Auditing in a computer-based environment

Relevant voor Document FAU en ACCA Qualification Papers F8 en P7

specifieke aspecten van auditing in een computer-based environment

informatietechnologie (IT) is een integraal onderdeel van moderne boekhoudings-en managementinformatiesystemen. Het is daarom absoluut noodzakelijk dat auditors zich ten volle bewust zijn van de impact ervan op de controle van de jaarrekening van een cliënt, zowel in de context van de wijze waarop deze informatie door een cliënt wordt gebruikt om financiële informatie in zijn jaarrekening te verzamelen, te verwerken en te rapporteren, als in de context van de wijze waarop de auditor deze informatie kan gebruiken bij de controle van de jaarrekening.
dit artikel heeft tot doel richtsnoeren te verstrekken over de volgende aspecten van auditing in een computergebaseerde boekhoudomgeving:

  • Toepassingsbesturingen, bestaande uit door een auditclient ingestelde controles van input, verwerking, output en basisbestand, over zijn computergebaseerde boekhoudsysteem en
  • computerondersteunde audittechnieken (Caats) die door auditors kunnen worden gebruikt om de integriteit van het computergebaseerde boekhoudsysteem van een cliënt te testen en te concluderen.

examenvragen over elk van de hierboven geà dentificeerde aspecten worden vaak beantwoord aan een ontoereikende standaard door een aanzienlijk aantal studenten – vandaar de reden voor dit artikel.
controle op de toepassing en CAATs op hun beurt:
controle op de toepassing
controle op de toepassing zijn de controles (handmatig en geautomatiseerd) die betrekking hebben op de transactie en de permanente gegevens die betrekking hebben op een computergebaseerd boekhoudsysteem. Zij zijn specifiek voor een bepaalde toepassing en hebben tot doel de volledigheid en juistheid van de boekhoudbescheiden en de geldigheid van de in die registers verrichte boekingen te waarborgen. Een doeltreffend computergebaseerd systeem zal ervoor zorgen dat er adequate controles bestaan op het punt van de invoer -, verwerkings-en uitvoerstadia van de computerverwerkings-cyclus en op staande gegevens in hoofdbestanden. Toepassingscontroles moeten door de auditor worden vastgesteld, vastgelegd en geëvalueerd als onderdeel van het proces om het risico van materiële onjuistheden in de jaarrekening van de auditklant te bepalen.
invoercontroles
controleactiviteiten die zijn ontworpen om ervoor te zorgen dat de invoer is toegestaan, volledig, nauwkeurig en tijdig is, worden “invoercontroles” genoemd. Afhankelijk van de complexiteit van het toepassingsprogramma in kwestie, zullen dergelijke controles variëren in termen van kwantiteit en verfijning. Factoren die in aanmerking moeten worden genomen bij het bepalen van deze variabelen zijn onder meer kostenoverwegingen en vertrouwelijkheidseisen met betrekking tot de invoer van gegevens. Invoercontroles die gemeenschappelijk zijn voor de meest effectieve toepassingsprogramma ‘s omvatten on-screen prompt-faciliteiten (bijvoorbeeld een verzoek aan een geautoriseerde gebruiker om in te loggen) en een mogelijkheid om een audittrail op te stellen waarmee een gebruiker een transactie kan traceren van de oorsprong tot de bestemming in het systeem.
specifieke invoervalidatiecontroles kunnen omvatten:
Formaatcontroles
deze waarborgen dat de informatie in de juiste vorm wordt ingevoerd. Bijvoorbeeld de eis dat de datum van een verkoop in spraak alleen in numeriek formaat moet worden ingevoerd – niet numeriek en alfanumeriek.
Range checks
deze zorgen ervoor dat de input van informatie redelijk is in overeenstemming met de verwachtingen. Wanneer een entiteit bijvoorbeeld zelden of nooit bulk-buy-aankopen doet met een waarde van meer dan $50.000, wordt een aankoopfactuur met een inputwaarde van meer dan $ 50.000 afgewezen voor beoordeling en follow-up.
Compatibiliteitscontroles
deze waarborgen dat de invoer van gegevens uit twee of meer velden compatibel is. Een verkoopfactuurwaarde moet bijvoorbeeld verenigbaar zijn met het bedrag van de omzetbelasting dat op de factuur wordt geheven.
Validiteitscontroles
deze waarborgen dat de ingevoerde gegevens geldig zijn. Wanneer een entiteit bijvoorbeeld een kostenkostsysteem exploiteert, moeten kosteninvoer naar een eerder voltooide taak als ongeldig worden afgewezen.
Exception checks
deze zorgen ervoor dat er een exception report wordt opgesteld waarin ongewone situaties worden belicht die zijn ontstaan na de invoer van een specifiek item. Bijvoorbeeld de overdracht van een negatieve waarde voor de aangehouden inventaris.
Sequentiecontroles
deze vergemakkelijken de volledigheid van de verwerking door ervoor te zorgen dat documenten die niet in volgorde zijn verwerkt, worden afgewezen. Bij voorbeeld, wanneer vooraf genummerde goederen ontvangen nota ‘s worden afgegeven aan ac kennis van de ontvangst van goederen in de feitelijke inventaris, elke invoer van de nota’ s buiten volgorde moet worden afgewezen.
Controletotalen
deze vergemakkelijken ook de volledigheid van de verwerking door ervoor te zorgen dat pre-input, handmatig voorbereide controletotalen worden vergeleken met input van controletotalen. Niet-overeenkomende totalen van een’ batch ‘ aankoopfacturen moeten bijvoorbeeld resulteren in een gebruikersprompt op het scherm of de productie van een uitzonderingsrapport voor follow-up. Het gebruik van controletotalen op deze manier wordt ook wel output controls genoemd (zie hieronder).
controlecijferverificatie
dit proces maakt gebruik van algoritmen om ervoor te zorgen dat de gegevens correct worden ingevoerd. Bijvoorbeeld, intern gegenereerde geldige leverancier numerieke referentiecodes, moeten worden opgemaakt op een zodanige wijze dat alle inkoopfacturen ingevoerd met een onjuiste code automatisch worden afgewezen.
Verwerkingscontroles
Verwerkingscontroles bestaan om ervoor te zorgen dat alle gegevensinvoer correct wordt verwerkt en dat gegevensbestanden tijdig en correct worden bijgewerkt. De verwerkingscontroles voor een specifiek toepassingsprogramma moeten worden ontworpen en vervolgens worden getest voordat “live” met echte gegevens wordt uitgevoerd. Dit kan typisch het gebruik van run-to-run controles omvatten, die ervoor zorgen dat de integriteit van de cumulatieve totalen in de boekhouding wordt bijgehouden van de ene gegevensverwerking tot de andere. Bijvoorbeeld, het saldo overgedragen op de bankrekening in het algemeen (nominaal) grootboek van een bedrijf. Andere verwerkingscontroles moeten de latere verwerking omvatten van gegevens die op het punt van invoer zijn geweigerd, bijvoorbeeld:

  • een computer produceerde afdrukken van afgekeurde items.
  • formele schriftelijke instructies waarbij het personeel van de gegevensverwerking wordt geïnformeerd over de te volgen procedures met betrekking tot geweigerde artikelen.
  • passend onderzoek/follow-up met betrekking tot afgewezen items.
  • bewijs dat afgewezen fouten zijn gecorrigeerd en opnieuw ingevoerd.

Uitvoerregelingen
Uitvoerregelingen bestaan om ervoor te zorgen dat alle gegevens worden verwerkt en dat de uitvoer alleen wordt gedistribueerd onder de voorgeschreven geautoriseerde gebruikers. Hoewel de mate van outputcontroles van organisatie tot organisatie zal verschillen (afhankelijk van de vertrouwelijkheid van de informatie en de omvang van de organisatie), omvatten gemeenschappelijke controles::

  • gebruik van totalen voor batchcontrole, zoals hierboven beschreven (zie “invoercontroles”).
  • passende evaluatie en follow-up van informatie over het uitzonderingsrapport om ervoor te zorgen dat er geen permanent uitstaande uitzonderingen zijn.
  • zorgvuldige planning van de verwerking van gegevens om de tijdige verspreiding van informatie aan eindgebruikers te vergemakkelijken.
  • formele schriftelijke instructies die het personeel van de gegevensverwerking in kennis stellen van de voorgeschreven distributieprocedures.
  • doorlopend toezicht door een verantwoordelijke ambtenaar op de verdeling van de output, om ervoor te zorgen dat deze wordt gedistribueerd in overeenstemming met het goedgekeurde beleid.

