2015-05-30
2204
1. Организация аудита в условиях применения компьютерной обработки
информации на проверяемом предприятии
Применение компьютерных технологий обработки информации о хозяйственных операциях оказывает определенное влияние на организацию систем бухгалтерского учета и внутреннего контроля на проверяемом предприятии. В условиях компьютерной обработки данных (КОД) для оформления хозяйственных операций наряду с традиционными первичными документами используются первичные учетные документы на машиночитаемом носителе. Различные нормативно-справочные показатели могут быть проверены по данным, хранящимся как в памяти компьютеpa, так и на машиночитаемых носителях информации. На практике вместе с традиционными ручными формами счетоводства широко применяются формы учета, основанные на использовании стандартных или оригинальных компьютерных программ обработки учетной информации. Это позволяет реализовать прогрессивные методы обработки данных, формирования выходной информации и обеспечения ее достоверности, совмещение синтетического учета с аналитическим и систематического с хронологическим, повысить оперативность и удобства использования учетной и отчетной информации.
|
|
|
Прикладные программы накапливают статистическую информацию о работе компьютера, которую можно использовать в целях контроля фактического хода обработки операций бухгалтерского учета.
Компьютерная обработка данных предполагает использование одних и тех же команд при выполнении идентичных операций бухгалтерского учета, что практически исключает появление случайных ошибок, обыкновенно присущих ручной обработке. Напротив, программные ошибки (или другие систематические ошибки в аппаратных либо программных средствах) приводят к неправильной обработке всех идентичных операций при одинаковых условиях.
Компьютерная система может осуществлять множество процедур внутреннего контроля, которые в некомпьютеризированных системах выполняют разные специалисты. Такая ситуация позволяет специалистам, имеющим доступ к компьютеру, вмешиваться в чужие функции. В конечном счете это требует введения дополнительных мер для поддержания контроля на необходимом уровне (например, организация системы паролей), который в некомпьютеризированных системах достигается простым разделением функций.
По сравнению с некомпьютеризированными системами бухгалтерского учета компьютерные системы более доступны для скрытого изменения данных и прямого или косвенного получения информации об активах. В то же время чем меньше человек вмешивается в машинную обработку операций учета, тем ниже возможность выявления ошибок и неточностей. Нередко ошибки, допущенные при разработке или корректировке прикладных программ, остаются незамеченными на протяжении длительного периода времени. Компьютерная система может выполнять некоторые операции автоматически, причем их санкционирование не обязательно документируется, как это делается в некомпьютеризированных системах бухгалтерского учета. Сам факт принятия такой системы в эксплуатацию администрацией предполагает в неявном виде наличие соответствующих санкций.
|
|
|
Применение на предприятии компьютерных систем обработки учетно-экономической информации оказывает определенной влияние и на проведение внешнего аудита. Это влияние проявляется в изменении планирования, изучения систем внутреннего контроля и бухгалтерского учета на предприятии и методов сбора аудиторских доказательств.
При планировании аудиторской проверки следует учитывать степень использования компьютерной технологии для решения каждой из задач по обработке учетной информации, поскольку это может потребовать от аудиторов специальных знаний для понимания сущности выполняемых операций. Оценивая сложность компьютерной обработки данных, аудиторы должны сравнить свою подготовку и опыт с используемыми на предприятии методами обработки данных. Такие методы могут быть достаточно сложными и об уровне их сложности могут свидетельствовать используемые на предприятии технические средства, программное обеспечение. степень интеграции компьютерных систем. В этой связи аудиторам желательно иметь представление о техническом, программном. математическом и других видах обеспечения компьютерной техники, а также системах обработки экономической информации. При отсутствии таких знании они должны обратиться за помощью к эксперту в области информационных технологий.
Использование работы эксперта отнюдь не означает, что аудиторская организация может разделить с кем-либо ответственность за выражение мнения о бухгалтерской отчетности проверяемого предприятия. Эксперт оценивает только систему обработки информации, в то время как аудиторская организация - достоверность формируемой с помощью этой системы отчетности. Поэтому аудиторы планируют, регулируют и контролируют работу эксперта, сохраняя главенствующее положение. Задачей эксперта является оказание аудиторам помощи при проведении: оценки надежности системы КОД, законности ее приобретения, проверки алгоритмов расчетов, формирования необходимых регистров синтетического и аналитического учета и др.
Существенное влияние на планирование работы аудиторов оказывает уровень централизации процесса компьютерной обработки учетных данных. Высокий уровень централизации (создание локальных вычислительных сетей) позволяет аудиторам получить основную информацию для проверки из центрального компьютера. При децентрализованной обработке данных аудиторам для получения всей необходимой информации может потребоваться обследовать все или большую часть используемых в учетном процессе компьютеров.
