Положения, поясняющие использование компьютерных информационных систем в ходе аудита

Положения по международной аудиторской практике (ПМАП), посвященные компьютерным технологиям в аудите, условно под­разделяются на две группы:

1) отражающие особенности компьютерных информационных систем субъекта (в эту группу входят ПМАП 1001—1003, 1008);

2) характеризующие компьютеры как средство выполнения ау­диторских процедур (ПМАП 1009).

ПМАП 1001-1003 изданы как приложения к МСА 400 «Оценка рисков и система внутреннего контроля», но не являются его частью. Ниже рассмотрено содержание ПМАП 1001, 1002, 1003 и 1008.

Целью ПМАП 1001 «Среда КИС — автономные микрокомпьюте­ры» является оказание помощи аудитору в выполнении требований МСА 400 и ПМАП 1008 путем описания микрокомпьютерных сис­тем, используемых как самостоятельные рабочие станции.

Микрокомпьютеры в терминологии ПМАП — это персональные компьютеры, или ПК. Микрокомпьютеры могут использоваться как средство обработки бухгалтерских проводок и подготовки финансо­вой отчетности. Поэтому возникает необходимость в определенных средствах внутреннего контроля и аудиторских процедурах в отно­шении систем ПК.

Микрокомпьютер может использоваться в различных конфигу­рациях. Поэтому ПМАП 1001 выделяет следующие основные конфи­гурации:

1)самостоятельная рабочая станция, используемая одним поль­зователем или несколькими пользователями поочередно, которые могут работать с одной или разными программами;

2)локальная сеть микрокомпьютеров, т.е. когда несколько мик­рокомпьютеров объединены посредством использования специаль­ных программ и коммуникационных линий;

3)подключенная система, т.е. рабочая станция, соединенная с центральным компьютером.

Среда компьютерных информационных систем (КИС), в кото­рой используются микрокомпьютеры, является менее сложной, чем среда КИС, контролируемая централизованно. В связи с этим в сре­де микрокомпьютеров внутренний контроль может быть существен­но ослаблен:

а) прикладные программы могут быть легко разработаны пользователями;

б) поскольку данные обрабатываются компьютером, пользовате­ли такой финансовой информации могут без разумных на то осно­ваний чрезмерно полагаться на нее;

в) так как микрокомпьютеры ориентированы на индивидуаль­ных конечных пользователей, точность и достоверность подготов­ленной информации будет зависеть от средств внутреннего контро­ля, установленных руководством или пользователем.

Влияние ПК на систему бухгалтерского учета и связанные с ней механизмы внутреннего контроля зависят:

• от степени использования микрокомпьютеров в бухгалтер­ском учете;

• вида и значимости обрабатываемых финансовых операций;

• характера используемых файлов и программ.
Ключевыми факторами средств контроля КИС являются:

1) Общие средства контроля КИС — разделение обязанностей, в
том числе:

• инициирование и авторизация исходных документов;

• ввод данных в систему;

• управление компьютером;

• изменение программ или распространение выходных данных;

• модификация операционной системы.

2) Прикладные средства контроля КИС:

• системы регистрации операций и сверки данных по группам;

• непосредственное наблюдение;

• сверка учетных записей или сальдо по секциям и т. п.

Для обеспечения эффективного внутреннего контроля КИС мо­жет быть создано независимое подразделение.

Среда ПК оказывает влияние и на аудиторские процедуры: так как руководство может считать нецелесообразным внедрение надле­жащих средств контроля в микрокомпьютерной среде, аудитор за­частую вправе предположить, что риск средств контроля в таких системах высок. Поэтому аудитор может сосредоточить свои усилия на проверках по существу в конце или ближе к концу года. Компь­ютерные методы аудита могут включать:

1) использование программного обеспечения клиента (баз дан­ных, электронных таблиц, программных продуктов);

210 Глава 7. Положения по международной аудиторской практике

2) использование собственного программного обеспечения ау­дитора (например для включения операций или сальдо в файлы данных для сравнения с контрольными записями или сальдо счетов в главной книге).

Если микрокомпьютерные системы обрабатывают большое ко­личество операций, целесообразнее провести аудиторскую работу по этим данным на предварительную дату.

В ПМАП1002 «Среда КИС — интерактивные компьютерные сис­темы» описаны результаты влияния интерактивных компьютерных систем на бухгалтерскую систему и связанные с ней средства внут­реннего контроля, а также аудиторские процедуры. Интерактивные компьютерные системы — компьютерные системы, которые предоставляют пользователям прямой доступ к данным и программам че­рез терминал.

