Имя материала: Международные стандарты аудита

Автор: Суворова Светлана Павловна

Глава 7 положения по международной аудиторской практике

 

7.1 .  Положения,  поясняющие  использование компьютерных  информационных  систем  в  ходе  аудита

 

7.1.1. Особенности аудиторской проверки в среде компьютерных  информационных  систем

 

Положения по международной аудиторской практике (ПМАП), посвященные компьютерным технологиям в аудите, условно под- разделяются  на две группы:

1) отражающие особенности компьютерных информационных систем субъекта (в эту группу входят ПМАП  1001—1003, 1008);

2) характеризующие компьютеры как средство выполнения  ау- диторских процедур  (ПМАП  1009).

ПМАП  1001-1003 изданы как приложения к МСА 400 «Оценка рисков и система внутреннего контроля»,  но не являются его частью. Ниже рассмотрено  содержание ПМАП  1001, 1002, 1003 и 1008.

Целью ПМАП1001 «Среда КИС —автономныемикрокомпьюте- ры» является  оказание  помощи  аудитору в выполнении  требований МСА 400 и ПМАП  1008 путем описания  микрокомпьютерных сис- тем, используемых как самостоятельные  рабочие станции.

Микрокомпьютеры в терминологии  ПМАП  — это персональные компьютеры,  или ПК.  Микрокомпьютеры могут использоваться  как средство обработки  бухгалтерских проводок и подготовки  финансо- вой отчетности. Поэтому возникает необходимость в определенных средствах внутреннего контроля и аудиторских процедурах в отно- шении систем ПК.

Микрокомпьютер может использоваться  в различных конфигу- рациях.  Поэтому  ПМАП  1001 выделяет следующие основные конфи- гурации:

208Глава7.Положенияпомеждународнойаудиторскойпрактике

 

1) самостоятельная рабочая станция, используемая одним  поль- зователем  или   несколькими  пользователями  поочередно,  которые могут работать  с одной  или  разными программами;

2) локальная сеть микрокомпьютеров, т.е. когда  несколько мик- рокомпьютеров объединены посредством использования специаль- ных программ и коммуникационных линий;

3)  подключенная система, т.е.  рабочая станция, соединенная с центральным компьютером.

Среда  компьютерных информационных систем  (КИС), в кото- рой  используются микрокомпьютеры, является менее  сложной, чем среда КИС, контролируемая централизованно. В связи  с этим  в сре- де микрокомпьютеров внутренний контроль может  быть существен- но ослаблен:

а) прикладные программы могут быть легко разработаны поль- зователями;

б) поскольку данные  обрабатываются компьютером,  пользовате- ли такой  финансовой информации могут без разумных  на  то осно- ваний  чрезмерно полагаться на нее;

в)  так  как  микрокомпьютеры ориентированы на  индивидуаль- ных конечных пользователей, точность  и достоверность подготов- ленной информации будет зависеть  от средств  внутреннего контро- ля, установленных руководством или  пользователем.

В ПМАП 1001  перечислены процедуры безопасности и  контро- ля, которые могут  повысить общий уровень  внутреннего контроля. Группировка основных процедур  представлена в табл.  7.1.

Влияние ПК  на систему  бухгалтерского учета и связанные с ней механизмы внутреннего контроля зависят:

• от  степени  использования  микрокомпьютеров  в  бухгалтер- ском  учете;

• вида  и значимости обрабатываемых финансовых операций;

• характера  используемых файлов и программ.

КлючевымифакторамисредствконтроляКИСявляются:

1) Общие  средства  контроля КИС — разделение обязанностей, в том числе:

• инициирование и авторизация исходных  документов;

• ввод данных  в систему;

• управление компьютером;

• изменение программ или  распространение выходных  данных;

• модификация операционной системы.

