Образовательный сайт Мушкатовой Марии Сергеевны
Консультации о поступлении
Заочное дистанционное образование с получением государственного диплома Московского государственного индустриального университета (МГИУ) через Internet

 

Реклама:

 

Реклама:



Рассылки Subscribe.Ru
Современное образование
Подписаться письмом

 

 

 

 

ОСОБЕННОСТИ АУДИТОРСКИХ ДОКАЗАТЕЛЬСТВ ПРИ АУДИТЕ В КОМПЬЮТЕРНОЙ СРЕДЕ

Вопросы изучения и оценки системы учета и отчетности и вза­имосвязанных с ней систем внутреннего контроля в случае электронной обработки данных рассматриваются в ПМАП 1008 «Оценка рисков и внутреннего контроля — характеристики КИС и связанные с ними воп­росы». В Положении нашли отражение наиболее распространенные характеристики процесса электронной обработки данных, в том числе факторы, влияющие на его организационную структуру, характер обра­ботки данных и процедуры, применяемые в системах учета и отчетно­сти и внутреннего контроля. ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ним воп­росы» представляет собой дополнение к МСА 401 «Аудит в условиях компьютерных информационных систем».

В разделе «Организационная структура», в котором описывает­ся организационная структура КИС, отмечено о возможной концент­рации функций и знаний. В таких случаях возникает ситуация, когда определенные сотрудники, занимающиеся обработкой данных, могут быть единственными сотрудниками, которые в деталях понимают вза­имосвязь между источниками данных. Возникает опасность того, что эти сотрудники будут знать о слабых местах системы внутреннего конт­роля и смогут внести изменения в программы или данные во время их обработки и хранения. Другим нежелательным явлением может ока­заться концентрация программ и данных — компьютерные программы, которые обеспечивают доступ К данным и мозиоляют изменять данные, обычно хранятся там же, где и данные, (Следовательно, при отсутствии соответствующего контроля увеличивается вероятность несанкциони­рованного доступа к программам, данным и их изменения.

В разделе «Характер обработки» говорится, что использование компьютеров может привести к тому, что в системе учета будет слож­нее получить наглядные доказательства, чем при использовании руч­ных методов и процедур. Кроме того, к таким системам имеет доступ большее количество людей. Можно выделить следующие особенности обработки данных в системах КИС:

  отсутствие первичных документов (данные могут вводиться в компьютерную среду без сопроводительных документов);

  отсутствие визуального следа операции (определенные дан­ные могут существовать только в компьютерных файлах. При ручной системе обычно есть возможность проследить операцию в системе путем оценки первичных документов, бухгалтерских книг, записей, файлов и отчетов, а в среде КИС след операции может существовать частично в машиночитаемой форме, более того, только ограниченное время);

  отсутствие визуального результата (определенные операции или результаты обработки могут не распечатываться. При ручной систе­ме и в некоторых КИС существует возможность визуального изучения результатов обработки. В других КИС результаты обработки могут не распечатываться, либо на печать будут выводиться только сводные данные. Таким образом, отсутствие визуального результата может при­вести к необходимости получения доступа к данным файлов, которые могут быть прочитаны только с помощью компьютера);

  свободный доступ к данным и компьютерным программам (доступ к данным и изменение компьютерных программ может осуще­ствляться посредством компьютера или путем использования компь­ютерного оборудования, находящегося в ином месте, следовательно, при отсутствии соответствующего контроля возрастает вероятность несанк­ционированного доступа и изменения данных и программ на предприя­тии или извне).

В разделе «Структурные и процедурные аспекты» дается харак­теристика структурных и процедурных аспектов КИС. Они включают в себя:

  последовательность выполнения (КИС выполняют свои функ­ции в точности так, как они были запрограммированы, потенциально они более надежны, чем ручная система, при условии, что все виды операций и обстоятельства, которые могут произойти, учтены и введе­ны в систему. В то же время компьютерная программа, которая недо статочно хорошо составлена и протестирована, может постоянно непра­вильно обрабатывать операции или иные данные);

  запрограммированные процедуры контроля (характер компь­ютерной обработки позволяет включать процедуры внутреннего конт­роля в компьютерные программы. Данными процедурами может быть предусмотрено обеспечение ограниченного визуального контроля);

  единовременное обновление данных в различных компьютер­ных файлах или в базах данных (одноразовый ввод данных в систему учета может автоматически обновить все записи, связанные с операцией, таким образом, ошибочная проводка в подобной системе учета может привести к ошибкам в различных финансовых счетах);

  операции, генерируемые системами (определенные операции могут инициироваться самой КИС без необходимости во входящих документах, например, проценты могут подсчитываться и относиться на остатки по счетам клиентов автоматически на основе алгоритма, зало­женного в программу);

  уязвимость средств хранения данных и программ (большие объемы данных и компьютерные программы, используемые для обра­ботки информации, могут храниться на таких портативных или встроен­ных носителях информации, как магнитные диски и пленка. Названные носители информации могут быть украдены, утеряны, преднамеренно или случайно уничтожены).

Раздел «Внутренний контроль в среде КИС» содержит инфор­мацию о том, что внутренний контроль за компьютерной обработкой данных, который помогает достигать общих целей внутреннего конт­роля, включает в себя как процедуры, проводимые с помощью ручной обработки, так и процедуры, встроенные в компьютерные программы. Указанные компьютерные процедуры контроля и процедуры контроля при ручной обработке обеспечивают общую систему контроля, действу­ющую в среде КИС (общий контроль КИС), и конкретные средства контроля за прикладными учетными программами (контроль приклад­ных программ КИС).

В разделе «Общий контроль КИС» говорится, что целью общего контроля КИС является создание структуры общего контроля за дея­тельностью КИС и обеспечение достаточной уверенности в достиже­нии основных целей внутреннего контроля. Общий контроль КИС может включать в себя: организационный и управленческий контроль; контроль за развитием и эксплуатацией системы прикладных программ; контроль за эксплуатацией компьютеров; контроль за программным обеспечением; контроль за вводом данных и программами. К другим мерам защиты КИС относятся: внесистемное резервное копирование  данных и компьютерных программ; процедуры восстановления на слу­чай кражи, утери или преднамеренного либо случайного уничтожения; положение о внесистемных операциях в случае масштабного сбоя.

В разделе «Контроль прикладных программ КИС» дается опре­деление цели контроля прикладных программ КИС как установление конкретных процедур контроля в отношении прикладных учетных про­грамм для обеспечения достаточной уверенности в том, что все опера­ции санкционированы, зарегистрированы и обработаны полностью, точно и своевременно. Контроль прикладных программ КИС включа­ет в себя:

  контроль за вводом (предназначен для обеспечения достаточ­ной уверенности в том, что операции должным образом санкциониро­ваны до момента их обработки на компьютере, без потерь преобразу­ются в машиночитаемую форму и записываются в компьютерную базу данных, неправильные операции отклоняются, корректируются и, если необходимо, своевременно вводятся повторно);

  контроль за обработкой и компьютерной базой данных (пред­назначен для обеспечения достаточной уверенности в том, что опера­ции, включая операции, генерируемые системой, надлежащим образом обрабатываются компьютером, не теряются, не дополняются, не дуб­лируются или не изменяются по ошибке, ошибки обработки своевре­менно выявляются и корректируются);

  контроль за результатами (предназначен для обеспечения уве­ренности в том, что результаты обработки точны, доступ к результатам предоставлен только уполномоченному персоналу, результаты своев­ременно передаются соответствующему уполномоченному персоналу).

Согласно разделу «Обзор общего контроля КИС» аудитор обя­зан рассмотреть, насколько влияние, которое общий контроль КИС оказывает на прикладные программы КИС, важно с точки зрения ауди­та. Средства общего контроля КИС, которые относятся к некоторым или ко всем прикладным программам, как правило, являются взаимоза­висимыми, поскольку их работа обычно существенно влияет на эффек­тивность контроля прикладных программ КИС. Следовательно, может быть целесообразным проверить структуру общего контроля до про­верки контроля прикладных программ.

В разделе «Обзор средств контроля прикладных программ КИС» указывается, что контроль за вводом, обработкой, файлами данных и результатами могут проводить персонал КИС, пользователи систе­мы, отдельная группа контроля или сама прикладная программа. Ауди­тор может счесть необходимым провести тестирование средств конт­роля прикладных программ, в том числе: ■  контроля, осуществляемого пользователем вручную (если такой контроль прикладных программ в состоянии обеспечить доста­точную уверенность в том, что результаты системы полны, точны и пра­вомочны, аудитор может принять решение ограничить тестирование указанными средствами контроля и подвергнуть проверке только сред­ства ручного контроля, применяемые пользователем);

  контроля над выходными данными системы (если в дополне­ние к средствам контроля, осуществляемым пользователем вручную, предметом тестирования являются средства контроля, использующие информацию, генерированную компьютером или содержащуюся в ком­пьютерных программах, может оказаться возможным проверить эти средства контроля путем исследования выходных данных системы с применением либо ручных, либо компьютеризованных методов ауди­та. Такие выходные данные могут быть на магнитных носителях, на микрофишах или в виде распечаток, например аудитор может проте­стировать средства контроля, используемые субъектом применитель­но к сверке итоговых показателей отчетов с контрольными счетами Главной книги, и данная сверка может быть протестирована вручную. В противном случае, если сверка осуществляется с помощью компью­тера, аудитор может захотеть протестировать сверку путем повторного контроля с помощью компьютеризованных методов аудита);

  программируемых средств контроля (в случае определенных компьютерных систем для аудитора может оказаться невозможным либо в некоторых случаях практически неосуществимым протестиро­вать средства контроля путем исследования исключительно средств контроля пользователя или выходных данных системы, например, в прикладной программе, которая не генерирует распечаток, касающих­ся утверждения важнейших операций или действий в обход обычной политики, аудитор может захотеть протестировать контрольные про­цедуры, встроенные в прикладную программу. Аудитор может рассмот­реть вопрос о целесообразности проведения тестов контроля с исполь­зованием компьютеризованных методов аудита, таких, как тестовые данные, повторная обработка данных по операциям или в необычных ситуациях проверка кодирования прикладных программ).

В разделе «Оценка» говорится, что общие средства контроля КИС могут оказывать глубокое воздействие на обработку операций в прикладных программах. Если подобные средства контроля неэффек­тивны, то может существовать риск возникновения искажений и риск необнаружения таковых в прикладных программах. Следовательно, недостатки общих средств контроля КИС могут помешать тестирова­нию определенных прикладных средств контроля КИС; однако используемые пользователями ручные процедуры могут представлять собой эффективное средство контроля на уровне прикладных программ.

Российским аналогом ПМАП №1008 является ПСАД «Оценка риска и внутренний контроль. Характеристика и учет среды компью­терной и информационной систем», цель которого заключается в опре­делении рисков аудита, возникающих при проведении аудита бухгал­терской отчетности, обусловленных влиянием систем КОД.

Цель этого стандарта состоит в определении возникающих при проведении аудита бухгалтерской отчетности рисков аудитора, обу­словленных влиянием систем КОД экономического субъекта. В соот­ветствии с данной целью задачи стандарта заключаются в описании:

  дополнительных рисков, которые могут возникнуть при исполь­зовании КОД;

  особенностей системы внутреннего контроля в условиях КОД;

  процедур проверки надежности внутреннего контроля за систе­мой КОД.

Российские аудиторы имеют в своем распоряжении комплекс­ную нормативную базу для обоснования возможностей и целесообраз­ности широкого использования ИТ в аудиторской деятельности.

Применение системы КОД существенно влияет на организаци­онную структуру экономического субъекта, внося в систему бухгал­терского учета и внутреннего контроля такие риски, как концентрация функций управления, концентрация данных и программ для их об­работки.

Внедрение системы КОД, как правило, предполагает существен­ное сокращение управленческого и контрольного персонала путем пере­дачи его функций персоналу, обслуживающему систему КОД. В резуль­тате исполнительские и контрольные функции, связанные с системой КОД, концентрируются в руках ограниченного числа лиц. Разделение обязанностей, необходимое для эффективного функционирования системы учета и контроля, может быть утрачено.

Концентрация (сосредоточение) базы данных в одном или несколь­ких местах, где она обычно хранится вместе с программами, обеспе­чивающими доступ к ней, повышает риск утери информации и несанк­ционированного доступа к ней.

Использование системы КОД изменяет процедуры записи учет­ных данных и расширяет круг лиц, которые получают доступ к бухгал­терским записям. Это может привести к появлению следующих рис­ков: отсутствие первичных документов; отсутствие возможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности; отсутствие регистров учета; доступ к базе данных и программам системы КОД несанкционированных пользова­телей.

В условиях КОД данные могут вводиться непосредственно в ком­пьютер без составления соответствующих первичных документов. Получение разрешений на совершение тех или иных операций, их визи­рование также могут происходить внутри системы КОД без составле­ния специальных документов на бумажных носителях.

Учетные данные могут храниться исключительно в электронной форме, а бумажные регистры, содержащие последовательные записи всех операций,— отсутствовать, что приводит к невозможности наблюдения за разноской учетных данных по регистрам, их закрытием и составле­нием отчетности. Кроме того, в ряде информационных систем не пред­усматривается архивирование промежуточных записей, и текущая информация в этих системах постоянно обновляется.

В системе КОД могут формироваться только сводные регистры и формы отчетности, но не промежуточные регистры учета. Отсутствие регистров может привести к тому, что доступ к данным будет только через систему КОД. Тем самым существенно снижаются возможности контроля и анализа учетной информации.

Базы данных и программы системы КОД становятся доступны­ми как с компьютеров, которые их обрабатывают, так и с других компью­теров, подключенных к сети. В отсутствие специальных процедур кон­троля легкость доступа к системе КОД или широкий круг лиц, которые могут такой доступ получить, увеличивают риск несанкционирован­ных бухгалтерских записей и изменений данных.

Система КОД существенно влияет как на организацию бухгал­терского учета в целом, так и на отдельные процедуры учета. Системам КОД присущи следующие специфические черты: заданность; автома­тический контроль; однократный ввод информации в несколько фай­лов одновременно; операции внутри системы КОД или автоматические записи; трудности в обеспечении сохранности записей.

Системы КОД не допускают технических и счетных ошибок, и в этом смысле такие системы значительно «аккуратнее», чем ручные, однако их работа «задана», они лишены возможности гибкого реагиро­вания на изменения правил учета и условий деятельности экономи­ческого субъекта, а надежность информации, обработанной в системах КОД, полностью зависит от их построения и программного обеспе­чения.

Система КОД позволяет автоматизировать многие контрольные процедуры с помощью специальных программ, которые не прослежи­ваются (в отличие от процедур ручного контроля). Например, заменяющая разрешительные надписи система паролей ведет к отказу от состав­ления специальных документов, заявлений, журналов, которые нужно визировать. Контроль за ошибками и их исправлением путем состав­ления справок, ведомостей (сличительных, оборотных) заменяется автоматической печатью отчета о найденных программой ошибках.

В условиях КОД ввод данных об одной операции может одно­временно изменить несколько связанных с ней счетов. Подобная осо­бенность систем КОД значительно увеличивает влияние ошибки вво­да на бухгалтерскую информацию, поскольку неверная сумма будет проведена не по одному, как при ручной обработке данных, а сразу по нескольким счетам.

Некоторые проводки могут генерироваться системой КОД само­стоятельно, без участия специалистов и без составления первичных документов. Это ведет к появлению несанкционированных записей и расчетов, которые к тому же сложно обнаружить из-за отсутствия спе­циальных регистров или документов, например автоматическое начис­ление процентов на задолженность покупателей или по займам.

Многие базы данных могут храниться только в электронной фор­ме, что увеличивает риск их утраты вследствие порчи компьютеров и электронных носителей информации, заражения их компьютерны­ми вирусами, несанкционированного проникновения в информацион­ные системы.

Внутренний контроль в условиях применения системы КОД дол­жен сочетать обычные методы контроля, используемые в отсутствие системы КОД, и специальные программные средства контроля. Все средства контроля за системой КОД можно разделить на общие и спе­циальные.

Общие средства контроля представляют собой процедуры про­верки правил системы КОД, а также надежности ее функционирова­ния. Они включают в себя следующие процедуры:

  организационный и управленческий контроль, который пред­полагает создание инструкций и правил для различных контрольных функций и системы разделения полномочий при выполнении этих функций, например правил ввода информации;

  контроль за поддержанием и развитием системы КОД, который состоит в проверке того, что все изменения, вносимые в систему, и опе­рации с ней надлежащим образом разрешены (применение такого конт­роля необходимо в случаях тестирования, внесения изменений, внедре­ния новых систем КОД, предоставления доступа к их документации);

  операционный контроль, который заключается в проверке того, что система КОД выполняет только авторизованные операции, доступ к ней имеют только лица, обладающие на это разрешением, и ошибки в обработке данных определяются и исправляются;

  контроль за программным обеспечением, который означает проверку того, что используется только разрешенное и эффективное программное обеспечение (с этой целью анализируется система визи­рования, тестирования, проверки, внедрения и документирования новых систем и модификаций уже действующих, а также ограничения на доступ к документации о них);

  контроль за вводом и обработкой данных, который заключа­ется в проверке того, что существует система предварительного визи­рования операций до их ввода в систему КОД, и ввод информации воз­можен только теми лицами, которые имеют на это соответствующие разрешения.

Возможны также иные приемы общего контроля, среди которых можно назвать анализ правил копирования программ и баз данных в специальные архивы и процедур восстановления информации или извлечения ее из архивов при утрате данных.

Специальный контроль за применением системы КОД в систе­ме бухгалтерского учета экономического субъекта предполагает спе­циальные проверочные процедуры, позволяющие удостовериться, что все бухгалтерские операции должным образом авторизуются и отража­ются в учете своевременно и без ошибок. К проверочным процедурам относят:

  контроль за вводом информации;

  контроль за обработкой и хранением информации;

  контроль за выводом информации.

Процедуры контроля ввода информации состоят из проверки выполнения следующих требований:

  вся информация, вводимая в систему, предварительно визи­руется;

  информация вводится в базу данных аккуратно, без ошибок и повторов;

  ошибки ввода обнаруживаются, отвергаются и по возможно­сти исправляются системой.

Контроль за обработкой и хранением информации заключается в проверке того, что:

  операции, в том числе те, которые проводятся системой само­стоятельно, выполняются верно;

  операции проводятся без ошибок и повторов;

  ошибки в обработке данных обнаруживаются и своевременно исправляются.

Контроль за выводом информации предполагает проверку того, что:

  результаты операций предоставляются авторизованным поль­зователям должным образом и в установленные сроки;

  доступ к предоставляемой информации разрешен только огра­ниченному кругу лиц.

Все виды специального контроля могут осуществляться пользо­вателями системы КОД или отделом внутреннего контроля экономи­ческого субъекта, а также автоматически с помощью специальных про­грамм.

Аудиторская организация тестирует систему внутреннего конт­роля за системой КОД, если полагает, что без проверки системы КОД не сможет получить достаточную уверенность в том, что бухгалтерская отчетность проверяемого субъекта не содержит существенных искаже­ний. При проверке аудиторская организация руководствуется положе­ниями ПСАД «Аудит в условиях компьютерной обработки данных».

Аудиторская организация вправе не проверять систему внут­реннего контроля за системой КОД, если объем деятельности проверя­емого экономического субъекта невелик или влияние системы КОД на деятельность экономического субъекта и составление отчетности незначительно. Аудиторская организация также вправе отказаться от проверки системы внутреннего контроля за системой КОД, если обработка данных ведется не проверяемым экономическим субъектом, а третьей стороной, и доступ к системам внутреннего контроля из-за этого невозможен.

В начале проверки аудиторская организация должна оценить, насколько существенно влияние общего контроля за компьютерной и информационной системами на их применение в бухгалтерском уче­те экономического субъекта. Если процедуры общего контроля прямо относятся к применению системы КОД в бухгалтерском учете, то целе­сообразно проверить их, прежде чем рассматривать специальный конт­роль, если нет, то достаточно ограничиться оценкой общего контроля. Если общий контроль эффективен, то аудиторская организация пере­ходит к тестированию специального контроля за системой КОД бух­галтерского учета. Если же аудиторская организация сочтет, что общий контроль неэффективен, то риск необнаружения ошибок на уровне специального контроля за применением системы КОД в бухгалтерском учете возрастает до неприемлемого уровня. В такой ситуации аудитор­ская организация обязана провести тестирование процедур общего контроля, кроме случая, когда проверяемый субъект обладает надеж­ным ручным контролем пользователей за системой КОД.

Если специальный контроль за применением системы КОД в бух­галтерском учете систематически ведет персонал проверяемого эконо­мического субъекта, то аудиторская организация может ограничить тестирование такого контроля следующими процедурами: тестирова­ние ручного контроля, проводимого персоналом экономического субъекта; тестирование контроля за выводом информации; тестирова­ние программного обеспечения.

Если персонал экономического субъекта регулярно и с должной тщательностью проверяет, что получаемая из системы КОД информа­ция авторизована, полна, арифметически верна, то аудиторская орга­низация вправе ограничить проверку системы КОД анализом выпол­нения персоналом экономического субъекта контрольных процедур.

Если тестирование ручного контроля или контроля за выводом информации невозможно либо неэффективно, аудиторская организа­ция может проверить контроль за системой КОД, используя специаль­ные компьютерные программы, которые будут пересчитывать данные, полученные системой КОД экономического субъекта, или повторять про­цесс их обработки, или вводить заведомо неверную информацию и опре­делять, насколько надежно система КОД отвергает такую информацию. Аудиторская организация может также проверить программный код или провести другие процедуры контроля за работой программ КОД.

Данный стандарт непосредственно связан со стандартами ауди­торской деятельности по компьютерному аудиту. Эта взаимосвязь про­является в том, что комментируемый ПСАД дополняет следующие стандарты:

«Аудит в условиях компьютерной обработки данных» — в части применения специальных средств контроля за информацией, в системе внутреннего контроля и бухгалтерского учета экономического субъекта;

«Проведение аудита с применением компьютеров» — в части применения аудитором новых средств и методов контроля проверяемой информации экономического субъекта.

Нетрудно заметить, что рассматриваемый стандарт направлен как на расширение сущности подходов и методов, приведенных в стандар­тах, так и на уточнение и дополнение рекомендаций по организации компьютерного аудита.

Влияние автономных персональных компьютеров (ПК) на систе­му бухгалтерского учета и связанные с ней средства внутреннего конт­роля, а также аудита приведены в ПМАП 1001 «Среда ИТ — автоном­ные персональные компьютеры».

В разделе «Автономные ПК» говорится, что автономные ПК используются для обработки бухгалтерских операций и для подготовки отчетов, необходимых для состав гения финансовой отчетности, в разное время как одним, так и несколькими пользователями, име­ющими доступ к различным или один; псовым программам на одном ком­пьютере. Очень большое значение для оценки рисков и объема средств контроля, которые нужны для снижения рисков, имеет организацион­ная структура, в которой применяется ПК.

Подходы к средствам контроля и характеристикам оборудова­ния и программного обеспечения должны быть другими, когда речь идет о ПК, подсоединенных к другим компьютерам. Такие ситуации часто приводят к увеличению риска. Данное Положение не касается рассмот­рения аудитором безопасности компьютерных сетей и средств контро­ля. Однако это Положение относится к ПК, присоединенному к друго­му компьютеру, и в то же время может быть применено к автономным рабочим станциям.

В разделе «Средства внутреннего контроля в среде автоном­ных ПК» сказано, что ПК ориентированы на отдельных конечных пользователей. Степень точности и надежности производимой ими финансовой информации будет частично зависеть от средств контро­ля, принимаемых пользователем добровольно или потому, что так ему было предписано руководством.

В процессе понимания контрольной среды и, следовательно, сре­ды ИТ для автономных ПК аудитор должен рассматривать организа­ционную структуру субъекта и особенно распределение обязанностей по обработке данных. К таким политике и процедурам относятся:

  нормы, определяющие приобретение, внедрение и документи­рование;

  обучение пользователей;

  руководящие указания по безопасности, дублированию и хра­нению;

  управление паролями;

  правила личного пользования;

  нормы по приобретению и использованию программного обеспе­чения;

  нормы, устанавливающие защиту данных;

  поддержание рабочего состояния программ и техническая под­держка;

  соответствующий уровень разделения обязанностей и ответ­ственности;

  защита от вирусов.

В связи со своими физическими характеристиками автономные ПК и их средства хранения информации подвержены кражам, физи ческому повреждению, неразрешенному доступу или неправильному использованию. Физически они могут быть защищены с помощью:

  запирания их на замок в защищенной комнате, кабинете или ящике;

  использования системы тревожной сигнализации;

  прикрепления ПК к столу;

  политики должного обращения с ПК во время путешествий или использования вне обычного помещения;

  шифрования основных файлов;

  установления блокирующего механизма, контролирующего доступ к выключателю;

  применения системы контроля окружения для предотвраще­ния повреждений при естественных бедствиях.

Программы ПК и их данных могут сохраняться на съемных и несъемных средствах хранения. Пользователь обязан защищать съем­ные средства хранения информации.

Степень контроля и характеристики безопасности в операцион­ных системах ПК представлены по-разному. В качестве мер ограниче­ния доступа к программам и данным только для уполномоченных сотрудников предусмотрены:

  использование паролей;

  применение пакетов контроля доступа;

  применение скрытых директорий и файлов;

  шифрование.

В среде ПК руководство, как правило, полагается на самого пользователя, который должен гарантировать непрерывную доступ­ность систем в случае сбоя, нарушений или уничтожения оборудова­ния, операционных систем, программ и данных. Это подразумевает:

  что пользователь делает копии операционных систем, про­грамм и данных;

  наличие доступа к альтернативному оборудованию в разум­ные сроки.

Согласно разделу «Влияние автономных ПК на систему бухгал­терского учета и связанные с ней средства внутреннего контроля» такое влияние обычно зависит:

  от степени использования ПК для обработки бухгалтерских программных приложений;

  от типа и значимости обрабатываемой финансовой информации;

  от характера используемых в программных приложениях про­грамм и данных.

В среде ПК пользователи, как правило, могут осуществить одну или несколько функций бухгалтерской системы. Подобное отсутствие разделения функций в среде ПК может привести к невыявлению допу­щенных ошибок и способствовать совершению или сокрытию случаев мошенничества.

К эффективным средствам контроля относятся:

  запрограммированные средства контроля;

  система протоколов передачи данных и обеспечение целост­ности пакетов;

  непосредственный надзор;

  выверка количества записей и контрольных сумм.

Контроль может быть установлен независимым подразделением.

В разделе «Влияние среды автономных ПК на процедуры ауди­та» отмечается, что в среде автономного ПК применение достаточных средств контроля по сокращению рисков невыявления ошибок до мини­мального уровня может оказаться для руководства непрактичным или неэффективным по затратам. В такой ситуации, после того как ауди­тор получит понимание системы бухгалтерского учета и контрольной среды, аудитор может посчитать более эффективным по затратам не продолжать дальнейшую обзорную проверку общих и прикладных средств контроля, но ориентировать аудит на процедуры проверки по существу. Если уровень общих средств контроля представляется адекватным, аудитор может принять решение о применении другого подхода.

Данный ПМАП не имеет аналогов среди российских правил (стандартов)аудита.

Влияние онлайновых компьютерных систем на систему бухгал­терского учета и связанные с ней средства внутреннего контроля, а так­же на процедуры аудита описаны в ПМАП 1002 «Среда ИТ — онлай­новые компьютерные системы».

В разделе «Онлайновые компьютерные системы» говорится, что онлайновые компьютерные системы — это системы, позволяющие пользователю получить доступ к данным и программам непосредствен­но через терминальные устройства. Такие системы могут состоять из компьютеров мейнфрейм, миникомпьютеров или сети соединенных между собой ПК.

Отмечается, что онлайновые компьютерные системы позволяют пользователям непосредственно инициировать различные функции, например:

  ввести хозяйственную операцию;

  запросить информацию;

  запросить отчеты;

   обновить главные файлы;

  деятельность по электронной коммерции.

Онлайновые компьютерные системы используют следующие типы терминальных устройств, которые могут существовать как локаль­но, так и удаленно:

  терминалы общего назначения (например, базисные клавиа­тура и экран, интеллектуальный терминал, ПК);

  терминалы для специальных целей (например, устройства «оплаты продаж на месте», автоматические банкоматы, ручные беспро­водные устройства для ввода данных из удаленных мест, системы голо­сового отклика).

Сотрудники, деловые партнеры, клиенты и другие третьи лица могут получить доступ к онлайновым программным приложениям орга­низации с помощью Интернета и других услуг удаленного доступа. Доступ к системе организации могут получить внешние стороны с помо­щью электронного обмена данными или других электронных коммер­ческих программных приложений. В дополнение к пользователям этих систем программисты могут использовать онлайновые возможности для разработки новых программ и поддержания уже существующих. Персонал поставщиков компьютерного оборудования также может иметь онлайновый доступ для предоставления услуг по поддержанию работоспособности.


Согласно разделу «Виды онлайновых компьютерных систем» онлайновые компьютерные системы классифицируются в соответствии с тем, как информация вводится в систему, обрабатывается и когда резу­льтаты становятся доступны пользователю. В целях данного Положе­ния функции онлайновых компьютерных систем классифицируются следующим образом:

  обработка в режиме онлайн/режиме реального времени;

  обработка в режиме онлайн/пакетном режиме;

  режим онлайн/обновление в режиме меморандума (с после­дующей обработкой);

  режим онлайн/запрос;

  обработка в режиме онлайн загрузки/передачи данных.

В разделе «Характеристики онлайновых компьютерных систем» отмечено, что такие характеристики подходят к многим типам онлай­новых систем. Наиболее важные характеристики относятся к вводу данных в режиме онлайн и их подтверждению, доступу пользователей в систему в режиме онлайн, возможное отсутствие видимых последу­ющих свидетельств операции и возможного доступа в систему лиц, не являющихся пользователями, и том числе программистов и других третьих сторон (например, через электронную почту или Интернет). Особенности характеристик онлайновых систем зависят от того, как создана эта система.

Онлайновая компьютерная система может быть создана таким образом, чтобы не представлять первичных документов для всех опе­раций, введенных в систему.

Программисты имеют онлайновый доступ в систему, что позво­ляет им разрабатывать новые программы и изменять уже существу­ющие. Неограниченный доступ дает возможность программистам вно­сить несанкционированные изменения в программы и получать несанк­ционированный доступ к другим частям систем, что представляет собой серьезный недочет в системе контроля. Степень такого доступа зави­сит от требований самой системы.

В разделе «Внутренний контроль онлайновых компьютерных систем» говорится, что прикладные программы в среде онлайн подвер­жены большему риску несанкционированного доступа и обновления. Аудитор должен рассмотреть инфраструктуру безопасности, прежде чем исследовать общие и прикладные средства контроля.

Указано, что средства контроля, о которых идет речь, включают в себя использование паролей и специальных программ контроля досту­па, такие, как онлайновые мониторы, обеспечивающие контроль за меню, таблицами для разрешений, паролей, файлов и программ, к которым разрешается доступ пользователей. К другим важным аспектам конт­роля онлайновой компьютерной системы относятся:

  средства контроля над паролями;

  средства контроля над разработкой и поддержанием системы;

  средства контроля программирования;

  протоколы регистрации операций;

  брандмауэры.

При онлайновой обработке данных особенно важны некоторые прикладные средства контроля, в том числе:

   предварительное разрешение на проведение обработки данных;

  тесты терминального устройства на предмет редактирования, разумного характера данных и их проверки;

  сообщение и урегулирование случаев допущения ошибки при вводе данных;

  процедуры проверки даты отсечения;

  средства контроля за файлами;

  средства контроля главного файла;

  баланс;

особую значимость в среде баз данных, можно классифицировать сле­дующим образом:

   стандартный подход к разработке и поддержанию в рабочем состоянии прикладных программ;

  модель данных и право собственности на данные;

  доступ к базе данных;

  разделение обязанностей;

  управление ресурсами данных;

  безопасность данных и восстановление базы данных.

Согласно разделу «Влияние баз данных на систему бухгалтер­ского учета и соответствующие средства внутреннего контроля» подоб­ное влияние обычно зависит от таких факторов, как:

  степень использования базы данных в бухгалтерских приклад­ных программах;

  виды и значимость обрабатываемых финансовых операций;

  характер и структура базы данных, СУБД (включая словарь данных), задания администрирования базой данных и прикладные про­граммы;

  общие и прикладные средства контроля, которые особенно важны в среде базы данных.

Считается, что по сравнению с системами, не являющимися база­ми данных, системы баз данных более надежны. В таких системах общим средствам контроля отводится большая роль, чем прикладным средствам контроля. В результате в системах с наличием баз данных снижается риск мошенничества и ошибок в системе бухгалтерского учета. В то же время риск искажения возрастает, если системы баз дан­ных используются без адекватных средств контроля.

В разделе «Влияние базы данных на процедуры аудита» говорится, что процедуры аудита в среде баз данных в первую очередь будут зависеть от степени использования данных из этой базы системой бух­галтерского учета. Когда важные бухгалтерские прикладные програм­мы используют общую базу данных, аудитор может счесть эффектив­ным по затратам использовать некоторые из следующих процедур.

Для того чтобы получить представление о контрольной среде базы данных и потоке операций, аудитор может рассмотреть влияние следующих факторов на аудиторский риск при планировании аудита:

и уместные средства контроля доступа;

■ СУБД и важные прикладные средства бухгалтерского учета, использующие базы данных. Другие программные приложения, дей­ствующие у субъекта, могут генерировать или видоизменять данные, используемые бухгалтерским и при. приложениями. Аудитор должен учесть, каким образом СУБД контролирует  и данные;

   стандарты и процедуры разр; или  и функционирования при­кладных программ, использующих базы данных. Базы данных, особен­но находящиеся на автономных компьютерах, могут создавать и внед­рять лица, не являющиеся сотрудниками ИТ или бухгалтерии и учета. Аудитор должен рассмотреть, каким образом субъект контролирует разработку этих баз данных;

   функция управления ресурсами данных;

  должностные инструкции, стандарты и процедуры для лиц, ответственных за техническую поддержку, дизайн, управление и рабо­ту базы данных;

  процедуры, обеспечивающие целостность, безопасность и пол­ноту финансовой информации, содержащейся в базе данных;

   наличие возможностей для проведения аудита в СУБД;

   процедуры, регулирующие внедрение новых версий базы данных.

При определении степени надежности средств внутреннего конт­роля в отношении использования базы данных в системе учета ауди­тор должен рассмотреть, как используются средства контроля. Если аудитор по ходу дела решит, что на эти системы контроля можно пола­гаться, то он должен разработать и осуществить надлежащие тесты.

Если аудитор принимает решение провести тестирование средств контроля или процедуры проверки по существу в отношении системы базы данных, то обычно более эффективно это можно сделать с приме­нением методов аудита с помощью компьютеров.

Процедуры аудита могут включить в себя использование функ­ций СУБД с тем, чтобы:

   протестировать средства контроля доступа;

  создать тестовые данные;

   обеспечить документальные свидетельства для аудита;

  проверить целостность базы данных;

   обеспечить доступ к базе данных или копии соответствующей части базы данных, чтобы была возможность использования аудитор­ского программного обеспечения;

  получить информацию, необходимую для аудита.

Прежде чем использовать возможности СУБД, аудитор должен рассмотреть адекватность их функционирования.

Если средства контроля над администрированием базами дан­ных неадекватны, то аудитору может не удастся компенсировать недо­четы средств контроля каким бы то ни было количеством работы по существу. Таким образом, если делается вывод о ненадежности средств контроля над системой базы данных, аудитор должен решить, смогут ли процедуры проверки по существу, примененные к основным прикладным программам бухгалтерского учета, использующим базу данных, помочь ему достичь цели аудита. Если аудитору не удается пре­одолеть недочеты в контрольной среде с помощью работы по существу для снижения аудиторского риска до приемлемого уровня, то согласно МСА аудитор должен дать мнение с оговоркой или отказаться от пре­доставления мнения.

Характеристики систем баз данных могут привести к тому, что для аудитора более эффективным будет осуществить предынсталля-ционную обзорную проверку новых прикладных бухгалтерских про­грамм вместо проверки программ после инсталляции. Предваритель­ная проверка и проверка процесса изменений, вносимых руководством, позволяют аудитору затребовать такие дополнительные функции, как встроенные функции аудита или средства контроля в рамках органи­зации программного приложения. Кроме того, у аудитора появляется дополнительное время для заблаговременной разработки и тестирова­ния процедур аудита по использованию системы.

ПМАП 1003 также не имеет российского аналога.


{SHOW_TEXT}

ЗАДАНИЯ ПО КОМПИАЯЦИИ ФИНАНСОВОЙ ИНФОРМАЦИИ ПРОЦЕДУРЫ МЕЖБАНКОВСКОГО ПОДТВЕРЖДЕНИЯ ВЗАИМОДЕЙСТВИЕ ИНСПЕКТОРОВ ПО БАНКОВСКОМУ НАДЗОРУ И ВНЕШНИХ АУДИТОРОВ АУДИТ МЕЖДУНАРОДНЫХ КОММЕРЧЕСКИХ БАНКОВ МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ПО КОМПЬЮТЕРНЫМ ТЕХНОЛОГИЯМ АУДИТА УЧЕТ ЭКОЛОГИЧЕСКИХ ВОПРОСОВ ПРИ АУДИТЕ ФИНАНСОВОЙ ОТЧЕТНОСТИ ОСОБЕННОСТИ АУДИТА МАЛЫХ ПРЕДПРИЯТИЙ АУДИТ ПРОИЗВОДНЫХ ФИНАНСОВЫХ ИНСТРУМЕНТОВ ЛИТЕРАТУРА РЕВИЗИЯ И КОНТРОЛЬ (теоретические основы)