1.9 Оценка технологического аудита

Выбор критериев оценки напрямую зависит от цели аудита и может довольно сильно варьировать в зависимости от отрасли, к которой относится проверяемая организация, от обстановки в деловой сфере региона или страны, да и просто от специфических условий среды. В общем случае инновационная технология может воздействовать (при своем освоении) на самые разные аспекты существования и деятельности как социума, так и данного конкретного предприятия, так и конкретного автора инновации, поэтому и акценты, и относительный вес критериев оценки технологии могут заметно меняться.

В результате проведения технологического аудита предприятие получает:

• Подготовленный план действий;

• План мероприятий по снижению затрат на предприятии;

• Подготовленные рекомендации помогут предприятию улучшить свой бизнес, расширить связи, освоить новые рынки, повысить производительность и качество труда, получить снижение затрат на производство продукции, и как следствие, снижение затрат на предприятии в целом;

• Полный всеобъемлющий анализ и оценку потребностей компании для ее устойчивого развития.

• Объективный анализ сильных, слабых сторон развития компании, ее перспектив и трудностей – так называемый SWOT анализ.

• Обследование и выявление возможных механизмов финансирования.

• Знакомство с новыми источниками финансирования.

• Создание технологической базы (основы) для широкого внедрения средств автоматизации в сфере технологической подготовки производства и изготовления продукции.

1.10 Структура отчета аудита

По результатам технологического аудита, пока они сохраняют актуальность, требуется своевременное составление отчета. При этом наибольшая адекватность донесения информации имеет место при наличии в отчетеследующихразделов: 1. Резюме руководства (оценка возможностей, цели и задачи):

• ключевые области для трансфера технологий;

• участки стратегического развития организации в целом;

• немедленные действия (патентная охрана и т. д.).

2. Резюме подразделений (их потенциал, цели и задачи):

• ключевой персонал структурных подразделений;

• цели и задачи подразделений.

3. Оценка состояния (для каждого специалиста/группы):

• квалификация, применяемые специалистом/группой технологии, используемое ими оборудование;

• договоры/контракты (действующие, перспективные), источники финансирования, связи;

• текущие и перспективные исследования;

• преподавание и планирование обучения;

• сотрудничество с другими специалистами/группами внутри и вне организации;

• личная мотивация и планирование карьеры специалиста (для группы – изменение и развитие);

• благоприятные возможности (идентификация механизмов их реализации, спецификация – краткосрочная или стратегическая возможность, план ее реализации).

2.Средства автоматизации проведения

ТЕХНОЛОГИЧЕСКОГО АУДИТА

2.1 МЕТОДОЛОГИЧЕСИЕ АСПЕКТЫ ПРОВЕДЕНИЯ АУДИТА И ОСОБЕННОСТИ ТЕСТИРОВАНИЯ СИСТЕМЫ КОМПЬЮТЕРНОЙ ОБРАБОТКИ ДАННЫХ (КОД)

Система компьютерной обработки данных (КОД) – комплекс вычислительных и инструментальных средств аудитора, обеспечивающих сбор и обработку информации при выполнении им профессиональных функций с целью составления официального аудиторского заключения о достоверности отчетности в электронной форме.

Система компьютерной обработки данных включает в себя следующие элементы:

1. Аппаратные средства. К ним относятся: оборудование и устройства, осуществляющие функционирование компьютера и решения им прикладных задач.

2. Программные средства:

2.1 Системные программы. К этим программам, выполняющим общие функции, обычно относят:

• операционные системы, которые управляют аппаратными средствами и распределяют их ресурсы для максимально эффективного использования;

• системы управления базами данных (СУБД), обеспечивающие выполнение стандартных функций по обработке данных;

• сервисные программы, которые выполняют в компьютере основные операции, например, сортировку записей.

2.2. Прикладные (пользовательские) программы – это внутрифирменные подпрограммы для обработки данных, которые организация–пользователь разрабатывает самостоятельно или приобретает у внешнего поставщика.

3. Эксплуатационная документация – описание системы и структуры управления применительно к вводу, обработке и выводу данных, обработке сообщений, логическим и другим командам.

