حسابرسی سیستم های اطلاعاتی رایانه ای

مقدمه :
حسابرسان داخلی به طور مستقیم مسئولیت کمک به مدیریت شرکت به منظور بهبود کارایی واثر بخشی سازمانی را به عهده دارند . این مسئولیت شامل کمک به طراحی واجرای سیستمهای اطلاعاتی است ، که نقش مهمی در تحقق اهداف سازمانی دارد.
در حالی که حسابرسان مستقل به طور مستقیم مسئول پاسخگویی به سهامداران سرمایه داران بودن وتنها به طور غیر مستقیم با اثر بخشی سیستم اطلاعاتی شرکت ارتباط دارند.
ماهیت حسابرسی :
حسابرسی فرآیند منظم وبا قاعده ( سیستماتیک ) در دستیابی هدفمند وارزیابی شواهد ومدارک مربوط به فعالیت های اقتصادی به منظور وحصول اطمینان از میزان مطابقت ادعاها با معیارهای تعیین شده وارائه نتایج آن به استفاده کنندگان است.(AAA)
اگرچه اصول حسابرسی در سالهای اخیر تغییرات جزئی داشته است اما تکنیک ها وروشهای حسابرسی تغییرات اساسی کرده است .
حسابرسان استفاده از رایانه وبرنامه های رایانه ای را نادیده گرفته وصرفا اطلاعات وگزارش های ستاده سیستمهای رایانه ای را رسیدگی می کردند . علت این بود که اگر داده های درست باشد سیستم پردازش قابل اتکا می باشد .
استانداردهای حسابرسی داخلی :
از نظر انجمن حسابرسان داخلی ، هدف حسابرسی داخلی ارزیابی کفایت واثر بخشی سیستم کنترل داخلی یک شرکت وتعیین میزان مسئولیتهای انجام شده است .
استانداردهای 5 گانه انجمن حسابرسان داخلی دامنه رسیدگی ومسئولیت حسابرسان داخلی را به شرح زیر بیان می کند :
1 – رسیدگی به صحت وقابلیت اتکا واعتماد اطلاعات مالی وعملیاتی واین که چگونه این اطلاعات گرد آوری ، اندازه گیری ، طبقه بندی وگزارش می شوند .
2 – تعیین اینکه آیا سیستم طراحی شده به طور واقعی طبق سیاستهای عملیاتی وگزارشگری ، برنامه ها روش ها قوانین ومقررات عمل کرده وآنها را به دنبال می کند .
3 – بررسی چگونگی حفاظت مناسب از دارائی ها واثبات وجود آنها .
4 – رسیدگی به منابع شرکت به منظور تعیین کارایی واثر بخشی استفاده از منابع .
5 – بررسی برنامه ها وعملیات شرکت به منظور اینکه آیا این برنامه ها همان طور که برنامه ریزی شده اند اجرا می شوند ، آیا با اجرای این برنامه ها ، شرکت به اهداف خود رسیده است .
برای تحقق این اهداف یک حسابرسی داخلی باید :
1 – تمام عناصر سیستم اطلاعاتی حسابداری رایانه ای را بررسی کند .
2 - از رایانه به عناون ابزاری برای اهداف حسابرسی خود استفاده کند .

انواع رسیدگیهای حسابرسی داخلی :
1 – حسابرسی مالی :
صحت وقابلیت اعتماد واتکای مدارک حسابداری را بررسی می کند . با اولین استاندارد 5 گانه هماهنگی دارد .
2 – حسابرسی سیستم های اطلاعاتی :
کنترل های عمومی وکاربردی یک سیستم را به منظور اطمینان از رعایت سیاست ها ورویه های سیستم کنترل داخلی ومؤثر بودن در محافظت از دارائی ها را بررسی می کند .استانداردهای دوم وسوم را تقریبا پوشش می دهد .

3 – حسابرسی عملیاتی یا حسابرسی مدیریت :
در بررسی استفاده کار آمد واقتصادی از منابع وتحقق اهداف تعیین شده می پردازد. این حسابرسی در چهار چوب استاندارد های چهارم وپنجم می باشد .
بررسی فرآیند حسابرسی :
شامل 4 مرحله برنامه ریزی ، گردآوری شواهد ، ارزیابی شواهد وگزارش نتایج حسابرسی تقسیم می شود .
برنامه ریزی حسابرسی :
اولین گام در این مرحله تعیین دامنه واهداف حسابرسی است . دامنه حسابرسی در این شرکت سهامی عام محدود به سهامداران شرکت بوده وهدف آن ارزیابی منصفانه بودن اطلاعاتی مالی ارائه شده می باشد در حالی که حسابرسی داخلی یک بخشی یا یک واحد کاربردی معینی را رسیدگی می کند وتوجه خود را به کنترل های داخلی اطلاعاتی مالی ، فعالیت های عملیاتی ویا ترکیبی از هر سه متمرکز کند .
اعضای تیم حسابرسی با مشورت کردن با سربرستان ، پرسنل حسابرسی وبررسی سیستم مستند سازی ویافته ای حسابرسی ای قبل با حسابرسی آشنا می شوند .
برنامه ریزی حسابرسی باید شامل محدوده ای باشد که بیشترین خطر های حسابرسی را دارا می باشند.

