La procedura di audit per un sistema di contabilità informatizzata comprende cinque fasi principali: conduzione della revisione iniziale (pianificazione della revisione); rivedere e valutare i controlli interni; test di conformità (test dei controlli interni); test di convalida (test dei dati dettagliati); e rapporti (conclusioni e conclusioni). Il / i revisore / i deve / devono raggiungere un accordo con il cliente in merito all'ambito e ai limiti dell'audit sin dall'inizio. Ciò faciliterà il raggiungimento degli obiettivi di audit in modo efficace ed efficiente.
Condurre un sondaggio preliminare sull'entità. Questo è un lavoro preliminare per pianificare come dovrebbe essere condotto l'audit. I revisori raccolgono informazioni sul sistema di contabilità informatizzata pertinente al piano di audit, tra cui: una preliminare comprensione di come sono organizzate le funzioni di contabilità informatizzata; identificazione dell'hardware e del software del computer utilizzati dall'entità; una comprensione preliminare di ogni applicazione contabile significativa elaborata dal computer; e identificazione dell'attuazione pianificata di nuove applicazioni o revisioni di applicazioni esistenti e controlli applicabili.
Acquisisci e documenta una comprensione dei controlli interni. Esistono due tipi di controlli: generale e applicazione. I controlli generali sono quelli che riguardano l'organizzazione, la gestione e l'elaborazione all'interno dell'ambiente informatico, ma non sono legati a particolari applicazioni. Dovrebbero essere testati prima dei controlli delle applicazioni, perché se vengono giudicati inefficaci, l'auditor non sarà in grado di fare affidamento sui controlli dell'applicazione. I controlli generali includono aspetti quali la corretta separazione dei compiti, il piano di emergenza, il backup di file, l'uso di etichette, il controllo degli accessi, le procedure per l'acquisizione e l'implementazione di nuovi programmi e apparecchiature ecc. I controlli delle applicazioni si riferiscono a compiti specifici eseguiti dal sistema. Includono controlli di input, controlli di elaborazione e controlli di output e dovrebbero fornire una ragionevole garanzia che l'avvio, la registrazione, l'elaborazione e la comunicazione dei dati siano eseguiti correttamente.
Eseguire test di conformità per determinare le condizioni atmosferiche in cui i controlli esistono effettivamente e funzionare come previsto. Esistono tre approcci generali ai test di conformità: l'approccio dei dati di test, in cui il revisore ha transazioni di test elaborate attraverso il sistema del cliente e quindi confronta i risultati con i risultati predeterminati; l'approccio integrato del centro di saggio, in cui le operazioni fittizie vengono elaborate insieme alle transazioni reali e confrontate con i risultati prestabiliti dei revisori; e l'approccio di simulazione parallela, in cui le transazioni reali vengono elaborate attraverso il sistema del cliente e anche attraverso un sistema parallelo creato dall'auditor che utilizza gli stessi programmi e i risultati vengono confrontati. I risultati di qualsiasi di questi approcci di prova vengono utilizzati dovrebbero dire al revisore se i controlli esistono e funzionano correttamente.
Eseguire test sostanziali per determinare se i dati sono reali. I revisori devono ottenere e valutare le prove relative alle affermazioni della direzione in merito ai rendiconti finanziari. Ci sono cinque asserzioni: completezza; diritti e doveri; valutazione o assegnazione; esistenza o evento; presentazione e divulgazione di dichiarazioni. Il revisore utilizza le asserzioni per sviluppare obiettivi di audit e per progettare test di convalida. I test sostanziali sono test di transazioni e bilanci e procedure analitiche volte a confermare le asserzioni. Il revisore deve ottenere una questione probatoria competente sufficiente a fornire una base per un parere in merito ai rendiconti finanziari sottoposti a revisione. Se non è possibile ottenere sufficienti prove competenti, non è possibile emettere un parere.
Scrivi il rapporto di verifica per completare la verifica. La relazione di revisione conterrà un parere senza riserve, un parere qualificato o una dichiarazione di non responsabilità. Un giudizio senza riserve significa che i rendiconti finanziari sono presentati in modo equo in conformità con i GAAP (Financial Acceptings) generalmente accettati. Un giudizio qualificato indica che i rendiconti finanziari sono presentati in modo equo in conformità con i GAAP ad eccezione di alcuni problemi qualificanti. Un disclaimer di opinione significa che il revisore non è stato in grado di ottenere sufficienti prove per formare un'opinione. Una volta che il rapporto di audit è stato rilasciato, l'audit è completo.