Компьютеризация аудиторской деятельности

Компьютеризация аудиторской деятельности

Современный период развития бухгалтерского учета характеризуется активной автоматизацией учетного процесса на отечественных предприятиях. Применение ПЭВМ, организация автоматизированных рабочих мест (АРМ) в бухгалтерии существенно меняют технологию обработки учетных задач. Создается новая компьютерная технология на базе децентрализованной обработки бухгалтерского учета, которая характеризуется следующими моментами:

-- решение задач выполняется бухгалтером непосредственно на его рабочем месте, оснащенном, ПЭВМ;

-- существенно увеличивается состав бухгалтерских расчетов, выполняемых вычислительной техникой, расширяется круг пользователей компьютерами (валютные, автоматический перерасчет курсовых разниц);

-- в ПЭВМ создается постоянная информационная база, при помощи которой автоматизируется составление бухгалтерских регистров и отчетности;

-- создаются условия для формирования первичных документов на машиночитаемых носителях, что сокращает трудоемкость по сбору и регистрации документов;

-- появляется возможность организации информационно-справочного обслуживания бухгалтера путем осуществления режима диалога между человеком и ПЭВМ;

-- происходит интеграция решения комплексов бухгалтерских задач.

Технологический процесс децентрализованной обработки учетной информации на базе современного ПЭВМ условно можно разделить на три этапа: начальный, подготовительный и основной.

Начальный этап связан с созданием первичных документов. Применение ПЭВМ позволяет формировать их с помощью машины, а присоединение ПЭВМ к датчикам информации полностью автоматизирует процесс создания первичных документов, хотя не исключается возможность использования и документов на бумажном носителе.

Подготовительный этап при децентрализованной обработке характеризуется подготовкой программы и информационной базы к работе. При ведении программного обеспечения заполняются справочные данные, корректируется план счетов бухгалтерского учета и состав типовых проводок, заполняются различные справочники (подразделений, работающих, материалов, основных средств).

Основной этап связан с непосредственным решением задачи на ПЭВМ за отчетный период. В процессе его реализации осуществляется ввод переменной информации за текущий период, составление регистров и отчетности и их печать. Ввод переменной информации осуществляется модулем ввода. На экране отражается форма первичного документа. Постоянные реквизиты (дата, реквизиты плательщика) вводятся в документ автоматически, переменные -- с клавиатуры. Одновременно осуществляется визуальный и машинный контроль вводимых реквизитов, производится выдача сигнала об ошибочной информации и ее корректировке.

Модуль ввода может обеспечить составление журнала регистрации документов, печать документов, удаление ошибочных документов, дублирование.

После ввода хозяйственных операций в автоматическом режиме составляются регистры и бухгалтерская отчетность. Практически каждая программа в главном меню содержит перечень отчетных сводок. Результаты расчета высвечиваются на экране и пожеланию могут быть распечатаны. В конце рабочего дня, чтобы предохранить накопленную в ПЭВМ информационную базу от случайных сбоев, снимается архивная копия на дискету. Если АРМ работает в сети, то происходит формирование информации для передачи на другие АРМы.

При децентрализованной обработке учетной информации возможно использование двух способов организационных форм применения вычислительной техники:

-- индивидуальное использование ПЭВМ, которое характерно для малых предприятий, где пользователь создает свою информационную базу для решения задачи “Учет хозяйственных операций” с элементами несложного аналитического учета;

-- объединение АРМ различных участков учета в локальную вычислительную сеть, которая создается на средних и крупных предприятиях, где каждое АРМ специализируется на выполнении одного или нескольких учетных комплексов, учетных задач. Взаимодействие различных АРМ обеспечивается программой “Главный модуль”, позволяющей получать с различных ПЭВМ сводные проводки. Организованная таким образом компьютерная технология оказывает определенное влияние на методику бухгалтерской проверки. Прежде всего, автоматизированная обработка данных по программе предполагает использование одних и тех же команд при выполнении идентичных операций бухгалтерского учета. Это практически исключает появление случайных ошибок. В то же время программные ошибки приводят к неправильной обработке всех идентичных операций при одинаковых условиях (например, с неверно указанным процентом подоходного налога). По сравнению с неавтоматизированными системами бухгалтерского учета компьютерные системы более открыты для несанкционированного доступа, для скрытого изменения данных и прямого или косвенного получения информации об осуществляемых операциях (например, несанкционированного доступа программистов и специалистов отдела сбыта).

Компьютерная система может осуществлять различные процедуры внутреннего контроля, которые в неавтоматизированных системах выполняют разные специалисты. Такая ситуация позволяет специалистам, имеющим доступ к ПЭВМ, вмешиваться в чужие функции. В конечном счете это требует введения дополнительных мер для поддержания контроля на необходимом уровне, который в неавтоматизированных системах достигается простым разделением функций. К подобным мерам можно отнести систему паролей, которые предотвращают действия, недоступные со стороны специалистов, имеющих доступ к информации об активах и учетных документах через ПЭВМ в диалоговом режиме.

