7.6. Особливості проведення аудиту в комп’ютерному середовищі
7.6. Особливості проведення аудиту в комп’ютерному середовищі
Розвиток суспільства за останній період характеризується такими стадіями науково-технічного прогресу, як індустріалізація, комп’ютеризація та інформатизація. Нові комп’ютерні технології в аудиті сприятимуть удосконаленню інтелектуалізації аудиту та науковому обґрунтуванню його висновків.
Використання комп’ютерів у аудиті передбачено:
Міжнародним стандартом аудиту 401 «Аудит в умовах комп’ютерних інформаційних систем»;
Положенням про міжнародну аудиторську практику 1001 «Середовище комп’ютерних інформаційних систем — автономні мікрокомп’ютери»;
Положенням про міжнародну аудиторську практику 1002 «Середовище комп’ютерних інформаційних систем — інтерактивні комп’ютерні системи»;
Положенням про міжнародну аудиторську практику 1003 «Середовище комп’ютерних інформаційних систем — системи баз даних»;
Положенням про міжнародну аудиторську практику 1009 «Методи аудиту з використанням комп’ютерів»;
Стандарту аудиту 401 «Аудит в середовищі комп’ютерних інформаційних систем».
Загальна мета і обсяг аудиту не змінюються в середовищі комп’ютерних інформаційних систем (далі КІС). Але поряд з цим використання комп’ютерів вносить зміни у процес обробки, зберігання і передачі фінансової інформації і може впливати на системи бухгалтерського обліку та внутрішнього контролю клієнта. Тому застосування КІС допоможе вплинути на:
процедури, яких дотримується аудитор у процесі отримання достатньої уяви про систему бухгалтерського обліку і внутрішнього контролю;
аналіз властивого (притаманного) ризику і ризику системи внутрішнього контролю для визначення загального аудиторського ризику;
розробку і виконання аудитором тестів контролю і процедур перевірки по суті, що необхідні для досягнення мети аудиту.
Аудитор повинен володіти достатніми знаннями КІС для того, щоб правильно оцінювати систему бухгалтерського обліку і внутрішнього контролю, в якій використовується КІС, планувати, контролювати та перевіряти роботу, що виконується на підприємстві. Рівень необхідних знань залежить від складності, суті КІС та методів проведення аудиту при сприянні комп’ютера.
Однак прикладна програма може поставити аудитора перед необхідністю використання комп’ютера як засобу контролю. Ці різнобічні варіанти використання комп’ютера відомі як «Методи Аудиту при Сприянні Комп’ютера (МАСК)». До них належать: програмне забезпечення і тестові дані.
Аудитор може використовувати як комп’ютерну техніку клієнта, так і інші можливості комп’ютерів, оскільки існують випадки, коли використання КІС клієнта є неекономічним або непрактичним — наприклад, у зв’язку із несумісністю аудиторської пакетної програми з комп’ютером клієнта.
Необхідність використання МАСК виникає за тих обставин, коли відсутні вхідні документи і неможливо простежити повний хід операцій (контрольний слід), а також тоді, коли ефективність аудиту можна значно поліпшити використанням спеціальної комп’ютерної аудиторської програми.
Аудиторське програмне забезпечення складається із комп’ютерних програм, що використовуються аудитором як елемент аудиторських процедур для обробки даних, що мають суттєве значення для аудиту і взяті з облікової системи клієнта. Програмне забезпечення може складатись із: пакета програм, програм спеціального призначення (використання) і програм-утилітів.
Пакет програм — це узагальнені комп’ютерні програми, що призначені для виконання функцій з обробки даних, включаючи зчитування комп’ютерних файлів, відбір інформації, проведення розрахунків, створення файлів з даними і друкування звітів за формою, що визначена аудитором.
Програми спеціального призначення — це програми, розроблені для виконання конкретних аудиторських завдань. Ці програми можуть бути створені як самим аудитором, так і іншим спеціалістом.
Програми-утиліти — програми, що використовуються суб’єктом для виконання загальних функцій обробки даних. Такі програми, як правило, не призначені конкретно для аудиторської практики.
Тестові дані — це дані (як правило, вибіркові дані), що призначені для внесення аудитором в комп’ютерну систему суб’єкта та порівняння отриманих результатів із раніше визначеними результатами.
Виконання контрольних процедур з використанням КІС може і не залишати слідів аудиту від операцій, що оброблялися за допомогою комп’ютера. До таких процедур можуть належати: визначення кількості дебіторів, кредиторів, виставлені рахунки покупцям та постачальникам, аналітичні дані по рахунках, нарахування амортизації тощо. В таких випадках вихідні звіти можуть і не складатися системою, а аудитору необхідно тільки зробити заключні висновки з посиланням на інформацію в конкретних файлах. Використання МАСК дозволяє виконувати додаткові незалежні процедури більш швидко та ефективно, ніж у випадку, коли аудитор покладається на систему внутрішнього контролю або супутні процедури узгодження.
Використання КІС може обмежуватися тестуванням окремих розділів або простежуванням шляху однієї суми, а може включати процедури, пов’язані з побудовою бухгалтерського балансу клієнта. МАСК може використовуватися для виконання різноманітних процедур перевірки, включаючи:
тестування подробиць обробки інформації в системі обліку клієнта;
аналітичний огляд процедур для виявлення незвичайних випадків;
доступ до файлів даних і бібліотек;
тести на відповідність програмних засобів і систем управління та обліку.
