5.4. аудит предприятий, применяющих компьютерные информационные системы

5.4. аудит предприятий, применяющих компьютерные информационные системы

Особенности аудита при использовании КИСП

Компьютеризация бухгалтерского учета не вносит принципиальных изменений в элементы его метода. Кардинально меняется лишь технология обработки учетной информации. Это находит отражение в структуре компьютерных форм бухгалтерского учета.

Автоматизация бухгалтерского учета и других процессов на предприятии, с одной стороны, и автоматизация аудита – с другой, коренным образом меняют порядок проведения аудиторской проверки конкретного экономического объекта. В общем случае различают аудит вне компьютерной среды, т. е. на объекте с традиционной технологией ручного ведения учета, и аудит в компьютерной среде – на объекте, где бухгалтерский учет ведут с использованием компьютеров. Сама аудиторская проверка также возможна без использования компьютеров или с их помощью.

В условиях применения КИСП и КСБУ существенно меняются организация и методика проведения аудита, поскольку его осуществление по методикам, ориентированным на традиционный учет, не дает необходимого результата.

Рис. 5.11. Структура учетного аппарата и локальной сети бухгалтерии промышленного предприятия

Рис. 5.12. Структура учетного аппарата и локальной сети бухгалтерии торгового предприятия

Применение КИСП оказывает влияние:

• на процедуры, которые использует аудитор в процессе получения достаточного представления о системах бухгалтерского учета и внутреннего контроля предприятия;

• на процесс оценки неотъемлемого риска (inherent risk) и риска системы средств контроля (control risk);

• на разработку и осуществление аудитором тестов системы контроля и процедур проверки по существу, необходимых для достижения цели аудита – формирования аудиторского заключения.

Во время планирования аудиторских процедур, на которые может оказать влияние среда КИСП проверяемого предприятия, аудитор обязан рассмотреть, каким образом использование КИСП влияет на аудит, и оценить значимость (significance) и сложность (complexity) процессов функционирования КИСП, а также доступность данных КИСП для использования в аудите.

Под значимостью понимается такая степень влияния автоматизированной обработки данных на информацию и утверждения (assertions), содержащиеся в финансовой отчетности, которую следует принимать во внимание.

Сложной прикладная программа КИСП считается в случаях, если:

• объем операций таков, что пользователям тяжело обнаружить и исправить ошибки, допущенные в процессе обработки;

• программа автоматически формирует значительное количество бухгалтерских проводок и в автоматическом режиме передает их в другие прикладные программы;

• компьютер выполняет сложные финансовые расчеты и (или) в автоматическом режиме формирует операции либо проводки, которые не могут быть проверены по отдельности;

• обмен операциями с другими организациями осуществляется в электронном виде, причем данные не просматриваются и не проверяются человеком.

Далее аудитор изучает структуру КИСП клиента, в частности степень концентрации или распределения компьютерной обработки данных в рамках хозяйствующего субъекта, ее влияние на распределение обязанностей исполнителей и доступность компьютерных данных для непосредственного изучения. Первичные документы, компьютерные файлы и другая информация, необходимые для составления аудиторских доказательств, могут существовать только в течение короткого периода времени или в формате, доступном только для просмотра на компьютере. В этом случае аудитор применяет специальные методы исследования информации.

Вместе с тем, поскольку многие контрольные процедуры, используемые в системе бухгалтерского учета предприятия, в КИСП представляют собой набор специальных алгоритмов, аудитору следует иметь соответствующую квалификацию, необходимую для их изучения и оценки. Аудитор должен хорошо ориентироваться в современных автоматизированных программных системах учета, контроля и анализа, знать принципы распределения функций и взаимного контроля среди работников, принимающих участие в процессе обработки учетной информации. Для проведения аудита в компьютерной среде аудитор обязан:

• обладать дополнительными знаниями в области систем обработки экономической информации;

• иметь представление о техническом, программном, математическом и прочих видах обеспечения КСБУ;

• владеть терминологией в области компьютеризации;

• четко себе представлять особенности технологии и последовательность процедур компьютерной обработки учетной информации;

• знать организацию работы бухгалтерии в условиях КИСП;

• уметь работать на компьютере с основными офисными программами;

• иметь практический опыт работы с разными системами бухгалтерского учета, анализа, правовыми и справочными системами, специальными информационными системами аудита.