Указанные отличия компьютерной обработки оказывают влияние на планирование аудиторской проверки, изучение системы внутреннего .контроля и в целом на методику аудиторской проверки.

Многообразие аудиторской проверки, описанное в зарубежной и отечественной литературе, можно объединить в три основных этапа:

-- подготовка и планирование аудиторской проверки;

-- проведение аудиторских процедур;

-- оценка результатов проверки и разработка аудиторского заключения. В целом этапы аудиторской проверки в условиях компьютеризированного аудита соответствуют названным этапам. Однако методика аудита компьютерных систем бухгалтерского учета имеет свои отличия. Прежде всего, процедуры и документация такого аудита должны быть разработаны таким образом, чтобы аудитор осуществлял проверку наиболее эффективно, концентрируясь на тех моментах и видах деятельности, которые могут оказывать воздействие на достоверность финансовой отчетности. Для достижения такой эффективности методика должна основываться на рисках. Оценивая риски материальных несоответствий в финансовой отчетности, аудитор при проведении аудиторских процедур должен уделять меньше внимания тем видам хозяйственных операций, где риск меньше или они связаны исключительно с эффективностью обработки информации и являются несущественными.

Аудитор должен проявлять значительную гибкость в определении комбинирования элементов аудита, учитывая различные особенности каждого экономического субъекта. При этом необходимо определиться: либо положиться на систему внутреннего контроля в раскрытии ошибок, либо осуществлять работу по проведению подтвердительных аудиторских процедур.

В процессе проведения аудита менеджеры проверяемого экономического субъекта и аудиторы участвуют как партнеры на всех этапах. Это сокращает трудоемкость аудита, так как есть возможность для постоянных корректировок процедур аудита из-за обнаруженных недостатков.

Методы и документация аудита компьютеризированных систем бухгалтерского учета должны соответствовать требованиям отечественных стандартов. Выводы о соответствии хозяйственных операций, проводимых экономическим субъектом, законодательству должны осуществляться с учетом постоянных его изменений.

В состав основных этапов включаются:

-- определение стратегии аудита;

-- понимание и характеристика системы учета;

-- оценка системы внутреннего контроля;

-- корректировка процедур контроля на основе выявленных отклонений;

-- проведение подтвердительных проверок;

-- завершение аудита и оформление результатов аудита. Во многом эффективность аудиторской проверки зависит от выбора стратегии аудита по каждому виду хозяйственных операций. Поэтому на первом этапе для каждой конкретной аудиторской проверки формулируются цели с учетом специфических целей аудита, таких как завершенность, точность, своевременность, оценка. Аудитором изучаются особенности внешних и внутренних факторов, влияющих на производственную деятельность клиента, уровень существенности и внутрихозяйственный риск. Исходя из этого производится оценка среды контроля, системы бухгалтерского учета, контрольных процедур и определяется риск контроля. При этом, основываясь на своих предварительных выводах, аудитор уточняет, какая степень использования расширенной оценки внутреннего контроля будет эффективной, для того чтобы было возможным положиться на те контрольные процедуры, которые уменьшают внутрихозяйственный риск. Далее определяются природа и расчет времени для подтвердительных проверок. Свою стратегию аудитор отражает в рабочих документах: общем плане, программе.

Принципы разработки стратегии аудита такие же, как и для неавтоматизированных систем. Хотя на практике этот процесс более сложный из-за того, что к ручным методам контроля, применяемым к обрабатываемой информации, добавляются характерные для автоматизированных систем программные процедуры контроля информационных технологий, которые обеспечивают безопасность использования программ и безопасность информации.

На втором этапе изучается система бухгалтерского учета и процедур контроля, используемых в ее рамках. Эта оценка приводится в форме обзора или детальной схемы, отражающей последовательность обработки хозяйственных операций.

Система внутреннего контроля оценивается исходя из степени эффективности ее функционирования. На основе такой оценки намечаются процедуры контроля качества программного обеспечения и процедур обработки.

В процессе подтвердительных проверок осуществляются контрольные расчеты, подтверждающие достоверность алгоритмов формирования применяемого программного обеспечения и проводимых операций.

Завершение аудита состоит в процессе формирования аудиторского отчета и заключения.

