Системы бухгалтерского учета многих компаний, больших и малых, работают с помощью компьютеров; вопросы во всех экзаменах по аудиту АССА отражают эту ситуацию.
Студентам необходимо убедиться, что они хорошо понимают функционирование средств контроля в условиях компьютерной обработки данных, их влияние на оценку аудитором риска и последующие аудиторские процедуры. Эти процедуры часто включают использование методов проведения аудиторских процедур с использованием компьютера в качестве инструмента для проведения аудита (CAAT).
Цель данной статьи заключается в том, чтобы помочь студентам улучшить понимание этой темы посредством практических примеров автоматизированных методов контроля и методов с использованием компьютера, а также того, как они могут быть представлены в экзаменационных вопросах.
Соответствующие стандарты аудита
В данной статье будут даны ссылки на стандарты, где содержатся самые последние методические указания:
Внутренние контроли в условиях компьютерной обработки данных
Две основные категории – прикладные средства контроля и общие средства контроля.
Прикладные средства контроля
Это процедуры, осуществляемые вручную или автоматизированные процедуры, которые обычно используются на уровне бизнес-процессов и применяются в обработке операций отдельными приложениями. Прикладные средства контроля могут быть предупреждающими или обнаруживающими по своей природе и предназначены для обеспечения целостности бухгалтерских записей.
Соответственно, прикладные средства контроля относятся к процедурам, которые используются для инициирования, учета, обработки и отражения операций или других финансовых данных. Эти средства контроля помогают обеспечить то, что существующие операции были корректно авторизованы, а также полноту и точность при их учете и обработке (ISA 315 (в новой редакции)).
Прикладные средства контроля применяются к задачам обработки данных, таким как продажи, закупки и процедуры начисления заработной платы, и обычно делятся на следующие категории:
(i) Средства контроля за вводом данных
Примеры включают в себя контроль итогов партии и подсчет количества документов, а также проверку документов, осуществляемых вручную, на предмет их авторизации. Примером работы системы пакетного контроля с использованием бухгалтерского программного обеспечения может быть проверка суммы общей валовой стоимости счетов-фактур на покупку, составленной вручную, по сравнению с суммой, выведенной на экран при использовании опции пакетной обработки для ввода счетов-фактур. Документ с указанной суммой также может быть распечатан для подтверждения итогов при сопоставлении.
Наиболее распространенным примером автоматизированного контроля над точностью и полнотой вводимых данных являются проверки редактирования (подтверждение достоверности данных), когда программное обеспечение проверяет, что поля с данными по транзакциям заполнены. Проверка осуществляется посредством выполнения следующих действий:
При вводе данных с помощью клавиатуры программа часто выводит сообщение на экран, если какая-либо из вышеперечисленных проверок выявляет аномалию, например, «Номер счета поставщика не существует».
(ii) Средства контроля обработки данных
Примером автоматического контроля обработки данных является контроль поэтапной проверки. Итоги одного прогона обработки плюс входные итоги второго прогона обработки должны быть равны результату второго прогона обработки. Например, начальные остатки по книге учета дебиторской задолженности плюс счета-фактуры на продажу (обработка 1) минус полученные чеки (обработка 2) должны равняться конечным остаткам по книге учета дебиторской задолженности.
(iii) Средства контроля за выводом данных
Пакетная обработка соответствует вводу и выводу данных, и поэтому также является контролем над обработкой и выводом. Другие примеры контроля вывода данных включают контролируемое повторное проведение отклоненных операций или проверку отчетов об исключениях (например, отчет об исключениях по заработной плате, в котором сотрудникам выплачивается более $1,000).
(iv) Главные файлы и контроль постоянных нормативно-справочных данных
Примеры включают проверку изменений в основных файлах по принципу «один к одному», например, изменения цен клиентов проверяются по авторизованному списку. Регулярная распечатка главных файлов, например, главного файла заработной платы, может ежемесячно передаваться в отдел кадров, чтобы убедиться, что на указанных сотрудников были заведены личные дела.
Общие средства контроля
Это политики и процедуры, которые применяются ко многим приложениям и поддерживают эффективное функционирование прикладных средств контроля. Они применяются в средах мэйнфреймов, минифреймов и конечных пользователей. Общие средства ИТ-контроля, которые поддерживают целостность информации и безопасность данных, обычно включают в себя следующие средства контроля:
Термин «среда конечного пользователя» относится к ситуации, в которой пользователи компьютерных систем вовлечены во все этапы разработки системы.