انواع خطر های حسابرسی :
1 – خطر ذاتی : قابلیت پذیرش خطر با اهمیت با فرض عدم وجود کنترل داخلی است سیستم پردازش ورایانه ای ویا سیستم در پیشرفته فناوری نسبت به دستی خطر ذاتی بیشتذی دارد.
2 – خطر کنترل : خطری است که اشتباه با اهمیتی به وجود ساختار کنترل داخلی رخ می دهد واثر این اشتباه در صورتهای مالی منعکس می شود .
3 – خطر عدم کشف : خطری است که روشهای رسیدگی حسابرسان یک اشتباه با اهمیتی یا ارائه نادرست اطلاعات را کشف نکند.
در پایان مرحله برنامه ریزی ، یک برنامه اولیه حسابرسی تهیه می شود . این برنامه ، ماهیت ، دامنه وزمان بندی روشهای مورد نیاز برای تحقق اهداف حسابرسی وحد اقل کردن خطر های حسابرسی را نشانی می دهد یک بودجه زمانی نیز تهیه وتیم حسابرسی برای اجرای مراحل حسابرسی انتخاب می شوند.
گرد آوری شواهد حسابرسی :
بیشترین زمان وفعالیت حسابرسی صرف گرد آوری شواهد حسابرسی می شود .
روشهای زیر شیوه های متداول گرد آوری شواهد ومدارک حسابرسی می باشند:
ـ مشاهده فعالیت های موضوع رسیدگی . برای مثال مشاهده چگونگی ورود کارکنان به سایت رایانه یا مشاهده چگونگی مدیریت عملیات پردازش داده ها پرسنل کنترل اطلاعات .
ـ بررسی مستندات به منظور شناخت چگونگی انجام وظایف در یک سیستم اطلاعاتی حسابداری یا سیستم کنترل داخلی .
ـ مذاکره با کارکنان درباره شغلشان واینکه چگونه آنان فعالیت یعنی را انجام می دهند .
ـ برسشنامه هایی که اطلاعات لازم را در مورد سیستم گرد آوری می کند .
ـ مشاهده عینی تعداد یا وضعیت دارائیهای مشهود مانند دارائی ثابت ، موجودی کالا ویا وجود نقد .
ـ دریافت تاییدیه از طریق مکاتبه مستقیم با اشخاص ثالث در مورد صحت اطلاعات معینی درباره مانده حساب مشتریان در دفاتر شرکت .
ـ انجام دوباره محاسبات به منظور اثبات اطلاعات مقداری گزارشها واسناد حسابداری .
ـ سندرسی مدارک ومستندات پشتوانه یک رویداد به منظور حصول اطمینان از اعتبار آن رویداد ، برای مثال مدارک پشتوانه یک رویداد حسابهای پرداختنی شامل مدارک سفارش خرید ، گزارش رسید کالا وصورتحساب فروش است .
ـ بررسی تحلیلی روندها وروابط میان اطلاعات به منظور انتخاب اقلامی که مستلزم رسیدگی بیشتر هستند .
به دلیل اینکه نمی توان به راحتی روشها وآزمونی در حسابرسی را برای کلیه فعالیت ها ومدارک ودارائیها به کاربرد غالبا از روش نمونه گیری استفاده می کنند .
در یک حسابرسی معمولا ترکیبی از همه روشهای حسابرسی اجرا می شوند ، برای مثال در یک حسابرسی طراحی شده برای ارزیابی کفایت کنترلهای داخلی سیستم اطلاعاتی حسابداری از روشهای مشاهده عینی ، بررسی مدارک ومستندات ، گفتگو ومذاکره با کارکنان وانجام دوباره محاسبات وروشهای کنترلی استفاده می شود . حسابرسی اطلاعاتی مالی عمدتا مبتنی بر مشاهده عینی ، تاییدیه ، سندرسی ، بررسی تحلیلی وانجام دوباره محاسبات است .
ارزیابی شواهد ومدارک حسابرسی :
شواهد گرد آوری شده مورد ارزیابی قرار می گیرند که آیا منجر به قضاوت کلی هستند اگر نبودند آزمون های اضافی طراحی واجرا می کند .
در مورد جمع آوری اطلاعات توجه به حجم اطلاعات در مود اهمیت واطمینان منطقی ضروری است . مهم یعنی تا آنجایی که بر تصمیمات استفاده کنندگان اثر داشته باشند . این موضوع بستگی به قضاوت حرفه ای حسابرس بستگی دارد . این قاعده برای حسابرسان مستقل اهمیت بیشتری دارد زیرا هدف کلی آنها اطمینان از منصفانه بودن اطلاعات ارائه شده در صورتهای مالی است . در حالی که هدف حسابرسی داخلی اطمینان از رعایت قوانین ومقررات تعیین شده توسط مدیریت است .
هدف حسابرسان دستیابی به یک اطمینان منطقی از عدم وجود اشتباه یا خطای با اهمیت در اطلاعات یا فرآیند حسابرسی است . به دلیل اینکه دستیابی به یک اطمینان کامل فوق العاده هزینه بر است .
مستند سازی بخصوص در مرحله ارزیابی هنگامی که نتایج نهایی جمع بندی وتایید می شود ، از اهمیت زیادی برخوردار است.
گزارش نتایج حسابرسی :
حسابرس یک گزارش کتبی ( وگاهی شفاهی ) حاوی خلاصه ای از نتایج ویافته های حسابرسی به همراه پیشنهادهایی مستند به شواهد ومدارک مندرج در کاربرگهای حسابرسی تهیه می کند . این گزارش به مدیریت ، کمیته حسابرسی ، اعضای هیئت مدیره ودیگر گروههای ذینفع ارائه می شود .
پس از ارائه گزارش حسابرسی معمولا حسابرسان پی گیری لازم را به منظور حصول اطمینان از اجرا یا عدم اجرای پیشنهادهای حسابرسی انجام می دهند .
رویکرد حسابرسی بر مبنای خطر :
رویکرد چهار مرحله ای ارزیابی کنترل های داخلی بیانگر حسابرسی بر مبنای خطر است . شامل موارد زیر است :
1 – تعیین تهدیدهایی ( اشتباهات وموارد خلاف قاعده ) که سیستم اطلاعاتی حسابداری با آن مواجه است .
2 – شناسایی روشهای کنترل برای اجرا به منظور حد اقل کردن تهدیدهای سیستم به وسیله جلوگیری یا کشف اشتباهات وموارد خلاف قاعده .
3 – ارزیابی روشهای کنترل . بررسی مدارک ومستندات سیستم ومصاحبه با کارکنان صلاحیتدار به منظور تعیین روشهای ضروری برای اجرا ، بررسی سیستم نامیده می شود .
4 – ارزیابی نقاط ضعف ( اشتباهات وموارد خلاف قاعده ای که روشهای کنترلی قادر به جلوگیری از رخ دادن آنها نبوده است ، به منظور تعیین تاثیر آنها بر ماهیت ، زمان یا دامنه
روشهای حسابرسی وپیسنهادهای لازم به صاحبکار.
اگر نقصی در کنترل داخلی مشاهده شود ، حسابرس باید بررسی کند که آیا کنترلهای جبرانی یا روشهایی برای رفع این نقص وجود دارد. رویکرد حسابرسی بر مبنای خطر یک شناخت کافی از اشتباهات وموارد خلاف قاعده وخطرات مربوط به آنها را برای حسابرس فرآهم می آورد . این شناخت مبنای مفیدی برای ارائه پیشنهادهای لازم به مدیریت به منظور بهبود سیستم اطلاعاتی حسابداری است .

