Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Конспект лекций МСА.doc
Скачиваний:
85
Добавлен:
20.04.2017
Размер:
434.69 Кб
Скачать

Тема 7. Положение о международной аудиторской практике

Основные вопросы темы:

  1. Положения, поясняющие использование компьютерных информационных систем в ходе аудита

  2. Положения, регламентирующие общение аудитора с банками

  3. Особенности аудита малых предприятий

  4. Прочие вопросы, рассматриваемые в положениях по международной аудиторской практике

7.1. Положения, поясняющие использование компьютерных информационных систем в ходе аудита

Особенности аудиторской проверки в среде компьютерных информационных систем.

Положения по международной аудиторской практике (ПМАП), посвященные компьютерным технологиям в аудите, условно подразделяются на две группы:

1) отражающие особенности компьютерных информационных систем субъекта (в эту группу входят ПМАП 1001—003, 1008);

2) характеризующие компьютеры как средство выполнения аудиторских процедур (ПМАП 1009).

ПМАП 1001-1003 изданы как приложения к МСА 400 ≪Оценка рисков и система внутреннего контроля≫, но не являются его частью. Ниже рассмотрено содержание ПМАП 1001, 1002, 1003 и 1008.

Целью ПМАП 1001 ≪Среда КИС — автономные микрокомпьютеры≫ является оказание помощи аудитору в выполнении требований МСА 400 и ПМАП 1008 путем описания микрокомпьютерных систем, используемых как самостоятельные рабочие станции.

Микрокомпьютеры в терминологии ПМАП — это персональные компьютеры, или ПК. Микрокомпьютеры могут использоваться как средство обработки бухгалтерских проводок и подготовки финансовой отчетности. Поэтому возникает необходимость в определенных средствах внутреннего контроля и аудиторских процедурах в отношении систем ПК.

Микрокомпьютер может использоваться в различных конфигурациях. Поэтому ПМАП 1001 выделяет следующие основные конфигурации:

1) самостоятельная рабочая станция, используемая одним пользователем или несколькими пользователями поочередно, которые могут работать с одной или разными программами;

2) локальная сеть микрокомпьютеров, т.е. когда несколько микрокомпьютеров объединены посредством использования специальных программ и коммуникационных линий;

3) подключенная система, т.е. рабочая станция, соединенная с центральным компьютером.

Среда компьютерных информационных систем (КИС), в которой используются микрокомпьютеры, является менее сложной, чем среда КИС, контролируемая централизованно. В связи с этим в среде микрокомпьютеров внутренний контроль может быть существенно ослаблен:

а) прикладные программы могут быть легко разработаны пользователями;

б) поскольку данные обрабатываются компьютером, пользователи такой финансовой информации могут без разумных на то оснований чрезмерно полагаться на нее;

в) так как микрокомпьютеры ориентированы на индивидуальных конечных пользователей, точность и достоверность подготовленной информации будет зависеть от средств внутреннего контроля, установленных руководством или пользователем.

В ПМАП 1001 перечислены процедуры безопасности и контроля, которые могут повысить общий уровень внутреннего контроля.

Для обеспечения эффективного внутреннего контроля КИС может быть создано независимое подразделение.

Среда ПК оказывает влияние и на аудиторские процедуры: так как руководство может считать нецелесообразным внедрение надлежащих средств контроля в микрокомпьютерной среде, аудитор зачастую вправе предположить, что риск средств контроля в таких системах высок. Поэтому аудитор может сосредоточить свои усилия на проверках по существу в конце или ближе к концу года. Компьютерные методы аудита могут включать:

1) использование программного обеспечения клиента (баз данных, электронных таблиц, программных продуктов);

2) использование собственного программного обеспечения аудитора (например, для включения операций или сальдо в файлы данных для сравнения с контрольными записями или сальдо счетов в главной книге).

В ПМАП1002 ≪Среда КИС — интерактивные компьютерные системы≫ описаны результаты влияния интерактивных компьютерных систем на бухгалтерскую систему и связанные с ней средства внутреннего контроля, а также аудиторские процедуры. Интерактивные компьютерные системы — компьютерные системы, которые предоставляют пользователям прямой доступ к данным и программам через терминал.

Интерактивные компьютерные системы классифицируют по способам ввода информации в систему, способам ее обработки и времени получения результатов пользователем.

Интерактивные компьютерные системы имеют следующие основные характеристики, значимые для аудитора:

•при вводе данных в интерактивном режиме они обычно подвергаются незамедлительной проверке;

•пользователи могут иметь интерактивный доступ к системе, что позволяет им выполнять различные функции;

•система может быть разработана таким образом, что она не будет предоставлять вспомогательные документы, для всех операций, введенных в систему, но эти сведения могут быть получены дополнительно;

•программисты могут иметь доступ к интерактивной системе, позволяющий им разрабатывать новые программы и модифицировать имеющиеся.

ПМАП 1002 выделяет следующие аспекты влияния интерактивных компьютерных систем на аудиторские процедуры:

•санкционированность, полнота и точность операций в интерактивном режиме;

•целостность записей и обработки в связи с интерактивным доступом к системе многих пользователей и программистов;

•изменения в выполнении аудиторских процедур, включая методы аудита с использованием компьютеров.

В связи с этими факторами аудитор может выполнить специфические процедуры на всех этапах аудиторской проверки:

1) на стадии планирования - включить в аудиторскую группу профессионалов с техническими навыками; предварительно определить в процессе оценки риска влияния интерактивной системы на аудиторские процедуры;

2) одновременное с интерактивной обработкой —аудиторские процедуры могут включать проверку соответствия средств контроля за интерактивными приложениями;

3) после интерактивной обработки информации осуществляется проверка соответствия средств контроля за операциями на предмет санкционированности, полноты и точности; проверка операций по существу вместо тестов средств контроля; повторная обработка операций в виде процедур по существу или на предмет соответствия.

ПМАП 1003 ≪Среда КИС — системы баз данных≫ описывает влияние базы данных на систему бухгалтерского учета, связанную с ней систему внутреннего контроля и аудиторские процедуры.

Системы баз данных состоят из двух основных компонентов: базы данных и системы управления базой данных (СУБД).

База данных — это совокупность данных, которая используется рядом пользователей для различных целей. Программное обеспечение, которое используется для создания, поддержания и эксплуатации базы данных, называется программным обеспечением СУБД.

Если система данных используется одним пользователем, для целей ПМАП 1003 она не считается базой данных. Системы баз данных отличаются двумя важными характеристиками:

•совместным использованием данных (многими пользователями и в разных программах);

•независимостью данных от прикладных программ (база данных записывается один раз для использования различными программами).

Эти характеристики требуют использования словаря данных и создания подразделения администрирования данных, т.е. координации базы данных группой лиц.

Словарь данных — это определенное программное средство для отслеживания местонахождения данных в базе данных; оно также служит средством хранения стандартизированной документации и определений среды базы данных в прикладных программах.

Задачи администрирования, как правило, включают следующее:

•определение структуры базы данных;

•обеспечение целостности, безопасности и полноты данных;

•координирование компьютерных операций;

•контроль за результатами деятельности системы;

•обеспечение административной поддержки;

•обеспечение существования адекватной связи между базами данных, координации их функций, непротиворечивости данных в разных базах данных.

Эффективность внутреннего контроля зависит в большей степени от характера задач администрирования баз данных и того, как они выполняются. Из-за совместного использования баз данных общие средства контроля КИС обычно имеют больше влияния на базы данных, чем прикладные средства контроля

Базы данных обеспечивают обычно большую надежность, чем их отсутствие. Однако использование систем баз данных может, как повысить, так и снизить риск мошенничества и ошибок. Повышению надежности данных способствуют:

•большая непротиворечивость данных;

•целостность данных, которая может повышаться путем использования процедур восстановления, редактирования и подтверждения, средств безопасности и контроля, встроенных в СУБД;

•другие функции СУБД, например функции генератора отчетов (для создания отчетов-сопоставлений) и языки запросов (для выявления противоречий в данных).

Риск мошенничеств и ошибок может возрасти, если системы баз данных используются без соответствующих средств контроля.

ПМАП 1008 ≪Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ними вопросы≫ подготовлено как дополнение к МСА 400, но ПМАП 1008 не является частью МСА.

В соответствии с данным ПМАП, в среде КИС субъект должен определить:

а) организационную структуру, имеющую следующие характеристики: концентрацию функций и знаний (сокращение численности обслуживающего персонала и соответственно опасность несанкционированного изменения системы), концентрацию программ и данных (данные могут существовать только в машиночитаемом виде на одном или нескольких компьютерах, что может увеличить вероятность несанкционированного доступа);

б) процедуры управления КИС.

Характер обработки данных в КИС может иметь свою специфику при отсутствии средств внутреннего контроля: отсутствие первичных документов; отсутствие визуального следа операции; отсутствие визуального результата; свободный доступ к данным и компьютерным программам.

Внутренний контроль, за компьютерной обработкой данных включает два вида процедур по способу их выполнения:

1) процедуры, проводимые с помощью ручной обработки;

2) процедуры, встроенные в компьютерные программы.

Методы аудита с использованием компьютеров

Методы аудита с использованием компьютеров (МАК) — приемы, при которых компьютер используется в качестве инструмента аудита.

Рекомендации по использованию МАК в аудите предоставляет ПМАП 1009 ≪Методы аудита с использованием компьютеров≫. Вместе с тем, как определено в МСА 401 ≪Аудит в условиях компьютерных информационных систем≫, общие цели и объем аудита не изменяются, когда аудит проводится в сфере компьютерных информационных систем.

МАК могут использоваться при проведении различных аудиторских процедур, включая следующие:

•детальные тесты операций и сальдо (например, использование аудиторского программного обеспечения для тестирования операций в компьютерном файле);

•аналитические процедуры обзора (например, использование аудиторского программного обеспечения для выявления необычных изменений или статей);

•проверку соответствия общих средств контроля КИС (например, использование тестовых данных для проверки процедур доступа к программным библиотекам);

•проверку соответствия прикладных средств контроля КИС (например, использование тестовых данных для проверки функционирования запрограммированной процедуры).

При планировании аудита аудитор должен рассматривать соответствующую комбинацию некомпьютеризированных и компьютеризированных аудиторских приемов. При принятии решения о том, использовать ли МАК, следует учитывать следующее:

1) знания, навыки и опыт работы аудитора с компьютером (уровень знаний зависит от сложности и характера МАК и учетной системы субъекта);

2) возможность применения МАК и наличие соответствующих компьютерных устройств (аудитор может планировать использование других компьютерных устройств, если применение МАК является экономически нецелесообразным или невыполнимым, например, из-за несовместимости бухгалтерских и аудиторских программ. Может, также потребоваться помощь специалиста субъекта;

3) нецелесообразность применения ручных тестов (если не существует визуальных доказательств, выполнение тестов вручную может оказаться невозможным, например, когда заказы на закупку вносятся в систему в интерактивном режиме);

4) эффективность и результативность (они могут быть повышены при использовании МАК, например, для тестирования большого количества операций, при наличии возможности печатать отчет о нестандартных операциях и т. п.);

5) фактор времени, влияние которого на использование МАК отражают следующие рекомендации ПМАП 1009: определенные компьютерные файлы, такие как файлы, с подробными данными о хозяйственных операциях, зачастую сохраняются в компьютере только в течение короткого периода времени и могут оказаться недоступны в машиночитаемой форме тогда, когда они потребуются аудитору. В результате аудитор должен предпринять действия, чтобы необходимые ему файлы были сохранены, или ему нужно будет изменить сроки работы, для которой необходимы эти данные; когда время аудита ограничено, использование МАК может в большей мере соответствовать графику аудита, чем ручные процедуры.

Использование МАК должно контролироваться аудитором для обеспечения соответствия аудиторским целям и во избежание ненадлежащего манипулирования МАК со стороны субъекта. Процедуры, проводимые аудитором для контроля за, применением аудиторских программ, могут включать:

1) участие в разработке и тестировании компьютерных программ;

2) проверку кодирования программ для обеспечения соответствия подробным программным характеристикам;

3) обращение к специалистам субъекта по компьютерным системам с просьбой ознакомиться с инструкцией по операционной системе и удостовериться, что программы могут быть инсталлированы в компьютерной системе субъекта;

4) апробирование аудиторского программного обеспечения на небольших тестовых файлах до его запуска для работы с файлами основных данных;

5) обеспечение использования правильных файлов, например, с помощью внешнего доказательства (контрольных итоговых данных субъекта);

6) получение доказательства того, что аудиторское программное обеспечение действует, как запланировано, например, путем анализа выходящей и контрольной информации;

7) принятие соответствующих мер безопасности для защиты от манипуляций с файлами данных субъекта.