Традиционные и новые методы электронной проверки
Гленн Хемз
Гленн Хемз (Glenn L Helms), PhD, CIA, CISA, CPA, профессор бухучета на факультете управления и бухучета в Университете Северной Каролины
Начало в выпусках: #182
Тестирование программ
Для тестирования программ и процедур используются подконтрольные аудитору реальные или фиктивные данные, напрямую отражающие работу программ и средств контроля.
Некоторые приемы тестирования программ:
- Тестовые испытания полезны, когда для всех программ действуют одни и те же процедуры контроля или объем так велик, что проверка другим способом потребовала бы большой работы вручную.
- Тестовые данные прогоняют по всем приложениям и сравнивают фактические результаты с прогнозом аудитора. Если контрольные итоги равны фактическим, правильность работы программы считается доказанной, а управленческий риск оценивается ниже максимума. Аудитор может применять ПО, создающее тестовые данные (генератор тестовых данных).
- Оценка базовой комплектации системы – частный случай тестирования, требующий комплекса данных для проверки всех возможных данных и условий обработки. Такой метод очень трудоемок и дорог, и его лучше реализовать силами внутреннего аудита. Решая вопрос о доверии внутреннему аудиту, внешний аудитор должен опираться на стандарты профессии (см. SAS 65 «Мнение аудитора о функции внутреннего аудита при проверке финансовой отчетности»).
- При параллельном моделировании аудитор пропускает реальные данные через аудиторское ПО, дублируя логику реальной программы, и сравнивает результаты. Метод избавляет от необходимости готовить тестовые данные и позволяет аудитору проводить тесты неявно и с большей частотой, не мешая работе операционной системы и не меняя файлов.
Непрерывное тестирование
Приемы непрерывного тестирования лучше использовать для систем, оставляющих «электронные следы» (например, программ для электронной коммерции). Непрерывный мониторинг позволит аудитору применять метод оценки меньшего управленческого риска при проверке финансовой отчетности.
Многие считают, что в безбумажных системах непрерывный аудит необходим, потому что транзакции и прочие файлы могут не дожить до конца отчетного периода. Некоторые системы электронной коммерции пользуются услугами провайдера, который размещается на Web-сервере и сохраняет данные о транзакциях в течение ограниченного времени. Если данные не проверять непрерывно, аудитор может их просто не увидеть.
Важнейшие приемы непрерывной проверки:
- Внедренный аудиторский модуль фильтрует файлы транзакций и ищет аномалии в данных или связях, например, факты использования кредитной карты в двенадцати странах в пределах двух часов.
- Интегрированные средства тестирования (Integrated Test Facility, ITF) позволяют проверять систему целиком: и ручные, и компьютерные процессы. Аудитор внедряет фиктивный объект, через который вместе с реальными данными пропускает свои, контрольные.
Предположим, в традиционной среде EDI фиктивный поставщик или клиент вводит транзакции по VAN. Фактические итоги сравнивают с прогнозом, и аудитор изучает различия между ними. Эффективнее всего ITF работает в стабильной, «унаследованной» среде. Новейшие открытые сети почти невозможно точно воспроизвести путем ITF.
Новейшие системы
Пример подобной системы система, которая включает электронную коммерцию business-to-consumer . Для электронной коммерции характерны почти мгновенные транзакции и постоянно растущая угроза электронной безопасности и целостности. Хотя такой вид торговли продолжает развиваться, будущее его неопределенно. Он ставит все новые задачи перед бизнесом, потребителями и аудиторами.
В безбумажной среде ревизор может применять как новейшие, так и традиционные способы сбора данных. Многие из последних вполне подходят для новейших электронных систем, если способны повысить их надежность.
Например, аудитор может использовать журнал учета заданий или журнал операционных систем, программы управления библиотеками, программы сравнения, ПО блок-схем, покадровую динамику, трассирование и отображение программ, тестовые данные, интегрированные средства тестирования, а также параллельное моделирование, чтобы убедиться в том, что программы работают правильно и не изменялись без разрешения.
Аудиторское ПО поможет отыскать аномалии в файлах данных об исключенных транзакциях (например, о двойной оплате по одному номеру счета-фактуры). Можно использовать внедренные аудиторские модули для оповещения в реальном времени о различных событиях, таких как непредвиденный отказ от обслуживания.
В безбумажных системах аудитор может применять и новейшие методы электронной проверки. Один из них цифровые агенты описан в документе AICPA и CICA Непрерывный аудит .
Цифровые агенты это данные и код, действующие от имени пользователя. Реагирующий цифровой агент фильтрует информацию на входе (например, заказ на товары стоимостью больше некоторой суммы в долларах, поданный менеджеру на утверждение). Упреждающий цифровой агент ведет в системе поиск указанных условий и принимает конкретные меры.
Реагирующие цифровые агенты статичны и располагаются в определенном месте системы. Такой агент может, например, сообщить, что цена покупки объекта вышла из заданного диапазона.
Мобильные агенты передвигаются по сетям. Им можно поручить поиск конкретной информации, влияющей на ликвидность объекта и чистую стоимость его реализации. Эти сведения остаются в базе данных, и аудитор может их проверить.
Мобильный агент способен собирать обновляемую информацию конкретного типа во внутренней или сетевой системе. Он программируется так, что в состоянии принимать нужные меры, сообщив о конкретных событиях. Например, биржевой игрок может стать абонентом онлайновой службы, которая сообщает, когда цена акций достигает указанного уровня, а затем инициирует покупку или продажу.
Внедренные аудиторские модули и цифровые агенты следует применять только при полном согласии и поддержке со стороны руководства и работников внутреннего аудита. Подобное вмешательство в схему и реализацию средств аудита может поставить под вопрос независимость аудитора.
Еще один новейший прием проверки использует данные, полученные с датчиков, в процедурах аналитической проверки. Датчики измеряют физический процесс, например, объем нефти, текущей по трубе, кубометры воды или число оборотов турникета.
Аудитор получает рабочие данные с датчиков и выполняет процедуры аналитической проверки, сравнивая прогноз и фактический результат. Скажем, литры воды, фактически использованной на автомойке, умножаются на среднюю выручку за литр. Такая процедура основана на объективно полученных данных и позволяет довольно точно оценить валовую прибыль.
Другой новейший метод использует электронное подтверждение (по электронной почте) сумм в книгах независимой третьей стороной. Для надежности такого подтверждения важно быть уверенным в подлинности личности отправителя и получателя.
Это возможно, если как отправитель, так и получатель, пользуются услугами органа цифровой сертификации. Служба идентификации подтверждает, что данные лица являются теми, за кого себя выдают.