Аудит в среде компьютерных информационных систем

      достаточного представления о системах бухгалтерского учета • и внутреннего контроля, на которые влияет среда КИС;

      определения влияния КИС на оценку общего риска, риска на уровне сальдо счетов и класса операций;

      разработки и проведения соответствующих тестов контроля и процедур проверки по существу[2].

При возникновении необходимости в специализированных знаниях аудитор может обратиться за помощью к специалисту, обладающему такими знаниями и являющемуся либо работником аудиторской фирмы, либо приглашенным экспертом.

Аспектам планирования аудита в среде КИС посвящен раздел «Планирование», в котором отмечено, что аудитор должен получить представление о системах бухгалтерского учета и внутреннего контроля, достаточное для планирования аудита и разработки эффективного подхода к его проведению, руководствуясь при этом МСА 400 «Оценка рисков и внутренний контроль». В данном разделе указаны условия, обусловливающие степень сложности прикладной программы, которая предопределяет представление аудитора о значимости и сложности процессов функционирования КИС, а также о доступности данных для использования при аудите.

При планировании стадий аудита, на которые может повлиять среда КИС субъекта, аудитор должен получить представление о значимости и сложности процессов функционирования КИС, а также о доступности данных для использования при аудите. Прикладная программа считается сложной, если, например:

      объем операций таков, что пользователям трудно выявить и исправить ошибки, допущенные в процессе обработки;

      компьютер автоматически генерирует существенные операции или проводки непосредственно в другой прикладной программе;

      компьютер выполняет сложные расчеты по финансовой информации и (или) автоматически генерирует существенные операции или проводки, которые не могут быть подтверждены либо не подтверждаются отдельно;

      обмен операциями с другими организациями осуществляется электронным способом и при этом не проводится физической проверки на предмет правильности или приемлемости [2].

Если КИС играют значительную роль, аудитор должен получить представление о среде КИС и возможности их влияния на оценку неотъемлемого риска и риска системы контроля.

Согласно разделу «Оценка риска» аудитор должен оценивать неотъемлемый риск и риск системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности. Это объясняется тем, что неотъемлемые риски системы контроля в среде КИС могут оказывать как общее, так и локальное влияние на вероятность существенных искажений информации (риски могут быть следствием недостатков таких функций КИС, как разработка и эксплуатация программы, поддержка системного программного обеспечения, обеспечение физической защиты КИС, а также контроль над доступом к специализированным обслуживающим программам; риски могут увеличить вероятность ошибок или мошенничества в конкретных прикладных программах, базах данных или главных файлах, а также при компьютерной обработке). Подчеркивается, что при аудите в среде КИС действует требование МСА 400 «Оценка рисков и внутренний контроль» о необходимости оценки аудитором неотъемлемого риска и риска системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности. Общее воздействие на все прикладные системы, подвергающиеся компьютерной обработке, может оказать недостаток контроля над доступом к специализированным обслуживающим программам. На степень риска также влияет факт незащищенности систем, контролирующих денежные расходы или другие ликвидные активы от мошеннических действий со стороны пользователей либо операторов КИС. Несмотря на то что общая цель и объем аудита в среде КИС не меняются, применение компьютеров может оказать влияние на характер аудиторских процедур, оценку аудиторских рисков, тесты контроля и процедуры проверки по существу. В связи с этим аудитор прежде всего должен рассмотреть, каким образом КИС влияет на аудит.

В разделе «Процедуры аудита» отмечается, что аудитор должен учитывать среду КИС при разработке аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня. Подчеркивается, что конкретные цели аудита не зависят от того, обрабатываются учетные данные вручную или на компьютере. Тем не менее на аудиторские процедуры могут оказывать влияние способы компьютерной обработки данных. Для получения достаточного доказательственного материала аудитор может либо применять методы ручной обработки данных, либо обрабатывать данные с помощью компьютера, либо комбинировать оба метода. Однако в некоторых системах бухгалтерского учета аудитору невозможно или нелегко получить определенные данные для проверки, запроса либо подтверждения без помощи компьютера.

Российским аналогом МСА 401 является ПСАД «Аудит в условиях компьютерной обработки данных», содержание которого идентично содержанию рассматриваемого МСА. Целью российского стандарта также является определение действий аудиторов при осуществлении аудита в условиях систем компьютерной обработки данных, функционирующих у проверяемого экономического субъекта.

Заключение

Невозможно представить современную компанию, не использующую информационные технологии. А в основе it инфраструктуры предприятия лежит персональный компьютер, который однако может являться одновременно: основным средством, нематериальным активом в виде программного обеспечения, системой управления предприятием, инструмент подготовки финансовой отчетности, риск и т.д. А потому аудит компьютерных систем в соответствии с международными стандартами является одним из наиболее сложных случаев аудита.

Основные процедуры, которые необходимо соблюдать при проведении аудита в условиях использования компьютерных информационных систем, раскрыты в МСА 401 «Аудит в среде компьютерных информационных систем».

Объектом применения данного МСА компьютерные информационные системы являются, когда организация применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер этой организацией или третьей стороной.

Список литературы

1.      Федеральный закон от 30.12.2008 N 307-ФЗ «Об аудиторской деятельности» (ред. от 11.07.2011).

2.      МСА 401 «Аудит в среде компьютерных информационных систем».

3.      Правила (стандарты) аудиторской деятельности/ Сост. и ав. Коммент. Н.А. Ремизов. 2-е изд., перераб. и доп. М.: ФБК-ПРЕСС,2011.

4.      Панкова СВ. Международные стандарты аудита : Учебное пособие. М.: Юристъ, 2011.

5.      Ситнов А.А. Международные стандарты аудита: Учебное пособие. – М.: ИД ФБК – ПРЕСС, 2009.