5.4.Програмне забезпечення аудиторської діяльності
Комп'ютеризація обліку суттєво впливає на проведення аудиту. Однак і сам комп'ютер може стати інструментом аудитора, що дає йому змогу не лише скоротити час і витрати при проведенні аудиту, а й провести
більш детальну перевірку і скласти якісний аудиторський висновок з рекомендаціями зі стратегії, за напрямками і засобами поліпшення фінансово-господарського становища підприємства. Положення про міжнародну аудиторську практику 1009 «Методи аудиту з використанням комп'ютерів» описує такі методи аудиту з використанням комп'ютерів (рис. 5.4.).
Методи аудиту з використанням комп'ютерів
Тестові методики
А
удиторське
програмне забезпечення
Тестування
засобів
контролю в
комп'ютерних
програмах
С
пеціальні
програмні засоби
комп'ютерного
аудиту
Еталонні контрольні
операції
П
рограмні
засоби підтримки
аудиторських процедур
Використання
фіктивного»
модуля
акети
прикладних програм
загального
і проблемно-орієнтованого
призначення
Рис. 5.4. Методи аудиту із застосуванням комп'ютерів
Способи й методи тестування КСБО було розглянуто в п. З.4. Нижче розглянемо види та призначення аудиторського програмного забезпечення.
Проблема автоматизації контролю й аудиту ґрунтується на проблемі формалізації цього процесу. Формалізація, здійснювана в стандартах аудиту, на жаль, дуже мало підходить для проведення якісної аудиторської перевірки. Сьогодні неможливо повністю формалізувати такий творчий процес, як аудит, так, щоб у підсумку мати алгоритми для комп'ютерної автоматизації і при цьому не втратити якості перевірок.
Технологія аудиту значною мірою є творчим процесом, особливості якого залежать як від конкретного підприємства, яке перевіряють, так і від практичного досвіду та поглядів самого аудитора. Спроба нав'язати аудиторам тверду схему-методику заздалегідь приречена на невдачу.
Зауважимо, що в деяких системах обліку, в яких використовують комп'ютерну обробку значної частини операцій, можуть бути труднощі з отриманням чітких результатів без допомоги спеціальних комп'ютерних програм. Крім того:
а) при невеликих обсягах даних ефективнішими можуть бути методи обробки даних без використання комп'ютера;
б) можна не отримати адекватної технічної допомоги від клієнта, що зробить використання спеціалізованих комп'ютерних методів аудиту неефективним.
Аудиторська діяльність має свою специфіку. Відповідно, на відміну від програм бухгалтерського обліку, вимоги до аудиторського програмного забезпечення будуть такими.
Наявність розвинутих засобів контролю операцій. Контроль має здійснюватися не лише в момент оформлення документа чи проводки, як прийнято в суто бухгалтерських програмах, а й тоді, коли в цьому виникає необхідність.
Підвищена гнучкість. Оскільки аудиторам доводиться працювати з різними замовниками, котрі мають різні облікові політики, форми звітності і навіть плани рахунків, то програма має швидше перенастроюватися на специфіку страхової компанії, торгового дому, бюджетної організації, виробничої компанії. У системах комп'ютеризації, призначених для зовнішнього аудиту, мають враховуватися загальні стандарти й окремі облікові правила для підприємств, які перевіряють.
Ергономічність. Під цим розуміють наявність засобів для зручного введення великих обсягів інформації, оперативного і простого формування звітів. Іншими словами, програма має бути розрахована не на програміста чи оператора, а на аудитора, знання якого в галузі комп'ютерної техніки можуть бути обмежені.
4. Зв'язок на рівні баз даних з бухгалтерськими програмами. Необхідні додаткові засоби для введення і виведення даних, представлених у різних форматах.
Крім основних вимог, аудиторському програмному забезпеченню (як і будь-яким іншим прикладним програмам) мають бути властиві такі ознаки: простота освоєння, швидкодія, професійна оперативна підтримка з боку розробників.
У роботі зі спеціальним аудиторським програмним продуктом поетапно виконують такі процедури.
На першому етапі аудитор визначає завдання, які необхідно вирішити під час перевірки за допомогою спеціального програмного забезпечення.
На другому етапі складають план виконання поставлених завдань і роблять оцінку реальності застосування аудиторських програмних засобів. З цією метою здійснюють аналіз форми і методів застосовуваного на підприємстві бухгалтерського обліку й оцінюють можливість застосування спеціального аудиторського програмного забезпечення. При цьому встановлюють обсяг облікової інформації, обсяг роботи аудитора, кількість часу, необхідні для проведення аудиторської перевірки. На цьому етапі визначають потрібну потужність обчислювальної техніки і складають графік виконання аудиторських робіт із зазначенням обсягів виконуваних робіт, термінів виконання, конкретних виконавців та форми завершення.
