- •Міжрегіональна академія управління персоналом аудит Опорний курс лекцій
- •Тема 1 сутність аудиту, його предмет і методи
- •1.1. Сутність аудиту та його коротка історія
- •1.2. Предмет, метод і об’єкти аудиту
- •1.3. Види аудиту та його відмінність від ревізії
- •1.4. Аудит у системі господарського контролю
- •Тема 2. Організація аудиту та його нормативно-правове забезпечення
- •2.1. Управління аудитом в Україні
- •2.2. Сертифікація аудиторської діяльності
- •2.3. Реєстр суб'єктів аудиторської діяльності
- •2.4. Професійна етика та правовий статус аудиторів і аудиторських фірм
- •Тема 3. Стандарти (норми) аудиту
- •3.1 Нормативна база регулювання аудиторської діяльності
- •3.2. Міжнародні стандарти
- •Тема 4 планування, стадії і процедури аудиту
- •4.1 Необхідність планування аудиторської діяльності
- •4.2. Планування аудиторської діяльності
- •4.3. Стадії, етапи і процедури аудиту
- •Тема 5. Аудиторський ризик
- •5.1. Поняття ризику і правила його оцінювання
- •5.2. Ризик аудиту або загальний ризик
- •5.3. Ризик невідповідності внутрішнього контролю підприємства
- •5.4. Ризик невиявлення
- •Тема 6. Помилки і процеси обману
- •6.1. Поняття помилок, їх різновиди та причини виникнення
- •6.2. Помилки та шахрайство
- •Тема 7. Аудиторські докази
- •7.1. Аудиторські докази та їх види
- •7.2. Основні вимоги до доказів
- •7.3. Джерела та процедури отримання аудиторських доказів
- •Тема 8. Аудиторські робочі документи, їх призначення
- •8.1. Аудиторські робочі документи
- •8.2. Звіт аудитора керівництву господарюючого суб'єкта
- •8.3. Аудиторський висновок та його види
- •Тема 9 аудиторські послуги
- •9.1. Поняття та види аудиторських послуг
- •9.2. Консультування в різних галузях діяльності
- •9.3. Санаційний аудит
- •Тема 10. Організація аудиту в комп’ютерному середовищі
- •10.1. Програмне забезпечення для аудитора
- •10.2. Методика проведення аудиту в умовах комп’ютерної обробки даних
- •10.3. Організація і вимоги до аудиту в умовах комп’ютерної обробки даних
- •10.4. Зловживання в умовах комп’ютерної обробки даних
- •Список використаної літератури
- •Висновок незалежного аудитора
- •Висновок незалежного аудитора
- •Висновок незалежного аудитора
- •Висновок незалежного аудитора
10.4. Зловживання в умовах комп’ютерної обробки даних
Слід зазначити, що машини теж можуть помилятися, але це відбувається, в основному, через помилки людини — навмисне, через неуважність чи незнання. Усі програмні продукти, зокрема 1С: Бухгалтерія, складаються з певних алгоритмів, тому кваліфікованому спеціалісту з програмування нескладно розібратися з цією алгоритмічною мовою і дописати, наприклад, алгоритм, при якому заокруглення цифр процентів банку по депозитних рахунках або процентах за кредит чи акціях віднімалися б від рахунку підприємства і зараховувалися на власний рахунок цього спеціаліста. Можна виділити ще ряд махінацій: знищення або додавання проводок і первинних документів по них, коригування формул розрахунків податків чи заробітної плати на рівні алгоритмів.
Так, при використанні комп'ютера помилки можуть з'явитися в таких випадках:
* при підготовці вихідних даних, пов'язаних із ланцюгом операцій з одержання дозволу на запуск системи;
* при немашинній обробці вихідних даних, наприклад, при підсумовуванні вручну бухгалтерських даних (тобто в процесі формування контрольних сум);
* при перетворенні вихідних даних у машинозчитувальну форму;
* при ідентифікації вхідних файлів для використання в обробці;
* при передачі інформації від однієї програми до іншої;
* при запиті файлів для одержання додаткової інформації з окремих угод (наприклад, таблиць перевірених постачальників), при ініціюванні операцій комп'ютером;
* при створенні вихідних файлів або коригуванні головних файлів;
* при зміні головних файлів (додаванні, знищенні або зміні записів) поза звичайним для кожного циклу ланцюгом операцій у результаті виконання процедур супроводу;
* при генеруванні вихідних звітів або файлів;
* при виправленні помилок, виявлених у результаті виконання процедур контролю;
* при використанні персоналом вихідних даних і пристроїв.
