Proces audytu skomputeryzowanego systemu księgowego obejmuje pięć głównych etapów: przeprowadzenie wstępnej oceny (planowanie audytu); przegląd i ocena kontroli wewnętrznych; testowanie zgodności (testowanie kontroli wewnętrznej); testowanie merytoryczne (testowanie szczegółowych danych); i raportowanie (wnioski i ustalenia). Audytor / kontrolerzy powinni od samego początku porozumieć się z klientem w zakresie zakresu i ograniczeń audytu. Ułatwi to osiągnięcie celów kontroli w sposób skuteczny i efektywny.
Przeprowadź wstępną ankietę podmiotu. Jest to wstępna praca nad zaplanowaniem sposobu przeprowadzenia audytu. Audytorzy gromadzą informacje na temat skomputeryzowanego systemu księgowego, który jest istotny dla planu audytu, w tym: wstępne zrozumienie sposobu organizacji skomputeryzowanych funkcji księgowych; identyfikacja sprzętu komputerowego i oprogramowania wykorzystywanego przez jednostkę; wstępne zrozumienie każdej ważnej aplikacji księgowej przetwarzanej przez komputer; oraz określenie planowanego wdrożenia nowych aplikacji lub zmian w istniejących aplikacjach i stosownych kontrolach.
Zdobądź i udokumentuj zrozumienie kontroli wewnętrznych. Istnieją dwa rodzaje kontroli: ogólne i zastosowania. Ogólne kontrole obejmują te, które obejmują organizację, zarządzanie i przetwarzanie w środowisku komputerowym, ale nie są powiązane z konkretnymi aplikacjami. Powinny zostać przetestowane przed kontrolą aplikacji, ponieważ jeśli okaże się, że są nieskuteczne, audytor nie będzie mógł polegać na kontroli aplikacji. Ogólne kontrole obejmują takie kwestie, jak właściwy podział obowiązków, plan klęski żywiołowej, archiwizacja plików, używanie etykiet, kontrola dostępu, procedury nabywania i wdrażania nowych programów i sprzętu itp. Kontrola aplikacji odnosi się do konkretnych zadań wykonywanych przez system. Obejmują one kontrole wprowadzane, kontrole przetwarzania i kontrole wyjściowe oraz powinny zapewniać wystarczającą pewność, że inicjowanie, rejestrowanie, przetwarzanie i raportowanie danych są wykonywane prawidłowo.
Przeprowadź testy zgodności, aby określić, czy kontrole rzeczywiście istnieją i działają zgodnie z przeznaczeniem. Istnieją trzy ogólne podejścia do testowania zgodności: Metoda danych testowych, w której kontroler przeprowadza transakcje testowe przetworzone za pośrednictwem systemu klienta, a następnie porównuje wyniki z wcześniej ustalonymi wynikami; Zintegrowane podejście do placówki testowej, w którym przetwarzane są transakcje pozorowane wraz z rzeczywistymi transakcjami i porównywane z audytorami z góry ustalonymi wynikami; oraz równoległe podejście symulacji, w którym rzeczywiste transakcje są przetwarzane za pośrednictwem systemu klienta, a także poprzez równoległy system ustanowiony przez audytora przy użyciu tych samych programów, a wyniki są porównywane. Stosuje się wyniki dowolnych z tych podejść testowych, które powinny poinformować audytora, czy kontrole istnieją i czy działają prawidłowo.
Przeprowadź testowanie w celu ustalenia, czy dane są prawdziwe. Audytorzy muszą uzyskać i ocenić dowody dotyczące twierdzeń kierownictwa na temat sprawozdań finansowych. Istnieje pięć twierdzeń: kompletność; prawa i obowiązki; wycena lub alokacja; istnienie lub występowanie; prezentacja oświadczeń i ujawnień. Audytor stosuje twierdzenia w celu opracowania celów audytu i zaprojektowania testów bezpośrednich. Testy merytoryczne to testy transakcji i sald oraz procedury analityczne mające na celu uzasadnienie twierdzeń. Audytor musi uzyskać wystarczające kompetentne materiały dowodowe, aby zapewnić podstawę do wydania opinii o badaniu sprawozdania finansowego. Jeżeli nie można uzyskać wystarczających właściwych dowodów, nie można wydać opinii.
Napisz raport z audytu, aby ukończyć audyt. Raport z audytu będzie zawierał opinię bez zastrzeżeń, opinię z zastrzeżeniami lub wyłączenie opinii. Opinia bez zastrzeżeń oznacza, że sprawozdania finansowe są przedstawione rzetelnie zgodnie z ogólnie przyjętymi sprawozdaniami finansowymi (GAAP). Opinia z zastrzeżeniem oznacza, że sprawozdania finansowe są przedstawiane rzetelnie zgodnie z GAAP, z wyjątkiem niektórych kwalifikujących kwestii. Zrzeczenie się opinii oznacza, że biegły rewident nie był w stanie uzyskać wystarczających dowodów kompetentnych do wydania opinii. Po wydaniu raportu z kontroli audyt jest zakończony.
