Методы аудита с использованием компьютеров

   ПМАП 1003 «Среда КИС – системы баз данных» описывает влияние базы данных на систему бухучёта, связанную с ней систему внутреннего контроля и аудиторской процедуры.

   Системы баз данных состоят из двух основных компонентов: базы данных (совокупность данных, которая используется рядом пользователей для различных целей) и системы управления базой данных (СУБД – программное обеспечение, которое используется для создания, поддержания и эксплуатации базы данных).

   Если система данных используется одним пользователем, для целей ПМАП 1003 она не считается базой данных.

   Системы баз данных отличаются двумя важными характеристиками:

• совместным использованием данных (многими пользователями и в разных программах)
• независимостью данных от прикладных программ (база данных записывается один раз для использования различными программами)

   Эти характеристики требуют использования словаря данных и создания подразделения администрирования, т.е. координации базы данных группой лиц.

   Словарь данных — это определенное программное средство для  отслеживания местонахождения данных в базе данных; оно также служит средством хранения стандартизированной документации и определений среды базы данных в прикладных программах.

   Задачи администрирования, как правило, включают следующее:

• определение структуры базы данных
• обеспечение целостности, безопасности и полноты данных
• координирование компьютерных операций
• контроль за результатами деятельности системы
• обеспечение административной поддержки
• обеспечение существования адекватной связи между базами данных, координации их функций, непротиворечивости данных в разных базах данных

   Влияние системы баз данных на систему бухгалтерского учета и связанные с ней ошибки в общем зависит:

• от степени использования баз данных в бухгалтерских программах
• вида и значения обрабатываемых финансовых операций
• характера баз данных, СУБД, задач администрирования
• общих средств контроля КИС, которые особенно важны в среде баз данных.

   На аудиторские процедуры в основном влияет то, в какой степени данные баз используются в бухгалтерской системе. Там, где значимые бухгалтерские программы используют общую базу данных, ПМАП 1003 рекомендует использовать следующие аудиторские процедуры:

1. при планировании аудита рассмотреть влияние следующих факторов на аудиторский риск:
• СУБД и значительных бухгалтерских прикладных программ
• стандартов и процедур для разработки и поддержки прикладных программ, использующих базу данных
• должностных обязанностей, стандартов и процедур в отношении баз данных
• процедур для обеспечения целостности, безопасности и полноты данных
• наличия средств аудита в СУБД
2. проверить, как в системе баз данных используются средства контроля, и затем решить, полагаться ли на эти средства контроля и какие тесты на соответствие провести
3. когда аудитор решил провести тесты на соответствие, аудиторские процедуры могут включать:
• генерирование тестовых данных
• обеспечение аудиторского «следа» операций
• проверку целостности баз данных
• обеспечение доступа к базе данных или копии ее нужных частей
• получение информации, необходимой для аудита

   КИС существует, если субъект применяет компьютер любой модели или размера для обработки финансовой информации, значимой для аудита, независимо оттого, используется ли компьютер данным субъектом или третьим лицом.

   ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ними вопросы» подготовлено как дополнение к МСА 400, но ПМАП 1008 не является частью МСА.

   В соответствии с данным ПМАП, в среде КИС субъект должен определить:

1. организационную структуру, имеющую следующие характеристики: концентрацию функций и знаний (сокращение численности обслуживающего персонала и соответственно опасность несанкционированного изменения системы), концентрацию программ и данных (данные могут существовать только в машиночитаемом виде на одном или нескольких компьютерах, что может увеличить вероятность несанкционированного доступа)
2. процедуры управления КИС

   Характер обработки данных в КИС может иметь свою специфику при отсутствии средств внутреннего контроля:

• отсутствие первичных документов
• отсутствие визуального следа операции
• отсутствие визуального результата
• свободный доступ к данным и компьютерным программам

   Внутренний контроль за компьютерной обработкой данных включает два вида процедур по способу их выполнения:

1. процедуры, проводимые с помощью ручной обработки
2. процедуры, встроенные в компьютерные программы.

   Недостатки общих средств контроля могут помешать тестированию определенных прикладных средств контроля КИС. Однако используемые пользователем ручные процедуры могут быть эффективным средством контроля на уровне прикладных программ.

 

Методы аудита с использованием компьютеров

   Методы аудита с использованием компьютеров (МАК) — приемы, при которых компьютер используется в качестве инструмента аудита.

   Рекомендации по использованию МАК в аудите предоставляет ПМАП 1009 «Методы аудита с использованием компьютеров». Вместе с тем, как определено в МСА 401 «Аудит в условиях компьютерных информационных систем», общие цели и объем аудита не изменяются, когда аудит проводится в сфере компьютерных информационных систем.

   Существует два наиболее распространенных видов МАК: аудиторское программное обеспечение и тестовые данные, используемые в аудиторских целях. Основные особенности этих МАК представлены в таблице 1.

 

Таблица 1. Описание методов аудита с использованием компьютеров.

