Основные принципы аудита

3. Интерактивный  режим/обновление файла меморандума (и дальнейшая обработка): сочетание предыдущих двух режимов, когда отдельные операции незамедлительно обновляют информацию файла меморандума, на основе которого потом делаются запросы. Те же операции добавляются в файл с операциями для последующего подтверждения и обновления основного файла на основе групп данных.

4. Интерактивный  режим справок: пользователи устройств  терминалов могут только получать  справки об основных файлах (например, о кредитном статусе клиента).

5. Обработка считываемых/загружаемых данных в интерактивном режиме: данные основного файла переносятся в интеллектуальное устройство терминала для дальнейшей обработки их пользователем (например, загрузка данных, касающихся филиала, из файла головного офиса в устройство терминала филиала для подготовки финансовых отчетов; после обработки данные могут быть загружены в компьютер головного офиса).

Риск мошенничества  или ошибки при применении интерактивных  компьютерных систем снижается в  следующих случаях:

- ввод данных производится на объекте происхождения' Ьпера-ций или поблизости от него;

- недействительные  операции исправляются и вводятся  повторно незамедлительно;

- персонал, вводящий  операции, владеет знаниями об  их характере;

- обработка операций  производится непосредственно после их ввода.

Риск искажений  в интерактивных системах возрастает по следующим причинам:

- интерактивные  устройства терминала расположены  в различных помещениях;

- несанкционированным  (в том числе дистанционным)  пользователям предоставляются  возможности доступа к файлам, модификации операций или сальдо, компьютерных программ;

- в работе  телекоммуникационных систем возможны  сбои.

Действия аудиторов  при проверке клиента, использующего  интерактивные компьютерные системы, подразделяются на следующие этапы:

- на стадии  планирования:

- включение в  группу специалистов, обладающих  техническими навыками работы  с данными системами и сопутствующими  средствами контроля;

- определение  риска средств контроля с учетом  влияния на них интерактивных  компьютерных систем;

- при выполнении  процедур одновременно с интерактивной  обработкой:

- проверка соответствия  средств контроля за работой  программ с помощью ввода тестовых  операций или применения аудиторского  программного обеспечения;

- после обработки  операций:

- проверка соответствия средств контроля установленным требованиям (санкционирование, полнота, точность);

- проверка операций  и обработки их результатов  по существу;

- повторная обработка  операций.

ПМАП 1003 описывает  влияние баз данных на систему  бухгалтерского учета и внутреннего контроля клиента. Системы баз данных состоят из базы данных и системы управления базой данных (СУБД). Системы баз данных характеризуются совместным пользованием данными и независимостью данных. СУБД записывает данные один раз, и они могут использоваться различными прикладными программами. Для отслеживания нахождения сведений в базе СУБД использует так называемый словарь данных. Специальная группа лиц занимается администрированием данных, т.е. координацией использования и определения данных, поддержанием их целостности, безопасности, точности и полноты.

Внутренний контроль в условиях баз данных характеризуется  использованием следующих средств:

- стандартным  подходом к разработке и поддержке  прикладных программ;

- определением  конкретных пользователей данных;

- ограничением  доступа к базе данных;

- распределением  обязанностей и ответственности  за разработку, внедрение и эксплуатацию  баз данных между техническим,  проектным, административным персоналом  и пользователями.

Повышению надежности систем бухгалтерского учета и внутреннего контроля при применении баз данных способствуют следующие факторы:

- однократность  записи и обновления данных  в отличие от КИС, где данные  хранятся в разных файлах и  обновляются в разное время'разными  программами;

- использование  средств безопасности и контроля, включенных в СУБД;

- наличие отдельных  функций контроля — генераторов  отчетов и языков запросов, применяемых  для выявления противоречий в  данных.

Аудитор должен при планировании аудита учесть присутствие  или отсутствие вышеперечисленных характеристик и факторов, с тем чтобы принять решение об оценке эффективности системы внутреннего контроля клиента. Аудиторские процедуры могут включать использование функций СУБД для генерирования тестовых данных, проверки целостности базы данных, предоставления доступа к базе данных аудиторского программного обеспечения. Если аудитор решает не полагаться на средства контроля в системе баз данных, он должен попытаться достичь своей цели с помощью проверки по существу значительных бухгалтерских программ, использующих базу данных.

 

1.2. Методы аудита  с использованием компьютеров  

ПМАП 1009 «Методы  аудита с использованием компьютеров» предусматривает использование  компьютерной техники в качестве инструмента аудита.

Аудиторское программное обеспечение может быть представлено:

1. пакетом программ, предназначенных для чтения компьютерных  файлов, отбора информации, проведения  расчетов, создания файлов с данными  и печати отчетов;

2. программами  специального назначения, разработанными аудитором, субъектом или внешним программистом, для выполнения аудиторских задач в конкретных условиях;

3. программами-утилитами,  которые используются субъектом  для сортировки, создания и печати  файлов; в этих же целях их  может применять аудитор.

При проведении аудиторских процедур методом тестовых данных операции вносятся в компьютерную систему субъекта, полученные результаты сравниваются с заранее определенными данными.

Кроме того, методы аудита с использованием компьютера могут применяться при проведении:

- детальных тестов  операций и сальдо;

- аналитических  процедур обзора;

- проверки эффективности  общих и прикладных средств  контроля КИС.

В процессе планирования для принятия решения об использовании  методов аудита с применением  компьютера (МАК) следует учитывать:

- знания, навыки  и опыт работы аудитора с  компьютером;

- технические  возможности, эффективность и  целесообразность применения МАК;

- период хранения  файлов с проверяемыми операциями  в компьютерной системе субъекта.

Если аудитор  решил использовать МАК, он должен:

1. установить  цели применения МАК;

2. определить  содержание файлов субъекта и  порядок доступа к ним;

3. отобрать хозяйственные  операции, которые предполагается  протестировать;

4. определить  процедуры, которые необходимо  применить по отношению к данным, и требования к полученным результатам;

5. назначить  аудиторов и специалистов по  компьютерной обработке данных;

6. уточнить оценку  затрат и выгод, связанных с  применением МАК;

7. обеспечить  контроль и документирование  процесса использования МАК;

8. организовать  административную работу;

9. после применения  МАК оценить полученные результаты.

Аудитор должен контролировать использование МАК  с тем, чтобы обеспечить соответствие работы аудиторским целям и не допустить манипуляций со стороны  работников субъекта. Процедуры контроля могут включать:

- участие в  разработке и тестировании компьютерных  программ;

- проверку обеспечения  соответствия программ установленным  характеристикам;

- ознакомление  с инструкцией по операционной  системе (с помощью специалистов субъекта) с целью определения возможности инсталляции программ в компьютерную систему субъекта;

- апробирование  аудиторского программного обеспечения  на тестовых файлах до его  запуска;

- обеспечение  использования правильных файлов;

- анализ контрольной информации с целью проверки правильности работы аудиторского программного обеспечения;

- принятие мер  безопасности для защиты от  манипуляций с файлами данных  субъекта.

При проведении контрольных процедур не требуется  присутствие аудитора в компьютерном отделе. Однако аудитор может расширить возможности контроля, находясь непосредственно на месте проведе­ния процедур.

В компьютерной среде малого бизнеса аудитору надо учитывать следующие аспекты:

- общий контроль  КИС может осуществляться не  на должном уровне. Это приведет к повышению объема детальных тестов и процедур аналитического обзора;

- при обработке  небольших объемов данных использование  МАК может оказаться менее  эффективным по сравнению с  традиционными методами работы  аудитора;

- недостаточная  техническая оснащенность проверяемого субъекта может создать препятствия для использования МАК. При этом аудитору необходимо рассмотреть возможность работы с файлами субъекта с помощью другой подходящей компьютерной техники.