<<
>>

Положения, поясняющие использование компьютерных информационных систем в ходе аудита. 7.1.1. Особенности аудиторской проверки в среде компьютерных информационных систем

Положения по международной аудиторской практике (ПМАП), посвященные компьютерным технологиям в аудите, условно подразделяются на две группы:

1) отражающие особенности компьютерных информационных систем субъекта (в эту группу входят ПМАП 1001—1003, 1008);

2) характеризующие компьютеры как средство выполнения аудиторских процедур (ПМАП 1009).

ПМАП 10011003 изданы как приложения к МСА 400 «Оценка рисков и система внутреннего контроля», но не являются его частью.

Ниже рассмотрено содержание ПМАП 1001, 1002, 1003 и 1008.

Целью ПМАП1001 «Среда КИС— автономныемикрокомпьютеры» является оказание помощи аудитору в выполнении требований МСА 400 и ПМАП 1008 путем описания микрокомпьютерных систем, используемых как самостоятельные рабочие станции.

Микрокомпьютеры в терминологии ПМАП — это персональные компьютеры, или ПК. Микрокомпьютеры могут использоваться как средство обработки бухгалтерских проводок и подготовки финансовой отчетности. Поэтому возникает необходимость в определенных средствах внутреннего контроля и аудиторских процедурах в отношении систем ПК.

Микрокомпьютер может использоваться в различных конфигурациях.

Поэтому ПМАП 1001 выделяет следующие основные конфигурации:

1) самостоятельная рабочая станция, используемая одним пользователем или несколькими пользователями поочередно, которые могут работать с одной или разными программами;

2) локальная сеть микрокомпьютеров, т.е. когда несколько микрокомпьютеров объединены посредством использования специальных программ и коммуникационных линий;

3) подключенная система, т.е. рабочая станция, соединенная с центральным компьютером.

Среда компьютерных информационных систем (КИС), в которой используются микрокомпьютеры, является менее сложной, чем среда КИС, контролируемая централизованно.

В связи с этим в среде микрокомпьютеров внутренний контроль может быть существенно ослаблен:

а) прикладные программы могут быть легко разработаны пользователями;

б) поскольку данные обрабатываются компьютером, пользователи такой финансовой информации могут без разумных на то оснований чрезмерно полагаться на нее;

в) так как микрокомпьютеры ориентированы на индивидуальных конечных пользователей, точность и достоверность подготовленной информации будет зависеть от средств внутреннего контроля, установленных руководством или пользователем.

В ПМАП 1001 перечислены процедуры безопасности и контроля, которые могут повысить общий уровень внутреннего контроля. Группировка основных процедур представлена в табл. 7.1.

Влияние ПК на систему бухгалтерского учета и связанные с ней механизмы внутреннего контроля зависят:

- от степени использования микрокомпьютеров в бухгалтерском учете;

- вида и значимости обрабатываемых финансовых операций;

- характера используемых файлов и программ.

Ключевыми факторами средств контроля КИСявляются:

1) Общие средства контроля КИС — разделение обязанностей, в том числе:

- инициирование и авторизация исходных документов;

- ввод данных в систему;

- управление компьютером;

- изменение программ или распространение выходных данных;

- модификация операционной системы.

2) Прикладные средства контроля КИС:

- системы регистрации операций и сверки данных по группам;

- непосредственное наблюдение;

Таблица 7.1. Процедуры безопасности и контроля, повышающие общий уровень внутреннего контроля в среде микрокомпьютеров

Процедура Содержание процедуры

Разрешение руководства на использование микрокомпьютеров Введение и обеспечение соблюдения инструкций по использованию и контролю за автономными микрокомпьютерами

Физическая безопасностьоборудование Ограничение доступа к неиспользующимся ПК посредством дверных замков и других мер безопасности в нерабочее время

Физическая безопасностьвстроенные и автономные носители Возложение ответственности за автономные носители информации на служащих, в чьи обязанности входит хранение программного обеспечения

Сохранность программ и данных Установка в прикладных программах средств для обеспечения обработки и чтения данных исключительно по разрешению и для предотвращения удаления данных (пароли, криптография, скрытые файлы и т.п.)

Целостность программного обеспечения и информации Проверка формата и областей, а также перекрестная проверка результатов.

