Аудит в условиях компьютерной обработки данных

Системы бухгалтерского учета многих компаний, больших и малых, работают с помощью компьютеров; вопросы во всех экзаменах по аудиту АССА отражают эту ситуацию.

Студентам необходимо убедиться, что они хорошо понимают функционирование средств контроля в условиях компьютерной обработки данных, их влияние на оценку аудитором риска и последующие аудиторские процедуры. Эти процедуры часто включают использование методов проведения аудиторских процедур с использованием компьютера в качестве инструмента для проведения аудита (CAAT).

Цель данной статьи заключается в том, чтобы помочь студентам улучшить понимание этой темы посредством практических примеров автоматизированных методов контроля и методов с использованием компьютера, а также того, как они могут быть представлены в экзаменационных вопросах.

Соответствующие стандарты аудита
В данной статье будут даны ссылки на стандарты, где содержатся самые последние методические указания:

• МСА 300 (в новой редакции) «Планирование аудита финансовой отчетности»
• МСА 315 (в новой редакции) «Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения»
• МСА 330 (в новой редакции) «Аудиторские процедуры в ответ на оцененные риски».

Внутренние контроли в условиях компьютерной обработки данных
Две основные категории – прикладные средства контроля и общие средства контроля.

Прикладные средства контроля
Это процедуры, осуществляемые вручную или автоматизированные процедуры, которые обычно используются на уровне бизнес-процессов и применяются в обработке операций отдельными приложениями. Прикладные средства контроля могут быть предупреждающими или обнаруживающими по своей природе и предназначены для обеспечения целостности бухгалтерских записей.

Соответственно, прикладные средства контроля относятся к процедурам, которые используются для инициирования, учета, обработки и отражения операций или других финансовых данных. Эти средства контроля помогают обеспечить то, что существующие операции были корректно авторизованы, а также полноту и точность при их учете и обработке (ISA 315 (в новой редакции)).

Прикладные средства контроля применяются к задачам обработки данных, таким как продажи, закупки и процедуры начисления заработной платы, и обычно делятся на следующие категории:

(i) Средства контроля за вводом данных
Примеры включают в себя контроль итогов партии и подсчет количества документов, а также проверку документов, осуществляемых вручную, на предмет их авторизации. Примером работы системы пакетного контроля с использованием бухгалтерского программного обеспечения может быть проверка суммы общей валовой стоимости счетов-фактур на покупку, составленной вручную, по сравнению с суммой, выведенной на экран при использовании опции пакетной обработки для ввода счетов-фактур. Документ с указанной суммой также может быть распечатан для подтверждения итогов при сопоставлении.

Наиболее распространенным примером автоматизированного контроля над точностью и полнотой вводимых данных являются проверки редактирования (подтверждение достоверности данных), когда программное обеспечение проверяет, что поля с данными по транзакциям заполнены. Проверка осуществляется посредством выполнения следующих действий:

• проверка обоснованности, например, соотношение чистой заработной платы и заработной платы брутто
• проверка существования, например, что счет поставщика существует
• проверка символов, например, отсутствие буквенных символов в поле для номера счета-фактуры на продажу
• проверка диапазона, например, что еженедельная зарплата сотрудника не превышает $2,000
• численная проверка, например, дополнительный символ, добавляемый в поле ссылки на счет в счете-фактуре на покупку для выявления ошибок, таких как перестановки цифр в числе при вводе.

При вводе данных с помощью клавиатуры программа часто выводит сообщение на экран, если какая-либо из вышеперечисленных проверок выявляет аномалию, например, «Номер счета поставщика не существует».

(ii) Средства контроля обработки данных
Примером автоматического контроля обработки данных является контроль поэтапной проверки. Итоги одного прогона обработки плюс входные итоги второго прогона обработки должны быть равны результату второго прогона обработки. Например, начальные остатки по книге учета дебиторской задолженности плюс счета-фактуры на продажу (обработка 1) минус полученные чеки (обработка 2) должны равняться конечным остаткам по книге учета дебиторской задолженности.

(iii) Средства контроля за выводом данных
Пакетная обработка соответствует вводу и выводу данных, и поэтому также является контролем над обработкой и выводом. Другие примеры контроля вывода данных включают контролируемое повторное проведение отклоненных операций или проверку отчетов об исключениях (например, отчет об исключениях по заработной плате, в котором сотрудникам выплачивается более $1,000).

