مقالات و تازه ها صفحه اول

یک شنبه, 29 ارديبهشت 98 | Sunday, May 19, 2019





 
دسته بندی

سوالات متداول درباره ایجاد و عملیات حسابرسی داخلی موثر - بخش سوم

تهیه کننده : دکتر حسین کثیری

زمان انتشار مطلب : شنبه, 14 ارديبهشت 98

این پرسش و پاسخها تنها برای اطلاعات عمومی ارایه شده‌ است و قصد ندارد که یک تحلیل و یا مشاوره حقوقی باشد. شرکت‌ها باید به دنبال مشاوره حقوقی و مشاوران مناسب برای مشاوره در خصوص سوالات خاص مرتبط به شرایط منحصر به فرد خود باشند.

سوالات متداول درباره ایجاد و عملیات حسابرسی داخلی موثر - بخش سوم
1.رئیس حسابرسی داخلی باید به چه کسی گزارش کند؟
خط مشی گزارش حسابرسی داخلی امروزه یک مساله پویا است، به خصوص با توجه به رسوایی‌های اخیر شرکت و تداوم اصلاحیه های مالی، ظهور مقرراتی مانند قانون ساربنز- اکسلی و استانداردهای جدید مبادلات سهام. همه این موارد به میزان قابل‌توجهی مسئولیت‌های کمیته حسابرسی را افزایش داده‌اند.
مشاوره عملی انجمن حسابرسان داخلی 2-111 رئیس اجرایی حسابرسی  خط مشی گزارشگری را بیان می کند."کمیته اجرایی حسابرسی  باید به یک سطح در سازمان گزارش دهد تا به به فعالیت حسابرسی داخلی اجازه ‌دهد تا مسئولیت خود را برآورده کنند: " مشاوره عملی پیش می رود تا بیان کند: انجمن حسابرسان داخلی به شدت معتقد است که برای رسیدن به استقلال لازم، رئیس اجرایی حسابرسی باید عملکرد خود را به کمیته حسابرسی یا معادل آن گزارش دهد. برای اهداف اجرایی، در اغلب موارد، رئیس اجرایی حسابرسی باید مستقیماً به مدیر عامل سازمان گزارش دهند. "
بر خلاف موسسه حسابرسی خارجی شرکت که طبق مقررات باید توسط گزارش کمیته حسابرسی به کار گرفته شود، حسابرسی داخلی نقش گسترده‌تری را برای اجرا از طریق خدمت به عنوان یک منبع برای کمیته حسابرسی و مدیریت شرکت ایفا می‌کند. اگرچه این "گزارش دوگانه" یک چیدمان نسبتاً حساس است و می‌تواند در عمل دشوار باشد، با این حال، مزایای مهمی برای شرکت به طور کلی، از جمله اهداف کلی راهبری شرکت و نیز اهداف مدیریت برای گزارش مالی قابل‌اطمینان، انطباق با قوانین و مقررات قابل‌اجرا، و کارایی و اثربخشی عملیات‌ها (اهداف کنترل داخلی کوزو را فراهم می‌کند.
تا زمانی که مقررات یا استانداردها تغییر کنند، حسابرسی داخلی بخشی از سیستم کنترل داخلی یک شرکت محسوب می‌شود، با این حال باید یک فعالیت مستقل، تضمین عینی و  مشاوره باشد که به رئیس اجرایی سازمان یک شرکت و کمیته حسابرسی شرکت پشتیبانی و گزارش کند.
2.آیا کارمندان شرکت می‌توانند در حسابرسی‌های داخلی مشارکت کنند؟
بله. بسیاری از شرکت‌ها برنامه‌های آموزش مدیریت، کارمندان با تجربه خاص یا برنامه‌های حسابرسی داخلی را به عنوان بخشی از برنامه‌ریزی منابع انتخاب می‌کنند. برخی سازمان‌ها برای کمک به مدیریت محیط کنترل داخلی سازمان و دیگر حوزه‌های عملیاتی، و ارائه افراد با تجربه آموزش و پیشرفت شغلی، دو تا چهار سال برنامه چرخشی ایجاد کرده‌اند.
این نوع انعطاف‌پذیری و آموزش اغلب درک سازمانی از مدیریت ریسک و سیستم‌های کنترل داخلی را افزایش می‌دهد و به کاندیداهای برنامه انگیزه می‌دهد تا برای برتری تلاش کنند. بالعکس، مدیریت حسابرسی داخلی باید آگاه باشد، در هر مورد، از همان تعارض منافع که به طور طبیعی از چنین روابطی با در نظر گرفتن این کاندیداها برای موقعیت‌های بالقوه در عملیات‌ها نشات می‌گیرند آگاه باشد. به عنوان مثال، ممکن است تعارض منافع برای افرادی وجود داشته باشد که عضو بخش حسابرسی داخلی از یک عملکرد سازمانی موجود هستند که مانع از حسابرسی همکاران سابق آن‌ها می‌شود. موقعیت‌های دیگر عبارت است از یک گرایش طبیعی از سوی یک حسابرس داخلی چرخشی جهت حفظ یک جهت گیری مطلوب در ارزیابی یک واحد کسب‌وکار یا عملکرد که در آن ممکن است به دنبال یک موقعیت تمام‌وقت باشد.

