Информационный аудит

ИНФОРМАЦИОННАЯ БАЗА АУДИТА

Информационной базой аудита могут быть:

· Первичные документы субъекта хозяйствования и третьих лиц;

· Регистры бухгалтерского учета;

· Результаты анализа финансово-хозяйственной деятельности компании;

· Результаты анализа на основе сопоставления одних документов или данных компании с другими, а также сопоставление документов или данных компании с документами и данными третьих лиц;

· Результаты инвентаризации имущества компании;

· Финансовая отчетность;

· Материалы арбитражных или судебных дел;

· Устные пояснения сотрудников компании и третьих лиц.

Согласно п.13 МСА 230 «аудитор должен принять соответствующие процедуры для соблюдения конфиденциальности и обеспечения сохранности рабочих документов и их хранения в течение необходимого периода времени, достаточного для удовлетворения потребностей практики, а также в соответствии с правовыми и профессиональными требованиями, предъявляемыми к хранению записей».

Данный стандарт дает минимальный перечень сведений, который необходим для отражения в рабочих документах аудитора. Рабочие документы должны содержать:

  • Информацию, касающуюся юридической и организационной структуры субъекта;
  • Извлечения из важных юридических документов, договоров и протоколов или копии таких документов;
  • Информацию от отрасли, экономической конъюнктуре и правовой базе, в условиях которых субъект осуществляет свою деятельность;
  • Положения о бухгалтерской службе, системе внутреннего контроля на предприятии;
  • Доказательства, подтверждающие оценку неотъемлемого риска, риска контроля и любых изменений этих оценок;
  • Доказательства, подтверждающие факт рассмотрения аудитором работы службы внутреннего аудита и сделанных выводов;
  • Анализ операций и сальдо счетов;
  • Анализ значимости коэффициентов и тенденций;
  • Описание характера, сроков и объема выполненных аудиторских процедур и результатов таких процедур;
  • Копии корреспонденции с другими аудиторами, экспертами и третьими сторонами;
  • Письма- представления, полученные от субъекта;
  • Копии финансовой отчетности и аудиторского отчета.

При возможности аудитор может использовать комплекты документов, подготовленные клиентом.

Для удобства в последующей работе (при повторных проверках) архивные документы целесообразно разделять на два типа:

· Документы постоянного архива;

· Документы текущего архива.

В постоянный архив могут включаться следующие материалы (по разделам):

  • Данные об организации;
  • Протоколы и материалы общих собраний и заседаний Совета директоров, правления;
  • Юридические документы постоянного характера;
  • Заключения по предшествующему аудиту;
  • Материалы по организации учета и внутреннего контроля;
  • Отчеты по ценным бумагам;
  • Анализы.

Постоянные архивы должны все время обновляться и не иметь бесполезных и устаревших материалов.

Текущая аудиторская папка заводится для отражения данных запланированной работы, а также проделанной работе, включая: осуществляемые процедуры, проведенные тесты, собранную информацию, полученные выводы.

В текущих архивах хранятся все рабочие документы, разрабатываемые, составляемые или копируемые в ходе аудита.

В текущий архив включаются по разделам:

  • План проведения аудита;
  • Проверяемая финансовая (налоговая и иная) отчетность;
  • Все рабочие документы, подшиваемые по счетам, в соответствии с планом счетов.

Все документы должны быть надежно закреплены в папках текущего и постоянного архива, на папках казано название аудиторской организации.

Аудит информационных систем (Ситнов А.А.)

