Автоматизация по-аудиторски
Екатерина Чикунова
старший консультант аудиторской фирмы "Интерэкспертиза"
Журнал "Автоматизация бухгалтерского учета и финансово-хозяйственной деятельности предприятий", 3 (март), 2000
Стандарты аудиторской деятельности
Когда речь заходит об использовании аудиторских услуг, бухгалтеры и руководители предприятий, в первую очередь, задаются вопросом: каковы критерии качественного проведения аудиторской проверки, инициативного аудита или оказания сопутствующих аудиту услуг (консультационных, информационных, обучающих и пр.)? Фактически уровень организации и осуществления большинства аудиторских заданий остается вне какой-либо проверки со стороны. Означает ли это, что аудиторы могут действовать по принципу "что хочу, то и ворочу"? Согласно действующему законодательству, аудиторские фирмы наделены значительной самостоятельностью в выборе методов и форм работы, но (и это "но" весьма существенно) они обязаны действовать в рамках нормативных требований. Существуют правила (стандарты) аудиторской деятельности, которые формируют систему критериев качества аудита.
Из всех действующих на данный момент российских аудиторских стандартов только один касается автоматизации - "Аудит в условиях компьютерной обработки данных". Однако вопросы, регламентированные этим стандартом, не исчерпывают круга проблем, с которыми сталкиваются российские аудиторы, с одной стороны, и бухгалтеры и руководители предприятий - с другой, при взаимодействии в условиях электронной обработки учетно-финансовой информации. Так что и тем, и другим есть смысл ознакомиться с международным опытом.
Нормативные наработки в области автоматизированного аудита представлены в ряде документов Международного комитета аудиторской практики Международной федерации бухгалтеров: "Auditing in a Computer Information Systems (CIS) Environment" ("Проведение аудита в компьютерной информационной среде"), "Risk Assessment and Internal Control - CIS Characteristics and Considerations" ("Оценка аудиторского риска и внутреннего контроля с учетом особенностей компьютерной информационной среды"), "Computer-Assisted Audit Techniques" ("Компьютеризированные методы аудита").
Первый из названных документов имеет статус международного стандарта. Два других - входят в международную систему стандартизации аудиторской деятельности как международные положения по практике аудита. Цели стандартов - весьма благие. Во-первых, они призваны унифицировать требования к аудиту в условиях компьютерной среды, чтобы аудиторы получили методологическую поддержку, а пользователи их услуг знали, что можно ожидать от аудиторских проверок в автоматизированной бухгалтерии. Во-вторых, эти документы содержат практические рекомендации для аудиторов по специфике аудиторских процедур в компьютерной среде.
"Проведение аудита в компьютерной информационной среде"
В этом документе рассмотрены общие положения организации аудита в автоматизированной бухгалтерии и конкретные вопросы планирования аудиторской проверки в среде КОД (компьютерной обработки данных). О среде КОД можно говорить, если предприятие использует компьютерную технику для обработки такого объема учетно-финансовой информации, который аудиторы считают существенным с точки зрения общей достоверности бухгалтерской отчетности. Причем неважно, применяет предприятие компьютерные методы самостоятельно или перепоручило это третьей стороне.
И международный, и российский стандарты аудиторской деятельности обязывают аудиторов учитывать влияние КОД на организацию и проведение аудиторских проверок. Для этого аудиторы должны в достаточной степени разбираться в применяемой предприятием системе КОД. Теперь эта задача в большинстве случаев неотделима от понимания аудиторами специфики служб бухгалтерского учета и внутреннего контроля проверяемого предприятия.
Однако запредельные требования в области компьютерной компетентности к аудиторам пока не предъявляются. Если необходимы специальные компьютерные познания на профессиональном техническом уровне, то аудиторы могут привлечь к проверке эксперта, который, к примеру, поможет им оценить надежность сложной компьютерной системы или посодействует в формировании регистров, удобных для проверочных процедур на конкретном участке аудита. Но в любом случае (привлекается эксперт или нет) ответственность за выводы проверки целиком и полностью несет аудитор, так что ему все же имеет смысл разобраться во всех существенных вопросах автоматизации самому.
