findes for at sikre, at al dataindtastning behandles korrekt, og at datafiler opdateres korrekt nøjagtigt rettidigt. Behandlingskontrollerne for et bestemt applikationsprogram skal designes og derefter testes, før ‘live’ kører med rigtige data. Disse kan typisk omfatte brugen af run-to-run-kontroller, som sikrer, at integriteten af kumulative totaler indeholdt i regnskabet opretholdes fra en databehandlingskørsel til den næste. For eksempel saldoen fremført på bankkontoen i en virksomheds generelle (nominelle) hovedbog. Andre behandlingskontroller bør omfatte den efterfølgende behandling af data, der afvises på inputstedet, for eksempel:

  • en computer producerede udskrivning af afviste genstande.
  • formelle skriftlige instrukser, der underretter databehandlingspersonalet om de procedurer, der skal følges med hensyn til afviste emner.
  • passende undersøgelse/opfølgning med hensyn til afviste poster.
  • bevis for, at afviste fejl er blevet rettet og genindført.

Outputkontroller
Outputkontroller findes for at sikre, at alle data behandles, og at output kun distribueres til foreskrevne autoriserede brugere. Mens graden af outputkontroller vil variere fra organisation til organisation (afhængig af fortroligheden af oplysningerne og organisationens størrelse), omfatter fælles kontroller:

  • anvendelse af batch kontrol totaler, som beskrevet ovenfor (se ‘input kontrol’).
  • passende gennemgang og opfølgning af undtagelsesrapportoplysninger for at sikre, at der ikke er nogen permanent udestående undtagelseselementer.
  • omhyggelig planlægning af behandlingen af data for at lette distributionen af information til slutbrugere rettidigt.
  • formelle skriftlige instruktioner, der underretter databehandlingspersonalet om foreskrevne distributionsprocedurer.
  • en ansvarlig tjenestemands løbende overvågning af fordelingen af produktionen for at sikre, at den distribueres i overensstemmelse med den godkendte politik.

Master file controls
formålet med master file controls er at sikre den løbende integritet af de stående data indeholdt i masterfilerne. Det er meget vigtigt, at strenge ‘sikkerhed’ kontrol skal udøves over alle masterfiler.
disse omfatter:

  • passende brug af adgangskoder til at begrænse adgangen til masterfildata
  • indførelse af passende procedurer for ændring af data, der omfatter passende adskillelse af pligter, og bemyndigelse til at ændre begrænset til passende ansvarlige personer
  • regelmæssig kontrol af masterfildata til godkendte data af en uafhængig ansvarlig embedsmand
  • behandlingskontrol med opdatering af masterfiler, herunder brug af rekordtællinger og kontroltotaler.

computerassisterede REVISIONSTEKNIKKER (CAATs)
arten af computerbaserede regnskabssystemer er sådan, at revisorer kan bruge revisionsklientfirmaets computer eller deres egen som et revisionsværktøj til at hjælpe dem med deres revisionsprocedurer. I hvilket omfang en revisor kan vælge mellem at bruge CAATs og manuelle teknikker på et specifikt revisionsengagement afhænger af følgende faktorer:

  • det praktiske ved at udføre manuel test
  • omkostningseffektiviteten ved at bruge CAATs
  • tilgængeligheden af revisionstid
  • tilgængeligheden af revisionsklientens computerfacilitet
  • niveauet for revisionserfaring og ekspertise i at bruge en specificeret CAAT
  • niveauet for CAATs, der udføres af revisionsklientens interne revisionsfunktion, og i hvilket omfang den eksterne revisor er ansvarlig for kan stole på dette arbejde.

der er tre klassifikationer af CAATs – nemlig:

  • revisionsprogram
  • testdata
  • andre teknikker

håndtering af hvert af ovenstående igen:
Revisionsprogrammer
Revisionsprogrammer er et generisk udtryk, der bruges til at beskrive computerprogrammer designet til at udføre test af kontrol og/eller materielle procedurer. Sådanne programmer kan klassificeres som:
pakkede programmer
disse består af forberedte generaliserede programmer, der anvendes af revisorer og er ikke ‘klientspecifikke’. De kan bruges til at udføre adskillige revisionsopgaver, for eksempel til at vælge en prøve, enten statistisk eller dømmende, under aritmetiske beregninger og kontrollere huller i behandlingen af sekvenser.
formål skriftlige programmer
disse programmer er normalt ‘klientspecifikke’ og kan bruges til at udføre test af kontrol eller materielle procedurer. Revisionsprogrammer kan købes eller udvikles, men under alle omstændigheder bør revisionsfirmaets revisionsplan sikre, at der træffes foranstaltninger til at sikre, at bestemte programmer er passende for en kundes system og revisionens behov. De kan typisk bruges til at genanvende edb-kontrolprocedurer (f.eks. beregninger af salgsomkostninger) eller til at foretage en ældet analyse af tilgodehavender i handelen (debitor).
Forespørgselsprogrammer
disse programmer er integreret i kundens regnskabssystem; dog kan de tilpasses til revisionsformål. For eksempel, hvor et system giver mulighed for rutinemæssig rapportering på ‘månedlig’ basis af medarbejderstartere og frafaldne, kan denne facilitet udnyttes af revisor, når han reviderer løn og løn i klientens årsregnskab. Tilsvarende kan en revisor anvende en facilitet til indberetning af langfristede handelsbalancer (kreditor), når han kontrollerer kreditorernes indberettede værdi.
testdata
Revisionstestdata
Revisionstestdata bruges til at teste eksistensen og effektiviteten af kontroller indbygget i et applikationsprogram, der bruges af en revisionsklient. Som sådan behandles dummy-transaktioner gennem kundens edb-system. Resultaterne af behandlingen sammenlignes derefter med revisors forventede resultater for at afgøre, om kontrollerne fungerer effektivt, og systemernes objektivitet opnås. For eksempel kan to falske bankbetalingstransaktioner (en inden for og en uden for godkendte parametre) behandles med forventning om, at kun den transaktion, der behandles inden for parametrene, accepteres af systemet. Det er klart, at hvis dummy-transaktioner, der behandles, ikke giver de forventede resultater i produktionen, skal revisor overveje behovet for øgede materielle procedurer i det område, der gennemgås.
integrerede testfaciliteter
for at undgå risikoen for at ødelægge en kundes kontosystem kan revisorer ved at behandle testdata med klientens andre ‘live’ data iværksætte særlige ‘testdata kun’ behandlingskørsler for revisionstestdata. Den største ulempe ved dette er, at revisor ikke har fuld sikkerhed for, at testdataene behandles på samme måde som klientens live data. For at løse dette problem kan revisor derfor søge tilladelse fra klienten til at etablere en integreret testfacilitet i regnskabssystemet. Dette indebærer oprettelse af en dummy-enhed, for eksempel en dummy-leverandørkonto, mod hvilken revisors testdata behandles under normale behandlingskørsler.
andre teknikker
dette afsnit indeholder nyttige baggrundsoplysninger for at forbedre din generelle forståelse.
andre CAAT ‘ er inkluderer:
Embedded audit facilities (EAFs)
denne teknik kræver, at revisors egen programkode integreres (inkorporeres) i klientens applikationsprogram, således at verifikationsprocedurer kan udføres efter behov på data, der behandles. For eksempel kan test af kontrol omfatte reperformance af specifikke inputvalideringskontrol (se inputkontroller ovenfor) – udvalgte transaktioner kan ‘mærkes’ og følges gennem systemet for at fastslå, om angivne kontroller og processer er blevet anvendt på disse transaktioner af computersystemet. EAFs bør sikre, at resultaterne af prøvningen registreres i en særlig sikker sagsmappe med henblik på efterfølgende gennemgang af revisoren, som bør være i stand til at konkludere om integriteten af behandlingskontrollerne generelt ud fra resultaterne af prøvningen. En yderligere EAF, af ti overset af studerende, er et analytisk gennemgangsprogram, der muliggør samtidig udførelse af analytiske gennemgangsprocedurer på klientdata, når de behandles gennem det automatiserede system.
ansøgningsprogramundersøgelse
ved fastlæggelsen af, i hvilket omfang de kan stole på applikationskontrol, skal revisorer overveje, i hvilket omfang de specificerede kontroller er implementeret korrekt. Hvis der f.eks. er sket systemændringer i løbet af en regnskabsperiode, skal revisor have sikkerhed for, at der foreligger nødvendige kontroller både før og efter ændringen. Revisor kan søge at opnå en sådan sikkerhed ved at bruge et program til at sammenligne de kontroller, der er på plads før, og efter, ændringsdatoen.
sammendrag
de vigtigste mål for en revision ændres ikke, uanset om revisionsengagementet udføres i en manual eller et computerbaseret miljø. Revisionsmetoden, planlægningsovervejelser og teknikker, der bruges til at opnå tilstrækkelig passende revisionsbevis, ændrer sig naturligvis. Studerende opfordres til at læse videre for at øge deres viden om revision i et computerbaseret miljø og til at øve deres evne til at besvare eksamensspørgsmål om emnet ved at forsøge spørgsmål i tidligere ACCA eksamensopgaver.
skrevet af et medlem af auditeksamensteamet

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.