С учетом разнообразия и сложности компьютерных технологий аудитору желательно быть первоклассным специалистом по компьютерному бухгалтерскому учету. Даже если у аудитора нет достаточных знаний, Международный стандарт аудита (МСА) 401 «Аудит в условиях компьютерных информационных систем» обязывает его приглашать эксперта в области информационных технологий (использование услуг сторонних экспертов регламентируется МСА 620 «Использование работы эксперта»).

Основные направления взаимодействия аудитора с экспертом относительно систем компьютерной обработки данных следующие:

• оценка законности приобретения и лицензионной чистоты бухгалтерского программного обеспечения, которое функционирует в системе компьютерной обработки данных;

• оценка надежности системы компьютерной обработки информации в целом;

• проверка правильности и надежности алгоритмов расчетов;

• формирование на компьютере необходимых аудитору регистров аналитического учета и отчетности.

Однако и в этом случае аудитор обязан иметь достаточное представление о компьютерной системе клиента в целом, чтобы правильно планировать, направлять и контролировать работу эксперта. Нужно понимать, что эксперт оценивает компьютерную систему обработки данных, а аудитор – достоверность информации, которая содержится в отчетности, сформированной с помощью этой системы.

Изучение и оценка КИСП

Аудит в условиях автоматизированных систем учета зависит от степени автоматизации бухгалтерского учета, контроля и аудита, наличия методик проведения автоматизированного аудита, доступности учетных данных, сложности обработки информации.

Приступая к аудиторской проверке, аудитор прежде всего должен ознакомиться с организационной формой обработки данных и уровнем автоматизации управленческих задач, в том числе задач бухгалтерского учета. Предприятие, как правило, обрабатывает данные самостоятельно. Иногда по договору привлекается посторонняя организация.

Как и при «традиционном» аудите, во время проверки в условиях КИСП аудитор фиксирует все существенные моменты при выполнении аудиторских процедур в соответствующих рабочих документах. Специфическими тут могут быть вопросы по тестированию программ, проверке правильности алгоритмов и т. д. При этом большое значение имеют собственные характеристики системы обработки данных, поскольку они влияют на степень сложности бухгалтерской системы, тип внутреннего контроля, выбор вида тестов, на основе которых можно определить характер, продолжительность и объем аудиторских процедур.

Как правило, степень автоматизации учетных, контрольных и аудиторских задач и технология их осуществления уточняется еще перед началом аудиторской проверки. Это позволяет составить или уточнить план и программу аудиторской проверки. При оценке сложности системы автоматизированной обработки учетных данных необходимо принимать во внимание как степень интеграции различных информационных подсистем, так и степень совместного использования разными системами одних и тех же баз данных.

Особое внимание уделяется проверке надежности средств внутреннего контроля в условиях компьютерной обработки данных. Учетная политика, ориентированная на КСБУ, должна обязательно предусматривать элементы внутреннего контроля.

В условиях автоматизированных систем обработки учетной информации осуществляют три вида контроля:

1) структурный (производственный) контроль;

2) контроль разработки;

3) процедурный (рабочий) контроль.

Под структурным контролем понимают общую административную проверку структуры распределения обязанностей и ответственности в отделе обработки информации (бухгалтерии). Эта проверка имеет отношение ко всей работе, которую выполняет бухгалтерия, и является частью системы контроля, через которую проходит каждая новая учетная процедура.

Сущность контроля разработки состоит в проверке соответствия всех новых компьютерных учетных подсистем установленным на предприятии стандартам их создания, т. е. проверке выполнения основных этапов проектирования и программирования, которые предусматривают обязательное наличие встроенных в программное обеспечение контрольных алгоритмов и модулей. Контроль разработки вместе со структурным контролем должны охватывать все новые учетные процедуры на предприятии.

Под процедурным (рабочим) контролем понимают проверку осуществления учетных процедур контроля как в бухгалтерии, так и за ее пределами. Его можно провести по каждой процедуре по единым шаблонам, однотипным для нескольких процедур.

Поскольку возможность различных злоупотреблений в большинстве случаев обусловлена отсутствием необходимого программного контроля, а система автоматизированного контроля должна быть предусмотрена в проекте автоматизации учета, то аудитор в любом случае обязан проверять проектную документацию. Ее изучают на предмет наличия в проекте средств программного контроля – как для обеспечения достоверности информации, которая обрабатывается на основных этапах учетного процесса, так и для выявления различных злоупотреблений. В результате подобной проверки могут быть выявлены «слабые места» контроля в программе, которые не препятствуют совершению нарушений и злоупотреблений, например отсутствие программного контроля внутреннего перемещения материальных ценностей и денежных средств.

