Методика проведення аудиту в умовах застосування комп'ютерних облікових систем
Загальна послідовність процедур при аудиті в умовах застосування комп’ютерних облікових систем наведено на рис. 1.3.
Рис. 1.3. Послідовність проведення аудиту в комп’ютерному середовищі
Організація аудиту в умовах комп'ютерної обробки даних потребує перевірки функціонування самої автоматизованої інформаційної системи шляхом тестування засобів контролю, які діють у цій системі.
Міжнародні стандарти аудиту виділяють два поняття, пов'язані із використанням інформаційних технологій на підприємствах — середовище комп'ютерних інформаційних систем і середовище комп'ютерних інформаційних технологій.
Середовище комп'ютерних інформаційних системнаявне тоді, коли комп'ютер будь-якого типу або розміру використовується суб'єктом господарювання для обробки фінансової інформації, суттєвої для аудиторської перевірки, незалежно від того, чи цей комп'ютер використовується самим суб'єктом господарювання або третьою стороною.
Середовище інформаційних технологій— це політика і процедури, які застосовує суб'єкт господарювання і ІТ-інфраструктура (технічні засоби, операційні системи тощо), а також прикладне програмне забезпечення, що він використовує для забезпечення господарської діяльності й досягнення стратегічних цілей бізнесу3. Очевидно, перше стосується КСБО, друге — КІСП.
В умовах застосування КІСП і КСБО організація і методика проведення аудиту суттєво змінюється, оскільки здійснення її за методиками, орієнтованими на паперовий облік, не дає необхідного результату. Застосування КІСП впливає:
• на процедури, які використовує аудитор в процесі отримання достатнього уявлення про системи бухгалтерського обліку і внутрішнього контролю підприємства;
• на процес оцінки властивого ризикуі ризику системи засобів контролю;
• на розробку і здійснення аудитором тестів системи контролю і процедур перевірки по суті, необхідних для досягнення мети аудиту — формування аудиторського висновку.
Далі аудитор вивчає структуру КІСП клієнта, зокрема ступінь концентрації або розподілу комп'ютерної обробки даних в рамках суб'єкта господарювання, її вплив на розподіл обов'язків виконавців і доступність комп'ютерних даних для безпосереднього вивчення. Первинні документи, комп'ютерні файли й інша інформація, необхідна для складання аудиторських доказів, можуть існувати тільки протягом короткого періоду або у форматі, доступному тільки для перегляду на комп'ютері. У цьому випадку аудитор застосовує спеціальні методи дослідження інформації.
Під час перевірки аудитору слід вивчити й оцінити систему документообігу економічного об'єкта, порядок формування, реєстрації, збереження, обробки документів і трансформації первинних документів у систему записів на бухгалтерських рахунках. Варто з'ясувати місця виникнення первинної інформації і ступінь автоматизації її збору і реєстрації. При використанні спеціальних засобів автоматизації збору і реєстрації інформації (датчиків, лічильників, ваг, сканерів штрихових кодів тощо) аудитор повинний переконатися в тому, що тестування цих пристроїв фахівцями проводиться регулярно, при виявленні відхилень результати належним чином оформлюють і вживають відповідних заходів.
Перше уявлення про рівень автоматизації складання первинних документів аудитор може отримати і при знайомстві зі схемою розташування автоматизованих робочих місць (АРМ) на підприємстві: якщо АРМ, розташовані в місцях виникнення первинної інформації (на складах, у цехах), це свідчить про високий рівень залучення КІСП в облікову систему підприємства. Відсутність АРМ у виробничих підрозділах підприємства свідчить або про ручний спосіб складання документів з подальшою передачею їх у бухгалтерію, або про те, що документи формуються в самій бухгалтерії. Тобто рівень автоматизації на такому підприємстві може бути низьким, за виключенням підприємств із невеликим обсягом документів.