Ефективність аудиту має підвищитися за допомогою МАСК з огляду на отримання найкращих доказів.
Під час планування перевірки аудитор мусить розглянути відповідну комбінацію організації і методів аудиту при сприянні комп’ютера. Необхідно врахувати фактори, що впливають на прийняття рішень при використанні комп’ютера, а саме:
знання комп’ютера, кваліфікацію і досвід аудитора;
сумісність МАСК і технічних засобів, на яких програмне забезпечення буде функціонувати; ефективність;
синхронізацію у часі.
Коли аудитор починає аудит у середовищі електронної обробки даних (ЕОД), він повинен мати необхідні навички і досвід роботи з технікою, яка виконує підрахунки, або повинен залучити до роботи спеціаліста і делегувати йому частину своїх функцій. Аудитор має знати ЕОД, щоб спланувати, виконати і використати результати МАСК. Рівень необхідних знань залежить від складності і конфігурації конкретного методу аудиту і програмного забезпечення контролю, а також системи обліку клієнта. Аудитор мусить розуміти, що використання МАСК за конкретних обставин може вимагати від нього значно більшого рівня знань комп’ютера і навичок роботи на ньому.
Сумісність МАСК і технічних засобів, на яких вони будуть функціонувати
Аудитору слід проаналізувати відповідність МАСК засобам обслуговування комп’ютера і необхідним автоматизованим системам бухгалтерського обліку, а також картотекам. Аудитор може планувати використання інших засобів у обслуговуванні комп’ютера в тому разі, якщо виконання роботи з використанням МАСК на комп’ютерній техніці клієнта буде неефективним, надто дорогим і непрактичним, наприклад, через несумісність з операційною системою.
Може виникнути необхідність у використанні допомоги персоналу клієнта для забезпечення роботи технічних засобів у найсприятливіший для аудитора час, завантаження і запуску пакетів програм МАСК на комп’ютерах клієнта, забезпечення копій даних у формі, яка необхідна аудитору.
Значна більшість комп’ютеризованих систем бухгалтерського обліку виконує дії, які неможливо візуально прослідкувати, тобто документально засвідчити ці дії немає можливості. Недоліки дослідження системи баз комп’ютерів виявляються, наприклад, у випадках, коли:
не існує вхідного документа, тобто операція здійснена в діалоговому режимі, крім того, розрахунок сум по сплаті відсотків може бути здійснений, виходячи з вимог алгоритму, без можливості побачити процедуру розрахунку;
система не може показати контрольний слід операцій, оброблених тільки на комп’ютері;
перевірки кредитоспроможності клієнта можуть бути зроблені тільки шляхом виключення; в такій ситуації не може залишитися жодного свідчення, що всі операції були оброблені;
вихідна інформація може складатися тільки з підсумкової загальної кількості, в той час як окремі операції зберігаються в пам’яті комп’ютера.
Ефективність аналітичних процедур може бути поліпшена при використанні МАСК з точки зору отримання і оцінки контрольного доказу, наприклад, деякі операції можуть бути перевірені більш детально і ефективно, тому що при використанні комп’ютера можна охопити більший розмір вибірки, ніж при звичайному аналізі; під час аналітичних процедур можна проаналізувати ефективніше, ніж ручним методом, результати операцій у звітах і незвичайні величини; використання МАСК дає можливість більш ефективного проведення додаткових незалежних процедур перевірки для отримання необхідної оцінки засобів управління і контролю.
Деякі комп’ютерні файли зберігаються тільки протягом короткого часу і не можуть бути доступні у разі першої необхідності. Тому аудитор повинен вжити необхідних заходів для збереження в пам’яті комп’ютера даних, які, можливо, знадобляться йому в майбутньому, або він повинен буде змінити час звернення до клієнта для отримання тієї чи іншої інформації.
Основні дії аудитора під час використання прикладної програми МАСК:
а) визначення мети прикладної програми;
б) визначення змісту і доступності файлів об’єкта аудиту;
в) визначення типів операцій і шляхів, котрі необхідно перевірити;
г) визначення аудиторських процедур у системі програми;
д) визначення розподілу обов’язків між комп’ютерним персоналом та керівництвом;
е) зіставлення вигідності від використання ПЗК та витрат на її впровадження;
є) оцінка рівня впевненості, що ПЗК будуть правильно оформлені, зафіксовані і зареєстровані;
ж) визначення дефіциту в комп’ютерній техніці і вміння користуватися нею;
з) використання функцій програми і оцінка отриманих результатів.
Аудитор повинен керувати процесом використання програми МАСК. Таке керівництво забезпечить правильне виконання процедур програми, допоможе виключити доступ співробітників клієнта до управління МАСК. Специфіка роботи з прикладною програмою МАСК буде залежати від параметрів і властивостей самої програми, тому аудитору необхідно:
ухвалити технічні моменти і виконати огляд роботи з використанням МАСК;
зробити огляд засобів керування системою ЕОД підприємства, наприклад можливість внесення виправлень у систему програми і доступу до бази даних. Якщо аудитора не задовольняє організація робочого місця при використанні комп’ютера клієнта, він має право проводити обробку інформації за допомогою МАСК на іншому, більш придатному для поставленої мети, комп’ютері;
слід гарантувати відповідну інтеграцію та імплементацію висновків аудитора в процесі контролю.
Використовуючи МАСК, аудитор може визнати за необхідне залучення співробітника клієнта, який працює за комп’ютерним фахом.