1.رئیس حسابرسی داخلی باید به چه کسی گزارش کند؟
خط مشی گزارش حسابرسی داخلی امروزه یک مساله پویا است، به خصوص با توجه به رسواییهای اخیر شرکت و تداوم اصلاحیه های مالی، ظهور مقرراتی مانند قانون ساربنز- اکسلی و استانداردهای جدید مبادلات سهام. همه این موارد به میزان قابلتوجهی مسئولیتهای کمیته حسابرسی را افزایش دادهاند.
مشاوره عملی انجمن حسابرسان داخلی 2-111 رئیس اجرایی حسابرسی خط مشی گزارشگری را بیان می کند."کمیته اجرایی حسابرسی باید به یک سطح در سازمان گزارش دهد تا به به فعالیت حسابرسی داخلی اجازه دهد تا مسئولیت خود را برآورده کنند: " مشاوره عملی پیش می رود تا بیان کند: انجمن حسابرسان داخلی به شدت معتقد است که برای رسیدن به استقلال لازم، رئیس اجرایی حسابرسی باید عملکرد خود را به کمیته حسابرسی یا معادل آن گزارش دهد. برای اهداف اجرایی، در اغلب موارد، رئیس اجرایی حسابرسی باید مستقیماً به مدیر عامل سازمان گزارش دهند. "
بر خلاف موسسه حسابرسی خارجی شرکت که طبق مقررات باید توسط گزارش کمیته حسابرسی به کار گرفته شود، حسابرسی داخلی نقش گستردهتری را برای اجرا از طریق خدمت به عنوان یک منبع برای کمیته حسابرسی و مدیریت شرکت ایفا میکند. اگرچه این "گزارش دوگانه" یک چیدمان نسبتاً حساس است و میتواند در عمل دشوار باشد، با این حال، مزایای مهمی برای شرکت به طور کلی، از جمله اهداف کلی راهبری شرکت و نیز اهداف مدیریت برای گزارش مالی قابلاطمینان، انطباق با قوانین و مقررات قابلاجرا، و کارایی و اثربخشی عملیاتها (اهداف کنترل داخلی کوزو را فراهم میکند.
تا زمانی که مقررات یا استانداردها تغییر کنند، حسابرسی داخلی بخشی از سیستم کنترل داخلی یک شرکت محسوب میشود، با این حال باید یک فعالیت مستقل، تضمین عینی و مشاوره باشد که به رئیس اجرایی سازمان یک شرکت و کمیته حسابرسی شرکت پشتیبانی و گزارش کند.
2.آیا کارمندان شرکت میتوانند در حسابرسیهای داخلی مشارکت کنند؟
بله. بسیاری از شرکتها برنامههای آموزش مدیریت، کارمندان با تجربه خاص یا برنامههای حسابرسی داخلی را به عنوان بخشی از برنامهریزی منابع انتخاب میکنند. برخی سازمانها برای کمک به مدیریت محیط کنترل داخلی سازمان و دیگر حوزههای عملیاتی، و ارائه افراد با تجربه آموزش و پیشرفت شغلی، دو تا چهار سال برنامه چرخشی ایجاد کردهاند.
این نوع انعطافپذیری و آموزش اغلب درک سازمانی از مدیریت ریسک و سیستمهای کنترل داخلی را افزایش میدهد و به کاندیداهای برنامه انگیزه میدهد تا برای برتری تلاش کنند. بالعکس، مدیریت حسابرسی داخلی باید آگاه باشد، در هر مورد، از همان تعارض منافع که به طور طبیعی از چنین روابطی با در نظر گرفتن این کاندیداها برای موقعیتهای بالقوه در عملیاتها نشات میگیرند آگاه باشد. به عنوان مثال، ممکن است تعارض منافع برای افرادی وجود داشته باشد که عضو بخش حسابرسی داخلی از یک عملکرد سازمانی موجود هستند که مانع از حسابرسی همکاران سابق آنها میشود. موقعیتهای دیگر عبارت است از یک گرایش طبیعی از سوی یک حسابرس داخلی چرخشی جهت حفظ یک جهت گیری مطلوب در ارزیابی یک واحد کسبوکار یا عملکرد که در آن ممکن است به دنبال یک موقعیت تماموقت باشد.
3.مزایا و معایب درون سپاری و برون سپاری حسابرسی داخلی چیست؟
تا دهه ۱۹۸۰، اکثر عملکردهای حسابرسی داخلی شرکت در درجه اول با کارکنان تماموقت و اختصاصی کار میکردند. این ساختار به اندازه کافی موثر بوده و هنوز هم میتواند موثر باشد، اما تنها در صورتی که حسابرسان داخلی تماموقت دارای تمام مهارتهای لازم برای رسیدگی به خطرات تجاری کلیدی مواجه شده سازمان باشند. اگر این مورد نباشد، سپس عملکرد حسابرسی داخلی شرکت کارفرمای خود را در معرض خطر قرار میدهد و قادر به رسیدگی به خطرات کلیدی که از آن درخواست حسابرسی شدهاست، نمیباشد.
