Компьютеризация аудиторской проверки

На первом этапе планирования аудиторской проверки в компьютеризированной среде осуществляется сбор необходимой информации о среде контроля, системе бухгалтерского учета и процедурах контроля, которые используются для оценки неэффективности внутреннего контроля. Действия аудитора на первом этапе должны быть спланированы так, чтобы обеспечить понимание сферы контроля и потока операций в системе бухгалтерского учета. Изучение сферы контроля позволяет дать общую оценку организационной структуре, принятой на предприятии системе распределения прав и обязанностей, методов, используемых администрацией для контроля системы бухгалтерского учета, включая внутренний аудит. Компьютерная обработка данных может оказывать влияние на каждый из этих элементов среды контроля. Понимание организационной структуры предприятия предполагает определение места компьютерной системы в ней. При этом описываются компьютерные ресурсы предприятия, включая аппаратные средства; дается оценка организации компьютерной системы в части деятельности персонала, работающего с техникой, и его взаимодействия с персоналом других отделов. Описание компьютерных ресурсов даст возможность проанализировать работу компьютерной системы, выявить точки доступа к компьютерным ресурсам, используемым для обработки бухгалтерской информации, и раскрыть политику предприятия в области контроля доступа к компьютерным ресурсам. В процессе оценки происходит разделение обязанностей между специалистами по системам, программистами и бухгалтерами. На этапе понимания организационной структуры определяются отделы, использующие компьютерную обработку данных, и их взаимодействие с бухгалтерией.

В ходе анализа распределения прав и обязанностей аудитор определяет, существуют ли на предприятии Положение или руководство по ведению бухгалтерского учета в условиях компьютерной обработки данных, изучает инструкции для персонала, работающего на ПЭВМ. Аудитор должен составить представление об управлении компьютерными ресурсами предприятия и распределении приоритетов их использования, а также об уровне квалификации бухгалтеров, осуществляющих обработку учетных данных на ПЭВМ.

При изучении процедур контроля, применяемых администрацией, дается оценка документации по разработке системы компьютеризации и степени ее использования, определяется наличие и качество процедур контроля ввода данных, например процедур внесения изменений данных в отчетные формы или файлы, ограничивающих доступ к закрытой информации, в частности к чувствительной информации, обеспечивающей доступ к финансовым отчетам. Потеря такой информации может нанести ущерб ее владельцу.

В заключение для разработки действенных процедур изучается последовательность операций, выполняемых в системе бухгалтерского учета. Этот процесс начинается с изучения описания технической документации. При этом описание включает руководство и инструкцию для пользователей, структуру файлов, блок-схемы системы.

Осуществление оценки риска неэффективности контроля включает следующие действия:

— определение конкретных целей контроля на основе анализа различных видов ошибок в существенной бухгалтерской информации;

— идентификацию:

а) мест возможного появления определенных видов ошибок в цепочках последовательных операций;

б) специальных процедур контроля, обеспечивающих достижение его конкретных целей;

в) вспомогательных процедур контроля, которые необходимы для обеспечения эффективности выполнения основных процедур;

— оценку структуры процедур контроля с целью определения обеспечиваемого ими уровня риска неэффективности.

Определение конкретных целей контроля в данном случае не отличается от такой же процедуры в неавтоматизированных системах обработки данных. В то же время процесс идентификации мест возможного появления ошибок в компьютерных системах значительно отличается от аналогичного процесса в неавтоматизированных системах. Гак, при использовании компьютера ошибки могут появляться в следующих ситуациях:

— при подготовке исходных данных, связанных с операциями по получению разрешения на запуск системы;

— немашинной обработке исходных данных, например, суммировании вручную бухгалтерских данных;

— преобразовании исходных данных в машиночитаемую форму;

— идентификации входных файлов для использования в обработке;

— генерировании выходных отчетов;

— исправлении ошибок, обнаруженных в результате выполнения процедур контроля.

При определении целей нет необходимости рассматривать все существующие процедуры контроля, имеющие отношение к одной и той же цели, достаточно определить их минимальный набор. Например, ошибки при формировании файла цен могут привести к ошибкам при выставлении счетов-фактур. Поэтому цель контроля, в этом случае соответствующая данному типу ошибки, может быть сформулирована так: “Во время обработки, счетов-фактур необходимо обеспечить использование достоверной информации о ценах”. Процедуры контроля можно охарактеризовать следующим образом: “Прикладная программа выставления счетов-фактур должна идентифицировать правильный файл цен посредством сопоставления заданного имени в главном файле (файл, содержащий относительно постоянную информацию о какой-либо конкретной области)”.

В компьютерных системах бухгалтерского учета процедуры контроля могут отличаться по ряду характеристик от аналогичных процедур в неавтоматизированных системах. Например, в неавтоматизированных системах признание платежа обычно фиксируют визой ответственного лица на исходном документе (счет поставщика). В компьютерных системах подобное признание может иметь вид пароля, который дает разрешение на выполнение операции, присваивая ей специальный код. Пароль обеспечивает доступ к программам, которые инициируют выполнение определенного вида операций или изменение главных файлов. В этом случае, несмотря на совпадение целей контроля в системах обоих типов, методы достижения этих целей и видимое подтверждение соответствия выполненной операции санкционированной процедуре значительно различаются, что сильно влияет на подходы к аудиту.

Вслед за идентификацией специальных процедур контроля следует проанализировать общие или связанные с ними процедуры контроля, которые должны функционировать соответствующим образом.

Оценка риска неэффективности контроля осуществляется так же, как и в неавтоматизированных системах. Собранная информация о .среде контроля, системе бухгалтерского учета и процедурах контроля должна быть достаточной для обоснования одного из следующих заключений:

— риск неэффективности контроля может быть оценен как низкий, а аудиторское тестирование системы контроля будет эффективным;

— риск неэффективности контроля может быть оценен как низкий, но аудит может быть неэффективным по затратам. В этом случае аудиторам необходимо сконцентрировать внимание на общих процедурах проверки;

— риск неэффективности контроля оценен как высокий. Контрольные процедуры не представляются достаточными для предотвращения ошибок или их обнаружения. В этом случае аудиторы используют общие процедуры проверки.

В ходе оценки риска может сложиться ситуация, когда специальные процедуры контроля, обеспечивающие низкий уровень риска, доступны не в полном объеме. В подобных случаях цели проверки могут быть достигнуты частично с помощью сочетания тестирования системы контроля с общими процедурами контроля, а частично только с помощью общих процедур.

Процедуры контроля в компьютерных системах бухгалтерского учета можно разделить на два типа — общие и прикладные. Общие процедуры контроля применимы ко всем или к большинству функций компьютерной системы, к ним относится, например, контроль доступа к программам и файлам базы данных. Прикладные процедуры контроля связаны с конкретными функциями компьютерного учета, например программной проверкой входных данных с целью верификации номеров счетов и предельных размеров кредита.

Прикладной контроль осуществляется по трем направлениям: контроль входных данных, процесса обработки и выходных данных. Наибольшее количество ошибок возникает на этапе ввода информации в компьютерные системы. Если введены искаженные данные, то они могут пройти обработку не обнаруженными, а при последующем обнаружении их корректировка затруднительна.

Для обнаружения ошибок, допущенных при подготовке данных, могут быть использованы различные программные средства редактирования или проверки:

— тесты контроля правильности размещения символов предназначаются для проверки полей входных данных и определения правильности размещения цифр в числовых полях, а также букв в символьных полях;

— тесты контроля правильности знака обеспечивают проверку данных по полям на соответствие знакам плюс и минус;

— тесты контроля пропусков позволяют проверить поля с целью выявления пустых мест;

— тесты контроля последовательности служат для проверки документов по порядковым номерам, когда последовательность их размещения важна для обработки, например в пакетном режиме. Эта процедура помогает также обнаружить недостающие документы в пронумерованных рядах;

— тесты контроля по диапазону значений и разумности результатов — автоматизированные процедуры, которые показывают, выходят ли значения данных за установленные пределы. Например, программа расчета заработной платы может включать в себя тест контроля по диапазону, который мстит и отбрасывает записи, превышающие норматив рабочего времени в месяц.

Контроль процесса обработки дает определенные гарантии того, что данные будут обработаны без пропусков и повторов операций. Он может быть осуществлен в процессе выполнения следующих контрольных процедур: последовательное контрольное суммирование, составление отчетов о контрольных суммах.

Последовательное контрольное суммирование обеспечивает проверку данных при их перемещении из одного отдела в другой или от одной программной обработки к другой. Суммирование называется последовательным, поскольку оно производится с одними и теми же данными после каждого этапа обработки. Суммировать можно количество записей, платежи или весь массив данных. Полученные суммы передают на следующий этап для сравнения с его контрольными суммами.

Составление отчетов о контрольных суммах. Все контрольные суммы количества записей, платежей, всего массива данных и т. п., получаемые в процессе обработки, следует выводить на печать в виде отчета. В обязанности группы контроля или другого органа включают их сравнение и (или) сверку с контрольными суммами исходных данных либо предыдущих стадий обработки. Например, контрольная сумма балансов дебиторских счетов в предыдущей версии главного файла плюс контрольная сумма по объему продаж в кредит в текущей версии должна быть равна контрольной сумме балансов в конце текущего процесса обработки.

Контроль выходных данных — это завершающий этап проверки правильности результатов компьютерной обработки. Процедуры контроля на этом этапе обеспечивают представление отчетности и Доступ к файлам - только уполномоченным лицам. Для этого следует вести список абонентов, которые получают копии отчетов. Тиражирование отчетов должно быть строго ограниченным.