Auditorská rizika a postupy vyplývající z využití ICT* v účetnictví

Autor:	Antonín Hamřík, Michal Stránský
Publikace:	Auditor
Datum:	4.6.2008
Strana:	16

Současné podniky jsou většinou zcela závislé na informačních technologiích. Dokonce i tradiční oblasti podnikání jako je výroba, obchod, zemědělská produkce a zpracování se dnes neobejdou bez IT a často používají například přímé prodeje přes internet, zúčastňují se internetových aukcí, komunikují s dodavateli a odběrateli po síti s využitím různých standardů (jako například EDI), nebo jen přijímají platby přes internet.Finanční plánování a účetnictví je pak s těmito systémy úzce provázáno a vytváří často velmi komplexní řešení.

Tato změna prostředí a zavedení informačních systémů si žádá také významné změny v přístupu auditorů účetní závěrky. Už dávno si nevystačíme s použitím klasických auditorských postupů, které byly používány (a byly dostatečné) před několika málo lety. Změny v auditorských postupech přinášejí zcela nové požadavky na dovednosti a technické znalosti auditorů. To většina auditorů plně chápe a přizpůsobila tomu i rétoriku. S problémy se ale můžeme setkat v reálném životě, při praktické aplikaci nových postupů při auditu, kdy je velmi snadné omylem nebo z neznalosti vynechat podstatnou část komplexních informačních systémů a nezjistit dostatečné pokrytí všech rizik.

Procesy tvorby účetních závěrek používající informační a komunikační systémy vždy zahrnují lidský faktor, infrastrukturu IT, software, procedury, data a informace. Tomu by měl odpovídat i přístup při auditu účetní závěrky, který by měl kromě samotných čísel ve výkazech testovat procesy a manuální kontroly, používané informační systémy, technologie, aplikace a aplikační kontroly, ale i procesy obsluhy informačních systémů. Největším rizikovým faktorem, podobně jako v každé disciplíně, zůstává člověk. Výpočetní technika, která na jedné straně umožňuje získat podnikům skvělého pomocníka, se stává při troše nepozornosti významným rizikovým faktorem, který znásobuje dopad nesprávného lidského chování. Jako ilustrativní příklad můžeme uvést nedávnou mediálně známou kauzu obchodníků s cennými papíry ve významné francouzské bance, kteří byli kvůli procesním a kontrolním nedostatkům v návaznosti na IT schopni způsobit ztráty řádově v miliardách eur prakticky v průběhu několika měsíců.

Všechny větší společnosti a naprostá většina menších firem používají informační technologie v rozsáhlé míře, a to buď jako soubor nezávislých systémů, které slouží jednotlivým oddělením a aktivitám, nebo jako komplexní integrovaný systém ERP (Enterprise Resource Planning system). Tyto komplexní systémy v dnešní době používají vzájemné sdílení dat a podporují všechny aspekty provozního a účetního výkaznictví.Často mají také přímé informační vazby na státní instituce, klienty, regulátory nebo dodavatele, a provádějí transakce bez existence jakékoliv další evidence.

Myslíte, že je v takovém prostředí obtížné předložit auditorům omylem či úmyslně nesprávné informace? Zdá se vám to příliš vzdálené a domníváte se, že něco takového je u vašich klientů vyloučeno? Omyl! Ruku na srdce, kolikrát jste v poslední době získali od klienta vytištěnou sestavu z nějakého informačního systému a bez dalšího ujištění ji přijali jako věrohodné vysvětlení?Fakt, že takovou sestavu odsouhlasíte na celkovou rozvahu a výsledovku, implicitně předpokládá správnost dat v informačním systému.Bez dalšího ověření kontrol v informačních systémech a aplikacích je však takový auditorský postup neúplný. Nutnost dodržování těchto postupů vyniká zejména u klientů, kteří používají elektronické archivní systémy a v některých případech dokonce likvidují originální doklady. Zde je detailní audit IT a aplikací nezbytný.

V následující části blíže rozebereme některé trendy a rizika, s kterými se setkáváme při auditech informačních systémů, a pokrytí těch rizik, která dříve nebyla tak významná, případně neexistovala vůbec.


Typický postup při auditu informačních systémů (metodologie)

Jak jsme již zmínili, informační a komunikační systém lze rozdělit na lidský faktor a kontroly v procesech, software a podnikové aplikace, data a databáze a infrastrukturu. Takovému rozdělení by pak měly odpovídat jednotlivé oblasti, na které by se měl auditor IT zaměřit při provádění finančního auditu. Auditoři pak v každé oblasti postupují tak, aby pokryli významná rizika.