3.مزایا و معایب درون سپاری و برون سپاری حسابرسی داخلی چیست؟
تا دهه ۱۹۸۰، اکثر عملکردهای حسابرسی داخلی شرکت در درجه اول با کارکنان تمام‌وقت و اختصاصی کار می‌کردند. این ساختار به اندازه کافی موثر بوده و هنوز هم می‌تواند موثر باشد، اما تنها در صورتی که حسابرسان داخلی تمام‌وقت دارای تمام مهارت‌های لازم برای رسیدگی به خطرات تجاری کلیدی مواجه شده سازمان باشند. اگر این مورد نباشد، سپس عملکرد حسابرسی داخلی شرکت کارفرمای خود را در معرض خطر قرار می‌دهد و قادر به رسیدگی به خطرات کلیدی که از آن درخواست حسابرسی شده‌است، نمی‌باشد.
در طول دهه ۱۹۸۰، به عنوان مفهوم "شایستگی اصلی" توجه بیشتری به خود جلب کرد، شرکت‌ها بسیاری از فعالیت های تجاری خود و پتانسیل برون سپاری آن‌ها را ارزیابی کردند. حقوق  دستمزد، منافع، املاک و مستغلات، چاپ، عملیات سیستم‌های اطلاعاتی و نگهداری، و حتی جنبه‌های طراحی یا ساخت، در میان دیگر عملکردها در نظر گرفته شدند. بسیاری از شرکت‌ها منافع ملموس و روشن، بازگشت مثبت سرمایه ، و سطح خدمات بهبود یافته را در نتیجه برون سپاری یافتند. در برخی موارد، هزینه‌های سرمایه کاهش یافت و هزینه این عملکردها بیشتر متغیر شد. عملکردهای حسابرسی داخلی بخشی از این تحلیل بوده و چندین سازمان حسابرسی داخلی جدید و سازمان‌های مشارکت داخلی، از جمله شرکت‌های بزرگ حسابداری، ساختارهای جدیدی را برای ارایه چنین خدماتی ایجاد کرده‌اند.
امروزه، همه کسب و کارها، دولت و سازمان‌های غیرانتفاعی با ریسک‌های متعدد ناشی از فضای کاری پویا که در آن فعالیت می‌کنند مواجه هستند. مقررات جدید و به سرعت در حال تغییر ؛ خطرهای مهم مرتبط با تکنولوژی مانند امنیت، تداوم کسب‌وکار، و کاربرد و تمامیت داده‌ها؛ موارد بالا یا فرصت‌ها برای تقلب و سو استفاده؛ و مسایل دیگر مانند قانون ساربنز - اکسلی نیاز به عملیات حسابرسی داخلی برای  در اختیار داشتن یک استخر مخزن بزرگ‌تر و عمیق‌تری از استعداد دارند. این متخصصان باید بتوانند به طور موثر رسیدگی کنند، واکنش نشان دهند و به طور موثر حسابرسی و گزارش را در مورد این دنیای خطر به سرعت تغییر یافته گزارش دهند.
با توجه به این محیط خطر پویا، بعید است که اکثر عملیات های حسابرسی داخلی قابلیت مستمردرون سازمانی داشته باشند تا به اندازه کافی به هر خطری که آن‌ها و سازمان‌ها باید با آن مواجه شوند بپردازند. بنابراین، قرارداد، شراکت و یا کار با سازمان‌های خارجی که می‌توانند منابع تخصصی فراهم کنند، توانایی یک عملکرد حسابرسی داخلی را بهبود می‌بخشد و انتظارات مشتری را برآورده می‌کند. علاوه بر این، این چیدمان‌های مشترک اغلب به فرآیند انتقال دانش به منابع درون‌سازمانی کمک می‌کنند و سطح شایستگی کارکنان تمام‌وقت کار را بالا می‌برند.
به همین ترتیب، بسیاری از شرکت‌ها - به ویژه شرکت‌های دولتی، شرکت‌های خصوصی بزرگ و متنوع، و حتی نهادهای دولتی و سازمان‌های غیرانتفاعی - ممکن است کشف کنند که برون سپاری کامل یا نسبی عملیات های حسابرسی داخلی آن‌ها منطقی است و مزایای کوتاه‌مدت و بلندمدت دارد.
فواید برون سپاری شامل:
•شروع سریع عملیات و اجرای کار، از جمله روش‌های پیشرفته و ابزارهای حسابرسی ارائه‌شده توسط سازمان برون سپاری
•تمهید یک هزینه متغیر به جای هزینه ثابت عملیات
•دسترسی به تعداد بیشتر و گستره وسیعی از منابع
•به طور بالقوه بی‌طرفی و استقلال بیشتری را افزایش می‌دهد
قانون حسابرسی داخلی بازار بورس و اوراق بهادار نیویورک برای برون سپاری حسابرسی داخلی امکان پذیر است.بازار بورس و اوراق بهادار نیویورک در تفسیر خود به این نیاز اشاره کرده است:"یک شرکت ممکن است برون سپاری این عملیات را به یک ارائه دهنده خدمات شخص ثالث غیر از حسابرس مستقل خود انتخاب کند" شرکت ها همچنین باید اثرات منفی بالقوه برون سپاری یا مشارکت داخلی حسابرسی داخلی را که می‌تواند شامل شود را در نظر بگیرند، اما محدود به از دست دادن بالقوه کنترل از زمانی که منابع مستقیماً توسط شرکت مورد استفاده قرار نمی‌گیرند نیست.
از دیدگاه انجمن حسابرسان داخلی، حسابرسی داخلی، صرف نظر از اینکه چه کسی خدمات را ارایه می‌کند، باید مطابق با استانداردهای انجمن حسابرسان داخلی اجرا شود. انجمن حسابرسان داخلی در مقاله موضوعی خود بیان می کند، منابع جایگزین برای عملیات حسابرسی داخلی که به طور کامل از کارکنان حرفه ای شایسته تامین شده،بخش جدایی ناپذیری از سازمان است ،چه درون سپاری یا برون سپاری باشد. انجمن حسابرسان داخلی تشخیص می‌دهد که بسیاری از توافقنامه های همکای با ارایه دهندگان خارجی در کمک به سازمان‌ها برای به دست آوردن خدمات حسابرسی داخلی برای کمک به رسیدن به اهداف مدیریت موثر بوده‌اند.
