10.4. Международные стандарты по компьютерным технологиям аудита

10.4. Международные стандарты по компьютерным технологиям аудита

В составе международных стандартов аудита шесть стандартов посвящены компьютерной тематике. В российских правилах (стандартах) эта тематика нашла отражение в трех стандартах, являющихся аналогами наиболее существенных из международных стандартов аудита, имеющих отношение к компьютеризации аудита.

На основе МСА 401 «Аудит в среде компьютерных информационных систем» разработан отечественный аналог - ПСАД «Аудит в условиях компьютерной обработки данных», на основе ПМАП 1009 «Методы аудита с помощью компьютеров» - ПСАД «Проведение аудита с помощью компьютеров», на основе ПМАП 1008 «Оценка рисков и система внутреннего контроля - характеристики КИС и связанные с ними вопросы» - ПСАД «Оценки риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем».

Пока еще не разработаны отечественные аналоги к ПМАП 1001 «Среда ИТ - автономные персональные компьютеры», ПМАП 1002 «Среда ИТ - онлайновые компьютерные системы», ПМАП 1003 «Среда ИТ - системы баз данных».

Компьютерный аудит предполагает использование компьютеров и современных информационных технологий (ИТ) для организации аудиторской деятельности. Основными работами в связи с этим можно считать аудиторские проверки финансовой отчетности с подготовкой аудиторского заключения, а также оказание сопутствующих аудиту услуг.

Общие сведения о компонентах компьютерного аудита, основных понятиях и подходах к его организации можно получить из МСА 401, который подробно рассмотрен в параграфе 4.2, и ПМАП 1009. Эти два документа непосредственно связаны между собой, хотя первый имеет большее отношение к экономическому субъекту, а второй - непосредственно к аудиторам и аудиторским организациям.

На практике возможны разные варианты проведения компьютерного аудита. Отметим, что наиболее благоприятным является вариант, при котором компьютеры для автоматизации управленческих работ используют и экономический субъект, и аудиторская организация. Однако само по себе наличие персональных компьютеров не является

основным компонентом компьютерного аудита. Важно, чтобы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления. В МСА 401 в связи с этим введено понятие «компьютерная обработка данных» (КОД).

В аудиторской организации компьютеры могут использоваться для автоматизации ее управленческих работ и для проведения аудита у экономических субъектов. Понятие «использование компьютеров для проведения аудита» является весьма общим и может включать в себя ряд направлений использования (виды выполняемых работ):

• несложные расчеты, печать типовых форм аудиторских документов, опросных листов, анкет и др.;

• организация нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»);

• проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.;

• комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала, проведения экономического анализа.

Из приведенных вариантов использования наибольший эффект достигается, если компьютеры применяются для реализации первого, второго и четвертого вариантов, что в конечном итоге позволяет создать систему автоматизации аудиторской деятельности (СААД).

Целью российского аналога МСА 401 - ПС АД «Аудит в условиях компьютерной обработки данных» является определение действий аудиторов, при осуществлении аудита в условиях систем КОД, функционирующих у проверяемого экономического субъекта.

Компьютерная обработка данных экономического субъекта имеет место в случаях, когда с помощью компьютерной техники обрабатываются значительные объемы учетной информации независимо от того, используется компьютер экономическим субъектом самостоятельно или по договору с третьей стороной, а также для обработки экономической информации во всех аспектах хозяйственной деятельности и ее учета или только для автоматизации обработки информации по отдельным видам фактов хозяйственной жизни, участкам учета.

При проведении аудита в системе КОД сохраняются цель аудита и основные элементы его методологии. Наличие среды КОД существенно влияет на процесс изучения аудитором системы учета экономического субъекта и сопутствующих средств внутреннего контроля.

Использование технических средств приводит к изменению отдельных элементов организации бухгалтерского учета и внутреннего контроля:

• для проверки хозяйственных операции наряду с традиционными первичными учетными документами используются первичные учетные документы на машиночитаемом носителе;

• постоянные нормативно-справочные показатели могут быть проверены по данным, хранящимся в памяти компьютера или на машиночитаемых носителях информации;

• вместо традиционных ручных форм счетоводства может применяться форма учета, ориентированная на прогрессивные методы формирования выходной информации и обеспечения ее достоверности, совмещение синтетического учета с аналитическим и систематического с хронологическим, а также повышение оперативности и удобства использования учетной и отчетной информации.