2) Прикладные средства  контроля КИС:

• системы регистрации операций и сверки  данных  по группам;

• непосредственное наблюдение;

7.1.Положения,поясняющиеиспользование...       209

 

Таблица 7.1. Процедуры безопасности и контроля, повышающие общий уровень внутреннего контроля в среде микрокомпьютеров

 

Процедура

Содержание процедуры

Разрешение руководства на использование микрокомпь- ютеров

Введение и обеспечение соблюдения инструк- ций по использованию и контролю за автоном- ными микрокомпьютерами

Физическая безопасность - оборудование

Ограничение доступа к неиспользующимся ПК посредством дверных замков и других мер бе- зопасности в нерабочее время

Физическая безопасность - встроенные и автономные носители

Возложение ответственности за автономные носители информации на служащих, в чьи обя- занности входит хранение программного обес- печения

Сохранность программ и данных

Установка в прикладных программах средств для обеспечения обработки и чтения данных исключительно по разрешению и для предот- вращения удаления данных (пароли, криптогра- фия, скрытые файлы и т.п.)

Целостность программного обеспечения и информации

Проверка формата и областей, а также пере- крестная проверка результатов. Адекватная письменная документация на прикладные про- граммы. Разделение мест использования и хранения копий программ

Поддержка оборудования, программного обеспечения и данных

Поддержка - это планы субъекта по получению доступа к аналогичному оборудованию, про- граммному обеспечению и данным в случае сбоя, потери или поломки оригинала

 

 

• сверка учетных записей  или  сальдо  по секциям  и т.  п.

Для  обеспечения   эффективного  внутреннего  контроля   КИС  мо- жет  быть  создано   независимое  подразделение.

Среда  ПК  оказывает   влияние   и  на  аудиторские   процедуры:  так

как руководство может считать нецелесообразным внедрение надле- жащих  средств  контроля   в  микрокомпьютерной  среде,   аудитор  за- частую  вправе   предположить,    что  риск   средств   контроля   в  таких системах  высок.   Поэтому  аудитор  может  сосредоточить  свои  усилия на  проверках  по  существу  в  конце  или  ближе  к  концу  года.  Компь- ютерные методы аудита  могут  включать:

1)  использование  программного  обеспечения   клиента   (баз  дан- ных,  электронных  таблиц,   программных   продуктов);

210  Глава 7. Положения по международной аудиторской практике

 

2) использование собственного программного обеспечения ау- дитора   (например   для  включения   операций   или   сальдо  в  файлы данных  для  сравнения с  контрольными записями  или  сальдо  счетов в главной  книге).

Если микрокомпьютерные системы обрабатывают большое ко- личество операций,  целесообразнее провести  аудиторскую работу  по этим  данным  на  предварительную дату.

В табл.  7.2 приведены  примеры  процедур  контроля,  которые  ау- дитор может проанализировать, если он намерен полагаться на внутренний контроль за учетом  на  ГТК.

 

Таблица 7.2.  Примеры процедур контроля, которые может проанализировать аудитор, чтобы полагаться  на внутренний контроль за системой  микрокомпьютеров

 

В ПМАП1002 «Среда КИС — интерактивные  компьютерные  сис- темы» описаны результаты влияния интерактивных компьютерных систем   на  бухгалтерскую  систему  и  связанные  с  ней   средства   внут- реннего  контроля,  а  также   аудиторские  процедуры. Интерактивные компьютерные  системы  — компьютерные  системы,  которые  предос-

7.1.Положения,поясняющиеиспользование...       211

 

тавляют  пользователям прямой доступ  к данным и  программам че- рез терминал.

Такие   системы  могут   основываться  на  базе:   а)   компьютеров

«мэйн-фрэйм» (сервера); б) миникомпьютеров или  в) микрокомпь- ютеров, являющихся частью сетевой среды. ПМАП 1002 описывает различные типы  устройств  терминала (табл.  7.3).

Терминалы по месту их расположения могут быть локальными (напрямую связанными с компьютером посредством кабеля) и уда- ленными (требующими применения телекоммуникаций).

 

Таблица 7.3.Типыустройствтерминала

 

Интерактивные компьютерные системы классифицируют по способам ввода  информации в  систему,  способам  ее  обработки и времени получения результатов пользователем (табл.  7.4).

