Оцінка аудиторського ризику в умовах КОД

Важливим елементом при плануванні та проведенні ауди­ту є оцінка аудиторського ризику. Він залежить від особли­востей господарської діяльності підприємства, якості функ­ціонування системи внутрішнього контролю підприємства.

Комп'ютерна обробка економічних даних впливає, перш за все, на процес вивчення аудитором системи обліку і внутрішнього контролю підприємства, що перевіряється. Відповідно до вимог Міжнародного стандарту № 400 "Оці­нка ризиків і внутрішній контроль" [13], аудитор повинен оцінити властивий ризик на підприємстві і ризик засобів контролю.

Аудитор повинен зрозуміти, які заходи вживає суб'єкт господарювання щодо ризиків, які випливають із викори­стання інформаційних технологій (ІТ). Використання ІТ впливає на спосіб здійснення контрольної діяльності. Ауди­тор розглядає, чи суб'єкт господарювання належним чи­ном компенсував ризики, пов'язані з ІТ за допомогою ство­рення ефективних загальних засобів контролю ІТ і засобів контролю прикладних програм. З погляду аудитора, засоби контро­лю над ІТ-системами є ефективними, коли вони підтриму­ють цілісність інформації і безпеку даних, які ця система обробляє.

Характер ризику і характеристики внутрішнього конт­ролю в середовищі КІСП включають:

відсутність слідів операцій — незрозумілість шляху перетворення вхідної інформації з первинних облікових документів у підсумкові показники. Деякі КІСП спроектовані таким чином, що повний обсяг інформації про опера­цію, що використовується з метою аудиту, може існувати тільки протягом короткого періоду або тільки у форматі, що прочитується на комп'ютері. Якщо складна програма передбачає велику кількість етапів обробки, то повного обсягу інформації може і не бути. Побічна інформація може бути корисна для завдань контролю, але часто є можливість прочитання інформації тільки на електронних носіях, ос­кільки там, де складна система виконує більшу кількість кроків та завдань, неможливо простежити наявності по­вного набору дій. Саме тому помилки, які існують у само­му алгоритмі програми, дуже складно виявити без вико­ристання спеціальних програм;

єдина обробка операцій. При комп'ютерній обробці подібних операцій застосовуються однакові інструкції. Таким чином, фактично усувається можливість помилок, що властиві ручній обробці. І, навпаки, помилки програ­мування (та інші помилки в технічних засобах або програм­ному забезпеченні) призводять до неправильної обробки всіх без винятку операцій. Зменшення участі людини в процесах обробки інформації приводить до того, що помил­ки і недоліки через зміни прикладних програм або си­стемного програмного забезпечення можуть залишатися невиявленими ними тривалий час;

відсутність поділу функцій. Багато процедур контро­лю, які зазвичай виконуються окремими особами вручну, можуть бути сконцентровані в КІСП. Таким чином, особа, що має доступ до комп'ютерних програм, процесу обробки або даних, може виконувати несумісні функції. Декілька процедур управління можуть бути сконцентровані в руках одного бухгалтера, тоді як при веденні бухгалтерського об­ліку вручну вони були б звичайно розподілені між декіль­кома працівниками. Таким чином, цей бухгалтер, маючи вплив на всі розділи обліку, контролює сам себе;

- можливість помилок і порушень. Можливість здійснення помилок, властивих людині, при розробці, технічному обслуговуванні й експлуатації КІС може бути більша, ніж у системах ручної обробки, частково через ступінь деталізації, властивої такій діяльності. Крім того, можливість несанкціонованого доступу до даних або зміни даних без очевидних доказів може бути більшою при використанні КІСП, ніж у системах ручної обробки даних. Менший ступінь участі людей у процесі здійснен­ня операцій може зменшити імовірність виявлення по­милок і порушень. Помилки або порушення, що мають місце при розробці або модифікації прикладних програм або системного програмного забезпечення, можуть зали­шатися невиявленими протягом тривалого часу. Влас­тивий (притаманний) ризик і ризик внутрішнього конт­ролю в середовищі КІСП мають свої особливості: ризик може виникнути через неточності при розробці програ­ми, супроводженні й підтримці програмного забезпечен­ня системи, операцій, безпеки системи і контролю до­ступу до спеціальних програм управління. Розмір ризи­ку може збільшуватися через помилки або шахрайство як у програмних модулях, так і в базах даних. Напри­клад, слід вжити необхідних заходів, які попереджають виникнення помилок у системах, в яких виконується складний алгоритм розрахунків, оскільки виявити такі помилки дуже важко;

