В
разделе «Характер обработки» говорится,
что использование компьютеров может
привести к тому, что в системе учета будет
сложнее получить наглядные доказательства,
чем при использовании ручных методов
и процедур. Кроме того, к таким системам
имеет доступ большее количество людей.
Можно выделить следующие особенности
обработки данных в системах КИС:
- отсутствие
первичных документов (данные могут вводиться
в компьютерную среду без сопроводительных
документов);
- отсутствие
визуального следа операции (определенные
данные могут существовать только в компьютерных
файлах. При ручной системе обычно есть
возможность проследить операцию в системе
путем оценки первичных документов, бухгалтерских
книг, записей, файлов и отчетов, а в среде
КИС след операции может существовать
частично в машиночитаемой форме, более
того, только ограниченное время);
- отсутствие
визуального результата (определенные
операции или результаты обработки могут
не распечатываться. При ручной системе
и в некоторых КИС существует возможность
визуального изучения результатов обработки.
В других КИС результаты обработки могут
не распечатываться, либо на печать будут
выводиться только сводные данные. Таким
образом, отсутствие визуального результата
может привести к необходимости получения
доступа к данным файлов, которые могут
быть прочитаны только с помощью компьютера);
- свободный
доступ к данным и компьютерным программам
(доступ к данным и изменение компьютерных
программ может осуществляться посредством
компьютера или путем использования компьютерного
оборудования, находящегося в ином месте,
следовательно, при отсутствии соответствующего
контроля возрастает вероятность несанкционированного
доступа и изменения данных и программ
на предприятии или извне).
В
разделе «Структурные и процедурные
аспекты» дается характеристика структурных
и процедурных аспектов КИС. Они включают
в себя:
последовательность выполнения (КИС выполняют
свои функ ции в точности так, как они были
запрограммированы, потенциально они
более надежны, чем ручная система, при
условии, что все виды операций и обстоятельства,
которые могут произойти, учтены и введены
в систему. В то же время компьютерная
программа, которая недостаточно хорошосоставлена
и протестирована, может постоянно неправильно
обрабатывать операции или иные данные);
- запрограммированные
процедуры контроля (характер компьютерной
обработки позволяет включать процедуры
внутреннего контроля в компьютерные
программы. Данными процедурами может
быть предусмотрено обеспечение ограниченного
визуального контроля);
- единовременное
обновление данных в различных компьютерных
файлах или в базах данных (одноразовый
ввод данных в систему учета может автоматически
обновить все записи, связанные с операцией,
таким образом, ошибочная проводка в подобной
системе учета может привести к ошибкам
в различных финансовых счетах);
- операции,
генерируемые системами (определенные
операции могут инициироваться самой
КИС без необходимости во входящих документах,
например, проценты могут подсчитываться
и относиться на остатки по счетам клиентов
автоматически на основе алгоритма, заложенного
в программу);
- уязвимость
средств хранения данных и программ (большие
объемы данных и компьютерные программы,
используемые для обработки информации,
могут храниться на таких портативных
или встроенных носителях информации,
как магнитные диски и пленка. Названные
носители информации могут быть украдены,
утеряны, преднамеренно или случайно уничтожены).
Раздел
«Внутренний контроль в среде КИС» содержит
информацию о том, что внутренний контроль
за компьютерной обработкой данных, который
помогает достигать общих целей внутреннего
контроля, включает в себя как процедуры,
проводимые с помощью ручной обработки,
так и процедуры, встроенные в компьютерные
программы.
Указанные
компьютерные процедуры контроля и
процедуры контроля при ручной обработке
обеспечивают общую систему контроля,
действующую в среде КИС (общий контроль
КИС), и конкретные средства контроля за
прикладными учетными программами (контроль
прикладных программ КИС).
В
разделе «Общий контроль КИС» говорится,
что целью общего контроля КИС является
создание структуры общего контроля за
деятельностью КИС и обеспечение достаточной
уверенности в достижении основных целей
внутреннего контроля. Общий контроль
КИС может включать в себя: организационный
и управленческий контроль; контроль за
развитием и эксплуатацией системы прикладных
программ; контроль за эксплуатацией компьютеров;
контроль за программным обеспечением;
контроль за вводом данных и программами.
К другим мерам защиты КИС относятся: внесистемное
резервное копирование данных и компьютерных
программ; процедуры восстановления на
случай кражи, утери или преднамеренного
либо случайного уничтожения; положение
о внесистемных операциях в случае масштабного
сбоя.
В
разделе «Контроль прикладных программ
КИС» дается определение цели контроля
прикладных программ КИС как установление
конкретных процедур контроля в отношении
прикладных учетных программ для обеспечения
достаточной уверенности в том, что все
операции санкционированы, зарегистрированы
и обработаны полностью, точно и своевременно.
Контроль прикладных программ КИС включает
в себя:
- контроль
за вводом (предназначен для обеспечения
достаточной уверенности в том, что операции
должным образом санкционированы до момента
их обработки на компьютере, без потерь
преобразуются в машиночитаемую форму
и записываются в компьютерную базу данных,
неправильные операции отклоняются, корректируются
и, если необходимо, своевременно вводятся
повторно);
- контроль
за обработкой и компьютерной базой данных
(предназначен для обеспечения достаточной
уверенности в том, что операции, включая
операции, генерируемые системой, надлежащим
образом обрабатываются компьютером,
не теряются, не дополняются, не дублируются
или не изменяются по ошибке, ошибки обработки
своевременно выявляются и корректируются);
- контроль
за результатами (предназначен для обеспечения
уверенности в том, что результаты обработки
точны, доступ к результатам предоставлен
только уполномоченному персоналу, результаты
своевременно передаются соответствующему
уполномоченному персоналу).
Согласно
разделу «Обзор общего контроля КИС»
аудитор обязан рассмотреть, насколько
влияние, которое общий контроль КИС оказывает
на прикладные программы КИС, важно с точки
зрения аудита. Средства общего контроля
КИС, которые относятся к некоторым или
ко всем прикладным программам, как правило,
являются взаимозависимыми, поскольку
их работа обычно существенно влияет на
эффективность контроля прикладных программ
КИС. Следовательно, может быть целесообразным
проверить структуру общего контроля
до проверки контроля прикладных программ.
В
разделе «Обзор средств контроля прикладных
программ КИС» указывается, что контроль
за вводом, обработкой, файлами данных
и результатами могут проводить персонал
КИС, пользователи системы, отдельная
группа контроля или сама прикладная программа.
Аудитор может счесть необходимым провести
тестирование средств контроля прикладных
программ, в том числе:
- контроля,
осуществляемого пользователем вручную
(если такой контроль прикладных программ
в состоянии обеспечить достаточную уверенность
в том, что результаты системы полны, точны
и правомочны, аудитор может принять решение
ограничить тестирование указанными средствами
контроля и подвергнуть проверке только
средства ручного контроля, применяемые
пользователем);
- контроля
над выходными данными системы (если в
дополнение к средствам контроля, осуществляемым
пользователем вручную, предметом тестирования
являются средства контроля, использующие
информацию, генерированную компьютером
или содержащуюся в компьютерных программах,
может оказаться возможным проверить
эти средства контроля путем исследования
выходных данных системы с применением
либо ручных, либо компьютеризованных
методов аудита. Такие выходные данные
могут быть на магнитных носителях, на
микрофишах или в виде распечаток, например
аудитор может протестировать средства
контроля, используемые субъектом применительно
к сверке итоговых показателей отчетов
с контрольными счетами Главной книги,
и данная сверка может быть протестирована
вручную.
В
противном случае, если сверка осуществляется
с помощью компьютера, аудитор может захотеть
протестировать сверку путем повторного
контроля с помощью компьютеризованных
методов аудита);
- программируемых
средств контроля (в случае определенных
компьютерных систем для аудитора может
оказаться невозможным либо в некоторых
случаях практически неосуществимым протестировать
средства контроля путем исследования
исключительно средств контроля пользователя
или выходных данных системы, например,
в прикладной программе, которая не генерирует
распечаток, касающихся утверждения важнейших
операций или действий в обход обычной
политики, аудитор может захотеть протестировать
контрольные процедуры, встроенные в прикладную
программу. Аудитор может рассмотреть
вопрос о целесообразности проведения
тестов контроля с использованием компьютеризованных
методов аудита, таких, как тестовые данные,
повторная обработка данных по операциям
или в необычных ситуациях проверка кодирования
прикладных программ).
В
разделе «Оценка» говорится, что общие
средства контроля КИС могут оказывать
глубокое воздействие на обработку операций
в прикладных программах. Если подобные
средства контроля неэффективны, то может
существовать риск возникновения искажений
и риск необнаружения таковых в прикладных
программах. Следовательно, недостатки
общих средств контроля КИС могут помешать
тестированию определенных прикладных
средств контроля КИС; однако используемые
пользователями ручные процедуры могут
представлять собой эффективное средство
контроля на уровне прикладных программ.
Российским
аналогом ПМАП № 1008 является ПСАД «Оценка
риска и внутренний контроль. Характеристика
и учет среды компьютерной и информационной
систем», цель которого заключается в
определении рисков аудита, возникающих
при проведении аудита бухгалтерской
отчетности, обусловленных влиянием систем
КОД.