Аудит в условиях компьютерной обработки данных


Проверка аудита в условиях компьютерной обработки данных регламентируется как Международным стандартом аудита МСА 410, так и российским правилом (стандартом) аудиторской деятельности.

Аудит в условиях компьютерной среды регламентируется российским Правилом (стандартом) аудиторской деятельности «Аудит в условиях компьютерной обработки данных».

Компьютерная обработка данных (КОД) экономического субъекта имеет место в случаях, когда с помощью компьютерной техники осуществляется обработка значительных объемов учетной информации независимо от следующих факторов: а) компьютер используется экономическим субъектом самостоятельно или по договору с третьей стороной; б) компьютер используется экономическим субъектом для обработки экономической информации во всех аспектах хозяйственной деятельности и ее учета или только для автоматизации обработки информации по отдельным видам фактов хозяйственной жизни, отдельным участкам учета.

При проведении аудита в системе КОД сохраняются цель аудита и основные элементы его методологии. Наличие среды КОД существенно влияет на процесс изучения аудитором системы учета экономического субъекта и сопутствующих ему средств внутреннего контроля.

Использование технических средств приводит к изменению отдельных элементов организации бухгалтерского учета и внутреннего контроля:

Экономический субъект обязан предоставить аудиторской организации необходимый доступ к системе КОД. Невыполнение (неполное выполнение) этого условия является ограничением объема аудита в системе КОД, вследствие чего аудиторская организация может потребовать предоставления необходимых ей документов на бумажных носителях информации.

Аудитору желательно иметь представление о техническом, программном, математическом и других видах обеспечения компьютерной техники, а также системах обработки экономической информации. В случае отсутствия у аудитора указанных знаний следует использовать работу эксперта в области информационных технологий.

Аудиторской организации целесообразно иметь библиотеку наиболее распространенных систем КОД и прилагать усилия к изучению особенностей их практического применения.

Аудитор должен изучить и оформить в виде рабочего документа все существенные вопросы организации обработки учетных данных в системе КОД экономического субъекта.

Аудитор должен изучить и оформить рабочим документом используемое проверяемым экономическим субъектом обеспечение КОД техническими средствами, программное обеспечение КОД, технологическое обеспечение, другие виды обеспечения КОД.

В рабочем документе должно быть указано наличие лицензий на каждый из его элементов.

Аудитор должен оценить и оформить рабочим документом возможности компьютерной системы: гибкость реагирования на изменения хозяйственного, налогового или иного законодательства с точки зрения настройки программного обеспечения; формирование бухгалтерской и внутренней управленческой отчетности; осуществление аналитических процедур; расширение функций.

Аудитор должен оценивать квалификацию бухгалтерского персонала в области КОД.

При составлении общего плана аудиторской проверки каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита применяемых экономическим субъектом информационных технологий и системы КОД. Уровень автоматизации обработки учетной информации должен быть учтен при определении объема и характера аудиторских процедур.

Организация данных бухгалтерского учета у клиента в среде КОД влияет на профессиональный риск аудитора.

Аудитор обязан оценить надежность системы внутреннего контроля проверяемого экономического субъекта и влияние на эту надежность функционирующей системы КОД.

Аудитор проверяет соответствие применяемых алгоритмов требованиям нормативной документации по ведению бухгалтерского учета и составлению бухгалтерской отчетности по основным автоматизированным расчетам экономического субъекта.

Аудитору необходимо убедиться в том, что информационная база внутри компьютера обеспечивает сохранность информации, ее архивирование, простоту доступа, кодирование и декодирование информации, ограничение несанкционированного доступа к ней. Актуальность данных (т.е. их соответствие изменившимся условиям хозяйственной жизни) обеспечивается регламентированием источников и потребителей информации, периодичностью и условиями ее обновления.

