Комп’ютерний аудит інформаційної системи підприємст

 Вивчення й оцінка КІСП

 

Проведення аудиту в умовах автоматизованих  систем обліку залежить від таких  факторів:

– рівень автоматизації бухгалтерського обліку, контролю й аудиту,

– наявність методик проведення автоматизованого аудиту,

– ступінь доступності  облікових даних, складність обробки  інформації.

У ході перевірки аудитор має  вивчити і задокументувати всі  найбільш важливі позиції, пов'язані  з організацією обробки облікових  даних у КІСП підприємства.

Впровадження комп'ютерів в обліковий процес суттєво вплинуло на проведення аудиту. При цьому велике значення мають власні характеристики системи обробки даних, тому що вони впливають на ступінь складності бухгалтерської системи, тип внутрішнього контролю, вибір виду перевірок, на основі яких можна визначити характер, тривалість та обсяги аудиторських процедур.

 

Методика вивчення комп’ютеризованої системи бухгалтерського обліку

 

1 Ознайомлення з організаційною  формою обробки даних, рівнем  автоматизації управлінських задач,  задач бухгалтерського обліку.

2 Вивчення та оцінка системи  документообігу підприємства, порядку  формування, реєстрації, обробки, зберігання  документів та їх трансформації  в систему записів на рахунках  бухгалтерського обліку.

3 Оцінка ступеня підтримки моделі  документообігу програмним забезпеченням автоматизованої інформаційної системи, раціональності та ефективності такої моделі для підприємства що перевіряється.

4 Характеристика способів введення  даних і формування облікових  записів про господарські операції.

5 Вивчення організації зберігання даних про господарські операції і встановлення можливості швидкого отримання інформації по них, показників по документах, їх друкування.

6 Перевірка даних, що вводяться  до автоматизованої системи бухгалтерського  обліку.

7 Встановлення забезпечення збереженості даних інформаційної бази, простоти доступу до даних і обмеженості несанкціонованого доступу до них.

8 Перевірка надійності засобів  внутрішнього контролю в середовищі  комп’ютерної обробки даних.

9 Перевірка правильності алгоритмів розрахунків.

10 Оцінка можливості використання  підприємством системи щодо створення  та формування нових, не передбачених  програмою, форм внутрішньої або  зовнішньої звітності.

 

Методика тестування КІСП аудитором

 

У практиці аудиту використовують такі підходи до тестування КІСП:

1 Перевірка шляхом імітації  облікових даних. За допомогою  програмних засобів, що функціонують  на підприємстві, аудитор здійснює  рівномірний прорахунок і створює  імітаційну базу даних. Шляхом  зіставлення даних перевіряється  правильність проведених розрахунків і одержаних результатів.

Тестові дані – це дані, спеціально підготовлені аудитором. Звичайно це певні  уявні господарські операції, частина  з яких є некоректними. При цьому  аудитор знає, який саме результат  має видати програма. Є декілька підходів до тестування програмного забезпечення. У найпростішому випадку послідовність робіт аудитора з тестовими даними відбувається так, як показано на рисунку 6.

 

 

Рисунок 6 – Загальний підхід до тестування програмного забезпечення

 

Комплексний підхід до тестування включає  як використання тестових операцій, так  і створення певних уявних об’єктів аналітичного обліку (дебіторів, кредиторів, працівників, матеріальних цінностей тощо). При цьому звичайно в програму вводять набір даних, що містять як реальні, так і уявні записи. Послідовність такого тестування наведено на рисунку 7.

 

 

Рисунок 7 – Послідовність  здійснення комплексного підходу  
до тестування КСБО

 

Аудитор може застосовувати спеціально розроблені ним конкретні приклади тестування алгоритмів комп’ютерної обробки даних. Наприклад, для перевірки правильності нарахування прибуткового податку аудитор може ввести в комп’ютер клієнта значення певної суми заробітної плати й переконатися в правильності отриманого результату.

2 Перевірка за допомогою спеціальних  аудиторських процедур, підготовлених  аудиторською фірмою. Ця перевірка  здійснюється шляхом моделювання  з програмною перевіркою всіх  можливих параметрів облікового  процесу. На їхній основі аудитор здійснює імітаційну обробку даних зі структурою, аналогічною структурі реального програмного забезпечення. Отримані вихідні дані порівнюються з реальними даними, за результатами порівняння виявляються відхилення, що фіксуються в протоколі перевірки, де, крім самих відхилень, на основі бази знань фіксуються методологічні чи законодавчі акти, які було при цьому порушено.

