Audyt w środowisku komputerowym

istotne dla poziomu podstawowego dokumenty Fau i ACCA dokumenty kwalifikacyjne F8 i P7

szczegółowe aspekty audytu w środowisku komputerowym

technologia informacyjna (IT) jest integralną częścią nowoczesnych systemów informatycznych rachunkowości i zarządzania. Dlatego konieczne jest, aby biegli rewidenci byli w pełni świadomi ich wpływu na badanie sprawozdań finansowych klienta, zarówno w kontekście sposobu, w jaki są one wykorzystywane przez Klienta do gromadzenia, przetwarzania i raportowania informacji finansowych w swoich sprawozdaniach finansowych, jak i sposobu, w jaki biegły rewident może je wykorzystać w procesie badania sprawozdań finansowych.
celem tego artykułu jest dostarczenie wskazówek dotyczących następujących aspektów audytu w komputerowym środowisku księgowym:

  • kontrole aplikacji, obejmujące kontrole wejścia, przetwarzania, wyjścia i plików głównych ustanowione przez Klienta audytowego, w ramach jego komputerowego systemu księgowego oraz technik audytu wspomaganego komputerowo (CAAT)
  • , które mogą być stosowane przez audytorów do testowania i wnioskowania o integralności komputerowego systemu księgowego klienta.

na pytania egzaminacyjne dotyczące każdego z wyżej wymienionych aspektów znaczna liczba studentów często odpowiada na nieodpowiednie standardy – stąd powód tego artykułu.
Kontrola wniosków i CAAT z kolei:
Kontrola wniosków
Kontrola wniosków to te kontrole (ręczne i komputerowe), które odnoszą się do danych transakcyjnych i stałych dotyczących komputerowego systemu księgowego. Są one specyficzne dla danego wniosku, a ich celem jest zapewnienie kompletności i dokładności zapisów księgowych oraz ważności zapisów dokonanych w tych zapisach. Skuteczny system komputerowy zapewni istnienie odpowiednich kontroli na etapie wprowadzania, przetwarzania i wyjścia cyklu przetwarzania komputerowego oraz nad danymi stałymi zawartymi w plikach głównych. Kontrola aplikacji musi być ustalana, rejestrowana i oceniana przez biegłego rewidenta w ramach procesu określania ryzyka istotnej nieprawidłowości w sprawozdaniu finansowym klienta badania.
kontrole wprowadzania danych
działania kontrolne mające na celu zapewnienie, że wprowadzanie danych jest dozwolone, kompletne, dokładne i terminowe, określane są jako kontrole wprowadzania danych. W zależności od złożoności danego programu aplikacji, takie kontrole będą się różnić pod względem ilości i złożoności. Czynniki, które należy wziąć pod uwagę przy określaniu tych zmiennych, obejmują względy kosztów i wymogi dotyczące poufności w odniesieniu do wprowadzania danych. Kontrole wprowadzania danych wspólne dla najbardziej efektywnych programów aplikacji obejmują funkcje wyświetlania monitów na ekranie (na przykład żądanie autoryzowanego użytkownika do “zalogowania się”) oraz funkcję tworzenia ścieżki audytu umożliwiającą użytkownikowi śledzenie transakcji od jej pochodzenia do dyspozycji w systemie.
szczegółowe kontrole walidacji danych wejściowych mogą obejmować:
kontrole formatu
zapewniają one, że informacje są wprowadzane we właściwej formie. Na przykład wymóg, aby Data sprzedaży głosowej była wprowadzana tylko w formacie numerycznym-nie numerycznym i alfanumerycznym.
kontrole zasięgu
zapewniają, że wprowadzanie informacji jest uzasadnione zgodnie z oczekiwaniami. Na przykład, gdy jednostka rzadko, jeśli w ogóle, dokonuje zakupów hurtowych o wartości przekraczającej 50 000 USD, faktura zakupu o wartości wejściowej przekraczającej 50 000 usd jest odrzucana do przeglądu i monitorowania.
sprawdzanie zgodności
zapewnia zgodność danych wprowadzanych z dwóch lub więcej pól. Na przykład wartość faktury sprzedaży powinna być zgodna z kwotą podatku od sprzedaży naliczonego na fakturze.
kontrole ważności
zapewniają, że wprowadzanie danych jest prawidłowe. Na przykład, gdy jednostka prowadzi system kalkulacji kosztów zadania-koszty wejściowe do wcześniej zakończonego zadania powinny zostać odrzucone jako nieważne.
kontrole WYJĄTKÓW
zapewniają one, że raport o wyjątkach jest tworzony z uwzględnieniem nietypowych sytuacji, które pojawiły się po wprowadzeniu określonej pozycji. Na przykład przeniesienie ujemnej wartości posiadanego inwentarza.
kontrole sekwencji
ułatwiają one kompletność przetwarzania, zapewniając, że dokumenty przetwarzane niezgodnie z kolejnością są odrzucane. Na przykład, w przypadku gdy wcześniej numerowane otrzymane notatki są wystawiane ac knowledge the receipt of goods into physical inventory, wszelkie wprowadzanie notatek poza kolejnością powinno zostać odrzucone.
sumy kontrolne
te również ułatwiają kompletność przetwarzania, zapewniając, że wstępnie wprowadzone, ręcznie przygotowane sumy kontrolne są porównywane z danymi wejściowymi. Na przykład niepasujące sumy “partii” faktur zakupu powinny skutkować wyświetlanym na ekranie monitem użytkownika lub sporządzeniem raportu o wyjątkach do monitorowania. Użycie w ten sposób sumy kontrolnej jest również powszechnie określane jako kontrolki wyjściowe (patrz poniżej).
weryfikacja cyfr kontrolnych
ten proces wykorzystuje algorytmy, aby zapewnić dokładność wprowadzania danych. Na przykład, wygenerowane wewnętrznie poprawne numeryczne kody referencyjne dostawcy, powinny być sformatowane w taki sposób, aby wszelkie faktury zakupu wprowadzone z nieprawidłowym kodem były automatycznie odrzucane.
Kontrola przetwarzania
Kontrola przetwarzania ma na celu zapewnienie prawidłowego przetwarzania wszystkich wprowadzanych danych i odpowiedniej aktualizacji plików danych w odpowiednim czasie. Kontrolki przetwarzania dla określonego programu aplikacji powinny być zaprojektowane, a następnie przetestowane przed uruchomieniem “na żywo” z prawdziwymi danymi. Mogą one zazwyczaj obejmować stosowanie kontroli typu run-to-run, które zapewniają integralność skumulowanych kwot zawartych w zapisach księgowych, które są utrzymywane od jednego cyklu przetwarzania danych do drugiego. Na przykład saldo przeniesione na rachunek bankowy w ogólnej (nominalnej) księdze rachunkowej firmy. Inne kontrole przetwarzania powinny obejmować późniejsze przetwarzanie danych odrzuconych w momencie wprowadzania, na przykład:

  • komputer produkował wydruki odrzuconych przedmiotów.
  • formalne pisemne instrukcje powiadamiające personel przetwarzający dane o procedurach, których należy przestrzegać w odniesieniu do odrzuconych pozycji.
  • dowody na to, że odrzucone błędy zostały poprawione i ponownie wprowadzone.

sterowanie wyjściowe
sterowanie wyjściowe istnieje, aby mieć pewność, że wszystkie dane są przetwarzane i że wyjście jest dystrybuowane tylko do określonych upoważnionych Użytkowników. Podczas gdy stopień kontroli wyników będzie się różnić w zależności od organizacji (w zależności od poufności informacji i wielkości organizacji), wspólne kontrole obejmują:

  • stosowanie zestawów kontrolnych, jak opisano powyżej (zob. “elementy sterujące wejściami”).
  • odpowiedni przegląd i monitorowanie informacji o raportach WYJĄTKÓW, aby upewnić się, że nie ma trwale zaległych elementów WYJĄTKÓW.
  • staranne planowanie przetwarzania danych w celu ułatwienia terminowego przekazywania informacji użytkownikom końcowym.
  • formalne pisemne instrukcje powiadamiające personel przetwarzający dane o zalecanych procedurach dystrybucji.
  • bieżące monitorowanie przez odpowiedzialnego urzędnika dystrybucji produkcji w celu zapewnienia jej dystrybucji zgodnie z zatwierdzoną Polityką.

kontrolki plików Głównych
celem kontrolek plików Głównych jest zapewnienie ciągłej integralności stałych danych zawartych w plikach głównych. Niezwykle ważne jest, aby nad wszystkimi plikami nadrzędnymi prowadzono rygorystyczne kontrole “bezpieczeństwa”.
należą do nich:

  • właściwe stosowanie haseł, w celu ograniczenia dostępu do danych z pliku głównego
  • ustanowienie odpowiednich procedur dotyczących zmiany danych, obejmujących odpowiedni podział obowiązków, oraz upoważnienie do zmiany ograniczone do odpowiednich odpowiedzialnych osób
  • regularne sprawdzanie danych z pliku głównego do danych autoryzowanych przez niezależnego odpowiedzialnego urzędnika
  • Kontrola przetwarzania nad aktualizacją plików Głównych, w tym stosowanie liczby rekordów i sumy kontrolne.

COMPUTER ASSISTED AUDIT TECHNIQUES (CAATs)
charakter komputerowych systemów księgowych jest taki, że audytorzy mogą korzystać z komputera firmy klienta audytu lub własnego, jako narzędzia audytu, aby pomóc im w ich procedurach audytu. Zakres, w jakim audytor może wybrać między wykorzystaniem CAATs a technikami ręcznymi w odniesieniu do konkretnego zaangażowania w audyt, zależy od następujących czynników:

  • praktyczność przeprowadzania testów ręcznych
  • efektywność kosztowa stosowania CAATs
  • dostępność czasu audytu
  • dostępność komputera klienta audytowego
  • poziom doświadczenia i wiedzy audytowej w stosowaniu określonego CAAT
  • poziom CAATs przeprowadzonych przez funkcję Audytu Wewnętrznego klienta audytowego i zakres, w jakim zewnętrzny system zarządzania jakością i Audytor może polegać na tej pracy.

istnieją trzy klasyfikacje Caatów-mianowicie:

  • oprogramowanie audytowe
  • dane testowe
  • inne techniki

radzenie sobie z każdym z powyższych z kolei:
oprogramowanie audytowe
oprogramowanie audytowe to ogólny termin używany do opisu programów komputerowych przeznaczonych do przeprowadzania testów kontroli i/lub procedur merytorycznych. Programy takie można sklasyfikować jako:
programy pakietowe
składają się one z wstępnie przygotowanych ogólnych programów używanych przez audytorów i nie są “specyficzne dla klienta”. Mogą być wykorzystywane do wykonywania wielu zadań kontrolnych, na przykład do wyboru próby, statystycznie lub osądowo, podczas obliczeń arytmetycznych i sprawdzania luk w przetwarzaniu sekwencji.
programy napisane celem
programy te są zwykle “specyficzne dla klienta” i mogą być używane do przeprowadzania testów kontroli lub procedur merytorycznych. Oprogramowanie audytowe może być zakupione lub opracowane, ale w każdym przypadku plan audytu firmy audytorskiej powinien zapewnić zapewnienie, że określone programy są odpowiednie dla systemu klienta i potrzeb audytu. Zazwyczaj mogą być one wykorzystywane do ponownego przeprowadzania skomputeryzowanych procedur kontrolnych (na przykład obliczeń kosztów sprzedaży) lub być może do przeprowadzania analizy starzejących się sald należności handlowych (dłużników).
programy zapytań
programy te są integralną częścią systemu księgowego klienta, jednak mogą być dostosowane do celów audytu. Na przykład, w przypadku gdy system przewiduje rutynowe raportowanie “miesięcznie” pracowników rozpoczynających i kończących pracę, narzędzie to może być wykorzystywane przez biegłego rewidenta podczas badania wynagrodzeń i wynagrodzeń w sprawozdaniach finansowych klienta. Podobnie biegły rewident mógłby skorzystać z instrumentu służącego do zgłaszania zobowiązań handlowych (wierzycieli) o długim okresie spłaty przy sprawdzaniu zgłaszanej wartości wierzycieli.
dane testowe
dane testowe audytu
dane testowe audytu są wykorzystywane do testowania istnienia i skuteczności kontroli wbudowanych w program aplikacji używany przez Klienta audytu. W związku z tym transakcje pozorowane są przetwarzane za pośrednictwem skomputeryzowanego systemu klienta. Wyniki przetwarzania są następnie porównywane z oczekiwanymi wynikami audytora, aby określić, czy kontrole działają skutecznie, a obiektywność systemów są osiągane. Na przykład dwie pozorowane transakcje płatnicze banku (jedna wewnętrzna i jedna zewnętrzna) mogą być przetwarzane z oczekiwaniem, że tylko transakcja przetworzona w ramach parametrów zostanie “zaakceptowana” przez system. Oczywiście, jeżeli przetworzone transakcje pozorowane nie przyniosą oczekiwanych rezultatów, audytor będzie musiał rozważyć potrzebę zaostrzenia procedur merytorycznych w omawianym obszarze.
zintegrowane urządzenia testowe
aby uniknąć ryzyka uszkodzenia systemu konta klienta, przetwarzając dane testowe z innymi danymi “na żywo” klienta, audytorzy mogą zainicjować specjalne przebiegi przetwarzania “tylko dane testowe” dla danych testowych audytu. Główną wadą jest to, że audytor nie ma całkowitej pewności, że dane testowe są przetwarzane w podobny sposób, jak dane rzeczywiste klienta. Aby rozwiązać ten problem, audytor może zatem zwrócić się do Klienta o zgodę na utworzenie zintegrowanego obiektu testowego w ramach systemu księgowego. Wiąże się to z utworzeniem pozorowanej jednostki, na przykład pozorowanego konta dostawcy, na którym dane testowe audytora są przetwarzane podczas normalnego przetwarzania.
inne techniki
Ta sekcja zawiera przydatne informacje ogólne, aby poprawić ogólne zrozumienie.
Inne CAAT obejmują:
Embedded audit facilities (EAFs)
ta technika wymaga osadzenia (włączenia) własnego kodu programu audytora w oprogramowaniu klienta, tak aby procedury weryfikacji mogły być przeprowadzane zgodnie z wymaganiami dotyczącymi przetwarzanych danych. Na przykład testy kontroli mogą obejmować ponowne przeprowadzenie określonych kontroli walidacji danych wejściowych – zob. kontrole danych wejściowych powyżej) – wybrane transakcje mogą być “oznaczone” i śledzone przez system w celu ustalenia, czy określone kontrole i procesy zostały zastosowane do tych transakcji przez system komputerowy. EAFs powinny zapewnić, aby wyniki badań były rejestrowane w specjalnym bezpiecznym pliku do późniejszego przeglądu przez audytora, który powinien być w stanie stwierdzić na podstawie wyników badań ogólną integralność kontroli przetwarzania. Kolejnym EAF, z dziesięciu pomijanych przez studentów, jest program przeglądu analitycznego umożliwiający jednoczesne wykonywanie procedur przeglądu analitycznego na danych klienta, ponieważ są one przetwarzane za pośrednictwem zautomatyzowanego systemu.
badanie programu aplikacyjnego
przy określaniu zakresu, w jakim mogą polegać na kontroli aplikacji, audytorzy muszą wziąć pod uwagę zakres, w jakim określone kontrole zostały prawidłowo wdrożone. Na przykład w przypadku, gdy zmiany systemu miały miejsce w okresie obrachunkowym, biegły rewident musiałby mieć pewność co do istnienia niezbędnych kontroli zarówno przed zmianą, jak i po niej. Biegły rewident może dążyć do uzyskania takiego zapewnienia za pomocą oprogramowania do porównywania kontroli obowiązujących przed datą zmiany i po niej.
podsumowanie
kluczowe cele audytu nie zmieniają się niezależnie od tego, czy audyt przeprowadzany jest w środowisku manualnym, czy komputerowym. Podejście do audytu, rozważania dotyczące planowania i techniki stosowane w celu uzyskania wystarczających odpowiednich dowodów z audytu oczywiście się zmieniają. Uczniowie są zachęcani do dalszej lektury, aby poszerzyć swoją wiedzę na temat audytu w środowisku komputerowym i ćwiczyć umiejętność odpowiadania na pytania egzaminacyjne na ten temat, próbując pytań określonych w poprzednich dokumentach egzaminacyjnych ACCA.
napisany przez członka zespołu egzaminacyjnego audytu

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.