Аудит. Аудит электронной обработки данных
Аубакир Л.В.
КарГТУ
Тема 11 Аудит электронной обработки данных
1 Требования к проведению аудита в условиях компьютерной обработки данных.
Содержание лекции:
Общие требования по применению компьютеров при проведении аудита
Цель МСА-401 «Аудит в среде компьютерных информационных систем» – установление стандартов и предоставление аудитору руководства по процедурам, применяемым при проведении аудита в среде компьютерных информационных систем (КИС). Аудитору следует рассмотреть, как среда КИС влияет на аудит.
При проведении аудита с использованием компьютеров сохраняются цель и основные элементы методологии аудита. Использование аудитором компьютера возможно как в случае ведения бухгалтерского учета экономическим субъектом вручную, так и при использовании средств автоматизации бухгалтерского учета.
При ведении бухгалтерского учета экономическим субъектом вручную аудитор должен решить проблему наличия необходимого программного обеспечения для анализа базы данных бухгалтерских записей по всем учитываемым хозяйственным операциям или по итоговым записям бухгалтерских регистров.
В том случае, если у экономического субъекта весь бухгалтерский учет или отдельные его участки автоматизированы, наличие в распоряжении аудитора базы учетных данных экономического субъекта (отдельных ее компьютерных файлов) позволяет применить для ее анализа эффективные методы современных информационных технологий.
Основное назначение использования компьютеров при аудите — организация аудита как последовательности выполняемых аудиторских процедур с целью повышения эффективности при взаимодействии человека с компьютером.
Аудиторской организации целесообразно вести постоянную работу по освоению новых информационных технологий автоматизации аудиторской деятельности.
Основные требования к информационному, программному и техническому обеспечению применения компьютеров в аудите
Информационное обеспечение аудита с применением компьютеров включает два основных источника:
а) данные бухгалтерского учета экономического субъекта на бумажных носителях или в виде базы данных бухгалтерии;
б) нормативно-справочную базу и систему форм рабочей документации аудитора.
Возможность использования базы данных экономического субъекта или отдельных ее массивов должна быть обеспечена:
а) организационно — в договоре о проведении аудита желательно отразить согласие экономического субъекта на использование базы данных или ее фрагментов в процессе аудита;
б) технически — в договоре о проведении аудита при необходимости следует отразить состав, форму и срок предоставления аудитору для анализа базы данных или ее фрагментов;
в) программно — система аудита с применением компьютеров при необходимости должна иметь в своем составе блок, обеспечивающий конвертацию (преобразование) базы данных экономического субъекта в данные, обработка которых возможна средствами программного обеспечения, используемого аудитором.
Аудитор может использовать для анализа не саму базу данных или фрагменты рабочей базы данных, а ее копию.
Сформированная или полученная для анализа копия базы данных должна быть идентична той, на основании которой экономический субъект формирует все бухгалтерские регистры и отчетные документы. Прежде чем приступить к анализу ее содержания, аудитор должен убедиться в таком соответствии или сделать копию базы данных самостоятельно. Для проверки соответствия должна применяться специальная система тестов.
Нормативно-справочные данные системы, используемой аудитором для проведения аудита, должны соответствовать проверяемому периоду.
Аудитор должен обеспечить конфиденциальность, как полученной информации, так и информации, созданной в ходе аудиторских процедур, а также ее защиту от несанкционированного доступа.
Программные средства системы, используемой аудитором при проведении аудита, должны обеспечивать:
а) анализ содержания формируемой в бухгалтерии экономического субъекта базы данных, если таковая существует и доступна;
б) контроль показателей, содержащихся в регистрах бухгалтерского учета экономического субъекта;
в) тестирование алгоритмов, используемых в автоматизированной системе бухгалтерского учета;
г) контроль соответствия показателей, содержащихся в формах бухгалтерской отчетности, данным бухгалтерских регистров или базы данных, формируемой в бухгалтерии при обработке первичных документов;
д) использование возможностей поисково-справочных информационных систем в области нормативных и законодательных актов, регламентирующих бухгалтерский учет и аудит в Российской Федерации;
е) формирование аудиторской документации (рабочей и итоговой).
Основные требования, предъявляемые к экспертам и (или) специалистам аудиторской организации
Основными задачами эксперта (специалиста) является оказание помощи аудитору при проведении проверки с использованием компьютера в части:
а) конвертирования данных экономического субъекта в форму, доступную для обработки в компьютерной и программной системе, используемой аудитором;
б) выполнения нестандартных процедур анализа;
в) тестирования системы, применяемой аудитором;
г) формирования на компьютере необходимых аудитору рабочих аудиторских документов.
В случае использования аудиторской организацией работы эксперта (специалиста) необходимо, чтобы аудитор имел достаточное представление о компьютерной системе ведения учета и подготовки отчетности экономического субъекта в целом с тем, чтобы планировать, регулировать и контролировать работу эксперта (специалиста), сохраняя при этом главенствующее положение.
При использовании работы эксперта аудиторская организация должна следовать требованиям, установленным правилом (стандартом) аудиторской деятельности «Использование работы эксперта».
Особенности планирования аудита с применением компьютеров
При составлении плана аудиторской проверки с применением компьютеров в соответствии с правилом (стандартом) «Планирование аудита» каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита применяемых экономическим субъектом информационных технологий и системы компьютерной обработки данных (КОД). Уровень автоматизации обработки учетной информации должен быть учтен при определении объема и характера аудиторских процедур.
