Избранные аспекты аудита в условиях компьютерной обработки данных

Актуально для квалификационных экзаменов «Основы аудита» (FAU), «Аудит и сопутствующие услуги» (AА) и «Углубленный курс по аудиту и сопутствующим услугам» (AAA)

Избранные аспекты аудита в условиях компьютерной обработки данных

Информационные технологии (ИТ) являются неотъемлемой частью современных систем бухгалтерского учета и управленческой информации. Поэтому необходимо, чтобы аудиторы в полной мере осознавали влияние ИТ на аудит финансовой отчетности клиента, как в контексте того, как они используются клиентом для сбора, обработки и представления финансовой информации в финансовой отчетности, так и того, как аудитор может использовать ИТ в процессе аудита финансовой отчетности.

Цель данной статьи – предоставить руководство по следующим аспектам аудита в условиях компьютерной обработки бухгалтерских данных:

  • Прикладные средства контроля, включающие средства контроля за вводом, обработкой и выводом данных, а также средства контроля главных файлов, установленных аудиторским клиентом в отношении его компьютерной системы бухгалтерского учета и
  • Методика проведения аудиторских процедур с использованием компьютера в качестве инструмента для проведения аудита (CAAT), который может быть использован аудиторами для проверки и формирования выводов о целостности компьютерной системы бухгалтерского учета клиента.

Ответы значительного числа студентов на экзаменационные вопросы по каждому из вышеперечисленных аспектов часто являются неудовлетворительными, что и послужило поводом для написания данной статьи.

Поочередное решение вопросов, связанных с прикладными средствами контроля и CAAT:

Прикладные средства контроля

Прикладные средства контроля – это контроли (ручные и автоматизированные), которые относятся к операциям и постоянным нормативно-справочным данным компьютерной системы бухгалтерского учета. Они специфичны для конкретного приложения, и их цель заключается в обеспечении полноты и точности бухгалтерских записей и обоснованности транзакций, сделанных в этих записях. Эффективная компьютерная система обеспечивает наличие адекватных средств контроля на этапах ввода, обработки и вывода автоматизированного цикла обработки и над постоянными нормативно-справочными данными, которые содержатся в главных файлах. Прикладные средства контроля должны быть определены, зарегистрированы и оценены аудитором как часть процесса определения риска существенного искажения финансовой отчетности аудиторского клиента.

Средства контроля за вводом данных

Средства контроля, направленные на обеспечение авторизации, полноты, точности и своевременности ввода данных, называются средствами контроля за вводом данных. В зависимости от сложности рассматриваемого приложения, такие средства контроля будут различаться по количеству и сложности. При определении этих переменных следует учитывать такие факторы, как стоимость и требования конфиденциальности в отношении вводимых данных. Средства контроля ввода данных, характерные для наиболее эффективных приложений, включают экранные подсказки (например, запрос авторизованного пользователя на «вход в систему») и средства создания аудиторского следа, позволяющего пользователю проследить транзакцию от ее возникновения до ее завершения в системе.

Избранные процедуры проверки достоверности могут включать:

Проверка формата
Такая проверка гарантируют, что информация вводится в правильном формате. Например, требование, чтобы дата счета на продажу была введена только в числовом формате, а не в числовом и буквенно-числовом.

Проверка диапазона
Эта проверка позволяют убедиться, что вводимая информация разумно соответствует ожиданиям. Например, если организация редко, если вообще когда-либо, совершает оптовые закупки стоимостью более $50,000, счет-фактура на закупку с введенной стоимостью более $50,000 отклоняется для проверки и последующего контроля за исполнением.

Проверка сопоставимости
Такая проверка обеспечивает совместимость данных, вводимых из двух или более полей. Например, сумма, указанная в счете-фактуре должна быть сопоставима с суммой налога с продаж, указанной в счете-фактуре.

Проверка достоверности
Такой тип проверки обеспечивает достоверность вводимых данных. Например, если организация использует систему расчета себестоимости работ – данные по затратам, введенные для уже выполненной работы, должны быть отклонены как недействительные.

Проверка исключений
Такая проверка обеспечивает подготовку отчета об исключениях, в котором указываются необычные ситуации, возникшие после ввода конкретного элемента. Например, перенос на будущие периоды отрицательного сальдо для имеющихся запасов.

Проверка последовательности
Такая проверка способствуют полноте обработки, обеспечивая обработку документов, оформленных не по порядку. Например, если для подтверждения поступления товаров на инвентаризацию выпускаются предварительно пронумерованные накладные на получение товаров, то любой ввод накладных не соответствующий указанному порядку должен быть отклонен.

Контроль итоговых значений
Этот контроль также способствуют полноте обработки, обеспечивая сравнение предварительно введенных, подготовленных вручную контрольных итоговых значений с введенными контрольными итогами. Например, несовпадение итогов «партии» счетов-фактур на покупку должно привести к появлению подсказки на экране или созданию отчета об исключениях для последующего контроля. Использование контроля итоговых значений таким образом также обычно называют средствами контроля за выводом данных (см-те ниже).