در طول دهه ۱۹۸۰، به عنوان مفهوم "شایستگی اصلی" توجه بیشتری به خود جلب کرد، شرکتها بسیاری از فعالیت های تجاری خود و پتانسیل برون سپاری آنها را ارزیابی کردند. حقوق دستمزد، منافع، املاک و مستغلات، چاپ، عملیات سیستمهای اطلاعاتی و نگهداری، و حتی جنبههای طراحی یا ساخت، در میان دیگر عملکردها در نظر گرفته شدند. بسیاری از شرکتها منافع ملموس و روشن، بازگشت مثبت سرمایه ، و سطح خدمات بهبود یافته را در نتیجه برون سپاری یافتند. در برخی موارد، هزینههای سرمایه کاهش یافت و هزینه این عملکردها بیشتر متغیر شد. عملکردهای حسابرسی داخلی بخشی از این تحلیل بوده و چندین سازمان حسابرسی داخلی جدید و سازمانهای مشارکت داخلی، از جمله شرکتهای بزرگ حسابداری، ساختارهای جدیدی را برای ارایه چنین خدماتی ایجاد کردهاند.
امروزه، همه کسب و کارها، دولت و سازمانهای غیرانتفاعی با ریسکهای متعدد ناشی از فضای کاری پویا که در آن فعالیت میکنند مواجه هستند. مقررات جدید و به سرعت در حال تغییر ؛ خطرهای مهم مرتبط با تکنولوژی مانند امنیت، تداوم کسبوکار، و کاربرد و تمامیت دادهها؛ موارد بالا یا فرصتها برای تقلب و سو استفاده؛ و مسایل دیگر مانند قانون ساربنز - اکسلی نیاز به عملیات حسابرسی داخلی برای در اختیار داشتن یک استخر مخزن بزرگتر و عمیقتری از استعداد دارند. این متخصصان باید بتوانند به طور موثر رسیدگی کنند، واکنش نشان دهند و به طور موثر حسابرسی و گزارش را در مورد این دنیای خطر به سرعت تغییر یافته گزارش دهند.
با توجه به این محیط خطر پویا، بعید است که اکثر عملیات های حسابرسی داخلی قابلیت مستمردرون سازمانی داشته باشند تا به اندازه کافی به هر خطری که آنها و سازمانها باید با آن مواجه شوند بپردازند. بنابراین، قرارداد، شراکت و یا کار با سازمانهای خارجی که میتوانند منابع تخصصی فراهم کنند، توانایی یک عملکرد حسابرسی داخلی را بهبود میبخشد و انتظارات مشتری را برآورده میکند. علاوه بر این، این چیدمانهای مشترک اغلب به فرآیند انتقال دانش به منابع درونسازمانی کمک میکنند و سطح شایستگی کارکنان تماموقت کار را بالا میبرند.
به همین ترتیب، بسیاری از شرکتها - به ویژه شرکتهای دولتی، شرکتهای خصوصی بزرگ و متنوع، و حتی نهادهای دولتی و سازمانهای غیرانتفاعی - ممکن است کشف کنند که برون سپاری کامل یا نسبی عملیات های حسابرسی داخلی آنها منطقی است و مزایای کوتاهمدت و بلندمدت دارد.
فواید برون سپاری شامل:
•شروع سریع عملیات و اجرای کار، از جمله روشهای پیشرفته و ابزارهای حسابرسی ارائهشده توسط سازمان برون سپاری
•تمهید یک هزینه متغیر به جای هزینه ثابت عملیات
•دسترسی به تعداد بیشتر و گستره وسیعی از منابع
•به طور بالقوه بیطرفی و استقلال بیشتری را افزایش میدهد
قانون حسابرسی داخلی بازار بورس و اوراق بهادار نیویورک برای برون سپاری حسابرسی داخلی امکان پذیر است.بازار بورس و اوراق بهادار نیویورک در تفسیر خود به این نیاز اشاره کرده است:"یک شرکت ممکن است برون سپاری این عملیات را به یک ارائه دهنده خدمات شخص ثالث غیر از حسابرس مستقل خود انتخاب کند" شرکت ها همچنین باید اثرات منفی بالقوه برون سپاری یا مشارکت داخلی حسابرسی داخلی را که میتواند شامل شود را در نظر بگیرند، اما محدود به از دست دادن بالقوه کنترل از زمانی که منابع مستقیماً توسط شرکت مورد استفاده قرار نمیگیرند نیست.
از دیدگاه انجمن حسابرسان داخلی، حسابرسی داخلی، صرف نظر از اینکه چه کسی خدمات را ارایه میکند، باید مطابق با استانداردهای انجمن حسابرسان داخلی اجرا شود. انجمن حسابرسان داخلی در مقاله موضوعی خود بیان می کند، منابع جایگزین برای عملیات حسابرسی داخلی که به طور کامل از کارکنان حرفه ای شایسته تامین شده،بخش جدایی ناپذیری از سازمان است ،چه درون سپاری یا برون سپاری باشد. انجمن حسابرسان داخلی تشخیص میدهد که بسیاری از توافقنامه های همکای با ارایه دهندگان خارجی در کمک به سازمانها برای به دست آوردن خدمات حسابرسی داخلی برای کمک به رسیدن به اهداف مدیریت موثر بودهاند.
در حالی که شرکتهای غیر بورسی ملزم به داشتن یک عملکرد حسابرسی داخلی نیستند، برخی محدودیتهای خاص در ماهیت و سطح خدمات حسابرسی داخلی اعمال میشوند که حسابرس مستقل هر شرکت میتواند هر کدام از قوانین و مقررات مربوط به کمیسیون بورس اوراق بهادار آمریکا را تامین نماید.