Часто предусмотренная в проектной докуметации система контроля не соответствует его фактическому осуществлению в процессе обработки учетной информации, поэтому аудитору следует убедиться в соответствии проекта фактическому учетному процессу, проверить правильность обработки информации. Технологический процесс обработки информации в КИСП должен обеспечивать автоматический контроль правильности обработки информации и исправления ошибок. Выявленные в процессе обработки на отдельных стадиях учетного процесса ошибки отражают в рабочих документах (актах). По этим актам аудитор может воссоздать и документально проверить процесс обработки информации, выявить постоянные ошибки и их причины.

Во время проверки аудитору следует изучить и оценить систему документооборота предприятия, порядок формирования, регистрации, хранения, обработки документов и трансформации первичных документов в систему записей на бухгалтерских счетах. Нужно обнаружить места возникновения первичной информации и степень автоматизации ее сбора и регистрации. При использовании специальных средств автоматизации сбора и регистрации информации (датчиков, счетчиков, весов, сканеров штриховых кодов и т. п.) аудитор должен убедиться в том, что специалисты регулярно тестируют эти устройства, а в случае выявления отклонений надлежащим образом это оформляют и принимают необходимые меры.

Первое представление об уровне автоматизации формирования первичных документов аудитор может получить и во время ознакомления со схемой размещения АРМ на предприятии. АРМ, размещенные в местах возникновения первичной информации (на складах, в цехах), позволяют составить первичный документ в момент совершения операции, зафиксировать информацию на машинном носителе, сделать документ доступным для дальнейшей обработки в бухгалтерии. Отсутствие АРМ в производственных подразделениях предприятия указывает или на ручной способ составления документов с последующей их передачей в бухгалтерию, или на формирование документов в самой бухгалтерии, что характерно для предприятий с небольшим количеством документов.

Аудитор обязан оценить, насколько модель документооборота, реализованная программным обеспечением КИСП, рациональна и эффективна для объекта, который проверяют. Крупные предприятия работают с применением модели полного документооборота. При этом важно проанализировать распределение функций между службами оперативного управления и бухгалтерией, информационные связи разных подразделений с бухгалтерией, проследить движение отдельных документов и их взаимосвязь, понять, как поддерживается система междокументальных связей, где хранятся электронные копии документов и как обеспечен к ним доступ учетных работников. На предприятиях, которые автоматизируют только бухгалтерский учет с помощью комплексной программной системы, аудитору необходимо обратить внимание на следующее:

• соблюдение временного интервала между выпиской документа, осуществлением операции и ее отражением в учете;

• возможность хранения документов в системе после их распечатки;

• связь документов и сформированных бухгалтерских проводок.

Аудитор обязан охарактеризовать способы введения данных и формирования записей о хозяйственных операциях. Автоматизированная и автоматическая генерация бухгалтерских записей и проводок на основе типовых операций и электронных форм документов часто позволяет избежать многих ошибок, неизбежных при ручном введении и составлении проводок.

Вместе с тем в компьютерном учете ряд операций, например начисление процентов, закрытие счетов, определение финансового результата, может инициироваться самой программой. Значит, по таким операциям нет никаких организационно-распорядительных или оправдательных документов. В подобных ситуациях обязанность аудитора – тщательно проверить правильность алгоритмов расчетов. Ошибка, заложенная в алгоритм расчета и каждый раз переносимая в записи повторяемых хозяйственных операций, может исказить результат хозяйственной деятельности. В процессе проверки алгоритмов расчета сумм при введении данных о хозяйственных операциях контролируется также правильность формирования проводок.

Аудитору следует проверить алгоритм на соответствие действующему законодательству и учетной политике предприятия и выяснить возможность корректировки алгоритма в случае изменения порядка ведения бухгалтерского учета, налогового или иного законодательства. Как уже отмечалось, тестирование алгоритмов предъявляет высокие требования к компьютерной подготовке аудитора. Желательно, чтобы он понимал макроязык конкретной программы. Это позволит ему не только провести тестирование алгоритма на конкретных данных, но и разобраться в правильности его настройки.