حسابرسی سیستم های اطلاعاتی :
هدف بررسی وارزیابی کنترلهای داخلی است که از سیستم اطلاعاتی مزبور محافظت می کنند . هنگامی اجرای این حسابرسی حسابرسان باید دقت داشته باشند تا اهداف زیر تحقق یابد :
1 – پیشگیریهای امنیتی به منظور حفاظت از تجهیزات رایانه ای ، برنامه ها ، ارتباطات واطلاعات در مقابل دسترسیهای غیر مجاز تغییر یا خرابی صورت می گیرد .
2 – تحصیل ؛ توسعه وارتقاء برنامه ها بر اساس مجوزهای عمومی وویژه مدیریت انجام می شود .
3 – اصلاح برنامه ها با مجوز تایید وتصویب مدیریت صورت می گیرد .
4 – پردازش معاملات ، فایل ها گزارشها وسایر مدارک رایانه ای صحیح وکامل است .
5 – اطلاعات وداده های اساسی دارای اشتباه بوده یا مجوز صحیح نیستند شناسائی وطبق رویه ها وسیاستهای مدیریت اصلاح می شوند .
6 – فایلهای اطلاعاتی رایانه ای صحیح، کامل و محرمانه هستند .
برای تحقق اهداف در هر بحث یک طرح حسابرسی و تکنیکها و روشهای ضروری برای آن طراحی شده است .
هدف اول:امنیت رایانه
چهار چوب حسابرسی امنیت رایانه شامل موارد زیر است :
1-                        انواع تقلبات و اشتباهاتی که شرکتها با آن مواجه هستند .مانند دسترسی غیر مجاز ، افشا یا دستکاری اطلاعات و برنامه ها و ...
2-                        روشهای کنترلی برای حداقل کردن اشتباهات و تقلبات شامل طرحهایی امنیتی /حفاظتی ، محدود کردن دسترسیهای فیزیکی
3-                        روشهای حسابرسی بررسی سیستمها مانند مصاحبه با کارکنان
4-                        روشهای حسابرسی آزمون کنترل ها مانند تلاش برای وارد شدن به سیستم
5-                        کنترلهای جبرانی شامل کنترلهای موثر کاربران ، سیاستهای شفاف پرسنلی و تفکیک وظایف نا سازگار
هدف دوم : تحصیل و توسعه برنامه ها
دو عامل می تواند منجر به ایجاد اشتباه در توسعه برنامه شود :
1-            خطاهای سهوی ناشی از بی دقتی یا عدم درک صحیح ویژگیهای سیستم یا برنامه نویسی
2-            دستورهای غیر مجازی که به طور عمدی وارد برنامه های رایانه ای می شود .
این مشکلات را می توان از طریق طراحی مراحل تایید و تصویب استفاده کاربران از سیستم ، سیستم مستند سازی مناسب و آزمون آن کنترل کرد.
نقش حسابرسان در توسعه سیستم باید به بررسی مستقل فعالیتها وبرنامه های توسعه سیستم محدود شود . به منظور حفظ بی طرفی در ارزیابی مستقل یک سیستم حسابرسان نباید در توسعه سیستم نقشی داشته باشند.
حسابرسان باید طی بررسی سیستم ، از طریق مذاکره با مدیریت ، کاربران سیستم و کارکنان سیستم اطلاعاتی حسابداری شناخت کافی از از روشهای توسعه سیستم کسب کنند .
حسابرسان به منظور آزمون کنترلهای توسعه سیستم ها ف باید با مدیران، کاربران سیستم مذاکره کنند ،مصوبات و صورتجلسه های گروه توسعه سیستم را بررسی کنند .
حسابرسان باید به طور دقیق تمام مدارک مربوط به فرآیند آزمون سیستم را بررسی کنند و مطمئن شوند که کلیه تغییرات برنامه به درستی آزمون شده اند. باید مشخصات آزمون و نتایج آن را بررسی کنند اگر نتیجه غیرمنتظره ای بدست آمد ، باید پیگیری کند که چگونه مشگل مزبور حل شده است .
هدف سوم : اصلاح برنامه
اشتباهات و تقلبهایی که ممکن است طی تغییرات نامه رخ دهد ، ممکن است هنگام طراحی و توسعه برنامه نیز رخ دهد .
هنگامی که تغییر برنامه برای تصویب به مدیریت شرکت ارائه می شود باید فهرستی از کلیه موارد لازم برای این تغییر نیز ضمیمه گردد . حسابرسان طی بررسی سیستم باید مذاکره با مدیریت و کارکنان ، شناخت کافی از فرایند تغییرات سیستم کسب کنند.
بخش مهمی از آزمونهای کنترل طراحی شده توسط حسابرس برای اثبات این موضوع است که تغییرات برنامه شناسایی ، فهرست ، تصویب ، آزمایش و مستند شده است این مرحله مستلزم این است که حسابرس مشاهده می کند چگونه تغییرات مزبور توسط افراد مستقل از کاربران و برنامه نویسان اجرا و آزمایش می شوند .
حسابرسان برای آزمون تغییرات مجاز برنامه ، می توانند از یک برنامه مقایسه ای که کد مبدا استفاده کند.حسابرسان پس از آزمون جامع برنامه توسعه یافته جدید یک نسخه از کد مبدا را نگهداری می کنند.حسابرس ممکن است در هر زمان دیگری برنامه مقایسه ای برای مقایسه ی نسخه فعلی برنامه با کد مبدا اصلی استفاده کند.اگر تغییرات مجازی انجام نشده باشد ، دو نسخه مزبور باید یکسان باشند.بنابراین باید هرگونه تفاوت غیرمجاز رسیدگی و پیگیری شود.

