МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ПО КОМПЬЮТЕРНЫМ ТЕХНОЛОГИЯМ АУДИТА

На основе МСА 401 «Аудит в среде компьютерных информаци­онных систем» разработан отечественный аналог — ПСАД «Аудит в условиях компьютерной обработки данных», на основе ПМАП 1009 «Методы аудита с помощью компьютеров» — ПСАД «Проведение ауди­та с помощью компьютеров», на основе ПМАП 1008 «Оценка рисков и система внутреннего контроля — характеристики КИС и связанные с ними вопросы» — ПСАД «Оценки риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем».

Пока еще не разработаны отечественные аналоги к ПМАП 1001 «Среда ИТ — автономные персональные компьютеры», ПМАП 1002 «Среда ИТ — онлайновые компьютерные системы», ПМАП 1003 «Сре­да ИТ — системы баз данных».

Компьютерный аудит предполагает использование компьютеров и современных информационных технологий (ИТ) для организации аудиторской деятельности. Основными работами в связи с этим можно считать аудиторские проверки финансовой отчетности с подготовкой аудиторского заключения, а также оказание сопутствующих аудиту услуг.

Общие сведения о компонентах компьютерного аудита, основных понятиях и подходах к его организации можно получить из МСА 401, который подробно рассмотрен в параграфе 4.2, и ПМАП 1009. Эти два документа непосредственно связаны между собой, хотя первый имеет большее отношение к экономическому субъекту, а второй — непосред­ственно к аудиторам и аудиторским организациям.

На практике возможны разные варианты проведения компью­терного аудита. Отметим, что наиболее благоприятным является вари­ант, при котором компьютеры для автоматизации управленческих работ используют и экономический субъект, и аудиторская организация.

В аудиторской организации компьютеры могут использоваться для автоматизации ее управленческих работ и для проведения аудита у экономических субъектов. Понятие «использование компьютеров для проведения аудита» является весьма общим и может включать в себя ряд направлений использования (виды выполняемых работ):

• несложные расчеты, печать типовых форм аудиторских докумен­тов, опросных листов, анкет и др.;

• организация нормативно-правовой справочной базы в элект­ронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»);

• проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.;

• комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала, проведения экономического анализа.

Из приведенных вариантов использования наибольший эффект достигается, если компьютеры применяются для реализации первого, второго и четвертого вариантов, что в конечном итоге позволяет создать систему автоматизации аудиторской деятельности (СААД).

Целью российского аналога МСА 401 — ПС АД «Аудит в услови­ях компьютерной обработки данных» является определение действий аудиторов, при осуществлении аудита в условиях систем КОД, функ­ционирующих у проверяемого экономического субъекта.

Компьютерная обработка данных экономического субъекта имеет место в случаях, когда с помощью компьютерной техники обрабатыва­ются значительные объемы учетной информации независимо от того, используется компьютер экономическим субъектом самостоятельно или по договору с третьей стороной, а также для обработки экономической информации во всех аспектах хозяйственной деятельности и ее учета или только для автоматизации обработки информации по отдельным видам фактов хозяйственной жизни, участкам учета.

При проведении аудита в системе КОД сохраняются цель ауди­та и основные элементы его методологии. Наличие среды КОД суще­ственно влияет на процесс изучения аудитором системы учета эконо­мического субъекта и сопутствующих средств внутреннего контроля.

Использование технических средств приводит к изменению отдельных элементов организации бухгалтерского учета и внутренне­го контроля:

• для проверки хозяйственных операции наряду с традицион­ными первичными учетными документами используются первичные учетные документы на машиночитаемом носителе;

• постоянные нормативно-справочные показатели могут быть проверены по данным, хранящимся в памяти компьютера или на машино­читаемых носителях информации;

• вместо традиционных ручных форм счетоводства может при­меняться форма учета, ориентированная на прогрессивные методы формирования выходной информации и обеспечения ее достоверно­сти, совмещение синтетического учета с аналитическим и системати­ческого с хронологическим, а также повышение оперативности и удоб­ства использования учетной и отчетной информации.

Рекомендация аудитора в части использования той или иной системы КОД возможна только в случае, когда аудитор оказывает эко­номическому субъекту сопутствующую аудиту услугу по организации системы КОД по просьбе субъекта.

