auditul într-un mediu bazat pe calculator
Relevant pentru hârtie la nivel de fundație Fau și ACCA documente de calificare F8 și P7
aspecte specifice ale auditului într-un mediu bazat pe calculator
Tehnologia Informației (IT) este parte integrantă a sistemelor moderne de contabilitate și informații de management. Prin urmare, este imperativ ca auditorii să fie pe deplin conștienți de impactul acesteia asupra auditului situațiilor financiare ale unui client, atât în contextul modului în care este utilizat de un client pentru a colecta, prelucra și raporta informații financiare în situațiile sale financiare, cât și modul în care auditorul le poate utiliza în procesul de audit al situațiilor financiare.
scopul acestui articol este de a oferi îndrumări cu privire la următoarele aspecte ale auditului într-un mediu contabil bazat pe calculator:
- controale ale aplicațiilor, cuprinzând controale de intrare, procesare, ieșire și fișiere master stabilite de un client de audit, asupra sistemului său contabil bazat pe computer și
- tehnici de audit asistate de Computer (CAAT) care pot fi utilizate de auditori pentru a testa și a concluziona cu privire la integritatea sistemului contabil bazat pe computer al unui client.
întrebări examen pe fiecare dintre aspectele identificate mai sus sunt adesea răspuns la un standard inadecvat de un număr semnificativ de studenți – prin urmare, motivul pentru acest articol.
gestionarea controalelor aplicațiilor și a CAAT-urilor la rândul lor:
controalele aplicațiilor
controalele aplicațiilor sunt acele controale (manuale și computerizate) care se referă la tranzacție și la datele permanente referitoare la un sistem contabil bazat pe computer. Acestea sunt specifice unei cereri date, iar obiectivele lor sunt de a asigura exhaustivitatea și exactitatea evidențelor contabile și validitatea înregistrărilor efectuate în aceste evidențe. Un sistem informatic eficient va asigura existența unor controale adecvate în etapele de intrare, prelucrare și ieșire ale ciclului de procesare a computerului și a datelor permanente conținute în fișierele master. Controalele de aplicare trebuie să fie constatate, înregistrate și evaluate de auditor ca parte a procesului de determinare a riscului de denaturare semnificativă în situațiile financiare ale clientului de audit.
controale de intrare
activitățile de Control concepute pentru a se asigura că intrarea este autorizată, completă, precisă și în timp util sunt denumite controale de intrare. În funcție de complexitatea programului de aplicare în cauză, astfel de controale vor varia în ceea ce privește cantitatea și sofisticarea. Factorii care trebuie luați în considerare la determinarea acestor variabile includ considerente de cost și cerințe de confidențialitate cu privire la introducerea datelor. Controalele de intrare comune celor mai eficiente programe de aplicații includ facilități de solicitare pe ecran (de exemplu, o solicitare pentru un utilizator autorizat să se conecteze) și o facilitate pentru a produce o pistă de audit care să permită unui utilizator să urmărească o tranzacție de la originea sa până la dispunerea în sistem.
verificările specifice de validare a intrărilor pot include:
verificări de Format
acestea asigură introducerea informațiilor în forma corectă. De exemplu, cerința ca data unei vânzări în voce să fie introdusă numai în format numeric – nu numeric și alfanumeric.
verificări ale intervalului
acestea asigură faptul că introducerea informațiilor este rezonabilă în conformitate cu așteptările. De exemplu, în cazul în care o entitate rareori, dacă vreodată, face achiziții bulk-buy cu o valoare mai mare de $50,000, o factură de cumpărare cu o valoare de intrare mai mare de $50,000 este respinsă pentru revizuire și follow-up.
verificări de compatibilitate
acestea asigură compatibilitatea introducerii datelor din două sau mai multe câmpuri. De exemplu, o valoare a facturii de vânzare ar trebui să fie compatibilă cu valoarea impozitului pe vânzări perceput pe factură.
verificări de valabilitate
acestea asigură validitatea introducerii datelor. De exemplu, în cazul în care o entitate operează un sistem de calculare a costurilor de muncă – costurile de intrare într-un loc de muncă finalizat anterior ar trebui să fie respinse ca nevalide.
verificări de excepții
acestea Asigură întocmirea unui raport de excepții care evidențiază situații neobișnuite care au apărut în urma introducerii unui anumit element. De exemplu, reportarea unei valori negative pentru inventarul deținut.
verificări secvențiale
acestea facilitează completitudinea prelucrării, asigurându-se că documentele prelucrate în afara secvenței sunt respinse ed. De exemplu, în cazul în care mărfurile pre-numerotate primite note sunt emise la cunoștințe ac primirea mărfurilor în inventar fizic, orice intrare de note din secvență ar trebui respinsă.
totaluri de Control
acestea facilitează, de asemenea, completitudinea procesării, asigurându-se că totalurile de control pre-intrare, pregătite manual, sunt comparate cu intrarea totalurilor de control. De exemplu, Totalurile care nu corespund unui lot de facturi de achiziție ar trebui să aibă ca rezultat o solicitare a utilizatorului pe ecran sau prezentarea unui raport de excepție pentru urmărire. Utilizarea totalurilor de control în acest mod este, de asemenea, denumită în mod obișnuit controale de ieșire (a se vedea mai jos).
verificare cifre
acest proces utilizează algoritmi pentru a se asigura că datele introduse sunt corecte. De exemplu, codurile numerice de referință valide ale furnizorului generate intern ar trebui să fie formatate astfel încât orice factură de achiziție introdusă cu un cod incorect să fie respinsă automat.
controale de procesare
controale de procesare există pentru a se asigura că toate datele introduse sunt procesate corect și că fișierele de date sunt actualizate în mod corespunzător cu exactitate în timp util. Controalele de procesare pentru un program de aplicație specificat ar trebui să fie proiectate și apoi testate înainte de a rula în direct cu date reale. Acestea pot include, de obicei, utilizarea controalelor run-to-run, care asigură menținerea integrității totalurilor cumulative conținute în evidențele contabile de la o rulare de prelucrare a datelor la alta. De exemplu, soldul reportat pe contul bancar în registrul general (nominal) al unei companii. Alte controale de prelucrare ar trebui să includă prelucrarea ulterioară a datelor respinse la punctul de intrare, de exemplu:
- un computer a produs tipărirea articolelor respinse.
- instrucțiuni scrise oficiale de notificare a personalului de prelucrare a datelor cu privire la procedurile de urmat cu privire la punctele respinse.
- anchetă/monitorizare corespunzătoare cu privire la elementele respinse.
- dovezi că erorile respinse au fost corectate și reintroduse.
controale de ieșire
controale de ieșire există pentru a se asigura că toate datele sunt prelucrate și că ieșirea este distribuită numai utilizatorilor autorizați prescriși. În timp ce gradul de control al rezultatelor va varia de la o organizație la alta (în funcție de confidențialitatea informațiilor și dimensiunea organizației), controalele comune cuprind:
- utilizarea totalurilor de control al loturilor, conform descrierii de mai sus (a se vedea ‘comenzile de intrare’).
- revizuirea și urmărirea corespunzătoare a informațiilor privind rapoartele de excepții pentru a se asigura că nu există elemente de excepție restante permanent.
- programarea atentă a prelucrării datelor pentru a facilita distribuirea informațiilor către utilizatorii finali în timp util.
- instrucțiuni scrise oficiale de notificare a personalului de prelucrare a datelor cu privire la procedurile de distribuție prescrise.
- monitorizarea continuă de către un funcționar responsabil a distribuției producției, pentru a se asigura că aceasta este distribuită în conformitate cu Politica autorizată.
Master file controls
scopul master file controls este de a asigura integritatea permanentă a datelor permanente conținute în fișierele master. Este extrem de important ca controalele stricte de securitate să fie exercitate asupra tuturor fișierelor master.
acestea includ:
- utilizarea adecvată a parolelor, pentru a restricționa accesul la datele din fișierele standard
- stabilirea unor proceduri adecvate privind modificarea datelor, care să cuprindă separarea adecvată a atribuțiilor și Autoritatea de modificare fiind limitată la persoanele responsabile adecvate
- verificarea periodică a datelor din fișierele standard la datele autorizate, de către un oficial responsabil independent
- controlul prelucrării asupra actualizării fișierelor standard, inclusiv utilizarea numărului de înregistrări și a totalurilor de control.
tehnici de AUDIT asistate de calculator (CAAT)
natura sistemelor de contabilitate bazate pe computer este de așa natură încât auditorii pot utiliza computerul Companiei client de audit sau propriul lor instrument de audit, pentru a-i ajuta în procedurile lor de audit. Măsura în care un auditor poate alege între utilizarea CAAT-urilor și a tehnicilor manuale pentru un anumit angajament de audit depinde de următorii factori:
- caracterul practic al efectuării testării manuale
- rentabilitatea utilizării CAAT
- disponibilitatea timpului de audit
- disponibilitatea facilității informatice a clientului de audit
- nivelul experienței și Expertizei de audit în utilizarea unui CAAT specificat
- nivelul CAAT efectuat de funcția de audit intern a clientului de audit și măsura în care auditorul extern al a se poate baza pe această lucrare.
există trei clasificări ale CAATs – și anume:
- software de Audit
- date de testare
- alte tehnici
care se ocupă cu fiecare dintre cele de mai sus, la rândul său:
software de Audit
software de Audit este un termen generic folosit pentru a descrie programe de calculator concepute pentru a efectua teste de control și/sau proceduri de fond. Astfel de programe pot fi clasificate ca:
programe ambalate
acestea constau în programe generalizate pre-pregătite utilizate de auditori și nu sunt specifice clientului. Acestea pot fi utilizate pentru a efectua numeroase sarcini de audit, de exemplu, pentru a selecta un eșantion, fie statistic, fie judecat, în timpul calculelor aritmetice și verificarea lacunelor în procesarea secvențelor.
programe scrise cu scop
aceste programe sunt de obicei ‘specifice clientului’ și pot fi utilizate pentru a efectua teste de control sau proceduri de fond. Software-ul de Audit poate fi cumpărat sau dezvoltat, dar, în orice caz, planul de audit al firmei de audit ar trebui să se asigure că se prevede că programele specificate sunt adecvate pentru sistemul unui client și pentru nevoile auditului. În mod obișnuit, acestea pot fi utilizate pentru a efectua din nou proceduri de control computerizate (de exemplu, calculul costului vânzărilor) sau poate pentru a efectua o analiză învechită a soldurilor creanțelor comerciale (debitoare).
programe de anchetă
aceste programe sunt parte integrantă a sistemului contabil al clientului; cu toate acestea, ele pot fi adaptate în scopuri de audit. De exemplu, în cazul în care un sistem prevede raportarea lunară de rutină a începătorilor și a celor care părăsesc angajații, această facilitate poate fi utilizată de auditor atunci când auditează salariile și salariile din situațiile financiare ale clientului. În mod similar, un auditor ar putea utiliza o facilitate de raportare a soldurilor restante pe termen lung de plătit (creditor) la verificarea valorii raportate a creditorilor.
date de testare
date de testare de Audit
datele de testare de Audit sunt utilizate pentru a testa existența și eficacitatea controalelor încorporate într-un program de aplicație utilizat de un client de audit. Ca atare, tranzacțiile fictive sunt procesate prin sistemul computerizat al clientului. Rezultatele procesării sunt apoi comparate cu rezultatele așteptate ale auditorului pentru a determina dacă controalele funcționează eficient și obiectivitatea sistemelor este atinsă. De exemplu, două operațiuni de plată bancare fictive (una în interiorul și una în afara parametrilor autorizați) pot fi procesate cu speranța că numai tranzacția procesată în cadrul parametrilor este ‘acceptată’ de sistem. În mod evident, în cazul în care tranzacțiile fictive procesate nu produc rezultatele așteptate, auditorul va trebui să ia în considerare necesitatea unor proceduri substanțiale sporite în domeniul care face obiectul revizuirii.
facilități de testare integrate
pentru a evita riscul de corupere a sistemului de cont al unui client, prin prelucrarea datelor de testare cu alte date ‘live’ ale clientului, auditorii pot iniția operațiuni speciale de procesare ‘numai date de testare’ pentru datele de testare a auditului. Dezavantajul major al acestui lucru este că auditorul nu are o asigurare totală că datele de testare sunt prelucrate într-un mod similar cu datele live ale clientului. Pentru a aborda această problemă, auditorul poate solicita, prin urmare, permisiunea clientului de a înființa o instalație de testare integrată în cadrul sistemului contabil. Aceasta presupune crearea unei unități fictive, de exemplu, a unui cont fictiv de furnizor pe baza căruia datele de testare ale auditorului sunt prelucrate în timpul desfășurării normale a procesării.
alte tehnici
această secțiune conține informații de fond utile pentru a vă îmbunătăți înțelegerea generală.
alte CAAT-uri includ:
facilități de audit încorporate (EAF)
această tehnică necesită ca propriul cod de program al auditorului să fie încorporat (încorporat) în software-ul aplicației clientului, astfel încât procedurile de verificare să poată fi efectuate după cum este necesar cu privire la datele prelucrate. De exemplu, testele de control pot include reperformanța verificărilor specifice de validare a intrărilor (a se vedea controalele de intrare de mai sus) – tranzacțiile selectate pot fi etichetate și urmate prin sistem pentru a stabili dacă controalele și procesele declarate au fost aplicate acestor tranzacții de către sistemul informatic. EAFs ar trebui să se asigure că rezultatele testării sunt înregistrate într-un dosar special securizat pentru a fi examinate ulterior de către auditor, care ar trebui să poată concluziona cu privire la integritatea controalelor de prelucrare în general, din rezultatele testării. Un alt EAF, din zece trecute cu vederea de către studenți, este cel al unui program de analiză analitică care să permită performanța concurentă a procedurilor de revizuire analitică asupra datelor clientului, deoarece acestea sunt procesate prin sistemul automatizat.
examinarea programului de aplicare
atunci când se determină măsura în care se pot baza pe controalele aplicației, auditorii trebuie să ia în considerare măsura în care controalele specificate au fost implementate corect. De exemplu, în cazul în care au avut loc modificări de sistem în cursul unei perioade contabile, auditorul ar avea nevoie de asigurare cu privire la existența controalelor necesare atât înainte, cât și după modificare. Auditorul poate încerca să obțină o astfel de asigurare prin utilizarea unui program software pentru a compara controalele în vigoare înainte și după data modificării.
rezumat
obiectivele cheie ale unui audit nu se modifică indiferent dacă misiunea de audit se desfășoară într-un mediu manual sau computerizat. Abordarea auditului, considerațiile de planificare și tehnicile utilizate pentru a obține suficiente dovezi de audit adecvate se schimbă desigur. Elevii sunt încurajați să citească în continuare pentru a spori cunoștințele lor de audit într-un mediu bazat pe calculator și de a practica capacitatea lor de a răspunde la întrebări examen pe această temă prin încercarea de întrebări stabilite în documentele anterioare examen ACCA.
scris de un membru al echipei de examen de audit