دو تکنیک دیگر تغییرات غیر مجاز در برنامه را کشف می کند:
تکنیک پردازش دوباره : نسخه رسیدگی شده کد مبدا را استفاده می کند.
شبیه سازی موازی : مانند روش قبلی است اما تفاوتش در این است که حسابرس بجای استفاده از نسخه کد مبدا ، یک برنامه طراحی کند .
بر مبنای روش غیر منتظره حسابرس برنامه را برای پردازش دوباره اطلاعات و مقایسه نتایج با اطلاعات شرکت مورد استفاده قرار می دهد.
حسابرسان باید آزمایش و اجرای سیستم را مشاهده ، مجوز ها و مدارک وربوط را بررسی و اگر لازم باشد ، به صورت مستقل آزمون هر یک از تغییرات انجام شده را نیز انجام دهند. در صورتی که ایم کار انجام شد و کنترلهای تغییرات برنامه ضعیف ارزیابی شود ، ممکن است نتوان به نتایج پردازش این برنامه اتکا کرد. حسابرسان باید بر مبنای روش غیر منتظره پس از اتمام آزمایش برنامه ، به منظور کشف تغییرات غیر مجاز ، برنا مه را آزمون کنند .
اگر کنترلهای مربوط به اصلاحات برنامه ضعیف باشد ، کنترلهای جبرانی شامل کد مبدا مقایسه ای ، تکنیک پردازش دوباره یا شبیه سازی موازی توسط حسابرس اجرا می شود .
هدف چهارم:پردازش رایانه
تاکید بر روش پردازش داده ها ، معاملات فایلها و مدارک رایانه ای به منظور به هنگام کردن فایلها و بانک اطلاعاتی و تهیه گزارشهای مورد نیاز است.
طی پردازش رایانه ، سیستم ممکن است نتواند داده های ورودی اشتباه ، پردازش داده های اشتباه ، تصحیح نامناسب داده های ورودی اشتباه یا افشای نامناسب ستاده ها راکشف کند.
هدف از اجرای روشهای حسابرسی ، کسب شناخت کافی درباره کنترلها ، ارزیابی کفایت آنها و مشاهده عملیات به منظور به دست آوردن شواهدی مبنی بر اینکه کنترلها به همان شکلی که طراحی شده اند ، اجرا می شوند .
وجود تکنیکهای تخصصی مختلف به حسابرسان این امکان را میدهد تا از رایانه برای آزمون کنترلهای پردازش استفاده کنند این تکنیکها شامل آزمون پردازش داده ها ، استفاده از تکنیکهای همزمان حسابرسی و تجزیه و تحلیل منطقی برنامه است.
آزمون پردازش داده ها
برای طراحی آزمون پردازش داده ها منابع مختلفی وجود دارد برای مثال :
1 - فهرستی از معاملات واقعی
2 - معاملات آزمایشی که برنامه نویس برای آزمون برنامه بکار می برد
3-            برنامه آزمون ایجاد اطلاعات که بطور خودکار بر مبنای برنامه معینی آزمون داده ها را فراهم می کند.
اگرچه پردازش آزمایشی موثر است اما دارای معایب زیر می باشد:
-         حسابرس باید زمان قابل توجهی را صرف شناخت سیستم و تهیه مجموعه مناسبی از معاملات آزمایشی کند.
-         باید خیلی مواظب باشد تا اطلاعات آزمایشی تاثیری بر فایل ها و بانک های اطلاعاتی شرکت نگذارد.

