حسابرسی فناوری اطلاعات
حسابرسی سیستمهای کامپیوتری حسابداری
بهمن
حسابرسی سیستمهای کامپیوتری حسابداری
امروزه با وجود شبکه های اطلاعاتی، چرخه خرید یک کالا بصورتی درآمده است که متقاضی، درخواست کالاهای موردنظررا به رایانه وارد میکند ودر اندک زمانی فهرست فروشندگان را با نوع جنس وقیمت دریافت مینماید وپس از انتخاب ودریافت پیش فاکتور وصورتحساب،پرداخت با تایپ یک شماره (کارت اعتباری) صورت میگیرد، حسابرسی شکل دیگری بخود گرفته است.حسابرس نمیتواند بدون داشتن اطلاع کافی ازشبکه های اطلاعاتی ودانش رایانه ای پا به عرصه حرفه ای این کارنهد.حسابرس که با ارزیابی کنترلهای داخلی و مطالعه سیستم مدون شرکت،حیطه حسابرسی خود راتعیین مینماید،درچنین شرایطی باید نوع نگرش وتفکرخود را نسبت به سیستمهای جدید تغییردهد.
دانش کامپیوترى لازم براى حسابرسان و حسابداران به دو دسته تقسیم مىشود:
- دانش کلى مورد نیاز تمام حسابرسان و حسابداران.
- دانش اختصاصى لازم براى کارشناسان حسابرسى سیستمهاى کامپیوترى.
اهداف حسابرسی سیستمهاى کامپیوترى : حسابرسی سیستمهای کامپیوتری حسابداری
۱- اعتبار اطلاعات
هدف اصلى از رسیدگى به سیستمهاى کامپیوترى تعیین میزان اعتبار اطلاعات است، تا براساس رسیدگى به صحت اطلاعات ورودى و روش پردازش، میزان اتکاء حسابرس بر نتایج عملیات مشخص گردد.
۲- حفاظت دارائىها
مرکز خدمات کامپیوترى شامل دستگاههاى کامپیوتری، برنامهها، فایلهاى اطلاعاتی، مستندات سیستمها، و کارکنان مىباشد که باید مانند سایر دارائىها کنترل و حفاظت شود.
۳- کارآئى سیستم
سیستمهاى کاربردى بهمنظور رفع نیازهاى استفاده کنندگان طرح و ایجاد مىگیرد. بنابراین، هر سیستم کاربردى بهمنظور ارزیابى چگونگى و میزان تأمین نیازها مورد رسیدگى قرار مىگیرد. حسابرسی سیستمهای کامپیوتری حسابداری
۴- اقتصادى بودن سیستم
هزینههاى طراحی، پیادهسازى و اجراء سیستمهاى کامپیوترى نباید بیشتر از هزینه انجام کار به روشهاى دیگر باشد. در این مقایسه باید مزایاى سرعت و دقت پردازش کامپیوترى در نظر گرفته شود. در اغلب موارد، بهعلت هزینه اندک کاربرد کامپیوتر، به هر حال صرفهجوئىهاى زیادى نصیب استفاده کننده مىشود، امابراى افزایش کارآئی، بهینهسازى سیستمهاى کامپیوترى نباید از نظر دور بماند.
سازمانهای حسابرسى سیستمهاى کامپیوترى :
۱- عدم ایجاد تخصص جداگانه براى حسابرسى سیستمهاى کامپیوترى :
در این روش کلیه حسابرسان از معلومات لازم براى رسیدگى به سیستمهاى دستى و کامپیوترى بهطور یکنواخت بهرهمند هستند و بنابراین ایجاد شاخه تخصصى در مؤسسه لزومى ندارد.
۲- استفاده از کارشناسان حسابرسى سیستمهاى کامپیوترى خارج از مؤسسه :
به دلیل موجود نبودن متخصص در داخل مؤسسه و عدم آشنائى حسابرسان با روشهاى رسیدگى به سیستمهاى کامپیوتری، در موارد ضرورى از کارشناسان خارج از کادر ثابت مؤسسه استفاده مىشود.
۳- کارشناسان حسابرسى سیستمهاى کامپیوترى در گروههاى حسابرسى :
در این حالت، هر یک از گروههاى حسابرسى مؤسسه، به میزان موردنیاز، کارشناس حسابرسى سیستمهاى کامپیوترى در اختیار مىگیرد.
