Вопросы изучения и оценки системы учета и отчетности и взаимосвязанных с ней систем внутреннего контроля в случае электронной обработки данных рассматриваются в ПМАП 1008 «Оценка рисков и внутреннего контроля — характеристики КИС и связанные с ними вопросы». В Положении нашли отражение наиболее распространенные характеристики процесса электронной обработки данных, в том числе факторы, влияющие на его организационную структуру, характер обработки данных и процедуры, применяемые в системах учета и отчетности и внутреннего контроля. ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ним вопросы» представляет собой дополнение к МСА 401 «Аудит в условиях компьютерных информационных систем».
В разделе «Организационная структура», в котором описывается организационная структура КИС, отмечено о возможной концентрации функций и знаний. В таких случаях возникает ситуация, когда определенные сотрудники, занимающиеся обработкой данных, могут быть единственными сотрудниками, которые в деталях понимают взаимосвязь между источниками данных. Возникает опасность того, что эти сотрудники будут знать о слабых местах системы внутреннего контроля и смогут внести изменения в программы или данные во время их обработки и хранения. Другим нежелательным явлением может оказаться концентрация программ и данных — компьютерные программы, которые обеспечивают доступ К данным и мозиоляют изменять данные, обычно хранятся там же, где и данные, (Следовательно, при отсутствии соответствующего контроля увеличивается вероятность несанкционированного доступа к программам, данным и их изменения.
В разделе «Характер обработки» говорится, что использование компьютеров может привести к тому, что в системе учета будет сложнее получить наглядные доказательства, чем при использовании ручных методов и процедур. Кроме того, к таким системам имеет доступ большее количество людей. Можно выделить следующие особенности обработки данных в системах КИС:
■ отсутствие первичных документов (данные могут вводиться в компьютерную среду без сопроводительных документов);
■ отсутствие визуального следа операции (определенные данные могут существовать только в компьютерных файлах. При ручной системе обычно есть возможность проследить операцию в системе путем оценки первичных документов, бухгалтерских книг, записей, файлов и отчетов, а в среде КИС след операции может существовать частично в машиночитаемой форме, более того, только ограниченное время);
■ отсутствие визуального результата (определенные операции или результаты обработки могут не распечатываться. При ручной системе и в некоторых КИС существует возможность визуального изучения результатов обработки. В других КИС результаты обработки могут не распечатываться, либо на печать будут выводиться только сводные данные. Таким образом, отсутствие визуального результата может привести к необходимости получения доступа к данным файлов, которые могут быть прочитаны только с помощью компьютера);
■ свободный доступ к данным и компьютерным программам (доступ к данным и изменение компьютерных программ может осуществляться посредством компьютера или путем использования компьютерного оборудования, находящегося в ином месте, следовательно, при отсутствии соответствующего контроля возрастает вероятность несанкционированного доступа и изменения данных и программ на предприятии или извне).
В разделе «Структурные и процедурные аспекты» дается характеристика структурных и процедурных аспектов КИС. Они включают в себя:
■ последовательность выполнения (КИС выполняют свои функции в точности так, как они были запрограммированы, потенциально они более надежны, чем ручная система, при условии, что все виды операций и обстоятельства, которые могут произойти, учтены и введены в систему. В то же время компьютерная программа, которая недо статочно хорошо составлена и протестирована, может постоянно неправильно обрабатывать операции или иные данные);
■ запрограммированные процедуры контроля (характер компьютерной обработки позволяет включать процедуры внутреннего контроля в компьютерные программы. Данными процедурами может быть предусмотрено обеспечение ограниченного визуального контроля);
■ единовременное обновление данных в различных компьютерных файлах или в базах данных (одноразовый ввод данных в систему учета может автоматически обновить все записи, связанные с операцией, таким образом, ошибочная проводка в подобной системе учета может привести к ошибкам в различных финансовых счетах);
■ операции, генерируемые системами (определенные операции могут инициироваться самой КИС без необходимости во входящих документах, например, проценты могут подсчитываться и относиться на остатки по счетам клиентов автоматически на основе алгоритма, заложенного в программу);
■ уязвимость средств хранения данных и программ (большие объемы данных и компьютерные программы, используемые для обработки информации, могут храниться на таких портативных или встроенных носителях информации, как магнитные диски и пленка. Названные носители информации могут быть украдены, утеряны, преднамеренно или случайно уничтожены).
Раздел «Внутренний контроль в среде КИС» содержит информацию о том, что внутренний контроль за компьютерной обработкой данных, который помогает достигать общих целей внутреннего контроля, включает в себя как процедуры, проводимые с помощью ручной обработки, так и процедуры, встроенные в компьютерные программы. Указанные компьютерные процедуры контроля и процедуры контроля при ручной обработке обеспечивают общую систему контроля, действующую в среде КИС (общий контроль КИС), и конкретные средства контроля за прикладными учетными программами (контроль прикладных программ КИС).
В разделе «Общий контроль КИС» говорится, что целью общего контроля КИС является создание структуры общего контроля за деятельностью КИС и обеспечение достаточной уверенности в достижении основных целей внутреннего контроля. Общий контроль КИС может включать в себя: организационный и управленческий контроль; контроль за развитием и эксплуатацией системы прикладных программ; контроль за эксплуатацией компьютеров; контроль за программным обеспечением; контроль за вводом данных и программами. К другим мерам защиты КИС относятся: внесистемное резервное копирование данных и компьютерных программ; процедуры восстановления на случай кражи, утери или преднамеренного либо случайного уничтожения; положение о внесистемных операциях в случае масштабного сбоя.
В разделе «Контроль прикладных программ КИС» дается определение цели контроля прикладных программ КИС как установление конкретных процедур контроля в отношении прикладных учетных программ для обеспечения достаточной уверенности в том, что все операции санкционированы, зарегистрированы и обработаны полностью, точно и своевременно. Контроль прикладных программ КИС включает в себя:
■ контроль за вводом (предназначен для обеспечения достаточной уверенности в том, что операции должным образом санкционированы до момента их обработки на компьютере, без потерь преобразуются в машиночитаемую форму и записываются в компьютерную базу данных, неправильные операции отклоняются, корректируются и, если необходимо, своевременно вводятся повторно);
■ контроль за обработкой и компьютерной базой данных (предназначен для обеспечения достаточной уверенности в том, что операции, включая операции, генерируемые системой, надлежащим образом обрабатываются компьютером, не теряются, не дополняются, не дублируются или не изменяются по ошибке, ошибки обработки своевременно выявляются и корректируются);
■ контроль за результатами (предназначен для обеспечения уверенности в том, что результаты обработки точны, доступ к результатам предоставлен только уполномоченному персоналу, результаты своевременно передаются соответствующему уполномоченному персоналу).
Согласно разделу «Обзор общего контроля КИС» аудитор обязан рассмотреть, насколько влияние, которое общий контроль КИС оказывает на прикладные программы КИС, важно с точки зрения аудита. Средства общего контроля КИС, которые относятся к некоторым или ко всем прикладным программам, как правило, являются взаимозависимыми, поскольку их работа обычно существенно влияет на эффективность контроля прикладных программ КИС. Следовательно, может быть целесообразным проверить структуру общего контроля до проверки контроля прикладных программ.
В разделе «Обзор средств контроля прикладных программ КИС» указывается, что контроль за вводом, обработкой, файлами данных и результатами могут проводить персонал КИС, пользователи системы, отдельная группа контроля или сама прикладная программа. Аудитор может счесть необходимым провести тестирование средств контроля прикладных программ, в том числе: ■ контроля, осуществляемого пользователем вручную (если такой контроль прикладных программ в состоянии обеспечить достаточную уверенность в том, что результаты системы полны, точны и правомочны, аудитор может принять решение ограничить тестирование указанными средствами контроля и подвергнуть проверке только средства ручного контроля, применяемые пользователем);
■ контроля над выходными данными системы (если в дополнение к средствам контроля, осуществляемым пользователем вручную, предметом тестирования являются средства контроля, использующие информацию, генерированную компьютером или содержащуюся в компьютерных программах, может оказаться возможным проверить эти средства контроля путем исследования выходных данных системы с применением либо ручных, либо компьютеризованных методов аудита. Такие выходные данные могут быть на магнитных носителях, на микрофишах или в виде распечаток, например аудитор может протестировать средства контроля, используемые субъектом применительно к сверке итоговых показателей отчетов с контрольными счетами Главной книги, и данная сверка может быть протестирована вручную. В противном случае, если сверка осуществляется с помощью компьютера, аудитор может захотеть протестировать сверку путем повторного контроля с помощью компьютеризованных методов аудита);
■ программируемых средств контроля (в случае определенных компьютерных систем для аудитора может оказаться невозможным либо в некоторых случаях практически неосуществимым протестировать средства контроля путем исследования исключительно средств контроля пользователя или выходных данных системы, например, в прикладной программе, которая не генерирует распечаток, касающихся утверждения важнейших операций или действий в обход обычной политики, аудитор может захотеть протестировать контрольные процедуры, встроенные в прикладную программу. Аудитор может рассмотреть вопрос о целесообразности проведения тестов контроля с использованием компьютеризованных методов аудита, таких, как тестовые данные, повторная обработка данных по операциям или в необычных ситуациях проверка кодирования прикладных программ).
В разделе «Оценка» говорится, что общие средства контроля КИС могут оказывать глубокое воздействие на обработку операций в прикладных программах. Если подобные средства контроля неэффективны, то может существовать риск возникновения искажений и риск необнаружения таковых в прикладных программах. Следовательно, недостатки общих средств контроля КИС могут помешать тестированию определенных прикладных средств контроля КИС; однако используемые пользователями ручные процедуры могут представлять собой эффективное средство контроля на уровне прикладных программ.
Российским аналогом ПМАП №1008 является ПСАД «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем», цель которого заключается в определении рисков аудита, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем КОД.
Цель этого стандарта состоит в определении возникающих при проведении аудита бухгалтерской отчетности рисков аудитора, обусловленных влиянием систем КОД экономического субъекта. В соответствии с данной целью задачи стандарта заключаются в описании:
■ дополнительных рисков, которые могут возникнуть при использовании КОД;
■ особенностей системы внутреннего контроля в условиях КОД;
■ процедур проверки надежности внутреннего контроля за системой КОД.
Российские аудиторы имеют в своем распоряжении комплексную нормативную базу для обоснования возможностей и целесообразности широкого использования ИТ в аудиторской деятельности.
Применение системы КОД существенно влияет на организационную структуру экономического субъекта, внося в систему бухгалтерского учета и внутреннего контроля такие риски, как концентрация функций управления, концентрация данных и программ для их обработки.
Внедрение системы КОД, как правило, предполагает существенное сокращение управленческого и контрольного персонала путем передачи его функций персоналу, обслуживающему систему КОД. В результате исполнительские и контрольные функции, связанные с системой КОД, концентрируются в руках ограниченного числа лиц. Разделение обязанностей, необходимое для эффективного функционирования системы учета и контроля, может быть утрачено.
Концентрация (сосредоточение) базы данных в одном или нескольких местах, где она обычно хранится вместе с программами, обеспечивающими доступ к ней, повышает риск утери информации и несанкционированного доступа к ней.
Использование системы КОД изменяет процедуры записи учетных данных и расширяет круг лиц, которые получают доступ к бухгалтерским записям. Это может привести к появлению следующих рисков: отсутствие первичных документов; отсутствие возможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности; отсутствие регистров учета; доступ к базе данных и программам системы КОД несанкционированных пользователей.
В условиях КОД данные могут вводиться непосредственно в компьютер без составления соответствующих первичных документов. Получение разрешений на совершение тех или иных операций, их визирование также могут происходить внутри системы КОД без составления специальных документов на бумажных носителях.
Учетные данные могут храниться исключительно в электронной форме, а бумажные регистры, содержащие последовательные записи всех операций,— отсутствовать, что приводит к невозможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности. Кроме того, в ряде информационных систем не предусматривается архивирование промежуточных записей, и текущая информация в этих системах постоянно обновляется.
В системе КОД могут формироваться только сводные регистры и формы отчетности, но не промежуточные регистры учета. Отсутствие регистров может привести к тому, что доступ к данным будет только через систему КОД. Тем самым существенно снижаются возможности контроля и анализа учетной информации.
Базы данных и программы системы КОД становятся доступными как с компьютеров, которые их обрабатывают, так и с других компьютеров, подключенных к сети. В отсутствие специальных процедур контроля легкость доступа к системе КОД или широкий круг лиц, которые могут такой доступ получить, увеличивают риск несанкционированных бухгалтерских записей и изменений данных.
Система КОД существенно влияет как на организацию бухгалтерского учета в целом, так и на отдельные процедуры учета. Системам КОД присущи следующие специфические черты: заданность; автоматический контроль; однократный ввод информации в несколько файлов одновременно; операции внутри системы КОД или автоматические записи; трудности в обеспечении сохранности записей.
Системы КОД не допускают технических и счетных ошибок, и в этом смысле такие системы значительно «аккуратнее», чем ручные, однако их работа «задана», они лишены возможности гибкого реагирования на изменения правил учета и условий деятельности экономического субъекта, а надежность информации, обработанной в системах КОД, полностью зависит от их построения и программного обеспечения.
Система КОД позволяет автоматизировать многие контрольные процедуры с помощью специальных программ, которые не прослеживаются (в отличие от процедур ручного контроля). Например, заменяющая разрешительные надписи система паролей ведет к отказу от составления специальных документов, заявлений, журналов, которые нужно визировать. Контроль за ошибками и их исправлением путем составления справок, ведомостей (сличительных, оборотных) заменяется автоматической печатью отчета о найденных программой ошибках.
В условиях КОД ввод данных об одной операции может одновременно изменить несколько связанных с ней счетов. Подобная особенность систем КОД значительно увеличивает влияние ошибки ввода на бухгалтерскую информацию, поскольку неверная сумма будет проведена не по одному, как при ручной обработке данных, а сразу по нескольким счетам.
Некоторые проводки могут генерироваться системой КОД самостоятельно, без участия специалистов и без составления первичных документов. Это ведет к появлению несанкционированных записей и расчетов, которые к тому же сложно обнаружить из-за отсутствия специальных регистров или документов, например автоматическое начисление процентов на задолженность покупателей или по займам.
Многие базы данных могут храниться только в электронной форме, что увеличивает риск их утраты вследствие порчи компьютеров и электронных носителей информации, заражения их компьютерными вирусами, несанкционированного проникновения в информационные системы.
Внутренний контроль в условиях применения системы КОД должен сочетать обычные методы контроля, используемые в отсутствие системы КОД, и специальные программные средства контроля. Все средства контроля за системой КОД можно разделить на общие и специальные.
Общие средства контроля представляют собой процедуры проверки правил системы КОД, а также надежности ее функционирования. Они включают в себя следующие процедуры:
■ организационный и управленческий контроль, который предполагает создание инструкций и правил для различных контрольных функций и системы разделения полномочий при выполнении этих функций, например правил ввода информации;
■ контроль за поддержанием и развитием системы КОД, который состоит в проверке того, что все изменения, вносимые в систему, и операции с ней надлежащим образом разрешены (применение такого контроля необходимо в случаях тестирования, внесения изменений, внедрения новых систем КОД, предоставления доступа к их документации);
■ операционный контроль, который заключается в проверке того, что система КОД выполняет только авторизованные операции, доступ к ней имеют только лица, обладающие на это разрешением, и ошибки в обработке данных определяются и исправляются;
■ контроль за программным обеспечением, который означает проверку того, что используется только разрешенное и эффективное программное обеспечение (с этой целью анализируется система визирования, тестирования, проверки, внедрения и документирования новых систем и модификаций уже действующих, а также ограничения на доступ к документации о них);
■ контроль за вводом и обработкой данных, который заключается в проверке того, что существует система предварительного визирования операций до их ввода в систему КОД, и ввод информации возможен только теми лицами, которые имеют на это соответствующие разрешения.
Возможны также иные приемы общего контроля, среди которых можно назвать анализ правил копирования программ и баз данных в специальные архивы и процедур восстановления информации или извлечения ее из архивов при утрате данных.
Специальный контроль за применением системы КОД в системе бухгалтерского учета экономического субъекта предполагает специальные проверочные процедуры, позволяющие удостовериться, что все бухгалтерские операции должным образом авторизуются и отражаются в учете своевременно и без ошибок. К проверочным процедурам относят:
■ контроль за вводом информации;
■ контроль за обработкой и хранением информации;
■ контроль за выводом информации.
Процедуры контроля ввода информации состоят из проверки выполнения следующих требований:
■ вся информация, вводимая в систему, предварительно визируется;
■ информация вводится в базу данных аккуратно, без ошибок и повторов;
■ ошибки ввода обнаруживаются, отвергаются и по возможности исправляются системой.
Контроль за обработкой и хранением информации заключается в проверке того, что:
■ операции, в том числе те, которые проводятся системой самостоятельно, выполняются верно;
■ операции проводятся без ошибок и повторов;
■ ошибки в обработке данных обнаруживаются и своевременно исправляются.
Контроль за выводом информации предполагает проверку того, что:
■ результаты операций предоставляются авторизованным пользователям должным образом и в установленные сроки;
■ доступ к предоставляемой информации разрешен только ограниченному кругу лиц.
Все виды специального контроля могут осуществляться пользователями системы КОД или отделом внутреннего контроля экономического субъекта, а также автоматически с помощью специальных программ.
Аудиторская организация тестирует систему внутреннего контроля за системой КОД, если полагает, что без проверки системы КОД не сможет получить достаточную уверенность в том, что бухгалтерская отчетность проверяемого субъекта не содержит существенных искажений. При проверке аудиторская организация руководствуется положениями ПСАД «Аудит в условиях компьютерной обработки данных».
Аудиторская организация вправе не проверять систему внутреннего контроля за системой КОД, если объем деятельности проверяемого экономического субъекта невелик или влияние системы КОД на деятельность экономического субъекта и составление отчетности незначительно. Аудиторская организация также вправе отказаться от проверки системы внутреннего контроля за системой КОД, если обработка данных ведется не проверяемым экономическим субъектом, а третьей стороной, и доступ к системам внутреннего контроля из-за этого невозможен.
В начале проверки аудиторская организация должна оценить, насколько существенно влияние общего контроля за компьютерной и информационной системами на их применение в бухгалтерском учете экономического субъекта. Если процедуры общего контроля прямо относятся к применению системы КОД в бухгалтерском учете, то целесообразно проверить их, прежде чем рассматривать специальный контроль, если нет, то достаточно ограничиться оценкой общего контроля. Если общий контроль эффективен, то аудиторская организация переходит к тестированию специального контроля за системой КОД бухгалтерского учета. Если же аудиторская организация сочтет, что общий контроль неэффективен, то риск необнаружения ошибок на уровне специального контроля за применением системы КОД в бухгалтерском учете возрастает до неприемлемого уровня. В такой ситуации аудиторская организация обязана провести тестирование процедур общего контроля, кроме случая, когда проверяемый субъект обладает надежным ручным контролем пользователей за системой КОД.
Если специальный контроль за применением системы КОД в бухгалтерском учете систематически ведет персонал проверяемого экономического субъекта, то аудиторская организация может ограничить тестирование такого контроля следующими процедурами: тестирование ручного контроля, проводимого персоналом экономического субъекта; тестирование контроля за выводом информации; тестирование программного обеспечения.
Если персонал экономического субъекта регулярно и с должной тщательностью проверяет, что получаемая из системы КОД информация авторизована, полна, арифметически верна, то аудиторская организация вправе ограничить проверку системы КОД анализом выполнения персоналом экономического субъекта контрольных процедур.
Если тестирование ручного контроля или контроля за выводом информации невозможно либо неэффективно, аудиторская организация может проверить контроль за системой КОД, используя специальные компьютерные программы, которые будут пересчитывать данные, полученные системой КОД экономического субъекта, или повторять процесс их обработки, или вводить заведомо неверную информацию и определять, насколько надежно система КОД отвергает такую информацию. Аудиторская организация может также проверить программный код или провести другие процедуры контроля за работой программ КОД.
Данный стандарт непосредственно связан со стандартами аудиторской деятельности по компьютерному аудиту. Эта взаимосвязь проявляется в том, что комментируемый ПСАД дополняет следующие стандарты:
«Аудит в условиях компьютерной обработки данных» — в части применения специальных средств контроля за информацией, в системе внутреннего контроля и бухгалтерского учета экономического субъекта;
«Проведение аудита с применением компьютеров» — в части применения аудитором новых средств и методов контроля проверяемой информации экономического субъекта.
Нетрудно заметить, что рассматриваемый стандарт направлен как на расширение сущности подходов и методов, приведенных в стандартах, так и на уточнение и дополнение рекомендаций по организации компьютерного аудита.
Влияние автономных персональных компьютеров (ПК) на систему бухгалтерского учета и связанные с ней средства внутреннего контроля, а также аудита приведены в ПМАП 1001 «Среда ИТ — автономные персональные компьютеры».
В разделе «Автономные ПК» говорится, что автономные ПК используются для обработки бухгалтерских операций и для подготовки отчетов, необходимых для состав гения финансовой отчетности, в разное время как одним, так и несколькими пользователями, имеющими доступ к различным или один; псовым программам на одном компьютере. Очень большое значение для оценки рисков и объема средств контроля, которые нужны для снижения рисков, имеет организационная структура, в которой применяется ПК.
Подходы к средствам контроля и характеристикам оборудования и программного обеспечения должны быть другими, когда речь идет о ПК, подсоединенных к другим компьютерам. Такие ситуации часто приводят к увеличению риска. Данное Положение не касается рассмотрения аудитором безопасности компьютерных сетей и средств контроля. Однако это Положение относится к ПК, присоединенному к другому компьютеру, и в то же время может быть применено к автономным рабочим станциям.
В разделе «Средства внутреннего контроля в среде автономных ПК» сказано, что ПК ориентированы на отдельных конечных пользователей. Степень точности и надежности производимой ими финансовой информации будет частично зависеть от средств контроля, принимаемых пользователем добровольно или потому, что так ему было предписано руководством.
В процессе понимания контрольной среды и, следовательно, среды ИТ для автономных ПК аудитор должен рассматривать организационную структуру субъекта и особенно распределение обязанностей по обработке данных. К таким политике и процедурам относятся:
■ нормы, определяющие приобретение, внедрение и документирование;
■ обучение пользователей;
■ руководящие указания по безопасности, дублированию и хранению;
■ управление паролями;
■ правила личного пользования;
■ нормы по приобретению и использованию программного обеспечения;
■ нормы, устанавливающие защиту данных;
■ поддержание рабочего состояния программ и техническая поддержка;
■ соответствующий уровень разделения обязанностей и ответственности;
■ защита от вирусов.
В связи со своими физическими характеристиками автономные ПК и их средства хранения информации подвержены кражам, физи ческому повреждению, неразрешенному доступу или неправильному использованию. Физически они могут быть защищены с помощью:
■ запирания их на замок в защищенной комнате, кабинете или ящике;
■ использования системы тревожной сигнализации;
■ прикрепления ПК к столу;
■ политики должного обращения с ПК во время путешествий или использования вне обычного помещения;
■ шифрования основных файлов;
■ установления блокирующего механизма, контролирующего доступ к выключателю;
■ применения системы контроля окружения для предотвращения повреждений при естественных бедствиях.
Программы ПК и их данных могут сохраняться на съемных и несъемных средствах хранения. Пользователь обязан защищать съемные средства хранения информации.
Степень контроля и характеристики безопасности в операционных системах ПК представлены по-разному. В качестве мер ограничения доступа к программам и данным только для уполномоченных сотрудников предусмотрены:
■ использование паролей;
■ применение пакетов контроля доступа;
■ применение скрытых директорий и файлов;
■ шифрование.
В среде ПК руководство, как правило, полагается на самого пользователя, который должен гарантировать непрерывную доступность систем в случае сбоя, нарушений или уничтожения оборудования, операционных систем, программ и данных. Это подразумевает:
■ что пользователь делает копии операционных систем, программ и данных;
■ наличие доступа к альтернативному оборудованию в разумные сроки.
Согласно разделу «Влияние автономных ПК на систему бухгалтерского учета и связанные с ней средства внутреннего контроля» такое влияние обычно зависит:
■ от степени использования ПК для обработки бухгалтерских программных приложений;
■ от типа и значимости обрабатываемой финансовой информации;
■ от характера используемых в программных приложениях программ и данных.
В среде ПК пользователи, как правило, могут осуществить одну или несколько функций бухгалтерской системы. Подобное отсутствие разделения функций в среде ПК может привести к невыявлению допущенных ошибок и способствовать совершению или сокрытию случаев мошенничества.
К эффективным средствам контроля относятся:
■ запрограммированные средства контроля;
■ система протоколов передачи данных и обеспечение целостности пакетов;
■ непосредственный надзор;
■ выверка количества записей и контрольных сумм.
Контроль может быть установлен независимым подразделением.
В разделе «Влияние среды автономных ПК на процедуры аудита» отмечается, что в среде автономного ПК применение достаточных средств контроля по сокращению рисков невыявления ошибок до минимального уровня может оказаться для руководства непрактичным или неэффективным по затратам. В такой ситуации, после того как аудитор получит понимание системы бухгалтерского учета и контрольной среды, аудитор может посчитать более эффективным по затратам не продолжать дальнейшую обзорную проверку общих и прикладных средств контроля, но ориентировать аудит на процедуры проверки по существу. Если уровень общих средств контроля представляется адекватным, аудитор может принять решение о применении другого подхода.
Данный ПМАП не имеет аналогов среди российских правил (стандартов)аудита.
Влияние онлайновых компьютерных систем на систему бухгалтерского учета и связанные с ней средства внутреннего контроля, а также на процедуры аудита описаны в ПМАП 1002 «Среда ИТ — онлайновые компьютерные системы».
В разделе «Онлайновые компьютерные системы» говорится, что онлайновые компьютерные системы — это системы, позволяющие пользователю получить доступ к данным и программам непосредственно через терминальные устройства. Такие системы могут состоять из компьютеров мейнфрейм, миникомпьютеров или сети соединенных между собой ПК.
Отмечается, что онлайновые компьютерные системы позволяют пользователям непосредственно инициировать различные функции, например:
■ ввести хозяйственную операцию;
■ запросить информацию;
■ запросить отчеты;
■ обновить главные файлы;
■ деятельность по электронной коммерции.
Онлайновые компьютерные системы используют следующие типы терминальных устройств, которые могут существовать как локально, так и удаленно:
■ терминалы общего назначения (например, базисные клавиатура и экран, интеллектуальный терминал, ПК);
■ терминалы для специальных целей (например, устройства «оплаты продаж на месте», автоматические банкоматы, ручные беспроводные устройства для ввода данных из удаленных мест, системы голосового отклика).
Сотрудники, деловые партнеры, клиенты и другие третьи лица могут получить доступ к онлайновым программным приложениям организации с помощью Интернета и других услуг удаленного доступа. Доступ к системе организации могут получить внешние стороны с помощью электронного обмена данными или других электронных коммерческих программных приложений. В дополнение к пользователям этих систем программисты могут использовать онлайновые возможности для разработки новых программ и поддержания уже существующих. Персонал поставщиков компьютерного оборудования также может иметь онлайновый доступ для предоставления услуг по поддержанию работоспособности.
|