تکنیک های همزمان حسابرسی :
در تکنیک های همزمان حسابرسی از ماجولهای حسابرسی تعبیر شده که بخشی از برناه های اصلی است ، برای انجام وظایف حسابرس استفاده می شود.همچنین ، این تکنیکها ، نتایج آزمون را برای حسابرس گزارش و شواهد گردآوری شده را در بررسی های حسابرس ذخیره می کنند .
کاربرد تکنیکهای همزمان حسابرسی بسیار مشکل و زمانبر است.اما اگر برنامه های رایانه ای شرکت به صورت یکپارچه طراحی شده باشد این مشکلات کمتر خواهد بود.
معمولا حسابرسان از پنج تکنیک همزمان حسابرسی استفاده می کنند.تکنیک آزمون همگام یک مجموعه کوچکی از ثبتهای حسابداری ساختگی را در فایلهای اصلی و مستقیم قرار می دهد .
در سیستم پردازش دسته ای ، تکنیک آزمون همگام ضرورت معکوس کردن (حذف) معاملات آزمایشی را از بین برده و به آسانی آنها را از دسترس و دید کارکنان مخفی نگه می دارد.تکنیکهای آزمون همگام برای آزمون سیستمهای پردازش مستقیم اطلاعات مناسب است ، زیرا ، معاملات آزمایشی می تواند به طور مداوم وارد سیستم شود ف با معاملات واقعی پردازش و در هر مرحله از پردازش ردیابی شوند.به هرحال باید مواظب بود تا ثبتهای ساختگی و واقعی در فرآیند گزارشگری با هم ادغام نشوند.
تکنیک نسخه برداری فوری :
این تکنیک روش پردازش معاملات را در سیستم اطلاعاتی آزمون می کند.معاملات انتخاب شده به وسیله کد مخصوصی علامتگذاری شده و فرآیند نسخه برداری فوری انجام می شود.
فایل بررسی سیستم کنترل حسابرسی ماجولهای حسابرسی تعبیه شده را برای نمایش و بازبینی مداوم و مستمر معاملات بکار برده واطلاعات رویدادها را بوسیله حسابرسی ویژه ای گردآوری میکند .
قلابهای حسابرسی :
عملیات عادی حسابرسی است که برای کشف معاملات شبهه انگیز انجام می شود.مثال کتاب
این روش به تکنیک آگاهی به موقع معروف است، زیرا ، به محض وقوع یک معامله سوال برانگیز ، پیام اخطار را در پایانه حسابرس نشان می دهد .
شبیه سازی متناوب و پیوسته:
شبیه سازی متناوب و پیوسته یک ماجول حسابرسی را در سیستم مدیریت بانک اطلاعاتی قرار می دهد.ماجول حسابرسی شبیه سازی متناوب و پیوسته با استفاده از معیارهای مشابه به فایل بررسی سیستم کنترل حسابرسی ، کلیه رویدادهای به هنگام شده در سیستم مدیریت بانک اطلاعاتی را رسیدگی و آزمون می کند.اگر رویدادی دارای اهمیت حسابرسی ویزه ای است ، ماجول حسابرسی به طور مستقل اطلاعات را پردازش و نتایج را با ستاده سیستم مدیریت بانک اطلاعاتی مقایسه می کند.
در صورت مغایرت ، جزئیات برای رسیدگی بیشتر در یک گزارش حسابرسی ارائه می شود .اگر مغایرتهای زیادی وجود داشته باشد ، امکان دارد شبیه سازی متناوب و پیوسته از اجرای فرآیند به هنگام سازی مدیریت بانک اطلاعاتی جلوگیری کند.

تجزیه و تحلیل منطق برنامه ها:
اگر حسابرس در مورد وجود کدهای غیرمجاز واشتباهات مهم در یک برنامه کاربردی تردیدی داشته باشد ، ممکن است تجزیه وتحلیل منطق برنامه ضروری باشد.به این دلیل که این روش زمانبر است و به مهارت زبان برنامه نویسی نیاز دارد ، باید به عنوان آخرین راه حل بکار گرفته شود.
حسابرسان به منظور تجزیه و تحلیل منطق برنامه ها به نمودار گردش برنامه ، سیستم مستندسازی و فهرست کد مبدا برنامه مراجعه می کنند
برنامه های نرم افزاری زیر برای تجزیه و تحلیل منطق برنامه به کار گرفته شوند.
-         برنامه های نمودارسازی خودکار کد مبدا ،برنامه را تفسیر کرده و یک نمودار برنامه مشابه ایجاد میکند.
-         برنامه های جدول تصمیم گیری خودکار
-         پویشهای روزمره
-         برنامه های نقشه کشی کد برنامه های غیر اجرایی را شناسایی می کند.
-         برنامه ردیابی به طور متوالی کلیه مراحل برنامه کاربردی اجرا شده را چاپ می کند.