Auditoři mohou při auditu přistoupit k oblasti informačních systémů a procesů různě. Buď se jí nemusí vůbec zabývat, nebo se bez dostatečného zmapování a porozumění situace mohou zaměřit pouze na dílčí oblasti, například infrastrukturu IT, a zcela tak ignorovat oblast procesních a aplikačních kontrol.
V obou případech tak ponechávají nepokryté významné riziko, které může zásadně ovlivnit správnost účetních závěrek a jejich audit. Správný přístup by měl po pečlivém zmapování situace a naplánování testování zohlednit rizika ve všech důležitých oblastech:

• Infrastruktura IT a audit kontrolního prostředí IT.
• Procesy a kontrolní mechanismy z pohledu provozu podniku.
• Aplikace a automatizované aplikační kontroly.
• Databáze a datové sklady.

Kontrolní prostředí v podniku je většinou vytvářeno kombinací manuálních a automatických kontrol aplikovaných IT oddělením v součinnosti s oddělením provozu, a většina auditorů nemá problém s určením rozsahu prací, zejména proto, že je daná oblast dobře metodologicky pokryta řadou obecně známých norem. Například pomocí „The Control Objectives for Information and related Technology (COBIT)“, který je vydáván asociací „Information Systems Audit and Control Association (ISACA)“ v USA. Dále se proto nebudeme zabývat auditem infrastruktury IT, ale podíváme se blíže na některé trendy a specifika v dalších navazujících oblastech.


Procesní audit

Procesy jsou díky komplexnosti informačních systémů většinou přímou součástí informačních toků a tvoří jeho integrální součást. V současné době, kdy se audit díky komplexnímu prostředí auditovaných firem bez auditu procesů a systémů neobejde, je nezbytné vyřešit problém, jak a kdo bude práce provádět.

V případě jednoduchého prostředí typického českého podniku představuje pro auditorské týmy riziko snad jen koordinace prací a rozdělení činností mezi auditory účetních závěrek a auditory specializující se na procesy, aplikace a informační systémy. Díky zmiňované komplexnosti informačních systémů a aplikací je specializace auditora IT na dílčí aplikace a infrastrukturu IT nezbytností. Těžko najdete jednoho experta pro oblasti SAP, OFA, Informix, databází Oracle, Unix, Windows. Vždy je potřeba vybrat vhodný tým s příslušnými technickými zkušenostmi jednotlivých členů. V případě nadnárodních klientů, kde je řada funkcí prováděna v mnoha zemích, jde o větší problém. Využití outsourcingu jednotlivých částí podnikových provozů, podpůrných funkcí, jednotlivých informačních systémů nebo dokonce celého IT, se stává fenoménem dnešní doby. Ačkoliv se dá „outsoursovat“ prakticky jakákoliv oblast, v oblasti IT se s touto problematikou setkáváme nejvíce, možná z důvodu komplexnosti a díky rychlému vývoji výpočetní techniky v posledních letech.

Ať už je motorem zvýšení efektivity a konkurenceschopnosti, offshoring neboli přenesení činností náročných na lidskou práci do levnějších zemí, sjednocení firemních procesů na lokální či nadnárodní úrovni, nebo například snaha o zlepšení služeb v dané oblasti díky využití expertů ze servisních středisek, výsledek pro auditory je vždy obdobný. Významná část činností, které většinou mají přímý dopad na finance a audit, je vyčleněna mimo auditovanou společnost a nastává problém, co s tím?

Ačkoliv sledujeme snahy o jasná řešení a různé návody ze strany regulátorů a zákonodárců, tyto snahy jsou prosazovány v různých zemích světa různě a většinou zaostávají za potřebami auditorů. Nejdále jsou pravděpodobně procesní komory v rozvinutých zemích, jako například auditorské standardy vydané AICPA v USA, kde je například používán standard SAS 70 již téměř desítky let. V jiných zemích při absenci místních nařízení nezbývá, než se inspirovat zahraničními standardy nebo používat zdravý rozum. Audit bez použití standardů však může vést k velice náročné a čas zabírající práci. Pokud například společnost „Česká, a.s.“ předala proces fakturace a vedení účetnictví do střediska sdílených služeb v Praze, které používá informační systém SAP spravovaný firmou z Indie, ale fyzicky umístěný ve Velké Británii, může se auditor, pokud trvá na kvalitě své práce, poměrně hodně nacestovat. Nadnárodní auditorské společnosti toto většinou řeší globální koordinací práce. I zde ale může pomoci SAS 70, standard, který umožňuje servisní organizaci získat auditorský výrok na procesy a informační systémy, které pro své klienty provozuje.