Basisbestandbesturingen
het doel van basisbestandbesturingen is de voortdurende integriteit van de permanente gegevens in de basisbestanden te waarborgen. Het is van vitaal belang dat er strenge “veiligheidscontroles” worden uitgeoefend op alle hoofdbestanden.
deze omvatten:

  • het juiste gebruik van wachtwoorden om de toegang te beperken tot master data van een bestand
  • de instelling van adequate procedures voor de wijziging van gegevens, bestaande uit een adequate scheiding van taken, en het gezag te wijzigen, worden beperkt tot het juiste verantwoordelijke personen
  • regelmatige controle van de master file data geautoriseerd gegevens, die door een onafhankelijke ambtenaar
  • processing controles over de actualisering van de master-bestanden, met inbegrip van het gebruik van het record telt en controle totalen.

computerondersteunde AUDITTECHNIEKEN (CAATS)
de aard van computergebaseerde boekhoudsystemen is van dien aard dat auditors de computer van de auditcliënt of hun eigen computer als auditinstrument kunnen gebruiken om hen bij te staan in hun auditprocedures. De mate waarin een auditor kan kiezen tussen het gebruik van CAATs en handmatige technieken op een specifieke auditopdracht hangt af van de volgende factoren:

  • de uitvoerbaarheid van het uitvoeren van handmatig testen
  • de kosteneffectiviteit van het gebruik van CAATs
  • de beschikbaarheid van audit-tijd
  • de beschikbaarheid van de audit client computer facility
  • het niveau van de audit ervaring en expertise in het gebruik van een bepaalde CAAT
  • het niveau van CAATs uitgevoerd door de client audit de interne audit functie en van de mate waarin de externe al auditor kan vertrouwen op dit werk.

er zijn drie classificaties van CAATs-namelijk:

