کار حسابرسان داخلی، بررسی و ارزیابی سیستم کنترلهای داخلی و کارآیی هر یک از بخش‌های و دوایر واحد تجاری در انجام دادن امور و وظایف محوله می‌باشد. حسابرسان داخلی یافته‌های خود را از عدم کارآیی کنترلهای داخلی همراه با پیشنهادهای اصلاحی به منظور بهبود عملکرد واحد تجاری و اعمال کنترلهای داخلی به مدیریت ارشد ارائه می‌دهند. حسابرسان داخلی به طور کلی وظایف تعیین شده در طرح سازمانی به دوایر و واحدها را از بابت موثر انجام شدن و یا عدم انجام امور محوله، بررسی می‌کنند.
۲-۶-۲- سیستم حسابداری
سیستم حسابداری شامل روش‌ها و سوابقی است که به‌منظور شناسایی، گردآوری، تجزیه و تحلیل، طبقه‌بندی، ثبت و گزارش معاملات یک واحد اقتصادی و پاسخگویی در قبال دارایی‌ها و بدهی‌های آن ایجاد می‌شود. یک سیستم حسابداری کارا به‌گونه‌ای طراحی می‌شود که:
* کلیه معاملات معتبر را تعیین و ثبت کند.
* معاملات را به منظور طبقه‌بندی مناسب برای گزارشگری مالی به موقع و با جزییات کافی تعریف نماید.

( اینجا فقط تکه ای از متن پایان نامه درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )

* ارزش معاملات را به‌گونه‌ای اندازه‌گیری کند که ثبت ارزش پولی مناسب آن را در صورتهای مالی، امکان‌پذیر سازد.
* دوره زمانی وقوع معاملات را تعیین کند تا بتوان معاملات را در دوره حسابداری مناسب ثبت نمود.
* معاملات و موارد افشای مربوط را به درستی در صورتهای مالی نشان دهد.
۲-۶-۳- روش های کنترلی
عبارتند از سیاست‌ها و رویه‌هایی که مدیریت علاوه بر محیط کنترلی و سیستم حسابداری برقرار می‌کند تا به هدف‌های خاص سازمانی دست یابد. روش های کنترلی اهداف مختلفی دارد و در سطوح مختلف سازمانی و داده‌پردازی به کار می‌رود. همچنین می‌توان این روش‌ها را در اجزای خاصی از محیط کنترلی و سیستم حسابداری تعبیه کرد.
به طور کلی روش‌هایی که مربوط به موارد زیر است، به عنوان روش‌های کنترلی طبقه‌بندی می‌شود:
* تقسیم وظایف به صورتی که هیچ کس نتواند در حین انجام وظایف عادی خود مرتکب اشتباه یا تخلف بشود وآن را پنهان سازد. گماشتن افراد مختلف برای مسئولیت‌هایی مانند تأیید معاملات، ثبت معاملات و نگهداری و حفاظت از دارایی‌ها از جمله چنین روشهایی است.
* طراحی و به‌کارگیری مستندات و سوابق کافی به منظور حصول اطمینان از ثبت مناسب معاملات و رویدادها، مانند استفاده از اسناد حمل پیش شماره‌گذاری شده ارسال کالا.
* ایجاد کنترلهای حفاظتی کافی در مورد امکان دستیابی به برنامه‌های رایانه‌ای و پرونده‌های اطلاعاتی،
* کنترلهای مستقل در مورد عملکرد و ارزیابی مناسب ثبت شده مانند کنترلهای دفتری، صورتهای تطبیق، مقایسه دارایی‌ها با حسابهای ثبت شده، کنترلهای اعمال شده به‌وسیله برنامه‌های رایانه‌ای، بررسی گزارش‌های مربوط به خلاصه جزییات مانده حسابها توسط مدیریت و بررسی گزارش‌های تهیه شده رایانه‌ای توسط کاربر.
۲-۷- قابلیت‌های کنترل داخلی
واحدهای اقتصادی به کمک کنترل داخلی می‌توانند به اهداف عملیاتی و سودآوری خود دست یابند و از اتلاف منابع اقتصادی جلوگیری کنند. به کمک کنترل داخلی از قابلیت اعتماد گزارش‌دهی مالی و رعایت دقیق قوانین و مقررات(که از آسیب دیدن شهرت و آوازه یک واحد اقتصادی و سایر پیامدها جلوگیری می‌کند) اطمینان حاصل می‌شود. در مجموع واحدهای اقتصادی، به کمک کنترل داخلی می‌توانند به مقاصد و خواسته‌های خود دست یابند و در طول راه، از خطرات و رویدادهای غیر منتظره دوری کنند.