در نهایت، تصمیمگیری در مورد اینکه آیا کار حسابرسی داخلی را برون سپاری کنید صرف نظر از مزایا و معایب عمومی. در عوض، هر شرکت باید بپرسد:
•اگر ما در حال حاضر یک تابع حسابرسی داخلی نداشته باشیم، آیا بهتر است زمان و تلاش برای شروع کار حسابرسی داخلی خودمان را داشته باشیم؟ یا باید ابتدا آن را برون سپاری کنید تا شروع سریع و دسترسی به سطح بیشتری از تخصص و سطح وسیعتر منابع داشته باشد، و سپس این تصمیم و مدل تحویل را برای تضمین موثر بودن آن کنترل کنیم؟
•اگر ما پیش از این یک فعالیت حسابرسی داخلی داشته باشیم، آیا منابعی را داریم که باید به طور موثر تمامی ریسکهای کلیدی که با آن مواجه هستیم را بررسی کنیم و در کدام حسابرسی داخلی باید درگیر شود؟ آیا ما نیاز است که تمام این منابع درون سازمانی را در تمام طول زمان داشته باشیم؟ آیا بهتر است که ما یک تمهیدی برای داشتن یک یا چند سازمان بیرونی برای کمک به پرداختن خطرات خود در نظر بگیریم؟
عملیات حسابرسی داخلی بسیاری وجود دارد که در درجه اول متشکل از منابع پرسنلی تماموقت و کاملاً اختصاصی است. با این حال، چیزی این عملیات را با ارزش تر، موثرتر و مناسب تر میسازد، به رسمیت شناختن محدودیتهای خودشان است. بسیاری از عملکردهای حسابرسی داخلی بزرگ (بیش از ۲۵ کارمند تماموقت) تشخیص میدهند که در محیط تجاری پیچیده امروز، داشتن تمام منابع مناسب در همه زمانی گران است. آنها همچنین متوجه شدند که اشکال مختلفی از تمهیدات هم سپاری، تا حد زیادی همراه با شرکتها، مدیریت و کمیتههای حسابرسی که به آنها خدمت میکنند، سود بردهاند.
مطالعه موردی: هم سپاری
یک شرکت چند ملیتی بزرگ با یک عملکرد حسابرسی داخلی کارآمد و مستمر پی برد با وجود این که این شرکت دارای پرسنل خوب است، خطرات تجاری جدید و نیاز به مهارتهای حسابرسی جدید در تمام طول زمان بروز خواهد کرد. تمهیدات خزانهداری پیچیده و اصلاح شده، یک سیستم اطلاعاتی پیشرو، سرمایهگذاریهای مشترک جدید و همچنین یک تقسیم عادلانه در یک صنعت جدید، همگی بر تواناییهای این بخش تاکید داشتند. به علاوه، بیش از میانگین بازده کارکنان روی داده و این کمبود در بخش پرسنل به طور منظم انجام شده.
مدیر حسابرسی داخلی، یک سرباز ۲۰ ساله، احساس کرد که "باید راه بهتری وجود داشته باشد" به او، به عنوان هم سپاری با شرکتی که میتواند به نیازهای تخصصی و فقط در زمان نیاز داشته باشد پاسخ این پرسش بود. هم چنین به نظر میرسد که اهرم بندی ویژگی و روشهای فکری سود ارزشمندی است.
پس از ارزیابی و انتخاب یک شریک ، مدیر حسابرسی و بخش او به طور قابلتوجهی قابلیت و اثربخشی کلی خود را در برخورد با مناطق پرخطر و پیچیده و نیز رضایت مشتری افزایش دادند.
مطالعه موردی: برون سپاری کامل
یک شرکت تولید محصولات مصرفی با پیشبینی قوی برای رشد و توسعه به دنبال ایجاد یک عملکرد حسابرسی داخلی بود که به یک سطح خاص از درآمدها و دامنه عملیاتی میرسید. هر دو مدیریت و کمیته حسابرسی بر این باور بودند که موقعیت شرکت چنین وظیفهای برای کمک به توسعه یک ارزیابی ریسک و فرآیند مدیریت ریسک و تکمیل حسابرسیهای داخلی متمرکز در نتیجه ارزیابی ریسک است. آنها همچنین خواستار عملکرد حسابرسی داخلی برای رسیدگی به عملیات غیر منتظره و مسائل کنترل داخلی و کمک به آمادهسازی بخش ۴۰۴ قانون ساربانز - اکسلی متمرکز شدند.
پس از بررسی گزینههای ایجاد و ساخت یک کارکرد داخلی، استخدام افراد منتخب و سپس به اشتراک گذاری یا برون سپاری عملکرد، شرکت به این نتیجه رسید که برون سپاری عملکردهای حسابرسی داخلی در ابتدا به طور کامل احساس را ایجاد کرده و بهترین منافع را فراهم کردهاست. انعطافپذیری، راهاندازی سریع، دسترسی به مهارتها و منابع مختلف و همچنین منابع، کیفیت و شهرت برون سپاری، از جمله دلایل حمایت از این تصمیم بودند.به این ترتیب به شرکت اجازه داده شد تا یک عملکرد حسابرسی داخلی موثر تقریباً بلافاصله برای کمک به مدیریت و کمیته حسابرسی برای امانتداری و دیگر مسئولیت ها انجام دهند.
