Організація та вимоги до аудиту в умовах код

МСА № 401 передбачено, що комп’ютерна інформаційна система існує, якщо на підприємстві застосовується хоча б один комп’ютер для обробки фінансової інформації і для аудиторської перевірки.

Облікові системи, які використовують комп'ютери, сприяють здійсненню аудиторських перевірок із використанням комп'ютерної мережі клієнта. Цей прийом відомий як методика аудиту з використанням комп'ютерів (Computer-Assisted Audit Techniques - CAATs)

Дві основних складові CAATs, які використовує внутрішній аудитор:

- програмне забезпечення аудиту: комп'ютерні програми, що використовуються для перевірки змісту файлів клієнта;

- контрольні дані: дані, що використовуються аудитором для комп'ютерної обробки з метою перевірки функціонування комп'ютерних програм клієнта.

Аудитор повинен володіти знаннями застосування комп ’ютерних інформаційних систем та впливу умов застосування електронної техніки на оцінку загального ризику.

Аудитор повинен уміти розробляти систему тестів контролю і процедур по суті.

Коли знань у аудитора недостатньо, повинен запросити спеціаліста з комп’ютерних інформаційних систем або експерта.

Аудитор повинен засвоїти:

- Значущість і складність системи комп’ютерної обробки в кожній важливій прикладній бухгалтерській системі;

- Організаційну структуру діяльності комп’ютерних інформаційних систем;

- Доступність даних;

- Можливість використання комп’ютеризованих методів аудиту.

Починаючи з 80-х років XX ст. вітчизняні аудитори широко використовують комп'ютерну техніку і спеціальні програмні засоби для виконання аналітичних процедур. Мета і галузь діяльності аудитора не змінюються, коли йдеться про перевірку середовища комп’ютерної обробки даних (КОД).

Коли аудитор починає аудит у середовищі КОД, він повинен мати необхідні навички і досвід роботи з технікою або залучити спеціаліста.

При невеликих обсягах даних ефективнішими можуть бути методи обробки даних без використання комп'ютера.

Особливості аудиту в умовах КОД:

- рівень автоматизації задач бухгалтерського обліку;

- наявність методик проведення аудиту на підприємстві;

- доступність облікових даних;

- складність існуючої автоматизованої системи обліку, контролю й аудиту.

Класифікація бухгалтерських програмних продуктів:

1. За способом створення:

- написане штатним програмістом;

- створене на замовлення;

- універсальне.

2. За об’єктами обліку:

- домашня бухгалтерія;

- малі підприємства;

- середні підприємства;

- великі підприємства;

- багатогалузеві корпорації.

3. За способом реалізації в програмах бухгалтерських функцій:

- програми, в яких перевага надається ручному веденню операцій;

- програми, в яких перевага надається веденню операцій за шаблонами.

4. За призначенням:

- програми для ведення бухгалтерського обліку;

- фінансово-аналітичні системи;

- програми для автоматизації управлінської діяльності, що містять модуль бухгалтерського обліку;

- правові бази даних.

Засоби і методи для аудиторської перевірки в складних інформаційних системах поділяються на групи:

- робота в реальному режимі часу з реальними даними;

- робота зі статистичними даними;

- робота з імітаційними даними;

- проведення аналізу спеціальними програмними засобами.

Програмні засоби застосовують два види контролю:

- систематичний контроль, коли облікові дані тестуються по всіх основних критеріях (діапазон, зіставлення з нормативно-довідковою інформацією і т.д.);

- вибірковий контроль, що здійснюється на деякій вибірці даних (по визначених операціях, з окремих завданнях тощо).

Процедури аудиту:

- Аналітична перевірка.

- Програмований метод контролю.

Можна використати аналітичну перевірку як сферу застосування аудиторського програмного забезпечення, коли записи клієнта збираються у файлах комп'ютера.

Під терміном аналітична перевірка слід розуміти набір таких процедур:

- аналіз співвідношень різних фінансових даних (наприклад, виторгу і затрат або заробітної плати і чисельності персоналу);

- порівняння фактичних даних із прогнозними, з аналогічними показниками минулих періодів, із показниками аналогічних підприємств, із середньогалузевими даними.

