Изучение и оценка КИСП
Изучение и оценка КИСП
Аудит в условиях автоматизированных систем учета зависит от степени автоматизации бухгалтерского учета, контроля и аудита, наличия методик проведения автоматизированного аудита, доступности учетных данных, сложности обработки информации.
Приступая к аудиторской проверке, аудитор прежде всего должен ознакомиться с организационной формой обработки данных и уровнем автоматизации управленческих задач, в том числе задач бухгалтерского учета. Предприятие, как правило, обрабатывает данные самостоятельно. Иногда по договору привлекается посторонняя организация.
Как и при «традиционном» аудите, во время проверки в условиях КИСП аудитор фиксирует все существенные моменты при выполнении аудиторских процедур в соответствующих рабочих документах. Специфическими тут могут быть вопросы по тестированию программ, проверке правильности алгоритмов и т. д. При этом большое значение имеют собственные характеристики системы обработки данных, поскольку они влияют на степень сложности бухгалтерской системы, тип внутреннего контроля, выбор вида тестов, на основе которых можно определить характер, продолжительность и объем аудиторских процедур.
Как правило, степень автоматизации учетных, контрольных и аудиторских задач и технология их осуществления уточняется еще перед началом аудиторской проверки. Это позволяет составить или уточнить план и программу аудиторской проверки. При оценке сложности системы автоматизированной обработки учетных данных необходимо принимать во внимание как степень интеграции различных информационных подсистем, так и степень совместного использования разными системами одних и тех же баз данных.
Особое внимание уделяется проверке надежности средств внутреннего контроля в условиях компьютерной обработки данных. Учетная политика, ориентированная на КСБУ, должна обязательно предусматривать элементы внутреннего контроля.
В условиях автоматизированных систем обработки учетной информации осуществляют три вида контроля:
1) структурный (производственный) контроль;
2) контроль разработки;
3) процедурный (рабочий) контроль.
Под структурным контролем понимают общую административную проверку структуры распределения обязанностей и ответственности в отделе обработки информации (бухгалтерии). Эта проверка имеет отношение ко всей работе, которую выполняет бухгалтерия, и является частью системы контроля, через которую проходит каждая новая учетная процедура.
Сущность контроля разработки состоит в проверке соответствия всех новых компьютерных учетных подсистем установленным на предприятии стандартам их создания, т. е. проверке выполнения основных этапов проектирования и программирования, которые предусматривают обязательное наличие встроенных в программное обеспечение контрольных алгоритмов и модулей. Контроль разработки вместе со структурным контролем должны охватывать все новые учетные процедуры на предприятии.
Под процедурным (рабочим) контролем понимают проверку осуществления учетных процедур контроля как в бухгалтерии, так и за ее пределами. Его можно провести по каждой процедуре по единым шаблонам, однотипным для нескольких процедур.
Поскольку возможность различных злоупотреблений в большинстве случаев обусловлена отсутствием необходимого программного контроля, а система автоматизированного контроля должна быть предусмотрена в проекте автоматизации учета, то аудитор в любом случае обязан проверять проектную документацию. Ее изучают на предмет наличия в проекте средств программного контроля – как для обеспечения достоверности информации, которая обрабатывается на основных этапах учетного процесса, так и для выявления различных злоупотреблений. В результате подобной проверки могут быть выявлены «слабые места» контроля в программе, которые не препятствуют совершению нарушений и злоупотреблений, например отсутствие программного контроля внутреннего перемещения материальных ценностей и денежных средств.
Часто предусмотренная в проектной докуметации система контроля не соответствует его фактическому осуществлению в процессе обработки учетной информации, поэтому аудитору следует убедиться в соответствии проекта фактическому учетному процессу, проверить правильность обработки информации. Технологический процесс обработки информации в КИСП должен обеспечивать автоматический контроль правильности обработки информации и исправления ошибок. Выявленные в процессе обработки на отдельных стадиях учетного процесса ошибки отражают в рабочих документах (актах). По этим актам аудитор может воссоздать и документально проверить процесс обработки информации, выявить постоянные ошибки и их причины.
Во время проверки аудитору следует изучить и оценить систему документооборота предприятия, порядок формирования, регистрации, хранения, обработки документов и трансформации первичных документов в систему записей на бухгалтерских счетах. Нужно обнаружить места возникновения первичной информации и степень автоматизации ее сбора и регистрации. При использовании специальных средств автоматизации сбора и регистрации информации (датчиков, счетчиков, весов, сканеров штриховых кодов и т. п.) аудитор должен убедиться в том, что специалисты регулярно тестируют эти устройства, а в случае выявления отклонений надлежащим образом это оформляют и принимают необходимые меры.
