Международные положения по аудиторской практике (IAPS) Положения по международной аудиторской практике появляются с целью предоставления

 

Внедрение системы КОД, как  правило, предполагает существенное сокращение управленческого и контрольного персонала путем передачи его  функций персоналу, обслуживающему систему КОД. В результате исполнительские  и контрольные функции, связанные  с системой КОД, концентрируются  в руках ограниченного числа  лиц. Разделение обязанностей, необходимое  для эффективного функционирования системы учета и контроля, может  быть утрачено.

 

Концентрация (сосредоточение) базы данных в одном или нескольких местах, где она обычно хранится вместе с программами, обеспечивающими  доступ к ней, повышает риск утери  информации и несанкционированного доступа к ней.

 

Использование системы КОД  изменяет процедуры записи учетных  данных и расширяет круг лиц, которые  получают доступ к бухгалтерским  записям. Это может привести к  появлению следующих рисков: отсутствие первичных документов; отсутствие возможности  наблюдения за разноской учетных  данных по регистрам, их закрытием и  составлением отчетности; отсутствие регистров учета; доступ к базе данных и программам системы КОД несанкционированных  пользователей.

 

В условиях КОД данные могут  вводиться непосредственно в  компьютер без составления соответствующих  первичных документов. Получение  разрешений на совершение тех или  иных операций, их визирование также  могут происходить внутри системы  КОД без составления специальных  документов на бумажных носителях.

 

Учетные данные могут храниться  исключительно в электронной  форме, а бумажные регистры, содержащие последовательные записи всех операций,—  отсутствовать, что приводит к невозможности  наблюдения за разноской учетных  данных по регистрам, их закрытием и  составлением отчетности. Кроме того, в ряде информационных систем не предусматривается  архивирование промежуточных записей, и текущая информация в этих системах постоянно обновляется.

 

В системе КОД могут  формироваться только сводные регистры и формы отчетности, но не промежуточные  регистры учета. Отсутствие регистров  может привести к тому, что доступ к данным будет только через систему  КОД. Тем самым существенно снижаются  возможности контроля и анализа  учетной информации.

 

Базы данных и программы  системы КОД становятся доступными как с компьютеров, которые их обрабатывают, так и с других компьютеров, подключенных к сети. В отсутствие специальных процедур контроля легкость доступа к системе КОД или  широкий круг лиц, которые могут  такой доступ получить, увеличивают  риск несанкционированных бухгалтерских  записей и изменений данных.

 

Система КОД существенно  влияет как на организацию бухгалтерского учета в целом, так и на отдельные  процедуры учета. Системам КОД присущи  следующие специфические черты: заданность; автоматический контроль; однократный ввод информации в несколько  файлов одновременно; операции внутри системы КОД или автоматические записи; трудности в обеспечении  сохранности записей.

 

Системы КОД не допускают  технических и счетных ошибок, и в этом смысле такие системы  значительно «аккуратнее», чем ручные, однако их работа «задана», они лишены возможности гибкого реагирования на изменения правил учета и условий  деятельности экономического субъекта, а надежность информации, обработанной в системах КОД, полностью зависит от их построения и программного обеспечения.

 

Система КОД позволяет  автоматизировать многие контрольные  процедуры с помощью специальных  программ, которые не прослеживаются (в отличие от процедур ручного  контроля). Например, заменяющая разрешительные надписи система паролей ведет  к отказу от составления специальных  документов, заявлений, журналов, которые  нужно визировать. Контроль за ошибками и их исправлением путем составления  справок, ведомостей (сличительных, оборотных) заменяется автоматической печатью  отчета о найденных программой ошибках.

 

В условиях КОД ввод данных об одной операции может одновременно изменить несколько связанных с  ней счетов. Подобная особенность  систем КОД значительно увеличивает  влияние ошибки ввода на бухгалтерскую  информацию, поскольку неверная сумма  будет проведена не по одному, как  при ручной обработке данных, а  сразу по нескольким счетам.