Обобщены и систематизированы взгляды на аудит информационных систем. В результате проведенного исследования автор обозначил свою точку зрения на возможности применения указанного направления аудита при перманентном влиянии внешнего окружения на экономические субъекты, раскрыл его существенные преимущества для системы управления этими субъектами.
Введение
Современный этап формирования и развития мировой рыночной системы характеризуется высокой неопределенностью и все возрастающей динамикой постоянных изменений в бизнес-среде экономических субъектов. Глобальные изменения структуры указанной системы в XXI в. обусловлены изменением роли высокотехнологического сектора экономики и ее переходом к информационному обществу. Экономические субъекты в этих условиях становятся более сложными и динамичными бизнес-системами. При этом усложняется как сама структура управления ими, так и обработка и передача надлежащей информации, которая становится существенной частью их бизнес-процессов.
Аудит информационных систем на современном этапе
Исследования зарубежных и российских ученых показывают, что в современных условиях конкурентными преимуществами обладают те бизнес-системы, которые могут быстро создавать и доставлять результаты своего бизнеса (продукцию, товары, работы или услуги), соответствующие определенной потребности каждого уникального потребителя, а не абстрактным требованиям обобщенного рынка. Способность производителей совмещать индивидуальные потребительские предпочтения с производством соответствующих результатов их бизнеса и адекватной системой управления является решающим фактором эффективного развития этих систем.
В настоящее время информационные технологии становятся одним из основных инструментов обеспечения адаптивности и конкурентоспособности экономических субъектов. По мере изменения требований бизнес-среды изменяются требования, предъявляемые к аппаратным средствам, программным продуктам и ИТ-сервисам (ИТ-услугам), что приводит к добавлению в их поддерживающую информационную инфраструктуру все новых и новых программно-аппаратных платформ. При этом их возрастающие сложность и разнородность оказывают влияние на управляемость всей информационной системой субъектов, стабильность и эффективность ее работы .
В то же время потребность в уверенности относительно полезности, которой обладают информационные системы, управление связанными с ними рисками и растущие требования к контролю над информацией в настоящее время считаются ключевыми элементами корпоративного управления. Ценность, риск и контроль определяют суть корпоративного управления не только бизнес-системой в целом, но и ее информационной системой в частности, при этом не только в текущем временном периоде, но и в долгосрочной перспективе.
В свою очередь, исследования показывают, что наиболее совершенным, многофункциональным и высокопрофессиональным инструментарием исследования существующих и вероятных рисков, а также разносторонних проблемных ситуаций, возникающих в ходе функционирования той или иной бизнес-системы, является аудит. Аудит в современных условиях становится практически незаменимым при осуществлении разностороннего исследования и оценки информации, принятии управленческих решений, прогнозировании развития всей бизнес-системы и ее информационной системы в частности, а также инструментом поддержки управления этими системами. При этом следует учитывать, что информационная система, являясь по своей сути моделью бизнес-системы, в которой она функционирует, — весьма сложное и многофункциональное образование, требующее особого, кропотливого и комплексного, подхода к ее исследованию. Поэтому аудит в этих условиях должен быть не аудитом в традиционном смысле (аудит бухгалтерской (финансовой) отчетности), а аудитом бизнеса, в частности его информационной модели (информационной системы).
Действительно, нетрудно понять, что в этом случае аудит не должен быть только констатирующим и подтверждающим уже свершившиеся события и факты, он должен быть направлен на выработку управленческих рекомендаций по оптимизации развития бизнес-системы в целом и ее информационной системы в частности.
Информационные технологии, как уже отмечалось, с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы и при этом не всегда предоставляют адекватный затратам эффект. Однако информационные технологии в современных условиях жизненно необходимы экономическим субъектам, а информационная система, объединяющая все информационные технологии, персонал, ответственный за их развитие, их обслуживание, является неотъемлемой и важнейшей частью любой бизнес-системы, стремящейся конкурировать в современном мире. В то же время все позитивные аспекты, связанные с информационными системами, сопровождаются абсолютно новыми рисками для экономических субъектов, что требует дополнительного контроля со стороны высшего звена системы управления этими субъектами. В связи с этим возрастает роль аудита информационных систем на всех уровнях и этапах их развития. Аудит позволяет не только оперативно получать систематизированную и достоверную информацию для оценки текущего состояния информационных систем, но и принимать адекватные решения по управлению этими системами и их развитию.
Аудит информационных систем является более сложным направлением аудиторского исследования по сравнению с традиционным аудитом бухгалтерской (финансовой) отчетности. Для его осуществления требуется приложить значительные усилия по созданию соответствующих условий. При этом первостепенной задачей является формирование в современном обществе соответствующего понимания важности и необходимости его регулярного применения для повышения эффективности деятельности любого экономического субъекта независимо от формы его собственности.
Методические подходы к аудиту информационных систем
Согласно требованиям Международного стандарта «Контрольные объекты для информационных и смежных технологий» (Control Objectives for Information and Related Technology — Cobit) процедуры аудита информационных систем включают в себя четыре последовательных этапа:
— идентификация и документирование;
— оценка механизмов управления;
— тест соответствия;
— детальное тестирование.
