روش های برآورد خطر برای کسب شواهد حسابرسی در باره طراحی و اجرای کنترل‌های مربوط، ممکن است شامل پرس وجو از کارکنان واحد مورد رسیدگی، مشاهده اجرای کنترل‌های خاص، وارسی مدارک و گزارش‌ها و ردیابی معاملات از طریق سیستم اطلاعاتی مربوط به گزارشگری مالی باشد. برای ارزیابی طراحی یک کنترل مربوط به حسابرسی و تشخیص نحوه اجرای آن، پرس و جو به تنهایی کافی نیست.

کسب شناخت از کنترل‌های واحد مورد رسیدگی به منظور استفاده از آن به عنوان آزمون اثربخشی اجرایی کنترلها کافی نیست، مگر این که یک سیستم خودکار برای اجرای یکنواخت کنترلها وجود داشته باشد برای مثال، کسب شواهد حسابرسی درباره اجرای یک کنترل دستی در یک لحظه از زمان، شواهد حسابرسی در باره اثربخشی اجرایی آن کنترل را در سایر زمان‌های طی دوره مورد حسابرسی فراهم نمی‌کند. به هر حال، فناوری اطلاعات، امکان پردازش یکنواخت مقادیر زیادی از اطلاعات را برای واحد مورد رسیدگی فراهم می‌کند و توان آن را در نظارت بر اجرای فعالیت‌های کنترلی و دستیابی به تفکیک اثربخش وظایف از طریق برقراری کنترل‌های ایمنی در برنامه های کاربـردی، بانـکهای اطلاعـاتی و سیستم‌های عـامل، بالا می‌بـرد. بدین‌سان، به دلیل یکنواختی ذاتی در پـردازش اطلاعات در سیستم‌های رایانه‌ای و با تـوجه به بـرآورد حسابرس و آزمون کنترل‌هایی چون کنترل‌های مربوط به تغییرات برنامه، اجرای روش های حسابرسی برای تشخیص نحوه اجرای یک کنترل خودکار می‌تواند به عنوان یک آزمون اثربخشی اجرایی آن کنترل نیز محسوب شود.

۲-۱۱- ویژ‌گیهای اجزای دستی و خود کار کنترل‌های داخلی مربوط به برآورد خطر توسط حسابرس

بیشتر واحدهای تجاری از سیستم‌های فناوری اطلاعات برای گزارشگری مالی و اهداف عملیاتی استفاده می‌کنند. اما، حتی در مواردی که از فناوری اطلاعات به طور گسترده استفاده می‌شود، عناصری دستی در سیستم‌ها وجود خواهد داشت. توازن بین اجزای دستی و خودکار، متفاوت است. در برخی موارد، به ویژه در واحدهای کوچکتر و با پیچیدگی کمتر، سیستم‌ها اساساً دستی است. در دیگر موارد، میزان خودکار بودن سیستم‌ها از این لحاظ متفاوت است که برخی سیستم‌ها اساساً خودکار است و عناصر دستی اندکی دارد و سایر سیستم‌ها، حتی در همان واحد تجاری، اساساً دستی است. در نتیجه، ساختار کنترل‌های داخلی یک واحد مورد رسیدگی احتمالاً شامل عناصری دستی و خودکار است که ویژگی‌های آن، به برآورد خطر توسط حسابرس و روش های حسابرسی لازم مبتنی ‌بر آن، مربوط می‌شود.

استفاده از عناصر دستی یا خودکار در کنترل‌های داخلی، بر چگونگی شروع، ثبت، پردازش و گزارش معاملات نیز اثر می‌گذارد. کنترلها در سیستم دستی ممکن است شامل روش‌هایی چون تصویب و بررسی فعالیت‌ها و مغایرت‌گیری و پیگیری اقلام باز باشد. از سوی دیگر، واحد مورد رسیدگی ممکن است برای شروع، ثبت، پردازش و گزارش معاملات از روش های خودکار استفاده کند که در این صورت، سوابق الکترونیکی جایگزین مستندات کاغذی چون سفارشات خرید، فاکتورهای فروش، مدارک حمل و سوابق حسابداری مربوط می‌شود. کنترل در سیستم‌های فناوری اطلاعات شامل ترکیبی از کنترل‌های خودکار (برای مثال، کنترل‌های تعبیه شده در برنامه های کامپیوتری) و کنترل‌های دستی است. افزون ‌بر این، کنترل‌های دستی می‌تواند مستقل از فناوری اطلاعات باشد، از اطلاعات تهیه شده توسط فنـاوری اطلاعات اسـتفاده کند یا ممکـن است به نظارت بر عملکرد مؤثر فناوری اطلاعات و کنترل‌های خودکار و همچنین، پیگیری موارد استثنا محدود باشد. در مواردی‌که برای شروع، ثبت، پردازش یا گزارش معاملات یا سایر اطلاعات مالی مندرج در صورت‌های مالی از فناوری اطلاعات استفاده می‌شود، سیستم‌ها و برنامه ها ممکن است شامل کنترل‌های مربوط به ادعاهای مرتبط با حسابهای با اهمیت باشد یا از لحاظ عملکرد مؤثر کنترل‌های دستی متکی به فناوری اطلاعات، نقش اساسی داشته باشد. ترکیب کنترل‌های دستی و خود کار واحد مورد رسیدگی برحسب ماهیت و پیچیدگی استفاده آن از فناوری اطلاعات، فرق می‌کند.

