<<
>>

Составные элементы аудиторского риска

При установлении уровня неотъемлемого риска не принимает­ся во внимание внутренний контроль, поскольку он входит в мо­дель аудиторского риска как самостоятельный элемент, называ­емый риском контроля.

Величина неотъемлемого риска может быть выражена соотно­шением:

0определяющей уровень риска. При этом, используя модель ауди­торского риска, необходимо учитывать достаточно низкий уровень риска необнаружения (подразумевая высокий уровень неотъемле­мого риска).

Риск необнаружения исчисляется по трем остальным рискам, входящим в модель аудиторского риска, а его величина может быть выражена соотношением:

0от стан­дартов МСА: во-первых, они ориентированы на более прогрессив­ные подходы компьютеризации, поскольку созданы значительно позже международных стандартов; во-вторых, они учитывают спе­цифику российского бухгалтерского учета и аудита, правового обеспечения и налогообложения; в-третьих, стандарты имеют не­обходимые ссылки на ранее созданные российские правила (стан­дарты), что указывает на преемственность основных принципов и методов аудита, а также на то, что эти стандарты ориентированы на более эффективное достижение цели аудита и описание особен­ностей реализации его основных принципов и методов в современ­ных условиях. Так, все российские правила (стандарты) по ком­пьютеризации взаимосвязаны с федеральными стандартами «Пла­нирование аудита*, «Аудиторские доказательства*; первые два стандарта — со стандартами «Использование работы эксперта*,

Международные стандарты аудита и положе­ния по международной аудиторской практике Российские стандарты аудита
Код Наименование Гэд издания Наименование
401 Аудит в среде компьютерных информационных систем 1998 Аудит в условиях компью­терной обработки данных
1001 Среда ИТ — автономные персо­нальные компьютеры -
1002 Среда ИТ — онлайновые ком­пьютерные системы -
1003 Среда ИТ — системы баз дан­ных -
1008 Оценка рисков и система внут­реннего контроля — характерис­тики КИС (компьютерно-инфор­мационной системы) и связан­ные с ними риски 2000 Оценки рисков и внутрен­ний контроль.
Характерис­тике и умет среды ком­пьютерной и информаци­онной систем
1009 Методы аудита с помощью ком­пьютеров 2000 Проведение аудита с помощью компьютеров

а третий стандарт дополняет стандарты «Существенность в аудите» и «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита».

В российском правиле (стандарте) аудиторской деятельности «Аудит в условиях компьютерной обработки данных* определены общие требования к проведению аудита в условиях компьютерной обработки данных (КОД); компетентность аудитора в вЪпросах КОД и использование работы эксперта; действия аудитора в среде КОД; аудиторские доказательства и документирование в условиях КОД; процедуры аудита в условиях КОД.

Согласно правилу (стандарту) аудиторской деятельности «Про­ведение аудита с помощью компьютеров» компьютерная обработ­ка данных экономического субъекта имеет место в случаях, когда с помощью компьютерной техники осуществляется обработка зна­чительных объемов учетной информации независимо от следу­ющих факторов:

а) компьютер используется экономическим субъектом самосто­ятельно или по договору с третьей стороной;

б) компьютер используется экономическим субъектом для об­работки экономической информации во всех аспектах хозяйствен­ной деятельности и ее учета или только для автоматизации обра­

ботки информации по отдельным видам фактов хозяйственной жизни, отдельным участкам учета.

В том случае, если у экономического субъекта весь бухгалтер­ский учет или отдельные его участки автоматизированы, наличие в распоряжении аудитора базы учетных данных экономического субъекта (отдельных ее компьютерных файлов) позволяет приме­нить для ее анализа эффективные методы современных информа­ционных технологий.

Применение компьютерных технологий обработки и ведения хозяйственных операций заметно влияет на организацию систем бухгалтерского учета и внутреннего контроля аудируемого субъек­та.

