100557
این مطلب رو نوشت.
20 بهمن 1395
خوب برای آشنایی بیشتر با حسابرسی فناوری اطلاعات شما را به مطالعه خلاصهای از مقاله خانم نیوشا ابراهیمی تحت عنوان دامنه حسابرسی فناوری اطلاعات که از دیدگاه حسابرسان مستقل به موضوع حسابرسی فناوری اطلاعات مینگرد، دعوت میکنم:
از دردسرهای حسابرسان تازه کار فناوری اطلاعات، این است که تفاوت میان حسابرسی فناوری اطلاعات در حسابرسی مالی را در برابر حسابرسی فناوری اطلاعات از دیدگاه
فناوری اطلاعات (به طور معمول، از جنبه کارکرد حسابرسی داخلی یا مشاوره)، تشخیص نمیدهند و این کار به طور معمول با روندی فزاینده منجر به تعیین دامنه فناوری اطلاعات نامناسب در حسابرسی مالی میشود.
با نگاه به تصویر فوق درمییابیم فضای حسابرسی مستقل با فضای حسابرسی فناوری اطلاعات نقاط مشترک محدودی دارد (در اهداف حسابرسی نیز همینگونه است).
حسابرسان فناوری اطلاعات به عنوان کارکنان موسسات حسابرسی، بخشی از فضای فناوری اطلاعات مرتبط با گزارشگری مالی را در گستره متنوعی از کسب و کار، حسابرسی میکنند که باید جالب و به گونهای انکارناپذیر، تجربه بزرگی باشد. این کار برای همه واحدهای تجاری نیازمند حسابرسیهای مالی، دربرگیرنده حسابرسیهای کنتر لهای فناوری اطلاعات ناظر بر گزارشگری مالی است البته برای شرکتهای سهامی عام باید حسابرسی های کنترل های مربوط به بخش 404 قانون ساربینز-اکسلیرا "Sarbanes-Oxley (SOX) Act" نیز به آن افزود.
البته این به این معنی نیست که حسابرسی فناوری اطلاعات به کلی با دیگر انواع حسابرسی متفاوت است نه اینگونه نیست و حسابرسان فناوری اطلاعات نیز برای دستیابی به اهداف خود از روشهای متداول حسابرسی از جمله مشاهده عینی، بررسی مستنداتف پرس و جو، اجرای مجدد و ... استفاده میکنند. البته ابزارهای و راهکارهایی ویژهای نیز برای نیل به اهداف آن درنظر گرفته شده است از جمله راهنمای کوبیت "COBIT" (هدف کنترل برای اطلاعات و فناوری های مرتبط) "Control Objective for Information and Related Technology" منتشر شده از سوی انجمن حسابرسی و کنترل سامانههای اطلاعاتی"ISACA" که مدل و ابزاری پیشرو برای یاری رسانی به حسابرسان فناوری اطلاعات در این نوع حسابرسیها، را ارایه کرده است. اما اگر زمینه کار، حسابرسی مالی باشد، چه روی میدهد؟ آیا چیزی تغییر میکند؟ آیا چیزی نیازمند تغییر است؟
بله درصورت استفاده از حسابرسی فناوری اطلاعات همه چیز تغییر خواهد کرد!! البته این پاسخ واقعلا صحیح نیست و واقعیت این است که حسابرسی فناوری اطلاعات با برنامه ریزی و مدیریت صحیح میتواند نقش مهمی در دستیابی به اهداف دیگر حسابرسیها داشته باشد به عنوان مثال در حسابرسی مستقل شناخت كنترلهاي داخلي مربوط به تهيه و ارائه صورتهاي مالي به منظور طراحي روشهاي حسابرسي مناسب شرايط موجود ضروری است و از آنجایی که کنترلهای داخلی شرکتها عمدتا در بستر IT طراحی و تدوین شده است استفاده از حسابرسان فناوری اطلاعات از بهترین گذینهها برای ارزیابی کنترلهای داخلی شرکت است البته فراموش نکنید احتمال اینکه حسابرسان فناوری اطلاعات در حسابرسی مالی فریفته شوند و با به کارگیری تمام دانش سودمند خود در اجرای حسابرسیها کار را به حد افراط (برای نمونه، اجرای روشها و آزمو نهای نسبتا بیشمار و نزدیک به 100%) انجام میدهند. زیرا ماهیت کار حسابرسان فناوری اطلاعات اینگونه است که در به کارگیری دانش و مهارتهای ویژه خود دقیق باشند. خوب راه حل چیست؟ و چگونه حسابرسان فناوری اطلاعات را هدایت کنیم؟
