Читайте также:
|
|
" АУДИТ У СЕРЕДОВИЩІ КОМП'ЮТЕРНИХ ІНФОРМАЦІЙНИХ СИСТЕМ "
Введення
1. Справжній національний стандарт аудиту (НСА) розроблений на основі Міжнародного стандарту аудиту 401 "Аудит в середовищі комп'ютерних інформаційних систем" (ISA 401 " Auditing in a Computer Information Systems Environment "), прийнятого Міжнародною федерацією бухгалтерів (IFAC) в редакції 2000
Мета
2. Метою даного стандарту є встановлення норм і рекомендацій щодо процедур, яких необхідно дотримуватися при проведенні аудиту в середовищі комп'ютерних інформаційних систем (КІС). Для цілей цього стандарту середу КІС існує, коли комп'ютери будь-якого типу або розміру задіяні економічним агентом для обробки важливою для аудиту фінансової інформації, незалежно від того, чи використовуються ці комп'ютери самим економічним агентом або третьою стороною.
3. Аудитор повинен розглянути, яким чином середу КІС впливає на аудит.
4. Основна мета і сфера аудиту не змінюються в середовищі КІС. Однак використання комп'ютера змінює обробку, зберігання та передачу фінансової інформації і може вплинути на застосовувані економічним агентом системи бухгалтерського обліку і внутрішнього контролю. Отже, середовище КІС може впливати на:
• процедури, що виконуються аудитором з метою досягнення достатнього розуміння систем бухгалтерського обліку і внутрішнього контролю;
• облік невід'ємного ризику і ризику контролю, який впливає на аудиторську оцінку ризику;
• розробку і здійснення аудитором процедур тестування внутрішнього контролю та процедур по суті, доречних для досягнення конкретної мети аудиту.
Навички та компетентність
5. Для планування, управління, нагляду та контролю виконуваної роботи аудитор повинен володіти достатніми знаннями в області КІС. Аудитор повинен врахувати, чи існує необхідність у спеціальних навичках роботи з КІС для проведення аудиту. Такі навички можуть знадобитися для:
• досягнення достатнього розуміння систем бухгалтерського обліку і внутрішнього контролю, на які впливає середовище КІС;
• визначення впливу середовища КІС на загальну оцінку ризику і оцінку ризику на рівні залишків по рахунках і груп операцій;
• розробки та проведення відповідних процедур тестування внутрішнього контролю та процедур по суті.
У разі, коли необхідні спеціальні навички, аудитору слід звернутися до допомоги фахівця, що володіє такими навичками, який може перебувати в штаті аудиторської організації або бути найнятий з боку. Якщо планується залучення такого фахівця, аудитор повинен отримати достатні відповідні аудиторські докази того, що робота такого фахівця відповідає цілям аудиту згідно НСА 620 " Використання роботи експерта ".
планування
6. Відповідно до НСА 400 " Оцінка ризику і внутрішній контроль " аудитор повинен досягти розуміння систем бухгалтерського обліку і внутрішнього контролю, достатнього для планування аудиту та розробки ефективного підходу до проведення аудиту.
7. При плануванні ділянок аудиту, на які може впливати середу КІС клієнта, аудитор повинен досягти розуміння значущості та складності КІС, а також наявності даних для використання в процесі аудиту. Це передбачає розуміння наступних питань:
• Значимість і складність комп'ютерної обробки даних у кожній важливій прикладної бухгалтерської програмі. Значимість пов'язана з істотністю якісних аспектів фінансової звітності, на які впливає комп'ютерна обробка. Прикладна програма може вважатися складною, якщо, наприклад:
- Обсяг операцій такий, що користувачам важко виявити і виправити помилки, допущені при обробці;
- Програма автоматично генерує суттєві операції або введення даних безпосередньо для іншої прикладної програми;
- Програма виконує складні розрахунки фінансової інформації та / або автоматично генерує суттєві операції або введення даних, правильність яких не може бути підтверджена (або не підтверджується) окремо;
- Обмін інформацією з іншими економічними агентами здійснюється електронним шляхом (наприклад, як у системах електронного обміну даними (ЕОД) без ручної (неавтоматизованої) перевірки правильності чи прийнятності.
• Організаційна структура КІС клієнта і ступінь концентрації або розподілу комп'ютерної обробки в рамках економічного агента, особливо в частині їх впливу на розподіл обов'язків.
• Наявність даних. Первинні документи, визначені комп'ютерні файли та інші докази, які можуть знадобитися аудитору, можуть існувати тільки протягом короткого періоду часу або тільки у формі,. КІС клієнта може генерувати внутрішню звітність, яка може бути корисною при проведенні процедур по суті (особливо аналітичних процедур). Можливість застосування технічних прийомів аудиту з використанням комп'ютерів може дозволити підвищити продуктивність виконання аудиторських процедур або може дати можливість аудитору ефективно застосовувати певні процедури до всієї генеральної сукупності рахунків або операцій.
8. У випадках, коли КІС є значними, аудитор також повинен досягти розуміння середовища КІС та врахувати її можливий вплив на оцінку невід'ємного ризику і ризику контролю. Характер ризиків та характеристики внутрішнього контролю в середовищі КІС включають наступне:
• Відсутність документальних підтверджень. Деякі КІС спроектовані таким чином, що повне документальне підтвердження, корисне для здійснення цілей аудиту, може існувати тільки протягом короткого періоду часу або тільки у формі,. Коли складна прикладна система виконує велику кількість етапів обробки даних, повного документального підтвердження може не існувати. Відповідно, може бути важко з допомогою ручних процедур (здійснюваних користувачем) своєчасно виявити помилки, що містяться в логіці прикладної програми.
• Стандартна форма обробки операцій. Комп'ютерна обробка даних передбачає обробку схожих операцій за допомогою однакових команд з обробки у відповідності зі стандартною формою. Таким чином, помилки, зазвичай пов'язані з ручною обробкою, фактично виключені. Навпаки, помилки програмування (інші чи систематичні помилки в технічній оснащенні системи " hardware " або програмному забезпеченні " software "), як правило, призводять до того, що всі операції обробляються неправильно.
• Відсутність поділу функцій. Багато процедури контролю, які в неавтоматизованих системах зазвичай виконуються окремими особами, можуть бути об'єднані в КІС. Таким чином, особа, яка має доступ до комп'ютерних програм, обробці даних або до даних, може мати можливість виконувати несумісні функції.
• Можливість появи помилок і порушень. Можливість помилки, викликаної людським фактором, при розробці, обслуговуванні та експлуатації КІС може бути вище, ніж в неавтоматизованих системах, частково через ступеня деталізації, характерної для КІС. Крім того, ймовірність отримання окремими особами несанкціонованого доступу до даних або до зміни даних без видимих доказів може бути вище в КІС, ніж в неавтоматизованих системах.
Крім того, низька ступінь людської участі в обробці операцій з використанням КІС може знизити ймовірність виявлення помилок і порушень. Помилки або порушення, що виникають при створенні або модифікації прикладних програм або програмного забезпечення (software) систем, можуть залишатися невиявленими протягом тривалого періоду часу.
• Ініціювання або здійснення операцій. КІС можуть передбачати можливість автоматичного ініціювання або виконання певного типу операцій. Санкціонування цих операцій або процедур може не бути документально підтверджено таким же чином, що і в неавтоматизованої системі, причому дозвіл керівництва на здійснення цих операцій може матися на увазі прийняттям структури КІС і подальшої її модифікації.
• Залежність інших видів контролю від комп'ютерної обробки. Комп'ютерна обробка може генерувати звіти та іншу інформацію, використовувані при виконанні неавтоматизованих процедур контролю. Ефективність неавтоматизованих процедур контролю може залежати від ефективності контролю повноти і точності комп'ютерної обробки. У свою чергу, ефективність і послідовне функціонування контролю обробки операцій у прикладних комп'ютерних програмах часто залежить від ефективності спільного контролю КІС.
• Можливість розширення контролю керівництва. КІС можуть надати керівництву низку аналітичних інструментів, які можуть використовуватися для перевірки та контролю операцій, здійснюваних економічним агентом. Наявність такого додаткового контролю, при його використанні, може поліпшити всю структуру внутрішнього контролю.
• Можливість застосування технічних прийомів аудиту з використанням комп'ютера. Використання комп'ютерів для обробки та аналізу великого обсягу інформації може надати аудитору можливість застосувати загальні або спеціальні комп'ютеризовані технічні прийоми аудиту та інструменти при проведенні аудиторських процедур.
Як ризики, так і контроль, введений як результат перерахованих вище характеристик КІС, мають потенційний вплив на аудиторську оцінку ризику і на характер, час проведення і обсяг аудиторських процедур.
Оцінка ризику
9. Відповідно до НСА 400 " Оцінка ризику і внутрішній контроль " аудитор повинен оцінити властивий ризик і ризик контролю на рівні істотних якісних аспектів фінансової звітності.
10. Невід'ємний ризик і ризик контролю в середовищі КІС можуть надавати як всеосяжний вплив, так і вплив, пов'язане з конкретними рахунками, на ймовірність суттєвих викривлень:
• Ризики можуть бути результатом недоліків КІС в цілому, як наприклад, недоліків у розробці й обслуговуванні програм, програмної підтримки систем, операціях, забезпеченні фізичної безпеки КІС та контролі доступу до привілейованих обслуговуючим програмам. Ці недоліки мають тенденцію надавати всеосяжний вплив на всі прикладні системи, оброблювані комп'ютером.
• Ризики можуть збільшити ймовірність появи помилок або обману в конкретних прикладних програмах, базах даних або основних файлах або при конкретної діяльності з обробки. Наприклад, помилки нерідкі в системах, що виконують складні логічні схеми або розрахунки, або в системах з численними винятками. Системи, контролюючі грошові виплати або інші ліквідні активи, схильні шахрайським діям з боку користувачів або персоналу, що обслуговує КІС.
11. У міру того як з'являються нові технології КІС, вони часто застосовуються клієнтами для створення більш складних комп'ютерних систем, які можуть включати ланки, що зв'язують персональний комп'ютер в єдину мережу з сервером або міні - комп'ютером; розподілені бази даних; кінцеву обробку даних користувача, системи управління бізнесом, передають інформацію безпосередньо в системи бухгалтерського обліку. Такі системи збільшують загальну складність КІС і складність спеціалізованих прикладних програм, на які вони впливають. У результаті вони можуть збільшити ризик і вимагати більш детального аналізу.
аудиторські процедури
12. Відповідно до НСА 400 " Оцінка ризику і внутрішній контроль " аудитор повинен враховувати середовище КІС при розробці аудиторських процедур з метою зниження аудиторського ризику до прийнятно низького рівня.
13. Конкретні аудиторські цілі не змінюються залежно від того, оброблена чи облікова інформація вручну або за допомогою комп'ютера. Однак методи комп'ютерної обробки можуть впливати на методи застосування аудиторських процедур по збору доказів. Для отримання достатніх доказів аудитор може використовувати неавтоматизовані аудиторські процедури, технічні прийоми аудиту з використанням комп'ютера або їх поєднання. Проте в деяких системах бухгалтерського обліку, де комп'ютер застосовується для обробки важливих прикладних програм, аудитору може бути важко або неможливо отримати певні дані для перевірки, запиту або підтвердження без допомоги комп'ютера.
Дата добавления: 2015-07-26; просмотров: 151 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
НАЦІОНАЛЬНИЙ СТАНДАРТ АУДИТУ 400 | | | Дата вступу стандарту чинності |