На третьому етапі здійснюють налагодження стандартних програмних засобів, розробку нових засобів, необхідних для цієї аудиторської перевірки. Наявні програмні засоби адаптуються для фактичних облікових даних.
На четвертому етапі здійснюють перевірку сформованих на електронних носіях даних з метою підтвердження їхньої незмінності, оцінюють стан підприємства, яке перевіряють, проводять тестування й обробку за графіком, аналіз отриманої інформації, її оцінювання за допомогою бази знань і формують комп'ютерний висновок за позиціями, котрі перевіряють.
У створенні аудиторських систем є дві базові стратегії:
• мінімізація витрат на введення початкових даних;
• мінімізація ризику пропуску помилкових даних у фінансовій документації.
Вибираючи першу стратегію, можна використовувати введення інформації на зразок «так — ні», яку задають набором тестів, або частково відмовитись від уведення бухгалтерської інформації
клієнта. Цей шлях може призводити до значного ризику пропущення помилок.
Друга стратегія потребує значних витрат на введення початкових даних. Для скорочення цих витрат можна орієнтуватися на первинну інформацію клієнта, у якій відбито всі фінансово-господарські операції на аналітичному і синтетичному рівнях. З цією метою можна використовувати конвертацію даних бухгалтерської системи клієнта в програмне середовище аудиторської системи чи адаптацію аудиторської системи до структури інформаційної бази клієнта.
Вітчизняний ринок спеціальних інформаційних систем аудиту лише починає розвиватися. На світовому ринку представлені аудиторські програми трьох типів:
спеціальні програмні засоби комп'ютерного аудиту;
програмні засоби підтримки аудиторських процедур;
пакети прикладних програм загального і проблемно-орієнтованого призначення.
Перший тип програм — спеціальні програмні засоби комп'ютерного аудиту — призначений для проведення аудиту безпосередньо комп'ютерної системи клієнта шляхом її тестування з використанням різноманітних методів. Результатом є висновок про фактичну працездатність процедур контролю та захисту даних у системі, що дозволяє оцінити ризик неефективності контролю і визначити можливість використання бази даних клієнта в проведенні аудиторської перевірки.
Другий тип програм — програмні засоби підтримки аудиторських процедур — забезпечує роботу з великими масивами даних, що перевіряються, при виконанні аудиторських процедур (наприклад, перевірка й аналіз записів, зіставлення даних різних файлів, розмітка і роздрукування вибірок, генерація звітів тощо).
Програмні засоби підтримки аудиторських процедур допускають виконання певних тестів на фактичних даних. За допомогою таких програмних засобів здійснюють аудиторську перевірку й аналіз записів на основі визначених критеріїв з метою визначення їхньої якості, повноти і правильності. Для цього також використовують базу знань, що допомагає визначити невідповідності і прийняти необхідні рішення. Таке програмне забезпечення дозволяє робити тестування розрахунків, виконувати необхідні перерахунки і зіставляти отримані результати з нормативними, кошторисними, попередніми даними. У літературі з питань комп'ютеризації аудиту [35] модель такої реалізації аудиторської програмної системи має таку структуру (рис. 5.5).
Модуль набуття знань призначений для формування бази знань. База знань складається з двох частин: бази правил і бази фактів.
База правил містить процедурні знання в стандартній формі: ЯКЩО <умова>, ТО <реакція>.
Рис. 5.5. Структура аудиторської системи
Наприклад, якщо показник «Обсяг робіт» у «Договорі підряду» збігається з показником «Обсяг виконаних робіт» в «Акті приймання», то можна перейти до наступного правила.
База фактів є семантичною мережею з множиною предикатів. Вона відображає типовий опис змісту бухгалтерської документації та її взаємозв'язків.
Припустимо, що аудитору необхідно упевнитися в правильності застосування облікової ціни готової продукції. Для цього створюється правило, яке може мати вигляд: ЯКЩО облікова ціна дорівнює сумі за одиницю з планів калькуляції собівартості, ТО помилки немає.
Модуль виконання аудиту призначений для ініціалізації роботи системи, формування аудиторських висновків.
Програма «Помощник аудитора», створена за цією схемою російською фірмою «Гольдберг-аудит», є спробою створити аудиторську систему, що реально працює, спрямовану на розв'язання завдань аудиту на всіх етапах його здійснення . Структура автоматизованої аудиторської системи складається з чотирьох основних блоків, функції яких відповідають чотирьом етапам проведення аудиту.
У блоці підготовчого етапу міститься анкета для підприємства, яке перевіряють, і бланки-тексти листів, якими обмінюються аудитор і клієнт перед укладенням договору на аудит — лист-пропозицію і лист-зобов'язання.
