Аудит в среде компьютерных информационных систем
В 2001 г. исполнилось 20 лет с момента появления персонального компьютера: в 1981 г. компания IBM представила первую модель настольной компьютерной системы. Компьютер стоимостью 3000 долл. обладал оперативной памятью объемом всего лишь 16 Кб, работал в операционной системе DOS, не имел графического интерфейса, мыши. Емкость флоппи-диска составляла 160 Кб.
В 1990 г. появляется операционная система Microsoft Windows, в 1991 г. - World Wide Web (WWW - «всемирная паутина»). С этого момента развитие компьютерных информационных технологий происходит революционными темпами. Персональный компьютер стал использоваться во всех сферах общественной жизни, в том числе и при проведении аудита.
На сегодняшний день трудно представить аудиторскую проверку без использования компьютеров. Последние помогают аудиторам решать разнообразные задачи, в том числе:
- в области методического обеспечения: разработка сложных аналитических электронных таблиц, на их основе - создание диаграмм; возможна алгоритмизация контрольно-аудиторского процесса и создание специальных прикладных аудиторских программ (автоматизированных рабочих мест (АРМ) аудитора); многократно ускоряется применение традиционных аудиторских процедур (арифметического пересчета, группировки, ранжирования и др.), носящих рутинный характер; более эффективно используются экономико-математические методы в аудите (сетевые модели, симплекс-метод, транспортная задача и др.);
- в области информационного и коммуникационного обеспечения: ускорение процессов получения и обработки информации из баз данных клиента - АРМ бухгалтера, систем складского учета и др.; организация рационального документирования информации, полученной аудитором в ходе проверки («безбумажный» вариант); обеспечение нормативно-правовыми актами (системы Консультант-Плюс, Гарант и др.); возможность использования средств Internet (для поиска необходимой справочной информации о ценах, поставщиках товароматериальных ценностей и др.) и электронной почты;
- прочие (стандартные) задачи: использование возможностей редактирования текстов и электронных таблиц (при написании аудиторского заключения, рабочих документов аудитора); создание презентаций, баз данных и др.
В то же время использование клиентом компьютерных информационных систем накладывает отпечаток на организацию проведения проверки (в первую очередь на этапах планирования, определения допустимого уровня аудиторского риска) и выбор аудиторских процедур (в ходе непосредственного проведения проверки), т.е. аудит в условиях применения клиентом средств компьютерной обработки финансовой информации имеет свои особенности.
В результате возникла необходимость нормативного регулирования вопросов, связанных с использованием компьютеров в аудите. Для решения данной проблемы Международный комитет по аудиторской практике утвердил и рекомендовал МСА № 401 «Аудит в среде компьютерных информационных систем» («Auditing in a computer information systems environment»).
Так, указанным выше нормативным документом особо отмечается, что при планировании и проведении проверки в условиях электронной обработки данных аудитору необходимо оценить степень влияния компьютерной информационной системы клиента на величину аудиторского риска (в первую очередь на его первые две составляющие: неотъемлемый риск и риск системы внутреннего контроля).
Аудитору следует также определить уровень автоматизации и степень сложности применяемого компьютерного программного обеспечения для ведения бухгалтерского учета. В рамках изучения данного вопроса оценивается процент охвата бухгалтерского учета автоматизированной обработкой данных. Практика показывает, что на отечественных предприятиях встречаются три основных уровня автоматизации бухгалтерского учета:
- низший: подавляющее большинство объектов бухгалтерского учета не охвачены компьютерной обработкой данных (несмотря на высокий уровень развития современных информационных технологий, на многих отечественных предприятиях такая ситуация по-прежнему имеет место);
- средний: имеется разрозненное программное обеспечение для отдельных объектов учета (например, АРМ «Учет кассы и операций в банке», «Учет материалов», «Учет товаров», «Учет труда и заработной платы» и др.), при этом чаще всего отсутствует автоматизированная связь отдельных модулей с регистрами синтетического учета (итоговые сальдо и обороты из разных программ в Главную книгу заносятся вручную);
- высший: единое (комплексное) программное обеспечение для всех объектов учета. В данной системе бухгалтер (или напрямую материально ответственное лицо) заносит бухгалтерские проводки, а группировка и обобщение финансовой информации (в виде финансовой отчетности) происходит автоматически, минуя регистры аналитического и синтетического учета (характерным признаком данной системы является наличие непосредственной автоматизированной связи «бухгалтерская запись - отчетность»).