هدف پنجم : داده های اصلی
در یک سیستم مستقیم ،وظایف ثبت داده های اصلی و پردازش آنها یک فعالیت محسوب می شود.بنابراین ، کنترلهای داده های اصلی از قبیل مجوز صحیح و ویرایش داده های ورودی با کنترلهای پردازش یکپارچه می شود.
حسابرسان به منظورمستند کردن بررسی کنترلهای داده های اصلی ، از یک ماتریس کنترل ورودی استفاده می کنند. این ماتریس روشهای کنترلی مورد استفاده برای هرفیلد ثبت ورودی را نشان می دهد.
حسابرسان باید مطمئن شوند که وظایف کنترل داده ها ، مستقل از وظایف دیگر مانند نگهداری کدهای کنترل و کشف اشتباهات باشد.حسابرسان باید بر اساس یک قاعده ای ، رعایت این کنترلها را آزمون کنند.آزمونهای حسابرسی با ارزیابی نمونه هایی از داده های اصلی به منظور ردیابی مجوز صحیح معاملات انجام می شود.
اگر کنترلهای داده های اصلی کافی نباشند ، کنترلهای کاربران بخشها و کنترلهای پردازش رایانه ای ممکن است این نقص را جبران کنند .اگر این موضوع امکان پذیر نباشد ، حسابرسان باید کنترلهای قوی را به منظور رفع این نقص پیشنهاد کنند.
هدف ششم : فایل های داده ای و اطلاعات
این هدف به دقت ، صحت و امنیت داده های ذخیره شده در فایل های خوانا برای دستگاه رایانه مربوط است. ذخیره سازی داده ها و اطلاعات دارای مخاطراتی از قبیل اصلاح غیرمجاز ، از بین رفتن یا افشای داده ها و اطلاعات است .

رویکرد حسابرسی بر مبنای هدف
یک روش جامع ،سیستماتیک و موثر ارزیابی کنترلهای داخلی در سیستم اطلاعاتی حسابداری است.این رویکرد را می توان به وسیله چک لیست روشهای حسابرسی ، برای هر هدف انجام داد.
حسابرسان باید تا زمانی که امکان پذیرش پیشنهادهای مربوط به کنترل هل و اهداف حسابرسی وجود دارد، طراحی سیستم را بررسی کنند.
بسیاری از تکنیک های کنترل به جای نصب در زمان توسعه سیستم در حین طراحی در سیستم قرار داده می شوند.
نرم افزار رایانه :
نرم افزار حسابرسی رایانه ، یک برنامه رایانه ای است که بر اساس خصوصیات و ویژگیهای کار حسابرس ، برنامه هایی را برای اجرای برنامه های حسابرسی طراحی می کند.
در مرحله اول حسابرسان بر مبنای اهداف حسابرسی ، درباره شناسایی فایلهای که باید حسابرسی شوند ، طراحی گزارشهای حسابرسی و چگونگی اجرای آنها تصمیم گیری کنند.
اطلاعات مزبور در برگه های معینی ثبت و به وسیله برنامه ورود داده وارد سیستم می شوند این برنامه مدارک معینی را به وجود می آورد و نرم افزار حسابرسی رایانه برای ایجاد یک یا چند برنامه حسابرسی از آنها استفاده می کند.
برنامه های حسابرسی فایلهای اصلی را پردازش کرده و عملیات حسابرسی مورد نیاز برای تهیه گزارش حسابرسی را اجرا می کند.غالبا ،نرم افزار حسابرسی رایانه ای اطلاعات کلیدی حسابرس را استخراج کرده و آنها را در فایل عملیات حسابرسی قرار می دهد .هنگامی که حسابرسان گزارشهای نرم افزار حسابرسی رایانه را دریافت می کنند ، بیشتر عملیات حسابرسی انجام نشده و باید انجام پذیرد.اقلامی در گزارش موارد استثنا باید پیگیری شود ف جمع فایل باید رسیدکی و با دیگر منابع اطلاعاتی مانند جمع های دفتر کل مقایسه شود و نمومه های مورد حسابرسی باید رسیدگی و ارزیابی گردند.
حسابرسی عملیاتی سیستم اطلاعاتی حسابرسی :
تکنیک‌ها و روشهای حسابرسی عملیاتی مشابه روشهای حسابرسی صورتهای مالی و حسابرسی سیستم‌های اطلاعاتی است. تفاوت اصلی در این است که دامنه حسابرسی سیستم‌های اطلاعاتی به کنترلهای داخلی و دامنه حسابرسی صورتهای مالی به ستاده‌های سیستم اطلاعاتی محدود می شود. در مقابل، دامنه حسابرسی عملیاتی بسیار وسیع‌تر بوده و کلیه جنبه‌های مدیریت سیستم اطلاعاتی را در بر می‌گیرد.
گردآوری شواهد و مدارک از طریق فعالیتهای زیر است:
بررسی سیاستهای عملیاتی و مستندسازی
تایید روشها توسط مدیریت و پرسنل عملیاتی سیستم
مشاهده اجرای وظایف عملیاتی و فعالیتها
بررسی گزارشها و طرحهای عملیاتی و مالی
آزمون صحت اطلاعات عملیاتی
آزمون کنترلهای عملیاتی
نکته قابل توجه این‌ است که نتایج سیاستها و روشهای مدیریت خیلی مهم تر از خود این سیاستها و روشها است
یک حسابرسی عملیاتی مناسب و مفید مستلزم داشتن تجربه مدیریتی است.