Виды МАК	Составляющие  МАК	Описание
Аудиторское программное обеспечение  — состоит из компьютерных программ, используемых аудитором как элемент  аудиторских процедур.	Пакет программ.	Обобщенные компьютерные программы, предназначенные для выполнения функций по обработке данных, включая  чтение компьютерных файлов, отбор  информации, проведение расчетов, создание файлов сданными и печать отчетов в форме, определенной аудитором.
	Программы специального назначения.	Компьютерные программы, разработанные  для выполнения аудиторских задач  в конкретных условиях.
	Программы-утилиты.	Используются субъектом для  выполнения общих функций обработки  данных (сортировки, создания и печати файлов). Обычно не предназначены для аудиторских целей.
Тестовые данные используются при  проведении аудиторских процедур путем внесения данных в компьютер субъекта и сравнения полученных результатов с заранее определенными результатами.	Тестирование конкретных средств  контроля в компьютерных программах.	Тестируется интерактивный пароль, контроль за доступом к данным.
	Отбор контрольных операций.	Контрольные операции отбираются из ранее обработанных хозяйственных  операций или создаются аудитором  для тестирования отдельных характеристик  процесса обработки, осуществляемой компьютерной системой субъекта.
	Встроенные тестовые подсистемы.	Контрольные операции используются во встроенных подсистемах с имитирующим  модулем (например отделом или работником), через который они проходят в процессе обычного цикла обработки.

 

   Если тесты используются в ходе обычного цикла обработки операций, аудитор должен обеспечить удаление тестовых записей по окончании тестирования.

   МАК могут использоваться при проведении различных аудиторских процедур, включая следующие:

• детальные тесты операций и сальдо (использование аудиторского программного обеспечения для тестирования операций в компьютерном файле)
• аналитические процедуры обзора (использование аудиторского программного обеспечения для выявления необычных изменений или статей)
• проверку соответствия общих средств контроля КИС (использование тестовых данных для проверки процедур доступа к программным библиотекам)
• проверку соответствия прикладных средств контроля КИС (использование тестовых данных для проверки функционирования запрограммированной процедуры)

   При планировании аудита аудитор должен рассматривать соответствующую комбинацию не компьютеризированных и компьютеризированных аудиторских приемов. При принятии решения о том, использовать ли МАК, следует учитывать следующее:

1. знания, навыки и опыт работы аудитора с компьютером (уровень знаний зависит от сложности и характера МАК и учетной системы субъекта)
2. возможность применения МАК и наличие соответствующих компьютерных устройств (аудитор может планировать использование других компьютерных устройств, если применение МАК является экономически нецелесообразным или невыполнимым, например, из-за несовместимости бухгалтерских и аудиторских программ. Может также потребоваться помощь специалиста субъекта)
3. нецелесообразность применения ручных тестов (если не существует визуальных доказательств, выполнение тестов вручную может оказаться невозможным, например, когда заказы на закупку вносятся в систему в интерактивном режиме)
4. эффективность и результативность (они могут быть повышены при использовании МАК, например, для тестирования большого количества операций, при наличии возможности печатать отчет о нестандартных операциях и т. п.)
5. фактор времени, влияние которого на использование МАК отражают следующие рекомендации ПМАП 1009:
• определенные компьютерные файлы с подробными данными о хозяйственных операциях, зачастую сохраняются в компьютере только в течение короткого периода времени и могут оказаться недоступны в машиночитаемой форме тогда, когда они потребуются аудитору. В результате аудитор должен предпринять действия, чтобы необходимые ему файлы были сохранены, или ему нужно будет изменить сроки работы, для которой необходимы эти данные
• когда время аудита ограничено, использование МАК может в большей мере соответствовать графику аудита, чем ручные процедуры.

   Основные шаги, которые необходимо предпринять аудитору при использовании МАК, включают:

• установление целей применения МАК
• определение содержания файлов субъекта и порядка доступа к ним
• определение видов хозяйственных операций, подлежащих тестированию
• определение процедур, которые необходимо применить по отношению к данным
• определение требований в отношении полученных результатов
• назначение аудиторов и специалистов по компьютерной обработке данных, которые могут принимать участие в разработке и применении МАК
• уточнение оценок затрат и выгод
• обеспечение того, что использование МАК надлежащим образом контролируется и документируется
• организацию административной работы, включая необходимую квалификацию и компьютерные устройства
• применение МАК
• оценку результатов

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

    В контрольной работе были рассмотрены предпосылки применения персональных компьютеров и информационных технологий, показана объективная необходимость автоматизации аудита, были рассмотрены аудиторские процедуры, их состав, виды и порядок проведения. Также были изучены аудиторские процедуры по существу и возможности их выполнения с использованием компьютеров.

    В последнее  время вопросам компьютеризации  (автоматизации) аудита уделяется  все больше внимание как специалистами,  занимающимися методологией организации  автоматизированных аудиторских  процедур, так и практикующими  аудиторами и специалистами по  информационным технологиям, разрабатывающими  пакеты прикладных программ, используемые  аудиторами в своей практике. В настоящей работе проведен  анализ использования персональных  компьютеров в аудиторской деятельности, показаны возможности применения  ПК для планирования и разработки  программ аудита, для выполнения  аудиторских процедур по существу  и услуг, сопутствующих аудиту. Рассмотрены особенности компьютерной  обработки данных, организационно-техническое  обеспечение аудиторских процедур, вопросы привлечения специалистов  для выявления «узких» мест  в информационных технологиях  и причин ошибок, ведущих к  возникновению аудиторских рисков, при использовании компьютерных  информационных систем (КИС) в  аудите и выполнении сопутствующих  аудиту услуг.