Специфика бухгалтерского учета, внутреннего и внешнего аудита в компьютерной среде

Особенностью таких систем является наличие развитых программных контрольных процедур (controls) во время осуществления хозяйственных операций. При введении данных в интерактивном режиме они, как правило, подлежат немедленной проверке. Неподтвержденные данные не будут приняты, и на экране терминала высветится сообщение, которое даст возможность пользователю исправить данные и сразу же ввести их повторно. Например, если пользователь введет неправильный порядковый номер объекта товарно- материальных ценностей, будет выведено сообщение об ошибке и пользователю представится возможность ввести правильный номер.

Аудиторские процедуры, выполняемые одновременно с интерактивной обработкой, могут включать проверку «встроенных» средств контроля интерактивных прикладных программ. Например, это может быть сделано с помощью введения тестовых операций через терминал или посредством специального аудиторского программного обеспечения. Аудитор может использовать такие тесты для того, чтобы проверить свое понимание компьютерной учетной системы или для проверки таких средств контроля, как пароли и прочие средства контроля доступа.Особенности интерактивных компьютерных систем предопределяют высокую эффективность проведения аудитором анализа новых интерактивных бухгалтерских прикладных программ до, а не после начала их эксплуатации. Такой предварительный анализ дает аудитору возможность изучить, например, детальное описание функций программы или испытать программные средств. Это также может предоставить аудитору достаточно времени для разработки и испытания аудиторских процедур до начала их выполнения.Внимание следует уделить также особенностям функционирования комплексных КИСП, которые основаны на единой базе (хранилище) данных (data warehouse, а также data repository), данные которой используются разными службами предприятия.Системы баз данных состоят преимущественно из двух основных компонентов: базы данных и системы управления базой данных (СУБД). Базы данных взаимодействуют с другими техническими и программными средствами всей компьютерной системы.

База данных является совокупностью данных, которые используются многими пользователями для решения различных задач. Отдельный пользователь может не знать обо всех данных, которые хранятся в базе данных, и о способах их использования для решения различных задач. Индивидуальные пользователи знают только о данных, которыми они оперируют, и могут рассматривать эти данные как компьютерные файлы, которые применяются в их прикладных программах.Системы баз данных отличаются двумя существенными особенностями: общим использованием и независимостью данных. Поскольку инфраструктура безопасности предприятия играет важную роль в обеспечении целостности накопленной информации, аудитору необходимо рассмотреть эту инфраструктуру перед проверкой программных средств контроля. В целом внутренний контроль требует эффективной системы контроля базы данных, СУБД и прикладных программ. Эффективность системы внутреннего контроля зависит в большой степени от характера задач администрирования базы данных и их выполнения. Аудиторский риск при использовании КИСП Компьютерная обработка экономических данных оказывает влияние прежде всего на процесс изучения аудитором системы учета и внутреннего контроля проверяемого предприятия. В соответствии с требованиями МСА 400 «Оценка риска и внутренний контроль» аудитор должен оценить неотъемлемый риск на предприятии и риск средств контроля.В соответствии с Положением о международной аудиторской практике 1008 «Оценка рисков и система внутреннего контроля характеристики компьютерных информационных систем и связанные с ними вопросы» аудитор должен учесть влияние рисков использования КИСП для того, чтобы оптимально выполнить процедуры контроля и максимально снизить вероятность формирования неправильных выводов и рекомендаций. Особенности оценки рисков при применении КИСП и КСБУ приведены также в МСА 401 «Аудит в условиях компьютерных информационных систем».Характер рисков и характеристики внутреннего контроля в среде КИСП сводятся к следующим.Отсутствие следов операций – неясность пути преобразования входной информации из первичных учетных документов до итоговых показателей. Некоторые КИСП спроектированы таким образом, что полный объем информации про операцию может существовать только в течение короткого периода времени или только в компьютерном формате. Если сложная программа предусматривает большое количество этапов обработки, то полного объема информации, необходимой для поверки, может и не быть. (Именно поэтому ошибки, которые существуют в самом алгоритме программы, очень сложно обнаружить без использования специальных программ.)Единая обработка операций. При компьютерной обработке однотипных операций применяются одни и те же инструкции. Это позволяет фактически устранить возможность ошибок, которые присущи ручной обработке. И наоборот, ошибки программирования (и прочие системные ошибки в технических средствах или программном обеспечении) приводят к неправильной обработке всех операций. Уменьшение участия человека в процессах обработки информации приводит к тому, что ошибки и недостатки в учетных процедурах из-за изменения прикладных программ или системного программного обеспечения могут оставаться невыявленными в течение продолжительного времени.Отсутствие разделения функций. Многие процедуры контроля, которые обычно выполняются отдельными исполнителями вручную, может быть сконцентрирована в КИСП. Соответственно лицо, которое имеет доступ к компьютерным программам, процессу обработки или данным, может выполнять несовместимые функции. Несколько процедур управления может быть сконцентрировано в руках одного бухгалтера, тогда как при ведении бухгалтерского учета вручную они были бы распределены между несколькими сотрудниками. Таким образом, этот бухгалтер, оказывая влияние на учет по всем разделам, «контролирует сам себя». Значит, потенциал ошибок и недостатков, присущий КИСП, значительно выше, чем при ведении бухгалтерского учета путем ручной обработки данных.