در حالی که شرکت‌های غیر بورسی ملزم به داشتن یک عملکرد حسابرسی داخلی نیستند، برخی محدودیت‌های خاص در ماهیت و سطح خدمات حسابرسی داخلی اعمال می‌شوند که حسابرس مستقل هر شرکت می‌تواند هر کدام از قوانین و مقررات مربوط به کمیسیون بورس اوراق بهادار آمریکا را تامین نماید.
در نهایت، تصمیم‌گیری در مورد اینکه آیا کار حسابرسی داخلی را برون سپاری کنید صرف نظر از مزایا و معایب عمومی. در عوض، هر شرکت باید بپرسد:
•اگر ما در حال حاضر یک تابع حسابرسی داخلی نداشته باشیم، آیا بهتر است زمان و تلاش برای شروع کار حسابرسی داخلی خودمان را داشته باشیم؟ یا باید ابتدا آن را برون سپاری کنید تا شروع سریع و دسترسی به سطح بیشتری از تخصص و سطح وسیع‌تر منابع داشته باشد، و سپس این تصمیم و مدل تحویل را برای تضمین موثر بودن آن کنترل کنیم؟
•اگر ما پیش از این یک فعالیت حسابرسی داخلی داشته باشیم، آیا منابعی را داریم که باید به طور موثر تمامی ریسک‌های کلیدی که با آن مواجه هستیم را بررسی کنیم و در کدام حسابرسی داخلی باید درگیر شود؟ آیا ما نیاز است که تمام این منابع درون سازمانی را در تمام طول زمان داشته باشیم؟ آیا بهتر است که ما یک تمهیدی برای داشتن یک یا چند سازمان بیرونی برای کمک به  پرداختن خطرات خود در نظر بگیریم؟
عملیات حسابرسی داخلی بسیاری وجود دارد که در درجه اول متشکل از منابع پرسنلی تمام‌وقت و کاملاً اختصاصی است. با این حال، چیزی این عملیات را با ارزش تر، موثرتر و مناسب تر می‌سازد، به رسمیت شناختن محدودیت‌های خودشان است. بسیاری از عملکردهای حسابرسی داخلی بزرگ (بیش از ۲۵ کارمند تمام‌وقت) تشخیص می‌دهند که در محیط تجاری پیچیده امروز، داشتن تمام منابع مناسب در همه زمانی گران است. آن‌ها همچنین متوجه شدند که اشکال مختلفی از تمهیدات هم سپاری، تا حد زیادی همراه با شرکت‌ها، مدیریت و کمیته‌های حسابرسی که به آن‌ها خدمت می‌کنند، سود برده‌اند.
مطالعه موردی: هم سپاری
یک شرکت چند ملیتی بزرگ با یک عملکرد حسابرسی داخلی کارآمد و مستمر پی برد با وجود این که این شرکت دارای پرسنل خوب است، خطرات تجاری جدید و نیاز به مهارت‌های حسابرسی جدید در تمام طول زمان بروز خواهد کرد. تمهیدات خزانه‌داری پیچیده و اصلاح شده، یک سیستم اطلاعاتی پیشرو، سرمایه‌گذاری‌های مشترک جدید و همچنین یک تقسیم عادلانه در یک صنعت جدید، همگی بر توانایی‌های این بخش تاکید داشتند. به علاوه، بیش از میانگین بازده کارکنان روی داده و این کمبود در بخش پرسنل به طور منظم انجام شده.
مدیر حسابرسی داخلی، یک سرباز ۲۰ ساله، احساس کرد که "باید راه بهتری وجود داشته باشد" به او، به عنوان هم سپاری با شرکتی که می‌تواند به نیازهای تخصصی و فقط در زمان نیاز داشته باشد پاسخ این پرسش بود. هم چنین به نظر می‌رسد که اهرم بندی ویژگی و روش‌های فکری سود ارزشمندی است.
پس از ارزیابی و انتخاب یک شریک ، مدیر حسابرسی و بخش او به طور قابل‌توجهی قابلیت و اثربخشی کلی خود را در برخورد با مناطق پرخطر و پیچیده و نیز رضایت مشتری افزایش دادند.
مطالعه موردی: برون سپاری کامل
یک شرکت تولید محصولات مصرفی با پیش‌بینی قوی برای رشد و توسعه به دنبال ایجاد یک عملکرد حسابرسی داخلی بود که به یک سطح خاص از درآمدها و دامنه عملیاتی می‌رسید. هر دو مدیریت و کمیته حسابرسی بر این باور بودند که موقعیت شرکت چنین وظیفه‌ای برای کمک به توسعه یک ارزیابی ریسک و فرآیند مدیریت ریسک و تکمیل حسابرسی‌های داخلی متمرکز در نتیجه ارزیابی ریسک است. آن‌ها همچنین خواستار عملکرد حسابرسی داخلی برای رسیدگی به عملیات غیر منتظره و مسائل کنترل داخلی و کمک به آماده‌سازی بخش ۴۰۴ قانون ساربانز - اکسلی متمرکز شدند.
پس از بررسی گزینه‌های ایجاد و ساخت یک کارکرد داخلی، استخدام افراد منتخب و سپس به اشتراک گذاری یا برون سپاری عملکرد، شرکت به این نتیجه رسید که برون سپاری عملکردهای حسابرسی داخلی در ابتدا به طور کامل احساس را ایجاد کرده و بهترین منافع را فراهم کرده‌است. انعطاف‌پذیری، راه‌اندازی سریع، دسترسی به مهارت‌ها و منابع مختلف و همچنین منابع، کیفیت و شهرت برون سپاری، از جمله دلایل حمایت از این تصمیم بودند.به این ترتیب به شرکت اجازه داده شد تا یک عملکرد حسابرسی داخلی موثر تقریباً بلافاصله برای کمک به مدیریت و کمیته حسابرسی برای امانتداری و دیگر مسئولیت ها انجام دهند.

