Informační systémy jsou dnes klíčové pro většinu společností. U klientů se během auditu setkáváme s různými systémy či aplikacemi, od těch velkých (ERP) balíků, core produkčních systémů, podpůrných evidencí, podpůrných excelů, účelových aplikací apod. Společnosti tyto systémy nakupují jako balíkový software nebo software vyvinutý na míru externí společností nebo vlastními zaměstnanci atd. Tyto systémy mohou běžet na různých platformách. Vzájemná spolupráce a integrace těchto systémů se může lišit, stejně tak jako zaměstnanci, kteří je spravují nebo se systémy pracují.
Povinnost auditora porozumět IT prostředí klienta a provést prověrku fungování IT sytému vychází z mezinárodního standardu ISA 315. Důležité je upozornit na to, že IT prověrka pro potřeby auditu není plnohodnotným IT auditem dle obecně uznávaných standardů (COBIT, NIST, ISO/IEC 27001) nebo jiných požadavků. Rozsah těchto testů si stanovuje auditor sám podle poznání IT prostředí klienta, jeho odborného úsudku s ohledem na požadavky ISA standardů.
Na co se auditor u klienta zaměřuje?
Pro nás auditory jsou klíčové systémy pro účetnictví, skladovou evidenci, pokladní software apod. Auditor musí porozumět celému IT prostředí a jeho řízení, IT systémům, jejich architektuře, datovým tokům, způsobu zpracování a ukládání transakcí a dat, a zabezpečení systémů. Jen porozumění však není dostačující. Auditor musí identifikovat obecné IT kontroly a další kontroly, jejichž účinnost následně otestuje. Prosté konstatování a zdokumentování efektivity nebo neefektivity není dostačující. Auditor musí brát v potaz, zda jsou implementovány nějaké kompenzační kontroly a také se pokusit určit konkrétní dopad neúčinných IT kontrol.
Jaký je dopad neúčinných IT kontrol na účetní závěrku?
Je velmi těžké určit konkrétní dopad neúčinných IT kontrol na účetní závěrku. V případě, že auditor zjistí, že není adekvátně schválena bezpečností politika, jsou volně nastavená pravidla pro tvorbu a používání hesel, chybí monitoring nebo nástroje na zaznamenávání incidentů, je jasné, že vliv na účetní závěrku bude minimální. Avšak o jejich nefunkčnosti můžeme oficiálně informovat management v dopisu vedení společnosti. Neúčinnost IT kontrol může vést k výskytu nějaké události, která může mít negativní vliv na budoucí fungování společnosti. Nejdůležitějšími oblastmi v rámci testování obecných IT kontrol jsou především řízení přístupů, zabezpečení dat, změnové řízení a testování aplikací a zálohování dat.
Jaká auditorova zjištění jsou nejčastější?
Nejčastějšími zjištěními jsou neúčinné nastavení a odebírání přístupových oprávnění, nadměrné administrátorské přístupy, používání sdílených uživatelských účtů, nesoulad s definovanou bezpečností politikou společnosti, nedostatečné zabezpečení serverovny, nastavení přístupových práv v rozporu s principy oddělení neslučitelných pravomocí, nedostatečná zastupitelnost klíčových IT zaměstnanců (závislost na úzkém počtu zaměstnanců), nedostatečný bezpečností monitoring, nedostatečné oddělení vývoje a provozu informačních systémů, nedostatečně nebo neadekvátně dokumentované testování informačních systémů, nedostatečně nebo neadekvátně dokumentované testování informačních systémů, chybějící automatizace podnikových procesů – množství manuálních zásahů a riziko manuálního zásahu do dat běžnými uživateli, absence automatizovaného workflow.
Pro práce spojené s porozuměním IT prostředí klienta a jejich testování může auditor využít IT specialistů (expertů). Jedná se o významnou pomoc pro efektivně provedený audit v době, kdy je IT u většiny klientů významným aspektem jejich fungování.