Очевидно, исходя из идеи: "хорошее начало - половина дела", разработчики международного стандарта предусмотрели рекомендации по планированию аудита в автоматизированной бухгалтерии. В справедливости такого подхода убеждает практика организации проверок. От того, насколько хорошо уже на начальном этапе взаимодействия с руководителями предприятия и бухгалтерами аудиторы разберутся в особенностях автоматизированной бухгалтерской службы, зависит, рационально ли будет подобрана группа аудиторов: будет она состоять, например, только из аудиторов и ассистентов (сведущих в общих вопросах автоматизации) или понадобится подключить специалиста по компьютерным технологиям.
Международный стандарт обращает внимание аудиторов на то, что при планировании необходимо оценить уровень сложности автоматизированного учета на предприятии. Система КОД считается достаточно непростой, если:- компьютер выполняет сложные вычисления в отношении финансовой информации и автоматически делает проводки;
- компьютер в автоматическом режиме выполняет операции, существенные для бизнеса предприятия;
- объем операций настолько значителен, что трудно отследить возможные ошибки при обработке данных;
- применяются автоматизированные процедуры обмена данными об операциях с другими предприятиями и организациями;
- на предприятии внедрена компьютерная система с иерархической структурой;
- предприятие использует сложные компьютерные управленческие программы, которые поставляют информацию напрямую учетной системе.
В зависимости от уровня сложности применяемой предприятием системы КОД, аудиторы предварительно намечают ключевые параметры проверки, прежде всего масштаб и график работ. На этом этапе в интересах как аудиторов, так и руководителей предприятий, решить вопрос о доступности всей необходимой компьютерной информации для аудиторской проверки. Для выполнения автоматизированных процедур аудиторам стоит использовать копии рабочих файлов предприятия, чтобы полностью исключить риск случайного повреждения оригиналов. Если на предприятии предусмотрено составление внутренних отчетов (например, для управленческих нужд), то предоставление их аудиторам может ускорить проведение проверки.
Согласно международному стандарту, при планировании процедур аудита следует учитывать все основные особенности автоматизированной бухгалтерии. Для систем КОД характерен пониженный уровень человеческого участия в работе с операциями. Это, с одной стороны, минимизирует ошибки, присущие ручной обработке данных, но с другой - сокращает возможности повседневного отслеживания ошибок и нарушений. Особенно неприятно, если ошибки были допущены в период установки или модификации программного обеспечения и оставались незамеченными достаточно долго.
Еще одна "головная боль" как для руководителя предприятия, так и для аудитора - это невозможность полного разделения ответственности и полномочий в среде КОД и, как следствие, потенциальная опасность манипуляции данными.
Обозначая проблемы, международный стандарт привлекает внимание аудиторов и к преимуществам автоматизированной бухгалтерии, которые надо максимально использовать для повышения эффективности проверки. Во-первых, грамотное внедрение и эксплуатация автоматизированного учета повышают уровень надежности бухгалтерской информации. В этом плане благоприятными признаками могут служить: фирменное сопровождение программного обеспечения, применяемого предприятием; хороший уровень компьютерной подготовки учетного персонала; обеспечение физической защиты средств КОД и жесткого контроля за компьютерной системой (соответствующие процедуры могут быть регламентированы внутренней инструкцией предприятия).
Во-вторых, умело организованная система КОД дает возможность руководству предприятия задействовать эффективные аналитические методы работы с информацией, чтобы осуществлять обзор финансово-хозяйственных сделок и контроль за ними. Таким образом, благодаря автоматизации появляются дополнительные инструменты для укрепления внутреннего контроля на предприятии, что способствует повышению качества (то есть уместности, полноты и достоверности) бухгалтерской отчетности. Это обстоятельство учитывается аудиторами и при разработке плана аудита, как правило, ведет к обоснованному снижению числа детальных проверок оборотов и сальдо по счетам.
В-третьих, система КОД предоставляет аудиторам возможность работать в автоматизированном режиме со значительными объемами учетных данных. При этом затраты человеко-часов оказываются значительно меньше, чем при использовании архаичных приемов.
"Оценка аудиторского риска и внутреннего контроля с учетом особенностей компьютерной информационной среды"
Рекомендации этого документа касаются вопросов детальной оценки аудиторами существующих на предприятии организационных структур КОД и процедур контроля за компьютерной обработкой учетной информации. Эти международные положения могут облегчить аудиторам решение задач, связанных с определением уровня аудиторского риска при проверке в автоматизированной бухгалтерии. Руководителям предприятий и бухгалтерам ознакомление с такой информацией позволяет подготовиться к общению с аудиторами, показав, что именно проверяющие будут "рассматривать под лупой".
Вопрос об оценке аудиторского риска носит далеко не академический характер. Бухгалтерам и руководителям предприятий нельзя забывать, что от того, как аудиторы оценят уровень риска, зависит объем их дальнейшей работы и, само собой, цифра, в которую выльются предприятию аудиторские услуги.
При определении уровня риска аудиторы рассматривают:
- вероятность присутствия в бухгалтерском учете и отчетности предприятия существенных ошибок и нарушений;
- вероятность того, что предусмотренные на предприятии средства внутреннего контроля своевременно не предотвращают либо не обнаруживают и не исправляют существенные искажения в учетной информации.
Исходя из этих компонентов риска, аудиторы прежде всего принимают в расчет влияние автоматизации на организационную структуру предприятия. Речь идет о так называемой концентрации обязанностей и знаний, когда, к примеру, одно лицо (или очень малый круг лиц) выполняет ряд обязанностей по компьютерной обработке информации и имеет возможность отслеживать прохождение данных от первичного документа до конечного использования выходных данных.
Если все (или многое) сосредоточено в одних руках, то аудиторы могут предположить, что такой "многостаночник" знает слабые стороны внутреннего контроля за обработкой данных и при желании может обойти этот контроль. В глазах аудитора подобная ситуация создает почву для возможных нарушений. Бухгалтерам и руководителям предприятий надо иметь в виду, что аудиторы особенно пристально будут проверять автоматизированную бухгалтерию, если один сотрудник совмещает, к примеру, выполнение таких функций, как: ввод данных, обработка учетной информации и использование ее результатов, внесение изменений в программы.
Основные критерии при оценке функционирования автоматизированной бухгалтерии:- предусмотрены ли в компьютерной системе все возможные типы операций и условий сделок, отвечающие характеру бизнеса предприятия;- насколько безотказно и адекватно выполняются системой КОД запрограммированные функции (в том числе автоматическое приведение всех взаимосвязанных учетных регистров в соответствие с осуществленной проводкой);
- степень надежности автоматического инициирования операций (на основе установленных параметров хозяйственного взаимодействия с партнерами предприятия);
- насколько электронные носители информации защищены от случайного или умышленного повреждения, кражи или утери.
Обращаясь к оценке средств контроля за компьютерной обработкой учетной информации, аудиторы не должны упускать из вида следующие предусмотренные на предприятии процедуры:
- тестирование и внедрение новых или модернизированных систем автоматизации;
- документирование вносимых в систему КОД изменений;
- использование только лицензионно чистых программ;
- четкое определение круга лиц, имеющих доступ к компьютерным данным и операциям;
- санкционирование сделок до начала их компьютерной обработки;
- процедуры, препятствующие внесению несанкционированных изменений в данные об операциях и копированию данных;
- периодические мероприятия по выявлению и исправлению ошибок, допущенных при обработке данных;
- использование средств защиты данных (например, от вирусов и хакерства);
- восстановление поврежденных или утерянных данных;
- контроль за выходными данными (в том числе передача их только лицам с соответствующим доступом).
Если действующая на предприятии система внутреннего контроля за компьютерной обработкой данных позволяет сделать вывод о ее достаточной надежности, то аудиторы оценивают риск проверки как низкий. Это дает основание сократить количество и глубину проверочных процедур и снизить затратность аудита.
"Компьютеризированные методы аудита"
Этот документ содержит рекомендации, позволяющие повысить рентабельность и результативность проверки благодаря использованию компьютеризированных методов аудита.
В ходе проверок в автоматизированной бухгалтерии можно сочетать компьютеризированные и ручные методы. При этом предпочтение, естественно, отдается технически передовым приемам. Пожалуй, единственное разумное исключение составляют предприятия малого бизнеса с минимальным объемом информации для проверки. Тогда применение аудиторами компьютерного тестирования равносильно использованию промышленного пресса для колки орехов.
Во всех иных случаях неполное задействование компьютеризированных методов аудита невыгодно ни аудиторской фирме, ни предприятию-клиенту. Экономичность проверки, обеспечиваемая автоматизированным аудитом, всячески приветствуется предприятием. Да и аудиторская фирма, заботясь о своей деловой репутации, о сохранении и расширении клиентуры, не станет пренебрегать современными профессиональными технологиями.
Ну, а тем аудиторам, которые все еще скептически относятся к компьютеризированным методам проверки, видимо, будет небесполезно учесть мнение Международного комитета аудиторской практики о том, что при аудите в автоматизированной бухгалтерии нерационально, а порой и невозможно ориентироваться на одни только ручные методы. Особенно это верно для предприятий, на которых применяется режим on-line, расчеты процентов и скидок производятся автоматически (без индивидуального рассмотрения каждой операции бухгалтером), транспортные накладные и счета-фактуры поставщиков увязываются компьютерной программой. Как правило, распечатки содержат обобщенные итоговые данные, а детали операций, в проверке которых заинтересованы аудиторы, доступны только в машиночитаемом виде.
Более того, в ряде случаев и машиночитаемое представление деталей сделок оказывается доступным лишь в течение ограниченного промежутка времени. В связи с этим аудиторам и бухгалтерам предприятий полезно четко определить сроки работ с такой информацией или принять меры к ее сохранению.
Международный комитет аудиторской практики обращает внимание аудиторов на целесообразность применения в ходе аудита компьютерных возможностей для:
- чтения компьютерных файлов и отбора данных;
- выполнения расчетов;
- создания рабочих файлов и печати отчетов удобного (для аудитора и клиента) формата;
- использования программ, действующих на предприятии (в оригинальном или модифицированном виде) для выполнения проверочных процедур;
- создания специальных аудиторских программ (силами самого аудитора, персонала предприятия или приглашенных компьютерщиков).
Автоматизированный аудит предполагает поэтапное выполнение ряда процедур. Международный комитет аудиторской практики рекомендует аудиторам:
- установить цели автоматизированного аудита, исходя из условий конкретного задания;
- определить состав компьютерных систем предприятия;
- наметить типы операций, которые необходимо протестировать;
- очертить круг аудиторского и компьютерного персонала, который будет участвовать в обработке данных;
- решить организационные задачи применения компьютерной техники;
- определить характер и масштаб процедур компьютерной обработки данных и требования к представлению ее результатов;
- обеспечить контроль за ходом компьютеризированных проверочных процедур аудита;
- осуществлять документирование используемых аудиторами приемов компьютерной обработки данных;
- обеспечить оценку полученных результатов для формирования итоговых выводов и составления аудиторского заключения о бухгалтерской отчетности предприятия.
Международный комитет аудиторской практики считает целесообразным широкое использование аудиторами различных методов компьютерного тестирования данных. Популярный прием тестирования - ввод примера какой-либо операции в компьютерную систему предприятия и последующее сравнение результатов обработки этой операции с заранее известными аудитору значениями. Затем введенные для теста данные удаляются из системы КОД предприятия. Особенно полезно - протестировать надежность системы паролей и других средств контроля, установленных предприятием для защиты данных.
Преимущества автоматизации аудита
Современная хозяйственная жизнь отличается многочисленностью и сложностью финансовых операций, поэтому для аудиторов стали практически незаменимыми компьютерные методы тестирования цифровых данных в ходе так называемых процедур по существу (в отношении счетов) и при выполнении аналитических процедур. Последние позволяют выявить важные тенденции в деятельности предприятия, обнаружить необычные отклонения и диспропорции показателей (если они имеют место). Применение компьютерной обработки дает возможность увеличить объем аудиторской выборки (без дополнительных затрат времени) и, таким образом, повысить надежность выводов аудита. Если увеличивать объем выборки ни к чему, можно повысить рентабельность аудита (за счет сокращения сроков проверки и трудозатрат).
Выигрыш от применения автоматизированных методов аудита будет наибольшим при четкой координации работы проверяющих и бухгалтеров. Это особенно важно, если аудиторы предполагают использовать компьютерную технику предприятия. В этом случае встает вопрос о взаимном согласовании графиков их работы, а также о необходимом содействии аудиторам со стороны бухгалтерского и компьютерного персонала предприятия. Если же существует проблема несовместимости аудиторских программ и компьютерной системы предприятия, то аудиторы должны организовать обработку проверяемой учетной информации своими силами (или с привлечением экспертов со стороны).
Ежемесячный журнал "Автоматизация бухгалтерского учета и финансово-хозяйственной деятельности предприятий". Подписные индексы по каталогу "Газеты и журналы" агентства "Роспечать": 79602 (общий), 79603 (предъявителям клубной карты "Главбух").