حسابرسی

بسم الله الرحمن الرحیم

موضوع پروژه :

حسابرسی سیستم های اطلاعاتی رایانه ای

مقدمه :

حسابرسان داخلی به طور مستقیم مسئولیت کمک به مدیریت شرکت به منظور بهبود کارایی واثر بخشی سازمانی را به عهده دارند . این مسئولیت شامل کمک به طراحی واجرای سیستمهای اطلاعاتی است ، که نقش مهمی در تحقق اهداف سازمانی دارد.

در حالی که حسابرسان مستقل به طور مستقیم مسئول پاسخگویی به سهامداران سرمایه داران بودن وتنها به طور غیر مستقیم با اثر بخشی سیستم اطلاعاتی شرکت ارتباط دارند.

ماهیت حسابرسی :

حسابرسی فرآیند منظم وبا قاعده ( سیستماتیک ) در دستیابی هدفمند وارزیابی شواهد ومدارک مربوط به فعالیت های اقتصادی به منظور وحصول اطمینان از میزان مطابقت ادعاها با معیارهای تعیین شده وارائه نتایج آن به استفاده کنندگان است.(AAA)

اگرچه اصول حسابرسی در سالهای اخیر تغییرات جزئی داشته است اما تکنیک ها وروشهای حسابرسی تغییرات اساسی کرده است .

حسابرسان استفاده از رایانه وبرنامه های رایانه ای را نادیده گرفته وصرفا اطلاعات وگزارش های ستاده سیستمهای رایانه ای را رسیدگی می کردند . علت این بود که اگر داده های درست باشد سیستم پردازش قابل اتکا می باشد .

استانداردهای حسابرسی داخلی :

از نظر انجمن حسابرسان داخلی ، هدف حسابرسی داخلی ارزیابی کفایت واثر بخشی سیستم کنترل داخلی یک شرکت وتعیین میزان مسئولیتهای انجام شده است .

استانداردهای 5 گانه انجمن حسابرسان داخلی دامنه رسیدگی ومسئولیت حسابرسان داخلی را به شرح زیر بیان می کند :

1 – رسیدگی به صحت وقابلیت اتکا واعتماد اطلاعات مالی وعملیاتی واین که چگونه این اطلاعات گرد آوری ، اندازه گیری ، طبقه بندی وگزارش می شوند .

2 – تعیین اینکه آیا سیستم طراحی شده به طور واقعی طبق سیاستهای عملیاتی وگزارشگری ، برنامه ها روش ها قوانین ومقررات عمل کرده وآنها را به دنبال می کند .

3 – بررسی چگونگی حفاظت مناسب از دارائی ها واثبات وجود آنها .

4 – رسیدگی به منابع شرکت به منظور تعیین کارایی واثر بخشی استفاده از منابع .

5 – بررسی برنامه ها وعملیات شرکت به منظور اینکه آیا این برنامه ها همان طور که برنامه ریزی شده اند اجرا می شوند ، آیا با اجرای این برنامه ها ، شرکت به اهداف خود رسیده است .

برای تحقق این اهداف یک حسابرسی داخلی باید :

1 – تمام عناصر سیستم اطلاعاتی حسابداری رایانه ای را بررسی کند .

2 - از رایانه به عناون ابزاری برای اهداف حسابرسی خود استفاده کند .

انواع رسیدگیهای حسابرسی داخلی :

1 – حسابرسی مالی :

صحت وقابلیت اعتماد واتکای مدارک حسابداری را بررسی می کند . با اولین استاندارد 5 گانه هماهنگی دارد .

2 – حسابرسی سیستم های اطلاعاتی :

کنترل های عمومی وکاربردی یک سیستم را به منظور اطمینان از رعایت سیاست ها ورویه های سیستم کنترل داخلی ومؤثر بودن در محافظت از دارائی ها را بررسی می کند .استانداردهای دوم وسوم را تقریبا پوشش می دهد .

3 – حسابرسی عملیاتی یا حسابرسی مدیریت :

در بررسی استفاده کار آمد واقتصادی از منابع وتحقق اهداف تعیین شده می پردازد. این حسابرسی در چهار چوب استاندارد های چهارم وپنجم می باشد .

بررسی فرآیند حسابرسی :

شامل 4 مرحله برنامه ریزی ، گردآوری شواهد ، ارزیابی شواهد وگزارش نتایج حسابرسی تقسیم می شود .

