Організація і вимоги до аудиту в умовах комп’ютерної обробки даних
Рис. 10.1. Системи автоматизації аудиторської інформації
Аудиторам у своїй роботі часто доводиться використовувати автоматизовані системи обліку. Засіб обробки господарських операцій і ведення обліку істотно впливає на організаційну структуру підприємства, процедури і методи проведення аудиту. При проведенні аудиту слід враховувати такі особливості:
* рівень автоматизації завдань бухгалтерського обліку;
* наявність методик проведення аудиту на підприємстві;
* доступність облікових даних:
* складність наявної автоматизованої системи обліку, контролю й аудиту.
Класифікація бухгалтерських програмних продуктів наведена на рис. 10.2.
Рис.10.2. Класифікація бухгалтерських програмних продуктів
Для підприємств, із якими аудиторська фірма має довгострокові договірні відносини, розробляються спеціальні аудиторські модулі, що вбудовуються в наявні програмні засоби обліку, контролю й аудиту. За допомогою цих модулів проводиться добір операцій, що є цікавими з погляду постійних аудиторських перевірок. Обрані операції зберігаються для їх подальшого вивчення аудитором. Відібрані при цьому дані позначаються і групуються за операціями у спеціальну аудиторську базу даних для подальшого опрацювання. Програмні засоби застосовують два види контролю даних:
* систематичний контроль, коли облікові дані тестуються за всіма основними критеріями (діапазон, зіставлення з нормативно-довідковою інформацією і т.ін.);
* вибірковий контроль, який здійснюється на певній вибірці даних (за визначеними операціями, за окремими завданнями).
За допомогою спеціальних програмних засобів здійснюється перевірка, моделювання та аналіз облікових даних із метою визначення їх повноти, якості, правомірності та достовірності. Для цього проводиться порівняння змодельованих облікових даних із реальними даними інформаційної системи, а також здійснюється тестування розрахунків і перерахунків, підсумовування, повторне впорядкування і формування звітних даних, їх порівняння з реальними даними. Крім того, проводиться контроль правильності відновлення даних. На рис. 10.3 подано схему аудиторської перевірки з використанням комп'ютерної техніки.
Рис. 10.3. Схема аудиторської перевірки за допомогою автоматизованої системи
Упровадження обчислювальної техніки в процес аудиту дає змогу значно скоротити трудомісткість його проведення і надає нові можливості в організації і метод, ці проведення аудиту.
У практиці застосовуються аудиторські програми загального призначення, які дають змогу проводити прогін визначених тестів на фактичних даних. За допомогою таких програмних засобів здійснюється аудиторська перевірка й аналіз записів на основі певних критеріїв із метою визначення їх якості, повноти, спроможності й правильності. Для цього також використовується база знань, що допомагає визначити невідповідність і прийняти необхідні рішення. Таке програмне забезпечення дає змогу робити тестування розрахунків, виконувати необхідні перерахунки і зіставляти отримані результати з нормативними, кошторисними і середніми по галузі, що дозволяє провести аналіз за визначеними критеріями й одержати необхідне управлінське рішення.
Процес аудиту в умовах автоматизації. При роботі зі спеціальним аудиторським програмним продуктом поетапно виконуються наступні процедури.
На першому етапі аудитор визначає завдання, які необхідно вирішити при перевірці за допомогою спеціального програмного забезпечення.
На другому етапі складається план виконання поставлених завдань і оцінка реальності застосування аудиторських програмних засобів. Із цією метою здійснюється аналіз форми і методу бухгалтерського обліку, що ведеться на підприємстві, й оцінюється можливість застосування оптимального аудиторського програмного збезпечення. При цьому встановлюється обсяг облікової інформації, роботи аудитора, кількість часу, необхідного для проведення аудиторської перевірки тощо. На даному етапі визначається необхідна потужність обчислювальної техніки і встановлюється графік виконання аудиторських робіт із зазначенням обсягів виконуваних робіт, термінів виконання, конкретних виконавців і форми завершення.