V našem případě by pak management pražského střediska sdílených služeb připravil SAS 70 zahrnující účetní služby a získal výrok nezávislého auditora. Získal by také auditovanou zprávu SAS 70 od společnosti provozující IT infrastrukturu z Indie a Velké Británie, kterou by se ujistil o správné obsluze informačních systémů. Tyto dvě zprávy by pak předal auditorům Česká, a.s., kteří se při zajištění několika dalších záležitostí mohou na tuto zprávu spolehnout, což jim značně ulehčí práci.

Co z toho má servisní společnost v Praze a poskytovatel IT v Indii? Servisní organizace většinou poskytují služby desítkám až stovkám klientů. Zpráva SAS 70 jim tak umožní provést jediný audit procesů a kontrol, jehož výsledky předají klientům a jejich auditorům. Vyhnou se tak desítkám různých auditorských týmů, které by jinak musely testovat jejich kontrolní prostředí. Zvýšenou cenu za vytvoření zprávy SAS 70 pak většinou stejně vyfakturují svým klientům.


Systémový audit – ERP

Většina dnešních firem již využívá nebo se v dohledné době chystá implementovat některé z komplexních softwarových řešení typu ERP. Stále více výrobců těchto systémů se zaměřuje také na střední a malé firmy a tento segment je z jejich pohledu do budoucna považován za velmi perspektivní.

K dispozici je řada řešení od různých výrobců, přičemž velmi výraznou úlohu na našem trhu hrají především produkty SAP, Oracle, Navision, Helios, QI a další. K dispozici pro střední a malé firmy jsou pak jejich určité „light“ verze, které jsou omezené množstvím funkcí, nicméně jejich podstata je většinou totožná se základními verzemi. Implementace a samotné použití ERP vede ke změnám v podnikových procesech. Například transakce nemohou být prováděny stejným způsobem jako dříve, systémové výstupy (reporty) musí být navrženy znovu a nové kontroly musí být naimplementovány. Je důležité si také uvědomit, že každý systém ERP je unikátní, a že závisí do značné míry na tom, jak jsou jednotlivé části systému nastaveny tak, aby přesně odpovídaly požadavkům zákazníků. Samotné firmy se velmi často snaží na implementaci ušetřit a snadno pak dochází k situacím, kdy se objeví celá řada problémů, které mají dopad na chod samotné firmy (například výroby či logistiky) nebo třeba i na samotné účetní výkaznictví.

Není potřeba měnit základní auditorské postupy, nicméně každý auditorský tým by měl zhodnotit, zda má dostatečné technické schopnosti a znalosti ke správnému nalezení a posouzení rizik v rámci jednotlivých ERP. Tuto otázku je potřeba si položit již během plánovací fáze auditu samotného, a ne až v jeho průběhu, kdy už zpravidla bývá pozdě.

Pro správné identifikování a posouzení rizik je nezbytně nutné vnímat ERP jako velmi komplexní systém. Je důležité porozumět všem jednotlivým oblastem. Není možné upřít svou pozornost pouze na finanční modul (což je první věc, která by se v rámci auditu nabízela), neboť i ostatní součásti systému ovlivňují účetní výkaznictví buď přímo, nebo zprostředkovaně. Tato provázanost je největší výhodou ERP pro firmu, ale zároveň bývá z hlediska auditu tím největším rizikem.

Auditor by měl mít u konkrétního typu ERP znalosti a zkušenosti dostatečné na to, aby dokázal identifikovat a zhodnotit riziko především v těchto oblastech:

• zabezpečení na úrovni samotného ERP – například struktura a expirace hesla, uživatelské přístupy a práva atd.,
• zabezpečení na úrovni databáze – pro nejrozšířenější ERP je běžné, že používají relační databáze (nejčastěji MS SQL či Oracle),
• automatické kontroly – ERP mají často přímo v systému implementované množství více či méně standardizovaných automatických kontrol, například okolo interface, jejichž využití je v rámci auditu účetní závěrky velmi žádoucí,
• interface – provázanost s ostatními aplikacemi, jakým způsobem je schopen systém přenášet data a komunikovat s ostatními aplikacemi používanými ve společnosti a také s aplikacemi externími (například internetové bankovnictví).

