CBIS Impact on Controls and COSO Link

• April 25, 2024

Organisasjoner må utføre risikovurdering for å identifisere, analysere og styre risiko relevant for finansiell rapportering. Kontroller bør implementeres avhengig av identifiserte risikoer, og en riktig kombinasjon av manuelle og CBIS-kontroller skal sikre et tilstrekkelig klima for organisasjonen. I samsvar med denne tilnærmingen gir COSO-rammeverket veiledning til regnskapsførere og revisorer.

De Komite for sponsororganisasjoner av Tradeway Commission (COSO) og dets virksomhetsrisikostyring, ERM Framework-aktiviteter er et must-know for regnskapsførere og revisorer som ønsker å hjelpe organisasjoner med å nå sine økonomiske mål. COSO-aktiviteter inkluderer:

o Artikulere og formidle organisasjonens mål.
o Bestemme organisasjonens risikoappetitt.
o Etablere et passende internt miljø, inkludert et rammeverk for risikostyring.
o Identifisere potensielle trusler mot oppnåelse av mål.
o Vurdering av risikoer, inkludert påvirkning og sannsynlighet for å oppstå.
o Velge og implementere svar på risiko.
o Kontroll og andre responsaktiviteter.
o Kommunisere informasjon om risiko konsekvent på alle nivåer i organisasjonen.
o Sentralt å overvåke og koordinere risikostyringsprosessene og resultatene.
o Sørge for effektiviteten som risikoen styres.

Databehandlede informasjonssystemer, CBIS, er et kraftig verktøy enn forbedrer manuell kontroll over transaksjonsautorisering, segregering av plikter, tilsyn, tilgangskontroll, tilstrekkelig regnskap og uavhengig verifisering. COSO ERM Framework-aktiviteter anses å minimere risikoen gjennom effektiv kontroll.

Fra CBIS miljøperspektiv er transaksjoner autorisert av regler som ofte er innebygd i dataprogrammer. For eksempel, hvis en ansatt anses å jobbe bare 40 timer per uke, skal det vises en feilmelding når noen har jobbet 42 timer i en gitt uke. Autoriseringsprosedyrer er kontroller som bare sikrer prosessen med gyldige transaksjoner. Gyldige transaksjoner må være innenfor en foreskrevet autoritets virkeområde.

Den riktige ansvarsfordeling sikrer at et individ ikke er i stand til å stjele og skjule. Uforenlige plikter under en transaksjonsprosess må skilles. For eksempel må transaksjonsgodkjenning skilles fra transaksjonsbehandling. Forvaring av eiendeler bør skilles fra ansvarsoppgaver. Hvis svindel skulle skje, ville det kun bli oppnådd ved samvirke mellom to eller flere personer med uforenlige plikter. I et CBIS-miljø bør aktivitetene innen programutvikling, programdrift og programvedlikehold skilles skikkelig.

Når en adekvat adskillelse av plikter ikke er mulig, tilsyn spiller en viktig rolle som kompenserer mangelen på riktig segregering. I et CBIS-miljø bør tilsynskontroller utformes for å dempe mangelen på direkte tilsyn. For eksempel vil det være tungvint for en leder å direkte føre tilsyn med en dataprogrammerer mens han gjør jobben sin.

De regnskapsmateriell i et manuelt system gi en revisjonsprøve, mens i et CBIS-miljø leveres revisjonsforsøket av forskjellige teknikker som tar form av pekere, indekser eller innebygde nøkler.

Tilgangskontroller bør forhindre misbruk av eiendeler, den desidert største svindelordningen, ifølge Association of Certified Bedud Examiners, ACFE. CBIS har en tendens til å sentralisere poster på ett sted, som innebærer trusler om svindel og tap fra katastrofer. En stor kontroll er å sikre at enkeltpersoner bare får tilgang til data, programmer og begrensede områder.

Uavhengig bekreftelse identifisere feil og feilrepresentasjoner. For eksempel en uavhengig telling av varelager, en avstemming av eiendeler til regnskapsmateriell, etc. I et CBIS-miljø vurderer regnskapsførere og revisorer kontroller over systemutvikling og logikken til dataprogrammer.

COSO ERM-rammeverket og kontrollaktivitetene, enten manuelle eller gjennom CBIS, streber etter et felles mål: hjelpe organisasjonen med sin søken etter økonomisk bærekraft gjennom riktig kontroll som svar på identifiserte risikoer.