ініціювання або здійснення операцій. КІС можуть мати здатність автоматично ініціювати або здійснювати визначені види операцій. Дозвіл на виконання таких опе­рацій або процедур не обов'язково документально оформ­ляється таким самим чином, як і при ручній обробці;

можливості удосконалення управлінського контролю. КІСП може надати керівництву багато аналітичних засобів, які можна застосовувати при аналізі операцій і контролю за діяльністю суб'єкта. Наявність таких додат­кових засобів контролю, у випадку їх використання, до­помагає покращати структуру внутрішнього контролю в цілому.

Часто масові господарські операції здійснюються в по­вністю автоматизованому режимі або з мінімальним втру­чанням людини. У таких умовах виконання тільки проце­дур по суті буде досить ризикованим. Наприклад, в умо­вах, коли суттєва кількість інформації суб'єкта господа­рювання ініційована, записана, оброблена або надана елек­тронним способом, аудитор може з'ясувати, що розробка ефективних процедур по суті, які самі по собі могли б за­безпечити достатні аудиторські докази щодо відсутності суттєвих відхилень в операціях або залишках на рахун­ках, не є можливою. У таких випадках аудиторські докази можуть бути доступними тільки в електронній формі, і їх достатність і відповідність звичайно залежать від ефектив­ності вбудованих в програмне забезпечення засобів конт­ролю, їх точності й повноти. До того ж, потенціальна мож­ливість випадків некоректного ініціювання або зміни інформації, які відбулися і не були виявлені, може бути більшою, якщо інформація ініційована, записана, оброб­лена або надана тільки в електронній формі й відповідні засоби контролю не діють ефективно.

Таким чином, використання КІСП на підприємстві ство­рює специфічні аудиторські ризики, які тісно пов'язані з поняттям інформаційної безпеки КІСП. Інформаційна без­пека досягається шляхом задоволення вимог до чотирьох груп специфічних ресурсів комп'ютерної інформаційної системи підприємства: апаратного забезпечення, програм­ного забезпечення, обчислювальних потужностей (напри­клад, процесорного часу або місця на твердому диску) і да­них. [24]

До апаратного забезпечення у безпечній системі вису­вається вимога забезпечити безперервну і безпомилкову роботу програмного забезпечення. Вимоги до програмного забезпечення аналогічні — забезпечити безперервне і безпомилкове виконання перед­бачених функцій (збір даних, обробка, автоматичне об­числення показників, надання даних користувачу тощо). Обчислювальні потужності мають використовуватися тільки правомірно — для вирішення поставлених завдань.

Згідно з Законом України "Про захист інформації в ав­томатизованих системах" [1], порушення роботи автоматизо­ваної [інформаційної] системи — дії або обставини, які призводять до спотворення процесу обробки інформації.

Згідно з цим законом, до порушень роботи автоматизова­ної інформаційної системи зараховують такі загрози:

1) витік інформації — результат дій порушника, вна­слідок яких інформація стає відомою суб'єктам, що не ма­ють права доступу до неї;

2) втрату інформації — дії, внаслідок яких інформація перестає існувати для фізичних або юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі;

3) підробку інформації — навмисні дії, що призводять до перекручення інформації, яка повинна оброблятися або зберігатися в автоматизованій системі;

4) блокування інформації — дії, наслідком яких є при­пинення доступу до інформації;

5) порушення роботи автоматизованої системи — дії або обставини, які призводять до спотворення процесу оброб­ки інформації.

Як бачимо, перша загроза порушує конфіденційність інформації, друга і третя — її цілісність, четверта — до­ступність. Натомість п'ятий клас загроз стосується не тільки інформації, а й апаратної і програмної частин системи, її інфраструктури.

В англомовній літературі [15, с.98], замість безпосередніх пору­шень роботи КІСП найчастіше розглядають можливі за­грози її роботі, намагаються протидіяти саме загрозам(а не порушенням, які вже відбулись і оцінюють ризики того, що загроза матиме місце в реальності.

Під загрозою розуміють певний вчинок або подію, що може призвести до збитків74. Загрози прийнято поділя­ти на випадкові, або ненавмисні, і навмисні (табл. 1.3).