На этапе планирования аудиторской организации необходимо договориться с руководством предприятия о предоставлении интересующей ее бухгалтерской информации на бумажных носителях или об обеспечении доступа к компьютерной базе данных. В последнем случае нужно так спланировать время проверки, чтобы требуемая информация была получена оперативно и без ущерба для организации учетного процесса на предприятии.
В процессе изучения системы внутреннего контроля аудиторы дают общую оценку организационной структуре, принятой на предприятии системе распределения прав и обязанностей, методам, используемым администрацией для контроля системы бухгалтерского учета, включая внутренний аудит. Компьютерная обработка данных оказывает влияние на каждый из этих элементов среды контроля. Понимание организационной структуры предприятия предполагает определение места компьютерной системы в ней. При этом описываются компьютерные ресурсы предприятия, включая аппаратные средства; дается оценка организации компьютерной системы в части деятельности персонала, работающего с техникой и его взаимодействия с персоналом других подразделений. Описание компьютерных ресурсов позволяет проанализировать работу компьютерной системы, выявить точки доступа к компьютерным ресурсам, используемым для обработки бухгалтерской информации, и раскрыть политику администрации предприятия в области контроля доступа к компьютерным ресурсам.
|
|
|
Составной частью этапа изучения систем внутреннего контроля является анализ процедур контроля компьютерной системы, применяемых администрацией. К таким процедурам относятся: ограничение доступа к закрытой информации; организация доступа к финансовым и другим отчетам, предоставляемым администрации; наличие стандартов по разработке компьютерных систем и степень их использования и др. При изучении процедур контроля, применяемых администрацией, дается оценка документации по разработке системы компьютеризации и степени ее использования, определяется наличие и качество процедур контроля.
Изучение компьютерной системы бухгалтерского учета предусматривает рассмотрение предоставленного администрацией описания состава и структуры учетно-аналитических задач, ознакомление с положением (руководством) по ведению бухгалтерского учета в условиях компьютерной обработки данных, анализ инструкций и методических указаний для пользователей, структуры файлов, входной и выходной информации, блок-схем решения задач. Это позволяет сформировать представление об объемах обрабатываемой информации, о методах управления компьютерными ресурсами предприятия и распределении приоритетов их использования, а так же об уровне квалификации бухгалтеров, осуществляющих обработку учетных данных с помощью компьютеров.
|
|
|
Оценка риска неэффективности контроля в компьютерной системе включает следующие действия аудиторов:
- определение конкретных целей контроля на основе анализа различных видов ошибок бухгалтерской информации;
- установление мест возможного появления ошибок в процессе осуществления компьютерных процедур;
- определение общих процедур контроля, обеспечивающих достижение его конкретных целей;
- установление прикладных программных процедур контроля, которые необходимы для обеспечения эффективности выполнения общих процедур;
- оценку процедур контроля с целью определения обеспечиваемого ими уровня риска неэффективности.
Определение конкретных целей контроля в компьютерных и в некомпьютеризированных системах обработки данных осуществляется одинаково. В то же время процесс установления мест возможного появления ошибок в компьютерных системах отличается от аналогичного процесса в некомпьютеризированных системах. Так в компьютерных системах ошибки могут появиться: при подготовке исходных данных, при немашинной их обработке, при преобразовании исходных данных в машиночитаемую форму, при идентификации входных файлов для использования в обработке, при изменении файлов постоянной информации, при генерировании выходных отчетов или файлов, при исправлении ошибок, обнаруженных в результате процедур контроля и др.
После определения мест возможного появления ошибок с ними увязываются конкретные цели контроля. Например, одна из ошибок может привести к выставлению счетов покупателям с неверными ценами. В этом случае цель контроля, соответствующую данному типу ошибки, можно сформулировать следующим образом: во время обработки счетов необходимо обеспечить использование достоверной информации о ценах.
В компьютерных системах бухгалтерского учета процедуры контроля могут отличаться по ряду характеристик от аналогичных процедур в некомпьютеризированных системах контроля. Например, акцепт платежных документов фиксируется визой руководителя на этих документах. В компьютерных системах подобное признание может иметь вид пароля, который дает разрешение на выполнение операции, присваивая ей специальный код. Пароль обеспечивает доступ к программным средствам, которые инициируют выполнение определенного вида операций или изменение файлов постоянной информации.
