Auditing in a computer-based environment
Relevant to Foundation level Paper FAU and ACCA Qualification Papers F8 and P7
Specific aspects of auditing in a computer-based environment
Information technology (IT) is integral to modern accounting and management information systems. Sen vuoksi on ehdottoman tärkeää, että tilintarkastajat ovat täysin tietoisia sen vaikutuksesta asiakkaan tilinpäätöksen tilintarkastukseen sekä siinä yhteydessä, miten asiakas käyttää sitä taloudellisten tietojen keräämiseen, käsittelyyn ja raportointiin tilinpäätöksessään, että siinä, miten tilintarkastaja voi käyttää niitä tilinpäätöksen tarkastusprosessissa.
tämän artiklan tarkoituksena on antaa ohjeita seuraavista atk-pohjaisessa kirjanpitoympäristössä suoritettavaan tilintarkastukseen liittyvistä näkökohdista::
- sovellusten valvonta, joka käsittää tilintarkastusasiakkaan atk-pohjaisen kirjanpitojärjestelmänsä syöte -, käsittely -, tuotos-ja kantatiedoston valvonnan ja
- tietokoneavusteiset tilintarkastusmenetelmät (Caats), joita tilintarkastajat voivat käyttää asiakkaan tietokonepohjaisen kirjanpitojärjestelmän luotettavuuden testaamiseen ja päättelyyn.
Tenttikysymyksiin jokaisesta edellä mainituista näkökohdista vastataan usein puutteelliseen standardiin, jonka merkittävä määrä opiskelijoita – siksi syy tähän artikkeliin.
sovelluskontrollit ja CAATs: t puolestaan:
SOVELLUSKONTROLLIT
Sovelluskontrollit ovat niitä (manuaalisia ja tietokoneistettuja) kontrolleja, jotka liittyvät tietokonepohjaiseen kirjanpitojärjestelmään liittyviin liiketoimiin ja pysyviin tietoihin. Ne koskevat tiettyä sovellusta, ja niiden tavoitteena on varmistaa kirjanpitoaineiston täydellisyys ja oikeellisuus sekä kirjanpitoon Tehtyjen kirjausten oikeellisuus. Tehokkaalla tietokonepohjaisella järjestelmällä varmistetaan, että tietokoneen prosessointisyklin syöttö -, käsittely-ja tulostusvaiheessa sekä kantatiedostojen sisältämän pysyvän tiedon osalta on olemassa riittävät tarkastukset. Tilintarkastajan on varmistettava, kirjattava ja arvioitava sovelluskontrollit osana prosessia, jossa määritetään olennaisen virheellisyyden riski tilintarkastusasiakkaan tilinpäätöksessä.
Syöttökontrollit
valvontatoimet, joiden tarkoituksena on varmistaa, että syöte on hyväksytty, täydellinen, tarkka ja oikea-aikainen, kutsutaan syöttökontrolleiksi. Riippuen kyseisen sovellusohjelman monimutkaisuudesta, tällaiset kontrollit vaihtelevat määrän ja hienostuneisuuden suhteen. Näitä muuttujia määritettäessä on otettava huomioon kustannusnäkökohdat ja tietojen syöttämistä koskevat luottamuksellisuusvaatimukset. Tehokkaimmille sovellusohjelmille yhteisiä syöttöohjauksia ovat näytön nopeat toiminnot (esimerkiksi valtuutettua käyttäjää koskeva pyyntö kirjautua sisään) ja mahdollisuus tuottaa kirjausketju, jonka avulla käyttäjä voi jäljittää tapahtuman sen alkuperästä järjestelmään.
erityisiä syöttötietojen oikeellisuustarkistuksia voivat olla:
Formaattitarkistukset
näillä varmistetaan, että tiedot syötetään oikeassa muodossa. Esimerkiksi vaatimus, jonka mukaan myyntipäivä on syötettävä vain numeerisessa muodossa – ei numeerisessa ja aakkosnumeerisessa muodossa.
Vaihteluvälitarkistukset
niillä varmistetaan, että tietojen syöttö on odotusten mukaista. Esimerkiksi jos yhteisö harvoin, jos koskaan, tekee irto-ostoja, joiden arvo on yli 50 000 dollaria, ostolasku, jonka syöttöarvo on yli 50 000 dollaria, hylätään tarkistettavaksi ja seurattavaksi.
Yhteensopivuustarkistukset
niillä varmistetaan, että kahdesta tai useammasta kentästä syötetyt tiedot ovat yhteensopivia. Esimerkiksi myyntilaskun arvon pitäisi olla yhteensopiva laskusta perittävän liikevaihtoveron määrän kanssa.
