حسابرسی فناوری اطلاعات

0
100557 این مطلب رو نوشت. 07 فوريه 2017

مقدمه
پیشرفت تکنولوژی در زمینه علوم کامپیوتری و فناوری اطلاعات "Information Technology" در دو دهه اخیر به قدری شگفت انگیز بوده است و آنچنان در زندگی انسانها رخنه کرده است که از آن جدایی ناپذیر شده است و عملا همه شاخه‌های دانش بشری به آن وابسته شده‌اند، حسابداری و حسابرسی نیز در این دو دهه به واسطه تغییرات یادشده دچار تغییرات چشمگیری شده‌اند در تعریف آکادمیک حسابرسی فرایندی است بسامان به شکل جمع‌آوری و ارزیابی بی‌طرفانه شواهد درباره ادعاهای مربوط به فعالیت‌ها و وقایع اقتصادی برای تعیین میزان انطباق این ادعاها با معیارهای از پیش تعیین‌شده و گزارش نتایج به اشخاص ذی‌نفع، این تعریف بصورت عمده وجامع ارائه شده است تا انواع مختلف حسابرسی را شامل شود، حسابرسی فناوری اطلاعات Information technology (IT) auditing که زیر مجموعه‌ای از حسابرسی طبقه بندی می‌شود به بررسی فرآبندها و داراییهای IT و کنترل در سطوح مختلف در یک سازمان برای تعیین میزان پایبندی به اس0تانداردهای قابل اجرا و مورد نیاز است. تقریبا تمام سازمانها از فناوری اطلاعات برای حمایت از عملیات خود و دستیابی به اهداف از پیش تعیین شده استفاده می‌کنند، وجود و استفاده صحیح از فناوری اطلاعات این تضمین را می‌دهد که شریانهای اطلاعاتی سازمان به درستی کار می‌کند، حسابرسی فناوری اطلاعات IT auditing با ارزیابی سیستمهای اطلاعاتی استقرار یافته در سازمان کمک می‌کند تا سازمان به درک درستی از آنچه درجریان است دست یابد و با شناسایی نقاط ضعف و قوت سیستم نسبت به اصلاح و بهبود به موقع آن اقدام نماید. حسابرسی IT شامل روشهای حسابرسی خاص خود و جنبه‌هایی از روشهای حسابرسی متداول در حسابرس داخلی و حسابرسی مستقل است که با ظرافت خاصی تعدیل یافته‌اند.

شواهد نشان می‌دهد کاربرد و اهمیت حسابرسی فناوری اطلاعات در دیگر انواع حسابرسی روز به روز بیشتر خواهد شد و حسابرسان برای مانده در حرفه تاگزیر به شناخت مفاهیم فناوری اطلاعات و سیستمهای اطلاعاتی و فراگیری حسابرسی فناوری اطلاعات هستند. حسابرسان فناوری اطلاعات به عنوان کارکنان موسسات حسابرسی، بخشی از فضای فناوری اطلاعات مرتبط با گزارشگری مالی را در گستر ه متنوعی از کسب و کار، حسابرسی می‌کنند که باید جالب و به گونه‌ای انکارناپذیر، تجربه بزرگی باشد. این کار برای واحدهای تجاری نیازمند حسابرسی‌های مالی، دربرگیرنده حسابرسی‌های کنتر لهای فناوری اطلاعات ناظر بر گزارشگری مالی است. البته برای شرکت‌های سهامی عام علاوه بر آن حسابرسی‌های کنترل‌های مربوط به بخش 404 قانون ساربینز اکسلی "Sarbanes-Oxley (SOX) Act" را نیز شامل می‌شود با توجه به متاسفانه در حال حاضرحسابرسی فناوری اطلاعات در ایران متولیانی غیر حسابرس (عمدتا فعال در حوزه برنامه نویسی رایانه‌ای و ... ) دارد زیرا موسسات حسابرسی به دلایل مختلف در این حوزه ورود موثری نداشته‌اند البته ترجمه کتابهایی از جمله کوبیت و کوزو توسط موسسات و تشکلهای حرفه‌ای نوید بخش این است که جامعه حرفه‌ای حسابداری و حسابرسی ایران نیز به فکر ورود به حوزه حسابرسی فناوری اطلاعات هستند، در ادامه این پستها سعی خواهیم کرد در رابطه با جزییات اهداف مورد انتظار از حسابرسی فناوری اطلاعات و روشهای طراحی و پیاده سازی برنامه ‌های رسیدگی و روند تکمیل برنامه‌ها و گزارشگری یافته‌های حسابرسی فن‌آوری اطلاعات مطالبی ارائه نماییم.

