Аудит в условиях компьютерной обработки данных

В последнее десятилетие внедрение компьютерной техники на крупных, средних и малых предприятиях приобрело масштабный характер. Началось активное использование компьютерных приложений, позволяющих вести автоматизированный бухгалтерский учет, составлять отчеты, анализировать данные, планировать и прогнозировать результаты. Появились такие программы как «1С Предприятие», «Галактика», «Инфобухгалтер» и др., которые заняли прочные позиции на рынке программного обеспечения. Ведение бухгалтерской документации без ПЭВМ стало редким исключением. Аудиторские организации вынуждены приспосабливаться к происходящим изменениям. Проведение таких аудиторских процедур в условиях автоматизации имеет свои особенности, что обуславливает актуальность данной темы.

Если аудируемое лицо применяет в своей деятельности компьютерные программы и технику, то при проведении аудита аудитор должен руководствоваться специальными правилами аудиторской деятельности «Аудит в условиях компьютерной обработки данных», утвержденных в ред. постановления Министерства финансов Республики Беларусь № 78 от

10.12.2013. Хотя цели аудита в таком случае не меняются, это вносит некоторые особенности в процедуру изучения бухгалтерской отчетности аудитором, в оценку риска существенного искажения информации, и в осуществление процедур, необходимых для достижения целей аудита [1].

В вышеуказанных правилах говорится, что аудитор должен обладать достаточным знанием систем компьютерной обработки данных (далее КОД). Желательно, чтобы он имел представление о техническом, программном, математическом и других видах обеспечения компьютерной техники, а также о существующих системах обработки финансовой информации. Такие требования предъявляются в связи с тем, что аудиторская компания не может ни передать, ни разделить часть своей ответственности за выражение мнения о достоверности бухгалтерской отчетности с кем-либо еще, например, со специально привлекаемым экспертом (в случае если необходимы специализированные знания). Эксперт оценивает только систему обработки информации. В белорусской практике эта проблема может быть менее актуальной, т.к. большинство белорусских предприятий применяют широко распространенную систему «1С Предприятие». Поэтому работа аудиторов и экспертов может быть в значительной степени облегчена, особенно в части оценки программы, ее лицензионной чистоты, проверке алгоритмов надежности. Данная программа достаточно хорошо сопровождается фирмами разработчиками.

В ходе проведения аудита аудитор обязан проверить уровень знаний работников бухгалтерии в области информационных технологий, т.к. недостаточность знаний может привести к существенному искажению информации. Здесь может возникать проблема оценки компьютерной квалификации работника, потому что эта оценка может быть субъективной. Большинство белорусских бухгалтеров, учатся работать с программами либо самостоятельно, либо посещая специальные курсы. Наличие документа об окончании курсов не всегда свидетельствует о достаточной образованности работников, т.к. данные курсы могут организовываться индивидуальными предпринимателями или малыми организациями, не имеющими соответствующего опыта. Более предпочтительным будет, например, сертификат от фирмы разработчика. Устный опрос работников, также не является эффективным, т.к. мнение работников о своем профессионализме в области информационных технологий субъективно. Следовательно, каждая аудиторская организация должна разработать свои методики, которые позволяли бы надежно оценить уровень знаний работников.

Достаточно серьезной проблемой является уязвимость программного обеспечения и компьютерной техники на предприятиях. Основные причины: программные сбои (например, ошибки операционной системы) и аппаратные сбои (поломка жесткого диска, оперативной памяти и др.). Информация также часто теряется, вследствие занесения компьютерных вирусов, при установке ненадежных программ из интернета. Поэтому в обязательном порядке аудитором оценивается внутренняя система контроля КОД, существует ли несанкционированный доступ к базам данным. Внутренний контроль функционирования компьютерных систем на предприятиях в основном сводиться к анализу уже произошедших ошибок и не является эффективным. Аудитор может, например, оценивать насколько тщательно производится подбор кадров в отдел информационных технологий, обладает ли руководитель данного отдела соответствующим образованием и квалификацией. Кроме того необходимо оценить наличие таких мер защиты как [2, с. 207]: ограничение доступа к компьютерной технике посторонних лиц, периодичность и порядок резервного копирования учетной информации клиента, наличие технических и программных средств (источников бесперебойного питания, антивирусных программ, специалистов по сетевому администрированию).

Риск существенного искажения информации снижается, если аудируемое лицо имеет долгосрочный план развития системы КОД. Такой план является актуальным для предприятий, которые планируют перейти на более новые технологические платформы, к более сложным компьютерным системам (например, создание банков данных). Малые организации, в основном не имеют таких глобальных целей, их планы ограничиваются установкой нового программного обеспечения, переходом на новые версии программ, заменой старого оборудования новым и др. Наличие плана снижает риск попадания предприятия в «информационные ловушки», когда оно больше не может правильно вести учет и обрабатывать данные в соответствие с требованиями изменившегося законодательством.

В условиях КОД аудит может проводиться с применением машинноориентированных и (или) ручных процедур [1]. Машинно-ориентированные процедуры часто используется в тех случаях, если какие- либо модули программы или объекты конфигурации были разработаны внутренними службами самого аудируемого лица, а не поставлены фирмой разработчиком. При этом аудитор должен обладать достаточной квалификацией и специализированными знаниями. Проведение машинноориентированных процедур в отношении копий компьютерных файлов допустимо только, если имеется достаточная уверенность, что копии полностью соответствуют оригиналом файлов аудируемого лица. Такая достаточная степень уверенности может быть получена, если аудитор самостоятельно сделает копии данных.

При машинно-ориентированных процедурах для проверки содержания файлов аудируемого лица аудиторская организация может использовать программные средства и контрольные примеры для тестирования алгоритмов КОД. Можно отметить, что количество разработчиков специальных программ для аудиторских организаций еще не велико. Однако само программное обеспечение уже имеет достаточно широкий круг функций. Если раньше такие приложения в основном представляли собой справочно-информационные системы с шаблонами рабочих документов, то в настоящее время появляются полнофункциональные системы, позволяющие управлять аудиторской деятельностью, проводить различные аналитические процедуры, анализировать риски, принимать управленческие решения. В Республике Беларусь такие программы еще не распространяются активно. В Российской Федерации примерами могут служить «Экспресс Аудит: ПРОФ», «Аудит ХР», «IT аудит» и др.

Таким образом, аудит в условиях компьютерной обработки данных зависит от различных условий: от вида программного обеспечения, установленного на предприятии, от профессионализма работников, от особенностей автоматизации учета и т.д. Все это вызывает необходимость получения аудитором специальных знаний и квалификации в области информационных технологий, а также разработки специальных методик оценок КОД, применения специализированных приложений, облегчающих и ускоряющих проведение аудита.