double arrow

Методы аудита с использованием компьютеров

Таблица 7.9. Виды средств контроля КИС

Таблица 7.8. Структурные и процедурные характеристики КИС

Таблица 7.6. Факторы роста и снижения риска мошенничества и ошибок в интерактивных системах

Таблица 7.4. Классификация интерактивных компьютерных систем

Таблица 7.3. Т и п ы устройств терминала

Интерактивные компьютерные системы классифицируют по способам ввода информации в систему, способам ее обработки и времени получения результатов пользователем (табл. 7.4).

Тип системы Описание Пример
Интерактивный режим/ обработ­ка в режиме реа­льного времени Отдельные операции вво­дятся в устройстве терми­нала, проверяются и испо­льзуются для незамедлите­льного обновления связанных с ним файлов компьютера Получение наличных средств клиента, зачисляемых напря­мую на его счет
Интерактивный режим/ обработ­ка групп данных Операция вводится в устройство терминала, группируется и добавляет­ся в файл операций, вве­денных в течение периода Проводки бухгалтерских книг вводятся в файл проводок, но основной файл главной книги обновляется ежемесячно
Интерактивный режим/ обновле­ние файла мемо­рандума (и даль­нейшая обработ­ка) Сочетает интерактивный режим/ обработка в режи­ме реального времени и интерактивный режим/ об­работка групп данных Снятие денег через банкомат, когда сумма сверяется с остатком счета клиента в фай­ле меморандума и незамедли­тельно отражается на счете клиента
Интерактивный режим справок Получение справок об основных файлах, которые обновляются другими сис­темами Запрос о кредитном статусе конкретного клиента перед принятием заказа
Обработка счи­тываемых/ загру­жаемых данных в интерактивном режиме Перенос данных основного файла в интеллектуальное устройство терминала для дальнейшей обработки их пользователем Данные головного офиса по филиалу могут загружаться в устройство терминала филиа­ла и возвращаться после об­работки в головной офис

Интерактивные компьютерные системы имеют следующие ос­новные характеристики, значимые для аудитора:

• при вводе данных в интерактивном режиме они обычно подвергаются незамедлительной проверке;

• пользователи могут иметь интерактивный доступ к системе, что позволяет им выполнять различные функции;

• система может быть разработана таким образом, что она не будет предоставлять вспомогательные документы для всех

операций, введенных в систему, но эти сведения могут быть получены дополнительно;

• программисты могут иметь доступ к интерактивной системе, позволяющий им разрабатывать новые программы и модифицировать имеющиеся.

Средства внутреннего контроля интерактивных компьютерных систем подразделены на две группы: общие средства и прикладные средства. Перечень конкретных процедур по этим двум группам представлен в ПМАП 1 0 0 2 и обобщен в табл. 7.5 настоящего пособия. Влияние интерактивных компьютерных систем на систему бух­галтерского учета и сопутствующие риски зависит:

• от степени использования компьютерных систем для обработ­ки бухгалтерских приложений;

• типа и значимости обрабатываемых финансовых операций;

• характера файлов и программ, используемых в приложениях.

Таблица 7.5. Средства внутреннего контроля интерактивных компьютерных систем

Перечень средств контроля Содержание
Общие средства
Средства контроля за доступом Ограничение доступа к программам и данным
Контроль за паролями Установка и обслуживание паролей для уполномочен­ных пользователей
Контроль за совер­шенствованием и об­служиванием систем Включение в систему в ходе ее совершенствования средств контроля за прикладными программами (па­ролями, процедурами подтверждения и т.д.)
Средства контроля программирования Предотвращение или обнаружение ненадлежащих из­менений в компьютерных программах
Журналы операций Отчеты, предназначенные для создания аудиторского «следа» для каждой интерактивной операции (с отра­жением источника операции и ее элементов)
Прикладные средства
Санкционирование до начала обработки Разрешение на осуществление операции
Редактирование устройства терминала, тесты на обоснован­ность и другие тесты подтверждения Программы, ежедневно проверяющие полноту, точ­ность и обоснованность вводимых данных и результа­тов обработки
Процедуры отнесения к надлежащему перио- ДУ Обеспечение обработки операций в соответствующем отчетном периоде
Контроль файлов Процедуры, обеспечивающие обработку в интерак­тивном режиме с использованием правильных файлов данных
Контроль за основны­ми файлами Изменения в основных файлах контролируются с по­мощью процедур, данных об операциях
Сопоставление Процесс установления контроля за итоговыми значе­ниями данных, переданных для обработки через устройства терминала в интерактивном режиме, и со­поставления контрольных итогов

Факторы роста и снижения риска мошенничества и ошибок в интерактивных системах перечислены в табл. 7.6.

