könyvvizsgálat számítógépes környezetben
releváns az alapítványi szintű papír Fau és ACCA minősítési papírok F8 és P7
a számítógépes környezetben történő könyvvizsgálat sajátos szempontjai
az információs technológia (IT) szerves része a modern számviteli és vezetői információs rendszereknek. Ezért elengedhetetlen, hogy a könyvvizsgálók teljes mértékben tisztában legyenek annak az ügyfél pénzügyi kimutatásainak könyvvizsgálatára gyakorolt hatásával, mind annak összefüggésében, hogy az ügyfél hogyan használja fel a pénzügyi információk gyűjtésére, feldolgozására és jelentésére a pénzügyi kimutatásaiban, mind pedig azt, hogy a könyvvizsgáló hogyan használhatja fel azokat a pénzügyi kimutatások könyvvizsgálatának folyamatában.
e cikk célja, hogy útmutatást adjon a könyvvizsgálat következő szempontjairól számítógépes számviteli környezetben:
- Alkalmazásvezérlések, amelyek magukban foglalják a könyvvizsgáló ügyfél által a számítógépes számviteli rendszeren és
- számítógéppel támogatott könyvvizsgálati technikákon (CAATs) keresztül létrehozott bemeneti, feldolgozási, kimeneti és törzsfájl-vezérléseket, amelyeket az auditorok alkalmazhatnak az ügyfél számítógépes számviteli rendszerének integritásának tesztelésére és következtetésére.
a fent azonosított szempontok mindegyikére vonatkozó vizsgakérdésekre gyakran jelentős számú hallgató válaszol nem megfelelő színvonalra-ezért ennek a cikknek az oka.
alkalmazás-és CAAT-ellenőrzések viszont:
alkalmazás-ellenőrzés
alkalmazás-ellenőrzés azok a (kézi és számítógépes) vezérlők, amelyek a számítógépes számviteli rendszer ügyleteire és állandó adataira vonatkoznak. Ezek egy adott kérelemre vonatkoznak, és céljuk a számviteli nyilvántartások teljességének és pontosságának, valamint az e nyilvántartásokban szereplő bejegyzések érvényességének biztosítása. Egy hatékony számítógép-alapú rendszer biztosítja, hogy a számítógép-feldolgozási ciklus bemeneti, feldolgozási és kimeneti szakaszában, valamint a törzsfájlokban lévő állandó adatok felett megfelelő ellenőrzések álljanak rendelkezésre. A könyvvizsgálónak meg kell állapítania, rögzítenie és értékelnie kell a könyvvizsgáló ügyfél pénzügyi kimutatásaiban előforduló lényeges hibák kockázatának meghatározására irányuló folyamat részeként.
bemeneti vezérlők
a bemenet engedélyezésének, teljességének, pontosságának és időszerűségének biztosítására tervezett ellenőrzési tevékenységeket bemeneti vezérlőknek nevezzük. A szóban forgó alkalmazási program összetettségétől függően az ilyen ellenőrzések mennyisége és kifinomultsága változó lesz. E változók meghatározásakor figyelembe veendő tényezők közé tartoznak a költségekkel kapcsolatos megfontolások, valamint az adatbevitelre vonatkozó titoktartási követelmények. A leghatékonyabb alkalmazási programok közös beviteli vezérlői közé tartoznak a képernyőn megjelenő azonnali szolgáltatások (például egy jogosult felhasználó bejelentkezésre vonatkozó kérése), valamint egy ellenőrzési nyomvonal létrehozása, amely lehetővé teszi a felhasználó számára, hogy nyomon kövesse a tranzakciót a rendszer eredetétől a diszpozícióig.
a konkrét bemeneti érvényesítési ellenőrzések a következőket foglalhatják magukban:
Formátumellenőrzések
ezek biztosítják, hogy az információk a megfelelő formában kerüljenek bevitelre. Például az a követelmény, hogy a hangalapú értékesítés dátumát csak numerikus formátumban kell megadni – nem numerikus és alfanumerikus.
Tartományellenőrzések
ezek biztosítják, hogy az információbevitel ésszerű legyen az elvárásoknak megfelelően. Például, ha egy entitás ritkán, ha valaha is tömeges vásárlásokat hajt végre 50 000 dollárt meghaladó értékkel, akkor az 50 000 dollárt meghaladó bemeneti értékkel rendelkező vásárlási számlát elutasítják felülvizsgálatra és nyomon követésre.
kompatibilitási ellenőrzések
ezek biztosítják, hogy két vagy több mező adatbevitele kompatibilis legyen. Például az értékesítési számla értékének összeegyeztethetőnek kell lennie a számlán felszámított forgalmi adó összegével.
