Вивчення і оцінка компютерних інформаційних систем

У ході перевірки аудитор має вивчити і задокументувати всі найбільш важливі позиції, пов'язані з організацією обробки облі­кових даних у КІС підприємства.

Впровадження комп'ютерів в обліковий процес суттєво впли­нуло на проведення аудиту. При цьому велике значення мають власні характеристики системи обробки даних, тому що вони впли­вають на ступінь складності бухгалтерської системи, тип внутріш­нього контролю, вибір виду перевірок, на основі яких можна ви­значити характер, тривалість та обсяги аудиторських процедур.

Перед початком аудиту слід уточнити ступінь автоматизації облікових, контрольних та аудиторських завдань і технологію їхнього вирішення. На основі отриманих даних складається план аудиторської перевірки.

Важливу роль у плануванні аудиторської перевірки відіграє рівень автоматизації облікових завдань. В оцінці труднощів автоматизованої обробки бухгалтерських даних необхідно вра­ховувати як ступінь інтеграції інформаційних систем, так і ступінь спільного використання різними системами однієї і тієї самої облікової бази даних.

Особлива увага приділяється перевірці надійності засобів внутрішнього контролю в середовищі комп'ютерної обробки даних. Облікова політика, орієнтована на КСБО, має обов'язково передбачати елементи внутрішнього контролю.

В умовах функціонування автоматизованих систем обробки інформації здійснюють три види контролю:

• структурний (виробничий) контроль;

• контроль розробки;

• процедурний (робочий) контроль.

Під структурним контролем розуміють загальну адмініст­ративну перевірку структури розподілу обов'язків і відповідаль­ності у відділі обробки інформації. Ці перевірки стосуються різною мірою всієї роботи, яку виконує відділ обробки інфор­мації, і є частиною основного контролю, через який проходить кожна нова процедура.

Сутність контролю розробки полягає в загальній перевірці відповідності всіх нових проектованих комп'ютерних облікових систем встановленим стандартам документації і процедур, тоб­то перевірці відповідності виконання основних етапів проекту­вання, програмування і дослідження систем вимогам загальної системи контролю. Контроль розробки в поєднанні зі структур­ним контролем охоплює всі нові запроектовані процедури.

Під процедурним (робочим) контролем слід розуміти конт­роль як поза, так і всередині відділу обробки інформації (зокре­ма — бухгалтерії). Його можна провести з кожної процедури за єдиними шаблонами, які можуть бути подібними для кількох процедур.

Оскільки можливість різних зловживань здебільшого ство­рюється браком необхідного програмного контролю, а систему автоматизованого контролю має бути передбачено в проекті ав­томатизації обліку, то аудитор при будь-якому рівні автомати­зації бухгалтерського обліку зобов'язаний перевіряти проектну документацію на створення такої підсистеми. Документацію перевіряють на наявність у проекті засобів автоматизованого контролю — як для забезпечення достовірності інформації, що обробляється на основних етапах облікового процесу, так і для виявлення різноманітних зловживань. Унаслідок такої перевірки може бути виявлено «слабкі» місця (з контрольних позицій) у програмі, які не перешкоджають здійсненню порушень, зловжи­вань, наприклад, відсутність програмного контролю внутрішньо­го переміщення матеріальних цінностей та грошових коштів тощо.

Часто закладена в проектну документацію система контролю не відповідає фактичному його здійсненню в процесі обробки облікової інформації. Тому аудитору слід переконатися у відпо­відності проекту фактичному обліковому процесу, перевірити правильність обробки інформації. Технологічний процес має за­безпечити автоматизацію контролю за правильністю обробки інформації та виправлення виявлених помилок. Виявлені в пе­ріод обробки на окремих стадіях технологічного процесу помилки відображають у відповідних актах. За цими актами аудитор може відтворити і документально перевірити процес обробки інфор­мації, з'ясувати, які помилки мають постійний характер, чим це зумовлено. Тому важливу роль відіграє організація зберігання цих документів на підприємствах.

Під час перевірки аудитору слід вивчити й оцінити систему документообігу економічного об'єкта, порядок формування, реєстрації, збереження, обробки документів і трансформації пер­винних документів у систему записів на бухгалтерських рахун­ках. Варто виявити місця виникнення первинної інформації і ступінь автоматизації її збору та реєстрації. При використанні спеціальних засобів автоматизації збору і реєстрації інформації (датчиків, лічильників, ваг, сканерів штрихових кодів тощо) ауди­тор має переконатися в тому, що фахівці регулярно проводять тестування цих пристроїв, а в разі виявлення відхилень належ­ним чином оформляють результати і вживають відповідних за­ходів.

Перше уявлення про рівень автоматизації складання первин­них документів аудитор може отримати і під час знайомства зі схемою розміщення АРМ на підприємстві. АРМ, розміщені в місцях виникнення первинної інформації (на складах, у цехах), дозволяють скласти первинний документ у момент здійснення операції, зафіксувати інформацію на машинному носії, передати документ у бухгалтерію для подальшої обробки. Відсутність АРМ у виробничих підрозділах підприємства вказує або на ручний спосіб складання документів з наступною передачею їх у бух­галтерію, або на те, що документи формуються в самій бухгал­терії, що характерно для підприємств з невеликим обсягом до­кументів.

Аудитор зобов'язаний оцінити, наскільки модель документо­обігу, реалізована програмним забезпеченням КІС, раціональ­на й ефективна для об'єкта, який перевіряють. Для великих підприємств має підтримуватися модель повного документообі­гу. При цьому важливо проаналізувати розподіл функцій між службами оперативного управління і бухгалтерією, інформаційні зв'язки різних підрозділів з бухгалтерією, простежити рух окре­мих документів і їхній взаємозв'язок, усвідомити, як підтримуєть­ся система міждокументальних зв'язків, де зберігаються елек­тронні копії документів, і як забезпечено до них доступ обліко­вих працівників. Для підприємств, котрі автоматизують тільки бухгалтерський облік, в обраній програмній системі аудитору необхідно звернути увагу:

• на дотримання часового інтервалу між випискою докумен­та, здійсненням операції і відображенням її в обліку;

• можливість збереження документів у системі після їх роздрукування;

• зв'язок документів і сформованих бухгалтерських проводок.

Аудитор зобов'язаний дати характеристику способів введен­ня даних і формування записів про господарські операції. Авто­матизована й автоматична генерація бухгалтерських записів і проводок на основі типових операцій та електронних форм до­кументів дозволяє уникнути багатьох помилок, неминучих при ручному введенні і формуванні проводок. Слід вивчити органі­зацію збереження інформації про господарські операції, мож­ливість швидкого одержання інформації про господарські опе­рації, документи та виведення її на друк.

У комп'ютерному обліку ряд операцій, таких як нарахування відсотків, закриття рахунків, визначення фінансового результа­ту, може ініціюватися програмою, отже, по них немає будь-яких організаційно-розпорядницьких чи виправдувальних документів.

Обов'язок аудитора — ретельно перевірити правильність ал­горитмів розрахунків. Помилка, закладена в алгоритм розра­хунку і повторена багато разів у повторюваних господарських операціях, може спотворити результат господарської діяльності. У процесі перевірки алгоритмів розрахунку сум при введенні господарських операцій контролюється також правильність фор­мування проводок. Особливо ретельно перевіряють алгоритми операцій, які ініціюються самою програмою, тому що до момен­ту їх виконання персонал зобов'язаний ввести, проконтролюва­ти, відкоригувати всі дані, використовувані цією операцією.

Аудитору варто перевірити алгоритм на відповідність чин­ному законодавству й обліковій політиці підприємства і з'ясу­вати можливість виконання коригування алгоритму в разі зміни порядку ведення бухгалтерського обліку, податкового чи іншого законодавства. Тестування алгоритмів висуває високі вимоги до комп'ютерної підготовки аудитора. Бажано, щоб він розумів макромову конкретної програми. Це дозволить йому не лише провести тестування алгоритму на конкретних даних, а й розі­братися в правильності його настроювання, наприклад під час використання типових операцій, доступ до зміни яких має не­професійний користувач — бухгалтер.

Аудитор зобов'язаний також перевірити алгоритми розра­хунку показників форм звітності й оцінити можливість їх ко­ригування у разі змін у законодавстві. Необхідно перевіри­ти відповідність використовуваних форм звітності чинному за­конодавству. Багато відомих фірм-розробників оперативно по­ширюють серед своїх користувачів нові форми бланків при їх зміні.

