Глава 2. Методология применения персональных компьютеров в аудиторской деятельности
Глава 3. Применение персональных компьютеров на этапе, предшествующем аудиторской проверке
Глава 4. Проведение аудиторских процедур с использованием персональных компьютеров
Глава 5. Использование компьютеров при проведении аудиторской проверки
Глава 6. Использование компьютеров при выполнении услуг, сопутствующих аудиту
Глава 1. Предпосылки применения персональных компьютеров и информационных технологий в аудиторской деятельности
1.1. Объективная необходимость автоматизации аудиторской деятельности
Сегодня невозможно представить себе область деятельности человека, связанную с обработкой информации, без использования вычислительной техники. Вполне естественно и органично персональные компьютеры (ПК) находят применение и в аудите.
Аудит - независимая проверка бухгалтерского учета и финансовой (бухгалтерской) отчетности организаций и индивидуальных предпринимателей.
С начала 90-х годов XX в., когда приобретение в России персонального компьютера перестало быть проблемой, начался активный процесс внедрения информационных технологий в практику ведения бухгалтерского учета предприятий и организаций. На рынке программного обеспечения появилось большое количество специализированных программ, различных по функциональным возможностям, качеству исполнения, сложности. Впоследствии среди производителей определились общепризнанные лидеры.
Применяемые в настоящее время программы весьма разнообразны и их количество внушительно. Можно констатировать, что сегодня в организациях различных направлений и масштабов деятельности ведение бухгалтерского учета без использования вычислительной техники воспринимается уже как исключение из общего правила. Таким образом, применение компьютеров и информационных технологий в аудите является требованием времени.
Одним из недостатков российского аудита является низкий уровень технологичности организации и проведения аудиторских проверок и оказания услуг, сопутствующих аудиту. Крупным и средним западным аудиторским компаниям, накопившим многолетний опыт, присущи высокий уровень развития аудиторских технологий, активное использование средств вычислительной техники в аудите. В их арсенале имеются четко разработанные методики проверок, позволяющие быстро и качественно выполнять аудиторские процедуры, эффективно используя как высококвалифицированный персонал, так и многочисленных ассистентов. Подобный «конвейерный метод» способствует снижению времени проведения аудита, повышению его эффективности, быстрой адаптации персонала. Выполняя сначала несложные задания, молодой специалист имеет перспективы роста, смена ассистентов проходит безболезненно.
Перспективным направлением разработки современных технологий аудита является его компьютеризация. Причем одно обусловливает другое: чем технологичнее процесс, чем он больше формализован, тем легче он может быть автоматизирован, и чем больше средств автоматизации в арсенале «технолога», тем шире круг операций, которые он может автоматизировать.
В аудиторских организациях компьютеры могут и уже активно используются как для автоматизации управленческих работ самой аудиторской организации, так и для проведения аудита экономических субъектов. При этом понятие «использование компьютера для проведения аудита» является весьма общим и может включать следующие виды работ (табл. 1.1).
Таблица 1.1
Варианты применения компьютеров в аудите
| Вариант | Виды выполняемых работ с использованием компьютера |
|---|---|
| I | Печать, редактирование основных типовых форм аудиторских документов, опросных листов, таблиц, анкет и прочего |
| II | Выполнение всевозможных расчетов, обработка табличных данных |
| III | Использование нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс») |
| IV | Организация запросов к электронной базе данных, формируемой в автоматизированной системе бухгалтерского учета (АСБУ) |
| V | Проверка отдельных расчетов, выполняемых на участках учета АСБУ |
| VI | Получение регистров бухгалтерского учета и альтернативного баланса с использованием электронной базы данных, формируемой в АСБУ |
| VII | Проведение комплексного анализа финансового состояния экономического субъекта |
В каждом виде работ, представленных в табл. 1.1, преимущество компьютерного варианта перед ручным несомненно. В настоящее время можно говорить о необходимости и возможности создания комплексной системы автоматизации аудиторской деятельности. Основные подходы к ее созданию уже нашли свое отражение в научных публикациях. Так, А.Н. Романов и Б.Е. Одинцов в учебнике «Автоматизация аудита» [1] рассматривают теоретические и практические вопросы разработки контрольно-советующей аудиторской системы (КСАС), которая включает две основные функции:
1) контролирующий аудит, охватывающий контроль отдельных учетных работ (готовой продукции, затрат на производство и калькулирование себестоимости продукции, учет уставного капитала организации, расчетов по оплате труда работников, материальных ценностей, денежных средств, финансовых результатов и т.д.);
2) консультативно-советующий аудит, в основном служащий для анализа деятельности администрации экономического субъекта и включающий аудит стратегии заемных средств, дивидендной политики, финансовой устойчивости и обеспечения платежеспособности, финансового состояния организации.
Основная идея авторов заключается в том, что в процессе контролирующего аудита система руководит аудитором-исполнителем, организует проведение упорядоченного набора процедур в диалоговом режиме. Состав этих процедур отражает содержание задач и подзадач, в которые в конечном итоге преобразуются цели системы. Каждая процедура представляет собой проверку первичных документов или бухгалтерских регистров. Последовательность выполнения процедур диктуется исполнителю системой. Задания на выполнение аудиторских процедур и рекомендации по их выполнению последовательно появляются на экране компьютера.
Экраны, используемые в процессе работы системы, содержат:
- состав проверяемых документов;
- цель проверки;
- правила проверки в форме процедур с описанием их цели, последовательности действий с документами, контролируемых показателей и т.д.;
- вопрос о результате проверки.
В зависимости от результата проверки формируется элемент аудиторского заключения, т.е. в систему заложены правила реагирования системы на полученный ответ: это могут быть переход к следующему экрану с уточняющим вопросом, формирование фрагмента аудиторского заключения или переход к следующей процедуре.
Естественно, такая система должна развиваться - пополняться библиотека процедур, усложняться система экранов и переходов от одного к другому. Все это теоретически предусмотрено авторами указанного учебника.