При планировании проведения аудита с применением компьютеров следует учесть:
а) наличие в аудиторской организации необходимого обеспечения (информационного, программного, технического) как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров;
б) дату начала аудиторской проверки, которая должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом;
в) факт привлечения к работе экспертов в области информационных технологий;
г) знания, опыт и квалификацию аудитора в области информационных технологий;
д) целесообразность использования тестов, производимых без использования компьютеров;
е) эффективность использования компьютера при проведении аудита.
В программе аудита целесообразно отметить, какие аудиторские процедуры будут выполнены с применением компьютеров.
Источниками получения аудиторских доказательств при проведении аудиторских процедур являются данные, подготовленные в электронной среде экономического субъекта в виде таблиц, ведомостей, регистров бухгалтерского учета экономического субъекта. Аудитор имеет возможность применять их, их копии, в том числе фотокопии, в качестве рабочей документации аудита, сопровождая обработку этих документов ссылками, пометками, специальными символами. В случае работы аудитора непосредственно в электронной среде экономического субъекта (без вывода данных на печать) рабочие документы, подтверждающие факт сбора аудиторских доказательств, составляются аудитором самостоятельно.
Аудитору необходимо убедиться в том, что:
а) база данных бухгалтерского учета, сформированная системой КОД экономического субъекта, соответствует данным первичного учета (наличие системы КОД не освобождает экономический субъект от обязанности документировать в установленном порядке факты хозяйственной жизни);
б) отсутствуют несанкционированные изменения базы данных бухгалтерского учета экономического субъекта (коррективы, вносимые в связи с изменением хозяйственного или налогового законодательства, должны быть в соответствии с установленными требованиями согласованы, одобрены и проверены, надлежащим образом задокументированы).
Документирование информации, связанной с системой компьютерной обработки данных.
Рабочие документы, формирующиеся в процессе аудита с применением компьютера (например, документы, подготовленные в виде компьютерных файлов), могут храниться в аудиторской организации обособленно в архивах на машинных носителях.
Аудиторская организация в соответствии с правилом (стандартом) аудиторской деятельности «Документирование аудита» должна обеспечить сохранность данных на машинных носителях, их оформление и сдачу в архив. Система идентификации рабочих документов на машинном носителе устанавливается аудиторской организацией.
В аудиторской организации целесообразно иметь внутрифирменные стандарты, регламентирующие применение компьютеров при проведении аудита на этапах:
а) планирования;
б) проведения аудита, включая сбор и отражение аудиторских доказательств;
в) подготовки отчета аудитора.
Процедуры аудита с применением компьютеров
Рассматривая возможность применения тех или иных аудиторских процедур при проведении аудита с использованием компьютеров, аудиторская организация обязана руководствоваться правилами (стандартами) аудиторской деятельности «Аналитические процедуры» и «Аудиторские доказательства».
Эффективность аудиторских процедур может быть повышена благодаря использованию компьютеров при проведении аудита при получении и оценке некоторых аудиторских доказательств в тех случаях, когда:
а) проверке подвергаются большие однородные массивы данных по участкам и операциям бухгалтерского учета;
б) у проверяемого экономического субъекта используется унифицированная стандартная система оформления бухгалтерских операций;
в) имеется и используется информационно-поисковая система для расшифровки и подтверждения наличия соответствующих первичных документов, регистров бухгалтерского учета;
г) имеется и используется автоматизированная система контроля исполнения утвержденного регламента решения соответствующих учетных задач.
Применение компьютеров позволяет аудитору провести следующие процедуры:
а) тестирование операций и остатков по счетам в компьютерной базе данных;
б) аналитические процедуры с целью выявления отклонений от обычно принятых параметров в компьютерной базе данных;
в) тестирование базы данных проверяемого экономического субъекта;
г) тестирование информационного, математического, программного и технического обеспечения проверяемого экономического субъекта.
Оценка риска
В соответствии с МСА-400 «Оценка риска и внутренний контроль» аудитору надо оценить неотъемлемый риск и риск контроля в отношении существенных утверждений финансовой отчетности. Неотъемлемые риски и риски контроля в среде КИС влияют на вероятность существенных искажений как в учете, так и в отношении счетов.
При появлении новых технологий КИС они используются клиентами для построения более сложных компьютерных систем, которые включают в себя взаимосвязь между персональными компьютерными и центральным пользователями, а также системы управления предприятием, информация от которых поступает в системы бухгалтерского учета. Такие системы увеличивают сложность КИС и специфических прикладных программ, на которые они влияют. В результате они могут увеличивать риск.
Независимо от того, обрабатываются ли данные вручную или на компьютере, задачи аудита не изменяются. Тем не менее, методы компьютерной обработки оказывают влияние на методы применения процедур для сбора доказательств. Аудитор может использовать процедуры вручную, или применять компьютеризированные приемы аудита, или комбинировать эти два способа, чтобы получить достаточный объем доказательств. Однако в некоторых системах бухгалтерского учета, в которых используется компьютер, получение аудитором данных для инспектирования, опроса или подтверждения может быть затруднительными или невозможным без помощи компьютера.
Список рекомендуемой литературы (5,7,9).
Задания для СРС:
- Документирование информации, связанной с системой компьютерной обработки данных.
Список рекомендуемой литературы (5,7,9).