Kelpoisuustarkistukset
niillä varmistetaan, että syötetty tieto on kelvollinen. Esimerkiksi silloin, kun yhteisö käyttää työn kustannusjärjestelmää – aiemmin päätökseen saatuun työhön sisältyvä kustannuserä olisi hylättävä pätemättömänä.
Poikkeustarkastukset
niillä varmistetaan, että laaditaan poikkeusraportti, jossa tuodaan esiin tietyn kohdan syöttämisen jälkeen ilmenneet epätavalliset tilanteet. Esimerkiksi varastonhallinnan negatiivisen arvon siirtäminen eteenpäin.
Sekvenssitarkastukset
ne helpottavat käsittelyn täydellisyyttä varmistamalla, että epäjärjestyksessä käsitellyt asiakirjat hylätään. Esimerkiksi, jos vastaanotetut ennakkonumeroidut tavarat annetaan ac: n tietoon tavaroiden saapumisesta fyysiseen varastoon, kaikki järjestyksessä olevien huomautusten syöttäminen olisi hylättävä.
kontrollin loppusummat
nämä myös helpottavat käsittelyn täydellisyyttä varmistamalla, että ennen syötettä tehtyjä käsin valmistettuja kontrollin loppusummia verrataan kontrollin kokonaistuloksiin. Jos esimerkiksi ostolaskuerän loppusummat eivät täsmää, tuloksena olisi oltava näytön käyttäjäkehote tai poikkeusraportin laatiminen seurantaa varten. Säätösummien käyttöä tällä tavalla kutsutaan yleisesti myös ulostulokontrolleiksi (KS.jäljempänä).
tarkistusnumeron verifiointi
tämä prosessi käyttää algoritmeja varmistaakseen, että tietojen syöttö on tarkkaa. Esimerkiksi sisäisesti luodut voimassa olevat toimittajan numeeriset viitekoodit olisi muotoiltava siten, että virheellisellä koodilla syötetyt ostolaskut hylätään automaattisesti.
käsittelyn valvonta
käsittelyn valvonta on olemassa sen varmistamiseksi, että kaikki syötetyt tiedot käsitellään oikein ja että tiedostot päivitetään asianmukaisesti ja oikea-aikaisesti. Tietyn sovellusohjelman prosessointiohjaimet on suunniteltava ja testattava ennen “live” – suoritusta todellisilla tiedoilla. Näihin voi tyypillisesti kuulua run-to-run-kontrollien käyttö, joilla varmistetaan, että kirjanpitoon sisältyvien kumulatiivisten kokonaismäärien eheys säilyy tietojenkäsittelyajosta toiseen. Esimerkiksi yrityksen yleisen (nimellisen) tilikirjan pankkitilille siirretty saldo. Muihin käsittelytarkastuksiin olisi sisällyttävä syöttökohdassa hylättyjen tietojen myöhempi käsittely, esimerkiksi:
- tietokone tuotti tulosteen hylätyistä kohteista.
- muodolliset kirjalliset ohjeet, joissa tietojenkäsittelijöille ilmoitetaan hylätyissä asioissa noudatettavista menettelyistä.
- hylättyjen erien asianmukainen tutkimus/seuranta.
- todisteet siitä, että hylätyt virheet on korjattu ja syötetty uudelleen.
tulostuksen valvonta
tulostuksen valvonta on olemassa sen varmistamiseksi, että kaikki tiedot käsitellään ja että tuloste jaetaan vain määrätyille valtuutetuille käyttäjille. Vaikka tuotostarkastusten aste vaihtelee organisaatiosta toiseen (riippuu tietojen luottamuksellisuudesta ja organisaation koosta), yhteisiä tarkastuksia ovat:
- erävalvontasummien käyttö edellä kuvatulla tavalla (ks. “syöttöohjaukset”).
- poikkeusten asianmukainen tarkastelu ja seuranta raportoivat tiedot sen varmistamiseksi, ettei poikkeuseriä ole pysyvästi jäljellä.
- tietojen käsittelyn huolellinen aikataulutus, jotta tietojen jakaminen loppukäyttäjille olisi helpompaa oikea-aikaisesti.
- muodolliset kirjalliset ohjeet, joissa tietojenkäsittelijöille ilmoitetaan määrätyistä jakelumenettelyistä.
- vastuussa oleva virkamies valvoo jatkuvasti tuotoksen jakautumista sen varmistamiseksi, että se jaetaan valtuutetun politiikan mukaisesti.
