Компьютеризация в аудите

  Актуальной  представляется задача разработки технологий аудиторской проверки, снижающих себестоимость не в ущерб качеству. Основным направлением ее решения является использование современных информационных технологий, компьютеризация аудита. Аудит связан с необходимостью обработки больших объемов информации, которая в современных автоматизированных системах бухгалтерского учета хранится в форме информационных массивов. Одним из путей решения задачи снижения трудоемкости аудиторских процедур является использование аудитором массивов компьютерных данных аудируемого экономического субъекта. При этом могут использоваться как существующие универсальные средства, такие, как Excel, Foxpro и т.д., так и разработанные и применяемые на постоянной основе аудиторскими организациями специальные программные средства.

  На  практике составление аудиторской документации в необходимом и достаточном объеме является весьма трудоемким процессом и требует немало времени. Использование компьютеров позволяет экономить время при составлении документации и, следовательно, снижать трудоемкость и себестоимость проверки. Многие документы, формируемые в ходе проведения машиноориентированных процедур, могут быть выведены на печать или сохранены на электронных носителях. Таким образом, в состав аудиторской документации включаются все результаты таких процедур. К таким документам могут быть отнесены расчеты, связанные с формированием аудиторских выборок на основе компьютерных данных клиента, результаты проведения аналитических процедур в виде расчетов и графиков, документы, связанные с планированием аудита, и др. Подобные документы могут также представлять собой своего рода «полуфабрикаты», используемые в дальнейшей работе (например, при атрибутивной проверке кассовых документов может быть выведен на печать перечень этих документов, попавших в выборку). Результаты проверки аудитор заносит в пустые графы документа. Одним из путей автоматизации формирования письменной информации о результатах проверки отдельных направлений учета является формализация отчета о результате проверки или ответа на конкретный вопрос программы аудита в виде таблицы с такими, например, графами: выявленные нарушения, проверенные первичные документы, регистры, суммовая оценка выявленных искажений, ответственный аудитор-исполнитель и т.д. Тогда автоматически может быть получен список, например, только тех вопросов, по которым у аудиторов возникли замечания.

  Исследование  экономического эффекта в количественной форме затруднено сложностью оценки результатов внедрения компьютеров  в практику аудита. В литературе рассматриваются обычно две стороны  экономического эффекта от внедрения каких-либо технологий в сфере обработки экономической информации: прямой и косвенный. Первый (прямой) возникает как следствие снижения себестоимости самой обработки информации, снижения затрат, в частности временных. Второй (косвенный) связан с повышением точности аудита и, следовательно, со снижением предпринимательских рисков, как аудиторской организации, так и у пользователей информации при принятии экономических решений. Одной из оценок экономической эффективности проекта внедрения компьютерных технологий в аудит служит срок окупаемости затрат. 
 
 
 
 
 
 
 
 
 
 
 
 
 

  1.4. Предпосылки создания  системы автоматизации  аудиторской деятельности

  В отличие  от автоматизации бухгалтерского учета, где на рынке программных средств  имеются разнообразные пакеты прикладных программ, начиная от простых и  кончая самыми сложными, на рынке аудиторских программ разработчики предлагают небольшой выбор законченных комплексных пакетов, но отдельные их фрагменты уже появились и активно используются. Это объясняется тем, что сегодня сложились все предпосылки для создания комплексной системы автоматизации аудиторской деятельности (СААД), охватывающей все ее основные направления.

  Известно, что использование того или иного  языка программирования, системной  среды диктуют определенные требования к представлению используемой информации в определенной «читаемой» форме. Программные средства, используемые аудитором и клиентом, могут быть различны. Большинство автоматизированных систем бухгалтерского учета используют для хранения информации стандартные базы данных (DBF, MS SQL, ACCESS и т.д.), которые позволяют организовать выборку, извлечение данных стандартными средствами работы с базами данных. Любому системному программисту под силу решить задачу извлечения необходимой аудитору бухгалтерской информации и преобразования ее в необходимую форму. Возможность использовать любую формируемую и хранимую в бухгалтерском учете информацию в виде базы данных, обрабатываемой средствами аудиторской программы, также является предпосылкой создания и использования СААД. Если бухгалтерский учет не автоматизирован (что со временем становится большой редкостью), состав аудиторских процедур, выполняемых с применением компьютера, значительно сужается. Аудитор лишается многих возможностей поиска, анализа, группировки, выбора и обработки информации, предоставляемых современными системами управления базами данных.

  Автоматизация аудиторской деятельности возможна, потому что бухгалтерский учет связан с применением различных математических приемов, регламентированных правил преобразования информации (математических формул, отображений одних множеств в другие, действий с таблицами). Математические формулы используют при расчетах оборотов, сальдо по счетам, платежей в бюджет и во внебюджетные фонды, показателей финансово-хозяйственной деятельности экономического субъекта. Примером отображения множества хозяйственных операций во множество бухгалтерских записей может служить любой справочник бухгалтерских записей (проводок). Применение и использование рабочих таблиц, классификаторов и работу с ними можно проиллюстрировать описанием взаимной увязки показателей различных форм отчетности, а также справочником-классификатором допустимых бухгалтерских записей (проводок). Все действия с информацией, выполняемые в системе бухгалтерского учета по соответствующим алгоритмам, могут быть продублированы СААД. Таким образом, может быть реализовано тестирование большинства используемых программных модулей системы бухгалтерского учета.

  Стандартизация  аудита, четкие правила его проведения и требования к формам аудиторской  документации позволяют автоматизировать составление необходимых документов и их редактирование. К ним относятся: письмо о согласии на проведение аудита, договор на проведение аудита, аудиторское заключение, обязательный набор рабочих таблиц, тестов, опросных листов и т.д.

  Высокий уровень развития математических методов экономического анализа, применяемых для анализа деятельности администрации и финансового состояния экономического субъекта экономистами, позволяют оценить, насколько оптимальны принимаемые администрацией решения, какова вероятность банкротства, потеря платежеспособности или восстановления утраченной платежеспособности. Многие задачи анализа имеют математическую постановку и, следовательно, могут решаться автоматически. Работа аудитора связана с привлечением и изучением большого количества законодательных и прочих нормативных актов, относящихся к различным временным периодам. Существующие и широко используемые информационно-справочные системы, такие, как «Гарант», «Консультант+», «Интернет» и др., тоже можно рассматривать как часть общей системы автоматизации аудиторской деятельности. Автоматизация аудиторской деятельности признана как объективно существующая реальность. В МСА применение компьютеров в аудите упоминается в шести, а в РСА - трех стандартах.⁴

  Глава 2. Применение персональных компьютеров на этапе, предшествующем аудиторской проверке

  2.1Проблема сохранности данных компьютерного учета

  Серьезной проблемой является уязвимость компьютерной информации и программного обеспечения. Причины потери информации могут  быть связаны с аппаратными и программными сбоями (крах жесткого диска, отказ операционной системы и др.). Другой причиной могут быть, например, действия лиц, не имеющих отношения к ведению бухгалтерского учета, но получивших доступ к компьютеру. Довольно часто информация теряется вследствие действия компьютерных вирусов, занесенных при установке программ (обычно - компьютерных игр), полученных из сомнительных источников. Определенная опасность связана с возможностью выхода в Интернет, использованием электронной почты при отсутствии надежной и постоянно обновляемой антивирусной защиты.

  При оценке системы внутреннего контроля в той ее части, которая связана  с обеспечением сохранности программных  продуктов и учетной информации, необходимо изучить организационные  и технические меры, принятые руководством в этом направлении. К таким мерам, в частности, относятся ограничение доступа к компьютерной технике, порядок и периодичность резервного копирования учетной информации, наличие технических средств и программных средств, таких, как источники бесперебойного питания, антивирусные программы, наличие и квалификация работников, на которых возложены обязанности сетевого администрирования (если присутствует компьютерная сеть).

  Важным  вопросом является порядок хранения резервных копий программного обеспечения и учетной информации. Известны случаи, когда покинувший предприятие по причине возникшего конфликта главный бухгалтер уничтожил программу вместе с данными или присвоил единственную резервную копию данных. Порядок хранения данных важен также с точки зрения сохранения конфиденциальности. В крупных предприятиях, банках эта проблема решается с помощью технических средств: ограничением доступа к печатающим устройствам и данным, к которым работник не имеет непосредственного отношения, изъятием дисководов для гибких носителей. Для средних и особенно малых предприятий решение, по-видимому, должно основываться на жестких организационных мерах. Пренебрежение этими мерами со стороны руководства предприятия является для аудитора основанием оценить риск использования компьютерной информации клиента как высокий.

  Общие рекомендации по оценке уровня риска, связанного с применением компьютерной обработки данных

  Приведенный перечень не претендует на полноту, может  быть дополнен на основе опыта аудиторов и найти отражение в соответствующем внутрифирменном стандарте.

  Оценка  рисков, связанных с вводом и обработкой данных, должна производиться с учетом сложности применяемой программы  бухгалтерского учета. Предложенные вопросы  могут использоваться лишь для получения первичных сведений, которые должны корректироваться в ходе аудиторской проверки. Вся информация о недостатках в организации и функционировании среды компьютерной обработки данных должна отражаться в документах аудитора.

  Под внутренним контролем в среде КОД понимается контроль компьютерной обработки данных, который включает процедуры, проводимые с помощью ручной обработки (общие средства контроля), и процедуры, встроенные в компьютерные программы (прикладные процедуры). Данные процедуры должны обеспечивать общую систему контроля, функционирующую в среде КОД и обеспечивающую достоверность бухгалтерского учета, и сохранность компьютерных данных.

  Целью общих средств контроля КОД является создание структуры внутреннего  контроля функционирования системы компьютерной обработки данных с целью достижения уверенности в надежности и эффективности ее работы. Общие средства контроля, состоящие из:

  1) организационных  и управленческих средств контроля, которые в свою очередь включают:

  общую политику руководства и процедуры, касающиеся использования компьютерных систем;

  необходимое разделение функций (например, по подготовке данных, санкционирования ввода информации, ввод информации и т.п.);

  2) контроля  разработки и эксплуатации систем  прикладных программ. Данный вид контроля позволяет получить достаточную уверенность в том, что системы, разработанные силами работников предприятия или приобретенные у производителей, функционируют эффективно и в соответствии с предъявляемыми к ним требованиями. При этом также должно быть обеспечено установление контроля над:

  тестированием, преобразованием, внедрением и документированием  новых или модифицированных систем обработки данных;

  изменением  в системах прикладных программ;

  доступом  к документации;

  переходом при необходимости на новые программные продукты;

  3) контроля  функционирования аппаратной части  среды компьютерной обработки  данных (компьютеров, серверов, сетевого  оборудования и т.п.). Этот вид  контроля должен обеспечить:

  использование систем только в дозволенных целях;

  предоставление  доступа к компьютерным системам только уполномоченному и специально подготовленному персоналу;

  использование только разрешенных программ, антивирусную защиту компьютерных данных;

  своевременное выявление и исправление ошибок, возникающих в процессе ввода информации;

  4) контроля  программного обеспечения, призванного  обеспечить достаточную уверенность  в том, что программы приобретаются,  разрабатываются и функционируют  в соответствии с предъявляемыми  требованиями, обеспечивают достоверность и сохранность данных. К процедурам, связанным с контролем программного обеспечения, относятся:

  санкционирование, утверждение, тестирование, внедрение  и документирование новых программ и модификация программного обеспечения;

  обеспечение сопровождения программных продуктов представителями организации-разработчика, своевременное обновление версий программного обеспечения;

  предоставление  доступа к программам и документации только уполномоченному и квалифицированному персоналу;