Проверка подтверждения цифр
Этот процесс использует алгоритмы для обеспечения точности ввода данных. Например, сгенерированные внутри организации действительные цифровые коды поставщиков должны быть отформатированы таким образом, чтобы любые счета-фактуры на закупку, введенные с неправильным кодом, автоматически отклонялись.

Средства контроля обработки данных

Средства контроля обработки данных существуют для того, чтобы обеспечить правильную обработку всех вводимых данных и своевременное обновление файлов данных. Средства контроля обработки данных для конкретного приложения должны быть разработаны, а затем протестированы до «живого» запуска с реальными данными. Как правило, они могут включать в себя использование средств контроля от цикла к циклу, которые обеспечивают сохранение целостности итоговых сумм, содержащихся в бухгалтерских записях, от одного цикла обработки данных к другому. Например, остаток на банковском счете, переносимый в главной (номинальной) бухгалтерской книге компании. Другие средства контроля обработки должны включать последующую обработку данных, которые были отклонены на этапе ввода, например:

  • Компьютерная распечатка отклоненных элементов.
  • Официальные письменные инструкции, уведомляющие персонал по обработке данных о процедурах, которым необходимо следовать в отношении отклоненных элементов.
  • Соответствующее расследование/последующие действия в отношении отклоненных элементов.
  • Доказательства того, что ошибки, которые были отклонены, были исправлены и повторно введены.

Средства контроля за выводом данных

Контроль вывода данных существует для того, чтобы убедиться, что все данные обработаны и результаты доступны только для авторизованных пользователей. Хотя степень контроля за процессом вывода данных варьируется от организации к организации (в зависимости от политики конфиденциальности информации и размера организации), общий контроль включает в себя следующее:

  • Использование итоговых сумм контроля партии, как описано выше (см. раздел «Средства контроля за вводом данных»).
    • Соответствующий анализ и последующая обработка информации из отчетов об исключениях, чтобы убедиться в том, что не осталось невыполненных пунктов по выявленным исключениям.
  • Тщательное планирование процесса обработки данных для облегчения своевременного распространения информации среди конечных пользователей.
  • Официальные письменные инструкции, уведомляющие персонал по обработке данных о предписанных процедурах распространения.
  • Постоянный контроль со стороны ответственного должностного лица за распределением выходных данных для обеспечения их распространения в соответствии с утвержденной политикой.

Средства контроля главных файлов

Цель средств контроля главных файлов заключается в обеспечении постоянной целостности нормативно-справочных данных, содержащихся в главных файлах. Очень важно, чтобы над всеми главными файлами осуществлялся строгий контроль мер «безопасности».

К ним относятся:

  • надлежащее использование паролей для ограничения доступа к данным главного файла
  • установление адекватных процедур редактирования данных, включающих соответствующее разделение должностных обязанностей, а также ограничение полномочий на внесение изменений соответствующими ответственными лицами
  • регулярная проверка данных главного файла на соответствие авторизованным данным независимым ответственным должностным лицом
  • контроль над обновлением главных файлов, включая использование подсчета записей и контрольных итогов.

Методика проведения аудиторских процедур с использованием компьютера в качестве инструмента для проведения аудита (CAAT)

Природа автоматизированных систем бухгалтерского учета такова, что аудиторы могут использовать компьютер аудиторского клиента или свой собственный в качестве инструмента аудита, чтобы помочь им в проведении аудиторских процедур. Степень, в которой аудитор может выбирать между использованием CAAT и ручных методов в конкретном аудиторском задании, зависит от следующих факторов:

  • целесообразность проведения ручного тестирования
  • экономическая целесообразность использования CAAT
  • наличие времени в рамках аудиторского задания
  • доступность компьютерной техники клиента по аудиту
  • уровень опыта и знаний аудиторов в использовании определенных CAAT
  • уровень CAAT, проведенных службой внутреннего аудита клиента, и степень, в которой внешний аудитор может полагаться на эту работу.

Существует три классификации CAAT, а именно:

  • Аудиторское программное обеспечение
  • Тестовые данные
  • Другие методы

Ниже рассматривается каждый из вышеперечисленных вопросов по очереди:

Аудиторское программное обеспечение

Аудиторское программное обеспечение – это общий термин, используемый для описания компьютерных программ, предназначенных для проведения тестирования средств контроля и/или процедур проверки по существу. Такие программы могут быть классифицированы как:

Пакетные программы
Они состоят из заранее подготовленных обобщенных программ, используемых аудиторами, и не являются «специфическими для клиента». Они могут использоваться для выполнения многочисленных аудиторских задач, например, для формирования выборки, статистически или на основании суждения, во время арифметических расчетов и проверки пробелов в обработке последовательностей.

