2.4.Оцінка аудиторського ризику при проведені комп’ютерного аудиту.

Важливим елементом при плануванні та проведенні ауди­ту є оцінка аудиторського ризику. Він залежить від особли­востей господарської діяльності підприємства, якості функ­ціонування системи внутрішнього контролю підприємства. Аудиторський ризик полягає в тому, що аудитор може ви­словити неадекватну думку в тих випадках, коли в доку­ментах бухгалтерської звітності є значні перекручення, іншими словами, за неправильно підготовленою звітністю буде представлено аудиторський висновок без зауважень.

Згідно з вимогами Міжнародного стандарту № 400 "Оцін­ка ризиків та внутрішній контроль", аудитор повинен оці­нити властивий (притаманний) ризик і ризик невідповід­ності внутрішньої системи контролю і управління.

Найважливішим тут є оцінка аудитором ризику внут­рішнього контролю — ефективності системи внутрішньо­господарського контролю підприємства, тобто її спромож­ності попереджати і виявляти помилки на підприємстві, оцінка розміру аудиторського ризику не виявлення суттє­вих помилок у звітності підприємства, який існує під час проведення аудитором аудиторських процедур, і визначен­ня на підставі цього найважливіших напрямків аудиту.

Аудиторський ризик визначається за формулою:

АР = ВР * РК * РН,

де АР — аудиторський ризик;

ВР — внутрішньогосподарський ризик (також прита­манний або властивий);

РК — ризик контролю;

РН — ризик не виявлення.

Ризик контролю виражає міру очікування аудитором імовірності пропуску помилок, що перевищують припус­тиму величину, системою внутрішньогосподарського кон­тролю, тобто ризик наявності помилок в обліку після пе­ревірки системою внутрішнього контролю. Звичайно це значення лежить у межах від 0,3 до 0,5.

Ризик не виявлення виражає міру готовності аудитора визнати імовірність не виявлення в процесі проведення аудиту помилок, що перевищують припустиму величину. Відповідно до статистики, цей ризик становить близько 0,1 (близько 10 %).

Одержавши значення величини аудиторського ризику, необхідно врахувати, що він має бути прийнятним. Прий­нятний аудиторський ризик виражає міру готовності ауди­тора визнати прийнятною імовірність наявності у фінан­совій звітності суттєвих помилок після завершення ауди­ту і видачі клієнту аудиторського висновку. Більшість аудиторів вважають, що величина прийнятного аудиторсь­кого ризику не повинна перевищувати 5 %, хоча яких-небудь офіційних норм граничного значення аудиторсько­го ризику не встановлено.

Оцінка ризику — складний ітераційний процес. Ауди­тор оцінює ризик перед проведенням аудиту. Однак якщо в процесі перевірки він виявив певні проблеми, пов'язані з функціонуванням системи контролю, то повинен скоригувати свою оцінку ризику і програму аудиту (рис. 2.6).

Комп'ютерна обробка економічних даних впливає, перш за все, на процес вивчення аудитором системи обліку і внутрішнього контролю підприємства, що перевіряється. Відповідно до вимог Міжнародного стандарту № 400 "Оці­нка ризиків і внутрішній контроль", аудитор повинен оцінити властивий ризик (inherent risk) на підприємстві і ризик засобів контролю (control risk).

Відповідно до Положення про міжнародну аудиторську практику № 1008 "Оцінка ризику та внутрішній контроль: характеристики та особливості в КІС" аудитор повинен врахувати вплив ризиків використання КІС для того, щоб оптимально виконати процедури контролю і максимально понизити вірогідність надання неправильних висновків і рекомендацій. Особливості оцінки ризиків при застосу­ванні КІСП і КСБО також наведені в Міжнародному стан­дарті 401 "Аудит у середовищі комп'ютерних інформацій­них систем".

Рис. 2.6. Циклічний алгоритм проведення аудиторської перевірки при переоцінці ризику системи контролю

Аудитор повинен зрозуміти, які заходи вживає суб'єкт господарювання щодо ризиків, які випливають із викори­стання інформаційних технологій (IT). Використання IT впливає на спосіб здійснення контрольної діяльності. Ауди­тор розглядає, чи суб'єкт господарювання належним чи­ном компенсував ризики, пов'язані з IT за допомогою ство­рення ефективних загальних засобів контролю IT (general controls) і засобів контролю прикладних програм (application controls). З погляду аудитора, засоби контро­лю над ІТ-системами є ефективними, коли вони підтриму­ють цілісність інформації і безпеку даних, які ця система обробляє.