۲-۸- محدودیتهای ذاتی سیستم کنترل داخلی
متاسفانه، عده‌ای از افراد از کنترل داخلی توقعات غیر واقع‌بینانه و خارق‌العاده دارند. آنها به دنبال مطلق‌ها هستند ولی کنترل داخلی بدلیل محدودیت‌های ذاتی که دارد نمی‌تواند شواهدی قطعی مبنی بر دستیابی به هدف‌ها را، برای مدیریت فراهم کند. نمونه‌هایی از این محدودیت‌ها عبارتند از:
* احتمال نارسا شدن یکی از روش های کنترل داخلی بدلیل تغییرات ایجاد شده در شرایط و کاهش میزان رعایت آن؛
* احتمال نادیده گرفتن کنترلهای داخلی از طرف مدیران یا کارکنان؛
* اشتباهات بالقوه انسانی ناشی از بی دقتی، حواس پرتی، خطای قضاوتی و تفسیر نادرست از دستورالعمل‌ها؛
*اغلب کنترلهای داخلی درباره معاملات و رویدادهای روزمره و نه غیر متعارف برقرار می‌شوند؛
* مخارج استقرار هر یک از روش های کنترل داخلی نباید بیشتر از منافع مورد انتظار آن روش باشد؛
* دادن اطمینانی معقول و نه مطلق، در خصوص تحقق اهداف واحد اقتصادی.
۲-۹- اجزای کنترلهای داخلی
کنترلهای داخلی از اجزای زیر تشکیل می‌شود:
۱- محیط کنترلی.
۲ – فرایندارزیابی خطرتوسط واحد مورد رسیدگی.
۳ – سیستم اطلاعاتی، شامل فرایندهای تجاری مربوط، در ارتباط با گزارشگری مالی و اطلاع‌رسانی.
۴ – فعالیتهای کنترلی.
۵ – نظارت برکنترلها.
تقسیم کنترلهای داخلی به اجزای پنجگانه بالا، چارچوب مفیدی را برای ارزیابی چگونگی تأثیر جنبه‌های مختلف کنترلهای داخلی واحد مورد رسیدگی برحسابرسی، برای حسابرس فراهم می‌آورد. اما این تقسیم‌بندی لزوماً چگونگی بررسی و اجرای کنترلهای داخلی توسط واحد مورد رسیدگی را نشان نمی‌دهد. همچنین، نگرانی اصلی حسابرس این است که آیا یک کنترل خاص، به‌جای طبقه‌بندی آن به اجزای خاص، از وقوع تحریف با اهمیت در گروه های معاملات، مانده حسابها یا موارد افشا و ادعاهای مربوط پیشگیری یا آنها را کشف و اصلاح می‌کند یا خیر. از این رو، حسابرس می‌تواند به منظور تشریح جنبه‌های مختلف کنترلهای داخلی و اثر آنها بر حسابرسی، از واژگان یا چارچوبهایی متفاوت با موارد مندرج در این قسمت، مشروط به درنظر گرفتن همه اجزای مندرج در این قسمت، استفاده کند(استاندارد بین المللی ۳۱۵).
طراحی و استقرار کنترلهای داخلی بسته به اندازه و پیچیدگی واحد مورد رسیدگی متفاوت است. به‌ویژه، واحدهای کوچکتر ممکن است برای دستیابی به اهداف خود از ابزارهایی با رسمیت کمتر و پردازشها و روش های ساده‌تر استفاده کنند. برای مثال، واحدهای کوچکتری که مدیریت آن در فرایند گزارشگری مالی به طور فعال مشارکت می‌کند، ممکن است شرح تفصیلی و کتبی روش های حسابداری یا خط مشی‌ها را نداشته باشد. در برخی واحدهای مورد رسیدگی، به ویژه واحدهای خیلی کوچک، صاحب سرمایه- مدیر، ممکن است وظایفی را انجام دهد که دریک واحد بزرگتر توسط چندین جزء کنترلهای داخلی انجام می‌شود. بنابراین، اجزای کنترلهای داخلی ممکن است در داخل واحدهای کوچکتر به روشنی تفکیک نشده باشد، اما اهداف اصلی آنها یکسان است.
