انتخاب روش برآورد خطر
روشهای فراوانی برای برآورد خطر اعم از رایانه ای وغیر رایانه ای وجود دارد که حسابرس سیستم های اطلاعاتی میتواند از بین آنها انتخاب کند. دامنه روشهای مذکور ازطبقه بندی های بسیار ساد، درحد پایین ، متوسط وبالاگرفتن تامحاسبات پیچیده وبه ظاهر علمی برای درجه بندی عددی خطر ، بسته به قضاوت حسابرس، متفاوت است حسابرس سیستم های اطلاعاتی باید سطح پیچیدگی وجزئیات متناسب باسازمان مورد حسابرسی را درنظر قراردهد.
حسابرس درتصمیم گیری مربوط به مناسب ترین روش برآورد خطر باید موارد زیر رادر نظر بگیرد :
1- نوع اطلاعات لازم که باید گردآوری شود (بعضی سیستمها آثارمالی را به عنوان تنها مقیاس به کار می برند که اینمعیار در همه شرایط مناسب نیست ).
2- هزینه نرم افزار یا حق امتیاز لازم برای استفاده ازروش
3- حدود اطلاعاتی که در شرایط موجود در دسترس قرار دارد
4- مقدار اطلاعات اضافی لازم که برای کسب بازده مورد اعتماد باید گرداوری شود این اطلاعات (شامل زمانی که باید برای کار گردآوری اطلاعات صرف شود )
5- نظریات سایر کاربران روش انتخابی ودیدگاه های آنها درمورد سودمندی روش در افزایش کارایی یا اثر بخشی حسابرسی
6- تمایل مدیریت به پذیرش روش انتخابی به عنوان وسیله ای برای برای تعیین نوع وکار حسابرسی
شرایط موثر برحسابرسی ممکن است درطول زمان تغییر کند حسابرسی سیستم های اطلاعاتی باید به طور دوره ای مناسب بودن روشهای برآورد خطر را دوباره ارزیابی کند .
کاربرد برآوردخطر
حسابرس سیستم های اطلاعاتی باید درتنظیم برنامه جامع حسابرسی ودربرنامه ریزی حسابرسیهای مشخص ، فنون برآورد خطر انتخاب شده رابه کار گیرد .
برآورد خطر باید به همراه سایر فنون حسابرسی در تصمیمهای برنامه ریزی از جمله موارد زیردرنظر گرفته شود:
نوع وماهیت، زمانبندی اجرا، وحدود روشهای حسابرسی
عرصه ها یاکارکرهایی که درواحد تجاری باید حسابرسی شود
میزان وقت ومنابعی که باید برای حسابرسی تخصص داده شود
حسابرسی سیستم های اطلاعاتی باید هریک از انواع خطرات زیر برای تعیین سطح کلی آنها بررسی کند :
خطر ذاتی
خطر کنترل
خطر کشف
خطرذاتی
خطر ذاتی عبارت است ازخطر رخ دادن اشتباه دریک عرصه حسابرسی ، که به تنهایی یا درمجموع با اشتباهات دیگر با اهمیت باشد .با این فرض که برای آن کنترلهای داخلی مربوطه وجود ندارند.
خطر ذاتی برای بیشتر عرصه های حسابرسی سیستم ای اطلاعاتی به طور معمول زیاد است زیرا اثر بالقوه اشتباهات ، به طور معمول سیستم های تجاری متعدد وکاربران فراوانی را دربر می گیرد .
حسابرسیستمهای اطلاعاتی دربرآورد خطر ذاتی باید کنترل های فراگیر وتفصیلی سیستم های مذکور را درنظر بگیرد .این موضوع درشرایطی که وظیفه حسابرس فقط به کنترلهای فراگیر سیستمهای اطلاعاتی مربوط می شود به کار نمی رود .
خطر کنترل
خطر کنترل ، رخ دادن اشتباه درعرصه حسابرسی است، که به تنهایی یا در مجموع بااشتباهات دیگر با اهمیت قلمداد شود ، به طوری که پیشگیری یا کشف واصلاح آن به صورت منظم به وسیله کنترل های داخلی میسر نباشد .
حسابرس سیستم های اطلاعاتی باید خطر کنترل را زیاد برآورد کند مگر این که کنترلهای داخلی مربوط دارای شرایط زیر می باشد
تعریف شده باشد
موثر ارزیابی شده باشد
از نظر کاربرد مناسب آزمون وتایید شده باشد .
خطر کشف
خطر کشف خطری است که روشهای اساسی حسابرس سیستم های اطلاعاتی نتواند اشتباهی را ، که به تنهایی یا درمجموع با اشتباهات دیگر بااهمیت باشد، کشف کند
مستند سازی
حسابرس سیستم های اطلاعاتی باید مستند سازی روش برآورد خطررا که برای حسابرسی مشخص بکار رفته است ، در نظر بگیرد .مستندات معمولا باید شامل موار زیر باشد
شرح روش به کار رفته برای برآورد خطر
شناسایی موارد مهم بروز خطر وخطرات مربوطه
خطرات وموارد بروز خطرکه حسابرس مایل به طرح آنهاست
شواهد حسابرسی که برای تایید برآورد خطر به کار رفته است.
