Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

ВиМСА / Международные стандарты аудита_Жарылгасова Б.Т, Суглобов_Уч пос_2007 3-е изд -400с.pdf

.pdf
Скачиваний:
33
Добавлен:
25.03.2016
Размер:
2.31 Mб
Скачать

обеспечение КОД техническими средствами;

программное обеспечение КОД (составляется краткая характеристика, в частности, кем разработано, когда внедрено программное обеспечение КОД, частота и метод его обновления в соответствии

сизменениями действующего законодательства);

технологическое обеспечение (рекомендуется оформлять в виде схемы, состоящей из отдельных блоков технологического процесса обработки данных);

другие виды обеспечения КОД (следует дать краткое описание иных видов обеспечения).

Врабочем документе по бухгалтерскому программному обеспечению должно быть указано наличие лицензий на каждый из его элементов.

Аудитор должен оценить и оформить рабочим документом возможности компьютерной системы в части:

гибкого реагирования на изменения хозяйственного, налогового или иного законодательства с точки зрения настройки программного обеспечения;

формирования бухгалтерской и внутренней управленческой отчетности;

осуществления аналитических процедур;

расширения функций компьютерной системы.

Аудитор должен оценить квалификацию бухгалтерского персонала в области КОД, в частности, имеют ли специалисты соответствующее высшее либо среднее специальное образование, или прошли курс обучения в области ИТ, или изучили систему КОД самостоятельно.

При составлении общего плана аудиторской проверки в соответствии с ПСАД «Планирование аудита» каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита применяемых экономическим субъектом ИТ и системы КОД. Уровень автоматизации обработки учетной информации должен быть принят во внимание при определении объема и характера аудиторских процедур.

В документах по планированию аудита должны быть отражены следующие вопросы:

характер выполнения аудиторских процедур с использованием КОД (вывод подготовленных в среде КОД документов на печать, работа в среде КОД экономического субъекта);

привлечение независимого эксперта с целью изучения компьютерной системы экономического субъекта, описание вынесенных для оценки экспертом вопросов.

331

Дата начала аудиторской проверки должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом в договоре на проведение аудита.

Организация данных бухгалтерского учета у клиента в среде КОД оказывает влияние на профессиональный риск аудитора. Риск аудитора повышается, если:

компьютеризованная среда децентрализована;

существует географическая разбросанность компьютерных установок;

уровень знаний бухгалтерского персонала в области ИТ недостаточен;

внутренний контроль за функционированием среды КОД отсутствует;

не приняты необходимые меры по ограничению несанкционированного доступа в систему КОД.

Риск аудитора снижается, если:

системы автоматизации являются лицензированными;

имеется возможность углубить некоторые виды контроля благодаря программному обеспечению, специально разработанному для аудиторов;

существует специальный контроль программного обеспечения;

информационную политику экономического субъекта квалифицированно определяет его руководство;

все дочерние общества, филиалы и другие обособленные подразделения работают в единой среде КОД, применяют единое современное программное обеспечение;

информационная политика экономического субъекта согласована с основными пользователями системы КОД;

имеется долгосрочный план развития системы КОД экономического субъекта.

Аудитор должен оценить надежность системы внутреннего контроля проверяемого экономического субъекта в соответствии с ПСАД «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита» и влияние на эту надежность действующей системы КОД:

контроль подготовки данных как на уровне пользователя, так

ина уровне компьютерной службы;

контроль предотвращения ошибок и фальсификаций во время работы;

контроль работы с данными (доступ, правильность, полнота), особенно сданными постоянного (нормативно-справочного) характера;

332

возможность изменения программного обеспечения, особенно в части методов регистрации первичной информации;

степень координации и взаимодействия между службой информатизации и пользователями системы КОД.