Аудитор обязан также проверить алгоритмы расчета показателей форм отчетности в соответствии с действующим законодательством и оценить возможность их корректировки в случае изменения законодательства. Это же относится и к самим используемым формам отчетности. Многие известные фирмы-разработчики, например «1С», оперативно распространяют среди своих пользователей новые формы бланков при их изменении.

В обязанности аудитора входит оценка возможностей используемой клиентом системы в части создания и формирования новых, не предусмотренных программой форм внутренней или внешней отчетности: рассмотрение механизма работы с исходной информацией, возможностей ее расшифровки и быстрого выявления и исправления ошибок; тестирование результатов обработки с целью обнаружения, например, неправильно рассчитанного сальдо на счетах; тестирование перенесения учетных данных в отчетность, особенно в том случае, если показатели формы отчетности в системе заполняются «вручную» – перенесением из сформированных программой стандартных отчетов (учетных регистров).

Современные КСБУ допускают децентрализованное использование компьютеров непосредственно на рабочих местах учетного персонала. Уровень же централизации обработки и сохранения данных может быть разным и зависит от численности сотрудников бухгалтерии, распределения учетных работ и т. д. На малых предприятиях, где данные обрабатывает один бухгалтер, программное обеспечение КСБУ и информационная база сосредоточены на одном компьютере. Однако при большей численности сотрудников бухгалтерии речь идет уже о системах для многих пользователей, которые реализуют работу нескольких пользователей с информационной базой учета. Такие системы используют одну из следующих технологий:

• локальное функционирование рабочих мест;

• обработку информации на основе технологии «файл – сервер»;

• обработку информации на основе технологии «клиент – сервер»;

• полностью централизованную обработку данных. Любая из этих технологий допускает свои формы применения

компьютеров, формы организации и ведения информационной базы учета и интеграции учетных данных для составления отчетности. Как правило, на средних и больших предприятиях преимущество имеют последние три технологии, причем на больших предприятиях все чаще применяют технологию «клиент – сервер».

Аудитор должен разбираться в основных различиях между названными технологиями, так как это влияет на процедуры проверки и аудиторский риск. Аудитор обязан оценить, насколько обоснованна и эффективна система, которая используется у конкретного экономического субъекта. Однако аудитор не имеет права принуждать клиента к применению известной аудитору системы. Он может помочь клиенту компьютеризировать бухгалтерский учет, рекомендовать ту или другую фирму и программу.

В целом КСБУ, в которых используются персональные компьютеры, не соединенные в сеть, менее сложные, чем сетевые КСБУ. В первом случае даже пользователи, владеющие основными навыками обработки данных, могут разработать прикладные учетные программы (примером служит использование электронных таблиц Excel для ведения несложной бухгалтерии, например учета хозяйственных операций частного предпринимателя). В таких условиях контроль процесса системной разработки (например, адекватная документация) и операций (например, доступ к контрольным процедурам), существенных для эффективного контроля в большой компьютерной среде, разработчик, пользователь или руководитель не могут рассматривать как эффективный с точки зрения соотношения затрат и результатов. Тем не менее, поскольку данные были обработаны на компьютере, пользователи такой информации могут без соответствующих на то оснований чрезмерно полагаться на учетную информацию. Поскольку персональные компьютеры ориентированы на индивидуальных конечных пользователей, точность и достоверность подготовленной финансовой информации будет зависеть от средств внутреннего контроля, установленных руководителями предприятия и принятых пользователем. Например, если компьютер используют несколько человек без надлежащего контроля, программы и данные одного пользователя, которые хранятся на встроенном носителе информации, могут стать предметом неразрешенного пользования, изменения или мошенничества со стороны других пользователей.

В международной практике выделяют подход, в соответствии с которым используют КИСП с модулями оперативного учета хозяйственных операций в реальном режиме времени. Это актуально для таких отраслей бизнеса, как банковские операции, мобильная телефонная связь, электронная коммерция. В подобных системах обычно агрегированные учетные данные из модулей оперативного учета по заданным алгоритмам периодически передаются в КСБУ.

Особенностью таких систем является наличие развитых программных контрольных процедур (controls) во время осуществления хозяйственных операций. При введении данных в интерактивном режиме они, как правило, подлежат немедленной проверке. Неподтвержденные данные не будут приняты, и на экране терминала высветится сообщение, которое даст возможность пользователю исправить данные и сразу же ввести их повторно. Например, если пользователь введет неправильный порядковый номер объекта товарно-материальных ценностей, будет выведено сообщение об ошибке и пользователю представится возможность ввести правильный номер.