На этапе идентификации и документирования осуществляются документирование и идентификация существующих механизмов управления посредством интервьюирования руководящего звена системы управления экономическим субъектом, отдельных компетентных ИТ-специалистов, специалистов по управлению рисками и основных пользователей ИТ-сервисов с целью получения или уточнения знаний относительно:
— требований бизнес-системы и связанных с ней рисков;
— организационной структуры;
— существующей системы внутреннего контроля;
— распределения ролей и ответственности;
— политик и процедур, имеющих отношение к оценке рисков, страхования остаточных рисков (риск-аппетита) и пр.;
— требований нормативной базы;
— существующих механизмов управления;
— существующей отчетности.
Аудиторские процедуры для получения указанных знаний, как правило, относятся к процедурам оценки значимых для аудируемого субъекта бизнес-рисков, так как часть этой информации может быть использована аудитором в качестве аудиторских доказательств оценки рисков принятия неадекватных управленческих решений. Кроме того, при выполнении процедур оценки бизнес-рисков аудитор может получить аудиторские доказательства в отношении соответствующих утверждений относительно эффективности средств контроля функционирования информационной системы аудируемого субъекта, даже если эти процедуры не были заранее спланированы как процедуры исследования по существу или как тесты средств контроля. Аудитор может использовать процедуры исследования по существу или тесты средств контроля одновременно с процедурами по оценке бизнес-рисков, поскольку такое сочетание является наиболее эффективным.
Мировая практика допускает выполнение не всех перечисленных процедур одновременно, однако все процедуры по оценке бизнес-рисков выполняются аудитором при получении надлежащего количества и качества требуемых знаний.
При выполнении аналитических процедур оценки бизнес-рисков аудитору необходимо разрабатывать прогнозы о вероятных взаимосвязях, существование которых ожидается.
В свою очередь, наблюдение и инспектирование могут дополнить опросы лиц, наделенных руководящими полномочиями, и ИТ-персонала, а также предоставить релевантную информацию о бизнес-системе, ее внутреннем потенциале и ее бизнес-среде.
Если аудитор собирается использовать информацию о бизнес-системе и ее бизнес-среде, полученную при предыдущих аудиторских исследованиях и проверках, то он должен определить, имели ли место изменения, которые могут повлиять на релевантность и надлежащий характер такой информации и существенным образом повлиять на текущие аудиторские исследования.
В современных условиях система внутреннего контроля разрабатывается и функционирует с целью выявления бизнес- и ИТ-рисков, препятствующих достижению любой из целей функционирующей бизнес-системы.
При аудиторском исследовании информационной системы как компонента системы внутреннего контроля особое место занимает анализ средств контроля, связанных с надежностью защиты активов.
Получение аудитором представления о системе внутреннего контроля предполагает осуществление оценки организации средств контроля и определение их фактического применения. Деятельность по контролю, организованная ненадлежащим образом, может представлять собой существенный недостаток системы внутреннего контроля аудируемого субъекта. В этом случае аудитору следует рассмотреть вопрос о необходимости подготовки и передачи сообщения об этом лицам, наделенным руководящими полномочиями этого субъекта.
Процедуры по оценке бизнес- и ИТ-рисков с целью получения аудиторских доказательств в отношении организации и применения надлежащих средств контроля могут включать:
— опросы ИТ-сотрудников субъекта;
— наблюдение за применением определенных средств контроля;
— инспектирование документации и отчетов;
— отслеживание операций в информационной системе.
Однако следует помнить, что получения аудитором представления о средствах контроля недостаточно, чтобы заменить собой тестирование их эффективности, если только не существует автоматизированный процесс, который обеспечивает последовательное применение этих средств.
Выполнение аудитором процедур, направленных на выявление применения аудируемым субъектом последовательного автоматизированного контроля, может являться тестом эффективности такого средства контроля.
Несмотря на то что современным информационным системам присущи автоматизированные информационные технологии, даже при их всеобъемлющем использовании в них всегда применяются ручные элементы. Баланс между ручными и автоматизированными элементами изменчив. Поэтому аудитор должен учитывать и оценивать указанные обстоятельства при оценке бизнес- и ИТ-рисков, а также применении аудиторских процедур, основанных на такой оценке.
Сами средства контроля в современной информационной системе обычно представляют собой сочетание (некий синтез) автоматизированных (например, средств контроля, встроенных в программные продукты) и ручных средств. Сочетание ручных и автоматизированных средств контроля зависит, как правило, от характера и сложности использования субъектом информационных технологий .
Как уже отмечалось, современные информационные технологии накладывают определенные риски на всю систему внутреннего контроля любого экономического субъекта. К ним следует отнести:
— неточность обработки данных применяемыми программными продуктами;
— несанкционированный доступ к данным, что может привести к их уничтожению или ненадлежащему изменению, включая отражение несанкционированных или неточных операций;
— вероятность приобретения ИТ-сотрудниками прав доступа, превышающих их полномочия, необходимые для выполнения их обязанностей, что тем самым нарушает распределение этих обязанностей;
— несанкционированные изменения в данных основного файла;
— несанкционированные изменения в системах или программных продуктах;
— ненадлежащее ручное вмешательство;
— потенциальные потери данных или невозможность доступа к ним.
В то же время ручные элементы системы внутреннего контроля являются наиболее приемлемыми в случаях, если требуются суждение и некая доля осторожности, как, например, в случаях, когда возникают:
— крупные, необычные или единичные операции;
— обстоятельства, при которых трудно определить, обнаружить или предсказать вероятность ошибок;
— ситуации, требующие незамедлительной реакции со стороны системы внутреннего контроля, которые выходят за рамки возможностей существующих автоматизированных средств контроля.
