Факторы, влияющие на аудиторский риск, которые необходимо учитывать при проведении аудита в условиях компьютерной обработки данных
При проведении аудиторской проверки следует учитывать степень использования компьютерной технологии для решения каждой из задач по обработке существенной бухгалтерской информации. Применение компьютерных систем для обработки существенной бухгалтерской информации может потребовать от аудиторов специальных знаний для понимания сущности выполняемых операций. Уровень автоматизации может также влиять на содержание, распределение во времени и глубину аудиторских процедур.
Цель стандарта «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем. (11.07.2000 г. Протокол 1)» заключается в определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем компьютерной обработки данных. Задачи стандарта заключаются в описании:
- а) дополнительных рисков, появляющихся вследствие использования экономическим субъектом системы КОД;
- б) системы внутреннего контроля в условиях КОД;
- в) различных процедур проверки аудиторской фирмой или аудитором, работающим самостоятельно в качестве индивидуального предпринимателя, надежности внутреннего контроля за системой КОД.
Содержание стандарта «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» дополняет стандарты аудиторской деятельности «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита», «Существенность в аудите», а также стандарты по компьютерному аудиту. Эти дополнения приведены в табл. 1. Нетрудно заметить, что вышеназванный стандарт направлен как на расширение сущности подходов и методов, приведенных в стандартах (п. 1 и 2), так и на уточнение и дополнение рекомендаций по организации компьютерного аудита (п. 3 и 4).
Таблица 1 — Взаимосвязь правил (стандартов)
№ |
Наименование стандарта |
Дополняет стандарты в части |
|
1 |
«Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита» |
1) Изучения системы внутреннего контроля в условиях КОД 2) Проверки надежности системы внутреннего контроля за системой КОД |
|
2 |
«Существенность в аудите» |
Вероятности появления новых рисков в системе внутреннего контроля и бухгалтерского учета |
|
i |
«Аудит в условиях компьютерной обработки данных» |
Применения специальных средств контроля информации, функционирующей в системе внутреннего контроля и бухгалтерского учета экономического субъекта |
|
4 |
«Проведение аудита с применением компьютеров» |
Применения аудитором новых средств и методов контроля проверяемой информации экономического субъекта |
|
Аудиторская организация обязана на всех этапах проведения проверки исходить из позиции профессионального скептицизма, принимая во внимание вероятность того, что получаемые аудиторские доказательства и (или) информация об экономическом субъекте могут быть неверными.
Уверенность аудиторской организации в надежности выражаемого мнения о достоверности бухгалтерской отчетности экономического субъекта не может быть абсолютной ввиду наличия факторов, неизбежно ограничивающих эффективность аудита. К числу таких факторов относятся:
- ограниченность осведомленности аудиторской организации о деятельности экономического субъекта рамками исследований, издержки на проведение которых необходимо удерживать в экономически приемлемых пределах;
- присутствие в аудиторской работе неизбежного элемента субъективности в процессе принятия аудитором решений на основе профессиональных суждений, в частности, при определении видов, объема и графика аудиторских процедур;
- применение в ходе аудита выборочного подхода к осуществлению проверки ввиду нерациональности ее проведения сплошным порядком;
- использование аудиторской организацией, в качестве основы для формирования выводов и заключений, аудиторских доказательств, которые по своему характеру являются сочетанием фактов и мнений;
- подверженность систем бухгалтерского учета и внутреннего контроля экономического субъекта присущим им изъянам;
- отсутствие непреодолимых препятствий для мошеннического сговора с целью искажения информации;
— наличие неопределенности, связанной с интерпретацией и оценкой некоторых событий хозяйственной жизни, а также других обстоятельств, делающих невозможным применение исключительно объективных критериев как к составлению бухгалтерской отчетности, так и к оценке ее достоверности.
Организация данных бухгалтерского учета у клиента в среде КОД оказывает влияние на профессиональный риск аудитора. Риск аудитора повышается в том случае, если:
- компьютеризованная среда децентрализована;
- существует географическая разбросанность компьютерных установок;
- уровень знаний бухгалтерского персонала в области информационных технологий недостаточен;
- внутренний контроль за функционированием среды КОД отсутствует;
- отсутствуют необходимые меры по ограничению несанкционированного доступа в систему КОД.
Риск аудитора снижается в случае, если:
- системы автоматизации являются лицензированными;
- существует возможность углубить некоторые виды контроля благодаря программному обеспечению, специально разработанному для аудиторов;
- существует специальный контроль программного обеспечения;
- информационная политика экономического субъекта квалифицированно определяется его руководством;
- все подразделения, филиалы, дочерние общества работают в единой среде КОД, применяют современное единое программное обеспечение;
- информационная политика экономического субъекта согласована с основными пользователями системы КОД;
- имеется долгосрочный план развития системы КОД.