Таблиця 1.3. Класи загроз безпеці інформації

Ненавмисні Навмисні
    Пасивні Активні
Помилки у вхі­дній інформації Порушення ін­фраструктури (коротке зами­кання, стихійні лиха, перепади струму) Використання ресур­сів не за призначенням Несанкціонований перегляд інформації (підслуховування, шпигунство) Крадіжка обладнання. Саботаж. Порушення апарат­ної або програмної інфраструктури (диверсія). Навмисний злом системи безпеки (підбір паролю). Порушення роботи веб-сайту. Шкідливі програми (віруси, трояни, черв'яки)

 

Джерелом ненавмисних загроз мо­жуть бути некваліфіковані дії або неуважність користу­вачів або адміністрації, вихід з ладу апаратних засобів, помилки в програмному забезпеченні, стихійні катаклізми, бруд, пил тощо. Навмисні загрози, на відміну від випадкових, мають на меті завдання збитку користувачам інформаційної системи і, в свою чергу, по­діляються на активні й пасивні.

Пасивні загрози, як правило, спрямовані на несанкціо­новане використання інформаційних ресурсів системи, не порушуючи при цьому її функціонування. Пасивною за­грозою є, наприклад, спроба одержання інформації, що циркулює в каналах, за допомогою їх прослуховування. Джерелом пасивних загроз можуть бути як внутрішні ко­ристувачі системи, що можуть і не мати злого умислу, так і зловмисники ззовні, мета яких — не бути поміченими.

Активні загрози мають на меті порушення нормального процесу функціонування шляхом цілеспрямованого впли­ву на апаратні, програмні та інформаційні ресурси. До ак­тивних загроз належать, наприклад, руйнація або радіо­електронне придушення ліній зв'язку, виведення із ладу апаратних або програмних засобів системи, блокування об­числювальних потужностей (наприклад, мільйонами фаль­шивих запитів на надання інформації), внесення несанкці­онованих змін до процедур обробки інформації, спотворен­ня інформації тощо. Джерелами активних загроз можуть бути або безпосередньо зловмисники, або несумлінні чи об­ражені працівники, або комп'ютерні віруси та інші шкідливі програми (трояни, інтернет-черв'яки тощо).

Для зменшення рівня загроз в комп'ютерній інфор­маційній системі підприємства впроваджують засоби за­безпечення безпеки інформаційної системи. Всі засоби без­пеки можна розділити на три групи: засоби попередження порушень безпеки (профілактичні), засоби виявлення порушень безпеки(моніторингові) і засоби зменшення збитків і відновлення системи після інциденту(коригувальні) (табл. 1.4).

Таблиця 1.4. Класифікація засобів інформаційної безпеки

Тип засобів захисту Приклади
Профілактичні Апаратне забезпечення: • регулярні технічні огляди і профілактика апаратного забезпечення; • регулярне оновлення парку апаратних засобів; • придбання апаратних засобів у постачальника, що гарантує їх якість і технічне обслуговування; • фізичний захист від крадіжки — замок на дверях, сигналізація, прикріплення комп'ютера до столу тощо; • засоби протидії стихії або перепадам напруги: засоби пожежегасіння, герметичний, тугоплавкий або ударостійкий корпус, блок безперебійного живлення тощо. Програмне забезпечення: • встановлення останніх оновлень до операційних систем; • встановлення і підтримання в належному стані антивірусних програм; • підтримка ліцензійної чистоти програмного забезпечення. Обчислювальні потужності: • визначення відповідальності за використання обчислювальних потужностей не за призначенням. Інформація: • система розподілення доступу; • шифрування даних, особливо при переданні інформації; • програмний контроль інформації "на вході", відстеження помилок одразу при введенні; • "дружній" інтерфейс програмного забезпечення, який підказує, як без помилок ввести дані; • призначення відповідальності за поми­лки у введених даних та за помилкове знищення даних.
Моніторингові Апаратне забезпечення: • ведення журналів роботи обладнання; • ведення журналів технічних оглядів; • сигналізація; • автоматизація обробки надзвичайних ситуацій (виклик системного адміністра­тора, поліції). Програмне забезпечення: • ведення журналів операційних систем і прикладних програм; • регулярна перевірка цілісності про­грамного забезпечення за допомогою спе­ціалізованого програмного забезпечення. Обчислювальні потужності: • ведення журналів обліку використання обчислювальних потужностей. Інформація: • регулярна перевірка цілісності інфор­мації за допомогою спеціалізованого про­грамного забезпечення.
Коригувальні Апаратне забезпечення: • страхування апаратного забезпечення; • передбачення додаткових потужностей на випадок виходу з ладу основних. Програмне забезпечення: • регулярне резервне копіювання системи; • детальне документування всіх змін ал­горитмів обробки даних. Обчислювальні потужності: • передбачення в інфраструктурі запасних вузлів на випадок виходу з ладу основних. Інформація: • регулярна архівація

 

Профілактичні засоби забезпечення безпеки призначені для зменшення ризику настання порушення безпеки інфор­маційної системи

Моніторингові засоби призначені для виявлення фактів порушення системи безпеки. Сьогодні це є однією з най­більших проблем у забезпеченні інформаційної безпеки підприємства. Особливо складно відстежувати реалізацію пасивних загроз, які не порушують функціонування систе­ми. Зокрема, Міністерством оборони США було проведене дослідження, в якому намагалися "зламати" 38 000 влас­них комп'ютерів. У 65 відсотках спроб "зламу" до комп'ю­терів вдалось проникнути. При цьому було викрито лише 4 відсотки проникнень, а зафіксовано лише 1 відсоток. Гірше того, більшість порушень виявляють через тривалий час після самого факту порушення. А оскільки даними в інформаційних системах легко маніпулювати як до, так і після вчинення порушення, виникають складнощі з отри­манням доказів того, що порушення справді відбулось. [24]

Впорядкувати засоби захисту і полегшити управління системою інформаційної безпеки підприємства покликані аудит інформаційних систем та політика інформаційної безпеки підприємства.

Кожній КІСП в тому або іншому ступені притаманний ризик виникнення помилок в роботі, зокрема і у бухгалтерському обліку, через порушення їх безпеки. Для кож­ної системи, залежно від її масштабів, структури і управ­ління, цей ризик різний. Однак зважаючи на сказане вище, можна вести мову про додаткові аудиторські ризики, по­в'язані з КІСП.

При загальному розгляді аудиторських ризиків, пов'я­заних із використаннях підприємством-клієнтом КІСП, треба мати на увазі таке: додаткові ризики можуть входити як складова до ризику контролю, якщо ми маємо на увазі КСБО. Якщо ж суттєва частина безпосе­редньо господарської діяльності підприємства базується на використанні модулів КІСП з оперативного обліку, тоді такі ризики є складовою і властивого ризику.

Всі ризики, пов'язані з використанням комп'ютерної інформаційної системи, призводять до ризиків неналежного аудиту інформаційної системи та ризиків неефективної політики інформаційної безпеки підприєм­ства. Такі ризики, пов'язані з браком або неналежним функ­ціонуванням засобів безпеки КІСП, можна розглядати в таких ас­пектах: технічному, програмному, інформаційному та організаційному [15.С 90-105].

Підвищення аудиторського ризику спричиняють пору­шення безпеки в кожному з цих аспектів. У таких пору­шень, в свою чергу, є певні передумови.

Технічні аспекти стосуються ризиків, викликаних поганою роботою апаратних засобів, браком належного технічного обслуговування і контролю. Ризик збільшується за відсутності засобів фізичної безпеки (сигналізація, замок на комп'ютері) та засобів протидії стихії (пожежна сигна­лізація, система пожежегасіння). Якщо комп'ютерна си­стема децентралізована, є географічне рознесення комп'ю­терних пристрої в ризик аудиту підвищується за рахунок введення в систему додаткової ланки — ліній зв'язку, а також за рахунок ускладнення технічного обслуговуван­ня. Ризик виникнення помилок, в свою чергу, зменшуєть­ся за наявності ведення автоматичних журналів роботи системи, регулярних технічних оглядів та передбачення додаткових апаратних вузлів, які б взяли на себе функції замість пошкодженого вузла.

Програмні аспекти аудиторських ризиків можуть сто­суватися двох типів. Ризики першого типу пов'язані з ви­користанням нелегального програмного забезпечення. Відомо, що законний власник ліцензії на використання програмного забезпечення бухгалтерського обліку має пра­во одержувати допомогу і підтримку в розробника програм­ного продукту. Оскільки фірми-розробники ретельно відстежують всі зміни в законодавстві й нормативних ак­тах, то вони вчасно вносять виправлення в свої програми, і часто безкоштовно або за незначну доплату надають їх своїм користувачам. Крім того, розробники операційних систем безкоштовно надають ліцензованим користувачам останні оновлення та виправлення, що часто стосуються безпеки і стійкої роботи операційних систем. Ця допомога і підтримка сприяють підвищенню надійності роботи з та­кою програмою, знижують аудиторський ризик. Викори­стання ж незаконно придбаної програми підвищує ауди­торський ризик, оскільки такі програми часто є застаріли­ми версіями; у них своєчасно не коригуються алгоритми розрахунків, форми звітності й документів, користувач не має супровідної документації і не може цілком правильно використовувати можливості програми.