۴- کارشناسان حسابرسى سیستمهاى کامپیوترى در یک گروه خاص :
در این روش، گروه مستقل حسابرسى سیستمهاى کامپیوترى در مؤسسه تشکیل مىشود که برحسب نیاز سایر گروههاى حسابرسى و طبق برنامه سیستمهاى کامپیوترى را مطالعه و ارزیابى نموده و گزارشهاى لازم را تهیه و ارائه مىنماید.
۵- استفاده از خدمات کارشناسان گروه سیستمهاى کامپیوترى :
در مؤسساتى که گروه سیستمهاى کامپیوترى وجود دارد، روش کار ممکن است بدین صورت باشد که سایر گروهها بر حسب نیاز از خدمات کارشناسان گروه مزبور طبق برنامه استفاده کنند. در این حالت، کارشناسان گروه سیستمهاى کامپیوترى بهصورت عضوى از گروه حسابرسی، خدمات کارشناسى ارائه مىنمایند.
در روشهاى اول و دوم، مؤسسه در عمل گروه کارشناس حسابرسى سیستمهاى کامپیوترى ندارد و در روشهاى چهارم و پنجم کارشناسان مزبور در یک گروه خاص متمرکز هستند و در حالت سوم این کارشناسان بهصورت غیرمتمرکز در گروههاى مختلف پراکندهاند.
مزایاى تشکیل گروه مستقل کارشناسان حسابرسى سیستمهاى کامپیوترى :
۱. استفاده بهتر از کارشناسان
۲. رضایت خاطر بیشتر کارشناسان
۳. اهمیت یافتن حسابرسى سیستمهاى کامپیوترى
۴. افزایش تخصص کارشناسان مزبور
۵. تسهیل کنترل و هماهنگى
وظایف کارشناسان حسابرسى سیستمهاى کامپیوترى :
۱. پشتیبانى فنى حسابرسان در موارد استفاده از نرمافزارهاى عمومى حسابرسی.
۲. استفاده از روشهاى حسابرسى با استفاده از کامپیوتر
۳. اجراء برنامههاى حسابرسى سیستمهاى پیچیده کامپیوتری
۴. ارزیابى مواردى که نیاز به کارشناسى در زمینه کامپیوتر دارد مانند ارزیابى کنترلهاى داخلى در برنامههاى سیستمهاى کاربردی
۵. نوشتن برنامههاى مخصوص کامپیوترى یا ارزیابى برنامههاى موجود حسابرسی
۶. آزمایش و ارزیابى نرمافزارهاى مربوط به مدیریت اطلاعات و کنترل بانکهاى اطلاعاتی
روش های طبقه بندی کنترل داخلی :
- کنترلهای حسابداری و کنترلهای اداری
- کنترلهای عمومی و کنترلهای کاربردی
- کنترلهاى مرحله ایجاد سیستمهاى کاربردى، کنترل های مرحله اجرا و کنترل های حفاظت و ایمنی
کنترلهاى حسابدارى و کنترلهاى ادارى :
- کنترلهاى حسابدارى شامل کنترلهاى مربوط به حفاظت از دارائىها و قابلیت اطمینان صورتهاى مالى است.
- کنترلهاى اداری، کنترلهائى است که بهمنظور افزایش کارائى عملیاتى و بهبود مدیریت برقرار مىشود.
- از این طبقهبندى براى مشخص کردن محدوده رسیدگىهاى حسابرس استفاده مىشود.بهطور کلى کنترلهاى حسابدارى در محدوده رسیدگىهاى حسابرسى است در حالىکه کنترلهاى ادارى در محدوده مزبور نیست.
کنترلهاى عمومى و کنترلهاى کاربردى :
- کنترلهاى عمومى عبارت از کنترلهاى سازمانی، مدیریت و عملیاتى است که ایجاد، نگهداشت و اجراء سیستمهاى کاربردى را دربر مىگیرد.