Аудитору следует помнить, что ручные средства контроля менее надежны, чем автоматизированные, так как их легче обойти, проигнорировать и они более подвержены элементарным ошибкам, сопряженным с человеческим фактором.
Система внутреннего контроля независимо от того, насколько хорошо она организована и функционирует, предоставляет только разумную уверенность в достижении целей экономического субъекта. На вероятность достижения такой уверенности влияет целый ряд ограничений, присущих системе внутреннего контроля.
В свою очередь, при исследовании существующих механизмов управления аудитор прежде всего должен оценить контрольную среду системы внутреннего контроля, которая включает в себя не только функции по управлению, но и осведомленность и действия лиц, наделенных руководящими полномочиями, и руководства аудируемого субъекта в отношении внутреннего контроля и его важности для этого субъекта. Контрольная среда формирует общую атмосферу в экономическом субъекте, влияющую на осознание бизнес- и ИТ-сотрудниками необходимости внутреннего контроля.
При оценке организации контрольной среды и определении надлежащего ее внедрения аудитор должен исследовать, как руководящее звено системы управления аудируемым субъектом создало и поддерживает корпоративную культуру этого субъекта и установило надлежащие средства контроля.
Особое место при аудите информационных систем занимает исследование того, как система управления аудируемым субъектом реагирует на риски, сопряженные с информационной системой этого субъекта и применяемыми в ней информационными технологиями.
Как уже отмечалось, использование различных информационных технологий (ручных, автоматизированных) обусловливает способ осуществления действий по контролю. Аудитор должен всесторонне изучить, адекватно ли аудируемый субъект реагирует на ИТ-риски посредством установления эффективных средств контроля в информационных технологиях и прикладных программных продуктах.
Аудитор может признать средства контроля информационной системы эффективными, если они поддерживают целостность информации и безопасность данных, которые эта система обрабатывает.
Общие средства контроля в информационных системах представляют собой политику и процедуры, связанные с прикладными программными продуктами и поддерживающие эффективное функционирование средств контроля над ними, содействуя надлежащей работе этих систем.
Стандарт Cobit предполагает, что, для того чтобы модель управления работала надлежащим образом, необходимо четко распределить ответственность за бизнес- и ИТ-процессы, установив при этом строгую подотчетность каждого должностного лица. В противном случае не будет осуществляться обмен управляющей информацией и, как следствие, не последуют корректирующие действия. Кроме того, стандарт Cobit требует оценки соблюдения базовых информационных критериев, так как эффективность управляющей информации (ее актуальность, своевременность и пригодность, а также ее целостность) служит основой функционирования системы управления ИТ-процессами. И наконец, аудитору следует учитывать разнообразие стандартов оценки эффективности ИТ-процессов (от высокоуровневых планов и стратегий до индикаторов производительности и ключевых факторов успеха) .
С этой целью используются методы экспертных оценок, которые позволяют определить, для каких механизмов управления на следующем этапе аудита по существу необходимо провести тестирование их соответствия установленным процедурам.
Для получения гарантий пригодности существующих у аудируемого субъекта механизмов управления для решения задач управления аудитор должен провести тесты соответствия. Тестирование осуществляется посредством получения прямых и косвенных свидетельств надлежащего выполнения установленных процедур управления за исследуемый период. После завершения указанных этапов аудитор формулирует выводы и управленческие рекомендации.
Заключение
Подводя итог, следует отметить, что сложный и многогранный характер предметной области аудита информационных систем обусловливает необходимость применения различных предметных технологий и интегрирования в аудиторскую деятельность элементов многих наук, в том числе и фундаментальных. Причиной этого прежде всего является непрерывное развитие различных экономических процессов, протекающих в бизнесе современных экономических субъектов, требующих применения более совершенных научных подходов к их изучению и оценке.
Если учесть, что информационная система, по своей сути являясь моделью бизнес-системы, в которой она функционирует, — весьма сложное и многофункциональное образование, требующее комплексного подхода к ее исследованию, то, как следствие, аудит в этих условиях должен быть не аудитом в традиционном смысле (аудит финансовой отчетности), а аудитом бизнеса, в частности аудитом его (бизнеса) модели — информационной системы. Поэтому от аудиторов и научного сообщества в этой области знаний в настоящее время требуется кропотливая и разносторонняя исследовательская работа, направленная на формирование методологического аппарата и методического инструментария для практически нового в российской действительности направления аудиторской деятельности.
Литература
1. Андерсен Бьерн. Бизнес-процессы. Инструменты совершенствования. 2-е изд. М.: РИА «Стандарты и качество», 2004. 272 с.
2. Берн Р.Дж. Эффективное использование результатов маркетинговых исследований: Как принимать и осуществлять на практике наиболее оптимальные решения / Пер. с англ. Днепропетровск: Баланс Бизнес Букс, 2005. 272 с.
3. Булыга Р.П., Мельник М.В. Аудит бизнеса. Практика и проблемы развития: Монография / Под ред. Р.П. Булыги. М.: ЮНИТИ-ДАНА, 2013. 263 с.
4. Джордж С., Ваймарскирх А. Всеобщее управление качеством: стратегии и технологии, применяемые сегодня в самых успешных компаниях (TQM). СПб.: Виктория-плюс, 2002. 256 с.
5. Ситнов А.А. Особенности аудита информационных инфраструктур // Аудитор. 2011. N 11 (201). С. 26 — 38.
6. Ситнов А.А. Стандарт Cobit: новые возможности российского аудита // Аудиторские ведомости. 2012. N 6. С. 44 — 56.
7. Ситнов А.А. Аудит состояния информационной инфраструктуры // Аудитор. 2012. N 12 (214). С. 16 — 21.
8. Ситнов А.А., Уринцов А.И. Аудит информационных систем: Монография для магистров. М.: ЮНИТИ-ДАНА, 2014. 239 с.

Аудит информационных систем

Сегодня сложно представить успешную компанию, которая не использовала бы в своей деятельности информационные технологии. И компьютер может заключать в себе одновременно несколько активов: основное средство, нематериальные активы в виде программного обеспечения, систему управления, инструмент подготовки финансовой отчетности, риск и т.д. А потому аудит компьютерных систем в соответствии с международными стандартами является одним из наиболее сложных случаев аудита. В чем же заключаются возможные трудности?

Основные процедуры, которые необходимо соблюдать при проведении аудита в условиях использования компьютерных информационных систем, раскрыты в МСА 401 «Аудит в среде компьютерных информационных систем».

Объектом применения данного МСА компьютерные информационные системы являются, когда организация применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер этой организацией или третьей стороной. Общая цель и объем аудита в среде таких систем не меняются, однако их применение может повлиять на:

  • процедуры, соблюдаемые аудитором в процессе получения достаточного представления о системах бухгалтерского учета и внутреннего контроля;
  • анализ неотъемлемого риска и риска системы контроля, посредством чего аудитор оценивает риск;
  • разработку и проведение аудитором тестов контроля и процедур проверки по существу, необходимых для достижения целей аудита.

Аудитор может отходить от требований МСА, но только обязательно аргументируя причины такого действия.

В разделе «Умение и компетентность» определены требования, предъявляемые к уровню подготовки и квалификации аудитора для такой работы, и степень его ответственности в случае делегирования полномочий помощникам или при использовании результатов работы, проведенной третьими лицами. Аудитор должен обладать достаточным знанием компьютерных систем, для того чтобы планировать, направлять, контролировать и проверять выполняемую работу.

Необходимость в специальных знаниях и взаимодействие с экспертом

Аудитор должен оценить необходимость применения специальных знаний об информационных системах для проведения аудита. Они могут понадобиться для:

  • достаточного представления о системах бухгалтерского учета и внутреннего контроля, на которые влияет среда компьютерных информационных систем;
  • определения влияния компьютерных систем на оценку общего риска, риска на уровне сальдо счетов и класса операций;
  • разработки и проведения соответствующих тестов контроля и процедур проверки по существу.

Если необходимость в специальных знаниях есть, аудитор может обратиться за помощью к специалисту, который обладает такими знаниями и является либо работником аудиторской фирмы, либо приглашенным экспертом. Однако при этом он должен сохранять главенствующее положение. По отношению к эксперту оно проявляется в том, что эксперт оценивает только системы обработки информации, а аудитор — достоверность результатов полного анализа всей информационной архитектуры. Аудиторы не могут ни передавать, ни разделять с кем-либо (в т.ч. с экспертом) свою ответственность за выражение мнения о состоянии IT-системы и составленного на его основе аудиторского заключения. Более подробно этот вопрос освещен в МСА 620 «Использование работы экспертов».

Эксперт может быть привлечен на договорной основе клиентом или аудитором или являться сотрудником клиента или аудитора.

В соответствии с МСА 220 «Контроль качества аудита финансовой отчетности организации» при оценке способностей и компетентности эксперта, который является сотрудником аудиторской фирмы, аудитор должен полагаться на внутрифирменную систему контроля качества в отношении набора и подготовки персонала, что освобождает аудитора от необходимости оценивать способности и компетентность эксперта каждый раз при его привлечении к выполнению аудиторского задания.

Планируя использовать работу эксперта, аудитор должен оценить его профессиональную компетентность. Такая оценка включает следующие критерии:

  • наличие у эксперта профессионального аттестата или лицензии либо членство в соответствующей профессиональной организации;
  • наличие у эксперта опыта и репутации в той области, в которой аудитор проводит сбор аудиторских доказательств.

Аудитор должен также оценить объективность эксперта. Риск того, что эксперт будет не вполне объективен, увеличивается, если он является сотрудником клиента или связан с клиентом каким-либо иным образом, например является финансово зависимым от клиента или имеет инвестиции в его деятельность.