(iv) Главные файлы и контроль постоянных нормативно-справочных данных
Примеры включают проверку изменений в основных файлах по принципу «один к одному», например, изменения цен клиентов проверяются по авторизованному списку. Регулярная распечатка главных файлов, например, главного файла заработной платы, может ежемесячно передаваться в отдел кадров, чтобы убедиться, что на указанных сотрудников были заведены личные дела.

Общие средства контроля
Это политики и процедуры, которые применяются ко многим приложениям и поддерживают эффективное функционирование прикладных средств контроля. Они применяются в средах мэйнфреймов, минифреймов и конечных пользователей. Общие средства ИТ-контроля, которые поддерживают целостность информации и безопасность данных, обычно включают в себя следующие средства контроля:

• работа центров обработки данных и сетей
• приобретение, изменение и обслуживание системного программного обеспечения
• изменение программ
• безопасность доступа
• приобретение, разработка и обслуживание прикладных систем (МСА 315 (в новой редакции)).

Термин «среда конечного пользователя» относится к ситуации, в которой пользователи компьютерных систем вовлечены во все этапы разработки системы.

(i) Административный контроль
Средства контроля над «работой баз данных и сети» и «безопасностью доступа» включают следующее:

• предотвращение или обнаружение ошибок во время выполнения операций программой, например, руководство по процедурам, планирование заданий, обучение и контроль; все это предотвращает такие ошибки, как использование неправильных файлов данных или неправильных версий производственных программ
• предотвращение несанкционированных изменений в файлах данных, например, авторизация заданий перед обработкой, резервное копирование и физическая защита файлов, а также средства контроля доступа, такие как пароли
• обеспечение непрерывности работы, например тестирование процедур резервного копирования, защита от пожаров и наводнений.

(ii) Средства контроля разработки систем
Другие общие элементы контроля, упомянутые в МСА 315, охватывают области разработки и обслуживания системного программного обеспечения; изменение программы; приобретение, разработка и обслуживание прикладных систем.

«Системное программное обеспечение» относится к операционной системе, системам управления базами данных и другому программному обеспечению, которое повышает эффективность обработки данных. Прикладное программное обеспечение относится к конкретным приложениям, таким как продажи или заработная плата. Средства контроля за разработкой и обслуживанием обоих типов программного обеспечения аналогичны и включают в себя:

• Контроль над разработкой приложений, например, хорошие стандарты проектирования системы и написания программ, хорошая документация, процедуры тестирования (например, использование тестовых данных для выявления ошибок программного кода, пробный запуск и параллельный запуск старой и новой систем), а также разделение должностных обязанностей, чтобы операторы не участвовали в разработке программ
• Контроль за внесением изменений в программе – для обеспечения отсутствия несанкционированных изменений и адекватной проверки изменений, например, защита программ паролем, сравнение производственных программ с контролируемыми копиями и согласование изменений пользователями.
• Контроль за установкой и обслуживанием системного программного обеспечения – многие из вышеупомянутых средств контроля актуальны, например, авторизация изменений, хорошо оформленная документация, контроль доступа и разделение должностных обязанностей.

Особое внимание на экзамене
Студенты часто путают прикладные средства контроля и общие средства контроля. На экзамене квалификации «Сертифицированный младший бухгалтер» (CAT) Экзамен 8» за июнь 2008 года во втором вопросе кандидатам предлагалось привести примеры прикладных средств контроля за вводом и обработкой данных. Многие кандидаты в своих ответах ссылались на такие средства контроля как пароли и контроль физического доступа, которые являются примерами общего контроля, и поэтому не получили соответствующих баллов.

Методы проведения аудиторских процедур с использованием компьютера в качестве инструмента для проведения аудита

Методы с использованием компьютера в качестве инструмента для проведения аудита (CAAT) – это методы, характеризующиеся «проведением аудиторских процедур с использованием компьютера в качестве инструмента аудита» (Глоссарий терминов). Обычно СААТ подразделяются на три основные категории:

(i) Программное обеспечение для аудита
Компьютерные программы, используемые аудитором для запроса компьютерных файлов клиента; используются в основном для процедур проверки по существу. Их можно разделить на следующие категории:

• Пакетные программы (обобщенное программное обеспечение для аудита) – заранее подготовленные программы, для которых аудитор определяет подробные требования; написаны для использования на различных типах компьютерных систем
• Специально написанные программы – выполняют определенные функции на основании выбора аудитора; у аудитора может не быть другого выбора, кроме как заказать разработку такого программного обеспечения, поскольку пакетные программы не могут быть адаптированы к системе клиента (однако это может оказаться дорогостоющим)
• Программы запросов – те, которые являются частью системы клиента, часто используются для сортировки и печати данных, и которые могут быть адаптированы для целей аудита, например, бухгалтерское программное обеспечение может иметь средства поиска в некоторых модулях, которые могут быть использованы в целях аудита для поиска всех клиентов с кредитовым сальдо (в модуле клиентов) или всех позиций по запасам, превышающих заданную стоимость (в модуле инвентаризации).