- کنترلهاى کاربردى مجموعه کنترلهائى است که در پروندههاى مستندات سیستم براى هر سیستم کاربردى در نظر گرفته شده است. پروندههاى مهم در این مورد شامل راهنماى استفاده کنندگان و راهنماى عملیاتى سیستم کاربردى است. از این طبقهبندى براى تفکیک کنترلهاى مربوط به محیط مراکز خدمات کامپیوترى از کنترلهاى ویژه یک سیستم کاربردى خاص استفاده مىشود.
کنترلهاى مرحله ایجاد سیستمهاى کاربردى ، کنترل های مرحله اجرا و کنترل های حفاظت و ایمنی :
- کنترلهاى مرحله ایجاد سیستمهاى کاربردى عبارت از کنترلهائى است که در مراحل طراحى و پیادهسازى برقرار مىگردد تا اطمینان حاصل شود که سیستمهاى جدید طبق ضوابط مجاز ایجاد مىگردد، و بر اساس روشهاى مصوب مدیریت پردازش مىکند.
- کنترلهاى مرحله اجراء سیستم کنترلهائى است که بهمنظور اطمینان از پردازش کامل و صحیح اطلاعات ورودى معتبر و استفاده از فایلها و برنامههاى درست برقرار مىشود.
- کنترلهاى حفاظت و ایمنى بهمنظور حصول اطمینان از آمادگى دائمى کامپیوتر و دستگاهها و وسایل لازم براى انجام عملیات و امکان بازیابى اطلاعات در صورت بروز اشکال، برقرار مىشود.
مخاطرات حسابرسى :حسابرسی سیستمهای کامپیوتری حسابداری
عبارت است از احتمال این خطر که حسابرس نادانسته اظهارنظر خود را در مورد صورتهاى مالى یا تحریف عمده را بهگونهاى مناسب تعدیل نکند.
مخاطرات حسابرسى را مىتوان ناشى از هر یک یا ترکیبى از دو خطر مذکور در زیر دانست:
۱. خطر وجود اشتباه در روشهاى تدوین و پردازش اطلاعات مالى مورد استفاده در صورتهاى مالی
۲. خطر عدم کشف اشتباهات یا انحراف بااهمیت توسط حسابرس
حسابرس خطر اول را با اتکاء بر کنترلهاى داخلى و خطر دوم را با انجام آزمونهاى محتوا کاهش مىدهد.
انواع مخاطرات حسابرسی :حسابرسی سیستمهای کامپیوتری حسابداری
- مخاطرات مربوط به سیستمهای کاربردی
- مخاطرات مربوط به اطلاعات ورودی
- مخاطرات مربوط به اجزاء اطلاعات
- مخاطرات مربوط به مرکز خدمات کامپیوتری
مخاطرات مربوط به سیستمهاى کاربردى :
حسابرس باید مخاطرات مربوط به فعالیتها و پردازشهاى هر یک از سیستمهاى کاربردى را بررسى کند. این بررسى شامل ارزیابى اهمیت یک سیستم کاربردى از لحاظ اثر آن بر صورتهاى مالى و مخاطرات ناشى از امکان سوءاستفاده از دارائىها مىباشد. اهمیت نسبى هر سیستم کاربردى در شرکتهاى مختلف ممکن است بسیار متفاوت باشد. براى مثال سیستم حسابهاى بدهکاران در مورد شرکتى که عمدتاً فروش نقدى انجام مىدهد اهمیت زیادى ندارد در صورتىکه در شرکتى که تمام فروش خود را بهصورت نسیه انجام مىدهد سیستم کاربردى حسابهاى بدهکاران از مهمترین سیستمهاى مالى است.