معمولاً فناوری اطلاعات مزیت‌های بالقوه‌ای را برای اثر بخشی و کارایی کنترل‌های داخلی واحد مورد رسیدگی فراهم می‌کند، زیرا واحد مورد رسیدگی را قادر به انجام موارد زیر می‌کند:

• • اجرای یکنواخت قواعد تجاری از پیش تعیین شده و انجام محاسبات پیچیده در پردازش حجم بزرگی از معاملات یا اطلاعات.

• • افزایش قابلیت دسترسی، به‌موقع بودن و صحت اطلاعات.

• • تسهیل تحلیل بیشتر اطلاعات.

• • افزایش توان نظارت‌بر عملکرد واحد مورد رسیدگی و سیاست‌ها و رویه‌های آن.

• • کاهش خطر نادیده گرفتن کنترلها.

• افزایش توان دستیابی به تفکیک مؤثر وظایف از طریق استقرار کنترل‌های ایمنی در برنامه های کاربردی، بانک‌های اطلاعاتی و سیستم‌های عامل.

فناوری اطلاعات، کنترل‌های داخلی واحد مورد رسیدگی را در معرض خطرهای خاصی چون موارد زیر نیز قرار می‌دهد :

• • اعتماد به سیستم‌ها یا برنامه هایی که اطلاعات را نادرست پردازش می‌کند، اطلاعات نادرست را پردازش‌می‌کند، یا هر دو.

• • دسترسی غیرمجاز به اطلاعات، که ممکن است به از بین رفتن اطلاعات یا تغییر نابجا در اطلاعات، شامل ثبت معاملات غیرمجاز یا واهی، یا ثبت نادرست معاملات بیانجامد. برخی خطرها ممکن است در مواردی پدید آید که بیش از یک استفاده‌کننده به یک بانک اطلاعاتی عمومی دسترسی دارند.

• • احتمال برخورداری کارکنان فناوری اطلاعات از امکان دسترسی بیش از حد مورد نیاز برای انجام وظایف خود و از این رو، نقض تفکیک وظایف.

• • تغییرات غیرمجاز در اطلاعات پرونده های اصلی.

• • تغییرات غیرمجاز در سیستم‌ها یا برنامه ها.

• • قصور در اعمال تغییرات لازم در سیستم‌ها یا برنامه ها.

• • دخالتهای دستی نابجا.

• • احتمال بالقوه از دست رفتن اطلاعات یا ناتوانی در دسترسی به اطلاعات مورد نیاز. درشرایطی نظـیر موارد زیر که مستـلزم قضاوت و آزادی عمـل است، جنبه‌های دستی سیستم‌ها ممکن است مناسبتر باشد:

• • معاملات بزرگ، غیرعادی یا غیرمکرر.

• • شرایطی که تشخیص یا پیش‌بینی اشتباهات دشوار است.

• • شرایط متغیری که به یک واکنش کنترلی، خارج از حدود یک کنترل خودکار موجود، نیاز است.

• نظارت بر اثربخشی کنترل‌های خودکار.

کنترل‌های دستی توسط افراد انجام می‌شود و از این‌رو، کنترل‌های داخلی واحد مورد رسیدگی را در معرض خطرهای بخصوصی قرار می‌دهد. کنترل‌های دستی ممکن است کمتر از کنترل‌های خودکار قابل اعتماد باشد، زیرا به‌آسانی می‌تواند دور زده شود، نادیده گرفته شود یا زیر پا گذارده شود و همچنین، بیشتر در معرض رخداد اشتباهات و خطاهای ساده قرار دارد. از این رو، نمی‌توان فرض کرد که اجزای کنترل‌های دستی به طور یکنواخت اعمال می‌شود. سیستم‌های دستی ممکن است در موارد زیر چندان مناسب نباشد: