- •5.1.Методика проведення загального аудиту
- •5.1. Методика проведення загального аудиту
- •Метод і методичні прийоми аудиту
- •Методичні прийоми проведення аудиторської перевірки
- •5.2. Загальний огляд фінансової звітності підприємства
- •5.3. Формальна та аналітична перевірка звітності
- •Баланс за 200_ р. Форма № 1 Код за дкуд 1801001
- •5.4. Перевірка правильності складання фінансової звітності
- •Тема 6 організація внутрішнього аудиту
- •6.1. Внутрішній контроль: суть, класифікація, об'єкти і суб'єкти
- •6.2. Внутрішній аудит: суть, об'єкти та суб'єкти
- •6.3. Методичні прийоми внутрішнього аудиту
- •6.4. Взаємозв'язок внутрішнього та зовнішнього аудиту
- •Оцінка внутрішнього аудиту
- •План (логіка викладення і засвоєння матеріалу)
- •7.1. Програмне забезпечення для аудитора
- •7.2. Методика проведення аудиту в умовах код
- •7.3. Організація і вимоги до аудиту в умовах код
- •7.4. Зловживання в умовах код
- •Тема 8 аудит установчих документів і власного капіталу
- •План (логіка викладення і засвоєння матеріалу)
- •8.1. Мета й завдання аудиту установчих документів і власного капіталу
- •8.2. Особливості нормативної бази аудиту установчих документів і власного капіталу
- •1.Підприємства державної форми власності та орендні підприємства на базі державного майна:
- •2. Приватні підприємства:
- •3. Товариства з обмеженою (або додатковою) відповідальністю:
- •4. Акціонерні товариства:
- •8.3. Аудит установчих документів і власного капіталу
7.4. Зловживання в умовах код
Слід зазначити, що машини теж можуть помилятися, але це відбувається, в основному, через помилки людини — навмисне, через неуважність чи незнання. Усі програмні продукти, зокрема 1С Бухгалтерія, складаються з певних алгоритмів, тому кваліфікованому спеціалісту з програмування нескладно розібратися з цією алгоритмічною мовою і дописати, наприклад, алгоритм, при якому заокруглення цифр процентів банку по депозитних рахунках або процентах за кредит чи акціях віднімалися б від рахунку підприємства і зараховувалися на власний рахунок цього спеціаліста. Можна виділити ще ряд махінацій: знищення або додавання проводок і первинних документів по них, коригування формул розрахунків податків чи заробітної плати на рівні алгоритмів.
Так, при використанні комп'ютера помилки можуть з'явитися в таких випадках:
при підготовці вихідних даних, пов'язаних із ланцюгом операцій з одержання дозволу на запуск системи;
при немашинній обробці вихідних даних, наприклад, при підсумовуванні вручну бухгалтерських даних (тобто в процесі формування контрольних сум);
при перетворенні вихідних даних у машинозчитувальну форму;
при ідентифікації вхідних файлів для використання в обробці;
при передачі інформації від однієї програми до іншої;
при запиті файлів для одержання додаткової інформації з окремих угод (наприклад, таблиць перевірених постачальників);
при ініціюванні операцій комп'ютером;
при створенні вихідних файлів або коригуванні головних файлів;
при зміні головних файлів (додаванні, знищенні або зміні записів) поза звичайним для кожного циклу ланцюгом операцій у результаті виконання процедур супроводу;
при генеруванні вихідних звітів або файлів;
при виправленні помилок, виявлених у результаті виконання процедур контролю;
при використанні персоналом вихідних даних і пристроїв.
Після ідентифікації місць можливого виникнення помилок із ними погоджують конкретні цілі контролю. Наприклад, одна з помилок може призвести до виставлення рахунків із помилковими цінами в результаті використання не того файла. У неавтоматизованих системах визнання платежу зазвичай фіксують підписом відповідальної особи на вихідному документі, зокрема на рахунку постачальника. У комп'ютерних системах подібне визнання може бути у вигляді пароля, що дає дозвіл на виконання операції, надаючи їй спеціального коду. Пароль забезпечує доступ до програм, що ініціюють виконання певного виду операцій або зміну головних файлів. У цьому випадку, незважаючи на збіг цілей контролю в системах обох типів, методи досягнення цих цілей і видиме підтвердження відповідності виконаної операції санкціонованій процедурі значно відрізняються, що впливає на підходи до аудиту.
