بخشی از مقاله
حسابرسی مستمر راهکاري نوین در عصر فناوري اطلاعات
چکیده
امروزه فناوريهاي موجود فرآیند ایجاد ارزش در شرکتها را دستخوش تغییر کرده و همانند گذشته
صورتهاي مالی براي سرمایه گذاري از اهمیت چندانی برخوردارنمیباشد. در حالیکه این تغییرات تهدید جدي براي دوام حسابرسی محسوب میشود، فرصتهاي جدیدي را نیز براي حسابرسان جهت ادامه کار ایجاد نموده است. انجمن حسـابداران رسـمی آمریکـا((AICPA و حسـابداران خبـره کانـادا((CICA حسابرسی مستمر را نوعی از خدمات اعتباردهی معرفی نمودهاند که به طـور دائمـی انجـام مـیشـود و بـا حسابرسیصورتهاي مالی سالیانه متفاوت است. حسابرسی مستمر روشی است که حسابرسان مستقل را قادر میسازد تا اظهارنظر خود را درباره یک موضوع خاص ارائه نمایند. این امر با به کار گیري مجموعهاي از گزارشهاي حسابرسی در باره وقایع با اهمیت و برجسته بـه طـور همزمـان و در مـدت کوتـاهی انجـام میشود. از این رو حسابرسی مستمر میتواند موانع و مشکلات فنی با اهمیتی را نیز با خود به همراه آورد.
واژههاي کلیدي: حسابرسی مستمر، گزارش حسابرسی، به موقع بودن، فناوري اطلاعات.
مقدمه
استفاده از ابزارهاي حسابرسی کامپیوتري 1 (CAATs) یکی از روشهایی است که حسابرسان با بکار بردن آن میتوانند بهرهوري عملکرد رسیدگیهاي مستمر خود را افزایش دهند. در عین حال، براي اجراي حسابرسی در زمان واقعی و اعمال تغییرات لازم در دادههاي الکترونیکی، نیاز به ابزارهاي کامپیوتري بیشتر احساس میشود. در ادامه ضمن ارائه مطالبی در زمینه حسابرسی مستمر، به نکاتی مهم در حسابرسی فناوري اطلاعات به عنوان ابزاري براي دستیابی به حسابرسی مستمر اشاره میشود.
حسابرسی مستمر
حسابرسی مستمر فرآیندي است که حسابرسان را قادر میسازد تا اطمینان مورد نظر را همزمان با افشاي اطلاعات فراهم آورند. تصمیمگیرندگان به عنوان اشخاص ثالث و مستقل به اطلاعاتی نیاز دارند که به موقع، ایمن، دقیق و واقعی باشند و حسابرسی مستمر میتواند این امکان را براي آنها فراهم سازد(علی مدد، .(1383 پژوهشهاي انجام شده نشان میدهد که منافع حاصل از اجراي یک سیستم حسابرسی مستمر بیش از هزینههاي آن خواهد بود. گرچه اجراي آن نیاز به سرمایهگذاري زیادي دارد ولی باید به عنوان یک سرمایهگذاري بلندمدت به آن نگریست(.(Zhao,2004.10
اگر معاملات تجاري به صورت بدون درنگ و آنلاین انجام شود، لازم است حسابرسی آنها نیز بدون درنگ انجام شود. امروزه براي اکثر سازمانها مفهوم اعتباربخشی بدون درنگ میتواند کمک شایانی به تصمیمات فوري استفادهکنندگان داشته باشد. این نوع اعتبار بخشی، مفهوم حسابرسی مستمر را الزامی میسازد. بر خلاف حسابرسی سنتی، حسابرسی مستمر میتواند کار خود را بر اساس تقاضاي صاحبکاران انجام دهد(فرقان دوست،.(1385 حسابرسی سالیانه بعد از روي دادن وقایع انجام میشود، ولی در حسابرسی مستمر فاصله زمانی کوتاهی بین وقوع رویدادها، بررسی آنها، فرآیند حسابرسی و در نهایت تهیه گزارش وجود دارد. در واقع در حسابرسی مستمر زمان کمی براي شناسایی و بررسی موارد نادرست وجود دارد، و این امر باعث بروز موانع و مشکلات فنی خواهد شد.
