19 Jul
19Jul

IT Audit specialists can significantly improve audit quality because many financial statement risks today arise from information systems, automated controls, system interfaces, user access, and system-generated reports. In many audits, understanding only accounting entries is no longer sufficient. Auditors must also understand how data is created, processed, changed, approved, and reported by the system.


ISA 315 requires auditors to identify and assess risks of material misstatement, and the revised standard includes enhanced requirements and application material to support a more robust risk assessment process. This is particularly relevant when the entity relies heavily on information technology, automated processing, and system-based controls.


The first way IT Audit specialists improve quality is by helping the audit team understand the IT environment. This includes the main accounting system, related operational systems, system interfaces, databases, cloud applications, user access structure, automated workflows, and reports used for financial reporting. Without this understanding, the audit team may overlook how errors can enter the accounting records.


The second benefit is better identification of IT-related “What Could Go Wrong.” For example, revenue may be recognized automatically when an invoice is issued even though goods have not been delivered, cost of sales may be calculated using an incorrect system configuration, inventory quantities may not fully interface from warehouse systems to accounting records, or users may have excessive access to create vendors and approve payments. These risks are not always visible from the general ledger alone.


The third benefit is stronger assessment of IT general controls. These controls normally include access management, program change controls, system operation controls, backup and recovery, incident management, and controls over interfaces. ISA 315’s application material includes considerations for understanding general IT controls, and recognizes that controls relevant to the audit may include general IT controls and application controls.


The fourth benefit is better testing of application controls. Application controls are controls embedded in a system, such as automated invoice matching, credit limit checks, automated depreciation calculation, automated revenue recognition rules, or system blocks that prevent posting without required approval. If designed and operating effectively, these controls may reduce repetitive manual testing and improve the precision of audit procedures.


The fifth benefit is improving the reliability of system-generated reports. Audit teams often rely on reports such as receivable aging, inventory aging, sales registers, purchase listings, journal entry listings, access reports, and exception reports. IT Audit specialists can help test whether these reports are complete, accurate, and generated from the correct data source. This is critical because an audit conclusion based on an unreliable report may be weak even if the testing appears well documented.


The sixth benefit is supporting journal entry testing and fraud risk procedures. IT Audit specialists can help extract complete journal entry populations, identify manual postings, unusual users, postings outside normal hours, entries posted directly to revenue or reserves, round-number entries, and changes made after period close. This helps the audit team respond more effectively to management override risk.


The seventh benefit is supporting data analytics. IAASB guidance recognizes that automated tools and techniques may be used in audit procedures, including risk assessment and further audit procedures. IT Audit specialists can help the audit team obtain reliable data, validate the population, define extraction logic, and interpret exceptions properly.


The eighth benefit is helping the audit team decide whether controls can be relied upon. If general IT controls are weak, the auditor may not be able to rely on automated controls or system-generated reports without additional procedures. This may change the audit approach from reliance on controls to more substantive testing. Conversely, if IT controls are strong, the auditor may be able to design a more efficient and more targeted audit response.


The ninth benefit is improving audit documentation. IAASB support material explains that using automated tools and techniques may affect audit documentation under ISA 230 and other relevant standards. The audit file should show what data was used, how it was obtained, whether the population was complete, what procedures were performed, what exceptions were identified, and what conclusions were reached.


The tenth benefit is improving audit quality in complex IT environments. This is especially important for companies using ERP systems, e-commerce platforms, payment gateways, cloud accounting systems, warehouse management systems, manufacturing systems, payroll systems, or shared service centers. In these environments, financial reporting depends heavily on system processing and data flow.


The audit team should involve IT Audit specialists when the client has significant system complexity, high transaction volume, automated controls, major system changes, weak access controls, outsourced IT services, cloud systems, complex interfaces, or reliance on reports generated by systems. The need is even stronger when the audit team plans to rely on controls or perform data analytics using system-extracted data.


However, using IT Audit specialists does not transfer responsibility away from the engagement partner or the core audit team. ISA 220 emphasizes engagement-level quality management, including the use of appropriate resources and the direction, supervision, and review of the engagement team. If specialists are used, their work must be properly planned, reviewed, and integrated into the overall audit conclusion.


If the IT Audit specialist is treated as an auditor’s expert, ISA 620 is relevant. The auditor should consider the expert’s competence, capabilities, objectivity, the scope of work, and whether the expert’s work is adequate for audit purposes.