Аудитор може використати також програмований метод контролю, який свідчить про повноту, правильність і законність записів у облікових регістрах. Загальний контроль відрізняється від прикладного тим, що належить до середовища, в якому система розробляється, підтримується і функціонує, тобто має найбільш широке застосування.

За допомогою спеціальних програмних засобів здійснюється перевірка, моделювання та аналіз облікових даних з метою визначення їх повноти, якості, правомірності та достовірності.

Для цього проводиться порівняння змодельованих облікових даних з реальними даними інформаційної системи, а також здійснюється тестування розрахунків і перерахунків.

 

Зловживання в умовах КОД.

Необхідно відзначити, що машини теж можуть помилятись, але це

відбувається, в основному, через навмисні дії, неуважність чи незнання

людини. Усі програмні продукти, а зокрема 1С Бухгалтерія, складаються з

певних алгоритмів, тому кваліфікованому спеціалісту з програмування не

складно розібратися з цією алгоритмічною мовою і дописати, наприклад,

алгоритм, при якому округлення цифр процентів банку по депозитних

рахунках або процентів за кредит віднімалися від рахунка підприємства і

зараховувалися б на власний рахунок цього спеціаліста. Можна виділити ще

ряд махінацій: знищення або додавання проводок і первинних документів по

них, коригування формул розрахунків податків чи заробітної плати на

рівні алгоритмів.

 

Так, при використанні комп'ютера помилки можуть з'явитися в таких

випадках:

 

- при підготовці вихідних даних, пов'язаних з ланцюгом операцій по

одержанню дозволу на запуск системи;

 

- при немашинній обробці вихідних даних, наприклад, при підсумовуванні

вручну бухгалтерських даних (тобто у процесі формування

контрольних сум);

 

- при перетворенні вихідних даних у машинозчитувальну форму;

 

- при ідентифікації вхідних файлів для використання в

обробці;

 

- при передачі інформації від однієї програми до іншої;

 

- при запиті файлів для одержання додаткової інформації з окремих угод

(наприклад, таблиць перевірених постачальників);

 

- при ініціюванні операцій комп'ютером;

 

- при створенні вихідних файлів або коригуванні головних файлів;

 

- при зміні головних файлів (додаванні, знищенні або зміні записів)

поза звичайним для кожного циклу ланцюгом операцій у результаті

виконання процедур супроводу;

 

- при генеруванні вихідних звітів або файлів;

 

- при виправленні помилок, виявлених у результаті виконання процедур

контролю;

 

- при використанні персоналом вихідних даних і пристроїв, включаючи

звіти і дисплеї.

 

Після ідентифікації місць можливого виникнення помилок з ними погоджують

конкретні цілі контролю. Наприклад, одна з помилок може призвести до

виставлення рахунків з помилковими цінами через використання не того

файла. У неавтоматизованих системах визнання платежу зазвичай фіксують

підписом відповідальної особи на вихідному документі, зокрема на рахунку

постачальника. У комп'ютерних системах подібне визнання може бути у

вигляді паролю, що дає дозвіл на виконання операції, надаючи їй

спеціальний код. Пароль забезпечує доступ до програм, що ініціюють

виконання визначеного виду операцій або зміну головних файлів. У цьому

изначеного виду операцій або зміну головних файлів. У цьому

разі, незважаючи на збіг цілей контролю в системах обох типів, методи

досягнення цих цілей і видиме підтвердження відповідності виконаної

операції санкціонованій процедурі значно відрізняються, що суттєво

впливає на підходи до аудиту.

 

Методи збору аудиторських доказів,що застосовуються при перевірці

 

Для видачі відповідного висновку аудитор повинен мати достовірну та

надійну інформацію про об'єкт дослідження. Уся інформація, зібрана

аудитором до початку перевірки, в процесі перевірки та за її

результатами, є аудиторською інформацією. Частина цієї інформації —

документи або їх копії — належать до аудиторських доказів. Такі докази є

результатом поєднання тестів системи контролю та процедур перевірки.

Аудиторські свідчення повинні бути належними та достатніми для складання

аудиторського висновку.

