مخاطرات حسابرسى عبارت است از احتمال اين خطر که حسابرس نادانسته اظهارنظر خود را در مورد صورت‌هاى مالى يا تحريف عمده را به‌‌گونه‌اى مناسب تعديل نکند. صورت‌هاى مالى ارائه شده در شرايطى حاوى تحريف عمده است که داراى چنان اشتباهات يا سوءجرياناتى است که آثار آن به تنهائى يا در مجموع سبب شود صورت‌هاى مالى مزبور طبق اصول پذيرفته شده حسابدارى يا حقايق امور و يا حذف شدن اطلاعات ضرورى است. در اين قسمت هر جا که واژه ”اشتباه“ به‌کار رفته است منظور اين‌گونه اشتباهات يا سوءجريانات است. مخاطرات حسابرسى را مى‌توان ناشى از هر يک يا ترکيبى از دو خطر مذکور در زير دانست:


۱. خطر وجود اشتباه در روش‌هاى تدوين و پردازش اطلاعات مالى مورد استفاده در صورت‌هاى مالي،


۲. خطر عدم کشف اشتباهات يا انحراف بااهميت توسط حسابرس.


حسابرس خطر اول را با اتکاء بر کنترل‌هاى داخلى و خطر دوم را با انجام آزمون‌هاى محتوا کاهش مى‌دهد.


اهميت همه فعاليت‌ها و دارائى‌ها در صورت‌هاى مالى و احتمال بروز اشتباه در آنها يکسان نيست. بنابراين، منابع حسابرس بايد به‌گونه‌اى براى رسيدگى‌هاى مختلف تخصيص يابد که حداکثر استفاده از آن به‌عمل آيد. حسابرس به‌طور معمول موارد بااهميتى را که خطر اشتباه در آنها زيادتر است بيشتر بررسى مى‌کند.


اصل مزبور در رسيدگى به مراکز خدمات کامپيوترى و سيستم‌هاى کاربردى کامپيوترى نيز کاربرد دارد. در مطالعه و ارزيابى کنترل‌هاى داخلى سيستم‌هاى کامپيوترى لزومى ندارد که تمام عمليات و سيستم‌هاى کاربردى مطالعه و ارزيابى شود بلکه تنها آن پردازش‌ها، عمليات و سيستم‌هاى کاربردى در دامنه رسيدگى حسابرس قرار مى‌گيرد که با اطلاعات مهم مالى ارتباط دارد. برنامه حسابرسى بايد بر اساس ميزان اهميت اطلاعات مورد رسيدگى در صورت‌هاى مالى و ميزان خطر بروز اشتباه در عمليات يا پردازش‌هاى مربوطه تنظيم شود. بر اساس استانداردهاى پذيرفته شده، حسابرس هنگام تنظيم برنامه حسابرسى بايد به‌نوع عمليات مؤسسه مورد رسيدگى به‌ويژه امکان اختلاس يا استفاده غيرمجاز از دارائى‌ها، نوع و تعداد فعاليت‌ها و اهميت نسبى هر يک از انواع فعاليت‌ها و دارائى‌هاى مربوط به آن توجه نمايد.


رسيدگى به مخاطرات حسابرسى در مراکز خدمات کامپيوترى نمى‌تواند به‌صورت عملى مستقل صورت پذيرد، زيرا به‌طور معمول عمليات دستى و يا ادارى ديگرى قبل و بعد از پردازش کامپيوترى روى اطلاعات انجام مى‌شود. مخاطراتى که در رسيدگى مزبور بايد مورد توجه قرار گيرد عبارت است از مخاطرات مربوط به:


۱. استفاده از منابع ايجاد سيستم‌هاى کاربردي، سخت‌افزار، نرم‌افزار و ساير وسايل کامپيوترى


۲. سيستم‌هاى کاربردى که اطلاعات مالى را پردازش مى‌کند


۳. اطلاعات ورودى فعاليت‌هاى هر يک از سيستم‌هاى کاربردى مزبور


۴. اجزاء اطلاعات ورودى هر يک از فعاليت‌ها و اطلاعات ذخيره شده در کامپيوتر

مخاطرات مربوط به سيستم‌هاى کاربردى

حسابرس بايد مخاطرات مربوط به فعاليت‌ها و پردازش‌هاى هر يک از سيستم‌هاى کاربردى را بررسى کند. اين بررسى شامل ارزيابى اهميت يک سيستم کاربردى از لحاظ اثر آن بر صورت‌هاى مالى و مخاطرات ناشى از امکان سوءاستفاده از دارائى‌ها مى‌باشد. اهميت نسبى هر سيستم کاربردى در شرکت‌هاى مختلف ممکن است بسيار متفاوت باشد. براى مثال سيستم حساب‌هاى بدهکاران در مورد شرکتى که عمدتاً فروش نقدى انجام مى‌دهد اهميت زيادى ندارد در صورتى‌که در شرکتى که تمام فروش خود را به‌صورت نسيه انجام مى‌دهد سيستم کاربردى حساب‌هاى بدهکاران از مهم‌ترين سيستم‌هاى مالى است.

مخاطرات مربوط به اطلاعات ورودى

بررسى مخاطرات احتمالى در سطح سيستم‌هاى کاربردى شامل بررسى کلى انواع مختلف فعاليت‌هاى مورد پردازش در هر سيستم کاربردى است. در سطح اطلاعات ورودي، احتمال اشتباه بودن، غيرمجاز بودن، ثبت نشدن اطلاعات يک فعاليت، ارزيابى نادرست، طبقه‌بندى‌ اشتباه، زمان‌بندى نادرست و وارد نکردن اطلاعات مربوطه در دفاتر معين در مورد هر يک از انواع فعاليت‌ها بررسى مى‌شود. حسابرس احتمال امکان و تعداد دفعات وقوع هر يک از مخاطرات و اثر هر کدام را بر صورت‌هاى مال بررسى و ارزيابى مى‌کند.


ارزيابى مزبور براى هر يک از انواع فعاليت‌هاى يک سيستم کاربردى انجام مى‌شود، اشتباه در برخى از انواع فعاليت‌ها نه تنها در اطلاعات مربوط به آن فعاليت، بلکه در فعاليت‌هاى بعدى که بر اساس اطلاعات نادرست فعاليت مزبور ايجاد مى‌شد تأثير دارد. براى مثال يک اطلاع نادرست در مورد نرخ فروش يک کالا بر تمام فاکتورهاى (Invoice) فروش کالاى مزبور اثر مى‌گذارد. اثر اشتباه در مورد يک فعاليت خريد کالاى عمده خيلى بيش از اثر اشتباه در خريدهاى جزئى است. اشتباه در اطلاعات مربوط به فعاليت‌ها، گاهى توسط اشخاص ثالث تذکر داده مى‌شود. براى مثال اگر خريد کالائى که نسيه خريدارى شده است، ثبت نشود، اعلاميه بدهکار فروشنده ممکن است موجب تصحيح شود يا هرگونه عدم ثبت صحيح بدهى‌ها که توسط طلبکار اعلام مى‌شود.

مخاطرات مربوط به اجزاء اطلاعات

اطلاعات مربوط به هر فعاليت معمولاً شامل تعدادى اجزاء اطلاعاتى است. براى مثال اطلاعات مربوط به فروش کالا شامل اطلاعاتى درباره تعداد، شرح و شماره کالا، نام خريدار، نرخ فروش، نوع فروش، مهلت پرداخت و غيره است. اهميت اجزاء مزبور يکسان نيست و اشتباه در آنها مخاطرات يکسانى ندارد. بنابراين حسابرس در ارزيابى مخاطرات حسابرسي، اهميت هر يک از اقلام را بررسى و طبقه‌بندى مى‌کند.


در مواردى‌که اطلاعات در بانک‌هاى اطلاعاتى نگهدارى مى‌شود، هر يک از اقلام اطلاعاتى موجود بايد جداگانه بررسى شود. بررسى اين‌گونه اقلام شامل بررسى منبع، موارد استفاده، روش به‌هنگام رساندن و اهميت آن در صورت‌هاى مالى است.

مخاطرات مربوط به مرکز خدمات کامپيوترى

مخاطرات ناشى از اشتباهات و سوءجريانات در مراکز خدمات کامپيوترى در بيشتر موارد در ارتباط با سيستم کاربردى است، اما در استفاده از منابع کامپيوترى احتمال بروز اشتباهات يا سوءجرياناتى که ارتباط مستقيمى با هيچ يک از سيستم‌هاى کاربردى نداشته باشد نيز وجود دارد. چند نمونه از اشتباهات يا سوءجريانات مزبور و اثر آن بر صورت‌هاى مالى در جدول نمونه‌هاى اشتباهات و سوءجريانات احتمالى و اثر آن بر صورت‌هاى مالى آمده است.


بعضى از موارد سوءاستفاده از وسايل کامپيوترى بسيار جزئى است و ارزش رسيدگى و گزارش توسط حسابرس را ندارد. براى مثال چاپ بعضى تصاوير روى دستگاه چاپ يا نواختن سرود توسط کامپيوتر، مديريت مى‌تواند براى جلوگيرى از اشاعه اينگونه موارد يا وضع مقرراتي، محدوديت‌هاى مناسب را ايجاد نمايد، برخى از اشتباهات يا سوءجريانات اگرچه تأثيرى در صورت‌هاى مالى ندارد اما ممکن است حفاظت و ايمنى دستگاه‌ها را تا آن ميزان به خطر اندازد که موجب ايجاد وقفه در انجام عمليات شود.

جدول نمونه‌هاى اشتباهات و سوءجريانات احتمالى و اثر آن بر صورت‌هاى مالى

اشتباهات يا سوءجريانات اثر بر صورت‌هاى مالى
عدم ثبت استفاده يا استهلاک سخت‌افزار يا نرم‌افزار افزايش دارائى‌ها
خريد يا کرايه سخت‌افزار يا نرم‌افزار بدون ثبت بدهى آن کاهش بدهى‌ها
استفاده غيرمجاز از سخت‌افزار يا نرم‌افزار عدم ارتباط هزينه با درآمدهاى مؤسسه
ايجاد سيستم‌هاى کاربردى جديد بدون مجوز مديريت منطبق نبودن هزينه‌ها با مصوبات مديريت
نسخه‌بردارى غيرمجاز از برنامه‌ها يا اطلاعات براى استفاده شخصى يا واگذارى به‌غير بدون تأثير مستقيم بر صورت‌هاى مالى (ممکن است بر عمليات آينده مؤسسه آثار زيان‌بارى داشته باشد)