Audyt prof. SGH dr hab.

Ewa Hellich

informatyczny ACCA(F8)
 KSB 315 – poznanie jednostki i jej środowiska
oraz szacowanie ryzyka wystąpienia istotnej
nieprawidłowości
Poznanie BR powinien poznać jednostkę i jej środowisko,
w tym jej kontrolę wewnętrzną w stopniu
jednostki i wystarczającym do:
jej • rozpoznania i oszacowania ryzyka Istotnych
środowiska Nieprawidłowości (IN), także wywołanych
błędami lub oszustwami,
• zaprojektowania i przeprowadzenia dalszych
procedur badania.
 Metodyka badań sprawozdań finansowych w
środowisku informatycznym
• Badanie obok komputera (auditing around the
computer) , najstarsze podejście, biegły rewident
traktuje system informatyczny jako „czarna skrzynkę”.

• Badanie zawężone do weryfikacji wyników działania

oprogramowania systemu. Wprowadzenie danych do
systemu i prześledzenie ich przepływu i raportowanie
wyników.
 Badanie przez komputer
• Podejście systemowo-zorientowane (system -
based approach)
• Biegły rewident posiada znajomość systemu
informatycznego.
• System IT jest przedmiotem badania, ze
szczególny uwzględnieniem zachodzących w
nim procesów.
• Zadaniem biegłego jest badanie wiarygodności
(poprawności przetwarzania) i niezawodności
działania środowiska informatycznego
jednostki.
 Badanie z komputerem
• Podejście informacyjnie –zorientowane (data-
based approach)
• U życie specjalistycznego oprogramowania
wspomagającego rewizję finansową.
• Głównym przedmiotem badań jest informacja
ekonomiczna generowana przez system IT.
• Możliwość eksportowania danych do programów
zewnętrznych i dalszego przetwarzania dla celów
rewizji.
• Oprogramowanie wspomagające rewizje:
uniwersalne, specjalistyczne.
 Rodzaje systemów
informacyjnych
A. Systemy ręczne i automatyczne
Mimo szerokiego stosowania systemów IT
występują także elementy ręczne. Proporcje
bywają różne.

B. Systemy informatyczne:
• ewidencyjne
• ewidencyjno-decyzyjne.
Stosowanie ręcznych lub automatycznych
elementów kontroli wewnętrznej wpływa także na
sposób rozpoczynania, rejestrowania,
przetwarzania i wykazywania transakcji.
 Personel związany
ze środowiskiem
Zasoby informatycznym
Elementy informatyczne wg grup
zawodowych,
środowiska
informatycznego
w jednostce

System Elementy
organizacji otoczenia
pracy, zewnętrznego.
 Zasoby
informatyczne

sprzęt komputerowy, oprogramowanie

systemowe (system operacyjny, system
zarządzania bazą danych, programy
diagnostyczne, oprogramowanie użytkowe
(edytory tekstów, arkusze kalkulacyjne,
oprogramowanie specjalne- dziedzinowe,
np. płace, zbiory bazy danych w tym
kopie bezpieczeństwa, dokumentacja
projektowa
 Personel związany ze
środowiskiem informatycznym
wg grup zawodowych:
Personel • programiści,
• administrator ,
• serwisanci.
  scentralizowany,
 zdecentralizowany;
System  przekazanie na zewnątrz (biuro
organizacji rachunkowe, centrum
pracy obliczeniowo-finansowe),
 uwarunkowany systemem
kontroli wewnętrznej
 Elementy otoczenia zewnętrznego

