Аудиторская деятельность в среде компьютерной системы

Обязательной аудиторской  процедурой является тестирование вводимых данных в систему КОД бухгалтерского учета. Эта проце дура предполагает тестирование полноты документов в «бумажном» варианте и тестирование соответствия бумажных документов их электронным копиям, введенным в систему. Отсутствие этого соответствия является сигналом того, что отчетность является недостоверной.

Аудитор должен удостовериться в обеспечении сохранности данных информационной системы, в простоте доступа к данным и ограничении  несанкционированного доступа к  ним.

Особое внимание уделяется  проверке надежности средств внутреннего  контроля в среде КОД. Аудитор  обязан выявить слабые места контроля систем компьютерного учета: рассмотреть  аппаратные и программные средства контроля, организационные мероприятия (архивирование данных, проверка на вирус). Ему необходимо проанализировать способы организации контроля полноты  и правильности ввода первичной  информации в информационную базу, контроля, обработки и выбора данных, дать оценку их достаточности и эффективности. В многопользовательских сетевых системах объектом внимания должен быть процесс передачи данных.

Аудитор должен тщательно  проверить правильность алгоритмов расчетов.

Ошибка, заложенная в алгоритм расчета, который многократно применяется  к повторяющимся хозяйственным  операциям, может исказить результат  хозяйственной деятельности.

После осуществления указанных  задач на основе полученной информации проводятся предварительный финансовый анализ, оценка уровня существенности и аудиторского риска, разрабатывается  общий план аудита и распределяются обязанности между членами аудиторской  группы.

При определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных  влиянием КОД, следует руководствоваться правилом (стандартом) «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной системы»².

Планирование аудита в  системе КОД осуществляется согласно правилу (стандарту) «Планирование аудита».

При планировании проведения аудита с применением компьютеров  нужно учесть следующее: обеспеченность аудиторской организации оборудованием, необходимым как для проведения аудита, так и для оказания сопутствующих  аудиту услуг с применением компьютеров; дату начала аудиторской проверки, которая должна соответствовать  дате представления аудитору данных в виде, согласованном с экономическим  субъектом; факт привлечения к работе экспертов в области информационных технологий; знания, опыт и квалификацию аудитора в области информационных технологий; целесообразность использования  тестов, производимых без использования  компьютера; эффективность использования  компьютера при проведении аудита. Составляя общий план и программу аудита, следует принимать во внимание степень автоматизации обработки учетной информации, применяемые экономическим субъектом информационные технологии.

В документах о планировании аудита должны найти отражение характер выполнения процедур аудита с использованием КОД, необходимость привлечения  независимого эксперта в целях изучения и оценки системы КОД клиента  в целом и отдельных ее сторон, дата и форма предоставления данных из компьютерной системы учета аудитору, особенности предоставления аудиторской  документации.

Далее аудиторы в соответствии с полученным заданием самостоятельно проводят анализ бухгалтерских записей  по главной книге с целью выявления  некорректных и нетипичных операций, определяют уровень существенности показателей по разделам, разрабатывают  программы аудита по разделам с учетом особенностей экономического субъекта.

Вторым этапом является проведение проверки, в ходе которой аудитор  исследует некоторую совокупность хозяйственных операций (величина совокупности определяется внутрифирменными стандартами). Исследуя отдельную хозяйственную  операцию, аудитор должен располагать  следующими возможностями: в ходе работы обращаться к сформированной на подготовительном этапе локальной базе правил по своему разделу; регистрировать в базе данных все проверенные операции и свои комментарии по ним; регистрировать допущенные ошибки и нарушения по рассматриваемой хозяйственной  операции, используя справочник типовых  бухгалтерских ошибок; регистрировать в локальной базе правил своего раздела  собственные профессиональные суждения о соблюдении или несоблюдении отдельных  правил бухгалтерского учета.

При сборе аудиторских  доказательств в системе КОД  следует руководствоваться правилом (стандартом) «Аудиторские доказательства». Источниками получения аудиторских доказательств являются данные, которые хранятся в системе КОД бухгалтерского учета в файлах, первичных документах, в массивах информации о хозяйственных операциях. Либо клиент, либо сам аудитор формирует необходимые хронологические и системные учетные регистры в требуемых разрезах и включает их в состав рабочих документов аудитора. Аналогично аудитор может поступить с бухгалтерской отчетностью. Аудитору следует убедиться, что регистры учета, подготовленные системой КОД бухгалтерского учета, соответствуют данным первичного учета.

На завершающем этапе  аудитор проводит оценку и анализ полученной в ходе аудита информации. Автоматизация позволяет ему  оценить существенность выявленных нарушений. Модулем обработки и  оценки должен быстро производиться  расчет выявленных нарушений на основе данных по принятым уровням существенности и проверенным операциям, числу  выявленных нарушений по счетам и  величине проверяемой совокупности. Одновременно с этим должна формироваться  справка о количестве и характере  так называемых качественных нарушений, т.е. нарушений, не влияющих на сальдо проверяемого счета или по которым невозможно определить величину искажения отчетности.

Итогом проверки раздела  для аудитора является мнение о достоверности  проверенного раздела, документирование проведенной проверки и подготовка отчета руководителя. При документировании аудита в системе КОД следует  руководствоваться правилом (стандартом) «Документирование аудита»³.

1.3 Применение  специальных знаний для проведения  аудита в

информационных  системах

Аудитор должен оценить необходимость  применения специальных знаний об информационных системах для проведения аудита. Они  могут понадобиться для:

- достаточного представления  о системах бухгалтерского учета  и внутреннего контроля, на которые  влияет среда компьютерных информационных  систем;

- определения влияния  компьютерных систем на оценку  общего риска, риска на уровне  сальдо счетов и класса операций;

- разработки и проведения  соответствующих тестов контроля  и процедур проверки по существу.

Если необходимость в  специальных знаниях есть, аудитор  может обратиться за помощью к  специалисту, который обладает такими знаниями и является либо работником аудиторской фирмы, либо приглашенным экспертом. Однако при этом он должен сохранять главенствующее положение. По отношению к эксперту оно проявляется  в том, что эксперт оценивает  только системы обработки информации, а аудитор - достоверность результатов  полного анализа всей информационной архитектуры. Аудиторы не могут ни передавать, ни разделять с кем-либо (в т.ч. с экспертом) свою ответственность  за выражение мнения о состоянии IT-системы и составленного на его основе аудиторского заключения. Более подробно этот вопрос освещен в МСА 620 «Использование работы экспертов».

Эксперт может быть привлечен  на договорной основе клиентом или  аудитором или являться сотрудником  клиента или аудитора.

В соответствии с МСА 220 «Контроль качества аудита финансовой отчетности организации» при оценке способностей и компетентности эксперта, который является сотрудником аудиторской фирмы, аудитор должен полагаться на внутрифирменную систему контроля качества в отношении набора и подготовки персонала, что освобождает аудитора от необходимости оценивать способности и компетентность эксперта каждый раз при его привлечении к выполнению аудиторского задания.

Планируя использовать работу эксперта, аудитор должен оценить  его профессиональную компетентность. Такая оценка включает следующие  критерии:

- наличие у эксперта  профессионального аттестата или  лицензии либо членство в соответствующей  профессиональной организации;

- наличие у эксперта  опыта и репутации в той  области, в которой аудитор  проводит сбор аудиторских доказательств.

Аудитор должен также оценить  объективность эксперта. Риск того, что эксперт будет не вполне объективен, увеличивается, если он является сотрудником  клиента или связан с клиентом каким-либо иным образом, например является финансово зависимым от клиента  или имеет инвестиции в его  деятельность.

Если аудитор сомневается  в компетентности или объективности  эксперта, то ему необходимо обсудить с руководством любые сомнения на этот счет и вероятность получения  достаточных надлежащих аудиторских  доказательств в отношении работы эксперта. Аудитору могут потребоваться  дополнительные аудиторские процедуры  или аудиторские доказательства от другого эксперта.

