4.2. Аудит в среде компьютерных информационных систем

4.2. Аудит в среде компьютерных информационных систем

Дополнительные процедуры, которые необходимо соблюдать при проведении аудита в условиях компьютерных информационных систем (КИС), раскрыты в МСА 401 «Аудит в среде компьютерных информационных систем». Для целей данного МСА условия КИС существуют, когда субъект применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер данным субъектом или третьей стороной. В таких случаях аудитор должен рассмотреть, каким образом КИС влияет на аудит, причем общая цель и объем аудита в среде КИС не меняются, однако их применение может оказать влияние на:

• процедуры, соблюдаемые аудитором в процессе получения достаточного представления о системах бухгалтерского учета и внутреннего контроля;

• анализ неотъемлемого риска и риска системы контроля, посредством чего аудитор оценивает риск;

• разработку и проведение аудитором тестов контроля и процедур проверки по существу, необходимых для достижения целей аудита.

В разделе «Умение и компетентность» определены требования, предъявляемые к уровню подготовки и квалификации аудитора для данной работы, и степень его ответственности в случае делегирования этой работы помощникам или использования результатов работы, проведенной третьими лицами. Аудитор должен обладать достаточным знанием КИС для того, чтобы планировать, направлять, контролировать и проверять выполняемую работу. Аудитор должен рассмотреть вопрос о необходимости специализированных знаний о КИС для проведения аудита, которые могут понадобиться для:

• достаточного представления о системах бухгалтерского учета • и внутреннего контроля, на которые влияет среда КИС;

• определения влияния КИС на оценку общего риска, риска на уровне сальдо счетов и класса операций;

• разработки и проведения соответствующих тестов контроля и процедур проверки по существу.

При возникновении необходимости в специализированных знаниях аудитор может обратиться за помощью к специалисту, обладающему такими знаниями и являющемуся либо работником аудиторской фирмы, либо приглашенным экспертом.

Аспектам планирования аудита в среде КИС посвящен раздел «Планирование», в котором отмечено, что аудитор должен получить представление о системах бухгалтерского учета и внутреннего контроля, достаточное для планирования аудита и разработки эффективного подхода к его проведению, руководствуясь при этом МСА 400 «Оценка рисков и внутренний контроль». В данном разделе указаны условия, обусловливающие степень сложности прикладной программы, которая предопределяет представление аудитора о значимости и сложности процессов функционирования КИС, а также о доступности данных для использования при аудите.

При планировании стадий аудита, на которые может повлиять среда КИС субъекта, аудитор должен получить представление о значимости и сложности процессов функционирования КИС, а также о доступности данных для использования при аудите. Прикладная программа считается сложной, если, например:

• объем операций таков, что пользователям трудно выявить и исправить ошибки, допущенные в процессе обработки;

• компьютер автоматически генерирует существенные операции или проводки непосредственно в другой прикладной программе;

• компьютер выполняет сложные расчеты по финансовой информации и (или) автоматически генерирует существенные операции или проводки, которые не могут быть подтверждены либо не подтверждаются отдельно;

• обмен операциями с другими организациями осуществляется электронным способом и при этом не проводится физической проверки на предмет правильности или приемлемости.

Если КИС играют значительную роль, аудитор должен получить представление о среде КИС и возможности их влияния на оценку неотъемлемого риска и риска системы контроля.

Согласно разделу «Оценка риска» аудитор должен оценивать неотъемлемый риск и риск системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности. Это объясняется тем, что неотъемлемые риски системы контроля в среде КИС могут оказывать как общее, так и локальное влияние на вероятность существенных искажений информации (риски могут быть следствием недостатков таких функций КИС, как разработка и эксплуатация программы, поддержка системного программного обеспечения, обеспечение физической защиты КИС, а также контроль над доступом к специализированным обслуживающим программам; риски могут увеличить вероятность ошибок или мошенничества в конкретных прикладных программах, базах данных или главных файлах, а также при компьютерной обработке). Подчеркивается, что при аудите в среде КИС действует требование МСА 400 «Оценка рисков и внутренний контроль» о необходимости оценки аудитором неотъемлемого риска и риска системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности. Общее воздействие на все прикладные системы, подвергающиеся компьютерной обработке, может оказать недостаток контроля над доступом к специализированным обслуживающим программам. На степень риска также влияет факт незащищенности систем, контролирующих денежные расходы или другие ликвидные активы от мошеннических действий со стороны пользователей либо операторов КИС. Несмотря на то что общая цель и объем аудита в среде КИС не меняются, применение компьютеров может оказать влияние на характер аудиторских процедур, оценку аудиторских рисков, тесты контроля и процедуры проверки по существу. В связи с этим аудитор прежде всего должен рассмотреть, каким образом КИС влияет на аудит.

В разделе «Процедуры аудита» отмечается, что аудитор должен учитывать среду КИС при разработке аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня. Подчеркивается, что конкретные цели аудита не зависят от того, обрабатываются учетные данные вручную или на компьютере. Тем не менее на аудиторские процедуры могут оказывать влияние способы компьютерной обработки данных. Для получения достаточного доказательственного материала аудитор может либо применять методы ручной обработки данных, либо обрабатывать данные с помощью компьютера, либо комбинировать оба метода. Однако в некоторых системах бухгалтерского учета аудитору невозможно или нелегко получить определенные данные для проверки, запроса либо подтверждения без помощи компьютера.

Российским аналогом МСА 401 является ПСАД «Аудит в условиях компьютерной обработки данных», содержание которого идентично содержанию рассматриваемого МСА. Целью российского стандарта также является определение действий аудиторов при осуществлении аудита в условиях систем компьютерной обработки данных, функционирующих у проверяемого экономического субъекта (этот стандарт будет подробно рассмотрен ниже).