(i) Административный контроль
Средства контроля над «работой баз данных и сети» и «безопасностью доступа» включают следующее:
(ii) Средства контроля разработки систем
Другие общие элементы контроля, упомянутые в МСА 315, охватывают области разработки и обслуживания системного программного обеспечения; изменение программы; приобретение, разработка и обслуживание прикладных систем.
«Системное программное обеспечение» относится к операционной системе, системам управления базами данных и другому программному обеспечению, которое повышает эффективность обработки данных. Прикладное программное обеспечение относится к конкретным приложениям, таким как продажи или заработная плата. Средства контроля за разработкой и обслуживанием обоих типов программного обеспечения аналогичны и включают в себя:
Особое внимание на экзамене
Студенты часто путают прикладные средства контроля и общие средства контроля. На экзамене квалификации «Сертифицированный младший бухгалтер» (CAT) Экзамен 8» за июнь 2008 года во втором вопросе кандидатам предлагалось привести примеры прикладных средств контроля за вводом и обработкой данных. Многие кандидаты в своих ответах ссылались на такие средства контроля как пароли и контроль физического доступа, которые являются примерами общего контроля, и поэтому не получили соответствующих баллов.
Методы проведения аудиторских процедур с использованием компьютера в качестве инструмента для проведения аудита
Методы с использованием компьютера в качестве инструмента для проведения аудита (CAAT) – это методы, характеризующиеся «проведением аудиторских процедур с использованием компьютера в качестве инструмента аудита» (Глоссарий терминов). Обычно СААТ подразделяются на три основные категории:
(i) Программное обеспечение для аудита
Компьютерные программы, используемые аудитором для запроса компьютерных файлов клиента; используются в основном для процедур проверки по существу. Их можно разделить на следующие категории:
Используя аудиторское программное обеспечение, аудитор может тщательно изучить большие объемы данных и представить результаты, которые затем можно исследовать дальше. Программное обеспечение состоит из программного алгоритма, необходимого для выполнения большинства функций, требуемых аудитором, таких как:
Аудитору необходимо определить, какие из этих функций он хочет использовать, а также их критерии отбора.
Особое внимание на экзамене
Иногда в вопросах студентам предлагается сценарий и спрашивается, как CAAT могут быть использованы аудитором. Вопрос 4 Экзамена F8 за декабрь 2007 года требовал от студентов объяснить, как аудиторское программное обеспечение может быть использовано для аудита остатков дебиторской задолженности. Чтобы ответить на этот тип вопроса, необходимо связать перечисленные выше функции с обычной работой по аудиту дебиторской задолженности. Студентам следует обратиться к типовому ответу на этот вопрос.
Ниже приведен пример того, как это можно применить к аудиту заработной платы:
(ii) Тестовые данные
Тестовые данные состоят из данных, представленных аудитором для обработки в компьютерной системе клиента. Основная цель заключается в проверке работы средств контроля приложений. По этой причине аудитор организует обработку фиктивных данных, включающих множество условных ошибок, чтобы убедиться, что средства контроля приложений клиента смогут выявить эти конкретные ошибки.
Примеры ошибок, которые могут быть включены в тестовые данные:
Данные, не содержащие ошибок, также будут включены для проверки корректной обработки «правильных» транзакций.
Тестовые данные можно использовать в реальном времени, то есть во время обычного производственного цикла клиента. Очевидным недостатком такого выбора является опасность повреждения главных файлов клиента. Чтобы избежать этого, используется интегрированный тестовый комплекс (смотрите раздел «Другие методы», представленный ниже). Альтернативой (неактивные тестовые данные) является выполнение специального прогона вне обычной обработки с использованием копий главных файлов клиента. В этом случае опасность повреждения файлов клиента исключается – но при этом меньше гарантий, что были использованы обычные производственные программы.
(iii) Другие методы
Существует большое количество других методов, которые могут быть использованы; основные два из них это:
Привлекательность встроенных средств аудита очевидна, поскольку это равносильно вечному аудиту операций. Однако установка таких средств требует больших затрат и может потребовать участия аудитора на этапе разработки системы. Встроенные средства аудита часто используются в условиях реального времени и баз данных.