érvényességi ellenőrzések
ezek biztosítják az adatbevitel érvényességét. Például, ha egy gazdálkodó egység munkaköltség-rendszert működtet – egy korábban befejezett feladat költségbevitelét érvénytelennek kell elutasítani.
Kivételellenőrzések
ezek biztosítják, hogy kivételjelentés készüljön, amely kiemeli a szokatlan helyzeteket, amelyek egy adott elem bevitelét követően merültek fel. Például a készlet negatív értékének átvitele.
Szekvenciaellenőrzések
ezek megkönnyítik a feldolgozás teljességét azáltal, hogy biztosítják a szekvencián kívül feldolgozott dokumentumok elutasítását. Például, ha az átvett áruk előszámozott jegyzeteit az ac knowledge számára adják ki az áruk fizikai leltárba történő átvételéről, a sorrenden kívüli jegyzetek bevitelét el kell utasítani.
Vezérlőösszegek
ezek szintén megkönnyítik a feldolgozás teljességét azáltal, hogy biztosítják, hogy az előre bevitt, kézzel készített vezérlőösszegek összehasonlításra kerüljenek a vezérlőösszegek bemenetével. Például a vásárlási számlák nem egyező összegeinek a képernyőn megjelenő felhasználói üzenetet kell eredményezniük, vagy kivételjelentést kell készíteniük a nyomon követéshez. A vezérlőösszegek ilyen módon történő használatát általában kimeneti vezérlőknek is nevezik (lásd alább).
Check digit verification
ez a folyamat algoritmusokat használ annak biztosítására, hogy az adatbevitel pontos legyen. Például a belsőleg generált érvényes szállítói numerikus referenciakódokat úgy kell formázni, hogy a helytelen kóddal bevitt vásárlási számlák automatikusan elutasításra kerüljenek.
feldolgozási vezérlők
feldolgozási vezérlők léteznek annak biztosítására, hogy az összes bevitt adat feldolgozása megfelelő legyen, és az adatfájlokat megfelelően, pontosan és időben frissítsék. Egy adott alkalmazás feldolgozási vezérlőit meg kell tervezni, majd tesztelni kell, mielőtt valós adatokkal futtatnák. Ezek jellemzően magukban foglalhatják a Futtatás-Futtatás vezérlők használatát, amelyek biztosítják a számviteli nyilvántartásokban szereplő összesített összegek integritását az egyik adatfeldolgozási futtatásról a másikra. Például a társaság általános (névleges) főkönyvében a bankszámlán átvitt egyenleg. Az egyéb feldolgozási ellenőrzéseknek magukban kell foglalniuk a bemeneti ponton elutasított adatok későbbi feldolgozását, például:
- egy számítógép kinyomtatta az elutasított tárgyakat.
- hivatalos írásbeli utasítások az adatfeldolgozó személyzet értesítésére az elutasított tételek tekintetében követendő eljárásokról.
- az elutasított tételek megfelelő vizsgálata/nyomon követése.
- bizonyíték arra, hogy az elutasított hibákat kijavították és újra bevitték.
Output controls
Output controls létezik annak biztosítására, hogy minden adat feldolgozásra kerüljön, és hogy a kimenet csak az előírt jogosult felhasználók számára legyen elosztva. Míg a kimeneti ellenőrzések mértéke szervezetenként eltérő lesz (az információk bizalmas jellegétől és a szervezet méretétől függően), a közös ellenőrzések a következőket foglalják magukban:
- a kötegelt vezérlési összegek használata a fent leírtak szerint (lásd a bemeneti vezérlőket).
- a kivételjelentési információk megfelelő felülvizsgálata és nyomon követése annak biztosítása érdekében, hogy ne legyenek tartósan fennálló kivételtételek.
- az adatok feldolgozásának gondos ütemezése annak érdekében, hogy megkönnyítse az információk időben történő eljuttatását a végfelhasználókhoz.
- hivatalos írásbeli utasítások az adatfeldolgozó személyzet értesítésére az előírt terjesztési eljárásokról.
- a kibocsátás elosztásának egy felelős tisztviselő általi folyamatos nyomon követése annak biztosítása érdekében, hogy az elosztás az engedélyezett politikának megfelelően történjen.