برنامه ریزی حسابرسی :

اولین گام در این مرحله تعیین دامنه واهداف حسابرسی است . دامنه حسابرسی در این شرکت سهامی عام محدود به سهامداران شرکت بوده وهدف آن ارزیابی منصفانه بودن اطلاعاتی مالی ارائه شده می باشد در حالی که حسابرسی داخلی یک بخشی یا یک واحد کاربردی معینی را رسیدگی می کند وتوجه خود را به کنترل های داخلی اطلاعاتی مالی ، فعالیت های عملیاتی ویا ترکیبی از هر سه متمرکز کند .

اعضای تیم حسابرسی با مشورت کردن با سربرستان ، پرسنل حسابرسی وبررسی سیستم مستند سازی ویافته ای حسابرسی ای قبل با حسابرسی آشنا می شوند .

برنامه ریزی حسابرسی باید شامل محدوده ای باشد که بیشترین خطر های حسابرسی را دارا می باشند.

انواع خطر های حسابرسی :

1 – خطر ذاتی : قابلیت پذیرش خطر با اهمیت با فرض عدم وجود کنترل داخلی است سیستم پردازش ورایانه ای ویا سیستم در پیشرفته فناوری نسبت به دستی خطر ذاتی بیشتذی دارد.

2 – خطر کنترل : خطری است که اشتباه با اهمیتی به وجود ساختار کنترل داخلی رخ می دهد واثر این اشتباه در صورتهای مالی منعکس می شود .

3 – خطر عدم کشف : خطری است که روشهای رسیدگی حسابرسان یک اشتباه با اهمیتی یا ارائه نادرست اطلاعات را کشف نکند.

در پایان مرحله برنامه ریزی ، یک برنامه اولیه حسابرسی تهیه می شود . این برنامه ، ماهیت ، دامنه وزمان بندی روشهای مورد نیاز برای تحقق اهداف حسابرسی وحد اقل کردن خطر های حسابرسی را نشانی می دهد یک بودجه زمانی نیز تهیه وتیم حسابرسی برای اجرای مراحل حسابرسی انتخاب می شوند.

گرد آوری شواهد حسابرسی :

بیشترین زمان وفعالیت حسابرسی صرف گرد آوری شواهد حسابرسی می شود .

روشهای زیر شیوه های متداول گرد آوری شواهد ومدارک حسابرسی می باشند:

ـ مشاهده فعالیت های موضوع رسیدگی . برای مثال مشاهده چگونگی ورود کارکنان به سایت رایانه یا مشاهده چگونگی مدیریت عملیات پردازش داده ها پرسنل کنترل اطلاعات .

ـ بررسی مستندات به منظور شناخت چگونگی انجام وظایف در یک سیستم اطلاعاتی حسابداری یا سیستم کنترل داخلی .

ـ مذاکره با کارکنان درباره شغلشان واینکه چگونه آنان فعالیت یعنی را انجام می دهند .

ـ برسشنامه هایی که اطلاعات لازم را در مورد سیستم گرد آوری می کند .

ـ مشاهده عینی تعداد یا وضعیت دارائیهای مشهود مانند دارائی ثابت ، موجودی کالا ویا وجود نقد .

ـ دریافت تاییدیه از طریق مکاتبه مستقیم با اشخاص ثالث در مورد صحت اطلاعات معینی درباره مانده حساب مشتریان در دفاتر شرکت .

ـ انجام دوباره محاسبات به منظور اثبات اطلاعات مقداری گزارشها واسناد حسابداری .

ـ سندرسی مدارک ومستندات پشتوانه یک رویداد به منظور حصول اطمینان از اعتبار آن رویداد ، برای مثال مدارک پشتوانه یک رویداد حسابهای پرداختنی شامل مدارک سفارش خرید ، گزارش رسید کالا وصورتحساب فروش است .

ـ بررسی تحلیلی روندها وروابط میان اطلاعات به منظور انتخاب اقلامی که مستلزم رسیدگی بیشتر هستند .

به دلیل اینکه نمی توان به راحتی روشها وآزمونی در حسابرسی را برای کلیه فعالیت ها ومدارک ودارائیها به کاربرد غالبا از روش نمونه گیری استفاده می کنند .

در یک حسابرسی معمولا ترکیبی از همه روشهای حسابرسی اجرا می شوند ، برای مثال در یک حسابرسی طراحی شده برای ارزیابی کفایت کنترلهای داخلی سیستم اطلاعاتی حسابداری از روشهای مشاهده عینی ، بررسی مدارک ومستندات ، گفتگو ومذاکره با کارکنان وانجام دوباره محاسبات وروشهای کنترلی استفاده می شود . حسابرسی اطلاعاتی مالی عمدتا مبتنی بر مشاهده عینی ، تاییدیه ، سندرسی ، بررسی تحلیلی وانجام دوباره محاسبات است .