При оценке среды КОД аудитор должен охарактеризовать:

соответствие применяемой формы учета используемой системе обработки данных;

соответствие алгоритмов обработки бухгалтерских данных действующему законодательству и возможность изменения этих алгоритмов в случае изменения порядка ведения бухгалтерского учета, хозяйственного, налогового и иного законодательства;

способ организации, хранения и обновления данных;

обеспечение контроля ввода данных;

возможность настройки внешней отчетности на изменение

ееформ;

возможность вывода на печать данных о хозяйственных опе-

рациях.

Аудитор обязан проверять соответствие применяемых алгоритмов требованиям нормативной документации по ведению бухгалтерского учета и составлению бухгалтерской отчетности по основным автоматизированным расчетам экономического субъекта.

Аудитору необходимо убедиться в том, что информационная база внутри компьютера обеспечивает сохранность информации, ее архивирование, простоту доступа, кодирование и декодирование информации, ограничение несанкционированного доступа к ней. Актуальность данных (т.е. их соответствие изменившимся условиям хозяйственной жизни) обеспечивается регламентированием источников и потребителей информации, периодичностью и условиями ее обновления.

Собирая аудиторские доказательства об организации обработки учетных данных в среде КОД, аудиторские организации обязаны следовать требованиям, установленным ПСАД № 5 «Аудиторские доказательства».

Источниками получения аудиторских доказательств при проведении аудиторских процедур являются данные, подготовленные в системе КОД экономического субъекта в виде таблиц, ведомостей, регистров бухгалтерского учета экономического субъекта. Аудитор имеет возможность применять их, их копии, в том числе фотокопии, в качестве рабочей документации аудита, сопровождая обработку этих документов ссылками, пометками, специальными символами. В случае работы аудитора непосредственно в системе КОД экономического субъекта (без вывода данных на печать) рабочие документы, подтвержда-

333

ющие факт сбора аудиторских доказательств, аудитор составляет самостоятельно.

Рабочие документы, формируемые в процессе аудита в условиях КОД и существенно отличающиеся от обычных рабочих документов, могут храниться в аудиторской организации обособленно в архиве аудиторских файлов на машинных носителях.

Аудиторская организация должна обеспечить сохранность аудиторских файлов на машинных носителях, их оформление и сдачу в архив. Систему идентификации рабочих документов в аудиторском файле на машинном носителе устанавливает аудиторская организация. Целесообразно хранить аудиторские файлы по каждому экономическому субъекту аудиторской организации на отдельном машинном носителе.

Вусловиях использования экономическим субъектом системы КОД повышается эффективность и надежность такой аудиторской процедуры, как проверка его арифметических расчетов.

Аудитору необходимо убедиться в том, что:

• регистры учета, формируемые системой КОД, соответствуют данным первичного учета (наличие системы КОД не освобождает экономического субъекта от обязанности документировать в установленном порядке факты хозяйственной жизни);

• отсутствуют несанкционированные изменения программного обеспечения (изменения, вносимые в программное обеспечение экономическим субъектом в связи с изменением хозяйственного или налогового законодательства, должны быть документированы и, как правило, согласованы, одобрены и проверены разработчиком программного обеспечения).

Вусловиях КОД аудитможно проводить с использованием машин- но-ориентированных и (или) ручных процедур.

Машинно-ориентированные процедуры должны включать в себя:

• программные средства, применяемые аудитором для проверки содержания компьютерных файлов экономического субъекта;

• контрольные примеры, используемые аудитором для тестирования алгоритмов КОД.

При применении машинно-ориентированных процедур руководитель аудиторской проверки (или лицо, которому он это поручил) должен обеспечить контроль за работой, выполняемой персоналом, имеющим специальные знания и навыки в условиях работы КОД, и другим персоналом, занятым в аудите.

Проведение аудитором машинно-ориентированных процедур в отношении копий компьютерных файлов допускается при условии,

334

что аудитор имеет достаточную уверенность в том, что они действительно полностью соответствуют оригиналам файлов экономического субъекта.

Аудитор может проводить машинно-ориентированные процедуры в отношении компьютерных файлов, полученных от третьего лица, осуществляющего по договору КОД экономического субъекта.

Руководством для аудиторов по использованию компьютерных методов аудита, особенно в части применения компьютерных программ и данныхдля тестирования, служит ПМАП 1009 «Методы аудита с помощью компьютеров». Использование компьютера в качестве инструмента аудита называют методом аудита с помощью компьютеров (МАПК). Целью данного Положения является предоставление рекомендаций по использованию МАПК. ПМАП 1009 применяется ко всем видам использования МАПК, включая компьютеры любых видов и размеров.

В разделе «Описание методов аудита с помощью компьютеров (МАПК)» говорится, что в данном Положении описываются методы проведения аудита с помощью компьютеров, в том числе компьютерных инструментов, получивших название МАПК, которые могут быть использованы при проведении различных процедур аудита, включая детальные тесты операций и сальдо, аналитические процедуры, тесты общих средств контроля, программы осуществления отбора совокупности, обеспечивающие выбор данных для аудиторских тестов, тестирование прикладных средств контроля, пересчет данных, ранее полученных с помощью систем бухгалтерского учета субъекта.

МАПК — этокомпьютерныепрограммы иданные, используемые аудитором в качестве процедур аудита, чтобы обрабатывать значимые для аудита данные, содержащиеся в информационных системах субъекта. МАПК может состоять из пакетных программ, программ специального назначения, программ-утилит и программ управления системой. Вне зависимости от источника программ до их использования аудитор должен обосновывать их надлежащий характер и соответствие целям аудита.

Методика тестовых данных иногда используется при проведении аудита путем ввода данных в компьютерную систему субъекта и сравнения полученных результатов с заранее определенными результатами, например:

тестируются такие конкретные средства контроля в компьютерных программах, как пароль в режиме онлайн и средства контроля за доступом к данным;

тестируются операции, отобранные из ранее обработанных хозяйственных операций или созданные аудитором для тестирования

335

отдельных характеристик процесса обработки, осуществляемой компьютерной системой субъекта;

• тестируются операции в интегрированных устройствах тестирования с созданием элемента «пустышки» (например, отдел или работник), на котором отражаются контрольные операции в ходе обычного цикла обработки.

Если тестовые данные обрабатываются в рамках обычного процесса обработки, аудитор должен обеспечить, чтобы контрольные операции были затем исключены из бухгалтерских записей субъекта.

Согласно разделу «Рассмотрение использования МАПК» аудитор должен при планировании аудита рассматривать соответствующую комбинацию ручных методик и методик аудита с помощью компьютеров. При принятии решения о том, использовать ли МАПК, рекомендуется учитывать следующие факторы: знания, навыки и опыт работы аудитора в области ИТ; возможность применения МАПК и наличие соответствующих компьютерных устройств; нецелесообразность применения ручных тестов; эффективность и результативность; фактор времени. В частности, аудитор должен владеть знаниями, достаточными для планирования, получения и использования результатов выбранных МАПК. Уровень необходимых знаний зависит от сложности и характера МАПК и информационной системы субъекта.

Аудитор должен рассматривать возможность применения МАПК, наличие подходящих компьютерных устройств и необходимых информационных систем, основанных на применении компьютеров, и данных. Аудитор может планировать использование других компьютерных устройств, если применение МАПК на компьютере субъекта являетсяэкономическинецелесообразнымилиневыполнимым,например, из-за несовместимости пакета программ аудитора и компьютера субъекта. Помощь специалистов субъекта может потребоваться для получения в удобное время возможности для обработки, а также для такой работы, как загрузка и запуск МАПК в системе субъекта, и для получения копий файлов сданными в форме, необходимой для аудитора.

Многие компьютерные информационные системы решают задачи, по результатам которых не остается визуальных доказательств, что делает невозможным выполнение аудитором тестов вручную. Отсутствие визуального доказательства может проявиться на различных стадиях процесса учета:

первичные документы могут создаваться в электронном виде;

такие операции, как дисконтирование и расчет процентов, могут выполняться в компьютерной программе без специального одобрения руководством отдельных операций;

336

система может не предоставлять интересующих аудитора визуальных результатов операций, обработанных с помощью компьютера; ш система может не подготавливать отчеты о полученных данных, более того, распечатанный отчет может содержать только итого-

вые суммы, тогда как подтверждающая подробная информация будет оставаться в компьютерных файлах.