На цьому етапі збирають дані про клієнта і отриману інформацію вводять у комп'ютер для подальшого використання в інших блоках.
Блок планування містить математичні моделі й алгоритми розрахунків величин аудиторського ризику, рівня суттєвості й вибірки. Через бланки-розрахунки вводять необхідні для розрахунків вихідні дані, що відповідають типу підприємства, яке перевіряють. Введення даних може здійснюватися як вручну, так і автоматично з облікової бази даних. Друге переважає, тому що розрахунки суттєвості і вибірки для конкретних процедур ґрунтуються на знанні кінцевого сальдо, дебетових і кредитових оборотів по конкретних рахунках.
У результаті розрахунків програма визначає всі необхідні для планування величини. Виробляється також вибір загального плану і програми аудиту.
Блок процедур аудиту найбільший і найважливіший. Він охоплює такі елементи:
робочі програми аудиту за розділами;
бланки-процедури для кожного розділу аудиту;
бланки-тести для окремих розділів аудиту;
висновки за розділами аудиту.
У цьому блоці реалізується стратегія оптимізації обсягу інформації, яку вводять, з мінімізацією ризику аудиторських помилок. Це найскладніша частина автоматизації системи, спрямована на встановлення зв'язків між інформацією аудитора, яку вводять, при виконанні процедур, розрахунковими значеннями суттєвості та вибірки і формуванням висновку аудитора щодо конкретного розділу.
Суттєвою допомогою в роботі аудитора на цьому етапі перевірки можуть стати додаткові засоби довідкового характеру. Ними можуть бути:
виклик довідково-правової системи;
коротка довідка із законодавчих документів;
перелік типових помилок для тієї чи іншої процедури;
методика виконання процедури тощо.
Основним завданням блоку процедур є підготовка матеріалів для аналітичної частини аудиторського висновку.
У блоці заключного етапу є бланки-шаблони для підготовки офіційного висновку, що має вступну, аналітичну і заключну частини. Форми вступної і заключної частин мають стандартизований вигляд. У блоці є також бланк письмової інформації аудитора керівництву економічного суб'єкта.
Іншою подібною програмою є теж російська Abacus Professional, яка охоплює практично всі стадії проведення аудиторської перевірки . При першому знайомстві з клієнтом аудитор за допомогою програми може провести експрес-аудит бухгалтерської звітності. Для спрощення цієї процедури в програмі реалізовано можливість уведення даних з інших бухгалтерських програм у форматах СУБД Btrieve, Clarion, Clipper, Foxpro тощо. Використання цих прийомів допомагає оперативно виявити ділянки обліку клієнта, де імовірний ризик виникнення помилки, і прийняти рішення про проведення чи непроведения аудиторської перевірки. Під помилкою, яку виявляє комп'ютер, розуміють нестиковку не лише математичних операцій, а й логічну. Експрес-аудит дозволяє також приблизно оцінити обсяги вибірки, терміни проведення перевірки, суму аудиторського гонорару.
На стадії перевірки правильності оформлення документів і пов'язаних із ними проводок, накопичувальних регістрів і звітів аудитор може використовувати спосіб простежування за якою-небудь ознакою, наприклад за сумами чи контрагентами, що здаються «підозрілими». Під простежуванням (audit trial) розуміють процедуру, у ході якої аудитор перевіряє деякі первинні документи і їхнє відображення в регістрах синтетичного й аналітичного обліку. Відповідна заключна кореспонденція рахунків, жорстко прив'язана в програмі до цих документів, дозволяє зробити висновок про правильність (чи неправильність) відображення цієї господарської операції в бухгалтерському обліку.
Для формування звітів довільної форми існує спеціальний конструктор документів і звітів — Abacus Designer, за допомогою якого розробники доопрацьовують звіти за технічним завданням самих аудиторів. На базі Abacus Designer можна також підготувати контрольні акти звірки розрахунків, спеціальні звіти, у яких інформація може бути подано в різних розрізах, з різною глибиною аналітики.
Одним із найскладніших напрямів аудиторської діяльності є оптимізація облікової політики підприємства. Оскільки Abacus Professional підтримує роботу з кількома базами даних, для аудитора стає можливим моделювання ситуації зміни облікової політики фірми-клієнта на підставі реальних даних. Таким чином, аудитор може обґрунтувати, які прибутки принесе фірмі-замовнику зміна облікової політики або яких втрат вона зазнає від цього, і дати зважені рекомендації зі стратегічного планування.
Питання для контролю
Які передумови створення комп'ютерних систем бухгалтерського обліку ви можете назвати?
Назвіть та охарактеризуйте принципи створення КСБО.
Які вимоги мають задовольняти комп'ютерні програми бухгалтерського обліку?