organizacja przekazywania danych innej jednostce – biuro podział odpowiedzialności za kontrole i bezpieczeństwo danych
rachunkowe, forma tradycyjna, Internet, między stronami umowy.
 Korzyści IT
• Spójne stosowanie określonych zasad działalności gospodarczej
oraz przeprowadzanie złożonych obliczeń,
• Zwiększenie terminowości, dostępności i dokładności informacji,
• Możliwość dodatkowych analiz,
• Zwiększa nadzór nad wynikami oraz stosowanymi procedurami,
• Zmniejsza ryzyko obejścia kontroli,
• Skuteczny podział obowiązków, kontroli bezpieczeństwa
programów, baz danych oraz systemów operacyjnych.
 IT a ryzyko kontroli wewnętrznej
• Poleganie na programach lub systemach, które przetwarzają niedokładnie,
przetwarzają niedokładne dane lub łączą obie te właściwości,
• Nieautoryzowany dostęp do danych, szczególnie gdy do wspólnej bazy ma
dostęp wielu użytkowników,
• Nieodpowiednie ręczne interwencje,
• Potencjalna utrata danych (brak zasilenia),
• Nieterminowa aktualizacja programów, systemów,
• Możliwość uprzywilejowanego dostępu dla pracowników działu IT,
• Nieautoryzowane zmiany w plikach głównych
 Działalność oparta o handel elektroniczny:
• może uzupełniać tradycyjną działalność,
• Może stanowić zupełnie nową odmianę
działalności.
IT a rozwój
branży • Branże, które uległy transformacji dzięki
IT: oprogramowanie komputerowe, obrót
papierami wartościowymi, bankowość,
usługi turystyczne, książki i czasopisma,
fonografia, reklama, media informacyjne,
edukacja i inne.
 • W przypadku handlu
elektronicznego mogą nie istnieć
zapisy papierowe oraz istnieje
większe prawdopodobieństwo, że
IT a dowody zapisy elektroniczne mogą bez
pozostawienia śladów ulec
badania zniszczeniu lub zmianie niż zapisy
papierowe. BR powinien stwierdzić,
czy polityka bezpieczeństwa i
polityka informacyjna oraz kontrole
bezpieczeństwa są wdrożone, czy są
w stanie zapobiegać
nieprawidłowościom.
 • Ocena integralności dowodów
elektronicznych wymaga zbadania
kontroli integralności zapisów,
elektroniczne datowniki, podpisy
Zautomatyzowane elektroniczne, kontrole wersji
kontrole oprogramowania. Może tez wystąpić
potrzeba przeprowadzenia
dodatkowych procedur, np.
uzyskanie potwierdzeń u stron
trzecich szczegółów transakcji lub
sald kont.
 • Na sposób gromadzenia i
przekazywania transakcji handlu
elektronicznego do systemu
Procesy księgowego jednostki mogą wpływać:
gospodarcze a a) Kompletność i dokładność
przetwarzania transakcji i
IT przechowywania informacji,
b) Moment ujęcia przychodów ze
sprzedaży, zakupów i innych transakcji,
c) Rozpoznanie i rejestracja transakcji
spornych.
 • BR powinien ocenić kontrole
dotyczące zintegrowania
Stwierdzenia transakcji handlu elektronicznego
w z systemami wewnętrznymi oraz
sprawozdaniu kontrole zmian systemowych i
finansowym a konwersji danych służących
automatyzacji struktury
IT procesów, jeżeli dotyczą one
stwierdzeń sprawozdania
finansowego
 Błędy ludzkie

b. sprzętu i
oprogramowania

Nieprawidłowości nadużycia komputera

przez ludzi

zdarzenia
losowe
przestępczość komputerowa –
naruszenie bezpieczeństwa
danych i systemów
informatycznych
 Kontrola dostępu
• W jednostce funkcjonują fizyczne
lub logiczne mechanizmy kontroli,
które ograniczają lub wykrywają
Mechanizmy nieuprawniony dostęp do zasobów
kontroli informatycznych (np. sprzętu,
systemów systemu, aplikacji, danych) mające
informatycznych na celu ich ochronę przed
nieautoryzowanymi zmianami,
utratą lub ujawnieniem.
 Kontrola oprogramowania systemowego

Mechanizmy kontroli • Wdrożono mechanizmy kontroli, które

systemów informatycznych ograniczają i monitorują dostęp do
oprogramowania systemowego.
 Kontrola tworzenia i zmian w
aplikacjach

Mechanizmy • W jednostce funkcjonują

kontroli mechanizmy kontroli, które
systemów zapobiegają działaniom
informatycznych polegającym na wprowadzaniu
nieautoryzowanych aplikacji lub
zmian w funkcjonujących
aplikacjach i wykrywają te działania.
 Podział obowiązków

Mechanizmy
kontroli
systemów
informatycznych
 Mechanizmy kontroli systemów
informatycznych

Ciągłość działalności

• Wdrożono mechanizmy, które w

przypadku wystąpienia
niespodziewanych zdarzeń zapewniają,
że najważniejsze operacje są
prowadzone bez przeszkód lub zostaną
wznowione oraz, że najważniejsze dane
są właściwie chronione.
 Kontrole aplikacyjne
• Poszczególne aplikacje użytkowe
wyposażone są w odpowiednie mechanizmy
kontroli, których celem jest zapobieganie,
wykrywanie i korygowanie błędów
Mechanizmy związanych z przetwarzaniem i przepływem
kontroli danych.
systemów
informatycznych • Aplikacyjne mechanizmy kontroli
funkcjonują na etapie wprowadzania i
przetwarzania danych, a także generowania
informacji z systemu.
 • Projektując i przeprowadzając
badanie, jak również oceniając
wyniki i sporządzając sprawozdanie
Przestrzeganie BR powinien uwzględnić, że
prawa naruszenie przez jednostkę prawa i
innych regulacji może wywierać
istotny wpływ na sprawozdanie
finansowe.