 |
Оценка дополнительных аудиторских рисков, возникающих в условиях КОД
|
|
|
|
Содержание
1. Определение дополнительных аудиторских рисков, возникающих в условиях КОД, с помощью ИТ VBA
2. Анализ вычислительной эффективности метода
Оценка дополнительных аудиторских рисков, возникающих в условиях КОД
В рамках развития теоретико-вероятностного подхода к разработке методов оценивания аудиторских рисков (АР) особое внимание уделяется задаче определения дополнительных аудиторских рисков, возникающих в условиях компьютерной обработки данных. Такая постановка задачи актуальна для аудиторов, проводящих проверку с использованием систем КОД. Далее оперируя сведениями о компонентах компьютерного аудита, основных понятиях и подходах к его организации согласно положениям российских правил (стандартов) аудиторской деятельности, регулирующих применение компьютеров при проведении аудита: «Аудит в условиях компьютерной обработки данных», «Проведение аудита с помощью компьютеров» и «Оценки риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем». В том случае, если у экономического субъекта весь бухгалтерский учет полностью или частично автоматизирован, наличие у аудитора базы учетных данных клиента позволяет применить для ее анализа эффективные методы современных информационных технологий. Аудиторской организации целесообразно вести постоянную работу по освоению новых информационных технологий автоматизации аудиторской деятельности.
Аудитор должен оценить влияние на организацию, планирование и проведение аудита условий использования системы КОД у проверяемого экономического субъекта, в том числе на оценку рисков, связанных с проведением аудита. Общие принципы планирования регламентируются стандартом (правилом) «Планирование аудита» и документально отражаются в общем плане и программе аудита. При этом каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита информационных технологий и системы КОД, применяемых экономическим субъектом, что в итоге повлияет на уровень дополнительного аудиторского риска. Исходя из положений правила (стандарта) аудиторской деятельности «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом», под аудиторским риском будем понимать субъективно определяемую аудитором по итогам аудиторской проверки вероятность npизнания невыявленных существенных искажений в бухгалтерской отчетности после подтверждения ее достоверности или признания существенных искажений в случае их действительного отсутствия. Аудиторский риск включает три составные части: неотъемлемый риск, риск средств контроля и риск необнаружения.
|
|
|
При разработке общего плана аудита аудитору следует провести оценку неотъемлемого риска (НР) на уровне финансовой (бухгалтерской) отчетности, сформированной с помощью системы КОД. Неотъемлемый аудиторский риск связан с характеристиками фирмы клиента и влияющими на нее факторами, которые невозможно проверить средствами внутреннего контроля. Кроме того, предполагается полное отсутствие внутрихозяйственного контроля у клиента. При условии использования системы КОД клиентом под риском средств контроля (РК) будем понимать вероятность того, что в условиях КОД существенное искажение в отношении остатка средств по счетам бухгалтерского учета или группы однотипных операций не будет своевременно обнаружено и исправлено с помощью программных процедур контроля системы КОД. При этом в случае неэффективности системы КОД клиента риск средств контроля обычно оценивается аудитором как высокий. В условиях КОД риск необнаружения (РН) есть субъективно определяемая аудитором вероятность того, что применяемые в ходе аудиторской проверки система КОД не позволит обнаружить реально существующие ошибки и искажения, имеющие существенный характер по отдельности либо в совокупности, в бухгалтерском учете и отчетности, сформированной в среде КОД. Этот показатель качества работы аудитора в большей мере зависит от его уровня квалификации и знаний в области информационных технологий.
|
|
|
С учетом вышесказанного модель применительно к определению дополнительного аудиторского риска, возникающего в условиях КОД (далее дополнительного аудиторского риска), имеет следующий вид:
АР код = 
(1)
Где 
– неотъемлемый аудиторский риск, возникающий в условиях КОД;
–риск средств контроля, возникающий в условиях КОД;
–риск необнаружения, возникающий в условиях КОД.
Дополнительные аудиторские риски возможно сгруппировать как:
риски, обусловленные использованием системы КОД;
риски, связанные с организацией учета и внутреннего контроля при использовании системы КОД;
риски, определяемые квалификацией аудитора в области информационных технологий.
С учетом указанной классификации, представим выражение для определения неотъемлемого риска , возникающего в условиях КОД, формулой (2):
, (2)
Где 
- риск, вызванный перераспределением исполнительных и контрольных функций за системой КОД в результате ее внедрения;
- риск отсутствия у клиента информационной политики;
- риск применения клиентом децентрализованной системы КОД;
- риск наличия программных ошибок при разработке системы КОД.
Рассмотрим основные критерии, которые могут повлиять на оценку составляющих неотъемлемого риска 
, возникающего в условиях КОД. В ходе проверки аудитору необходимо обратить внимание на техническое задание, составленное при внедрении системы КОД, и порядок передачи функций управленческого и контрольного персонала сотрудникам ИТ-служб клиента или третьей стороне, обслуживающим данную систему. В случае концентрации контроля ограниченным числом лиц риск неизбежно возрастает. Кроме того, если информационная политика клиента квалифицированно определяется его руководством и согласована с основными пользователями системы КОД, риск аудитора снижается. Необходимо учесть, что наличие у клиента децентрализованной обработки увеличивает риск потери учетных данных и, соответственно, ведет к росту 
. Если программное обеспечение системы КОД является многотиражным и достаточно апробированным в среде многих пользователей, то программные ошибки при разработке сведены к минимуму и риск 
снижается.
|
|
|
С учетом вышеуказанной классификации дополнительных аудиторских рисков, представим выражение для определения риска средств контроля 
, возникающего в условиях КОД, в виде (3):
, (3)
Где 
- риск неквалифицированной модификации системы КОД в процессе эксплуатации;
- риск использования нелицензионного программного обеспечения;
- риск недостаточного соответствия ведения клиентом форм учета и применяемой системы КОД;
- риск, связанный с упрощением процедуры записи учетных данных;
- риск, связанный с хранением информационной базы совместно с программными продуктами, к которым обеспечен свободный доступ при эксплуатации системы КОД.