In summary, IT Audit specialists improve audit quality by helping auditors understand systems, identify IT-related risks, test general and application controls, evaluate system-generated reports, support data analytics, and strengthen audit evidence. In a digital business environment, IT Audit is not only a technical add-on. It is often a key part of a high-quality, risk-based audit.


การใช้ผู้เชี่ยวชาญด้าน IT Audit ช่วยเพิ่มคุณภาพงานอย่างไร?


ผู้เชี่ยวชาญด้าน IT Audit ช่วยเพิ่มคุณภาพงานสอบบัญชีได้มาก เพราะความเสี่ยงของงบการเงินในปัจจุบันจำนวนมากไม่ได้เกิดจากรายการบัญชีที่บันทึกด้วยมือเท่านั้น แต่เกิดจากระบบสารสนเทศ การควบคุมอัตโนมัติ การเชื่อมข้อมูลระหว่างระบบ สิทธิการเข้าถึง และรายงานที่ดึงจากระบบ ในหลายกิจการ การเข้าใจเฉพาะรายการบัญชีจึงไม่เพียงพอ ผู้สอบบัญชีต้องเข้าใจด้วยว่าข้อมูลถูกสร้าง ประมวลผล แก้ไข อนุมัติ และรายงานผ่านระบบอย่างไร


ISA 315 กำหนดให้ผู้สอบบัญชีต้องระบุและประเมินความเสี่ยงจากการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ โดยมาตรฐานฉบับปรับปรุงมีเนื้อหาเพิ่มเติมเพื่อให้การประเมินความเสี่ยงเข้มแข็งและสม่ำเสมอมากขึ้น ประเด็นนี้สำคัญมากเมื่อกิจการพึ่งพาระบบสารสนเทศ การประมวลผลอัตโนมัติ และการควบคุมที่อยู่ในระบบ


ประโยชน์ข้อแรก คือช่วยให้ทีมสอบบัญชีเข้าใจสภาพแวดล้อมด้านระบบของลูกค้าได้ลึกขึ้น เช่น ระบบบัญชีหลัก ระบบปฏิบัติการที่เกี่ยวข้อง การเชื่อมข้อมูลระหว่างระบบ ฐานข้อมูล ระบบบนคลาวด์ โครงสร้างสิทธิผู้ใช้งาน ขั้นตอนอนุมัติในระบบ และรายงานที่ใช้จัดทำงบการเงิน หากไม่เข้าใจเรื่องเหล่านี้ ทีมตรวจอาจมองไม่เห็นว่าข้อผิดพลาดเข้าสู่บัญชีได้อย่างไร


ประโยชน์ข้อที่สอง คือช่วยระบุสิ่งที่อาจผิดพลาดจากระบบได้ชัดขึ้น เช่น ระบบอาจรับรู้รายได้อัตโนมัติเมื่อออกใบแจ้งหนี้ ทั้งที่ยังไม่ได้ส่งมอบสินค้า ระบบอาจคำนวณต้นทุนขายจากการตั้งค่าที่ผิด ข้อมูลสินค้าคงเหลือจากคลังสินค้าอาจเชื่อมเข้าบัญชีไม่ครบ หรือผู้ใช้งานบางคนอาจมีสิทธิมากเกินไป เช่น สร้างผู้ขายและอนุมัติจ่ายเงินได้เอง ความเสี่ยงเหล่านี้อาจมองไม่เห็นจากบัญชีแยกประเภทเพียงอย่างเดียว


ประโยชน์ข้อที่สาม คือช่วยประเมินการควบคุมทั่วไปด้านระบบสารสนเทศได้ดีขึ้น การควบคุมทั่วไปมักครอบคลุมเรื่องการบริหารสิทธิผู้ใช้งาน การควบคุมการเปลี่ยนแปลงโปรแกรม การปฏิบัติงานของระบบ การสำรองและกู้คืนข้อมูล การจัดการเหตุขัดข้อง และการควบคุมการเชื่อมข้อมูลระหว่างระบบ เนื้อหาใน ISA 315 ระบุถึงข้อพิจารณาในการทำความเข้าใจการควบคุมทั่วไปด้านระบบ และยอมรับว่าการควบคุมที่เกี่ยวข้องกับงานสอบบัญชีอาจรวมถึงการควบคุมทั่วไปและการควบคุมในระบบงาน