Рекомендация аудитора в части использования той или иной системы КОД возможна только в случае, когда аудитор оказывает экономическому субъекту сопутствующую аудиту услугу по организации системы КОД по просьбе субъекта.

Экономический субъект обязан предоставить аудиторской организации необходимый доступ к системе КОД. Невыполнение (неполное выполнение) этого условия является ограничением объема аудита в системе КОД, вследствие чего аудиторская организация может потребовать необходимые ей документы на бумажных носителях информации.

Аудитору желательно иметь представление о техническом, программном, математическом и других видах обеспечения компьютерной техники, а также системах обработки экономической информации. В случае отсутствия у аудитора подобных знаний следует использовать работу эксперта в области ИТ.

Аудитор должен быть способен определить, какое влияние на организацию, планирование и проведение аудита (в том числе на изучение систем бухгалтерского учета и внутреннего контроля, на оценку рисков, связанных с проведением аудита) оказывают условия использования системы КОД у проверяемого экономического субъекта.

Аудиторской организации целесообразно иметь библиотеку наиболее распространенных систем КОД и прилагать усилия к изучению особенностей их практического применения.

В случае использования работы эксперта для оценки применяемой системы КОД:

• назначение эксперта, оформление и использование результатов его работы должно полностью отвечать требованиям ПСАД «Использование работы эксперта»;

• аудитор должен иметь достаточное представление о компьютерной системе клиента в целом, с тем чтобы планировать, регулировать и контролировать работу эксперта, сохраняя главенствующее положение.

Главенствующее положение аудитора по отношению к эксперту состоит в том, что эксперт оценивает только систему обработки информации, в то время как аудитор - достоверность формируемой с помощью этой системы отчетности. Аудиторская организация не может ни передавать, ни разделять с кем-либо (в том числе с экспертом) свою ответственность за выражение мнения об отчетности и составленного на его основе аудиторского заключения.

Основной задачей эксперта является оказание помощи аудитору при проведении проверки в части:

• оценки надежности системы КОД в целом;

• оценки законности приобретения и лицензионной чистоты бухгалтерского программного обеспечения, функционирующего в системе КОД проверяемого экономического субъекта;

• проверки алгоритмов расчетов;

• формирования на компьютере необходимых аудитору регистров аналитического, синтетического учета и отчетности.

Аудитор должен изучить и оформить в виде рабочего документа все существенные вопросы организации обработки учетных данных в системе КОД экономического субъекта, отразив в нем следующие положения:

• организационную форму обработки данных, например, осуществляет обработку специальное подразделение (вычислительный центр, информационно-вычислительный центр, отдел автоматизированной системы управления предприятием) или компьютеры установлены на рабочих местах бухгалтерского персонала и обработка данных осуществляется непосредственно бухгалтерами, обработка данных ведется экономическим субъектом самостоятельно или по договору третьей стороной;

• форму бухгалтерского учета;

• разделы и участки учета, функционирующие в среде КОД;

• система КОД размещена на одном или на нескольких компьютерах;

• обработка учетных данных ведется локально на каждом компьютере или применяется сетевой вариант;

• обеспечение архивирования и хранения данных;

• данные передаются с использованием каналов связи, через внешние носители (например, дискеты) или вводятся с клавиатуры.

Аудитор должен изучить и оформить рабочим документом используемое проверяемым экономическим субъектом:

• обеспечение КОД техническими средствами;

• программное обеспечение КОД (составляется краткая характеристика, в частности, кем разработано, когда внедрено программное обеспечение КОД, частота и метод его обновления в соответствии с изменениями действующего законодательства);

• технологическое обеспечение (рекомендуется оформлять в виде схемы, состоящей из отдельных блоков технологического процесса обработки данных);

• другие виды обеспечения КОД (следует дать краткое описание иных видов обеспечения).

В рабочем документе по бухгалтерскому программному обеспечению должно быть указано наличие лицензий на каждый из его элементов.

Аудитор должен оценить и оформить рабочим документом возможности компьютерной системы в части:

• гибкого реагирования на изменения хозяйственного, налогового или иного законодательства с точки зрения настройки программного обеспечения;

• формирования бухгалтерской и внутренней управленческой отчетности;

• осуществления аналитических процедур;

• расширения функций компьютерной системы.

Аудитор должен оценить квалификацию бухгалтерского персонала в области КОД, в частности, имеют ли специалисты соответствующее высшее либо среднее специальное образование, или прошли курс обучения в области ИТ, или изучили систему КОД самостоятельно.

При составлении общего плана аудиторской проверки в соответствии с ПСАД «Планирование аудита» каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита применяемых экономическим субъектом ИТ и системы КОД. Уровень автоматизации обработки учетной информации должен быть принят во внимание при определении объема и характера аудиторских процедур.

В документах по планированию аудита должны быть отражены следующие вопросы:

• характер выполнения аудиторских процедур с использованием КОД (вывод подготовленных в среде КОД документов на печать, работа в среде КОД экономического субъекта);

• привлечение независимого эксперта с целью изучения компьютерной системы экономического субъекта, описание вынесенных для оценки экспертом вопросов.

Дата начала аудиторской проверки должна соответствовать дате представления аудитору данных в виде, согласованном с экономическим субъектом в договоре на проведение аудита.

Организация данных бухгалтерского учета у клиента в среде КОД оказывает влияние на профессиональный риск аудитора. Риск аудитора повышается, если:

• компьютеризованная среда децентрализована;

• существует географическая разбросанность компьютерных установок;

• уровень знаний бухгалтерского персонала в области ИТ недостаточен;

• внутренний контроль за функционированием среды КОД отсутствует;

• не приняты необходимые меры по ограничению несанкционированного доступа в систему КОД.

Риск аудитора снижается, если:

• системы автоматизации являются лицензированными;

• имеется возможность углубить некоторые виды контроля благодаря программному обеспечению, специально разработанному для аудиторов;

• существует специальный контроль программного обеспечения;

• информационную политику экономического субъекта квалифицированно определяет его руководство;

• все дочерние общества, филиалы и другие обособленные подразделения работают в единой среде КОД, применяют единое современное программное обеспечение;

• информационная политика экономического субъекта согласована с основными пользователями системы КОД;

• имеется долгосрочный план развития системы КОД экономического субъекта.

Аудитор должен оценить надежность системы внутреннего контроля проверяемого экономического субъекта в соответствии с ПСАД «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита» и влияние на эту надежность действующей системы КОД:

• контроль подготовки данных как на уровне пользователя, так и на уровне компьютерной службы;

• контроль предотвращения ошибок и фальсификаций во время работы;

• контроль работы с данными (доступ, правильность, полнота), особенно с данными постоянного (нормативно-справочного) характера;

• возможность изменения программного обеспечения, особенно в части методов регистрации первичной информации;

• степень координации и взаимодействия между службой информатизации и пользователями системы КОД.

При оценке среды КОД аудитор должен охарактеризовать:

• соответствие применяемой формы учета используемой системе обработки данных;

• соответствие алгоритмов обработки бухгалтерских данных действующему законодательству и возможность изменения этих алгоритмов в случае изменения порядка ведения бухгалтерского учета, хозяйственного, налогового и иного законодательства;

• способ организации, хранения и обновления данных;

• обеспечение контроля ввода данных;

• возможность настройки внешней отчетности на изменение ее форм;

• возможность вывода на печать данных о хозяйственных операциях.

Аудитор обязан проверять соответствие применяемых алгоритмов требованиям нормативной документации по ведению бухгалтерского учета и составлению бухгалтерской отчетности по основным автоматизированным расчетам экономического субъекта.

Аудитору необходимо убедиться в том, что информационная база внутри компьютера обеспечивает сохранность информации, ее архивирование, простоту доступа, кодирование и декодирование информации, ограничение несанкционированного доступа к ней. Актуальность данных (т.е. их соответствие изменившимся условиям хозяйственной жизни) обеспечивается регламентированием источников и потребителей информации, периодичностью и условиями ее обновления.

Собирая аудиторские доказательства об организации обработки учетных данных в среде КОД, аудиторские организации обязаны следовать требованиям, установленным ПСАД № 5 «Аудиторские доказательства».

Источниками получения аудиторских доказательств при проведении аудиторских процедур являются данные, подготовленные в системе КОД экономического субъекта в виде таблиц, ведомостей, регистров бухгалтерского учета экономического субъекта. Аудитор имеет возможность применять их, их копии, в том числе фотокопии, в качестве рабочей документации аудита, сопровождая обработку этих документов ссылками, пометками, специальными символами. В случае работы аудитора непосредственно в системе КОД экономического субъекта (без вывода данных на печать) рабочие документы, подтверждающие факт сбора аудиторских доказательств, аудитор составляет самостоятельно.

Рабочие документы, формируемые в процессе аудита в условиях КОД и существенно отличающиеся от обычных рабочих документов, могут храниться в аудиторской организации обособленно в архиве аудиторских файлов на машинных носителях.

Аудиторская организация должна обеспечить сохранность аудиторских файлов на машинных носителях, их оформление и сдачу в архив. Систему идентификации рабочих документов в аудиторском файле на машинном носителе устанавливает аудиторская организация. Целесообразно хранить аудиторские файлы по каждому экономическому субъекту аудиторской организации на отдельном машинном носителе.

В условиях использования экономическим субъектом системы КОД повышается эффективность и надежность такой аудиторской процедуры, как проверка его арифметических расчетов.

Аудитору необходимо убедиться в том, что:

• регистры учета, формируемые системой КОД, соответствуют данным первичного учета (наличие системы КОД не освобождает экономического субъекта от обязанности документировать в установленном порядке факты хозяйственной жизни);

• отсутствуют несанкционированные изменения программного обеспечения (изменения, вносимые в программное обеспечение экономическим субъектом в связи с изменением хозяйственного или налогового законодательства, должны быть документированы и, как правило, согласованы, одобрены и проверены разработчиком программного обеспечения).

В условиях КОД аудит можно проводить с использованием машинно-ориентированных и (или) ручных процедур.

Машинно-ориентированные процедуры должны включать в себя:

• программные средства, применяемые аудитором для проверки содержания компьютерных файлов экономического субъекта;

• контрольные примеры, используемые аудитором для тестирования алгоритмов КОД.

При применении машинно-ориентированный процедур руководитель аудиторской проверки (или лицо, которому он это поручил) должен обеспечить контроль за работой, выполняемой персоналом, имеющим специальные знания и навыки в условиях работы КОД, и другим персоналом, занятым в аудите.

Проведение аудитором машинно-ориентированных процедур в отношении копий компьютерных файлов допускается при условии,

что аудитор имеет достаточную уверенность в том, что они действительно полностью соответствуют оригиналам файлов экономического субъекта.

Аудитор может проводить машинно-ориентированные процедуры в отношении компьютерных файлов, полученных от третьего лица, осуществляющего по договору КОД экономического субъекта.

Руководством для аудиторов по использованию компьютерных методов аудита, особенно в части применения компьютерных программ и данных для тестирования, служит ПМАП 1009 «Методы аудита с помощью компьютеров». Использование компьютера в качестве инструмента аудита называют методом аудита с помощью компьютеров (МАПК). Целью данного Положения является предоставление рекомендаций по использованию МАПК. ПМАП 1009 применяется ко всем видам использования МАПК, включая компьютеры любых видов и размеров.

В разделе «Описание методов аудита с помощью компьютеров (МАПК)» говорится, что в данном Положении описываются методы проведения аудита с помощью компьютеров, в том числе компьютерных инструментов, получивших название МАПК, которые могут быть использованы при проведении различных процедур аудита, включая детальные тесты операций и сальдо, аналитические процедуры, тесты общих средств контроля, программы осуществления отбора совокупности, обеспечивающие выбор данных для аудиторских тестов, тестирование прикладных средств контроля, пересчет данных, ранее полученных с помощью систем бухгалтерского учета субъекта.

МАПК - это компьютерные программы и данные, используемые аудитором в качестве процедур аудита, чтобы обрабатывать значимые для аудита данные, содержащиеся в информационных системах субъекта. МАПК может состоять из пакетных программ, программ специального назначения, программ-утилит и программ управления системой. Вне зависимости от источника программ до их использования аудитор должен обосновывать их надлежащий характер и соответствие целям аудита.