4. از کجا در مورد حسابرسی داخلی اطلاعات بیشتری کسب کنم؟
منبع اطلاعات اولیه در حسابرسی داخلی انجمن حسابرسان داخلی است.(به ضمیمه H مراجعه کنید) دیگر منابع عبارتند از شرکت‌های مشاوره‌ای، پورتال‌های مختلف اطلاعات آنلاین و دانشگاه‌هایی با برنامه‌های مرتبط.
راهبری اطلاعات (www.knowledgeleader.com)، یک انبار مبتنی بر حق اشتراک از پروتیویتی است،که بهترین راهنمایی‌های عملی، برنامه‌های کاری موضوعی و مقالات سفید در مورد حسابرسی داخلی، خطرات تجاری و خطرات فن‌آوری اطلاعات را فراهم می‌کند. دوره آزمایشی رایگان سی روز در دسترس هستند.
برای اطلاعات بیشتر در مورد منابع به ضمیمه های F، G و H مراجعه کنید.
فرآیند حسابرسی داخلی

5. کار حسابرسی داخلی در واقع چگونه انجام می شود؟
هنگامی که یک شرکت یک عملکرد حسابرسی داخلی را تشکیل می‌دهد، فرآیند ارزیابی ریسک را کامل می‌کند و یک طرح حسابرسی داخلی را توسعه می‌دهد که به ارزیابی ریسک پاسخ می‌دهد، و می‌تواند ماموریت‌های حسابرسی داخلی فردی را آغاز کند.
یک چارچوب برای راه‌اندازی و اجرای پروژه‌های حسابرسی داخلی باید شامل اقدامات زیر باشد:
•تعیین وظیفه حسابرسی (به عنوان مثال، زمان‌بندی، هدف، حوزه) با حوزه یا فرآیند حسابرسی (در برخی موارد، ممکن است مناسب باشد که حسابرسی را انتشار نکند، اما کاری را روی یک امر غافلگیر کننده یا اعلام‌نشده انجام دهند).
•برنامه‌ریزی مناسب برای وظیفه حسابرسی. این می‌تواند شامل موارد زیر باشد: 
•ارزیابی خطرات نواحی ویژه که باید مورد بررسی قرار گیرد.
–تهیه یک برنامه کاری نوشتاری.
–در مورد دامنه، محل، اندازه نمونه و دوره تحت بررسی توافق داشته باشید.
–یک قالب گزارش تهیه کنید که موثر باشد.
–درخواست و دریافت اطلاعات پیشرفته معین از ناحیه ای که باید مورد بررسی قرار گیرد.
–دسترسی به اطلاعات عملیاتی، معیارهای اجرایی و غیره بر ناحیه ای که باید مورد بررسی قرار گیرد.
–حسابرسی قبلی این حوزه را توسط حسابرسی داخلی و یا سایر گروه‌ها مانند تنظیم‌کنندگان، حسابرسان مستقل و مشاوران بررسی کنید.
–جلسات برنامه‌ریزی مشترک با مدیریت و صاحبان فرآیند ، فضاهای منطقه را مورد بررسی قرار دهند تا زمینه های مورد علاقه و نگرانی خود را را فراگیرند.
–در نظر بگیرید که آیا فعالیت‌های خود ارزیابی کمک کننده هستند یا خیر.
–اطلاعات خارجی را به بهترین روش‌ها جمع‌آوری کنید.
–تعیین منابع حسابرسی داخلی باید به حسابرسی اختصاص شود و اطمینان حاصل شود که آن‌ها سطح مناسب از تجربه و شایستگی را در اختیار دارند.
–معین کنید که آیا منابع خارجی یا حسابرسان میهمان باید ، از جمله از منابع فن‌آوری اطلاعات استفاده کنند.
–ورودی رسمی و کنفرانس‌های بسته را در نظر بگیرید.
•اجرای کار حسابرسی داخلی واقعی شامل ارزیابی فرآیند و طراحی کنترل و نیز روش‌های آزمایشی برای تعیین اثربخشی عملیات کنترل از قبیل پرسشگری، مشاهده، بررسی و بازپرداخت . موارد به روشنی ذکر شده و یافته‌های بالقوه را با مدیریت و صاحبان فرآیند مورد بحث و بررسی قرار دهید.
برای شرکت در جلسات مشاوره، مراحل کاری توافق‌شده را برای رسیدن به اهداف این وظیفه انجام دهید.
تهیه یک گزارش و یا سایر روش‌های ارتباطی مناسب به کار تکمیل‌شده و یافته‌های حاصل از آن پاسخ می دهد. حوزه‌هایی که ممکن است در نظر گرفته شوند عبارتند از:
–خلاصه اجرایی موضوعات و یافته‌های اصلی
–پیشینه، اهداف و طرح نهایی حوزه
–یافته‌های حسابرسی از جمله طرح اقدام مدیریت برای پرداختن به این یافته‌ها
–تحلیل و اطلاعات دیگر از جمله پیوست‌ها
قالب گزارش حسابرسی داخلی توسط هر شرکت فرق می‌کند. آنچه مهم است ایجاد رویکردی است که در ارتباط با مسایل کلیدی و دستیابی به تغییر مثبت و حل و فصل موضوعات گزارش‌شده موثر باشد. برای مثال، برخی از شرکت‌ها ممکن است گزارش‌های تک صفحه‌ای را موثر بیابند. دیگران ممکن است متوجه شوند که مدیریت باید به طور جداگانه و جدا از خود گزارش حسابرسی واکنش نشان دهد.
به علاوه، انتشار یک گزارش پیش‌نویس برای بحث اغلب یک روش مناسب و موثر برای تصحیح اصطلاحات و تضمین صحت تمام اطلاعات در گزارش است.
•یک روش موثر برای ردیابی و پی‌گیری یافته‌های حسابرسی و اقدامات توافق‌شده توسط مدیریت تهیه کنید. این امر می‌تواند شامل ثبت همه یافته‌های در یک پایگاه‌داده، برنامه‌ریزی حسابرسی‌های بعدی یا تماس‌های مذاکراتی، یا درخواست وضعیت از حسابرسی باشد. این امر ممکن است شامل داشتن مدیریت بر گزارش حوزه حسابرسی به مدیریت ارشد و کمیته حسابرسی باشد. حسابرسی  نیز باید تا حدی تعیین کند که کدام تحلیل از یافته های حسابرسی باید به طور مستقل تایید شود.
هیچ رویکرد یک اندازه متناسب برای اجرا و تکمیل کار حسابرسی داخلی وجود ندارد. رهبری حسابرسی داخلی، مدیریت و کمیته حسابرسی باید با یکدیگر کار کنند تا رویکردی ایجاد کنند که برای سازمان‌های مربوطه آن‌ها موثرتر است. استانداردهای انجمن حسابرسان داخلی و مشاوره های عملی نیز می‌توانند راهنما و چارچوبی برای پیروی ارایه دهند.