Методи збору аудиторських доказів, що застосовуються при перевірці
Для видачі відповідного висновку аудитор повинен мати достовірну та надійну інформацію про об'єкт дослідження. Уся інформація, зібрана аудитором до початку перевірки, в процесі перевірки та за її результатами, є аудиторською інформацією. Частина цієї інформації — документи або їх копії — належить до аудиторських доказів. Такі докази є результатом поєднання тестів системи контролю та процедур перевірки. Аудиторські свідчення повинні бути достатніми й належними для складання аудиторського висновку.
На судження аудитора щодо достатності й належності зібраних аудиторських свідчень впливають такі фактори:
оцінка аудитором характеру та рівня ризику, можливого як на рівні фінансової звітності, так і на рівні залишків по рахунку чи класу операцій;
характер систем обліку та внутрішнього контролю, оцінка ризику контролю;
ступінь суттєвості розглянутого питання;
професійний досвід аудитора;
результати аудиторських тестів і процедур; джерела та надійність наявної інформації.
Аудитор для одержання аудиторських доказів застосовує певні процедури. В основному це тестування, перевірка, спостереження, опитування, підтвердження, підрахунки, аналітичні процедури. Використання методик автоматизованого аудиту може підвищити ефективність аудиторських процедур.
Наприклад існує три підходи до комп'ютерного тестування, якими можуть користуватися аудитори:
відбір за допомогою комп'ютера певних операцій для їх подальшої перевірки вручну;
перевірка системи внутрішнього контролю за допомогою імітаційних даних;
перевірка системи внутрішнього контролю за допомогою реальних даних, оброблених аудиторськими програмними засобами.
Аудиторські програмні засоби (АПЗ) загального призначення являють собою набір процедур, які дають змогу здійснювати різноманітні маніпуляції (зчитування, обчислення і т. ін.) з машинозчитуваними записами. АПЗ, таким чином, забезпечують аудиторам одержання недоступних іншим способом фактичних даних.
Таблиця 7.2
Процедури і методи аудиторського контролю складних комп'ютерних систем
|
Метод |
Постачальник програмного засобу |
Користувачі |
Середовище використання |
Призначення |
Переваги |
Недоліки |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
Розмітка операцій |
Постачальник або розробник комп'ютерної системи бухгалтерського обліку |
Аудитори й адміністрація |
Фактичні дані бухгалтерського обліку |
Тестування системи контролю, глибока аудиторська перевірка |
Широкий діапазон вибірки |
Вмикання в систему спеціальної підпрограми |
|
Аудиторські файли |
Розробник комп'ютерної системи бухгалтерського обліку |
Аудитори і персонал, відповідальний за контроль |
Фактичні дані бухгалтерського обліку |
Тестування системи контролю і глибока аудиторська пе- ревірка |
Реєстрація і вибір операцій для аудиторського аналізу |
Висока вартість |
|
Моментальні знімки |
Розробник комп'ютерної системи бухгалтерського обліку |
Програмісти й аудитори |
Реальна система бухгалтерського обліку |
Аналіз системи бухгалтерського обліку і її логіки |
Допомагає отримати уявлення про потік операцій при опрацюван- ні |
Розробка спеціальної підпрограми |
Продовження таблиці 7.2
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
Поточний контроль функціонування системи |
Постачальник комп'ютерної системи бухгалтерського обліку |
Аудитори й адміністрація |
Реальна система бухгалтерського обліку |
Аналіз фактичного функціонування системи бухгалтерського обліку |
Демонстрація подій, що відбулися |
Необхідність спеціальної підготовки |
|
Аудиторські програмні засоби (АПЗ) |
Постачальник і розробник комп'ютерної системи бухгалтерського обліку, програмотехнічна фірма, аудиторська фірма |
Аудитори й адміністрація |
Статистичні й фактичні дані бухгалтер ского обліку |
Тестування системи контролю і глибока аудиторська перевірка Виконання різноманітних аудиторських процедур |
Вибірка даних із метою аудиту. Відносна простота використання |
Низька вартість |
Виконання бухгалтерських операцій у комп'ютерній системі приводить до збору та генерування великих масивів даних, що існують зазвичай тільки в машинозчитувальній формі. У цьому разі аудиторські програмні засоби (АПЗ) забезпечують доступ до даних та їх перетворення у формат, необхідний для перевірки. АПЗ можна використовувати для виконання аудиторських завдань шести основних типів.
