Аудит в условиях компьютерной обработки данных

Автор: Пользователь скрыл имя, 08 Января 2012 в 20:03, реферат

Описание работы

Введение
Использование на предприятии автоматизированных систем обработки учётно-экономической информации определённым образом сказывается на проведении аудита. Это проявляется в изменении планирования, изучении систем внутреннего контроля и бухгалтерского учёта на предприятии и метода сбора аудиторских доказательств.

Работа содержит 1 файл

вроде как нормальный 1.doc

— 112.50 Кб (Скачать)

* тестирование  и внедрение новых или модернизированных  систем автоматизации; 

* документирование  вносимых в систему компьютерной  обработки данных изменений; 

* эргономичность  системы; 

* четкое определение  круга лиц, имеющих доступ к компьютерным данным и операциям;

* санкционирование  сделок до начала их компьютерной  обработки; 

* процедуры,  препятствующие внесению несанкционированных  изменений в данные об операциях  и копированию данных;

* периодические  мероприятия по выявлению и исправлению ошибок, допущенных при обработке данных;

* использование  средств защиты данных (например, от вирусов и хакерства);

* восстановление  поврежденных или утерянных данных;

* контроль  за выходными данными (в том  числе передача их только лицам с соответствующим доступом).

     Стандартом  аудиторской деятельности «Цели и основные принципы, связанные с аудитом бухгалтерской отчетности» вопросы безопасности и защиты информации являются основными для аудиторской компании, т.к. конфиденциальность — обязанность аудиторской фирмы обеспечить сохранность документов экономического субъекта и не разглашать содержащиеся в них сведения третьим лицам - является основополагающим принципом аудита.

     Гарантируя  экономическую безопасность коммерческой информации, аудиторские организации, особенно офисные (компьютеры которых подключены в одну информационную (локальную сеть) с одним или несколькими серверами организующих и контролирующих работу сети и не имеющих сложную структуру распределения ресурсов) и корпоративные (национальные или международные организации, имеющие разветвленную структуру серверов, большую разделенную базу данных, сложную структуру распределения ресурсов среди пользователей) должны решать проблемы защиты информации для обеспечения экономической безопасности экономических субъектов, подвергшихся аудиторской проверке.

     Угрозы  сохранности коммерческой тайны экономического субъекта могут быть внешними и внутренними.

     Следует помнить, что любой компьютер, доступный  через Интернет, может подвергнуться попытке проникновения сквозь защиту операционной системы или через уязвимые места какой-либо службы, работающей в системе. Многие уязвимые точки систем передачи сообщений не имеют прямого отношения к самим этим системам. Для устранения этих изъянов следует установить защиту на уровне сети или операционной системы.

     Для защиты систем передачи сообщений от внешних  угроз существует несколько стандартных  методов, которые можно применять ко всем системам передачи сообщений. Для их защиты от атак, исходящих из Интернета, можно использовать брандмауэры, прокси-серверы, системы с двойным сетевым интерфейсом и фильтрацию пакетов.

* Брандмауэры. Брандмауэр отделяет вашу внутреннюю сеть от Интернета. Он может ограничивать доступ изнутри и извне, а также анализировать весь трафик, проходящий между локальной сетью и Интернетом. Брандмауэр может представлять собой как простейший фильтр пакетов, так и сложный узел-бастион, изучающий трафик для каждого типа приложений. Под узлом-бастионом понимается любой компьютер, снабженный надлежащей защитой в силу того, что он, будучи доступен из Интернета, открыт для всевозможных атак. Брандмауэр может быть реализован в виде одиночного маршрутизатора или компьютера, либо он может состоять из нескольких компонентов, таких как маршрутизаторы, компьютеры, сети и программные средства.

