استانداردهای حسابرسی-بخش هفتم

کنترل داخلی

16-4- حسابرسان بایستی از کنترل‎های داخلی  که در رابطه با اهداف حسابرسی با‎اهمیت است، شناخت به ‎دست آورند. حسابرسان در خصوص کنترل‎های داخلی که در رابطه با اهداف حسابرسی با‎اهمیت است، بایستی ارزیابی کنند که آیا کنترل‎های داخلی به ‌گونه‌اي مناسب طراحی و اجرا شده‎ است یا خیر. حسابرسان برای آن گروه از کنترل‎های داخل که نسبت به اهداف حسابرسی با‎اهمیت به ‌نظر می‌رسد، باید برای کسب شواهد کافی و مناسب به ‌منظور پشتیبانی از ارزیابی خود درباره اثربخشی آن کنترل‎ها برنامه‎ریزی کنند. کنترل‎های سیستم‎های اطلاعاتی اغلب بخشی جدايي‌ناپذير از کنترل‌هاي داخلی یک واحد مورد حسابرسی است. بنابراین، هنگام كسب شناخت از اهمیت کنترل‎های داخلی در رابطه با اهداف حسابرسی، حسابرسان همچنین بایستی تعیین کنند که آیا ارزیابی کنترل‎های سیستم‎های اطلاعاتی ضرروت دارد یا خیر (بندهای 23-4 تا 27-4 برای توضیحات بیشتر در مورد ارزیابی اثربخشی کنترل‎های سیستم‎های اطلاعاتی ملاحظه شود).

جزییات بیشتر در ادامه مطلب .

17-4- حسابرسان ممکن است ماهیت، زمان‎بندی یا میزان روش‎های حسابرسی را بر اساس ارزیابی‎های خود از کنتر‎ل‎های داخلی و نتایج آزمون کنترل‌های داخلی تعدیل نمایند. برای نمونه، جنبه‎هایی از برنامه که دارای ضعف‎های کنترلی است، احتمال خطر عدم موفقیت بیشتری دارد. بنابراین، حسابرسان ممکن است رسیدگی‎های خود را در این زمینه‎ها متمرکز سازند. در مقابل، کنترل‎های مؤثر در واحد مورد حسابرسی ممکن است حسابرسان را به محدودکردن میزان و نوع آزمون حسابرسی مورد نیاز متقاعد سازد.
18-4- حسابرسان ممکن است با پرس ‎و جو، مشاهده، بازبینی مدارک و سوابق، بررسی گزارش‎های سایر حسابرسان یا آزمون‎های مستقیم، از کنترل‎های داخلی شناخت به ‎دست آورند. روش‎هایی که حسابرسان برای کسب شناخت از کنترل‎های داخلی اجرا می‎کنند، ممکن است بر اساس اهداف و خطر حسابرسی، در هر حسابرسی نسبت به حسابرسی‌های دیگر، متفاوت باشد. میزان این روش‎ها بر اساس اهداف حسابرسی، خطرها یا مشکلات شناخته شده یا بالقوه کنترل‎های داخلی و شناختی که حسابرسان در حسابرسی‎های پیشین کسب کرده‎اند، متفاوت خواهد بود.
19-4- مطالب زیر درباره انواع اهداف مهم کنترل‎های داخلی است که به حسابرسان در کسب شناخت بهتر از کنترل‎های داخلی و تعیین اینکه آیا آنها نسبت به اهداف حسابرسی با‎اهمیت است یا خیر و به چه میزان،کمک می‎کند.
الف- اثربخشی و کارایی عملیات برنامه: کنترل‎های ناظر بر عملیات برنامه شامل سیاست‎ها و روش‎هایی است که واحد مورد حسابرسی به ‎کار می‎گیرد تا اطمینان معقول فراهم کند که برنامه ضمن توجه به صرفه اقتصادی و کارآیی، به اهداف خود دست می‎یابد. شناخت این کنترل‎ها می‎تواند در شناخت عملیات برنامه که داده‎ها و منابع مصرف‌شده را به ستانده‎ها و پی‎آمدها تبدیل می‎کند، به حسابرسان کمک نماید.
