Аудит в условиях компьютерной обработки данных

В современных условиях у большинства организаций осуществление хозяйственных операций, учета, контроля и отчетности происходит в условиях компьютерной обработки данных (КОД), что не может не оказывать существенного влияния на формы и методы проведения аудита.

Современный аудит очень тесно связан с информационными технологиями. Во-первых, возрастает степень автоматизации учетного процесса на российских предприятиях и, следовательно, повышается влияние компьютеризированной системы бухгалтерского учета на достоверность и полноту формирования данных бухгалтерского учета и показателей отчетности, подлежащих аудиторской проверке. Во-вторых, использование самими аудиторами специализированных программных средств позволяет повысить эффективность аудиторских проверок, улучшить качество обслуживания клиентов и расширить перечень предоставляемых услуг. В-третьих, возникает необходимость оценки надежности функционирования информационной системы аудируемого экономического субъекта как неотъемлемой составляющей его системы внутреннего контроля.

В этой связи основные направления использования IТ-технологий при проведении проверки бухгалтерской (финансовой) отчетности можно сформулировать следующим образом:

1) использование программного обеспечения аудируемого лица при тестировании системы внутреннего контроля и получения необходимых данных для аудиторского анализа и аудиторских доказательств;

2) использование общего и специального программного обеспечения для оказания соответствующих дополнительных аудиторских услуг по постановке, восстановлению и ведению бухгалтерского учета, анализу финансово-хозяйственной деятельности;

3) использование общего и специального программного обеспечения аудиторами в целях автоматизации своих аудиторских и управленческих процедур;

4) использование специального программного обеспечения для проведения аудита информационных систем.

Действия аудитора при осуществлении аудита в условиях компьютерной обработки данных, существующей у проверяемого экономического субъекта, определены правилом (стандартом) «Аудит в условиях компьютерной обработки данных», одобренным Комиссией по аудиторской деятельности при Президенте РФ 22 января 1998 г. (протокол N 2). Компьютерная обработка данных экономического субъекта имеет место в случаях, когда с помощью компьютерной техники осуществляется обработка значительных объемов учетной информации независимо от следующих факторов:

а) компьютер используется экономическим субъектом самостоятельно или по договору с третьей стороной;

б) компьютер используется экономическим субъектом для обработки экономической информации во всех аспектах хозяйственной деятельности и ее учета или только для автоматизации обработки информации по отдельным видам фактов хозяйственной жизни, отдельным участкам учета.

При проведении аудита в системе КОД сохраняются цель аудита и основные элементы его методологии. Наличие среды КОД существенно влияет на процесс изучения аудитором системы учета экономического субъекта и сопутствующих ему средств внутреннего контроля.

Использование технических средств приводит к изменению отдельных элементов организации бухгалтерского учета и внутреннего контроля:

- для проверки хозяйственных операций наряду с традиционными первичными учетными документами используются и первичные учетные документы на машиночитаемом носителе;

- постоянные нормативно - справочные показатели могут быть проверены по данным, хранящимся в памяти компьютера или на машиночитаемых носителях информации;

- вместо традиционных ручных форм счетоводства может применяться форма учета, ориентированная на прогрессивные методы формирования выходной информации и обеспечения ее достоверности, совмещение синтетического учета с аналитическим и систематического с хронологическим, а также повышение оперативности и удобства использования учетной и отчетной информации.

Аудитор не должен принуждать (прямо или косвенно) проверяемого экономического субъекта к применению системы КОД, известной аудитору. Рекомендация аудитора в части использования той или иной системы КОД возможна только в случае, когда аудитор оказывает экономическому субъекту сопутствующую аудиту услугу по организации системы КОД по просьбе последнего.

Экономический субъект обязан предоставить аудиторской организации необходимый доступ к системе КОД. Невыполнение (неполное выполнение) этого условия является ограничением объема аудита в системе КОД, вследствие чего аудиторская организация может потребовать предоставления необходимых ей документов на бумажных носителях информации.

При оценке среды КОД аудитор должен охарактеризовать:

- соответствие применяемой формы учета используемой системе обработки данных;

- соответствие алгоритмов обработки бухгалтерских данных действующему законодательству и возможность их изменения в случае изменения порядка ведения бухгалтерского учета, хозяйственного, налогового и иного законодательства;

- способ организации, хранения и обновления данных;

- обеспечение контроля ввода данных;

- возможность настройки внешней отчетности на изменение ее форм;

- возможность вывода на печать данных о хозяйственных операциях.

Аудитор обязан проверять соответствие применяемых алгоритмов требованиям нормативной документации по ведению бухгалтерского учета и составлению бухгалтерской отчетности по основным автоматизированным расчетам экономического субъекта. Аудитору необходимо убедиться в том, что информационная база внутри компьютера обеспечивает сохранность информации, ее архивирование, простоту доступа, кодирование и декодирование информации, ограничение несанкционированного доступа к ней. Актуальность данных (т.е. их соответствие изменившимся условиям хозяйственной жизни) обеспечивается регламентированием источников и потребителей информации, периодичностью и условиями ее обновления.

Считается, что КОД экономического субъекта имеет место в случаях, когда при помощи компьютерной техники обрабатываются значительные объемы учетной информации. На практике часто возникает вопрос: как определить значительные или незначительные объемы учетной информации обрабатываются, если значительные - то насколько. А соответственно - как этот фактор повлияет на содержание программы аудиторской проверки и необходима ли помощь специалиста по компьютерному аудиту.

Поэтому на этапе планирования аудиторской проверки обычно определяют так называемую степень использования компьютерной техники и программных средств клиентом (или другими словами - степень автоматизации учетного процесса на предприятии).

Для того, чтобы определить степень использования компьютерной техники и программного обеспечения на предприятии рассматриваются следующие моменты:

1) степень использования компьютерной техники и программного обеспечения в финансово-хозяйственной деятельности предприятия;

2) сложность компьютерной среды;

3) значение используемой автоматизированной информационной системы в деятельности организации.

Классификация организаций по степени использования компьютерной техники и программного обеспеченияне должна занимать много времени, это скорее общая оценка влияния компьютерных систем на процесс бухгалтерского учета. Опираясь на знания о специфике финансово-хозяйственной деятельности предприятия, полученной в ходе предварительного планирования, определяются основные ее направления (или иными словами - важнейшие элементы системы бухгалтерского учета и внутреннего контроля). К ним могут относиться: приобретение и контроль ТМЦ, контроль за производством, реализация и формирование финансового результата, контроль за сохранностью активов предприятия, работа с дебиторами и кредиторами, с персоналом и т.д. Затем выясняется: используются ли в каждой из данных областей компьютеры или компьютерная информация для осуществления их деятельности и контроля. Далее оцениваются масштабы, в которых компьютеры и полученная с их помощью информация используются в каждом из этих сегментов.

К факторам, которые должны быть учтены на данном этапе проверки, относятся:

- объем операций в данном сегменте, обрабатываемых с помощью компьютерной техники и программного обеспечения;

- процент работников в данном сегменте, регулярно использующих компьютерную технику и программное обеспечение;

- количество ключевых деловых решений, принимаемых в данном сегменте, и источники компьютерной информации, на которой основываются принятые решения.

На практике можно обнаружить, что большое количество подразделений в рамках организации использует компьютеры ежедневно, но пределы, в которых большая часть отделов использует компьютеры, ограничены, а какая-то часть информации обрабатывается вручную. Или наоборот - компьютеры применяются в ограниченном количестве подразделений, но они в максимальной степени используются в их деятельности. Опираясь на эту информацию можно поместить клиента на шкале степени применения, которая варьируется от ограниченного до максимального использования (см.: рис. 6).

Максимальная	Степень использования	Ограниченная
Сложная	Сложность	Простая
Очень важная	Значение	Ограниченная
	Классификация
Преобладающая	Значительная	Незначительная

Рис. 6. Классификация степени автоматизации предприятия

При определении степени сложности компьютерной среды в различных сегментах аудита, необходимо принять во внимание характер обработки информации, осуществляемый информационными системами в данных сегментах. К факторам, которые необходимо проанализировать для каждой информационной системы, относятся:

- степень сложности расчетов, осуществляемых данной системой;

- обрабатывает ли система несколько видов хозяйственных операций;

- наличие электронного обмена данными с клиентами, поставщиками, банками, биржами и т.д. (в том числе и через Internet);

- характер и количество каналов связи между системами внутри предприятия.

Необходимо также проанализировать состояние среды обработки данных, в которой работают системы. К факторам, которые обычно рассматриваются, относятся:

- использование сложных систем баз данных, обслуживающих многие области деятельности предприятия;

- характер и размер сетей передачи данных;

- применение сложных программ контроля для ограничения доступа к информационным ресурсам клиента;

- размеры аппаратного обеспечения и численность обслуживающего его персонала.

По степени сложности применение компьютеров может варьироваться от простого до очень сложного. У клиента может быть одна сложная система и несколько систем, действующих в относительно простой среде. И наоборот, может иметься несколько относительно простых систем, действующих в умеренно сложной среде.

Последним критерием, который необходимо проанализировать, является роль (важность) компьютерных систем в деятельности организации. К факторам, которые необходимо учитывать, относятся:

- степень ущерба, который будет нанесен, в случае если клиенту пришлось бы работать в отсутствие своих компьютерных систем в течение какого-либо периода времени;

- непосредственные и долгосрочные последствия для предприятия крупной ошибки в обработке данных (например, усилия, которые необходимо приложить для исправления ошибки, сохранения репутации и доверия клиентов).

Используя вышеупомянутые критерии, можно выделить следующие три степени автоматизации учетного процесса:

1. Преобладающая - если компьютерная техника и программное обеспечение используются в большинстве сегментов деятельности, компьютерная среда является сложной и, компьютерные системы очень важны для бизнеса (т.е., способность клиента действовать в значительной степени зависит от компьютеров, или руководство в значительной степени полагается на компьютерную информацию при контроле бизнеса). Многие банки, биржи, компании по производству или сбыту массовой продукции (в том числе так называемые Internet-магазины), компании, оказывающие услуги сотовой связи, компании Internet-провайдеры и другие - с высоким уровнем автоматизации могут служить примером клиентов с преобладающим использованием компьютерная техника и программное обеспечение. Сейчас процент клиентов с преобладающей степенью автоматизации растет.

2. Незначительное - если использование компьютеров в бизнесе сводится к относительно простым задачам с ограниченным значением. Клиенты попадают под эту категорию, если, например, они используют всего одну или две относительно простые компьютерные программы (например, платежные ведомости и Главная книга, реализованные в Excel).

3. Значительное - когда компьютеры используется в меньшей степени, чем в первом случае, но больше чем во втором. Такие клиенты часто имеют одну или две сложные системы, которые используются интенсивно и очень важны для бизнеса, но в целом степень использования компьютеров не является преобладающей. Обычно большинство клиентов попадает под эту категорию.

При аудите клиентов, классифицируемых, как клиенты с преобладающим или незначительным использованием компьютеров, аудиторы должны исследовать, как функционируют учетные системы, структуры компьютерного контроля и компьютерная среда. Так, при аудите клиентов с незначительным использованием компьютеров нет необходимости вникать в структуры компьютерного контроля или компьютерной среды. При аудите клиентов с преобладающим использованием компьютеров обычно привлекаются специалисты по компьютерному аудиту в соответствующих сферах при изучении учетного процесса, подготовки плана аудита и тестов системы контроля. Для клиентов со значительным использованием компьютеров не исключается возможность привлечения специалистов по компьютерному аудиту или других специалистов с аналогичной квалификацией, особенно, если одна или несколько систем или компьютерная среда являются сложной.

Специалист по компьютерному аудиту, привлекаемый к работе в этих целях - это, как правило, специалист с соответствующим образованием и опытом работы в таких областях, как:

- идентификация и оценка рисков, связанных с компьютеризированной обработкой данных;

- идентификация и тестирование системы компьютерного контроля;

- разработка, создание и использование автоматизированных методик аудита;

- применение соответствующих национальных и внутрифирменных стандартов.

Основными задачами эксперта (специалиста) является оказание помощи аудитору при проведении проверки с использованием компьютера в части:

- конвертировании данных экономического субъекта в форму, доступную для обработки в компьютерной и программной системе, используемой аудитором;

- выполнения нестандартных процедур анализа;

- тестирования системы, применяемой аудитором;

- формирования на компьютере необходимых аудитору рабочих аудиторских документов.