6.آیا یک عملکرد حسابرسی داخلی باید خطرات فن‌آوری اطلاعات را در نظر بگیرد؟
البته. کنترل‌های عمومی فناوری اطلاعات و کنترل‌های کاربردی کلیدی و فراگیر برای مدیریت ریسک هستند. اهمیت توجه به خطر فن‌آوری اطلاعات توسط راهنمای حسابرسی عمومی شماره ۴ - مدیریت حسابرسی فناوری اطلاعات انجمن حسابرسان داخلی پشتیبانی می شود که بیان می‌کند:
مشخص است که تکامل فناوری اطلاعات خطرات جدیدی را به سازمان معرفی می‌کند. این راهنما به رئیس اجرایی حسابرسی کمک خواهد کرد تا نحوه شناسایی و تعیین کمیت این خطرات مرتبط با فن‌آوری اطلاعات را درک کنند. انجام این کار به تضمین این امر کمک خواهد کرد که رویه‌های حسابرسی فناوری اطلاعات و منابع روی زمینه‌هایی متمرکز شوند که بیش‌ترین ریسک را برای سازمان دارند.
راهنمای حسابرسی عمومی شماره 4 نیز بیان می‌کند:
مشکلات در حال ظهور - فن‌آوری اطلاعات به سرعت تکامل می‌یابد. این تکامل می‌تواند خطرات جدیدی را در سازمان وارد کند. کلاس جهانی رئیس اجرایی حسابرسی تمرکز حسابرسی فناوری اطلاعات را نه تنها بر روی بلوک‌های سازنده فن‌آوری اطلاعات، بلکه فن‌آوری‌های جدید و نوظهور متمرکز می‌کند. یک بخش از مسایل در حال ظهور اطلاعات خاصی را در مورد تعدادی از فن‌آوری‌های در حال ظهور، ارزیابی خطراتی که این تکنولوژی‌ها برای سازمان ایجاد می‌کنند، و توصیه‌هایی برای اینکه چگونه رئیس اجرایی حسابرسی باید به این خطرات واکنش نشان دهند را ارایه می‌دهد.
عدم توجه به تاثیر فناوری اطلاعات منجر به یک عملکرد حسابرسی داخلی ناقص و بی‌اثر می‌شود. یک عملکرد حسابرسی داخلی باید با ریسک انجام شود، و در تجارت امروز، فن‌آوری رابطه مستقیمی با ریسک دارد. تکنولوژی هم کنترل‌های اصلی را در فرآیند تجارت و یا عملکرد را امکان پذیر می‌سازد و هم خطرات ذاتی خاصی را به ارمغان می‌آورد. درک چگونگی تاثیر خطرات فن‌آوری بر خطرات کلی سازمان حیاتی است. به عنوان مثال، اگر یک شرکت فن‌آوری را یک تفاوت تجاری استراتژیک برای فرآیندهای تجاری خاص در نظر بگیرد، ریسک در اطراف کاربردها، فن‌آوری و مولفه‌های مرتبط با آن فرایندها برای موفقیت کسب‌وکار اهمیت بیشتری پیدا می‌کند.
تکنولوژی کنترل‌ها را به عنوان تفکیک وظایف و محدود کردن اجرای معاملات به تنها آن‌هایی که توسط مدیریت (از طریق امنیت کاربردی و مدیریت مناسب آن) اجرا می‌شوند را امکان پذیر می‌سازد. علاوه بر این، فن‌آوری کنترل‌های حیاتی را از طریق منطق برنامه‌ریزی‌شده در برنامه‌های کاربردی فراهم می‌کند که معاملات معتبر را تایید می‌کند، محاسبات مناسب را دقیقاً و به طور کامل انجام می‌دهد، و کنترل خطا و منطقی را کنترل می‌کند.
خطرات ذاتی در پیرامون فن‌آوری شامل امنیت شبکه و اطلاعات شرکت، شبکه‌های کامپیوتری و داده‌های مرتبط است که در معرض خطرات داخلی و خارجی توسط هکرها، کارکنان ناراضی، جاسوسی شرکت‌ها و افرادی قرار دارند که ممکن است بخواهند کسب‌وکار را مختل کنند یا اسرار آن را یاد بگیرند.
همانطور که در راهنمای حسابرسی عمومی شماره ۴ خاطر نشان شد، خطرات فن‌آوری به صورت مداوم رشد می‌کنند. چالش‌های کنترل جدید مانند Wi - Fi، دسترسی از راه دور و شبکه‌های جهانی یک نمایه ریسک تغییر یافته و پویا را ارایه می‌دهند. بنابراین، فناوری اطلاعات بخش مهمی از هر کانون عملیات و قابلیت حسابرسی داخلی است. به طور کلی تمام عملکردهای حسابرسی داخلی باید بخش قابل‌اندازه‌گیری از فعالیت‌های آن‌ها متمرکز بر خطرات و مسایل مربوط به فناوری اطلاعات داشته باشد. این فعالیت‌ها باید شامل اقدامات مستقل و اقداماتی باشند که خطرات فن‌آوری و کنترل‌های مربوط به فرآیند تجاری کار حسابرسی را ادغام می‌کنند. در برخی موارد، کل فرآیند کسب‌وکار ممکن است اتوماتیک باشد و حسابرسی فرآیند تجاری به طور کامل به فن‌آوری پیچیده مربوط ‌شود. هماهنگی با این تلاش‌ها با مدیر ارشد فناوری اطلاعات یک سازمان حیاتی است.
انطباق موثر با بخش ۴۰۴ قانون ساربنز آکسلی همچنین نیازمند ارائه اسناد و مدارک و ارزیابی تلاش ها در هر دو سطح کنترل عمومی و کاربردی، و تاکید بیشتر بر نیاز به یک قابلیت فن‌آوری مناسب در عملکردهای حسابرسی داخلی است.
با توجه به گستردگی و تغییر سریع تکنولوژی و خطرات مرتبط با آن، عملکرد های حسابرسی داخلی باید در نظر بگیرند که در صورت نیاز به تکمیل پایگاه‌های مهارت خود در این حوزه، باید از منابع بیرونی استفاده کنند. در برخی موارد، ممکن است عاقلانه باشد که از افزایش سطح پرسنل تمام‌وقت برای انواع خاصی از خطرات و مشکلات فن‌آوری اطلاعات اجتناب شود و به جای آن بر منابع بیرونی برای کمک‌های مکرر تکیه کنند.