Характер ризику і характеристики внутрішнього конт­ролю в середовищі КІСП включають:

— відсутність слідів операцій — незрозумілість шляху перетворення вхідної інформації з первинних облікових документів у підсумкові показники. Деякі КІСП спроектовані таким чином, що повний обсяг інформації про опера­цію, що використовується з метою аудиту, може існувати тільки протягом короткого періоду або тільки у форматі, що прочитується на комп'ютері. Якщо складна програма передбачає велику кількість етапів обробки, то повного обсягу інформації може і не бути. Побічна інформація може бути корисна для завдань контролю, але часто є можливість прочитання інформації тільки на електронних носіях, ос­кільки там, де складна система виконує більшу кількість кроків та завдань, неможливо простежити наявності по­вного набору дій. Саме тому помилки, які існують у само­му алгоритмі програми, дуже складно виявити без вико­ристання спеціальних програм;

• єдина обробка операцій. При комп'ютерній обробці подібних операцій застосовуються однакові інструкції. Таким чином, фактично усувається можливість помилок, що властиві ручній обробці. І, навпаки, помилки програ­мування (та інші помилки в технічних засобах або програм­ному забезпеченні) призводять до неправильної обробки всіх без винятку операцій. Зменшення участі людини в процесах обробки інформації приводить до того, що помил­ки і недоліки через зміни прикладних програм або си­стемного програмного забезпечення можуть залишатися невиявленими ними тривалий час;

• відсутність поділу функцій. Багато процедур контро­лю, які зазвичай виконуються окремими особами вручну, можуть бути сконцентровані в КІСП. Таким чином, особа, що має доступ до комп'ютерних програм, процесу обробки або даних, може виконувати несумісні функції. Декілька процедур управління можуть бути сконцентровані в руках одного бухгалтера, тоді як при веденні бухгалтерського об­ліку вручну вони були б звичайно розподілені між декіль­кома працівниками. Таким чином, цей бухгалтер, маючи вплив на всі розділи обліку, контролює сам себе;

— можливість помилок і порушень. Можливість здійснення помилок, властивих людині, при розробці, технічному обслуговуванні й експлуатації КІС може бути більша, ніж у системах ручної обробки, частково через ступінь деталізації, властивої такій діяльності. Крім того, можливість несанкціонованого доступу до даних або зміни даних без очевидних доказів може бути більшою при використанні КІСП, ніж у системах ручної обробки даних. Менший ступінь участі людей у процесі здійснен­ня операцій може зменшити імовірність виявлення по­милок і порушень. Помилки або порушення, що мають місце при розробці або модифікації прикладних програм або системного програмного забезпечення, можуть зали­шатися невиявленими протягом тривалого часу. Влас­тивий (притаманний) ризик і ризик внутрішнього конт­ролю в середовищі КІСП мають свої особливості: ризик може виникнути через неточності при розробці програ­ми, супроводженні й підтримці програмного забезпечен­ня системи, операцій, безпеки системи і контролю до­ступу до спеціальних програм управління. Розмір ризи­ку може збільшуватися через помилки або шахрайство як у програмних модулях, так і в базах даних. Напри­клад, слід вжити необхідних заходів, які попереджають виникнення помилок у системах, в яких виконується складний алгоритм розрахунків, оскільки виявити такі помилки дуже важко;

— ініціювання або здійснення операцій. КІС можуть мати здатність автоматично ініціювати або здійснювати визначені види операцій. Дозвіл на виконання таких опе­рацій або процедур не обов'язково документально оформ­ляється таким самим чином, як і при ручній обробці;

— можливості удосконалення у правлінського контро­лю. КІСП може надати керівництву багато аналітичних засобів, які можна застосовувати при аналізі операцій і контролю за діяльністю суб'єкта. Наявність таких додат­кових засобів контролю, у випадку їх використання, до­помагає покращати структуру внутрішнього контролю в цілому.

Часто масові господарські операції здійснюються в по­вністю автоматизованому режимі або з мінімальним втру­чанням людини. У таких умовах виконання тільки проце­дур по суті буде досить ризикованим. Наприклад, в умо­вах, коли суттєва кількість інформації суб'єкта господа­рювання ініційована, записана, оброблена або надана елек­тронним способом, аудитор може з'ясувати, що розробка ефективних процедур по суті, які самі по собі могли б за­безпечити достатні аудиторські докази щодо відсутності суттєвих відхилень в операціях або залишках на рахун­ках, не є можливою. У таких випадках аудиторські докази можуть бути доступними тільки в електронній формі, і їх достатність і відповідність звичайно залежать від ефектив­ності вбудованих в програмне забезпечення засобів конт­ролю, їх точності й повноти. До того ж, потенціальна мож­ливість випадків некоректного ініціювання або зміни інформації, які відбулися і не були виявлені, може бути більшою, якщо інформація ініційована, записана, оброб­лена або надана тільки в електронній формі й відповідні засоби контролю не діють ефективно.

Наприклад, КІСП може використовуватися для ініцію­вання замовлень на придбання та постачання товарів, яке базується на заздалегідь заданих правилах щодо того, що саме замовляти і в якій кількості. Потім КІСП автоматич­но приймає рішення щодо сплати відповідних рахунків постачальників, на підставі підтвердженого факту отри­мання товарів. При цьому ніяке інше документування щодо розміщених замовлень або отриманих товарів не здій­снюється, окрім як через КІСП.

Суб'єкт господарювання, який надає послуги замовни­кам через електронні засоби (наприклад, Інтернет - провайдер або телекомунікаційна компанія), також використо­вує КІСП для автоматичної реєстрації послуг, наданих замовникам.

Таким чином, використання КІСП на підприємстві ство­рює специфічні аудиторські ризики, які тісно пов'язані з поняттям інформаційної безпеки КІСП. Інформаційна без­пека досягається шляхом задоволення вимог до чотирьох груп специфічних ресурсів комп'ютерної інформаційної системи підприємства: апаратного забезпечення, програм­ного забезпечення, обчислювальних потужностей (напри­клад, процесорного часу або місця на твердому диску) і да­них.