بیانیه استانداردهای حسابرسی شماره ۷۸ با عنوان بررسی ساختار کنترل داخلی در حسابرسی صورت های مالی بیان میکند که کنترل داخلی فرایندی است که «برای فراهم کردن اطمینان معقول از دستیابی به هدفهایی که در گروههای زیر میآیند، طراحی شده است:
- اعتمادپذیری گزارشگری مالی،
- اثربخشی و کارایی عملیات،
- رعایت قوانین و مقررات مربوط.
حسابرسان برای دستیابی به درک مورد نیاز از کنترل ها باید آشنایی فزایندهای با کنترل های فناوری اطلاعات بیابند؛ ولی عمده حسابرسان آگاهی کافی از این موضوع ندارند. هیئت تدوین استاندارد حسابرسی این مشکل را تشخیص داده و در بیانیه استاندارد حسابرسی شماره ۷۸، رهنمودهای بیشتری درباره کنترلهای فناوری اطلاعات ارائه کرده است. متاسفانه این بیانیه تاثیر اندکی بر نحوه اجرای حسابرسی بهوسیله مؤسسههای حسابرسی داشت؛ بنابراین هیئت تدوین استانداردهای حسابرسی در بیانیه ۹۴ تاثیر فناوری اطلاعات بر بررسی کنترل های داخلی بهوسیله حسابرسان را مورد توجه قرار داد.
کنترل های فناوری اطلاعات، کنترل هایی خودکارند که به پیشگیری از تحریف ها کمک میکنند. برای مثال، ممکن است یک نرمافزار حقوق و دستمزد، اطلاعات غیرمعقولی مانند حقوق ساعتی بیش از ۵۰۰ هزار ریال را نپذیرد. با وجود رواج فزاینده فناوری اطلاعات در دنیای تجارت، بسیاری از حسابرسان این کنترل ها را نمیفهمند و در نتیجه از آنها دوری میکنند.
کنترل های فناوری اطلاعات بهمنظور کاهش ریسک های مرتبط در محیط فناوری اطلاعات در نظر گرفته میشوند. این کنترل ها جزئی از فرایند کنترل داخلی کلی درونی هر سازمان تحت بازبینی هستند. مدیران ارشد مؤسسههای حسابرسی باید ضمن در اولویت قرار دادن کنترلهای فناوری اطلاعات، در زمینه حسابسازی و تهدیدکنندگان زیرساختهای سیستم از جمله ویروس، تروآ، درب پشتی، یابندههای رمز، استراق سمع و حملههای مهندسی اجتماعی، آگاهی داشته باشند و از واگذاری مسئولیتهای خود به ردههای پایینتر، بدون اعمال نظارتی موثر، خودداری کنند.
- طبق رویکرد حسابرسی بر مبنای ریسک، به منظور ارزیابی رویه های کنترل داخلی شرکتها، AIS چارچوب منطقی جهت انجام حسابرسی بر مبنای ریسک در چهار مرحله زیر یک شرکتها فراهم می کند: تعیین تهدیدات (یعنی اشتباهات و تخلفات) رویاروی سیستم های اطلاعاتی حسابداری.
- تشخیص رویه های کنترلی که بایستی به منظور حداقل کردن هر یک از این تهدیدات به کار گرفته شود و بدان وسیله پیشگیری یا کشف اشتباهات و تخلفات صورت گیرد.
- فرایند بررسی سیستم
تعیین اینکه چه رویه های کنترلی لازم است اتخاذ شود را بررسی سیستمها گویند. بعلاوه حسابرسان آزمون هایی بر روی کنترل ها ،به منظورتعیین اینکه آیا این رویه های کنترلی به طور رضایت بخشی دنبال می شوند یا نه ،اجرا می کنند. این آزمون ها شامل فعالیت هایی از قبیل مشاهده عملیات سیستم ،بررسی اسناد، ثبت ها و گزارشات، بررسی وتطبیق نمونه ای از ورودی ها و خروجی های سیستم و ردیابی مبادلات در سیستم، می باشد.
- ارزیابی ضعف ها (یعنی اشتباهات و تخلفاتی که تحت پوشش رویه های کنترلی قرار نمی گیرند)
این مرحله براحتمال کنترل ریسک ها و اینکه آیا سیستم کنترل شرکتها به طور کاملا مناسبی متوجه ریسک ها می شود یا نه تمرکز می کند. اگر کنترل ها ناکارآمد تشخیص داده شوند، حسابرس باید کنترل ها یا رویه های جبرانی برای ترمیم نقص ها تعیین کنند.
رویکرد حسابرسی بر مبنای ریسک، درک بهتری از اشتباهات و تخلفاتی که در محیط سیستم اطلاعات حسابداری شرکتها می تواند رخ دهد و ریسک ها و افشاهای مربوط به آن، برای حسابرسان مهیا می کند. این درک، مبانی دقیق و محکمی برای حسابرسان فراهم می کند تا براساس آن پیشنهادات قابل ارائه به مدیریت درباره راهکارهای را توسعه دهند. AIS، ایجاد و بهبود سیستم کنترل مطلوبیت یک رویه کنترل داخلی، در کارایی آن در توانایی کاهش ریسک کسب و کار است. در حقیقت این ریسک خود کسب و کار است که دارای اهمیت است و نه سیستم کنترل داخلی واحد تجاری. برای مثال بلایای طبیعی از قبیل سیل و طوفان یا زلزله نشان دهنده ی خطری برای توانایی سازمان در ادامه ی بدون توقف کسب و کار و خدمات مبتنی بر فناوری اطلاعات است. طرح جبران خسارت یا استمرار کسب و کار نوعی رویه کنترل داخلی است که برای پوشش این نوع ریسک طراحی شده است. کانون توجه ریسک کسب و کار تضمین اعمال کنترل هایی است (به ویژه کنترل های فناوری اطلاعات با توجه به توسعه روز افزون خدمات مبتنی بر فاوای سازمان ها) که به طور مطلق و به ناچار مورد نیاز بوده و همچنین از نظر هزینه مقرون به صرفه می باشند.
حسابرس باید حسابرسی را چنان برنامه ریزی و اجرا کند تا بتواند شواهد حسابرسی مناسب و کافی به منظور کاهش ریسک حسابرسی ناشی از منابع فناوری اطلاعات را به سطحی پایین کسب کند. اجرای مؤثر روش های حسابرسی برای کسب چنین شواهدی نیازمند یک سری از مجموعه عوامل است.