4. ИТ-персонал – работники, которые управляют системой, проектируют ее и снабжают программами, эксплуатируют и контролируют систему обработки данных.

5. Информационная база данных – сведения об операциях и другая необходимая информация, подвергающаяся вводу, хранению и обработке в системе.

6. Процедуры контроля – процедуры, обеспечивающие проверку записи операций, предупреждающие или регистрирующие ошибки.

Наличие у клиента систем компьютерной обработки данных в первую очередь влияет на состав проводимых аудитором процедур, поэтому планирование аудита в условиях систем компьютерной обработки данных неизбежно имеет свои особенности. Аудитор на этапе планирования должен решить вопросы организационно-технического обеспечения аудиторских процедур и необходимости привлечения технических специалистов. Процедуры тестирования системы компьютерной обработки данных обязательно должны быть предусмотрены в числе первых по очередности выполнения, поскольку именно они позволяют определить аудиторский риск. Аудитор на данном этапе работ обязан выяснить- используется ли система по назначению.

Важным является и тиражность используемой клиентом системы компьютерной обработки данных . В многофункциональной широко используемой системе, которая применяется на сотнях предприятий в различных условиях, скорее всего уже устранены в подавляющем большинстве ошибки, допущенные при ее разработке. Целесообразность использования конкретной системы компьютерной обработки данных и рекомендации по переходу клиента на другую систему компьютерной обработки данных должны опираться на сравнительный анализ существующих систем.

Следует обратить особое внимание, как на подготовку, так и на отношение персонала к системе компьютерной обработки данных . Для выполнения аудита в условиях компьютерной обработки данных аудитор должен иметь знания в области информационных технологий, так как привлечение к этому процессу технических экспертов увеличивает риск утечки информации. Кроме того, отсутствие у аудитора этих знаний может привести к неверному составлению технических заданий для экспертов и ошибочной трактовке полученных ими результатов.

Тестирование вводимых в систему компьютерной обработки данных является обязательной аудиторской процедурой. Никакая, даже самая совершенная система компьютерной обработки данных не даст реальных результатов, если в нее введены данные, не соответствующие произведенным хозяйственным операциям. Тестирование может быть как сплошным, так и выборочным, что привносит дополнительный элемент аудиторского риска - риск неверно оценить качество введенных в систему компьютерной обработки данных.

Учетная политика, ориентированная на систему компьютерной обработки данных , должна обязательно предусматривать внутренний логический контроль. Отсутствие описания внутреннего контроля в учетной политике либо ненадлежащее выполнение соответствующих процедур является дополнительным фактором риска для аудитора. Процедуры контроля должны включать как использование программных функций, так и организационные мероприятия, например, ежевечерняя проверка на целостность данных или на отсутствие компьютерных вирусов. Отчеты, формируемые системой автоматически, позволяют аудитору, как независимому лицу, выявить ошибки или злоупотребления, маскируемые при настройке отчетных форм персоналом клиента. Чем больше автоматически формируемых отчетных форм предусмотрели разработчики системы компьютерной обработки данных , тем больше различных тестов на согласованность данных и результатов может провести аудитор.

Тестирование системы компьютерной обработки данных клиента с использованием контрольных данных более эффективно, нежели тестирование на основе данных клиента. Использование контрольных данных должно быть согласовано с клиентом, так как может потребовать остановки работ на время тестирования. После тестирования контрольные данные должны быть удалены из системы компьютерной обработки данных клиента.

После обязательного тестирования системы компьютерной обработки данных аудитор вправе предложить аудируемому лицу в виде сопутствующих услуг возможные виды аудита систем компьютерной обработки данных клиента, позволяющие получить всестороннюю объективную оценку инфраструктуры предприятия. Проведение аудита следует доверять независимым высококвалифицированным экспертам.

Сокращения возникающих в случаях системных сбоев потерь можно достичь путем комплексного исследования технологического состояния всех компонентов систем компьютерной обработки данных .

Существуют следующие направления аудита систем компьютерной обработки данных (рис. 1):

Аудит эффективности системы КОД

Аудит технического состояния системы КОД

Аудит информационной безопасности системы КОД

АУДИТ

систем КОД

Аудит проектов внедрения и реинжиниринга

Оценочный аудит программного обеспечения

Веб-аудит

Оценочный аудит системы КОД

Рис. 1. Направления аудита систем компьютерной обработки данных

1)Аудит технического состояния систем прежде всего предназначен для предприятий, которым требуется оценить их текущее состояние с целью реконструкции и модернизации или подготовиться к внедрению новых технологий.

Проведение аудита технического состояния позволяет:

устранить системные сбои;

повысить эффективности работы предприятия;

произвести модернизацию и реконструкцию систем на основании полученных рекомендаций;

организовать и наладить их поддержку.

По результатам аудита клиенту предоставляется отчетность по следующим направлениям:

состояние кабельной системы;

реализация резервного копирования;

наличие избыточного трафика в сети, наличие ошибок в трафике;

список пользователей, с целью предоставления рекомендаций по внедрению политики безопасности;

наличие незащищенных дисковых ресурсов;

безопасность информационной системы для выявления существования потенциальных угроз несанкционированного доступа к системе;

инвентаризация программных и аппаратных средств;

загруженность каналов связи для определения и локализации критических участков инфраструктуры сети.

Руководство предприятий часто сталкивается с задачей определения стоимости системы компьютерной обработки данных . Происходит это при расчете эффективности капиталовложений, оценке затрат на переоборудование системы или стоимости предприятия при подготовке ее для продажи.

2)Аудит эффективности дает возможность предприятию оценить совокупную стоимость владения систем компьютерной обработки данных , а также оценить сроки возврата инвестиций при вложении средств в систему, разработать оптимальную схему вложений, осуществить эффективное расходование средств на обслуживание и поддержку, снизить производственные затраты на систему компьютерной обработки данных .

По результатам аудита клиенту предоставляется отчетность по следующим направлениям:

• оценка стоимости оборудования;

• оценка качества существующей кабельной системы;

• оценка стоимости внедренных технологий;

• оценка затрат на содержание системы;

• оценка качества технической поддержки пользователей;

• оценка стоимости налаженных процессов управления;

• оценка совокупной стоимости владения системы.

Обеспечение информационной безопасности является ключевым моментом деятельности любой компании.

3) Результаты аудита информационной безопасности позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты информации. Данный вид аудита предназначен для клиентов, желающих оценить соответствие системы информационной безопасности существующим требованиям.

По результатам аудита клиенту предоставляется отчетность по следующим направлениям:

комплексная проверка уровней обеспечения информационной безопасности компании;

анализ информационных рисков;

анализ системы защиты по внешним сетям;

анализ системы контроля информации, передаваемой по телефонным соединениям и электронной почте;

определение возможных каналов утечки конфиденциальной информации.

В перечень предоставляемых по результатам аудита материалов входят отчет о текущем состоянии системы информационной безопасности и эффективности вложений в систему информационной безопасности, а также рекомендации по политике безопасности и плану информационной защиты.

4) Аудит проектов внедрения и реинжиниринга позволяет эффективно инвестировать средства в информационную инфраструктуру предприятия за счет контроля решений и работ, предлагаемых исполнителями. Таким образом, если предприятие собирается начинать крупные проекты модернизации системы компьютерной обработки данных предприятия, использует услуги системных интеграторов с целью определения реальных сроков и стоимости проектов перед началом работ или ставит перед собой цели контроля проектов внедрения в своих филиалах и дочерних компаниях, то данный вид аудита для нее просто незаменим. Он позволяет четко оценить риски внедрения и реинжиниринга системы, сроки и планируемые ресурсы на разработку и внедрение решений, правильность выбора методов и технологий, а также заблаговременно выявить возможные ошибки и получить рекомендации, направленные на повышение эффективности проекта. В проведение аудита проектов внедрения и реинжиниринга входит проверка проекта и составленного технического задания (ТЗ) на соответствие реальным требованиям предприятия и стандартам, например, ГОСТ 34601–90 «Автоматизированные системы. Стадии создания». После окончания проведения аудита клиенту предоставляется полный отчет о соответствии ТЗ требованиям деятельности и предлагаемого решения ТЗ, о выполнении этапов работ, результаты сертификационных изменений, сводный отчет о проекте.

Государственные органы, а также зарубежные инвесторы или учредители могут потребовать от клиента наличие сертификата системы предприятия с целью соответствия услуг необходимому уровню качества.

5) Оценочный аудит системы выявляет отклонения от существующих стандартов и формирует рекомендации, позволяющие устранить обнаруженные несоответствия.

• Оценочный аудит системы предназначен для тех компаний, которые:

• планируют создание системы на основе существующих стандартов;

• планируют проведение сертификации предприятия;

• хотят удостовериться в том, что процесс создания системы соответствует существующим стандартам (ГОСТы, ISO, IEEE, ANSI и пр.);

• желают проверить деятельность филиалов на соответствие существующим корпоративным стандартам холдинговых компаний.

По результатам аудита клиенту предоставляется отчетность по следующим направлениям:

• определить существующие стандарты в данной предметной области,

• выявить основные отклонения от стандартов,

• зафиксировать результаты и выдать рекомендации по устранению несоответствий.

6) Кроме того, необходимо провести оценочный аудит программного обеспечения (ПО), который позволяет определить экономическую эффективность от внедрения и эксплуатации как определенного вида ПО, так и комплекса программных продуктов. Главным образом, оценочный аудит предназначен для компаний, планирующих провести легализацию ПО, осуществить переход к новым версиям программных продуктов, провести модернизацию бизнес-процессов путем внедрения новых программных средств, а также оценить текущее состояние программного комплекса.

По результатам аудита клиенту предоставляется отчетность по следующим направлениям:

• соответствие ПО решаемым задачам;

• результаты инвентаризации установленных программных средств;

• результаты функциональности ПО;

• результаты рациональности использования установленного ПО;

• результаты проверки актуальности установленных версий ПО;

• результаты проверки корректности настроек ПО;

• результаты совместимости ПО с платформами;

• результаты сетевой совместимости ПО.

7) Комплексная оценка веб-представительства предприятия производится в рамках веб-аудита. Данный вид аудита предназначен для предприятий, которые планируют более активно использовать возможности Интернета в деятельности, создавать или реконструировать свой веб-ресурс. Для достижения результатов при проведении веб-аудита необходимо провести анализ статистики посещаемости веб-ресурса (анализ трафика).

Процедуры автоматизации аудиторской деятельности на основе современных управленческих систем:

Автоматизация профессиональной деятельности (от англ. Professional Services Automation, или сокращенно PSA) - относительно новый подход к решению проблемы, связанной с повышением эффективности работы предприятий. И если в мире он уже получил всеобщее признание, то в нашей стране его распространение только начинается. Согласно методологии PSA работа компаний, оказывающих профессиональные услуги, представляет собой более широкий спектр бизнес-процессов, чем просто ведение отдельно взятых проектов. PSA-системы позволяют осуществлять комплексное управление портфелем проектов, учитывать необходимые для их реализации время и ресурсы, а также вести взаиморасчеты с клиентами.

ProjectMate - первая российская PSA-система. Ее основное предназначение состоит в управлении качеством оказываемых услуг. Она легка во внедрении, имеет развитые средства коллективной работы в сети и, кроме того, обладает модульной структурой, что способствует оптимизации затрат на ее приобретение. Система ProjectMate проста в использовании благодаря интуитивно понятному интерфейсу, и при этом позволяет автоматизировать весь цикл предоставления услуг, начиная с составления общего плана аудита и заканчивая расчетами с клиентом. Многие крупные аудиторские компании смогли по достоинству оценить преимущества ProjectMate (версия ProjectMate 5), который оказался единственным продуктом класса PSA, удовлетворяющим корпоративным правилам ведения аудиторской проверки. Реализованные в ProjectMate 5 средства автоматизации аудиторской деятельности призваны:

повысить эффективность планирования и контроля над исполнением бюджета времени и затрат;

наладить управление трудовыми ресурсами аудиторской компании;

помочь в организации сбора информации о всех проводимых в компании аудиторских проверках и задействованных в них ресурсах благодаря наличию разнообразных настраиваемых отчетов.

Система ProjectMate в полной мере ориентирована на потребности автоматизации аудиторских фирм, учитывает особенности российского рынка услуг и включает кроме традиционного аудита, управленческие, налоговые и бухгалтерские консультации. Сегодня неотъемлемой частью работы руководителей, бухгалтеров и юристов многих компаний, являются профессиональные консультации независимых аудиторов по различным разделам бухгалтерского учета, налогообложения, права, управления.

Более половины времени аудиторов составляет непосредственно этап проведения проверки бухгалтерской и налоговой отчетности. Следовательно, для компаний, занимающихся оказанием аудиторских услуг, характерна одна особенность - почти всегда при заключении договора с клиентом речь идет о типовой проверке, складывающейся из определенного количества заранее известных процедур и участников. Однако в отдельных случаях руководителю аудиторской группы может потребоваться изменить состав аудиторской группы, дополнив ее сотрудниками с более высоким опытом аудиторской деятельности. При долгосрочном планировании и неизвестном составе группы, участвующей в стандартной проверке, можно приступить к планированию, учитывая критерий уровня квалификации аудиторов. ProjectMate позволяет без лишних усилий подбирать аудиторов, имеющих требуемые для выполнения специфической работы профессиональные навыки. Кроме того, система помогает снижать аудиторские риски, позволяя избегать ситуаций, связанных с перезагрузкой или одновременным назначением для одного и того же исполнителя разных задач.

С помощью ProjectMate можно не только организовать строгий контроль над каждым этапом проверки, но и добиться решения таких важных задач, как учет времени и планирование загрузки сотрудников, ведение взаиморасчетов с клиентами и ряда других. Система ProjectMate как управленческая система для аудиторов обладает достаточными средствами для быстрого создания типовой аудиторской проверки и четкого планирования его ресурсов. Она поддерживает формирование и последующее использование разнообразных шаблонов, отражающих особенности того или иного вида аудиторских услуг. Первоначально задав список исполнителей и задач, для этапа, связанного с определенным видом аудиторской проверки, а также указав его трудоемкость и себестоимость, руководитель аудиторской группы имеет возможность в дальнейшем создавать в программе аналогичные проекты проверок, что значительно сокращает объем рутинных операций технического свойства.

Благодаря удобному графическому представлению данных руководитель получает точные сведения по запланированному рабочему времени каждого сотрудника. Эта информация способствует эффективному управлению человеческими ресурсами аудиторской фирмы и принятию верных решений по поводу назначения или перевода людей из одного проекта в другой, а также найма новых сотрудников.

Поскольку ProjectMate создан российской компанией, он учитывает еще одну особенность отечественного рынка аудиторских услуг. В России существуют специализированные продукты, ориентированные исключительно на операции по аудиту, но при этом почти отсутствуют компании, оказывающие только аудиторские услуги. В большинстве случаев аудиторские фирмы практикует оказание сопутствующих услуг. Соответственно после приобретения специализированной аудиторской программы компания будет вынуждена решать вопрос, касающийся автоматизации других направлений своей деятельности.

Технологически система ProjectMate построена по модульному принципу. Модуль - логическая часть программы, представляющая собой комбинацию функций для решения определенного набора задач. Подобный подход позволяет в дальнейшем придать системе дополнительную функциональность за счет присоединения новых блоков. В ProjectMate реализованы следующие модули:

Управление временем и затратами - предназначен для точного учета и управления временем и затратами в масштабах всей аудиторской компании.

Управление проектами и ресурсами - используется при решении всего цикла задач по организации аудиторской деятельности.

Управление финансами - обеспечивает автоматизацию всех финансовых операций в рамках договорной деятельности и позволяет анализировать основные финансовые показатели аудиторских процедур.

Управление запросами - позволяет принимать, обрабатывать и управлять любыми типами запросов со стороны как внешних, так и внутренних заказчиков.

Управление контактами - связывает выполнение той иной операции с конкретным клиентом или ассистентом аудиторской группы.

Документооборот - служит для создания и управления единым архивом рабочих документов аудитора.

Особый интерес для аудитора может представлять модуль «Управление временем и затратами». Время как один из важнейших ресурсов, на основании которого планируются сроки выполнения и себестоимость проверки, контролируется трудоемкость выполнения проверки по участкам, выставляются счета клиентам и т. д. В любой организации, занимающейся оказанием профессиональных услуг, важно уметь управлять временем и точно его учитывать. То же самое относится и к затратам, выражающимся в расходовании финансовых средств.

Модуль «Управление временем и затратами» позволяет пользователям вносить записи о времени, израсходованном на выполнение той или иной работы, и отмечать денежные затраты (например, за междугородние переговоры, командировки и пр.). Для упрощения и повышения точности учета времени предусмотрены таймеры - специальное средство, облегчающее ввод информации при параллельном выполнении нескольких задач.

Благодаря разграничению прав руководитель аудиторской группы может утверждать или отклонять записи о времени и затратах, совершенные ассистентами или специально назначенными сотрудниками. Таким образом, достигается высокая гибкость учета времени и обеспечивается необходимый уровень безопасности данных. Кроме того, ProjectMate как эффективное средство обеспечения внутрикорпоративных коммуникаций позволяет также планировать встречи между руководителем и ассистентами группы. Порядок планирования встречи и учета затраченного на нее времени максимально приближен к аналогичной процедуре в Microsoft Outlook. Дополнительное удобство придает возможность резервирования и контроля использования общих ресурсов - переговорных комнат, оборудования, автотранспорта, курьеров и т. д. Возможности модуля расширены в разрезе таких процедур как:

1. Учет рабочего времени.

1.1. Учет времени в разрезе проектов, задач и видов деятельности.

1.2. Просмотр записей о времени в виде календаря или списка.

1.3. Ввод записей о времени при помощи настраиваемых таймеров.

1.4. Настраиваемая процедура утверждения записей о времени.

1.5. Ввод записей с использованием удаленного доступа.

2. Учет затрат

2.1. Учет затрат в разрезе проектов, задач и типов затрат.

2.2. Настраиваемая руководителем процедура утверждения затрат.

2.3. Учет телефонных переговоров.

2.4. Мультивалютный учет.

3. Планирование встреч.

3.1. Автоматическая отправка приглашений аудируемым лицам (посредством электронной почты и системных уведомлений).

3.2. Учет времени, затраченного на проведение встречи.

3.3. Резервирование общих ресурсов компании и разрешение конфликтов при их использовании.

Несмотря на наличие PSA-систем многие российские компании по-прежнему остаются верны старым методам автоматизации, а некоторые вообще предпочитают не делать ничего или продолжают вести учет посредством бумажных тайм-листов (Timesheets). Чаще всего компании прибегают к средствам, которые на самом деле не предназначены для управления аудиторской деятельностью. К этой категории относятся решения класса ERP и хорошо всем известные электронные таблицы (такие, как Microsoft Excel). Однако ERP-системы создаются для промышленных предприятий, поэтому они обычно перегружены излишней функциональностью, а их модули управления проектами, как правило, оказываются довольно слабыми. Безусловно, на рынке существуют мощные специализированные продукты, такие как Microsoft Project, однако они являются программами общего назначения и зачастую, как и ERP-системы, сложны для изучения и применения. К тому же, Microsoft Project не автоматизирует весь цикл аудиторских услуг (для учета времени и мониторинга потребуется устанавливать еще и Project Server).

Учитывая вышеуказанные обстоятельства при выборе и обосновании внедрения управленческих систем автоматизации аудиторской деятельности необходимо принимать во внимание следующие критерии: во-первых, настройка версии создана под отечественного заказчика, а, во-вторых, учет особенностей соответствия национальной системе нормативной документации.

Факторы, влияющие на аудиторский риск, которые необходимо учитывать при проведении аудита в условиях компьютерной обработки данных.

При проведении аудиторской проверки следует учитывать степень использования компьютерной технологии для решения каждой из задач по обработке существенной информации. Применение компьютерных систем для обработки существенной информации может потребовать от аудиторов специальных знаний для понимания сущности выполняемых операций. Уровень автоматизации может также влиять на содержание, распределение во времени и глубину аудиторских процедур.

Цель стандарта «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» заключается в определении рисков аудитора, возникающих при проведении аудита отчетности, обусловленных влиянием систем компьютерной обработки данных. Задачи стандарта заключаются в описании:

а) дополнительных рисков, появляющихся вследствие использования экономическим субъектом системы КОД;

б) системы внутреннего контроля в условиях КОД;

в) различных процедур проверки аудиторской фирмой или аудитором, работающим самостоятельно в качестве индивидуального предпринимателя, надежности внутреннего контроля за системой КОД.

Содержание стандарта «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» дополняет стандарты аудиторской деятельности «Изучение и оценка систем учета и внутреннего контроля в ходе аудита», «Существенность в аудите», а также стандарты по компьютерному аудиту. Эти дополнения приведены в табл. 1. Нетрудно заметить, что вышеназванный стандарт направлен как на расширение сущности подходов и методов, приведенных в стандартах (п. 1 и 2), так и на уточнение и дополнение рекомендаций по организации компьютерного аудита (п. 3 и 4).

Таблица 1 - Взаимосвязь правил (стандартов)

№	Наименование стандарта	Дополняет стандарты в части
1	«Изучение и оценка систем учета и внутреннего контроля в ходе аудита»	1) Изучения системы внутреннего контроля в условиях КОД 2) Проверки надежности системы внутреннего контроля за системой КОД
2	«Существенность в аудите»	Вероятности появления новых рисков в системе внутреннего контроля и учета
3	«Аудит в условиях компьютерной обработки данных»	Применения специальных средств контроля информации, функционирующей в системе внутреннего контроля и бухгалтерского учета экономического субъекта
4	«Проведение аудита с применением компьютеров»	Применения аудитором новых средств и методов контроля проверяемой информации экономического субъекта

Аудиторская организация обязана на всех этапах проведения проверки исходить из позиции профессионального скептицизма, принимая во внимание вероятность того, что получаемые аудиторские доказательства и (или) информация могут быть неверными.

Уверенность аудиторской организации в надежности выражаемого мнения о достоверности отчетности экономического субъекта не может быть абсолютной ввиду наличия факторов, неизбежно ограничивающих эффективность аудита. К числу таких факторов относятся:

- ограниченность осведомленности аудиторской организации о деятельности субъекта;

- присутствие в аудиторской работе неизбежного элемента субъективности в процессе принятия аудитором решений на основе профессиональных суждений, в частности, при определении видов, объема и графика аудиторских процедур;

- применение в ходе аудита выборочного подхода к осуществлению проверки ввиду нерациональности ее проведения сплошным порядком;

- использование аудиторской организацией, в качестве основы для формирования выводов и заключений, аудиторских доказательств, которые по своему характеру являются сочетанием фактов и мнений;

- подверженность систем учета и внутреннего контроля экономического субъекта присущим им изъянам;

- отсутствие непреодолимых препятствий для мошеннического сговора с целью искажения информации;

- наличие неопределенности, связанной с интерпретацией и оценкой некоторых событий, а также других обстоятельств, делающих невозможным применение исключительно объективных критериев как к составлению отчетности, так и к оценке ее достоверности.

Организация данных учета у клиента в среде КОД оказывает влияние на профессиональный риск аудитора. Риск аудитора повышается в том случае, если:

- компьютеризованная среда децентрализована;

- существует географическая разбросанность компьютерных установок;

- уровень знаний персонала в области информационных технологий недостаточен;

- внутренний контроль за функционированием среды КОД отсутствует;

- отсутствуют необходимые меры по ограничению несанкционированного доступа в систему КОД.

Риск аудитора снижается в случае, если:

- системы автоматизации являются лицензированными;

- существует возможность углубить некоторые виды контроля благодаря программному обеспечению, специально разработанному для аудиторов;

- существует специальный контроль программного обеспечения;

- информационная политика экономического субъекта квалифицированно определяется его руководством;

- все подразделения, филиалы, дочерние общества работают в единой среде КОД, применяют современное единое программное обеспечение;

- имеется долгосрочный план развития системы КОД.

В компьютерной системе оценка риска неэффективности контроля включает следующие действия:

- идентификацию конкретных целей контроля на основе анализа различных видов ошибок в существенной информации;

- идентификацию мест возможного появления определенных видов ошибок в цепочках последовательных операций;

- идентификацию специальных процедур контроля, обеспечивающих достижение его конкретных целей;

- идентификацию вспомогательных процедур контроля, которые необходимы для обеспечения эффективности выполнения основных процедур;

- оценку структуры процедур контроля с целью определения обеспечиваемого ими уровня риска неэффективности.

Идентификация конкретных целей контроля в данном случае не отличается от этой операции в неавтоматизированных системах обработки данных. В то же время, процесс идентификации мест возможного появления ошибок в компьютерных системах значительно отличается от аналогичного процесса в неавтоматизированных системах. Так, при использовании компьютера ошибки могут появиться в следующих случаях:

- при подготовке исходных данных, связанной с цепочкой операций по получению разрешения на запуск системы;

- при преобразовании исходных данных в машиночитаемую форму;

- при идентификации входных файлов для использования в обработке;

- при передаче информации от одной программы к другой;

- при запросе файлов для получения дополнительной информации по отдельным сделкам (например, таблиц проверенных поставщиков);

- при инициировании операций компьютером;

- при создании выходных файлов или корректировке главных файлов;

- при изменении главных файлов (добавлении, удалении или изменении записей) необычной для каждого цикла цепочки операций в результате выполнения процедур сопровождения;

- при генерировании выходных отчетов или файлов;

- при исправлении ошибок, обнаруженных в результате процедур контроля;

- при использовании персоналом выходных данных и устройств.

Вслед за идентификацией специальных процедур контроля следует проанализировать общие или связанные с ними процедуры контроля, которые также должны функционировать соответствующим образом. Оценка риска неэффективности контроля осуществляется как и в неавтоматизированных системах. Собранная информация о среде контроля, системе учета и процедурах контроля должна быть достаточной для обоснования одного из следующих заключений:

1.Риск неэффективности контроля может быть оценен как низкий, а аудиторское тестирование системы контроля будет эффективным. Адекватность процедур контроля, направленных на предотвращение ошибок или их обнаружение, может быть проверена по методу "затраты - эффективность".

2.Риск неэффективности контроля может быть оценен как низкий, но аудит может быть неэффективным в случае тестирования контроля. Политика в области контроля и соответствующие процедуры представляются адекватными, но проведение аудиторского тестирования системы контроля неэффективно по затратам. В этом случае аудиторам следует сконцентрировать свое внимание на общих процедурах проверки.

3. Риск неэффективности контроля может быть оценен как высокий. Политика в области контроля и соответствующие процедуры не представляются достаточными для предотвращения ошибок или их обнаружения. В таком случае аудиторы используют общие процедуры проверки.

Следует иметь в виду, что наличие системы КОД может повышать или снижать аудиторский риск. Факторы, повышающие аудиторский риск:

1) децентрализация системы КОД;

2) географическая разбросанность системы КОД;

3) отсутствие внутреннего контроля;

4) отсутствие мер по ограничению несанкционированного доступа к системе КОД.

Факторы, снижающие аудиторский риск:

1) наличие лицензии на используемые пакеты прикладных программ (ППП);

2) наличие у аудитора средств тестирования программных продуктов клиента;

3) существование системы контроля используемого программного обеспечения;

4) централизованная информационная политика, определяемая руководством;

5) единая система КОД, используемая в разных подразделениях;

6) наличие единого плана развития системы КОД.

Аудиторский риск зависит от качества внутреннего контроля. В свою очередь качество внутреннего контроля определяют:

1) контроль подготовки данных;

2) предотвращение ошибок и фальсификаций во время работы системы КОД;

3) контроль за данными нормативно-справочного характера;

4) хорошая координация и взаимодействие между пользователями системы КОД и службой информатизации

Использование компьютеров существенно влияет на организационную структуру, что может привести к возникновению новых рисков. Эти риски связаны с концентрацией функций управления и концентрацией данных и программ для их обработки. Риски, связанные с концентрацией функций управления, приводят к тому, что может быть утрачено эффективное функционирование системы учета и контроля. Риски, связанные с концентрацией данных и программного обеспечения, приводят к возможности утери информации и несанкционированного доступа к ней. Кроме того, появляются риски: отсутствие первичных документов; отсутствие возможности наблюдения за разноской первичных учетных данных по регистрам, их закрытием и составлением отчетности; отсутствие регистров; доступ к базе данных несанкционированных пользователей.