 

Некоторые проводки могут  генерироваться системой КОД самостоятельно, без участия специалистов и без  составления первичных документов. Это ведет к появлению несанкционированных  записей и расчетов, которые к  тому же сложно обнаружить из-за отсутствия специальных регистров или документов, например автоматическое начисление процентов  на задолженность покупателей или  по займам.

 

Многие базы данных могут  храниться только в электронной  форме, что увеличивает риск их утраты вследствие порчи компьютеров и  электронных носителей информации, заражения их компьютерными вирусами, несанкционированного проникновения  в информационные системы.

 

Внутренний контроль в  условиях применения системы КОД  должен сочетать обычные методы контроля, используемые в отсутствие системы  КОД, и специальные программные  средства контроля. Все средства контроля за системой КОД можно разделить  на общие и специальные.

 

Общие средства контроля представляют собой процедуры проверки правил системы КОД, а также надежности ее функционирования. Они включают в себя следующие процедуры:

 

организационный и управленческий контроль, который предполагает создание инструкций и правил для различных  контрольных функций и системы  разделения полномочий при выполнении этих функций, например правил ввода  информации;

контроль за поддержанием и развитием системы КОД, который  состоит в проверке того, что все  изменения, вносимые в систему, и  операции с ней надлежащим образом  разрешены (применение такого контроля необходимо в случаях тестирования, внесения изменений, внедрения новых систем КОД, предоставления доступа к их документации);

операционный контроль, который  заключается в проверке того, что  система КОД выполняет только авторизованные операции, доступ к  ней имеют только лица, обладающие на это разрешением, и ошибки в  обработке данных определяются и  исправляются;

контроль за программным  обеспечением, который означает проверку того, что используется только разрешенное  и эффективное программное обеспечение (с этой целью анализируется система  визирования, тестирования, проверки, внедрения и документирования новых  систем и модификаций уже действующих, а также ограничения на доступ к документации о них);

контроль за вводом и обработкой данных, который заключается в  проверке того, что существует система  предварительного визирования операций до их ввода в систему КОД, и  ввод информации возможен только теми лицами, которые имеют на это соответствующие  разрешения.

Возможны также иные приемы общего контроля, среди которых можно  назвать анализ правил копирования  программ и баз данных в специальные  архивы и процедур восстановления информации или извлечения ее из архивов при  утрате данных.

 

Специальный контроль за применением  системы КОД в системе бухгалтерского учета экономического субъекта предполагает специальные проверочные процедуры, позволяющие удостовериться, что  все бухгалтерские операции должным  образом авторизуются и отражаются в учете своевременно и без  ошибок. К проверочным процедурам относят:

 

контроль за вводом информации;

контроль за обработкой и  хранением информации;

контроль за выводом информации.

Процедуры контроля ввода  информации состоят из проверки выполнения следующих требований:

 

вся информация, вводимая в  систему, предварительно визируется;

информация вводится в  базу данных аккуратно, без ошибок и  повторов;

ошибки ввода обнаруживаются, отвергаются и по возможности  исправляются системой.

Контроль за обработкой и  хранением информации заключается  в проверке того, что:

 

операции, в том числе  те, которые проводятся системой самостоятельно, выполняются верно;

операции проводятся без  ошибок и повторов;

ошибки в обработке  данных обнаруживаются и своевременно исправляются.

Контроль за выводом информации предполагает проверку того, что:

 

результаты операций предоставляются  авторизованным пользователям должным  образом и в установленные  сроки;

доступ к предоставляемой  информации разрешен только ограниченному  кругу лиц.

Все виды специального контроля могут осуществляться пользователями системы КОД или отделом внутреннего  контроля экономического субъекта, а  также автоматически с помощью  специальных программ.

 

Аудиторская организация  тестирует систему внутреннего  контроля за системой КОД, если полагает, что без проверки системы КОД  не сможет получить достаточную уверенность  в том, что бухгалтерская отчетность проверяемого субъекта не содержит существенных искажений. При проверке аудиторская  организация руководствуется положениями  ПСАД «Аудит в условиях компьютерной обработки данных».

