Бухоблік та Аудит / Інформаційні технології в організації бухгалтерського обліку та аудиту - Івахненков С.В.
Проведення аудиту в умовах автоматизованих систем обліку залежить від таких факторів: рівень автоматизації бухгалтерського обліку, контролю й аудиту, наявність методик проведення автоматизованого аудиту, ступінь доступності облікових даних, складність обробки інформації.
У ході перевірки аудитор має вивчити і задокументувати всі найбільш важливі позиції, пов'язані з організацією обробки облікових даних у КІСП підприємства.
Впровадження комп'ютерів в обліковий процес суттєво вплинуло на проведення аудиту. При цьому велике значення мають власні характеристики системи обробки даних, тому що вони впливають на ступінь складності бухгалтерської системи, тип внутрішнього контролю, вибір виду перевірок, на основі яких можна визначити характер, тривалість та обсяги аудиторських процедур.
Перед початком аудиту слід уточнити ступінь автоматизації облікових, контрольних та аудиторських завдань і технологію їхнього вирішення. На основі отриманих даних складається план аудиторської перевірки.
Важливу роль у плануванні аудиторської перевірки відіграє рівень автоматизації облікових завдань. В оцінці труднощів автоматизованої обробки бухгалтерських даних необхідно враховувати як ступінь інтеграції інформаційних систем, так і ступінь спільного використання різними системами однієї і тієї самої облікової бази даних.
Особлива увага приділяється перевірці надійності засобів внутрішнього контролю в середовищі комп'ютерної обробки даних. Облікова політика, орієнтована на КСБО, має обов'язково передбачати елементи внутрішнього контролю.
В умовах функціонування автоматизованих систем обробки інформації здійснюють три види контролю:
• структурний (виробничий) контроль;
• контроль розробки;
• процедурний (робочий) контроль.
Під структурним контролем розуміють загальну адміністративну перевірку структури розподілу обов'язків і відповідальності у відділі обробки інформації. Ці перевірки стосуються різною мірою всієї роботи, яку виконує відділ обробки інформації, і є частиною основного контролю, через який проходить кожна нова процедура.
Сутність контролю розробки полягає в загальній перевірці відповідності всіх нових проектованих комп'ютерних облікових систем встановленим стандартам документації і процедур, тобто перевірці відповідності виконання основних етапів проектування, програмування і дослідження систем вимогам загальної системи контролю. Контроль розробки в поєднанні зі структурним контролем охоплює всі нові запроектовані процедури.
Під процедурним (робочим) контролем слід розуміти контроль як поза, так і всередині відділу обробки інформації (зокрема — бухгалтерії). Його можна провести з кожної процедури за єдиними шаблонами, які можуть бути подібними для кількох процедур.
Оскільки можливість різних зловживань здебільшого створюється браком необхідного програмного контролю, а систему автоматизованого контролю має бути передбачено в проекті автоматизації обліку, то аудитор при будь-якому рівні автоматизації бухгалтерського обліку зобов'язаний перевіряти проектну документацію на створення такої підсистеми. Документацію перевіряють на наявність у проекті засобів автоматизованого контролю — як для забезпечення достовірності інформації, що обробляється на основних етапах облікового процесу, так і для виявлення різноманітних зловживань. Унаслідок такої перевірки може бути виявлено "слабкі" місця (з контрольних позицій) у програмі, які не перешкоджають здійсненню порушень, зловживань, наприклад, відсутність програмного контролю внутрішнього переміщення матеріальних цінностей та грошових коштів тощо.
Часто закладена в проектну документацію система контролю не відповідає фактичному його здійсненню в процесі обробки облікової інформації. Тому аудитору слід переконатися у відповідності проекту фактичному обліковому процесу, перевірити правильність обробки інформації. Технологічний процес має забезпечити автоматизацію контролю за правильністю обробки інформації та виправлення виявлених помилок. Виявлені в період обробки на окремих стадіях технологічного процесу помилки відображають у відповідних актах. За цими актами аудитор може відтворити і документально перевірити процес обробки інформації, з'ясувати, які помилки мають постійний характер, чим це зумовлено. Тому важливу роль відіграє організація зберігання цих документів на підприємствах.
Під час перевірки аудитору слід вивчити й оцінити систему документообігу економічного об'єкта, порядок формування, реєстрації, збереження, обробки документів і трансформації первинних документів у систему записів на бухгалтерських рахунках. Варто виявити місця виникнення первинної інформації і ступінь автоматизації її збору та реєстрації. При використанні спеціальних засобів автоматизації збору і реєстрації інформації (датчиків, лічильників, ваг, сканерів штрихових кодів тощо) аудитор має переконатися в тому, що фахівці регулярно проводять тестування цих пристроїв, а в разі виявлення відхилень належним чином оформляють результати і вживають відповідних заходів.