مخاطرات مربوط به اطلاعات ورودى :
بررسى مخاطرات احتمالى در سطح سیستمهاى کاربردى شامل بررسى کلى انواع مختلف فعالیتهاى مورد پردازش در هر سیستم کاربردى است. در سطح اطلاعات ورودی، احتمال اشتباه بودن، غیرمجاز بودن، ثبت نشدن اطلاعات یک فعالیت، ارزیابى نادرست، طبقهبندى اشتباه، زمانبندى نادرست و وارد نکردن اطلاعات مربوطه در دفاتر معین در مورد هر یک از انواع فعالیتها بررسى مىشود. حسابرس احتمال امکان و تعداد دفعات وقوع هر یک از مخاطرات و اثر هر کدام را بر صورتهاى مال بررسى و ارزیابى مىکند، ارزیابى مزبور براى هر یک از انواع فعالیتهاى یک سیستم کاربردى انجام مىشود، اشتباه در برخى از انواع فعالیتها نه تنها در اطلاعات مربوط به آن فعالیت، بلکه در فعالیتهاى بعدى که بر اساس اطلاعات نادرست فعالیت مزبور ایجاد مىشد تأثیر دارد. براى مثال یک اطلاع نادرست در مورد نرخ فروش یک کالا بر تمام فاکتورهاى فروش کالاى مزبور اثر مىگذارد. اثر اشتباه در مورد یک فعالیت خرید کالاى عمده خیلى بیش از اثر اشتباه در خریدهاى جزئى است. اشتباه در اطلاعات مربوط به فعالیتها، گاهى توسط اشخاص ثالث تذکر داده مىشود. براى مثال اگر خرید کالائى که نسیه خریدارى شده است، ثبت نشود، اعلامیه بدهکار فروشنده ممکن است موجب تصحیح شود یا هرگونه عدم ثبت صحیح بدهىها که توسط طلبکار اعلام مىشود.
مخاطرات مربوط به اجزاء اطلاعات :
اطلاعات مربوط به هر فعالیت معمولاً شامل تعدادى اجزاء اطلاعاتى است. براى مثال اطلاعات مربوط به فروش کالا شامل اطلاعاتى درباره تعداد، شرح و شماره کالا، نام خریدار، نرخ فروش، نوع فروش، مهلت پرداخت و غیره است. اهمیت اجزاء مزبور یکسان نیست و اشتباه در آنها مخاطرات یکسانى ندارد. بنابراین حسابرس در ارزیابى مخاطرات حسابرسی، اهمیت هر یک از اقلام را بررسى و طبقهبندى مىکند، در مواردىکه اطلاعات در بانکهاى اطلاعاتى نگهدارى مىشود، هر یک از اقلام اطلاعاتى موجود باید جداگانه بررسى شود. بررسى اینگونه اقلام شامل بررسى منبع، موارد استفاده، روش بههنگام رساندن و اهمیت آن در صورتهاى مالى است.
مخاطرات مربوط به مرکز خدمات کامپیوترى :
مخاطرات ناشى از اشتباهات و سوءجریانات در مراکز خدمات کامپیوترى در بیشتر موارد در ارتباط با سیستم کاربردى است، اما در استفاده از منابع کامپیوترى احتمال بروز اشتباهات یا سوءجریاناتى که ارتباط مستقیمى با هیچ یک از سیستمهاى کاربردى نداشته باشد نیز وجود دارد.
بعضى از موارد سوءاستفاده از وسایل کامپیوترى بسیار جزئى است و ارزش رسیدگى و گزارش توسط حسابرس را ندارد. براى مثال چاپ بعضى تصاویر روى دستگاه چاپ یا نواختن سرود توسط کامپیوتر، مدیریت مىتواند براى جلوگیرى از اشاعه اینگونه موارد یا وضع مقرراتی، محدودیتهاى مناسب را ایجاد نماید، برخى از اشتباهات یا سوءجریانات اگرچه تأثیرى در صورتهاى مالى ندارد اما ممکن است حفاظت و ایمنى دستگاهها را تا آن میزان به خطر اندازد که موجب ایجاد وقفه در انجام عملیات شود.
زمانبندی حسابرسی سیستم های کامپیوتری :
زمانبندى عملیات حسابرسى سیستمهاى کامپیوترى را مىتوان مانند رسیدگىهاى معمولى حسابرسى به سه دوره تقسیم کرد:
۱. عملیات مقدماتى قبل از پایان دوره مالى (حسابرسى ضمنى).
۲. عملیات مربوط به پایان دوره مالى.
۳. عملیات و روشهاى بعد از پایان دوره مالى.
ویژگىهاى محیط کامپیوترى که در تنظیم برنامه حسابرسی تاثیر دارند :
- تکنولوژى پردازش کامپیوترى شامل تکنولوژى سختافزار، نرمافزار، ارتباطات و غیره.
- تکنیکهاى فنى ایجاد و توسعه سیستمهاى کاربردى کامپیوترى.
