Інформаційні технології в організації бухгалтерського обліку та аудиту - Івахненков С.В. - Поняття про комп'ютерний контроль та аудит

Поняття про комп'ютерний контроль та аудит

Застосування комп'ютерів значно впливає на проведення контролю та аудиторських процедур. Однак слід мати на увазі, що контрольні функції автоматизуються найважче. Сама по собі комп'ютеризація обліку

не може,усунути приховування крадіжок і зловживань через неправильне перенесення на електронні носії реквізитів, зазначених у документах, введення фальсифікованих документів тощо. Комп'ютер завжди однаково оцінює ситуацію і процес, тому ймовірність помилок контролю в умовах застосування комп'ютерів значно нижча. Отже, комп'ютерна програма забезпечує лише неупередженість і точність контролю.

На відміну від ручних облікових систем, у яких записи роблять на папері і аудитор розглядає можливість знищення, підробки, заміни паперових документів, в умовах використання КІСП аудитору доводиться мати справу з питаннями безпеки та надійності комп'ютерних облікових систем. Таким чином, аудитор перевіряє низку суто технічних питань, які не мають прямого відношення до бухгалтерського обліку, але безпосередньо впливають на оцінку аудитором ризику системи контролю. Зокрема, подібні заходи передбачає Національний норматив № 31 "Вплив системи електронної обробки даних на оцінку систем бухгалтерського обліку і внутрішнього контролю*.

Отже, в умовах застосування КІСП відбувається взаємне проникнення різних за своїм змістом та суб'єктами видів контрольної й організаційної діяльності (рис. 4.25).

Виник навіть спеціальний термін — комп'ютерний аудит. Під комп'ютерним аудитом мають на увазі оцінку поточного стану комп'ютерної системи на відповідність деякому стандарту чи запропонованим вимогам [31]. Цей термін використовують спеціалісти із загальної безпеки комп'ютерних інформаційних систем.

Здебільшого комп'ютерний аудит потрібний, коли автоматизована система призначена для обробки конфіденційної чи секретної інформації. Саме до таких належать комп'ютерні системи бухгалтерського обліку. Для кожної категорії інформації на підприємстві внутрішніми стандартами визначають нижню межу

Складові аудиту в умовах застосування КІСП

Рис. 4.25. Складові аудиту в умовах застосування КІСП

рівня безпеки автоматизованої системи. Проведення комп'ютерного аудиту корисно також після побудови автоматизованої системи та підсистеми її безпеки на етапі приймання в експлуатацію для оцінки ступеня дотримання висунутих до неї вимог.

Основні параметри, за якими має здійснюватися перевірка КІСП щодо захисту та безпеки даних, наведено в табл. 4.9.

Положення про міжнародну аудиторську практику 1008 "Оцінка ризиків та система внутрішнього контролю — характеристика КІС та пов'язані з ними питання", передбачає, зокрема, те, що в КІСП наявна вразливість засобів зберігання даних і програм: великі обсяги даних і комп'ютерні програми, котрі використовують для обробки інформації, можуть зберігатися на портативних або вбудованих носіях інформації, на таких як магнітні диски і плівка. Саме ці носії інформації можуть украсти, загубити, навмисно або випадково знищити.

Комп'ютерні системи більш відкриті для доступу до даних, тому в них мають чітко розмежовуватися повноваження і права доступу до інформації, а також має бути введено систему захисту від несанкціонованого доступу.

Відповідно до Національного нормативу № 31 "Вплив системи електронної обробки даних на оцінку систем бухгалтерського обліку і внутрішнього контролю" під час оцінки ризику в

Таблиця 4.9. Параметри надійності програмних систем для ведення бухгалтерського обліку

ПараметриХарактеристики
Обмеження доступуОбмеження доступу за допомогою системи паролів для читання, запису та знищення інформації, автоматичне ведення протоколів роботи
Контроль за діями облікового персоналуПеревірка правильності використання Плану рахунків, вчасності і правильності ведення облікових регістрів, відповідності даних синтетичного й аналітичного обліку даним бухгалтерського балансу та іншим формам звітності
Архівація

накопиченої

інформації
Можливість зберігати страхові копії певний час, який залежить від швидкості оновлення даних у системі
Наявність

робочої

документації
У підрозділі документації до програмної системи "Аварійні ситуації" мають бути приклади аварійних ситуацій і способи відновлення працездатності системи з мінімальними витратами праці та часу

системах, у яких використовується електронна обробка даних (БОД), аудиторам необхідно звертати увагу на методи управління, за яких передбачається обмеження доступу до бази даних, наприклад, захист бази даних від несанкціонованого втручання.