 

Аудиторская организация  вправе не проверять систему внутреннего  контроля за системой КОД, если объем  деятельности проверяемого экономического субъекта невелик или влияние  системы КОД на деятельность экономического субъекта и составление отчетности незначительно. Аудиторская организация  также вправе отказаться от проверки системы внутреннего контроля за системой КОД, если обработка данных ведется не проверяемым экономическим  субъектом, а третьей стороной, и  доступ к системам внутреннего контроля из-за этого невозможен.

 

В начале проверки аудиторская  организация должна оценить, насколько  существенно влияние общего контроля за компьютерной и информационной системами  на их применение в бухгалтерском  учете экономического субъекта. Если процедуры общего контроля прямо  относятся к применению системы  КОД в бухгалтерском учете, то целесообразно проверить их, прежде чем рассматривать специальный  контроль, если нет, то достаточно ограничиться оценкой общего контроля. Если общий  контроль эффективен, то аудиторская  организация переходит к тестированию специального контроля за системой КОД  бухгалтерского учета. Если же аудиторская  организация сочтет, что общий  контроль неэффективен, то риск необнаружения  ошибок на уровне специального контроля за применением системы КОД в  бухгалтерском учете возрастает до неприемлемого уровня. В такой  ситуации аудиторская организация  обязана провести тестирование процедур общего контроля, кроме случая, когда  проверяемый субъект обладает надежным ручным контролем пользователей  за системой КОД.

 

Если специальный контроль за применением системы КОД в  бухгалтерском учете систематически ведет персонал проверяемого экономического субъекта, то аудиторская организация  может ограничить тестирование такого контроля следующими процедурами: тестирование ручного контроля, проводимого персоналом экономического субъекта; тестирование контроля за выводом информации; тестирование программного обеспечения.

 

Если персонал экономического субъекта регулярно и с должной  тщательностью проверяет, что получаемая из системы КОД информация авторизована, полна, арифметически верна, то аудиторская  организация вправе ограничить проверку системы КОД анализом выполнения персоналом экономического субъекта контрольных  процедур.

 

Если тестирование ручного  контроля или контроля за выводом  информации невозможно либо неэффективно, аудиторская организация может  проверить контроль за системой КОД, используя специальные компьютерные программы, которые будут пересчитывать  данные, полученные системой КОД экономического субъекта, или повторять процесс  их обработки, или вводить заведомо неверную информацию и определять, насколько надежно система КОД  отвергает такую информацию. Аудиторская  организация может также проверить  программный код или провести другие процедуры контроля за работой  программ КОД.

 

Данный стандарт непосредственно  связан со стандартами аудиторской  деятельности по компьютерному аудиту. Эта взаимосвязь проявляется  в том, что комментируемый ПСАД дополняет  следующие стандарты:

 

«Аудит в условиях компьютерной обработки данных» — в части  применения специальных средств  контроля за информацией, в системе  внутреннего контроля и бухгалтерского учета экономического субъекта;

 

«Проведение аудита с применением  компьютеров» — в части применения аудитором новых средств и  методов контроля проверяемой информации экономического субъекта.

 

Нетрудно заметить, что  рассматриваемый стандарт направлен  как на расширение сущности подходов и методов, приведенных в стандартах, так и на уточнение и дополнение рекомендаций по организации компьютерного  аудита.

 

Влияние автономных персональных компьютеров (ПК) на систему бухгалтерского учета и связанные с ней  средства внутреннего контроля, а  также аудита приведены в ПМАП 1001 «Среда ИТ — автономные персональные компьютеры».

 

В разделе «Автономные  ПК» говорится, что автономные ПК используются для обработки бухгалтерских  операций и для подготовки отчетов, необходимых для составления  финансовой отчетности, в разное время  как одним, так и несколькими  пользователями, имеющими доступ к  различным или одинаковым программам на одном компьютере. Очень большое  значение для оценки рисков и объема средств контроля, которые нужны  для снижения рисков, имеет организационная  структура, в которой применяется  ПК.