«Конспект по дисциплине «Аудит»»

1. Общие требования к проведению аудита в условиях КОД

 

Вопросам аудита в условиях КОД посвящено несколько междуна­родных стандартов. В первую очередь это МСА 401 [9], где рассматри­вается аудит в среде компьютерных информационных систем. Положе­ния по международной практике аудита 1001 [10], 1002 [11] и 1003 [12] касаются отдельных видов компьютерных систем, используемых клиен­том. В положении 1008 [13] освещены вопросы оценки аудиторских рис­ков и надежности системы внутреннего контроля в условиях КОД. Поло­жение 1009 [14] посвящено вопросам техники проведения аудита при помощи компьютеров. В России особенностям проведения аудита в усло­виях КОД внимание уделено в трех документах: [2], [6] и [7].

При проведении аудита в условиях КОД сохраняются его цель и ос­новные элементы методологии. Однако среда КОД существенно влияет на процесс изучения аудитором систем учета и средств внутреннего кон­троля экономического субъекта. Характерными изменениями для этих систем в случае применения технических средств являются:

·        возможность использования первичных документов на машино­читаемых носителях наряду с традиционными бумажными документами; 

·        хранение нормативно-справочных показателей в памяти компью­тера и на машиночитаемых носителях информации; 

·        применение формы учета, ориентированной не на традиционное ручное счетоводство, а на прогрессивные методы формирования выход­ной информации и обеспечения ее достоверности; 

·        совмещение синтетического учета с аналитическим; » совмещение систематического учета с хронологическим;

·        повышение оперативности и удобства использования учетной и отчетной информации.

Экономический субъект обязан предоставить аудиторской органи­зации необходимый доступ к системе КОД. Невыполнение данного тре­бования расценивается как ограничение объема аудита. Другими слова­ми, аудитор вправе официально отказаться от выражения мнения о до­стоверности отчетности клиента, если такое ограничение доступа к си­стеме КОД приобретает существенный характер. Вместе с тем клиент может предоставить аудитору вместо непосредственного доступа к ком­пьютерной системе все запрошенные материалы в виде распечаток на бумажных носителях.

Работа в среде КОД экономических субъектов требует от аудито­ров дополнительных знаний и навыков. Аудитор должен иметь представ­ление о техническом, программном, математическом и других видах обеспечения компьютерной техники, а также о системах обработки эко­номической информации. Очевидно, что на практике аудитору придется столкнуться с достаточно широким спектром программных продуктов. Причем даже при многолетнем сотрудничестве с одними и теми же кли­ентами аудитор не сможет ограничить круг используемых ими программ. Правило (стандарт) [2, п. 2.4] запрещает аудиторам прямо или косвенно принуждать клиента к применению известной аудитору системы КОД. Рекомендации относительно системы КОД аудитор может давать только по просьбе клиента (сопутствующая аудиту услуга). Имеется в виду, что аудитор может помочь клиенту компьютеризовать бухгалтерский учет, подсказать ему подходящую компьютерную фирму и пакет бухгалтер­ских программ, но должен делать это, если имеет соответствующий до­говор с клиентом, предусматривающий именно такие консультации. Если аудитор подрядился провести у клиента аудит и, возможно, какие-то консультации, не затрагивающие явно проблемы КОД, он не имеет права навязывать клиенту бухгалтерскую программу.

Таким образом, аудитор должен быть готов работать с различными программными продуктами, не пытаясь сделать учет клиента более удобным для себя. Чтобы обеспечить необходимый уровень компетент­ности своих сотрудников в вопросах использования систем КОД, аудиторским организациям следует иметь библиотеку наиболее распростра­ненных компьютерных программ и баз данных. Реальное воплощение та­кого подхода зависит от масштаба аудиторской организации и наличия специалистов, пополняющих и обновляющих такую библиотеку. Кроме того, приобретение только лицензированных программных продуктов связано со значительными материальными затратами, поскольку их ле­гальная цена во много раз превышает нелегальную цену на черном рынке. Небольшие и средние аудиторские организации могут продумать пути кооперирования для решения этого вопроса, направлять своих со­трудников для участия в специализированных выставках и проводить се­минары по изучению особенностей практического применения наиболее распространенных программ.