Планирование аудиторской проверки в компьютеризированной среде

На первом этапе планирования аудиторской проверки в компьютеризированной среде осуществляется сбор необходимой информации о среде контроля, системе бухгалтерского учета и процедурах контроля, которые используются для оценки неэффективности внутреннего контроля. Действия аудитора на первом этапе должны быть спланированы так, чтобы обеспечить понимание сферы контроля и потока операций в системе бухгалтерского учета. Изучение сферы контроля позволяет дать общую оценку организационной структуре, принятой на предприятии системе распределения прав и обязанностей, методов, используемых администрацией для контроля системы бухгалтерского учета, включая внутренний аудит. Компьютерная обработка данных может оказывать влияние на каждый из этих элементов среды контроля. Понимание организационной структуры предприятия предполагает определение места компьютерной системы в ней. При этом описываются компьютерные ресурсы предприятия, включая аппаратные средства; дается оценка организации компьютерной системы в части деятельности персонала, работающего с техникой, и его взаимодействия с персоналом других отделов. Описание компьютерных ресурсов даст возможность проанализировать работу компьютерной системы, выявить точки доступа к компьютерным ресурсам, используемым для обработки бухгалтерской информации, и раскрыть политику предприятия в области контроля доступа к компьютерным ресурсам. В процессе оценки происходит разделение обязанностей между специалистами по системам, программистами и бухгалтерами. На этапе понимания организационной структуры определяются отделы, использующие компьютерную обработку данных, и их взаимодействие с бухгалтерией.

В ходе анализа распределения прав и обязанностей аудитор определяет, существуют ли на предприятии Положение или руководство по ведению бухгалтерского учета в условиях компьютерной обработки данных, изучает инструкции для персонала, работающего на ПЭВМ. Аудитор должен составить представление об управлении компьютерными ресурсами предприятия и распределении приоритетов их использования, а также об уровне квалификации бухгалтеров, осуществляющих обработку учетных данных на ПЭВМ.

При изучении процедур контроля, применяемых администрацией, дается оценка документации по разработке системы компьютеризации и степени ее использования, определяется наличие и качество процедур контроля ввода данных, например процедур внесения изменений данных в отчетные формы или файлы, ограничивающих доступ к закрытой информации, в частности к чувствительной информации, обеспечивающей доступ к финансовым отчетам. Потеря такой информации может нанести ущерб ее владельцу.

В заключение для разработки действенных процедур изучается последовательность операций, выполняемых в системе бухгалтерского учета. Этот процесс начинается с изучения описания технической документации. При этом описание включает руководство и инструкцию для пользователей, структуру файлов, блок-схемы системы.

Осуществление оценки риска неэффективности контроля включает следующие действия:

-- определение конкретных целей контроля на основе анализа различных видов ошибок в существенной бухгалтерской информации;

-- идентификацию:

а) мест возможного появления определенных видов ошибок в цепочках последовательных операций;

б) специальных процедур контроля, обеспечивающих достижение его конкретных целей;

в) вспомогательных процедур контроля, которые необходимы для обеспечения эффективности выполнения основных процедур;

-- оценку структуры процедур контроля с целью определения обеспечиваемого ими уровня риска неэффективности.

Определение конкретных целей контроля в данном случае не отличается от такой же процедуры в неавтоматизированных системах обработки данных. В то же время процесс идентификации мест возможного появления ошибок в компьютерных системах значительно отличается от аналогичного процесса в неавтоматизированных системах. Гак, при использовании компьютера ошибки могут появляться в следующих ситуациях:

-- при подготовке исходных данных, связанных с операциями по получению разрешения на запуск системы;

-- немашинной обработке исходных данных, например, суммировании вручную бухгалтерских данных;

-- преобразовании исходных данных в машиночитаемую форму;

-- идентификации входных файлов для использования в обработке;

-- генерировании выходных отчетов;

-- исправлении ошибок, обнаруженных в результате выполнения процедур контроля.

При определении целей нет необходимости рассматривать все существующие процедуры контроля, имеющие отношение к одной и той же цели, достаточно определить их минимальный набор. Например, ошибки при формировании файла цен могут привести к ошибкам при выставлении счетов-фактур. Поэтому цель контроля, в этом случае соответствующая данному типу ошибки, может быть сформулирована так: “Во время обработки, счетов-фактур необходимо обеспечить использование достоверной информации о ценах”. Процедуры контроля можно охарактеризовать следующим образом: “Прикладная программа выставления счетов-фактур должна идентифицировать правильный файл цен посредством сопоставления заданного имени в главном файле (файл, содержащий относительно постоянную информацию о какой-либо конкретной области)”.

В компьютерных системах бухгалтерского учета процедуры контроля могут отличаться по ряду характеристик от аналогичных процедур в неавтоматизированных системах. Например, в неавтоматизированных системах признание платежа обычно фиксируют визой ответственного лица на исходном документе (счет поставщика). В компьютерных системах подобное признание может иметь вид пароля, который дает разрешение на выполнение операции, присваивая ей специальный код. Пароль обеспечивает доступ к программам, которые инициируют выполнение определенного вида операций или изменение главных файлов. В этом случае, несмотря на совпадение целей контроля в системах обоих типов, методы достижения этих целей и видимое подтверждение соответствия выполненной операции санкционированной процедуре значительно различаются, что сильно влияет на подходы к аудиту.