Эффективность и результативность процедур аудита, проводимых для получения и оценки аудиторских доказательств, могут быть улучшены с использованием МАПК. Как правило, МАПК представляют собой эффективный способ тестирования большого количества операций или средств контроля в случае большой генеральной совокупности посредством анализа и отбора совокупности из большого числа операций, применения аналитических процедур и выполнения процедур проверки по существу. К соображениям эффективности, которые могут быть учтены аудитором, относятся: время планирования, разработки, применения и оценки МАПК; часы работы, затраченные на технический анализ и консультации; составление и распечатка форм; доступность компьютерных ресурсов.

Некоторые данные, например особенности хозяйственных операций, часто сохраняются в компьютере только в течение короткого периода времени и могут оказаться недоступны в машиночитаемой форме, когда они требуются аудитору. В результате аудитор будет должен предпринять определенные действия, чтобы необходимые ему файлы были сохранены, или ему будет нужно изменить сроки работы, для которой требуются эти данные. Когда время проведения аудита ограничено, аудитор может планировать использование МАПК, потому что это может в большей мере соответствовать графику аудита, чем другие процедуры.

Вразделе «Использование МАПК» перечислены основные шаги, которые необходимо предпринять аудитору при использовании МАПК:

установить цели применения МАПК;

определить содержание файлов субъекта и порядок доступа

кним;

определить специфические файлы и базы данных, подлежащих тестированию;

понять взаимоотношения между таблицами данных в тех случаях, когда база данных подлежит проверке;

определить специальные тесты или процедуры и соответствующие операции и сальдо, на которые было оказано влияние;

договориться с пользователями или (в случае необходимости) специалистами подразделения ИТ о предоставлении копий соответ-

337

ствующих файлов и таблиц базы данных, которые должны быть «остановлены» в определенный момент и на определенную дату;

установить выходные требования;

назначить сотрудников, которые могут принимать участие

вразработке и применении МАПК;

уточнить оценки затрат и выгод;

убедиться, что использование МАПК надлежащим образом контролируется и документируется;

организовать административную работу, включая необходимую квалификацию и компьютерные устройства;

сверить данные, которые используются для МАПК, с бухгалтерскимизаписями;

выполнить программное приложение МАПК;

оценить результаты.

Специальные процедуры, необходимые для контроля за использованием МАПК, зависят от конкретного применяемого приложения. При определении средств контроля аудитор должен рассмотреть необходимость: утверждения технических характеристик и проведения обзорной проверкиработы, проводимойс использованием МАПК; проверки общих средств субъекта, которые могут способствовать целостности МАПК; обеспечения соответствующей интеграции полученных аудитором в рамках аудита результатов в общий процесс аудита.

Процедуры, проводимые аудитором в целях контроля за применением аудиторских программ, могут включать в себя:

участие в разработке и тестировании МАПК;

проверку кодирования программ для обеспечения соответствия подробным программным характеристикам;

обращение аудитора к специалистам субъекта по компьютерным системам с просьбой ознакомиться с инструкцией по операционной системе и удостовериться в том, что программное обеспечение может быть инсталлировано в компьютерной системе субъекта;

апробирование аудиторского программного обеспечения на небольших тестовых файлах до его запуска для работы с файлами основных данных;

обеспечение использования правильных файлов, например, посредством проверки с помощью внешнего доказательства, такого, как контрольные итоговые данные, которые ведутся пользователем;

получение доказательства того, что аудиторское программное обеспечение действует как запланировано, например, путем анализа выходящей и контрольной информации;

338

принятие соответствующих мер безопасности для защиты от манипуляций с файлами данных субъекта.