На третьому етапі здійснюється налаштування стандартних програмних засобів, розробка нових засобів, необхідних для даної аудиторської перевірки. Наявні програмні засоби адаптуються для фактичних облікових даних.
На четвертому етапі здійснюється перевірка сформованих на машинних носіях даних із метою підтвердження їх незмінності, оцінюється стан підприємства, що перевіряється, проводиться тестування та опрацювання за запланованим графіком, проводиться аналіз отриманої інформації, її оцінка за допомогою бази знань і формується комп'ютерний висновок за перевіреними позиціями.
Аудитор має можливість проводити перевірку як за окремими завданнями, так і за комплексом завдань у цілому. За необхідності аудитор у режимі запиту перевіряє визначені показники або дані з метою їх поглибленого дослідження. Запит здійснюється за допомогою інформаційної мови показників обліку, контролю й аудиту.
Також у режимі запиту здійснюється перевірка стану облікового процессу, одержання довідки для формування діагнозу і прогнозування шляхів досягнення цілей підприємства для поліпшення його роботи. При цьому проводиться формування таких основних показників і даних:
* повнота і своєчасність формування і відображення в регістрах бухгалтерської звітної інформації, що надійшла з інших АРМ бухгалтерії;
* повнота і своєчасність формування показників, відображених у звітності;
* правильність розрахунків результатів господарської діяльності підприємства і повнота їх відображення;
* правильність розрахунку і відображення у звітності обов'язкових платежів і податків;
* правильність і повнота формування фондів і резервів;
* правильність формування сальдо на початок і кінець періоду, що перевіряється, за окремими показниками і даними, відображеними в інформаційній аудиторській базі даних.
Оцінка ризику ефективності контролю в комп'ютерному середовищі. Прикладний контроль здійснюється за трьома напрямами:
* контроль вхідних даних:
* контроль процесу обробки;
* контроль вихідних даних.
Враховуючи особливості даних електронної обробки, виділяють кілька видів ризику (рис. 10.4).
Найслабкіше місце комп'ютерних систем — це введення даних, у процесі якого дані про господарські операції переносять із вихідних документів на машинозчитувальні пристрої. Якщо введено перекручені дані. то вони можуть пройти обробку невиявленими, а при подальшому виявленні їх коригування буде досить складним
Рис. 10.4. Основні види ризику, пов’язані з системою КОД
Контроль процесу обробки пов'язаний із вмонтованими в головну програму підпрограмами виявлення збійних ситуацій. Контроль вихідних даних стосується в основному поширення звітів, проте він дає останню можливість виявити перекручення і зіставити вхідні контрольні суми з вихідними.
Процедури контролю вхідних даних. Контроль вхідних даних певною мірою гарантує передачу на обробку інформації, належним чином оформленої і перетвореної в машинозчитувальну форму без втрат, доповнень, дублювання та інших змін. Ці процедури застосовують також для коригування і повторного включення даних, визначених раніше як перекручені. Нижче перераховані найважливіші ділянки контролю.
Офіційне прийняття і підтвердження вхідних даних. Системний програміст повинен приймати лише належним чином оформлені й затверджені дані. Одержання дозволу - це, як правило, канцелярська (некомп'ютерна) процедура: збір підписів або скріплення печаткою документа щодо господарської операції.
Контрольні розряди. Цифрові позначення часто використовуються в комп'ютерних системах замість імен клієнтів, постачальників тощо. Одним із загальноприйнятих способів перевірки достовірності чисел є розрахунок контрольного розряду, який є точним додатковим числом, що прикріплюється як мітка до кінця базисного ідентифікаційного номера, наприклад, табельного номера службовця. Базисний код із контрольним розрядом іноді називають числом із розрядами самоконтролю. Розбіжність контрольних розрядів ініціює видачу повідомлення про помилку на дисплей або на принтер. Контрольні розряди застосовуються тільки для ідентифікаційних номерів (але не для кількісних або вартісних показників) із метою виявлення помилок кодування або цифрового набору, наприклад, перестановки цифр - 387 замість 837.