Первое представление об уровне автоматизации формирования первичных документов аудитор может получить и во время ознакомления со схемой размещения АРМ на предприятии. АРМ, размещенные в местах возникновения первичной информации (на складах, в цехах), позволяют составить первичный документ в момент совершения операции, зафиксировать информацию на машинном носителе, сделать документ доступным для дальнейшей обработки в бухгалтерии. Отсутствие АРМ в производственных подразделениях предприятия указывает или на ручной способ составления документов с последующей их передачей в бухгалтерию, или на формирование документов в самой бухгалтерии, что характерно для предприятий с небольшим количеством документов.
Аудитор обязан оценить, насколько модель документооборота, реализованная программным обеспечением КИСП, рациональна и эффективна для объекта, который проверяют. Крупные предприятия работают с применением модели полного документооборота. При этом важно проанализировать распределение функций между службами оперативного управления и бухгалтерией, информационные связи разных подразделений с бухгалтерией, проследить движение отдельных документов и их взаимосвязь, понять, как поддерживается система междокументальных связей, где хранятся электронные копии документов и как обеспечен к ним доступ учетных работников. На предприятиях, которые автоматизируют только бухгалтерский учет с помощью комплексной программной системы, аудитору необходимо обратить внимание на следующее:
• соблюдение временного интервала между выпиской документа, осуществлением операции и ее отражением в учете;
• возможность хранения документов в системе после их распечатки;
• связь документов и сформированных бухгалтерских проводок.
Аудитор обязан охарактеризовать способы введения данных и формирования записей о хозяйственных операциях. Автоматизированная и автоматическая генерация бухгалтерских записей и проводок на основе типовых операций и электронных форм документов часто позволяет избежать многих ошибок, неизбежных при ручном введении и составлении проводок.
Вместе с тем в компьютерном учете ряд операций, например начисление процентов, закрытие счетов, определение финансового результата, может инициироваться самой программой. Значит, по таким операциям нет никаких организационно-распорядительных или оправдательных документов. В подобных ситуациях обязанность аудитора – тщательно проверить правильность алгоритмов расчетов. Ошибка, заложенная в алгоритм расчета и каждый раз переносимая в записи повторяемых хозяйственных операций, может исказить результат хозяйственной деятельности. В процессе проверки алгоритмов расчета сумм при введении данных о хозяйственных операциях контролируется также правильность формирования проводок.
Аудитору следует проверить алгоритм на соответствие действующему законодательству и учетной политике предприятия и выяснить возможность корректировки алгоритма в случае изменения порядка ведения бухгалтерского учета, налогового или иного законодательства. Как уже отмечалось, тестирование алгоритмов предъявляет высокие требования к компьютерной подготовке аудитора. Желательно, чтобы он понимал макроязык конкретной программы. Это позволит ему не только провести тестирование алгоритма на конкретных данных, но и разобраться в правильности его настройки.
Аудитор обязан также проверить алгоритмы расчета показателей форм отчетности в соответствии с действующим законодательством и оценить возможность их корректировки в случае изменения законодательства. Это же относится и к самим используемым формам отчетности. Многие известные фирмы-разработчики, например «1С», оперативно распространяют среди своих пользователей новые формы бланков при их изменении.
В обязанности аудитора входит оценка возможностей используемой клиентом системы в части создания и формирования новых, не предусмотренных программой форм внутренней или внешней отчетности: рассмотрение механизма работы с исходной информацией, возможностей ее расшифровки и быстрого выявления и исправления ошибок; тестирование результатов обработки с целью обнаружения, например, неправильно рассчитанного сальдо на счетах; тестирование перенесения учетных данных в отчетность, особенно в том случае, если показатели формы отчетности в системе заполняются «вручную» – перенесением из сформированных программой стандартных отчетов (учетных регистров).
Современные КСБУ допускают децентрализованное использование компьютеров непосредственно на рабочих местах учетного персонала. Уровень же централизации обработки и сохранения данных может быть разным и зависит от численности сотрудников бухгалтерии, распределения учетных работ и т. д. На малых предприятиях, где данные обрабатывает один бухгалтер, программное обеспечение КСБУ и информационная база сосредоточены на одном компьютере. Однако при большей численности сотрудников бухгалтерии речь идет уже о системах для многих пользователей, которые реализуют работу нескольких пользователей с информационной базой учета. Такие системы используют одну из следующих технологий:
• локальное функционирование рабочих мест;
• обработку информации на основе технологии «файл – сервер»;
• обработку информации на основе технологии «клиент – сервер»;
• полностью централизованную обработку данных. Любая из этих технологий допускает свои формы применения
компьютеров, формы организации и ведения информационной базы учета и интеграции учетных данных для составления отчетности. Как правило, на средних и больших предприятиях преимущество имеют последние три технологии, причем на больших предприятиях все чаще применяют технологию «клиент – сервер».
