در فرآیند برنامه ريزی حسابرسی فناوری اطلاعات، حسابرس فناوري اطلاعات نیاز دارد تا شواهد را جمع کند، نقاط قوت و ضعف کنترل های داخلی را براساس شواهد جمع آوری شده از طریق آزمون های حسابرسی جمع آوری کرده و گزارش حسابرسی تهیه کند که نقاط ضعف و توصیه هایی را برای اصلاح به صورت عینی در اختیار ذینفعان قرار دهد.
به طور کلی، فرایند حسابرسی همانطور که در شکل 1 نشان داده شده، از سه مرحله اصلی برنامه ریزی، کار میدانی و گزارشگری تشکیل شده است. براي برنامه ريزي حسابرسي فناوري اطلاعات، شرکت ها می توانند تصمیم بگیرند که مراحل اصلی را به چند مرحله تقسیم کنند. به عنوان مثال مرحله گزارش می تواند به سه مرحله نوشتن گزارش، ارائه و انتشار گزارش و پیگیری موضوعات مطرح شده در گزارش تقسیم شود.
![\"\"](\"https://hesfa.ir/wp-content/uploads/2019/10/Audit-Plan-Isaca.jpg\")
حسابرس فناوري اطلاعات، براي برنامه ريزی حسابرسی فناوري اطلاعات باید با چارچوب های استاندارد و فرآيند حسابرسی مورد استفاده در سازمان مورد بررسی آشنا بوده تا بتواند گزارش خود را مطابق با اصطلاحات صحیح و ادبيات کاری تهيه كند.
هر مرحله در فرآیند حسابرسی، همانطور که در شکل 2 نشان داده شده، متعاقباً به مراحل اصلی برای برنامه ریزی، تعریف، انجام و گزارش نتایج مربوط دستوركار حسابرسي مطابق با استانداردهای حسابرسی تقسیم می شوند. البته مي توان اين مراحل را تا جايي كه محدوده و مفهوم را تغيير ندهند، براساس ادبيات رايج در سازمان تغيير داده و سفارشي نمود.
![\"\"](\"https://hesfa.ir/wp-content/uploads/2019/10/Audit-Plan-Isaca2.jpg\")
مراحل نشان داده شده در شکل 2 را می توان در ادامه به فعالیت های خاص تر تقسیم کرد. در ادامه فعالیت هايی که در هر قدم از مرحله برنامه ریزی انجام می شود، توصیف شده است.
1- موضوع حسابرسی فناوري اطلاعات را تعیین کنید.
در اولين مرحله از برنامه ريزی حسابرسی فناوري اطلاعات، محدوده حسابرسي را شناسایی کنید مثلاً حوزه كسب و كار، سیستم يا موقعیت مکانی.
2- هدف حسابرسی فناوري اطلاعات را تعریف کنید.
هدف از حسابرسي را مشخص کنید. به عنوان مثال یک هدف ممکن است برای تعیین اینکه آیا تغییرات کد برنامه نرم افزاري در یک محیط تعریف شده و تحت كنترل اتفاق مي افتد؟
3- محدوده حسابرسی را تنظیم کنید.
سیستم های مورد نظر، عملکرد یا واحد سازمانی را که باید در محدوده حسابرسي قرار گیرد مشخص کنید. در مثال قبلی تغییر كد برنامه نرم افزاري، بيانيه محدوده حسابرسي ممکن است بررسی را به یک برنامه نرم افزاري، سیستم یا یک دوره زمانی محدود محدود کند. این مرحله بسیار مهم است زیرا حسابرس فناوري اطلاعات می بایست محیط فني و مؤلفه های آن را بشناسد تا منابعی را که برای انجام یک ارزیابی جامع مورد نیاز است شناسایی کند.
دامنه مشخص به حسابرس فناوری اطلاعات کمک می کند تا مجموعه ای از نقاط آزمایش را که مربوط به ممیزی است تعیین کند و مهارت های فنی و منابع لازم برای ارزیابی فن آوری های مختلف و مؤلفه های آنها را تعیین کند.
4- برنامه ریزی مقدماتی را انجام دهید.
- ارزیابی ریسک را انجام دهید که در تعیین دامنه نهایی حسابرسي مبتنی بر ریسک بسیار مهم است. برای سایر انواع حسابرسي هم به عنوان مثال حسابرسي رعايت، انجام ارزیابی ریسک یک عمل خوب است زیرا نتایج می تواند به تیم حسابرسی فناوري اطلاعات کمک کند تا محدوده و تمرکز برنامه ریزی را دقيق تر نمايد.
- با واحد مورد رسيدگي مصاحبه کنید تا در مورد فعالیت ها یا دغدغه هاي كه بايد در دامنه رسيدگي قرار گيرند، اطلاعات كسب كنيد.
- الزامات قوانين و مقررات را شناسايي كنيد.
- پس از تعریف موضوع، هدف و محدوده، تیم حسابرسی می تواند منابعی را که برای انجام کار حسابرسی لازم است شناسایی کند. برخی از منابعی که باید تعریف شوند به شرح زیر است:
- مهارت های فنی مورد نیاز
- بودجه و منابع لازم برای انجام دستور كار حسابرسي
- مکان ها یا امکاناتی که باید حسابرسی شود.
- نقش و مسئولیت هاي اعضاي تیم حسابرسی
- بازه زمانی و مراحل مختلف حسابرسی
- منابع اطلاعاتی مورد نياز برای آزمون یا بررسی مانند نمودارهای عملکردی، خط مشی ها، استانداردها، رویه ها و گزارش هاي حسابرسی قبلی
- افراد مرتبط برای هماهنگي هاي اداري و پشتيباني
- یک برنامه ارتباطی مشتمل بر ليست افرادي كه بايد با آنها ارتباط برقرار شود و زمان، مكان و شيوه برقراري ارتباط
5- روش های حسابرسی و مراحل جمع آوری داده ها را تعیین کنید.
در این مرحله از روند حسابرسی فناوري اطلاعات، تیم حسابرسی باید اطلاعات کافی برای شناسایی و انتخاب رویکرد یا استراتژی حسابرسی داشته و شروع به توسعه برنامه حسابرسی کند. برخی از فعالیت های خاص در این مرحله عبارتند از:
- سیاست ها، استانداردها و دستورالعمل های واحد مورد رسيدگي را گردآوري كنيد.
- هرگونه الزامات رعایتي و مقرراتي را مشخص کنید.
- لیستی از افراد را برای مصاحبه مشخص کنید.
- روش ها از جمله ابزارها را برای انجام حسابرسي شناسایی کنید.
- ابزارها و روش های حسابرسی را برای آزمایش و تأیید کنترل توسعه دهيد.
- دستورالعمل آزمون ها را تهيه كنيد.
- معیارهای ارزیابی آزمون را مشخص کنید.
- متدولوژی را تعیین کنید تا ارزیابی کنید که آزمون و نتایج آن دقیق است.