 

На судження аудитора щодо достатності та належності зібраних

аудиторських свідчень впливають такі фактори, як:

 

- оцінка аудитором характеру та рівня ризику, можливого як на рівні

фінансової звітності, так і на рівні залишків по рахунку чи класу

операцій;

 

- характер систем обліку та внутрішнього контролю, оцінка ризику

контролю;

 

- ступінь суттєвості розглянутого питання;

 

- професійний досвід аудитора;

 

- результати аудиторських тестів і процедур; джерела та надійність

наявної інформації.

 

Аудитор для одержання аудиторських доказів застосовує певні процедури. В

основному це тестування, перевірка, спостереження, опитування,

підтвердження, підрахунки, аналітичні процедури. Використання методик

автоматизованого аудиту може підвищити ефективність аудиторських

процедур.

 

Наприклад, існує три підходи до комп'ютерного тестування, якими можуть

користуватися аудитори:

 

- відбір за допомогою комп'ютера певних операцій для їх подальшої

перевірки вручну;

 

- перевірка системи внутрішнього контролю за допомогою імітаційних

даних;

 

- перевірка системи внутрішнього контролю за допомогою реальних даних,

оброблених аудиторськими програмними засобами.

 

Аудиторські програмні засоби загального призначення (АПЗ) являють собою

набір процедур, що дозволяють здійснювати різноманітні маніпуляції

(зчитування, обчислення і т.ін.) з машинозчитуваними записами. АПЗ,

таким чином, забезпечують аудиторам одержання недоступних іншим способом

фактичних даних.

 

Виконання бухгалтерських операцій у комп'ютерній системі приводить до

збору та генерування великих масивів даних, які зазвичай існують тільки

в машинозчитувальній формі. У цьому випадку аудиторські програмні засоби

(АПЗ) забезпечують доступ до даних та їх перетворення у формат,

необхідний для перевірки. АПЗ можна використовувати для виконання

аудиторських завдань шести основних типів (табл. 1).

 

Перевірка та аналіз записів на основі аудиторських критеріїв з метою

визначення якості, повноти, спроможності і слушності. Ця процедура являє

собою комп'ютерну версію операції сканування записів на предмет

виявлення випадків їх невідповідності аудиторським критеріям.

 

Наприклад, можна виконати сканування: а) залишків по рахунках дебіторів

риклад, можна виконати сканування: а) залишків по рахунках дебіторів

для виявлення випадків перевищення граничного розміру кредиту; б) даних

про запаси для виявлення негативних або невиправдано великих залишків;

в) файлів сум виплаченої заробітної плати для виявлення випадків

нарахування заробітної плати звільненим робітникам.

 

Операцію тестування розрахунків і виконання перерахунку комп'ютер

виконує швидше і з більш високою точністю, ніж розрахунок вручну. АПЗ

можна використовувати для тестування точності розрахунків і виконання

аналітичних процедур оцінки правильності сальдо рахунків. За приклад

можна навести: а) перерахунок сум вартості за кожною статтею запасів; б)

розрахунок контрольних сум файлу; в) зіставлення кошторисних,

нормативних даних і даних за попередній рік із даними поточного року.

 

Зіставлення даних різноманітних файлів для визначення узгодженості

сумісних даних. У разі розбіжності дані можна роздрукувати для вивчення

і звірки. Зіставляють, наприклад: а) записи сум виплаченої заробітної

плати із записами з обліку робітників; б) дані про запаси поточного і

попередніх періодів з даними про операції купівлі-продажу; в) дані по

оплачених рахунках-фактурах з даними про витрати попередніх періодів і з

даними про операції купівлі-продажу; в) дані по оплачених

рахунках-фактурах із даними про витрати.

 

Розмітка і друк аудиторських вибірок з використанням статистичних або

оціночних критеріїв для виконання немашинних аудиторських процедур.

Окремі дані вибірок можна роздрукувати для включення аудиторської

документації до робочої або роздрукувати їх у спеціальному форматі,

наприклад, у вигляді запитів на підтвердження. Процедуру вибірки

виконують, зокрема: для документального підтвердження залишків по

рахунках дебіторів; для документального підтвердження приросту основних

засобів або їх продажу; для контролю запасів тощо.

 

Зіставлення фактичних даних немашинних аудиторських процедур із записами

в системі бухгалтерського обліку є більш ефективним при використанні

АПЗ.