ب- مربوط بودن و اتکاپذیری اطلاعات: کنترل‎های ناظر بر مربوط بودن و اتکاپذیری اطلاعات شامل سیاست‎ها، روش‎ها و اقداماتی است که مسئولان واحد مورد حسابرسی برقرار می‎کنند تا برای آنان اطمینان معقول فراهم شود که اطلاعات عملیاتی و مالی به‎ کار گرفته شده در تصمیم‎گیری و گزارشگری برون‎سازمانی، مربوط و اتکاپذیر است و در گزارش‎ها به ‎طور مطلوب افشا شده است. شناخت این کنترل‎ها می‎تواند به حسابرسان کمک کند تا (1) میزان خطر مربوط و اتکاپذیر نبودن اطلاعات گردآوری شده توسط واحد مورد حسابرسی را برآورد نمایند و (2) آزمون‎های مناسب اطلاعات را با در نظر گرفتن اهداف حسابرسی طراحی کنند.
پ- رعایت قوانین و مقررات لازم‎الاجرا و مفاد قراردادها و موافقت‎نامه‎های کمک‎های‌ بلاعوض: کنترل‎های ناظر بر رعایت، شامل سیاست‎ها و روش‎هایی است که واحد مورد حسابرسی به ‌منظور دستیابی به اطمینان معقول از اجرای برنامه‎ مطابق با قوانین، مقررات و مفاد قراردادها و موافقت‎نامه‎های کمک‎های بلاعوض به ‎کار می‎گیرد. شناخت کنترل‎های مربوط به رعایت این‎گونه قوانین و مقررات و مفاد قراردادها و موافقت‎نامه‎های کمک‎های بلاعوض که از نظر حسابرسان در رابطه با اهداف حسابرسی با‎اهمیت تشخیص داده شده است، می‎تواند در برآورد خطر اعمال غیر قانونی و تخطی از مفاد قراردادها یا موافقت‎نامه‎های کمک‎های بلاعوض یا سوء‌استفاده‎، به حسابرسان کمک کند.
20-4- یکی از زیر مجموعه‎های این گروه از اهداف کنترل‎های داخلی، حفاظت از دارایی‎ها و منابع است. کنترل‎های ناظر بر محافظت از دارایی‎ها و منابع شامل سیاست‎ها و روش‎های برقرار شده توسط واحد مورد حسابرسي به ‌منظور پیشگیری منطقی یا کشف سریع تحصیل، استفاده یا واگذاری غیرمجاز دارایی‎ها و منابع است.
21-4- در حسابرسی‎های عملياتي، هنگامی یک نارسایی در کنترل‎های داخلی وجود دارد که طراحی یا عملکرد یک کنترل موجب نشود که مدیریت یا کارکنان در جریان عادی اجرای وظایف محوله به آنان، (1) ضعف‎های اثربخشی یا کارایی عملیات، (2) تحریف در اطلاعات مالی یا عملیاتی، یا (3) تخطی از قوانین و مقررات را به ‎موقع پیشگیری، کشف یا اصلاح کنند. یک نارسایی هنگامی در طراحی به وجود می‎آید که (الف) کنترل لازم برای دستیابی به هدف کنترلی، پیش‎بینی‎ نشده باشد یا (ب) یک کنترل موجود به ‎درستی طراحی نشده باشد به ‎طوری که حتی اگر کنترل به همان گونه‌اي که طراحی شده است، عمل کند، به هدف کنترل دست نیابد. نارسایی در عملیات هنگامی به ‌وجود می‎آید که  (الف) یک کنترل با طراحی درست به همان‎گونه‎ای که طراحی شده است، عمل نکند یا (ب) هنگامی که شخص اجراکننده کنترل، اختیار یا تخصص‎های لازم برای اجرای اثربخش کنترل را نداشته باشد.
22-4- حسابرسی داخلی  یکی از اجزای مهم راهبری کلی، پاسخگویی و کنترل‌های داخلی است. یک نقش مهم بسیاری از واحدهای حسابرسی داخلی، فراهم کردن اطمینان معقول از این بابت است که کنترل‎های داخلی برای کاهش خطرها و دستیابی به مقاصد و اهداف برنامه، به ‌گونه‎ای مناسب برقرار شده‎اند. هنگامی که ارزیابی کنترل‎های داخلی ضرورت می‌یابد، حسابرس ممکن است از کار حسابرسان داخلی در ارزیابی اینکه آیا کنترل‎های داخلی به ‎طور اثربخش طراحی و اجرا می‎شود و از دوباره‎کاری پیشگیری می‎کند یا خیر، استفاده نماید (بندهای 41-4 تا 43-4 در مورد استانداردها و رهنمود درباره استفاده از کار حسابرسان دیگر ملاحظه شود).