Экономический субъект обязан предоставить аудиторской орга­низации необходимый доступ к системе КОД. Невыполнение (непол­ное выполнение) этого условия является ограничением объема аудита в системе КОД, вследствие чего аудиторская организация может потре­бовать необходимые ей документы на бумажных носителях информации.

Аудитору желательно иметь представление о техническом, про­граммном, математическом и других видах обеспечения компьютерной техники, а также системах обработки экономической информации. В случае отсутствия у аудитора подобных знаний следует использовать работу эксперта в области ИТ.

Аудитор должен быть способен определить, какое влияние на организацию, планирование и проведение аудита (в том числе на изу­чение систем бухгалтерского учета и внутреннего контроля, на оценку рисков, связанных с проведением аудита) оказывают условия исполь­зования системы КОД у проверяемого экономического субъекта.

Аудиторской организации целесообразно иметь библиотеку наиболее распространенных систем КОД и прилагать усилия к изуче­нию особенностей их практического применения.

В случае использования работы эксперта для оценки применя­емой системы КОД:

• назначение эксперта, оформление и использование результа­тов его работы должно полностью отвечать требованиям ПСАД «Исполь­зование работы эксперта»;

• аудитор должен иметь достаточное представление о компью­терной системе клиента в целом, с тем чтобы планировать, регулиро­вать и контролировать работу эксперта, сохраняя главенствующее поло­жение.

Главенствующее положение аудитора по отношению к эксперту состоит в том, что эксперт оценивает только систему обработки инфор­мации, в то время как аудитор — достоверность формируемой с помо­щью этой системы отчетности. Аудиторская организация не может ни передавать, ни разделять с кем-либо (в том числе с экспертом) свою ответственность за выражение мнения об отчетности и составленного на его основе аудиторского заключения.

Основной задачей эксперта является оказание помощи аудито­ру при проведении проверки в части:

• оценки надежности системы КОД в целом;

• оценки законности приобретения и лицензионной чистоты бух­галтерского программного обеспечения, функционирующего в системе КОД проверяемого экономического субъекта;

• проверки алгоритмов расчетов;

• формирования на компьютере необходимых аудитору регист­ров аналитического, синтетического учета и отчетности.

Аудитор должен изучить и оформить в виде рабочего документа все существенные вопросы организации обработки учетных данных в системе КОД экономического субъекта, отразив в нем следующие положения:

• организационную форму обработки данных, например, осуще­ствляет обработку специальное подразделение (вычислительный центр, информационно-вычислительный центр, отдел автоматизированной системы управления предприятием) или компьютеры установлены на рабочих местах бухгалтерского персонала и обработка данных осу­ществляется непосредственно бухгалтерами, обработка данных ведет­ся экономическим субъектом самостоятельно или по договору третьей стороной;

• форму бухгалтерского учета;

• разделы и участки учета, функционирующие в среде КОД;

• система КОД размещена на одном или на нескольких компью­терах;

• обработка учетных данных ведется локально на каждом ком­пьютере или применяется сетевой вариант;

• обеспечение архивирования и хранения данных;

• данные передаются с использованием каналов связи, через внешние носители (например, дискеты) или вводятся с клавиатуры.

Аудитор должен изучить и оформить рабочим документом исполь­зуемое проверяемым экономическим субъектом:

• обеспечение КОД техническими средствами;

• программное обеспечение КОД (составляется краткая харак­теристика, в частности, кем разработано, когда внедрено программное обеспечение КОД, частота и метод его обновления в соответствии с изменениями действующего законодательства);

• технологическое обеспечение (рекомендуется оформлять в виде схемы, состоящей из отдельных блоков технологического процесса обработки данных);

• другие виды обеспечения КОД (следует дать краткое описание иных видов обеспечения).

В рабочем документе по бухгалтерскому программному обеспече­нию должно быть указано наличие лицензий на каждый из его элементов.

Аудитор должен оценить и оформить рабочим документом воз­можности компьютерной системы в части:

• гибкого реагирования на изменения хозяйственного, налого­вого или иного законодательства с точки зрения настройки программно­го обеспечения;

• формирования бухгалтерской и внутренней управленческой отчетности;

• осуществления аналитических процедур;

• расширения функций компьютерной системы.

Аудитор должен оценить квалификацию бухгалтерского персо­нала в области КОД, в частности, имеют ли специалисты соответству­ющее высшее либо среднее специальное образование, или прошли курс обучения в области ИТ, или изучили систему КОД самостоя­тельно.