۲-۱۰- میزان شناخت از کنترلهای داخلی
کسب شناخت از کنترلهای داخلی شامل ارزیابی طراحی یک کنترل و تعیین اجرا یا عدم اجرای آن است. ارزیابی طراحی یک کنترل عبارت ‌است از بررسی توانایی آن کنترل، به تنهایی یا همراه با سایر کنترلها، در پیشگیری یا کشف و اصلاح مؤثر تحریفهای با اهمیت. اجرای کنترل به‌معنای وجود کنترل و بکارگیری آن توسط واحد مورد رسیدگی است. حسابرس طراحی یک کنترل را بررسی می‌کند تا ضرورت ارزیابی اجرای آن را مشخص کند. طراحی نامناسب یک کنترل ممکن است نشانه ضعفی با اهمیت در کنترلهای داخلی واحد مورد رسیدگی باشد .
روش های برآورد خطر برای کسب شواهد حسابرسی در باره طراحی و اجرای کنترلهای مربوط، ممکن است شامل پرس وجو از کارکنان واحد مورد رسیدگی، مشاهده اجرای کنترلهای خاص، وارسی مدارک و گزارشها و ردیابی معاملات از طریق سیستم اطلاعاتی مربوط به گزارشگری مالی باشد. برای ارزیابی طراحی یک کنترل مربوط به حسابرسی و تشخیص نحوه اجرای آن، پرس و جو به تنهایی کافی نیست.
کسب شناخت از کنترلهای واحد مورد رسیدگی به منظور استفاده از آن به عنوان آزمون اثربخشی اجرایی کنترلها کافی نیست، مگر این که یک سیستم خودکار برای اجرای یکنواخت کنترلها وجود داشته باشد برای مثال، کسب شواهد حسابرسی درباره اجرای یک کنترل دستی در یک لحظه از زمان، شواهد حسابرسی در باره اثربخشی اجرایی آن کنترل را در سایر زمان های طی دوره مورد حسابرسی فراهم نمی‌کند. به هر حال، فناوری اطلاعات، امکان پردازش یکنواخت مقادیر زیادی از اطلاعات را برای واحد مورد رسیدگی فراهم می‌کند و توان آن را در نظارت بر اجرای فعالیتهای کنترلی و دستیابی به تفکیک اثربخش وظایف از طریق برقراری کنترلهای ایمنی در برنامه‌های کاربـردی، بانـکهای اطلاعـاتی و سیستمهای عـامل، بالا می‌بـرد. بدینسان، به دلیل یکنواختی ذاتی در پـردازش اطلاعات در سیستمهای رایانه‌ای و با تـوجه به بـرآورد حسابرس و آزمون کنترلهایی چون کنترلهای مربوط به تغییرات برنامه، اجرای روش های حسابرسی برای تشخیص نحوه اجرای یک کنترل خودکار می‌تواند به عنوان یک آزمون اثربخشی اجرایی آن کنترل نیز محسوب شود.
۲-۱۱- ویژ‌گیهای اجزای دستی و خود کار کنترلهای داخلی مربوط به برآورد خطر توسط حسابرس
بیشتر واحدهای تجاری از سیستمهای فناوری اطلاعات برای گزارشگری مالی و اهداف عملیاتی استفاده می‌کنند. اما، حتی در مواردی که از فناوری اطلاعات بطور گسترده استفاده می‌شود، عناصری دستی در سیستمها وجود خواهد داشت. توازن بین اجزای دستی و خودکار، متفاوت است. در برخی موارد، به ویژه در واحدهای کوچکتر و با پیچیدگی کمتر، سیستمها اساساً دستی است. در دیگر موارد، میزان خودکار بودن سیستمها از این لحاظ متفاوت است که برخی سیستمها اساساً خودکار است و عناصر دستی اندکی دارد و سایر سیستمها، حتی در همان واحد تجاری، اساساً دستی است. درنتیجه، ساختار کنترلهای داخلی یک واحد مورد رسیدگی احتمالاً شامل عناصری دستی و خودکار است که ویژگیهای آن، به برآورد خطر توسط حسابرس و روش های حسابرسی لازم مبتنی ‌بر آن، مربوط می‌شود.
استفاده از عناصر دستی یا خودکار در کنترلهای داخلی، بر چگونگی شروع، ثبت، پردازش و گزارش معاملات نیز اثر می‌گذارد. کنترلها در سیستم دستی ممکن است شامل روشهایی چون تصویب و بررسی فعالیتها و مغایرت‌گیری و پیگیری اقلام باز باشد. از سوی دیگر، واحد مورد رسیدگی ممکن است برای شروع، ثبت، پردازش و گزارش معاملات از روش های خودکار استفاده کند که در این صورت، سوابق الکترونیکی جایگزین مستندات کاغذی چون سفارشات خرید، فاکتورهای فروش، مدارک حمل و سوابق حسابداری مربوط می‌شود. کنترل در سیستمهای فناوری اطلاعات شامل ترکیبی از کنترلهای خودکار (برای مثال، کنترلهای تعبیه شده در برنامه‌های کامپیوتری) و کنترلهای دستی است. افزون ‌بر این، کنترلهای دستی می‌تواند مستقل از فناوری اطلاعات باشد، از اطلاعات تهیه شده توسط فنـاوری اطلاعات اسـتفاده کند یا ممکـن است به نظارت بر عملکرد مؤثر فناوری اطلاعات و کنترلهای خودکار و همچنین، پیگیری موارد استثنا محدود باشد. در مواردی‌که برای شروع، ثبت، پردازش یا گزارش معاملات یا سایر اطلاعات مالی مندرج در صورتهای مالی از فناوری اطلاعات استفاده می‌شود، سیستمها و برنامه‌ها ممکن است شامل کنترلهای مربوط به ادعاهای مرتبط با حسابهای با اهمیت باشد یا از لحاظ عملکرد مؤثر کنترلهای دستی متکی به فناوری اطلاعات، نقش اساسی داشته باشد. ترکیب کنترلهای دستی و خود کار واحد مورد رسیدگی برحسب ماهیت و پیچیدگی استفاده آن از فناوری اطلاعات، فرق می‌کند.
معمولاً فناوری اطلاعات مزیتهای بالقوه‌ای را برای اثر بخشی و کارایی کنترلهای داخلی واحد مورد رسیدگی فراهم می‌کند، زیرا واحد مورد رسیدگی را قادر به انجام موارد زیر می‌کند:
اجرای یکنواخت قواعد تجاری از پیش تعیین شده و انجام محاسبات پیچیده در پردازش حجم بزرگی از معاملات یا اطلاعات.
افزایش قابلیت دسترسی، به‌موقع بودن و صحت اطلاعات.
تسهیل تحلیل بیشتر اطلاعات.
افزایش توان نظارت‌بر عملکرد واحد مورد رسیدگی و سیاستها و رویه‌های آن.
کاهش خطر نادیده گرفتن کنترلها.
افزایش توان دستیابی به تفکیک مؤثر وظایف از طریق استقرار کنترلهای ایمنی در برنامه‌های کاربردی، بانکهای اطلاعاتی و سیستمهای عامل.
فناوری اطلاعات، کنترلهای داخلی واحد مورد رسیدگی را در معرض خطرهای خاصی چون موارد زیر نیز قرار می‌دهد :
اعتماد به سیستمها یا برنامه‌هایی که اطلاعات را نادرست پردازش می‌کند، اطلاعات نادرست را پردازش‌می‌کند، یا هر دو.
دسترسی غیرمجاز به اطلاعات، که ممکن است به از بین رفتن اطلاعات یا تغییر نابجا در اطلاعات، شامل ثبت معاملات غیرمجاز یا واهی، یا ثبت نادرست معاملات بیانجامد. برخی خطرها ممکن است در مواردی پدید آید که بیش از یک استفاده‌کننده به یک بانک اطلاعاتی عمومی دسترسی دارند.
احتمال برخورداری کارکنان فناوری اطلاعات از امکان دسترسی بیش از حد مورد نیاز برای انجام وظایف خود و از این رو، نقض تفکیک وظایف.
تغییرات غیرمجاز در اطلاعات پرونده‌های اصلی.