اعتبارسنجی کاربران و مزایای دسترسی
طاهره مصطفویدر۱۴۰۳/۲/۱۸
یک حسابرس IT (فناوری اطلاعات) نیاز دارد که از معتبر بودن کلیه کاربران سیستم های کامپیوتر اطمینان پیدا کند تا هر کاربر به مزایایی دسترسی یابد که متناسب با مسئولیت های شغلی اوست. نرم افزار سیستم ها معمولا مجهز به نرم افزار کنترل دسترسی است. این نرم افزار تعیین می کند که چگونه مدیر سیستم ID (شناسه)، پروفایل همچنین کلمه عبور کاربران را ایجاد و آنها را کنترل کند. حسابرس IT نه تنها باید پارامترهای تنظیم شده نرم افزار را به شکل صحیحی بررسی کند بلکه باید ممیزی کاربرد درست کارکنان IT را هم از این پارامترها انجام دهد. برای نمونه،
یکی از وظایف حسابرس اینست که مطمئن شود حساب های کارمند بلافاصله بعد از اینکه شخصی از سازمان جدا می شود بسته شده است.
برای انجام این کار حسابرس IT ممکن است به فهرستی از پرسنل فعلی منابع انسانی نیاز داشته باشد. رویکرد دیگر می تواند بدست آوردن یک راهنمای تلفن کنونی و مقایسه اسم ها با آن اسامی باشد که در فهرست نویسی حساب های کاربری هستند. حسابرسان IT باید به لیست کاربران نگاه کنند تا ببیند که آیا هر نوع شناسه تخصیص داده شده از گروه وجود دارد یا نه. مثلا ممکن است یک ID با نام AP_Clerk وجود داشته باشد. گاهی اوقات مدیران وقتی تغییرات شخصی اعمال می کنند تصمیم به صدور این IDها می گیرند تا کاغذبازی یا تشریفات اداری را کاهش دهند. ولی این نوع ID مانع از اختصاص مسئولیت ها به یک فرد می-شود. اگر از یکی از کارمندان AP خطایی سربزند یا مرتکب تقلبی گردد استفاده از ID گروه ممکن است شناسائی حساب های قابل پرداخت کارمندان مسئول را دشوار کند. حسابرس ID می تواند نسخه های چاپی از پایگاه داده و مستندات نرم افزار را چشمی بررسی نماید تا صحت کاربران، مناسبت کلمات عبور و موقعیت شناسه های گروه را بررسی کند. ولی انواعی از ابزارهای نرم افزار حسابرسی وجود دارند که کار را کارآمدتر می سازند. مثلا چنین نرم افزارهایی ممکن است زمان ورود به داخل سیستم را بازرسی کنند . اگر کاربری بمدت چند ماه وارد سیستم نشده باشد آن حساب کاربری احتمالا باید حذف گردد. ورود کاربران به داخل سیستم در ساعت های نامعلوم هم ممکن است اطلاعاتی در اختیار قرار دهد که می توانند کاملاً درست نباشند. همانطور که در فصل قبلی اشاره کردیم این شرایط استثناءها یا بی نظمی هایی است که حسابرس IT می خواهد آنها را شناسائی کند.
حسابرسی مستمر
تعدادی از ابزارهای حسابرسی می توانند در سیستم اطلاعاتی خود نصب گردند تا حسابرسی مستمر یا تضمین بلادرنگ را اجرا کنند. اهمیت حسابرسی مستمر پیوسته رو به افزایش است چرا که ما در حال حرکت به سمت گزارشگری مالی بلادرنگ هستیم. همچنین فشار روی کاهش فاصله زمانی بین ایجاد اطلاعات مالی و حسابرسی اطلاعات که بعنوان چرخه حسابرسی شناخته می شود افزایش رو به رشدی دارد. سهامداران می خواهند اطلاعات سریعاً مورد رسیدگی قرار بگیرند چون چارچوب های زمانی تصمیم-گیری کوتاهتر می شوند. شرکت های زیادی اطلاعات مالی خود را از طریق اینترنت گزارش می کنند و بسیاری دیگر هم به احتمال زیاد به همین نحو عمل می کنند زیرا XBRL این شکل از گزارشگری را تقویت می کند. پنج رویکرد ویژه برای حسابرسی مستمر عبارتند از: 1- ماژول های جاسازی شده حسابرسی و قلاب های حسابرسی 2- گزارشگری موارد خاص 3- علامتگذاری معاملات 4- تکنیک نسخه برداری فوری 5- شبیه سازی مداوم و متناوب
این ابزارها رسیدگی به امور حسابرسی را حتی زمانی که حسابرس حضور ندارد میسر می سازند. با نرم افزارهای جاسازی شده حسابرسی، برنامه زیرروال ها داده ها را برای اهداف حسابرسی ضبط می کنند. این داده ها و اطلاعات معمولاً به یک قسمت پرخطر تعلق دارند. مثلا یک برنامه کاربردی برای لیست حقوق-بگیران یا کل دستمزدها کدی دارد که سبب می شود معیارهای تعیین شده برخورد تراکنش ها به صورت لگاریتم خاصی نوشته شوند. معامله های احتمالی که ممکن است در یک لگاریتم ضبط و ثبت شوند شامل آن معامله هایی است که حسابهای غیرفعال، انحراف از سیاست های شرکت یا کاهش ارزش موجودی ها را تحت تاثیر قرار می دهند. در مورد برنامه کل دستمزدها این تراکنش ها می توانند منعکس کننده موقعیت یا شرایطی باشند که برای نمونه کارمندان بیش از تعداد ساعات تعیین شده از قبل کار کرده اند. مثال دیگر می تواند ثبت تراکنش ها مرتبطی باشد که در یک توالی بخصوصی اتفاق می افتند.