Интерактивные компьютерные системы могут оказывать влия­ние и на средства внутреннего контроля:

• исходные данные могут иметься не по всем вводимым опера­циям;

• результаты обработки могут быть слишком обобщенными;

• интерактивные компьютерные системы могут быть не пред­назначены для предоставления печатных отчетов, а редакти­рование отчетов может быть затруднено сообщениями на дис­плее.

ПМАП 1002 выделяет следующие аспекты влияния интерактив­ных компьютерных систем на аудиторские процедуры:

• санкционированность, полнота и точность операций в инте­рактивном режиме;

• целостность записей и обработки в связи с интерактивным доступом к системе многих пользователей и программистов;

• изменения в выполнении аудиторских процедур, включая ме­тоды аудита с использованием компьютеров.

В связи с этими факторами аудитор может выполнить специфи­ческие процедуры на всех этапах аудиторской проверки:

1) на стадии планирования - включить в аудиторскую группу профессионалов с техническими навыками; предварительно определить в процессе оценки риска влияния интерактивной системы на аудиторские процедуры;

2) одновременное с интерактивной обработкой — аудиторские процедуры могут включать проверку соответствия средств контроля за интерактивными приложениями;

3) после интерактивной обработки информации осуществляется проверка соответствия средств контроля за операциями на предмет санкционированности, полноты и точности; проверка операций по существу вместо тестов средств контроля; повторная обработка опе­раций в виде процедур по существу или на предмет соответствия.

Анализ новых интерактивных прикладных бухгалтерских про­грамм может производиться до, а не после их инсталляции. Это даст аудитору возможность проверить дополнительные функции и обес­печит достаточным временем для разработки и апробации аудитор­ских процедур до их проведения.

ПМАП 1003 «Среда КИС — системы баз данных» описывает влияние базы данных на систему бухгалтерского учета, связанную с ней систему внутреннего контроля и аудиторские процедуры.

Системы баз данных состоят из двух основных компонентов: базы данных и системы управления базой данных (СУБД).

База данных — это совокупность данных, которая используется рядом пользователей для различных целей.

Программное обеспечение, которое используется для создания, поддержания и эксплуатации базы данных, называется программным обеспечением СУБД.

Если система данных используется одним пользователем, для целей ПМАП 1003 она не считается базой данных.

Системы баз данных отличаются двумя важными характеристи­ками:

• совместным использованием данных (многими пользователя­ми и в разных программах);

• независимостью данных от прикладных программ (база дан­ных записывается один раз для использования различными программами).

Эти характеристики требуют использования словаря данных и создания подразделения администрирования данных, т.е. координа­ции базы данных группой лиц.

Словарь данных — это определенное программное средство для отслеживания местонахождения данных в базе данных; оно также служит средством хранения стандартизированной документации и определений среды базы данных в прикладных программах.

Задачи администрирования, как правило, включают следующее:

• определение структуры базы данных;

• обеспечение целостности, безопасности и полноты данных;

• координирование компьютерных операций;

• контроль за результатами деятельности системы;

• обеспечение административной поддержки;

• обеспечение существования адекватной связи между базами данных, координации их функций, непротиворечивости дан­ных в разных базах данных.

Эффективность внутреннего контроля зависит в большей степе­ни от характера задач администрирования баз данных и того, как они выполняются. Из-за совместного использования баз данных об­щие средства контроля КИС обычно имеют больше влияния на базы данных, чем прикладные средства контроля. Характеристика общих средств контроля КИС в системах баз данных представлена в табл. 7.7.

Влияние системы баз данных на систему бухгалтерского учета и связанные с ней ошибки в общем зависит:

• от степени использования баз данных в бухгалтерских про­
граммах;

• вида и значения обрабатываемых финансовых операций;

• характера баз данных, СУБД, задач администрирования;

• общих средств контроля КИС, которые особенно важны в среде баз данных.

Базы данных обеспечивают обычно большую надежность, чем их отсутствие. Однако использование систем баз данных может как повысить, так и снизить риск мошенничества и ошибок. Повыше­нию надежности данных способствуют:

• большая непротиворечивость данных;

• целостность данных, которая может повышаться путем ис­пользования процедур восстановления, редактирования и подтверждения, средств безопасности и контроля, встроен­ных в СУБД;

• другие функции СУБД, например функции генератора отче­тов (для создания отчетов-сопоставлений) и языки запросов (для выявления противоречий в данных).

Риск мошенничеств и ошибок может возрасти, если системы баз данных используются без соответствующих средств контроля.

На аудиторские процедуры в основном влияет то, в какой сте­пени данные баз используются в бухгалтерской системе. Там, где значимые бухгалтерские программы используют общую базу дан­ных, ПМАП 1003 рекомендует использовать следующие аудиторские процедуры:

1) при планировании аудита рассмотреть влияние следующих
факторов на аудиторский риск:

а) СУБД и значительных бухгалтерских прикладных программ;

б) стандартов и процедур для разработки и поддержки прикладных программ, использующих базу данных;

в) должностных обязанностей, стандартов и процедур в отношении баз данных;

г) процедур для обеспечения целостности, безопасности и полноты данных;

д) наличия средств аудита в СУБД;

2) проверить, как в системе баз данных используются средства контроля, и затем решить, полагаться ли на эти средства контроля и какие тесты на соответствие провести;

3) когда аудитор решил провести тесты на соответствие, ауди­торские процедуры могут включать:

а) генерирование тестовых данных;

б) обеспечение аудиторского «следа» операций;

в) проверку целостности баз данных;

г) обеспечение доступа к базе данных или копии ее нужных
частей;

д) получение информации, необходимой для аудита;

4) проверить, поможет ли достижению цели проверки выполне­ние дополнительной проверки по существу всех значительных бух­галтерских программ, использующих базу данных;

5) может оказаться эффективнее проверить новые бухгалтерские программы не после, а до их установки.

Среда компьютерных информационных систем (КИС) сущест­вует, если субъект применяет компьютер любой модели или размера для обработки финансовой информации, значимой для аудита, не­зависимо оттого, используется ли компьютер данным субъектом или третьим лицом.

ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ними вопросы» подготовлено как дополнение к МСА 400, но ПМАП 1008 не является частью МСА.

В соответствии с данным ПМАП, в среде КИС субъект должен оп­ределить:

а) организационную структуру, имеющую следующие характе­ристики: концентрацию функций и знаний (сокращение численно­
сти обслуживающего персонала и соответственно опасность несанк­ционированного изменения системы), концентрацию программ и
данных (данные могут существовать только в машиночитаемом виде
на одном или нескольких компьютерах, что может увеличить веро­ятность несанкционированного доступа);

б) процедуры управления КИС.

Характер обработки данных в КИС может иметь свою специфи­ку при отсутствии средств внутреннего контроля:

• отсутствие первичных документов;

• отсутствие визуального следа операции;

• отсутствие визуального результата;

• свободный доступ к данным и компьютерным программам. Перечисленное приводит к снижению надежности данных КИС.

Внутренний контроль за компьютерной обработкой данных включает два вида процедур по способу их выполнения:

1) процедуры, проводимые с помощью ручной обработки;

2) процедуры, встроенные в компьютерные программы.
Недостатки общих средств контроля могут помешать тестирова­нию определенных прикладных средств контроля КИС. Однако ис­пользуемые пользователем ручные процедуры могут быть эффектив­ным средством контроля на уровне прикладных программ.

Методы аудита с использованием компьютеров (МАК) — приемы, при которых компьютер используется в качестве инструмента ау­дита.

Рекомендации по использованию МАК в аудите предоставляет ПМАП 1009 «Методы аудита с использованием компьютеров». Вме­сте с тем, как определено в МСА 401 «Аудит в условиях компьютер­ных информационных систем», общие цели и объем аудита не изменяются, когда аудит проводится в сфере компьютерных информаци­онных систем.

Если тесты используются в ходе обычного цикла обработки опе­раций, аудитор должен обеспечить удаление тестовых записей по окончании тестирования.

МАК могут использоваться при проведении различных аудитор­ских процедур, включая следующие:

• детальные тесты операций и сальдо (например использование
аудиторского программного обеспечения для тестирования
операций в компьютерном файле);

• аналитические процедуры обзора (например использование аудиторского программного обеспечения для выявления не­обычных изменений или статей);

• проверку соответствия общих средств контроля КИС (напри­мер использование тестовых данных для проверки процедур доступа к программным библиотекам);

• проверку соответствия прикладных средств контроля КИС (например использование тестовых данных для проверки функционирования запрограммированной процедуры).

При планировании аудита аудитор должен рассматривать соот­ветствующую комбинацию некомпьютеризированных и компьюте­ризированных аудиторских приемов. При принятии решения о том, использовать ли МАК, следует учитывать следующее:

1) знания, навыки и опыт работы аудитора с компьютером (уро­вень знаний зависит от сложности и характера МАК и учетной сис­темы субъекта);

2) возможность применения МАК и наличие соответствующих компьютерных устройств (аудитор может планировать использова­ние других компьютерных устройств, если применение МАК явля­ется экономически нецелесообразным или невыполнимым, напри­мер, из-за несовместимости бухгалтерских и аудиторских программ. Может также потребоваться помощь специалиста субъекта);

3) нецелесообразность применения ручных тестов (если не су­ществует визуальных доказательств, выполнение тестов вручную может оказаться невозможным, например, когда заказы на закупку вносятся в систему в интерактивном режиме);

4) эффективность и результативность (они могут быть
повышены при использовании МАК, например, для тестирования
большого количества операций, при наличии возможности печатать
отчет о нестандартных операциях и т. п.);

5) фактор времени, влияние которого на использование М А К
отражают следующие рекомендации ПМАП 1009:

• определенные компьютерные файлы, такие как файлы с подробными данными о хозяйственных операциях, зачастую сохраняются в компьютере только в течение короткого периода времени и могут оказаться недоступны в машиночитаемой форме тогда, когда они потребуются аудитору. В результате аудитор должен предпринять действия, чтобы необходимые ему файлы были сохранены, или ему нужно будет изменить сроки работы, для которой необходимы эти данные;

• когда время аудита ограничено, использование МАК может в
большей мере соответствовать графику аудита, чем ручные
процедуры.

Основные шаги, которые необходимо предпринять аудитору при использовании МАК, включают:

• установление целей применения МАК;

• определение содержания файлов субъекта и порядка доступа к ним;

• определение видов хозяйственных операций, подлежащих тестированию;

• определение процедур, которые необходимо применить по отношению к данным;

• определение требований в отношении полученных результа­тов;

• назначение аудиторов и специалистов по компьютерной об­работке данных, которые могут принимать участие в разра­ботке и применении МАК;

• уточнение оценок затрат и выгод;

• обеспечение того, что использование МАК надлежащим об­разом контролируется и документируется;

• организацию административной работы, включая необходи­мую квалификацию и компьютерные устройства;

• применение МАК;

• оценку результатов.

Использование МАК должно контролироваться аудитором для обеспечения соответствия аудиторским целям и во избежание не­надлежащего манипулирования МАК со стороны субъекта. Проце­дуры, проводимые аудитором для контроля за применением аудитор­ских программ, могут включать:

1) участие в разработке и тестировании компьютерных про­грамм;

2) проверку кодирования программ для обеспечения соответст­вия подробным программным характеристикам;

3) обращение к специалистам субъекта по компьютерным систе­мам с просьбой ознакомиться с инструкцией по операционной системе и удостовериться, что программы могут быть инсталлированы в компьютерной системе субъекта;

4) апробирование аудиторского программного обеспечения на небольших тестовых файлах до его запуска для работы с файлами основных данных;

5) обеспечение использования правильных файлов, например с помощью внешнего доказательства (контрольных итоговых данных субъекта);

6) получение доказательства того, что аудиторское программное обеспечение действует, как запланировано, например пугем анализа выходящей и контрольной информации;

7) принятие соответствующих мер безопасности для защиты от манипуляций с файлами данных субъекта.

Присутствие аудитора при использовании МАК не обязательно, но может быть полезным как возможность контролировать процесс.

Для контроля за применением программ тестовых данных а у д и т о р должен выполнить следующие процедуры:

• контроль за последовательностью представления тестовых данных, когда они проходят через несколько циклов обработ­ки;

• проведение тестов с небольшим количеством тестовых дан­ных до представления основных аудиторских тестовых дан­ных;

• прогнозирование результатов тестовых данных и сравнение их с фактическими результатами тестов, в отношении отдель­ных хозяйственных операций и в целом;

• подтверждение того, что для обработки данных использова­лась текущая версия программ;

• обеспечение достаточной уверенности в том, что программы, используемые для обработки тестовых данных, использова­лись субъектом в течение всего проверяемого периода.

Если аудитор прибегает к помощи специалистов субъекта, он должен иметь достаточную уверенность, что эти специалисты не оказывают ненадлежащее влияние на результаты МАК.

Технические документы, относящиеся к использованию МАК, целесообразнее хранить отдельно от других аудиторских рабочих до­кументов. Вместе с тем, эти документы должны соответствовать стандарту МСА 230 «Документирование». Общие принципы, описанные в ПМАП 1009, применимы в ком­пьютерной среде малого бизнеса, где аудитор должен учитывать следующие особенности:

а) уровень общего контроля может быть низким, поэтому пола­
гаться на систему внутреннего контроля в этом случае нельзя и
большая роль должна отводиться детальным тестам сальдо и опера­
ций, а также процедурам аналитического обзора;

б) когда обрабатываются небольшие объемы данных, использо­вание некомпьютеризированных методов может оказаться более
экономичным;

в) можно не получить достаточной технической помощи от
субъекта.

Кроме того, следует учитывать, что определенные пакетные программы могут не работать на небольших компьютерах, что огра­ничивает выбор аудитора в отношении МАК. Но файлы субъекта можно скопировать и обработать на другом (подходящем) компью­тере.