При выдаче безоговорочно  положительного аудиторского заключения аудитор не должен ссылаться на работу эксперта. Такая ссылка может быть принята за выражение аудитором  мнения с оговоркой или за утверждение  о разделении ответственности, что  изначально не предполагается. Если же в результате работы эксперта аудитор  принял решение о выдаче модифицированного  аудиторского заключения, что может  иметь место, то при разъяснении  характера модификации целесообразно  сделать ссылку на работу эксперта или описать ее в аудиторском  заключении (включая указание на эксперта и степень его участия в  аудиторском задании). В некоторых  случаях аудитору может потребоваться  получить от эксперта разрешение на включение  такой ссылки в аудиторское заключение. Если в разрешении будет отказано, а аудитор полагает, что ссылка обязательна, то ему необходимо проконсультироваться у юриста.

 

 

 

 

ГЛАВА 2. ПРИМЕНЕНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В АУДИТОРСКОЙ  ДЕЯТЕЛЬНОСТИ

2.1 Автоматизированные информационные технологии в аудиторской деятельности

КИС АД (компьютерные информационные системы аудиторской деятельности) используют одну из четырех технологий.

Локальное функционирование рабочих мест. Эта технология состоит  в том, что компьютеры на каждом рабочем  месте работают полностью автономно  и в каждом из них хранится свой фрагмент единой базы данных. Для объединения  данных необходимо часть информационных массивов с каждого компьютера выгружать  на магнитные носители и уже с  них эта информация переносится  в базу данных другого компьютера.

Технология «файл-сервер». При использовании этой технологии обработка информации сосредоточивается на компьютерах отдельных рабочих мест.

Если программе требуются  данные, размещенные на другом компьютере (как правило, сетевой сервер), то они передаются ей по каналу сети. Сетевое  программное обеспечение занято только передачей данных от одного компьютера другому, независимо от того, нужна ли вся информация или только ее часть. Отбор необходимых для  решения задач данных осуществляется прикладной программой, запросившей  данные с другого компьютера.

Технология «клиент-сервер». Позволяет преодолеть непроизводительную пересылку больших информационных потоков в сети. Это достигается за счет разделения программы на две части:

• клиентскую;
• серверную⁴.

Клиентская часть (клиент) устанавливается на компьютере рабочего места, а серверная - на сетевом сервере. Когда клиенту нужны какие-либо данные, он посылает запрос серверу. В  запросе формулируется, какая именно требуется информация. Сервер выбирает из общей базы данных только те, которые необходимы, и пересылает их клиенту.

Модель полностью централизованной обработки. В этой модели все процедуры  решения задач выполняются централизованным компьютером. Именно такая технология применялась до распространения  персональных компьютеров.

Функционирование системы  осуществляется на одной большой  ЭВМ. К ней подключаются терминалы, которые имеют клавиатуру и дисплей. Их количество может доходить до нескольких десятков и сотен при одновременной  работе.

Каждая из этих технологий предполагает свои формы использования  компьютеров, формы организации  и ведения информационной базы учета  и интеграцию учетных данных для  составления отчетности.

Машинно-ориентированные  процедуры аудиторской проверки системы КОД используют следующие  аудиторские инструменты:

• программные средства аудита, предназначенные для проверки

содержания компьютерных файлов клиентов.

• проверочные данные, представляющие собой либо фактические

данные клиента, либо контрольные  данные. Контрольные данные вводятся в систему обработки в целях  проверки правильности функционирования клиентских компьютерных программ. Они  являются основой тестирования системы.

Машинно-ориентированные  процедуры аудиторской проверки используют следующие методы:

• тестирование системы КОД;
• арифметическая проверка;
• методы контроля, основанные на анализе программ. Тестирование

системы КОД предлагает три  подхода к компьютерному тестированию:

• отбор при помощи компьютера определенных операций для их

последующей проверки вручную;

• проверка системы встроенного контроля при помощи

имитационных данных;

• проверка системы встроенного контроля при помощи реальных

данных, обработанных аудиторскими программными средствами.