Аудиторские процедуры, выполняемые одновременно с интерактивной обработкой, могут включать проверку «встроенных» средств контроля интерактивных прикладных программ. Например, это может быть сделано с помощью введения тестовых операций через терминал или посредством специального аудиторского программного обеспечения. Аудитор может использовать такие тесты для того, чтобы проверить свое понимание компьютерной учетной системы или для проверки таких средств контроля, как пароли и прочие средства контроля доступа.

Особенности интерактивных компьютерных систем предопределяют высокую эффективность проведения аудитором анализа новых интерактивных бухгалтерских прикладных программ до, а не после начала их эксплуатации. Такой предварительный анализ дает аудитору возможность изучить, например, детальное описание функций программы или испытать программные средств. Это также может предоставить аудитору достаточно времени для разработки и испытания аудиторских процедур до начала их выполнения.

Внимание следует уделить также особенностям функционирования комплексных КИСП, которые основаны на единой базе (хранилище) данных (data warehouse, а также data repository), данные которой используются разными службами предприятия.

Системы баз данных состоят преимущественно из двух основных компонентов: базы данных и системы управления базой данных (СУБД). Базы данных взаимодействуют с другими техническими и программными средствами всей компьютерной системы.

База данных является совокупностью данных, которые используются многими пользователями для решения различных задач. Отдельный пользователь может не знать обо всех данных, которые хранятся в базе данных, и о способах их использования для решения различных задач. Индивидуальные пользователи знают только о данных, которыми они оперируют, и могут рассматривать эти данные как компьютерные файлы, которые применяются в их прикладных программах.

Системы баз данных отличаются двумя существенными особенностями: общим использованием и независимостью данных. Поскольку инфраструктура безопасности предприятия играет важную роль в обеспечении целостности накопленной информации, аудитору необходимо рассмотреть эту инфраструктуру перед проверкой программных средств контроля. В целом внутренний контроль требует эффективной системы контроля базы данных, СУБД и прикладных программ. Эффективность системы внутреннего контроля зависит в большой степени от характера задач администрирования базы данных и их выполнения.

Аудиторский риск при использовании КИСП

Компьютерная обработка экономических данных оказывает влияние прежде всего на процесс изучения аудитором системы учета и внутреннего контроля проверяемого предприятия. В соответствии с требованиями МСА 400 «Оценка риска и внутренний контроль» аудитор должен оценить неотъемлемый риск на предприятии и риск средств контроля.

В соответствии с Положением о международной аудиторской практике 1008 «Оценка рисков и система внутреннего контроля характеристики компьютерных информационных систем и связанные с ними вопросы» аудитор должен учесть влияние рисков использования КИСП для того, чтобы оптимально выполнить процедуры контроля и максимально снизить вероятность формирования неправильных выводов и рекомендаций. Особенности оценки рисков при применении КИСП и КСБУ приведены также в МСА 401 «Аудит в условиях компьютерных информационных систем».

Характер рисков и характеристики внутреннего контроля в среде КИСП сводятся к следующим.

Отсутствие следов операций – неясность пути преобразования входной информации из первичных учетных документов до итоговых показателей. Некоторые КИСП спроектированы таким образом, что полный объем информации про операцию может существовать только в течение короткого периода времени или только в компьютерном формате. Если сложная программа предусматривает большое количество этапов обработки, то полного объема информации, необходимой для поверки, может и не быть. (Именно поэтому ошибки, которые существуют в самом алгоритме программы, очень сложно обнаружить без использования специальных программ.)

Единая обработка операций. При компьютерной обработке однотипных операций применяются одни и те же инструкции. Это позволяет фактически устранить возможность ошибок, которые присущи ручной обработке. И наоборот, ошибки программирования (и прочие системные ошибки в технических средствах или программном обеспечении) приводят к неправильной обработке всех операций. Уменьшение участия человека в процессах обработки информации приводит к тому, что ошибки и недостатки в учетных процедурах из-за изменения прикладных программ или системного программного обеспечения могут оставаться невыявленными в течение продолжительного времени.