7.چه نوع مهارت‌های حسابرسی فناوری اطلاعات باید در بخش حسابرسی داخلی گنجانده شوند؟
در حالی که مهارت‌های خاص مورد نیاز برای حسابرسی فناوری اطلاعات ممکن است با صنعت و کاربردهای یک نهاد متفاوت باشد، تعدادی از مهارت‌های فنی که بطور سنتی برای بخش حسابرسی فناوری اطلاعات مورد نیاز هستند وجود دارد. از آنجا که تکنولوژی به تکامل ادامه می‌دهد و با فرآیندهای تجاری پیچیده‌تر می‌شود، مهارت حسابرس باید تکامل و نیز تغییر یابد. ما تعدادی از مهارت‌های خاص را تعریف کرده‌ایم که ممکن است برای تکمیل طرح حسابرسی فناوری اطلاعات لازم باشد. این موارد عبارتند از:
a.ارزیابی و برنامه‌ریزی خطر فناوری اطلاعات - در اغلب سازمان‌ها، انجام یک ارزیابی ریسک نیازمند مجموعه‌ای از مهارت‌ها می‌باشد. ارزیابی ریسک یک هنراست، نه یک علم، و درک بهتر آن از این که چگونه فن‌آوری با خطرات تجاری مقابله می کند، ارزیابی ریسک و طرح حسابرسی افزایش خواهد یافت. برنامه‌ریزی موثر حسابرسی فناوری اطلاعات مستلزم آگاهی از هر دو حسابرسی داخلی و خطرات فن‌آوری است.
b.مدیریت و راهبری فناوری اطلاعات سازمان ها در تلاش هستند تا درک کنند که راهبری فناوری اطلاعات مستلزم چیست، و مهارت‌ها در این حوزه به سرعت در حال تحول هستند؛ آن‌ها شامل مدیریت پورتفولیوی فناوری اطلاعات، بازگشت به ملاحظات سرمایه‌گذاری، مسائل پیرامون تنظیم فناوری اطلاعات و خدمات به سازمان می‌شوند.
c.مهارت‌های امنیتی و حریم خصوصی - دانش مورد نیاز برای حسابرسی و درک مناطق امنیتی و حریم خصوصی، پیچیده و به سرعت در حال تغییر است. تعدادی از مقررات بر امنیت و حریم خصوصی، از جمله قانون Gramm - Leach، HIPAA و ساربنز - اکسلی متمرکز شده‌اند. یکی از مهم‌ترین بخش‌ها برای بسیاری از شرکت‌ها پیرامون استانداردهای امنیت کارت اعتباری، کارت پرداخت و نحوه استفاده از اطلاعات و داده های شخصی است.
d.کنترل‌های کاربردی سازمانی – مهارت های امنیتی و پیکربندی - دانش چگونگی عملکرد برنامه‌های کاربردی فناوری اطلاعات بسیار مهم است. کنترل‌های برنامه‌ریزی‌شده حیاتی عبارتند از اعتبار سنجی داده‌ها و روش های بررسی خطا، بررسی های منطقی در مورد برخی نقاط  پردازش کلیدی ، تفکیک منطقی وظایف و محدودیت‌های موجود در مورد اینکه چه کسی می‌تواند تراکنشها‌ را آغاز و مشاهده کند. در برنامه‌های منابع سازمانی بزرگ ،امروزه این کنترل‌ها، بخش مهمی از پیکربندی برنامه هستند. مهارت‌ها پیرامون این که چگونه این کنترل‌ها و پیکربندی برنامه‌ریزی‌شده با روش‌های دستی تعامل دارند، مورد نیاز است. مهارت‌های کاربرد خاص صنعتی نیز مورد نیاز است.
e.پیکربندی و اجزای زیرساخت فناوری - این حوزه شامل دانش زیرساختار فن‌آوری حیاتی، مانند شبکه‌ها، پایگاه‌داده و پلت فرم‌ها است. تعدادی از این مهارت‌ها مربوط به ملزومات پیچیده امنیت و پیکربندی هستند. علاوه بر این، نیازهایی پیرامون جنبه‌های عملیاتی خاص برای فن‌آوری‌هایی نظیر پشتیبانی، بازیابی و مسایل اجرایی وجود دارد.
f.مهارت‌های پردازش اطلاعات - تعدادی از مهارت‌های پردازش برای حسابرسی فن‌آوری اطلاعات مورد نیاز است. این موارد شامل مدیریت امنیتی در زمینه‌های کاربردی و اجزای فنی، تداوم تجاری و برنامه‌ریزی بازیابی فاجعه، عملیات‌های مرکز داده‌ها، مدیریت تغییر برنامه، مدیریت تغییر زیرساخت، و مدیریت خدمات و دارایی است.
استراتژی اطلاعات، داده‌ها و مدیریت سوابق داده ها در حال مستقل‌تر شدن از برنامه‌ها است. داده‌های مشترک بین برنامه‌ها باید مالکیت و مدیریت شود. مسایل مدیریت داده‌ها شامل اکتشاف و نگهداری سوابق و نیز سایر مسایل قانونی کلیدی می‌شوند. تعداد رو به رشدی از مهارت‌ها برای پرداختن به این حوزه‌ها در اغلب سازمان‌ها مورد نیاز است.
تمامی حسابرسان داخلی باید دارای یک قابلیت سطح پایه مرتبط با خطرات و کنترل های فناوری اطلاعات باشند. در بسیاری از موارد، تخصص‌های عمیق‌تر در برنامه های خاص، سیستم‌های برنامه ریزی منابع سازمانی و سایر مناطق مورد بحث در بالا مورد نیاز هستند. در تعدادی از موارد، سازمان‌ها برای توسعه یک عمل تخصصی فناوری اطلاعات در بخش حسابرسی داخلی خود، با توجه به ماهیت مسائل و خطرات مرتبط با فن‌آوری اطلاعات، انتخاب می‌کنند.
عملیات حسابرسی داخلی باید عمق، وسعت و فراوانی نیازهای منبع حسابرسی فناوری اطلاعات خود را ارزیابی کرده و زمانی را در نظر بگیرند که چگونه سازمان ها و منابع خارجی می‌توانند برای دستیابی به بهترین تعادل میان افراد و مهارت‌ها کمک کنند.