Интерактивные компьютерные системы могут оказывать влия­ние и на средства внутреннего контроля:

• исходные данные могут иметься не по всем вводимым опера­циям;

• результаты обработки могут быть слишком обобщенными;

• интерактивные компьютерные системы могут быть не пред­назначены для предоставления печатных отчетов, а редакти­рование отчетов может быть затруднено сообщениями на дис­плее.

Случаи снижения риска мошенничества Случаи возрастания риска и ошибок мошенничества и ошибок
Ввод данных выполняется на объекте, происхождения операции или вблизи него Устройства терминала расположены в различных помещениях субъекта
Недействительные операции исправ­ляются и повторно вводятся незамед­лительно Возможность для несанкционирован­ных пользователей модифицировать операции или сальдо, компьютерные программы, иметь дистанционный до­ступ к данным и программам
Ввод данных выполняется лицами, по-[ н и м а ю щ и м и характер операции Интерактивная обработка прервана
| Операции обрабатываются незамед­лительно в интерактивном режиме Доступ к данным и программам в ин­терактивном режиме через средства телекоммуникации

ПМАП 1002 выделяет следующие аспекты влияния интерактив­ных компьютерных систем на аудиторские процедуры:

• санкционированность, полнота и точность операций в инте­рактивном режиме;

• целостность записей иобработки в связи с интерактивным доступом к системе многих пользователей ипрограммистов;

• изменения в выполнении аудиторских процедур, включая ме­тоды аудита с использованием компьютеров.

В связи с этими факторами аудитор может выполнить специфи­ческие процедуры на всех этапах аудиторской проверки:

1) на стадии планирования - включить в аудиторскую группу профессионалов с техническими навыками; предварительно определить в процессе оценки риска влияния интерактивной системы на аудиторские процедуры;

2) одновременное с интерактивной обработкой — аудиторские процедуры могут включать проверку соответствия средств контроля за интерактивными приложениями;

3) после интерактивной обработки информации осуществляется проверка соответствия средств контроля за операциями на предмет санкционированности, полноты и точности; проверка операций по существу вместо тестов средств контроля; повторная обработка опе­раций в виде процедур по существу или на предмет соответствия.

Анализ новых интерактивных прикладных бухгалтерских про­грамм может производиться до, а не после их инсталляции. Это даст аудитору возможность проверить дополнительные функции и обес­печит достаточным временем для разработки и апробации аудитор­ских процедур до их проведения.

ПМАП 1003 «Среда КИС — системы баз данных» описывает влияние базы данных на систему бухгалтерского учета, связанную с ней систему внутреннего контроля и аудиторские процедуры.

Системы баз данных состоят из двух основных компонентов: базы данных и системы управления базой данных (СУБД).

База данных— это совокупность данных, которая используется рядом пользователей для различных целей.

Программное обеспечение, которое используется для создания, поддержания и эксплуатации базы данных, называется программным обеспечением СУБД.

Если система данных используется одним пользователем, для целей ПМАП 1003 она не считается базой данных.

Системы баз данных отличаются двумя важными характеристи­ками:

• совместным использованием данных (многими пользователя­ми и в разных программах);

• независимостью данных от прикладных программ (база дан­ных записывается один раз для использования различными программами).

Эти характеристики требуют использования словаря данных и создания подразделения администрирования данных, т.е. координа­ции базы данных группой лиц.

Словарь данных — это определенное программное средство для отслеживания местонахождения данных в базе данных; оно также служит средством хранения стандартизированной документации и определений среды базы данных в прикладных программах.