Отсутствие разделения функций. Многие процедуры контроля, которые обычно выполняются отдельными исполнителями вручную, может быть сконцентрирована в КИСП. Соответственно лицо, которое имеет доступ к компьютерным программам, процессу обработки или данным, может выполнять несовместимые функции. Несколько процедур управления может быть сконцентрировано в руках одного бухгалтера, тогда как при ведении бухгалтерского учета вручную они были бы распределены между несколькими сотрудниками. Таким образом, этот бухгалтер, оказывая влияние на учет по всем разделам, «контролирует сам себя». Значит, потенциал ошибок и недостатков, присущий КИСП, значительно выше, чем при ведении бухгалтерского учета путем ручной обработки данных.

Возможность ошибок и нарушений. Возможность «человеческих» ошибок при разработке, техническом обслуживании и эксплуатации КИСП может быть больше, чем в системах ручной обработки, частично из-за степени детализации, присущей такой деятельности. Кроме того, возможность несанкционированного доступа к данным или изменения данных без очевидных доказательств может быть большей при использовании КИСП, чем в системах ручной обработки данных.

Незначительное участие людей в осуществлении операций может снизить вероятность выявления ошибок и нарушений. Ошибки и нарушения, которые появляются при разработке или модификации прикладных программ либо системного программного обеспечения, могут оставаться невыявленными в течение длительного времени. Риск внутреннего контроля в среде КИСП возникает в том числе из-за неточности при разработке программы, сопровождении и поддержке программного обеспечения системы, операций, безопасности системы и контроля доступа к специальным управляющим программам. Риск может возрастать из-за ошибок или мошенничества как в программных модулях, так и в базах данных, поэтому необходимо принимать меры, предупреждающие возникновение ошибок в системах, в которых выполняется сложный алгоритм расчетов, поскольку обнаружить такие ошибки очень тяжело. Нужно понимать, что некоторые системы содержат множество ошибок из-за неправильных действий оператора, а другие – вследствие намеренного искажения вводимой информации в зависимости от особенностей реализации программных средств контроля.

Инициирование или осуществление операций. Компьютерные информационные системы способны автоматически инициировать или осуществлять определенные виды операций. Документальное оформление разрешения на выполнение может отличаться от оформления аналогичного документа при ручной обработке данных.

Возможности совершенствования управленческого контроля. КИСП предоставляет руководителям предприятия и аудитору большой набор аналитических средств для анализа операций и контроля деятельности хозяйствующего субъекта. Дополнительные средства контроля при необходимости помогают улучшить структуру внутреннего контроля в целом.

Примеры причин ошибок в учетной информации в случае применения КИСП приведены в табл. 5.2.

Таблица 5.2

Примеры возникновения ошибок в учетной информации при применении КИСП

Таким образом, использование клиентом компьютерных систем обработки данных приводит к образованию дополнительных аудиторских рисков. Эти риски связаны со следующими факторами:

• техническими аспектами;

• программной системой обработкой информации;

• организацией учета и контроля при использовании КИСП;

• квалификацией аудитора.

Технические аспекты касаются рисков, вызванных плохой работой аппаратных средств, использованием нелегального программного обеспечения, несоответствием характеристик аппаратного и программного обеспечения, отсутствием надлежащего технического обслуживания и контроля. Риск аудита повышается, если компьютерная система децентрализована, а компьютерные устройства географически разнесены.

Законный владелец программного обеспечения бухгалтерского учета имеет право получать помощь и поддержку у разработчика программного продукта. Поскольку фирмы-разработчики тщательно отслеживают все изменения в законодательных и нормативных актах, они своевременно вносят исправление в свои программы и часто бесплатно или за незначительную доплату предоставляют их своим пользователям. Эта помощь способствует повышению надежности работы с такой программой, снижает аудиторский риск. Использование же незаконно приобретенной программы повышает аудиторский риск, поскольку подобные программы часто являются устаревшими версиями; в них своевременно не корригируются алгоритмы расчетов, формы отчетности и документов, пользователь не имеет сопроводительной документации и не может верно использовать возможности программы. Именно поэтому аудитору следует оценить законность приобретения и лицензионную чистоту бухгалтерского и системного программного обеспечения, которое используется на предприятии. Одна из задач аудита и заключается в соблюдении клиентом действующего законодательства, в том числе выполнении требований охраны авторских прав на программные продукты.