Адекватная письменная документация на прикладные программы. Разделение мест использования и хранения копий программ

Поддержка оборудования, программного обеспечения и данных Поддержкаэто планы субъекта по получению доступа к аналогичному оборудованию, программному обеспечению и данным в случае сбоя, потери или поломки оригинала

- сверка учетных записей или сальдо по секциям и т. п.

Для обеспечения эффективного внутреннего контроля КИС может быть создано независимое подразделение.

Среда ПК оказывает влияние и на аудиторские процедуры: так как руководство может считать нецелесообразным внедрение надлежащих средств контроля в микрокомпьютерной среде, аудитор зачастую вправе предположить, что риск средств контроля в таких системах высок. Поэтому аудитор может сосредоточить свои усилия на проверках по существу в конце или ближе к концу года. Компьютерные методы аудита могут включать:

1) использование программного обеспечения клиента (баз данных, электронных таблиц, программных продуктов);

2) использование собственного программного обеспечения аудитора (например для включения операций или сальдо в файлы данных для сравнения с контрольными записями или сальдо счетов в главной книге).

Если микрокомпьютерные системы обрабатывают большое количество операций, целесообразнее провести аудиторскую работу по этим данным на предварительную дату.

В табл. 7.2 приведены примеры процедур контроля, которые аудитор может проанализировать, если он намерен полагаться на внутренний контроль за учетом на ГТК.

Таблица 7.2. Примеры процедур контроля, которые может проанализировать аудитор, чтобы полагаться на внутренний контроль за системой микрокомпьютеров

Область

внутреннего

контроля

Содержание процедуры внутреннего контроля

Разделение обязанностей и контроля Разделение функций

Ротация обязанностей между сотрудниками

Сверка сальдо в системе и контрольных счетов в главной

книге

Периодический контроль руководства за порядком обработки и отчетами, в которых указаны пользователи систем

Доступ к микрокомпьютеру и его файлам Размещение микрокомпьютера в пределах зоны видимости лица, ответственного за контроль доступа к нему

Использование замков на компьютерах и терминалах

Использование паролей для доступа к ПК, программам и файлам

Ограничение по использованию программных утилит

Использование программного ; обеспечения тре| тьих лиц Проверка прикладных программ до покупки

Адекватное тестирование программ и их модификаций до начала эксплуатации

Постоянная оценка соответствия программы потребностям пользователя

В ПМАП1002 «Среда КИС — интерактивные компьютерные системы» описаны результаты влияния интерактивных компьютерных систем на бухгалтерскую систему и связанные с ней средства внутреннего контроля, а также аудиторские процедуры.

Интерактивные компьютерные системы — компьютерные системы, которые предоставляют пользователям прямой доступ к данным и программам через терминал.

Такие системы могут основываться на базе: а) компьютеров «мэйнфрэйм» (сервера); б) миникомпьютеров или в) микрокомпьютеров, являющихся частью сетевой среды. ПМАП 1002 описывает различные типы устройств терминала (табл. 7.3).

Терминалы по месту их расположения могут быть локальными (напрямую связанными с компьютером посредством кабеля) и удаленными (требующими применения телекоммуникаций).

Таблица 7.3. Типы устройств терминала

| Тип устройства Разновидность

устройства Назначение

Терминал основного назначения Основная клавиатура и экран Ввод данных без проверки или вывод данных на экран

«Разумный» терминал Обеспечение функций основной клавиатуры и экрана с дополнительными функциями проверки данных, ведения журналов операций и другой локальной обработки

Микрокомпьюте

ры Выполнение всех «интеллектуальных» функций «разумного» терминала с дополнительными возможностями обработки и хранения

Терминал специального назначения Устройства в местах реализации (пунктах продажи) Учет операций реализации по мере их совершения и передача данных о них в главный компьютер

Банковские автоматы (банкоматы) Осуществление, проверка, запись, передача и завершение выполнения разнообразных банковских операций

Интерактивные компьютерные системы классифицируют по способам ввода информации в систему, способам ее обработки и времени получения результатов пользователем (табл. 7.4).