انواع اشتباهات و تقلبات
عدم موفقیت در کشف داده‌های ورودی اشتباه، داده‌های ناقص یا غیرمجاز
عدم موفقیت در تصحیح اشتباهات توسط روشهای ویرایش اطلاعات
شناسایی اشتباهات فایل‌ها و بانکهای اطلاعاتی طی به هنگام کردن آنها
توزیع یا افشائ نامناسب ستاده ‌های رایانه
اشتباهات سهوی یا عمدی در گزارشها
روشهای کنترل
ویرایش روزانه اطلاعات رایانه
استفاده مناسب از نشانه‌های داخلی و خارجی
مغایرت گیری جمع‌های دسته ای
روشهای موثر اصلاح اشتباهات
مستند سازی قابل فهم عملیات رایانه
مدیریت موثر ورود و خروج داده ها توسط کارکنان کنترل اطلاعات
فهرست و خلاصه کردن تغییرات داده ها برای بررسی واحد کاربر
حفظ شرایط محیطی مناسب برای امکانات رایانه‌ای
روشهای حسابرسی : بررسی سیستم
بررسی مدارک و مستندات اجرای استانداردهای کنترل پردازش
بررسی مدارک و مستندات سیستم برای ویرایش اطلاعات و سایر کنترل‌های پردازش
بررسی کامل و شفاف بودن مدارک و مستندات عملیات
بررسی نسخه‌های اشتباهات فهرست شده، گزارشهای جمع دسته‌ای و فهرست تغییرات فایل‌ها
مشاهده عملیات رایانه و عملکرد کنترل اطلاعات
مذاکره با سرپرستان واحدهای عملیاتی و واحد سیستم اطلاعاتی
روشهای حسابرسی : آزمون کنترل‌ها
ارزیابی مناسب بودن روشها و استانداردهای کنترل پردازش
ارزیابی مناسب و کامل بودن کنترل های ویرایش اطلاعات
اثبات رعایت روشهای کنترل پردازش به وسیله مشاهده عملیات رایانه و عملکرد کنترل اطلاعات
اثبات توزیع مناسب ستاده‌های کاربردی سیستم
مغایرت‌گیری یک نمونه از جمع‌های دسته‌ای و پیگیری این مغایرت
ردیابی یک نمونه از اشتباهات کشف شده توسط روشهای فعلی ویرایش اطلاعات به منظور اطمینان از استقرار روشهای صحیح مدیریت اطلاعات
اثبات صحت پردازش نمونه‌ای از معاملات مهم
اثبات صحت پردازش معاملات انجام شده توسط رایانه
جستجوی کدهای اشتباه یا غیر مجاز از طریق تجزیه و تحلیل منطق برنامه رایانه‌ای
کنترل صحت و کامل بودن کنترل های پردازش
کنترل اطلاعات به وسیله آزمون داده‌ها
نمایش سیستم های پردازش مستقیم به کمک تکنیک‌های همزمان حسابرسی
ایجاد دوباره گزارشها به منظور آزمون صحت و کامل بودن آنها
کنترل‌های جبرانی
کنترل‌های قوی کاربران
کنترل‌های موثر داده های اصلی

انواع اشتباهات و تقلبهای
داده‌های اصلی اشتباه
داده‌های اصلی غیرمجاز
روشهای کنترلی
کنترل موثر داده‌های ورودی اصلی توسط کارکنان کنترل داده‌ها
مجوز کارکنان برای وارد کردن داده‌های اصلی
تهیه و مغایرت گیری جمع های کنترل دسته‌ای
ثبت رسید، جابجایی و انتقال داده‌های اصلی
بازبینی رقم کنترل
استفاده از اسناد چرخشی
کنترل ویرایش داده‌های رایانه‌ای
فهرست کردن تغییرات فایل و خلاصه کردن آن برای کاربران بخش بررسی
روشهای موثر اصلاح داده‌های اشتباه و ورود دوباره آنها به سیستم
روشهای حسابرسی : بررسی سیستم
بررسی مستندات مسئولیت فعالیتهای کنترل داده‌ها
بررسی مستندات اجرای استانداردهای کنترل داده‌های اصلی
بررسی روشهای صدور مجوز وآزمون امضاهای مجاز
بررسی مستندات سیستم های حسابداری برای شناسایی داده‌های اصلی و کنترل های مربوط
مستند کردن کنترل های داده‌های اصلی حسابداری به کمک ماتریس کنترل ورودی
مذاکره با کارکنان کنترل اطلاعات، مدیریت سیستم اطلاعاتی و کاربران سیستم
روشهای کنترل : آزمون کنترل ها
مشاهده و ارزیابی کنترل داده‌های عملیات و روشهای کنترل داده‌های خاص
اثبات حفاظت مناسب و استفاده صحیح از ثبت داده‌های اصلی
ارزیابی چگونگی برخورد با اقلام ثبت نشده در دفتر ثبت اشتباهات
آزمون نمونه‌های داده‌های اصلی حسابداری به منظور اثبات مجوز صحیح معاملات
مغایرت گیری یک نمونه جمع‌های دسته‌ای و پیگیری مغایرتها
ردیابی برطرف کردن خطاهای کشف شده توسط کنترل ویرایش داده‌ها
کنترل‌های جبرانی
کنترل‌های قوی کاربران
کنترل‌های قوی پردازش