Интерактивные компьютерные системы имеют  следующие ос- новные характеристики, значимые для  аудитора:

• при  вводе  данных  в интерактивном режиме  они  обычно  под- вергаются незамедлительной проверке;

• пользователи  могут  иметь  интерактивный доступ  к  системе, что позволяет им выполнять различные функции;

• система  может  быть  разработана таким  образом, что  она  не будет   предоставлять  вспомогательные   документы  для   всех

212 Глава 7. Положенияпомеждународной аудиторскойпрактике

 

Таблица  7.4. Классификация интерактивных компьютерных систем

 

Тип системы

Описание

Пример

Интерактивный режим/ обработ- ка в режиме реа- льного времени

Отдельные операции вво- дятся в устройстве терми- нала, проверяются и испо- льзуются для незамедлите- льного обновления связанных с ним файлов компьютера

Получение наличных средств клиента, зачисляемых напря- мую на его счет

Интерактивный режим/ обработ- ка групп данных

Операция вводится в устройство терминала, группируется и добавляет- ся в файл операций, вве- денных в течение периода

Проводки бухгалтерских книг вводятся в файл проводок, но основной файл главной книги обновляется ежемесячно

Интерактивный режим/ обновле- ние файла мемо- рандума (и даль- нейшая обработ- ка)

Сочетает интерактивный режим/ обработка в режи- ме реального времени и интерактивный режим/ об- работка групп данных

Снятие денег через банкомат, когда сумма сверяется с остатком счета клиента в фай- ле меморандума и незамедли- тельно отражается на счете клиента

Интерактивный режим справок

Получение справок об основных файлах, которые обновляются другими сис- темами

Запрос о кредитном статусе конкретного клиента перед принятием заказа

Обработка счи- тываемых/ загру- жаемых данных в интерактивном режиме

Перенос данных основного файла в интеллектуальное устройство терминала для дальнейшей обработки их пользователем

Данные головного офиса по         1 филиалу могут загружаться в устройство терминала филиа-

ла и возвращаться после об- работки в головной офис

 

операций, введенных в систему, но  эти  сведения могут быть получены дополнительно;

• программисты могут  иметь  доступ  к интерактивной системе, позволяющий им разрабатывать новые  программы и модифи- цировать имеющиеся.

Средства внутреннего контроля интерактивных компьютерных систем подразделены на две группы:  общие средства  и прикладные средства. Перечень конкретных процедур по этим двум группам представлен  в   ПМАП   1002   и  обобщен  в  табл.   7.5   настоящего пособия.

Влияние интерактивных компьютерных систем  на систему бух- галтерского учета и сопутствующие риски зависит:

• от степени использования компьютерных систем  для обработ- ки бухгалтерских приложений;

7.1.Положения,поясняющиеиспользование...       213

 

• типа  и значимости обрабатываемых финансовых операций;

• характера файлов и программ, используемых в приложениях.

 

Таблица 7.5. Средства внутреннего контроля интерактивных компьютерных систем

 

Перечень средств контроля

 

Содержание

Общие средства

Средства контроля за доступом

Ограничение доступа к программам и данным

Контроль за паролями

Установка и обслуживание паролей для уполномочен- ных пользователей

Контроль за совер- шенствованием и об- служиванием систем

Включение в систему в ходе ее совершенствования средств контроля за прикладными программами (па- ролями, процедурами подтверждения и т.д.)

Средства контроля программирования

Предотвращение или обнаружение ненадлежащих из- менений в компьютерных программах

Журналы операций

Отчеты, предназначенные для создания аудиторского

«следа» для каждой интерактивной операции (с отра- жением источника операции и ее элементов)

Прикладные средства

Санкционирование до начала обработки

Разрешение на осуществление операции

Редактирование устройства терминала, тесты на обоснован- ность и другие тесты подтверждения

Программы, ежедневно проверяющие полноту, точ- ность и обоснованность вводимых данных и результа- тов обработки