Используя аудиторское программное обеспечение, аудитор может тщательно изучить большие объемы данных и представить результаты, которые затем можно исследовать дальше. Программное обеспечение состоит из программного алгоритма, необходимого для выполнения большинства функций, требуемых аудитором, таких как:

• формирование выборки
• сообщение об исключительных статьях
• сравнение файлов
• анализ и обобщение данных, а также их классификация на категории.

Аудитору необходимо определить, какие из этих функций он хочет использовать, а также их критерии отбора.

Особое внимание на экзамене
Иногда в вопросах студентам предлагается сценарий и спрашивается, как CAAT могут быть использованы аудитором. Вопрос 4 Экзамена F8 за декабрь 2007 года требовал от студентов объяснить, как аудиторское программное обеспечение может быть использовано для аудита остатков дебиторской задолженности. Чтобы ответить на этот тип вопроса, необходимо связать перечисленные выше функции с обычной работой по аудиту дебиторской задолженности. Студентам следует обратиться к типовому ответу на этот вопрос.

Ниже приведен пример того, как это можно применить к аудиту заработной платы:

• Сформировать случайную выборку сотрудников из главного файла платежной ведомости; затем аудитор может отследить информацию из выборки до трудовых договоров в отделе кадров, чтобы подтвердить их наличие
• Сообщить обо всех сотрудниках, зарабатывающих более $1,000 в неделю
• Сравнить главный файл заработной платы на начало и конец года, чтобы выявить тех, кто начал работать и выбыл в течение года; затем аудитор должен проследить выявленные элементы до доказательств, таких как заявления нанятых и уволенных сотрудников (в отделе кадров), чтобы убедиться, что они действительно являются сотрудниками и были добавлены или удалены из платежной ведомости в соответствующее время (аудитору необходимо попросить клиента сохранить копию главного файла на начало года, чтобы выполнить этот тест).
• Проверить, что общая сумма заработной платы брутто после соответствующих вычетов равна чистой заработной плате.

(ii) Тестовые данные
Тестовые данные состоят из данных, представленных аудитором для обработки в компьютерной системе клиента. Основная цель заключается в проверке работы средств контроля приложений. По этой причине аудитор организует обработку фиктивных данных, включающих множество условных ошибок, чтобы убедиться, что средства контроля приложений клиента смогут выявить эти конкретные ошибки.

Примеры ошибок, которые могут быть включены в тестовые данные:

• несуществующие коды счетов поставщиков
• заработная плата сотрудников, превышающая определенный лимит
• счета-фактуры на продажу, содержащие ошибки добавления
• представление данных с неверными итоговыми суммами контроля партии.

Данные, не содержащие ошибок, также будут включены для проверки корректной обработки «правильных» транзакций.

Тестовые данные можно использовать в реальном времени, то есть во время обычного производственного цикла клиента. Очевидным недостатком такого выбора является опасность повреждения главных файлов клиента. Чтобы избежать этого, используется интегрированный тестовый комплекс (смотрите раздел «Другие методы», представленный ниже). Альтернативой (неактивные тестовые данные) является выполнение специального прогона вне обычной обработки с использованием копий главных файлов клиента. В этом случае опасность повреждения файлов клиента исключается – но при этом меньше гарантий, что были использованы обычные производственные программы.

(iii) Другие методы
Существует большое количество других методов, которые могут быть использованы; основные два из них это:

• Интегрированная тестовая установка – используется, когда тестовые данные запускаются в реальном времени; включает создание фиктивных записей, таких как отделы или счета клиентов, где могут быть обработаны фиктивные данные. Затем их можно проигнорировать при распечатке клиентских записей и отменить позже.
• Встроенные средства аудита (встроенное контрольное устройство аудита) – также известны как резидентное программное обеспечение аудита; требует, чтобы собственный программный код аудитора был встроен в прикладное программное обеспечение клиента. Встроенный код предназначен для выполнения функций аудита и может включаться в выбранное время или активироваться каждый раз, когда используется прикладная программа. Встроенные средства могут быть использованы для:
  – Сбора и хранения информации, относящейся к транзакциям в момент обработки для последующего аудиторского анализа; отобранные транзакции записываются в аудиторские файлы для последующего изучения, часто называемые файлом контроля и обзора системы (SCARF)
  – Выявления и фиксации (для последующего аудита) любых необычных статей; операции помечаются аудиторским кодом, когда выполняются условия отбора (указанные аудитором). Такая техника также называется маркировкой.

Привлекательность встроенных средств аудита очевидна, поскольку это равносильно вечному аудиту операций. Однако установка таких средств требует больших затрат и может потребовать участия аудитора на этапе разработки системы. Встроенные средства аудита часто используются в условиях реального времени и баз данных.

Влияние компьютерных систем на подход к аудиту
Тот факт, что системы являются автоматизированными, не меняет ключевых этапов процесса аудита; это объясняет, почему ссылки на аудит компьютерных систем были включены в МСА 300, 315 и 330.

(i) Планирование
В Приложении к МСА 300 (в новой редакции) говорится о «влиянии информационных технологий на аудиторские процедуры, включая доступность данных и ожидаемое использование методов аудита в условиях компьютерной обработки данных» как об одной из характеристик аудита, которую необходимо учитывать при разработке общей стратегии аудита.

(ii) Оценка риска
«Аудитор должен получить представление о внутреннем контроле, имеющем отношение к аудиту» (МСА 315 (в новой редакции))

В примечаниях к применению МСА 315 информационная система определена как один из пяти компонентов внутреннего контроля. Стандарт требует, чтобы аудитор получил понимание информационной системы, включая процедуры в рамках как ИТ, так и ручных систем. Другими словами, если аудитор полагается на внутренний контроль при оценке риска на уровне предпосылок, ему/ей необходимо понять и протестировать средства контроля, независимо от того, являются ли они ручными или автоматизированными. Аудиторы часто используют опросники для оценки внутреннего контроля (ОВК) для выявления сильных и слабых сторон внутреннего контроля. Эти вопросы остаются неизменными, но, отвечая на них, аудитор рассматривает как ручные, так и автоматизированные средства контроля.

Например, отвечая на вопрос ОВК: «Могут ли обязательства быть приняты, но не зарегистрированы?», аудитор должен рассмотреть ручные средства контроля, такие как сопоставление накладных на получение товаров со счетами-фактурами, а также рассмотреть и прикладные средства контроля, такие как запрограммированная проверка последовательности счетов-фактур. Работа с итогами контроля партий, запрограммированными или выполненными вручную, также будет иметь отношение к этому вопросу.

(iii) Тестирование
«Аудитор должен разработать и провести дополнительные аудиторские процедуры, характер, время и объем которых основаны на оцененных рисках существенного искажения на уровне предпосылок, и являются ответными мерами на оцененный риск». (МСА 330 (в новой редакции)).

Это утверждение справедливо независимо от системы бухгалтерского учета, и аудитор должен разработать тесты на соответствие и процедуры проверки по существу, которые отражают сильные и слабые стороны системы. При тестировании компьютерной информационной системы аудитор, скорее всего, будет использовать сочетание ручных и компьютерных аудиторских тестов.

Подходы к тестированию «вокруг вычислительной машины (компьютера)» и «через вычислительную машину (компьютер)»
Многие студенты не имеют опыта использования CAAT, поскольку аудиторы клиентов, использующих небольшие компьютерные системы, часто проводят подход к аудиту «вокруг вычислительной машины». Это означает, что аудитор сверяет входные и выходные данные и надеется, что обработка транзакций была безошибочной. Причиной популярности такого подхода раньше было отсутствие аудиторского программного обеспечения, пригодного для использования на небольших компьютерах. Однако теперь это не так, и существует программное обеспечение для аудита, позволяющее аудитору исследовать копии файлов клиента, загруженные на ПК или ноутбук. Однако камнем преткновения по-прежнему остаются соображения стоимости.

При подходе «через вычислительную машину» аудитор использует CAAT, чтобы убедиться, что автоматизированные средства контроля приложений работают удовлетворительно.

Заключение
Основные цели аудита не меняются в условиях компьютерной обработки данных. Аудитору по-прежнему необходимо получить представление о системе, чтобы оценить риск средств контроля и спланировать работу по аудиту таким образом, чтобы минимизировать риск необнаружения. Уровень аудиторского тестирования будет зависеть от оценки ключевых средств контроля. Если это запрограммированные средства контроля, аудитору необходимо будет провести «аудит через компьютер» и использовать методы CAAT, чтобы убедиться, что средства контроля работают эффективно.

В условиях несложных компьютерных систем может быть достаточно «аудита вокруг компьютера», если достаточные аудиторские доказательства могут быть получены путем тестирования входных и выходных данных.

Написано членом экзаменационной группы АА