Электронная торговля – влияние на аудит финансовой отчетности (1013)

Использование Интернета для связи коммерческой организации с потребителем, партнерами и правительством приводит к возникновению новых элементов риска, которым подвержена деятельность организации и которые рассматриваются аудитором при планировании и проведении аудита финансовой отчетности. При таком аудите специалистам нужно пользоваться Положением по международной аудиторской практике 1013 "Электронная торговля: влияние на аудит финансовой отчетности".

Уровень знаний и навыков, необходимых для понимания того, как электронная торговля влияет на аудиторскую проверку, зависит от сложности коммерческой деятельности компании. Аудитор рассматривает, обладают ли сотрудники, назначенные на задание, соответствующими знаниями в области интернет-бизнеса и информационных технологий. Эти знания могут потребоваться, чтобы:

• определить степень влияния на финансовую отчетность:

– стратегии и деятельности юридического лица в сфере электронной торговли;

– технологии, используемой организацией для электронной коммерции, а также IT-навыков и знаний персонала организации;

– рисков, возникающих при использовании организацией электронной коммерции, и методов управления такими рисками;

• определить характер, временные рамки и объем аудиторских процедур, а также оценить аудиторские доказательства;

• рассмотреть степень влияния электронной торговли на способность организации непрерывно функционировать.

Здесь аудитор может использовать также работу эксперта, например, когда необходимо проверить уязвимость системы безопасности организации или возможность проникновения в нее. Если аудитор решил использовать работу эксперта, ему следует получить достаточное и уместное аудиторское доказательство того, что такая работа адекватна целям аудиторской проверки.

В процессе получения информации о бизнесе организации аудитор должен рассмотреть влияние на финансовую отчетность:

• коммерческой деятельности организации и отрасли, в которой она функционирует;

• стратегии электронной торговли организации;

• степени использования электронной торговли;

• внешних мероприятий (использование услуг организаций, например поставщиков прикладных систем и т.д.).

Руководство организации сталкивается со многими рисками, связанными с электронной торговлей, включая:

• потери операционной целостности информационной системы;

• распространяющиеся риски безопасности электронной торговли, включая вирусные атаки и потенциальные потери в случае мошенничества клиентов, служащих и других лиц через неправомочный (неавторизированный) доступ;

• неадекватную учетную политику организации, связанную с капитализацией расходов (например, затраты на развитие сайта), недоразумениями в сложных договорах, переводом иностранных валют, созданием резервов на гарантии или возвраты и с проблемами признания дохода;

• несоблюдение действующего законодательства, в том числе в области налогообложения, особенно в случаях, когда осуществляются экспортно-импортные сделки через Интернет;

• отсутствие гарантии обязательности контрактов, заключенных только электронными средствами;

• сбои в информационной системе.

Организация реагирует на риски, возникающие в электронной торговле, путем создания системы безопасности, связанных с ней средств контроля и разработки предупредительных мер:

• проверки идентичности клиентов и поставщиков;

• получения гарантии целостности сделок;

• получения соглашений на условия сделки;

• получения оплаты и обеспечения средств обслуживания кредита для клиентов;

• установления секретности и защиты информационных протоколов.

Аудитор должен рассмотреть, соответствуют ли целям финансовой отчетности контрольная среда и процедуры контроля, которые организация применяет в деятельности по электронной торговле. Нужно обратить внимание, что электронные операции не оформляются бумажными записями, а электронные записи могут быть легко уничтожены или изменены, причем доказательств изменения или уничтожения не останется. Аудитор рассматривает, является ли безопасность информационной политики организации и средств контроля безопасности соответствующей, позволит ли она предотвратить неправомочные изменения в системе учета и составления отчетности или в системах обеспечения данных учета.

Аудитор может проверить автоматизированный контроль, например, целостность электронного доказательства, электронные печати данных, цифровые подписи. В зависимости от оценки этого контроля он может выполнить дополнительные процедуры, например, провести подтверждение операций или остатков на счете с третьими лицами.

Аудиторское заключение по проекту внедрения дает целостную картину процесса, позволяющую оценить состояние дел на текущем этапе, перечень недостатков, несоответствий, возможных рисков и включает рекомендации по их устранению.

Заключение позволит руководителям оценить качество внедрения, возможности системы, приоритетность планируемых задач и выбор дальнейшей стратегии развития.

Аудиторское заключение представляется в виде "Наблюдение – Риски (возможные последствия) – Рекомендации (желательные и необходимые мероприятия)". По результатам проверки составляется подробное заключение по всем существенным вопросам:

• оценка степени автоматизации и настройки учетных процессов;

• адекватность контрольных процедур;

• анализ однородности и совместимости системных решений;

• анализ рисков, связанных с внедрением новых информационных систем;

• ошибки и несоответствия в автоматизированных системах;

• мониторинг работоспособности и производительности информационных систем, реакция и действия в критических ситуациях;

• вопросы сохранности информации и восстановления данных;

• оценка качества информационной безопасности (организация и управление ролями и полномочиями в компьютерных информационных системах, парольная политика, аудит событий и действий пользователей, контроль несанкционированного доступа);

• структура ролей в IT-отделе и степень зависимости безопасности компании от кадров данного отдела, оценка квалификации сотрудников и процесс поддержания полноты и актуальности базы знаний в данной области, мотивация персонала с целью снижения риска потери ценных кадров, обладающих реальным практическим опытом.

Специфические правила аудита компьютерных систем обозначены также в MCA 1001 "Использование среды КИС (компьютерных информационных систем) – автономных компьютеров", MCA 1002 "Использование среды КИС – интерактивных компьютерных систем", MCA 1003 "Использование среды КИС – систем баз данных", MCA 1008 "Оценка рисков и системы внутреннего контроля в системах КИС и связанные с ними вопросы".