Підготовка даних. Процес перетворення даних у машинозчитувану форму — джерело багатьох помилок. Розглянемо більш докладно відповідні процедури контролю.
Підрахунок кількості записів. Кількість записів звіряють із кількістю оброблених документів по господарських операціях. Відому кількість оброблених документів при цьому зіставляють із кількістю записів у програмі. Розбіжність порівнюваних кількостей свідчить або про втрату даних, або про дублювання введених даних того самого документа. Кількість записів використовують також як контрольну суму пакета під час обробки і виведення інформації, тобто у всіх випадках, коли існує можливість зіставлення відомих кількостей вихідних даних із розрахунковими.
Контрольне підсумовування платіжних даних пакета використовують аналогічно даним по кількості записів із тією лише відмінністю, що контрольні суми пов’язані з істотними кількісними даними (наприклад, загальний обсяг продажу у гривнях по групі рахунків). Контрольні суми можуть виявитися корисними також на стадіях обробки і виведення інформації. Контрольне підсумовування всього масиву даних пакета подібне до контрольного підсумовування номерів із тією лише різницею, що контрольна сума по масиву даних не має суттєвого значення з погляду бухгалтерських записів.
Процеси редагування. Для виявлення помилок, допущених при підготовці даних, можуть бути використані різноманітні програмні засоби редагування або перевірки:
* тести контролю правильності розміщення символів (призначені для перевірки вхідних даних і визначення правильності розміщення цифр у числових полях, а також букв у символьних полях);
* тести контролю правильності знаку (забезпечують перевірку даних за полями на відповідність знакам "+" і "-");
* тести контролю пропусків (дають змогу перевірити поля з метою виявлення порожніх місць);
* тести контролю послідовності (слугують для перевірки документів за порядковими номерами, коли послідовність їх розміщення важлива для обробки. Ця процедура допомагає також виявити відсутні документи в пронумерованих рядах);
* тести контролю за діапазоном значень і розуміння результатів (є автоматизованими процедурами, що показують, чи виходять значення даних за встановлені межі. Наприклад, програма розрахунку заробітної плати може містити тест контролю по діапазону, що помічає і відкидає записи відпрацьованого за тиждень часу, чи не перевищує він 40 год. Цей тест — різновид сканування загальної аудиторської процедури, що передбачає аналіз даних для виявлення незвичних фактів, які можуть бути помилкою).
Виправлення помилок і повернення даних на обробку. Помилки — предмет особливого контролю. Зазвичай, обчислювальний відділ відповідає тільки за коригування власних помилок (помилки підготовки даних). Помилки інших видів, викликані, наприклад, неправильним кодуванням, повинні бути передані на виправлення. У зв'язку з цим корисно організувати в групі контролю облік причин, місць виникнення помилок і заходів щодо їх усунення. Без належного нагляду процес виправлення помилок сам може стати їх джерелом.
Контроль процесу обробки дає певні гарантії того, що дані будуть оброблені без пропусків або повторів операцій. Більшість процедур контролю процесу обробки ідентичні процедурам контролю вхідних даних.
Послідовно контрольне підсумовування забезпечує перевірку даних при їх переміщенні з одного відділу в інший або від однієї програми опрацювання до іншої. Підсумовування називається послідовним, оскільки воно проводиться над тими самими даними після кожного етапу опрацювання. Підсумовувати можна кількості записів пакета, платежі або весь масив даних. Отримані суми передають на такий етап для порівняння з його контрольними сумами.
Усі контрольні суми кількості записів, платежів, усього масиву даних і т. ін., одержані в процесі обробки, роздруковуються у вигляді звіту. Така процедура дозволяє виявити втрату або дублювання даних. Наприклад, контрольна сума балансів дебіторських рахунків у попередній версії головного файла плюс контрольна сума з обсягу продаж у кредит у поточній версії повинні дорівнювати контрольній сумі балансів наприкінці поточного процесу обробки.
Контроль файлів і операторів. Правильне використання файлів забезпечують етикетки і внутрішні мітки. Програмні засоби повинні формувати "часопис обліку" команд, що вводяться операторами, часу і статистики використання прикладних програм. Дані цього часопису повинні аналізувати контролери.
Тести контролю діапазону значень і розуміння результатів. Ці тести повинні виключати виникнення нелогічних випадків, що ведуть, наприклад, до одержання суми амортизації основних засобів, яка перевищує їх вартість, або негативної кількості товарних запасів. Такі стани повинні приводити до виведення повідомлень про помилку. У процесі обробки можуть бути використані й інші логічні і контрольні тести, описані вище.
Процедури контролю вихідних даних. Контроль вихідних даних — це завершальний етап перевірки правильності результатів комп'ютерної обробки. Процедури контролю на цьому етапі забезпечують виведення звітності й доступ до файлів тільки уповноваженим особам. Нижче наведено типові процедури контролю вихідних даних.
Контрольне підсумовування. Контрольні суми вихідних даних порівнюють або звіряють із результатами послідовного підсумовування протягом усього процесу обробки.
Внесення змін у головні файли. З метою запобігання поширенню перекручень докладний звіт про внесені зміни повинен бути поданий у той відділ-користувач, з ініціативи якого ці зміни були внесені. Наприклад, помилкова зміна продажних цін може призвести до неправильної оцінки всіх торгових угод. Правильність даних гарантує звірка комп'ютерних звітів про внесені зміни з вихідними документами.
Розподіл вихідних даних. Вихідні дані, що генеруються системою, повинні надходити тільки до уповноважених осіб. Тиражування звітів має бути суворо обмеженим.
Слабкі місця процедур контролю будь-якого з етапів — запровадження, опрацювання і виведення даних — є предметом особливої уваги аудиторів. Проте відсутність контролю на стадії запровадження може бути компенсована процедурами контролю на подальших стадіях. Наприклад, якщо за відсутності розрахунку контрольного розряду під час підготовки вхідних даних номери операцій порівнюють із номерами головних файлів і, у разі розбіжності, відхиляють і роздруковують у вигляді звіту про помилки, то контроль можна вважати задовільним та ефективним. Звичайно, ідентифікація помилок на ранніх стадіях більш ефективна, ніж на пізніх, але з погляду бухгалтерського обліку і фінансової звітності контроль можна вважати задовільним. Стадія, на якій застосовують процедури контролю, відіграє велику роль для аудиторів, зацікавлених в ефективній роботі комп'ютерної системи. Складовою частиною складеного незалежним аудитором висновку за результатами оцінки ризику неефективності контролю є аналіз істотних недоліків немашинних комп'ютерних процедур контролю. Відсутність контролю вхідних даних може призвести до їх втрати або дублювання, результатом слабкого контролю процесу обробки може стати неправильний розрахунок, розміщення і класифікація даних. Недостатній контроль розподілу звітів та інших вихідних документів (наприклад, переданих чеків) може слугувати джерелом неточностей, що викривляють фінансову звітність.
Мета аналізу внутрішнього контролю - зрозуміти зміст процесу обробки господарських операцій і визначити сильні й слабкі сторони контролю, що необхідно враховувати при плануванні незалежних аудиторських процедур. У середовищі комп'ютерної системи необхідно розглянути лише загальні процедури контролю, якщо в кожну прикладну програму включені всі істотні елементи комп'ютерного контролю. На основі аудиторської документації (робочих документів) по комп'ютерному і немашинному контролю керівник аудиторської перевірки повинен оцінти точність і повноту процесу обробки. Загальні процедури і засоби контролю в кожній із прикладних програм варто піддати аудиторському тестуванню з метою визначення їх ефективності.
Дата добавления: 2014-12-13; просмотров: 1409;