Перевірка та аналіз записів на основі аудиторських критеріїв із метою визначення якості, повноти, спроможності і слушності. Ця процедура являє собою комп'ютерну версію операції сканування записів на предмет виявлення випадків їх невідповідності аудиторським критеріям. Наприклад, можна виконати сканування: а) залишків по рахунках дебіторів для виявлення випадків перевищення граничного розміру кредиту; б) даних про запаси для виявлення негативних або невиправдано великих залишків; в) файлів сум виплаченої заробітної плати для виявлення випадків нарахування заробітної плати звільненим робітникам.
Операцію тестування розрахунків І виконання перерахунку комп'ютер виконує швидше і з більш високою точністю, ніж розрахунок вручну. АПЗ можна використовувати для тестування точності розрахунків і виконання аналітичних процедур оцінки правильності сальдо рахунків. Як приклади можна навести: а) перерахунок сум вартості по кожній статті запасів; б) розрахунок контрольних сум файлу; в) зіставлення кошторисних, нормативних даних і даних за попередній рік із даними поточного року.
Зіставлення даних різноманітних файлів для визначення узгодженості сумісних даних. У випадках розбіжності дані можна роздрукувати для вивчення і звірки. Зіставляють, наприклад: а) записи сум виплаченої заробітної плати із записами з обліку робітників; б) дані про запаси поточного і попередніх періодів із даними про операції купівлі-продажу; в) дані по оплачених рахунках-фактурах із даними про витрати попередніх періодів, із даними про операції купівлі-продажу; г) дані по оплачених рахунках-фактурах із даними про витрати.
Розмітка і друк аудиторських вибірок із використанням статистичних або оціночних критеріїв для виконання немашинних аудиторських процедур. Окремі дані вибірок можна роздрукувати для включення до робочої аудиторської документації або роздрукувати в спеціальному форматі, наприклад, у вигляді запитів на підтвердження. Процедуру вибірки виконують зокрема: а) для документального підтвердження залишків по рахунках дебіторів; б) для документального підтвердження приросту основних засобів або їх продажу; в) для контролю запасів тощо.
Зіставлення фактичних даних немашинних аудиторських процедур із записами в системі бухгалтерського обліку є більш ефективним при використанні АПЗ.
Підсумовування, повторне впорядкування і переформатування даних здійснюється по-різному. Використання АПЗ: а) підготувати пробні баланси Головної книги; б) для полегшення контролю змінити послідовність розміщення в обліковому реєстрі статей запасів; в) підсумувати дані про обіг запасів для аналізу їх старіння.
Фактичні дані перетворюють у машинозчитувану форму, а потім порівнюють із записами у файлах підприємства, що перевіряється, або аудиторських файлах. Зокрема зіставляють: а) дані контрольного підрахунку запасів із даними регістрів безперервного обліку; б) скориговані залишки по рахунках дебіторів з аудиторським файлом залишків по бухгалтерських книгах тощо.
Проблеми, пов'язані з використанням комп'ютеризованих систем
Технологічні вдосконалення сьогодні означають, що навіть малий бізнес, домо-господарства можуть використовувати комп'ютери в бухгалтерському обліку. Хоча комп'ютер часто надає величезні переваги завдяки його здатності швидко опрацьовувати великі обсяги числової інформації, усе ж виникають труднощі при обґрунтуванні бухгалтерських рахунків та навіть можливі втрати активів. Основні проблеми, пов'язані з використанням комп'ютерів для аудитора при оцінці системи, включають:
1. Відсутність можливості простеження угод при аудиті.
У ^комп'ютеризованих системах зазвичай є можливість простежити проходження операції в системі від початкового документа через проміжні стадії до остаточного запису в бухгалтерській книзі. У комп'ютеризованій системі проміжні стадії іноді записуються у вигляді машинних кодів, що робить неможливим спостереження за операцією від початку до кінця. Крім того, система може сама здійснювати операції, не створюючи видимих записів, наприклад, платежі відсотків можуть цілком розраховуватися і заноситися до відповідних рахунків самою комп'ютерною програмою.
У деяких комп'ютеризованих системах роздрук результатів опрацьованих даних або не виконується, або виконується тільки в сумарній формі. Наприклад, рахунки по місячних закупівлях можуть бути введені в комп'ютер, у результаті чого на виході будуть отримані тільки загальні цифри по кожному типу закупівель. Для вирішення цих проблем аудитору часто доводиться використовувати спеціальні методи.
2. Надмірна довіра до комп'ютерного контролю.