Задачи администрирования, как правило, включают следующее:

• определение структуры базы данных;

• обеспечение целостности, безопасности и полноты данных;

• координирование компьютерных операций;

• контроль за результатами деятельности системы;

• обеспечение административной поддержки;

• обеспечение существования адекватной связи между базами данных, координации их функций, непротиворечивости дан­ных в разных базах данных.

Эффективность внутреннего контроля зависит в большей степе­ни от характера задач администрирования баз данных и того, как они выполняются. Из-за совместного использования баз данных об­щие средства контроля КИС обычно имеют больше влияния на базы данных, чем прикладные средства контроля. Характеристика общих средств контроля КИС в системах баз данных представлена в табл. 7.7.

Влияние системы баз данных на систему бухгалтерского учета и связанные с ней ошибки в общем зависит:

• от степени использования баз данных в бухгалтерских про­
граммах;

• вида и значения обрабатываемых финансовых операций;

• характера баз данных, СУБД, задач администрирования;

• общих средств контроля КИС, которые особенно важны в среде баз данных.

Базы данных обеспечивают обычно большую надежность, чем их отсутствие. Однако использование систем баз данных может как повысить, так и снизить риск мошенничества и ошибок. Повыше­нию надежности данных способствуют:

• большая непротиворечивость данных;

• целостность данных, которая может повышаться путем ис­пользования процедур восстановления, редактирования и подтверждения, средств безопасности и контроля, встроен­ных в СУБД;

• другие функции СУБД, например функции генератора отче­тов (для создания отчетов-сопоставлений) и языки запросов (для выявления противоречий в данных).

Риск мошенничеств и ошибок может возрасти, если системы баз данных используются без соответствующих средств контроля.

На аудиторские процедуры в основном влияет то, в какой сте­пени данные баз используются в бухгалтерской системе. Там, где значимые бухгалтерские программы используют общую базу дан­ных, ПМАП 1003 рекомендует использовать следующие аудиторские процедуры:

Таблица 7.7. Характеристика общих средств контроля КИС в системах баз данных

Группы общих средств контроля Характеристика
Стандартный подход к разработке и поддержке прикладных программ 1. Следование упорядоченному, пошаговому под­ ходу, который должен соблюдаться всеми лицами, разрабатывающими и модифицирующими про­ граммы 2. Проведение анализа влияния новых и существу­ ющих операций на базу данных, когда необходима модификация
Право собственности на данные 1. На одного пользователя базы данных возложить ответственность за определение правил доступа и безопасности 2. Определение конкретных пользователей данных
Доступ к базе данных 1. Ограничение доступа путем использования па­ ролей (для людей, терминалов и программ) 2. Использование авторизационных таблиц
Разделение обязанностей Ответственность за выполнение различных опера­ций, необходимых для разработки, внедрения и эксплуатации базы данных делится между техни­ческим, проектным, административным персона­лом и пользователями I

1)при планировании аудита рассмотреть влияние следующих
факторов на аудиторский риск:

а) СУБД изначительных бухгалтерских прикладных программ;

б) стандартов и процедур для разработки и поддержки приклад­
ных программ, использующих базу данных;

в) должностных обязанностей, стандартов и процедур в отноше­
нии баз данных;

г) процедур для обеспечения целостности, безопасности и пол­
ноты данных;

д) наличия средств аудита в СУБД;

2) проверить, как в системе баз данных используются средства контроля, и затем решить, полагаться ли на эти средства контроля и какие тесты на соответствие провести;

3) когда аудитор решил провести тесты на соответствие, ауди­торские процедуры могут включать:

а) генерирование тестовых данных;

б) обеспечение аудиторского «следа» операций;

в) проверку целостности баз данных;

г) обеспечение доступа к базе данных или копии ее нужных
частей;

д) получение информации, необходимой для аудита;

4) проверить, поможет ли достижению цели проверки выполне­ние дополнительной проверки по существу всех значительных бух­галтерских программ, использующих базу данных;

5) может оказаться эффективнее проверить новые бухгалтерские программы не после, а до их установки.