ประโยชน์ข้อที่สี่ คือช่วยทดสอบการควบคุมในระบบงานได้มีประสิทธิภาพขึ้น การควบคุมในระบบงานคือการควบคุมที่ฝังอยู่ในระบบ เช่น การจับคู่ใบสั่งซื้อ ใบรับสินค้า และใบแจ้งหนี้โดยอัตโนมัติ การตรวจวงเงินเครดิตลูกค้า การคำนวณค่าเสื่อมราคาอัตโนมัติ กฎการรับรู้รายได้ในระบบ หรือการไม่ให้บันทึกรายการหากยังไม่มีการอนุมัติ หากการควบคุมเหล่านี้ถูกออกแบบและทำงานจริงอย่างมีประสิทธิผล อาจช่วยลดการตรวจรายการซ้ำจำนวนมากและทำให้งานตรวจมีความแม่นยำขึ้น


ประโยชน์ข้อที่ห้า คือช่วยเพิ่มความน่าเชื่อถือของรายงานที่ดึงจากระบบ ทีมสอบบัญชีมักใช้รายงานจากระบบ เช่น รายงานอายุลูกหนี้ รายงานอายุสินค้า ทะเบียนขาย ทะเบียนซื้อ รายการบันทึกบัญชี รายงานสิทธิผู้ใช้งาน และรายงานข้อยกเว้น ผู้เชี่ยวชาญด้าน IT Audit สามารถช่วยทดสอบว่ารายงานเหล่านี้ครบถ้วน ถูกต้อง และดึงจากแหล่งข้อมูลที่ถูกต้องหรือไม่ เรื่องนี้สำคัญมาก เพราะหากรายงานจากระบบไม่น่าเชื่อถือ ข้อสรุปของผู้สอบบัญชีที่ใช้รายงานนั้นเป็นฐานก็อาจไม่แข็งแรง แม้กระดาษทำการจะดูครบถ้วนก็ตาม


ประโยชน์ข้อที่หก คือช่วยสนับสนุนการตรวจรายการปรับปรุงบัญชีและความเสี่ยงทุจริต ผู้เชี่ยวชาญด้าน IT Audit สามารถช่วยดึงข้อมูลรายการปรับปรุงบัญชีให้ครบถ้วน ระบุรายการที่บันทึกด้วยมือ ผู้ใช้งานที่ผิดปกติ เวลาบันทึกรายการนอกเวลาทำการ รายการที่บันทึกตรงเข้าบัญชีรายได้หรือบัญชีสำรอง รายการจำนวนกลม และรายการที่แก้ไขหลังปิดงวด วิธีนี้ช่วยให้ทีมตรวจตอบสนองต่อความเสี่ยงที่ผู้บริหารข้ามระบบควบคุมได้ดีขึ้น


ประโยชน์ข้อที่เจ็ด คือช่วยสนับสนุนการวิเคราะห์ข้อมูล เอกสารของ IAASB ระบุว่าเครื่องมือและเทคนิคอัตโนมัติสามารถใช้ในวิธีตรวจสอบได้ ทั้งในการประเมินความเสี่ยงและวิธีตรวจสอบเพิ่มเติม ผู้เชี่ยวชาญด้าน IT Audit ช่วยทีมตรวจได้ตั้งแต่การดึงข้อมูล การตรวจว่าข้อมูลครบถ้วน การกำหนดเงื่อนไขในการดึงข้อมูล และการตีความรายการผิดปกติให้เหมาะสม


ประโยชน์ข้อที่แปด คือช่วยให้ทีมตรวจตัดสินใจได้ว่าจะพึ่งพาการควบคุมได้หรือไม่ หากการควบคุมทั่วไปด้านระบบอ่อนแอ ผู้สอบบัญชีอาจไม่สามารถพึ่งพาการควบคุมอัตโนมัติหรือรายงานจากระบบได้โดยไม่มีวิธีตรวจเพิ่มเติม ซึ่งอาจทำให้ต้องเปลี่ยนแนวทางจากการพึ่งพาการควบคุมไปเป็นการตรวจเนื้อหาสาระมากขึ้น ในทางกลับกัน หากการควบคุมด้านระบบแข็งแรง ผู้สอบบัญชีอาจออกแบบวิธีตรวจสอบได้ตรงจุดและมีประสิทธิภาพมากขึ้น