Знаний аудиторов о системах КОД должно быть достаточно для того, чтобы определить, какое влияние на организацию, планирование и проведение аудита оказывают условия КОД у проверяемого экономи­ческого субъекта, как они воздействуют на изучение систем бухгалтер­ского учета и внутреннего контроля, оценку рисков, связанных с прове­дением аудита. Однако, учитывая разнообразие и сложность компьютер­ных технологий, от аудитора не требуется быть первоклассным специа­листом по компьютерному бухгалтерскому учету. Поэтому, если у ауди­тора нет необходимых знаний, он обязан использовать работу эксперта в области информационных технологий.

Назначение эксперта в области КОД, оформление и использова­ние результатов его работы должно проводиться в соответствии с требо­ваниями правила (стандарта) аудиторской деятельности «Использова­ние работы эксперта» [5]. Привлечение эксперта и его кандидатура должны быть согласованы с экономическим субъектом. Несмотря на наличие у привлекаемых экспертов более глубоких знаний в области КОД аудиторская организация занимает по отношению к ним главен­ствующее положение. Эксперт оценивает только систему обработки ин­формации, а аудиторская организация – достоверность формируемых при помощи этой системы показателей и отчетности. Таким образом, не­смотря на использование результатов работы других специалистов, аудиторская организация не может передать или разделить с ними свою ответственность за выражение мнения об отчетности проверяемого эко­номического субъекта и составленного на основании такого мнения аудиторского заключения.

Аудитор должен спланировать работу эксперта, поставив перед ним конкретные задачи.

В качестве основных направлений взаимодействия аудиторов и экспертов по системам КОД можно выделить:

·        оценку законности приобретения и лицензионной чистоты бух­галтерского программного обеспечения, функционирующего в системе КОД проверяемого экономического субъекта;

·        оценку надежности системы КОД в целом;

·        проверку правильности и надежности алгоритмов расчетов;

·        формирование на компьютере необходимых аудитору регистров аналитического, синтетического учета и отчетности.

Отметим, что проверка законности приобретения и лицензионной чистоты бухгалтерского программного обеспечения преследует две цели. Во-первых, законный покупатель бухгалтерской программы имеет право получать помощь и поддержку у разработчика (продавца, распро­странителя) этой программы. Это позволит повысить достоверность ре­зультатов работы при помощи данной программы. Использование неза­конно приобретенной программы повышает аудиторский риск, посколь­ку такие программы часто бывают устаревшими и не могут обновляться в плановом порядке, содержат невыявленные ошибки, приобретаются без необходимой пояснительной документации. Во-вторых, одной из за­дач аудита является проверка соблюдения клиентом действующего за­конодательства, куда входит и выполнение требований по охране автор­ских прав на программные продукты. Требование лицензионной чистоты используемого программного обеспечения должно соблюдаться и самой аудиторской организацией.

 

2. Документирование информации, связанной с системой КОД

 

Все существенные вопросы, связанные с изучением системы КОД, и действия аудитора по изучению этой системы должны быть зафиксиро­ваны и оформлены в виде рабочего документа. В приложении при­ведена одна из возможных форм такого документа, составленная с уче­том положений правила (стандарта). В ней фиксируется порядок основ­ных действий аудитора, необходимых при изучении системы КОД.

При изучении организационной формы обработки данных следует установить, обрабатывает данные сам экономический субъект или это делает по договору третья сторона. В первом случае аудитор должен подготовить схему организации компьютерной системы учета и обработ­ки данных. Эта информация отражается в соответствующих разделах бланка из приложения. Описание исследуемой информации может быть весьма объемным, поэтому ее следует оформлять в самостоятельных рабочих документах, что должно быть отмечено в соответствующих разделах бланка.

При составлении схемы указывают, ведется обработка данных специализированным подразделением (например, вычислительным центром, информационно-вычислительным центром, отделом автомати­зированной системы управления экономическим субъектом) или авто­матизированы рабочие места бухгалтерского персонала, непосред­ственно обрабатывающего данные.

Важное значение имеет информация о сотрудниках экономическо­го субъекта, связанных с организацией и обеспечением компьютерного учета. Если система КОД размещена более чем на одном компьютере и число сотрудников, связанных с ней,– более двух человек, их список может быть оформлен как отдельный рабочий документ. Одновременно аудитору целесообразно оценить квалификацию каждого специалиста (сотрудника) в области КОД: имеют они высшее, среднее специальное образование, прошли курс обучения в области информационных техно­логий или изучали КОД самостоятельно. В соответствующем поле ввода можно указать усредненную оценку общего уровня квалификации пер­сонала.

Во втором разделе рассматриваемого бланка приводятся данные об обеспечении системы КОД техническими средствами. Если это важ­но, то можно составить схему привязки определенных технических средств к конкретным блокам технологической обработки данных и кон­кретным исполнителям. Эту схему нужно оформить отдельным рабочим документом.

При описании организации обработки учетных данных в системе КОД должны быть освещены следующие вопросы:

·        форма бухгалтерского учета. В качестве приложения целесооб­разно описать последовательность обработки учетной информации, ис­пользуемые формы первичных учетных документов, сводных регистров бухгалтерского учета, исходных форм;

·        разделы и участки учета, функционирующие в среде КОД;

·        краткая характеристика программного обеспечения КОД. У эко­номического субъекта может применяться и единый пакетный программ­ный продукт, и различные программные продукты для разных разделов и участков учета. При описании программного обеспечения нужно ука­зать разработчиков программы, дату внедрения программного обеспе­чения, частоту и метод его обновления по мере изменения действующе­го законодательства;

·        обработка и передача данных. В пакетном режиме база данных бухгалтерского учета обрабатывается (обновляется) по мере накопле­ния введенной информации. При наличии структурных подразделений накопленная за определенный период информация может передаваться в режиме «он-лайн», если есть сетевая связь, или в режиме «офф-лайн» – на магнитных носителях (дискетах). Если программа работает в режиме реального времени, то информация в базе данных бухгалтерско­го учета обновляется по мере ввода проводок. Если программное обес­печение не является единым пакетом, то работа программ по разным разделам учета может осуществляться в разных режимах;

·        технологическое обеспечение. Технологическое обеспечение ре­комендуется оформлять в виде схемы, состоящей из отдельных блоков технологического процесса обработки данных (ввод данных, их верифи­кация и т.д.);

·        обеспечение архивирования и хранения данных.

Аудитор в рабочей документации должен отразить оценку ряда возможностей используемого компьютерного обеспечения, специфика которых может оказать впоследствии влияние на объем необходимых аудиторских процедур.

В условиях постоянного изменения действующего законодатель­ства очень важно, чтобы программное обеспечение гибко «реагирова­ло» на изменения нормативных актов по вопросам бухгалтерского учета, налогообложения и т.п. Аудитору следует оценить оперативность и пре­дусмотренную процедуру настройки программного обеспечения, а также установить круг лиц, ответственных за эти процедуры. Применительно к среде КОД изменения в законодательстве в первую очередь вызовут необходимость корректировки алгоритмов расчетов и выходных отчет­ных форм. Здесь очень важно оценить, насколько оперативно можно адекватно настроить программу.

Так, некоторые системы КОД сами заполняют бланки бухгалтер­ской отчетности и таблицы налоговых расчетов. В программу заклады­вается алгоритм перенесения сальдо определенных счетов и субсчетов в определенные строки баланса, оборотов по определенным счетам (или даже сумм конкретных бухгалтерских проводок) за определенный пери­од в определенные клетки бланков. Например, компьютеру можно за­дать, по какой формуле в данном отчетном периоде следует рассчиты­вать подоходный налог. До 2001 г. порядок расчета этого налога менялся ежегодно. После 2001 г. существенно усложнился (и ежегодно меняется) порядок расчета единого социального налога. Обычно подобные прави­ла расчетов заложены в бухгалтерскую программу и возможно быстрое их изменение. Часто в определенном месте программы содержится фор­мула, напоминающая команды языка программирования Бейсик или языка заполнения клеток электронных таблиц Excel. Грамотный бухгал­тер должен следить за правильностью этих формул и за тем, чтобы при изменении законодательства о бухгалтерском учете или налогообложе­нии эти формулы своевременно корректировались.

Разработчики бухгалтерских компьютерных программ стремятся к автоматизации как можно большего количества рутинных расчетных операций. Такие меры призваны облегчить и ускорить обработку дан­ных. Однако существует опасность тиражирования ошибки в связи с не­верно заложенным алгоритмом (инструкцией для компьютера по кон­кретному порядку произведения расчетов).

Проверка соответствия алгоритмов обработки бухгалтерских дан­ных действующему законодательству и возможность их изменения в случае изменения нормативной базы – один из ключевых моментов изучения среды КОД. Поэтому аудитору следует не только описать, ка­кие формы бухгалтерской и внутренней управленческой отчетности со­здаются в программе, но и изучить алгоритм их заполнения, а также воз­можность настройки на изменение форм внешней отчетности. Напри­мер, экономический субъект вправе добавлять в бухгалтерский баланс строки для лучшего раскрытия информации или удалять строки, по кото­рым отсутствуют числовые значения [1, п. 11 ]. Большая часть представ­ленных на рынке систем КОД позволяет бухгалтеру вносить такие изме­нения самостоятельно, не прибегая к помощи разработчиков. В крупных бухгалтериях целесообразно документировать такие изменения и согла­совывать их с вышестоящим руководством.

Профессиональный аудитор должен проверять правильность из­менения алгоритмов расчетов, своевременную замену устаревших бланков и форм, соответствие их действующему законодательству. Та­кой подход повышает качество аудита. Понятно, что высокая степень до­верия аудитора к заложенным в программе алгоритмам является сред­ством сокращения объема выборочных исследований определенных сегментов аудита.

Аудитор должен изучить возможность вывода на печать данных о хозяйственных операциях, в том числе вывода промежуточных расче­тов. Обычно применение хороших систем КОД упрощает процесс аудита. Аудитор должен иметь возможность попросить клиента: «Распеча­тайте мне, пожалуйста, все операции по кредиту счета 90» – или – «Распечатайте сальдо по счету 62 на такую-то дату в разрезе аналити­ческих признаков и в порядке убывания сумм дебиторской задолженно­сти». Если клиент пытается убедить аудитора в невозможности такой операции, у аудитора либо должны возникнуть весьма обоснованные со­мнения в компетентности персонала экономического субъекта, либо он заподозрит преднамеренное желание исказить информацию.

Если аудитор не в состоянии сам разобраться в ситуации, он дол­жен пригласить эксперта по КОД. Как правило, все современные систе­мы КОД позволяют распечатать промежуточные данные либо существу­ет возможность вывести данные в компьютерный файл, который тоже можно впоследствии распечатать.

Сбор информации о системе КОД и соответственно заполнение бланка приложения осуществляется на этапе планирования аудита. В ходе планирования аудитору следует оценить аудиторские риски. Оценка рисков – достаточно субъективный процесс, однако, используя положения правила (стандарта), аудиторской организации целесообраз­но разработать тесты, позволяющие аудитору сделать правильную оцен­ку риска. В правиле (стандарте) приведен перечень факторов, влияю­щих на риск средств контроля как в большую, так и в меньшую сторону.

К факторам, повышающим аудиторский риск, относятся:

·        децентрализация компьютерной сети;

·        географическая удаленность компьютерных терминалов; недостаточный уровень знаний бухгалтерского персонала в об­ласти информационных технологий;

·        отсутствие внутреннего контроля за функционированием среды КОД;

·        отсутствие необходимых мер по ограничению несанкциониро­ванного доступа в систему КОД.

К факторам, снижающим аудиторский риск, относятся:

·        применение лицензионных систем автоматизации;

·        применение современного программного обеспечения;

·        применение единой среды КОД в рамках экономического субъ­екта, включая филиалы, подразделения, представительства, дочерние общества и др.;

·        наличие и функционирование специальной системы контроля программного обеспечения;

·        наличие возможности углубления некоторых видов контроля за счет применения специально разработанного для аудиторов программ­ного обеспечения;

·        квалифицированное определение информационной политики руководством экономического субъекта;

·        согласование информационной политики экономического субъекта с основными пользователями системы КОД;

·        наличие долгосрочного плана и стратегии развития системы КОД экономического субъекта.

Аудитор должен применять рекомендации стандарта достаточно творчески. Например, принято считать, что аудиторский риск снижается, если подразделения, филиалы и другие обособленные подразделения экономического субъекта применяют единое программное обеспечение. Обычно это действительно так. Вместе с тем в литературе [8, с. 132] приводится пример достаточно нестандартной ситуации. Работы по ком­пьютеризации учета крупного объединения проводились специализиро­ванной фирмой, шли достаточно медленно и не всегда удачно. В одном из крупных подразделений этого объединения энтузиасту-программисту удалось собрать группу единомышленников и создать удачную систему бухгалтерского и управленческого учета, которая успешно функциони­ровала в течение двух лет. После этого по приказу вышестоящего на­чальства систему группы энтузиастов начали менять на ту, которая была создана в рамках всего объединения. Такой переход встретил естествен­ное противодействие персонала и вызвал значительные трудности, кото­рые сотрудники подразделения не могли преодолеть в течение еще двух лет после перехода на новую систему программного обеспечения. Таким образом, наблюдалось действие скорее фактора повышенного аудитор­ского риска, а не пониженного, как указано в правиле (стандарте) [2, п. 4.6].

При определении уровня риска аудитор должен: оценить надеж­ность средств внутреннего контроля в среде КОД; проанализировать си­стему контроля подготовки бухгалтерских данных; проверить, какие меры предусмотрены клиентом для предотвращения ошибок и фальси­фикаций; изучить, как контролируется работа с данными нормативно-справочного характера. Например, на крупных торговых предприятиях на компьютерных носителях должны находиться прейскуранты всех то­варов. Решения об изменении цен на некоторые виды товаров {сниже­ние цен на товары, не пользующиеся спросом, повышение цен на товары в случаях, когда это оправдано) могут принимать только руководящие работники предприятий, имеющие соответствующие полномочия. Слу­чайная ошибка в файле, содержащем цены товаров, может привести к тому, что вся партия вполне доброкачественного товара будет продана ниже себестоимости (что, во-первых, приведет к убыткам и, во-вторых, к неблагоприятным налоговым последствиям) либо, напротив, не удаст­ся реализовать скоропортящийся товар просто потому, что на него по ошибке установлена чересчур высокая цена.

Необходимо проверить, каким образом можно изменить применя­емое программное обеспечение. Если на малом предприятии работает единственный бухгалтер и он может самостоятельно изменять некото­рые параметры программы (изменять цвета на дисплее, создавать более удобные таблицы вывода промежуточной информации и т.п.), это нор­мальное явление. Важно только, чтобы такие изменения не повлекли за собой изменение учетной политики предприятия, не оформленное в ус­тановленном порядке. На крупных предприятиях, где существует не­сколько компьютеризованных рабочих мест бухгалтера, любые измене­ния программного обеспечения должны проводиться централизованно, с разрешения сотрудников, ответственных за внедрение системы, с над­лежащим документированием (например, с записью в специальном жур­нале).

В разделах 4–5 бланка из приложения приведены возможные варианты формализованных вопросников, ответив на вопросы которых аудитор должен получить достаточно четкое представление об уровне риска средств КОД экономического субъекта. Круг рассматриваемых аудитором вопросов можно существенно расширить.

Полученная в ходе исследования среды КОД информация должна быть использована в ходе планирования аудита. При составлении обще­го плана аудиторской проверки каждый этап планирования должен быть уточнен с учетом влияния на процесс аудита применяемых экономиче­ским субъектом информационных технологий и системы КОД. В этой связи при определении объема и характера аудиторских процедур ауди­тор должен согласовать с экономическим субъектом ряд вопросов:

·        необходимость привлечения независимого эксперта для изуче­ния компьютерной системы экономического субъекта;

·        дату начала аудиторской проверки и дату представления аудито­ру информации в форме, согласованной с экономическим субъектом в договоре на проведение аудита;

·        характер выполнения аудиторских процедур с использованием КОД (вывод подготовленных в среде КОД документов на печать;

·        работа в среде КОД экономического субъекта;

·        инсталляция программного обес­печения экономического субъекта на компьютеры аудиторской органи­зации и необходимые действия, обеспечивающие легальность данной операции).

В ходе сбора аудиторских доказательств в среде КОД аудиторы должны соблюдать общие методологические принципы, установленные правилом (стандартом) аудиторской деятельности «Аудиторские доказа­тельства» [3].

Аудитор обязан перечислить в своей рабочей документации все документы, которые он проверил, а не только те операции и первичные документы, по которым у него есть замечания. Если клиент ведет бух­галтерский учет вручную, аудитор должен составлять перечень прове­ренных операций сам, используя таблицу-пустографку или электронные таблицы на своем компьютере. Если клиент использует систему КОД, за­дача аудитора несколько упрощается: он может воспользоваться предо­ставленными экономическим субъектом распечатками необходимых пе­речней операций (или снять копию с соответствующего регистра учета), отметить элементы, входящие в аудиторскую выборку, и отразить ход проверки специальными знаками на полях этих распечаток.

Если аудитор работает непосредственно в системе КОД экономи­ческого субъекта (без вывода данных на печать), рабочие документы, подтверждающие факт сбора аудиторских доказательств, аудитор со­ставляет сам.

Важно отметить, что ведение бухгалтерского учета в системе КОД не освобождает учетных работников экономического субъекта от обя­занности документировать в установленном порядке факты хозяйствен­ной жизни. Таким образом, клиент обязан подшивать все предусмотрен­ные законодательством первичные документы, как и при традиционных формах учета, а аудитор обязан контролировать порядок оформления таких документов и соответствие их данным системы КОД.

Рабочие документы, фиксирующие сбор аудиторских доказа­тельств при изучении среды КОД, подлежат хранению в аудиторских файлах в соответствии с правилом (стандартом) аудиторской деятельно­сти «Документирование аудита» [4]. Особенность данного раздела аудита – вероятность подготовки рабочих документов на машинных но­сителях информации. В аудиторской организации должен быть разрабо­тан порядок идентификации таких носителей, их оформления, сдачи в архив и обособленного хранения в архиве.

Целесообразно записывать данные о каждом клиенте на отдель­ную дискету, в аудиторском файле (папке) предусмотреть специальный пластиковый кармашек, в котором эту дискету (дискеты) можно было бы хранить вместе с другими рабочими документами проверки. На отдель­ную дискету можно записать и компьютерные файлы, созданные аудито­рами в ходе проверки, например, электронные таблицы с расчетами, бланки, заполненные при помощи компьютера, тексты аудиторского за­ключения и письменной информации по результатам аудита.

При проверке в условиях КОД аудитор может проводить аудитор­ские процедуры не только традиционным ручным способом, но и с ис­пользованием машинно-ориентированного подхода.

Аудитор может применять специально разработанные им конт­рольные примеры для тестирования алгоритмов КОД. Например, для проверки правильности начисления подоходного налога аудитор может ввести в компьютер клиента значения определенной суммы заработной платы и убедиться в правильности полученного результата.

Аудитор может также применять специальные средства для про­верки содержания компьютерных файлов клиента. Здесь речь идет о так называемых компьютерных средствах аудита, которым посвящен меж­дународный стандарт аудита [14]. Например, большая часть россий­ских систем компьютерного бухгалтерского учета хранит данные в фай­лах, имеющих расширение *.dbf (data base file, или файл базы данных). Несложно подготовить программу, которая могла бы самостоятельно анализировать содержимое таких файлов, сортировать по разным при­знакам (дате, сумме, алфавиту, содержанию) хранящиеся в них записи и распечатывать в нужной аудитору форме. Несложно подготовить та­кие специализированные аудиторские программы для большей части наиболее распространенных на российском рынке систем КОД. На Запа­де такие компьютерные средства аудита получают сейчас все большее распространение. В России этот процесс находится на начальной ста­дии. Во всяком случае говорить о массовом использовании в ходе ауди­та машинно-ориентированных процедур российскими аудиторами пока рано, хотя применение компьютерных средств аудита позволило бы во многом упростить и ускорить работу отечественных аудиторов.