ارزیابی شواهد ومدارک حسابرسی :

شواهد گرد آوری شده مورد ارزیابی قرار می گیرند که آیا منجر به قضاوت کلی هستند اگر نبودند آزمون های اضافی طراحی واجرا می کند .

در مورد جمع آوری اطلاعات توجه به حجم اطلاعات در مود اهمیت واطمینان منطقی ضروری است . مهم یعنی تا آنجایی که بر تصمیمات استفاده کنندگان اثر داشته باشند . این موضوع بستگی به قضاوت حرفه ای حسابرس بستگی دارد . این قاعده برای حسابرسان مستقل اهمیت بیشتری دارد زیرا هدف کلی آنها اطمینان از منصفانه بودن اطلاعات ارائه شده در صورتهای مالی است . در حالی که هدف حسابرسی داخلی اطمینان از رعایت قوانین ومقررات تعیین شده توسط مدیریت است .

هدف حسابرسان دستیابی به یک اطمینان منطقی از عدم وجود اشتباه یا خطای با اهمیت در اطلاعات یا فرآیند حسابرسی است . به دلیل اینکه دستیابی به یک اطمینان کامل فوق العاده هزینه بر است .

مستند سازی بخصوص در مرحله ارزیابی هنگامی که نتایج نهایی جمع بندی وتایید می شود ، از اهمیت زیادی برخوردار است.

گزارش نتایج حسابرسی :

حسابرس یک گزارش کتبی ( وگاهی شفاهی ) حاوی خلاصه ای از نتایج ویافته های حسابرسی به همراه پیشنهادهایی مستند به شواهد ومدارک مندرج در کاربرگهای حسابرسی تهیه می کند . این گزارش به مدیریت ، کمیته حسابرسی ، اعضای هیئت مدیره ودیگر گروههای ذینفع ارائه می شود .

پس از ارائه گزارش حسابرسی معمولا حسابرسان پی گیری لازم را به منظور حصول اطمینان از اجرا یا عدم اجرای پیشنهادهای حسابرسی انجام می دهند .

رویکرد حسابرسی بر مبنای خطر :

رویکرد چهار مرحله ای ارزیابی کنترل های داخلی بیانگر حسابرسی بر مبنای خطر است . شامل موارد زیر است :

1 – تعیین تهدیدهایی ( اشتباهات وموارد خلاف قاعده ) که سیستم اطلاعاتی حسابداری با آن مواجه است .

2 – شناسایی روشهای کنترل برای اجرا به منظور حد اقل کردن تهدیدهای سیستم به وسیله جلوگیری یا کشف اشتباهات وموارد خلاف قاعده .

3 – ارزیابی روشهای کنترل . بررسی مدارک ومستندات سیستم ومصاحبه با کارکنان صلاحیتدار به منظور تعیین روشهای ضروری برای اجرا ، بررسی سیستم نامیده می شود .

4 – ارزیابی نقاط ضعف ( اشتباهات وموارد خلاف قاعده ای که روشهای کنترلی قادر به جلوگیری از رخ دادن آنها نبوده است ، به منظور تعیین تاثیر آنها بر ماهیت ، زمان یا دامنه

روشهای حسابرسی وپیسنهادهای لازم به صاحبکار.

اگر نقصی در کنترل داخلی مشاهده شود ، حسابرس باید بررسی کند که آیا کنترلهای جبرانی یا روشهایی برای رفع این نقص وجود دارد. رویکرد حسابرسی بر مبنای خطر یک شناخت کافی از اشتباهات وموارد خلاف قاعده وخطرات مربوط به آنها را برای حسابرس فرآهم می آورد . این شناخت مبنای مفیدی برای ارائه پیشنهادهای لازم به مدیریت به منظور بهبود سیستم اطلاعاتی حسابداری است .

حسابرسی سیستم های اطلاعاتی :

هدف بررسی وارزیابی کنترلهای داخلی است که از سیستم اطلاعاتی مزبور محافظت می کنند . هنگامی اجرای این حسابرسی حسابرسان باید دقت داشته باشند تا اهداف زیر تحقق یابد :

1 – پیشگیریهای امنیتی به منظور حفاظت از تجهیزات رایانه ای ، برنامه ها ، ارتباطات واطلاعات در مقابل دسترسیهای غیر مجاز تغییر یا خرابی صورت می گیرد .