За допомогою спеціальних програмних засобів здійснюється перевірка, моделювання  й аналіз облікових даних з  метою визначення їхньої повноти, якості, правомірності й вірогідності. Для цього виконуються порівняння змодельованих облікових даних із реальними даними інформаційної системи, а також здійснюється тестування розрахунків і перерахунків, підсумування, повторне впорядкування та формування звітних даних і їх порівняння із реальними даними. Крім цього, здійснюється контроль правильності відновлення даних.

Ця методика тестування передбачає використання тільки реальних даних  клієнта, що обробляються одночасно  в КСБО клієнта і в програмному забезпеченні, яке використовує аудитор. Вона називається паралельним виконанням обчислень (рис. 8)

 

 

Рисунок 8 – Паралельна обробка даних

 

3 Для підприємств, із  якими аудиторська фірма має  довгострокові договірні відносини, розробляються спеціальні аудиторські модулі, що вбудовуються в наявні програмні засоби обліку, контролю й аудиту. У програмне забезпечення включаються додаткові програмні модулі, що дозволяють контролювати необхідні параметри облікового процесу. За допомогою цих модулів виконується відбір операцій, що становлять інтерес із погляду постійної аудиторської перевірки. Обрані операції зберігаються для подальшого їх вивчення аудитором. Відібрані при цьому дані групуються за операціями у спеціальній аудиторській базі даних для подальшої обробки (рис. 9).

 

 

Рисунок 9 – Збирання аудиторської інформації за допомогою  
вбудованого контрольного модуля

 

Програмні засоби застосовують такі види контролю даних:

– систематичний  контроль, коли облікові дані тестуються за всіма основними критеріями (діапазон, зіставлення з нормативно-довідковою інформацією і т. ін.);

– вибірковий контроль, здійснений на деякій вибірці даних (за визначеними операціями, за окремими завданнями тощо).

У всіх випадках аудиторські процедури слід проводити не з оригінальними файлами суб’єкта перевірки, а з копіями цих файлів, оскільки будь-які їх зміни, що здійснюються аудитором, та можливе пошкодження не повинні впливати на дані системи комп’ютерної обробки даних. У тому разі, коли контрольні дані обробляються в рамках звичайного процесу обробки інформації суб’єкта, аудитор має пересвідчитися в тому, що контрольні господарські операції вилучені з облікових записів підприємства.

 

 

 

 

 

 

3.4. ОСОБЛИВОСТІ АУДИТУ ПІДПРИЄМСТВ, ЯКІ ЗАСТОСОВУЮТЬ КОМП'ЮТЕРНІ ІНФОРМАЦІЙНІ СИСТЕМИ

Особливості аудиту при застосуванні КІСП

Комп'ютеризація принципово не змінює елементів методу бухгалтерського  обліку. Найбільші зміни відбуваються в технології обробки облікової  інформації, що виражається в порядку побудови комп'ютерних форм бухгалтерського обліку. Натомість методика аудиту підприємств, на яких використовуються КІСП та КСБО, котрі мають значний вплив на ведення бізнесу та бухгалтерського обліку, зазнає значних суттєвих змін, хоча загальна мета й обсяг аудиту не змінюються. Зберігаються його завдання, діють основні елементи його методології.

Водночас комп'ютерна обробка даних  впливає на процес вивчення аудитором  системи обліку і внутрішнього контролю підприємства, що перевіряється.

Автоматизація бухгалтерського обліку та інших управлінських функцій  підприємства, з одного боку, і автоматизація  аудиту, з іншого, докорінно змінюють проведення аудиту на конкретному економічному об'єкті. Стали розрізняти аудит поза комп'ютерним середовищем, тобто на об'єкті з традиційною технологією ручного ведення обліку, і аудит у комп'ютерному середовищі — на об'єкті" де бухгалтерський облік виконують з використанням комп'ютерів. Сам аудит можна також проводити без використання комп'ютерів або за їхньою допомогою.

У цих умовах суттєво змінюється організація і методика проведення аудиту, оскільки здійснення її за методиками, орієнтованими на традиційний облік, не дає бажаного результату.

В умовах функціонування автоматизованих інформаційних систем зазнають деяких змін основні принципи аудиту. Відповідно, застосування КІСП може вплинути:

• на процедури, яких дотримується аудитор  у процесі одержання достатнього  уявлення про системи бухгалтерського  обліку та внутрішнього контролю;

• на аналіз властивого ризику та ризику системи контролю, за допомогою якого  аудитор проводить оцінку ризику;

• на розробку і здійснення аудитором  тестів контролю та процедур перевірки  за суттю, необхідних для досягнення мети аудиту.

Проведення аудиту в умовах використання комп'ютерних систем регламентується Міжнародним стандартом № 401 "Аудит

у середовищі комп'ютерних інформаційних  систем". Є також положення  про міжнародну аудиторську практику, присвячені питанням проведення аудиту в середовищі різних комп'ютерних інформаційних систем і водночас оцінці аудиторських ризиків, а також вимогам до спеціальних знань аудиторів про комп'ютерні інформаційні системи. Метою цих нормативів є встановлення стандартів і надання рекомендацій про процедури, яких необхідно дотримуватися при проведенні аудиту в умовах комп'ютерних інформаційних систем.

Під час планування стадій аудиторських процедур, на які може вплинути середовище КІСП суб'єкта, аудитор зобов'язаний розглянути, яким чином КІСП впливає  на аудит, а також скласти собі уявлення про значимість і складність процесів функціонування КІСП, про доступність даних для використання в аудиті. Це уявлення охоплює такі аспекти.

Значимість. Належить до змісту тверджень, які містяться у фінансовій звітності  і підлягають комп'ютерній обробці.

Складність комп'ютерної обробки  в кожній значній прикладній бухгалтерській програмі. Прикладна програма вважається складною, якщо, зокрема:

• обсяг операцій такий, що користувачам важко виявити і виправити  помилки, допущені в процесі обробки;

• комп'ютер автоматично генерує  суттєві операції або проводки безпосередньо  в іншій прикладній програмі;

• комп'ютер виконує складні розрахунки за фінансовою інформацією і (або) автоматично  генерує операції чи проводки, які  не можна підтвердити або вони не підтверджуються окремо;

• обмін операціями з іншими організаціями  здійснюється електронним способом (як у системах електронного обміну інформацією), і при цьому не проводиться  фізична перевірка на предмет  правдивості або прийнятності.

Організаційна структура діяльності КІСП клієнта, а також ступінь концентрації або розподілу комп'ютерної обробки в рамках суб'єкта, зокрема те, як вони можуть впливати на розподіл обов'язків.

Доступність даних. Первинні документи, деякі комп'ютерні файли й інший  доказовий матеріал, який може знадобитися аудитору, можуть існувати тільки протягом короткого періоду часу або у форматі, доступному для перегляду тільки на комп'ютері.

Застосування комп'ютерних систем контролю зумовлює необхідність одержання  спеціальних знань для проведення оглядів контролю і спрощення процесу проведення аудиту.

Аудитору належить добре орієнтуватися  в діючих автоматизованих системах обліку, контролю й аналізу, знати  принципи розподілу функцій взаємного  контролю серед працівників, котрі  беруть участь у процесі обробки облікової інформації. Для проведення аудиту в комп'ютерному середовищі аудитор зобов'язаний:

• мати додаткові знання в галузі систем обробки економічної інформації;

• мати уявлення про технічний, програмний, математичний та інші види забезпечення КСБО;

• володіти термінологією в галузі комп'ютеризації; чітко уявляти особливості  технології і послідовність процедур комп'ютерної обробки облікової  інформації;

• знати організацію роботи бухгалтерії  в умовах КІСП;

• уміти працювати на комп'ютері з основними офісними програмами;

• мати практичний досвід роботи з  різними системами бухгалтерського  обліку, аналізу, з правовими і  довідковими системами, із спеціальними інформаційними системами аудиту.

Усі ці знання йому необхідні, щоб  правильно визначити, який вплив на організацію, планування, проведення аудиту справляють умови використання КІСП на економічному об'єкті, що перевіряється.

Зважаючи на різноманітність і  складність комп'ютерних технологій, від аудитора не вимагається бути першокласним спеціалістом з комп'ютерного бухгалтерського обліку. Тому, якщо в аудитора немає достатніх знань, він зобов'язаний запрошувати експерта в галузі інформаційних технологій.

Основні напрями взаємодії аудитора з експертом щодо систем комп'ютерної  обробки даних такі:

• оцінка законності придбання та ліцензійної чистоти бухгалтерського  програмного забезпечення, що функціонує в системі комп'ютерної обробки  даних;

• оцінка надійності системи комп'ютерної  обробки інформації в цілому;

• перевірка правильності та надійності алгоритмів розрахунків;

• формування на комп'ютері необхідних аудитору регістрів аналітичного обліку та звітності.

Але й у цьому разі аудитор  зобов'язаний мати достатнє уявлення про  комп'ютерну систему клієнта в  цілому, щоб правильно планувати, регулювати і контролювати роботу експерта, зберігаючи чільне становище. Слід розуміти, що експерт оцінює систему обробки, а аудитор — вірогідність інформації, яка міститься в звітності, сформованій за допомогою цієї системи.