 

Підсумовування, повторне впорядкування і переформатування даних

здійснюється по-різному. Використовуючи АПЗ, можна: а) підготувати

пробні баланси Головної книги; б) для полегшення контролю змінити

послідовність розміщення в обліковому регістрі статей запасів; в)

просумувати дані про обіг запасів для аналізу їх старіння.

 

Фактичні дані перетворюють на машинозчитувану форму, а потім порівнюють

з існуючими записами у файлах підприємства, що перевіряється, або

аудиторськими файлами. Зокрема, зіставляють: а) дані контрольного

підрахунку запасів із даними регістрів безперервного обліку; б)

скориговані залишки по рахунках дебіторів з аудиторським файлом залишків

по бухгалтерських книгах тощо.

 

Проблеми, пов'язані з використанням комп'ютеризованих систем

 

Технологічні вдосконалення у наш час означають, що навіть малі компанії

можуть докласти зусиль для використання комп'ютерів у бухгалтерському

обліку. Це створює особливі проблеми як для розвитку системи

внутрішнього контролю, так і для аудиту. Хоча комп'ютер часто надає

я аудиту. Хоча комп'ютер часто надає

величезні переваги завдяки його здатності швидко опрацьовувати великі

обсяги числової інформації, виникають труднощі з обґрунтуванням

бухгалтерських рахунків та можливими втратами активів. Основні проблеми,

пов'язані з використанням комп'ютерів для аудитора при оцінці системи,

включають:

 

1) відсутність можливості відстеження угод при аудиті.

 

У некомп'ютеризованих системах зазвичай є можливість простежити

проходження операції в системі від початкового документа через проміжні

стадії до остаточного запису в бухгалтерській книзі. У комп'ютеризованій

системі проміжні стадії іноді записуються у вигляді машинних кодів, що

робить неможливим простеження операції від початку до кінця. Крім того,

система може сама здійснювати операції, не створюючи видимих записів,

наприклад, платежі відсотків можуть цілком розраховуватись і заноситись

до відповідних рахунків самою комп'ютерною програмою.

 

У деяких комп'ютеризованих системах роздрук результатів опрацьованих

даних або не виконується, або виконується тільки в сумарній формі.

Наприклад, рахунки по місячних закупівлях можуть бути введені в

комп'ютер, в результаті чого на виході будуть отримані тільки загальні

цифри по кожному типу закупівель. Для подолання цих проблем аудитору

часто доводиться використовувати спеціальні методи.

 

2) зайва довіра до комп'ютерного контролю.

 

Комп'ютер може бути використаний керівництвом для здійснення деяких

видів контролю, що буває більш надійним, ніж контроль, що здійснюється

вручну. Комп'ютер може бути запрограмований на виділення або

перерахування тих пунктів, що не відповідають установленим критеріям.

Якщо, наприклад, кредит споживача перевищений або сума по рахунках на

закупівлю знаходиться поза встановленими межами, то комп'ютер може

показати це в повідомленні про виняткові ситуації. Іншими прикладами є

використання паролю для попередження несанкціонованого доступу і

програмні перевірки типу підрахунку загальних сум для контролю

відповідності розрахунків. Такі перевірки включають контроль

відповідності суми визначеного числа пунктів іншій сумі до продовження

роботи програм, наприклад, узгодження суми рахунків при закупівлі із

загальною сумою рахунків, розрахованою в результаті іншої операції

комп'ютера.

 

Якщо програми розроблені з урахуванням усіх можливих операцій та умов,

то система завжди буде працювати саме так, як вона запрограмована. Проте

комп'ютерний контроль ефективний тільки тоді, коли він використовується

як невід'ємна частина загальної системи контролю. Завжди повинен

існувати звичайний контроль, що відслідковує, досліджує і, у разі

потреби, виправляє помилки та відхилення, відзначені комп'ютером.

 

Аудитор не повинен повністю довіряти комп'ютерним процедурним

перевіркам. Необхідно перевірити, чи здійснюється адекватний звичайний

контроль, що підтримує результати комп'ютерного контролю. Крім того,

ручний контроль необхідний для того, щоб переконатися, що в комп'ютер

введено всі необхідні дані. Один із шляхів — попереднє підсумовування

сумовування

груп даних перед їх уведенням у комп'ютер, а потім перевірка отриманих

сумарних вихідних даних. Існують і спеціальні методи перевірки

правильності здійснюваного контролю.