Процедуры отнесения

к надлежащему перио-

ДУ

Обеспечение обработки операций в соответствующем отчетном периоде

Контроль файлов

Процедуры, обеспечивающие обработку в интерак- тивном режиме с использованием правильных файлов данных

Контроль за основны- ми файлами

Изменения в основных файлах контролируются с по- мощью процедур, данных об операциях

Сопоставление

Процесс установления контроля за итоговыми значе- ниями данных, переданных для обработки через устройства терминала в интерактивном режиме, и со- поставления контрольных итогов

214   Глава  7. Положения по международной аудиторской практике

 

Факторы  роста  и  снижения   риска  мошенничества   и  ошибок   в интерактивных системах   перечислены  в  табл.  7.6.

Интерактивные  компьютерные   системы   могут  оказывать   влия-

ние  и  на  средства   внутреннего контроля:

• исходные данные  могут иметься  не  по  всем  вводимым  опера- циям;

• результаты обработки  могут  быть  слишком обобщенными;

• интерактивные компьютерные  системы могут быть не пред- назначены для предоставления печатных отчетов, а редакти- рование отчетов  может  быть  затруднено сообщениями  на дис- плее.

 

Таблица 7.6.  Факторы роста  и снижения риска  мошенничества и ошибок в интерактивных системах

 

Случаи снижения риска мошенничества   Случаи возрастания риска и ошибок           мошенничества и ошибок

Ввод данных выполняется на объекте

[происхождения операции или вблизи

'него

Устройства терминала расположены в различных помещениях субъекта

Недействительные операции исправ- ляются и повторно вводятся незамед- лительно

Возможность для несанкционирован- ных пользователей модифицировать операции или сальдо, компьютерные программы, иметь дистанционный до- ступ к данным и программам

Ввод данных выполняется лицами, по- [нимающимихарактероперации

Интерактивная обработка прервана

| Операции обрабатываются незамед- лительно в интерактивном режиме

Доступ к данным и программам в ин- терактивном режиме через средства телекоммуникации

 

ПМАП  1002  выделяет   следующие аспекты  влияния  интерактив- ных  компьютерных  систем   на  аудиторские  процедуры:

• санкционированность,  полнота  и  точность операций  в  инте- рактивном режиме;

• целостность  записей  и  обработки  в  связи   с  интерактивным доступом к  системе   многих   пользователей  и  программистов;

• изменения   в выполнении  аудиторских  процедур,  включая  ме-

тоды  аудита с  использованием   компьютеров.

В связи   с этими   факторами аудитор  может  выполнить специфи- ческие   процедуры  на  всех  этапах  аудиторской  проверки:

1)  на  стадии   планирования  -   включить   в  аудиторскую  группу

профессионалов с техническими  навыками;  предварительно опреде-

7.1. Положения, поясняющие использование...    215

 

лить  в процессе оценки риска  влияния интерактивной системы на аудиторские процедуры;

2) одновременное с интерактивной обработкой — аудиторские процедуры могут  включать проверку соответствия средств  контроля за интерактивными приложениями;

3) после  интерактивной обработки информации осуществляется проверка соответствия средств контроля за операциями на предмет санкционированности, полноты и точности; проверка операций по существу  вместо  тестов  средств  контроля; повторная обработка опе- раций  в виде  процедур  по существу  или  на предмет  соответствия.

Анализ   новых   интерактивных  прикладных  бухгалтерских про- грамм  может производиться до, а не после  их инсталляции. Это даст аудитору возможность проверить дополнительные функции и обес- печит  достаточным временем для  разработки и  апробации аудитор- ских  процедур  до их проведения.

ПМАП  1003  «Среда  КИС  — системы баз данных»  описывает влияние базы  данных  на  систему  бухгалтерского учета, связанную с ней  систему  внутреннего контроля и аудиторские процедуры.

Системы  баз данных состоят из  двух основных компонентов:

базы данных  и системы управления базой  данных  (СУБД).

База данных — это  совокупность данных, которая используется рядом  пользователей для различных целей.

Программное обеспечение, которое  используется для создания, поддержания и эксплуатации базы данных, называется программным обеспечением  СУБД.

