Читайте также:
|
| № п/п | Состояние ситуаций | Экономический субъект | Аудиторская организация |
| Наличие компьютеров | + | - | |
| Наличие компьютеров | - | + | |
| Наличие компьютеров | + | + |
Примечание. «+» - компьютеры имеются в наличии; «-» - компьютеры отсутствуют.
Однако само по себе наличие персональных компьютеров не является основным компонентом компьютерного аудита. Важно, чтобы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления. В первом стандарте для этого введено понятие «компьютерная обработка данных (КОД)».
Рассмотрим основные положения трех российских правил (стандартов), имеющих отношение к организации компьютерного аудита.
Правило (стандарт) аудиторской деятельности «Аудит в условиях компьютерной обработки данных» включает шесть основных рубрик.
В рубрике «Общие положения» определены основные цели и задачи стандарта. Основная цель - определение действий аудитора в условиях КОД.
Задачами правила (стандарта) являются:
Требования данного правила обязательны, если аудитор дает официальное аудиторское заключение, в остальных случаях они носят рекомендательный характер.
В рубрике «Общие требования к проведению аудита в условиях компьютерной обработки данных (КОД)» прежде всего дается определение компьютерной обработки данных (КОД), под которой понимается обработка с помощью компьютерной техники значительных объемов экономической информации. При этом у субъекта могут использоваться собственные компьютеры или компьютерную обработку по договору ведет третья сторона. КОД может охватывать все аспекты хозяйственной деятельности или отдельные участки учета.
При проведении аудита в среде КОД сохраняются основные элементы методики аудита, т.е. методика проверки общих документов и разделов бухгалтерского учета.
Для проверки хозяйственных операций наряду с учетными документами используются данные на машиночитаемых носителях: классификаторы, справочники, нормативные показатели, исходные данные, производные показатели.
В процессе аудита важно ориентироваться на этические нормы и не принуждать экономический субъект к применению пакетов программ, которые он не использует. Аудитор может давать только рекомендации такого рода, если по договору эти вопросы включены в оказываемые услуги.
В рубрике «Компетентность аудитора в вопросах КОД и использование работы эксперта» отмечено, что аудитор должен быть способен определить, какое влияние на организацию, планирование и проведение аудита оказывают условия КОД. Аудитор должен иметь общее представление о системе КОД, чтобы планировать, регламентировать и контролировать работу эксперта.
Аудиторской организации целесообразно иметь постоянно расширяемую библиотеку наиболее распространенных систем КОД. Эксперт отвечает за оценку системы КОД, аудитор имеет главенствующее положение и несет ответственность за аудиторское заключение о достоверности отчетности, формируемой в среде КОД.
Основной задачей эксперта является оказание помощи аудитору при проведении проверки. При этом он может выполнять такие виды работ, как: оценка надежности КОД; проверка лицензионной чистоты программных средств; проверка алгоритмов расчетов; формирование в среде КОД необходимых бухгалтеру регистров.
Конкретные вопросы, в отношении которых аудитор ожидает получить заключение и помощь эксперта, должны быть указаны в договоре в соответствии с правилом (стандартом) «Использование работы эксперта».
В рубрике «Действия аудитора в среде КОД» приведены основные направления деятельности аудитора. Отмечено, что в аудиторских документах необходимо отражать существенные аспекты организации обработки информации: организационную форму (отдельные АРМ, единая система, изолированный вычислительный центр, сторонняя организация, обрабатывающая информацию по договору); форма ведения бухгалтерского учета; разделы и участки учета, охваченные автоматизацией; средства обмена информацией между разделами учета; средства хранения и архивирования данных.
Необходимо изучить обеспечивающие компоненты КОД: технические; программные (авторы программ, авторский надзор, методы обновления, наличие лицензий); технологические (рекомендуется оформлять в виде схемы, состоящей из отдельных модулей), а также оценить гибкость настройки КОД при изменениях хозяйственного и налогового законодательства, изменении внешней отчетности, расширении функций КОД.
В плане аудита должны быть отражены следующие вопросы: использование КОД при проведении аудиторских процедур (состав необходимых для аудита регистров, получаемых в среде КОД); описание вопросов, выделенных для оценки экспертом; дата начала аудиторской проверки (она должна соответствовать дате представления аудитору данных в согласованном с клиентом виде).
Следует иметь в виду, что наличие системы КОД может повышать или снижать аудиторский риск.
Факторы, повышающие аудиторский риск: децентрализация системы КОД; географическая разбросанность системы КОД; отсутствие внутреннего контроля; отсутствие мер по ограничению несанкционированного доступа к системе КОД.
Факторы, снижающие аудиторский риск: наличие лицензии на используемые ППП; наличие у аудитора средств тестирования программных продуктов клиента; существование системы контроля используемого программного обеспечения; централизованная информационная политика, определяемая руководством; единая система КОД, используемая в разных подразделениях; наличие единого плана развития системы КОД.
Аудиторский риск зависит от качества организации внутреннего контроля. В свою очередь, качество внутреннего контроля определяют: контроль подготовки данных; предотвращение ошибок и фальсификаций во время работы системы КОД; контроль за данными нормативно-справочного характера; хорошая координация и взаимодействие между пользователями системы КОД и службой информатизации.
Необходимо оценить соответствие применяемых алгоритмов в системе КОД принятой системе учета: соответствие регистров учета, формируемых системой КОД, данным первичного учета; исключение несанкционированных изменений программного обеспечения; документирование, согласование, проверка разработчиком всех изменений программного продукта.
В условиях КОД повышаются эффективность и достоверность такой аудиторной процедуры, как проверка арифметических расчетов (одноразовый тест).
Аудитор должен оценить при анализе возможностей системы КОД: соответствие применяемой формы учета используемой системе обработки данных; соответствие применяемых алгоритмов действующему законодательству и возможности их изменения при изменении условий; способ организации, хранения, обновления данных; обеспечение контроля ввода данных; возможность настройки внешней отчетности; возможность вывода «на печать» данных о хозяйственных операциях; возможности КОД по вводу, корректировке и сохранности информации.
Аудитор должен убедиться в том, что: внутримашинная информационная база обеспечивает сохранность информации, ее архивирование, простоту доступа, кодирование, декодирование, ограничение несанкционированного доступа к ней; актуальность данных обеспечивается регламентированием источников и потребителей информации, периодичностью и условиями ее обновления и использования.
В рубрике «Аудиторские доказательства и документирование в условиях КОД» отмечается, что, собирая аудиторские доказательства, аудитор должен следовать требованиям правила (стандарта) «Аудиторские доказательства». Специфика аудиторских доказательств, полученных в среде КОД, состоит в следующем: источником являются данные, полученные в среде КОД (таблицы, ведомости, регистры); рабочие документы аудитора могут формироваться аудитором в среде КОД самостоятельно; рабочие документы аудитора могут храниться в аудиторской фирме в виде файлов на машиночитаемых носителях; в соответствии с правилом (стандартом) аудиторская фирма должна обеспечить сохранность информации на машинных носителях, их оформление и сдачу в архив; систему учета архивируемых данных аудиторская фирма разрабатывает самостоятельно.
В рубрике «Процедуры аудита в условиях КОД» констатируется, что аудит может проводиться с использованием машиноориентированных процедур (с применением специальных программных средств аудитора). Аудитор должен располагать контрольными примерами для тестирования алгоритмов, заложенных в систему КОД.
Аудиторские процедуры могут проводиться в отношении копии данных клиента в том случае, если есть достаточная уверенность в соответствии копии оригиналу.
Обрабатываемой информацией могут служить файлы, полученные аудитором от третьего лица, ведущего по договору обработку информации для экономического субъекта.
Правило (стандарт) аудиторской деятельности «Проведение аудита с помощью компьютеров» включает восемь разделов.
В рубрике «Общие положения» отражены цель и задачи стандарта. Целью стандарта является определение особенностей проведения аудита с использованием компьютеров. К основным задачам относятся:
Иными словами, задачи определяют особенности организации соответствующих процедур и операций при проведении аудита, если используются компьютеры. Это расширяет традиционные подходы и методы, содержащиеся в других правилах (стандартах).
В рубрике «Общие требования по применению компьютеров при проведении аудита» речь идет об общих положениях по применению ПК при проведении аудита.
Отмечено, что сохраняются цель и основные элементы методологии аудита, подчеркивается, что аудитор может применять компьютеры и для аудита тех организаций, где учет ведется вручную.
В рубрике «Основные требования к информационному, программному и техническому обеспечению применения компьютеров в аудите» сформулированы основные требования к наиболее важным компонентам информационных технологий. Дано понятие информационного обеспечения, его разделение на данные на бумажных носителях и базу данных, приведены рекомендации по работе с базой данных, основные требования к программным средствам, применяемым аудиторской организацией. Эти рекомендации могут быть использованы и организациями-разработчиками программных средств для аудиторских организаций.
В рубрике «Основные требования, предъявляемые к экспертам и (или) специалистам аудиторской организации» отмечается, что проведение аудита с применением компьютеров требует, чтобы сотрудники аудиторской организации обладали необходимыми знаниями и опытом работы в этой области. В необходимых случаях можно (и целесообразно) привлекать специально подготовленных сотрудников (специалистов в области информационных и компьютерных технологий) аудиторской фирмы, специалистов из других организаций или специальные организации. В этом разделе приведены основные требования к таким сотрудникам, а также отмечено, что данный стандарт связан со стандартом «Использование работы эксперта».
Аналогичный раздел (рубрика) имеется и в правиле (стандарте) «Аудит в условиях компьютерной обработки данных». Это подчеркивает общность этих двух правил (стандартов): в обоих случаях для организации компьютерного аудита целесообразно использовать специалистов (экспертов).
Рубрика «Особенности планирования аудита с применением компьютеров» содержит положения по особенностям планирования в сравнении с традиционным аудитом. Перечислены факторы, которые важно учесть при компьютерном аудите, прежде всего эффективность использования компьютеров при проведении аудита, уровень системы КОД экономического субъекта, снижение (увеличение) аудиторского риска, а также перечень аудиторских процедур, которые будут выполняться с помощью компьютеров.
В стандарте рекомендуется обратить особое внимание на КОД клиента, чтобы использовать особенности его организации при проведении аудита.
В рубрике «Аудиторские доказательства и документирование в условиях применения аудиторской организацией компьютеров» подчеркнуто, что и при компьютерном аудите должны использоваться аудиторские доказательства, определяемые основным правилом (стандартом) «Аудиторские доказательства». Отмечены особенности использования аудиторских доказательств и документирования при проведении компьютерного аудита. Так, могут использоваться компьютерные файлы, рабочие таблицы, полученные на ПК, фотокопии документов и др. Кроме того, в рубрике имеются рекомендации по разработке в аудиторских фирмах внутрифирменных стандартов, регламентирующих применение компьютеров при проведении аудита. Это является перспективным направлением для аудиторских фирм, хотя в настоящее время почти не разработанным.
Рубрика «Процедуры аудита с применением компьютеров» посвящена конкретным рекомендациям по организации аудиторских процедур с использованием компьютеров. К ним относятся: тестирование операций и остатков по счетам; аналитические процедуры; тестирование базы данных экономического субъекта; тестирование информационного, программного и технического обеспечения проверяемого экономического субъекта.
В заключении раздела выделены процедуры, эффективность проведения которых повышается при использовании компьютеров. К ним относятся: проверка арифметических расчетов, составление альтернативного баланса; применение аналитических процедур.
Очевидно, можно рекомендовать еще одну процедуру - использование выборочного метода в аудите.
В рубрике «Использование компьютеров при аудиторской проверке субъектов малого предпринимательства (малых экономических субъектов)» отмечены особенности малых экономических субъектов, которые необходимо принимать во внимание аудитором при компьютерном аудите.
Подчеркивается, что доверие аудитора к системе внутреннего контроля для малых экономических субъектов должно быть ниже, чем для средних и крупных предприятий. Это свидетельствует о том, что необходимо полагаться на аудиторские процедуры по существу.
В заключение отметим, что в стандарте регламентировано использование компьютера как такового (нет специальных ссылок на типы и виды компьютеров).
Правило (стандарт) аудиторской деятельности «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» дополняет стандарты аудиторской деятельности «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита», «Существенность в аудите», а также рассмотренные стандарты по компьютерному аудиту. Эти дополнения приведены в табл. 1.4.
