Помощь: Аудит в компьютерной среде Onliner

Помощь: Аудит в компьютерной среде

                     АУДИТ В КОМПЬЮТЕРНОЙ СРЕДЕ          Уважаемые коллеги, уже с 1 июля 2003 г. вступает в силу Правило  аудиторской  деятельности  «Аудит  в условиях компьютерной обработки  данных»,  утвержденное постановлением Минфина РБ от 18.12.2002 № 163  (далее   -   Правило).  В  связи  с  этим  тема  аудита  в  условиях  компьютерной  обработки  данных  (далее  -  КОД) становится особенно  актуальной.  Однако  целью данной статьи является не комментирование  нового Правила, а рассмотрение вопроса в принципе.       Значение  этого раздела аудиторской практики с каждым годом все  более  и  более  возрастает  (в  перспективе  он,  вероятно,  станет  ведущим),  что  подтверждается  количеством международных стандартов  аудита (далее - МСА), посвященных этому вопросу:       МСА «Компьютерная среда - отдельные микрокомпьютеры»;       МСА «Компьютерная среда - сетевая версия»;       МСА «Компьютерная среда - системы баз данных»;       МСА  «Оценка  риска  и  внутреннего контроля - характеристика и  учет компьютерной среды»;       МСА «Аудит с использованием компьютеров».       Такое  пристальное  внимание  связано с тем, что при проведении  аудита  в условиях КОД аудитор сталкивается с рядом новых, ранее ему  не известных проблем, таких как:       - недостаток очевидных свидетельств;       - систематические ошибки;       - меняющиеся технологии;       -  широкое  распространение  малых компьютеров и вызванная этим  большая вероятность неэффективности внутреннего контроля, вследствие  чего   повышается   значение   независимых  тестов  и  аналитической  проверки.       В   международной   практике   при   аудите   учетных   систем,  существующих  в  условиях  КОД, исполь­зуют методику CAATs (Computer  Assisted   Audit  Techniques  -  методика  аудита  с  использованием  компьютеров), состоящую из:       -  программного  обеспечения  аудита  -  компьютерных программ,  используемых для проверки содержания файлов клиента;       -  контрольных  данных  -  данных,  используемых  аудитором для  компьютерной  обработки с целью проверки функционирования клиентских  компьютерных программ.       Однако  главной  особенностью  аудита  информации, хранящейся и  обрабатываемой  с  помощью компьютерных технологий, является то, что  аудитор  просто  обязан  обладать  основами компьютерной грамоты. То  есть  он  должен  иметь  необходимое  представление  о техническом и  программном  обеспечении  компьютера, видах и особенностях различных  систем   обработки   данных,   служащих   исходной  информацией  для  осуществления  бухгалтерских  записей,  и  т.д.  В  противном случае  ауди­тору  следует  привлечь  специалиста-эксперта.  При  этом важным  моментом   является  постановка  задачи  при  проведении  экспертизы  учетных систем, работающих в среде КОД.       Рассмотрим  некоторые  аспекты аудита в условиях КОД. Для этого  структурируем нашу работу по следующим направлениям:       1) определения;       2) цели;       3) процедуры.       Применительно  к  принятым Правилам под компьютерной обработкой  данных  подразумевается  обработка  финансовой  информации субъекта,  существенной   для  аудита,  с  использованием  средств  электронной  вычислительной техники.       По  мнению  автора, определение не совсем удачное, однако будем  исходить  из  него  и считать, что аудит в системе КОД - это, прежде  всего, процесс, когда вся (или большинство) экономическая информация  субъекта хозяйствования, которая подвергается аудиту, обрабатывается  им  (субъектом)  с помощью учетных компьютерных систем и хранится на  машинных  носителях  информации  или  в  самом  компьютере. При этом  аудитор,   осуществляющий   проверку,   работает   либо  напрямую  в  операционной среде, либо использует информацию, представленную ему в  виде распечаток на бумажных носителях.       Цель  аудита и основные элементы его методологии при проведении  аудита   в   системе  КОД  сохраняются.  Однако  наличие  среды  КОД  существенно  влияет  на  процесс  изучения  аудитором  системы учета  экономического  субъекта  и  сопутствующих  ему  средств внутреннего  контроля.       Прежде  чем  рассмотреть  некоторые  процедуры,  остановимся на  общих  действиях аудитора, которые условно разделим на четыре этапа.  Так,  в  первую  очередь,  аудитор  должен изучить и оформить в виде  рабочего  документа  все  существенные  вопросы процесса организации  обработки  учетных  данных  в  системе  КОД экономического субъекта,  отразив в нем следующие положения:       а)    организационная   форма   обработки   данных.   