Також аудитор зобов'язаний оцінити, наскільки модель документообігу, реалізована програмним забезпеченням КІСП, раціональна і ефективна для об'єкта, який перевіряють. Великі підприємства звичайно працюють із застосуванням моделі повного документообігу. Для них важливо проаналізувати розподіл функцій між службами оперативного управління і бухгалтерією, інформаційні зв'язки різних підрозділів з бухгалтерією, простежити рух окремих документів і їх взаємозв'язок, зрозуміти, як підтримується система між документальних зв'язків, де зберігаються електронні копії документів, і як забезпечений до них доступ облікових працівників.
На підприємствах, які автоматизують тільки бухгалтерський облік, аудитору необхідно звернути увагу на такі моменти:
• дотримання часового інтервалу між виписуванням документа, здійсненням операції і відображенням її в обліку;
• можливість збереження документів в системі після їх роздрукування;
• зв'язок документів і сформованих бухгалтерських проводок.
Аудитор повинен дати характеристику способам введення даних і формування записів про господарські операції. Автоматизована й автоматична генерація бухгалтерських записів і проводок на основі типових операцій і електронних форм документів часто дозволяє уникнути багатьох помилок, що неминучі при ручному веденні й формуванні проводок. Слід вивчити організацію збереження інформації про господарські операції, можливість швидкого одержання інформації про господарські операції, документи і виведення її на друк.
З іншого боку, у комп'ютерному обліку ряд операцій, таких як нарахування відсотків, закриття рахунків, визначення фінансового результату, може ініціюватися самою програмою. Отже, за такими операціями може не бути будь-яких організаційно-розпорядчих або виправдовувальних документів. У такому разі обов'язок аудитора — ретельно перевірити правильність алгоритмів розрахунків. Помилка, закладена в алгоритм розрахунку і повторена багато разів в повторюваних господарських операціях, може спотворити результат господарської діяльності. У процесі перевірки алгоритмів розрахунку сум при веденні господарських операцій контролюється також правильність формування проводок. Особливо ретельно перевіряються алгоритми операцій, що ініціюються самою програмою.
Аудитору слід перевірити алгоритм на відповідність чинному законодавству і обліковій політиці підприємства і з'ясувати можливість коригування алгоритму
В обов'язки аудитора входить оцінка можливостей системи, що використовується клієнтом щодо створення і формування нових форм внутрішньої або зовнішньої звітності: розгляд механізмів роботи з первинною інформацією, можливостей її розшифровки і швидкого виявлення і виправлення помилок; проведення тестування результатів обробки, щоб знайти, наприклад, неправильно розраховане сальдо на рахунках; тестування перенесення облікових даних в звітність, особливо в тому випадку, якщо показники форми звітності в системі заповнюються "вручну" перенесенням зі сформованих програмою стандартних звітів (облікових регістрів).
Особлива увага приділяється перевірці надійності засобів внутрішнього контролю в середовищі комп'ютерної обробки даних. Облікова політика, що орієнтується на автоматизовану інформаційну систему бухгалтерського обліку, має обов'язково передбачати елементи внутрішнього контролю. Аудитор повинен виявити слабкі місця стосовно контролю системи комп'ютерного обліку — розглянути як апаратні, так і програмні засоби контролю, а також організаційні заходи перевірки цілісності даних і відсутності комп'ютерних вірусів.
Засоби і методи контролю в КІСП (докладніше див. Параграф 1.3.) значно відрізняються один від одного: деякі з них покликані запобігати помилкам, а призначення інших — виявляти та виправляти їх.
Відповідно до Міжнародних стандартів аудиту[13]. класифікація засобів і методів контролю КІС може бути узагальнена за допомогою такої матриці (рис. 1.4).
Загальні засоби контролю | Засоби контролю прикладних програм | |
Засоби контролю доступу і безпеки | Адміністративні засоби контролю (обмеження фізичного доступу до комп'ютерних засобів, стандарти функціонування комп'ютерних систем, розробка заходів на випадок стихійних-лих, пожеж тощо, організація відділу ІТ, організація резервного копіювання інформації) | Засоби контролю доступу (обмеження доступу на рівні паролів, іншої ідентифікації користувача тощо, архівне копіювання даних), контроль цілісності даних |
Засоби, контролю обробки інформації | Надійність сервісного обслуговування інформаційної системи, засобів контролю розробки і модифікації програм | Засоби контролю функціонування інформаційної системи (контролю введення, контролю обробки та контролю виведення інформації) |
Рис.1.4. Матриця засобів контролю КІС відповідно до Між народних стандартів аудиту
Таким чином, загальні засоби ІТ-контролю — це методики і процедури, які стосуються багатьох прикладних програм і забезпечують ефективне функціонування засобів контролю прикладних програм, допомагаючи гарантувати постійне належне функціонування інформаційних систем Загальні засоби ІТ-контролю звичайно включають засоби контролю над центрами даних і мережевими операціями; придбання системного програмного забезпечення, його зміну і підтримку; безпеку доступу; а також придбання прикладних програм, їх розвиток і підтримку.
Натомість, засоби контролю прикладних програм алгоритмічно реалізованих механізмів контролю в конкретному програмному забезпеченні.
Іншим способом тестування програмних засобів контролю системи може бути перевірка програмної логіки. Завдання цього тестування — переконатись, що система робить те і тільки те, що закладено в документації і що вона робить це правильно. Проте воно висуває високі вимоги до комп'ютерної підготовки аудитора. Бажано, щоб він розумів мову програмування конкретної програми. Це дасть йому змогу не тільки протестувати алгоритм на конкретних даних, а й розібратися в правильності його налагодження, наприклад при використанні шаблонів для введення типових операцій, доступ до зміни яких має непрофесійний користувач — наприклад, бухгалтер "1С: Бухгалтерія". Процес дещо полегшується, якщо програма правильно розроблена та до неї наявна документація, в якій показано відповідні блок-схеми із зображенням всього процесу обробки даних.
Прикладом вбудованих засобів контролю вихідних даних може бути приклад обмеження перегляду інформації за рахунками для різних користувачів, яку можна впровадити у конфігураціях програми "1С:Предприятие 7.7, 8.0,8.2"
Тестові дані— це бухгалтерські документи, операції і проводки, що не відображають реальних фактів господарського життя, а спеціально підготовлені аудитором для перевірки програмних алгоритмів, реалізованих в обліковій системі підприємства-клієнта. Тестові дані вводять в КІСП і порівнюють фактичні результати з прогнозом аудитора. Якщо контрольні підсумки дорівнюють фактичним, правильність роботи програми визнається доведеною. Аудитор може застосовувати спеціальне програмне забезпечення, що створює тестові дані (генератор тестових даних). Звичайно частину таких уявних тестових господарських операцій та документів аудитор навмисне робить некоректними з погляду законодавства та загальноприйнятої бухгалтерської практики. При цьому аудитор знає, який саме результат має видати програма. Наприклад, для перевірки правильності нарахування податку на доходи фізичних осіб аудитор може ввести в комп'ютер клієнта значення певної суми заробітної плати та переконатися в правильності отриманого результату. Якщо результат, який на виході надає програмна система клієнта, не збігається з розрахунками аудитора, це є підставою для проведення ретельного дослідження причин та з'ясування можливих наслідків таких розходжень, включно з вивченням алгоритмів щодо конкретної ділянки обліку.
Метод тестових (контрольних) даних може бути ефективним у наступних ситуаціях аудиту:
1) при тестуванні засобів контролю вхідних даних, включаючи процедури підтвердження даних;
2) при тестуванні логіки обробки даних та засобів контролю з метою підтвердження правильності головних файлів;
3)при тестуванні розрахунків, здійснених всередині програм, зокрема: визначення відсоткових ставок, знижок, комісій, підрахунків зарплати чи амортизації;
4) при тестуванні ручних процедур чи засобів контролю, що стосуються комп'ютерної системи, особливо процедур з вхідними та вихідними даними.
У всіх випадках аудиторські процедури слід проводити не з оригінальними файлами суб'єкта перевірки, а з копіями цих файлів, оскільки будь-які їх зміни, що здійснюються аудитором, та можливе пошкодження не мають впливати на інформацію в системах комп'ютерної обробки даних. У тому випадку, коли контрольні дані обробляються в рамках звичайного процесу обробки інформації суб'єкта, аудитор повинен пересвідчитись в тому, що контрольні господарські операції вилучені з облікових записів підприємства.