Описанный подход предполагает, что аудитор по «диктуемым системой» правилам проверяет наличие, правильность оформления, согласование первичных документов и бухгалтерских регистров, проверяет правильность бухгалтерской отчетности вручную, вводит результат проверки в систему, которая формирует письменную информацию о результатах выполнения аудиторских процедур, на основании которой составляется аудиторское заключение. Другими словами, аудитор - как бы глаза и руки, которых пока нет у компьютера, а «мозги» находятся в компьютере. Весь творческий потенциал заложен в самой системе, а аудитор превращается в исполнителя «спускаемых ему заданий».
Второй подход состоит в том, что аудиторская деятельность (в части контроля) рассматривается как анализ функционирования автоматизированной системы бухгалтерского учета (АСБУ) - другой информационной системы, имеющей соответствующий состав задач, которые реализуются с использованием информационных технологий. В этом случае основным объектом проверки становится информация, вводимая и преобразующаяся в процессе работы АСБУ, т.е. надежность, правильность используемых (заложенных) алгоритмов ввода, контроля и преобразования информации в АСБУ.
Некоторые специалисты считают, что компьютерный аудит относится в основном (включает) к оценке текущего состояния компьютерной системы (в том числе и бухгалтерского учета) и ее составляющих на соответствие некоторым стандартам или установленным требованиям. Этот термин используют и специалисты по общей безопасности компьютерных информационных систем [7]. Безопасной является информационная система (в том числе и бухгалтерская), которая соответствует таким требованиям, как целостность, доступность для легального пользователя, конфиденциальность. При таком подходе (в этом случае) основной упор делается на тестирование (проверку) действующей компьютерной системы предприятия. Однако в этом случае затрагиваются только вопросы проверки используемых систем, что не охватывает всех задач, связанных с аудитом.
В настоящее время имеются все предпосылки для создания комплексной системы автоматизации аудиторской деятельности на основе использования как общетеоретических положений в области современных информационных технологий, так и аудиторских стандартов, регулирующих использование ПК и информационных технологий в аудите.
1.2. Нормативное регулирование применения компьютеров в аудите
Факт необходимости и возможности применения информационных технологий в аудите является общепризнанным. Здесь можно упомянуть теоретические, методологические и практические работы, посвященные АСУП [6]. Вопросам применения компьютеров и информационных технологий в аудите посвящены международные стандарты аудита и положения по международной аудиторской практике, федеральные и российские правила (стандарты) аудиторской деятельности.
В составе Международных стандартов аудита (МСА), действовавших до 2006 г., один стандарт и пять положений по методической практике аудита посвящены компьютерной тематике, в версии российских стандартов (РСА) такие проблемы нашли отражение в трех стандартах. В разрабатываемых федеральных стандартах (ФСА) планируется один стандарт по этому вопросу.
Из табл. 1.2 видно, что для российских аудиторов разработаны наиболее существенные из стандартов, имеющих отношение к компьютеризации аудита.
Таблица 1.2
Международные и российские стандарты аудита
| № п/п | Международные стандарты аудита и положения по международной аудиторской практике | Российские стандарты аудита | ||
|---|---|---|---|---|
| Код | Наименование | Год издания | Наименование | |
| 1 | 401 | Аудит в среде компьютерных информационных систем | 1998 | Аудит в условиях компьютерной обработки данных |
| 2 | 1001 | Среда ИТ - автономные персональные компьютеры | ||
| 3 | 1002 | Среда ИТ - онлайновые компьютерные системы | ||
| 4 | 1003 | Среда ИТ - системы баз данных | ||
| 5 | 1008 | Оценка рисков и система внутреннего контроля - характеристики КИС и связанные с ними риски | 2000 | Оценки рисков и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем |
| 6 | 1009 | Методы аудита с помощью компьютеров | 2000 | Проведение аудита с помощью компьютеров |
Значение российских стандартов, которые могут быть использованы для разработки правил стандартов аудиторских организаций, состоит в том, что они в лучшую сторону отличаются от стандартов МСА: во-первых, они ориентированы на более прогрессивные подходы компьютеризации, поскольку созданы значительно позже международных стандартов; во-вторых, они учитывают специфику российского бухгалтерского учета и аудита, правового обеспечения и налогообложения; в-третьих, стандарты имеют необходимые ссылки на ранее созданные российские правила (стандарты), что указывает на преемственность основных принципов и методов аудита, а также на то, что эти стандарты ориентированы на более эффективное достижение цели аудита и описание особенностей реализации его основных принципов и методов в современных условиях. Так, все российские правила (стандарты) по компьютеризации взаимосвязаны с федеральными стандартами «Планирование аудита», «Аудиторские доказательства»; первые два стандарта - со стандартами «Использование работы эксперта», а третий стандарт дополняет стандарты «Существенность в аудите» и «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита».
В настоящей работе термин «компьютерный аудит» означает использование компьютеров и современных информационных технологий для организации аудиторской деятельности, включая аудиторские проверки финансовой отчетности и подготовку аудиторского заключения, а также оказание сопутствующих аудиту услуг. В литературе появилась новая интерпретация этого термина, которая не имеет отношения к этому учебнику. Некоторые авторы под термином «компьютерный аудит» подразумевают проверку надежности, защищенности от внешних и внутренних источников искажений в обрабатываемой информации [7]. Как уже отмечалось (см. п. 1.1), это лишь часть работы, относящейся к аудиторской деятельности.
Общие сведения о компонентах компьютерного аудита, основных понятиях и подходах к его организации можно получить на основании первого и последнего правил (стандартов), приведенных в табл. 1.2. Эти стандарты тесно взаимосвязаны, хотя первый имеет большее отношение к экономическому субъекту, а второй - непосредственно к аудиторам и аудиторским организациям.
На практике могут возникнуть следующие варианты проведения компьютерного аудита (табл. 1.3).
Нетрудно заметить, что наиболее благоприятным и предпочтительным является третий вариант, при котором компьютеры для автоматизации обработки информации используют и экономический субъект, и аудиторская организация. Именно такая ситуация является наиболее распространенной.
Таблица 1.3
Возможные ситуации при компьютерном аудите
| № п/п | Состояние ситуаций | Экономический субъект | Аудиторская организация |
|---|---|---|---|
| 1 | Наличие компьютеров | + | - |
| 2 | Наличие компьютеров | - | + |
| 3 | Наличие компьютеров | + | + |
Примечание. «+» - компьютеры имеются в наличии; «-» - компьютеры отсутствуют.
Однако само по себе наличие персональных компьютеров не является основным компонентом компьютерного аудита. Важно, чтобы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления. В первом стандарте для этого введено понятие «компьютерная обработка данных (КОД)».
Рассмотрим основные положения трех российских правил (стандартов), имеющих отношение к организации компьютерного аудита.
Правило (стандарт) аудиторской деятельности «Аудит в условиях компьютерной обработки данных» включает шесть основных рубрик.
В рубрике «Общие положения» определены основные цели и задачи стандарта. Основная цель - определение действий аудитора в условиях КОД.
Задачами правила (стандарта) являются:
- формулирование основных требований к аудиторам при проведении аудита в среде КОД;
- определение основных требований к специалистам, привлекаемым аудитором для оценки системы КОД;
- описание особенностей планирования аудита в среде КОД;
- описание особенностей проведения аудита в среде КОД;
- определение основных источников и процедур получения аудиторских доказательств при изучении системы КОД.
Требования данного правила обязательны, если аудитор дает официальное аудиторское заключение, в остальных случаях они носят рекомендательный характер.
В рубрике «Общие требования к проведению аудита в условиях компьютерной обработки данных (КОД)» прежде всего дается определение компьютерной обработки данных (КОД), под которой понимается обработка с помощью компьютерной техники значительных объемов экономической информации. При этом у субъекта могут использоваться собственные компьютеры или компьютерную обработку по договору ведет третья сторона. КОД может охватывать все аспекты хозяйственной деятельности или отдельные участки учета.
При проведении аудита в среде КОД сохраняются основные элементы методики аудита, т.е. методика проверки общих документов и разделов бухгалтерского учета.
Для проверки хозяйственных операций наряду с учетными документами используются данные на машиночитаемых носителях: классификаторы, справочники, нормативные показатели, исходные данные, производные показатели.
В процессе аудита важно ориентироваться на этические нормы и не принуждать экономический субъект к применению пакетов программ, которые он не использует. Аудитор может давать только рекомендации такого рода, если по договору эти вопросы включены в оказываемые услуги.
В рубрике «Компетентность аудитора в вопросах КОД и использование работы эксперта» отмечено, что аудитор должен быть способен определить, какое влияние на организацию, планирование и проведение аудита оказывают условия КОД. Аудитор должен иметь общее представление о системе КОД, чтобы планировать, регламентировать и контролировать работу эксперта.
Аудиторской организации целесообразно иметь постоянно расширяемую библиотеку наиболее распространенных систем КОД. Эксперт отвечает за оценку системы КОД, аудитор имеет главенствующее положение и несет ответственность за аудиторское заключение о достоверности отчетности, формируемой в среде КОД.
Основной задачей эксперта является оказание помощи аудитору при проведении проверки. При этом он может выполнять такие виды работ, как: оценка надежности КОД; проверка лицензионной чистоты программных средств; проверка алгоритмов расчетов; формирование в среде КОД необходимых бухгалтеру регистров.
Конкретные вопросы, в отношении которых аудитор ожидает получить заключение и помощь эксперта, должны быть указаны в договоре в соответствии с правилом (стандартом) «Использование работы эксперта».
В рубрике «Действия аудитора в среде КОД» приведены основные направления деятельности аудитора. Отмечено, что в аудиторских документах необходимо отражать существенные аспекты организации обработки информации: организационную форму (отдельные АРМ, единая система, изолированный вычислительный центр, сторонняя организация, обрабатывающая информацию по договору); форма ведения бухгалтерского учета; разделы и участки учета, охваченные автоматизацией; средства обмена информацией между разделами учета; средства хранения и архивирования данных.
Необходимо изучить обеспечивающие компоненты КОД: технические; программные (авторы программ, авторский надзор, методы обновления, наличие лицензий); технологические (рекомендуется оформлять в виде схемы, состоящей из отдельных модулей), а также оценить гибкость настройки КОД при изменениях хозяйственного и налогового законодательства, изменении внешней отчетности, расширении функций КОД.
В плане аудита должны быть отражены следующие вопросы: использование КОД при проведении аудиторских процедур (состав необходимых для аудита регистров, получаемых в среде КОД); описание вопросов, выделенных для оценки экспертом; дата начала аудиторской проверки (она должна соответствовать дате представления аудитору данных в согласованном с клиентом виде).
Следует иметь в виду, что наличие системы КОД может повышать или снижать аудиторский риск.
Факторы, повышающие аудиторский риск: децентрализация системы КОД; географическая разбросанность системы КОД; отсутствие внутреннего контроля; отсутствие мер по ограничению несанкционированного доступа к системе КОД.
Факторы, снижающие аудиторский риск: наличие лицензии на используемые ППП; наличие у аудитора средств тестирования программных продуктов клиента; существование системы контроля используемого программного обеспечения; централизованная информационная политика, определяемая руководством; единая система КОД, используемая в разных подразделениях; наличие единого плана развития системы КОД.
Аудиторский риск зависит от качества организации внутреннего контроля. В свою очередь, качество внутреннего контроля определяют: контроль подготовки данных; предотвращение ошибок и фальсификаций во время работы системы КОД; контроль за данными нормативно-справочного характера; хорошая координация и взаимодействие между пользователями системы КОД и службой информатизации.