Перше уявлення про рівень автоматизації складання первинних документів аудитор може отримати і під час знайомства зі схемою розміщення АРМ на підприємстві. АРМ, розміщені в місцях виникнення первинної інформації (на складах, у цехах), дозволяють скласти первинний документ у момент здійснення операції, зафіксувати інформацію на машинному носії, передати документ у бухгалтерію для подальшої обробки. Відсутність АРМ у виробничих підрозділах підприємства вказує або на ручний спосіб складання документів з наступною передачею їх у бухгалтерію, або на те, що документи формуються в самій бухгалтерії, що характерно для підприємств з невеликим обсягом документів.
Аудитор зобов'язаний оцінити, наскільки модель документообігу, реалізована програмним забезпеченням КІСП, раціональна й ефективна для об'єкта, який перевіряють. Для великих підприємств має підтримуватися модель повного документообігу. При цьому важливо проаналізувати розподіл функцій між службами оперативного управління і бухгалтерією, інформаційні зв'язки різних підрозділів з бухгалтерією, простежити рух окремих документів і їхній взаємозв'язок, усвідомити, як підтримується система між доку ментальних зв'язків, де зберігаються електронні копії документів, і як забезпечено до них доступ облікових працівників. Для підприємств, котрі автоматизують тільки бухгалтерський облік, в обраній програмній системі аудитору необхідно звернути увагу:
• на дотримання часового інтервалу між випискою документа, здійсненням операції і відображенням її в обліку;
• можливість збереження документів у системі після їх роздрукування;
• зв'язок документів і сформованих бухгалтерських проводок.
Аудитор зобов'язаний дати характеристику способів введення даних і формування записів про господарські операції. Автоматизована й автоматична генерація бухгалтерських записів і проводок на основі типових операцій та електронних форм документів дозволяє уникнути багатьох помилок, неминучих при ручному введенні і формуванні проводок. Слід вивчити організацію збереження інформації про господарські операції, можливість швидкого одержання інформації про господарські операції, документи та виведення її на друк.
У комп'ютерному обліку ряд операцій, таких як нарахування відсотків, закриття рахунків, визначення фінансового результату, може ініціюватися програмою, отже, по них немає будь-яких організаційно-розпорядницьких чи виправдувальних документів.
Обов'язок аудитора — ретельно перевірити правильність алгоритмів розрахунків. Помилка, закладена в алгоритм розрахунку і повторена багато разів у повторюваних господарських операціях, може спотворити результат господарської діяльності. У процесі перевірки алгоритмів розрахунку сум при введенні господарських операцій контролюється також правильність формування проводок. Особливо ретельно перевіряють алгоритми операцій, які ініціюються самою програмою, тому що до моменту їх виконання персонал зобов'язаний ввести, проконтролювати, відкоригувати всі дані, використовувані цією операцією.
Аудитору варто перевірити алгоритм на відповідність чинному законодавству й обліковій політиці підприємства і з'ясувати можливість виконання коригування алгоритму в разі зміни порядку ведення бухгалтерського обліку, податкового чи іншого законодавства. Тестування алгоритмів висуває високі вимоги до комп'ютерної підготовки аудитора. Бажано, щоб він розумів мак-ромову конкретної програми. Це дозволить йому не лише провести тестування алгоритму на конкретних даних, а й розібратися в правильності його настроювання, наприклад під час використання типових операцій, доступ до зміни яких має непрофесійний користувач — бухгалтер.
Аудитор зобов'язаний також перевірити алгоритми розрахунку показників форм звітності й оцінити можливість їх коригування у разі змін у законодавстві. Необхідно перевірити відповідність використовуваних форм звітності чинному законодавству. Багато відомих фірм-розробників оперативно поширюють серед своїх користувачів нові форми бланків при їх зміні.
В обов'язки аудитора входить оцінка можливостей використовуваної клієнтом системи в частині створення й формування нових, не передбачених програмою, форм внутрішньої чи зовнішньої звітності: розгляд механізму роботи з результатною вихідною інформацією, можливостей її розшифровки і швидкого виявлення та виправлення помилок; проведення тестування результатів обробки, щоб виявити, наприклад, неправильно розраховане сальдо на рахунках; тестування перенесення облікових даних у звітність, особливо в тому разі, коли показники форми звітності в системі заповнюються "вручну" перенесенням із сформованих програмою стандартних звітів (облікових регістрів).
Приступаючи до проведення аудиторської перевірки, аудитор насамперед має ознайомитися з організаційною формою обробки даних і рівнем автоматизації управлінських завдань, у тому числі завдань бухгалтерського обліку. Підприємство, як правило, здійснює обробку даних самостійно. Лише в окремих випадках за договором залучається стороння організація.
Сучасні КСБО допускають децентралізоване використання комп'ютерів безпосередньо на робочих місцях облікового персоналу. Рівень же централізації обробки й збереження даних може бути різним і залежить від чисельності бухгалтерії, оснащеності її комп'ютерами, розподілу робіт між персоналом та від багатьох інших факторів. На малих підприємствах, де обробку даних виконує однин бухгалтер, програмне забезпечення КСБО й інформаційна база зосереджені на одному комп'ютері. Однак при більшій чисельності бухгалтерії мова йде вже про системи для багатьох користувачів, які реалізують роботу кількох користувачів з інформаційною базою обліку. Такі системи використовують одну з чотирьох технологій:
• локальне функціонування робочих місць;
• обробку інформації на основі технології "файл — сервер";
• обробку інформації на основі технології "клієнт — сервер";
• повністю централізовану обробку даних.
Кожна із цих технологій допускає свої форми використання комп'ютерів, форми організації та ведення інформаційної бази обліку й інтеграції облікових даних для складання звітності. Як правило, на середніх і великих підприємствах перевагу надають останнім трьом технологіям. При цьому на великих підприємствах усе більше застосовують технологію "клієнт — сервер".
Аудитор має розумітися на основних відмінностях цих технологій, тому що це впливає на зумовлені ним процедури перевірки і ризик проведеного аудиту. Аудитор зобов'язаний оцінити, наскільки обґрунтована й ефективна система, що використовується на конкретному економічному об'єкті. Однак аудитор не має права примушувати клієнта до застосування відомої йому системи. Він може допомогти клієнтові комп'ютеризувати бухгалтерський облік, рекомендувати ту чи іншу фірму і програму.
Положення про міжнародну аудиторську практику вирізняють особливості роботи з різними комп'ютерними системами під час проведення аудиту. Це положення 1001 "Середовище ІТ — автономні персональні комп'ютери", 1002 "Середовище ІТ — онлайнові комп'ютерні системи", 1003 "Середовище ІТ — системи баз даних ".
Міжнародне положення 1001 "Середовище ІТ — автономні персональні комп'ютери" регламентує особливості проведення аудиту на підприємствах, які використовують окремі персональні комп'ютери. Особливість застосування персональних комп'ютерів та окремих АРМ полягає в тому, що для керівництва підприємства-клієнта може бути неможливим або недоцільним з погляду співвідношення витрат і результатів впровадження належних засобів контролю з метою зменшення ризику невиявлення помилок до мінімального рівня. Тому аудитор найчастіше вправі припустити, що в таких системах ризик системи контролю високий.
У цілому, КСБО, в якій використовуються лише окремі персональні комп'ютери, менш складні, ніж мережеві КСБО. У першому разі прикладні програми можуть легко розробити користувачі, котрі володіють основними навичками обробки даних. У таких випадках контроль за процесом системної розробки (наприклад, адекватна документація) та операціями (наприклад, доступ до контрольних процедур), суттєвими для ефективного контролю у великому комп'ютерному середовищі, розробник, користувач або керівник не можуть розглядати як настільки ж важливий або ефективний з погляду співвідношення витрат і результатів. Проте, оскільки дані було оброблено на комп'ютері, користувачі такої інформації можуть без відповідних на те підстав надмірно покладатися на облікову інформацію. Оскільки персональні комп'ютери орієнтовані на індивідуальних кінцевих користувачів, точність і вірогідність підготовленої фінансової інформації буде залежати від засобів внутрішнього контролю, встановлених керівництвом і прийнятих користувачем. Наприклад, якщо комп'ютером користуються декілька людей без належного контролю, то програми і дані одного користувача, які зберігаються на вбудованому носії інформації, можуть стати предметом недозволеного користування, зміни або шахрайства з боку інших користувачів.
У міжнародному положенні 1002 "Середовище IT — онлай-нові комп'ютерні системи" регламентуються особливості проведення аудиту на підприємствах, які використовують КІСП з модулями оперативного обліку господарських операцій у реальному режимі часу. Це актуально для таких сфер бізнесу, як банки, мобільний телефонний зв'язок, електронна комерція тощо.
Особливістю таких систем є розвинуті заходи контролю (controls) під час здійснення господарських операцій. При введенні даних в інтерактивному режимі вони звичайно підлягають негайній перевірці. Непідтверджених даних не буде прийнято, і на екрані терміналу висвітиться повідомлення, що дає можливість користувачу виправити дані й відразу ж ввести їх повторно. Наприклад, якщо користувач вводить неправильний порядковий номер ТМЦ, буде виведено повідомлення про помилку, що дасть користувачу можливість ввести правильний номер.
Аудиторські процедури, виконувані одночасно з інтерактивною обробкою, можуть включати перевірку відповідності засобів контролю за інтерактивними прикладними програмами. Наприклад, це може бути зроблено за допомогою введення тестових операцій через пристрій терміналу або за допомогою аудиторського програмного забезпечення. Аудитор може використовувати такі тести для того, щоб підтвердити своє розуміння системи або для перевірки засобів контролю, таких як паролі та інші засоби контролю доступу.
Є певні особливості систем, що працюють у реальному масштабі часу, які породжують труднощі як для споживача, так і для аудитора.
В американських публікаціях зазначається, що із системами, які працюють у реальному масштабі часу, пов'язані чотири моменти, які створюють додаткові труднощі для контролю [25]:
• введені дані звичайно не згруповані, тому комп'ютерна система сприймає невпорядковані дані різних видів, що вводяться;
• на комп'ютері здійснюється тільки швидка перевірка документів. Наприклад, засоби виробничого контролю системи, котра працює в реальному масштабі часу, може бути перенесено безпосередньо в периферійний пристрій без усякої документації. Подібно до цього робочі програми, команди може бути подано у формі візуального зображення без роздрукування результатів і стандартної форми;
• системи, котрі працюють у реальному масштабі часу, збільшують і ускладнюють взаємозв'язок секцій системи;
• висока продуктивність систем, які працюють у реальному масштабі часу, значно збільшує швидкість обробки інформації, що ускладнює процес контролю.
Особливості інтерактивних комп'ютерних систем зумовлюють велику ефективність проведення аудитором аналізу нових інтерактивних бухгалтерських прикладних програм до, а не після початку експлуатації. Такий попередній аналіз дасть аудитору можливість перевірити додаткові функції, наприклад, детальні списки операцій або функції контролю в межах самої програми. Це також може дати аудитору достатньо часу для того, щоб розробити і випробувати аудиторські процедури до їх проведення.
Міжнародне положення 1003 "Середовище IT — системи баз даних" зазначає особливості функціонування комплексних КІСП, що ґрунтуються на єдиній базі (сховищі) даних (data warehouse, а також data repository), дані з якої використовуються різними службами підприємства.
Системи баз даних складаються переважно з двох основних компонентів — з бази даних і системи управління базою даних (СУБД). Бази даних взаємодіють з іншими технічними і програмними засобами всієї комп'ютерної системи.
База даних є сукупністю даних, що використовується багатьма користувачами для різних завдань. Кожен користувач може не знати всіх даних, які зберігаються в базі даних, і способів використання даних для різних завдань. Загалом, індивідуальні користувачі знають тільки про дані, якими вони користуються, і можуть розглядати дані як комп'ютерні файли, що використовуються в прикладних програмах.
Системи баз даних відрізняються двома важливими характеристиками: спільним користуванням даними і незалежністю даних. Оскільки інфраструктура безпеки підприємства відіграє важливу роль у забезпеченні цілісності виробленої інформації, аудитору необхідно розглянути цю інфраструктуру перед перевіркою контрольних засобів. У цілому, внутрішній контроль у середовищі баз даних потребує ефективної системи контролю за базою даних, СУБД і прикладними програмами. Ефективність системи внутрішнього контролю залежить великою мірою від характеру завдань адміністрування бази даних, і від того, як вони виконуються.
Методика тестування КІСП аудитором
Використані джерела
Розділ 4. СТВОРЕННЯ КОМП'ЮТЕРНИХ СИСТЕМ БУХГАЛТЕРСЬКОГО ОБЛІКУ ТА АУДИТУ
4.1. ЗАГАЛЬНІ ПРИНЦИПИ ТА ПІДХОДИ ПРИ СТВОРЕННІ КСБО
Передумови та принципи створення КСБО
Вимоги до програм бухгалтерського обліку
Способи впровадження КСБО
Рівні програмування КСБО
Характеристика персоналу КСБО