Після ідентифікації місць можливого виникнення помилок із ними погоджують конкретні цілі контролю. Наприклад, одна з помилок може призвести до виставлення рахунків із помилковими цінами в результаті використання не того файла. У неавтоматизованих системах визнання платежу, зазвичай, фіксують підписом віповідальної особи на вихідному документі, зокрема на рахунку постачальника. У комп'ютерних системах подібне визнання може бути у вигляді пароля, що дає дозвіл на виконання операції, надаючи їй спеціального коду. Пароль забезпечує доступ до програм, що ініціюють виконання певного виду операцій або зміну головних файлів. У цьому випадку, незважаючи на збіг цілей контролю в системах обох типів, методи досягнення цих цілей і видиме підтвердження відповідності виконаної операції санкціонованій процедурі значно відрізняються, що впливає на підходи до аудиту.
Методи збору аудиторських доказів, що застосовуються при перевірці. Для видачі відповідного висновку аудитор повинен мати достовірну та надійну інформацію про об'єкт дослідження. Уся інформація, зібрана аудитором до початку перевірки, в процесі перевірки та за її результатами, є аудиторською інформацією. Частина цієї інформації — документи або їх копії — належить до аудиторських доказів. Такі докази є результатом поєднання тестів системи контролю та процедур перевірки. Аудиторські свідчення повинні бути достатніми й належними для складання аудиторського висновку.
На судження аудитора щодо достатності й належності зібраних аудиторських свідчень впливають такі фактори:
* оцінка аудитором характеру та рівня ризику, можливого як на рівні фінансової звітності, так і на рівні залишків по рахунку чи класу операцій;
* характер систем обліку та внутрішнього контролю, оцінка ризику контролю;
* ступінь суттєвості розглянутого питання;
* професійний досвід аудитора;
* результати аудиторських тестів і процедур;
* джерела та надійність наявної інформації.
Аудитор для одержання аудиторських доказів застосовує певні процедури. В основному - це тестування, перевірка, спостереження, опитування, підтвердження, підрахунки, аналітичні процедури. Використання методик автоматизованого аудиту може підвищити ефективність аудиторських процедур.
Наприклад, існує три підходи до комп'ютерного тестування, якими можуть користуватися аудитори:
* відбір за допомогою комп'ютера певних операцій для їх подальшої перевірки вручну;
* перевірка системи внутрішнього контролю за допомогою імітаційних даних;
* перевірка системи внутрішнього контролю за допомогою реальних даних, оброблених аудиторськими програмними засобами.
Аудиторські програмні засоби (далі АПЗ) загального призначення – це набір процедур, які дають змогу здійснювати різноманітні маніпуляції (зчитування-обчислення і т. ін.) з машинозчитуваними записами. АПЗ, таким чином, забезпечують аудиторам одержання недоступних іншим способом фактичних даних.
Виконання бухгалтерських операцій у комп'ютерній системі приводить до збору та генерування великих масивів даних, що існують, зазвичай, тільки в машинозчитувальній формі. У цьому разі аудиторські програмні засоби забезпечують доступ до даних та їх перетворення у формат, необхідний для перевірки. АПЗ, як правило, можна використовувати для виконання аудиторських завдань шести основних типів.
Перевірка та аналіз записів на основі аудиторських критеріїв із метою визначення якості, повноти, спроможності і слушності. Ця процедура є комп'ютерною версією операції сканування записів на предмет виявлення випадків їх невідповідності аудиторським критеріям. Наприклад, можна виконати сканування:
а) залишків по рахунках дебіторів для виявлення випадків перевищення граничного розміру кредиту;
б) даних про запаси для виявлення негативних або невиправдано великих залишків;
в) файлів сум виплаченої заробітної плати для виявлення випадків нарахування заробітної плати звільненим робітникам.
Операцію тестування розрахунків і виконання перерахунку комп'ютер виконує швидше і з більш високою точністю, ніж розрахунок вручну. АПЗ можна використовувати для тестування точності розрахунків і виконання аналітичних процедур оцінки правильності сальдо рахунків. Як приклади можна навести:
а) перерахунок сум вартості по кожній статті запасів;
б) розрахунок контрольних сум файлу;
в) зіставлення кошторисних, нормативних даних і даних за попередній рік із даними поточного року.
Зіставлення даних різноманітних файлів для визначення узгодженості сумісних даних. У випадках розбіжності дані можна роздрукувати для вивчення і звірки. Зіставляють, наприклад:
а) записи сум виплаченої заробітної плати із записами з обліку робітників;
б) дані про запаси поточного і попередніх періодів із даними про операції купівлі-продажу;
в) дані по оплачених рахунках-фактурах із даними про витрати попередніх періодів, із даними про операції купівлі-продажу;
г) дані по оплачених рахунках-фактурах із даними про витрати.
