26. 10. 2023
Automatizace, digitalizace, IT prostředí. Asi nikoho z nás nepřekvapí, že se jedná o pojmy, které se i při auditech vyskytují poměrně často. Pojďme se dnes společně zamyslet nad tím, jak využívání informačních technologií ovlivňuje audit účetní závěrky.
ISA 315 (revidované znění 2019) upřesňuje kontroly, které musí auditor identifikovat, aby se seznámil s kontrolní činností. Mezi tyto patří i obecné IT kontroly, které ošetřují rizika vyplývající z používání IT účetní jednotkou. Příklady těchto kontrol, které slouží k ošetření některých rizik vyplývajících z používání IT, obsahuje Příloha 6 standardu.
Úrovně automatizace i digitalizace, a obecně závislost společnosti na IT, významně ovlivňují čas nutný pro zpracování auditu. U malé společnosti, která bude používat „krabicový“ ERP systém bez dalších specifických systémů, jejíž IT infrastruktura spíše zajišťuje nástroje ke komunikaci a základní podpoře procesů, bude povinně kontrolovaná oblast méně rozsáhlá a náročná.
V tomto případě je třeba nejprve vyhodnotit, zda jsou IT služby poskytovatelem zpracovány kompletně. Pokud ano, pak auditor využije postupy dle ISA 402. V tomto kontextu se musí seznámit například s obsahem smlouvy mezi dodavatelem a účetní jednotkou, se způsobem předávání dat mezi nimi, odpovědnostmi za data, jejich kontrolu a dalšími souvislostmi.
Velmi užitečným řešením, jak pro auditory, tak i pro samotnou servisní organizaci, je vypracování zprávy dle požadavků ISAE 3402. Tuto pak může auditor použít jako relevantní důkazní informaci, týkající se nastavení interního kontrolního systému dané servisní organizace. Výhody pro servisní organizaci jsou v úspoře nákladů spojených s povinností opakovaně poskytovat auditorským společnostem nutné údaje o svém vnitřním kontrolním systému. Pokud má tedy společnost poskytující IT služby více klientů podléhajících povinnému auditu, doporučuji vypracování této zprávy.
Jistě bude užitečné nastínit vám témata, na která budete při auditu dotazováni. A pokud vaše společnost nepatří mezi auditované, můžete tyto otázky využít sami pro sebe jako inspiraci:
Máte zpracovanou IT směrnici? Jaké systémy v rámci své podnikatelské činnosti využíváte? Jaká je míra jejich úprav? Jaká používáte úložiště a jak jsou zabezpečena? Jak máte vyřešeno zálohování? Mají vaši pracovníci možnost vzdáleného přístupu? Jak je zabezpečen? Kdo jsou osoby zodpovědné za procesy v oblasti IS/IT? Jak funguje váš systém hesel? Máte stanovené požadavky na hesla? Jsou povinně pravidelně měněna? Kontrolujete periodicky přístupy zaměstnanců k datům? Kdo má administrativní práva?
To jsou některé ze základních otázek, jejichž prostřednictvím si můžete vy i auditor udělat představu o zdraví a vitalitě vašeho firemního IT prostředí.
Témata související s automatizací, digitalizací a IT prostředím jsou relevantní pro každou organizaci. V článku jsme si společně představili několik základních a užitečných souvislostí. V případě dotazů týkajících se auditů, nejen v IT prostředí, jsem vám kdykoli k dispozici! I o technologiích můžeme vést překvapivě podnětné, srozumitelné a lidské rozhovory.