Общие процедуры контроля направлены на проверку правил системы КОД, надежности ее функционирования и включают следующие:
- организационный и управленческий контроль, предусматривающий создание инструкций и правил для различных контрольных функций и системы разделения полномочий при их выполнении, например, правил ввода информации;
- контроль за поддержанием и развитием системы КОД, состоящий в проверке того, что все изменения, вносимые в систему, и операции с ней надлежащим образом разрешены. Применение такого контроля необходимо в случаях тестирования, внесения изменений, внедрения новых систем КОД, предоставления доступа к их документации;
- операционный контроль, предполагающий проверку того, что система КОД выполняет только авторизованные операции, доступ к ней имеют только лица, обладающие на это разрешением, и ошибки в обработке данных определяются и исправляются;
- контроль за программным обеспечением, подтверждающий использование только разрешенного и эффективного программного обеспечения. С этой целью анализируется система визирования, тестирования, проверки, внедрения и документирования новых систем и модификаций уже действующих, а также ограничения на доступ к документации о них только лицам, имеющим специальное разрешение;
- контроль за вводом и обработкой данных, заключающийся в проверке того, что существует система предварительного визирования операций до их ввода в систему КОД, и ввод информации возможен только теми лицами, которые имеют на это соответствующие разрешения;
- другие приемы общего контроля включают анализ правил копирования программ и баз данных в специальные архивы, процедур восстановления информации или извлечения ее из архивов при утрате данных.
Общие средства контроля за информационной системой обычно включают средства контроля в отношении:
операций информационного центра и компьютерной сети;
приобретения программного обеспечения для операционной системы, его изменения и обслуживания;
защиты от несанкционированного доступа;
приобретения, развития и обслуживания прикладных программ информационных систем.
Такие средства контроля применимы к универсальным компьютерам, мини-компьютерам и вычислительным машинам конечных пользователей в локальных сетях. Примерами таких общих средств контроля являются:
средства контроля за изменением программного обеспечения;
средства контроля, которые ограничивают доступ к программному обеспечению или базам данных;
средства контроля за реализацией новых версий прикладных пакетов программного обеспечения;
средства контроля за программным обеспечением систем, которые ограничивают доступ к сервисным программам системы или обеспечивают фиксацию того, кто, когда и какие изменения в данную систему внес.
Прикладные средства контроля применяются к обработке отдельных видов информации. Эти средства контроля помогают удостовериться, что осуществленные хозяйственные операции были санкционированы, в полном объеме и точно зафиксированы и обработаны.
Примерами прикладных средств контроля являются:
проверка арифметической точности бухгалтерских записей;
ведение учета и обзорная проверка счетов, составление оборотных ведомостей;
такие автоматизированные процедуры контроля, как тестирование компьютером вводимых данных или контроль сквозной нумерации с последующей выдачей персоналу, выполняющему учетные функции, сообщений или справок о выявленных несоответствиях, что предполагает исправление таких ошибок в момент ввода либо впоследствии;
К проверочным процедурам относят: контроль за вводом информации; контроль за обработкой и хранением информации; контроль за выводом информации.
Для обнаружения ошибок, допущенных при вводе данных, могут быть использованы различные программные средства редактирования или проверки:
- тесты контроля правильности размещения символов предназначены для проверки полей входных данных и определения правильности размещения цифр в числовых полях, а также букв в символьных полях;
- тесты контроля правильности знака обеспечивают проверку данных по полям на соответствие знакам плюс и минус;
- тесты контроля пропусков позволяют проверить поля с целью выявления пустых мест;
- тесты контроля последовательности служат для проверки документов по порядковым номерам, когда последовательность их размещения важна для обработки, например, в пакетном режиме. Эта процедура помогает также обнаружить недостающие документы в пронумерованных рядах;
- тесты контроля по диапазону значений и разумности результатов - автоматизированные процедуры, которые показывают, выходят ли значения данных за установленные пределы. Например, программа расчета заработной платы может включать в себя тест контроля по диапазону, который метит и отбрасывает записи, которые превышают норматив рабочего времени в месяц.
Контроль за обработкой и хранением информации дает определенные гарантии того, что данные будут обработаны без пропусков и повторов операций. Такой контроль может быть осуществлен в процессе выполнения следующих контрольных процедур: последовательное контрольное суммирование, составление отчетов о контрольных суммах.
Последовательное контрольное суммирование обеспечивает проверку данных при их перемещении из одного подразделения в другое или от одной программной обработки к другой. Суммирование называется последовательным, поскольку оно производится над одними и теми же данными после каждого этапа обработки. Суммировать можно количества записей, платежи или весь массив данных. Полученные суммы передаются на следующий этап для сравнения с его контрольными суммами.
