Kirjoittaja: Saila Vartia
Tietojärjestelmä ja kommunikaatio on yksi ISA 315:n määrittelemistä sisäisen valvonnan komponenteista, eli yrityksen tietojärjestelmä kuuluu asioihin, joista tilintarkastajan tulee muodostaa käsitys riskien tunnistamiseksi ja arvioimiseksi.
Tilintarkastajan tulee tunnistaa tilinpäätöksen laatimisen kannalta relevantit tietojärjestelmät ja sen jälkeen tehdä arvio, tukeeko yrityksen tietojärjestelmä ja kommunikaatio tilinpäätöksen laatimista asianmukaisella tavalla.
Muodostaessa käsitystä yksinkertaisesta tietojärjestelmästä, tilintarkastaja voi arvioida esimerkiksi
- missä määrin ohjelmisto on vakiintunut ja saanut mainetta luotettavuudesta,
- missä määrin yrityksellä on mahdollista tehdä muutoksia ohjelmistoon tai sillä käsiteltävään tietoon
- missä määrin tilinpäätöksen laatimiseen liittyvään tietoon on suora pääsy ja
- käsiteltävän tiedon määrää.
Evidenssi käsityksen muodostamisesta yrityksen IT-ympäristöstä
Tilintarkastajan käsityksen muodostaminen yrityksen IT-ympäristöstä voi perustua asiakkaan laatimaan kuvaukseen. PK-sektorin asiakkaissa kuvausta IT-ympäristöstä on harvemmin valmiina saatavilla, eikä asiakkaalla ole nimettyä IT-asioista vastaavaa henkilöä, kenelle tilintarkastaja voisi tiedusteluja osoittaa.
Tilanteessa, jossa asiakkaalla ei ole muodollista kuvausta IT-ympäristöstä, ja omistajayrittäjä tai ulkoistettu kirjanpitäjä toimii asiakkaan IT-vastaavana, voi tilintarkastajalle olla tehokkainta laatia dokumentaatio käsityksen muodostamisesta piirtämällä IT-ympäristö paperille käsin itse ja kuvaamalla keskeiset seikat. Kuvauksessa esitetään tilinpäätöksen laatimisen kannalta relevantit järjestelmät ja esimerkiksi järjestelmien tehtävät, niiden väliset yhteydet, mitä tietoja järjestelmästä siirtyy ja miten tietojen oikeellisuudesta varmistutaan.
Tavanomaisia ja eri asiakkaiden keskenään samanlaisilta muistuttavia järjestelmiä kuvatessa kannattaa pysähtyä hetkeksi miettimään, onko tässä asiakkaan IT-ympäristössä kuitenkin erityispiirteitä, joita tulisi huomioida ja miten ne vaikuttavat IT:n käytöstä aiheutuvan olennaisen virheen riskin arviointiin?
IT:n käytöstä aiheutuvia riskejä
IT:n käytöstä aiheutuva riski lisääntyy esimerkiksi silloin, kun yrityksen liiketapahtumien käsittelyä suorittaa automaatio ja liiketapahtuman muodostumiseen ja kirjaamiseen liittyy useita integroituja IT-sovelluksia. Toinen esimerkki IT:n käytöstä aiheutuvista riskeistä on keskeisten tilinpäätöksen laatimisessa käytettävien raporttien tietojen oikeellisuuden ja täydellisyyden vaarantuminen. Riskiin vaikuttaa sen, miten raportteja käytetään tilinpäätöksen laatimisessa, miten yrityksessä valvotaan raportteihin tehtäviä muutoksia ja missä määrin muutoksia tehdään.
IT-sovelluksessa olevan ja muodostuvan tiedon heikko suojaaminen tai säilyttäminen on yleinen IT:n käyttöön liittyvä riski, joka usein myös toteutuu.
Tilintarkastuksessa tulee suunnitella ja toteuttaa toimenpiteitä tunnistettuihin riskeihin vastaamiseksi. Joissain tilanteissa, voi olla tehokasta hankkia evidenssi aineistotarkastustoimenpitein, mutta automaation lisääntyessä, niitä varmentavien kontrollien testaaminen on todennäköisempi vaihtoehto.
IT-riskit LCE-standardin mukaan
Myös LCE -standardi määrittää, että tilinpäätöksen laatimisprosessista muodostettavaan käsitykseen kuuluu käsityksen muodostaminen IT-ympäristöstä. Tähän voi sisältyä tilinpäätöksen laatimisprosessin merkittävien tilinpäätöserien osalta se, miten tietoa ja informaatiota käsitellään, miten tiedon eheys säilytetään ja millaisia prosesseja ja resursseja tilinpäätöksen laatimisprosessissa käytetään.
Lisää aiheesta kevään K1-koulutuskiertueella
Kevään 2024 K1-koulutuskiertueella Tero Anttila (TietoAkseli Group) ja Marja-Liisa Lohtander (Visma Solutions Oy) käsittelevät IT-ympäristön merkitystä pk-yritysten tarkastuksessa. Koulutuksessa käydään läpi käsityksen muodostamista ICT-ympäristöstä ja yleisistä IT-kontrolleista käytännön esimerkein. Katso koulutuspäivät ja ilmoittaudu mukaan.