Среда компьютерных информационных систем (КИС) сущест­вует, если субъект применяет компьютер любой модели или размера для обработки финансовой информации, значимой для аудита, не­зависимо оттого, используется ли компьютер данным субъектом или третьим лицом.

Аспекты применения КИС Положительные характеристики КИС Отрицательные характеристики КИС
Последователь­ность выполнения функций Более надежная из-за запрограммированная по­следовательность действий Вероятность неправильной обработки при недостаточ­ности тестирования про­граммы
Запрограммиро­ванные процедуры контроля Позволяет включить проце­дуры внутреннего контроля в компьютерные программы
Единовременное обновление данных в различных компь­ютерных файлах и базах данных Автоматическое обновление данных во всей системе при одноразовом введении ин­формации Ошибочная проводка может привести к ошибкам в раз­личных финансовых счетах
Операции, генери­руемые системами Некоторые операции могут инициироваться самой КИС без входящих документов и разрешений (на основании алгоритмов, заложенных в программу)
Уязвимость средств хранения данных и программ Портативные носители ин­формации могут быть укра­дены, утеряны, преднаме­ренно или случайно уничто­жены


Признак сравнения Общие средства контроля Прикладные средства контроля
Цель Создание структуры об­щего контроля за дея­тельностью КИС и обес­печение достаточной уверенности в достиже­нии основных целей внутреннего контроля Установление конкретных процедур контроля в отношении прикладных учетных программ для обеспечения достаточной уверенности в том, что все операции санкционированы, за­регистрированы и обработаны пол­ностью, точно и своевременно
Перечень средств контроля Организационный и управленческий контроль Контроль за разработкой и эксплуатацией систе­мы прикладных про­грамм Контроль за работой компьютеров Контроль за программ­ным обеспечением Контроль за вводом дан­ных и программами Контроль за вводом 1 Контроль за обработкой и компью­терными файлами данных Контроль за результатами
Дополните­льные сведе­ния Другие меры защиты КИС: • внесистемное ре­зервное копирование данных и компьютер­ных программ; • процедуры восста­новления на случай кражи, утери, уничто­жения; • обеспечение обра­ботки операций вне системы в случае масштабного сбоя Обзор прикладных средств контроля, т.е. аудитор может провести тести­рование следующих средств контроля: • контроль, осуществляемый поль­зователем вручную; • контроль над входными данными (с помощью сочетания компью­терных и ручных методов); • программируемые процедуры контроля (с использованием компьютеризированных методов аудита: тестовых данных, повтор­ ной обработки данных по опера­циям, проверки кодирования при­кладных программ)

ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ними вопросы» подготовлено как дополнение к МСА 400, но ПМАП 1008 не является частью МСА. В соответствии с данным ПМАП, в среде КИС субъект должен оп­ределить:

а) организационную структуру, имеющую следующие характе­ристики: концентрацию функций и знаний (сокращение численно­сти обслуживающего персонала и соответственно опасность несанк­ционированного изменения системы), концентрацию программ и
данных (данные могут существовать только в машиночитаемом виде
на одном или нескольких компьютерах, что может увеличить веро­ятность несанкционированного доступа);

б) процедуры управления КИС.

Характер обработки данных в КИС может иметь свою специфи­ку при отсутствии средств внутреннего контроля:

• отсутствие первичных документов;

• отсутствие визуального следа операции;

• отсутствие визуального результата;

• свободный доступ к данным икомпьютерным программам. Перечисленное приводит к снижению надежности данных КИС. Совершенствование КИС влияет на их структурные и процедур­ные характеристика, отличающие от тех, которые присущи ручной обработке данных, что отражено в табл. 7.8.

Внутренний контроль за компьютерной обработкой данных включает два вида процедур по способу их выполнения:

1) процедуры, проводимые с помощью ручной обработки;

2) процедуры, встроенные в компьютерные программы.
Процедуры внутреннего контроля подразделяются также на об­щие и прикладные (табл. 7.9).

Недостатки общих средств контроля могут помешать тестирова­нию определенных прикладных средств контроля КИС. Однако ис­пользуемые пользователем ручные процедуры могут быть эффектив­ным средством контроля на уровне прикладных программ


Сейчас читают про: