* Аудит в условиях компьютерной среды регламентируется Правилом (стандартом) аудиторской деятельности в Российской Федерации «Аудит в условиях компьютерной обработки данных».
С помощью компьютерной техники обрабатываются значительные объемы учетной информации независимо от следующих факторов:
а) компьютер используется экономическим субъектом самостоятельно или по договору с третьей стороной;
б) компьютер используется экономическим субъектом для обработки экономической информации во всех аспектах хозяйственной деятельности и ее учета или только для автоматизации обработки информации по отдельным видам фактов хозяйственной жизни, отдельным участкам учета.
При проведении аудита в системе компьютерной обработки данных (КОД) сохраняются цель аудита и основные элементы его методологии. Наличие среды КОД существенно влияет на процесс изучения аудитором системы учета экономического субъекта и сопутствующих ему средств внутреннего контроля.
Использование технических средств приводит к изменению отдельных элементов организации бухгалтерского учета и внутреннего контроля:
для проверки хозяйственных операций наряду с традиционными первичными учетными документами используются и первичные учетные документы на машиночитаемом носителе;
постоянные нормативно-справочные показатели могут быть проверены по данным, хранящимся в памяти компьютера или на машиночитаемых носителях информации;
вместо традиционных ручных форм счетоводства может применяться форма учета, ориентированная на прогрессивные методы формирования выходной информации и обеспечения ее достоверности, совмещение синтетического учета с аналитическим и систематического с хронологическим, а также повышение оперативности и удобства использования учетной и отчетной информации.
Экономический субъект обязан предоставить аудиторской организации необходимый доступ к системе КОД. Невыполнение (неполное выполнение) этого условия является ограничением объема аудита в системе КОД, вследствие чего аудиторская организация может потребовать предоставления необходимых ей документов на бумажных носителях информации.
Аудитору желательно иметь представление о техническом, программном, математическом и других видах обеспечения компьютерной техники, а также системах обработки экономической информации. В случае отсутствия у аудитора указанных знаний следует использовать работу эксперта в области информационных технологий.
Аудиторской организации целесообразно иметь библиотеку наиболее распространенных систем КОД и прилагать усилия к изучению особенностей их практического применения.
Аудитор должен изучить и оформить в виде рабочего документа все существенные вопросы организации обработки учетных данных в системе КОД экономического субъекта.
Аудитор должен изучить и оформить рабочим документом используемое проверяемым экономическим субъектом обеспечение КОД техническими средствами, программное обеспечение КОД, технологическое обеспечение, другие виды обеспечения КОД; в рабочем документе должно быть указано наличие лицензий на каждый из его элементов.
Аудитор должен оценить и оформить рабочим документом возможности компьютерной системы: гибкость реагирования на изменения хозяйственного, налогового или иного законодательства с точки зрения настройки программного обеспечения; формирование бухгалтерской и внутренней управленческой отчетности; осуществление аналитических процедур; расширение функций.
Аудитор должен оценивать квалификацию бухгалтерского персонала в области КОД.
При составлении общего плана аудиторской проверки каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита применяемых экономическим субъектом информационных технологий и системы КОД. Уровень автоматизации обработки учетной информации должен быть учтен при определении объема и характера аудиторских процедур.
Организация данных бухгалтерского учета у клиента в среде КОД влияет на профессиональный риск аудитора.
Аудитор обязан оценить надежность СВК проверяемого экономического субъекта и влияние на эту надежность функционирующей системы КОД.
Аудитор проверяет соответствие применяемых алгоритмов требованиям нормативной документации по ведению бухгалтерского учета и составлению бухгалтерской отчетности по основным автоматизированным расчетам экономического субъекта.
Аудитору необходимо убедиться в том, что информационная база внутри компьютера обеспечивает сохранность информации, ее архивирование, простоту доступа, кодирование и декодирование информации, ограничение несанкционированного доступа к ней. Актуальность данных (т.е. их соответствие изменившимся условиям хозяйственной жизни) обеспечивается регламентированием источников и потребителей информации, периодичностью и условиями ее обновления.
Источниками получения аудиторских доказательств при проведении аудиторских процедур являются данные, подготовленные в системе КОД экономического субъекта в виде таблиц, ведомостей, регистров бухгалтерского учета экономического субъекта. Аудитор имеет возможность применять их, их копии (в том числе фотокопии) в качестве рабочей документации аудита, сопровождая обработку этих документов ссылками, пометками, специальными символами.
Рабочие документы, формирующиеся в процессе аудита в условиях КОД и существенно отличающиеся от обычных рабочих документов (например, документы, подготовленные на машинных носителях), могут храниться в аудиторской организации обособленно в архиве аудиторских файлов на машинных носителях.
Аудиторская организация должна обеспечить сохранность аудиторских файлов на машинных носителях, их оформление и сдачу в архив. Система идентификации рабочих документов в аудиторском файле на машинном носителе устанавливается аудиторской организацией. Целесообразно хранить аудиторские файлы по каждому экономическому субъекту аудиторской организации на отдельном машинном носителе.
В условиях использования экономическим субъектом системы КОД повышается эффективность и надежность такой аудиторской процедуры, как проверка арифметических расчетов экономического субъекта.
Аудитору необходимо убедиться в том, что:
регистры учета, формируемые системой КОД, соответствуют данным первичного учета; наличие системы КОД не освобождает экономический субъект от обязанности документировать в установленном порядке факты хозяйственной жизни;
отсутствуют несанкционированные изменения программного обеспечения, а санкционированные изменения документированы, согласованы, одобрены и проверены разработчиком программного обеспечения.
В условиях КОД аудит может проводиться с использованием машинно-ориентированных и (или) ручных процедур.
Машинно-ориентированные процедуры обычно подразумевают использование аудитором программных средств для проверки содержания компьютерных файлов экономического субъекта и контрольных примеров для тестирования алгоритмов КОД.
Объем учетной информации предприятия, обрабатываемой компьютерами, непосредственно свидетельствует об уровне автоматизации учетных процессов. Опыт работы отечественных предприятий свидетельствует, что большинство руководителей неохотно проводят комплексную автоматизацию учета и ограничиваются установкой нескольких персональных компьютеров для автоматизации учета отдельных участков деятельности, будь то учет труда и заработной платы, материального снабжения и сбыта либо таких взаимосвязанных производственных процессов, как использование сырья и материалов, энергии, полуфабрикатов.
Объем учетной информации предприятия, обрабатываемой компьютерами, оценивается на основании определения ее удельного веса в общей массе информации предприятия, подлежащей учету.
Подобная оценка возможна лишь на основе критериев, выбранных (а возможно, и выработанных) самим аудитором. Точность такой оценки непосредственно зависит от степени условности выбранных параметров и «видимой» необходимости их применения.
Учетную машинную информацию формируют работники предприятия на основе документов. С момента занесения информации в компьютер она считается учтенной (для информации, обрабатываемой на компьютере) и так или иначе влияет на состояние базы данных в целом. Для определения уровня организации автоматизированного учета весьма важным является изучение процесса формирования учетной машинной информации, порядка ее использования.
Информация о деятельности предприятия возникает в различных местах и в разные моменты времени. Изучение этого процесса облегчается при построении схем(ы) информационных потоков по принципу возникновения, обработки (передачи) и использования учетной информации.
Анализ движения информации позволяет оценить оптимальность построения информационных потоков предприятия, выявить неоправданные ходы, излишние пересечения, дублирования информации. В особых случаях возможно составление и решение «транспортной» задачи.
Изучение СВК предприятия за формированием и использованием компьютерных баз данных носит первостепенное значение для аудитора, так как позволяет во многом скорректировать план аудиторской проверки и точнее определить аудиторский риск. Однако такую оценку следует осуществлять лишь на последнем этапе предварительного анализа организационного уровня автоматизации учета предприятия, так как вся СВК предприятия за формированием баз данных и их использованием строится на основе конкретной формы организации компьютерного учета.
С точки зрения оценки СВК компьютерных баз данных необходимо определить:
состав системы контроля;
контролируемые объекты;
методы осуществления контроля.
Для правильного понимания организации внутреннего контроля компьютерных баз данных предприятия необходимо выяснить состав системы контроля. В нее могут входить специальный ревизионный отдел, специалисты основной бухгалтерии, администрация, а также любые сотрудники и должностные лица, в обязанность которых входит контроль за формированием и использованием машинной учетной информации. Некоторые предприятия пользуются постоянными услугами сторонних организаций и экспертов для осуществления ревизии текущей деятельности. Следует обратить особое внимание на внешние источники внутреннего контроля.