8.ما باید در گزارش حسابرسی داخلی به دنبال چه باشیم؟
یک گزارش حسابرسی داخلی نوشته شده بدون اشکال یک ابزار بسیار موثر برای مدیریت، کمیته حسابرسی و مالکان فرآیند تحت‌تاثیر گزارش است تا تغییرات مثبت و بهبود کنترل‌ها، دقت اطلاعات و فرآیند اساسی مورد بررسی قرار گیرند.
گزارش حسابرسی باید پرسش‌های زیر را در نظر داشته باشد:
هدف و پیش‌زمینه - چرا حوزه انتخابی برای حسابرسی انتخاب شد؟ آیا به علت ذاتی یا مشاهده خطر زیاد، مشکلات شناخته‌شده، سابقه موضوعات گذشته، تغییر مدیریت، اهمیت منطقه یا عوامل دیگر بوده‌است؟ جنبه‌های کلیدی، خطرات و اهداف حوزه مورد بررسی کدامند؟ آیا بخشی از برنامه اصلی ناشی از فرآیند ارزیابی خطر است؟
دامنه - دامنه کار چیست و چه زمانی اجرا شد؟ چه مدت زمان و واحدهای تجاری ای پوشش داده شدند، و کدام جنبه‌های عملیات را شامل شدند؟ تلاش برای پرداختن به چه خطرات کلیدی انجام شده؟
یافته‌ها - یافته‌های کلی چیست؟ آن‌ها چقدر جدی بودند؟ آیا تنها مسایل کمی وجود دارند که باید مورد توجه قرار گیرند، یا کاستی‌های اساسی در کنترل‌های داخلی یا فرآیند مورد بررسی وجود دارد؟
توصیه‌ها - چه اقداماتی باید مدیریت شوند تا به اندازه کافی یافته‌های حسابرسی را مورد توجه قرار دهند؟
برنامه های اقدام مدیریت - آیا برنامه‌ روشنی برای اصلاح نقص‌های نشان‌داده‌شده وجود دارد؟ چه کسی مسئولیت اقدام اصلاحی را بر عهده خواهد گرفت؟ چه زمانی مسائل اصلاح می‌شود؟
پی‌گیری و ردیابی - پیشرفت حسابرسی داخلی چگونه پیشرفت مدیریت را در پرداختن به کاستی‌های ذکر شده نظارت می‌کند؟ گزارش حسابرسی داخلی سالانه و فصلی به کمیته حسابرسی باید شامل پی‌گیری و تاییدیه قطعنامه‌های عملکرد مدیریت ناشی از یافته‌های حسابرسی باشد. یکی از معیارهای عملکرد حسابرسی داخلی موثر، ایجاد تغییرات مثبت و توافق‌شده در سازمان است که باعث بهبود و افزایش آگاهی از ساختار کنترل داخلی مدیریت می‌شود.
برای اطلاعات بیشتر در مورد گزارش‌های حسابرسی داخلی به سوال ۲۵ مراجعه کنید.