Рабочие документы должны содержать достаточную документацию для описания применения МАПК, в частности: планирование (цели МАПК; рассмотрение необходимости использования конкретных МАПК; используемые средства контроля; специалисты, сроки

изатраты); осуществление (подготовка МАПК и тестирование процедур и средств контроля: информация о тестах, проведенных с помощью МАПК; информация о вводных данных, обработке и результатах; соответствующая техническая информация о бухгалтерской системе субъекта, такая, как расположение компьютерных файлов); аудиторские доказательства (полученные результаты; описание проведенной аудиторской работы в отношении результатов; аудиторские выводы); прочее (рекомендации руководству субъекта).

Вразделе «Использование МАПК в среде ИТ малого субъекта» описаны особенности ИТ среды малого субъекта, а именно то, что:

уровень общих средств контроля может быть таким, что аудитору придется в меньшей степени полагаться на систему внутреннего контроля (это приведет к более значительной роли детальных тестов операций и сальдо, а также аналитических процедур обзорной проверки; применению аудиторских процедур в целях обеспечения правильного функционирования МАПК и обоснованности данных субъекта);

в случаях, когда обрабатываются небольшие объемы данных, использование некомпьютеризованных методов может оказаться более экономичным;

аудитор может не получить достаточной технической помощи от субъекта, что делает использование МАПК невозможным;

определенные пакетные программы могут не работать на небольших компьютерах, что ограничивает выбор аудитора в отношении МАПК. Однако файлы с данными субъекта можно скопировать и обработать на подходящем компьютере.

Российским аналогом ПМАП 1009 является ПСАД «Проведение аудита с помощью компьютеров», цель которого состоит в определении особенностей проведения аудита с применением компьютеров.

Вэтом стандарте нашли отражение общие требования по применению компьютеров при проведении аудита. При проведении аудита

сиспользованием компьютеров сохраняются цель и основные элементы методологии аудита. Использование аудитором компьютера возможно как в случае ведения бухгалтерского учета экономическим субъектом вручную, так и при использовании средств автоматизации бухгалтерского учета. В первом случае аудитор должен решить проблему нали-

339

чия необходимого программного обеспечения для анализа базы данных бухгалтерских записей по всем учитываемым хозяйственным операциям или по итоговым записям бухгалтерских регистров. Если у экономического субъекта весь бухгалтерский учет или отдельные его участки автоматизированы, наличие в распоряжении аудитора базы учетных данных экономического субъекта (отдельных ее компьютерных файлов) позволяет применять для ее анализа эффективные методы современных ИТ.

Аудиторской организации целесообразно вести постоянную работу по освоению новых ИТ автоматизации аудиторской деятельности.

Информационное обеспечение аудита с применением компьютеров обычно имеет два источника:

данные бухгалтерского учета экономического субъекта на бумажных носителях или в виде базы данных бухгалтерии;

нормативно-справочную базу и систему форм рабочей документации аудитора.

Возможность использования базы данных экономического субъекта или отдельных ее массивов должна быть обеспечена путем:

отражения в договоре о проведении аудита согласия экономического субъекта на использование базы данных или ее фрагментов,

апри необходимости также состава, формы и срока предоставления аудитору для анализа базы данных или ее фрагментов;

включения при необходимости в систему аудита с применением компьютеров блока, обеспечивающего конвертацию (преобразование) базы данных экономического субъекта в данные, обработка которых возможна средствами программного обеспечения, используемого аудитором.

Аудитор может использовать для анализа не саму базу данных (или фрагменты рабочей базы данных), а ее копию, предварительно убедившись в соответствии копии оригиналу или сделав копию базы данных самостоятельно. Нормативно-справочные данные системы, используемой аудитором для проведения аудита, должны соответствовать проверяемому периоду. Аудитор должен обеспечить конфиденциальность как полученной информации, так и информации, сформированной в ходе аудиторских процедур, а также ее защиту от несанкционированного доступа.

Программные средства системы, используемой аудитором при проведении аудита, должны обеспечивать:

• анализ содержания формируемой в бухгалтерии экономического субъекта базы данных, если таковая существует и доступна;

340