توجه به نقش کنترلهای داخلی در تعیین خطر حسابرسی که با حسابرسی فناوری اطلاعات وجوه مشترک زیادی دارد، روشی هوشمندانه برای تعیین دامنه مناسب، این است که بر اصول حسابرسی مبتنی بر ریسک اتکا کنیم! حسابرسی مبتنی بر ریسک با تعریف فضای گزارشگری مالی آغاز میشود چه رهنمود و سامانههای خودکاری
در گزارشگری مالی به کار گرفته شده است؟ چه فرایندها، رهنمودها و موارد خودکارسازی شده در گزارشگری مالی اجرا شده است؟
برای تعیین دقیق اجزای مرتبط، لازم است فضای فناوری اطلاعات مورد ارزیابی قرار گیرد. این کار میتواند برای آغاز حسابرسی بدون کوشش وظیفه شناسانه برای آزمون و تعریف فضای مرتبط با فناوری اطلاعات، وسوسه انگیز باشد و حسابرسی فناوری اطلاعات تنها بر پایه برخی مفروضات دیگر (عرف، رو شهای حسابرسی پیشین، قضاوت حرفه ای و....) اجرا شود. امیدوارم این واقعیت را دریافته باشید که تمام فضای فناوری اطلاعات، به حسابرسی مالی مربوط نمیشود. ریسک تحریفهای بااهمیت در استانداردهای مبتنی بر ریسک انجمن حسابداران رسمی آمریکا "AICPA" برای غیرناشران تعریف شده است و به اصول مندرج در آن با عنوان حسابرسی مبتنی بر ریسک اشاره میشود ریسک تحریفهای بااهمیت دربرگیرنده ریسک کنترل "CR" مرتبط با فناوری اطلاعات و ریسک ذاتی"IR" مربوط به واحد تجاری به اشکال
گوناگون است. مثلا اگر واحد تجاری، برنامههای کاربردی نرم افزاری خاص خود را ایجاد کرده باشد و یکی از آن برنامههای کاربردی، گزارش های مالی را پردازش کند، یکی از ریسکهای موجود در گزارشگری مالی گزارش "خروجی" حاصل از فضای فناوری اطلاعات پدید آمده است. البته در این سناریو خطرهای دیگری نیز قابل تصور است که در حالات مختلف میتواند در گزارشگری مالی مربوط و یا نامربوط باشند.
در حسابرسی مبتنی بر ریسک، به حسابرسی فناوری اطلاعات در سطحی مناسب از فضای فرعی در برنامه حسابرسی نیاز است. برای درک موضوع سه سناریو زیر را در نظر بگیرد که در آن شما حسبرس مستقل هستید:
1.
شرکت A از یک نرم افزار متوسط تجاری برای ثبت اللکترونیکی عملیات حسابداری خود استفاده میکند این نرم افزار فاقد زیرسیستمهای حقوق، خزانه، انبار و ... است
2. شرکت B از یک نرم افزار حسابداری یکپارچه ERP تهیه شده توسط یک شرکت برنامه نویسی خوشنام برای ثبت اللکترونیکی عملیات حسابداری خود استفاده میکند که شامل زیرسیستمهای استاندارد حقوق، خزانه، انبار و ... است برای ثبت عملیات حسابداری شرکت استفاده میکند.
3. شرکت C به فراخور نیازهایی که دارد با یک شرکت نرم افزاری قراردادی منعقد نموده و سیستم اطلاعات مدیریت خاص خود را در بستر اینترنت طراحی و پیاده سازی نموده است.
ناگفته پیداست ریسکهای مرتبط با فناوری اطلاعات در شرکت A بسیار کم است و حسابرسی فناوری اطلاعات در چنین شرکتهایی زمان کمی از عملیات حسابرسی مستقل را به خود اختصاص خواهد داد و بیشتر عملیات از طریق بررسیها و آزمونهای محتوا (اثباتی) انجام خواهد شد. اما در شرکت B حسابرسی فناوری اطلاعات نقش پررنگتری دارد بدون استفاده از آن دستیابی به اهداف حسابرسی دشتوار است. اما در شرکت C بدون استفاده از حسابرسی فناوری اطلاعات انجام حسابرسی مستقل عملا ممکن نیست.
نتیجه گیری:
هنگامی که حسابرسان فناوری اطلاعات توسط حسابرسی مالی به کار گرفته میشوند، باید دقت کنند تا دامنه مناسب از حسابرسی فناوری اطلاعات را گسترش دهند. این دامنه از موارد زیر تاثیر میپذیرد:
درجه همپوشانی میان فضای گزارشگری مالی و فضای فناوری اطلاعات
درجه پیچیدگی فناوری اطلاعات که بر میزان همپوشانی تاثیر میگذارد
درجه پیچیدگی فناوری اطلاعات که بر میزان همپوشانی تاثیر میگذارد
به خاطر داشته باشید که اندازه واحد تجاری اهمیت ندارد، بلکه سطح تکامل فناوری اطلاعات در آن دارای اهمیت است.
آخرین ویرایش 20 بهمن 1395