Риски, связанные с программной системой обработки информации, могут быть вызваны ошибками при разработке системы, ее малым тиражом, использованием не по назначению. Программы широко распространенные, применяемые на сотнях предприятии и в разных условиях, как правило, не имеют ошибок, поскольку ошибки были выявлены в процессе внедрения на многих объектах и исправлены. Аудиторский риск в этом случае снижается. И наоборот, в системе, созданной в единичном экземпляре программистом, который не имеет экономической подготовки, скорее всего, много ошибок. Естественно, такая программа повышает риск при аудиторской проверке. Не исключены случаи применения программ, явно не предназначенных для бухгалтерского учета, обработки именно учетных данных. Обязанность аудитора состоит в том, чтобы выяснить, используется ли система клиента по назначению.

Риски, связанные с организацией учета и контроля при использовании КИСП, вызваны недостаточной подготовкой персонала клиента к работе с системой обработки учетных данных, отсутствием четкого распределения обязанностей и ответственности персонала клиента, неудовлетворительной организацией системы внутреннего контроля, слабой защитой от несанкционированного доступа к базе данных или ее отсутствием, потерей данных.

Риски, связанные с квалификацией аудитора, появляются из-за неправильной оценки системы обработки учетных данных, некорректности построения тестов, ошибочного толкования результатов.

Оценивая риски, связанные с использованием КИСП, нужно помнить, что в современных условиях плохо обученный персонал – наиболее уязвимое звено системы обработки данных. Аудитор должен оценить квалификацию учетного персонала в сфере компьютерной подготовки, информационных технологий и конкретной учетной системы. Ему необходимо обратить внимание и на отношение персонала к системе, степень доверия к ней. Бухгалтер, который считает, что быстрее выполнит работу без программы, очевидно, плохо знаком с ее возможностями и, вероятно, делает много ошибок при обработке данных на компьютере.

Методика тестирования КИСП аудитором

Наиболее точным методом оценки средств контроля, встроенных в программное обеспечение бухгалтерского учета, является либо непосредственное изучение аудитором программных алгоритмов, либо изучение алгоритмов с использованием специалъного аудиторского программного обеспечения (программные комплексы, одиночные программы, отдельные утилиты (служебные программы). Это всегда требует продолжительного времени и усилий, а иногда становится невозможно, например, из-за недостатка и у аудитора, и у эксперта знаний особенностей языка программирования конкретной программно-аппаратной системы. В этом случае аудиторы применяют разнообразные средства тестирования программного обеспечения. Методы тестовых данных используются во время аудиторской проверки путем введения данных (например, набора фактов хозяйственной жизни) в компьютерную систему хозяйствующего субъекта и сравнения полученных результатов с заранее известными. Аудитор может использовать тестовые данные со следующими целями:

• тестирование конкретных средств контроля в компьютерных программах, таких как интерактивный пароль и контроль доступа к данным;

• тестирование фактов хозяйственной жизни, отобранных из прежде обработанных операций или сформулированных аудитором для проверки отдельных характеристик процесса обработки, который осуществляется компьютерной системой субъекта;

• тестирование фактов хозяйственной жизни, которые используются в интегрированных тестовых подсистемах, где применяется фиктивный модуль (например, отдел или должностное лицо), через который они проходят в ходе обычного цикла обработки.

В практике аудита известны следующие подходы к тестированию КИСП.

1. Проверка путем имитации учетных данных. Используя программное обеспечение предприятия-клиента, аудитор вводит в КИСП набор тестовых данных, часто намеренно содержащий некоторые «сомнительные» операции. Путем сопоставления полученных отчетных данных с заранее известными аудитору проверяется правильность проведенных в КИСП расчетов и полученных результатов. Тестовые данные специально подготавливаются аудитором в зависимости от специфики отрасли и особенностей хозяйственной деятельности конкретного предприятия. Обычно это определенные мнимые хозяйственные операции, часть которых некорректна. При этом аудитор знает, какой именно результат должна сформировать программа. Существует несколько подходов к тестированию программного обеспечения. В простейшем из них последовательность работы аудитора с тестовыми данными следующая (рис. 5.13).

Рис. 5.13. Общий подход к тестированию программного обеспечения

Комплексный подход к тестированию (Integrated test facility approach – ITF) включает как использование тестовых операций, так и создание определенных мнимых объектов аналитического учета (дебиторов, кредиторов, работников, материальных ценностей и т. п.) [31, с. 581]. Обычно в программу вводят набор данных, содержащий как реальные, так и мнимые записи. Последовательность такого тестирования приведена на рис. 5.14.