Рассмотрим основные критерии, которые могут повлиять на оценку составляющих риска средств контроля 
, возникающего в условиях КОД. В первую очередь, при проверке аудитору важно обратить внимание на сопровождение и обслуживание системы КОД клиента, указанные в договоре с третьей стороной по ее внедрению. В случае самостоятельных неквалифицированных изменений системы КОД персоналом бухгалтерских и ИТ-служб (например, с помощью языка конфигурирования программы) риск 
возрастает. Также в ходе проведения аудита системы КОД при инвентаризации бухгалтерского программного обеспечения необходимо убедиться в наличии лицензий на каждый из его элементов. Использование же нелицензионных программ ведет к утрате их функционирования частично или в полном объеме, а значит, и к утрате данных отчетности, сформированной в среде КОД, и возрастанию риска . Аудитор должен убедиться в том, что база данных бухгалтерского учета, сформированная в среде КОД, соответствует применяемой форме учета клиента. Как правило, многие системы КОД обрабатывают первичные данные учета на основе унифицированных форм и при вводе с рабочих документов клиента возможна их потеря и неизбежно увеличение 
. Необходимо отметить, что многие бухгалтерские программные продукты предлагают несколько вариантов ввода бухгалтерской информации: документарный, ручной и с помощью типовых операций. В случае многократного использования бухгалтерами последнего варианта возможно отсутствие оперативного контроля и проверки ввода данных учета со стороны сотрудников бухгалтерии, что неизбежно приведет к увеличению риска 
. Концентрация базы данных учета на одном или нескольких автоматизированных участках учета вместе с программами (например, справочно-правовыми системами), к которым обеспечен несанкционированный доступ повышает риск потери информации и, соответственно, к увеличению риска 
.
|
|
|
Далее, используя указанную классификацию, представим выражение для определения риска необнаружения 
, возникающего в условиях КОД, в виде (4)
, (4)
Где 
- риск недостоверной оценки надежности системы КОД экспертом;
- риск некорректного построения аудитором тестов системы КОД;
- риск недостаточной подготовки аудитора в области информационных технологий или ошибочного признания им работы эксперта удовлетворительной.
Рассмотрим основные критерии, которые могут повлиять на оценку составляющих риска необнаружения 
, возникающего в условиях КОД. Аудитор должен иметь достаточные знания в области информационных технологий и представление о системе КОД клиента в целом с тем, чтобы планировать, регулировать и контролировать работу эксперта. В случае недостаточного уровня подготовки на основании правила (стандарта) «Использование работы эксперта» аудитор может привлечь независимого эксперта с целью изучения и оценки надежности системы КОД, а также совместной разработки тестов данной системы. Чем выше квалификация аудитора в области информационных технологий и опыт работы эксперта, тем ниже общий риск .
С учетом (1)-(4) разработан комплексный метод оценивания дополнительного аудиторского риска на основе современной информационной технологии. В соответствии с правилом (стандартом) «Существенность и аудиторский риск» аудиторам предоставляется возможность принятия оценки АР по трехбалльной шкале: высокий, средний и низкий. Безусловно, высококвалифицированный аудитор с учетом ситуационного сравнительного анализа может сформировать субъективную оценку АР. Однако для определения дополнительного аудиторского риска преобразуем трехбалльные оценки в относительные вероятностные значения. С этой целью аудитор должен самостоятельно оформить рабочий документ, имеющий вид бланка-теста. Бланк-тест возможно сформировать с помощью компьютерной аудиторской программы, базирующейся на информационной технологии Visual Basic for Application (VBA) как надстройка над табличным процессором Excel. Бланк «оценка дополнительного аудиторского риска» представляет собой тест, содержащий вопросы, на которые могут быть три варианта ответа: «высокий», «средний» и «низкий», в который включаются вопросы, на которые должен ответить аудитор. При этом табличный процессор Excel обеспечивает возможность работы с любыми видами данных: числовые, процентные, денежные, текстовые, логические и др. Аудитор отвечает на каждый из вопросов, после чего должен обеспечиваться подсчет количества всех видов ответов. Соответственно в колонке «Оценка» ставится цифра 1, соответствующая ответу «высокий», цифра 2 - «средний» и цифра 3 - «низкий».
|
|
|
На основании полученных оценок по каждому из вопросов произведем расчет дополнительных аудиторских рисков, возникающих в условиях КОД, в соответствии с формулой (5):
АР код 
, (5)
где 
- верхняя граница вероятности дополнительного аудиторского риска;
- нижняя граница вероятности дополнительного аудиторского риска;
- число оценок «высокий» в тестовом задании;
- число оценок «средний» в тестовом задании;
- число оценок «низкий» в тестовом задании;
– общее число оценок в тесте.
Аудитор самостоятельно определяет нижнюю и верхнюю границы диапазона значений рисков 
, , .
Таким образом, выражение (5) является конечным для определения дополнительных аудиторских рисков, возникающих в условиях КОД, и результаты разработанного комплексного метода на основе современной информационной технологии Visual Basic for Application (VBA) могут быть использованы для дальнейшего развития подхода к оцениванию аудиторских рисков.
|
|
|