В этих условиях для оформления хозяйственных операций на­ряду с традиционными первичными документами используются и учетные документы, формируемые на компьютере и передаваемые на машиночитаемом носителе или по сети.

Использование технических средств приводит, в частности, к изменению отдельных элементов организации бухгалтерского учета и внутреннего контроля:

а) для проверки хозяйственных операций наряду с традицион­ными первичными учетными документами используются и пер­вичные учетные документы на машиночитаемом носителе;

б) постоянные нормативно-справочные показатели могут быть проверены по данным, хранящимся в памяти компьютера или на машиночитаемых носителях информации;

в) вместо традиционных ручных форм счетоводства может при­меняться форма учета, ориентированная на прогрессивные методы формирования выходной информации и обеспечения ее достовер­ности, совмещение синтетического учета с аналитическим и хро­нологическим, а также повышение оперативности и удобства ис­пользования учетной и отчетной информации.

В ходе проведения проверок аудиторские организации не долж­ны устанавливать достоверность отчетности с абсолютной точ­ностью, но должны установить ее достоверность во всех существен­ных отношениях. Как правило, часто бывает необходимо определить только порядок числового значения анализируемых показателей.

Применение принципа существенности и выборочного метода установлено правилами (стандартами) аудиторской деятельности «Аудиторское заключение о финансовой (бухгалтерской) отчетно­сти*, и «Порядок составления аудиторского заключения о досто­верности бухгалтерской отчетности кредитной организации, под­готовленной по итогам деятельности за год*.

При использовании выборочной проверки существенно (по срав­нению со сплошной проверкой) снижается трудоемкость работ и численность аудиторских бригад, но при этом естественным резуль­татом будет необнаружение какой-то части возможных отклонений и ошибок, приводящих к необнаружению искажений показателей отчетности.

Вследствие этого возникает аудиторский риск.

Составляя общий план и программу аудита, аудиторской орга­низации следует учитывать степень автоматизации обработки учет­ной информации, что также позволит аудиторской организации точнее определить объем и характер аудиторских процедур. Пла­нируя аудиторский риск, аудиторская организация определяет внутрихозяйственный риск бухгалтерской отчетности и риск конт­роля, которые присущи этой отчетности независимо от аудита эко­номического субъекта. С помощью установленных рисков и уров­ня существенности аудиторская организация выявляет значимые для аудита области и планирует необходимые аудиторские проце­дуры.

Деятельность аудиторов в организациях, использующих ком­пьютерный учет, регулируется правилом (стандартом) аудиторской деятельности № 8 «Оценка аудиторских рисков и внутренний конт­роль, осуществляемый аудируемым лицом».

Использование системы КОД изменяет процедуры записи учет­ных данных и расширяет круг лиц, которые получают доступ к бухгалтерским записям. Это может привести к появлению следу­ющих рисков:

а) отсутствие первичных документов;

б) отсутствие возможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности;

в) отсутствие регистров учета;

г) доступ к базе данных и программам системы КОД несанкцио­нированных пользователей.

Риск аудитора повышается в том случае, если:

а) компьютеризированная среда децентрализована;

б) существует географическая разбросанность компьютерных установок;

в) уровень знаний бухгалтерского персонала в области инфор­мационных технологий недостаточен;

г) внутренний контроль за функционированием среды КОД от­сутствует;

д) отсутствуют необходимые меры по ограничению несанкци­онированного доступа в систему КОД.

Риск аудитора снижается в случае, если:

а) системы автоматизации являются лицензированными;

б) существует возможность углубить некоторые виды контроля благодаря программному обеспечению, специально разработанно­му для аудиторов;

в) существует специальный контроль программного обеспече­ния;

г) информационная политика экономического субъекта квали­фицированно определяется его руководством;

д) все подразделения, филиалы и другие обособленные подраз­деления, дочерние общества работают в единой среде КОД, при­меняют единое современное программное обеспечение;

е) информационная политика экономического субъекта согла­сована с основными пользователями системы КОД;

ж) имеется долгосрочный план развития системы КОД эконо­мического субъекта.