Аудитор может применять специально разработанные конкретные примеры тестирования алгоритмов компьютерной обработки данных. Например, для проверки правильности начисления налога на доходы физических лиц аудитор может ввести в компьютер клиента значение определенной суммы заработной платы и убедиться в правильности полученного результата.

2. Проверка с помощью специальных аудиторских программ, подготовленных аудиторской фирмой. Эта проверка осуществляется путем моделирования с программной проверкой всех возможных параметров учетного процесса. На их основе аудитор осуществляет имитационную обработку данных со структурой, аналогичной структуре реального программного обеспечения.

Рис. 5.14. Последовательность осуществления комплексного подхода к тестированию КСБУ

Полученные исходные данные сравниваются с реальными данными; по результатам сравнения обнаруживаются отклонения, которые фиксируются в протоколе проверки, где кроме самих отклонений на основе базы знаний фиксируются законодательные нормативные акты, которые были при этом нарушены.

С помощью специальных программных средств осуществляются проверка, моделирование и анализ учетных данных с целью определения их полноты, качества, правомерности и достоверности. Для этого выполняется сравнение смоделированных учетных данных с реальными данными информационной системы, а также выполняются тестирование расчетов и перерасчетов, суммирование, повторное упорядочивание и формирование отчетных данных, их сравнение с реальными данными. Кроме того, контролируется правильность восстановления данных.

Эта методика тестирования предусматривает использование только реальных данных клиента, которые обрабатываются одновременно в КСБУ клиента и в программном обеспечении, которое использует аудитор. Она называется параллельным выполнением вычислений (parallel simulation) (рис. 5.15) [34, с. 582].

3. Для предприятий, с которыми аудиторская фирма имеет долгосрочные договорные отношения, разрабатываются специальные аудиторские модули, которые встраиваются в имеющиеся программные средства учета, контроля и аудита. В программное обеспечение включаются дополнительные программные модули, которые позволяют контролировать необходимые параметры учетного процесса. С помощью этих модулей выполняется отбор операций, представляющих интерес с точки зрения постоянной аудиторской проверки. Избранные операции сохраняются для дальнейшего изучения аудитором. Отобранные при этом данные группируются по операциям в специальной аудиторской базе данных для дальнейшей обработки (рис. 5.16).

Рис. 5.15. Параллельная обработка учетных данных

В программных средствах применяются следующие виды контроля данных:

• систематический контроль, когда учетные данные тестируются по всем основным критериям (диапазон, сопоставление с нормативно-справочной информацией и т. п.);

• выборочный контроль, осуществленный на некоторой выборке данных (по определенным операциям, по отдельным задачам и т. п.).

Рис. 5.16. Сбор аудиторской информации при помощи встроенного контрольного модуля

Во всех случаях аудиторские процедуры нужно проводить не с оригинальными файлами субъекта проверки, а с копиями этих файлов, поскольку любые их изменения, проводимые аудитором, и возможные повреждения не должны влиять на данные компьютерной системы обработки данных. В том случае, когда контрольные данные обрабатываются в рамках обычного процесса обработки информации субъекта, аудитор должен убедиться в том, что данные о контрольных хозяйственных операциях изъяты из учетных записей предприятия.

Ключевые слова

Автоматизированное рабочее место (АРМ)

Аудиторский риск Внутренний контроль

Компьютеризация бухгалтерского учета

Компьютерная информационная система предприятия (КИСП)

Компьютерная система бухгалтерского учета (КСБУ)

Системы управления базой данных (СУБД)

Контрольные вопросы и задания

1. Из каких частей состоит учетный регистр при применении компьютеров?

2. Назовите и охарактеризуйте функции персонала КСБУ.

3. Какие вы знаете формы построения учетного аппарата?

4. Охарактеризуйте особенности построения структуры бухгалтерии при применении вычислительной техники.

5. Каковы особенности организации учетного аппарата в бухгалтериях разных размеров при применении компьютерной формы учета?

6. Какова последовательность проверки аудитором особенностей функционирования КИСП?

7. Что включают в себя риски и характеристики внутреннего контроля в среде КИСП?

8. Какие методики используются при тестировании аудитором компьютерных учетных систем?