Если   система   данных   используется  одним   пользователем,  для целей  ПМАП 1003 она  не считается базой  данных.

Системы баз данных  отличаются двумя важными характеристи- ками:

• совместным использованием данных  (многими пользователя- ми и в разных  программах);

• независимостью данных  от  прикладных программ  (база  дан- ных  записывается  один  раз  для  использования различными программами).

Эти характеристики требуют использования словаря  данных  и создания подразделения администрирования данных, т.е. координа- ции  базы  данных  группой  лиц.

Словарь данных  — это  определенное программное средство  для отслеживания  местонахождения данных   в  базе  данных;   оно  также служит  средством хранения стандартизированной документации и определений среды  базы  данных  в прикладных программах.

Задачи  администрирования, как  правило, включают следующее:

216Глава7.Положенияпомеждународнойаудиторскойпрактике

 

• определение структуры  базы  данных;

• обеспечение целостности, безопасности и полноты данных;

• координирование компьютерных операций;

• контроль за результатами деятельности системы;

• обеспечение административной поддержки;

• обеспечение  существования  адекватной  связи   между  базами данных, координации их функций, непротиворечивости дан- ных  в разных  базах данных.

Эффективность внутреннего контроля зависит  в большей степе- ни  от характера  задач  администрирования баз  данных   и  того,  как они  выполняются. Из-за совместного использования баз данных  об- щие  средства   контроля КИС  обычно   имеют  больше   влияния  на базы данных, чем прикладные средства  контроля. Характеристика общих  средств  контроля КИС в системах  баз данных  представлена в табл.  7.7.

Влияние системы баз данных  на  систему  бухгалтерского учета  и связанные с ней ошибки в общем  зависит:

• от  степени  использования  баз  данных   в  бухгалтерских  про- граммах;

• вида и значения обрабатываемых финансовых операций;

• характера  баз данных, СУБД, задач  администрирования;

• общих  средств  контроля  КИС,  которые особенно важны   в среде  баз данных.

Базы  данных   обеспечивают обычно   большую   надежность,  чем их отсутствие. Однако использование систем  баз данных  может  как повысить, так и снизить риск  мошенничества и ошибок. Повыше- нию  надежности данных  способствуют:

• большая непротиворечивость данных;

• целостность данных,  которая  может   повышаться  путем   ис- пользования процедур   восстановления, редактирования и подтверждения,  средств   безопасности  и  контроля,  встроен- ных в СУБД;

• другие  функции СУБД, например функции генератора отче- тов  (для  создания  отчетов-сопоставлений)  и  языки  запросов (для  выявления противоречий в данных).

Риск   мошенничеств  и  ошибок  может  возрасти,  если  системы баз данных  используются без  соответствующих средств  контроля.

На  аудиторские процедуры в основном влияет  то, в какой  сте- пени данные  баз используются в бухгалтерской системе. Там, где значимые  бухгалтерские  программы  используют  общую   базу  дан- ных, ПМАП 1003 рекомендует использовать следующие аудиторские процедуры:

7.1. Положения, поясняющие использование...    217

 

Таблица  7.7. Характеристика общих средств контроля КИС

в системах баз данных

 

Группы общих средств контроля

 

Характеристика

Стандартный подход к разработке и поддержке прикладных программ

1. Следование упорядоченному, пошаговому под- ходу, который должен соблюдаться всеми лицами, разрабатывающими и модифицирующими про- граммы

2. Проведение анализа влияния новых и существу- ющих операций на базу данных, когда необходима модификация

Право собственности на данные

1. На одного пользователя базы данных возложить ответственность за определение правил доступа и безопасности

2. Определение конкретных пользователей данных

Доступ к базе данных

1. Ограничение доступа путем использования па- ролей (для людей, терминалов и программ)

2. Использование авторизационных таблиц

Разделение обязанностей

Ответственность за выполнение различных опера- ций, необходимых для разработки, внедрения и эксплуатации базы данных делится между техни- ческим, проектным, административным персона- лом и пользователями

I

 