При составлении общего плана аудиторской проверки в соот­ветствии с ПСАД «Планирование аудита» каждый этап планирова­ния должен быть уточнен с учетом влияния на процесс аудита приме­няемых экономическим субъектом ИТ и системы КОД. Уровень автоматизации обработки учетной информации должен быть принят во внимание при определении объема и характера аудиторских про­цедур.

В документах по планированию аудита должны быть отражены следующие вопросы:

• характер выполнения аудиторских процедур с использовани­ем КОД (вывод подготовленных в среде КОД документов на печать, работа в среде КОД экономического субъекта);

• привлечение независимого эксперта с целью изучения компь­ютерной системы экономического субъекта, описание вынесенных для оценки экспертом вопросов.

Дата начала аудиторской проверки должна соответствовать дате представления аудитору данных в виде, согласованном с экономиче­ским субъектом в договоре на проведение аудита.

Организация данных бухгалтерского учета у клиента в среде КОД оказывает влияние на профессиональный риск аудитора. Риск аудито­ра повышается, если:

• компьютеризованная среда децентрализована;

• существует географическая разбросанность компьютерных установок;

• уровень знаний бухгалтерского персонала в области ИТ недо­статочен;

• внутренний контроль за функционированием среды КОД отсутствует;

• не приняты необходимые меры по ограничению несанкцио­нированного доступа в систему КОД.

Риск аудитора снижается, если:

• системы автоматизации являются лицензированными;

• имеется возможность углубить некоторые виды контроля бла­годаря программному обеспечению, специально разработанному для аудиторов;

• существует специальный контроль программного обеспечения;

• информационную политику экономического субъекта квали­фицированно определяет его руководство;

• все дочерние общества, филиалы и другие обособленные под­разделения работают в единой среде КОД, применяют единое совре­менное программное обеспечение;

• информационная политика экономического субъекта согласо­вана с основными пользователями системы КОД;

• имеется долгосрочный план развития системы КОД экономи­ческого субъекта.

Аудитор должен оценить надежность системы внутреннего конт­роля проверяемого экономического субъекта в соответствии с ПСАД «Изучение и оценка систем бухгалтерского учета и внутреннего конт­роля в ходе аудита» и влияние на эту надежность действующей систе­мы КОД:

• контроль подготовки данных как на уровне пользователя, так и на уровне компьютерной службы;

• контроль предотвращения ошибок и фальсификаций во вре­мя работы;

• контроль работы с данными (доступ, правильность, полнота), особенно с данными постоянного (нормативно-справочного) характера;

• возможность изменения программного обеспечения, особен­но в части методов регистрации первичной информации;

• степень координации и взаимодействия между службой инфор­матизации и пользователями системы КОД.

При оценке среды КОД аудитор должен охарактеризовать:

• соответствие применяемой формы учета используемой систе­ме обработки данных;

• соответствие алгоритмов обработки бухгалтерских данных действующему законодательству и возможность изменения этих алго­ритмов в случае изменения порядка ведения бухгалтерского учета, хозяйственного, налогового и иного законодательства;

• способ организации, хранения и обновления данных;

• обеспечение контроля ввода данных;

• возможность настройки внешней отчетности на изменение ее форм;

• возможность вывода на печать данных о хозяйственных опе­рациях.

Аудитор обязан проверять соответствие применяемых алгорит­мов требованиям нормативной документации по ведению бухгалтер­ского учета и составлению бухгалтерской отчетности по основным авто­матизированным расчетам экономического субъекта.

Аудитору необходимо убедиться в том, что информационная база внутри компьютера обеспечивает сохранность информации, ее архи­вирование, простоту доступа, кодирование и декодирование информа­ции, ограничение несанкционированного доступа к ней. Актуальность данных (т.е. их соответствие изменившимся условиям хозяйственной жизни) обеспечивается регламентированием источников и потребите­лей информации, периодичностью и условиями ее обновления.

Собирая аудиторские доказательства об организации обработки учетных данных в среде КОД, аудиторские организации обязаны сле­довать требованиям, установленным ПСАД № 5 «Аудиторские доказа­тельства».

Источниками получения аудиторских доказательств при прове­дении аудиторских процедур являются данные, подготовленные в системе КОД экономического субъекта в виде таблиц, ведомостей, регистров бухгалтерского учета экономического субъекта. Аудитор име­ет возможность применять их, их копии, в том числе фотокопии, в каче­стве рабочей документации аудита, сопровождая обработку этих документов ссылками, пометками, специальными символами. В случае работы аудитора непосредственно в системе КОД экономического субъекта (без вывода данных на печать) рабочие документы, подтвержда­ющие факт сбора аудиторских доказательств, аудитор составляет само­стоятельно.

Рабочие документы, формируемые в процессе аудита в услови­ях КОД и существенно отличающиеся от обычных рабочих докумен­тов, могут храниться в аудиторской организации обособленно в архиве аудиторских файлов на машинных носителях.

Аудиторская организация должна обеспечить сохранность ауди­торских файлов на машинных носителях, их оформление и сдачу в архив. Систему идентификации рабочих документов в аудиторском файле на машинном носителе устанавливает аудиторская организация. Целесообразно хранить аудиторские файлы по каждому экономиче­скому субъекту аудиторской организации на отдельном машинном носителе.

В условиях использования экономическим субъектом системы КОД повышается эффективность и надежность такой аудиторской про­цедуры, как проверка его арифметических расчетов.

Аудитору необходимо убедиться в том, что:

• регистры учета, формируемые системой КОД, соответствуют данным первичного учета (наличие системы КОД не освобождает эко­номического субъекта от обязанности документировать в установлен­ном порядке факты хозяйственной жизни);

• отсутствуют несанкционированные изменения программного обеспечения (изменения, вносимые в программное обеспечение эко­номическим субъектом в связи с изменением хозяйственного или нало­гового законодательства, должны быть документированы и, как прави­ло, согласованы, одобрены и проверены разработчиком программного обеспечения).

В условиях КОД аудит можно проводить с использованием машин­но-ориентированных и (или) ручных процедур.

Машинно-ориентированные процедуры должны включать в себя:

• программные средства, применяемые аудитором для провер­ки содержания компьютерных файлов экономического субъекта;

• контрольные примеры, используемые аудитором для тестиро­вания алгоритмов КОД.

При применении машинно-ориентированных процедур руково­дитель аудиторской проверки (или лицо, которому он это поручил) должен обеспечить контроль за работой, выполняемой персоналом, имеющим специальные знания и навыки в условиях работы КОД, и дру­гим персоналом, занятым в аудите.

Проведение аудитором машинно-ориентированных процедур в отношении копий компьютерных файлов допускается при условии,

что аудитор имеет достаточную уверенность в том, что они действи­тельно полностью соответствуют оригиналам файлов экономического субъекта.

Аудитор может проводить машинно-ориентированные процеду­ры в отношении компьютерных файлов, полученных от третьего лица, осуществляющего по договору КОД экономического субъекта.

Руководством для аудиторов по использованию компьютерных методов аудита, особенно в части применения компьютерных программ и данных для тестирования, служит ПМАП 1009 «Методы аудита с помо­щью компьютеров». Использование компьютера в качестве инструмента аудита называют методом аудита с помощью компьютеров (МАПК). Целью данного Положения является предоставление рекомендаций по использованию МАПК. ПМАП 1009 применяется ко всем видам использования МАПК, включая компьютеры любых видов и размеров.

В разделе «Описание методов аудита с помощью компьютеров (МАПК)» говорится, что в данном Положении описываются методы проведения аудита с помощью компьютеров, в том числе компьютер­ных инструментов, получивших название МАПК, которые могут быть использованы при проведении различных процедур аудита, включая детальные тесты операций и сальдо, аналитические процедуры, тесты общих средств контроля, программы осуществления отбора совокуп­ности, обеспечивающие выбор данных для аудиторских тестов, тести­рование прикладных средств контроля, пересчет данных, ранее полу­ченных с помощью систем бухгалтерского учета субъекта.

МАПК — это компьютерные программы и данные, используемые аудитором в качестве процедур аудита, чтобы обрабатывать значимые для аудита данные, содержащиеся в информационных системах субъек­та. МАПК может состоять из пакетных программ, программ специаль­ного назначения, программ-утилит и программ управления системой. Вне зависимости от источника программ до их использования аудитор должен обосновывать их надлежащий характер и соответствие целям аудита.

Методика тестовых данных иногда используется при проведе­нии аудита путем ввода данных в компьютерную систему субъекта и сравнения полученных результатов с заранее определенными резуль­татами, например:

• тестируются такие конкретные средства контроля в компью­терных программах, как пароль в режиме онлайн и средства контроля за доступом к данным;

• тестируются операции, отобранные из ранее обработанных хозяйственных операций или созданные аудитором для тестирования отдельных характеристик процесса обработки, осуществляемой ком­пьютерной системой субъекта;

• тестируются операции в интегрированных устройствах тести­рования с созданием элемента «пустышки» (например, отдел или работ­ник), на котором отражаются контрольные операции в ходе обычного цикла обработки.

Если тестовые данные обрабатываются в рамках обычного про­цесса обработки, аудитор должен обеспечить, чтобы контрольные опе­рации были затем исключены из бухгалтерских записей субъекта.

Согласно разделу «Рассмотрение использования МАПК» ауди­тор должен при планировании аудита рассматривать соответствующую комбинацию ручных методик и методик аудита с помощью компьюте­ров. При принятии решения о том, использовать ли МАПК, рекомен­дуется учитывать следующие факторы: знания, навыки и опыт работы аудитора в области ИТ; возможность применения МАПК и наличие соответствующих компьютерных устройств; нецелесообразность при­менения ручных тестов; эффективность и результативность; фактор времени. В частности, аудитор должен владеть знаниями, достаточны­ми для планирования, получения и использования результатов вы­бранных МАПК. Уровень необходимых знаний зависит от сложности и характера МАПК и информационной системы субъекта.

Аудитор должен рассматривать возможность применения МАПК, наличие подходящих компьютерных устройств и необходимых инфор­мационных систем, основанных на применении компьютеров, и дан­ных. Аудитор может планировать использование других компьютер­ных устройств, если применение МАПК на компьютере субъекта является экономически нецелесообразным или невыполнимым, напри­мер, из-за несовместимости пакета программ аудитора и компьютера субъекта. Помощь специалистов субъекта может потребоваться для получения в удобное время возможности для обработки, а также для такой работы, как загрузка и запуск МАПК в системе субъекта, и для получения копий файлов с данными в форме, необходимой для аудитора.

Многие компьютерные информационные системы решают зада­чи, по результатам которых не остается визуальных доказательств, что делает невозможным выполнение аудитором тестов вручную. Отсут­ствие визуального доказательства может проявиться на различных ста­диях процесса учета:

• первичные документы могут создаваться в электронном виде;

• такие операции, как дисконтирование и расчет процентов, могут выполняться в компьютерной программе без специального одоб­рения руководством отдельных операций;

• система может не предоставлять интересующих аудитора визу­альных результатов операций, обработанных с помощью компьютера;

ш система может не подготавливать отчеты о полученных дан­ных, более того, распечатанный отчет может содержать только итого­вые суммы, тогда как подтверждающая подробная информация будет оставаться в компьютерных файлах.

Эффективность и результативность процедур аудита, проводи­мых для получения и оценки аудиторских доказательств, могут быть улучшены с использованием МАПК. Как правило, МАПК представля­ют собой эффективный способ тестирования большого количества опе­раций или средств контроля в случае большой генеральной совокуп­ности посредством анализа и отбора совокупности из большого числа операций, применения аналитических процедур и выполнения про­цедур проверки по существу. К соображениям эффективности, которые могут быть учтены аудитором, относятся: время планирования, разработ­ки, применения и оценки МАПК; часы работы, затраченные на техни­ческий анализ и консультации; составление и распечатка форм; доступ­ность компьютерных ресурсов.

Некоторые данные, например особенности хозяйственных опе­раций, часто сохраняются в компьютере только в течение короткого периода времени и могут оказаться недоступны в машиночитаемой форме, когда они требуются аудитору. В результате аудитор будет дол­жен предпринять определенные действия, чтобы необходимые ему фай­лы были сохранены, или ему будет нужно изменить сроки работы, для которой требуются эти данные. Когда время проведения аудита огра­ничено, аудитор может планировать использование МАПК, потому что это может в большей мере соответствовать графику аудита, чем другие процедуры.

В разделе «Использование МАПК» перечислены основные шаги, которые необходимо предпринять аудитору при использовании МАПК:

• установить цели применения МАПК;

• определить содержание файлов субъекта и порядок доступа

к ним;

• определить специфические файлы и базы данных, подлежа­щих тестированию;

• понять взаимоотношения между таблицами данных в тех слу­чаях, когда база данных подлежит проверке;

• определить специальные тесты или процедуры и соответству­ющие операции и сальдо, на которые было оказано влияние;

• договориться с пользователями или (в случае необходимости) специалистами подразделения ИТ о предоставлении копий соответ­ствующих файлов и таблиц базы данных, которые должны быть «оста­новлены» в определенный момент и на определенную дату;

• установить выходные требования;

• назначить сотрудников, которые могут принимать участие в разработке и применении МАПК;

• уточнить оценки затрат и выгод;

• убедиться, что использование МАПК надлежащим образом контролируется и документируется;

• организовать административную работу, включая необходи­мую квалификацию и компьютерные устройства;

• сверить данные, которые используются для МАПК, с бухгал­терскими записями;

• выполнить программное приложение МАПК;

• оценить результаты.

Специальные процедуры, необходимые для контроля за исполь­зованием МАПК, зависят от конкретного применяемого приложения. При определении средств контроля аудитор должен рассмотреть необходимость: утверждения технических характеристик и проведе­ния обзорной проверки работы, проводимой с использованием МАПК; проверки общих средств субъекта, которые могут способствовать целостности МАПК; обеспечения соответствующей интеграции полученных аудитором в рамках аудита результатов в общий процесс аудита.

Процедуры, проводимые аудитором в целях контроля за приме­нением аудиторских программ, могут включать в себя:

• участие в разработке и тестировании МАПК;

• проверку кодирования программ для обеспечения соответ­ствия подробным программным характеристикам;

• обращение аудитора к специалистам субъекта по компьютер­ным системам с просьбой ознакомиться с инструкцией по операцион­ной системе и удостовериться в том, что программное обеспечение может быть инсталлировано в компьютерной системе субъекта;

• апробирование аудиторского программного обеспечения на небольших тестовых файлах до его запуска для работы с файлами основных данных;

• обеспечение использования правильных файлов, например, посредством проверки с помощью внешнего доказательства, такого, как контрольные итоговые данные, которые ведутся пользователем;

• получение доказательства того, что аудиторское программное обеспечение действует как запланировано, например, путем анализа выходящей и контрольной информации;

• принятие соответствующих мер безопасности для защиты от манипуляций с файлами данных субъекта.

Рабочие документы должны содержать достаточную документа­цию для описания применения МАПК, в частности: планирование (цели МАПК; рассмотрение необходимости использования конкрет­ных МАПК; используемые средства контроля; специалисты, сроки и затраты); осуществление (подготовка МАПК и тестирование про­цедур и средств контроля: информация о тестах, проведенных с помо­щью МАПК; информация о вводных данных, обработке и результатах; соответствующая техническая информация о бухгалтерской системе субъекта, такая, как расположение компьютерных файлов); аудитор­ские доказательства (полученные результаты; описание проведенной аудиторской работы в отношении результатов; аудиторские выводы); прочее (рекомендации руководству субъекта).

В разделе «Использование МАПК в среде ИТ малого субъекта» описаны особенности ИТ среды малого субъекта, а именно то, что:

• уровень общих средств контроля может быть таким, что ауди­тору придется в меньшей степени полагаться на систему внутреннего контроля (это приведет к более значительной роли детальных тестов операций и сальдо, а также аналитических процедур обзорной провер­ки; применению аудиторских процедур в целях обеспечения правиль­ного функционирования МАПК и обоснованности данных субъекта);

• в случаях, когда обрабатываются небольшие объемы данных, использование некомпьютеризованных методов может оказаться более экономичным;

• аудитор может не получить достаточной технической помощи от субъекта, что делает использование МАПК невозможным;

• определенные пакетные программы могут не работать на не­больших компьютерах, что ограничивает выбор аудитора в отношении МАПК. Однако файлы с данными субъекта можно скопировать и обра­ботать на подходящем компьютере.

Российским аналогом ПМАП 1009 является ПСАД «Проведе­ние аудита с помощью компьютеров», цель которого состоит в опреде­лении особенностей проведения аудита с применением компьютеров.

В этом стандарте нашли отражение общие требования по приме­нению компьютеров при проведении аудита. При проведении аудита с использованием компьютеров сохраняются цель и основные элементы методологии аудита. Использование аудитором компьютера возможно как в случае ведения бухгалтерского учета экономическим субъектом вручную, так и при использовании средств автоматизации бухгалтер­ского учета. В первом случае аудитор должен решить проблему нали­чия необходимого программного обеспечения для анализа базы дан­ных бухгалтерских записей по всем учитываемым хозяйственным опе­рациям или по итоговым записям бухгалтерских регистров. Если у эко­номического субъекта весь бухгалтерский учет или отдельные его участки автоматизированы, наличие в распоряжении аудитора базы учетных данных экономического субъекта (отдельных ее компьютер­ных файлов) позволяет применять для ее анализа эффективные мето­ды современных ИТ.

Аудиторской организации целесообразно вести постоянную работу по освоению новых ИТ автоматизации аудиторской деятель­ности.

Информационное обеспечение аудита с применением компью­теров обычно имеет два источника:

• данные бухгалтерского учета экономического субъекта на бу­мажных носителях или в виде базы данных бухгалтерии;

• нормативно-справочную базу и систему форм рабочей доку­ментации аудитора.

Возможность использования базы данных экономического субъекта или отдельных ее массивов должна быть обеспечена путем:

• отражения в договоре о проведении аудита согласия экономи­ческого субъекта на использование базы данных или ее фрагментов, а при необходимости также состава, формы и срока предоставления аудитору для анализа базы данных или ее фрагментов;

• включения при необходимости в систему аудита с примене­нием компьютеров блока, обеспечивающего конвертацию (преобразо­вание) базы данных экономического субъекта в данные, обработка кото­рых возможна средствами программного обеспечения, используемого аудитором.

Аудитор может использовать для анализа не саму базу данных (или фрагменты рабочей базы данных), а ее копию, предварительно убедившись в соответствии копии оригиналу или сделав копию базы данных самостоятельно. Нормативно-справочные данные системы, используемой аудитором для проведения аудита, должны соответство­вать проверяемому периоду. Аудитор должен обеспечить конфиденци­альность как полученной информации, так и информации, сформи­рованной в ходе аудиторских процедур, а также ее защиту от несанк­ционированного доступа.

Программные средства системы, используемой аудитором при проведении аудита, должны обеспечивать:

• анализ содержания формируемой в бухгалтерии экономиче­ского субъекта базы данных, если таковая существует и доступна;

• контроль показателей, содержащихся в регистрах бухгалтер­ского учета экономического субъекта;

• тестирование алгоритмов, применяемых в автоматизирован­ной системе бухгалтерского учета;

• контроль соответствия показателей, содержащихся в формах бухгалтерской отчетности, данным бухгалтерских регистров или базы данных, формируемой в бухгалтерии при обработке первичных до­кументов;

• использование возможностей поисково-справочных информа­ционных систем в области нормативных и законодательных актов, рег­ламентирующих бухгалтерский учет и аудит в Российской Федерации;

• формирование аудиторской документации (рабочей и ито­говой).

Основные задачи эксперта (специалиста) заключаются в оказа­нии помощи аудитору при проведении проверки с использованием ком­пьютера в части:

• конвертирования данных экономического субъекта в форму, доступную для обработки в компьютерной и программной системе, используемой аудитором;

• выполнения нестандартных процедур анализа;

• тестирования системы, применяемой аудитором;

• формирования на компьютере необходимых аудитору рабочих аудиторских документов.

Аудитор должен иметь достаточное представление о компьютер­ной системе ведения учета и подготовки отчетности экономического субъекта в целом, с тем чтобы планировать, регулировать и контроли­ровать работу эксперта (специалиста), сохраняя при этом главенству­ющее положение. При использовании работы эксперта аудитор дол­жен следовать требованиям, установленным ПСАД «Использование работы эксперта».

Особенности планирования аудита с применением компьютеров заключаются в необходимости учесть:

• наличие в аудиторской организации необходимого обеспече­ния (информационного, программного, технического) как для прове­дения аудита, так и для оказания сопутствующих аудиту услуг с при­менением компьютеров;

• дату начала аудиторской проверки, которая должна соответ­ствовать дате предоставления аудитору данных в виде, согласованном с экономическим субъектом;

• факт привлечения к работе экспертов в области ИТ;

• знания, опыт и квалификацию аудитора в области ИТ;

• целесообразность использования тестов, проводимых без ком­пьютеров;

• эффективность применения компьютера при проведении аудита.

Для планирования аудита с использованием компьютеров важ­но оценить систему КОД экономического субъекта, изучив следующие моменты:

• особенности информационного, программного и техническо­го обеспечения экономического субъекта;

• особенности организационной формы обработки данных у эко­номического субъекта;

• разделы и участки учета, функционирующие в среде КОД;

• способ передачи данных (с использованием каналов связи, через внешние носители (например, дискеты), ввод данных с клавиатуры);

• особенности обеспечения архивирования и хранения данных;

• особенности размещения (являются рабочие места локальны­ми или объединены в сеть).

В стандарте указано также на необходимость соблюдения ауди­тором требований ПСАД № 5 «Аудиторские доказательства», ПСАД «Аналитические процедуры» и ПСАД № 2«Документирование ауди­та» и на целесообразность иметь в аудиторской организации внутри­фирменные стандарты, регламентирующие применение компьютеров при проведении аудита на этапах планирования; проведения аудита, включая сбор и отражение аудиторских доказательств; подготовки отче­та аудитора.

Эффективность аудиторских процедур может быть повышена благодаря использованию компьютеров в ходе аудита при получении и оценке некоторых аудиторских доказательств в тех случаях, когда:

• проверяются большие однородные массивы данных по участ­кам и операциям бухгалтерского учета;

ш проверяемый экономический субъект использует унифициро­ванную стандартную систему оформления бухгалтерских операций;

• имеется и используется информационно-поисковая система для расшифровки и подтверждения наличия соответствующих первич­ных документов, регистров бухгалтерского учета;

• имеется и используется автоматизированная система контро­ля исполнения утвержденного регламента решения соответствующих учетных задач.

Применение компьютеров позволяет аудитору провести следу­ющие процедуры:

• тестирование операций и остатков по счетам в компьютерной базе данных;

• аналитические процедуры для выявления отклонений от обыч­но принятых параметров в компьютерной базе данных;

• тестирование базы данных проверяемого экономического субъекта;

• тестирование информационного, математического, программ­ного и технического обеспечения проверяемого экономического субъекта.

Процедуры, выполняемые аудитором при использовании ком­пьютеров для контроля, могут включать в себя:

• контроль последовательности проверяемых данных, которые проходят несколько этапов обработки;

• контроль предварительных данных;

• прогнозирование и планирование результатов проверки дан­ных и сопоставление их с контрольными данными для отдельных опе­раций и в целом по видам деятельности;

• подтверждение работоспособности и соответствия современ­ным требованиям программного и аппаратного обеспечения работы аудитора при проведении аудита с применением компьютера;

• подтверждение соответствия компьютерного обеспечения про­веряемого экономического субъекта действующему законодательству;

• подтверждение использования компьютеров у проверяемого экономического субъекта в период проведения аудита.

При выполнении машинно-ориентированных процедур руково­дитель аудиторской проверки (или лицо, которому он это поручил) должен обеспечить контроль за работой персонала, имеющего специ­альные знания и навыки работы в условиях КОД, и другим персона­лом, занятым в аудите.

Проведение аудитором машинно-ориентированных процедур в отношении копий компьютерных файлов допускается при условии, что аудитор имеет достаточную уверенность в том, что эти копии дей­ствительно полностью соответствуют оригиналам файлов экономи­ческого субъекта. Аудитор может проводить машинно-ориентирован­ные процедуры в отношении компьютерных файлов, полученных от третьего лица, осуществляющего по договору КОД экономического субъекта.

При использовании в ходе аудита компьютеров повышается эффективность проведения таких аудиторских процедур, как провер­ка арифметических расчетов и составление альтернативного баланса.

Общие принципы использования компьютеров в аудиторской проверке применимы для субъектов малого предпринимательства. Аудитору необходимо принимать во внимание следующие особенно­сти таких экономических субъектов:

• субъекты малого предпринимательства в отдельных случаях не применяют лицензированного программного обеспечения, исполь­зуя программные продукты сомнительного качества, вследствие чего аудитор может оценить риск средств внутреннего контроля как высо­кий, что повлечет за собой дополнительные процедуры оценки каче­ства программного обеспечения;

• у субъекта малого предпринимательства могут отсутствовать достаточные технические средства, например объем памяти компью­тера для размещения программного обеспечения аудитора.

Доверие аудитора к эффективности системы внутреннего конт­роля в субъектах малого предпринимательства должно быть ниже, чем для средних и крупных экономических субъектов, по этой причине мнение аудитора о достоверности бухгалтерской отчетности должно в большей мере определяться аудиторскими процедурами по существу. Вся база данных субъекта малого предпринимательства должна быть исследована с помощью контрольного программного обеспечения.

10.5.