2 – تحصیل ؛ توسعه وارتقاء برنامه ها بر اساس مجوزهای عمومی وویژه مدیریت انجام می شود .

3 – اصلاح برنامه ها با مجوز تایید وتصویب مدیریت صورت می گیرد .

4 – پردازش معاملات ، فایل ها گزارشها وسایر مدارک رایانه ای صحیح وکامل است .

5 – اطلاعات وداده های اساسی دارای اشتباه بوده یا مجوز صحیح نیستند شناسائی وطبق رویه ها وسیاستهای مدیریت اصلاح می شوند .

6 – فایلهای اطلاعاتی رایانه ای صحیح، کامل و محرمانه هستند .

برای تحقق اهداف در هر بحث یک طرح حسابرسی و تکنیکها و روشهای ضروری برای آن طراحی شده است .

هدف اول:امنیت رایانه

چهار چوب حسابرسی امنیت رایانه شامل موارد زیر است :

1- انواع تقلبات و اشتباهاتی که شرکتها با آن مواجه هستند .مانند دسترسی غیر مجاز ، افشا یا دستکاری اطلاعات و برنامه ها و ...

2- روشهای کنترلی برای حداقل کردن اشتباهات و تقلبات شامل طرحهایی امنیتی /حفاظتی ، محدود کردن دسترسیهای فیزیکی

3- روشهای حسابرسی بررسی سیستمها مانند مصاحبه با کارکنان

4- روشهای حسابرسی آزمون کنترل ها مانند تلاش برای وارد شدن به سیستم

5- کنترلهای جبرانی شامل کنترلهای موثر کاربران ، سیاستهای شفاف پرسنلی و تفکیک وظایف نا سازگار

هدف دوم : تحصیل و توسعه برنامه ها

دو عامل می تواند منجر به ایجاد اشتباه در توسعه برنامه شود :

1- خطاهای سهوی ناشی از بی دقتی یا عدم درک صحیح ویژگیهای سیستم یا برنامه نویسی

2- دستورهای غیر مجازی که به طور عمدی وارد برنامه های رایانه ای می شود .

این مشکلات را می توان از طریق طراحی مراحل تایید و تصویب استفاده کاربران از سیستم ، سیستم مستند سازی مناسب و آزمون آن کنترل کرد.

نقش حسابرسان در توسعه سیستم باید به بررسی مستقل فعالیتها وبرنامه های توسعه سیستم محدود شود . به منظور حفظ بی طرفی در ارزیابی مستقل یک سیستم حسابرسان نباید در توسعه سیستم نقشی داشته باشند.

حسابرسان باید طی بررسی سیستم ، از طریق مذاکره با مدیریت ، کاربران سیستم و کارکنان سیستم اطلاعاتی حسابداری شناخت کافی از از روشهای توسعه سیستم کسب کنند .

حسابرسان به منظور آزمون کنترلهای توسعه سیستم ها ف باید با مدیران، کاربران سیستم مذاکره کنند ،مصوبات و صورتجلسه های گروه توسعه سیستم را بررسی کنند .

حسابرسان باید به طور دقیق تمام مدارک مربوط به فرآیند آزمون سیستم را بررسی کنند و مطمئن شوند که کلیه تغییرات برنامه به درستی آزمون شده اند. باید مشخصات آزمون و نتایج آن را بررسی کنند اگر نتیجه غیرمنتظره ای بدست آمد ، باید پیگیری کند که چگونه مشگل مزبور حل شده است .

هدف سوم : اصلاح برنامه

اشتباهات و تقلبهایی که ممکن است طی تغییرات نامه رخ دهد ، ممکن است هنگام طراحی و توسعه برنامه نیز رخ دهد .

هنگامی که تغییر برنامه برای تصویب به مدیریت شرکت ارائه می شود باید فهرستی از کلیه موارد لازم برای این تغییر نیز ضمیمه گردد . حسابرسان طی بررسی سیستم باید مذاکره با مدیریت و کارکنان ، شناخت کافی از فرایند تغییرات سیستم کسب کنند.

بخش مهمی از آزمونهای کنترل طراحی شده توسط حسابرس برای اثبات این موضوع است که تغییرات برنامه شناسایی ، فهرست ، تصویب ، آزمایش و مستند شده است این مرحله مستلزم این است که حسابرس مشاهده می کند چگونه تغییرات مزبور توسط افراد مستقل از کاربران و برنامه نویسان اجرا و آزمایش می شوند .