4. از کجا در مورد حسابرسی داخلی اطلاعات بیشتری کسب کنم؟
منبع اطلاعات اولیه در حسابرسی داخلی انجمن حسابرسان داخلی است.(به ضمیمه H مراجعه کنید) دیگر منابع عبارتند از شرکتهای مشاورهای، پورتالهای مختلف اطلاعات آنلاین و دانشگاههایی با برنامههای مرتبط.
راهبری اطلاعات (www.knowledgeleader.com)، یک انبار مبتنی بر حق اشتراک از پروتیویتی است،که بهترین راهنماییهای عملی، برنامههای کاری موضوعی و مقالات سفید در مورد حسابرسی داخلی، خطرات تجاری و خطرات فنآوری اطلاعات را فراهم میکند. دوره آزمایشی رایگان سی روز در دسترس هستند.
برای اطلاعات بیشتر در مورد منابع به ضمیمه های F، G و H مراجعه کنید.
فرآیند حسابرسی داخلی
5. کار حسابرسی داخلی در واقع چگونه انجام می شود؟
هنگامی که یک شرکت یک عملکرد حسابرسی داخلی را تشکیل میدهد، فرآیند ارزیابی ریسک را کامل میکند و یک طرح حسابرسی داخلی را توسعه میدهد که به ارزیابی ریسک پاسخ میدهد، و میتواند ماموریتهای حسابرسی داخلی فردی را آغاز کند.
یک چارچوب برای راهاندازی و اجرای پروژههای حسابرسی داخلی باید شامل اقدامات زیر باشد:
•تعیین وظیفه حسابرسی (به عنوان مثال، زمانبندی، هدف، حوزه) با حوزه یا فرآیند حسابرسی (در برخی موارد، ممکن است مناسب باشد که حسابرسی را انتشار نکند، اما کاری را روی یک امر غافلگیر کننده یا اعلامنشده انجام دهند).
•برنامهریزی مناسب برای وظیفه حسابرسی. این میتواند شامل موارد زیر باشد:
•ارزیابی خطرات نواحی ویژه که باید مورد بررسی قرار گیرد.
–تهیه یک برنامه کاری نوشتاری.
–در مورد دامنه، محل، اندازه نمونه و دوره تحت بررسی توافق داشته باشید.
–یک قالب گزارش تهیه کنید که موثر باشد.
–درخواست و دریافت اطلاعات پیشرفته معین از ناحیه ای که باید مورد بررسی قرار گیرد.
–دسترسی به اطلاعات عملیاتی، معیارهای اجرایی و غیره بر ناحیه ای که باید مورد بررسی قرار گیرد.
–حسابرسی قبلی این حوزه را توسط حسابرسی داخلی و یا سایر گروهها مانند تنظیمکنندگان، حسابرسان مستقل و مشاوران بررسی کنید.
–جلسات برنامهریزی مشترک با مدیریت و صاحبان فرآیند ، فضاهای منطقه را مورد بررسی قرار دهند تا زمینه های مورد علاقه و نگرانی خود را را فراگیرند.
–در نظر بگیرید که آیا فعالیتهای خود ارزیابی کمک کننده هستند یا خیر.
–اطلاعات خارجی را به بهترین روشها جمعآوری کنید.
–تعیین منابع حسابرسی داخلی باید به حسابرسی اختصاص شود و اطمینان حاصل شود که آنها سطح مناسب از تجربه و شایستگی را در اختیار دارند.
–معین کنید که آیا منابع خارجی یا حسابرسان میهمان باید ، از جمله از منابع فنآوری اطلاعات استفاده کنند.
–ورودی رسمی و کنفرانسهای بسته را در نظر بگیرید.
•اجرای کار حسابرسی داخلی واقعی شامل ارزیابی فرآیند و طراحی کنترل و نیز روشهای آزمایشی برای تعیین اثربخشی عملیات کنترل از قبیل پرسشگری، مشاهده، بررسی و بازپرداخت . موارد به روشنی ذکر شده و یافتههای بالقوه را با مدیریت و صاحبان فرآیند مورد بحث و بررسی قرار دهید.
برای شرکت در جلسات مشاوره، مراحل کاری توافقشده را برای رسیدن به اهداف این وظیفه انجام دهید.
تهیه یک گزارش و یا سایر روشهای ارتباطی مناسب به کار تکمیلشده و یافتههای حاصل از آن پاسخ می دهد. حوزههایی که ممکن است در نظر گرفته شوند عبارتند از:
–خلاصه اجرایی موضوعات و یافتههای اصلی
–پیشینه، اهداف و طرح نهایی حوزه
–یافتههای حسابرسی از جمله طرح اقدام مدیریت برای پرداختن به این یافتهها
–تحلیل و اطلاعات دیگر از جمله پیوستها
قالب گزارش حسابرسی داخلی توسط هر شرکت فرق میکند. آنچه مهم است ایجاد رویکردی است که در ارتباط با مسایل کلیدی و دستیابی به تغییر مثبت و حل و فصل موضوعات گزارششده موثر باشد. برای مثال، برخی از شرکتها ممکن است گزارشهای تک صفحهای را موثر بیابند. دیگران ممکن است متوجه شوند که مدیریت باید به طور جداگانه و جدا از خود گزارش حسابرسی واکنش نشان دهد.
