最近有很多人问我, “随着新冠疫情的爆发,你们是如何进行审计的?“嗯, 任何审慎的审计员都会这么做, 大流行爆发后, 我开始阅读来自不同来源的文章,以了解我的同事们是如何应对“新常态”的,以及它对我们工作方式的影响.
在大流行期间,ISACA发布了其 4th 资讯科技审核架构(ITAF). 尽管它的发布恰逢大流行的冲击, 发布该框架不是专门为了帮助审计员掌握大流行期间的审计经验,而是为了反映信息技术审计的管理和绩效方面的最佳做法. 这个框架作为一个来源,为我提供了一个结构化的方法来确定在这个季节执行审计的准备程度. 标准1004“合理期望”尤其如此,这是回答这个问题的标准, “我们可以进行审计吗??该标准让审计师通过一种结构化的方式来回答这个问题.
在高层次上,该标准希望IT审计从业人员考虑以下方面:
- 是否可以按照IT审计标准或行业标准进行审计
- 所选择的范围是否允许注册会计师对主题事项作出结论(意见)
- 管理层是否理解其为审计师提供相关信息以支持其进行审计的责任
这些问题在新冠疫情前很容易回答, 由于不遵守标准和/或范围限制的风险相对较低.
该标准的详细指导部分包括以下主要方面:
标准
审计员需要了解审计将遵循的标准. 在COVID-19大流行期间, 例如,达到某些标准的能力已被证明是一个挑战, 确保所收集证据的充分性. 因此,审核员需要彻底审查批准的审核过程,并确定他或她能够在多大程度上满足要求.
范围
审核员需要清楚地确定范围,并绘制出要涵盖的过程和活动. 确定正确的范围非常重要,因为它可以确保审计人员得出适当的结论. 注册会计师的意见在很大程度上取决于注册会计师处理范围的程度. 以便正确地确定范围, 审计师需要, 除此之外, 了解业务领域, 相关的风险以及给定业务领域的控制有效性水平. 这一过程已被证明需要额外的注意,因为由于控制变化而产生的新风险和新出现的风险越来越多 这些都是由新的经营方式带来的.
审计范围受到限制
范围限制是由许多因素决定的, 其中之一是审计师的技能水平. 具有适当技能组合的审计团队成员的可用性是至关重要的. 对于依赖一两个熟练审计员的小团队, 确定团队成员的可用性至关重要, 同时也在寻找方法来处理审计期间无法使用的可能性. 同样的, 审计业务中的关键利益相关者应得到识别和确认, 哪里涉及到第三方, 需要确定可能与它们发生的交互级别.
审计时间框架也是一个挑战, 只要, 无休止的审核会导致审核组和被审核方都筋疲力尽, 并可能导致意想不到的范围限制. 审计师应该, 在审计开始时, 评估可能的范围限制场景,并确定每个场景对审计的意义. 不管范围限制的原因是什么, 注册会计师应确保不影响发表审计意见的能力.
信息
了解哪些信息可用于审查, 这些信息位于何处,审核员是否可以轻松访问这些信息,在审核开始时是否至关重要.
之前COVID, 充分获取信息仅仅是运用审计章程中所概述的审计员权利的问题. 然而,在大流行期间,信息的可得性由多种因素决定. 考虑到政府施加的限制,审计师是否能够访问信息? 是否有工作人员提供查阅资料的机会? 由于隔离和/或隔离,某些工作人员可能无法上班. 信息的集中和分散程度如何?
因此,讨论和确定信息可用性的水平是至关重要的. 此外, 对于审核组来说,解决决定所提供证据的充分性的因素是很重要的.
接受变更约定条款
这是迄今为止我在大流行期间遇到的最常见的要求. 由于突如其来的封锁和人手不足, 要求更改审计范围,并确定是否可以进行更改以适应现场具有挑战性的要求. 重要的是要获得范围变更的批准,并确定变更将如何影响审计意见.
其他的考虑
审核员应该确信审计范围足以得出结论, 该小组将能够执行选定的审计程序, 该信息在审核期间是可用的,并且审核组和被审核方理解所选择的准则, 以及如何应用它.
结论
在进行审计时,审计师应该确信他或她的期望是合理的. 未能在一开始就计划和描绘审计过程,可能会导致在实地工作中出现很多挫折,并造成审核员和被审核员之间的紧张关系.
审计过程中发生的一些冲突仅仅是因为审计开始时的期望是不合理的. 因此,在本次大流行期间,审核员确定适当的期望水平并与其被审核员讨论这些期望水平尤为重要.
