2. Порядок действий аудитора в соответствии с правилом (стандартом) аудиторской деятельности «Проведение аудита с помощью компьютеров»
Рассматриваемое правило (стандарт) «Проведение аудита с помощью компьютеров» включает основные положения базового стандарта «Аудит в условиях компьютерной обработки данных». Одобрено Комиссией по аудиторской деятельности при Президенте Российской Федерации (протокол № 1 от 11 июля 2000 г.). Целью стандарта является определение особенностей проведения аудита аудиторской фирмой или аудитором, работающим самостоятельно в качестве индивидуального предпринимателя, с применением компьютеров. Задачи стандарта:
формулировка условий применения компьютеров при проведении аудита;
определение основных требований к информационному, программному, техническому обеспечению применения компьютеров в аудите;
определение основных требований, предъявляемых к экспертам и (или) специалистам аудиторской организации, применяющей компьютеры при проведении аудита;
описание особенностей планирования аудита с применением компьютеров;
определение аудиторских доказательств и документирования аудита при использовании компьютеров;
отражение особенностей аудиторских процедур при использовании компьютеров.
При ведении клиентом бухгалтерского учета вручную аудитор должен выбрать из электронной библиотеки компании программное обеспечение, сопоставимое для анализа базы данных бухгалтерских записей по всем учитываемым хозяйственным операциям или по итоговым записям бухгалтерских регистров. Если же автоматизирован бухгалтерский учет полностью или отдельные его участки, тогда аудитор вправе применить множество методов современных информационных технологий для ее анализа.
Для организации информационного обеспечения аудита с применением компьютеров аудитор может использовать данные бухгалтерского учета клиента на бумажных носителях, нормативно-справочную базу и систему форм рабочей документации аудитора. При этом уже в договоре о проведении аудита аудитор отражает согласие клиента на использование базы данных или ее фрагментов в процессе аудита. В случае согласия клиента необходимо определить состав, форму и срок предоставления аудитору для анализа базы данных или ее фрагментов, а также возможность экспортирования базы данных клиента для эффективной ее обработки посредством программного обеспечения аудитора. Аудитор может использовать для анализа копию базу данных, которую желательно сформировать самостоятельно, а соответствие оригиналу проверить с помощью специальной системы тестов.
Программные средства аудитора должны обеспечивать:
процедуры контроля и регистрации ошибок, содержащихся в регистрах бухгалтерского учета клиента;
тестирование алгоритмов расчета показателей;
контроль соответствия показателей бухгалтерской отчетности данным бухгалтерских при обработке первичных документов;
использование возможностей справочно-правовых и информационных систем;
формирование аудиторской документации.
Если аудитор использует работу эксперта, то оказание помощи экспертом заключается в технической организации информационного и программного обеспечения. На этапе планирования аудита с применением компьютеров следует определиться с наличием в аудиторской организации необходимого информационного, программного и технического обеспечения, с датой начала аудиторской проверки, с решением о привлечении к работе эксперта. Если аудитор использует работу эксперта, то оказание помощи экспертом заключается в технической организации информационного и программного обеспечения. В программе аудита целесообразно отметить, какие аудиторские процедуры будут выполнены с применением компьютеров. Для планирования аудита с использованием компьютеров важно оценить систему КОД экономического субъекта согласно положениям, указанных в стандарте «Аудит в условиях КОД».
Аудитору необходимо убедиться в соответствии базы данных бухгалтерского учета, сформированной системой КОД клиента данным первичного учета в установленном порядке и в отсутствии несанкционированных изменений базы данных.
Аудиторская организация в соответствии с правилом (стандартом) аудиторской деятельности «Документирование аудита» должна обеспечить сохранность данных на машинных носителях, их оформление и сдачу в архив с возможностью их идентификации. В аудиторской организации целесообразно иметь внутрифирменные стандарты, регламентирующие применение компьютеров при проведении аудита.
Эффективность аудиторских процедур может быть повышена благодаря использованию компьютеров при проведении аудита при получении и оценке некоторых аудиторских доказательств в тех случаях, когда:
проверке подвергаются большие однородные массивы данных по участкам и операциям бухгалтерского учета;
используется унифицированная система оформления бухгалтерских операций;
имеется и используется информационно-поисковая система;
имеется и используется автоматизированная система бухгалтерского учета.
При использовании для проведения аудита компьютеров повышается эффективность проведения таких аудиторских процедур, как проверка арифметических расчетов и составление альтернативного баланса.
При проведении аудиторской проверки субъектов малого предпринимательства с использованием компьютеров аудиторской организации необходимо обратить внимание на то, что субъекты малого предпринимательства в отдельных случаях не применяют лицензированного программного обеспечения и используемые аппаратные средства зачастую не в состоянии обеспечить эффективное функционирование программ. В соответствии с доверие аудитора к эффективности системы внутреннего контроля обычно должно быть ниже, чем для средних и крупных экономических субъектов и мнение аудитора о достоверности бухгалтерской отчетности должно в большей мере определяться аудиторскими процедурами по существу.
3. Порядок действий аудитора в соответствии с правилом (стандартом) аудиторской деятельности «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем»
Рассматриваемое правило (стандарт) «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» включает основные положения базового стандарта «Аудит в условиях компьютерной обработки данных». Одобрено Комиссией по аудиторской деятельности при Президенте Российской Федерации (протокол № 1 от 11 июля 2000 г.). Цель стандарта заключается в определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем компьютерной обработки данных. Задачи правила (стандарта) заключаются в описании:
дополнительных рисков, появляющихся вследствие использования экономическим субъектом системы КОД;
системы внутреннего контроля в условиях КОД;
различных процедур проверки аудиторской фирмой или аудитором, работающим самостоятельно в качестве индивидуального предпринимателя, надежности внутреннего контроля за системой КОД.
На организационную структуру экономического субъекта существенно влияет применение системы КОД, внося следующие риски в систему бухгалтерского учета и внутреннего контроля, связанные с концентрацией функций управления, а также данных и программ для их обработки. Причины возникают от того, что внедрение системы КОД предполагает существенное сокращение управленческого и контрольного персонала путем передачи его функций сотрудникам IT-служб и отделов, соответственно, разделение обязанностей, необходимое для эффективного функционирования системы учета и контроля, может быть утрачено. Что касается концентрации информационной базы данных на одном или нескольких автоматизированных рабочих местах бухгалтера, хранящейся вместе с программами, к которым обеспечен свободный доступ, то это обстоятельство в конечном итоге обязательно повлияет на риск утери информации и несанкционированного доступа к ней.
Необходимо аудитору также учесть, что использование системы КОД изменяет процедуры записи учетных данных и расширяет круг лиц, которые получают доступ к бухгалтерским записям, что в свою очередь приведет к появлению следующих рисков:
отсутствие первичных документов;
отсутствие возможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности;
отсутствие регистров учета;
доступ к базе данных и программам системы КОД несанкционированных пользователей.
При этом аудитору необходимо обратить внимание на порядок визирования документов, сформированных в среде КОД клиента, без составления соответствующих первичных документов (особенно, наличие электронной подписи). Проверить соответствие учетных данных в электронной форме и бумажных регистров, что приведет к отсутствию наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности.
При проверке аудитору стоит принять во внимание на локальный доступ к индивидуальным компьютерам, обеспечивающий конфиденциальность информационной базы для других пользователей локально-вычислительной сети. В отсутствие корпоративной системы информационной безопасности легкость доступа к системе КОД или круг лиц, которые могут его получить, увеличивают риск несанкционированных бухгалтерских записей и изменений данных.