به علاوه، انتشار یک گزارش پیشنویس برای بحث اغلب یک روش مناسب و موثر برای تصحیح اصطلاحات و تضمین صحت تمام اطلاعات در گزارش است.
•یک روش موثر برای ردیابی و پیگیری یافتههای حسابرسی و اقدامات توافقشده توسط مدیریت تهیه کنید. این امر میتواند شامل ثبت همه یافتههای در یک پایگاهداده، برنامهریزی حسابرسیهای بعدی یا تماسهای مذاکراتی، یا درخواست وضعیت از حسابرسی باشد. این امر ممکن است شامل داشتن مدیریت بر گزارش حوزه حسابرسی به مدیریت ارشد و کمیته حسابرسی باشد. حسابرسی نیز باید تا حدی تعیین کند که کدام تحلیل از یافته های حسابرسی باید به طور مستقل تایید شود.
هیچ رویکرد یک اندازه متناسب برای اجرا و تکمیل کار حسابرسی داخلی وجود ندارد. رهبری حسابرسی داخلی، مدیریت و کمیته حسابرسی باید با یکدیگر کار کنند تا رویکردی ایجاد کنند که برای سازمانهای مربوطه آنها موثرتر است. استانداردهای انجمن حسابرسان داخلی و مشاوره های عملی نیز میتوانند راهنما و چارچوبی برای پیروی ارایه دهند.
6.آیا یک عملکرد حسابرسی داخلی باید خطرات فنآوری اطلاعات را در نظر بگیرد؟
البته. کنترلهای عمومی فناوری اطلاعات و کنترلهای کاربردی کلیدی و فراگیر برای مدیریت ریسک هستند. اهمیت توجه به خطر فنآوری اطلاعات توسط راهنمای حسابرسی عمومی شماره ۴ - مدیریت حسابرسی فناوری اطلاعات انجمن حسابرسان داخلی پشتیبانی می شود که بیان میکند:
مشخص است که تکامل فناوری اطلاعات خطرات جدیدی را به سازمان معرفی میکند. این راهنما به رئیس اجرایی حسابرسی کمک خواهد کرد تا نحوه شناسایی و تعیین کمیت این خطرات مرتبط با فنآوری اطلاعات را درک کنند. انجام این کار به تضمین این امر کمک خواهد کرد که رویههای حسابرسی فناوری اطلاعات و منابع روی زمینههایی متمرکز شوند که بیشترین ریسک را برای سازمان دارند.
راهنمای حسابرسی عمومی شماره 4 نیز بیان میکند:
مشکلات در حال ظهور - فنآوری اطلاعات به سرعت تکامل مییابد. این تکامل میتواند خطرات جدیدی را در سازمان وارد کند. کلاس جهانی رئیس اجرایی حسابرسی تمرکز حسابرسی فناوری اطلاعات را نه تنها بر روی بلوکهای سازنده فنآوری اطلاعات، بلکه فنآوریهای جدید و نوظهور متمرکز میکند. یک بخش از مسایل در حال ظهور اطلاعات خاصی را در مورد تعدادی از فنآوریهای در حال ظهور، ارزیابی خطراتی که این تکنولوژیها برای سازمان ایجاد میکنند، و توصیههایی برای اینکه چگونه رئیس اجرایی حسابرسی باید به این خطرات واکنش نشان دهند را ارایه میدهد.
عدم توجه به تاثیر فناوری اطلاعات منجر به یک عملکرد حسابرسی داخلی ناقص و بیاثر میشود. یک عملکرد حسابرسی داخلی باید با ریسک انجام شود، و در تجارت امروز، فنآوری رابطه مستقیمی با ریسک دارد. تکنولوژی هم کنترلهای اصلی را در فرآیند تجارت و یا عملکرد را امکان پذیر میسازد و هم خطرات ذاتی خاصی را به ارمغان میآورد. درک چگونگی تاثیر خطرات فنآوری بر خطرات کلی سازمان حیاتی است. به عنوان مثال، اگر یک شرکت فنآوری را یک تفاوت تجاری استراتژیک برای فرآیندهای تجاری خاص در نظر بگیرد، ریسک در اطراف کاربردها، فنآوری و مولفههای مرتبط با آن فرایندها برای موفقیت کسبوکار اهمیت بیشتری پیدا میکند.
تکنولوژی کنترلها را به عنوان تفکیک وظایف و محدود کردن اجرای معاملات به تنها آنهایی که توسط مدیریت (از طریق امنیت کاربردی و مدیریت مناسب آن) اجرا میشوند را امکان پذیر میسازد. علاوه بر این، فنآوری کنترلهای حیاتی را از طریق منطق برنامهریزیشده در برنامههای کاربردی فراهم میکند که معاملات معتبر را تایید میکند، محاسبات مناسب را دقیقاً و به طور کامل انجام میدهد، و کنترل خطا و منطقی را کنترل میکند.
خطرات ذاتی در پیرامون فنآوری شامل امنیت شبکه و اطلاعات شرکت، شبکههای کامپیوتری و دادههای مرتبط است که در معرض خطرات داخلی و خارجی توسط هکرها، کارکنان ناراضی، جاسوسی شرکتها و افرادی قرار دارند که ممکن است بخواهند کسبوکار را مختل کنند یا اسرار آن را یاد بگیرند.