Возможность ошибок и нарушений. Возможность «человеческих» ошибок при разработке, техническом обслуживании и эксплуатации КИСП может быть больше, чем в системах ручной обработки, частично из-за степени детализации, присущей такой деятельности. Кроме того, возможность несанкционированного доступа к данным или изменения данных без очевидных доказательств может быть большей при использовании КИСП, чем в системах ручной обработки данных.Незначительное участие людей в осуществлении операций может снизить вероятность выявления ошибок и нарушений. Ошибки и нарушения, которые появляются при разработке или модификации прикладных программ либо системного программного обеспечения, могут оставаться невыявленными в течение длительного времени. Риск внутреннего контроля в среде КИСП возникает в том числе из-за неточности при разработке программы, сопровождении и поддержке программного обеспечения системы, операций, безопасности системы и контроля доступа к специальным управляющим программам. Риск может возрастать из-за ошибок или мошенничества как в программных модулях, так и в базах данных, поэтому необходимо принимать меры, предупреждающие возникновение ошибок в системах, в которых выполняется сложный алгоритм расчетов, поскольку обнаружить такие ошибки очень тяжело. Нужно понимать, что некоторые системы содержат множество ошибок из-за неправильных действий оператора, а другие – вследствие намеренного искажения вводимой информации в зависимости от особенностей реализации программных средств контроля.Инициирование или осуществление операций. Компьютерные информационные системы способны автоматически инициировать или осуществлять определенные виды операций. Документальное оформление разрешения на выполнение может отличаться от оформления аналогичного документа при ручной обработке данных.Возможности совершенствования управленческого контроля. КИСП предоставляет руководителям предприятия и аудитору большой набор аналитических средств для анализа операций и контроля деятельности хозяйствующего субъекта. Дополнительные средства контроля при необходимости помогают улучшить структуру внутреннего контроля в целом.

Примеры причин ошибок в учетной информации в случае применения КИСП приведены в табл.2.2.

Таблица2.2

Примеры возникновения ошибок в учетной информации при применении КИСП

Таким образом, использование клиентом компьютерных систем обработки данных приводит к образованию дополнительных аудиторских рисков. Эти риски связаны со следующими факторами:

техническими аспектами;

программной системой обработкой информации;

организацией учета и контроля при использовании КИСП;

квалификацией аудитора.

Технические аспекты касаются рисков, вызванных плохой работой аппаратных средств, использованием нелегального программного обеспечения, несоответствием характеристик аппаратного и программного обеспечения, отсутствием надлежащего технического обслуживания и контроля. Риск аудита повышается, если компьютерная система децентрализована, а компьютерные устройства географически разнесены.

Законный владелец программного обеспечения бухгалтерского учета имеет право получать помощь и поддержку у разработчика программного продукта. Поскольку фирмы-разработчики тщательно отслеживают все изменения в законодательных и нормативных актах, они своевременно вносят исправление в свои программы и часто бесплатно или за незначительную доплату предоставляют их своим пользователям. Эта помощь способствует повышению надежности работы с такой программой, снижает аудиторский риск. Использование же незаконно приобретенной программы повышает аудиторский риск, поскольку подобные программы часто являются устаревшими версиями; в них своевременно не корригируются алгоритмы расчетов, формы отчетности и документов, пользователь не имеет сопроводительной документации и не может верно использовать возможности программы. Именно поэтому аудитору следует оценить законность приобретения и лицензионную чистоту бухгалтерского и системного программного обеспечения, которое используется на предприятии. Одна из задач аудита и заключается в соблюдении клиентом действующего законодательства, в том числе выполнении требований охраны авторских прав на программные продукты.

Риски, связанные с программной системой обработки информации, могут быть вызваны ошибками при разработке системы, ее малым тиражом, использованием не по назначению. Программы широко распространенные, применяемые на сотнях предприятии и в разных условиях, как правило, не имеют ошибок, поскольку ошибки были выявлены в процессе внедрения на многих объектах и исправлены. Аудиторский риск в этом случае снижается. И наоборот, в системе, созданной в единичном экземпляре программистом, который не имеет экономической подготовки, скорее всего, много ошибок. Естественно, такая программа повышает риск при аудиторской проверке. Не исключены случаи применения программ, явно не предназначенных для бухгалтерского учета, обработки именно учетных данных. Обязанность аудитора состоит в том, чтобы выяснить, используется ли система клиента по назначению.

Риски, связанные с организацией учета и контроля при использовании КИСП, вызваны недостаточной подготовкой персонала клиента к работе с системой обработки учетных данных, отсутствием четкого распределения обязанностей и ответственности персонала клиента, неудовлетворительной организацией системы внутреннего контроля, слабой защитой от несанкционированного доступа к базе данных или ее отсутствием, потерей данных.

Риски, связанные с квалификацией аудитора, появляются из-за неправильной оценки системы обработки учетных данных, некорректности построения тестов, ошибочного толкования результатов.

Оценивая риски, связанные с использованием КИСП, нужно помнить, что в современных условиях плохо обученный персонал – наиболее уязвимое звено системы обработки данных. Аудитор должен оценить квалификацию учетного персонала в сфере компьютерной подготовки, информационных технологий и конкретной учетной системы. Ему необходимо обратить внимание и на отношение персонала к системе, степень доверия к ней. Бухгалтер, который считает, что быстрее выполнит работу без программы, очевидно, плохо знаком с ее возможностями и, вероятно, делает много ошибок при обработке данных на компьютере. Методика тестирования КИСП аудитором Наиболее точным методом оценки средств контроля, встроенных в программное обеспечение бухгалтерского учета, является либо непосредственное изучение аудитором программных алгоритмов, либо изучение алгоритмов с использованием специалъного аудиторского программного обеспечения (программные комплексы, одиночные программы, отдельные утилиты (служебные программы). Это всегда требует продолжительного времени и усилий, а иногда становится невозможно, например, из-за недостатка и у аудитора, и у эксперта знаний особенностей языка программирования конкретной программно-аппаратной системы. В этом случае аудиторы применяют разнообразные средства тестирования программного обеспечения. Методы тестовых данных используются во время аудиторской проверки путем введения данных (например, набора фактов хозяйственной жизни) в компьютерную систему хозяйствующего субъекта и сравнения полученных результатов с заранее известными. Аудитор может использовать тестовые данные со следующими целями:

тестирование конкретных средств контроля в компьютерных программах, таких как интерактивный пароль и контроль доступа к данным;

тестирование фактов хозяйственной жизни, отобранных из прежде обработанных операций или сформулированных аудитором для проверки отдельных характеристик процесса обработки, который осуществляется компьютерной системой субъекта;

тестирование фактов хозяйственной жизни, которые используются в интегрированных тестовых подсистемах, где применяется фиктивный модуль (например, отдел или должностное лицо), через который они проходят в ходе обычного цикла обработки.

В практике аудита известны следующие подходы к тестированию КИСП.

1. Проверка путем имитации учетных данных. Используя программное обеспечение предприятия-клиента, аудитор вводит в КИСП набор тестовых данных, часто намеренно содержащий некоторые «сомнительные» операции. Путем сопоставления полученных отчетных данных с заранее известными аудитору проверяется правильность проведенных в КИСП расчетов и полученных результатов. Тестовые данные специально подготавливаются аудитором в зависимости от специфики отрасли и особенностей хозяйственной деятельности конкретного предприятия. Обычно это определенные мнимые хозяйственные операции, часть которых некорректна. При этом аудитор знает, какой именно результат должна сформировать программа. Существует несколько подходов к тестированию программного обеспечения. В простейшем из них последовательность работы аудитора с тестовыми данными следующая (рис. 2.13).

Рис. 2.13. Общий подход к тестированию программного обеспечения

Комплексный подход к тестированию (Integrated test facility approach – ITF) включает как использование тестовых операций, так и создание определенных мнимых объектов аналитического учета (дебиторов, кредиторов, работников, материальных ценностей и т. п.) [31, с. 581]. Обычно в программу вводят набор данных, содержащий как реальные, так и мнимые записи. Последовательность такого тестирования приведена на рис.2.14.Аудитор может применять специально разработанные конкретные примеры тестирования алгоритмов компьютерной обработки данных. Например, для проверки правильности начисления налога на доходы физических лиц аудитор может ввести в компьютер клиента значение определенной суммы заработной платы и убедиться в правильности полученного результата.

2. Проверка с помощью специальных аудиторских программ, подготовленных аудиторской фирмой. Эта проверка осуществляется путем моделирования с программной проверкой всех возможных параметров учетного процесса. На их основе аудитор осуществляет имитационную обработку данных со структурой, аналогичной структуре реального программного обеспечения.

Рис.2.14. Последовательность осуществления комплексного подхода к тестированию КСБУПолученные исходные данные сравниваются с реальными данными; по результатам сравнения обнаруживаются отклонения, которые фиксируются в протоколе проверки, где кроме самих отклонений на основе базы знаний фиксируются законодательные нормативные акты, которые были при этом нарушены.С помощью специальных программных средств осуществляются проверка, моделирование и анализ учетных данных с целью определения их полноты, качества, правомерности и достоверности. Для этого выполняется сравнение смоделированных учетных данных с реальными данными информационной системы, а также выполняются тестирование расчетов и перерасчетов, суммирование, повторное упорядочивание и формирование отчетных данных, их сравнение с реальными данными. Кроме того, контролируется правильность восстановления данных.Эта методика тестирования предусматривает использование только реальных данных клиента, которые обрабатываются одновременно в КСБУ клиента и в программном обеспечении, которое использует аудитор. Она называется параллельным выполнением вычислений (parallel simulation) (рис.2.15)

3. Для предприятий, с которыми аудиторская фирма имеет долгосрочные договорные отношения, разрабатываются специальные аудиторские модули, которые встраиваются в имеющиеся программные средства учета, контроля и аудита.В программное обеспечение включаются дополнительные программные модули, которые позволяют контролировать необходимые параметры учетного процесса. С помощью этих модулей выполняется отбор операций, представляющих интерес с точки зрения постоянной аудиторской проверки. Избранные операции сохраняются для дальнейшего изучения аудитором. Отобранные при этом данные группируются по операциям в специальной аудиторской базе данных для дальнейшей обработки (рис.2.16).