در زیر منابع مفیدی که در زمینه حسابرسی فناوری اطلاعات در دست است و قصد داریم اطلاعات مندرج در تالار را از آنها استخراج کنیم به شرح زیر می‌باشند:
  • حسابرسی و کنترل فناوری اطلاعات (COBIT 4) منبع اصلی
  • حسابرسی سیستم های اطلاعاتی
  • حسابرسی کامپیوتری (نشریه شماره 148 سازمان حسابرسی)
  • حسابرسی سیستمهای کامپیوتری (نشریه شماره 83 سازمان حسابرسی)
  • دامنه حسابرسی فناوری اطلاعات نوشته خانم نیوشا ابراهیمی
  • IT Auditing: Using Controls to Protect Information Assets 2end edition منبع اصلی
  • Information Systems Audit Report
  • wikipedia: Information technology audit
  • آخرین ویرایش 08 فوريه 2017

    samir karamkhani

    2 نظرات
    0
    100557 این مطلب رو نوشت. 08 فوريه 2017

    خوب برای آشنایی بیشتر با حسابرسی فناوری اطلاعات شما را به مطالعه خلاصه‌ای از مقاله خانم نیوشا ابراهیمی تحت عنوان دامنه حسابرسی فناوری اطلاعات که از دیدگاه حسابرسان مستقل به موضوع حسابرسی فناوری اطلاعات می‌نگرد، دعوت می‌کنم:
    از دردسرهای حسابرسان تازه کار فناوری اطلاعات، این است که تفاوت میان حسابرسی فناوری اطلاعات در حسابرسی مالی را در برابر حسابرسی فناوری اطلاعات از دیدگاه فناوری اطلاعات (به طور معمول، از جنبه کارکرد حسابرسی داخلی یا مشاوره)، تشخیص نمی‌دهند و این کار به طور معمول با روندی فزاینده منجر به تعیین دامنه فناوری اطلاعات نامناسب در حسابرسی مالی می‌شود.
    7cf8b8.png
    با نگاه به تصویر فوق درمی‌یابیم فضای حسابرسی مستقل با فضای حسابرسی فناوری اطلاعات نقاط مشترک محدودی دارد (در اهداف حسابرسی نیز همینگونه است).
    حسابرسان فناوری اطلاعات به عنوان کارکنان موسسات حسابرسی، بخشی از فضای فناوری اطلاعات مرتبط با گزارشگری مالی را در گستره متنوعی از کسب و کار، حسابرسی می‌کنند که باید جالب و به گونه‌ای انکارناپذیر، تجربه بزرگی باشد. این کار برای همه واحدهای تجاری نیازمند حسابرسی‌های مالی، دربرگیرنده حسابرسی‌های کنتر لهای فناوری اطلاعات ناظر بر گزارشگری مالی است البته برای شرکت‌های سهامی عام باید حسابرسی های کنترل های مربوط به بخش 404 قانون ساربینز-اکسلیرا "Sarbanes-Oxley (SOX) Act" نیز به آن افزود.
    البته این به این معنی نیست که حسابرسی فناوری اطلاعات به کلی با دیگر انواع حسابرسی متفاوت است نه اینگونه نیست و حسابرسان فناوری اطلاعات نیز برای دستیابی به اهداف خود از روشهای متداول حسابرسی از جمله مشاهده عینی، بررسی مستنداتف پرس و جو، اجرای مجدد و ... استفاده می‌کنند. البته ابزارهای و راهکارهایی ویژه‌ای نیز برای نیل به اهداف آن درنظر گرفته شده است از جمله راهنمای کوبیت "COBIT" (هدف کنترل برای اطلاعات و فناوری های مرتبط) "Control Objective for Information and Related Technology" منتشر شده از سوی انجمن حسابرسی و کنترل سامانه‌های اطلاعاتی"ISACA" که مدل و ابزاری پیشرو برای یاری رسانی به حسابرسان فناوری اطلاعات در این نوع حسابرسی‌ها، را ارایه کرده است. اما اگر زمینه کار، حسابرسی مالی باشد، چه روی می‌دهد؟ آیا چیزی تغییر می‌کند؟ آیا چیزی نیازمند تغییر است؟
