Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

ВиМСА / Международные стандарты аудита_Жарылгасова Б.Т, Суглобов_Уч пос_2007 3-е изд -400с.pdf

.pdf
Скачиваний:
33
Добавлен:
25.03.2016
Размер:
2.31 Mб
Скачать

ющая разрешительные надписи система паролей ведет к отказу от составления специальных документов, заявлений, журналов, которые нужно визировать. Контроль за ошибками и их исправлением путем составления справок, ведомостей (сличительных, оборотных) заменяется автоматической печатью отчета о найденных программой ошибках.

В условиях КОД ввод данных об одной операции может одновременно изменить несколько связанных с ней счетов. Подобная особенность систем КОД значительно увеличивает влияние ошибки ввода на бухгалтерскую информацию, поскольку неверная сумма будет проведена не по одному, как при ручной обработке данных, а сразу по нескольким счетам.

Некоторые проводки могут генерироваться системой КОД самостоятельно, без участия специалистов и без составления первичных документов. Это ведет к появлению несанкционированных записей

ирасчетов, которые к тому же сложно обнаружить из-за отсутствия специальных регистров или документов, например автоматическое начисление процентов на задолженность покупателей или по займам.

Многие базы данных могут храниться только в электронной форме, что увеличивает риск их утраты вследствие порчи компьютеров

иэлектронных носителей информации, заражения их компьютерными вирусами, несанкционированного проникновения в информационные системы.

Внутренний контроль в условиях применения системы КОД должен сочетать обычные методы контроля, используемые в отсутствие системы КОД, и специальные программные средства контроля. Все средства контроля за системой КОД можно разделить на общие и специальные.

Общие средства контроля представляют собой процедуры проверки правил системы КОД, а также надежности ее функционирования. Они включают в себя следующие процедуры:

организационный и управленческий контроль, который предполагает создание инструкций и правил для различных контрольных функций и системы разделения полномочий при выполнении этих функций, например правил ввода информации;

контроль за поддержанием и развитием системы КОД, который состоит в проверке того, что все изменения, вносимые в систему, и операции с ней надлежащим образом разрешены (применение такого контроля необходимо в случаях тестирования, внесения изменений, внедрения новых систем КОД, предоставления доступа к их документации);

операционный контроль, который заключается в проверкетого, что система КОД выполняет только авторизованные операции, доступ

351

кней имеют только лица, обладающие на это разрешением, и ошибки

вобработке данных определяются и исправляются;

контроль за программным обеспечением, который означает проверку того, что используется только разрешенное и эффективное программное обеспечение (с этой целью анализируется система визирования, тестирования, проверки, внедрения и документирования новых систем и модификаций уже действующих, а также ограничения на доступ к документации о них);

контроль за вводом и обработкой данных, который заключается в проверке того, что существует система предварительного визирования операций до их ввода в систему КОД, и ввод информации возможен только теми лицами, которые имеют на это соответствующие разрешения.

Возможны также иные приемы общего контроля, среди которых можно назвать анализ правил копирования программ и баз данных в специальные архивы и процедур восстановления информации или извлечения ее из архивов при утрате данных.

Специальный контроль за применением системы КОД в системе бухгалтерского учета экономического субъекта предполагает специальные проверочные процедуры, позволяющие удостовериться, что все бухгалтерские операции должным образом авторизуются и отражаются в учете своевременно и без ошибок. К проверочным процедурам относят:

контроль за вводом информации;

контроль за обработкой и хранением информации;

контроль за выводом информации.

Процедуры контроля ввода информации состоят из проверки выполнения следующих требований:

вся информация, вводимая в систему, предварительно визи-

руется;

информация вводится в базу данных аккуратно, без ошибок

иповторов;

ошибки ввода обнаруживаются, отвергаются и по возможности исправляются системой.

Контроль за обработкой и хранением информации заключается в проверке того, что:

операции, в том числе те, которые проводятся системой самостоятельно, выполняются верно;

операции проводятся без ошибок и повторов;

ошибки в обработке данных обнаруживаются и своевременно исправляются.

352

Контроль за выводом информации предполагает проверку того,

что:

результаты операций предоставляются авторизованным пользователям должным образом и в установленные сроки;

доступ к предоставляемой информации разрешен только ограниченному кругу лиц.

Все виды специального контроля могут осуществляться пользователями системы КОД или отделом внутреннего контроля экономического субъекта, а также автоматически с помощью специальных программ.

Аудиторская организация тестирует систему внутреннего контроля за системой КОД, если полагает, что без проверки системы КОД не сможет получить достаточную уверенность в том, что бухгалтерская отчетность проверяемого субъекта не содержит существенных искажений. При проверке аудиторская организация руководствуется положениями ПСАД «Аудит в условиях компьютерной обработки данных».

Аудиторская организация вправе не проверять систему внутреннего контроля за системой КОД, если объем деятельности проверяемого экономического субъекта невелик или влияние системы КОД на деятельность экономического субъекта и составление отчетности незначительно. Аудиторская организация также вправе отказаться от проверки системы внутреннего контроля за системой КОД, если обработка данных ведется не проверяемым экономическим субъектом, а третьей стороной, и доступ к системам внутреннего контроля из-за этого невозможен.

В начале проверки аудиторская организация должна оценить, насколько существенно влияние общего контроля за компьютерной и информационной системами на их применение в бухгалтерском учете экономического субъекта. Если процедуры общего контроля прямо относятся к применению системы КОД в бухгалтерском учете, то целесообразно проверить их, прежде чем рассматривать специальный контроль, если нет, то достаточно ограничиться оценкой общего контроля. Если общий контроль эффективен, то аудиторская организация переходит к тестированию специального контроля за системой КОД бухгалтерского учета. Если же аудиторская организация сочтет, что общий контроль неэффективен, то риск необнаружения ошибок на уровне специального контроля за применением системы КОД в бухгалтерском учете возрастает до неприемлемого уровня. В такой ситуации аудиторская организация обязана провести тестирование процедур общего контроля, кроме случая, когда проверяемый субъект обладает надежным ручным контролем пользователей за системой КОД.

12 Международныестандарты аудита

3 5 3

Если специальный контроль за применением системы КОД в бухгалтерском учете систематически ведет персонал проверяемого экономического субъекта, то аудиторская организация может ограничить тестирование такого контроля следующими процедурами: тестирование ручного контроля, проводимого персоналом экономического субъекта; тестирование контроля за выводом информации; тестирование программного обеспечения.

Если персонал экономического субъекта регулярно и с должной тщательностью проверяет, что получаемая из системы КОД информация авторизована, полна, арифметически верна, то аудиторская организация вправе ограничить проверку системы КОД анализом выполнения персоналом экономического субъекта контрольных процедур.

Если тестирование ручного контроля или контроля за выводом информации невозможно либо неэффективно, аудиторская организация может проверить контроль за системой КОД, используя специальные компьютерные программы, которые будут пересчитывать данные, полученныесистемой КОДэкономическогосубъекта, илиповторятьпроцесс их обработки, или вводить заведомо неверную информацию и определять, насколько надежно система КОД отвергает такую информацию. Аудиторская организация может также проверить программный код или провести другие процедуры контроля за работой программ КОД.

Данный стандарт непосредственно связан со стандартами аудиторской деятельности по компьютерному аудиту. Эта взаимосвязь проявляется в том, что комментируемый ПСАД дополняет следующие стандарты:

«Аудит в условиях компьютерной обработки данных» — в части применения специальных средств контроля за информацией, в системе внутреннего контроля и бухгалтерского учета экономического субъекта; «Проведение аудита с применением компьютеров» — в части применения аудитором новых средств и методов контроля проверяемой

информации экономического субъекта.

Нетрудно заметить, что рассматриваемый стандарт направлен как на расширение сущности подходов и методов, приведенных в стандартах, так и на уточнение и дополнение рекомендаций по организации компьютерного аудита.

Влияние автономных персональных компьютеров (ПК) на систему бухгалтерского учета и связанные с ней средства внутреннего контроля, а также аудита приведены в ПМАП 1001 «Среда ИТ — автономные персональные компьютеры».

В разделе «Автономные ПК» говорится, что автономные ПК используются для обработки бухгалтерских операций и для подготов-

354

ки отчетов, необходимых для составления финансовой отчетности, в разное время как одним, так и несколькими пользователями, имеющими доступ к различным или одинаковым программам на одном компьютере. Очень большое значение для оценки рисков и объема средств контроля, которые нужны для снижения рисков, имеет организационная структура, в которой применяется ПК.

Подходы к средствам контроля и характеристикам оборудования и программного обеспечения должны быть другими, когда речь идет о ПК, подсоединенных к другим компьютерам. Такие ситуации часто приводят к увеличению риска. Данное Положение не касается рассмотрения аудитором безопасности компьютерных сетей и средств контроля. Однако это Положение относится к ПК, присоединенному к другому компьютеру, и в то же время может быть применено к автономным рабочим станциям.

Вразделе «Средства внутреннего контроля в среде автономных ПК» сказано, что ПК ориентированы на отдельных конечных пользователей. Степень точности и надежности производимой ими финансовой информации будет частично зависеть от средств контроля, принимаемых пользователем добровольно или потому, что так ему было предписано руководством.

Впроцессе понимания контрольной среды и, следовательно, среды ИТ для автономных ПК аудитор должен рассматривать организационную структуру субъекта и особенно распределение обязанностей по обработке данных. К таким политике и процедурам относятся:

• нормы, определяющие приобретение, внедрение и документирование;

• обучение пользователей;

• руководящие указания по безопасности, дублированию и хранению;

• управление паролями;

• правила личного пользования;

• нормы поприобретениюииспользованиюпрограммногообеспечения;

• нормы, устанавливающие защиту данных;

• поддержание рабочего состояния программ и техническая поддержка;

• соответствующий уровень разделения обязанностей и ответственности;

• защита от вирусов.

Всвязи со своими физическими характеристиками автономные ПК и их средства хранения информации подвержены кражам, физи-

355

ческому повреждению, неразрешенному доступу или неправильному использованию. Физически они могут быть защищены с помощью:

запирания их на замок в защищенной комнате, кабинете или

ящике;

использования системы тревожной сигнализации;

прикрепления ПК к столу;

политики должного обращения с ПК во время путешествий или использования вне обычного помещения;

шифрования основных файлов;

установления блокирующего механизма, контролирующего доступ к выключателю;

применения системы контроля окружения для предотвращения повреждений при естественных бедствиях.

Программы ПК и их данных могут сохраняться на съемных

инесъемных средствах хранения. Пользователь обязан защищать съемные средства хранения информации.

Степень контроля и характеристики безопасности в операционных системах ПК представлены по-разному. В качестве мер ограничения доступа к программам и данным только для уполномоченных сотрудников предусмотрены:

использование паролей;

применение пакетов контроля доступа;

применение скрытых директорий и файлов;

шифрование.

Всреде ПК руководство, как правило, полагается на самого пользователя, который должен гарантировать непрерывную доступность систем в случае сбоя, нарушений или уничтожения оборудования, операционных систем, программ и данных. Это подразумевает:

что пользователь делает копии операционных систем, программ и данных;

наличие доступа к альтернативному оборудованию в разумныесроки.

Согласно разделу «Влияние автономных ПК на систему бухгалтерского учета и связанные с ней средства внутреннего контроля» такое влияние обычно зависит:

от степени использования ПК для обработки бухгалтерских программных приложений;

оттипаизначимостиобрабатываемойфинансовойинформации;

от характера используемых в программных приложениях программ и данных.

356

В среде ПК пользователи, как правило, могут осуществить одну или несколько функций бухгалтерской системы. Подобное отсутствие разделения функций в среде ПК может привести к невыявлению допущенных ошибок и способствовать совершению или сокрытию случаев мошенничества.

Кэффективным средствам контроля относятся:

запрограммированные средства контроля;

система протоколов передачи данных и обеспечение целостности пакетов;

непосредственный надзор;

выверка количества записей и контрольных сумм.

Контроль может быть установлен независимым подразделением. В разделе «Влияние среды автономных ПК на процедуры аудита» отмечается, что в среде автономного ПК применение достаточных

средств контроля посокращениюрисков невыявленияошибокдоминимального уровня может оказаться для руководства непрактичным или неэффективным по затратам. В такой ситуации, после того как аудитор получит понимание системы бухгалтерского учета и контрольной среды, аудитор может посчитать более эффективным по затратам не продолжать дальнейшую обзорную проверку общих и прикладных средств контроля, но ориентировать аудит на процедуры проверки по существу. Если уровень общих средств контроля представляется адекватным, аудитор может принять решение о применении другого подхода.

Данный ПМАП не имеет аналогов среди российских правил (стандартов) аудита.

Влияние онлайновых компьютерных систем на систему бухгалтерского учета и связанные с ней средства внутреннего контроля, а также на процедуры аудита описаны в ПМАП 1002 «Среда ИТ — онлайновые компьютерные системы».

В разделе «Онлайновые компьютерные системы» говорится,, что онлайновые компьютерные системы — это системы, позволяющие пользователю получить доступ к данным и программам непосредственно через терминальные устройства. Такие системы могут состоять из компьютеров мейнфрейм, миникомпьютеров или сети соединенных между собой ПК.

Отмечается, что онлайновые компьютерные системы позволяют пользователям непосредственно инициировать различные функции, например:

ввести хозяйственную операцию;

запросить информацию;

357

запросить отчеты;

обновить главные файлы;

деятельность по электронной коммерции.

Онлайновые компьютерные системы используют следующие типы терминальных устройств, которые могут существовать как локально, так и удаленно:

терминалы общего назначения (например, базисные клавиатура и экран, интеллектуальный терминал, ПК);

терминалы для специальных целей (например, устройства «оплаты продаж на месте», автоматические банкоматы, ручные беспроводные устройства для ввода данных из удаленных мест, системы голосового отклика).

Сотрудники, деловые партнеры, клиенты и другие третьи лица могут получить доступ к онлайновым программным приложениям организации с помощью Интернета и других услуг удаленного доступа. Доступ к системе организации могут получить внешние стороны с помощью электронного обмена данными или других электронных коммерческих программных приложений. В дополнение к пользователям этих систем программисты могут использовать онлайновые возможности для разработки новых программ и поддержания уже существующих. Персонал поставщиков компьютерного оборудования также может иметь онлайновый доступ для предоставления услуг по поддержанию работоспособности.

Согласно разделу «Виды онлайновых компьютерных систем» онлайновые компьютерные системы классифицируются в соответствии

стем, как информация вводится в систему, обрабатывается и когда результаты становятся доступны пользователю. В целях данного Положения функции онлайновых компьютерных систем классифицируются следующим образом:

обработка в режиме онлайн/режиме реального времени;

обработка в режиме онлайн/пакетном режиме;

режим онлайн/обновление в режиме меморандума (с последующей обработкой);

режим онлайн/запрос;

обработка в режиме онлайн загрузки/передачи данных.

В разделе «Характеристики онлайновых компьютерных систем» отмечено, что такие характеристики подходят к многим типам онлайновых систем. Наиболее важные характеристики относятся к вводу данных в режиме онлайн и их подтверждению, доступу пользователей в систему в режиме онлайн, возможное отсутствие видимых последующих свидетельств операции и возможного доступа в систему лиц,

358

не являющихся пользователями, в том числе программистов и других третьих сторон (например,, через электронную почту или Интернет). Особенности характеристик онлайновых систем зависят от того, как создана эта система.

Онлайновая компьютерная система может быть создана таким образом, чтобы не представлять первичных документов для всех операций, введенных в систему.

Программисты имеют онлайновый доступ в систему, что позволяет им разрабатывать новые программы и изменять уже существующие. Неограниченный доступ дает возможность программистам вносить несанкционированные изменения в программы и получать несанкционированный доступ к другим частям систем, что представляет собой серьезный недочет в системе контроля. Степень такого доступа зависит от требований самой системы.

В разделе «Внутренний контроль онлайновых компьютерных систем» говорится, что прикладные программы в среде онлайн подвержены большему риску несанкционированного доступа и обновления. Аудитор должен рассмотреть инфраструктуру безопасности, прежде чем исследовать общие и прикладные средства контроля.

Указано, что средства контроля, о которых идет речь, включают в себя использование паролей и специальных программ контроля доступа,такие, каконлайновыемониторы,обеспечивающиеконтрольза меню, таблицами для разрешений, паролей, файлов и программ, к которым разрешается доступ пользователей. К другим важным аспектам контроля онлайновой компьютерной системы относятся:

средства контроля над паролями;

средства контроля над разработкой и поддержанием системы;

средства контроля программирования;

протоколы регистрации операций;

брандмауэры.

При онлайновой обработке данных особенно важны некоторые прикладные средства контроля, в том числе:

предварительное разрешение на проведение обработки данных;

тесты терминального устройства на предмет редактирования, разумного характера данных и их проверки;

сообщение и урегулирование случаев допущения ошибки при вводе данных;

процедуры проверки даты отсечения;

средства контроля за файлами;

средства контроля главного файла;

баланс;

359

контроль может быть установлен независимым функциональным подразделением.

Согласно разделу «Влияние онлайновых компьютерных систем на систему бухгалтерского учета и связанные с ней средства внутреннего контроля» такое влияние зависит:

от степени использования онлайновых систем, применяемых для обработки бухгалтерских прикладных программ;

от типов и значимости обрабатываемых финансовых операций;

от характеров файлов и программ, используемых приложениями. Последствиями влияния онлайновых компьютерных систем

на действенность средств контроля являются:

возможное отсутствие первичной документации по каждой введенной операции в распечатанном виде;

чрезмерное обобщение результатов обработки данных;

некоторые онлайновые компьютерные системы не предусматривают предоставления распечатанных отчетов;

то, что особую трудность для аудиторов представляют онлайновые компьютерные системы, работающие в режиме реального времени, так как очень трудно располагать данные по отношению к дате отсечения;

то, что в случае, когда необходимо осуществить восстановление системы в режиме реального времени, трудно гарантировать полное восстановление всех данных и, что самое важное, трудно обеспечить, чтобы все интегрирующие интерфейсы системы и поступления данных были восстановлены с момента даты и времени создания резервнойкопии.

Как сказано в разделе «Влияние онлайновых компьютерных систем на процедуры аудита», обычно если онлайновая компьютерная система хорошо создана и правильно контролируется, то, вероятнее всего, аудитор проверит общие и прикладные средства контроля. Если эти системы ему покажутся удовлетворительными, аудитор сможет

вбольшей мере полагаться на средства внутреннего контроля при определении характера, временных рамок и объема процедур аудита.

Вэтом разделе перечислены особенно важные для аудитора аспекты при работе с онлайновой компьютерной системой:

одобрение руководством, полнота и точность онлайновых операции посредством внедрения надлежащих средств контроля в момент принятия операций на обработку;

целостность отчетности и обработки данных в условиях имеющегося онлайнового доступа в систему у многих пользователей и программистов;

360