- تغییرات مداوم در سیستمهاى کامپیوترى بهعلت تغییر نیازهاى استفاده کننده و تکنولوژى کامپیوتر.
- ثبت اطلاعات فعالیتها بر روى واسطههاى مغناطیسى مانند نواریا دیسک براى پردازش کامپیوترى اطلاعات.
- امکان استفاده از کامپیوتر براى حسابرسى.
اطلاعات کامپیوترى از دو جنبه بر حسابرسى صورتهاى مالى تأثیر دارد :
- یک جنبه اثر آن در مطالعه و ارزیابى کنترلهاى داخلى است که شامل ارزیابى کنترلهاى عمومى مرکز خدمات کامپیوترى و کنترلهاى کاربردى سیستمهاى کامپیوترى مالى است. مطالعه و ارزیابى کنترلهاى داخلى در سیستمهاى کامپیوترى به دو مرحله تقسیم مىشود. مراحل مزبور عبارتند از مرحله مقدماتى بررسى و مرحله تکمیل بررسی. حسابرس همواره مرحله مقدماتى بررسى را انجام مىدهد. در مواردىکه حسابرس قصد داشته باشد که بر کنترلهاى سیستمهاى کامپیوترى اتکاء کند مرحله تکمیل بررسى و آزمونهاى رعایت را براى حصول اطمینان از اجراء کنترلهاى موردنظر در دوره مورد رسیدگى انجام مىدهد.
- جنبه دیگر اثر پردازش کامپیوترى اطلاعات بر حسابرسی، در مرحله آزمون محتواى صورتهاى مالى است. هدف حسابرس در این مرحله تأمین شواهد کافى بهمنظور ارائه نظر درباره صورتهاى مالى است. آزمون محتوا شامل روشهاى بررسى تحلیلى و آزمونهاى تفصیلى است.
مرحله مقدماتى بررسى :
مرحله مقدماتى بررسى سیستمهاى کامپیوترى صاحبکار یک شناخت کلى به حسابرس مىدهد بهطورى که بتواند برنامه رسیدگىهاى خود را تنظیم نماید که شامل :
- روش گردش و پردازش اطلاعات
- میزان استفاده از کامپیوتر
- ساختار اصلی کنترلهای حسابداری
- سنجش مقدماتی
مرحله تکمیل بررسى :
حسابرس در مرحله تکمیل بررسی، اطلاعات دقیق و مشروحى درباره کنترلهاى عمومى و کاربردى موردنظر بهدست مىآورد. کاربرگهاى حسابرسى در این مرحله به مراتب بیشتر از مدارک و مستندات مرحله مقدماتى بررسى است. پرسشنامهها، مصاحبهها، یادداشتها و نمودارها تفصیلى است. در این مرحله، تمام مراحل عملیاتى ملاحظه و تمامى مستندات و روشهاى اجراء کنترلهاى عمومى و کاربردى بررسى مىشود.
تکمیل بررسى کنترلهاى عمومى شامل بررسی :
۱. کنترلهاى سازمان و وظایف
۲. کنترلهاى ایجاد، توسعه و نگهداشت و مستندسازى سیستمهاى کاربردى
۳. کنترلهاى سختافزار و نرمافزار کامپیوترى
۴. کنترلهاى دسترسى به کامپیوتر و فایلها و برنامههاى کامپیوترى
۵. کنترلهاى اطلاعات و روشهاى اجرائى
تکمیل بررسى کنترلهاى کاربردى شامل بررسی :
۱. کنترلهاى اطلاعات ورودى.
۲. کنترلهاى مرحله پردازش اطلاعات.
۳. کنترلهاى اطلاعات و گزارشهاى خروجى.
آزمونهاى رعایت :حسابرسی سیستمهای کامپیوتری حسابداری
در بررسى کنترلهاى حسابدارى در سیستمهاى کامپیوتری، حسابرس اطلاعاتى درباره سیستمهاى کامپیوترى از دیدگاه مدیران و مسئولین مرکز خدمات کامپیوترى و واحدهاى استفاده کننده بهدست مىآورد. در حقیقت این دیدگاه بیشتر نمایانگر مجموعهاى است که مدیران مزبور فکر مىکنند وجود دارد یا طبق نظر آنان، باید وجود داشته باشد. اگر بنا باشد که حسابرس بر کنترلهاى موجود اتکاء نماید باید از اجراء کامل کنترلهاى موردنظر مطمئن شود. اقداماتى که حسابرس براى حصول اطمینان معقول از اجراء کنترلهاى موردنظر، بهگونهاى که تجویز شده است، انجام مىدهد آزمونهاى رعایت است.
