Auditing in un ambiente computer-based
Rilevante per Foundation level Paper FAU e ACCA Qualification Papers F8 e P7
Aspetti specifici di auditing in un ambiente computer-based
Information technology (IT) è parte integrante dei moderni sistemi di contabilità e gestione delle informazioni. Pertanto, è imperativo che i revisori dei conti siano pienamente consapevoli dell’impatto dell’IT sulla revisione del bilancio di un cliente, sia nel contesto del modo in cui viene utilizzato da un cliente per raccogliere, elaborare e segnalare le informazioni finanziarie nel proprio bilancio, sia in che modo il revisore può utilizzarle nel processo di revisione del bilancio.
Lo scopo di questo articolo è quello di fornire indicazioni sui seguenti aspetti del controllo in un ambiente contabile basato su computer:
- Controlli applicativi, comprendenti controlli di input, elaborazione, output e file master stabiliti da un cliente di audit, sul suo sistema di contabilità basato su computer e
- Tecniche di audit assistite da computer (CAATs) che possono essere impiegate dai revisori per testare e concludere sull’integrità del sistema di contabilità basato su computer di un cliente.
Domande d’esame su ciascuno degli aspetti di cui sopra sono spesso risposte a uno standard inadeguato da un numero significativo di studenti-da qui la ragione di questo articolo.
Gestione dei controlli delle applicazioni e dei CAAT a loro volta:
CONTROLLI DELLE APPLICAZIONI
I controlli delle applicazioni sono quei controlli (manuali e computerizzati) che riguardano la transazione e i dati permanenti relativi a un sistema di contabilità basato su computer. Essi sono specifici per una determinata domanda e hanno l’obiettivo di garantire la completezza e l’accuratezza delle scritture contabili e la validità delle registrazioni effettuate in tali scritture. Un efficace sistema informatico garantirà l’esistenza di controlli adeguati nelle fasi di input, elaborazione e output del ciclo di elaborazione del computer e sui dati permanenti contenuti nei file master. I controlli delle applicazioni devono essere accertati, registrati e valutati dal revisore nell’ambito del processo di determinazione del rischio di errori rilevanti nel bilancio del cliente di revisione.
Controlli di input
Le attività di controllo volte a garantire che l’input sia autorizzato, completo, accurato e tempestivo sono denominate controlli di input. A seconda della complessità del programma applicativo in questione, tali controlli varieranno in termini di quantità e sofisticazione. I fattori da considerare nella determinazione di queste variabili includono considerazioni sui costi e requisiti di riservatezza per quanto riguarda l’immissione dei dati. I controlli di input comuni ai programmi applicativi più efficaci includono servizi di prompt sullo schermo (ad esempio, una richiesta di accesso a un utente autorizzato) e una possibilità di produrre una traccia di controllo che consenta all’utente di tracciare una transazione dalla sua origine alla sua disposizione nel sistema.
I controlli di convalida degli input specifici possono includere:
Controlli di formato
Questi assicurano che le informazioni siano inserite nella forma corretta. Ad esempio, il requisito che la data di una vendita in voce sia inserita solo in formato numerico, non numerico e alfanumerico.
Controlli di intervallo
Questi assicurano che l’input di informazioni sia ragionevole in linea con le aspettative. Ad esempio, se un’entità effettua raramente, se mai, acquisti di massa con un valore superiore a $50.000, una fattura di acquisto con un valore di input superiore a $50.000 viene rifiutata per la revisione e il follow-up.
Controlli di compatibilità
Questi assicurano che l’input di dati da due o più campi sia compatibile. Ad esempio, un valore della fattura di vendita dovrebbe essere compatibile con l’importo dell’imposta sulle vendite addebitata sulla fattura.
Controlli di validità
Questi assicurano che l’input dei dati sia valido. Ad esempio, se un’entità gestisce un sistema di calcolo dei costi del lavoro, l’input dei costi per un lavoro completato in precedenza deve essere rifiutato come non valido.
Controlli di eccezione
Questi assicurano che venga prodotto un report di eccezione che evidenzia situazioni insolite che sono sorte in seguito all’input di un elemento specifico. Ad esempio, il riporto di un valore negativo per le scorte detenute.
Controlli di sequenza
Questi facilitano la completezza dell’elaborazione assicurando che i documenti elaborati fuori sequenza vengano rifiutati. Ad esempio, quando le merci pre-numerate ricevute note sono emesse a conoscenza ac la ricezione delle merci in inventario fisico, qualsiasi input di note fuori sequenza dovrebbe essere respinta.
Totali di controllo
Questi facilitano anche la completezza dell’elaborazione assicurando che i totali di controllo pre-input e preparati manualmente siano confrontati con l’input dei totali di controllo. Ad esempio, i totali non corrispondenti di un “batch” di fatture di acquisto dovrebbero comportare un prompt utente sullo schermo o la produzione di un report di eccezione per il follow-up. L’uso di totali di controllo in questo modo sono anche comunemente indicati come controlli di uscita (vedi sotto).