Влияние компьютерных систем на подход к аудиту
Тот факт, что системы являются автоматизированными, не меняет ключевых этапов процесса аудита; это объясняет, почему ссылки на аудит компьютерных систем были включены в МСА 300, 315 и 330.
(i) Планирование
В Приложении к МСА 300 (в новой редакции) говорится о «влиянии информационных технологий на аудиторские процедуры, включая доступность данных и ожидаемое использование методов аудита в условиях компьютерной обработки данных» как об одной из характеристик аудита, которую необходимо учитывать при разработке общей стратегии аудита.
(ii) Оценка риска
«Аудитор должен получить представление о внутреннем контроле, имеющем отношение к аудиту» (МСА 315 (в новой редакции))
В примечаниях к применению МСА 315 информационная система определена как один из пяти компонентов внутреннего контроля. Стандарт требует, чтобы аудитор получил понимание информационной системы, включая процедуры в рамках как ИТ, так и ручных систем. Другими словами, если аудитор полагается на внутренний контроль при оценке риска на уровне предпосылок, ему/ей необходимо понять и протестировать средства контроля, независимо от того, являются ли они ручными или автоматизированными. Аудиторы часто используют опросники для оценки внутреннего контроля (ОВК) для выявления сильных и слабых сторон внутреннего контроля. Эти вопросы остаются неизменными, но, отвечая на них, аудитор рассматривает как ручные, так и автоматизированные средства контроля.
Например, отвечая на вопрос ОВК: «Могут ли обязательства быть приняты, но не зарегистрированы?», аудитор должен рассмотреть ручные средства контроля, такие как сопоставление накладных на получение товаров со счетами-фактурами, а также рассмотреть и прикладные средства контроля, такие как запрограммированная проверка последовательности счетов-фактур. Работа с итогами контроля партий, запрограммированными или выполненными вручную, также будет иметь отношение к этому вопросу.
(iii) Тестирование
«Аудитор должен разработать и провести дополнительные аудиторские процедуры, характер, время и объем которых основаны на оцененных рисках существенного искажения на уровне предпосылок, и являются ответными мерами на оцененный риск». (МСА 330 (в новой редакции)).
Это утверждение справедливо независимо от системы бухгалтерского учета, и аудитор должен разработать тесты на соответствие и процедуры проверки по существу, которые отражают сильные и слабые стороны системы. При тестировании компьютерной информационной системы аудитор, скорее всего, будет использовать сочетание ручных и компьютерных аудиторских тестов.
Подходы к тестированию «вокруг вычислительной машины (компьютера)» и «через вычислительную машину (компьютер)»
Многие студенты не имеют опыта использования CAAT, поскольку аудиторы клиентов, использующих небольшие компьютерные системы, часто проводят подход к аудиту «вокруг вычислительной машины». Это означает, что аудитор сверяет входные и выходные данные и надеется, что обработка транзакций была безошибочной. Причиной популярности такого подхода раньше было отсутствие аудиторского программного обеспечения, пригодного для использования на небольших компьютерах. Однако теперь это не так, и существует программное обеспечение для аудита, позволяющее аудитору исследовать копии файлов клиента, загруженные на ПК или ноутбук. Однако камнем преткновения по-прежнему остаются соображения стоимости.
При подходе «через вычислительную машину» аудитор использует CAAT, чтобы убедиться, что автоматизированные средства контроля приложений работают удовлетворительно.
Заключение
Основные цели аудита не меняются в условиях компьютерной обработки данных. Аудитору по-прежнему необходимо получить представление о системе, чтобы оценить риск средств контроля и спланировать работу по аудиту таким образом, чтобы минимизировать риск необнаружения. Уровень аудиторского тестирования будет зависеть от оценки ключевых средств контроля. Если это запрограммированные средства контроля, аудитору необходимо будет провести «аудит через компьютер» и использовать методы CAAT, чтобы убедиться, что средства контроля работают эффективно.
В условиях несложных компьютерных систем может быть достаточно «аудита вокруг компьютера», если достаточные аудиторские доказательства могут быть получены путем тестирования входных и выходных данных.
Написано членом экзаменационной группы АА