حسابرسان برای آزمون تغییرات مجاز برنامه ، می توانند از یک برنامه مقایسه ای که کد مبدا استفاده کند.حسابرسان پس از آزمون جامع برنامه توسعه یافته جدید یک نسخه از کد مبدا را نگهداری می کنند.حسابرس ممکن است در هر زمان دیگری برنامه مقایسه ای برای مقایسه ی نسخه فعلی برنامه با کد مبدا اصلی استفاده کند.اگر تغییرات مجازی انجام نشده باشد ، دو نسخه مزبور باید یکسان باشند.بنابراین باید هرگونه تفاوت غیرمجاز رسیدگی و پیگیری شود.

دو تکنیک دیگر تغییرات غیر مجاز در برنامه را کشف می کند:

تکنیک پردازش دوباره : نسخه رسیدگی شده کد مبدا را استفاده می کند.

شبیه سازی موازی : مانند روش قبلی است اما تفاوتش در این است که حسابرس بجای استفاده از نسخه کد مبدا ، یک برنامه طراحی کند .

بر مبنای روش غیر منتظره حسابرس برنامه را برای پردازش دوباره اطلاعات و مقایسه نتایج با اطلاعات شرکت مورد استفاده قرار می دهد.

حسابرسان باید آزمایش و اجرای سیستم را مشاهده ، مجوز ها و مدارک وربوط را بررسی و اگر لازم باشد ، به صورت مستقل آزمون هر یک از تغییرات انجام شده را نیز انجام دهند. در صورتی که ایم کار انجام شد و کنترلهای تغییرات برنامه ضعیف ارزیابی شود ، ممکن است نتوان به نتایج پردازش این برنامه اتکا کرد. حسابرسان باید بر مبنای روش غیر منتظره پس از اتمام آزمایش برنامه ، به منظور کشف تغییرات غیر مجاز ، برنا مه را آزمون کنند .

اگر کنترلهای مربوط به اصلاحات برنامه ضعیف باشد ، کنترلهای جبرانی شامل کد مبدا مقایسه ای ، تکنیک پردازش دوباره یا شبیه سازی موازی توسط حسابرس اجرا می شود .

هدف چهارم:پردازش رایانه

تاکید بر روش پردازش داده ها ، معاملات فایلها و مدارک رایانه ای به منظور به هنگام کردن فایلها و بانک اطلاعاتی و تهیه گزارشهای مورد نیاز است.

طی پردازش رایانه ، سیستم ممکن است نتواند داده های ورودی اشتباه ، پردازش داده های اشتباه ، تصحیح نامناسب داده های ورودی اشتباه یا افشای نامناسب ستاده ها راکشف کند.

هدف از اجرای روشهای حسابرسی ، کسب شناخت کافی درباره کنترلها ، ارزیابی کفایت آنها و مشاهده عملیات به منظور به دست آوردن شواهدی مبنی بر اینکه کنترلها به همان شکلی که طراحی شده اند ، اجرا می شوند .

وجود تکنیکهای تخصصی مختلف به حسابرسان این امکان را میدهد تا از رایانه برای آزمون کنترلهای پردازش استفاده کنند این تکنیکها شامل آزمون پردازش داده ها ، استفاده از تکنیکهای همزمان حسابرسی و تجزیه و تحلیل منطقی برنامه است.

آزمون پردازش داده ها

برای طراحی آزمون پردازش داده ها منابع مختلفی وجود دارد برای مثال :

1 - فهرستی از معاملات واقعی

2 - معاملات آزمایشی که برنامه نویس برای آزمون برنامه بکار می برد

3- برنامه آزمون ایجاد اطلاعات که بطور خودکار بر مبنای برنامه معینی آزمون داده ها را فراهم می کند.

اگرچه پردازش آزمایشی موثر است اما دارای معایب زیر می باشد:

- حسابرس باید زمان قابل توجهی را صرف شناخت سیستم و تهیه مجموعه مناسبی از معاملات آزمایشی کند.

- باید خیلی مواظب باشد تا اطلاعات آزمایشی تاثیری بر فایل ها و بانک های اطلاعاتی شرکت نگذارد.

حسابرسی

مطالب مشابه :

حسابرسی سیستم های اطلاعاتی رایانه ای

امنیت در سیستم‌های اطلاعاتی حسابداری

امنیت در سیستم‌های اطلاعاتی حسابداری

سیستم های اطلاعاتی حسابداری

حسابرسی

کاربرد رایانه در حسابداری...

سیستمهای اطلاعاتی حسابداری

کاربرد رایانه در حسابداری

راهنمایی برای ارایه پروژه درس سیستم رایانه ای حسابداری

امنیت در سیستم‌های اطلاعاتی حسابداری