- śledzenie i mapowanie aplikacji. CAATs można wykorzystać do śledzenia ścieżki audytu informacji wygenerowanej przez system komputerowy w trakcie przetwarzania transakcji;
- system ekspercki automatyzuje wiedzę i logikę ekspertów w pewnej dziedzinie dla ułatwienia audytorowi podjęcia decyzji i analizy ryzyka.
W najbardziej ogólnym ujęciu CAATs może odnosić się do dowolnego programu komputerowego wykorzystywanego do poprawy procesu audytu. Na ogół jest stosowany w odniesieniu do dowolnego pobierania danych oraz prostego analizowania ich treści ekonomicznej. Obejmuje to w szczególności programy, takie jak: arkusze kalkulacyjne (Excel), arkusze baz danych (Access), programy do analizy statystycznej (SAS), czy tzw. general audit software (ACL, Arbutus, business intelligence typu Crystal Reports oraz Business Objects) oraz wiele innych.
Niezależnie od stosowanego przez audytora programu „wspomagającego" jego pracę, największą korzyścią z wykorzystywanych narzędzi jest jego niezależność względem systemów komputerowych badanych jednostek. Tak przetworzone dane z badania mogą być wykorzystywane jako dokumentacja pozostająca alternatywą dla tradycyjnych papierowych dowodów kontroli.
Test lub moduł
Audytor w swojej pracy może korzystać z CAATs jako urządzenia testu zintegrowanego lub wbudowanego modułu audytowego. W pierwszym z nich audytor tworzy fikcyjny rekord w faktycznie istniejącym systemie (np. w zakładzie ubezpieczeniowym, nowa polisa w bazie danych sytemu magazynowego). Prawdziwe i fikcyjne dane są przetwarzane. Audytor może przetestować kontrole edycji zmieniając fikcyjne dane i oceniając listę błędów. Zaletą tego urządzenia jest przede wszystkim możliwość przetestowania istniejącego programu. Wadą może być fakt wprowadzania fikcyjnych transakcji do baz danych, które są raportowane wewnętrznie i zewnętrznie. Jednocześnie korzystanie z danych testowych może być bardziej skomplikowane i czasochłonne oraz skutkować zanieczyszczeniem systemu.
Natomiast wbudowany moduł audytowy jest integralną częścią aplikacji, który służy do identyfikacji i raportowania faktycznych danych. Zaletą jest możliwość ciągłego kontrolowania systemu. Konieczność zaprogramowania „punktów zaczepienia" w systemie operacyjnym, aby umożliwić wstawianie modułów audytowych, jest jednak uważana za powszechną wadę tego rodzaju CAATs. Korzystając z oprogramowania śledzącego lub mapującego audytor weryfikuje, czy oceniany kod źródłowy został wygenerowany przez program produkcyjny. Śledzenie i mapowanie nie pozwala na ocenę faktycznych danych produkcyjnych.
Możliwości ewoluują
Wspomagane komputerowo techniki audytu to narzędzie, którego katalog funkcjonalności nie jest określony. Stale rozwijające się systemy informatyczne oraz zmienność procesów gospodarczych powodują, że audytorowi stale stawiane są wyzwania dotyczące wykorzystywania narzędzi pomocnych do badania sprawozdania finansowego. Obecnie możemy podzielić CAATs ze względu na funkcje podstawowe, służące do badania oraz dodatkowe wspomagające samo badanie >patrz tabela.
Wymienione w tabeli procedury mogą uprościć pracę audytora w zakresie wybierania próby do badania, identyfikacji obszarów ryzyka oraz wykonywania pewnych procedur merytorycznych. CAATs nie jest jednak w stanie zastąpić wszystkich procedur audytorskich.
Dokumentacja robocza
Każde badanie przeprowadzone przez biegłego rewidenta, zgodnie z obowiązującymi przepisami prawa, powinno być udokumentowane w formie dokumentacji rewizyjnej. Zgodnie z obowiązującymi standardami jest to zbiór dokumentów, które umożliwiają odtworzenie i prześledzenie przebiegu badania sprawozdania finansowego przez biegłego rewidenta oraz stanowią uzasadnienie dla opinii, która została wydana o badanym sprawozdaniu finansowym.
Nie inaczej wygląda to w przypadku sprawozdania finansowego zbadanego z wykorzystaniem CAATs. Dokumentacja robocza powinna obejmować odpowiednią ewidencję zastosowania CAATs. Dokumentacja dotycząca planowania powinna określać:
- cele CAATs – czyli jak podjęte działania powinny wpływać na efekt końcowy, do którego dążymy;
- wykorzystanie techniki CAATs;
- kontrole – jakie kontrole procesów zostały zaplanowane i czy są one efektywne;
- personel – czy dysponujemy wystarczającą liczbą pracowników do wykonania wszystkich testów metodą CAATs;
- czas – czy liczba zaplanowanych testów jest możliwa do wykonania w czasie i czy nie przekracza budżetu zlecenia.
Po zakończeniu badania dokumentacja robocza powinna zawierać następujące elementy:
- przygotowanie, zaplanowane procedury testowe i kontrole – dokumentacja powinna zawierać metodę badania, dobór testów substantywnych i analitycznych, które dają nam wystarczające zapewnienie oraz dobór testów kontroli, które będę na tyle efektywne, że proces będzie można uznać za mało ryzykowny;
- szczegóły danych wejściowych i przetwarzania danych wyjściowych;
- listę odpowiednich parametrów lub kod źródłowy.
Dokumentacja dowodów audytowych powinna zawierać:
- uzyskane dane wyjściowe,
- ich analizę,
- ustalenia, wnioski, korekty lub zalecenia z audytu.
—Tomasz Diering