Розмітка і друк аудиторських вибірок із використанням статистичних або оціночних критеріїв для виконання немашинних аудиторських процедур. Окремі дані вибірок можна роздрукувати для включення до робочої аудиторської документації або роздрукувати в спеціальному форматі, наприклад, у вигляді запитів на підтвердження. Процедуру вибірки виконують зокрема:
а) для документального підтвердження залишків по рахунках дебіторів;
б) для документального підтвердження приросту основних засобів або їх продажу;
в) для контролю запасів тощо.
Зіставлення фактичних даних немашинних аудиторських процедур із записами в системі бухгалтерського обліку є більш ефективним при використанні АПЗ.
Підсумовування, повторне впорядкування і переформатування даних здійснюється по-різному. Використання АПЗ доцільне при використанні таких робіт:
а) підготувати пробні баланси Головної книги;
б) для полегшення контролю змінити послідовність розміщення в обліковому реєстрі статей запасів;
в) підсумувати дані про обіг запасів для аналізу їх старіння.
Фактичні дані перетворюють у машинозчитувану форму, а потім порівнюють із записами у файлах підприємства, що перевіряється, або аудиторських файлах. Зокрема зіставляють:
а) дані контрольного підрахунку запасів із даними регістрів безперервного обліку;
б) скориговані залишки по рахунках дебіторів з аудиторським файлом залишків по бухгалтерських книгах тощо.
Проблеми, пов'язані з використанням комп'ютеризованих систем обробки даних. Технологічні вдосконалення сьогодні означають, що навіть малий бізнес, домогосподарства можуть використовувати комп'ютери в бухгалтерському обліку. Хоча комп'ютер часто надає величезні переваги завдяки його здатності швидко опрацьовувати великі обсяги числової інформації, усе ж виникають труднощі при обгрунтуванні бухгалтерських рахунків та навіть можливі втрати активів. Основні проблеми, пов'язані з використанням комп'ютерів для аудитора при оцінці системи, включають:
1. Відсутність можливості простеження угод при аудиті.
У некомп'ютеризованих системах, зазвичай, є можливість простежити проходження операції в системі від початкового документа через проміжні стадії до остаточного запису в бухгалтерській книзі. У комп'ютеризованій системі проміжні стадії іноді записуються у вигляді машинних кодів, що робить неможливим спостереження за операцією від початку до кінця. Крім того, система може сама здійснювати операції, не створюючи видимих записів, наприклад, платежі відсотків можуть цілком розраховуватися і заноситися до відповідних рахунків самою комп'ютерною програмою.
У деяких комп'ютеризованих системах роздрук результатів опрацьованих даних або не виконується, або виконується тільки в сумарній формі. Наприклад, рахунки по місячних закупівлях можуть бути введені в комп'ютер, у результаті чого на виході будуть отримані тільки загальні цифри по кожному типу закупівель. Для вирішення цих проблем аудитору часто доводиться використовувати спеціальні методи.
2. Надмірна довіра до комп'ютерного контролю.
Комп'ютер може бути використаний керівництвом для здійснення деяких видів контролю, що іноді надійніше, ніж контроль, який здійснюється вручну. Комп’ютер може бути запрограмований на виділення або перерахування тих пунктів, що не відповідають встановленим критеріям. Якщо, наприклад, перевищений кредит споживача або сума по рахунках на закупівлю знаходиться поза встановленими межами, то комп'ютер видає повідомлення про виняткову ситуацію. Іншими прикладами контролю є використання пароля для попередження несанкціонованого доступу або такі програмні перевірки як підрахунок загальних сум для контролю відповідності розрахунків. Такі перевірки включають контроль відповідності суми визначеного числа пунктів іншій сумі до продовження роботи програми, наприклад, до узгодження суми рахунків при закупівлі із загальною сумою рахунків, розрахованої в результати іншої операції комп'ютера.
Якщо програми розроблені з урахуванням усіх можливих операцій та умов, то система завжди працюватиме саме так, як вона запрограмована. Проте комп'ютерний контроль ефективний тільки тоді, коли він використовується як частина загальної системи контролю. Завжди повинен існувати звичайний контроль, що відстежує, досліджує і, коли це потрібно, виправляє помилки та відхилення, позначені комп’ютером.
Отже, аудитор не повинен занадто довіряти комп'ютерним процедурним перевіркам. Необхідно перевірити, чи здійснюється адекватний звичайний контроль, що підтримує результати використовуваного комп'ютерного контролю. Крім того, ручний контроль необхідний для того, щоб переконатися, що до комп'ютера введені всі неоюхідні дані. Один зі шляхів — попереднє підсумовування груп даних перед їх уведенням до комп'ютера, а потім перевірка отриманих сумарних вихідних даних. Існують і спеціальні методи перевірки правильності здійснюваного контролю.
3. Відсутність адекватних запобіжних заходів на випадок несправності комп'ютера.
Головна проблема, властива будь-якій комп'ютерній бухгалтерській системі, полягає в тому, що її серйозна відмова може зруйнувати всю систему бухгалтерського обліку підприємства. Така відмова може виникнути в результаті пожежі, повені, перебоїв в енергопостачанні або навіть навмисному пошкодженні. На жаль, комп’ютеризовані системи більш чутливі до стихійного лиха, ніж ручні системи. Ризик пожежі, наприклад, властивий будь-якій автоматизованій системі, тому протипожежне обладнання повинно бути завжди напохваті. На підприємстві мають бути інструкції, що визначають дії в екстремальних умовах. Крім того, повинна існувати система відновлення інформації. Копії важливих файлів треба зберігати в іншому приміщенні. Необхідно також передбачити резервне обладнання, на якому можна продовжити роботу в разі екстремальних випадків чи відновити записи. Аудитор повинен приділяти особливу увагу цьому питанню, тому, що потенційна небезпека втрати інформації є дуже великою.
4. Ризик числових помилок, який є результатом використання неточних довідкових даних.
Унаслідок величезних обсягів операцій, що здійснюються комп'ютерами, помилка в довідкових або постійних даних може мати дуже серйозні наслідки. Наприклад, якщо комп'ютер проводить розрахунки, а ціна введена неправильно, багато рахунків може бути сформовано до того як помилку буде виявлено. Для того, щоб такі помилки не виникали, необхідно перевіряти всі довідкові дані на етапі їх уведення, а потім час від часу роздруковувати інформацію для перевірки вручну. Корисним контролем є автоматичне посилання копій документів із затвердженими постійними даними до відділу внутрішнього аудиту для подальшої перевірки. Інший аспект тієї ж проблеми виникає при використанні банків даних. Банки даних опрацьовують основну бухгалтерську інформацію різними способами. Наприклад, дані продажу використовуються для аналізу за видами продукції та їх географічного розподілу і розподілу серед споживачів, а також для аналізу витрат, контролю рівня запасів, контролю кредитів і прогнозування. Таким чином, основна інформація піддається перекласифікації, використовується для різноманітних цілей до того ж різними відділами. Помилка у вихідних даних може звести нанівець усі подальші дослідження, тому тут також украй необхідно, щоб вхідна інформація була правильною. Тій частині системи, де використовуються бази даних, аудитор повинен приділяти особливу увагу.
5. Велика залежність від нечисленних фахівців комп'ютерих технологій.
Як і в ручних системах, тут має бути дії за функціями. Проте кількість людей. які вміють працювати в комп'ютерних системах, часто буває значно меншою від людей, що вміють працювати в аналогічних ручних системах. У великих компаніях лише незначна кількість людей може вважатися спеціалістами, які володіють глибокими знаннями у сфері оброблення і розподілу інформації. Крім того, вони можуть знати слабкі сторони внутрішньої системи контролю і тому мати змогу маніпулювати даними.
У тих компаніях, де розроблені власні системи, персонал, що займається їх розробкою, не повинен працювати на комп'ютерах у якості операторів з обробки бухгалтерської інформації. Для забезпечення цієї вимоги також важливо, щоб доступ до файлів і програм був обмежений операторам і працівникам архіву. Якщо потрібно внести зміни до програми, то на це повинен бути отриманий відповідний дозвіл, і аудитор повинен простежити за виконанням цієї роботи.
У малих компаніях такий розподіл обов'язків не завжди можна здійснити, тому, що часто в них одна людина відповідає за роботу всієї комп'ютерної системи. Менше таких проблем виникає, якщо компанія, як це найчастіше буває, купує у зовнішнього постачальника пакет програмного забезпечення, що не може бути змінений.
У зв'язку з використанням мікропроцесорних систем дедалі складнішим стає контроль доступу до бухгалтерської звітності. Зростання кількості терміналів і додатково залучених систем означає, що більшість людей може одержати доступ до рахунків компанії і мати можливість змінити їх. Для захисту записів необхідний контроль із обов’язковим використанням паролів і реєстрацією доступу.
Питання для самоконтролю
1. Які особливості проведення аудиту в умовах використання клієнтом обчислювальної техніки?
2. Як повинен діяти аудитор у випадку, коли він не має спеціальних знань у системі комп'ютерної обробки економічної інформації, а клієнт працює в умовах комп’ютерної обробки даних (далі КОД)?
3. За яких умов до проведення аудиту в умовах КОД може залучатися експерт?
4. Які вимоги висуваються до експерта з КОД?
5. Як оформлюється інформація про середовище КОД клієнта?
6. Які методи збирання аудиторських доказів Ви знаєте?
7. Як оцінюється ризик внутрішнього контролю в умовах КОД?
8. У яких випадках використовується комп'ютерна обробка даних на підприємстві?
9. Яка мета аудиту в умовах КОД?
10. Чи зберігаються основні елементи методології проведення аудиту в умовах КОД?