ประโยชน์ข้อที่เก้า คือช่วยให้เอกสารงานสอบบัญชีมีคุณภาพขึ้น เอกสารสนับสนุนของ IAASB อธิบายว่าการใช้เครื่องมืออัตโนมัติอาจมีผลต่อการจัดทำเอกสารงานสอบบัญชีตาม ISA 230 และมาตรฐานอื่นที่เกี่ยวข้อง แฟ้มงานควรแสดงให้ชัดว่าใช้ข้อมูลใด ดึงข้อมูลอย่างไร ตรวจสอบความครบถ้วนของข้อมูลอย่างไร ทำวิธีตรวจอะไร พบข้อยกเว้นอะไร และสรุปผลอย่างไร


ประโยชน์ข้อที่สิบ คือช่วยเพิ่มคุณภาพงานในกิจการที่มีระบบซับซ้อน เช่น กิจการที่ใช้ระบบ ERP ระบบขายออนไลน์ ช่องทางรับชำระเงิน ระบบคลังสินค้า ระบบผลิต ระบบเงินเดือน ระบบบัญชีบนคลาวด์ หรือศูนย์บริการร่วม ในกิจการเหล่านี้ การรายงานทางการเงินพึ่งพาการประมวลผลของระบบและการไหลของข้อมูลอย่างมาก


โดยทั่วไป ทีมสอบบัญชีควรพิจารณาใช้ผู้เชี่ยวชาญด้าน IT Audit เมื่อลูกค้ามีระบบซับซ้อน มีรายการจำนวนมาก ใช้การควบคุมอัตโนมัติ มีการเปลี่ยนระบบครั้งใหญ่ สิทธิผู้ใช้งานอ่อนแอ ใช้บริการระบบจากภายนอก ใช้ระบบบนคลาวด์ มีการเชื่อมข้อมูลหลายระบบ หรือทีมตรวจต้องพึ่งพารายงานที่ดึงจากระบบ ความจำเป็นจะยิ่งสูงขึ้นหากทีมตรวจต้องการพึ่งพาการควบคุมหรือใช้การวิเคราะห์ข้อมูลจากระบบ


อย่างไรก็ตาม การใช้ผู้เชี่ยวชาญด้าน IT Audit ไม่ได้ทำให้ความรับผิดชอบของหุ้นส่วนงานสอบบัญชีหรือทีมตรวจหลักหมดไป ISA 220 เน้นการบริหารคุณภาพในระดับงานสอบบัญชี รวมถึงการใช้ทรัพยากรที่เหมาะสม การกำกับดูแล และการสอบทานงานของทีมตรวจ หากใช้ผู้เชี่ยวชาญ งานของผู้เชี่ยวชาญต้องถูกวางแผน สอบทาน และนำมารวมกับข้อสรุปของงานสอบบัญชีโดยรวมอย่างเหมาะสม


หากผู้เชี่ยวชาญด้าน IT Audit ถูกใช้ในฐานะผู้เชี่ยวชาญของผู้สอบบัญชี ISA 620 จะเกี่ยวข้อง ผู้สอบบัญชีควรพิจารณาความรู้ความสามารถ ความสามารถในการปฏิบัติงาน ความเป็นกลาง ขอบเขตงาน และความเหมาะสมของผลงานของผู้เชี่ยวชาญต่อวัตถุประสงค์ของงานสอบบัญชี


โดยสรุป ผู้เชี่ยวชาญด้าน IT Audit ช่วยเพิ่มคุณภาพงานสอบบัญชีโดยทำให้ทีมตรวจเข้าใจระบบ ระบุความเสี่ยงจากระบบ ทดสอบการควบคุมทั่วไปและการควบคุมในระบบงาน ประเมินความน่าเชื่อถือของรายงาน สนับสนุนการวิเคราะห์ข้อมูล และทำให้หลักฐานการสอบบัญชีแข็งแรงขึ้น ในสภาพแวดล้อมธุรกิจที่ขับเคลื่อนด้วยระบบดิจิทัล IT Audit ไม่ใช่งานเสริมทางเทคนิคเท่านั้น แต่เป็นส่วนสำคัญของงานสอบบัญชีที่มีคุณภาพและอิงความเสี่ยงอย่างแท้จริง

External References

  • IAASB — ISA 315 (Revised 2019), Identifying and Assessing the Risks of Material Misstatement.
  • IAASB — ISA 330, The Auditor’s Responses to Assessed Risks.
  • IAASB — ISA 220 (Revised), Quality Management for an Audit of Financial Statements.
  • IAASB — ISA 620, Using the Work of an Auditor’s Expert.
  • IAASB — Audit documentation when using automated tools and techniques.
  • IAASB — Using automated tools and techniques in performing audit procedures.
Comments
* The email will not be published on the website.