Интерактивные компьютерные системы имеют следующие основные характеристики, значимые для аудитора:

- при вводе данных в интерактивном режиме они обычно подвергаются незамедлительной проверке;

- пользователи могут иметь интерактивный доступ к системе, что позволяет им выполнять различные функции;

- система может быть разработана таким образом, что она не будет предоставлять вспомогательные документы для всех

Таблица 7.4. Классификация интерактивных компьютерных систем

Тип системы Описание Пример

Интерактивный режим/ обработка в режиме реального времени Отдельные операции вводятся в устройстве терминала, проверяются и используются для незамедлительного обновления связанных с ним файлов компьютера Получение наличных средств клиента, зачисляемых напрямую на его счет

Интерактивный режим/ обработка групп данных Операция вводится в устройство терминала, группируется идобавляется в файл операций, введенных в течение периода Проводки бухгалтерских книг вводятся в файл проводок, но основной файл главной книги обновляется ежемесячно

Интерактивный режим/ обновление файла меморандума (и дальнейшая обработка) Сочетает интерактивный режим/ обработка в режиме реального времени и интерактивный режим/ обработка групп данных Снятие денег через банкомат, когда сумма сверяется с остатком счета клиента в файле меморандума и незамедлительно отражается на счете клиента

Интерактивный режим справок Получение справок об основных файлах, которые обновляются другими системами Запрос о кредитном статусе конкретного клиента перед принятием заказа

Обработка считываемых/ загружаемых данных в интерактивном режиме Перенос данных основного файла в интеллектуальное устройство терминала для дальнейшей обработки их пользователем Данные головного офиса по 1 филиалу могут загружаться в устройство терминала филиала и возвращаться после обработки в головной офис

операций, введенных в систему, но эти сведения могут быть получены дополнительно;

- программисты могут иметь доступ к интерактивной системе, позволяющий им разрабатывать новые программы и модифицировать имеющиеся.

Средства внутреннего контроля интерактивных компьютерных систем подразделены на две группы: общие средства и прикладные средства. Перечень конкретных процедур по этим двум группам представлен в ПМАП 1002 и обобщен в табл. 7.5 настоящего пособия.

Влияние интерактивных компьютерных систем на систему бухгалтерского учета и сопутствующие риски зависит:

- от степени использования компьютерных систем для обработки бухгалтерских приложений;

- типа и значимости обрабатываемых финансовых операций;

- характера файлов и программ, используемых в приложениях.

Таблица 7.5. Средства внутреннего контроля интерактивных компьютерных систем

Перечень средств контроля Содержание

Общие средства

Средства контроля за доступом Ограничение доступа к программам и данным

Контроль за паролями Установка и обслуживание паролей для уполномоченных пользователей

Контроль за совершенствованием и обслуживанием систем Включение в систему в ходе ее совершенствования средств контроля за прикладными программами (паролями, процедурами подтверждения и т.д.)

Средства контроля программирования Предотвращение или обнаружение ненадлежащих изменений в компьютерных программах

Журналы операций Отчеты, предназначенные для создания аудиторского «следа» для каждой интерактивной операции (с отражением источника операции и ее элементов)

Прикладные средства

Санкционирование до начала обработки Разрешение на осуществление операции

Редактирование устройства терминала, тесты на обоснованность и другие тесты подтверждения Программы, ежедневно проверяющие полноту, точность и обоснованность вводимых данных и результатов обработки

Процедуры отнесения к надлежащему периоДУ Обеспечение обработки операций в соответствующем отчетном периоде

Контроль файлов Процедуры, обеспечивающие обработку в интерактивном режиме с использованием правильных файлов данных

Контроль за основными файлами Изменения в основных файлах контролируются с помощью процедур, данных об операциях

Сопоставление Процесс установления контроля за итоговыми значениями данных, переданных для обработки через устройства терминала в интерактивном режиме, и сопоставления контрольных итогов

Факторы роста и снижения риска мошенничества и ошибок в интерактивных системах перечислены в табл. 7.6.

Интерактивные компьютерные системы могут оказывать влияние и на средства внутреннего контроля:

- исходные данные могут иметься не по всем вводимым операциям;

- результаты обработки могут быть слишком обобщенными;

- интерактивные компьютерные системы могут быть не предназначены для предоставления печатных отчетов, а редактирование отчетов может быть затруднено сообщениями на дисплее.