حسابرسی مستمر و سنتی هر دو به ارائه خدمات اعتباردهی براي اطلاعات میپردازند. اعتباردهی، خدمت حرفهاي مستقلی است که کیفیت اطلاعات را براي بهکارگیري آن در تصمیمگیري افزایش میدهد. این خدمات میتواند اعتبار اطلاعات را تأیید و یا رد نماید. همچنین حسابرسان مستمر و سنتی هر دو صورتهاي مالی سالانه همچون ترازنامه، صورت حساب سود و زیان، صورت حقوق صاحبان سهام و صورت جریان وجوه نقد را با استانداردهاي موجود مطابقت میدهند. 2 GAAP معیار مناسبی است که میتواند در این رابطه براي هر دو گروه مورد استفاده قرار گیرد.
حسابرسی سنتی بیشتر از اطلاعات سیستمهاي حسابداري استفاده مینماید درحالیکه حسابرسی مستمر به بررسی اطلاعات الکترونیکی میپردازد. همچنین حسابرسی سنتیمعمولاًهر سال یک بار انجام میشود و براي طراحی، برنامه ریزي و اجراي برنامه خود به زمان زیادي نیاز دارد، در حالیکه در حسابرسی مستمر، اطلاعات در مدت زمان کوتاهی حسابرسی شده و گزارش حسابرسی به سرعت آماده میشود. در این روش اطلاعات به شکل الکترونیکی تهیه میشوند و گزارشگري آن به راحتی به طور متناوب انجام میشود.
حسابرسی مستمر به صورت سیستماتیک و مداوم معاملات را به کمک ابزارهاي نرم افزاري هوشمند آزمون میکند و از ابزارهاي چون اینترنت، تجارت الکترونیک، سیستمهاي برنامه ریزي منابع بنگاه و مبادلات آنلاین و ... استفاده مینماید(کردستانی و دیگران،.(1388 حسابرسی مستمر بدون استفاده از تکنیکهاي حسابرسی به کمک رایانه غیر ممکن است. حسابرسان براي حسابرسی سیستمهاي همزمان باید حسابرسی مستمر الکترونیکی را به کار ببندند، زیرا شواهد حسابرسی الکترونیکی است و در بیشتر موارد صرفاً تا زمان بسیار کوتاهی در دسترس قرار دارد .
برخورد با نارساییها در زمانی نزدیک به زمان وقوع آنها، اشراف بر اداره امور، قابلیت توزیع حجم کار حسابرسی، ارائه به موقع نظر حرفهاي حسابرس و ارتقاء سطح روابط با صاحبکار از جمله فوائد مشخص حسابرسی مستمر میباشد. (فرقاندوست حقیقی،77،( 1385
امروزه تقرباًیدر هر سازمانی سیستمهاي اطلاعاتی و فناوري اطلاعات ( 3 (IT جزو بخشهاي اصلی آن سازمان میباشد. در نتیجه حسابرسی فناوري اطلاعات براي ایجاد اطمینان از اینکه سیستمها به نحو مناسب کنترل شده، ایمن هستند و همان طور که انتظار میرود عمل میکنند، ضروري است. با این وجود اجراي یک راهبرد حسابرسی فناوري اطلاعات که هزینههاي این حسابرسی را توجیه نموده و کاربرد و اثر بخشی سیستمهاي اطلاعاتی را توسعه دهد، موضوع چالش برانگیزي است.
غالباًمدیران به این موضوع میاندیشند که آیا عملیات به طور یکپارچه انجام میشود؟ آیا اطلاعات به طور محرمانه محافظت میشود؟ و یا اینکه آیا داراییها و نرم افزارهاي کامپیوتري کنترل میشوند؟ در ادامه برخی از عوامل مؤثر براي اجراي یک راهبرد حسابرسی اثربخش فناوري اطلاعات که تقرباًی در مورد هر سازمانی کاربرد، دارد مورد بررسی قرار
میگیرد(.(Petterson, 2005,41
شروع کار به طور مستقل
شخصیت حسابرس فناوري اطلاعات باید از واحد مورد رسیدگی مستقل باشد. یک حسابرس فناوري اطلاعات نباید در سازمان، به عنوان بخشی از واحد فناوري اطلاعات آن باشد. حسابرسی فناوري اطلاعات با ایجاد یک سیستم اطلاعاتی مناسب که براي انجام کار حسابرسی آماده شده، شروع میشود. این خدمات را ممکن است یکی از کارکنان حسابرسی داخلی و یا یک شرکت یا یک مشاور که خارج از سازمان میباشند، انجام دهند.