انواع اشتباه و تقلب
ازبین رفتن داده‌های ذخیره شده به دلیل اشتباهات، عملکرد ناقص نرم افزار و فعالیت‌های خرابکاری بین المللی
اصلاح یا افشائ غیرمجاز اطلاعات ذخیره شده
روشهای کنترل
ایمن‌سازی کتابخانه فایلهای داده‌ای و محدود کردن دستیابی فیزیکی به سیستم
کنترلهای دستیابی سیستمی با استفاده از کلمه عبور و ماتریس کنترل دستیابی
استفاده درست از نشانه‌های فایلها و مکانیزم‌های محافظت در مقابل نوشتن
کنترلهای بهنگام سازی همزمان
استفاده از کدگذاری برای داده‌های بسیار محرمانه
استفاده از نرم افزارهای محافظت در برابر ویروس
نگهداری فایلهای پشتیبان در خارج از سایت رایانه‌ای
استفاده از روش نقطه کنترل و برگشتن به حالت قبل برای بازیابی سیستم
روشهای حسابرسی : بررسی سیستم
بررسی مستندسازی فایل کتابخانه عملیات سیستم
بررسی روشها و سیاستهای دستیابی سیستمی
بررسی عملیات مستندسازی به منظور تعیین استانداردهای:
استفاده از برچسب فایلها و مکانیزم‌های محافظ در مقابل نوشتن
استفاده از نرم افزارهای محافظت در مقابل ویروس
استفاده از ذخیره سازی داده‌های پشتیبان
بازیابی سیستم شامل روشهای نقطه کنترل وبرگشت به حالت قبل
بررسی مستندسازی سیستم به منظور آزمون روشهای
پیشنهادی برای :
استفاده از کنترلهای به هنگام سازی همزمان و کدبندی داده ها و اطلاعات کنترل تغییرات فایلها
مغایرت‌گیری جمع‌های فایل اصلی با جمع‌های کنترلی مستقل
آزمون طرح بازیابی خرابی‌های سیستم
مذاکره با مدیران و اپراتورهای سیستم اطلاعاتی در مورد روشهای کنترل فایل داده و اطلاعات
روشهای حسابرسی : آزمون کنترلها
مشاهده و ارزیابی کارکرد کتابخانه فایلها
بررسی مدارک تعیین کلمه عبور و تغییر آن
مشاهده تهیه و نگهداری فایلهای پشتیبان سیستم
مشاهده و ارزیابی روشهای اداره فایلها توسط پرسنل عملیات پردازش داده‌ها
اثبات استفاده موثر از روشهای محافظت در برابر ویروس
اثبات استفاده مطلوب از کنترلهای به هنگام سازی همزمان و کدگذاری داده‌ها
اثبات کامل بودن و آزمون طرح بازیابی خرابیهای سیستم
مغایرت‌گیری جمع‌های فایل اصلی با جمع‌های کنترلی مستقل
مشاهده روشهای مورد استفاده برای کنترل تغییر فایلها
کنترلهای جبرانی
کنترلهای قوی برای کاربران
کنترلهای موثر امنیتی در مورد رایانه‌ها
کنترلهای قوی پردازش

وظیفه
شرح
مثال

ساختارسازی دوباره
خواندن دادها در فرمتهای مختلف و ساختارهای داده‌ای وتبدیل آنها به ساختار و فرمت مشترک
خواندن اطلاعات موجودی‌ها از بانک اطلاعاتی خرید و تبدیل آن به یک فایل موجودی مفید توسط نرم افزار عمومی حسابرسی رایانه

دستکاری فایل
مرتب‌سازی ثبتها و مدارک حسابداری به ترتیب سفارش و ادغام فایلها
مرتب سازی مدارک موجودی‌ها براساس مکان، ادغام فایل معاملات مشتریان با فایل اصلی حسابهای دریافتنی

محاسبات
انجام چهارعمل ریاضی
جمع عمودی فایل حسابهای دریافتنی، محاسبه دویاره ارزش موجودی‌ها محاسبه مجدد استهلاک و جمع حقوق کارکنان هر بخش

انتخاب اطلاعات
بررسی فایل اطلاعاتی به منظور بازیابی و انتخاب اطلاعات برای یک هدف معینی در حسابرسی
شناسایی حساب مشتریان با مانده بیش از اعتبار مصوب .انتخاب کلیه معاملات خرید بیش از سقف تعیین شده

تحلیل اطلاعات
آزمون ثبتها و مدارک حسابداری برای شناسایی اشتباهات، مقایسه فیلدهای معینی برای تعیین یکنواختی
ویرایش فایل اطلاعات مشتریان، مقایسه فایل حقوق و فایل کارکنان به منظور اثبات یکنواختی

پردازش فایلها
فراهم کردن قابلیت پذیرش برنامه نویسی برای ایجاد فایل، به هنگام نمودن و بارگذاری در رایانه‌های شخصی
استفاده از شبیه‌سازی موازی به منظور اثبات صحت محاسبات حقوق پرداختنی ناخالص، دریافت مدارک موجودی‌ها و اجرای آنها در رایانه‌های شخصی به منظور تجزیه و تحلیل بیشتر و اثبات شمارش موجودی‌های صاحب کار

آمارها
طبقه‌بندی مدارک فایلها بر مبنای ارزش اقلام، انتخاب نمونه‌های آماری، تجزیه و تحلیل نتایج نمونه‌های آماری
طبقه بندی حساب مشتریات براساس مبلغ مانده حشاب و انتخاب یک نمونه طبقه‌ای از حسابها برای حسابرس

تهیه گزارشها
شکل‌دهی و چاپ گزارشها و مدارک و مستندات
تحلیل نسبتها و روندهای صورتهای مالی، تهیه جدولها و نمودارهای حسابهای دریافتنی و تاییدیه‌های حسابرسی.

منابع
1-سیستم های اطلاعاتی حسابداری تالیف:مارشال بی رامنی ترجمه دکتر سید حسین سجادی

حسابرسی سیستم های اطلاعاتی رایانه ای

مطالب مشابه :

حسابرسی سیستم های اطلاعاتی رایانه ای

امنیت در سیستم‌های اطلاعاتی حسابداری

امنیت در سیستم‌های اطلاعاتی حسابداری

سیستم های اطلاعاتی حسابداری

حسابرسی

کاربرد رایانه در حسابداری...

سیستمهای اطلاعاتی حسابداری

کاربرد رایانه در حسابداری

راهنمایی برای ارایه پروژه درس سیستم رایانه ای حسابداری

امنیت در سیستم‌های اطلاعاتی حسابداری