Вслед за идентификацией специальных процедур контроля следует проанализировать общие или связанные с ними процедуры контроля, которые должны функционировать соответствующим образом.

Оценка риска неэффективности контроля осуществляется так же, как и в неавтоматизированных системах. Собранная информация о .среде контроля, системе бухгалтерского учета и процедурах контроля должна быть достаточной для обоснования одного из следующих заключений:

-- риск неэффективности контроля может быть оценен как низкий, а аудиторское тестирование системы контроля будет эффективным;

-- риск неэффективности контроля может быть оценен как низкий, но аудит может быть неэффективным по затратам. В этом случае аудиторам необходимо сконцентрировать внимание на общих процедурах проверки;

-- риск неэффективности контроля оценен как высокий. Контрольные процедуры не представляются достаточными для предотвращения ошибок или их обнаружения. В этом случае аудиторы используют общие процедуры проверки.

В ходе оценки риска может сложиться ситуация, когда специальные процедуры контроля, обеспечивающие низкий уровень риска, доступны не в полном объеме. В подобных случаях цели проверки могут быть достигнуты частично с помощью сочетания тестирования системы контроля с общими процедурами контроля, а частично только с помощью общих процедур.

Процедуры контроля в компьютерных системах бухгалтерского учета можно разделить на два типа -- общие и прикладные. Общие процедуры контроля применимы ко всем или к большинству функций компьютерной системы, к ним относится, например, контроль доступа к программам и файлам базы данных. Прикладные процедуры контроля связаны с конкретными функциями компьютерного учета, например программной проверкой входных данных с целью верификации номеров счетов и предельных размеров кредита.

Прикладной контроль осуществляется по трем направлениям: контроль входных данных, процесса обработки и выходных данных. Наибольшее количество ошибок возникает на этапе ввода информации в компьютерные системы. Если введены искаженные данные, то они могут пройти обработку не обнаруженными, а при последующем обнаружении их корректировка затруднительна.

Для обнаружения ошибок, допущенных при подготовке данных, могут быть использованы различные программные средства редактирования или проверки:

-- тесты контроля правильности размещения символов предназначаются для проверки полей входных данных и определения правильности размещения цифр в числовых полях, а также букв в символьных полях;

-- тесты контроля правильности знака обеспечивают проверку данных по полям на соответствие знакам плюс и минус;

-- тесты контроля пропусков позволяют проверить поля с целью выявления пустых мест;

-- тесты контроля последовательности служат для проверки документов по порядковым номерам, когда последовательность их размещения важна для обработки, например в пакетном режиме. Эта процедура помогает также обнаружить недостающие документы в пронумерованных рядах;

-- тесты контроля по диапазону значений и разумности результатов -- автоматизированные процедуры, которые показывают, выходят ли значения данных за установленные пределы. Например, программа расчета заработной платы может включать в себя тест контроля по диапазону, который мстит и отбрасывает записи, превышающие норматив рабочего времени в месяц.

Контроль процесса обработки дает определенные гарантии того, что данные будут обработаны без пропусков и повторов операций. Он может быть осуществлен в процессе выполнения следующих контрольных процедур: последовательное контрольное суммирование, составление отчетов о контрольных суммах.

Последовательное контрольное суммирование обеспечивает проверку данных при их перемещении из одного отдела в другой или от одной программной обработки к другой. Суммирование называется последовательным, поскольку оно производится с одними и теми же данными после каждого этапа обработки. Суммировать можно количество записей, платежи или весь массив данных. Полученные суммы передают на следующий этап для сравнения с его контрольными суммами.

Составление отчетов о контрольных суммах. Все контрольные суммы количества записей, платежей, всего массива данных и т. п., получаемые в процессе обработки, следует выводить на печать в виде отчета. В обязанности группы контроля или другого органа включают их сравнение и (или) сверку с контрольными суммами исходных данных либо предыдущих стадий обработки. Например, контрольная сумма балансов дебиторских счетов в предыдущей версии главного файла плюс контрольная сумма по объему продаж в кредит в текущей версии должна быть равна контрольной сумме балансов в конце текущего процесса обработки.

Контроль выходных данных -- это завершающий этап проверки правильности результатов компьютерной обработки. Процедуры контроля на этом этапе обеспечивают представление отчетности и Доступ к файлам - только уполномоченным лицам. Для этого следует вести список абонентов, которые получают копии отчетов. Тиражирование отчетов должно быть строго ограниченным.