5.8. Аудит в среде компьютерных информационных систем

Общие и рабочие МСА определяют качество проведения аудита как в ручной, так и в компьютерной системе учета. Дополнительные процедуры, которые необходимо соблюдать при аудите в условиях компьютерных информационных систем (КИС), определены МСА 401 «Аудит в среде компьютерных информационных систем».

Стандарт имеет следующую структуру:

1. Введение

2. Умение и компетентность

3. Планирование

4. Оценка риска

5. Процедуры аудита

Во введении указано, что для целей данного стандарта условия КИС существуют, когда субъект применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер данным субъектом или третьей стороной.

Применение компьютеров вносит изменения в процесс обработки, хранения и передачи финансовой информации и может воздействовать на систему бухгалтерского учета и СВК, используемые субъектом. Таким образом, применение КИС может оказать влияние:

• на процедуры, соблюдаемые аудитором в процессе получения достаточного представления о системе бухгалтерского учета и СВК;

• анализ неотъемлемого риска и риска СВК;

• разработку и осуществление аудитором тестов контроля и процедур проверки по существу, необходимых для достижения целей аудита.

Общая цель и объем аудита в среде КИС не меняются.

Согласно разделу «Умение и компетентность» аудитор должен рассмотреть вопрос о необходимости специализированных знаний о КИС для проведения аудита. Квалифицированные аудиторы должны иметь необходимое представление о функциях компьютерных систем учета и контроля. Уровень соответствующей подготовки аудиторов может быть разным:

• минимальные знания – для ассистентов аудитора;

• знания, достаточные для осуществления контроля, – для аудиторов и партнеров аудиторской фирмы;

• знания технических экспертов – для специалистов по компьютерному аудиту.

Ассистенты аудитора, являющиеся помощниками аудитора и работающие под его руководством, должны быть знакомы со специальной терминологией, понимать последовательность операций в компьютерных системах, читать и понимать системные и логические блок-схемы, знать организационную структуру компьютерных отделов.

Аудиторы и партнеры, анализирующие компьютерную систему учета, должны обладать такими знаниями, чтобы определять необходимый уровень технической помощи и контролировать составление планов проверки специалистами по компьютерному аудиту, результаты их работы, их вклад в аудиторскую проверку в целом.

Специалисты по компьютерному аудиту, обычно получающие подготовку на специальных технических курсах и имеющие обширный практический опыт, должны уметь работать непосредственно с компьютерами в среде КИС. Если необходимы специальные знания, аудитор может обратиться за помощью к специалисту – либо работнику аудиторской фирмы, либо приглашенному эксперту. В последнем случае аудитор должен получить достаточное и уместное аудиторское доказательство того, что работа эксперта отвечает целям аудита согласно МСА 620 «Использование работы эксперта».

Профессиональное выполнение аудиторской проверки в среде КМС обусловлено соблюдением трех международных стандартов:

1) МСА 300 «Планирование»;

2) МСА 400 «Оценка рисков и внутренний контроль»;

3) МСА 500 «Аудиторские доказательства».

Особое внимание при аудите в среде КИС следует уделять назначению работников и планированию проверки. Планируя проверку, необходимо знать:

1) какие компьютерные системы использует клиент, чтобы обеспечить аудиторов совместимыми системами;

2) значимость и сложность компьютерной обработки в каждой важной прикладной бухгалтерской программе;

3) степень участия внутренних аудиторов в процессе анализа и контроля компьютерных операций, чтобы обеспечить масштабы аудиторской проверки;

4) режим работы компьютерного отдела клиента, чтобы аудиторы могли согласовать с клиентом условия доступа к необходимым файлам и системам.

Согласно разделу «Планирование» термин «значимость» относится к существенности утверждений, содержащихся в финансовой отчетности и подвергшихся компьютерной обработке. Так, прикладная программа считается сложной, если:

• объем операций таков, что пользователям трудно выявить и исправить ошибки, допущенные в процессе обработки;

• компьютер автоматически генерирует существенные операции или проводки непосредственно в другой прикладной программе;

• компьютер выполняет сложные расчеты по финансовой информации и (или) автоматически генерирует существенные операции либо проводки, которые не могут быть подтверждены или не подтверждаются отдельно;

• обмен операциями с другими организациями осуществляется электронным способом, причем не осуществляется «физическая» проверка на предмет правильности или приемлемости.

Требуется также предварительно определить уровень квалификации, необходимый для контроля за работой специалистов по компьютерному учету, аудиту и ее анализа.