Аудиторский ризик при використанні автоматизованих інформаційних систем

Відповідно до ННА № 31 «Вплив системи ЕОД (електроння обробка даних) на оцінку системи обліку і внутрішнього контролю» аудитор повинен вра­хувати вплив ризику системи ЕОД, щоб оптимально виконати процедури контролю і максимально знизити ймовірність виник­нення неправильних висновків і рекомендацій.

Особливості оцінки ризиків при застосуванні КІС і КСБО також наведено в Національному нормативі № 13 «Аудит в умо­вах електронної обробки даних», у Міжнародному стандарті 401 «Аудит в умовах комп'ютерних інформаційних систем» та Міжнародному положенні про аудиторську практику 1008 «Оцін­ка ризиків і система внутрішнього контролю — характеристика КІС та пов'язані з ними питання».

Характер ризику і характеристики внутрішнього контролю в середовищі КІС такі.

Відсутність слідів операцій — неясність шляху перетворен­ня від вхідної інформації з первинних облікових документів до підсумкових показників. Деякі КІС спроектовані таким чи­ном, що повний обсяг інформації про операцію, що використо­вується з метою аудиту, може існувати тільки протягом корот­кого періоду часу або тільки у форматі, що прочитується на ком­п'ютері. Якщо складна програма передбачає велику кількість етапів обробки, то повного обсягу інформації може і не бути. Побічна інформація може бути корисна для завдань контролю, але часто існує можливість прочитання інформації тільки на електронних носіях, оскільки там, де складна система виконує більшу кількість кроків та завдань, неможливо простежити існу­вання повного набору дій. Саме тому помилки, які існують у самому алгоритмі програми, дуже складно виявити без викори­стання спеціальних програм.

Єдина обробка операцій. При комп'ютерній обробці подібних операцій застосовуються ті самі інструкції. Таким чином, фак­тично усувається можливість помилок, що властиві ручній обробці. І, навпаки, помилки програмування (та інші систематичні помилки в технічних засобах або програмному забезпеченні) призводять до неправильної обробки всіх операцій. Зменшення участі людини в процесах обробки інформації призводить до того, що помилки і недоліки, які трапляються в проекті, через зміни прикладних програм або системного програмного забезпечення можуть за­лишатися невиявленими ними тривалий час.

Відсутність поділу функцій. Багато процедур контролю, які зазвичай виконуються окремими особами вручну, можуть бути сконцентровані в КІС. Таким чином, особа, що має доступ до комп'ютерних програм, процесу обробки або даних, може вико­нувати несумісні функції. Декілька процедур управління мо­жуть бути сконцентровані в руках одного бухгалтера, тоді як при веденні бухгалтерського обліку вручну вони були б звичай­но розподілені між декількома співробітниками. Таким чином, цей бухгалтер, маючи вплив на всі розділи обліку, контролює сам себе. Потенціал помилок і недоліків, властивих КІС, знач­но вищий, ніж при веденні бухгалтерського обліку шляхом руч­ної обробки.

Можливість помилок і порушень. Можливість здійснення помилок, властивих людині, при розробці, технічному обслугову­ванні й експлуатації КІС може бути більша, ніж у системах руч­ної обробки, частково через ступінь деталізації, властивої такій діяльності. Крім того, можливість несанкціонованого доступу до даних або зміни даних без очевидних доказів може бути більшою при використанні КІС, ніж у системах ручної оброб­ки даних.

Нижчий ступінь участі людей у процесі здійснення операцій може знизити ймовірність виявлення помилок і порушень. По­милки чи порушення, що трапляються в розробці або модифі­кації прикладних програм чи системного програмного забезпечення, можуть залишатися невиявленими протягом тривало­го часу. Властивий (притаманний) ризик і ризик внутрішнього контролю в середовищі КІС мають окремі особливі властивості: ризик може виникнути через неточності при розробці програми, супроводженні і підтримці програмного забезпечення системи, операцій, безпеки системи і контролю доступу до спеціальних програм управління. Ризик може зростати через помилки або шахрайство як у програмних модулях, так і в базах даних. На­приклад, треба вжити необхідних заходів, які попереджають виникнення помилок у системах, у яких виконується складний алгоритм розрахунків, оскільки виявити такі помилки дуже важко. Слід розуміти, що деякі системи більше зазнають впли­ву помилок внаслідок неправильних дій оператора, а інші — внаслідок навмисного перекручення інформації, яка вводиться, залежно від вказівок вмонтованого контролю програмного комплексу.

Ініціювання або здійснення операцій. Комп'ютерні інфор­маційні системи можуть мати здатність автоматично ініціюва­ти або здійснювати визначені види операцій. Дозвіл на вико­нання таких операцій або процедур не обов'язково документально оформляється таким же чином, як і при ручній обробці.

Можливості вдосконалення управлінського контролю. КІС може надати керівництву безліч аналітичних засобів, які можна застосовувати в аналізі операцій і контролі за діяльністю суб'єк­та. Наявність таких додаткових засобів контролю, у разі їх ви­користання, допомагає покращити структуру внутрішнього кон­тролю в цілому.

Отже, використання клієнтом комп'ютерних систем обробки даних вносить додаткові аудиторські ризики. Ці ризики пов'я­зані з такими чинниками:

• технічні аспекти;

• програмна система обробки інформації;

• організація обліку і контролю при використанні КІС;

• кваліфікація самого аудитора.

Технічні аспекти стосуються ризиків, викликаних поганою роботою апаратних засобів, використанням нелегального про­грамного забезпечення, невідповідністю характеристик апарат­ного і програмного забезпечення, відсутністю належного техніч­ного обслуговування і контролю. Ризик аудиту підвищується, якщо комп'ютерна система децентралізована, комп'ютерні при­строї географічне рознесені.

Відомо, що законний власник програмного забезпечення бух­галтерського обліку має право одержувати допомогу і підтримку в розробника програмного продукту. Оскільки фірми-розробни­ки ретельно відслідковують усі зміни в законодавстві і норма­тивних актах, то вони вчасно вносять виправлення у свої про­грами і часто безплатно чи за незначну доплату надають їх своїм користувачам. Ця допомога і підтримка сприяють підвищенню надійності роботи з такою програмою, знижують аудиторський ризик. Використання ж незаконно придбаної програми підви­щує аудиторський ризик, оскільки такі програми часто є заста­рілими версіями, у них вчасно не коригуються алгоритми розрахунків, форми звітності й документів, користувач не має супро­відної документації і не може цілком правильно використовува­ти можливості програми. Саме тому аудитору слід оцінити за­конність придбання і ліцензійну чистоту бухгалтерського і сис­темного програмного забезпечення, що використовується на підприємстві, яке перевіряється. Крім того, одним із завдань аудиту є дотримання клієнтом діючого законодавства, в тому числі й виконання вимог щодо охорони авторських прав на про­грамні продукти.

Ризики, пов'язані з програмною системою обробки даних, мо­жуть бути викликані помилками при розробці системи, її ма­лою тиражністю, використанням не за призначенням. Програ­ми широко розповсюджені, застосовувані на сотнях підприємств і в різних умовах, як правило, не мають помилок, тому що їх було виявлено в процесі впровадження на багатьох об'єктах і усунуто. Аудиторський ризик у цьому разі знижується. І навпа­ки, в системі, створеній в одиничному екземплярі програмістом, який не має економічної підготовки, скоріш за все, є багато поми­лок. Природно, вона підвищує ризик при аудиторській перевірці. Не виключаються випадки застосування програм, явно не при­значених для бухгалтерського обліку, для обробки саме даних обліку. Обов'язок аудитора з'ясувати, чи використовується сис­тема клієнта за призначенням.

Ризики, пов'язані з організацією обліку і контролю при вико­ристанні КІС, викликані недостатньою підготовкою персоналу клієнта до роботи із системою обробки облікових даних, відсут­ністю чіткого розмежування обов'язків і відповідальності пер­соналу клієнта, незадовільною організацією системи внутріш­нього контролю, слабкою системою захисту від несанкціонова­ного доступу до бази даних або її відсутністю, втратою даних.

Ризики, пов'язані з кваліфікацією аудитора, можливі в зв'яз­ку з неправильною оцінкою системи обробки облікових даних, некоректністю побудови тестів, помилковим тлумаченням ре­зультатів.

У сучасних умовах погано навчений персонал є найбільш ураз­ливою ланкою системи обробки даних. Аудитор повинен оціни­ти кваліфікацію облікового персоналу у сфері комп'ютерної підготовки, інформаційних технологій і конкретної облікової системи. Йому необхідно звернути увагу і на ставлення персо­налу до системи, ступінь довіри до неї. Бухгалтер, який вважає, що він швидше виконає роботу без використання програми, вочевидь погано ознайомлений із її можливостями і, можливо, робить багато помилок при обробці даних на комп'ютері.