    بله درصورت استفاده از حسابرسی فناوری اطلاعات همه چیز تغییر خواهد کرد!! البته این پاسخ واقعلا صحیح نیست و واقعیت این است که حسابرسی فناوری اطلاعات با برنامه ریزی و مدیریت صحیح می‌تواند نقش مهمی در دستیابی به اهداف دیگر حسابرسیها داشته باشد به عنوان مثال در حسابرسی مستقل شناخت كنترلهاي داخلي مربوط به تهيه و ارائه صورتهاي مالي به منظور طراحي روشهاي حسابرسي مناسب شرايط موجود ضروری است و از آنجایی که کنترلهای داخلی شرکتها عمدتا در بستر IT طراحی و تدوین شده است استفاده از حسابرسان فناوری اطلاعات از بهترین گذینه‌ها برای ارزیابی کنترلهای داخلی شرکت است البته فراموش نکنید احتمال اینکه حسابرسان فناوری اطلاعات در حسابرسی مالی فریفته شوند و با به کارگیری تمام دانش سودمند خود در اجرای حسابرسی‌ها کار را به حد افراط (برای نمونه، اجرای روشها و آزمو نهای نسبتا بی‌شمار و نزدیک به 100%) انجام می‌دهند. زیرا ماهیت کار حسابرسان فناوری اطلاعات اینگونه است که در به کارگیری دانش و مهارتهای ویژه خود دقیق باشند. خوب راه حل چیست؟ و چگونه حسابرسان فناوری اطلاعات را هدایت کنیم؟
    توجه به نقش کنترلهای داخلی در تعیین خطر حسابرسی که با حسابرسی فناوری اطلاعات وجوه مشترک زیادی دارد، روشی هوشمندانه برای تعیین دامنه مناسب، این است که بر اصول حسابرسی مبتنی بر ریسک اتکا کنیم! حسابرسی مبتنی بر ریسک با تعریف فضای گزارشگری مالی آغاز می‌شود چه رهنمود و سامانه‌های خودکاری در گزارشگری مالی به کار گرفته شده است؟ چه فرایندها، رهنمودها و موارد خودکارسازی شده در گزارشگری مالی اجرا شده است؟
    برای تعیین دقیق اجزای مرتبط، لازم است فضای فناوری اطلاعات مورد ارزیابی قرار گیرد. این کار می‌تواند برای آغاز حسابرسی بدون کوشش وظیفه شناسانه برای آزمون و تعریف فضای مرتبط با فناوری اطلاعات، وسوسه انگیز باشد و حسابرسی فناوری اطلاعات تنها بر پایه برخی مفروضات دیگر (عرف، رو شهای حسابرسی پیشین، قضاوت حرفه ای و....) اجرا شود. امیدوارم این واقعیت را دریافته باشید که تمام فضای فناوری اطلاعات، به حسابرسی مالی مربوط نمی‌شود. ریسک تحریفهای بااهمیت در استانداردهای مبتنی بر ریسک انجمن حسابداران رسمی آمریکا "AICPA" برای غیرناشران تعریف شده است و به اصول مندرج در آن با عنوان حسابرسی مبتنی بر ریسک اشاره می‌شود ریسک تحریف‌های بااهمیت دربرگیرنده ریسک کنترل "CR" مرتبط با فناوری