Audit dat a informací

Vzhledem k masivnímu nárůstu elektronicky zpracovávaných a uchovávaných dat je potřeba se zamyslet, jakým způsobem má auditor postupovat v případě, že potřebuje získat některé konkrétní informace či potřebuje pokrýt některé z rizik, a zároveň musí pracovat efektivně a maximálně profesionálně.

Tou nejvhodnější možností ve většině případů bývá využití takzvaných počítačem podporovaných technik auditu (CAAT – Computer Assisted Auditing Techniques). CAAT automatizují, a tudíž zefektivňují výkonnost a snižují chybovost jednotlivých etap auditu. Použití CAAT je mimo jiné například doporučeno ISA 530 jako vhodná metoda pro testování 100% vzorku, když je z pohledu auditora prověření všech položek efektivní z hlediska nákladů nebo nezbytné díky rizikům v dané oblasti.

Techniky auditu s využitím CAAT mohou zahrnovat například následující:

• Obecný auditovací software (GAS – Generalized Audit Software) – dovoluje auditorovi vykonat test na databázích a souborech. Příkladem je třeba ACL (Audit Command Language) či IDEA (Interactive Data Extraction and Analysis).
• Přizpůsobený auditorský software (CAS – Custom Audit Software) – vytvořen speciálně pro potřeby auditora pro použití u konkrétního typu klienta. Tento typ softwaru je nezbytný, pokud auditované počítačové systémy nejsou kompatibilní s auditorovým GAS, nebo pokud auditor chce provést testování, které by pomocí GAS nebylo možné.
• Paralelní simulace – auditor vytvoří počítačovou simulaci, kterou imituje běžné fungování testovaných klientských programů.
• Integrované testovací zařízení – do tohoto zařízení auditor vkládá testovací data vedle aktuálních dat v běžně používaných aplikacích.
• Ve většině běžně auditovaných firem v České republice má praktické využití zmiňovaný GAS (obecný auditovací software). Tento software je vhodné používat zejména pro zajištění kvality dat v následujících situacích (při provádění následujících testů): 
  
  
• • Výběr vzorků k dalším testům – výhodou je správný a rychlý výběr položek pro testování i z velmi četné populace.
  • Identifikace chybějících dat v řadách – například identifikace chybějících vydaných faktur v souvislé číselné řadě.
  • Identifikace zdvojených dat – například identifikace dvakrát zaúčtované vydané faktury.
  • Testování správného výpočtu časové struktury – například pohledávek či zásob.
  • Detekce podvodu či zpronevěry – například nalezení rizikových manuálních účetních zápisů dle stanovených parametrů. 
  • Stratifikace dat.
  • Výpočet průměrných hodnot či mediánu.

Závěr

Audit informačních systémů a procesů a jeho propojení s auditem účetní závěrky je klíčové pro vydání odpovídajícího výroku. Auditor IT by však měl vždy pamatovat na původní účel toho, proč provádí systémový a procesní audit, a tomu přizpůsobovat rozsah a hloubku prací. Jiný bude rozsah práce prováděný pro účely vlastního posouzení kvality kontrolního prostředí a jiný v případě, že je vydáván externí výrok, například SAS 70 nebo soulad s bezpečnostním standardem IT – ISO 117799. Samotné provádění prací pak také vyžaduje zkušenosti jak z auditu účetních závěrek, tak z auditu informačních systémů.

Protože má každá společnost jinak nastavené procesy, kontroly a aplikace, nelze většinou přistupovat k jejich auditu s použitím standardních testovacích plánů a postupů, a je potřeba, aby takový audit prováděl zkušený odborník. Vyšší cena odborníka je pak vyvážena významným přínosem v pokrytí rizik a následném zeštíhlení standardních prací prováděných na auditech účetních závěrek.

* ICT = informační a komunikační technologie

• IFRS Publikace
• IFRS Newsletters
• Odborné články
  • Leaders voice
  • Tipy pro řízení podniku v době krize
  • Odborné články,
    archiv 2009
  • Odborné články,
    archiv 2008
• Studie a analýzy
• Tax, Legal & Business News
• Financial Services VAT Alert
• Tiskové zprávy
• Transform