* Прокси-серверы. Некоторые службы, такие как WWW и FTP, являются двухточечными: клиент выполняет подключение непосредственно к серверу. Если клиентам, находящимся в сети, разрешено подключаться к узлам Интернета напрямую, такую среду, обычно, нельзя считать безопасной. Одним из возможных решений может быть использование прокси-сервера (называемого также шлюзом прикладного уровня), который и осуществляет взаимодействие с внешними серверами от имени клиента. Клиент обращается к прокси-серверу, тот в свою очередь ретранслирует санкционированные запросы клиента на серверы, а затем возвращает полученные ответы клиенту. При этом внешние узлы не имеют прямых подключений к клиентам внутренней сети. 

* Система с двойным сетевым интерфейсом. Одним из способов реализации узла-бастиона является использование компьютера с двойным сетевым интерфейсом, подключенного сразу к двум сетям, но не выполняющего маршрутизацию пакетов, проходящих между ними. Одно подключение ведет во внутреннюю сеть и тем самым обеспечивает связь с другими серверами и клиентами. Другое подключение соединяет компьютер с Интернетом. Запустив систему Exchange Server на таком компьютере, вы гарантируете безопасную связь с Интернетом по электронной почте.

* Фильтрация пакетов. Фильтр пакетов, установленный между Интернетом и локальной сетью, образует дополнительный уровень защиты. Такой фильтр - например, в виде сортирующего маршрутизатора - позволит контролировать порты и IP-адреса, к которым могут подключаться внешние системы. Однако если нарушитель проникнет через маршрутизатор, ваша сеть будет открыта для атаки.

     Серьезная угроза экономической безопасности субъекта, на котором проведена аудиторская проверка, исходит от внутренних источников аудиторской фирмы. Недовольные чем-либо сотрудники могут нанести системам, не имеющим адекватной защиты, значительный ущерб, например, просто выкрасть секретные данные. В свою очередь, любой системный администратор должен в полной мере понимать ответственность, стоящую перед ним по обеспечению защиты информации, слаженности работы системы и осведомленности персонала при работе с программными средствами, обеспечивающими жизнедеятельность системы. Экономическая безопасность может быть достигнута только при правильном административном управлении, плановом распределением информационных ресурсов и доступа к ним, а также при непрерывном сотрудничестве специалистов в области проводимых услуг экспертов информационных технологий.   
 

2. СТАНДАРТ 
АУДИТОРСКОЙ ДЕЯТЕЛЬНОСТИ

"ПРОВЕДЕНИЕ АУДИТА С ПОМОЩЬЮ КОМПЬЮТЕРОВ" 
(одобрено Комиссией по аудиторской деятельности при Президенте РФ 11 июля 2000 г., протокол N 1
 

   1. Общие положения

   2. Общие требования по применению  компьютеров при проведении аудита

   3. Основные требования к информационному, программному и техническому обеспечению применения компьютеров в аудите

   4. Основные требования, предъявляемые  к экспертам и (или) специалистам  аудиторской организации

   5. Особенности планирования аудита  с применением компьютеров

   6. Аудиторские доказательства и документирование в условиях применения аудиторской организацией компьютеров

   7. Процедуры аудита с применением  компьютеров

   8. Использование компьютеров при  аудиторской проверке субъектов  малого предпринимательства (малых  экономических субъектов) 

1. Общие положения

1.1. Настоящее  правило (стандарт) подготовлено  для регламентации аудиторской  деятельности и соответствует  Временным правилам аудиторской  деятельности в Российской Федерации,  утвержденным Указом Президента  Российской Федерации N 2263 от 22 декабря  1993 г. 

1.2. Целью правила (стандарта) является определение особенностей проведения аудита аудиторской фирмой или аудитором, работающим самостоятельно в качестве индивидуального предпринимателя*(1), с применением компьютеров.