Например:  осуществляет  ли обработку специальное подразделение (вычислительный  центр,        информа­ционно-вычислительный       центр,       отдел  автоматизи­рованной системы управления предприятием), или компьютеры  установлены  на  рабочих местах бухгалтерского персонала и обработка  данных   осуществляется  непосредственно  бухгалтерами;  ведется  ли  обработка  данных  экономическим  субъектом  самостоятельно, или она  ведется по договору с третьей стороной;       б) форма бухгалтерского учета;        в) разделы и участки учета, функционирующие в среде КОД;        г)   система   КОД   размещена   на  одном  или  на  нескольких  компьютерах;       д)   обработка   учетных  данных  ведется  локально  на  каждом  компьютере или применяется сетевой вариант;       е) обеспечение архивирования и хранения данных;        ж)  передача  данных  производится:  с  использованием  каналов  связи,  через  внешние  носители  (например, дискеты) или происходит  ввод данных с клавиатуры.       Кроме   того,   аудитор   должен  изучить  и  оформить  рабочим  документом следующие моменты:       1) обеспечение КОД техническими средствами;        2)   характеристику  программного  обеспечения  КОД.  Например:  составляется  краткая  характеристика,  в частности кем разработано,  когда  внедрено  программное  обеспечение  КОД,  частота и метод его  обновления     в    соответствии    с    изменениями    действующего  законодательства;       3)   технологическое   обеспечение.   Например:   рекомендуется  оформлять    в   виде   схемы,   состоящей   из   отдельных   блоков  технологического   процесса   обработки   данных  (ввод  данных,  их  верификация и т.д.);       4)  другие  виды обеспечения КОД (следует дать краткое описание  иных видов обеспечения).       В  рабочем документе по бухгалтерскому программному обеспечению  должно быть указано наличие лицензий на каждый из его элементов.       Также  аудитор  должен  оценить  и  оформить рабочим документом  возможности компьютерной системы в части:       - гибкого реагирования на изменения хозяйст­венного, налогового  или  иного  законодательства  с  точки зрения настройки программного  обеспечения;       -   формирования   бухгалтерской  и  внутренней  управленческой  отчетности;       - осуществления аналитических процедур;        - расширения функций компьютерной системы.        Помимо   всего   вышесказанного,  аудитору  необходимо  оценить  квалификацию  бухгалтерского  персонала  в области КОД, в частности:  имеют  ли специалисты соответствующее высшее или среднее специальное  образование,  или  прошли  курс  обучения  в  области информационных  технологий,  или  изучение  системы  КОД происходило самостоятельно.  Ответы на все эти вопросы удобнее всего оформить в виде теста, где в  одной  колонке  будут  перечислены вопросы, требующие освещения (см.  выше),  а  в  другой - отметки аудитора о состоянии этого вопроса на  предприятии.       Как  видно  из  примерного  содержания  теста,  на первом этапе  аудитор  получает информацию, имею­щую общий характер. На этом  этапе  он фактически не формирует своего мнения, а только собирает исходную  информацию на интересующую его тему.       На   следующем   этапе   аудитор   должен  получить  достаточно  информации для оценки уровня защиты баз данных и операционных систем  управления  базами  данных  от основных видов рисков с помощью таких  средств,  как  пароли,  антивирусные  программы,  копии используемой  информации,  а  также  имеющейся  возможности  работы с Интернетом и  электронной  почтой  как  основными источникам заражения электронных  файлов   компьютерными  вирусами  и  др.  В  специальной  литературе  выделяют   следующие   виды   рисков,   имеющих   место  в  условиях  автоматизации учета (примечание):     |———–—————————————————————–———————————————————————————————————————¬  | № |      Виды риска     |               Описание                |  |п/п|                     |                                       |  |———+—————————————————————+———————————————————————————————————————|  | 1 |Ошибки в записи      |Вводимые в ЭВМ данные содержат ошибку  |  |   |данных               |                                       |  |———+—————————————————————+———————————————————————————————————————|  | 2 |Неустановленные      |Вводимую в ЭВМ информацию невозможно   |  |   |данные и             |определить по документам               |  |   |недозволенные        |                                       |  |   |операции             |                                       |  |———+—————————————————————+———————————————————————————————————————|  | 3 |Неверный код         |Неверный код в документах или ошибка   |  |   |                     |оператора                              |  |———+—————————————————————+———————————————————————————————————————|  | 4 |Пропущенные записи   |Информация утрачена в документах или   |  |   |                     |оператором                             |  |———+—————————————————————+———————————————————————————————————————|  | 5 |Ошибки при обработке |Обрабатываются неверные исходные данные|  |   |данных и несовпадении|или неправильный алгоритм              |  |   |итогов               |                                       |  |———+—————————————————————+———————————————————————————————————————|  | 6 |Ошибки при вводе     |Данные содержат ошибочную информацию   |  |   |данных               |или неправильно понят ее смысл,        |  |   |                     |несовпадение входных итогов            |  |———+—————————————————————+———————————————————————————————————————|  | 7 |Недостаточный способ |Способ контроля не охватывает весь     |  |   |контроля             |процесс обработки или полноту данных   |  |———+—————————————————————+———————————————————————————————————————|  | 8 |Фальсификация данных |Программа (алгоритм) приспособлена для |  |   |                     |изымания средств их сокрытия           |  |———+—————————————————————+———————————————————————————————————————|  | 9 |Несоответствие       |Порядок (алгоритм) расчета данных не   |  |   |нормативным актам    |соответствует законодательным актам или|  |   |                     |решениям руководства                   |  |———+—————————————————————+———————————————————————————————————————|  |10 |Неправильный учет    |Учетная информация обрабатывается с    |  |   |                     |отклонением от установленных форм или  |  |   |                     |методов учета                          |  |———+—————————————————————+———————————————————————————————————————|          При этом риск аудитора повышается в том случае, если:        а) компьютеризованная среда децентрализована;        б)   существует   географическая   разбросанность  компьютерных  установок (в том числе отсутствует сетевая версия);       в)   уровень   знаний   бухгалтерского   персонала   в  области  информационных технологий недостаточен;       г)   внутренний   контроль   за   функционированием  среды  КОД  отсутствует;       д)     отсутствуют     необходимые    меры    по    ограничению  несанкционированного доступа в систему КОД.       Снижается риск в случае, если:        а) системы автоматизации являются лицензированными;        б) существует возможность углубить некоторые виды контроля;       в) существует специальный контроль программного обеспечения;        г)     информационная    политика    экономического    субъекта  квалифицированно определяется его руководством;       д)   все   подразделения,   филиалы   и   другие   обособленные  подразделения,  дочерние  общества  работают  в  единой  среде  КОД,  применяют единое современное программное обеспечение;       е)  информационная политика экономического субъекта согласована  с основными пользователями системы КОД;       ж)    имеется    долгосрочный   план   развития   системы   КОД  экономического субъекта.       Собрав  всю  необходимую  информацию, аудитор имеет возможность  сделать вывод о степени надежности используемых систем.       На  третьем  этапе  аудитор  приступает  к  проверке собственно  систем,   методов   и  способов  контроля  информации,  поступающей,  обрабатывающейся   и   выходящей   к   пользователю   через  системы  электронной  обработки  данных.  На данном этапе аудитора интересует  ответ  на  следующий вопрос: как, когда и на каких этапах, с помощью  каких    методов,   способов   и   инструментов   бухгалтерия   (или  уполномоченные на то работники предприятия) осуществляет контроль за  ходом  получения,  обработки  и  использования  информации. Для этой  работы может быть применена форма теста.       На  четвертом  этапе аудитор приступает к проверке баз данных и  систем  управления  базами  данных  по существу. Что здесь имеется в  виду.       Предположим,  на  предыдущих  этапах  аудитор  установил, что у  проверяемого   субъекта   высокий   уровень   риска   по  показателю  «Неустановленные  данные  и  недозволенные  операции»,  что означает  невозможность  определения  введенной  информации  по документам. То  есть  допускаем,  что  имеется  бухгалтерская  запись (или множество  записей),   обоснованность   которых   не  подтверждается  первичным  документом  или  другим  документом,  на  основании  которого  могут  вноситься  данные.  Как правило, в этом качестве выступают различные  корректировочные  записи, в обоснование которых многие бухгалтеры не  считают  нужным  составлять  бухгалтерские  справки.  В  этом случае  аудитору  следует  попытаться выделить максимальное количество таких  записей   и   с   помощью   аналитических   процедур  определить  их  обоснованность,   одновременно   предложив   работникам  бухгалтерии  оформить под эти записи необходимые документы.       Или  аудитором  определен  высокий  уровень риска по показателю  «Несоответствие  нормативным  актам», когда имеются веские основания  предполагать   несоответствие   порядка   расчета  некоторых  данных  (например,   покупной  стоимости  товара,  распределяемых  издержек,  наконец,  порядка  определения  налогооблагаемой базы и др.). В этом  случае аудитору следует проверить максимальное количество алгоритмов  (учитывая   значимость   проверяемых   показателей)  путем  простого  сравнения  полученных  данных при компьютерной обработке и с помощью  собственноручно  проделанных  расчетов.  Как  результат  проделанной  работы  составляется  таблица  сравнительных  значений с выявленными  возможными отклонениями по следующему образцу:     |————–—————————————————————–—————————————–————————————–——————————¬  | №  |Вид или наименование |  Результат  | Результат, |Отклонение|  |п/п |     проверяемого    |компьютерной | полученный |          |  |    |    алгоритма или    |  обработки  | аудитором  |          |  |    |   порядковый номер  |    данных   |            |          |  |    |   корректировочной  |             |            |          |  |    |        записи       |             |            |          |  |————+—————————————————————+—————————————+————————————+——————————|  |    |                     |             |            |          |  |————+—————————————————————+—————————————+————————————+——————————|          И,  наконец,  несколько слов о собственно процедурах, с помощью  которых аудитор получает информацию на третьем и четвертом этапах.       В   условиях  КОД  аудит  может  проводиться  с  использованием  машинно-ориентированных и (или) ручных процедур.       Машинно-ориентированные процедуры должны включать:        а)  программные  средства,  используемые аудитором для проверки  содержания компьютерных файлов экономического субъекта;       б) контрольные примеры, используемые аудитором для тестирования  алгоритмов КОД.       При  этом  все стандарты и другие материалы по рассматриваемому  вопросу    совершенно    целенаправленно   содержат   только   общие  рекомендации  по  содержанию  машинно-ориентированных  процедур и не  содержат  конкретных примеров. По этому поводу, в частности, позиция  АРС   (Audit   Practices   Committee   -   Комитет  практики  аудита  (Великобритания))   состоит   в   том,   что   все  практики  должны  разрабатывать   собственные   технические   экспертизы,   которые  у  большинства  аудиторских  фирм  (если  не у всех) составляют главную  коммерческую  тайну.  В  связи  с  чем привести пример практического  применения  программных  средств  не представляется возможным (в том   числе и из-за их объема).       Что  же касается контрольных примеров, то в этом качестве могут  выступать   такие  алгоритмы  расчетов,  приведенных  в  нормативных  документах,  как  «Распределение  издержек  на  остаток  товара» или  «Распределение  сумм  НДС  при  наличии льготируемой выручки», и ряд  других,   которые   аудитор   использует  в  качестве  подтверждения  (неподтверждения) данных, представленных к аудиту.       Вообще  же  процесс  проведения  аудиторской проверки в системе  электронной  обработки  данных  достаточно  сложный  и  недостаточно  освещен  в  литературе, однако, безусловно, заслуживающий отдельного  исследования.  Мы  лишь  обозначили  основные этапы этого процесса и  основные формы документов, которые могут быть использованы аудитором  при исследовании этого вопроса.     02.07.2003 г.     Сергей Ещенко, аудитор     Журнал «Главный Бухгалтер» № 26, 2003 г.           Примечание.   Головко  Е.А. Автоматизация   учета,  анализа  и    аудита / Е.А.Головкова,  Т.В.Прохорова,  К.А.Шиманский.  -  Мн.: ООО   «Мисанта», 2001. - С.196.