Внутренний контроль в условиях КОД должен сочетать как об­щие методы контроля, так и специальные средства контроля.

К общим относится организационный и управленческий контроль (создание инструкций, внутрифирменных стандартов); контроль за поддержанием и развитием системы КОД (проверка документаль­ного подтверждения всех вносимых в систему изменений); опера­ционный контроль (проверка того, что выполняются только авто­ризованные операции, доступ к системе имеют только утвержден­ные лица, ошибки выявляются и исправляются); контроль за программным обеспечением (анализируется система визирования, тестирования, документирования новых подсистем, система ис­ключения несанкционированного доступа); контроль за вводом и обработкой данных (проверка того, что существует система предва­рительного визирования операций до их ввода, определен круг лиц, выполняющих ввод информации); контроль за копированием, хранением, архивированием и т.д. Другими словами, общие методы контроля ориентированы на общие вопросы организации и функ­ционирование КОД.

Специальный контроль за тем, что в системе бухгалтерского учета экономического субъекта операции должным образом отра­жаются в компьютерной среде своевременно и без ошибок. К та­кому контролю относятся: контроль за вводом информации (провер­ка визирования вводимой информации, отсутствия повторов и ошибок, возможности автоматического исправления ошибок); контролЬ&р обработкой и хранением информации (проверка полно­ты и соответствия записей содержанию операций, а также того, что результаты обработки данных не содержат ошибок); контроль за выводом информации (проверка того, что результаты предоставля­ются авторизованным пользователям должным образом в установ­ленные сроки).

В стандарте обращено внимание на то, что аудиторская органи­зация тестирует систему внутреннего контроля за КОД экономи­ческого субъекта, если такая необходимость возникает. При этом используют положения правила (стандарта) «Аудит в условиях компьютерной обработки данных».

Процедуры проверки могут включать различные подходы, зави­сящие от объема системы КОД экономического субъекта, ее каче­ства, охвата системы внутреннего контроля и других факторов.

Особое внимание обращается на проверку и тестирование про­цедур ввода и вывода информации, ее хранения, организации прог­раммного и информационного обеспечения.

Аудитор должен иметь общее представление о системе КОД, чтобы, учитывая ее специфику, планировать проведение аудита и регламентировать работу эксперта. Эксперт отвечает за оценку сис­темы КОД, аудитор имеет главенствующее положение и несет от­ветственность за аудиторское заключение о достоверности отчет­ности, формируемой в среде КОД. Основной задачей эксперта является оказание помощи аудитору при проведении проверки. При этом он может выполнять следующие виды работ: оценка на­дежности КОД; проверка лицензионной чистоты программных средств; проверка алгоритмов расчетов; формирование в среде КОД необходимых бухгалтеру регистров.

Международный стандарт обращает внимание аудиторов на то, что при планировании необходимо оценить уровень сложности автоматизированного учета на аудируемом субъекте. Система КОД считается достаточно сложной, если:

• компьютер выполняет сложные вычисления в отношении финансовой информации и автоматически формирует про­водки;

• компьютер в автоматическом режиме выполняет операции, существенные для бизнеса организации;

• объем операций настолько значителен, что трудно отсле­дить возможные ошибки при обработке данных;

• применяются автоматизированные процедуры обмена дан­ными при операциях с другими предприятиями и органи­зациями;

• на предприятии внедрена компьютерная система с иерар­хической структурой;

• предприятие использует сложные компьютерные управ­ленческие программы, которые напрямую поставляют ин­формацию учетной системе.

В зависимости от уровня сложности применяемой аудируемой организацией системы КОД аудиторы предварительно намечают ключевые параметры проверки, прежде всего масштаб и график работ. На этом этапе в интересах как аудиторов, так и руководите­лей организации решить вопрос о доступности всей необходимой компьютерной информации для аудиторской проверки. Для про­ведения проверки и выполнения автоматизированных процедур стоит предоставить аудиторам копии рабочих файлов (базы дан­ных) аудируемой организации, чтобы полностью исключить риск случайного повреждения оригиналов.

В процессе изучения деятельности клиента аудитор должен изу­чить обеспечивающие компоненты КОД: программные, техниче­ские и другие виды обеспечения компьютерной техники, системы обработки экономической информации, а также оценить гибкость настройки КОД: при изменениях хозяйственного и налогового за­конодательства, внешней отчетности; расширении функций КОД.

Техническое обеспечение представляет собой комплекс техниче­ских средств (сбор, регистрация, передача, обработка, отображе­ние, размножение информации, оргтехника и др.), осуществля­ющих работу по автоматизации проектирования. Центральное место среди всех технических средств занимает ЭВМ. Структурны­ми элементами технического обеспечения наряду с техническими средствами являются также методические и руководящие мате­риалы, техническая документация и обслуживающий эти техниче­ские средства персонал.

Технологическое обеспечение. Состоит из подсистем, автомати­зирующих информационное обслуживание пользователей, реше­ние задач с применением ЭВМ и других технических средств управления в установленных режимах работы.

Технологическое обеспечение, как правило, по составу одно­родно для различных систем, что позволяет реализовать принцип совместимости систем в процессе их функционирования.

Информационное обеспечение. Представляет собой совокупность проектных решений по объемам, размещению, формам организа­ции информации, циркулирующей в системе. Оно включает в себя совокупность показателей, справочных данных, классификаторов и кодификаторов информации; унифицированные системы доку­ментации, специально организованные для автоматического об­служивания, массивы информации на соответствующих носителях, а также персонал, обеспечивающий надежность хранения, свое­временность и качество технологии обработки информации.

Лингвистическое обеспечение объединяет совокупность языковых средств для формализации естественного языка, построения и со­четания информационных единиц в ходе общения персонала со средствами вычислительной техники. С помощью лингвистичес­кого обеспечения осуществляется общение человека с машиной. Оно включает: информационные языки для описания структурных единиц системной информационной базы (ИБ) (документов, по­казателей, реквизитов и т.п.); языки управления и манипулирова­ния данными ИБ; языковые средства информационно-поисковых систем; языковые средства автоматизации технологий проектиро­вания; диалоговые языки специального назначения и другие языки; систему терминов и определений, используемых в процессе разра­ботки и функционирования автоматизированных систем управле­ния.

Математическое обеспечение — это совокупность математиче­ских методов, моделей и алгоритмов обработки информации, ис­пользуемых при решении функциональных задач и в процессе автоматизации проектирования. Математическое обеспечение включает средства моделирования процессов управления, методы и средства решения типовых задач управления, методы оптимиза­ции исследуемых управленческих процессов и принятия решений (многокритериальная оптимизация, математическое программи­рование, математическая статистика, теория массового обслужи­вания и т.д.). Техническая документация по этому виду обеспече­ния содержит описание задач, задания по алгоритмизации, эконо­мико-математические модели задач, текстовые и контрольные примеры их решения. Персонал составляют специалисты по орга­низации управления объектом, постановщики задач управления, специалисты по вычислительным методам, проектировщики.

Организационное обеспечение представляет собой комплекс до­кументов, регламентирующих деятельность персонала в условиях функционирования информационных систем (ИС). В процессе решения задач управления данный вид обеспечения определяет взаимодействие работников управленческих служб и персонала с техническими средствами и между собой. Организационное обе­

спечение реализуется в различных методических и руководящих материалах по стадиям разработки, внедрения и эксплуатации ИС и ИТ, в частности при проведении предпроектного обследования, формировании технического задания на проектирование и техни­ко-экономического обоснования, разработке проектных решений в процессе проектирования, выборе автоматизируемых задач, ти­повых проектных решений и пакетов прикладных программ (ППП), внедрении системы в эксплуатацию.

Правовое обеспечение представляет собой совокупность правовых норм, регламентирующих правоотношения при создании и внедре­нии автоматизированных ИС и ИТ. Правовое обеспечение иа этапе разработки включает нормативные акты, связанные с договорными отношениями разработчика и заказчика в процессе создания ИС, правовым регулированием различных отклонений в ходе этого про­цесса, а также обусловленные необходимостью обеспечения про­цесса разработки данных систем различными видами ресурсов. Пра­вовое обеспечение на этапе функционирования включает определе­ние их статуса в конкретных отраслях государственного управления, правовое положение о компетенции звеньев систем и организации их деятельности, права, обязанности и ответственность персонала, порядок создания и использования информации в ИС, процедуры ее регистрации, сбора, хранения, передачи и обработки, порядок приобретения и использования электронно-вычислительной техни­ки и других технических средств, порядок создания и использования математического и программного обеспечения.

и

Эргономическое обеспечение как совокупность методов и средств, используемых на разных этапах разработки и функционирования ИС, предназначено для создания оптимальных условий высокоэф­фективной и безошибочной деятельности человека, для быстрей­шего освоения ИС. В состав эргономического обеспечения входят: комплекс различной документации, содержащей эргономические требования к рабочим местам, информационным моделям, усло­виям деятельности персонала, а также набор наиболее целесообраз­ных способов реализации этих требований и осуществления эрго­номической экспертизы уровня их реализации; комплекс методов, учебно-методической документации и технических средств, обес­печивающих обоснование формулирования требований к уровню подготовки персонала, а также формирование системы отбора и подготовки персонала для работы с системой; комплекс методов и методик, обеспечивающих высокую эффективность деятельности человека при использовании ИС и ИТ.

Программное обеспечение включает совокупность программ, реа­лизующих функции и задачи ИС и обеспечивающих устойчивую работу комплексов технических средств. В состав программного обеспечения входят общесистемные и специальные программы, а также инструктивно-методические материалы по применению средств программного обеспечения и персонал, занимающийся его разработкой и сопровождением на весь период жизненного цикла системы.

Аудитор должен убедиться в том, что внутри маши иная инфор­мационная база обеспечивает сохранность информации, ее архи­вирование, простоту доступа, кодирование, декодирование, огра­ничение несанкционированного доступа к ней. Убедиться в том, что актуальность данных обеспечивается регламентированием ис­точников и потребителей информации, периодичностью и усло­виями ее обновления и использования.

При проведении аудита налогообложения, оказании сопутству­ющих услуг по налоговым вопросам и оформлении их результатов аудиторская организация должна руководствоваться положениями правил (стандартов) аудиторской деятельности.

Аудитор должен оценить надежность системы внутреннего конт­роля проверяемого экономического субъекта в соответствии с пра­вилом (стандартом) аудиторской деятельности «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита* и влияние на эту надежность функционирующей системы КОД:

а) контроль подготовки данных на уровне как пользователя, так и компьютерной службы;

б) контроль предотвращения ошибок и фальсификаций^ вре­мя работы;

в) контроль работы с данными (доступ, правильность, полнота), особенно с данными постоянного (нормативно-справочного) ха­рактера;

г) возможность изменения программного обеспечения, особен­но в части методов регистрации первичной информации;

д) степень координации и взаимодействия между службой ин­форматизации и пользователями системы КОД.

Собирая аудиторские доказательства об организации обработки учетных данных в среде КОД, аудиторские организации обязаны следовать требованиям, установленным правилом (стандартом) «Аудиторские доказательства*. Источниками получения аудитор­ских доказательств при проведении аудиторских процедур являют­ся данные, подготовленные в системе КОД экономического субъ- екга в виде таблиц, ведомостей, регистров бухгалтерского учета экономического субъекта. Аудитор имеет возможность применять их, а также их копии, в том числе фотокопии, в качестве рабочей документации аудита, сопровождая обработку этих документов ссылками, пометками, специальными символами. В случае работы аудитора непосредственно в системе КОД экономического субъ­екта (без вывода данных на печать) рабочие документы, подтверж­дающие факт сбора аудиторских доказательств, составляются ау­дитором самостоятельно.

Аудиторские процедуры с использованием компьютеров вклю­чают: тестирование операций и остатков по счетам, аналитические процедуры, тестирование базы данных экономического субъекта, тестирование информационного, программного и технического обеспечения проверяемого экономического субъекта.

Основные отличия аудиторских доказательств, полученных в среде КОД:

• источником являются данные, полученные в среде КОД (таблицы, ведомости, регистры);

• рабочие документы аудитора могут формироваться аудито­ром в среде КОД самостоятельно;

• рабочие документы аудитора могут храниться в аудитор­ской фирме в виде файлов иа машиночитаемых носителях;

• в соответствии с правилом (стандартом) аудиторская фир­ма должна обеспечить сохранность информации на машин­ных носителях, их оформление и сдачу в архив; систему учета архивируемых данных аудиторская фирма разрабаты­вает самостоятельно.

В стандарте отмечены особенности малых экономических субъ­ектов, которые необходимо принимать во внимание аудитором при компьютерном аудите, в частности подчеркивается, что доверие аудитора к системе внутреннего контроля для малых экономиче­ских субъектов должно быть ниже, чем для средних и крупных предприятий. Это свидетельствует о том, что необходимо полагать­ся на аудиторские процедуры по существу.

Рабочие документы, формирующиеся в процессе аудита в усло­виях КОД и существенно отличающиеся от обычных рабочих до­кументов (например, документы, подготовленные иа машинных носителях), могут храниться в аудиторской организации обособ­ленно в архиве аудиторских файлов на машинных носителях.

Аудиторская организация в соответствии с правилом (стандар­том) аудиторской деятельности «Документирование аудита* ДОЛЖ­на обеспечить сохранность аудиторских файлов на машинных но­сителях, их оформление и сдачу в архив. Система идентификации рабочих документов в аудиторском файле на машинном носителе устанавливается аудиторской организацией. Целесообразно хра­нить аудиторские файлы по каждому экономическому субъекту аудиторской организации на отдельном машинном носителе.

Результатом проведения налогового аудита является: выражение мнения аудиторской организации о степени достоверности и пол­ноты исчисления, отражения в учете и перечисления экономичес­ким субъектом налогов и сборов, заключение по результатам про­ведения налогового аудита, отчет по результатам проведения на­логового аудита.

2.5.

<< | >>
Источник: Савин А.А., Савина А.А.. Аудит налогообложения: Учеб. пособие. — М.: Вузовский учеб­ник,— 381 с.. 2010

Еще по теме Составные элементы аудиторского риска:

  1. Словарь
  2. 10.2.2. Метод определения объема выборки по оценке риска выборки, ожидаемой идопустимой степени отклонений
  3. Сущность, происхождение и основные элементы инфрастуктуры рынка
  4. Международные аудиторские стандарты
  5. ОЦЕНКА РИСКОВ И ВНУТРЕННИЙ КОНТРОЛЬ
  6. РАССМОТРЕНИЕ РАБОТЫ ВНУТРЕННЕГО АУДИТА
  7. Аудиторский риск
  8. Перечень терминов и определений, используемых в правилах (стандартах) аудиторской деятельности
  9. ОЦЕНКА СИСТЕМ БУХГАЛТЕРСКОГО УЧЕТА И ВНУТРЕННЕГО КОНТРОЛЯ
  10. Составные элементы аудиторского риска
  11. Виды аудиторских процедур
  12. Аудиторский риск
  13. Аудиторское заключение по специальным аудиторским заданиям