1) при  планировании аудита рассмотреть влияние следующих факторов на аудиторский риск:

а)  СУБД  и значительных бухгалтерских прикладных программ;

б) стандартов и процедур  для разработки и поддержки приклад- ных  программ, использующих базу данных;

в) должностных обязанностей,  стандартов и процедур  в отноше- нии  баз данных;

г) процедур для обеспечения целостности, безопасности и пол- ноты  данных;

д) наличия средств  аудита  в СУБД;

2) проверить, как в системе баз данных используются средства контроля, и затем  решить, полагаться ли на эти  средства  контроля и какие  тесты  на соответствие провести;

3)  когда  аудитор  решил   провести тесты  на  соответствие,  ауди- торские процедуры могут  включать:

а)  генерирование тестовых  данных;

218Глава7.Положенияпомеждународнойаудиторскойпрактике

 

б) обеспечение аудиторского «следа» операций;

в) проверку целостности баз данных;

г)  обеспечение доступа   к  базе  данных   или   копии  ее  нужных частей;

д) получение информации,  необходимой для аудита;

4) проверить, поможет ли достижению цели  проверки выполне- ние дополнительной проверки по существу  всех значительных бух- галтерских программ, использующих базу данных;

5) может  оказаться эффективнее проверить новые  бухгалтерские программы не после, а до их установки.

Среда  компьютерных информационных  систем   (КИС) сущест- вует, если  субъект  применяет компьютер любой  модели или  размера для  обработки финансовой информации, значимой для  аудита, не- зависимо оттого, используется ли компьютер данным субъектом или третьим  лицом.

 

Таблица 7.8.  Структурные и процедурные характеристики  КИС

 

Аспекты применения КИС

 

Положительные характеристики КИС

 

Отрицательные характеристики КИС

Последователь-         I Более надежная из-за за- ность выполнения                   программированное™ по- функций                     следовательность действий

Вероятность неправильной обработки при недостаточ- ности тестирования про- граммы

 

Запрограммиро- ванные процедуры контроля

 

Единовременное обновление данных

 

Позволяет включить проце- дуры внутреннего контроля  I в компьютерные программы J

 

Автоматическое обновление данных во всей системе при

 

 

Ошибочная проводка может привести к ошибкам в раз-

в различных компь-  одноразовом введении ин-

личных финансовых счетах

ютерных файлах и базах данных

 

Операции, генери- руемые системами

 

Уязвимость средств хранения данных и программ

формации

 

Некоторые операции могут инициироваться самой КИС без входящих документов и разрешений (на основании алгоритмов, заложенных в программу)

 

 

Портативные носители ин- формации могут быть укра- дены, утеряны, преднаме- ренно или случайно уничто- жены

7.1.Положения,поясняющиеиспользование...       219

 

Таблица 7.9.  Виды средств контроля КИС

 

Признак сравнения

 

Общие средства контроля

 

Прикладные средства контроля

Цель

Создание структуры об- щего контроля за дея- тельностью КИС и обес- печение достаточной уверенности в достиже- нии основных целей внутреннего контроля

Установление конкретных процедур контроля в отношении прикладных учетных программ для обеспечения достаточной уверенности в том, что все операции санкционированы, за- регистрированы и обработаны пол- ностью, точно и своевременно

Перечень средств контроля

Организационный и управленческий контроль

Контроль за разработкой и эксплуатацией систе- мы прикладных про- грамм

Контроль за работой компьютеров

Контроль за программ- ным обеспечением

Контроль за вводом дан- ных и программами

Контроль за вводом  1

Контроль за обработкой и компью- терными файлами данных

Контроль за результатами

Дополните- льные сведе- ния

Другие меры защиты

КИС:

• внесистемное ре- зервное копирование данных и компьютер- ных программ;

• процедуры восста- новления на случай кражи, утери, уничто- жения;

• обеспечение обра- ботки операций вне системы в случае масштабного сбоя

Обзор прикладных средств контроля, т.е. аудитор может провести тести- рование следующих средств контро- ля:

• контроль, осуществляемый поль- зователем вручную;

• контроль над входными данными (с помощью сочетания компью- терных и ручных методов);

• программируемые процедуры контроля (с использованием компьютеризированных методов аудита: тестовых данных, повтор- ной обработки данных по опера- циям, проверки кодирования при- кладных программ)

 

 

ПМАП 1008  «Оценка рисков  и система  внутреннего контроля  — характеристики КИС и связанные с ними вопросы» подготовлено как дополнение   к  МСА  400,  но  ПМА П  1008 не  является  частью  МСА.

