Стандартизация аудита, четкие правила его проведения и требования к формам аудиторской документации позволяют автоматизировать составление необходимых документов и их редактирование. К ним относятся: письмо о согласии на проведение аудита, договор на проведение аудита, аудиторское заключение, обязательный набор рабочих таблиц, тестов, опросных листов и т.д.
Высокий уровень развития математических методов экономического анализа, применяемых для анализа деятельности администрации и финансового состояния экономического субъекта экономистами, позволяют оценить, насколько оптимальны принимаемые администрацией решения, какова вероятность банкротства, потеря платежеспособности или восстановления утраченной платежеспособности. Многие задачи анализа имеют математическую постановку и, следовательно, могут решаться автоматически. Работа аудитора связана с привлечением и изучением большого количества законодательных и прочих нормативных актов, относящихся к различным временным периодам. Существующие и широко используемые информационно-справочные системы, такие, как «Гарант», «Консультант+», «Интернет» и др., тоже можно рассматривать как часть общей системы автоматизации аудиторской деятельности. Автоматизация аудиторской деятельности признана как объективно существующая реальность. В МСА применение компьютеров в аудите упоминается в шести, а в РСА - трех стандартах.[4]
Глава 2. Применение персональных компьютеров на этапе, предшествующем аудиторской проверке
2.1Проблема сохранности данных компьютерного учета
Серьезной проблемой является уязвимость компьютерной информации и программного обеспечения. Причины потери информации могут быть связаны с аппаратными и программными сбоями (крах жесткого диска, отказ операционной системы и др.). Другой причиной могут быть, например, действия лиц, не имеющих отношения к ведению бухгалтерского учета, но получивших доступ к компьютеру. Довольно часто информация теряется вследствие действия компьютерных вирусов, занесенных при установке программ (обычно - компьютерных игр), полученных из сомнительных источников. Определенная опасность связана с возможностью выхода в Интернет, использованием электронной почты при отсутствии надежной и постоянно обновляемой антивирусной защиты.
При оценке системы внутреннего контроля в той ее части, которая связана с обеспечением сохранности программных продуктов и учетной информации, необходимо изучить организационные и технические меры, принятые руководством в этом направлении. К таким мерам, в частности, относятся ограничение доступа к компьютерной технике, порядок и периодичность резервного копирования учетной информации, наличие технических средств и программных средств, таких, как источники бесперебойного питания, антивирусные программы, наличие и квалификация работников, на которых возложены обязанности сетевого администрирования (если присутствует компьютерная сеть).
Важным вопросом является порядок хранения резервных копий программного обеспечения и учетной информации. Известны случаи, когда покинувший предприятие по причине возникшего конфликта главный бухгалтер уничтожил программу вместе с данными или присвоил единственную резервную копию данных. Порядок хранения данных важен также с точки зрения сохранения конфиденциальности. В крупных предприятиях, банках эта проблема решается с помощью технических средств: ограничением доступа к печатающим устройствам и данным, к которым работник не имеет непосредственного отношения, изъятием дисководов для гибких носителей. Для средних и особенно малых предприятий решение, по-видимому, должно основываться на жестких организационных мерах. Пренебрежение этими мерами со стороны руководства предприятия является для аудитора основанием оценить риск использования компьютерной информации клиента как высокий.
Общие рекомендации по оценке уровня риска, связанного с применением компьютерной обработки данных
Приведенный перечень не претендует на полноту, может быть дополнен на основе опыта аудиторов и найти отражение в соответствующем внутрифирменном стандарте.
Оценка рисков, связанных с вводом и обработкой данных, должна производиться с учетом сложности применяемой программы бухгалтерского учета. Предложенные вопросы могут использоваться лишь для получения первичных сведений, которые должны корректироваться в ходе аудиторской проверки. Вся информация о недостатках в организации и функционировании среды компьютерной обработки данных должна отражаться в документах аудитора.
