Аудиторский ризик при використанні автоматизованих інформаційних систем
Відповідно до ННА № 31 «Вплив системи ЕОД (електроння обробка даних) на оцінку системи обліку і внутрішнього контролю» аудитор повинен врахувати вплив ризику системи ЕОД, щоб оптимально виконати процедури контролю і максимально знизити ймовірність виникнення неправильних висновків і рекомендацій.
Особливості оцінки ризиків при застосуванні КІС і КСБО також наведено в Національному нормативі № 13 «Аудит в умовах електронної обробки даних», у Міжнародному стандарті 401 «Аудит в умовах комп'ютерних інформаційних систем» та Міжнародному положенні про аудиторську практику 1008 «Оцінка ризиків і система внутрішнього контролю — характеристика КІС та пов'язані з ними питання».
Характер ризику і характеристики внутрішнього контролю в середовищі КІС такі.
Відсутність слідів операцій — неясність шляху перетворення від вхідної інформації з первинних облікових документів до підсумкових показників. Деякі КІС спроектовані таким чином, що повний обсяг інформації про операцію, що використовується з метою аудиту, може існувати тільки протягом короткого періоду часу або тільки у форматі, що прочитується на комп'ютері. Якщо складна програма передбачає велику кількість етапів обробки, то повного обсягу інформації може і не бути. Побічна інформація може бути корисна для завдань контролю, але часто існує можливість прочитання інформації тільки на електронних носіях, оскільки там, де складна система виконує більшу кількість кроків та завдань, неможливо простежити існування повного набору дій. Саме тому помилки, які існують у самому алгоритмі програми, дуже складно виявити без використання спеціальних програм.
Єдина обробка операцій. При комп'ютерній обробці подібних операцій застосовуються ті самі інструкції. Таким чином, фактично усувається можливість помилок, що властиві ручній обробці. І, навпаки, помилки програмування (та інші систематичні помилки в технічних засобах або програмному забезпеченні) призводять до неправильної обробки всіх операцій. Зменшення участі людини в процесах обробки інформації призводить до того, що помилки і недоліки, які трапляються в проекті, через зміни прикладних програм або системного програмного забезпечення можуть залишатися невиявленими ними тривалий час.
Відсутність поділу функцій. Багато процедур контролю, які зазвичай виконуються окремими особами вручну, можуть бути сконцентровані в КІС. Таким чином, особа, що має доступ до комп'ютерних програм, процесу обробки або даних, може виконувати несумісні функції. Декілька процедур управління можуть бути сконцентровані в руках одного бухгалтера, тоді як при веденні бухгалтерського обліку вручну вони були б звичайно розподілені між декількома співробітниками. Таким чином, цей бухгалтер, маючи вплив на всі розділи обліку, контролює сам себе. Потенціал помилок і недоліків, властивих КІС, значно вищий, ніж при веденні бухгалтерського обліку шляхом ручної обробки.
Можливість помилок і порушень. Можливість здійснення помилок, властивих людині, при розробці, технічному обслуговуванні й експлуатації КІС може бути більша, ніж у системах ручної обробки, частково через ступінь деталізації, властивої такій діяльності. Крім того, можливість несанкціонованого доступу до даних або зміни даних без очевидних доказів може бути більшою при використанні КІС, ніж у системах ручної обробки даних.
Нижчий ступінь участі людей у процесі здійснення операцій може знизити ймовірність виявлення помилок і порушень. Помилки чи порушення, що трапляються в розробці або модифікації прикладних програм чи системного програмного забезпечення, можуть залишатися невиявленими протягом тривалого часу. Властивий (притаманний) ризик і ризик внутрішнього контролю в середовищі КІС мають окремі особливі властивості: ризик може виникнути через неточності при розробці програми, супроводженні і підтримці програмного забезпечення системи, операцій, безпеки системи і контролю доступу до спеціальних програм управління. Ризик може зростати через помилки або шахрайство як у програмних модулях, так і в базах даних. Наприклад, треба вжити необхідних заходів, які попереджають виникнення помилок у системах, у яких виконується складний алгоритм розрахунків, оскільки виявити такі помилки дуже важко. Слід розуміти, що деякі системи більше зазнають впливу помилок внаслідок неправильних дій оператора, а інші — внаслідок навмисного перекручення інформації, яка вводиться, залежно від вказівок вмонтованого контролю програмного комплексу.
Ініціювання або здійснення операцій. Комп'ютерні інформаційні системи можуть мати здатність автоматично ініціювати або здійснювати визначені види операцій. Дозвіл на виконання таких операцій або процедур не обов'язково документально оформляється таким же чином, як і при ручній обробці.
Можливості вдосконалення управлінського контролю. КІС може надати керівництву безліч аналітичних засобів, які можна застосовувати в аналізі операцій і контролі за діяльністю суб'єкта. Наявність таких додаткових засобів контролю, у разі їх використання, допомагає покращити структуру внутрішнього контролю в цілому.
Отже, використання клієнтом комп'ютерних систем обробки даних вносить додаткові аудиторські ризики. Ці ризики пов'язані з такими чинниками:
• технічні аспекти;
• програмна система обробки інформації;
• організація обліку і контролю при використанні КІС;
• кваліфікація самого аудитора.
Технічні аспекти стосуються ризиків, викликаних поганою роботою апаратних засобів, використанням нелегального програмного забезпечення, невідповідністю характеристик апаратного і програмного забезпечення, відсутністю належного технічного обслуговування і контролю. Ризик аудиту підвищується, якщо комп'ютерна система децентралізована, комп'ютерні пристрої географічне рознесені.
Відомо, що законний власник програмного забезпечення бухгалтерського обліку має право одержувати допомогу і підтримку в розробника програмного продукту. Оскільки фірми-розробники ретельно відслідковують усі зміни в законодавстві і нормативних актах, то вони вчасно вносять виправлення у свої програми і часто безплатно чи за незначну доплату надають їх своїм користувачам. Ця допомога і підтримка сприяють підвищенню надійності роботи з такою програмою, знижують аудиторський ризик. Використання ж незаконно придбаної програми підвищує аудиторський ризик, оскільки такі програми часто є застарілими версіями, у них вчасно не коригуються алгоритми розрахунків, форми звітності й документів, користувач не має супровідної документації і не може цілком правильно використовувати можливості програми. Саме тому аудитору слід оцінити законність придбання і ліцензійну чистоту бухгалтерського і системного програмного забезпечення, що використовується на підприємстві, яке перевіряється. Крім того, одним із завдань аудиту є дотримання клієнтом діючого законодавства, в тому числі й виконання вимог щодо охорони авторських прав на програмні продукти.
Ризики, пов'язані з програмною системою обробки даних, можуть бути викликані помилками при розробці системи, її малою тиражністю, використанням не за призначенням. Програми широко розповсюджені, застосовувані на сотнях підприємств і в різних умовах, як правило, не мають помилок, тому що їх було виявлено в процесі впровадження на багатьох об'єктах і усунуто. Аудиторський ризик у цьому разі знижується. І навпаки, в системі, створеній в одиничному екземплярі програмістом, який не має економічної підготовки, скоріш за все, є багато помилок. Природно, вона підвищує ризик при аудиторській перевірці. Не виключаються випадки застосування програм, явно не призначених для бухгалтерського обліку, для обробки саме даних обліку. Обов'язок аудитора з'ясувати, чи використовується система клієнта за призначенням.
Ризики, пов'язані з організацією обліку і контролю при використанні КІС, викликані недостатньою підготовкою персоналу клієнта до роботи із системою обробки облікових даних, відсутністю чіткого розмежування обов'язків і відповідальності персоналу клієнта, незадовільною організацією системи внутрішнього контролю, слабкою системою захисту від несанкціонованого доступу до бази даних або її відсутністю, втратою даних.
Ризики, пов'язані з кваліфікацією аудитора, можливі в зв'язку з неправильною оцінкою системи обробки облікових даних, некоректністю побудови тестів, помилковим тлумаченням результатів.
У сучасних умовах погано навчений персонал є найбільш уразливою ланкою системи обробки даних. Аудитор повинен оцінити кваліфікацію облікового персоналу у сфері комп'ютерної підготовки, інформаційних технологій і конкретної облікової системи. Йому необхідно звернути увагу і на ставлення персоналу до системи, ступінь довіри до неї. Бухгалтер, який вважає, що він швидше виконає роботу без використання програми, вочевидь погано ознайомлений із її можливостями і, можливо, робить багато помилок при обробці даних на комп'ютері.
Дата добавления: 2015-11-26; просмотров: 731;