В компьютерной системе оценка риска неэффективности контроля включает следующие действия:
- идентификацию конкретных целей контроля на основе анализа различных видов ошибок в существенной бухгалтерской информации;
- идентификацию мест возможного появления определенных видов ошибок в цепочках последовательных операций;
- идентификацию специальных процедур контроля, обеспечивающих достижение его конкретных целей;
- идентификацию вспомогательных процедур контроля, которые необходимы для обеспечения эффективности выполнения основных процедур;
- оценку структуры процедур контроля с целью определения обеспечиваемого ими уровня риска неэффективности.
Идентификация конкретных целей контроля в данном случае не отличается от этой операции в неавтоматизированных системах обработки данных. В то же время, процесс идентификации мест возможного появления ошибок в компьютерных системах значительно отличается от аналогичного процесса в неавтоматизированных системах. Так, при использовании компьютера ошибки могут появиться в следующих случаях:
- при подготовке исходных данных, связанной с цепочкой операций по получению разрешения на запуск системы;
- при немашинной обработке исходных данных, например в процессе формирования контрольных сумм);
- при преобразовании исходных данных в машиночитаемую форму;
- при идентификации входных файлов для использования в обработке;
- при передаче информации от одной программы к другой;
- при запросе файлов для получения дополнительной информации по отдельным сделкам (например, таблиц проверенных поставщиков);
- при инициировании операций компьютером;
- при создании выходных файлов или корректировке главных файлов;
- при изменении главных файлов (добавлении, удалении или изменении записей) необычной для каждого цикла цепочки операций в результате выполнения процедур сопровождения;
- при генерировании выходных отчетов или файлов;
- при исправлении ошибок, обнаруженных в результате процедур контроля;
- при использовании персоналом выходных данных и устройств.
Вслед за идентификацией специальных процедур контроля следует проанализировать общие или связанные с ними процедуры контроля, которые также должны функционировать соответствующим образом. Оценка риска неэффективности контроля осуществляется как и в неавтоматизированных системах. Собранная информация о среде контроля, системе бухгалтерского учета и процедурах контроля должна быть достаточной для обоснования одного из следующих заключений:
— Риск неэффективности контроля может быть оценен как низкий, а аудиторское тестирование системы контроля будет эффективным. Адекватность процедур контроля, направленных на предотвращение ошибок или их обнаружение, может быть проверена по методу «затраты — эффективность».
— Риск неэффективности контроля может быть оценен как низкий, но аудит может быть неэффективным в случае тестирования контроля. Политика в области контроля и соответствующие процедуры представляются адекватными, но проведение аудиторского тестирования системы контроля неэффективно по затратам. В этом случае аудиторам следует сконцентрировать свое внимание на общих процедурах проверки.
— Риск неэффективности контроля может быть оценен как высокий. Политика в области контроля и соответствующие процедуры не представляются достаточными для предотвращения ошибок или их обнаружения. В таком случае аудиторы используют общие процедуры проверки.
Следует иметь в виду, что наличие системы КОД может повышать или снижать аудиторский риск. Факторы, повышающие аудиторский риск:
1) децентрализация системы КОД;
2) географическая разбросанность системы КОД;
3) отсутствие внутреннего контроля;
4) отсутствие мер по ограничению несанкционированного доступа к системе КОД.
Факторы, снижающие аудиторский риск:
1) наличие лицензии на используемые пакеты прикладных программ (ППП);
2) наличие у аудитора средств тестирования программных продуктов клиента;
3) существование системы контроля используемого программного обеспечения;
4) централизованная информационная политика, определяемая руководством;
5) единая система КОД, используемая в разных подразделениях;
6) наличие единого плана развития системы КОД.
Аудиторский риск зависит от качества внутреннего контроля. В свою очередь качество внутреннего контроля определяют:
1) контроль подготовки данных;
2) предотвращение ошибок и фальсификаций во время работы системы КОД;
3) контроль за данными нормативно-справочного характера;
4) хорошая координация и взаимодействие между пользователями системы КОД и службой информатизации
Использование компьютеров существенно влияет на организационную структуру экономического субъекта, что может привести к возникновению новых рисков в системе бухгалтерского учета и внутреннего контроля. Эти риски связаны с концентрацией функций управления и концентрацией данных и программ для их обработки. Риски, связанные с концентрацией функций управления, приводят к тому, что может быть утрачено эффективное функционирование системы учета и контроля. Риски, связанные с концентрацией данных и программного обеспечения, приводят к возможности утери информации и несанкционированного доступа к ней. Кроме того, появляются риски: отсутствие первичных документов; отсутствие возможности наблюдения за разноской первичных учетных данных по регистрам, их закрытием и составлением отчетности; отсутствие регистров; доступ к базе данных несанкционированных пользователей.
2. Функциональная структура СААД
Сегодня невозможно представить себе область деятельности человека, связанную с обработкой информации, без использования вычислительной техники. Вполне естественно и органично персональные компьютеры (ПК) находят применение и в аудите. С начала 90-х годов XX в., когда приобретение персонального компьютера перестало быть проблемой, начался активный процесс внедрения информационных технологий в практику ведения бухгалтерского учета предприятий и организаций. На рынке программного обеспечения появилось большое количество специализированных программ, различных по функциональным возможностям, качеству исполнения, сложности. Впоследствии среди производителей определились общепризнанные лидеры. Вместе с тем применяемые в настоящее время программы весьма разнообразны и их количество внушительно. Можно констатировать, что сегодня в организациях различных направлений и масштабов деятельности ведение бухгалтерского учета без использования вычислительной техники воспринимается уже как исключение из общего правила. Таким образом, применение компьютерных методов в аудите является требованием времени.
Единственной возможностью составить конкуренцию западным аудиторским организациям является повышение технологичности российских аудиторских фирм. Одним из перспективных направлений разработки современных технологий аудита является его компьютеризация. Причем одно обусловливает другое: чем технологичнее процесс, чем он больше формализован, тем легче он может быть автоматизирован и, чем больше средств автоматизации в арсенале «технолога», тем шире круг операций, которые он может автоматизировать. В аудиторских организациях ПК могут использоваться и активно применяются как для автоматизации управленческих работ самой аудиторской организации, так и для проведения аудита экономических субъектов. При этом понятие «использование ПК для проведения аудита» является весьма общим и может включать следующие виды работ (табл. 2):
Таблица 2 — Варианты применения компьютеров в аудите
Варианты |
Виды выполняемых работ с использованием компьютера |
|
I |
Выполнение несложных расчетов, печать типовых форм аудиторских документов, опросных листов, анкет и др. |
|
II |
Использование нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «Консультант плюс») |
|
III |
Организация запросов к электронной базе данных, формируемой в автоматизированной системе бухгалтерского учета (АСБУ) |
|
IV |
Проверка отдельных расчетов, выполняемых на участках учета АСБУ |
|
V |
Формирование регистров бухгалтерского учета и альтернативного баланса с использованием электронной базы да иных |
|
VI |
Проведение комплексного анализа финансового состояния экономического субъекта |
|
Содержание табл. 2 показывает, что ПК находят разнообразное применение у аудиторов, и в каждом виде работ преимущество компьютерного варианта перед ручным несомненно. В настоящее время определены основные подходы к созданию комплексной системы автоматизации аудиторской деятельности. Один из подходов состоит в том, что аудиторская деятельность (в части контроля) рассматривается как анализ функционирования автоматизированной системы бухгалтерского учета (АСБУ) — другой информационной системы, имеющей соответствующий состав задач, которые реализуются с использованием информационных технологий. В этом случае основным объектом проверки становится информация, вводимая и преобразующаяся в процессе работы АСБУ.
Таким образом, сегодня имеются все предпосылки для создания комплексной системы автоматизации аудиторской деятельности на основе использования как общетеоретических положений в области АСУ, так и аудиторских стандартов, регулирующих использование ПК и информационных технологий в аудите. В отличие от автоматизации бухгалтерского учета, где на рынке программных средств имеются разнообразные пакеты прикладных программ, начиная от простых и, кончая самыми сложными, на рынке аудиторских программ разработчики еще не предложили ни одного законченного пакета, но отдельные фрагменты уже существуют и активно используются. Но сегодня сложились все предпосылки для создания комплексной системы автоматизации аудиторской деятельности (СААД), охватывающей все ее основные направления. К таким предпосылкам относятся:
1) Высокий уровень развития средств персональных компьютеров (ПК), вычислительных систем, информационных технологий.
2) Наличие систем автоматизации бухгалтерского учета и других функций управления у экономических субъектов. Возможность использовать любую хранимую информацию также является предпосылкой создания и использования СААД. Если бухгалтерский учет не автоматизирован, то для применения СААД аудитор сталкивается с проблемой ввода исходной информации большого объема, а следовательно, с проблемой контроля такого ввода. Поэтому он вынужден осуществлять выборочный контроль (вводить не всю информацию, а отобранную по определенным, обоснованным принципам), т.е. сталкивается с проблемой репрезентативности выборки, оценки вероятности ошибки аудиторских выводов по результатам анализа этой выборки.
3) Формализация бухгалтерского учета. Применение и использование рабочих таблиц, классификаторов и работу с ними можно проиллюстрировать описанием взаимной увязки показателей различных форм отчетности, а также справочником-классификатором допустимых бухгалтерских проводок.
4) Стандартизация аудита, четкие правила его проведения и требования к формам аудиторской документации. Это позволяет автоматизировать составление необходимых документов и их редактирование.
5) Высокий уровень развития математических методов экономического анализа.
6) Создание и использование информационно-справочных систем.
7) Наличие нормативно-правовой базы создания СААД. Для этой цели разработаны как международные (МСА), так и российские правила (стандарты), регулирующие компьютерный аудит.
Согласно общих положений построения организационно-экономических автоматизированных систем, аудиторская автоматизированная система — это система, которая состоит из функциональной и обеспечивающей частей, что можно представить в виде рисунка 1.
Основными задачами и целями системы автоматизации аудиторской деятельности (СААД) являются:
1. Автоматизация работы аудитора, а именно:
- составление рабочей документации в целях повышения эффективности аудита в целом;
- корректировки и обновления финансовых данных с целью автоматизации трудоемких работ;
- хранения данных в целях улучшения контроля;
- составления плановых документов и отчетов с целью повышения эффективности работы и улучшения внешнего вида документов.
2. Выполнение основных аудиторских функций: аналитический обзор и составление по нему документации для повышения эффективности и качества анализа в целом; планирование выборки данных, отбор данных и их оценки в целях сбора фактических данных и повышения эффективности их оценки.
3. Выполнение аудиторских функций высокого уровня, а именно:
- осуществление аналитических процедур для проверки конкретных счетов бухгалтерского учета с целью повышения качества аудиторского анализа;
- осуществление доступа к файлам аудируемого лица с целью непосредственной загрузки данных в электронную документацию аудитора;
- осуществление доступа к частным и государственным базам данных (БД) с целью получения справочных данных;
- для загрузки пакета аудиторских программ из большой ЭВМ в миникомпьютер;
- для создания и использования системы поддержки моделирования и принятия решений в целях повышения качества аудиторских решений.
4. Перспективное развития аудита и оказание сопутствующих аудиту услуг: накопление аудиторских файлов; осуществление непрерывного и текущего контроля за потоками информации; ведение и восстановление бухгалтерского учета у клиента; осуществление комплексного финансового анализа; предоставление справок и необходимой документации клиенту и т.д.
СААД должна обеспечивать наиболее полное и комплексное использование возможностей ПК в аудиторской деятельности. Это означает, что цели этой системы необходимо превратить в комплекс задач, подзадач, процедур, т.е. построить функциональную структуру системы, а также разработать все обеспечивающие компоненты для выполнения предусмотренных процедур. Таким образом, СААД должна включать две составляющие: функциональную и обеспечивающую. К обеспечивающим компонентам относят: информационный, технический, математический, программный, технологический, организационный, правовой, эргономический.
Информационное обеспечение подразделяется на внемашинное (документы и справочники) и базы данных (на машинных носителях).
Техническое обеспечение включает комплекс вычислительной и организационной техники, средства обработки, передачи и вывода информации.
Математическое обеспечение представляет совокупность алгоритмов, обеспечивающих ввод, контроль, хранение, корректировку информации, формирование результативной информации, информации о деятельности организации">обеспечение защиты информации. Кроме того, математическое обеспечение включает различные алгоритмы расчета учетных и отчетных показателей. Программное обеспечение включает операционную систему и пакеты прикладных программ, реализующих алгоритмы обработки информации в широком смысле слова.
Технологическое обеспечение — описание технологии обработки информации (ввода, преобразования, вывода, хранения, защиты).
Организационное обеспечение — комплекс документов, регламентирующих работу специалистов, выполняющих всю работу по обработке информации, а также определяющих взаимосвязь специалистов различных подразделений.
Правовое обеспечение — комплекс документов, определяющих права и обязанности специалистов, участвующих в процессе работы комплекса.
Эргономическое обеспечение — комплекс мероприятий по организации удобных рабочих мест, созданию условий комфорта для работы специалистов.
При проектировании и реализации любой из задач, образующих функциональную структуру СААД, необходимо реализовать каждый из перечисленных компонентов. В свою очередь каждый из этих компонентов имеет определенное значение и является обязательным, но по сложности создания приоритет должен быть отдан созданию информационного, математического, алгоритмического, программного и технологического обеспечения процесса решения информационных задач.
Функциональная структура СААД отражает два основных направления аудиторской деятельности: аудит и сопутствующие аудиту услуги.
Аудит включает контроль: деятельности персонала; формирования регистров учета; бухгалтерской (финансовой) отчетности и приложений с целью подтверждения достоверности бухгалтерской отчетности. Функциональная структура этой подсистемы СААД обусловлена особенностями объекта контроля и ее целями, состоящими в выявлении различных ошибок, имеющих место при функционировании АСБУ, оценке на их основе качества системы внутреннего контроля, а также оценке самих выявленных ошибок с точки зрения их существенности. Сопутствующие услуги включают разнообразные виды работ, которые можно эффективно выполнять с использованием средств вычислительной техники. К ним относятся: проведение экономического анализа для экономического субъекта; консультационные и прочие услуги (ведение учета экономического субъекта, восстановление и автоматизация учета, др.).
Функциональная структура СААД в части аудита (контроля) имеет прямую связь с функционированием АСБУ, которая является объектом аудиторской проверки. В функциональной структуре СААД проверка правильности преобразования отражена блоком «Проверка полноты и правильности оформления первичных документов».
Второй объект проверки — преобразование содержания первичных документов в журнал бухгалтерских проводок, отражающих все хозяйственные операции, т.е. ввод данных первичных документов с целью формирования ЖБП (журнал бухгалтерских проводок).
Проверка этого преобразования требует от аудитора высокой квалификации, так как даже методически правильные на первый взгляд проводки могут не соответствовать смыслу отражаемой хозяйственной операции. Проверка преобразования в функциональной структуре СААД представлена блоком «Проверка соответствия множества первичных документов и множества записей». Как правило, такая проверка проводится отдельно на каждом участке учета. В случае, когда АСБУ состоит из отдельных автоматизированных рабочих мест (АРМ), не связанных в сеть, фрагменты ЖБП формируются на отдельных участках, а затем объединяются в сводный журнал. При этом возможны ошибки, связанные с дублированием записей, плохой организацией корректировок фрагментов журнала на отдельных участках и учет этих корректировок в сводном журнале. Организации обмена информацией между участками учета и координации корректировок аудитор должен уделить особое внимание. Поэтому в функциональной структуре СААД предусмотрен не только блок «Проверка аналитического учета на участках учета», но и блок «Проверка формирования сводного массива проводок».
Третий объект проверки — преобразование данных ЖБП в регистры бухгалтерского учета — принципиально отличается от первых двух, ибо представляет собой автоматическую операцию (по данным одной таблицы получаются другие путем сортировки, группировки суммирования показателей по строгим алгоритмам).
Опыт показывает, что выполнение таких операций не приводит к ошибкам, в чем аудитор, конечно, должен убедиться, протестировав используемые экономическим субъектом программы. В функциональной структуре СААД проверка преобразования предусмотрена блоком «Контроль формирования регистров бухгалтерского учета».
Четвертый из указанных объектов проверки — расчет финансовых результатов и формирование бухгалтерской отчетности — представляет собой человеко-машинную процедуру. Многие используемые АСБУ выполняют формирование бухгалтерской отчетности и всевозможных налоговых деклараций, но, как правило, полученные машинограммы подвергаются определенной корректировке, поскольку запутанные и постоянно меняющиеся требования законодательства по бухгалтерскому и налоговому учету невозможно реализовать в надежном алгоритме. Кроме того, при расчете финансовых результатов используются оценочные показатели, рассчитываемые вне строгого бухгалтерского учета (сумма незавершенного производства, себестоимость реализованной продукции и услуг и т.д.) В функциональной структуре СААД проверка преобразования относится к блоку «Контроль бухгалтерской (финансовой) отчетности и приложений».
Функциональная структура СААД в части услуг, сопутствующих аудиту, отражает основные направления деятельности аудитора, не связанной с проверкой учета: анализ, консультации и прочие услуги. Объектом анализа аудитора может быть как деятельность администрации (правильность, оптимальность принимаемых ею управленческих решений), так и результаты этой деятельности — финансовое состояние предприятия, динамика и перспективы его развития. Поэтому в функциональной структуре СААД предусмотрены «Анализ деятельности администрации» и «Анализ финансового состояния». Немалую долю в аудиторской деятельности занимают консультационные услуги, кроме того, аудиторские фирмы оказывают экономическим субъектам услуги по ведению, восстановлению и автоматизации учета, по обучению персонала и др. Поэтому в функциональной структуре СААД нашли отражение эти функции — «Консультации», «Прочие услуги».