اطلاعات و ریسک ذاتی"IR" مربوط به واحد تجاری به اشکال گوناگون است. مثلا اگر واحد تجاری، برنامه‌های کاربردی نرم افزاری خاص خود را ایجاد کرده باشد و یکی از آن برنامه‌های کاربردی، گزارش های مالی را پردازش کند، یکی از ریسکهای موجود در گزارشگری مالی گزارش "خروجی" حاصل از فضای فناوری اطلاعات پدید آمده است. البته در این سناریو خطرهای دیگری نیز قابل تصور است که در حالات مختلف میتواند در گزارشگری مالی مربوط و یا نامربوط باشند.
    در حسابرسی مبتنی بر ریسک، به حسابرسی فناوری اطلاعات در سطحی مناسب از فضای فرعی در برنامه حسابرسی نیاز است. برای درک موضوع سه سناریو زیر را در نظر بگیرد که در آن شما حسبرس مستقل هستید:
    1. شرکت A از یک نرم افزار متوسط تجاری برای ثبت اللکترونیکی عملیات حسابداری خود استفاده می‌کند این نرم افزار فاقد زیرسیستم‌های حقوق، خزانه، انبار و ... است
    2. شرکت B از یک نرم افزار حسابداری یکپارچه ERP تهیه شده توسط یک شرکت برنامه نویسی خوشنام برای ثبت اللکترونیکی عملیات حسابداری خود استفاده می‌کند که شامل زیرسیستم‌های استاندارد حقوق، خزانه، انبار و ... است برای ثبت عملیات حسابداری شرکت استفاده میکند.
    3. شرکت C به فراخور نیازهایی که دارد با یک شرکت نرم افزاری قراردادی منعقد نموده و سیستم اطلاعات مدیریت خاص خود را در بستر اینترنت طراحی و پیاده سازی نموده است.
    ناگفته پیداست ریسکهای مرتبط با فناوری اطلاعات در شرکت A بسیار کم است و حسابرسی فناوری اطلاعات در چنین شرکتهایی زمان کمی از عملیات حسابرسی مستقل را به خود اختصاص خواهد داد و بیشتر عملیات از طریق بررسیها و آزمونهای محتوا (اثباتی) انجام خواهد شد. اما در شرکت B حسابرسی فناوری اطلاعات نقش پررنگتری دارد بدون استفاده از آن دستیابی به اهداف حسابرسی دشتوار است. اما در شرکت C بدون استفاده از حسابرسی فناوری اطلاعات انجام حسابرسی مستقل عملا ممکن نیست.
    نتیجه گیری: هنگامی که حسابرسان فناوری اطلاعات توسط حسابرسی مالی به کار گرفته می‌شوند، باید دقت کنند تا دامنه مناسب از حسابرسی فناوری اطلاعات را گسترش دهند. این دامنه از موارد زیر تاثیر می‌پذیرد:

  • درجه همپوشانی میان فضای گزارشگری مالی و فضای فناوری اطلاعات
  • درجه پیچیدگی فناوری اطلاعات که بر میزان همپوشانی تاثیر می‌گذارد
  • درجه پیچیدگی فناوری اطلاعات که بر میزان همپوشانی تاثیر می‌گذارد

  • به خاطر داشته باشید که اندازه واحد تجاری اهمیت ندارد، بلکه سطح تکامل فناوری اطلاعات در آن دارای اهمیت است.

    آخرین ویرایش 08 فوريه 2017

    samir karamkhani

    0
    rainboy75@yahoo.com این مطلب رو نوشت. 26 آوريل 2017

    خیلی ممنون خیلی بدردم خورد


    263 نفر از 683 عضو ما 1162 بار در مباحثه ها نظر ارسال کرده اند.