1.3. Задачами правила (стандарта) являются:

а) формулировка условий применения компьютеров  при проведении аудита;

б) определение  основных требований к информационному, программному, техническому обеспечению  применения компьютеров в аудите;

в) определение  основных требований, предъявляемых  к экспертам и (или) специалистам аудиторской организации, применяющей компьютеры при проведении аудита;

г) описание особенностей планирования аудита с  применением компьютеров;

д) определение  аудиторских доказательств и  документирования аудита при использовании компьютеров;

е) отражение  особенностей аудиторских процедур при использовании компьютеров.

1.4. Требования  данного правила (стандарта) являются  обязательными для всех аудиторских  организаций при осуществлении  аудита, предусматривающего подготовку  официального аудиторского заключения, за исключением тех его положений, где прямо указано, что они носят рекомендательный характер.

1.5. Требования  данного правила (стандарта) носят  рекомендательный характер при  проведении аудита, не предусматривающего  подготовку по его результатам официального аудиторского заключения, а также при оказании сопутствующих аудиту услуг. В случае отклонения при выполнении конкретного задания от обязательных требований данного правила (стандарта) аудиторская организация в обязательном порядке должна отметить это в своей рабочей документации и в письменном отчете руководству экономического субъекта, заказавшего аудит и (или) сопутствующие ему услуги.

2. Общие требования  по применению  компьютеров при  проведении аудита

2.1. При проведении аудита с использованием компьютеров сохраняются цель и основные элементы методологии аудита.

2.2. Использование  аудитором компьютера возможно  как в случае ведения бухгалтерского  учета экономическим субъектом  вручную, так и при использовании  средств автоматизации бухгалтерского учета.

2.2.1. При ведении  бухгалтерского учета экономическим  субъектом вручную аудитор должен  решить проблему наличия необходимого  программного обеспечения для  анализа базы данных бухгалтерских  записей по всем учитываемым  хозяйственным операциям или по итоговым записям бухгалтерских регистров.

2.2.2. В том  случае, если у экономического  субъекта весь бухгалтерский  учет или отдельные его участки  автоматизированы, наличие в распоряжении  аудитора базы учетных данных  экономического субъекта (отдельных ее компьютерных файлов) позволяет применить для ее анализа эффективные методы современных информационных технологий.

2.3. Основное  назначение использования компьютеров  при аудите - организация аудита  как последовательности выполняемых аудиторских процедур с целью повышения эффективности при взаимодействии человека с компьютером.

2.4. Аудиторской  организации целесообразно вести  постоянную работу по освоению  новых информационных технологий  автоматизации аудиторской деятельности.

3. Основные требования к информационному, программному и техническому обеспечению применения компьютеров в аудите

3.1. Информационное  обеспечение аудита с применением  компьютеров включает два основных  источника: 

а) данные бухгалтерского учета экономического субъекта на бумажных носителях или в виде базы данных бухгалтерии;

б) нормативно-справочную базу и систему форм рабочей документации аудитора.

3.2. Возможность  использования базы данных экономического  субъекта или отдельных ее  массивов должна быть обеспечена:

а) организационно - в договоре о проведении аудита желательно отразить согласие экономического субъекта на использование базы данных или ее фрагментов в процессе аудита;

б) технически - в договоре о проведении аудита при необходимости следует отразить состав, форму и срок предоставления аудитору для анализа базы данных или ее фрагментов;

в) программно - система аудита с применением  компьютеров при необходимости  должна иметь в своем составе  блок, обеспечивающий конвертацию (преобразование) базы данных экономического субъекта в данные, обработка которых возможна средствами программного обеспечения, используемого аудитором*(2).

3.3. Аудитор  может использовать для анализа  не саму базу данных или  фрагменты рабочей базы данных, а ее копию. 

3.4. Сформированная или полученная для анализа копия базы данных должна быть идентична той, на основании которой экономический субъект формирует все бухгалтерские регистры и отчетные документы. Прежде чем приступить к анализу ее содержания, аудитор должен убедиться в таком соответствии или сделать копию базы данных самостоятельно. Для проверки соответствия должна применяться специальная система тестов.

Информация о работе Аудит в условиях компьютерной обработки данных