 |
Порядок действий аудитора в соответствии с правилом (стандартом) аудиторской деятельности «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем»
|
|
|
|
Рассматриваемое правило (стандарт) «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» включает основные положения базового стандарта «Аудит в условиях компьютерной обработки данных». Одобрено Комиссией по аудиторской деятельности при Президенте Российской Федерации (протокол № 1 от 11 июля 2000 г.). Цель стандарта заключается в определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем компьютерной обработки данных. Задачи правила (стандарта) заключаются в описании:
дополнительных рисков, появляющихся вследствие использования экономическим субъектом системы КОД;
системы внутреннего контроля в условиях КОД;
различных процедур проверки аудиторской фирмой или аудитором, работающим самостоятельно в качестве индивидуального предпринимателя, надежности внутреннего контроля за системой КОД.
На организационную структуру экономического субъекта существенно влияет применение системы КОД, внося следующие риски в систему бухгалтерского учета и внутреннего контроля, связанные с концентрацией функций управления, а также данных и программ для их обработки. Причины возникают от того, что внедрение системы КОД предполагает существенное сокращение управленческого и контрольного персонала путем передачи его функций сотрудникам IT-служб и отделов, соответственно, разделение обязанностей, необходимое для эффективного функционирования системы учета и контроля, может быть утрачено. Что касается концентрации информационной базы данных на одном или нескольких автоматизированных рабочих местах бухгалтера, хранящейся вместе с программами, к которым обеспечен свободный доступ, то это обстоятельство в конечном итоге обязательно повлияет на риск утери информации и несанкционированного доступа к ней.
|
|
|
Необходимо аудитору также учесть, что использование системы КОД изменяет процедуры записи учетных данных и расширяет круг лиц, которые получают доступ к бухгалтерским записям, что в свою очередь приведет к появлению следующих рисков:
отсутствие первичных документов;
отсутствие возможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности;
отсутствие регистров учета;
доступ к базе данных и программам системы КОД несанкционированных пользователей.
При этом аудитору необходимо обратить внимание на порядок визирования документов, сформированных в среде КОД клиента, без составления соответствующих первичных документов (особенно, наличие электронной подписи). Проверить соответствие учетных данных в электронной форме и бумажных регистров, что приведет к отсутствию наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности.
При проверке аудитору стоит принять во внимание на локальный доступ к индивидуальным компьютерам, обеспечивающий конфиденциальность информационной базы для других пользователей локально-вычислительной сети. В отсутствие корпоративной системы информационной безопасности легкость доступа к системе КОД или круг лиц, которые могут его получить, увеличивают риск несанкционированных бухгалтерских записей и изменений данных.
Аудитору следует помнить, что системы КОД в меньшей мере допускают технические и счетные ошибки, однако их работа жестко алгоритмизирована, в связи с этим они лишены возможности гибкого реагирования на изменения правил учета и условий деятельности экономического субъекта, а надежность информации, обработанной в системах КОД, полностью зависит от их построения и программного обеспечения. Исключить вышеназванные недостатки возможно только при условии постоянного сопровождения и обслуживания системы КОД со стороны высококвалифицированных сотрудников IT-отделов или третьей стороны, разработавшей и внедрившей программное обеспечение.
|
|
|
В условиях КОД ввод данных об одной операции может одновременно изменить несколько связанных с ней счетов, что значительно увеличивает влияние ошибки ввода на бухгалтерскую информацию, так как неверная сумма будет проведена не по одному, как при ручной обработке данных, а сразу по нескольким счетам. Аудитору следует обратить внимание на то, что порядок хранения и архивирования баз данных. Резервирование копий, использование съемных жестких дисков и серверов уменьшает риск их утраты вследствие порчи компьютеров и электронных носителей информации, заражения их компьютерными вирусами, несанкционированного проникновения в информационные системы.
Внутренний контроль в условиях применения системы КОД должен сочетает обычные методы контроля, применимые в отсутствие системы КОД, и специальные программные средства контроля. Все используемые средства контроля за системой КОД разделяются на общие и специальные.
Общие средства контроля представляют собой процедуры проверки системы КОД, а также надежности функционирования системы КОД. Они включают в себя следующие процедуры:
организационный и управленческий контроль, который предусматривает создание инструкций и правил для различных контрольных функций и системы разделения полномочий при их выполнении, например, правил ввода информации;
контроль за поддержанием и развитием системы КОД, который состоит в проверке того, что все изменения, вносимые в систему, и операции с ней надлежащим образом разрешены (применение такого контроля необходимо в случаях тестирования, внесения изменений, внедрения новых систем КОД, предоставления доступа к их документации);
операционный контроль, который предполагает проверку того, что система КОД выполняет только авторизованные операции, доступ к ней имеют только лица, обладающие на это разрешением, и ошибки в обработке данных определяются и исправляются;
|
|
|
контроль за программным обеспечением, который предполагает проверку того, что используется только разрешенное и эффективное программное обеспечение (с этой целью анализируется система визирования, тестирования, проверки, внедрения и документирования новых систем и модификаций уже действующих, а также ограничения на доступ к документации о них только лицам, имеющим специальное разрешение);
контроль за вводом и обработкой данных, который заключается в проверке того, что существует система предварительного визирования операций до их ввода в систему КОД, и ввод информации возможен только теми лицами, которые имеют на это соответствующие разрешения;
возможны также иные приемы общего контроля, среди которых можно назвать анализ правил копирования программ и баз данных в специальные архивы и процедур восстановления информации или извлечения ее из архивов при утрате данных.
Специальный контроль за применением системы КОД в системе бухгалтерского учета экономического субъекта предусматривает специальные проверочные процедуры, позволяющие удостовериться, что все бухгалтерские операции должным образом авторизуются и отражаются в учете своевременно и без ошибок. К проверочным процедурам относят контроль за вводом информации, за обработкой и хранением информации, а также за выводом информации.
При оценке процедур контроля ввода информации аудитору необходимо обратить внимание на то, что вся ли информация, вводимая в систему, предварительно визируется; вводится в базу данных аккуратно, без ошибок и повторов; ошибки ввода обнаруживаются и исправляются системой. При оценке процедур контроля за обработкой и хранением информации аудитору необходимо обратить внимание на то, что все ли операции, которые проводятся системой самостоятельно, выполняются верно; операции проводятся без ошибок и повторов; ошибки в обработке данных обнаруживаются и своевременно исправляются. При оценке процедур контроля за выводом информации аудитору необходимо обратить внимание на то, что все ли результаты операций предоставляются авторизированным пользователям должным образом и в установленные сроки; доступ к предоставляемой информации разрешен только ограниченному кругу лиц. Все вышеназванные виды контроля могут осуществляться пользователями системы КОД или IT- отделом клиента или же с помощью специальных программ.
|
|
|
Если аудитор полагает, что без проверки системы КОД не сможет получить достаточную уверенность в том, что бухгалтерская отчетность проверяемого предприятия не содержит существенных искажений, тогда производится тестирование системы внутреннего контроля за системой КОД. При этом аудитору не обязательно проводить проверку системы внутреннего контроля за системой КОД, если объем деятельности клиента невелик или влияние системы КОД на деятельность экономического субъекта и составление отчетности незначительно. Аудитор также вправе отказаться от проверки системы внутреннего контроля за системой КОД, если обработка данных ведется не проверяемым экономическим субъектом, а третьей стороной, и доступ к системам внутреннего контроля из-за этого невозможен.
Если процедуры общего контроля прямо относятся к применению системы КОД в бухгалтерском учете, то целесообразно проверить их, прежде чем рассматривать специальный контроль, если нет, то достаточно ограничиться оценкой общего контроля. Если общий контроль эффективен, то аудитор переходит к тестированию специального контроля за системой КОД бухгалтерского учета. Если же аудитор сочтет, что общий контроль неэффективен, то риск необнаружения ошибок на уровне специального контроля за применением системы КОД в бухгалтерском учете возрастает до неприемлемого уровня. Аудитор в такой ситуации обязан провести тестирование процедур общего контроля, кроме случая, когда клиент обладает надежным ручным контролем пользователей за системой КОД. Если специальный контроль за применением системы КОД в бухгалтерском учете систематически ведется персоналом проверяемого экономического субъекта, аудиторская организация может ограничить тестирование такого контроля проведением тестирования ручного контроля, проводимого персоналом экономического субъекта; контроля за выводом информации; программного обеспечения. В случае регулярной проверки системы КОД об авторизованности информации, аудитор вправе ограничить проверку системы КОД анализом выполнения персоналом IT-отделом клиента контрольных процедур. Помимо проверки ручного контроля, осуществляемого персоналом экономического субъекта, аудиторская организация может тестировать контроль за выводом информации, которая может представляться как на бумажном, так и на электронном носителях. Если аудиторская организация проверяет контроль путем изучения информации, представленной на бумажном носителе, она проводит свои тесты вручную. Если изучается контроль экономического субъекта за информацией в электронной форме, то аудиторской организации для проверки целесообразно прибегнуть к использованию вспомогательных компьютерных программ проверки. В случае, если тестирование ручного контроля или контроля за выводом информации невозможно или неэффективно, аудиторская организация может проверить контроль за системой КОД, используя специальные компьютерные программы, которые будут пересчитывать данные, полученные системой КОД экономического субъекта, или повторять процесс их обработки, или вводить заведомо неверную информацию и определять, насколько надежно система КОД отвергает такую информацию. Аудиторская организация может также проверить программный код или проводить другие процедуры контроля за работой программ КОД.
|
|
|
В заключение отметим, что российские аудиторы на сегодняшний момент имеют в своем распоряжении комплексную нормативную базу для обоснования возможностей и целесообразности широкого использования информационных технологий и компьютеров в аудиторской деятельности.
|
|
|