  • controlesoftware
  • testgegevens
  • andere technieken

controlesoftware
controlesoftware is een algemene term die wordt gebruikt om computerprogramma ‘ s te beschrijven die zijn ontworpen om controleproeven en/of inhoudelijke procedures uit te voeren. Dergelijke programma ‘s kunnen worden ingedeeld als:
Pakketprogramma’s
deze bestaan uit vooraf opgestelde gegeneraliseerde programma’ s die door auditors worden gebruikt en zijn niet “klantspecifiek”. Zij kunnen worden gebruikt om tal van audittaken uit te voeren, bijvoorbeeld om een steekproef te selecteren, hetzij statistisch, hetzij oordelend, tijdens rekenkundige berekeningen en het controleren op hiaten in de verwerking van sequenties.
doeleinde geschreven programma ‘s
deze programma’ s zijn gewoonlijk “klantspecifiek” en kunnen worden gebruikt voor het uitvoeren van controletests of inhoudelijke procedures. Auditsoftware mag worden gekocht of ontwikkeld, maar het auditplan van het auditkantoor moet in ieder geval waarborgen dat bepaalde programma ‘ s geschikt zijn voor het systeem van een cliënt en de behoeften van de audit. Meestal kunnen ze worden gebruikt om geautomatiseerde controleprocedures opnieuw uit te voeren (bijvoorbeeld berekeningen van de verkoopkosten) of misschien om een verouderde analyse van de handelsvorderingen (debiteursaldi) uit te voeren.
informatieprogramma ‘s
deze programma’ s zijn integraal onderdeel van het boekhoudsysteem van de cliënt; zij kunnen echter worden aangepast voor auditdoeleinden. Wanneer een systeem bijvoorbeeld voorziet in de routinematige rapportage op “maandelijkse” basis van startende en vertrekkende werknemers, kan deze faciliteit door de accountant worden gebruikt bij het controleren van salarissen en lonen in de jaarrekening van de cliënt. Evenzo zou een auditor bij het verifiëren van de gerapporteerde waarde van crediteuren gebruik kunnen maken van een faciliteit voor het rapporteren van lang uitstaande saldi (crediteur).
testgegevens
Controletestgegevens
Controletestgegevens worden gebruikt om het bestaan en de doeltreffendheid te testen van controles die zijn ingebouwd in een toepassingsprogramma dat door een auditclient wordt gebruikt. Als zodanig worden dummy transacties verwerkt via het geautomatiseerde systeem van de klant. De resultaten van de verwerking worden vervolgens vergeleken met de verwachte resultaten van de auditor om te bepalen of de controles efficiënt werken en of de objectiviteit van de systemen wordt bereikt. Zo kunnen bijvoorbeeld twee dummy bankbetalingstransacties (één binnen en één buiten toegestane parameters) worden verwerkt met de verwachting dat alleen de transactie die binnen de parameters wordt verwerkt, door het systeem wordt “aanvaard”. Het is duidelijk dat, als de verwerkte dummy transacties niet de verwachte resultaten opleveren in de output, de auditor zal moeten overwegen of er behoefte is aan meer materiële procedures op het te beoordelen gebied.
geïntegreerde testfaciliteiten
om het risico van beschadiging van het accountsysteem van een cliënt te vermijden, kunnen auditors door testgegevens te verwerken met de andere “levende” gegevens van de cliënt, speciale “testdata only” – verwerkingsrondes voor audittestgegevens opstarten. Het grootste nadeel hiervan is dat de auditor geen volledige zekerheid heeft dat de testgegevens op dezelfde manier worden verwerkt als De live-gegevens van de klant. Om dit probleem aan te pakken, kan de auditor de cliënt daarom om toestemming vragen om binnen het boekhoudsysteem een geïntegreerde testfaciliteit op te zetten. Dit houdt de oprichting in van een dummy-eenheid, bijvoorbeeld een dummy-leveranciersaccount waarmee de testgegevens van de auditor tijdens normale verwerkingsrondes worden verwerkt.
andere technieken
deze sectie bevat nuttige achtergrondinformatie om uw algemene inzicht te verbeteren.
andere Caat ‘s omvatten:
Embedded audit facilities (EAF’ s)
deze techniek vereist dat de eigen programmacode van de auditor in de toepassingssoftware van de cliënt wordt ingebed (opgenomen), zodat verificatieprocedures kunnen worden uitgevoerd zoals vereist bij de verwerking van gegevens. Controletests kunnen bijvoorbeeld het reperformeren van specifieke invoervalidatiecontroles omvatten – zie inputcontroles hierboven) – geselecteerde transacties kunnen worden “gemerkt” en door het systeem worden gevolgd om na te gaan of de vermelde controles en processen door het computersysteem op die transacties zijn toegepast. De EAF ‘ s moeten ervoor zorgen dat de testresultaten worden vastgelegd in een speciaal beveiligd dossier dat vervolgens door de auditor kan worden gecontroleerd, die op basis van de testresultaten een conclusie moet kunnen trekken over de integriteit van de verwerkingscontroles in het algemeen. Een andere EAF, van tien over het hoofd gezien door studenten, is dat van een analytisch beoordelingsprogramma dat gelijktijdige uitvoering van analytische beoordelingsprocedures op klantgegevens mogelijk maakt terwijl deze worden verwerkt via het geautomatiseerde systeem.
toepassingsprogramma-onderzoek
bij het bepalen van de mate waarin zij kunnen vertrouwen op toepassingscontroles, moeten auditors rekening houden met de mate waarin gespecificeerde controles correct zijn uitgevoerd. Wanneer bijvoorbeeld tijdens een verslagperiode systeemwijzigingen hebben plaatsgevonden, moet de auditor zekerheid hebben over het bestaan van noodzakelijke controles zowel vóór als na de wijziging. De auditor kan trachten deze zekerheid te verkrijgen door gebruik te maken van een softwareprogramma om de controles die vóór en na de wijzigingsdatum van kracht waren, te vergelijken.
samenvatting
de belangrijkste doelstellingen van een audit veranderen niet ongeacht of de auditopdracht in een handmatige of een computergebaseerde omgeving wordt uitgevoerd. De auditbenadering, planningsoverwegingen en technieken die worden gebruikt om voldoende passend controlebewijs te verkrijgen, veranderen natuurlijk. Studenten worden aangemoedigd om verder te lezen om hun kennis van auditing in een computer-gebaseerde omgeving te vergroten en om hun vermogen om examenvragen over het onderwerp te beantwoorden oefenen door te proberen vragen in eerdere ACCA examenpapieren.
geschreven door een lid van het audit-examenteam

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.