В обов'язки аудитора входить оцінка можливостей викорис­товуваної клієнтом системи в частині створення й формування нових, не передбачених програмою, форм внутрішньої чи зовніш­ньої звітності: розгляд механізму роботи з результатною вихід­ною інформацією, можливостей її розшифровки і швидкого ви­явлення та виправлення помилок; проведення тестування ре­зультатів обробки, щоб виявити, наприклад, неправильно розра­ховане сальдо у на рахунках; тестування перенесення облікових даних у звітність, особливо в тому разі, коли показники форми звітності в системі заповнюються «вручну» перенесенням із сформованих програмою стандартних звітів (облікових регістрів).

Приступаючи до проведення аудиторської перевірки, ауди­тор насамперед має ознайомитися з організаційною формою об­робки даних і рівнем автоматизації управлінських завдань, у тому числі завдань бухгалтерського обліку. Підприємство, як правило, здійснює обробку даних самостійно. Лише в окремих випадках за договором залучається стороння організація.

Сучасні КСБО допускають децентралізоване використання комп'ютерів безпосередньо на робочих місцях облікового персо­налу. Рівень же централізації обробки й збереження даних може бути різним і залежить від чисельності бухгалтерії, оснащеності її комп'ютерами, розподілу робіт між персоналом та від бага­тьох інших факторів. На малих підприємствах, де обробку даних виконує однин бухгалтер, програмне забезпечення КСБО й інфор­маційна база зосереджені на одному комп'ютері. Однак при більшій чисельності бухгалтерії мова йде вже про системи для багатьох користувачів, які реалізують роботу кількох користу­вачів з інформаційною базою обліку. Такі системи використову­ють одну з чотирьох технологій:

• локальне функціонування робочих місць;

• обробку інформації на основі технології «файл — сервер»;

• обробку інформації на основі технології «клієнт — сервер»;

• повністю централізовану обробку даних.

Кожна із цих технологій допускає свої форми використання комп'ютерів, форми організації та ведення інформаційної бази обліку й інтеграції облікових даних для складання звітності.

Положення про міжнародну аудиторську практику вирізня­ють особливості роботи з різними комп'ютерними системами під час проведення аудиту. Це положення 1001 «Середовище КІС — автономні мікрокомп'ютери», 1002 «Середовище КІС — інтерак­тивні комп'ютерні системи», 1003 «Середовище КІС — системи •баз даних».

Міжнародне положення 1001 «Середовище КІС — автономні мікрокомп'ютери» регламентує особливості проведення аудиту на підприємствах, які використовують окремі персональні ком­п'ютери. Особливість застосування персональних комп'ютерів та окремих АРМ полягає в тому, що для керівництва підприєм­ства-клієнта може бути неможливим або недоцільним з погля­ду співвідношення витрат і результатів впровадження належ­них засобів контролю з метою зменшення ризику невиявлення помилок до мінімального рівня. Тому аудитор найчастіше впра­ві припустити, що в таких системах ризик системи контролю високий.

У цілому, КСБО, в якій використовуються лише окремі персо­нальні комп'ютери, менш складні, ніж мережеві КСБО. У пер­шому разі прикладні програми можуть легко розробити корис­тувачі, котрі володіють основними навичками обробки даних. У таких випадках контроль за процесом системної розробки (на­приклад, адекватна документація) та операціями (наприклад, доступ до контрольних процедур), суттєвими для ефективного контролю у великому комп'ютерному середовищі, розробник, користувач або керівник не можуть розглядати як настільки ж важливий або ефективний з погляду співвідношення витрат і результатів. Проте, оскільки дані було оброблено на комп'ютері, користувачі такої інформації можуть без відповідних на те підстав надмірно покладатися на облікову інформацію. Оскіль­ки персональні комп'ютери орієнтовані на індивідуальних кінце­вих користувачів, точність і вірогідність підготовленої фінансо­вої інформації буде залежати від засобів внутрішнього контро­лю, встановлених керівництвом і прийнятих користувачем. Наприклад, якщо комп'ютером користуються декілька людей без належного контролю, то програми і дані одного користувача, які зберігаються на вбудованому носії інформації, можуть стати предметом недозволеного користування, зміни або шахрайства з боку інших користувачів.

У міжнародному положенні 1002 «Середовище КІС — інтер­активні комп'ютерні системи» регламентуються особливості проведення аудиту на підприємствах, які використовують КІСП з модулями оперативного обліку господарських операцій у реальному режимі часу. Це актуально для таких сфер бізнесу, як банки, мобільний телефонний зв’язок, електронна комерція тощо.

Особливістю таких систем є розвинуті заходи контролю (controls) під час здійснення господарських операцій. При введенні даних в інтерактивному режимі вони звичайно підлягають негайній перевірці. Непідтверджених даних не буде прийнято, і на ек­рані терміналу висвітиться повідомлення, що дає можливість користувачу виправити дані й відразу ж ввести їх повторно. Наприклад, якщо користувач вводить неправильний порядко­вий номер ТМЦ, буде виведено повідомлення про помилку, що дасть користувачу можливість ввести правильний номер.

Аудиторські процедури, виконувані одночасно з інтерактив­ною обробкою, можуть включати перевірку відповідності засобів контролю за інтерактивними прикладними програмами. Напри­клад, це може бути зроблено за допомогою введення тестових опе­рацій через пристрій терміналу або за допомогою аудиторського програмного забезпечення. Аудитор може використовувати такі тести для того, щоб підтвердити своє розуміння системи або для перевірки засобів контролю, таких як паролі та інші засоби кон­тролю доступу.

Є певні особливості систем, що працюють у реальному масш­табі часу, які породжують труднощі як для споживача, так і для аудитора.

У публікаціях зазначається, що із системами, які працюють у реальному масштабі часу, пов'язані чотири мо­менти, які створюють додаткові труднощі для контролю [25]:

• введені дані звичайно не згруповані, тому комп'ютерна сис­тема сприймає невпорядковані дані різних видів, що вводяться;

• на комп'ютері здійснюється тільки швидка перевірка доку­ментів. Наприклад, засоби виробничого контролю системи, кот­ра працює в реальному масштабі часу, може бути перенесено без­посередньо в периферійний пристрій без усякої документації. Подібно до цього робочі програми, команди може бути подано у формі візуального зображення без роздрукування результатів і стандартної форми;

• системи, котрі працюють у реальному масштабі часу, збільшу­ють і ускладнюють взаємозв'язок секцій системи;

• висока продуктивність систем, які працюють у реальному масштабі часу, значно збільшує швидкість обробки інформації, що ускладнює процес контролю.

Особливості інтерактивних комп'ютерних систем зумовлю­ють велику ефективність проведення аудитором аналізу нових інтерактивних бухгалтерських прикладних програм до, а не після початку експлуатації. Такий попередній аналіз дасть аудитору можливість перевірити додаткові функції, наприклад, детальні списки операцій або функції контролю в межах самої програми. Це також може дати аудитору достатньо часу для того, щоб роз­робити і випробувати аудиторські процедури до їх проведення.

Міжнародне положення 1003 «Середовище КІС — системи баз даних» зазначає особливості функціонування комплексних КІС, що ґрунтуються на єдиній базі (сховищі) даних (data warehouse, а також data repository), дані з якої використовують­ся різними службами підприємства.

Системи баз даних складаються переважно з двох основних компонентів — з бази даних і системи управління базою даних (СУБД). Бази даних взаємодіють з іншими технічними і про­грамними засобами всієї комп'ютерної системи.

База даних є сукупністю даних, що використовується багать­ма користувачами для різних завдань. Кожен користувач може не знати всіх даних, які зберігаються в базі даних, і способів використання даних для різних завдань. Загалом, індивідуальні користувачі знають тільки про дані, якими вони користуються, і можуть розглядати дані як комп'ютерні файли, що використо­вуються в прикладних програмах.

Системи баз даних відрізняються двома важливими характе­ристиками: спільним користуванням даними і незалежністю даних. Оскільки інфраструктура безпеки підприємства відіграє важливу роль у забезпеченні цілісності виробленої інформації, аудитору необхідно розглянути цю інфраструктуру перед пере­віркою контрольних засобів. У цілому, внутрішній контроль у середовищі баз даних потребує ефективної системи контролю за базою даних, СУБД і прикладними програмами. Ефективність системи внутрішнього контролю залежить великою мірою від характеру завдань адміністрування бази даних, і від того, як вони виконуються.

Згідно з вимогами Національного норма­тиву № 12 «Оцінка системи внутрішнього контролю підприємства та ризику, пов'я­заного з ефективністю її функціонування», аудитор повинен оцінити властивий (при­таманний) ризик і ризик невідповідності внутрішньої системи контролю й управління.