Нетрудно заметить, что комментируемый стандарт направлен как на расширение сущности подходов и методов, приведенных в стандартах (п. 1 и п. 2 табл. 1.4), так и на уточнение и дополнение рекомендаций по организации компьютерного аудита (п. 3 и п. 4 табл. 1.4).
Таблица 1.4
Взаимосвязь правил (стандартов)
| № п/п | Наименование стандарта | Дополняет стандарты в части |
| «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита» | 1. Изучения системы внутреннего контроля в условиях КОД | |
| 2. Проверки надежности системы внутреннего контроля за системой КОД | ||
| «Существенность в аудите» | 1. Вероятности появления новых рисков в системе внутреннего контроля и бухгалтерского учета | |
| «Аудит в условиях компьютерной обработки данных» | 1. Применения специальных средств контроля информации, функционирующей в системе внутреннего контроля и бухгалтерского учета экономического субъекта | |
| «Проведение аудита с применением компьютеров» | 1. Применения аудитором новых средств и методов контроля проверяемой информации экономического субъекта |
Стандарт включает четыре рубрики.
В рубрике «Общие положения» рассмотрены цель и задачи стандарта. Цель правила (стандарта) заключается в определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем компьютерной обработки данных экономического субъекта. В соответствии с основной целью задачи стандарта заключаются в описании: дополнительных рисков, которые могут возникнуть при использовании КОД; особенностей системы внутреннего контроля в условиях КОД; процедур проверки надежности внутреннего контроля за системой КОД.
В рубрике «Риски в системе компьютерной обработки данных» отмечено, что использование компьютеров существенно влияет на организационную структуру экономического субъекта, что может привести к возникновению новых рисков в системе бухгалтерского учета и внутреннего контроля. Эти риски связаны с концентрацией функций управления и концентрацией данных и программ для их обработки. Риски, связанные с концентрацией функций управления, приводят к тому, что может быть утрачено эффективное функционирование системы учета и контроля.
Риски, связанные с концентрацией данных и программного обеспечения, приводят к возможности утери информации и несанкционированного доступа к ней. Кроме того, появляются риски: отсутствия первичных документов; отсутствия возможности наблюдения за разноской первичных учетных данных по регистрам, их закрытием и составлением отчетности; отсутствия регистров; доступа к базе данных несанкционированных пользователей.
В этой же рубрике приводятся преимущества и недостатки ведения учета и внутреннего контроля в среде КОД и рекомендации по улучшению качества аудиторских проверок. Затронут и такой важный аспект, как ошибки ввода, возникающие по вине систем автоматизации учета (пакетов прикладных программ), ошибки автоматизации формирования бухгалтерских записей (проводок), ошибки хранения баз данных и др.
Рубрика «Система внутреннего контроля в условиях КОД» посвящена вопросам внутреннего контроля в условиях КОД. Он должен сочетать как обычные методы контроля, так и специальные средства контроля. Средства контроля за системой КОД можно разделить на общие и специальные. К общим относятся: организационный и управленческий контроль (создание инструкций, внутрифирменных стандартов); контроль за поддержанием и развитием системы КОД; операционный контроль; контроль за программным обеспечением; контроль за вводом и обработкой данных и др.
Специальный контроль за применением КОД в системе бухгалтерского учета экономического субъекта определяет применение проверочных процедур, включая контроль за вводом, обработкой и хранением информации, выводом информации.
По каждой процедуре приведены соответствующие рекомендации, а также подчеркнуто, что эти процедуры могут осуществляться либо с помощью специальной настройки, либо автоматически.
В рубрике «Проверка аудиторской организацией надежности системы внутреннего контроля за системой КОД» обращено внимание на то, что аудиторская организация тестирует систему внутреннего контроля за системой КОД экономического субъекта, если такая необходимость возникает. При этом используют положения правила (стандарта) «Аудит в условиях компьютерной обработки данных».
Процедуры проверки могут включать различные подходы, зависящие от объема системы КОД экономического субъекта, ее качества, охвата системы внутреннего контроля и других факторов. Особое внимание обращается на проверку и тестирование процедур ввода и вывода информации, хранения информации, организации программного и информационного обеспечения.
Из проведенного анализа российских правил (стандартов) аудиторской деятельности, посвященных регулированию использования ПК в аудите, следует:
Дата добавления: 2015-11-28; просмотров: 68 | Нарушение авторских прав