Под внутренним контролем в среде КОД понимается контроль компьютерной обработки данных, который включает процедуры, проводимые с помощью ручной обработки (общие средства контроля), и процедуры, встроенные в компьютерные программы (прикладные процедуры). Данные процедуры должны обеспечивать общую систему контроля, функционирующую в среде КОД и обеспечивающую достоверность бухгалтерского учета, и сохранность компьютерных данных.
Целью общих средств контроля КОД является создание структуры внутреннего контроля функционирования системы компьютерной обработки данных с целью достижения уверенности в надежности и эффективности ее работы. Общие средства контроля, состоящие из:
1) организационных и управленческих средств контроля, которые в свою очередь включают:
общую политику руководства и процедуры, касающиеся использования компьютерных систем;
необходимое разделение функций (например, по подготовке данных, санкционирования ввода информации, ввод информации и т.п.);
2) контроля разработки и эксплуатации систем прикладных программ. Данный вид контроля позволяет получить достаточную уверенность в том, что системы, разработанные силами работников предприятия или приобретенные у производителей, функционируют эффективно и в соответствии с предъявляемыми к ним требованиями. При этом также должно быть обеспечено установление контроля над:
тестированием, преобразованием, внедрением и документированием новых или модифицированных систем обработки данных;
изменением в системах прикладных программ;
доступом к документации;
переходом при необходимости на новые программные продукты;
3) контроля функционирования аппаратной части среды компьютерной обработки данных (компьютеров, серверов, сетевого оборудования и т.п.). Этот вид контроля должен обеспечить:
использование систем только в дозволенных целях;
предоставление доступа к компьютерным системам только уполномоченному и специально подготовленному персоналу;
использование только разрешенных программ, антивирусную защиту компьютерных данных;
своевременное выявление и исправление ошибок, возникающих в процессе ввода информации;
4) контроля программного обеспечения, призванного обеспечить достаточную уверенность в том, что программы приобретаются, разрабатываются и функционируют в соответствии с предъявляемыми требованиями, обеспечивают достоверность и сохранность данных. К процедурам, связанным с контролем программного обеспечения, относятся:
санкционирование, утверждение, тестирование, внедрение и документирование новых программ и модификация программного обеспечения;
обеспечение сопровождения программных продуктов представителями организации-разработчика, своевременное обновление версий программного обеспечения;
предоставление доступа к программам и документации только уполномоченному и квалифицированному персоналу;
обеспечение внесистемного резервного копирования компьютерных данных бухгалтерского учета и компьютерных программ;
наличие процедур восстановления на случай преднамеренного или случайного уничтожения компьютерных программ и хранящихся в них данных;
обеспечение обработки операций вне компьютерных систем в случае возможных масштабных сбоев оборудования или программного обеспечения;
5) контроля ввода данных, предназначенного для получения достаточной уверенности в том, что:
существует надежная система санкционирования операций, которые вводятся в систему;
доступ к базам данных и программным средствам предоставляется только уполномоченному персоналу;
лица, имеющие доступ к программам и базам данных, обладают необходимыми знаниями, позволяющими правильно работать в системе.
Заключение:
В последнее время вопросам компьютеризации (автоматизации) аудита уделяется все больше внимание как специалистами, занимающимися методологией организации автоматизированных аудиторских процедур, так и практикующими аудиторами и специалистами по информационным технологиям, разрабатывающими пакеты прикладных программ, используемые аудиторами в своей практике. В настоящей работе проведен анализ использования персональных компьютеров в аудиторской деятельности, описаны подходы к созданию системы автоматизации аудиторской деятельности (СААД), показаны возможности применения ПК для планирования и разработки программ аудита, для выполнения аудиторских процедур по существу и услуг, сопутствующих аудиту. Рассмотрены особенности компьютерной обработки данных, организационно-техническое обеспечение аудиторских процедур, вопросы привлечения специалистов для выявления «узких» мест в информационных технологиях и причин ошибок, ведущих к возникновению аудиторских рисков, при использовании компьютерных информационных систем (КИС) в аудите и выполнении сопутствующих аудиту услуг. В заключение отметим, что российские аудиторы имеют в своем распоряжении комплексную нормативную базу для обоснования возможностей и целесообразности широкого использования информационных технологий и компьютеров в аудиторской деятельности.