Master file controls
master file Controlsin tarkoituksena on varmistaa kantatiedostojen pysyvien tietojen jatkuva eheys. On erittäin tärkeää, että kaikkiin kantatiedostoihin sovelletaan tiukkoja turvatarkastuksia.
näitä ovat:
- salasanojen asianmukainen käyttö, jolla rajoitetaan pääsy kantatiedon tietoihin
- asianmukaisten tietojen muuttamismenettelyjen käyttöönotto, johon kuuluu tehtävien asianmukainen erottelu, ja valtuudet muuttaa tietoja rajoitetaan asianmukaisiin vastuuhenkilöihin
- kantatiedon säännöllinen tarkistaminen valtuutettuihin tietoihin, riippumattoman vastuuhenkilön toimesta
- kantatiedoston päivittämistä koskevat käsittelytarkastukset, mukaan lukien tietueiden laskenta ja tarkastusten kokonaismäärät.
tietokoneavusteiset TILINTARKASTUSMENETELMÄT (CAATS)
tietokonepohjaisten kirjanpitojärjestelmien luonne on sellainen, että tilintarkastajat voivat käyttää auditointivälineenä asiakasyrityksen tietokonetta tai omaa tietokonettaan avustaakseen heitä tarkastusmenettelyissään. Se, missä määrin tilintarkastaja voi valita CAATs-järjestelmän ja manuaalisen tekniikan käytön tietyssä tilintarkastustoimeksiannossa, riippuu seuraavista tekijöistä::
- manuaalisen testauksen käytännöllisyys
- CAATs: n käytön kustannustehokkuus
- auditointiaika
- auditointiasiakkaan tietokonelaitteiston käytettävyys
- auditointiasiakkaan kokemus ja asiantuntemus määrätyn CAAT: n käytössä
- auditointiasiakkaan sisäisen auditoinnin suorittaman CAAT: n taso ja se, missä määrin ulkoinen auditoija voi luottaa tähän työhön.
on olemassa kolme luokitukset CAATs-nimittäin:
- Auditointiohjelmisto
- testitiedot
- muut tekniikat
Audit-ohjelmisto
Audit-ohjelmisto on yleisnimitys, jota käytetään kuvaamaan tietokoneohjelmia, jotka on suunniteltu suorittamaan valvonta-ja/tai sisällöllisiä menettelyjä koskevia testejä. Tällaiset ohjelmat voidaan luokitella seuraavasti:
pakatut ohjelmat
nämä koostuvat ennalta valmistelluista yleisistä ohjelmista, joita tilintarkastajat käyttävät, eivätkä ne ole “asiakaskohtaisia”. Niitä voidaan käyttää lukuisien tarkastustehtävien suorittamiseen, esimerkiksi otoksen valitsemiseen joko tilastollisesti tai harkinnanvaraisesti aritmeettisten laskelmien aikana ja sekvenssien käsittelyssä olevien puutteiden tarkastamiseen.
tarkoitukseen kirjoitetut ohjelmat
nämä ohjelmat ovat yleensä “asiakaskohtaisia” ja niitä voidaan käyttää valvonta-tai sisällöllisten menettelyjen testaamiseen. Auditointiohjelmistoja voidaan ostaa tai kehittää, mutta tilintarkastusyhteisön auditointisuunnitelmassa olisi joka tapauksessa varmistettava, että tietyt ohjelmat soveltuvat asiakkaan järjestelmään ja auditoinnin tarpeisiin. Yleensä niitä voidaan käyttää tietokoneistettujen tarkastusmenettelyjen (esimerkiksi myyntimenojen laskennan) uudelleen suorittamiseen tai kauppasaamisten (velallisten) vanhennusanalyysin tekemiseen.
Tiedusteluohjelmat
nämä ohjelmat ovat olennainen osa asiakkaan kirjanpitojärjestelmää; niitä voidaan kuitenkin mukauttaa tilintarkastusta varten. Esimerkiksi jos järjestelmä mahdollistaa rutiininomaisen raportoinnin “kuukausittain” aloittavista ja irtisanovista työntekijöistä, tilintarkastaja voi käyttää tätä mahdollisuutta tarkastaessaan palkkoja asiakkaan tilinpäätöksessä. Samoin tilintarkastaja voisi käyttää mahdollisuutta ilmoittaa kaupankäyntivelkojen (velkojan) pitkät jäljellä olevat saldot tarkastaessaan velkojien raportoitua arvoa.