همانطور که در راهنمای حسابرسی عمومی شماره ۴ خاطر نشان شد، خطرات فنآوری به صورت مداوم رشد میکنند. چالشهای کنترل جدید مانند Wi - Fi، دسترسی از راه دور و شبکههای جهانی یک نمایه ریسک تغییر یافته و پویا را ارایه میدهند. بنابراین، فناوری اطلاعات بخش مهمی از هر کانون عملیات و قابلیت حسابرسی داخلی است. به طور کلی تمام عملکردهای حسابرسی داخلی باید بخش قابلاندازهگیری از فعالیتهای آنها متمرکز بر خطرات و مسایل مربوط به فناوری اطلاعات داشته باشد. این فعالیتها باید شامل اقدامات مستقل و اقداماتی باشند که خطرات فنآوری و کنترلهای مربوط به فرآیند تجاری کار حسابرسی را ادغام میکنند. در برخی موارد، کل فرآیند کسبوکار ممکن است اتوماتیک باشد و حسابرسی فرآیند تجاری به طور کامل به فنآوری پیچیده مربوط شود. هماهنگی با این تلاشها با مدیر ارشد فناوری اطلاعات یک سازمان حیاتی است.
انطباق موثر با بخش ۴۰۴ قانون ساربنز آکسلی همچنین نیازمند ارائه اسناد و مدارک و ارزیابی تلاش ها در هر دو سطح کنترل عمومی و کاربردی، و تاکید بیشتر بر نیاز به یک قابلیت فنآوری مناسب در عملکردهای حسابرسی داخلی است.
با توجه به گستردگی و تغییر سریع تکنولوژی و خطرات مرتبط با آن، عملکرد های حسابرسی داخلی باید در نظر بگیرند که در صورت نیاز به تکمیل پایگاههای مهارت خود در این حوزه، باید از منابع بیرونی استفاده کنند. در برخی موارد، ممکن است عاقلانه باشد که از افزایش سطح پرسنل تماموقت برای انواع خاصی از خطرات و مشکلات فنآوری اطلاعات اجتناب شود و به جای آن بر منابع بیرونی برای کمکهای مکرر تکیه کنند.
7.چه نوع مهارتهای حسابرسی فناوری اطلاعات باید در بخش حسابرسی داخلی گنجانده شوند؟
در حالی که مهارتهای خاص مورد نیاز برای حسابرسی فناوری اطلاعات ممکن است با صنعت و کاربردهای یک نهاد متفاوت باشد، تعدادی از مهارتهای فنی که بطور سنتی برای بخش حسابرسی فناوری اطلاعات مورد نیاز هستند وجود دارد. از آنجا که تکنولوژی به تکامل ادامه میدهد و با فرآیندهای تجاری پیچیدهتر میشود، مهارت حسابرس باید تکامل و نیز تغییر یابد. ما تعدادی از مهارتهای خاص را تعریف کردهایم که ممکن است برای تکمیل طرح حسابرسی فناوری اطلاعات لازم باشد. این موارد عبارتند از:
a.ارزیابی و برنامهریزی خطر فناوری اطلاعات - در اغلب سازمانها، انجام یک ارزیابی ریسک نیازمند مجموعهای از مهارتها میباشد. ارزیابی ریسک یک هنراست، نه یک علم، و درک بهتر آن از این که چگونه فنآوری با خطرات تجاری مقابله می کند، ارزیابی ریسک و طرح حسابرسی افزایش خواهد یافت. برنامهریزی موثر حسابرسی فناوری اطلاعات مستلزم آگاهی از هر دو حسابرسی داخلی و خطرات فنآوری است.
b.مدیریت و راهبری فناوری اطلاعات سازمان ها در تلاش هستند تا درک کنند که راهبری فناوری اطلاعات مستلزم چیست، و مهارتها در این حوزه به سرعت در حال تحول هستند؛ آنها شامل مدیریت پورتفولیوی فناوری اطلاعات، بازگشت به ملاحظات سرمایهگذاری، مسائل پیرامون تنظیم فناوری اطلاعات و خدمات به سازمان میشوند.
c.مهارتهای امنیتی و حریم خصوصی - دانش مورد نیاز برای حسابرسی و درک مناطق امنیتی و حریم خصوصی، پیچیده و به سرعت در حال تغییر است. تعدادی از مقررات بر امنیت و حریم خصوصی، از جمله قانون Gramm - Leach، HIPAA و ساربنز - اکسلی متمرکز شدهاند. یکی از مهمترین بخشها برای بسیاری از شرکتها پیرامون استانداردهای امنیت کارت اعتباری، کارت پرداخت و نحوه استفاده از اطلاعات و داده های شخصی است.
d.کنترلهای کاربردی سازمانی – مهارت های امنیتی و پیکربندی - دانش چگونگی عملکرد برنامههای کاربردی فناوری اطلاعات بسیار مهم است. کنترلهای برنامهریزیشده حیاتی عبارتند از اعتبار سنجی دادهها و روش های بررسی خطا، بررسی های منطقی در مورد برخی نقاط پردازش کلیدی ، تفکیک منطقی وظایف و محدودیتهای موجود در مورد اینکه چه کسی میتواند تراکنشها را آغاز و مشاهده کند. در برنامههای منابع سازمانی بزرگ ،امروزه این کنترلها، بخش مهمی از پیکربندی برنامه هستند. مهارتها پیرامون این که چگونه این کنترلها و پیکربندی برنامهریزیشده با روشهای دستی تعامل دارند، مورد نیاز است. مهارتهای کاربرد خاص صنعتی نیز مورد نیاز است.
e.پیکربندی و اجزای زیرساخت فناوری - این حوزه شامل دانش زیرساختار فنآوری حیاتی، مانند شبکهها، پایگاهداده و پلت فرمها است. تعدادی از این مهارتها مربوط به ملزومات پیچیده امنیت و پیکربندی هستند. علاوه بر این، نیازهایی پیرامون جنبههای عملیاتی خاص برای فنآوریهایی نظیر پشتیبانی، بازیابی و مسایل اجرایی وجود دارد.
f.مهارتهای پردازش اطلاعات - تعدادی از مهارتهای پردازش برای حسابرسی فنآوری اطلاعات مورد نیاز است. این موارد شامل مدیریت امنیتی در زمینههای کاربردی و اجزای فنی، تداوم تجاری و برنامهریزی بازیابی فاجعه، عملیاتهای مرکز دادهها، مدیریت تغییر برنامه، مدیریت تغییر زیرساخت، و مدیریت خدمات و دارایی است.
استراتژی اطلاعات، دادهها و مدیریت سوابق داده ها در حال مستقلتر شدن از برنامهها است. دادههای مشترک بین برنامهها باید مالکیت و مدیریت شود. مسایل مدیریت دادهها شامل اکتشاف و نگهداری سوابق و نیز سایر مسایل قانونی کلیدی میشوند. تعداد رو به رشدی از مهارتها برای پرداختن به این حوزهها در اغلب سازمانها مورد نیاز است.
تمامی حسابرسان داخلی باید دارای یک قابلیت سطح پایه مرتبط با خطرات و کنترل های فناوری اطلاعات باشند. در بسیاری از موارد، تخصصهای عمیقتر در برنامه های خاص، سیستمهای برنامه ریزی منابع سازمانی و سایر مناطق مورد بحث در بالا مورد نیاز هستند. در تعدادی از موارد، سازمانها برای توسعه یک عمل تخصصی فناوری اطلاعات در بخش حسابرسی داخلی خود، با توجه به ماهیت مسائل و خطرات مرتبط با فنآوری اطلاعات، انتخاب میکنند.
عملیات حسابرسی داخلی باید عمق، وسعت و فراوانی نیازهای منبع حسابرسی فناوری اطلاعات خود را ارزیابی کرده و زمانی را در نظر بگیرند که چگونه سازمان ها و منابع خارجی میتوانند برای دستیابی به بهترین تعادل میان افراد و مهارتها کمک کنند.
8.ما باید در گزارش حسابرسی داخلی به دنبال چه باشیم؟
یک گزارش حسابرسی داخلی نوشته شده بدون اشکال یک ابزار بسیار موثر برای مدیریت، کمیته حسابرسی و مالکان فرآیند تحتتاثیر گزارش است تا تغییرات مثبت و بهبود کنترلها، دقت اطلاعات و فرآیند اساسی مورد بررسی قرار گیرند.
گزارش حسابرسی باید پرسشهای زیر را در نظر داشته باشد:
هدف و پیشزمینه - چرا حوزه انتخابی برای حسابرسی انتخاب شد؟ آیا به علت ذاتی یا مشاهده خطر زیاد، مشکلات شناختهشده، سابقه موضوعات گذشته، تغییر مدیریت، اهمیت منطقه یا عوامل دیگر بودهاست؟ جنبههای کلیدی، خطرات و اهداف حوزه مورد بررسی کدامند؟ آیا بخشی از برنامه اصلی ناشی از فرآیند ارزیابی خطر است؟
دامنه - دامنه کار چیست و چه زمانی اجرا شد؟ چه مدت زمان و واحدهای تجاری ای پوشش داده شدند، و کدام جنبههای عملیات را شامل شدند؟ تلاش برای پرداختن به چه خطرات کلیدی انجام شده؟
یافتهها - یافتههای کلی چیست؟ آنها چقدر جدی بودند؟ آیا تنها مسایل کمی وجود دارند که باید مورد توجه قرار گیرند، یا کاستیهای اساسی در کنترلهای داخلی یا فرآیند مورد بررسی وجود دارد؟
توصیهها - چه اقداماتی باید مدیریت شوند تا به اندازه کافی یافتههای حسابرسی را مورد توجه قرار دهند؟
برنامه های اقدام مدیریت - آیا برنامه روشنی برای اصلاح نقصهای نشاندادهشده وجود دارد؟ چه کسی مسئولیت اقدام اصلاحی را بر عهده خواهد گرفت؟ چه زمانی مسائل اصلاح میشود؟
پیگیری و ردیابی - پیشرفت حسابرسی داخلی چگونه پیشرفت مدیریت را در پرداختن به کاستیهای ذکر شده نظارت میکند؟ گزارش حسابرسی داخلی سالانه و فصلی به کمیته حسابرسی باید شامل پیگیری و تاییدیه قطعنامههای عملکرد مدیریت ناشی از یافتههای حسابرسی باشد. یکی از معیارهای عملکرد حسابرسی داخلی موثر، ایجاد تغییرات مثبت و توافقشده در سازمان است که باعث بهبود و افزایش آگاهی از ساختار کنترل داخلی مدیریت میشود.
برای اطلاعات بیشتر در مورد گزارشهای حسابرسی داخلی به سوال ۲۵ مراجعه کنید.
9.خودآزمایی کنترل چیست؟
خود آزمایی کنترل فرآیندی است که از طریق آن اثربخشی کنترل داخلی بررسی و ارزیابی میشود. هدف ارائه تضمین منطقی از سوی کسانی است که کار را انجام میدهند و تمام اهداف تجاری برآورده خواهند شد.
مسئولیت فرآیند بین تمام کارمندان یک سازمان تقسیم میشود. خود آزمایی کنترل در یک محیط ساختاریافته به کار گرفته میشود که در آن فرآیند به طور کامل مستندسازی شده و به عنوان مشوقی برای بهبود مستمر، تکرار میشود. فرآیند خود آزمایی کنترل به مدیریت و تیمهای کاری به طور مستقیم مسئولیت یک عملیات تجاری را برای موارد زیر می دهد:
a.مشارکت در ارزیابی کنترل داخلی.
b.ارزیابی ریسک.
c.توسعه برنامههای عملی برای پرداختن به ضعفهای شناساییشده.
d.ارزیابی احتمال دستیابی به اهداف تجاری.
انجمن حسابرسان داخلی بر این باور است که خود آزمایی کنترل ، اطلاعاتی را در زمینه کنترل داخلی به وجود می آورد که که برای مدیریت و حسابرسان داخلی در تشخیص کیفیت کنترل مفید است. همچنین میتواند تاثیر مثبتی بر محیط کنترل داشته باشد. همانطور که پرسنل عملیاتی به این فرآیند می پردازند، آگاهی کنترل افزایش مییابد.
10.آیا یک تعریفی استاندارد برای کنترلهای داخلی وجود دارد؟
بله. تعریف زیر توسط چارچوب یکپارچه کنترل داخلی کوزو ارائه میشود. کمیسیون بورس و اوراق بهادار آمریکا و هیئت نظارت بر حسابداری شرکت های عام تایید کردهاند که چارچوب کوزو یک چارچوب مناسب برای اهداف ارزیابی کنترل داخلی است. خارج از ایالاتمتحده، چارچوب های کنترل داخلی شناختهشده دیگری وجود دارند که شامل تعاریفی برای کنترل داخلی و سایر اهداف پیشنهادی هستند.
کنترل داخلی فرایندی است که توسط هییت مدیره یک سازمان، مدیریت و دیگر پرسنل درگیر میشود. باید تضمین منطقی در مورد دستیابی به اهداف در مقولههای زیر ارایه دهد:
a.اثربخشی و کارایی عملیاتها
b.قابلیت اعتماد به گزارش مالی
c.انطباق با قوانین و مقررات قابلاجرا
مفاهیم کلیدی
d.کنترل داخلی یک فرآیند است. این امر وسیلهای است برای پایان، نه یک پایان به خودی خود.
e.کنترل داخلی تحتتاثیر افراد قرار میگیرد. نه تنها راهنما و اشکال سیاست بلکه افراد در هر سطح یک سازمان هستند.
f.انتظار میرود که کنترل داخلی تنها تضمین منطقی، و نه تضمین مطلق، به مدیریت و هیاتمدیره یک نهاد ارائه دهد.
کنترل داخلی برای رسیدن به اهداف در یک یا چند دسته جداگانه هم پوشانی دارد. کنترل داخلی متشکل از پنج مولفه مرتبط است. این ها از شیوه مدیریت یک تجارت کسب میشوند و با فرآیند مدیریت ادغام میشوند. اگرچه اجزا برای همه نهاد های کوچک و متوسط اعمال می شوند، ممکن است آنها را متفاوت از شرکت های بزرگ کنند. (کنترلهای شرکتهای کوچک تر ممکن است کمتر رسمی و ساختاریافته باشند). اجزای آن عبارتند از:
g.محیط کنترل، لحن یک سازمان را تنظیم میکند، که بر آگاهی کنترل مردم آن تاثیر میگذارد. این امر پایه و اساس تمام اجزای دیگر کنترل داخلی، فراهم کردن نظم و ساختار است.
h.ارزیابی ریسک - این جز شناسایی و تجزیه وتحلیل خطرات مرتبط با تحقق اهداف آن، تشکیل مبنایی برای تعیین چگونگی مدیریت ریسک است.
i.فعالیتهای کنترل - شامل سیاستها و رویههایی که به اطمینان از اجرای دستورها مدیریتی کمک میکنند.
j.اطلاعات و ارتباطات - این جز شامل فرایندها و سیستمهایی است که از شناسایی، ثبت و تبادل اطلاعات در قالب و چارچوب زمانی پشتیبانی میکنند که افراد را قادر میسازد تا مسئولیتهای خود را انجام دهند.
k.نظارت – شامل فرایندهایی است که کیفیت عملکرد کنترل داخلی را در طول زمان ارزیابی میکنند.