Комп'ютер може бути використаний керівництвом для здійснення деяких видів контролю, що іноді надійніше, ніж контроль, який здійснюється вручну. Комп'ютер може бути запрограмований на виділення або перерахування тих пунктів, що не відповідають встановленим критеріям. Якщо, наприклад, перевищений кредит споживача або сума по рахунках на закупівлю знаходиться поза встановленими межами, то комп'ютер видає повідомлення про виняткову ситуацію. Іншими прикладами контролю є використання пароля для попередження несанкціонованого доступу або такі програмні перевірки як підрахунок загальних сум для контролю відповідності розрахунків. Такі перевірки включають контроль відповідності суми визначеного числа пунктів іншій сумі до продовження роботи програм, наприклад, до узгодження суми рахунків при закупівлі із загальною сумою рахунків, розрахованої в результаті іншої операції комп'ютера.
Якщо програми розроблені з урахуванням усіх можливих операцій та умов, то система завжди працюватиме саме так, як вона запрограмована. Проте комп'ютерний контроль ефективний тільки тоді, коли він використовується як частина загальної системи контролю. Завжди повинен існувати звичайний контроль, шо відстежує, досліджує і, коли це потрібно, виправляє помилки та відхилення, позначені комп'ютером.
Отже, аудитор не повинен занадто довіряти комп'ютерним процедурним перевіркам. Необхідно перевірити, чи здійснюється адекватний звичайний контроль, що підтримує результати використовуваного комп'ютерного контролю. Крім того, ручний контроль необхідний для того, щоб переконатися, що до комп'ютера введені всі необхідні дані. Один зі шляхів — попереднє підсумовування груп даних перед їх уведенням у комп'ютер, а потім перевірка отриманих сумарних вихідних даних. Існують і спеціальні методи перевірки правильності здійснюваного контролю.
3. Відсутність адекватних запобіжних заходів на випадок несправності комп'ютера.
Головна проблема, властива будь-якій комп'ютерній бухгалтерській системі, полягає в тому, що її серйозна відмова може зруйнувати всю систему бухгалтерського обліку підприємства. Така відмова може виникнути в результаті пожежі, повені, перебоїв в енергопостачанні або навіть навмисному пошкодженні. На жаль, комп'ютеризовані системи більш чутливі до стихійного лиха, ніж ручні системи. Ризик пожежі, наприклад, властивий будь-якій автоматизованій системі, тому протипожежне обладнання повинно бути завжди напохваті. На підприємстві мають бути інструкції, що визначають дії в екстремальних умовах. Крім того, повинна існувати система відновлення інформації. Копії важливих файлів треба зберігати в іншому приміщенні. Необхідно також передбачити резервне обладнання, на якому можна було б продовжити роботу в разі екстремальних випадків чи відновити записи. Аудитор повинен приділяти особливу увагу цьому питанню, тому що потенційна небезпека втрати інформації дуже велика.
4. Ризик числових помилок, який є результатом використання неточних довідкових даних.
Унаслідок величезних обсягів операцій, що здійснюються комп'ютерами, помилка в довідкових або постійних даних може мати дуже серйозні наслідки. Наприклад, якщо комп'ютер проводить розрахунки, а ціна введена неправильно, багато рахунків може бути сформовано до того як помилку буде виявлено. Для того, щоб такі помилки не виникали, необхідно перевіряти всі довідкові дані на етапі їх уведення, а потім час від часу роздруковувати інформацію для перевірки вручну. Корисним контролем є автоматичне посилання копій документів із затвердженими постійними даними до відділу внутрішнього аудиту для подальшої перевірки. Інший аспект тієї ж проблеми виникає при використанні банків даних. Банки даних опрацьовують основну бухгалтерську інформацію різними способами. Наприклад, дані продажу використовуються для аналізу за видами продукції їх географічного розподілу і розподілу серед споживачів, а також для аналізу витрат, контролю рівня запасів, контролю кредитів і прогнозування. Таким чином, основна інформація піддається перекласифікаціі, використовується для різноманітних цілей, до того ж різними відділами. Помилка у вихідних даних може звести нанівець усі подальші дослідження, тому тут також украй необхідно, щоб вхідна інформація була правильною. Тій частині системи, де використовуються бази даних, аудитор повинен приділяти особливу увагу.
5. Велика залежність від нечисленних фахівців із комп'ютерів.
Як і в ручних системах, тут має бути поділ за функціями. Проте кількість людей, які вміють працювати в комп'ютерних системах, часто буває значно меншою від людей, що вміють працювати в аналогічних ручних системах. У великих компаніях лише незначна кількість людей може вважатися спеціалістами, які володіють глибокими знаннями у сфері оброблення і розподілу інформації. Крім того, вони можуть знати слабкі сторони внутрішньої системи контролю і тому мати змогу маніпулювати даними.