 

3) відсутність адекватних запобіжних заходів на випадок несправності

комп'ютера.

 

Головна проблема, властива будь-якій комп'ютерній бухгалтерській

системі, полягає в тому, що її серйозна відмова може зруйнувати всю

систему бухгалтерського обліку компанії. Така відмова може виникнути в

результаті пожежі, повені перебоїв в енергопостачанні або навіть при

навмисному ушкодженні. Ризик пожежі, наприклад, є присутнім у будь-якій

автоматизованій системі, тому протипожежне обладнання має бути завжди

під рукою. На підприємстві повинні існувати інструкції, що визначають

дії при надзвичайних ситуаціях. Крім того, важливим є запровадження

системи відновлення інформації. Копії важливих файлів необхідно

зберігати в іншому приміщенні. Слід також мати резервне обладнання, на

якому можна було б продовжити роботу в надзвичайних випадках. Аудитор

повинен приділяти особливу увагу цьому питанню, тому що потенційна

небезпека втрати інформації дуже велика.

 

4) ризик числових помилок, що є результатом використання неточних

довідкових даних.

 

Унаслідок величезних обсягів операцій, що обробляються комп'ютерами,

помилка в довідкових або постійних даних може мати дуже серйозні

наслідки. Наприклад, якщо комп'ютер проводить розрахунки з неправильно

введеною ціною, то багато рахунків може бути сформовано на її основі,

перш ніж помилку буде виявлено. Для того, щоб такі помилки не виникали,

необхідно перевіряти всі довідкові дані на етапі їх уведення, а потім

час від часу роздруковувати інформацію для перевірки вручну. Ефективним

контролем є автоматичне посилання копій документів із затвердженими

постійними даними до відділу внутрішнього аудиту для наступної

перевірки. Інший аспект тієї ж проблеми виникає при використанні банків

даних. Банки даних опрацьовують основну бухгалтерську інформацію різними

способами. Наприклад, дані продажу використовуються для аналізу за

видами продукції, за їх географічним розподілом і розподілом серед

споживачів, а також для аналізу витрат, контролю рівня запасів, контролю

кредитів і прогнозування. Таким чином, основна інформація піддається

перекласифікаціі, використовується для різноманітних цілей різними

відділами. Помилка у вихідних даних може зробити марними всі наступні

дослідження, тому тут також життєво необхідно, щоб вхідна інформація

була правильною. Там, де використовуються бази даних, аудитор повинен

приділяти особливу увагу цій частині системи.

 

5) велика залежність від малочисленних фахівців-програмістів.

 

Як і в ручних системах, тут повинен бути поділ за функціями. Проте

чисельність людей, що вміють працювати в комп'ютерному середовищі,

значно менше кількості людей, що вміють працювати в аналогічних ручних

системах. У великих компаніях лише незначна частина людей може вважатися

спеціалістами, які володіють глибокими знаннями у сфері джерел,

опрацювання і розподілу інформації. Крім того, вони можуть знати слабкі

я і розподілу інформації. Крім того, вони можуть знати слабкі

сторони внутрішньої системи контролю і тому маніпулювати оброблюваними

даними та тими, що знаходяться на зберіганні.

 

У тих компаніях із розробленими власними системами, персонал, що

займається цією розробкою, не повинен працювати на комп'ютері. Для

забезпечення цього важливо, щоб доступ до файлів і програм був обмежений

операторами і робітниками архіву. Якщо необхідно внести зміни до

програми, то на це повинен бути отриманий відповідний дозвіл, а аудитор

повинен простежити за виконанням цієї роботи.

 

У малих компаніях такий поділ обов'язків не завжди можна застосувати,

тому що часто одна людина в них відповідає за всі сторони роботи

комп'ютерної системи. Менше проблем буде, якщо компанія купить у

зовнішнього постачальника пакет програмного забезпечення, що не може

бути змінений.

 

У зв'язку з використанням мікропроцесорних систем усе складнішим стає

контроль доступу до бухгалтерської звітності. Зростання кількості

терміналів і додаткових залучених систем означає, що все більше людей

можуть одержати доступ до рахунків компанії і змінити їх. Для захисту

записів потрібен контроль з використанням паролів і реєстрацією доступу