12 Jul
12Jul

An auditor should involve an IT specialist when the entity’s information technology environment is too complex for the core audit team to understand, evaluate, or test with sufficient competence. The decision should be based on audit risk rather than the size of the entity alone. Even a relatively small company may require IT expertise if its financial reporting depends heavily on automated systems, complex interfaces, or customized applications.


One common situation is where the entity uses a complex enterprise resource planning system, multiple accounting systems, or numerous interfaces between sales, inventory, production, payroll, treasury, and the general ledger. An IT specialist can help the audit team understand how transactions flow through the systems, identify points where data may be changed or lost, and assess whether interfaces and automated postings operate as intended. ISA 315 (Revised 2019) requires the auditor to understand the entity’s information system, relevant IT environment, and risks arising from the use of IT when identifying and assessing risks of material misstatement. (IAASB)


IT expertise may also be necessary when the audit strategy relies on automated controls. Examples include automated credit-limit checks, three-way matching, system-calculated depreciation, automated revenue recognition, workflow approvals, and controls that prevent duplicate payments. Before relying on such controls, the auditor must understand the application logic and evaluate relevant general IT controls, including user access, program changes, system development, and computer operations.


Another important situation is where audit evidence is generated by the entity’s systems. Reports such as inventory ageing, sales listings, receivable ageing, journal-entry populations, production reports, and system-generated reconciliations may be central to the audit. If the reports involve complex queries, customized parameters, data extraction, or information transferred between systems, an IT specialist may be required to test the completeness and accuracy of the data before the audit team relies on it.


Major system implementation, migration, or upgrade projects also increase the need for IT involvement. When an entity changes its ERP system, transfers opening balances, redesigns its chart of accounts, or introduces new automated processes, there is a risk that information may be incomplete, duplicated, incorrectly mapped, or posted to the wrong period. The IT specialist may assist in evaluating migration controls, reconciliations, access rights, change management, and post-implementation issues.


The auditor should also consider involving an IT specialist when privileged access is concentrated among a small number of administrators or developers. Excessive access may allow users to modify master data, change programs, post transactions, or alter logs without independent review. This is particularly relevant where the same individuals can develop, approve, and move system changes into production, or where former employees retain active accounts.


Cybersecurity incidents may require specialist involvement when they could affect financial reporting. A ransomware attack, unauthorized access, data loss, system outage, or manipulation of transaction data may affect the completeness and reliability of accounting records, the operation of internal controls, provisions and disclosures, or the entity’s ability to continue operating. The financial statement auditor does not ordinarily provide a full cybersecurity assurance engagement, but must evaluate the financial reporting consequences of significant incidents.


IT specialists may also be useful where the entity uses cloud systems, outsourced data centres, payment platforms, or external service organizations. The audit team may need assistance understanding service auditor reports, complementary user controls, data interfaces, access arrangements, and whether controls operated by the service provider are relevant to the audit. The auditor’s responsibilities for entities using service organizations are addressed by ISA 402.


Emerging technologies may create additional situations requiring specialist knowledge. These include robotic process automation, artificial intelligence, complex algorithms, blockchain applications, smart contracts, automated valuation models, and customized data warehouses. The issue is not whether the technology is new, but whether the audit team can understand how it affects financial reporting and obtain sufficient appropriate evidence without specialist assistance.


Involving an IT specialist does not transfer responsibility for the audit conclusion. The engagement partner and audit team must determine the specialist’s scope, evaluate competence and objectivity, communicate the relevant risks and procedures, review the work performed, and assess whether the findings support the audit conclusion. ISA 620 requires the auditor to evaluate whether the expert’s work is adequate for the auditor’s purposes. (IAASB)


An IT specialist may not be necessary when the entity uses a simple standard accounting package, transactions are limited, controls are mainly manual, and sufficient evidence can be obtained directly from reliable documents and third parties. However, the audit file should still document why the engagement team has the competence required to address the IT-related risks without specialist involvement.

In summary, an IT specialist should be involved when technology materially affects transaction processing, internal controls, system-generated information, or the reliability of audit evidence, and the core audit team does not possess sufficient expertise. The decision should be made during audit planning rather than after problems arise during fieldwork.

ผู้สอบบัญชีควรใช้ผู้เชี่ยวชาญด้านไอทีในสถานการณ์ใด?


ผู้สอบบัญชีควรใช้ผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศเมื่อระบบของกิจการมีความซับซ้อนเกินกว่าที่ทีมสอบบัญชีหลักจะสามารถทำความเข้าใจ ประเมิน หรือทดสอบได้อย่างมีประสิทธิผล การตัดสินใจไม่ควรพิจารณาเพียงขนาดของกิจการ เพราะแม้เป็นบริษัทขนาดไม่ใหญ่ ก็อาจต้องใช้ผู้เชี่ยวชาญหากการรายงานทางการเงินพึ่งพาระบบอัตโนมัติ การเชื่อมต่อข้อมูลหลายระบบ หรือโปรแกรมที่พัฒนาขึ้นเฉพาะกิจการ


สถานการณ์ที่พบได้บ่อยคือกิจการใช้ระบบวางแผนทรัพยากรองค์กรที่ซับซ้อน ใช้ระบบบัญชีหลายระบบ หรือมีการเชื่อมต่อข้อมูลระหว่างระบบขาย สินค้าคงเหลือ การผลิต เงินเดือน การบริหารเงิน และบัญชีแยกประเภท ผู้เชี่ยวชาญด้านไอทีสามารถช่วยทำความเข้าใจเส้นทางของรายการ ระบุจุดที่ข้อมูลอาจตกหล่น ถูกแก้ไข หรือบันทึกซ้ำ และประเมินว่าการเชื่อมต่อกับการบันทึกบัญชีอัตโนมัติทำงานตามที่ออกแบบไว้หรือไม่ มาตรฐานการสอบบัญชี รหัส 315 กำหนดให้ผู้สอบบัญชีทำความเข้าใจระบบสารสนเทศ สภาพแวดล้อมด้านไอที และความเสี่ยงที่เกิดจากการใช้เทคโนโลยีในการประเมินความเสี่ยงของงบการเงิน (Accounting Council)


ผู้เชี่ยวชาญอาจมีความจำเป็นเมื่อผู้สอบบัญชีวางแผนพึ่งพาการควบคุมอัตโนมัติ เช่น การตรวจวงเงินสินเชื่อ การจับคู่ใบสั่งซื้อ ใบรับสินค้า และใบแจ้งหนี้ การคำนวณค่าเสื่อมราคา การรับรู้รายได้อัตโนมัติ การอนุมัติผ่านระบบ หรือการป้องกันการจ่ายเงินซ้ำ ก่อนพึ่งพาการควบคุมเหล่านี้ ทีมสอบบัญชีต้องเข้าใจตรรกะของโปรแกรม และประเมินการควบคุมทั่วไปด้านไอทีที่เกี่ยวข้อง เช่น การบริหารสิทธิผู้ใช้งาน การแก้ไขโปรแกรม การพัฒนาระบบ และการปฏิบัติการของระบบ


อีกกรณีสำคัญคือการใช้รายงานที่สร้างจากระบบเป็นหลักฐานการสอบบัญชี เช่น รายงานอายุสินค้าคงเหลือ รายงานยอดขาย รายงานอายุลูกหนี้ รายการบันทึกบัญชีทั้งหมด รายงานการผลิต และรายงานกระทบยอด หากรายงานเหล่านี้เกิดจากคำสั่งดึงข้อมูลที่ซับซ้อน มีการตั้งค่าเฉพาะ หรือรวบรวมข้อมูลจากหลายระบบ ผู้เชี่ยวชาญด้านไอทีอาจต้องช่วยตรวจสอบความครบถ้วนและความถูกต้องของข้อมูลก่อนที่ทีมสอบบัญชีจะนำไปเลือกตัวอย่าง วิเคราะห์ หรือใช้เป็นหลักฐาน


การติดตั้งระบบใหม่ การเปลี่ยนระบบ หรือการย้ายข้อมูลเป็นอีกสถานการณ์ที่ควรใช้ผู้เชี่ยวชาญ เนื่องจากมีความเสี่ยงว่ายอดยกมาอาจไม่ครบ ข้อมูลอาจซ้ำ การเชื่อมโยงรหัสบัญชีอาจผิด หรือรายการอาจถูกบันทึกผิดงวด ผู้เชี่ยวชาญสามารถช่วยประเมินการควบคุมการย้ายข้อมูล การกระทบยอดระหว่างระบบเดิมกับระบบใหม่ การกำหนดสิทธิ การควบคุมการเปลี่ยนแปลงโปรแกรม และปัญหาหลังเริ่มใช้งานจริง


ผู้สอบบัญชีควรพิจารณาใช้ผู้เชี่ยวชาญเมื่อผู้ดูแลระบบหรือผู้พัฒนาโปรแกรมมีสิทธิระดับสูงเกินสมควร สิทธิพิเศษอาจทำให้บุคคลสามารถแก้ไขข้อมูลหลัก เปลี่ยนโปรแกรม บันทึกรายการ หรือแก้ไขประวัติการใช้งานโดยไม่มีการตรวจสอบอย่างเป็นอิสระ ความเสี่ยงจะสูงขึ้นหากบุคคลเดียวสามารถพัฒนา อนุมัติ และนำโปรแกรมเข้าสู่ระบบใช้งานจริง หรือบัญชีผู้ใช้งานของพนักงานที่ลาออกแล้วยังไม่ถูกยกเลิก


เหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์อาจทำให้ต้องใช้ผู้เชี่ยวชาญเช่นกัน หากการโจมตีเรียกค่าไถ่ การเข้าถึงโดยไม่ได้รับอนุญาต การสูญหายของข้อมูล ระบบหยุดทำงาน หรือการแก้ไขข้อมูลรายการค้า ส่งผลต่อความครบถ้วนและความน่าเชื่อถือของบัญชี การทำงานของการควบคุม การตั้งประมาณการ การเปิดเผยข้อมูล หรือความสามารถในการดำเนินงานต่อเนื่อง แม้ผู้สอบบัญชีงบการเงินไม่ได้มีหน้าที่ให้ความเชื่อมั่นต่อระบบความปลอดภัยทางไซเบอร์ทั้งหมด แต่ต้องประเมินผลกระทบที่อาจมีต่องบการเงินและหลักฐานการสอบบัญชี


หากกิจการใช้ระบบคลาวด์ ผู้ให้บริการศูนย์ข้อมูล ระบบรับชำระเงิน หรือองค์กรผู้ให้บริการภายนอก ผู้เชี่ยวชาญอาจช่วยประเมินรายงานการควบคุมของผู้ให้บริการ การควบคุมที่กิจการผู้ใช้บริการต้องปฏิบัติ การเชื่อมต่อข้อมูล และสิทธิการเข้าถึงระบบ มาตรฐานการสอบบัญชี รหัส 402 กำหนดข้อพิจารณาสำหรับการตรวจสอบกิจการที่ใช้บริการขององค์กรอื่น และผู้สอบบัญชีต้องเข้าใจว่าบริการดังกล่าวมีผลต่อระบบสารสนเทศกับการควบคุมภายในของกิจการอย่างไร


เทคโนโลยีใหม่ เช่น ระบบอัตโนมัติด้วยหุ่นยนต์ปฏิบัติการ ปัญญาประดิษฐ์ แบบจำลองที่มีขั้นตอนวิธีซับซ้อน ระบบบล็อกเชน สัญญาอัจฉริยะ และคลังข้อมูลขนาดใหญ่ อาจทำให้ต้องใช้ความรู้เฉพาะด้าน ประเด็นสำคัญไม่ได้อยู่ที่เทคโนโลยีนั้นใหม่เพียงใด แต่อยู่ที่ทีมสอบบัญชีเข้าใจผลกระทบต่อการรายงานทางการเงิน และสามารถได้หลักฐานที่เหมาะสมอย่างเพียงพอด้วยตนเองหรือไม่


การใช้ผู้เชี่ยวชาญไม่ได้ทำให้ความรับผิดชอบของผู้สอบบัญชีลดลง ผู้สอบบัญชีที่รับผิดชอบงานและทีมตรวจสอบยังต้องกำหนดขอบเขตงาน ประเมินความรู้ความสามารถและความเที่ยงธรรมของผู้เชี่ยวชาญ สื่อสารความเสี่ยงที่ต้องการตรวจสอบ ทบทวนงานที่ดำเนินการ และพิจารณาว่าผลงานดังกล่าวเพียงพอสำหรับสนับสนุนข้อสรุปหรือไม่ มาตรฐานการสอบบัญชี รหัส 620 กำหนดให้ผู้สอบบัญชีประเมินความเพียงพอของผลงานผู้เชี่ยวชาญสำหรับวัตถุประสงค์ของงานสอบบัญชี (ACPRO Standard)


ผู้เชี่ยวชาญด้านไอทีอาจไม่จำเป็นหากกิจการใช้โปรแกรมบัญชีมาตรฐานที่ไม่ซับซ้อน มีรายการไม่มาก การควบคุมส่วนใหญ่เป็นแบบใช้คนปฏิบัติ และผู้สอบบัญชีสามารถได้รับหลักฐานที่เหมาะสมจากเอกสารกับบุคคลภายนอกได้โดยตรง อย่างไรก็ตาม กระดาษทำการควรบันทึกเหตุผลว่าทีมสอบบัญชีมีความรู้ความสามารถเพียงพอในการจัดการความเสี่ยงด้านไอทีโดยไม่ต้องใช้ผู้เชี่ยวชาญ


โดยสรุป ผู้สอบบัญชีควรใช้ผู้เชี่ยวชาญด้านไอทีเมื่อเทคโนโลยีมีผลอย่างมีนัยสำคัญต่อการประมวลผลรายการ การควบคุมภายใน รายงานที่สร้างจากระบบ หรือความน่าเชื่อถือของหลักฐาน และทีมสอบบัญชีหลักไม่มีความเชี่ยวชาญเพียงพอ การตัดสินใจควรเกิดขึ้นตั้งแต่ขั้นตอนวางแผน เพื่อให้ขอบเขตงาน เวลา และทรัพยากรสอดคล้องกับความเสี่ยง ไม่ใช่รอจนพบปัญหาในช่วงท้ายของงาน

External References

  • IAASB — ISA 315 (Revised 2019), Identifying and Assessing the Risks of Material Misstatement. (IAASB)
  • IAASB — ISA 620, Using the Work of an Auditor’s Expert. (IAASB)
  • สภาวิชาชีพบัญชี — มาตรฐานการสอบบัญชี รหัส 315 (ปรับปรุง 2564) การระบุและประเมินความเสี่ยงจากการแสดงข้อมูลที่ขัดต่อข้อเท็จจริงอันเป็นสาระสำคัญ. (Accounting Council)
  • สภาวิชาชีพบัญชี — มาตรฐานการสอบบัญชี รหัส 402 ข้อพิจารณาในกรณีที่กิจการใช้บริการขององค์กรอื่น. (ACPRO Standard)
  • สภาวิชาชีพบัญชี — มาตรฐานการสอบบัญชี รหัส 620 การใช้ผลงานของผู้เชี่ยวชาญของผู้สอบบัญชี. (ACPRO Standard)
Comments
* The email will not be published on the website.