کنترل‎های سیستم‎های اطلاعاتی

23-4- شناخت کنترل‎های سیستم‎های اطلاعاتی هنگامی اهمیت می‎یابد که این سیستم‎ها به ‎طور گسترده در تمام برنامه‎های مورد حسابرسی به ‎کار گرفته شود و فرآیند‎های تجاری اصلی مرتبط با اهداف حسابرسی، بر سیستم‎های اطلاعاتی متکی باشد. کنترل‎های سیستم‎های اطلاعاتی شامل آن گروه از کنترل‎های داخلی است که به فرآیند پردازش سیستم‎های اطلاعاتی وابسته است و دربرگیرنده کنتر‎ل‎های عمومی و کاربردی می‎باشد. کنترل‎های عمومی سیستم‎های اطلاعاتی، سیاست‎ها و روش‎هایی است که در مورد همه یا بخش بزرگی از سیستم‎های اطلاعاتی واحد مورد حسابرسی به ‎کار گرفته می‎شود. کنترل‎های عمومی به اطمینان از عملکرد درست سیستم‎های اطلاعاتی از طریق ایجاد محیطی برای عملکرد درست کنترل‎های کاربردی کمک می‎کند. کنترل‎های عمومی شامل مدیریت امنیت سیستم‎ها، دسترسی فیزیکی و منطقی، مدیریت پیکربندی، تفکیک وظایف و برنامه‎ریزی برای پیشامدهای احتمالی می‎شود. کنترل‎های کاربردی که گاهی با ‎عنوان کنترل‎های فرآیند تجاری نامیده می‎شود، کنترل‎هایی است که برای کمک به اطمینان از اعتبار، کامل بودن، درستی و اتکاپذیری معاملات و داده‎ها در جریان پردازش، به ‎طور مستقیم با برنامه‎های کاربردی یکپارچه می‎شود. کنترل‎های کاربردی دربرگیرنده کنترل‎های ناظر بر داده‎های ورودی، پردازش، ستانده‎ها، داده‎های اصلی، واسط‎های کاربردی و واسط‎های سیستم مدیریت داده‎ها است.
24-4- استفاده یک سازمان از کنترل‎های سیستم‎های اطلاعاتی ممکن است فراگیر باشد؛ گرچه، حسابرسان اساساً به آن گروه از کنترل‎های سیستم‎های اطلاعاتی توجه دارند که از نظر اهداف حسابرسی با‎اهمیت است. چنانچه حسابرسان تعیین کنند که ارزیابی اثربخشی کنترل‎های سیستم‎های اطلاعاتی به ‌منظور دستیابی به شواهد کافی و مناسب ضرورت دارد، این‎گونه کنترل‎ها نسبت به اهداف حسابرسی با‎اهمیت می‎باشد. هنگامی‎که کنترل‎های سیستم‎های اطلاعاتی از نظر اهداف حسابرسی با‎اهمیت تشخیص داده می‌شود، سپس حسابرسان بایستی اثربخشی طراحی و عملکرد چنین کنترل‎هایی را ارزیابی کنند. این ارزیابی شامل سایر کنترل‎های سیستم‎های اطلاعاتی می‎شود که بر اثربخشی کنترل‎های با‎اهمیت یا اتکاپذیری اطلاعات استفاده شده در اجرای کنترل‎های با‎اهمیت، تأثیر می‎گذارد. حسابرسان بایستی شناختی کافی از کنتر‎ل‎های سیستم‎های اطلاعاتی به ‎دست آورند که برای برآورد خطر و برنامه‎ریزی حسابرسی در رابطه با اهداف حسابرسی، ضروری است.