Методика тестовых данных иногда используется при проведении аудита путем ввода данных в компьютерную систему субъекта и сравнения полученных результатов с заранее определенными результатами, например:

• тестируются такие конкретные средства контроля в компьютерных программах, как пароль в режиме онлайн и средства контроля за доступом к данным;

• тестируются операции, отобранные из ранее обработанных хозяйственных операций или созданные аудитором для тестирования

отдельных характеристик процесса обработки, осуществляемой компьютерной системой субъекта;

• тестируются операции в интегрированных устройствах тестирования с созданием элемента «пустышки» (например, отдел или работник), на котором отражаются контрольные операции в ходе обычного цикла обработки.

Если тестовые данные обрабатываются в рамках обычного процесса обработки, аудитор должен обеспечить, чтобы контрольные операции были затем исключены из бухгалтерских записей субъекта.

Согласно разделу «Рассмотрение использования МАПК» аудитор должен при планировании аудита рассматривать соответствующую комбинацию ручных методик и методик аудита с помощью компьютеров. При принятии решения о том, использовать ли МАПК, рекомендуется учитывать следующие факторы: знания, навыки и опыт работы аудитора в области ИТ; возможность применения МАПК и наличие соответствующих компьютерных устройств; нецелесообразность применения ручных тестов; эффективность и результативность; фактор времени. В частности, аудитор должен владеть знаниями, достаточными для планирования, получения и использования результатов выбранных МАПК. Уровень необходимых знаний зависит от сложности и характера МАПК и информационной системы субъекта.

Аудитор должен рассматривать возможность применения МАПК, наличие подходящих компьютерных устройств и необходимых информационных систем, основанных на применении компьютеров, и данных. Аудитор может планировать использование других компьютерных устройств, если применение МАПК на компьютере субъекта является экономически нецелесообразным или невыполнимым, например, из-за несовместимости пакета программ аудитора и компьютера субъекта. Помощь специалистов субъекта может потребоваться для получения в удобное время возможности для обработки, а также для такой работы, как загрузка и запуск МАПК в системе субъекта, и для получения копий файлов с данными в форме, необходимой для аудитора.

Многие компьютерные информационные системы решают задачи, по результатам которых не остается визуальных доказательств, что делает невозможным выполнение аудитором тестов вручную. Отсутствие визуального доказательства может проявиться на различных стадиях процесса учета:

• первичные документы могут создаваться в электронном виде;

• такие операции, как дисконтирование и расчет процентов, могут выполняться в компьютерной программе без специального одобрения руководством отдельных операций;

• система может не предоставлять интересующих аудитора визуальных результатов операций, обработанных с помощью компьютера;

• система может не подготавливать отчеты о полученных данных, более того, распечатанный отчет может содержать только итоговые суммы, тогда как подтверждающая подробная информация будет оставаться в компьютерных файлах.

Эффективность и результативность процедур аудита, проводимых для получения и оценки аудиторских доказательств, могут быть улучшены с использованием МАПК. Как правило, МАПК представляют собой эффективный способ тестирования большого количества операций или средств контроля в случае большой генеральной совокупности посредством анализа и отбора совокупности из большого числа операций, применения аналитических процедур и выполнения процедур проверки по существу. К соображениям эффективности, которые могут быть учтены аудитором, относятся: время планирования, разработки, применения и оценки МАПК; часы работы, затраченные на технический анализ и консультации; составление и распечатка форм; доступность компьютерных ресурсов.

Некоторые данные, например особенности хозяйственных операций, часто сохраняются в компьютере только в течение короткого периода времени и могут оказаться недоступны в машиночитаемой форме, когда они требуются аудитору. В результате аудитор будет должен предпринять определенные действия, чтобы необходимые ему файлы были сохранены, или ему будет нужно изменить сроки работы, для которой требуются эти данные. Когда время проведения аудита ограничено, аудитор может планировать использование МАПК, потому что это может в большей мере соответствовать графику аудита, чем другие процедуры.

В разделе «Использование МАПК» перечислены основные шаги, которые необходимо предпринять аудитору при использовании МАПК:

• установить цели применения МАПК;

• определить содержание файлов субъекта и порядок доступа

к ним;

• определить специфические файлы и базы данных, подлежащих тестированию;

• понять взаимоотношения между таблицами данных в тех случаях, когда база данных подлежит проверке;

• определить специальные тесты или процедуры и соответствующие операции и сальдо, на которые было оказано влияние;

• договориться с пользователями или (в случае необходимости) специалистами подразделения ИТ о предоставлении копий соответствующих файлов и таблиц базы данных, которые должны быть «остановлены» в определенный момент и на определенную дату;

• установить выходные требования;

• назначить сотрудников, которые могут принимать участие в разработке и применении МАПК;

• уточнить оценки затрат и выгод;

• убедиться, что использование МАПК надлежащим образом контролируется и документируется;

• организовать административную работу, включая необходимую квалификацию и компьютерные устройства;

• сверить данные, которые используются для МАПК, с бухгалтерскими записями;

• выполнить программное приложение МАПК;

• оценить результаты.

Специальные процедуры, необходимые для контроля за использованием МАПК, зависят от конкретного применяемого приложения. При определении средств контроля аудитор должен рассмотреть необходимость: утверждения технических характеристик и проведения обзорной проверки работы, проводимой с использованием МАПК; проверки общих средств субъекта, которые могут способствовать целостности МАПК; обеспечения соответствующей интеграции полученных аудитором в рамках аудита результатов в общий процесс аудита.

Процедуры, проводимые аудитором в целях контроля за применением аудиторских программ, могут включать в себя:

• участие в разработке и тестировании МАПК;

• проверку кодирования программ для обеспечения соответствия подробным программным характеристикам;

• обращение аудитора к специалистам субъекта по компьютерным системам с просьбой ознакомиться с инструкцией по операционной системе и удостовериться в том, что программное обеспечение может быть инсталлировано в компьютерной системе субъекта;

• апробирование аудиторского программного обеспечения на небольших тестовых файлах до его запуска для работы с файлами основных данных;

• обеспечение использования правильных файлов, например, посредством проверки с помощью внешнего доказательства, такого, как контрольные итоговые данные, которые ведутся пользователем;

• получение доказательства того, что аудиторское программное обеспечение действует как запланировано, например, путем анализа выходящей и контрольной информации;

• принятие соответствующих мер безопасности для защиты от манипуляций с файлами данных субъекта.

Рабочие документы должны содержать достаточную документацию для описания применения МАПК, в частности: планирование (цели МАПК; рассмотрение необходимости использования конкретных МАПК; используемые средства контроля; специалисты, сроки и затраты); осуществление (подготовка МАПК и тестирование процедур и средств контроля: информация о тестах, проведенных с помощью МАПК; информация о вводных данных, обработке и результатах; соответствующая техническая информация о бухгалтерской системе субъекта, такая, как расположение компьютерных файлов); аудиторские доказательства (полученные результаты; описание проведенной аудиторской работы в отношении результатов; аудиторские выводы); прочее (рекомендации руководству субъекта).

В разделе «Использование МАПК в среде ИТ малого субъекта» описаны особенности ИТ среды малого субъекта, а именно то, что:

• уровень общих средств контроля может быть таким, что аудитору придется в меньшей степени полагаться на систему внутреннего контроля (это приведет к более значительной роли детальных тестов операций и сальдо, а также аналитических процедур обзорной проверки; применению аудиторских процедур в целях обеспечения правильного функционирования МАПК и обоснованности данных субъекта);

• в случаях, когда обрабатываются небольшие объемы данных, использование некомпьютеризованных методов может оказаться более экономичным;

• аудитор может не получить достаточной технической помощи от субъекта, что делает использование МАПК невозможным;

• определенные пакетные программы могут не работать на небольших компьютерах, что ограничивает выбор аудитора в отношении МАПК. Однако файлы с данными субъекта можно скопировать и обработать на подходящем компьютере.

Российским аналогом ПМАП 1009 является ПСАД «Проведение аудита с помощью компьютеров», цель которого состоит в определении особенностей проведения аудита с применением компьютеров.