حال این سؤال مطرح میشود که چه تجربیاتی براي یک حسابرس لازم است؟
در واقع باید گفت براي حسابرسی فناوري اطلاعات وضعیت مجزاي مناسب و مشخصی وجود ندارد. بعضی از حسابرسان فناوري اطلاعات در ابتدا کارشان را به عنوان حسابرس مالی یا عملیاتی آغاز میکنند، در حالیکه برخی از مسیرهاي دیگر به حسابرسی فناوري اطلاعات وارد میشوند. در هر صورت انجمن حسابرسی و کنترل سیستمهاي اطلاعاتی 4 (ISACA) یک گواهینامه رسمی در سطح جهانی براي حسابرسان فناوري اطلاعات صادر میکنند و حسابرسانی
که این گواهینامه را کسب نموده باشند میتوانند نشان دهند که مهارتهاي لازم براي انجام کار مورد انتظار یک حسابرسی فناوري اطلاعات را به وسیله گذراندن یک آزمون دشوار و داشتن تجربه، تحصیلات و خصوصیات مشروط، دارا هستند. همچنین از آنها انتظار میرود که از استانداردهاي حرفهاي و دستورالعملها پیروي کنند.
به طور کلی میتوان ادعا نمود که گواهینامه CISA٥ یک تلاش سازمان یافته براي پاسخ گویی به الزامات جهانی است.
برنامه حسابرسی برپایه تجزیه و تحلیل ریسک
کار حسابرسی فناوري اطلاعات باید بر اساس یک برنامه حسابرسی که بر پایه ریسک سازمان طراحی گردیده، اجرا شود. اکنون، روزهایی که اجراي یک برنامه حسابرسی ادواري مناسب به نظر میرسید و حسابرسی هرچند وقت یکبار با فاصله زمانی ثابتی انجام میشد، سپري شده است و باید حسابرسی به سمتی هدایت شود که سازمان بیشترین سود را تحصیل کند.
مدیر ارشد اجرایی حسابرسی، به عنوان تهیه کننده برنامه، باید دادههایی را از منابع مختلف مانند انجمنهاي حسابرسی، حسابرسیهاي قبلی، مدیران اجرایی و سایر کارکنان باصلاحیت جمعآوري کند. در حسابرسی عوامل ریسکی که در دستیابی سازمان به اهداف خود مؤثر هستند، باید مشخص شوند. عوامل ریسک تأثیر گذار عبارتند از:
اهمیت سیستم براي سازمان زمان سپري شده از آخرین حسابرسی
میزان داراییهاي نگهداري شده جدید بودن سیستم
حسابرسان فناوري اطلاعات همچنین باید سیستمهاي حسابرسی در حال توسعه و سیستمهایی که از فناوري جدید استفاده میکند _چنانچه براي سازمان کاربرد داشته باشند_ را مورد توجه قرار دهند. حسابرسان باید در دسترس بودن منابع حسابرسی فناوري اطلاعات و نواحی ممکن براي حسابرسی را در نظر گرفته، سپس یک برنامه حسابرسی را به کمیته حسابرسی یا سایر مسئولین باصلاحیت معرفی کنند.
زمانی که یک برنامه حسابرسی طرح ریزي شد، حسابرس میتواند شروع کار را به عهده بگیرد. هر حسابرسی باید شامل شناخت کلی از موضوع مورد رسیدگی باشد. این شناخت شامل کسب اطلاعاتی در مورد عوامل زیر است:
ریسکها قوانین و مسئولیتها
سیاستها و رویههاي عملیاتی پیروي از الزامات قانونی وجود کنترلهاي داخلی
حسابرسان فناوري اطلاعات میتوانند این شناخت را از طریق مصاحبه و بررسی اسناد سازمان (مانند نگاره (1 بدست آورند.