Аудитор должен разбираться в основных различиях между названными технологиями, так как это влияет на процедуры проверки и аудиторский риск. Аудитор обязан оценить, насколько обоснованна и эффективна система, которая используется у конкретного экономического субъекта. Однако аудитор не имеет права принуждать клиента к применению известной аудитору системы. Он может помочь клиенту компьютеризировать бухгалтерский учет, рекомендовать ту или другую фирму и программу.
В целом КСБУ, в которых используются персональные компьютеры, не соединенные в сеть, менее сложные, чем сетевые КСБУ. В первом случае даже пользователи, владеющие основными навыками обработки данных, могут разработать прикладные учетные программы (примером служит использование электронных таблиц Excel для ведения несложной бухгалтерии, например учета хозяйственных операций частного предпринимателя). В таких условиях контроль процесса системной разработки (например, адекватная документация) и операций (например, доступ к контрольным процедурам), существенных для эффективного контроля в большой компьютерной среде, разработчик, пользователь или руководитель не могут рассматривать как эффективный с точки зрения соотношения затрат и результатов. Тем не менее, поскольку данные были обработаны на компьютере, пользователи такой информации могут без соответствующих на то оснований чрезмерно полагаться на учетную информацию. Поскольку персональные компьютеры ориентированы на индивидуальных конечных пользователей, точность и достоверность подготовленной финансовой информации будет зависеть от средств внутреннего контроля, установленных руководителями предприятия и принятых пользователем. Например, если компьютер используют несколько человек без надлежащего контроля, программы и данные одного пользователя, которые хранятся на встроенном носителе информации, могут стать предметом неразрешенного пользования, изменения или мошенничества со стороны других пользователей.
В международной практике выделяют подход, в соответствии с которым используют КИСП с модулями оперативного учета хозяйственных операций в реальном режиме времени. Это актуально для таких отраслей бизнеса, как банковские операции, мобильная телефонная связь, электронная коммерция. В подобных системах обычно агрегированные учетные данные из модулей оперативного учета по заданным алгоритмам периодически передаются в КСБУ.
Особенностью таких систем является наличие развитых программных контрольных процедур (controls) во время осуществления хозяйственных операций. При введении данных в интерактивном режиме они, как правило, подлежат немедленной проверке. Неподтвержденные данные не будут приняты, и на экране терминала высветится сообщение, которое даст возможность пользователю исправить данные и сразу же ввести их повторно. Например, если пользователь введет неправильный порядковый номер объекта товарно-материальных ценностей, будет выведено сообщение об ошибке и пользователю представится возможность ввести правильный номер.
Аудиторские процедуры, выполняемые одновременно с интерактивной обработкой, могут включать проверку «встроенных» средств контроля интерактивных прикладных программ. Например, это может быть сделано с помощью введения тестовых операций через терминал или посредством специального аудиторского программного обеспечения. Аудитор может использовать такие тесты для того, чтобы проверить свое понимание компьютерной учетной системы или для проверки таких средств контроля, как пароли и прочие средства контроля доступа.
Особенности интерактивных компьютерных систем предопределяют высокую эффективность проведения аудитором анализа новых интерактивных бухгалтерских прикладных программ до, а не после начала их эксплуатации. Такой предварительный анализ дает аудитору возможность изучить, например, детальное описание функций программы или испытать программные средств. Это также может предоставить аудитору достаточно времени для разработки и испытания аудиторских процедур до начала их выполнения.
Внимание следует уделить также особенностям функционирования комплексных КИСП, которые основаны на единой базе (хранилище) данных (data warehouse, а также data repository), данные которой используются разными службами предприятия.
Системы баз данных состоят преимущественно из двух основных компонентов: базы данных и системы управления базой данных (СУБД). Базы данных взаимодействуют с другими техническими и программными средствами всей компьютерной системы.
База данных является совокупностью данных, которые используются многими пользователями для решения различных задач. Отдельный пользователь может не знать обо всех данных, которые хранятся в базе данных, и о способах их использования для решения различных задач. Индивидуальные пользователи знают только о данных, которыми они оперируют, и могут рассматривать эти данные как компьютерные файлы, которые применяются в их прикладных программах.
Системы баз данных отличаются двумя существенными особенностями: общим использованием и независимостью данных. Поскольку инфраструктура безопасности предприятия играет важную роль в обеспечении целостности накопленной информации, аудитору необходимо рассмотреть эту инфраструктуру перед проверкой программных средств контроля. В целом внутренний контроль требует эффективной системы контроля базы данных, СУБД и прикладных программ. Эффективность системы внутреннего контроля зависит в большой степени от характера задач администрирования базы данных и их выполнения.
Данный текст является ознакомительным фрагментом.