Таблица 7.6. Факторы роста и снижения риска мошенничества и ошибок в интерактивных системах

Случаи снижения риска мошенничества Случаи возрастания риска и ошибок мошенничества и ошибок

Ввод данных выполняется на объекте [происхождения операции или вблизи 'него Устройства терминала расположены в различных помещениях субъекта

Недействительные операции исправляются и повторно вводятся незамедлительно Возможность для несанкционированных пользователей модифицировать операции или сальдо, компьютерные программы, иметь дистанционный доступ к данным и программам

Ввод данных выполняется лицами, по[нимающимихарактер операции Интерактивная обработка прервана

| Операции обрабатываются незамедлительно в интерактивном режиме Доступ к данным и программам в интерактивном режиме через средства телекоммуникации

ПМАП 1002 выделяет следующие аспекты влияния интерактивных компьютерных систем на аудиторские процедуры:

- санкционированность, полнота и точность операций в интерактивном режиме;

- целостность записей и обработки в связи с интерактивным доступом к системе многих пользователей и программистов;

- изменения в выполнении аудиторских процедур, включая методы аудита с использованием компьютеров.

В связи с этими факторами аудитор может выполнить специфические процедуры на всех этапах аудиторской проверки:

1) на стадии планированиявключить в аудиторскую группу профессионалов с техническими навыками; предварительно определить в процессе оценки риска влияния интерактивной системы на аудиторские процедуры;

2) одновременное с интерактивной обработкой — аудиторские процедуры могут включать проверку соответствия средств контроля за интерактивными приложениями;

3) после интерактивной обработки информации осуществляется проверка соответствия средств контроля за операциями на предмет санкционированности, полноты и точности; проверка операций по существу вместо тестов средств контроля; повторная обработка операций в виде процедур по существу или на предмет соответствия.

Анализ новых интерактивных прикладных бухгалтерских программ может производиться до, а не после их инсталляции. Это даст аудитору возможность проверить дополнительные функции и обеспечит достаточным временем для разработки и апробации аудиторских процедур до их проведения.

ПМАП 1003 «Среда КИС — системы баз данных» описывает влияние базы данных на систему бухгалтерского учета, связанную с ней систему внутреннего контроля и аудиторские процедуры.

Системы баз данных состоят из двух основных компонентов: базы данных и системы управления базой данных (СУБД).

База данных — это совокупность данных, которая используется рядом пользователей для различных целей.

Программное обеспечение, которое используется для создания, поддержания и эксплуатации базы данных, называется программным обеспечением СУБД.

Если система данных используется одним пользователем, для целей ПМАП 1003 она не считается базой данных.

Системы баз данных отличаются двумя важными характеристиками:

- совместным использованием данных (многими пользователями и в разных программах);

- независимостью данных от прикладных программ (база данных записывается один раз для использования различными программами).

Эти характеристики требуют использования словаря данных и создания подразделения администрирования данных, т.е. координации базы данных группой лиц.

Словарь данных — это определенное программное средство для отслеживания местонахождения данных в базе данных; оно также служит средством хранения стандартизированной документации и определений среды базы данных в прикладных программах.

Задачи администрирования, как правило, включают следующее:

- определение структуры базы данных;

- обеспечение целостности, безопасности и полноты данных;

- координирование компьютерных операций;

- контроль за результатами деятельности системы;

- обеспечение административной поддержки;

- обеспечение существования адекватной связи между базами данных, координации их функций, непротиворечивости данных в разных базах данных.

Эффективность внутреннего контроля зависит в большей степени от характера задач администрирования баз данных и того, как они выполняются. Изза совместного использования баз данных общие средства контроля КИС обычно имеют больше влияния на базы данных, чем прикладные средства контроля. Характеристика общих средств контроля КИС в системах баз данных представлена в табл. 7.7.

Влияние системы баз данных на систему бухгалтерского учета и связанные с ней ошибки в общем зависит:

- от степени использования баз данных в бухгалтерских программах;

- вида и значения обрабатываемых финансовых операций;

- характера баз данных, СУБД, задач администрирования;

- общих средств контроля КИС, которые особенно важны в среде баз данных.

Базы данных обеспечивают обычно большую надежность, чем их отсутствие. Однако использование систем баз данных может как повысить, так и снизить риск мошенничества и ошибок. Повышению надежности данных способствуют:

- большая непротиворечивость данных;

- целостность данных, которая может повышаться путем использования процедур восстановления, редактирования и подтверждения, средств безопасности и контроля, встроенных в СУБД;

- другие функции СУБД, например функции генератора отчетов (для создания отчетовсопоставлений) и языки запросов (для выявления противоречий в данных).

Риск мошенничеств и ошибок может возрасти, если системы баз данных используются без соответствующих средств контроля.

На аудиторские процедуры в основном влияет то, в какой степени данные баз используются в бухгалтерской системе. Там, где значимые бухгалтерские программы используют общую базу данных, ПМАП 1003 рекомендует использовать следующие аудиторские процедуры:

Таблица 7.7. Характеристика общих средств контроля КИС в системах баз данных

Группы общих средств контроля Характеристика

Стандартный подход к разработке и поддержке прикладных программ 1. Следование упорядоченному, пошаговому подходу, который должен соблюдаться всеми лицами, разрабатывающими и модифицирующими программы

2. Проведение анализа влияния новых и существующих операций на базу данных, когда необходима модификация

Право собственности на данные 1. На одного пользователя базы данных возложить ответственность за определение правил доступа и безопасности

2. Определение конкретных пользователей данных

Доступ к базе данных 1. Ограничение доступа путем использования паролей (для людей, терминалов и программ)

2. Использование авторизационных таблиц

Разделение обязанностей Ответственность за выполнение различных операций, необходимых для разработки, внедрения и эксплуатации базы данных делится между техническим, проектным, административным персоналом и пользователями

1) при планировании аудита рассмотреть влияние следующих факторов на аудиторский риск:

а) СУБД и значительных бухгалтерских прикладных программ;

б) стандартов и процедур для разработки и поддержки прикладных программ, использующих базу данных;

в) должностных обязанностей, стандартов и процедур в отношении баз данных;

г) процедур для обеспечения целостности, безопасности и полноты данных;

д) наличия средств аудита в СУБД;

2) проверить, как в системе баз данных используются средства контроля, и затем решить, полагаться ли на эти средства контроля и какие тесты на соответствие провести;

3) когда аудитор решил провести тесты на соответствие, аудиторские процедуры могут включать:

а) генерирование тестовых данных;?

б) обеспечение аудиторского «следа» операций;

в) проверку целостности баз данных;

г) обеспечение доступа к базе данных или копии ее нужных частей;

д) получение информации, необходимой для аудита;

4) проверить, поможет ли достижению цели проверки выполнение дополнительной проверки по существу всех значительных бухгалтерских программ, использующих базу данных;

5) может оказаться эффективнее проверить новые бухгалтерские программы не после, а до их установки.

Среда компьютерных информационных систем (КИС) существует, если субъект применяет компьютер любой модели или размера для обработки финансовой информации, значимой для аудита, независимо оттого, используется ли компьютер данным субъектом или третьим лицом.

Таблица 7.8. Структурные и процедурные характеристики КИС

Аспекты применения КИС

Последовательность выполнения функций

Запрограммированные процедуры контроля

Положительные характеристики КИС

I Более надежная изза запрограммированное™ последовательность действий

Позволяет включить процедуры внутреннего контроля I в компьютерные программы и

Отрицательные характеристики КИС

Вероятность неправильной обработки при недостаточности тестирования программы

Единовременное Автоматическое обновление Ошибочная проводка может обновление данных данных во всей системе при привести к ошибкам в разв различных компьодноразовом введении инличных финансовых счетах ютерных файлах и формации базах данных

Некоторые операции могут инициироваться самой КИС без входящих документов и разрешений (на основании алгоритмов, заложенных в программу)

Портативные носители информации могут быть украдены, утеряны, преднамеренно или случайно уничтожены?

Таблица 7.9. Виды средств контроля КИС

Признак

сравнения Общие средства контроля Прикладные средства контроля

Цель Создание структуры общего контроля за деятельностью КИС и обеспечение достаточной уверенности в достижении основных целей внутреннего контроля Установление конкретных процедур контроля в отношении прикладных учетных программ для обеспечения достаточной уверенности в том, что все операции санкционированы, зарегистрированы и обработаны полностью, точно и своевременно

Перечень

средств

контроля Организационный и управленческий контроль

Контроль за разработкой и эксплуатацией системы прикладных программ

Контроль за работой компьютеров

Контроль за программным обеспечением

Контроль за вводом данных и программами Контроль за вводом 1

Контроль за обработкой и компьютерными файлами данных

Контроль за результатами

Дополнительные сведения Другие меры защиты КИС:

- внесистемное резервное копирование данных и компьютерных программ;

- процедуры восстановления на случай кражи, утери, уничтожения;

- обеспечение обработки операций вне системы в случае масштабного сбоя Обзор прикладных средств контроля, т.е. аудитор может провести тестирование следующих средств контроля:

- контроль, осуществляемый пользователем вручную;

- контроль над входными данными (с помощью сочетания компьютерных и ручных методов);

- программируемые процедуры контроля (с использованием компьютеризированных методов аудита: тестовых данных, повторной обработки данных по операциям, проверки кодирования прикладных программ)

ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ними вопросы» подготовлено как дополнение к МСА 400, но ПМАП 1008 не является частью МСА.

В соответствии с данным ПМАП, в среде КИС субъект должен определить:

а) организационную структуру, имеющую следующие характеристики: концентрацию функций и знаний (сокращение численности обслуживающего персонала и соответственно опасность несанкционированного изменения системы), концентрацию программ и данных (данные могут существовать только в машиночитаемом виде на одном или нескольких компьютерах, что может увеличить вероятность несанкционированного доступа);

б) процедуры управления КИС.

Характер обработки данных в КИС может иметь свою специфику при отсутствии средств внутреннего контроля:

- отсутствие первичных документов;

- отсутствие визуального следа операции;

- отсутствие визуального результата;

- свободный доступ к данным и компьютерным программам. Перечисленное приводит к снижению надежности данных

КИС.

Совершенствование КИС влияет на их структурные и процедурные характеристика, отличающие от тех, которые присущи ручной обработке данных, что отражено в табл. 7.8.

Внутренний контроль за компьютерной обработкой данных включает два вида процедур по способу их выполнения:

1) процедуры, проводимые с помощью ручной обработки;

2) процедуры, встроенные в компьютерные программы. Процедуры внутреннего контроля подразделяются также на общие и прикладные (табл. 7.9).

Недостатки общих средств контроля могут помешать тестированию определенных прикладных средств контроля КИС. Однако используемые пользователем ручные процедуры могут быть эффективным средством контроля на уровне прикладных программ.

<< | >>
Источник: С.П. Суворова, Н.В. Парушина, Е.В. Галкина. Международные стандарты аудита. 2007

Еще по теме Положения, поясняющие использование компьютерных информационных систем в ходе аудита. 7.1.1. Особенности аудиторской проверки в среде компьютерных информационных систем:

  1. Особенности оценки аудиторского риска в среде компьютерных информационных систем
  2. Аудит в среде компьютерных информационных систем
  3. Аудит в среде компьютерных информационных систем
  4. 5.4. Аудит предприятий, применяющих компьютерные информационные системы Особенности аудита при использовании КИСП
  5. Особенности аудиторских доказательств при аудите в компьютерной среде
  6. 19. БУХГАЛТЕРСКИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ И КОМПЬЮТЕРНЫЕ ТЕХНОЛОГИИ
  7. Глава 5. Специфика бухгалтерского учета и аудита в компьютерной среде
  8. Обзор основных логистических информационно-компьютерных технологий. Использование среды Интернет для решения логистических задач
  9. ГЛАВА 5 Специфика бухгалтерского учета и аудита в компьютерной среде[6]
  10. Методика изучения и оценки системы внутреннего контроля в ходе аудиторской проверки
  11. Международные информационные агентства: автоматизированный компьютерный технический анализ
  12. ПМАП 1002 «онлайновые компьютерные системы»
  13. Некоторые аспекты работы в компьютерной среде. ПМАП 1001
  14. Установка компьютерной системы.
  15. Компьютерный анализ торговых систем
  16. Международные стандарты по компьютерным технологиям аудита
  17. Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита
  18. 7.9. Аудит в условиях компьютерной обработки данных
  19. Законодательство об использовании компьютерных технологий