نمونه کتبی برنامه یادداشت برنامه کنترل داخلی
به: مدیر فناوري اطلاعات قسمت: بخش اداري سازمان
از: حسابرس ارشد فناوري اطلاعات جواب: بازبینی کاربري رویههاي اجرایی
ما در هر برنامه سالیانه حسابرسی به بازبینی رویههاي اجرایی در بخش اداري سازمان پرداختهایـم. در حین این بازبینی، یک بررسی ابتدایی از کاربري برنامـههـاي اجرایـی بـراي سیسـتم در حـال توسـعه انجام خواهیم داد.
اگر شما اسناد کتبی در مورد کاربري فرآیند اجرایی سیستمها یا رویههاي عملیاتی یا نمودارهـاي سازمانی در اختیار دارید،لطفاًیک نسخه از آن را براي ما نیز تهیـه کنیـد. ایـن آزمـون، بـازبینی اسـناد، رویهها، بازبینی وضعیت سیستمها به صورت دستی و اتوماتیـک و تهیـه گـزارشهـاي سیسـتم را دربـر خواهد داشت. به علاوه ما باید کارکنانی را که مسئولیتهاي مختلفی در سیستمهـا انجـام مـیدهنـد در حال اجراي وظیفه، مورد بررسی قرار دهیم.
نگاره (1) نمونه کتبی برنامه یادداشت برنامه کنترل داخلی
در طول فرآیند جمعآوري اطلاعات، به صلاح سازمان است که همه گروهها با اطمینان خاطر و بدون مجادله به فعالیت خود ادامه دهند. هنگام پرس و جوي حسابرسان از کارکنان فناوري اطلاعات، حسابرسان باید سعی کنند به گونهاي در کارکنان انگیزه ایجاد کنند تا حالت دفاعی کارکنان را براي عدم پاسخگویی به حداقل رسیده و بتوانند اطلاعاتی کافی و صریح را از آنان دریافت کنند و با این اطلاعات یک تصمیم منطقی اتخاذ نمایند.
حسابرسان فناوري اطلاعات میتوانند بر اساس اطلاعات جمعآوري شده اهداف حسابرسی را مشخص کنند. پس از شناخت اهداف حسابرسی، حسابرسان فناوري اطلاعات باید جلسهاي را با مسئولان شرکت برگزار کنند تا در آن به بحث و نتیجه گیري بر روي موضوعاتی از قبیل اهداف حسابرسی، زمان بندي حسابرسی، ترتیب اجراي حسابرسی و در دسترس بودن منابع بپردازند. این جلسه چند هدف را دنبال میکند:
تعیین زمان اتمام حسابرسی آگاهی مدیران واحد مورد رسیدگی از اهداف حسابرسی
بحث در خصوص مشارکت کارکنان فناوري اطلاعات با تیم حسابرسی
تعیین اهداف کنترلی
زمانی که هدف حسابرسی مشخص گردید، باید اهداف کنترلی فناوري اطلاعات نیز مشخص شود. هدف از کنترل فناوري اطلاعات در واقع بررسی فرآیند کنترلی در یک فعالیت فناوري اطلاعات خاص براي رسیدن به هدف خود است. به عبارت دیگر در راستاي تحقق هدف کنترل فناوري اطلاعات، حسابرس و مدیریت تمایل دارند براي کسب اطمینان از اینکه فعالیتهاي فناوري اطلاعات به طور مناسب کنترل میشوند، عملیات کنترلی را مستقماًیمشاهده نمایند.
مؤسسه فناوري اطلاعات گاورننس 6 (ITGI) چارچوب بین المللی را ایجاد کرده است که "اهداف کنترلی اطلاعات و فناوري مربوط به آن"(7 (COBIT نامیده میشود. این چارچوب اهدافی را براي کنترل فناوري اطلاعات ارائه میکند که محدوده کاملی از فناوري اطلاعات، هم در سطوح بالا و هم جزئیات را پوشش داده است. این چارچوب مرجعی دقیق است که حسابرسان را براي تعیین اینکه "چه چیزي را قرار است بررسی کنند؟" و مدیران را در پیشبرد مسئولیتها