Необходимо оценить соответствие применяемых алгоритмов в системе КОД принятой системе учета: соответствие регистров учета, формируемых системой КОД, данным первичного учета; исключение несанкционированных изменений программного обеспечения; документирование, согласование, проверка разработчиком всех изменений программного продукта.
В условиях КОД повышаются эффективность и достоверность такой аудиторной процедуры, как проверка арифметических расчетов (одноразовый тест).
Аудитор должен оценить при анализе возможностей системы КОД: соответствие применяемой формы учета используемой системе обработки данных; соответствие применяемых алгоритмов действующему законодательству и возможности их изменения при изменении условий; способ организации, хранения, обновления данных; обеспечение контроля ввода данных; возможность настройки внешней отчетности; возможность вывода «на печать» данных о хозяйственных операциях; возможности КОД по вводу, корректировке и сохранности информации.
Аудитор должен убедиться в том, что: внутримашинная информационная база обеспечивает сохранность информации, ее архивирование, простоту доступа, кодирование, декодирование, ограничение несанкционированного доступа к ней; актуальность данных обеспечивается регламентированием источников и потребителей информации, периодичностью и условиями ее обновления и использования.
В рубрике «Аудиторские доказательства и документирование в условиях КОД» отмечается, что, собирая аудиторские доказательства, аудитор должен следовать требованиям правила (стандарта) «Аудиторские доказательства». Специфика аудиторских доказательств, полученных в среде КОД, состоит в следующем: источником являются данные, полученные в среде КОД (таблицы, ведомости, регистры); рабочие документы аудитора могут формироваться аудитором в среде КОД самостоятельно; рабочие документы аудитора могут храниться в аудиторской фирме в виде файлов на машиночитаемых носителях; в соответствии с правилом (стандартом) аудиторская фирма должна обеспечить сохранность информации на машинных носителях, их оформление и сдачу в архив; систему учета архивируемых данных аудиторская фирма разрабатывает самостоятельно.
В рубрике «Процедуры аудита в условиях КОД» констатируется, что аудит может проводиться с использованием машиноориентированных процедур (с применением специальных программных средств аудитора). Аудитор должен располагать контрольными примерами для тестирования алгоритмов, заложенных в систему КОД.
Аудиторские процедуры могут проводиться в отношении копии данных клиента в том случае, если есть достаточная уверенность в соответствии копии оригиналу.
Обрабатываемой информацией могут служить файлы, полученные аудитором от третьего лица, ведущего по договору обработку информации для экономического субъекта.
Правило (стандарт) аудиторской деятельности «Проведение аудита с помощью компьютеров» включает восемь разделов.
В рубрике «Общие положения» отражены цель и задачи стандарта. Целью стандарта является определение особенностей проведения аудита с использованием компьютеров. К основным задачам относятся:
- определение условий применения компьютеров при проведении аудита;
- формулирование требований к соответствующим видам обеспечения применения компьютеров: информационному, программному, техническому и др.;
- определение требований к экспертам и (или) специалистам по информационным технологиям;
- описание особенностей планирования аудита с применением компьютеров;
- отражение особенностей аудиторских процедур при применении компьютеров.
Иными словами, задачи определяют особенности организации соответствующих процедур и операций при проведении аудита, если используются компьютеры. Это расширяет традиционные подходы и методы, содержащиеся в других правилах (стандартах).
В рубрике «Общие требования по применению компьютеров при проведении аудита» речь идет об общих положениях по применению ПК при проведении аудита.
Отмечено, что сохраняются цель и основные элементы методологии аудита, подчеркивается, что аудитор может применять компьютеры и для аудита тех организаций, где учет ведется вручную.
В рубрике «Основные требования к информационному, программному и техническому обеспечению применения компьютеров в аудите» сформулированы основные требования к наиболее важным компонентам информационных технологий. Дано понятие информационного обеспечения, его разделение на данные на бумажных носителях и базу данных, приведены рекомендации по работе с базой данных, основные требования к программным средствам, применяемым аудиторской организацией. Эти рекомендации могут быть использованы и организациями-разработчиками программных средств для аудиторских организаций.
В рубрике «Основные требования, предъявляемые к экспертам и (или) специалистам аудиторской организации» отмечается, что проведение аудита с применением компьютеров требует, чтобы сотрудники аудиторской организации обладали необходимыми знаниями и опытом работы в этой области. В необходимых случаях можно (и целесообразно) привлекать специально подготовленных сотрудников (специалистов в области информационных и компьютерных технологий) аудиторской фирмы, специалистов из других организаций или специальные организации. В этом разделе приведены основные требования к таким сотрудникам, а также отмечено, что данный стандарт связан со стандартом «Использование работы эксперта».
Аналогичный раздел (рубрика) имеется и в правиле (стандарте) «Аудит в условиях компьютерной обработки данных». Это подчеркивает общность этих двух правил (стандартов): в обоих случаях для организации компьютерного аудита целесообразно использовать специалистов (экспертов).
Рубрика «Особенности планирования аудита с применением компьютеров» содержит положения по особенностям планирования в сравнении с традиционным аудитом. Перечислены факторы, которые важно учесть при компьютерном аудите, прежде всего эффективность использования компьютеров при проведении аудита, уровень системы КОД экономического субъекта, снижение (увеличение) аудиторского риска, а также перечень аудиторских процедур, которые будут выполняться с помощью компьютеров.
В стандарте рекомендуется обратить особое внимание на КОД клиента, чтобы использовать особенности его организации при проведении аудита.
В рубрике «Аудиторские доказательства и документирование в условиях применения аудиторской организацией компьютеров» подчеркнуто, что и при компьютерном аудите должны использоваться аудиторские доказательства, определяемые основным правилом (стандартом) «Аудиторские доказательства». Отмечены особенности использования аудиторских доказательств и документирования при проведении компьютерного аудита. Так, могут использоваться компьютерные файлы, рабочие таблицы, полученные на ПК, фотокопии документов и др. Кроме того, в рубрике имеются рекомендации по разработке в аудиторских фирмах внутрифирменных стандартов, регламентирующих применение компьютеров при проведении аудита. Это является перспективным направлением для аудиторских фирм, хотя в настоящее время почти не разработанным.
Рубрика «Процедуры аудита с применением компьютеров» посвящена конкретным рекомендациям по организации аудиторских процедур с использованием компьютеров. К ним относятся: тестирование операций и остатков по счетам; аналитические процедуры; тестирование базы данных экономического субъекта; тестирование информационного, программного и технического обеспечения проверяемого экономического субъекта.
В заключении раздела выделены процедуры, эффективность проведения которых повышается при использовании компьютеров. К ним относятся: проверка арифметических расчетов, составление альтернативного баланса; применение аналитических процедур.
Очевидно, можно рекомендовать еще одну процедуру - использование выборочного метода в аудите.
В рубрике «Использование компьютеров при аудиторской проверке субъектов малого предпринимательства (малых экономических субъектов)» отмечены особенности малых экономических субъектов, которые необходимо принимать во внимание аудитором при компьютерном аудите.
Подчеркивается, что доверие аудитора к системе внутреннего контроля для малых экономических субъектов должно быть ниже, чем для средних и крупных предприятий. Это свидетельствует о том, что необходимо полагаться на аудиторские процедуры по существу.
В заключение отметим, что в стандарте регламентировано использование компьютера как такового (нет специальных ссылок на типы и виды компьютеров).
Правило (стандарт) аудиторской деятельности «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» дополняет стандарты аудиторской деятельности «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита», «Существенность в аудите», а также рассмотренные стандарты по компьютерному аудиту. Эти дополнения приведены в табл. 1.4.
Нетрудно заметить, что комментируемый стандарт направлен как на расширение сущности подходов и методов, приведенных в стандартах (п. 1 и п. 2 табл. 1.4), так и на уточнение и дополнение рекомендаций по организации компьютерного аудита (п. 3 и п. 4 табл. 1.4).
Таблица 1.4
Взаимосвязь правил (стандартов)
| № п/п | Наименование стандарта | Дополняет стандарты в части |
|---|---|---|
| 1 | «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита» | 1. Изучения системы внутреннего контроля в условиях КОД |
| 2. Проверки надежности системы внутреннего контроля за системой КОД | ||
| 2 | «Существенность в аудите» | 1. Вероятности появления новых рисков в системе внутреннего контроля и бухгалтерского учета |
| 3 | «Аудит в условиях компьютерной обработки данных» | 1. Применения специальных средств контроля информации, функционирующей в системе внутреннего контроля и бухгалтерского учета экономического субъекта |
| 4 | «Проведение аудита с применением компьютеров» | 1. Применения аудитором новых средств и методов контроля проверяемой информации экономического субъекта |
Стандарт включает четыре рубрики.
В рубрике «Общие положения» рассмотрены цель и задачи стандарта. Цель правила (стандарта) заключается в определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем компьютерной обработки данных экономического субъекта. В соответствии с основной целью задачи стандарта заключаются в описании: дополнительных рисков, которые могут возникнуть при использовании КОД; особенностей системы внутреннего контроля в условиях КОД; процедур проверки надежности внутреннего контроля за системой КОД.
В рубрике «Риски в системе компьютерной обработки данных» отмечено, что использование компьютеров существенно влияет на организационную структуру экономического субъекта, что может привести к возникновению новых рисков в системе бухгалтерского учета и внутреннего контроля. Эти риски связаны с концентрацией функций управления и концентрацией данных и программ для их обработки. Риски, связанные с концентрацией функций управления, приводят к тому, что может быть утрачено эффективное функционирование системы учета и контроля.
Риски, связанные с концентрацией данных и программного обеспечения, приводят к возможности утери информации и несанкционированного доступа к ней. Кроме того, появляются риски: отсутствия первичных документов; отсутствия возможности наблюдения за разноской первичных учетных данных по регистрам, их закрытием и составлением отчетности; отсутствия регистров; доступа к базе данных несанкционированных пользователей.
В этой же рубрике приводятся преимущества и недостатки ведения учета и внутреннего контроля в среде КОД и рекомендации по улучшению качества аудиторских проверок. Затронут и такой важный аспект, как ошибки ввода, возникающие по вине систем автоматизации учета (пакетов прикладных программ), ошибки автоматизации формирования бухгалтерских записей (проводок), ошибки хранения баз данных и др.
Рубрика «Система внутреннего контроля в условиях КОД» посвящена вопросам внутреннего контроля в условиях КОД. Он должен сочетать как обычные методы контроля, так и специальные средства контроля. Средства контроля за системой КОД можно разделить на общие и специальные. К общим относятся: организационный и управленческий контроль (создание инструкций, внутрифирменных стандартов); контроль за поддержанием и развитием системы КОД; операционный контроль; контроль за программным обеспечением; контроль за вводом и обработкой данных и др.
Специальный контроль за применением КОД в системе бухгалтерского учета экономического субъекта определяет применение проверочных процедур, включая контроль за вводом, обработкой и хранением информации, выводом информации.
По каждой процедуре приведены соответствующие рекомендации, а также подчеркнуто, что эти процедуры могут осуществляться либо с помощью специальной настройки, либо автоматически.
В рубрике «Проверка аудиторской организацией надежности системы внутреннего контроля за системой КОД» обращено внимание на то, что аудиторская организация тестирует систему внутреннего контроля за системой КОД экономического субъекта, если такая необходимость возникает. При этом используют положения правила (стандарта) «Аудит в условиях компьютерной обработки данных».
Процедуры проверки могут включать различные подходы, зависящие от объема системы КОД экономического субъекта, ее качества, охвата системы внутреннего контроля и других факторов. Особое внимание обращается на проверку и тестирование процедур ввода и вывода информации, хранения информации, организации программного и информационного обеспечения.
Из проведенного анализа российских правил (стандартов) аудиторской деятельности, посвященных регулированию использования ПК в аудите, следует:
- в правилах (стандартах) отражены основные требования и допущения использования ПК при проведении аудита и выполнении услуг, ему сопутствующих;
- дано определение системы КОД, сформулированы принципы использования КОД экономического субъекта, правила, которые должны соблюдать как аудитор, так и экономический субъект;
- подготовка аналогичных российским федеральных правил (стандартов) позволит далее расширить базу нормативного регулирования применения ПК в аудите;
- положения аудиторских правил (стандартов), посвященных использованию ПК и информационных технологий в аудите, целесообразно использовать при создании систем автоматизации аудиторской деятельности в качестве нормативно-правовой базы.
1.3. Экономические аспекты применения компьютеров в аудиторской деятельности
Одним из ключевых вопросов, решаемых в ходе планирования аудиторской проверки, является вопрос соотношения «цена - качество» (точнее было бы сказать - «себестоимость - качество», но приведенный выше термин является общеупотребительным). При заключении договора о проведении аудита и определении его стоимости аудиторская организация должна предварительно оценить объем работ, исходя из необходимого состава и объема аудиторских процедур, их сложности, и определить состав и квалификацию участников проверки. Поскольку стоимость проверки является согласовываемой величиной, то договаривающиеся стороны должны найти некоторый оптимум - компромисс при достижении двух несовместимых целей: обеспечения минимального аудиторского риска, высокого качества аудита и минимизации расходов заказчика проверки.
Риск можно уменьшить в первую очередь увеличением объема и точности планируемых аудиторских процедур, количества собранных аудиторских доказательств. С одной стороны, такое увеличение повышает затраты на аудиторскую проверку, повышает ее стоимость и, как следствие, снижает конкурентоспособность аудиторской организации по сравнению с фирмами, готовыми работать с большими аудиторскими рисками и меньшими ценами. С другой стороны, деятельность в условиях высоких аудиторских рисков чревата претензиями клиентов, затратами, связанными с компенсацией последствий некачественных проверок и в конечном итоге падением престижа аудиторской организации.
Если принимать во внимание возможные расходы аудиторской организации на удовлетворение материальных претензий, связанных с низким качеством аудита, то оценкой обобщенной себестоимости аудита является сумма себестоимости выполнения аудиторской проверки и возможных потерь по возможным претензиям. Эти потери представляют собой вероятностную оценку материальных претензий, которые будут тем больше, чем ниже качество проверки, чем больше не обнаруженных аудитором существенных искажений в бухгалтерской отчетности [5].
Зависимость стоимости аудиторской поверки, возможных потерь и обобщенной себестоимости аудита от его качества представлена на рис. 1.1.
Рис. 1.1. Соотношение «цена - качество» в аудите
По оси абсцисс отражено изменение параметра, называемого «качество аудиторской проверки» (К). Он зависит от целого ряда факторов: помимо объема аудиторских процедур и отобранных аудиторских доказательств определяется квалификацией и опытом аудиторов, уровнем технологий, применяемых организацией, и т.п. Хотя показатель качества носит интегральный характер, основной его составляющей является объем проводимых работ. Так как увеличение объема работ, повышение качества можно интерпретировать как увеличение вероятности обнаружения существенных искажений отчетности, то показателем качества (К) может служить оценка
К = 1 - РН, (1.1)
где РН - вероятность необнаружения аудитором существенных искажений бухгалтерской отчетности, называемая в научной литературе риском необнаружения.
Ось ординат представляет затраты аудиторской организации, связанные с себестоимостью (С) аудиторской проверки, потери (П), связанные с необходимостью компенсации в судебном (или досудебном) порядке претензий клиентов, предъявленных по результатам некачественно проведенного аудита. Кривой С представлена себестоимость (цена) аудиторской проверки. Естественно, что она растет по мере повышения качества аудита. Возможные потери, связанные с выплатами по претензиям, максимальны при минимальных затратах на проверку (случай предоставления заведомо ложного аудиторского заключения, когда претензий от клиента не поступает, не рассматривается), они снижаются по мере роста качества аудита.
Кривая ОСА (обобщенная себестоимость аудита) представлена пунктирной кривой и получена суммированием двух величин себестоимости С и потерь П.
На кривой ОСА существует точка Ко, минимума (вертикальная пунктирная линия), в которой обобщенная себестоимость аудита минимальна и соотношение «цена - качество» оптимально с точки зрения аудиторской организации. Организация работы с качеством К < Ко (левее этой точки) соответствует повышенным аудиторским рискам, возможной потере конкурентоспособности. Наращивать затраты на повышение качества К > Ко, (правее точки оптимума) также нецелесообразно, ибо это неоправданно удорожает проверку и может привести к уходу клиентов в другие аудиторские фирмы.
Актуальной представляется задача разработки технологий аудиторской проверки, снижающих себестоимость не в ущерб качеству. Основным направлением ее решения является использование современных информационных технологий, компьютеризация аудита. Аудит связан с необходимостью обработки больших объемов информации, которая в современных автоматизированных системах бухгалтерского учета хранится в форме информационных массивов. Одним из путей решения задачи снижения трудоемкости аудиторских процедур является использование аудитором массивов компьютерных данных аудируемого экономического субъекта. При этом могут использоваться как существующие универсальные средства, такие, как Excel, Foxpro и т.д., так и разработанные и применяемые на постоянной основе аудиторскими организациями специальные программные средства.
Приведенные ниже примеры на качественном уровне иллюстрируют несомненную экономию времени и повышение качества аудита при использовании в аудите базы данных экономического субъекта.
1. На стадии подготовки и планирования аудита необходимо в числе прочего оценить характер и объем работ, связанных с предстоящим аудитом, понять характер деятельности экономического субъекта, суть проводимых им хозяйственных операций, оценить систему бухгалтерского учета. Эти действия предписаны соответствующими правилами (стандартами) аудиторской деятельности, так как являются необходимым этапом подготовки аудиторской проверки. При традиционных методах аудита необходимо провести достаточно большой объем рутинных работ, связанных, в частности, с просмотром первичных документов, регистров учета по различным участкам бухгалтерского учета (учитываемые хозяйственные операции, первичные документы необходимо хотя бы приблизительно подсчитать). При наличии компьютерной базы данных (журнала проводок в электронном виде) несложно сформировать таблицу, содержащую перечень корреспонденции счетов, которые применялись бухгалтерией в течение года, количество операций, описанных каждой из корреспонденции, и общую сумму по каждой корреспонденции. Эта информация позволит: представить систему бухгалтерского учета в части методики отражения хозяйственных операций; уже на стадии подготовки аудита отметить бухгалтерские записи (проводки), противоречащие требованиям Инструкции по применению Плана счетов бухгалтерского учета; имея количественную и суммовую оценку каждой корреспонденции (практически каждого вида хозяйственных операций), рассчитать предстоящий объем работ по различным сегментам бухгалтерского учета, сопоставить объем работ, которые проводятся работниками бухгалтерии, и численность аппарата и т.п.
2. При проведении аудита традиционными методами достаточно сложной с практической точки зрения является задача построения аудиторских выборок. Правило (стандарт) «Аудиторская выборка» в большинстве случаев рекомендует применение вероятностно-статистических подходов к их формированию, поскольку только в этих случаях возможно применение разработанного математического аппарата при анализе результатов и проецировании их на генеральную совокупность. Организация статистической выборки и обработка полученных результатов выборочной проверки связаны со значительным объемом вычислительных работ, выполнение которых вручную может неприемлемо ухудшить соотношение «цена - качество» аудиторской проверки.
Применение компьютеров для целей выборочной проверки практически не увеличивает нагрузку на ресурсы аудиторской фирмы, поскольку вся вычислительная часть работы требует минимального времени. Кроме того, использование компьютерных данных проверяемого экономического субъекта позволяет не тратить время на ручной ввод данных клиента в компьютер и практически сводит к нулю временные затраты на выполнение рутинных операций отбора объектов проверки. Ряд компьютерных программ (в частности, Microsoft Excel) содержит мощный аппарат статистического анализа, достаточный для организации выборочного исследования и анализа его результатов. Возможно применение и более мощного инструментария, например системы STATISTICA фирмы-разработчика StatSoft Inc. USA.
3. Серьезная экономия ресурсов аудиторской организации может быть достигнута при проведении аналитических процедур с применением компьютеров и электронных данных клиента. Под аналитическими процедурами понимаются анализ и оценка полученной информации, исследование важнейших финансовых и экономических показателей проверяемого экономического субъекта с целью выявления необычных и неверно отраженных в бухгалтерском учете фактов хозяйственной деятельности, а также выяснение причин таких ошибок и искажений. К основным типам аналитических процедур относятся:
- сопоставление остатков по счетам за различные периоды;
- сопоставление показателей бухгалтерской отчетности за различные периоды;
- оценка соотношений между различными статьями отчетности с данными предыдущих периодов;
- сопоставление показателей бухгалтерской отчетности с плановыми показателями;
- сопоставление финансовой и нефинансовой информации;
- сопоставление финансовых показателей деятельности предприятия со среднеотраслевыми показателями и др.
Применение методик компьютерного аудита и электронных данных клиента существенно упрощает вычислительные процедуры. Данные по операциям, оборотам и остаткам по счетам позволяют конструировать различные нестандартные аналитические процедуры, результаты, от проведения которых дают возможность получить полезную с точки зрения аудита информацию. Ряд программных продуктов, с помощью которых исследуются компьютерные данные клиента, позволяют представлять информацию в графическом виде. Такие графики наглядно представляют информацию для аудитора и руководства проверяемого экономического субъекта.
4. Федеральным правилом (стандартом) № 2 «Документирование аудита» предписано обязательное документальное оформление всех сведений, важных с точки зрения представления доказательств, подтверждающих аудиторское мнение, а также доказательств того, что аудит проводился в соответствии с правилами (стандартами) аудиторской деятельности. Аудиторская документация, с одной стороны, является необходимым основанием для подтверждения мнения о достоверности отчетности аудируемого лица, сформулированного по результатам проверки, и, с другой стороны, способом для аудитора подтвердить правильность (соответствие стандартам) проведенной проверки в случае судебных или иных разногласий с клиентом.
На практике составление аудиторской документации в необходимом и достаточном объеме является весьма трудоемким процессом и требует немало времени. Использование компьютеров позволяет экономить время при составлении документации и, следовательно, снижать трудоемкость и себестоимость проверки. Многие документы, формируемые в ходе проведения машиноориентированных процедур, могут быть выведены на печать или сохранены на электронных носителях. Таким образом, в состав аудиторской документации включаются все результаты таких процедур. К таким документам могут быть отнесены расчеты, связанные с формированием аудиторских выборок на основе компьютерных данных клиента, результаты проведения аналитических процедур в виде расчетов и графиков, документы, связанные с планированием аудита, и др. Подобные документы могут также представлять собой своего рода «полуфабрикаты», используемые в дальнейшей работе (например, при атрибутивной проверке кассовых документов может быть выведен на печать перечень этих документов, попавших в выборку). Результаты проверки аудитор заносит в пустые графы документа. Одним из путей автоматизации формирования письменной информации о результатах проверки отдельных направлений учета является формализация отчета о результате проверки или ответа на конкретный вопрос программы аудита в виде таблицы с такими, например, графами: выявленные нарушения, проверенные первичные документы, регистры, суммовая оценка выявленных искажений, ответственный аудитор-исполнитель и т.д. Тогда автоматически может быть получен список, например, только тех вопросов, по которым у аудиторов возникли замечания.
Приведенные выше примеры, обосновывающие экономию времени, а следовательно, улучшение соотношения «цена - качество» в случае проведения аудита с использованием компьютеров, показывают возможность значительного увеличения эффективности действий аудитора.
Исследование экономического эффекта в количественной форме затруднено сложностью оценки результатов внедрения компьютеров в практику аудита. В литературе рассматриваются обычно две стороны экономического эффекта от внедрения каких-либо технологий в сфере обработки экономической информации: прямой и косвенный. Первый (прямой) возникает как следствие снижения себестоимости самой обработки информации, снижения затрат, в частности временных. Второй (косвенный) связан с повышением точности аудита и, следовательно, со снижением предпринимательских рисков как аудиторской организации, так и у пользователей информации при принятии экономических решений. Одной из оценок экономической эффективности проекта внедрения компьютерных технологий в аудит служит срок окупаемости затрат (7):
(1.2)
где З - затраты на внедрение технологии;
ПЭ - прямой экономический эффект, полученный в результате внедрения;
КЭ - косвенный экономический эффект.
Прямой экономический эффект от внедрения компьютерных технологий в практику аудита можно получить либо в человеко-часах, сравнивая временные затраты при обработке информации традиционным и автоматизированными способом, либо в денежном выражении, умножая экономию времени на сложившуюся в организации среднюю стоимость часа работы аудитора.
ПЭ = Тэк × СЧср, (1.3)
где Тэк - экономия времени на выполнение аудиторских процедур и документирование аудита с внедрением компьютерных технологий;
СЧср - средняя стоимость часа работы аудитора.
Косвенный эффект от внедрения компьютерных технологий для аудиторской организации проявляется в увеличении ее престижа, конкурентоспособности на рынке аудиторских услуг. Так как эта составляющая экономического эффекта на практике не может быть определена количественно, то срок окупаемости будем рассчитывать по упрощенной формуле:
(1.4)
На практике вопрос о целесообразности капитальных затрат на внедрение вычислительной техники и программного обеспечения подавляющим большинством аудиторских организаций решен уже давно, и решен положительно.
1.4. Предпосылки создания системы автоматизации аудиторской деятельности
В отличие от автоматизации бухгалтерского учета, где на рынке программных средств имеются разнообразные пакеты прикладных программ, начиная от простых и кончая самыми сложными, на рынке аудиторских программ разработчики предлагают небольшой выбор законченных комплексных пакетов, но отдельные их фрагменты уже появились и активно используются. Это объясняется тем, что сегодня сложились все предпосылки для создания комплексной системы автоматизации аудиторской деятельности (СААД), охватывающей все ее основные направления.
Известно, что использование того или иного языка программирования, системной среды диктуют определенные требования к представлению используемой информации в определенной «читаемой» форме. Программные средства, используемые аудитором и клиентом, могут быть различны. Большинство автоматизированных систем бухгалтерского учета используют для хранения информации стандартные базы данных (DBF, MS SQL, ACCESS и т.д.), которые позволяют организовать выборку, извлечение данных стандартными средствами работы с базами данных. Любому системному программисту под силу решить задачу извлечения необходимой аудитору бухгалтерской информации и преобразования ее в необходимую форму. Возможность использовать любую формируемую и хранимую в бухгалтерском учете информацию в виде базы данных, обрабатываемой средствами аудиторской программы, также является предпосылкой создания и использования СААД. Если бухгалтерский учет не автоматизирован (что со временем становится большой редкостью), состав аудиторских процедур, выполняемых с применением компьютера, значительно сужается. Аудитор лишается многих возможностей поиска, анализа, группировки, выбора и обработки информации, предоставляемых современными системами управления базами данных.
Автоматизация аудиторской деятельности возможна, потому что бухгалтерский учет связан с применением различных математических приемов, регламентированных правил преобразования информации (математических формул, отображений одних множеств в другие, действий с таблицами). Математические формулы используют при расчетах оборотов, сальдо по счетам, платежей в бюджет и во внебюджетные фонды, показателей финансово-хозяйственной деятельности экономического субъекта. Примером отображения множества хозяйственных операций в множество бухгалтерских записей может служить любой справочник бухгалтерских записей (проводок). Применение и использование рабочих таблиц, классификаторов и работу с ними можно проиллюстрировать описанием взаимной увязки показателей различных форм отчетности, а также справочником-классификатором допустимых бухгалтерских записей (проводок). Все действия с информацией, выполняемые в системе бухгалтерского учета по соответствующим алгоритмам, могут быть продублированы СААД. Таким образом может быть реализовано тестирование большинства используемых программных модулей системы бухгалтерского учета.
Стандартизация аудита, четкие правила его проведения и требования к формам аудиторской документации позволяют автоматизировать составление необходимых документов и их редактирование. К ним относятся: письмо о согласии на проведение аудита, договор на проведение аудита, аудиторское заключение, обязательный набор рабочих таблиц, тестов, опросных листов и т.д.
Высокий уровень развития математических методов экономического анализа, применяемых для анализа деятельности администрации и финансового состояния экономического субъекта экономистами, позволяют оценить, насколько оптимальны принимаемые администрацией решения, какова вероятность банкротства, потеря платежеспособности или восстановления утраченной платежеспособности. Многие задачи анализа имеют математическую постановку и, следовательно, могут решаться автоматически.
Работа аудитора связана с привлечением и изучением большого количества законодательных и прочих нормативных актов, относящихся к различным временным периодам. Существующие и широко используемые информационно-справочные системы, такие, как «Гарант», «Консультант+» (КонсультантПлюс), «Интернет» и др., тоже можно рассматривать как часть общей системы автоматизации аудиторской деятельности.
Автоматизация аудиторской деятельности признана как объективно существующая реальность. В МСА применение компьютеров в аудите упоминается в шести, а в РСА - трех стандартах.