Специально написанные программы
Эти программы обычно являются «специфическими» (или предназначенными для определенного клиента) и могут использоваться для проведения тестирования средств контроля или процедур проверки по существу. Аудиторское программное обеспечение может быть куплено или разработано, но в любом случае план аудита аудиторской фирмы должен предусматривать обеспечение того, чтобы указанные программы соответствовали системе клиента и потребностям аудита. Как правило, они могут использоваться для повторного выполнения автоматических процедур контроля (например, расчета себестоимости продаж) или, возможно, для проведения анализа остатков дебиторской задолженности по срокам давности.

Программы запросов
Эти программы являются неотъемлемой частью бухгалтерской системы клиента, однако они могут быть адаптированы для целей аудита. Например, если в системе предусмотрено формирование рутинной отчетности на «ежемесячной» основе о приеме и увольнении сотрудников, эта возможность может быть использована аудитором при проверке заработной платы в финансовой отчетности клиента. Аналогичным образом, механизм отчетности по кредиторской задолженности (кредиторам) с непогашенными остатками долга может быть использован аудитором при проверке балансовой стоимости кредиторской задолженности.

Тестовые данные

Данные аудиторского теста
Данные аудиторского теста используются для проверки наличия и эффективности средств контроля, встроенных в приложение, используемое аудиторским клиентом. В этом случае фиктивные операции обрабатываются через автоматизированную систему клиента. Затем результаты обработки сравниваются с ожидаемыми аудитором результатами, чтобы определить, эффективно ли работают средства контроля и достигается ли объективность систем. Например, две фиктивные банковские платежные операции (одна внутри и одна вне авторизованных параметров) могут быть обработаны с ожиданием, что только операция, обработанная в пределах параметров, будет «принята» системой. Очевидно, что если обработка фиктивных транзакций не дает ожидаемых результатов на выходе, аудитору следует рассмотреть необходимость увеличения количества процедур проверки по существу в проверяемой области.

Интегрированные средства тестирования
Чтобы избежать риска повреждения учетной системы клиента путем обработки тестовых данных вместе с другими «живыми» данными клиента, аудиторы могут инициировать специальные прогоны обработки «только тестовых данных» для тестовых данных аудита. Основной недостаток такого подхода заключается в том, что у аудитора нет полной уверенности в том, что тестовые данные обрабатываются так же, как и «живые» данные клиента. Чтобы решить эту проблему, аудитор может попросить у клиента разрешение на создание интегрированной тестовой структуры в учетной системе. Это подразумевает создание фиктивной единицы, например, фиктивного счета поставщика, по которому в ходе обычного процесса обрабатываются и тестовые данные аудитора.

Другие методы

В этом разделе содержится полезная справочная информация, которая поможет кандидатам лучше понять ситуацию в целом.

Прочие методы CAAT включают:

Встроенные средства аудита (ВСА)
Эта техника требует, чтобы собственный программный код аудитора был встроен (инкорпорирован) в прикладное программное обеспечение клиента, таким образом, чтобы процедуры проверки могли выполняться по мере необходимости на обрабатываемых данных. Например, процедуры тестирования средств контроля могут включать повторное выполнение определенных проверок достоверности ввода данных (см-те выше раздел «Средства контроля за вводом данных») – отобранные транзакции могут быть «помечены» и прослежены через систему, чтобы убедиться, что компьютерная система применила к этим транзакциям указанные средства контроля и процессы. ВСА должны обеспечить запись результатов тестирования в специальный защищенный файл для последующей его проверки аудитором, который должен иметь возможность сделать вывод о целостности контроля обработки на основании общих результатов тестирования. Еще одним ВСА, часто упускаемых из виду студентами, является программа аналитического обзора, позволяющая одновременно выполнять процедуры аналитического обзора данных клиента по мере их обработки в автоматизированной системе.

Проверка прикладных программ
При определении степени, в которой аудиторы могут полагаться на прикладные средства контроля, им необходимо рассмотреть степень, в которой указанные средства контроля были внедрены правильно. Например, если в течение отчетного периода в систему были внесены изменения, аудитору потребуется уверенность в существовании необходимых средств контроля как до, так и после внесения изменений. Аудитор может попытаться получить такую уверенность, используя программное обеспечение для сравнения средств контроля, существовавших до и после внесения изменений.

Резюме

Основные цели аудита не меняются независимо от того, выполняется ли аудиторское задание вручную или в условиях компьютерной обработки данных. При этом подход к аудиту, факторы, которые необходимо учитывать при планировании, и методы, используемые для получения достаточных надлежащих аудиторских доказательств, конечно, могут меняться. Студентам рекомендуется прочитать дополнительную литературу, чтобы расширить свои знания об аудите в условиях компьютерной обработки данных, а также попрактиковаться в умении отвечать на экзаменационные вопросы по данной теме, попробовав ответить на вопросы предыдущих экзаменационных заданий АССА.

Написано членом экзаменационной группы по аудиту