Törzsfájl-vezérlők
a törzsfájl-vezérlők célja a törzsfájlokban található állandó adatok folyamatos integritásának biztosítása. Létfontosságú, hogy szigorú biztonsági ellenőrzéseket végezzenek az összes törzsfájl felett.
ezek a következők:
- a jelszavak megfelelő használata, a törzsfájlok adataihoz való hozzáférés korlátozása
- az adatok módosítására vonatkozó megfelelő eljárások létrehozása, beleértve a feladatok megfelelő elkülönítését, valamint a módosítási jogosultság korlátozását a megfelelő felelős személyekre
- a törzsfájlok adatainak engedélyezett adatokra történő rendszeres ellenőrzése egy független felelős tisztviselő által
- a törzsfájlok frissítésének ellenőrzése, beleértve a nyilvántartások számának és az ellenőrzési összesítések használatát is.
COMPUTER ASSISTED AUDIT TECHNIQUES (CAATs)
a számítógép-alapú számviteli rendszerek jellege olyan, hogy a könyvvizsgálók a könyvvizsgáló ügyfélvállalat számítógépét vagy sajátját használhatják könyvvizsgálati eszközként, hogy segítsék őket könyvvizsgálati eljárásaikban. Az, hogy a könyvvizsgáló milyen mértékben választhat a CAATs és a manuális technikák alkalmazása között egy adott könyvvizsgálati megbízáson, a következő tényezőktől függ:
- a kézi tesztelés gyakorlatiassága
- a CAATs használatának költséghatékonysága
- az ellenőrzési idő rendelkezésre állása
- az ellenőrzési ügyfél számítógépes létesítményének rendelkezésre állása
- a meghatározott CAAT használatával kapcsolatos ellenőrzési tapasztalat és szakértelem szintje
- az ellenőrzési ügyfél belső ellenőrzési funkciója által végzett CAAT szintje, valamint az, hogy a külső könyvvizsgáló milyen mértékben bízhat ebben a munkában.
a CAATs három osztályozása létezik-nevezetesen:
- Audit szoftver
- vizsgálati adatok
- egyéb technikák
Audit szoftver
Audit szoftver egy általános kifejezés leírására számítógépes programok célja, hogy végezzen vizsgálatok ellenőrzési és/vagy érdemi eljárások. Az ilyen programok az alábbiak szerint osztályozhatók:
csomagolt programok
ezek az auditorok által használt, előre elkészített, általánosított programokból állnak, és nem ügyfélspecifikusak. Számos ellenőrzési feladat elvégzésére használhatók, például egy minta kiválasztására statisztikailag vagy ítélőképesen a számtani számítások során, valamint a szekvenciák feldolgozásának hiányosságainak ellenőrzésére.
célra írt programok
ezek a programok általában ‘ügyfélspecifikusak’, és felhasználhatók ellenőrzési tesztek vagy érdemi eljárások elvégzésére. Audit szoftver vásárolható vagy fejleszthető, de minden esetben a könyvvizsgáló cég könyvvizsgálati tervének biztosítania kell, hogy rendelkezzen annak biztosításáról, hogy a meghatározott programok megfelelnek az ügyfél rendszerének és az audit igényeinek. Jellemzően felhasználhatók számítógépes ellenőrzési eljárások újbóli végrehajtására (például az értékesítési költségek kiszámítására), vagy esetleg a követelések (adós) egyenlegeinek időskori elemzésére.
érdeklődési programok
ezek a programok szerves részét képezik az ügyfél számviteli rendszerének; azonban auditálási célokra is adaptálhatók. Például, ha egy rendszer havi rendszerességgel biztosítja a munkavállalók kezdő és távozó munkavállalóinak rendszeres beszámolását, ezt a lehetőséget a könyvvizsgáló felhasználhatja az ügyfél pénzügyi kimutatásaiban szereplő fizetések és bérek ellenőrzésekor. Hasonlóképpen, a hitelezők bejelentett értékének ellenőrzésekor a könyvvizsgáló használhatja a fizetendő (hitelező) hosszú fennálló egyenlegek jelentésére szolgáló eszközt.
vizsgálati adatok
ellenőrzési vizsgálati adatok
ellenőrzési vizsgálati adatok az ellenőrzési ügyfél által használt alkalmazási programba beépített ellenőrzések létezésének és hatékonyságának tesztelésére szolgálnak. Mint ilyen, a hamis tranzakciókat az ügyfél számítógépes rendszerén keresztül dolgozzák fel. A feldolgozás eredményeit ezután összehasonlítják a könyvvizsgáló által elvárt eredményekkel annak megállapítása érdekében, hogy a kontrollok hatékonyan működnek-e, és a rendszerek objektivitása megvalósul-e. Például két fiktív banki fizetési művelet (egy belső és egy külső engedélyezett paraméter) feldolgozható azzal az elvárással, hogy a rendszer csak a paramétereken belül feldolgozott tranzakciót fogadja el. Nyilvánvaló, hogy ha a feldolgozott fiktív tranzakciók nem eredményezik a várt eredményeket, a könyvvizsgálónak mérlegelnie kell, hogy szükség van-e fokozott érdemi eljárásokra a felülvizsgálandó területen.