В этом стандарте нашли отражение общие требования по применению компьютеров при проведении аудита. При проведении аудита с использованием компьютеров сохраняются цель и основные элементы методологии аудита. Использование аудитором компьютера возможно как в случае ведения бухгалтерского учета экономическим субъектом вручную, так и при использовании средств автоматизации бухгалтерского учета. В первом случае аудитор должен решить проблему нали

чия необходимого программного обеспечения для анализа базы данных бухгалтерских записей по всем учитываемым хозяйственным операциям или по итоговым записям бухгалтерских регистров. Если у экономического субъекта весь бухгалтерский учет или отдельные его участки автоматизированы, наличие в распоряжении аудитора базы учетных данных экономического субъекта (отдельных ее компьютерных файлов) позволяет применять для ее анализа эффективные методы современных ИТ.

Аудиторской организации целесообразно вести постоянную работу по освоению новых ИТ автоматизации аудиторской деятельности.

Информационное обеспечение аудита с применением компьютеров обычно имеет два источника:

• данные бухгалтерского учета экономического субъекта на бумажных носителях или в виде базы данных бухгалтерии;

• нормативно-справочную базу и систему форм рабочей документации аудитора.

Возможность использования базы данных экономического субъекта или отдельных ее массивов должна быть обеспечена путем:

• отражения в договоре о проведении аудита согласия экономического субъекта на использование базы данных или ее фрагментов, а при необходимости также состава, формы и срока предоставления аудитору для анализа базы данных или ее фрагментов;

• включения при необходимости в систему аудита с применением компьютеров блока, обеспечивающего конвертацию (преобразование) базы данных экономического субъекта в данные, обработка которых возможна средствами программного обеспечения, используемого аудитором.

Аудитор может использовать для анализа не саму базу данных (или фрагменты рабочей базы данных), а ее копию, предварительно убедившись в соответствии копии оригиналу или сделав копию базы данных самостоятельно. Нормативно-справочные данные системы, используемой аудитором для проведения аудита, должны соответствовать проверяемому периоду. Аудитор должен обеспечить конфиденциальность как полученной информации, так и информации, сформированной в ходе аудиторских процедур, а также ее защиту от несанкционированного доступа.

Программные средства системы, используемой аудитором при проведении аудита, должны обеспечивать:

• анализ содержания формируемой в бухгалтерии экономического субъекта базы данных, если таковая существует и доступна;

• контроль показателей, содержащихся в регистрах бухгалтерского учета экономического субъекта;

• тестирование алгоритмов, применяемых в автоматизированной системе бухгалтерского учета;

• контроль соответствия показателей, содержащихся в формах бухгалтерской отчетности, данным бухгалтерских регистров или базы данных, формируемой в бухгалтерии при обработке первичных документов;

• использование возможностей поисково-справочных информационных систем в области нормативных и законодательных актов, регламентирующих бухгалтерский учет и аудит в Российской Федерации;

• формирование аудиторской документации (рабочей и итоговой).

Основные задачи эксперта (специалиста) заключаются в оказании помощи аудитору при проведении проверки с использованием компьютера в части:

• конвертирования данных экономического субъекта в форму, доступную для обработки в компьютерной и программной системе, используемой аудитором;

• выполнения нестандартных процедур анализа;

• тестирования системы, применяемой аудитором;

• формирования на компьютере необходимых аудитору рабочих аудиторских документов.

Аудитор должен иметь достаточное представление о компьютерной системе ведения учета и подготовки отчетности экономического субъекта в целом, с тем чтобы планировать, регулировать и контролировать работу эксперта (специалиста), сохраняя при этом главенствующее положение. При использовании работы эксперта аудитор должен следовать требованиям, установленным ПСАД «Использование работы эксперта».

Особенности планирования аудита с применением компьютеров заключаются в необходимости учесть:

• наличие в аудиторской организации необходимого обеспечения (информационного, программного, технического) как для проведения аудита, так и для оказания сопутствующих аудиту услуг с применением компьютеров;

• дату начала аудиторской проверки, которая должна соответствовать дате предоставления аудитору данных в виде, согласованном с экономическим субъектом;

• факт привлечения к работе экспертов в области ИТ;

• знания, опыт и квалификацию аудитора в области ИТ;

• целесообразность использования тестов, проводимых без компьютеров;

• эффективность применения компьютера при проведении аудита.