Источниками получения аудиторских доказательств при проведении аудиторских процедур являются данные, подготовленные в системе КОД экономического субъекта в виде таблиц, ведомостей, регистров бухгалтерского учета экономического субъекта. Аудитор имеет возможность применять их, их копии (в том числе фотокопии) в качестве рабочей документации аудита, сопровождая обработку этих документов ссылками, пометками, специальными символами.

Рабочие документы, формирующиеся в процессе аудита в условиях КОД и существенно отличающиеся от обычных рабочих документов (например, документы, подготовленные на машинных носителях), могут храниться в аудиторской организации обособленно в архиве аудиторских файлов на машинных носителях.

Аудиторская организация должна обеспечить сохранность аудиторских файлов на машинных носителях, их оформление и сдачу в архив. Система идентификации рабочих документов в аудиторском файле на машинном носителе устанавливается аудиторской организацией. Целесообразно хранить аудиторские файлы по каждому экономическому субъекту аудиторской организации на отдельном машинном носителе.

В условиях использования экономическим субъектом системы КОД повышается эффективность и надежность такой аудиторской процедуры, как проверка арифметических расчетов экономического субъекта.

Аудитору необходимо убедиться в том, что:

В условиях КОД аудит может проводиться с использованием машинно-ориентированных и (или) ручных процедур.

Машинно-ориентированные процедуры обычно включают программные средства, используемые аудитором для проверки содержания компьютерных файлов экономического субъекта, и контрольные примеры, используемые аудитором для тестирования алгоритмов КОД.

Объем учетной информации предприятия, обрабатываемой компьютерами, непосредственно свидетельствует об уровне автоматизации учетных процессов. Опыт работы отечественных предприятий свидетельствует о том, что большинство руководителей неохотно проводят комплексную автоматизацию учета и ограничиваются установкой нескольких персональных компьютеров для автоматизации учета отдельных участков деятельности, будь то учет труда и заработной платы, материального снабжения и сбыта либо таких взаимосвязанных производственных процессов, как использование сырья и материалов, энергии, полуфабрикатов.

Объем учетной информации предприятия, обрабатываемой компьютерами, оценивается на основании определения ее удельного веса в общей массе информации предприятия, подлежащей учету.

Подобная оценка возможна лишь на основе критериев, выбранных (а возможно, и выработанных) самим аудитором. Точность такой оценки непосредственно зависит от степени условности выбранных параметров и «видимой» необходимости их применения.

Учетную машинную информацию формируют работники предприятия на основе документов. С момента занесения информации в компьютер она считается учтенной (для информации, обрабатываемой на компьютере) и так или иначе влияет на состояние базы данных в целом. Для определения уровня организации автоматизированного учета весьма важным является изучение процесса формирования учетной машинной информации, порядка ее использования.

Информация о деятельности предприятия возникает в различных местах и в разные моменты времени. Изучение этого процесса облегчается при построении схем(ы) информационных потоков по принципу возникновения, обработки (передачи) и использования учетной информации.

Анализ движения информации позволяет оценить оптимальность построения информационных потоков предприятия, выявить неоправданные ходы, излишние пересечения, дублирования информации. В особых случаях возможно составление и решение «транспортной» задачи.

Изучение систем внутреннего контроля предприятия за формированием и использованием компьютерных баз данных носит первостепенное значение для аудитора, так как позволяет во многом скорректировать план аудиторской проверки и точнее определить аудиторский риск.

Однако такую оценку следует осуществлять лишь на последнем этапе предварительного анализа организационного уровня автоматизации учета предприятия, так как вся система внутреннего контроля предприятия за формированием баз данных и их использованием строится на основе конкретной формы организации компьютерного учета.

С точки зрения оценки системы внутрифирменного контроля компьютерных баз данных необходимо определить: состав системы контроля; контролируемые объекты; методы осуществления контроля.

Для правильного понимания организации внутреннего контроля компьютерных баз данных предприятия необходимо выяснить состав системы контроля. В нее могут входить специальный ревизионный отдел, специалисты основной бухгалтерии, администрация, а также любые сотрудники и должностные лица, в обязанность которых входит контроль за формированием и использованием машинной учетной информации.

Некоторые предприятия пользуются постоянными услугами сторонних организаций и экспертов для осуществления ревизии текущей деятельности. Следует обратить особое внимание на внешние источники внутреннего контроля.

Выбор объектов контроля во многом зависит от организации автоматизированного учета на предприятии, однако необходимость контроля вышеперечисленных объектов не вызывает сомнений. Определение контролируемых объектов необходимо для правильной оценки методов осуществления контроля баз данных.

Каждое предприятие самостоятельно выбирает методы контроля тех или иных объектов, исходя из конкретной системы организации процесса формирования и использования компьютерной информации. Существует несколько принципов организации внутреннего контроля: внезапность, плановость, перманентность проверок, порядок проведения которых достаточно широко известен.

Особого внимания заслуживают программные средства контроля формирования и использования учетной информации, используемые также и для защиты ее от несанкционированного пользователя. Так, следует определить наличие входных паролей компьютеров, а также персональных паролей пользователей, позволяющих определить авторство произведенных операций и полученной информации.

Необходимо также рассмотреть способы передачи учетной информации и контроля за возможностью ее утечки или искажения.

Поскольку выполнение рассмотренных этапов предварительного анализа может занимать в некоторых случаях довольно много времени и методы оценки могут неоднократно применяться в практике аудита, целесообразно создать экспертную компьютерную систему оценки организационного уровня автоматизации, хотя это и требует достаточно больших интеллектуальных усилий и затрат времени.

Аудит автоматизированных систем учета и финансового управления является неотъемлемой частью процедуры общего аудита хозяйственной деятельности предприятия.

На основе предварительного анализа организационного уровня автоматизации учета аудитор включает в план проведения проверки, наряду с мероприятиями по аудиту счетов бухгалтерского учета, отчетности и т.д., мероприятия по проверке возможных искажений, утери и фальсификации учетной информации в связи с применением компьютеров. Еще раз подчеркнем прикладной характер аудита автоматизированных систем учета, так как он является одним из инструментов аудитора в процессе определения факта достоверности финансовой информации предприятия.

Основная задача аудита автоматизированных систем учета — проверка достоверности учетной машинной информации. При ведении автоматизированного учета на основе персональных компьютеров основной проблемой является разделенность баз данных и несовершенность способов передачи информации вследствие различных причин (обрывов сеансов модемной связи, нарушения целостности магнитного слоя на ГМД и т.д.). В связи с этим базы данных различных компьютеров могут быть взаимно некорректными. Подобная некорректность может стать следствием и умышленных действий.

Особенно важны сверка учетной информации компьютеров с данными первичных документов, а также правильность выведения итогов, выдаваемых машинами.

В случае выявления несоответствий участков баз данных необходимо принять меры, чтобы выяснить их причины и получить правильную информацию. Следует учитывать, что такие искажения могли стать следствием умышленных действий.

Проверка взаимосоответствия различных баз данных ориентирует аудитора в выборе объектов, требующих сплошной и тщательной проверки, путем сравнения выходной машинной информации с первичными учетными документами предприятия.

Любые распечатки, сделанные без участия аудитора, необходимо проверять на достоверность, потому что ряд подпрограмм вывода информации на экран компьютера предполагает формирование последней из полученных на экране выходных форм данного типа в формате текстового файла.

Например, при получении отчета на экране типа «Оборотно-сальдовая ведомость за июнь» одновременно в программе формируется файл типа «Oborots. txt», где содержится выводившаяся на экран информация, подлежащая любой возможной корректировке.

На предприятиях, имеющих штат программистов, могут быть созданы собственные экспертные системы для принятия самостоятельных решений, анализирующие ситуации и способные давать вполне определенные рекомендации. Необходимо выяснить логику и принципы построения таких систем.