Verifica delle cifre di controllo
Questo processo utilizza algoritmi per garantire che l’immissione dei dati sia accurata. Ad esempio, i codici di riferimento numerici del fornitore validi generati internamente devono essere formattati in modo tale che qualsiasi input di fatture di acquisto con un codice errato venga automaticamente rifiutato.
Controlli di elaborazione
Esistono controlli di elaborazione per garantire che tutti i dati immessi siano elaborati correttamente e che i file di dati siano adeguatamente aggiornati in modo accurato e tempestivo. I controlli di elaborazione per un programma applicativo specificato devono essere progettati e quindi testati prima di eseguire “live” con dati reali. Questi possono in genere includere l’uso di controlli run-to-run, che garantiscono l’integrità dei totali cumulativi contenuti nelle registrazioni contabili viene mantenuta da un ciclo di elaborazione dei dati alla successiva. Ad esempio, il saldo riportato sul conto bancario nel registro generale (nominale) di una società. Altri controlli di elaborazione dovrebbero includere il successivo trattamento dei dati rifiutati nel punto di input, ad esempio:
- Un computer ha prodotto la stampa di articoli rifiutati.
- Istruzioni scritte formali che informano il personale addetto al trattamento dei dati sulle procedure da seguire per quanto riguarda gli articoli rifiutati.
- Indagine/follow-up appropriati per quanto riguarda gli articoli respinti.
- Prove che gli errori respinti sono stati corretti e reinseriti.
Controlli di uscita
Esistono controlli di uscita per garantire che tutti i dati siano elaborati e che l’uscita sia distribuita solo agli utenti autorizzati prescritti. Mentre il grado di controlli in uscita varierà da un’organizzazione all’altra (a seconda della riservatezza delle informazioni e delle dimensioni dell’organizzazione), i controlli comuni comprendono:
- Uso dei totali di controllo batch, come descritto sopra (vedere “controlli di input”).
- Revisione e follow-up appropriati delle informazioni del report delle eccezioni per garantire che non vi siano elementi di eccezione permanentemente in sospeso.
- Pianificazione accurata del trattamento dei dati per facilitare la distribuzione tempestiva delle informazioni agli utenti finali.
- Istruzioni scritte formali che informano il personale addetto al trattamento dei dati delle procedure di distribuzione prescritte.
- Monitoraggio continuo, da parte di un funzionario responsabile, della distribuzione della produzione, per garantire che sia distribuita in conformità con la politica autorizzata.
Controlli file master
Lo scopo dei controlli file master è quello di garantire l’integrità continua dei dati permanenti contenuti nei file master. È di vitale importanza che vengano esercitati severi controlli di “sicurezza” su tutti i file master.
Questi includono:
- l’uso appropriato della password per limitare l’accesso a master di file di dati
- l’istituzione di adeguate procedure di oltre la modifica dei dati, che comprende un’adeguata separazione delle funzioni, e l’autorità di modificare essere limitata ai responsabili
- controllo regolare dei master file di dati autorizzata di dati, dall’indipendenza del funzionario responsabile
- elaborazione controlli sull’aggiornamento dei file master compreso l’uso di conteggi di record e i totali di controllo.
COMPUTER ASSISTED AUDIT TECHNIQUES (CAATs)
La natura dei sistemi contabili basati su computer è tale che i revisori possono utilizzare il computer della società cliente di audit, o il proprio, come strumento di audit, per assisterli nelle loro procedure di audit. La misura in cui un revisore può scegliere tra l’utilizzo di CAAT e tecniche manuali su uno specifico impegno di audit dipende dai seguenti fattori:
- la praticità di esecuzione di test manuali
- il costo efficacia dell’utilizzo di CAATs
- la disponibilità di audit tempo
- la disponibilità del controllo di computer del client struttura
- il livello di audit esperienza e competenza nell’utilizzo di un determinato CAAT
- il livello di CAATs effettuato dal cliente funzione di revisione interna e la misura in cui il extern al revisore può contare su questo lavoro.
Ci sono tre classificazioni di CAATS-vale a dire:
- Software di controllo
- Dati di prova
- Altre tecniche
Trattare ciascuno dei suddetti a sua volta:
Software di audit
Software di audit è un termine generico usato per descrivere programmi per computer progettati per eseguire test di controllo e / o procedure sostanziali. Tali programmi possono essere classificati come:
Programmi confezionati
Questi consistono in programmi generalizzati pre-preparati utilizzati dagli auditor e non sono “specifici del cliente”. Possono essere utilizzati per svolgere numerosi compiti di audit, ad esempio per selezionare un campione, statisticamente o giudicativamente, durante i calcoli aritmetici e il controllo delle lacune nell’elaborazione delle sequenze.