integrált tesztlétesítmények
az ügyfél számlarendszerének megromlásának kockázatának elkerülése érdekében a tesztadatok feldolgozásával az Ügyfél egyéb ‘élő’ adataival, az auditorok speciális ‘csak tesztadatok’ feldolgozási futásokat kezdeményezhetnek az ellenőrzési tesztadatok számára. Ennek legnagyobb hátránya, hogy a könyvvizsgáló nem rendelkezik teljes bizonyossággal arról, hogy a tesztadatokat az ügyfél élő adataihoz hasonló módon dolgozzák fel. Ennek a kérdésnek a kezelése érdekében a könyvvizsgáló ezért engedélyt kérhet az ügyféltől egy integrált tesztlétesítmény létrehozására a számviteli rendszeren belül. Ez magában foglalja egy dummy egység létrehozását, például egy dummy beszállítói számlát, amelyhez a könyvvizsgáló tesztadatait a szokásos feldolgozási folyamatok során dolgozzák fel.
egyéb technikák
ez a szakasz hasznos háttérinformációkat tartalmaz az általános megértés javítása érdekében.
Egyéb CAAT-ok a következők:
beágyazott ellenőrzési lehetőségek (Eafs)
ez a technika megköveteli, hogy az auditor saját programkódját beágyazzák (beépítik) az ügyfél alkalmazási szoftverébe, oly módon, hogy az ellenőrzési eljárások a feldolgozandó adatok esetén szükség szerint elvégezhetők legyenek. Például az ellenőrzési tesztek magukban foglalhatják a konkrét input-validációs ellenőrzések újbóli elvégzését (lásd a fenti input – ellenőrzéseket) – a kiválasztott tranzakciókat meg lehet jelölni, és a rendszeren keresztül követni lehet annak megállapítása érdekében, hogy a számítógépes rendszer alkalmazta-e a megadott ellenőrzéseket és folyamatokat ezekre a tranzakciókra. Az EMVA-nak biztosítania kell, hogy a vizsgálatok eredményeit egy speciális, biztonságos fájlban rögzítsék a könyvvizsgáló általi későbbi felülvizsgálat céljából, aki számára lehetővé kell tenni, hogy a vizsgálatok eredményeiből általánosságban megállapíthassa a feldolgozási ellenőrzések integritását. Egy további EAF, tízből a hallgatók figyelmen kívül hagyják, egy analitikai felülvizsgálati program, amely lehetővé teszi az analitikai felülvizsgálati eljárások egyidejű végrehajtását az ügyféladatokon, mivel azokat az automatizált rendszeren keresztül dolgozzák fel.
pályázati program vizsgálata
annak meghatározásakor, hogy milyen mértékben támaszkodhatnak a pályázati ellenőrzésekre, az auditoroknak figyelembe kell venniük, hogy a meghatározott ellenőrzéseket milyen mértékben hajtották végre helyesen. Például, ha egy számviteli időszak alatt rendszermódosítás történt, a könyvvizsgálónak bizonyosságra van szüksége a szükséges ellenőrzések meglétéről mind a módosítás előtt, mind azt követően. A könyvvizsgáló megkísérelheti megszerezni ezt a biztosítékot egy szoftverprogram segítségével, amely összehasonlítja a módosítás dátuma előtt és azt követően alkalmazott ellenőrzéseket.
összefoglaló
a könyvvizsgálat fő célkitűzései nem változnak, függetlenül attól, hogy a könyvvizsgálat kézi vagy számítógépes környezetben történik. Az ellenőrzési megközelítés, a tervezési megfontolások és a megfelelő ellenőrzési bizonyítékok megszerzéséhez használt technikák természetesen változnak. A hallgatókat arra ösztönzik, hogy olvassanak tovább, hogy bővítsék ismereteiket a számítógépes környezetben történő auditálásról, és gyakorolják képességüket a témával kapcsolatos vizsgakérdések megválaszolására a korábbi ACCA vizsgadokumentumokban feltett kérdések megkísérlésével.
írta az audit vizsga csapat tagja