Яка специфіка автоматизації бухгалтерського обліку на підприємствах різних розмірів?
Дайте характеристику різних способів та підходів до створення КСБО.
Які є рівні програмування комп'ютерних програм бухгалтерського обліку?
Назвіть та охарактеризуйте функції персоналу КСБО.
Які мережеві технології застосовуються в комп'ютерній бух- галтерії?
З яких етапів складається створення комп'ютерної системи бухгалтерського обліку на підприємстві?
Опишіть послідовність робіт кожного етапу створення КСБО.
Яким чином класифікуються програмні продукти для бухгалтерії?
Як провести тестування і вибір бухгалтерського програмного забезпечення?
Які типи мов програмування використовуються при створенні бухгалтерських програмних продуктів?
Які переваги дає підприємствам КСБО і як розрахувати її економічну ефективність?
Які форми побудови облікового апарату ви знаєте?
Які принципи розподілу праці облікових працівників ви знаєте?
Які особливості побудови структури бухгалтерії при застосуванні обчислювальної техніки?
Що таке комп'ютерний аудит? Яке його відношення до аудиту фінансової звітності?
За якими основними параметрами має здійснюватися перевірка КІСП щодо захисту і безпеки даних?
Які організаційні заходи слід здійснювати на підприємстві, що використовує КСБО?
Як налагодити ефективний контроль за здійсненням облікових записів у КСБО?
22.Які типи програмних продуктів використовує аудитор?
Тема 6. Аудит інформаційної безпеки підприємства
6.1.Загрози інформаційній безпеці підприємства.
6.2.Етапи убезпечення інформаційної системи.
6.3.Засоби і методи захисту інформаційних систем.
6.4.Відповідальність за незаконність використання інформаційних систем.
6.1.Загрози інформаційній безпеці підприємства
Виходячи із загального визначення інформаційної системи як системи, що збирає, зберігає, обробляє і надає користувачам інформацію, процес функціонування будь-якої інформаційної системи з погляду загроз її функціонуванню можна подати таким чином (рис. 6.1).Безпечною є інформаційна система, яка забезпечує такі властивості інформації:
цілісність — відповідає стану системи, коли інформація є вчасною, точною і повною;
конфіденційність — вимога, щоб до приватної або конфіденційної інформації, яка міститься у системі, мали доступ тільки уповноважені користувачі;
доступність — вимога, щоб система працювала коректно і не відмовляла у доступі легальному користувачу.
Використання КІСП для потреб управління підприємством створює додаткові ризики невиявлення помилок в обліку та винесення аудитором помилкового судження.
Приклади причин помилок в обліковій інформації при застосуванні КІСП наведені в табл. 6.1.
Крім того, Положення про міжнародну аудиторську практику № 1008 "Оцінка ризиків та внутрішній контроль — характеристика КІС та пов'язані з ними питання" передбачало, зокрема, те, що в КІСП наявна вразливість
Таблиця 6.1. Приклади появи можливих помилок в обліковій інформації при застосуванні КІСП
№ з/п |
Найменування |
Приклади |
1 |
Зменшення ступеня залучення персоналу |
Якщо обліковий персонал чи аудитор не мають можливості безпосереднього візуального спостереження первинної інформації, що вводиться (чи можуть тільки перевірити результати обробки даних у формі звітів), це підвищує ймовірність пропуску помилок і неточностей |
2 |
Помилки в програмних алгоритмах |
У спрощених і навіть у складних КСБО іноді (наприклад, при неправильному складанні бухгалтером чи програмістом визначеного алгоритму часто повторюваних розрахунків — скажімо, за ПДВ) підвищується ймовірність системних помилок і неточностей. При цьому навіть якщо вони несуттєві кожна окремо, їх сукупний накопичений за рік ефект може значно спотворити звітність у цілому |
3 |
Порушення конфіденційності |
Можливий витік або несанкціонована зміна інформації (у тому числі і конфіденційної), внесення небажаних змін у саму систему, а також матеріальні втрати (розкрадання коштів, товарно-матеріальних цінностей та інших активів) у результаті шахрайства з використанням комп'ютерів |
4 |
Порушення цілісності |
Подання обліково-аналітичної інформації у формі великої бази даних обтяжено потенційним ризиком перекручування чи навіть втрати фрагментів (а іноді — і всього обсягу) цієї інформації, необхідності її термінового відновлення в значних масштабах і як наслідок — в суттєвих за часом перервах при обробці поточної облікової інформації |
засобів зберігання даних і програм, — великі обсяги даних і комп'ютерні програми, що використовуються для обробки інформації, можуть зберігатися на вбудованих або зйомних носіях інформації, таких як магнітні диски і плівка. Такі носії інформації можуть бути украдені, загублені, навмисно або випадково знищені.