کار گزارشگری موارد خاص هم شکلی از حسابرسی مستمر محسوب می شود. اگر سیستم اطلاعات دارای مکانیسم هایی است که تراکنش های خاصی را که خارج از ویژگی های تعریف شده اند (مانند چک خیلی هنگفت فروشنده) رد می کند پس گزارشگری مداوم تراکنش های استثناء به سیستم اجازه می دهد که خود را پیوسته کنترل و تنظیم کند.
با بکارگیری علامتگذاری تراکنش ها حسابرسان می توانند تراکنش های ویژه ای را با یک تعیین کننده مخصوص علامت گذاری یا نشانگذاری کنند. بنحوی که وقتی از سیستم اطلاعات عبور می کنند می توانند ثبت و ضبط شوند. بعنوان نمونه یک تعداد مشخصی از کارمندان می توانند برچسب هایی داشته باشند که اسناد معاملات خود را ضمیمه آنها کردند به نحوی که یک حسابرس می تواند منطق پردازش را در سیستم دستمزد راستیابی کند. در این مثال علامت گذاری موثر بودن عملکرد کنترل را هم در داخل سیستم مورد رسیدگی قرار می دهد. فرض کنید که یک روش کنترل مستلزم رد تراکنش کل دستمزدها است بشرطی که تعداد ساعت های کاری در طی یک دوره پرداخت خیلی زیاد باشد. حسابرسان می توانند تراکنش های نشاندار شده را مرور یا بازبینی کنند تا مطمئن شوند که این روش کنترل به شکل درستی کار می کند.
تکنیک نسخه برداری فوری روشی را بررسی میکند که طی آن تراکنش ها پردازش می شوند. با کد مخصوصی تراکنش های انتخابی علامتگذاری می شوند که سبب راه اندازی روال این تکنیک می گردد. ماژول های حسابرسی در برنامه کامپیوتر این تراکنش ها و اسناد فایل اصلی آنها را قبل و بعد از فعالیت های پردازش ضبط می کنند. داده های بدست آمده از تکنیک نسخه برداری فوری در فایل ویژه ای نگه داشته می-شود و توسط حسابرس مورد بازبینی قرار می گیرد تا درست بودن اجرای کلیه مراحل پرادزش را تـأیید کند.
شبیه سازی مستمر و متناوب (CIS) یک ماژول (قطعه کدهای برنامه نویسی شده) حسابرسی را در یک سیستم مدیریت پایگاه داده (DBMS) جاسازی می کند. ماژول CIS همه تراکنش ها را که DBMS بروز رسانی می کند به دقت بررسی می نماید. اگر یک تراکنش اهمیت ویژه ای از نظر حسابرسی داشته باشد ماژول حسابرسی داده ها را مستقلا پردازش (به طریقی مشابه شبیه سازی موازی)، نتایج را ثبت و با نتایجی که توسط DBMS بدست آمدند مقایسه می کند. اگر هر گونه اختلافی وجود داشته باشد، جزئیات این اختلافات برای بررسی های بعدی روی یک لگاریتم سیستم حسابرسی نوشته می شود. اگر اختلافات اساسی مشخص شوند CIS ممکن است DBMS را از اجرای فرایند بروزرسانی منع کند. یک چالش برای حسابرسی پیوسته اینست که داده ها در تشکیلات و سازمان های پیچیده تر ممکن است در چندین DBMS قرار گرفته باشند. برای اینکه تضمین بلادرنگ به شکل موثری هدایت شود حسابرسان امکان دارد که به یک داده گاه یا زیرمجموعه ای از انبار داده و اختصاصاً برای اهداف حسابرسی نیاز داشته باشند.