آزمونهاى رعایت در مورد کنترلهاى عمومى و کاربردى با هدفهاى زیر انجام مىشود:
۱. آیا کنترلهاى ضرورى به مرحله اجراء درآمده است ؟
۲. کنترلهاى مزبور چگونه اجراء شده است؟
۳. مجریان کنترلها چه افرادى بودهاند؟
کنترلهاى موردنظر مىتواند به یکى از طرق زیر بهاجراء درآید:
۱. تشکیلات سازمانى و روشهاى قابل رؤیت. حسابرسی سیستمهای کامپیوتری حسابداری
۲. برنامههاى سیستم و منطق پردازش کامپیوترى.
نتیجه گیری
برای تحقق اهداف و مسئولیت حسابرسان داخلی، یک حسابرس داخلی باید این توانمندی را داشته باشد تا:
۱- تمام عناصر سیستم اطلاعاتی حسابداری رایانه ای را بررسی کند.
۲- از رایانه به عنوان ابزاری برای اهداف حسابرسی خود استفاده کند.
به عبارت دیگرداشتن مهارت های رایانه ای برای یک حسابرس داخلی ضروری است.
بر اساس مطالب فوق می توان گفت وظایف کارشناسان حسابرسى سیستمهاى کامپیوترى را می توان شامل موارد زیر نام برد:
۱. پشتیبانى فنى حسابرسان در موارد استفاده از نرمافزارهاى عمومى حسابرسی.
۲. استفاده از روشهاى حسابرسى با استفاده از کامپیوتر
۳. اجراء برنامههاى حسابرسى سیستمهاى پیچیده کامپیوتری
۴. ارزیابى مواردى که نیاز به کارشناسى در زمینه کامپیوتر دارد مانند ارزیابى کنترلهاى داخلى در برنامههاى سیستمهاى کاربردی
۵. نوشتن برنامههاى مخصوص کامپیوترى یا ارزیابى برنامههاى موجود حسابرسی
۶. آزمایش و ارزیابى نرمافزارهاى مربوط به مدیریت اطلاعات و کنترل بانکهاى اطلاعاتی
همچنین تأثیر جنبه های مختلف اطلاعات کامپیوترى بر حسابرسى صورتهاى مالى شامل دو جنبه زیر می باشد.
- یک جنبه اثر آن در مطالعه و ارزیابى کنترلهاى داخلى است که شامل ارزیابى کنترلهاى عمومى مرکز خدمات کامپیوترى و کنترلهاى کاربردى سیستمهاى کامپیوترى مالى است. مطالعه و ارزیابى کنترلهاى داخلى در سیستمهاى کامپیوترى به دو مرحله تقسیم مىشود. مراحل مزبور عبارتند از مرحله مقدماتى بررسى و مرحله تکمیل بررسی. حسابرس همواره مرحله مقدماتى بررسى را انجام مىدهد. در مواردىکه حسابرس قصد داشته باشد که بر کنترلهاى سیستمهاى کامپیوترى اتکاء کند مرحله تکمیل بررسى و آزمونهاى رعایت را براى حصول اطمینان از اجراء کنترلهاى موردنظر در دوره مورد رسیدگى انجام مىدهد.
- جنبه دیگر اثر پردازش کامپیوترى اطلاعات بر حسابرسی، در مرحله آزمون محتواى صورتهاى مالى است. هدف حسابرس در این مرحله تأمین شواهد کافى بهمنظور ارائه نظر درباره صورتهاى مالى است. آزمون محتوا شامل روشهاى بررسى تحلیلى و آزمونهاى تفصیلى است.
اشتراک ها: صفر تا صد حسابداری انبار - فرتاک حساب
اشتراک ها: پیادهسازی تغییرات در سیستم حسابداری - فرتاک حساب | آموزش امروز فردایی روشن | ACC