Az Informatikai kontrollok és számítógépes elemzı technikák használata a könyvvizsgálati munkában Nagy Péter, CISA, ACCA +36 30 9193807
1
3/8/2013
Az informatikai rendszerek vizsgálatának fıbb problémái • A könyvvizsgálat során sokszor vakon bízzuk magunkat az informatikai rendszerekre, mondván ugyan az egy számunka ismeretlen fekete doboz, de biztosan jól kalkulál, hiszen a számítógép nem tévedhet. • A rendszer hibás mőködése esetén a standard riportok és lekérdezések is hibásak lehetnek ezért rendszertıl független ellenırzések, tesztelések válnak szükségessé. • Különösen a régebben fejlesztett rendszereknél nincs meg a rendszerleírás, a szakértıi tudás. A rendszer paraméterezésénél nem ismert az aktuális beállítások jelentése.
Az informatikai rendszerek vizsgálatának fıbb problémái – folyt. • A vizsgálandó adatok kinyerése a nagy adatbázisokból sokszor nehezen leküzdhetı technikai problémát jelent. Az auditorok és az informatikusok más nyelvet beszelnek. A megoldáshoz olyan tudás szükséges, ami mind a két területre rálát. • A nem tervezett rendszer leállásoknál megsérülhetnek az adatok is. • Az informatikai rendszerek folyamatos változások alatt állnak, az új termékek és a rendszerek korszerősítése révén. • Ha az adatokat az új rendszerekbe migrálni kell, a migráció helyességének ellenırzése különös terhét ró az auditorokra a nagy adatmennyiség miatt. • Az informatikai rendszerek „elmozdulnak”, az audit alatt, pillanatfelvétel készítése válik szükségessé.
Az informatikai rendszerek vizsgálatának kérdései • A letöltött adatok révén rendkívül nagy mennyiségő adat áll rendelkezésre: Milyen számítógépet használjunk? Milyen adatbázist építsünk? • A sok milliós tranzakció szám mellett milyen tételeket vizsgáljunk? A fı terméktípusok mellett számos termékvariáns létezik (az eltérı kamatkondíciók, díjak tekintetében). • Milyen technikák léteznek az eredményszámlák ellenırzésére a nagy számú tranzakciók mellett? • Milyen technikákkal lehet lefedni a csalásokat és visszaéléseket amelyek eredete lehet külsı és belsı is? • Mi alapján támaszkodhat a könyvvizsgáló az ügyfelek információs rendszereire, az azokból származó információkra?
Az informatikai rendszerek vizsgálatának kérdései – folyt. • Lehet-e támaszkodni a belsı ellenırzés munkájára IT szempontból ? – – – –
IT audit hiánya a belsı ellenırzésen belül Nem megfelelıen képzett a belsı ellenır Módszertan hiánya Függetlenség hiánya
IT audit támogatás fıbb területei • Ideális esetben a könyvvizsgáló rendelkezik megfelelı IT audit tudással, a gyakorlatban gyakori az IT auditor felkérése segítség nyújtására • A könyvvizsgálók által végzett audit hatékony támogatása megköveteli, hogy annak célját tartsuk szem elıtt. szerepet –A beszámoló elıállításában rendszerekre fókuszál –„IT jellegő” kontrollok –Folyamatok – kontroll megközelítés –Kontrollok tesztelése –Újraszámítások
játszó
Hogyan segítheti a számítógépes elemzési technika /CAAT/ a vizsgálatot? •Növelheti a bizonyossági szintet, a hatékonyságot a rendszerszintő megközelítés által. •Az automatizált audit technikák révén a vizsgálatok elemzési lépései újrafelhasználhatóak. Egy több éves megbízás esetén az elsı éves többletráfordítás a további években megtérül. •Az általános IT kontrollok ellenırzése integrálható az audit vizsgálatba. •A rendszervizsgálat költségei szétoszthatóak több ügyfél között, ha ugyanolyan rendszert üzemeltetnek.
Hogyan gyızıdhetünk meg egy IT rendszer megbízhatóságáról? • A pénzügyi és számviteli folyamatok vizsgálata esetén felderítjük a kockázatos pontokat. Mi az ami elromolhat? • A felderített kockázatokat lefedı kontrollokat vizsgáljuk meg tüzetesen. • Az Informatikai rendszerekben meg kell vizsgálni az általános informatikai kontrollokat ill. az automatikus üzleti kontrollokat. • A kontrollvizsgálat történhet mintavételes alapon, az analitikus elemzıeszközökkel (pl. EXCEL, ACCESS, ACL, IDEA, SQL scriptek stb.). • Történhet a teljes állomány kielemzésével.
Informatikai kontrollok vizsgálata • • • • • • •
Informatikai rendszerek, folyamatok megértése, Az informatikai stratégia áttekintése, Az informatikai és biztonsági szervezet áttekintése, Hozzáférési kontrollok vizsgálata, „Hátsó ajtók”, Programváltoztatási kontrollok vizsgálata, Feladatkörök szétválasztása, Segregation of duties, Az informatikai rendszerek / rendszermodulok szelektálása, • A vizsgálati lekérdezések auditori nézetbe rendezése
Tipikus CAAT elemzések • A rendszerben minden számviteli és pénzügyi tranzakcióhoz léteznek a szükséges jóváhagyások. A tranzakciók felvétele ill. jóváhagyása csak a felhatalmazott felhasználók által történt meg. • Grafikus riportok könnyen kimutatják a limit alatti, de tömeges autorizációt. • A rendszer az analitikákat helyesen összesítette, azok a fıkönyvi kivonattal egyeznek. • Szokatlan tételek kiszőrése fıkönyvbıl, analitikákból • Migráció ellenırzése • Számítást igénylı könyvelési tételek újraszámítása • Bevallások és befizetések összevetése
Tipikus alkalmazás kontrollok • A hitelek és betétek kamatok devizaelhatárolása a megfelelı kamatok és árfolyamok figyelembe vételével történt meg. • A kamattámogatásos hitelek esetén a támogatás mértéke megfelelıen lett kiszámolva. A támogatások jogosultságának feltételei teljesültek. • Az utalandó tételek sorba állításánál a prioritások megfelelıen teljesültek.
A számítógépes elemzı eszközök használatának további elınyei • Az adatok Benford elemzése kimutatja a visszaéléseket. • Futás közben email értesítést küldhet az elemzı eszköz a részeredményekrıl. • Interaktív elemzésre leásásával.
van
lehetıséghez
adatok
• Az elkészült elemzések használhatóak a rendszer folyamatos monitorozására is.
Összegzés • A nagy adatbázissal dolgozó informatikai rendszerek ellenırzése az egyik legösszetettebb könyvvizsgálói feladat. • Az informatikai problémák felderítése egyre inkább specialistákat igényelnek. • A könyvvizsgálati költségvetésre egyre nagyobb a nyomás a hatékonyság növelése érdekében – CAAT vizsgálatok. • Az informatikai rendszerek egyre több biztonsági kockázatot rejtenek – Külsı/belsı csalások és visszaélések. • A Számítógépes Elemzési Technikák egyszerre növelhetik a könyvvizsgálat bizonyossági szintjét és csökkenthetik a vizsgálati költségeket.
ELÉRHETİSÉGEK Nagy Péter, CISA, ACCA Tel: 06 30 919 3807 Email:
[email protected]