Аудитор зобов'язаний виявити слабкі місця контролю КІСП — розглянути як апаратні, так і програмні засоби контролю, а також організаційні заходи, наприклад перевірку цілісності даних і відсутність комп'ютерних вірусів.

Найактуальнішим питанням, яке постає з відмовою від паперових бухгалтерських документів при застосуванні КІСП, є розробка способів юридичного підтвердження достовірності даних, що реєструються.

Розв'язання цього питання можливе при розробці комп'ютерних облікових програм шляхом:

• проектування спеціальних засобів блокування введення даних у разі пропуску будь-яких реквізитів;

• наявності в програмі засобів ідентифікації особи, котра працює з терміналом;

• спеціальних засобів захисту інформації.

Так, у системі комп'ютеризації документообігу Work Expeditor у процесі руху документа формують журнал, у якому фіксуються час, дії та імена користувачів, котрі працювали з документом [б, с. 331]. Додаткові спеціальні засоби захисту інформації дозволять вносити зміни або виправлення тільки тій особі, яка їх вперше зареєструвала на електронному носії.

Аудитору також необхідно проаналізувати систему контролю підготовки бухгалтерських даних, перевірити, які заходи вжито клієнтом для запобігання помилкам і фальсифікаціям. Слід зазначити способи організації контролю повноти та правильності введення первинної інформації в інформаційну базу, контролю обробки і висновку даних, дати оцінку їхньої достатності й ефективності. У мережевих системах з багатьма користувачами об'єктом уваги має бути контроль передачі даних.

Основні поняття стосовно надійності програмних інформаційних систем [9] уперше було визначено в опублікованій у 1983 р. "Оранжевій книзі" Міністерства оборони СІЛА. Безпечна інформаційна система визначається в ній як "система, яка керує за допомогою відповідних засобів доступом до інформації так, що тільки належним чином авторизовані особи одержують право читати, записувати, створювати та знищувати інформацію".

У Законі України "Про захист інформації в автоматизованих системах" сказано, що захист інформації — це, передусім, комплекс організаційно-технічних заходів, спрямованих на запобігання втрат інформації внаслідок як ненавмисних або навмисних дій, так і несанкціонованого її зняття, а також на запобігання шахрайству з метою розкрадання майнових та грошових цінностей суб'єктів господарської діяльності.

На жаль, у Законі немає переліку конкретних заходів, тому їх розробка лягає як на розробників, так і на користувачів комп'ютерних систем.

Захищеною інформаційною системою можна вважати інформаційну систему, яка відповідає певним вимогам і в якій реалізовано комплекс заходів захисту. Універсальний перелік вимог до захищених систем складати недоцільно через різноманітність самих систем і різноманітність імовірних загроз. Проте є кілька базових вимог, без задоволення яких систему не можна вважати захищеною.

Отже, безпечною є інформаційна система, яка задовольняє такі вимоги:

• цілісність інформації (information integrity). Відповідає стану системи, коли інформація є вчасною, точною, повною і змістовною. Повністю забезпечити її майже неможливо, тому часто її розбивають на цілісність інформації та цілісність системи. Цілісність інформації — це вимога, щоб інформацію змінювали тільки в установленому порядку. Цілісність системи — це вимога, щоб система виконувала функції, яких від неї вимагають, зазначеним способом і без навмисного або незумисного неавторизованого втручання;

• доступність системи (system availability) — це вимога, щоб система працювала коректно і не відмовляла в доступі легальному користувачеві;

• конфіденційність системи (system privacy) — це вимога, щоб до приватної або конфіденційної інформації, яка міститься в системі, не мали доступу нелегальні (неуповноважені) користувачі.

Ефективний контроль, конфіденційність або захист важливих програм та даних від нсдозволеного доступу і модифікації з боку користувачів може забезпечити криптографія. Найчастіше її використовують тоді, коли важливі дані передаються по комунікаційних лініях. Криптографія — це зворотний (тобто такий, який має обернений) процес перетворення програм та даних у форму, непридатну для обробки. Шифрування і розшифрування даних потребує використання спеціальних програм і шифрувального ключа, відомого тільки користувачам, яким дозволено доступ до програм та інформації.

Інколи до трьох основних вимог додають ще забезпечення відповідальності (non-repudiation). Ця вимога полягає в тому, що користувач не може відмовитися від авторства посланого ним повідомлення або виконаної дії.

Важливість наведених вимог не однакова для різних інформаційних систем. Якщо для інформаційних систем режимних державних організацій на першому місці стоїть конфіденційність, а цілісність розуміють винятково як незмінність інформації, то для комерційних структур важливіше за все цілісність (актуальність) і доступність даних та послуг з їх обробки. Порівняно з державними комерційні організації більш відкриті і більш динамічні, тому ймовірні загрози для них відрізняються і кількісно, і якісно.

Для забезпечення названих вимог до безпечної інформаційної системи використовують такі засоби захисту.

Підзвітність (протоколювання). Мета підзвітності — у кожний момент часу знати, хто працює в системі і що він робить. У безпечній системі обов'язково мають фіксуватися всі події, що стосуються безпеки. До таких подій відносять: вхід у систему (успішний або ні); вихід із системи; звернення до віддаленої системи; операції з файлами (відкриття, закриття, перейменування, знищення); зміну привілеїв або інших атрибутів безпеки (режим доступу, рівень надійності користувача тощо). Ведення протоколів обов'язково доповнюють аналізом реєстраційної інформації.

До ключових засобів підзвітності належать ідентифікація і аутентифікація.

Ідентифікація дозволяє впізнати користувача системи (і визначити, чи користувався він системою раніше). Ідентифікація — це засоби, за допомогою яких користувач надає системі інформацію про себе.

Аутентифікація — це процес достовірної перевірки відповідності когось чи чогось. Вона підтверджує, ким є користувач, а також його права в системі. Іншими словами, аутентифікація — це підтвердження правильності ідентифікації. Можливі два види віддаленої аутентифікації: коли комп'ютер аутентифікує інший комп'ютер; коли комп'ютер виконує якісь операції для користувача, якщо той передасть пароль.

Порушення в роботі комп'ютерної системи можуть виникати через проблеми з живленням і помилки апаратного чи програмного забезпечення.

Помилка в апаратній частині може полягати у виході з ладу електронної чи механічної частини. Щоб уникнути цієї небезпеки, потрібно дублювати критичні вузли системи. Ще одним засобом проти подібних загроз є резервне копіювання даних. Як правило, в організаціях через відносно короткі проміжки часу роблять копії масивів даних і забезпечують їх надійне збереження. Такий захист доречний і в разі пожеж та затоплень. Тому копії й оригінали слід зберігати в різних місцях.

Програмні помилки також становлять небезпеку для роботи системи. Зокрема, програма може бути несумісна з операційною системою. Крім того, програма може бути інфікована вірусами.

Організаційні заходи контролю КІСП
Контроль за виконанням облікових записів у КСБО
Програмне забезпечення аудиторської діяльності
Використані джерела
ДОДАТКИ
Додаток А. Інформаційні системи, які застосовуються на підприємствах розвинутих країн
Додаток Б. Характеристики основних класів бухгалтерського програмного забезпечення
ВСТУП
МОДУЛЬ 1 . Загальні основи фінансового контролю. методика проведення ревізій
ТЕМА 1. Суть, предмет, методи, методичні прийоми та класифікація контролю
© Westudents.com.ua Всі права захищені.
Бібліотека українських підручників 2010 - 2020
Всі матеріалі представлені лише для ознайомлення і не несуть ніякої комерційної цінностію
Электронна пошта: site7smile@yandex.ru