Ризики другого типу можуть бути викликані помилка­ми в алгоритмі програми, її малим тиражем, використан­ням не за призначенням, поганою технічною підтримкою.

Поширені програми, застосовані на сотнях підприємств і в різних умовах, як правило, не мають помилок, оскільки вони були виявлені в процесі впровадження на багатьох об'єктах і виправлені. Аудиторський ризик в цьому випад­ку знижується. І навпаки, в системі, створеній в одинич­ному екземплярі програмістом, який не має економічної підготовки, швидше за все, є багато помилок. Природно, у такому разі підвищується ризик при аудиторській пе­ревірці.

Аудиторський ризик збільшується, коли відсутні або погано налагоджені організаційна політика і програмна система розподілення доступу, зокрема, у випадку коли доступ до алгоритмів може отримати людина, що не має на це повноважень (наприклад, програміст фірми-розробника після закінчення впровадження КІСП на підприємстві). З іншого боку, аудиторський ризик зменшується за наяв­ності спеціальних програмних засобів, які можуть перевіряти цілісність і незмінність програмного забезпечення (наприклад, за контрольною сумою).

Інформаційні аспекти аудиторських ризиків полягають у можливих помилках в інформації, тобто порушенні її цілісності. Таке порушення може бути результатом випад­кових помилок у вихідних даних або навмисного їх ви­кривлення. Цілісність може бути порушена в результаті ненавмисної зміни даних уповноваженим користувачем або як результат навмисної їх підробки зловмисником хакером. Крім того, джерелом можливих помилок може бути просто вчасно не помічене зникнення даних, які немає звідки відновити. Отже, аудиторський ризик підвищують брак контролю вхідних даних, регулярних перевірок інформації на цілісність, наявність або погана робота орга­нізаційної політики і систем розподілу доступу і нарешті, нерегулярна архівація інформації або її відсутність.

Крім аудиторських ризиків, які прямо випливають з використання КІСП на підприємстві, є ризики, пов'язані з персоналом, що працюють з комп'ютерною інформаційною системою.

Організаційні аспекти аудиторських ризиків пов'язані з організацією обліку і контролю при використанні КІСП, викликані недостатньою підготовкою персоналу клієнта до роботи з системою обробки даних обліку, браком чіткого розмежування обов'язків і відповідальності персоналу клієнта, незадовільною організацією системи внутрішньо­го контролю, слабкою системою захисту від несанкціоно­ваного доступу до бази даних або її відсутністю, утратою даних.

Оцінюючи ризики, пов'язані з використанням КІСП, слід пам'ятати, що в сучасних умовах погано навчений персонал є однією з найуразливіших ланок системи обробки даних. Аудитор повинен оцінити кваліфікацію облікового персо­налу у сфері комп'ютерної підготовки, інформаційних тех­нологій і конкретної облікової системи. Йому необхідно звер­нути увагу і на відношення персоналу до системи, ступінь довіри до неї. Бухгалтер, який вважає, що він швидше ви­конає роботу без використання програми, очевидно погано знайомий з її можливостями і, можливо, робить багато по­милок при обробці даних на комп'ютері.

Ризики, пов'язані з кваліфікацією аудитора, можливі в зв'язку з неправильною оцінкою системи обробки обліко­вих даних, некоректністю побудови тестів, помилковим тлумаченням результатів власне аудитором.

Враховуючи різноманітність і складність комп'ютерних технологій, аудитору бажано бути першокласним фахівцем у сфері КІСП.

Якщо ж аудитор не має таких знань відповідно до МСА 620 «Використання роботи експерта» він може залучити до перевірки сторонню особу, яка експертом у цій специфічній галузі знань..

Проте і в цьому випадку аудитор зобов'язаний мати достатнє уявлення про комп'ютерну систему клієнта в ціло­му, щоб правильно планувати, направляти і контролюва­ти роботу експерта. Слід розуміти, що експерт оцінює ком­п'ютерну систему обробки даних, а аудитор — достовірність інформації, яка міститься в звітності, сформованій за до­помогою цієї системи.