Если аудитор сомневается в компетентности или объективности эксперта, то ему необходимо обсудить с руководством любые сомнения на этот счет и вероятность получения достаточных надлежащих аудиторских доказательств в отношении работы эксперта. Аудитору могут потребоваться дополнительные аудиторские процедуры или аудиторские доказательства от другого эксперта.

При выдаче безоговорочно положительного аудиторского заключения аудитор не должен ссылаться на работу эксперта. Такая ссылка может быть принята за выражение аудитором мнения с оговоркой или за утверждение о разделении ответственности, что изначально не предполагается. Если же в результате работы эксперта аудитор принял решение о выдаче модифицированного аудиторского заключения, что может иметь место, то при разъяснении характера модификации целесообразно сделать ссылку на работу эксперта или описать ее в аудиторском заключении (включая указание на эксперта и степень его участия в аудиторском задании). В некоторых случаях аудитору может потребоваться получить от эксперта разрешение на включение такой ссылки в аудиторское заключение. Если в разрешении будет отказано, а аудитор полагает, что ссылка обязательна, то ему необходимо проконсультироваться у юриста.

Оценка возможностей учета с помощью информационной системы

В рамках аудита информационных систем аудитор должен проверить:

  • принципы функционирования компьютерной информационной системы (способы организации, ввода, настройки, обновления данных);
  • обеспечение архивирования и хранения данных;
  • наличие специальных контрольных процедур для мониторинга функционирования среды компьютерной обработки данных;
  • уровень программного обеспечения и наличие лицензий;
  • соответствие применяемых алгоритмов требованиям нормативной документации по ведению учета и состоянию отчетности по основным автоматизированным расчетам (бизнес-процессам);
  • возможности настройки (обновления) программного обеспечения для гибкого реагирования на изменения законодательства;
  • возможности расширения функций имеющихся систем;
  • степень информационной безопасности (ограничение несанкционированного доступа);
  • общую информационную политику компании и ее планы по развитию системы информационных технологий.

Аспектам планирования аудита в среде компьютерных информационных систем посвящен раздел «Планирование». В нем отмечено, что аудитор должен получить представление о системах бухгалтерского учета и внутреннего контроля, достаточное для планирования аудита и разработки эффективного подхода к его проведению, руководствуясь МСА 400 «Оценка рисков и внутренний контроль». В данном разделе указаны условия, обусловливающие уровень сложности прикладной программы, которая предопределяет представление аудитора о значимости и сложности процессов функционирования информационных систем, а также о доступности данных для использования при аудите.

В соответствии с МСА 400 аудитору следует использовать свое профессиональное суждение для оценки аудиторского риска и разработки аудиторских процедур, способствующих снижению этого риска до приемлемо низкого уровня.

В качестве процедур контроля названы:

  • отчеты, проверка и утверждение проведенных сверок;
  • проверка арифметической точности записей;
  • осуществление контроля над прикладными программами и средой компьютерных информационных систем, например, посредством контроля над изменениями компьютерных программ и доступа к файлам данных;
  • ведение и проверка аналитических счетов и оборотных ведомостей;
  • утверждение документов и контроль над ними;
  • сравнение данных, полученных из внутренних источников, с данными внешних источников информации;
  • сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями;
  • ограничение прямого физического доступа к активам и записям;
  • анализ финансовых результатов и их сравнение с расходами, предусмотренными сметой.

При планировании стадий аудита, на которые могут повлиять информационные системы субъекта, аудитор должен получить представление о значимости и сложности процессов функционирования этих систем, а также о доступности данных для использования при аудите. Прикладная программа считается сложной, если, например:

  • объем операций таков, что пользователям трудно выявить и исправить ошибки, допущенные в процессе обработки;
  • компьютер автоматически генерирует существенные операции или проводки непосредственно в другой прикладной программе;
  • компьютер выполняет сложные расчеты по финансовой информации и (или) автоматически генерирует существенные операции или проводки, которые не могут быть подтверждены либо не подтверждаются отдельно;
  • обмен операциями с другими организациями осуществляется электронным способом и при этом не проводится физической проверки на предмет их правильности или приемлемости;
  • невозможно отследить ответственность пользователя, производившего те или иные изменения в финансовой отчетности.

На степень риска также влияет факт незащищенности систем, контролирующих денежные расходы или другие ликвидные активы от мошеннических действий со стороны пользователей либо операторов компьютерных систем.

В данном случае аудитор может рекомендовать проанализировать, существует ли производственная необходимость в неограниченных правах сотрудников, обслуживающих информационную систему, и как организовать процесс управления изменениями и доступом. Он может порекомендовать протоколировать все действия пользователей, обладающих расширенными полномочиями, организовать аудит событий, чтобы была возможность однозначно установить ответственность сотрудника за действия в системе, и установить хронологию внесения изменений.

Оценка влияния информационной системы на аудит в целом

Если информационные системы играют значительную роль, аудитор должен получить представление о них и о возможности их влияния на оценку неотъемлемого риска и риска системы контроля. Согласно разделу «Оценка риска» аудитор должен оценивать неотъемлемый риск и риск системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности.

