برنامه حسابرسی و اطمینان بخشی یکی از خروجی های اولیه و مهم فرآیند حسابرسی است. این برنامه به عنوان راهنمایی برای انجام و مستند سازی کلیه مراحل حسابرسی و میزان و انواع مواد اثبات شده مورد بررسی قرار می گیرد تا از دستیابی به اهداف حسابرسی اطمینان حاصل شود. اگرچه یک برنامه حسابرسی لزوماً مجموعه خاصی از مراحل را دنبال نمی کند، اما حسابرس IT معمولاً مجموعه ای از اقدامات حداقلی را به عنوان مراحل اجرایی برای به دست آوردن درک درستی از نهاد تحت حسابرسی، ارزیابی ساختار کنترل و آزمایش کنترل های داخلی دنبال می کند.
حسابرسی یا اطمینان بخشی
حسابرسی و اطمینان بخشی دو اصطلاح هستند که به جای یکدیگر استفاده می شوند. براساس تعاریف ISACA:
- اطمینان بخشی گروهی از فعالیت های مرتبط است که به نحوی طراحی شده تا بتواند سطح اطمینان در خصوص یک موضوع خاص را به ذینفع منتقل کند.
- حسابرسی یک بازرسی رسمی و تأیید صحت برای بررسی اینکه است که آیا استاندارد یا مجموعه دستورالعمل ها به درستی پیروی می شوند یا خیر.
به عبارت ساده، حسابرسی نوعی اطمینان بخشی است که منحصر به عملکرد حسابرسی است. فعالیت های اطمینان بخشی را می توان با عملکردهای مختلف به عنوان مثال، مدیریت ریسک، کیفیت، تحقیقات تقلب یا ارزیابی امنیتی انجام داد. با این حال، فعالیت های حسابرسی باید فقط توسط متخصصان حسابرسی انجام شود. تفاوت بین حسابرسی و اطمینان بخشی در این است که حسابرسی مستقل از کارکردهای عملیاتی است، که به حسابرسی امکان می دهد تا نظرات عینی و بی طرفانه در مورد اثربخشی محیط کنترل داخلی ارائه دهد.
اهداف توسعه برنامه های حسابرسی و اطمینان بخشی
اهداف اصلی توسعه برنامه های حسابرسی و اطمینان بخشی عبارتند از:
- به طور رسمی مراحل حسابرسی و توالی آنها را مستند کنید.
- روش هایی را ایجاد کنید که توسط حسابرسان داخلی یا مستقل که نیاز به انجام ممیزی های مشابه دارند، قابل تکرار و استفاده آسان باشند.
- نوع آزمایش مورد استفاده را مستند سازید.
- استانداردهای عمومی پذیرفته شده حسابرسی را که مربوط به مرحله برنامه ریزی در فرآیند حسابرسی است، رعایت کنید.
حداقل مهارت برای تهیه یک برنامه حسابرسی و اطمینان
مهمترین مهارت برای حسابرس IT، درک فضای کسب و کار و ریسک مربوط به آن برای تعیین اینکه چه چیزی را چرا باید آزمایش کند است. تدوین برنامه های حسابرسی و اطمینان بخشی معنی دار به توانایی شخصی سازی رویه های حسابرسی با توجه به ماهیت موضوع مورد بررسی و ریسک خاصی که باید در محدوده حسابرسی مورد توجه قرار گیرد، بستگی دارد. لیست زیر برخی از مهارت هایی را نشان می دهد که می تواند حسابرس IT را قادر نماید یک برنامه ریزی مناسب را تهیه کند:
- درک مناسب از ماهیت بنگاه اقتصادی و صنعت برای شناسایی و طبقه بندی انواع ریسک و تهدید
- درک مناسب از فضای IT و مؤلفه های آن و دانش کافی از فناوری هایی که بر آنها تأثیر می گذارد
- درک رابطه بین ریسک کسب و کار و ریسک IT
- دانش اساسی در مورد روش های ارزیابی ریسک
- درک روشهای مختلف آزمایش برای ارزیابی کنترل های سیستم های اطلاعاتی و شناسایی بهترین روش ارزیابی، به عنوان مثال:
- استفاده از نرم افزار حسابرسی عمومی برای بررسی محتوای پرونده های داده (به عنوان مثال، سیاهه های مربوط به سیستم، لیست دسترسی کاربر)
- استفاده از نرم افزارهای تخصصی برای ارزیابی محتویات سیستم عامل ها ، پایگاه داده ها و پرونده های پارامتر برنامه
- تکنیک های گردش کار برای مستند سازی فرآیندهای کسب و کار و کنترل های خودکار
- استفاده از لاگ عملیات ثبت شده در سیستم برای ارزیابی پارامترها
- بررسی مستندات
- استعلام و مشاهدات
- بررسی رفتار سیستم در عمل
- اصلاح عملکرد کنترل ها
مراحل توسعه یک برنامه حسابرسی و اطمینان
همانطور که در بخش فرآیند حسابرسی مشخص شد است، برنامه حسابرسی و اطمینان بخشی خروجی مرحله برنامه ریزی حسابرسی است. شکل زیر ورودی هایی را نشان می دهد که به تولید برنامه حسابرسی و اطمینان بخشی کمک می کند. لطفا توجه داشته باشید که مرحله 4 به رنگ خاکستری سایه زد شد است تا نشان دهد ورودی آن به برنامه حسابرسی فقط جزئی است. سندی که از ورودی هر پنج مرحله حاصل می شود ، طرح حسابرسی است.
![\"\"](\"https://hesfa.ir/wp-content/uploads/2019/12/Capture.jpg\")
مرحله 4 بخش مهمی از مرحله برنامه ریزی حسابرسی است زیرا در این مرحله منابع براساس هدف و دامنه برآورد می شوند. برخی از خروجی های مرحله 4 شامل موارد زیر است:
- منابع مورد نیاز برای تحقق هدف حسابرسی (به عنوان مثال بودجه ، پرسنل ، ساعات کار ، مسافرت و غیره)
- دانش، مهارت و تجربه لازم برای تهیه و اجرای کارهای میدانی
- مکان های فیزیکی یا اشخاصی که بخشی از این حوزه باشند
- منابع اطلاعاتی در مورد فرآیندهای کسب و کار و فناوریهای پشتیبانی
در حالی که مرحله 4 ممکن است ورودی هایی را برای برنامه حسابرسی، به عنوان مثال، مکان های فیزیکی، اشخاص و منابع اطلاعات ایجاد کند، اهمیت مرحله 4 در این زمینه به طور قطع کمتر از سایر مراحل است.