9.خودآزمایی کنترل چیست؟
خود آزمایی کنترل فرآیندی است که از طریق آن اثربخشی کنترل داخلی بررسی و ارزیابی می‌شود. هدف ارائه تضمین منطقی از سوی کسانی است که کار را انجام می‌دهند و تمام اهداف تجاری برآورده خواهند شد.
مسئولیت فرآیند بین تمام کارمندان یک سازمان تقسیم می‌شود. خود آزمایی کنترل در یک محیط ساختاریافته به کار گرفته می‌شود که در آن فرآیند به طور کامل مستندسازی شده و به عنوان مشوقی برای بهبود مستمر، تکرار می‌شود. فرآیند خود آزمایی کنترل به مدیریت و تیم‌های کاری به طور مستقیم مسئولیت یک عملیات تجاری را برای موارد زیر می دهد:
a.مشارکت در ارزیابی کنترل داخلی.
b.ارزیابی ریسک.
c.توسعه برنامه‌های عملی برای پرداختن به ضعف‌های شناسایی‌شده.
d.ارزیابی احتمال دستیابی به اهداف تجاری.
انجمن حسابرسان داخلی بر این باور است که خود آزمایی کنترل ، اطلاعاتی را در زمینه کنترل داخلی به وجود می آورد که که برای مدیریت و حسابرسان داخلی در تشخیص کیفیت کنترل مفید است. همچنین می‌تواند تاثیر مثبتی بر محیط کنترل داشته باشد. همانطور که پرسنل عملیاتی به این فرآیند می پردازند، آگاهی کنترل افزایش می‌یابد.

10.آیا یک تعریفی استاندارد برای کنترل‌های داخلی وجود دارد؟
بله. تعریف زیر توسط چارچوب یکپارچه کنترل داخلی کوزو ارائه می‌شود. کمیسیون بورس و اوراق بهادار آمریکا و هیئت نظارت بر حسابداری شرکت های عام تایید کرده‌اند که چارچوب کوزو یک چارچوب مناسب برای اهداف ارزیابی کنترل داخلی است. خارج از ایالات‌متحده، چارچوب های کنترل داخلی شناخته‌شده دیگری وجود دارند که شامل تعاریفی برای کنترل داخلی و سایر اهداف پیشنهادی هستند.
کنترل داخلی فرایندی است که توسط هییت مدیره یک سازمان، مدیریت و دیگر پرسنل درگیر می‌شود. باید تضمین منطقی در مورد دستیابی به اهداف در مقوله‌های زیر ارایه دهد:
a.اثربخشی و کارایی عملیات‌ها
b.قابلیت اعتماد به گزارش مالی
c.انطباق با قوانین و مقررات قابل‌اجرا
مفاهیم کلیدی
d.کنترل داخلی یک فرآیند است. این امر وسیله‌ای است برای پایان، نه یک پایان به خودی خود.
e.کنترل داخلی تحت‌تاثیر افراد قرار می‌گیرد. نه تنها راهنما و اشکال سیاست بلکه افراد در هر سطح یک سازمان هستند.
f.انتظار می‌رود که کنترل داخلی تنها تضمین منطقی، و نه تضمین مطلق، به مدیریت و هیات‌مدیره یک نهاد ارائه دهد.
کنترل داخلی برای رسیدن به اهداف در یک یا چند دسته جداگانه هم پوشانی دارد. کنترل داخلی متشکل از پنج مولفه مرتبط است. این ها از شیوه مدیریت یک تجارت کسب می‌شوند و با فرآیند مدیریت ادغام می‌شوند. اگرچه اجزا برای همه نهاد های کوچک و متوسط اعمال می شوند، ممکن است آن‌ها را متفاوت از شرکت های بزرگ کنند. (کنترل‌های شرکت‌های کوچک تر ممکن است کم‌تر رسمی و ساختاریافته باشند). اجزای آن عبارتند از:
g.محیط کنترل، لحن یک سازمان را تنظیم می‌کند، که بر آگاهی کنترل مردم آن تاثیر می‌گذارد. این امر پایه و اساس تمام اجزای دیگر کنترل داخلی، فراهم کردن نظم و ساختار است.
h.ارزیابی ریسک - این جز شناسایی و تجزیه وتحلیل خطرات مرتبط با تحقق اهداف آن، تشکیل مبنایی برای تعیین چگونگی مدیریت ریسک است.
i.فعالیت‌های کنترل - شامل سیاست‌ها و رویه‌هایی که به اطمینان از اجرای دستورها مدیریتی کمک می‌کنند.
j.اطلاعات و ارتباطات - این جز شامل فرایندها و سیستم‌هایی است که از شناسایی، ثبت و تبادل اطلاعات در قالب و چارچوب زمانی پشتیبانی می‌کنند که افراد را قادر می‌سازد تا مسئولیت‌های خود را انجام دهند.
k.نظارت – شامل فرایندهایی است که کیفیت عملکرد کنترل داخلی را در طول زمان ارزیابی می‌کنند.

مجموعه آموزش های کوتاه ویدئویی

قسمت اول : شناخت و ارزیابی سیستم کنترل های داخلی در سطح سازمان