+421944240492
    IT Audit (ISA 315)

IT Audit (ISA 315)

IT služby ako súčasť štatutárneho auditu 

V súlade s Medzinárodným audítorským štandardom ISA 315 (Revidované znenie 2019) IAASB ponúkame audítorom, pri výkone štatutárneho auditu komplexné IT služby zamerané na identifikáciu a hodnotenie rizík významných nesprávností (RVN) v účtovnej závierke klienta, ktoré môžu vyplývať z IT prostredia a systémov klienta (audítora).

Cieľom tej časti štandardu, ktorá je zameraná na IT časť je identifikovať a vyhodnotiť riziká významných nesprávností (RVN) spôsobené podvodom alebo chybou, a to na úrovni finančných výkazov aj na úrovni tvrdení. Tým sa vytvára základ pre návrh a realizáciu reakcií na tieto riziká, s osobitným zameraním na IT prostredie súvisiace s finančným vykazovaním auditovaného klienta.

Ďalšou kľúčovou požiadavkou štandardu je overenie návrhu a implementácie (Design and Implementation, D&I) a testu efektívnosti (Test of Effectiveness, ToE) IT kontrol, prípadne kľúčových aplikácií klienta. Tento proces zahŕňa: Overenie návrhu a implementácie (D&I): posúdenie, či sú IT kontroly a kľúčové aplikácie navrhnuté a implementované tak, aby efektívne predchádzali alebo odhaľovali a opravovali chyby, ktoré by mohli viesť k významným nesprávnostiam vo finančných výkazoch klienta. Test efektívnosti (ToE): overenie, či IT kontroly a kľúčové aplikácie fungujú v praxi podľa návrhu a sú účinné počas relevantného (auditovaného) obdobia, čím sa zabezpečuje spoľahlivosť a správnosť finančných výkazov IFAC.

 

Čo ponúkame

IT porozumenie (IT understanding): získanie IT porozumenia IT prostredia klienta je kľúčové pre identifikáciu potenciálnych rizík významných nesprávnosti (RVN).

Tento proces zahŕňa:
Identifikáciu relevantných IT aplikácií a infraštruktúry: preskúmanie, ktoré IT aplikácie a systémy sú kritické pre finančné výkazníctvo.
Analýzu spôsobu spracovania transakcií: skúmame, ako sú transakcie iniciované, spracovávané a zaznamenávané v IT systémoch.
Posúdenie IT procesov a kontrol: Hodnotíme, ako IT procesy podporujú dosiahnutie cieľov finančného výkazníctva a identifikujeme potenciálne slabé miesta.

 

Všeobecné IT kontroly (General IT Controls): všeobecné IT kontroly sú základom spoľahlivého a bezpečného fungovania IT systémov, pričom sa zameriavame na štyri hlavné oblasti:

IT bezpečnosť: zameriavame sa na bezpečnostné opatrenia, ktoré chránia IT systémy a údaje pred internými a externými hrozbami. Hodnotíme bezpečnostné politiky, ktoré zabezpečujú, že dáta si zachovávajú integritu, dôvernosť a dostupnosť pre oprávnené osoby.
Riadenie prístupov: posudzujeme efektívnosť riadenia prístupových práv a oprávnení. Overujeme, že prístup k systémom je autorizovaný, obmedzený a že používateľské oprávnenia sú nastavené tak, aby minimalizovali riziko neoprávnených zásahov.
Riadenie zmien: sledujeme procesy riadenia zmien v IT prostredí vrátane vývoja, testovania a implementácie zmien. Cieľom je zaistiť, aby všetky zmeny boli riadené, testované a implementované bez negatívneho vplyvu na stabilitu systému.
Riadenie IT prevádzky: hodnotíme postupy na správu IT prevádzky, ako sú zálohovanie, monitorovanie systémov a obnova dát.

Ďalej posudzujeme, či sú implementované procesy dostatočné na udržanie dostupnosti, stability a odolnosti IT systémov voči potenciálnym narušeniam prevádzky.

V rámci všeobecných IT kontrol vykonávame testy tzv. Design and Implementation (D&I) a Test efektívnosti (Test of Effectiveness, ToE). Tieto testy nám umožňujú overiť, či sú kontroly navrhnuté a implementované tak, aby efektívne odhaľovali riziká, ktoré by mohli viesť k významným nesprávnostiam, a či tieto kontroly fungujú/fungovali účinne počas relevantného (auditovaného) obdobia.

 

Aplikačné IT kontroly (IT Application Controls): aplikačné IT kontroly sa zameriavajú na zaistenie správnosti, úplnosti a presnosti údajov spracovávaných v konkrétnych aplikáciách, ktoré podporujú vybrané podnikové procesy, ako napríklad tvorba výnosov. Tieto kontroly sú navrhnuté vždy unikátne pre daného klienta, podľa ich konkrétnych potrieb a dohody s audítorom. Slúžia na poskytnutie dostatočného uistenia v oblastiach, kde nie je možné alebo je neefektívne vykonať substantívne testovanie.

V rámci aplikačných kontrol sa zameriavame najmä na:
Kontroly vstupov: overujeme presnosť, úplnosť a autorizáciu vstupných údajov do aplikácií s cieľom minimalizovať riziko nesprávnych alebo neúplných údajov, ktoré by mohli viesť k nesprávnym výstupom a ovplyvniť spoľahlivosť finančných informácií.
Kontroly spracovania: posudzujeme, či aplikácie spracovávajú údaje v súlade so stanovenými pravidlami a konfiguráciami, čím zabezpečujeme správnosť a integritu spracovania údajov, ktoré majú dopad na finančné výkazníctvo.
Kontroly výstupov: skúmame, či výstupné údaje z aplikácií spĺňajú kritériá presnosti a úplnosti a či sú dostupné oprávneným používateľom. Tieto kontroly poskytujú audítorovi primeranú istotu, že výstupy z aplikácií spoľahlivo reflektujú finančné informácie a odrážajú ich správnosť a úplnosť v súlade s požiadavkami na finančné výkazníctvo.

V rámci aplikačných IT kontrol sa taktiež sústredíme na hodnotenie dizajnu a implementácie aplikácií (Design and Implementation, D&I) a vykonávame test efektívnosti (Test of Effectiveness, ToE), aby sme overili, že kľúčové aplikácie sú správne navrhnuté a implementované tak, aby účinne odhaľovali a predchádzali rizikám významných nesprávností (RVN). Týmto procesom teda overujeme, že aplikácie fungujú/fungovali spoľahlivo počas relevantného (auditovaného) obdobia.

 

Naše služby sú navrhnuté tak, aby audítorom pomohli efektívne identifikovať a riadiť IT riziká, ktoré môžu ovplyvniť spoľahlivosť a presnosť finančných výkazov, v súlade s požiadavkami štandardu ISA 315. Týmto prístupom znižujeme potrebu časovo náročného substantívneho testovania, čím pomáhame zvyšovať efektivitu práce audítorov a umožňujeme im dosahovať lepšie výsledky pri nižších nákladoch.