Programmi scritti per scopi
Questi programmi sono solitamente “specifici del cliente” e possono essere utilizzati per eseguire test di controllo o procedure sostanziali. Il software di audit può essere acquistato o sviluppato, ma in ogni caso il piano di audit della società di revisione dovrebbe garantire che siano previste disposizioni per garantire che i programmi specificati siano appropriati per il sistema di un cliente e le esigenze dell’audit. In genere, possono essere utilizzati per eseguire nuovamente procedure di controllo informatizzate (ad esempio, calcoli del costo delle vendite) o forse per effettuare un’analisi invecchiata dei saldi dei crediti commerciali (debitori).
Programmi di richiesta
Questi programmi sono parte integrante del sistema contabile del cliente; tuttavia possono essere adattati per scopi di audit. Ad esempio, quando un sistema prevede la rendicontazione di routine su base “mensile” dei dipendenti in partenza e in partenza, questa funzione può essere utilizzata dal revisore quando controlla gli stipendi e le retribuzioni nei rendiconti finanziari del cliente. Analogamente, un revisore dei conti potrebbe utilizzare un meccanismo per segnalare i saldi in sospeso a lungo termine (creditore) per la verifica del valore dichiarato dei creditori.
Dati di test
Dati di test di audit
I dati di test di audit vengono utilizzati per testare l’esistenza e l’efficacia dei controlli integrati in un programma applicativo utilizzato da un client di audit. Pertanto, le transazioni fittizie vengono elaborate attraverso il sistema informatizzato del cliente. I risultati dell’elaborazione vengono quindi confrontati con i risultati attesi dall’auditor per determinare se i controlli funzionano in modo efficiente e l’obiettività dei sistemi viene raggiunta. Ad esempio, due transazioni fittizie di pagamento bancario (una all’interno e una all’esterno dei parametri autorizzati) possono essere elaborate con l’aspettativa che solo la transazione elaborata all’interno dei parametri sia “accettata” dal sistema. Chiaramente, se le operazioni fittizie elaborate non producono i risultati attesi in uscita, il revisore dovrà considerare la necessità di un aumento delle procedure sostanziali nel settore in esame.
Servizi di test integrati
Per evitare il rischio di corrompere il sistema di account di un cliente, elaborando i dati di test con altri dati “live” del cliente, gli auditor possono istigare esecuzioni speciali di elaborazione “solo dati di test” per i dati di test di audit. Il principale svantaggio di ciò è che l’auditor non ha la garanzia totale che i dati di test vengano elaborati in modo simile ai dati in tempo reale del cliente. Per risolvere questo problema, il revisore può quindi chiedere il permesso al cliente di stabilire una struttura di test integrata all’interno del sistema contabile. Ciò comporta la creazione di un’unità fittizia, ad esempio un conto fornitore fittizio rispetto al quale i dati di prova dell’auditor vengono elaborati durante le normali fasi di lavorazione.
Altre tecniche
Questa sezione contiene informazioni utili per migliorare la comprensione generale.
Altri CAAT includono:
Embedded audit Facilities (EAFs)
Questa tecnica richiede che il codice del programma dell’auditor sia incorporato (incorporato) nel software applicativo del cliente, in modo tale che le procedure di verifica possano essere eseguite come richiesto sui dati in elaborazione. Ad esempio, i test di controllo possono includere la riperformance di specifici controlli di convalida dell’input (vedi controlli di input sopra) – le transazioni selezionate possono essere “contrassegnate” e seguite attraverso il sistema per accertare se i controlli e i processi dichiarati sono stati applicati a tali transazioni dal sistema informatico. I CES dovrebbero garantire che i risultati delle prove siano registrati in uno speciale fascicolo protetto per un successivo esame da parte del revisore dei conti, che dovrebbe essere in grado di concludere sull’integrità dei controlli di elaborazione in generale, dai risultati delle prove. Un ulteriore EAF, di dieci trascurato dagli studenti, è quello di un programma di revisione analitica che consente prestazioni simultanee di procedure di revisione analitica sui dati del cliente mentre viene elaborato attraverso il sistema automatizzato.
Esame del programma applicativo
Nel determinare la misura in cui possono fare affidamento sui controlli delle applicazioni, gli auditor devono considerare la misura in cui i controlli specificati sono stati implementati correttamente. Ad esempio, nel caso in cui si siano verificate modifiche del sistema durante un periodo contabile, il revisore dei conti avrebbe bisogno di garanzie sull’esistenza dei controlli necessari sia prima che dopo la modifica. Il revisore può cercare di ottenere tale garanzia utilizzando un programma software per confrontare i controlli in atto prima e dopo la data di modifica.
Sommario
Gli obiettivi chiave di un audit non cambiano indipendentemente dal fatto che l’impegno di audit sia svolto in un ambiente manuale o basato su computer. L’approccio di audit, le considerazioni di pianificazione e le tecniche utilizzate per ottenere sufficienti prove di audit appropriate cambiano naturalmente. Gli studenti sono incoraggiati a leggere ulteriormente per aumentare la loro conoscenza dell’auditing in un ambiente basato su computer e per praticare la loro capacità di rispondere alle domande d’esame sull’argomento tentando le domande impostate nei precedenti documenti d’esame ACCA.
Scritto da un membro del team di audit exam