Для планирования аудита с использованием компьютеров важно оценить систему КОД экономического субъекта, изучив следующие моменты:

• особенности информационного, программного и технического обеспечения экономического субъекта;

• особенности организационной формы обработки данных у экономического субъекта;

• разделы и участки учета, функционирующие в среде КОД;

• способ передачи данных (с использованием каналов связи, через внешние носители (например, дискеты), ввод данных с клавиатуры);

• особенности обеспечения архивирования и хранения данных;

• особенности размещения (являются рабочие места локальными или объединены в сеть).

В стандарте указано также на необходимость соблюдения аудитором требований ПСАД № 5 «Аудиторские доказательства», ПСАД «Аналитические процедуры» и ПСАД № 2«Документирование аудита» и на целесообразность иметь в аудиторской организации внутрифирменные стандарты, регламентирующие применение компьютеров при проведении аудита на этапах планирования; проведения аудита, включая сбор и отражение аудиторских доказательств; подготовки отчета аудитора.

Эффективность аудиторских процедур может быть повышена благодаря использованию компьютеров в ходе аудита при получении и оценке некоторых аудиторских доказательств в тех случаях, когда:

• проверяются большие однородные массивы данных по участкам и операциям бухгалтерского учета;

• проверяемый экономический субъект использует унифицированную стандартную систему оформления бухгалтерских операций;

• имеется и используется информационно-поисковая система для расшифровки и подтверждения наличия соответствующих первичных документов, регистров бухгалтерского учета;

• имеется и используется автоматизированная система контроля исполнения утвержденного регламента решения соответствующих учетных задач.

Применение компьютеров позволяет аудитору провести следующие процедуры:

• тестирование операций и остатков по счетам в компьютерной базе данных;

• аналитические процедуры для выявления отклонений от обычно принятых параметров в компьютерной базе данных;

• тестирование базы данных проверяемого экономического субъекта;

• тестирование информационного, математического, программного и технического обеспечения проверяемого экономического субъекта.

Процедуры, выполняемые аудитором при использовании компьютеров для контроля, могут включать в себя:

• контроль последовательности проверяемых данных, которые проходят несколько этапов обработки;

• контроль предварительных данных;

• прогнозирование и планирование результатов проверки данных и сопоставление их с контрольными данными для отдельных операций и в целом по видам деятельности;

• подтверждение работоспособности и соответствия современным требованиям программного и аппаратного обеспечения работы аудитора при проведении аудита с применением компьютера;

• подтверждение соответствия компьютерного обеспечения проверяемого экономического субъекта действующему законодательству;

• подтверждение использования компьютеров у проверяемого экономического субъекта в период проведения аудита.

При выполнении машинно-ориентированный процедур руководитель аудиторской проверки (или лицо, которому он это поручил) должен обеспечить контроль за работой персонала, имеющего специальные знания и навыки работы в условиях КОД, и другим персоналом, занятым в аудите.

Проведение аудитором машинно-ориентированных процедур в отношении копий компьютерных файлов допускается при условии, что аудитор имеет достаточную уверенность в том, что эти копии действительно полностью соответствуют оригиналам файлов экономического субъекта. Аудитор может проводить машинно-ориентированные процедуры в отношении компьютерных файлов, полученных от третьего лица, осуществляющего по договору КОД экономического субъекта.

При использовании в ходе аудита компьютеров повышается эффективность проведения таких аудиторских процедур, как проверка арифметических расчетов и составление альтернативного баланса.

Общие принципы использования компьютеров в аудиторской проверке применимы для субъектов малого предпринимательства. Аудитору необходимо принимать во внимание следующие особенности таких экономических субъектов:

• субъекты малого предпринимательства в отдельных случаях не применяют лицензированного программного обеспечения, используя программные продукты сомнительного качества, вследствие чего аудитор может оценить риск средств внутреннего контроля как высокий, что повлечет за собой дополнительные процедуры оценки качества программного обеспечения;

• у субъекта малого предпринимательства могут отсутствовать достаточные технические средства, например объем памяти компьютера для размещения программного обеспечения аудитора.

Доверие аудитора к эффективности системы внутреннего контроля в субъектах малого предпринимательства должно быть ниже, чем для средних и крупных экономических субъектов, по этой причине мнение аудитора о достоверности бухгалтерской отчетности должно в большей мере определяться аудиторскими процедурами по существу. Вся база данных субъекта малого предпринимательства должна быть исследована с помощью контрольного программного обеспечения.