testitiedot
Tarkastustestitiedot
Tarkastustestitiedot käytetään testaamaan tarkastusasiakkaan käyttämään sovellusohjelmaan rakennettujen kontrollien olemassaoloa ja tehokkuutta. Näin ollen valetapahtumat käsitellään asiakkaan tietokonejärjestelmän kautta. Tämän jälkeen käsittelyn tuloksia verrataan tilintarkastajan odotettuihin tuloksiin, jotta voidaan määrittää, toimivatko tarkastukset tehokkaasti ja saavutetaanko järjestelmien objektiivisuus. Esimerkiksi kaksi valepankkimaksutapahtumaa (yksi hyväksyttyjen parametrien sisällä ja yksi niiden ulkopuolella) voidaan käsitellä olettaen, että järjestelmä “hyväksyy” ainoastaan parametrien sisällä käsitellyt maksutapahtumat. On selvää, että jos käsiteltävät valetapahtumat eivät tuota odotettuja tuloksia tuotoksessa, tilintarkastajan on harkittava, onko tarpeen lisätä olennaisia menettelyjä uudelleentarkastelun kohteena olevalla alalla.
Integroidut testilaitteet
asiakkaan tilijärjestelmän turmelemisen riskin välttämiseksi auditoijat voivat käynnistää erityisiä “vain testitietojen” käsittelyajoja audit-testitietoja varten käsittelemällä testitietoja asiakkaan muiden “elävien” tietojen kanssa. Suurin haitta tässä on se, että tilintarkastajalla ei ole täyttä varmuutta siitä, että testitietoja käsitellään samalla tavalla kuin asiakkaan live-tietoja. Tämän ongelman ratkaisemiseksi tilintarkastaja voi siksi pyytää asiakkaalta lupaa perustaa kirjanpitojärjestelmään integroitu testauslaitos. Tämä edellyttää valeyksikön perustamista, esimerkiksi valetoimittajatilin, jota vastaan tarkastajan testitietoja käsitellään tavanomaisten käsittelyaikojen aikana.
muut tekniikat
tämä osio sisältää hyödyllistä taustatietoa yleisen ymmärryksesi parantamiseksi.
muita CAATs: iä ovat:
Embedded audit facilities (EAFs)
tämä tekniikka edellyttää, että tilintarkastajan oma ohjelmakoodi on upotettu (sisällytetty) asiakkaan sovellusohjelmistoon siten, että tarkastusmenettelyt voidaan suorittaa käsiteltävien tietojen edellyttämällä tavalla. Valvontatesteihin voi kuulua esimerkiksi erityisten syöttötietojen oikeellisuustarkistusten uusiminen (KS.syöttökontrollit edellä) – Valitut tapahtumat voidaan “merkitä” ja niitä voidaan seurata järjestelmän kautta sen varmistamiseksi, onko tietokonejärjestelmä soveltanut kyseisiin tapahtumiin mainittuja kontrolleja ja prosesseja. Maaseuturahaston olisi varmistettava, että testaustulokset kirjataan erityiseen suojattuun tiedostoon, jota auditoija myöhemmin tarkastelee ja jonka olisi voitava tehdä testituloksista päätelmä käsittelyn valvonnan eheydestä yleensä. Toinen EAF, kymmenen unohdetaan opiskelijat, on analyyttinen arviointiohjelma, joka mahdollistaa samanaikaisen suorituskyvyn analyyttisen tarkastelumenettelyt asiakastietojen käsittelyssä automatisoidun järjestelmän kautta.
Application program examination
määrittäessään, missä määrin he voivat turvautua sovelluksen valvontaan, tilintarkastajien on otettava huomioon, missä määrin tietyt tarkastukset on toteutettu oikein. Esimerkiksi silloin, kun järjestelmään on tehty tilikauden aikana muutoksia, tilintarkastaja tarvitsee varmuuden välttämättömien tarkastusten olemassaolosta sekä ennen muutosta että sen jälkeen. Tilintarkastaja voi pyrkiä saamaan tällaisen varmuuden käyttämällä ohjelmistoa, jolla voidaan vertailla ennen muutospäivää ja sen jälkeen käytössä olleita tarkastuksia.
Yhteenveto
tarkastuksen keskeiset tavoitteet eivät muutu riippumatta siitä, toteutetaanko tarkastus käsin vai tietokonepohjaisessa ympäristössä. Tarkastuslähestymistapa, suunnittelunäkökohdat ja riittävän asianmukaisen tarkastusaineiston hankkimiseen käytetyt tekniikat tietenkin muuttuvat. Opiskelijoita kannustetaan lukemaan lisää, jotta he voivat lisätä tietojaan auditoinnista tietokonepohjaisessa ympäristössä ja harjoitella kykyään vastata aihetta koskeviin tenttikysymyksiin yrittämällä kysymyksiä, jotka on asetettu aiemmissa ACCA-tenttipapereissa.
kirjoittanut audit-tenttiryhmän jäsen