Это обусловлено тем, что неотъемлемые риски системы контроля в информационных системах могут оказывать как общее, так и локальное влияние на вероятность существенных искажений информации. Риски могут быть связаны с такими факторами в функционировании компьютерных систем, как разработка и эксплуатация программы, поддержка системного программного обеспечения, обеспечение физической защиты информационных систем, а также контроль над доступом к специализированным обслуживающим программам. Риски могут увеличить вероятность ошибок или мошенничества в конкретных прикладных программах, базах данных или главных файлах, а также при компьютерной обработке.

Несмотря на то что общая цель и объем аудита в IT-сфере не меняются, применение компьютеров может оказать влияние на характер аудиторских процедур, оценку аудиторских рисков, тесты контроля и процедуры проверки по существу. В связи с этим аудитор прежде всего должен рассмотреть, каким образом компьютер влияет на аудит.

В разделе «Процедуры аудита» отмечается, что аудитор должен учитывать компьютерные информационные системы при разработке аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня. Подчеркивается, что конкретные цели аудита не зависят от того, обрабатываются учетные данные вручную или на компьютере. Тем не менее на аудиторские процедуры могут оказывать влияние способы компьютерной обработки данных. Для получения достаточного количества доказательств аудитор может либо применять методы ручной обработки данных, либо обрабатывать данные на компьютере, либо использовать и то и другое. Однако в некоторых системах бухгалтерского учета аудитору невозможно или нелегко получить определенные данные для проверки, запроса или подтверждения без помощи компьютера.

Отдельного внимания заслуживает ситуация, когда в организации внедряется новая информационная система, это требует значительных средств и должно быть соответствующим образом отражено в отчетности. В таком случае в числе задач службы внутреннего аудита могут быть анализ результатов внедрения информационной системы, оценка эффективности различных этапов внедрения, степень соответствия ожиданиям руководства.

Самым сложным, длительным и трудоемким этапом проверки является сквозное тестирование внедренной учетной системы. Группе аудиторов необходимо не только проверить, насколько работа системы соответствует заданным алгоритмам, полноту и корректность учетных данных, но и оценить уровень программного контроля подтверждения (согласования) документов в системе, определяющего иерархию ответственности и адекватное разграничение полномочий. Кроме того, необходимо определить степень автоматизации учетных процессов, чтобы минимизировать дополнительные трудозатраты, связанные с ручным контролем. В процессе тестирования службой внутреннего аудита оценивается также совершенство системы автоматического контроля некорректных действий в учетной системе (неподтвержденных, фальсифицированных данных, ошибок ручного ввода), что позволяет снизить финансовые риски. В системе должны быть организованы периодические сверки, анализы данных и отчетов, чтобы выявить возможные отклонения.

Вопросам надежности и безопасности системы в ходе проверки также уделяется значительное внимание. Недостатки в организации контроля доступа к системе выявляются посредством специализированных аудиторских процедур — периодического анализа прав пользователей на предмет их избыточности, системного подхода к разделению полномочий с помощью ограничения доступа к бизнес-функциям.

На заключительном этапе проверяются пользовательская документация и процесс управления документацией, неактуальность которой, особенно в случае внедрения новой системы, может привести к снижению эффективности и оперативности работы пользователей, а также затруднит проведение адекватного анализа рисков и снизит уровень качества контроля в процессе управления проектом.

Аудит IT-сферы помимо проверки компьютерных систем включает и аудит локальных сетей, используемых организацией.

Влияние электронной торговли на аудит финансовой отчетности

Использование Интернета для связи коммерческой организации с потребителем, партнерами и правительством приводит к возникновению новых элементов риска, которым подвержена деятельность организации и которые рассматриваются аудитором при планировании и проведении аудита финансовой отчетности. При таком аудите специалистам нужно пользоваться Положением по международной аудиторской практике 1013 «Электронная торговля: влияние на аудит финансовой отчетности».

Уровень знаний и навыков, необходимых для понимания того, как электронная торговля влияет на аудиторскую проверку, зависит от сложности коммерческой деятельности компании. Аудитор рассматривает, обладают ли сотрудники, назначенные на задание, соответствующими знаниями в области интернет-бизнеса и информационных технологий.

Эти знания могут потребоваться, чтобы:

  • определить степень влияния на финансовую отчетность:

стратегии и деятельности юридического лица в сфере электронной торговли;

технологии, используемой организацией для электронной коммерции, а также IT-навыков и знаний персонала организации;

рисков, возникающих при использовании организацией электронной коммерции, и методов управления такими рисками;

  • определить характер, временные рамки и объем аудиторских процедур, а также оценить аудиторские доказательства;
  • рассмотреть степень влияния электронной торговли на способность организации непрерывно функционировать.