У тих компаніях, де розроблені власні системи, персонал, що займається цією розробкою, не повинен працювати на комп'ютері. Для забезпечення цього також важливо, щоб доступ до файлів і програм був обмежений операторами і працівниками архіву. Якщо потрібно внести зміни до програми, то на це повинен бути отриманий відповідний дозвіл, а аудитор повинен простежити за виконанням цієї роботи.
У малих компаніях такий розподіл обов'язків не завжди можна здійснити, тому що часто в них одна людина відповідає за роботу всієї комп'ютерної системи. Менше проблем, якщо компанія, як це найчастіше буває, купує у зовнішнього постачальника пакет програмного забезпечення, що не може бути змінений.
У зв'язку з використанням мікропроцесорних систем дедалі складнішим стає контроль доступу до бухгалтерської звітності. Зростання кількості терміналів і додатково залучених систем означає, що більшість людей може одержати доступ до рахунків компанії і мати можливість змінити їх. Для захисту записів необхідний контроль із використанням паролів і реєстрацією доступу.
Питання для самопідготовки
1. Які особливості проведення аудиту в умовах використання клієнтом обчислювальної техніки?
Як повинен діяти аудитор у випадку, коли він не має спеціальних знань у системі комп'ютерної обробки економічної інформації, а клієнт працює в умовах КОД?
За яких умов до проведення аудиту в умовах КОД може залучатися експерт?
Які вимоги висуваються до експерта з КОД?
Як оформлюється інформація про середовище КОД клієнта?
Які методи збирання аудиторських доказів Ви знаєте?
Як оцінюється ризик внутрішнього контролю в умовах КОД?
У яких випадках використовується комп'ютерна обробка даних (КОД) на підприємстві?
Яка мета аудиту в умовах КОД?
Чи зберігаються основні елементи методології проведення аудиту в умовах КОД?
Як змінюється коло знань аудитора при проведенні аудиту в умовах КОД?
Чи може аудитор використовувати роботу експерта в галузі інформаційних технологій, якщо сам не має спеціальних знань?
Чи повинен аудитор вивчати особливості практичного застосування найпоширеніших систем КОД?
Чи обов'язково аудитор повинен визначати ступінь впливу на організацію та проведення аудиту використання системи КОД у клієнта?
Чи може аудитор передати будь-кому свою відповідальність за висловлення думки про звітність клієнта в умовах КОД у клієнта?
Який характер відносин повинен бути міме аудитором та експертом з оцінки системи КОД?
Яке основне завдання експерта з оцінки системи КОД у клієнта?
Яку інформацію про середовище КОД у клієнта повинен отримати аудитор?
Яка дата вважається початком аудиторської перевірки при використанні роботи експерта з оцінки системи КОД у клієнта?
У яких випадках підвищується ризик аудитора в умовах КОД у клієнта?
У яких випадках можливе зниження ризику аудитора в умовах КОД у клієнта?
Що повинен враховувати аудитор при оцінці адекватності внутрішнього контролю клієнта в умовах КОД,?
Як впливає складова ризику інформаційних технологій, що застосовуються клієнтом, на аудиторський ризик?
Що повинен виявити аудитор при оцінці середовища КОД у клієнта?
Які форми обліку можуть застосовуватися у середовищі КОД? Яка з них є найефективнішою?
Які можливості повинна забезпечити організація інформаційної бази всередині комп'ютера?
Яким чином забезпечується актуальність даних у системі КОД?
Яким вимогам повинна відповідати зовнішня звітність клієнта, якщо вона роздруковується безпосередньо з комп'ютера?
Чи може аудитор зберегти видимі сліди вивчення фактів господарського життя (дані у роздрукованому вигляді)?
Чи підвищується ефективність і достовірність такої аудиторської процедури, як перевірка арифметичних розрахунків, в умовах використання клієнтом системи КОД?
Чи повинен аудитор перевірити алгоритм розрахунків, запрограмований у системі КОД клієнта?
На які фактори слід звертати увагу при виконанні аудиту?
Чи має право аудитор примушувати клієнта застосовувати систему КОД, яку він (аудитор) краще знає?
Чи має право аудитор надавати рекомендації клієнту з питань організації системи КОД?
Чи є конфіденційною отримана аудитором інформація, підготовлена на машинному носії?
Який ступінь впливу наявності системи КОД на процес вивчення аудитором системи обліку клієнта?