revision i en datorbaserad miljö

Relevant för Foundation level Paper FAU och ACCA Qualification Papers F8 och P7

specifika aspekter av revision i en datorbaserad miljö

informationsteknologi (IT) är integrerad i moderna redovisnings-och hanteringsinformationssystem. Det är därför absolut nödvändigt att revisorerna är fullt medvetna om hur den påverkar revisionen av en kunds finansiella rapporter, både i samband med hur den används av en kund för att samla in, bearbeta och rapportera finansiell information i sina finansiella rapporter och hur revisorn kan använda den i processen att granska de finansiella rapporterna.
syftet med denna artikel är att ge vägledning om följande aspekter av revision i en datorbaserad redovisningsmiljö:

• applikationskontroller, bestående av input, processing, output och master file-kontroller som upprättats av en revisionsklient, över sitt datorbaserade redovisningssystem och
• Computer-assisted audit techniques (CAATs) som kan användas av revisorer för att testa och dra slutsatsen om integriteten hos en kunds datorbaserade redovisningssystem.

examensfrågor om var och en av de aspekter som identifierats ovan besvaras ofta till en otillräcklig standard av ett betydande antal studenter – därav anledningen till denna artikel.
hantera applikationskontroller och CAATs i tur och ordning:
applikationskontroller
applikationskontroller är de kontroller (manuella och datoriserade) som relaterar till transaktionen och stående data som hänför sig till ett datorbaserat redovisningssystem. De är specifika för en viss tillämpning och deras mål är att säkerställa bokföringens fullständighet och riktighet och giltigheten av de poster som görs i dessa register. Ett effektivt datorbaserat system kommer att säkerställa att det finns tillräckliga kontroller som finns vid inmatnings -, bearbetnings-och utgångsstegen i datorbehandlingscykeln och över stående data som finns i huvudfiler. Tillämpningskontroller måste fastställas, registreras och utvärderas av revisorn som en del av processen för att fastställa risken för väsentliga felaktigheter i revisionskundens finansiella rapporter.
Inmatningskontroller
kontrollaktiviteter som är utformade för att säkerställa att inmatningen är godkänd, fullständig, korrekt och i rätt tid kallas inmatningskontroller. Beroende på komplexiteten i det aktuella applikationsprogrammet kommer sådana kontroller att variera när det gäller kvantitet och sofistikering. Faktorer som ska beaktas vid fastställandet av dessa variabler inkluderar kostnadsöverväganden och sekretesskrav med avseende på datainmatningen. Inmatningskontroller som är gemensamma för de mest effektiva applikationsprogrammen inkluderar Snabbfunktioner på skärmen (till exempel en begäran om att en behörig användare ska logga in) och en möjlighet att ta fram en verifieringskedja som gör det möjligt för en användare att spåra en transaktion från dess ursprung till disposition i systemet.
specifika kontroller för inmatningsvalidering kan inkludera:
Formatkontroller
dessa säkerställer att informationen matas in i rätt form. Till exempel kravet att datumet för en försäljning i röst matas in endast i numeriskt format – inte numeriskt och alfanumeriskt.
Intervallkontroller
dessa säkerställer att informationsinmatningen är rimlig i linje med förväntningarna. Till exempel, där en enhet sällan, om någonsin, gör bulkköp med ett värde över $50,000, avvisas en inköpsfaktura med ett ingångsvärde över $50,000 för granskning och uppföljning.
Kompatibilitetskontroller
dessa säkerställer att datainmatning från två eller flera fält är kompatibel. Till exempel bör ett försäljningsfakturvärde vara förenligt med det belopp som debiteras på fakturan.
Giltighetskontroller
dessa säkerställer att datainmatningen är giltig. Till exempel, om ett företag driver ett jobbkostnadssystem – kostnader som läggs till ett tidigare avslutat jobb bör avvisas som ogiltiga.
Undantagskontroller
dessa säkerställer att en undantagsrapport produceras och belyser ovanliga situationer som har uppstått efter inmatningen av ett visst objekt. Till exempel överföringen av ett negativt värde för lager som hålls.
Sekvenskontroller
dessa underlättar behandlingens fullständighet genom att säkerställa att dokument som behandlas ur sekvens avvisas. Till exempel, om förnumrerade varor mottagna sedlar utfärdas till ac knowledge mottagandet av varor i fysisk inventering, bör alla inmatningar av sedlar ur sekvens avvisas.
kontrollsummor
dessa underlättar också fullständigheten av behandlingen genom att säkerställa att förinmatning, manuellt förberedda kontrollsummor jämförs med kontrollsummor input. Till exempel bör icke-matchande summor av ett parti inköpsfakturor resultera i en användarprompt på skärmen eller produktion av en undantagsrapport för uppföljning. Användningen av kontrollsummor på detta sätt kallas också vanligtvis utgångskontroller (se nedan).
kontrollera sifferverifiering
denna process använder algoritmer för att säkerställa att datainmatningen är korrekt. Till exempel, internt genererade giltiga leverantörsnummerreferenskoder, bör formateras på ett sådant sätt att alla inköpsfakturor som matas in med en felaktig kod automatiskt avvisas.
Bearbetningskontroller
Bearbetningskontroller finns för att säkerställa att all datainmatning behandlas korrekt och att datafiler uppdateras korrekt i rätt tid. Bearbetningskontrollerna för ett specificerat applikationsprogram bör utformas och testas sedan innan ‘live’ körs med riktiga data. Dessa kan vanligtvis innefatta användning av run-to-run-kontroller, som säkerställer integriteten hos kumulativa summor som finns i bokföringen upprätthålls från en databehandlingskörning till nästa. Till exempel saldot som överförs på bankkontot i ett företags allmänna (nominella) huvudbok. Andra bearbetningskontroller bör omfatta efterföljande behandling av data som avvisas vid inmatningspunkten, till exempel:

• en dator producerade utskrift av avvisade objekt.
• formella skriftliga instruktioner som meddelar databehandlingspersonal om de förfaranden som ska följas när det gäller avvisade poster.
• lämplig undersökning/uppföljning med avseende på avvisade poster.
• bevis för att avvisade fel har korrigerats och återinförts.

utgångskontroller
Utgångskontroller finns för att säkerställa att all data bearbetas och att utdata endast distribueras till föreskrivna auktoriserade användare. Medan graden av produktionskontroller kommer att variera från en organisation till en annan (beroende på konfidentialiteten för organisationens information och storlek), omfattar gemensamma kontroller:

• användning av batchkontrollsummor, enligt beskrivningen ovan (se ingångskontroller).
• lämplig granskning och uppföljning av undantagsrapportinformation för att säkerställa att det inte finns några permanent utestående undantagsposter.
• noggrann schemaläggning av behandlingen av data för att underlätta distributionen av information till slutanvändare i tid.
• formella skriftliga instruktioner som meddelar databehandlingspersonal om föreskrivna distributionsförfaranden.
• fortlöpande övervakning av fördelningen av produktionen av en ansvarig tjänsteman för att säkerställa att den distribueras i enlighet med godkänd policy.

Master file controls
syftet med master file controls är att säkerställa den pågående integriteten för de stående data som finns i masterfilerna. Det är mycket viktigt att stränga säkerhetskontroller utövas över alla huvudfiler.
dessa inkluderar:

• lämplig användning av lösenord, för att begränsa tillgången till huvudfildata
• inrättandet av adekvata förfaranden för ändring av data, innefattande lämplig åtskillnad av uppgifter, och befogenhet att ändra begränsas till lämpliga ansvariga individer
• regelbunden kontroll av huvudfildata till auktoriserade data, av en oberoende ansvarig tjänsteman
• bearbetningskontroller över uppdateringen av huvudfiler, inklusive användning av rekordräkningar och kontrollsummor.

COMPUTER ASSISTED AUDIT TECHNIQUES (CAATs)
typen av datorbaserade redovisningssystem är sådan att revisorer kan använda revisionsklientens dator eller sin egen, som ett revisionsverktyg, för att hjälpa dem i deras revisionsförfaranden. I vilken utsträckning en revisor kan välja mellan att använda CAATs och manuella tekniker på ett specifikt revisionsuppdrag beror på följande faktorer:

• det praktiska med att utföra manuell testning
• kostnadseffektiviteten med att använda CAAT
• tillgängligheten av revisionstid
• tillgängligheten av revisionsklientens datoranläggning
• nivån på revisionserfarenhet och expertis vid användning av en specificerad CAAT
• nivån på CAAT som utförs av revisionsklientens interna revisionsfunktion och i vilken utsträckning den externa revisorn kan lita på detta arbete.

det finns tre klassificeringar av CAATs-nämligen:

• revisionsprogram
• testdata
• andra tekniker

att hantera var och en av ovanstående i tur och ordning:
Revisionsprogramvara
Revisionsprogramvara är en generisk term som används för att beskriva datorprogram som är utformade för att utföra tester av kontroll-och/eller materiella förfaranden. Sådana program kan klassificeras som:
paketerade program
dessa består av förberedda generaliserade program som används av revisorer och är inte ‘klientspecifika’. De kan användas för att utföra många revisionsuppgifter, till exempel för att välja ett prov, antingen statistiskt eller bedömande, under aritmetiska beräkningar och kontrollera luckor i behandlingen av sekvenser.
Purpose written programs
dessa program är vanligtvis ‘klientspecifika’ och kan användas för att utföra tester av kontroll eller materiella förfaranden. Revisionsprogramvara kan köpas eller utvecklas, men revisionsföretagets revisionsplan bör under alla omständigheter säkerställa att det finns bestämmelser för att säkerställa att angivna program är lämpliga för en kunds system och revisionens behov. Vanligtvis kan de användas för att utföra datoriserade kontrollförfaranden (till exempel beräkningar av försäljningskostnader) eller kanske för att utföra en åldrig analys av kundfordringar (gäldenär) saldon.
Förfrågningsprogram
dessa program är integrerade i kundens redovisningssystem; de kan dock anpassas för revisionsändamål. Till exempel, om ett system föreskriver rutinmässig rapportering på månadsbasis av anställda som börjar och lämnar, kan denna möjlighet utnyttjas av revisorn vid revision av löner i kundens finansiella rapporter. På samma sätt kan en revisor använda en möjlighet att rapportera långa utestående saldon som ska betalas (kreditgivare) när han kontrollerar kreditgivarnas redovisade värde.
testdata
Revisionstestdata
Revisionstestdata används för att testa förekomsten och effektiviteten av kontroller inbyggda i ett applikationsprogram som används av en revisionsklient. Som sådan behandlas dummy-transaktioner via kundens datoriserade system. Resultatet av behandlingen jämförs sedan med revisorns förväntade resultat för att avgöra om kontrollerna fungerar effektivt och systemens objektivitet uppnås. Till exempel kan två falska bankbetalningstransaktioner (en inom och en utanför godkända parametrar) behandlas med förväntningen att endast den transaktion som behandlas inom parametrarna godkänns av systemet. Om dummy-transaktioner som behandlas inte ger de förväntade resultaten i produktionen kommer revisorn att behöva överväga behovet av ökade materiella förfaranden inom det område som granskas.
integrerade testanläggningar
för att undvika risken att skada en kunds kontosystem, genom att bearbeta testdata med kundens andra ‘live’ data, kan revisorer inleda speciella ‘endast testdata’ bearbetningskörningar för revisionstestdata. Den största nackdelen med detta är att revisorn inte har total garanti för att testdata behandlas på ett liknande sätt som kundens levande data. För att lösa detta problem kan revisorn därför söka tillstånd från kunden att etablera en integrerad testanläggning inom redovisningssystemet. Detta innebär inrättandet av en dummy-enhet, till exempel ett dummy-leverantörskonto mot vilket revisorns testdata behandlas under normala bearbetningskörningar.
andra tekniker
det här avsnittet innehåller användbar bakgrundsinformation för att förbättra din övergripande förståelse.
andra CAATs inkluderar:
Embedded audit facilities (EAFs)
denna teknik kräver att revisorns egen programkod ska inbäddas (införlivas) i klientens applikationsprogramvara, så att verifieringsprocedurer kan utföras efter behov på data som behandlas. Kontrolltester kan till exempel innefatta återverkningar av specifika kontroller av indatavalidering (se ingångskontroller ovan) – valda transaktioner kan märkas och följas genom systemet för att kontrollera om angivna kontroller och processer har tillämpats på dessa transaktioner av datorsystemet. EAFs bör se till att testresultaten registreras i en särskild säker akt för efterföljande granskning av revisorn, som bör kunna dra slutsatsen om bearbetningskontrollernas integritet i allmänhet från testresultaten. En ytterligare EAF, av tio förbises av studenter, är det för ett analytiskt granskningsprogram som möjliggör samtidig prestanda av analytiska granskningsförfaranden på klientdata när det behandlas genom det automatiska systemet.
examination av Ansökningsprogram
vid fastställandet av i vilken utsträckning de kan förlita sig på ansökningskontroller måste revisorerna överväga i vilken utsträckning specificerade kontroller har genomförts korrekt. Till exempel, om systemändringar har inträffat under en räkenskapsperiod, skulle revisorn behöva försäkra sig om att det finns nödvändiga kontroller både före och efter ändringen. Revisorn kan försöka få en sådan försäkran genom att använda ett program för att jämföra kontrollerna på plats före och efter ändringsdatumet.
sammanfattning
de viktigaste målen för en revision ändras inte oavsett om revisionsuppdraget utförs i en manual eller en datorbaserad miljö. Revisionsmetoden, planeringshänsyn och tekniker som används för att erhålla tillräckliga lämpliga revisionsbevis ändras naturligtvis. Eleverna uppmuntras att läsa vidare för att öka sin kunskap om revision i en datorbaserad miljö och att öva sin förmåga att svara på tentamensfrågor om ämnet genom att försöka ställa frågor i tidigare ACCA-tentamenshandlingar.
skrivet av en medlem av granskningsteamet