25-4- روش‎های حسابرسی برای ارزیابی اثربخشی کنترل‎های با‎اهمیت سیستم‎های اطلاعاتی دربرگیرنده (1) کسب شناخت از سیستم‎های اطلاعاتی و (2) شناسایی و ارزیابی کنترل‎های عمومی و کاربردی لازم برای حصول اطمینان از اتکاپذیری اطلاعات موردنیاز برای حسابرسی می‎باشد.
26-4- ارزیابی کنترل‎های سیستم‎های اطلاعاتی ممکن است همراه با بررسی حسابرسان از کنترل‎های داخلی در ارتباط با اهداف حسابرسی(بندهای 16-7 تا 22-7 ملاحظه شود) یا به ‌عنوان یک هدف یا روش حسابرسی مجزا، بسته به اهداف حسابرسی، انجام شود. بسته به اهمیت کنترل‎های سیستم‎های اطلاعاتی نسبت به اهداف حسابرسی، میزان روش‎های حسابرسی برای دستیابی به چنین شناختی ممکن است محدود یا گسترده باشد. افزون بر این، ماهیت و میزان خطر حسابرسی در ارتباط با کنترل‎های سیستم‎های اطلاعاتی تحت تأثیر ماهیت سخت‎افزار و نرم‎افزار مورد استفاده، پیکربندی شبکه‎ها و سیستم‎های واحد مورد حسابرسی و راهبرد سیستم‎های اطلاعاتی آن قرار دارد.
27-4- حسابرسان بایستی مشخص کنند که کدامیک از روش‎های حسابرسی در ارتباط با کنترل‎های سیستم‎های اطلاعاتی برای دستیابی به شواهد کافی و مناسب به ‌منظور  پشتیبانی از یافته‎ها و نتیجه‎گیری‎های حسابرسی، ضرورت دارد. عوامل زیر ممکن است در تعیین این روش‎ها به حسابرسان کمک کند:
الف- میزانی که کنترل‎های داخلی در رابطه با اهداف حسابرسی با اهمیت است، به اتکاپذیری اطلاعات پردازش یا ایجاد شده توسط سیستم‎های اطلاعاتی بستگی دارد.
ب- قابلیت دسترسی به شواهد خارج از سیستم اطلاعاتی برای پشتیبانی از یافته‎ها و نتیجه‎گیری‎ها: ممکن است برای حسابرسان امکان‎پذیر نباشد که بدون ارزیابی اثربخشی کنترل‎های سیستم‎های اطلاعاتی مربوط، به شواهد کافی و مناسب دست یابند. برای نمونه، چنانچه اطلاعات پشتوانه یافته‎ها و نتایج به ‎دست آمده، توسط سیستم‎های اطلاعاتی تولید شده است یا اتکاپذیری آن به کنترل‎های سیستم‎های اطلاعاتی بستگی دارد، ممکن است اطلاعات پشتوانه یا مؤید کافی یا شواهد مستند، به ‌جز اطلاعات فراهم شده توسط سیستم‎های اطلاعاتی، در دسترس نباشد.
پ- رابطه کنترل‎های سیستم‎های اطلاعاتی با اتکاپذیری داده‎ها: برای دستیابی به شواهد مربوط به اتکاپذیری اطلاعات تولید شده توسط رایانه، حسابرسان ممکن است تصمیم بگیرند اثربخشی کنترل‎های سیستم‎های اطلاعاتی را به ‌عنوان بخشی از کسب شواهد مربوط به اتکاپذیری داده‎ها ارزیابی کنند. چنانچه حسابرس به این نتیجه برسد که کنترل‎های سیستم‎های اطلاعاتی اثربخش است، ممکن است میزان آزمون مستقیم داده‎ها را کاهش دهد.
ت- ارزیابی اثربخشی کنترل‎های سیستم‎های اطلاعاتی به ‎عنوان هدف حسابرسی: هنگامی که ارزیابی اثربخشی کنترل‎های سیستم‎های اطلاعاتی به ‎طور مستقیم بخشی از هدف حسابرسی است، حسابرسان بایستی کنترل‎های سیستم‎های اطلاعاتی لازم برای پیگیری اهداف حسابرسی را آزمون نمایند. برای نمونه، حسابرسی ممکن است شامل ارزیابی اثربخشی کنترل‎های سیستم‎های اطلاعاتی مرتبط با سیستم‎ها، تسهیلات یا سازمان‎های معین باشد.