Здесь также аудитор может использовать работу эксперта, например, когда необходимо проверить уязвимость системы безопасности организации или возможность проникновения в нее. Если аудитор решил использовать работу эксперта, ему следует получить достаточное и уместное аудиторское доказательство того, что такая работа адекватна целям аудиторской проверки.

В процессе получения информации о бизнесе организации аудитор должен рассмотреть влияние на финансовую отчетность:

  • коммерческой деятельности организации и отрасли, в которой она функционирует;
  • стратегии электронной торговли организации;
  • степени использования электронной торговли;
  • внешних мероприятий (использование услуг организаций, например поставщиков прикладных систем и т.д.).

Руководство организации сталкивается со многими рисками, связанными с электронной торговлей, включая:

  • потери операционной целостности информационной системы;
  • распространяющиеся риски безопасности электронной торговли, включая вирусные атаки и потенциальные потери в случае мошенничества клиентов, служащих и других лиц через неправомочный (неавторизированный) доступ;
  • неадекватную учетную политику организации, связанную с капитализацией расходов (например, затраты на развитие веб-сайта), недоразумениями в сложных договорах, переводом иностранных валют, созданием резервов на гарантии или возвраты и с проблемами признания дохода;
  • несоблюдение правил налогообложения и других законодательных и нормативных требований, особенно в случаях, когда интернет-сделки проводятся за границу;
  • отсутствие гарантии обязательности контрактов, заключенных только электронными средствами;
  • слишком большую уверенность в электронной торговле при размещении информации в Интернете;
  • сбои и «аварии» в системе и инфраструктуре.

Организация реагирует на бизнес-риски, возникающие в электронной торговле, путем создания инфраструктуры безопасности, связанных с ней средств контроля и разработки соответствующих мер:

  • проверки идентичности клиентов и поставщиков;
  • получения гарантии целостности сделок;
  • получения соглашений на условия сделки;
  • получения оплаты и обеспечения средств обслуживания кредита для клиентов;
  • установления секретности и защиты информационных протоколов.

Аудитор должен рассмотреть, соответствуют ли целям финансовой отчетности контрольная среда и процедуры контроля, которые организация применяет в деятельности по электронной торговле. Нужно обратить внимание, что электронные операции не оформляются бумажными записями, а электронные записи могут быть легко уничтожены или изменены, причем доказательств изменения или уничтожения не останется. Аудитор рассматривает, является ли безопасность информационной политики организации и средств контроля безопасности соответствующей, позволит ли она предотвратить неправомочные изменения в системе учета и составления отчетности или в системах обеспечения данных учета.

Аудиторское заключение

Аудитор может проверить автоматизированный контроль, например целостность электронного доказательства, электронные печати данных, цифровые подписи. В зависимости от оценки этого контроля он может выполнить дополнительные процедуры, например провести подтверждение операций или остатков на счете с третьими лицами.

Аудиторское заключение по проекту внедрения дает целостную картину процесса, позволяющую оценить состояние дел на текущем этапе, перечень недостатков, несоответствий, возможных рисков и включает рекомендации по их устранению. Заключение позволит руководителям оценить качество внедрения, возможности системы, приоритетность планируемых задач и выбор дальнейшей стратегии развития.

Аудиторское заключение представляется в виде «Наблюдение — Риски (возможные последствия) — Рекомендации (желательные и необходимые мероприятия)». По результатам проверки составляется подробное заключение по всем существенным вопросам:

  • оценка степени автоматизации и настройки учетных процессов;
  • адекватность контрольных процедур;
  • анализ однородности и совместимости системных решений;
  • анализ рисков, связанных с внедрением новых информационных систем;
  • ошибки и несоответствия в автоматизированных системах;
  • мониторинг работоспособности и производительности информационных систем, реакция и действия в критических ситуациях;
  • вопросы сохранности информации и восстановления данных;
  • оценка качества информационной безопасности (организация и управление ролями и полномочиями в компьютерных информационных системах, парольная политика, аудит событий и действий пользователей, контроль несанкционированного доступа);
  • структура ролей в IT-отделе и степень зависимости безопасности компании от кадров данного отдела, оценка квалификации сотрудников и процесс поддержания полноты и актуальности базы знаний в данной области, мотивация персонала с целью снижения риска потери ценных кадров, обладающих реальным практическим опытом.

В заключение стоит сказать, что специфические правила аудита компьютерных систем обозначены также в МСА 1001 «Использование среды КИС (компьютерных информационных систем) — автономных компьютеров», МСА 1002 «Использование среды КИС — интерактивных компьютерных систем», МСА 1003 «Использование среды КИС — систем баз данных», МСА 1008 «Оценка рисков и системы внутреннего контроля в системах КИС и связанные с ними вопросы».

О.Г.Попова

Налоговый консультант

Курсовые разницы при применении УСН
Стандарты заданий по обзорным проверкам

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *