Особенности оценки аудиторского риска в среде компьютерных информационных систем
При проведении аудита в условиях использования компьютера оценка аудиторского риска усложняется. Для установления стандартов и предоставления руководства в отношении процедур, которые надо соблюдать при аудите в среде компьютерных информационных систем (КИС), аудитор должен применять рекомендации МСА 401 «Аудит в среде компьютерных информационных систем».
В ходе проверки аудитор должен определить, как компьютерные информационные системы влияет на аудит. Это влияние может сказаться на: аудиторских процедурах и понимании аудитором системы бухгалтерского учета и СВК; на рассмотрении и оценке неотъемлемого риска и риска средств контроля; на разработке и осуществлении тестов средств контроля и процедур проверки по существу.
В ходе проверки аудитор не обязательно непосредственно сам должен обладать соответствующими квалификацией и умением в области компьютерных технологий. Для этого могут привлекаться работники аудиторской фирмы или профессионалы со стороны. В этом случае работа такого специалиста должна оцениваться как работа эксперта, которая должна регулироваться МСА 620 «Использование работы эксперта».
При планировании тех этапов проверки, на которые может повлиять среда компьютерных информационных систем, аудитор должен иметь представление о значимости и сложности функционирования компьютерных информационных систем. Термины значимость и сложность связаны с существенностью предпосылок подготовки финансовой отчетности, с объемом выполняемых операций и т. д.
В тех случаях, когда компьютерные информационные системы играют значительную роль в ходе проверки, аудитор должен получить представление о среде компьютерных информационных систем и о возможности ее влияния на характеристики внутреннего контроля в среде компьютерных информационных систем. В этой связи необходимо обратить внимание на специфику формирования прикладных компьютерных программ и систем; на ошибки программирования; на отсутствие в среде компьютерных информационных систем разделения контрольных функций; на наличие возможных ошибок в ходе обслуживания и эксплуатации компьютерных информационных систем.
При оценке риска, который может быть связан с использованием компьютерных информационных систем, аудитор должен руководствоваться основными аспектами и подходами МСА 400 «Оценка рисков и внутренний контроль» относительно оценки неотъемлемого риска и риска средств контроля. Это может быть связано с тем, что неотъемлемый риск и риск средств контроля в среде компьютерных информационных систем могут оказывать общее и специфическое влияние для конкретных счетов относительно вероятности наличия существенных искажений информации, которая содержится в финансовой отчетности.
Работа в среде компьютерных информационных систем может оказывать влияние на способы применения аудиторских процедур. В ходе проверки может быть выявлено некоторое различие между ручным и автоматизированным сбором и обработкой информации.