220 Глава 7. Положения по международной аудиторской практике

 

В соответствии  с данным  ПМАП,   в среде  КИ С субъект должен  оп- ределить:

а) организационную структуру, имеющую следующие характе- ристики:  концентрацию функций  и знаний  (сокращение численно- сти обслуживающего персонала и соответственно опасность несанк- ционированного изменения системы),  концентрацию программ и данных  (данные  могут существовать  только  в машиночитаемом  виде на одном или нескольких компьютерах,  что может увеличить веро- ятность несанкционированного доступа);

б) процедуры  управления  КИС .

Характер  обработки  данных  в КИ С может иметь свою специфи- ку при  отсутствии  средств  внутреннего  контроля:

• отсутствие  первичных  документов;

• отсутствие  визуального  следа операции;

• отсутствие  визуального  результата;

• свободный  доступ  к данным  и компьютерным  программам. Перечисленное   приводит    к    снижению     надежности    данных

КИС .

Совершенствование КИ С влияет на их структурные  и процедур- ные характеристика, отличающие  от тех, которые присущи  ручной обработке  данных,  что отражено  в табл.  7.8.

Внутренний контроль за компьютерной обработкой данных включает два вида  процедур  по способу их выполнения:

1) процедуры,  проводимые  с помощью  ручной  обработки;

2) процедуры,  встроенные  в компьютерные программы. Процедуры  внутреннего  контроля   подразделяются  также  на  об-

щие и прикладные  (табл.  7.9).

Недостатки  общих  средств  контроля  могут помешать  тестирова- нию  определенных  прикладных  средств  контроля  КИС .  Однако  ис- пользуемые  пользователем  ручные  процедуры  могут быть эффектив- ным  средством  контроля  на уровне  прикладных  программ.

 

7.1.2. Методы  аудита  с использованием  компьютеров

 

Методы  аудита с использованием компьютеров (МАК)  — приемы, при   которых  компьютер   используется   в  качестве   инструмента   ау- дита.

Рекомендации по использованию МАК в аудите предоставляет ПМАП 1009  «Методы  аудита  с использованием компьютеров».   Вме- сте с тем,  как  определено  в МСА 401  «Аудит в условиях  компьютер- ных  информационных систем»,  общие  цели  и объем аудита не изме-

7.1.Положения,поясняющиеиспользование...       221

 

няются, когда аудит проводится в сфере  компьютерных информаци- онных  систем.

Положение описывает два из наиболее распространенных видов МАК:  аудиторское программное обеспечение и тестовые данные, используемые  в  аудиторских  целях.   Основные  особенности  этих МАК представлены в табл.  7.10.

 

Таблица  7.10.  Описание методов аудита с использованием компьютеров

 

 

Виды МАК

Составляющие

МАК

 

Описание

Аудиторское про- граммное обеспече- ние - состоит из компьютерных про- грамм, используе- мых аудитором как элемент аудитор- ских процедур

Пакет программ

Обобщенные компьютерные про- граммы, предназначенные для вы- полнения функций по обработке дан- ных, включая чтение компьютерных файлов, отбор информации, прове- дение расчетов, создание файлов с данными и печать отчетов в форме, определенной аудитором

Программы спе- циального назна- чения

Компьютерные программы, разрабо- танные для выполнения аудиторских задач в конкретных условиях

Программы-ути- литы

Используются субъектом для выпол- нения общих функций обработки данных (сортировки, создания и пе- чати файлов). Обычно не предназна- чены для аудиторских целей

Тестовые данные - используются при проведении ауди- торских процедур путем внесения дан- ных в компьютер субъекта и сравне- ния полученных ре- зультатов с заранее определенными ре- зультатами

Тестирование конкретных средств контроля в компьютерных программах

Тестируется интерактивный пароль, контроль за доступом к данным

Отбор контроль- ных операций

Контрольные операции отбираются из ранее обработанных хозяйствен- ных операций или создаются аудито- ром для тестирования отдельных ха- рактеристик процесса обработки, осуществляемой компьютерной сис- темой субъекта

Встроенные тес- товые подсисте- мы

Контрольные операции используются во встроенных подсистемах с имити- рующим модулем (например от- делом или работником), через кото- рый они проходят в процессе обыч- ного цикла обработки

222   Глава  7. Положения по международной аудиторской практике

 

Если  тесты  используются в ходе обычного цикла  обработки опе- раций, аудитор должен  обеспечить удаление  тестовых  записей по окончании тестирования.

МАК могут использоваться  при  проведении различных аудитор- ских  процедур, включая следующие:

• детальные тесты  операций и сальдо  (например использование аудиторского программного обеспечения для тестирования операций в компьютерном файле);

• аналитические  процедуры  обзора   (например  использование аудиторского программного обеспечения для выявления не- обычных  изменений или  статей);

• проверку соответствия общих  средств  контроля КИС (напри- мер использование тестовых данных для проверки процедур доступа  к программным библиотекам);

• проверку  соответствия  прикладных  средств   контроля  КИС (например использование тестовых данных  для проверки функционирования запрограммированной процедуры).

При  планировании аудита аудитор должен  рассматривать соот- ветствующую комбинацию  некомпьютеризированных  и  компьюте- ризированных аудиторских приемов. При  принятии решения о том, использовать ли  МАК, следует учитывать  следующее:

1) знания, навыки и опыт работы  аудитора  с компьютером (уро- вень знаний зависит  от сложности и характера  МАК  и учетной  сис- темы  субъекта);

2)  возможность применения  МАК  и  наличие соответствующих компьютерных  устройств   (аудитор   может  планировать  использова- ние  других  компьютерных устройств, если  применение МАК  явля- ется  экономически нецелесообразным или  невыполнимым, напри- мер, из-за  несовместимости  бухгалтерских и  аудиторских программ. Может  также  потребоваться помощь специалиста субъекта);

3) нецелесообразность применения ручных  тестов  (если  не су- ществует    визуальных  доказательств,   выполнение   тестов   вручную может оказаться невозможным, например, когда заказы  на закупку вносятся в систему  в интерактивном режиме);

4)    эффективность    и    результативность    (они     могут    быть повышены при использовании МАК, например, для тестирования большого количества операций, при  наличии возможности печатать отчет о нестандартных операциях и т. п.);

5)  фактор   времени,  влияние  которого на  использование МАК

отражают  следующие рекомендации  ПМАП  1009:

• определенные компьютерные файлы, такие  как  файлы с под- робными данными о хозяйственных операциях, зачастую  со-

7.1. Положения, поясняющие использование...    223

 

храняются в компьютере только  в течение  короткого периода времени  и  могут  оказаться  недоступны  в  машиночитаемой форме   тогда,  когда  они   потребуются  аудитору.   В  результате аудитор   должен   предпринять  действия,  чтобы   необходимые ему  файлы были  сохранены,  или  ему  нужно  будет  изменить сроки  работы, для которой необходимы эти данные;

• когда  время  аудита  ограничено,  использование МАК  может  в большей мере соответствовать графику аудита, чем ручные процедуры.

Основные шаги, которые необходимо предпринять аудитору при использовании МАК, включают:

• установление целей  применения МАК;

• определение содержания файлов субъекта  и  порядка доступа к ним;

• определение   видов   хозяйственных  операций,   подлежащих тестированию;

• определение  процедур,  которые  необходимо  применить  по отношению к данным;

• определение требований в  отношении  полученных результа- тов;

Страница: | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 |