В процессе составления отчетов о контрольных суммах все контрольные суммы количества записей, платежей или всего массива данных, получаемые в процессе обработки, выводятся на печать в виде отчета. Затем они сверяются с контрольными суммами исходных данных либо результатами предыдущих стадий обработки. Например, контрольная сумма сальдо дебиторской задолженности различных покупателей в предыдущей версии массива данных (на предыдущую дату) плюс контрольная сумма по объему продаж в кредит в текущей версии массива данных (в текущем периоде) должна быть равна контрольной сумме сальдо в конце текущего процесса обработки (на текущую дату).
Контроль за выводом информации - это завершающий этап проверки. правильности результатов компьютерной обработки. Процедуры контроля на этом этапе обеспечивают представление отчетности и доступ к файлам только уполномоченным липам. Для этого следует вести список абонентов, которые получают копии отчетов. Тиражирование отчетов должно быть строго ограниченным.
Оценка аудиторами применяемых на предприятии процедур контроля с целью определения обеспечиваемого ими уровня риска неэффективности во многом аналогична опенке, осуществляемой в некомпьютеризированных системах обработки данных. В соответствии с правилом (стандартом) аудиторской деятельности «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» в процессе проверки аудиторская организация должна выяснить, насколько существенно влияние общего контроля за компьютерной и информационной системами на их применение в бухгалтерском учете предприятия. Если процедуры общего контроля прямо относятся к применению системы КОД в бухгалтерском учете, то целесообразно проверить их, прежде чем рассматривать специальный контроль, если нет, то достаточно ограничиться оценкой общего контроля. Если общий контроль эффективен, то аудиторская организация переходит к тестированию специального контроля за системой КОД бухгалтерского учета. Если по мнению аудиторов общий контроль неэффективен, то риск необнаружения ошибок на уровне специального контроля за применением системы КОД в бухгалтерском учете возрастает до неприемлемого уровня. Аудиторская организация в такой ситуации обязана провести тестирование процедур общего контроля, кроме случая, когда проверяемое предприятие обладает надежным ручным контролем пользователей за системой КОД.
Если специальный контроль за применением системы КОД в бухгалтерском учете систематически ведется персоналом проверяемого предприятия, аудиторская организация может ограничить тестирование такого контроля проведением следующих процедур: тестирование ручного контроля, проводимого персоналом предприятия; тестирование контроля за выводом информации; тестирование программного обеспечения.
Если персонал предприятия регулярно и с должной тщательностью проверяет, что получаемая из системы КОД информация авторизована, полна, арифметически верна, то аудиторская организация вправе ограничить проверку системы КОД анализом выполнения персоналом предприятия контрольных процедур.
Помимо проверки ручного контроля, осуществляемого персоналом предприятия, аудиторы могут тестировать контроль за выводом информации, которая может представляться как на бумажном, так и на машиночитаемом носителях. Если аудиты проверяют контроль путем изучения информации, представленной на бумажном носителе, они проводят свои тесты, как правило, вручную. Если изучается контроль предприятия за информацией в электронной форме, то аудиторской организации для проверки целесообразно применять вспомогательные компьютерные программы проверки.
В случае, если тестирование ручного контроля или контроля за выводом информации невозможно или неэффективно, аудиторы могут проверить контроль за системой КОД. также используя специальные компьютерные программы. Такие программы должны пересчитывать данные, полученные системой КОД предприятия, повторять процесс их обработки или вводить заведомо неверную информацию и определять, насколько надежно система КОД отвергает такую информацию. Аудиторы могут также проверить программный код или проводить другие процедуры контроля за работой программ КОД.
В соответствии с правилом (стандартом) аудиторской деятельности «Аудит в условиях компьютерной обработки данных» источниками получения аудиторских доказательств при проведении аудиторских процедур являются данные, подготовленные в системе КОД предприятия в виде таблиц, ведомостей, регистров бухгалтерского учета.Их копии с соответствующими пометками могут использоваться аудиторами в качестве рабочей документации. Представление данных о хозяйственных операциях, предварительно введенных в память компьютера, на бумажном носителе позволяет аудиторам документально удостовериться в соответствии фактов хозяйственной жизни предприятия данным первичных документов. В случае работы аудиторов непосредственно в среде КОД клиента видимые следы сбора аудиторских доказательств будут отсутствовать. Однако собранные аудиторами в ходе проверки доказательства должны в обязательном порядке документироваться. При этом рабочие документы могут создаваться и храниться как в традиционном виде на бумажных носителях, так и в виде аудиторских файлов на машинных носителях.