Без сомнения, внедрение средств компьютерной обработки бухгалтерских данных имеет свои преимущества: компьютерная информационная система намного более информативна по содержанию и прозрачна для пользователей, что уменьшает риск системы внутреннего контроля. Такая система позволяет формировать «свои» разнообразные (неунифицированные) информационные отчеты для разных пользователей (руководители высшего уровня, менеджеры среднего и низшего звеньев управления, разнообразные аналитические и контролирующие службы). Доступность информации обеспечивается наличием общей компьютерной сети и системой паролей. Компьютерные информационные системы позволяют группировать и классифицировать данные бухгалтерского учета по разным основаниям, таким образом в единой системе возможно совмещение форм финансового и управленческого учета; средства компьютерной обработки данных снижают до минимума степень риска неправильного арифметического подсчета, ошибочного разнесения проводки по регистрам бухгалтерского учета, в определенных ситуациях - изменения содержания хозяйственной операции и т.д.
В то же время применение компьютеров имеет и свои недостатки:
- актуализируется проблема информационной безопасности предприятия. Так, прозрачность информации и всеобщая доступность данных могут быть интересны не только для руководства, экономических и производственных служб предприятия, но и для конкурентов. Например, информация о производственной себестоимости определенной продукции позволяет спрогнозировать предельно допустимые уровни цен, прибыли и т.д., т.е. относится к категории коммерческой тайны. Данная проблема решается обеспечением ограниченного доступа (санкционирования) к отдельным информационным ресурсам строго определенных должностных лиц при наличии производственной необходимости с помощью паролей;
- возрастают требования к необходимому уровню квалификации работников, с чем связаны дополнительные затраты на обучение;
- может возникнуть проблема автоматической (без ведома людей) генерации проводок (например, в банках при начислении процентов по вкладам или за пользование кредитными ресурсами). Такие хозяйственные операции трудно поддаются контролю, и при проведении проверки аудитором на них следует обращать особое внимание;
- вероятность возникновения непредвиденных программных ошибок, сбоев, наличие угрозы порчи и уничтожения информации (при этом необходимо проанализировать то, с какой периодичностью осуществляется архивирование баз данных, тестирование компьютеров на наличие вирусов, программных сбоев и т.д.);
- ограниченный доступ к определенным информационным ресурсам предприятия не только позволяет скрыть их от внимания конкурентов и других несанкционированных пользователей, но и создает угрозу злоупотреблений со стороны должностных лиц - работников данного предприятия, снижает степень внутреннего контроля. Из истории аудиторской деятельности за рубежом известны случаи, когда бухгалтеры небольших организаций убеждали своих руководителей перейти с ручной системы учета денежных средств в банке на автоматизированную, преграждали доступ к компьютерной программе любым лицам, бесконтрольно переводили денежные средства с расчетных счетов предприятия на свои личные счета, о чем никто даже и не догадывался;
- компьютерные информационные системы могут привести также к другому «заболеванию», а именно: «размыть» четкое распределение обязанностей между работниками внутри организации. Так, далеко не во всех компьютерных программах есть возможность определить, кем была совершена хозяйственная операция, кем и когда соответствующая проводка была занесена в программу (или изменена, удалена из нее). Отсутствие «следов» и четкого разграничения функций, одновременная работа в одной информационной системе сразу нескольких пользователей могут привести к тому, что в случае возникновения ошибок по вине конкретного работника найти и привлечь последнего к ответственности будет крайне сложно. Таким образом, снижается степень управляемости компьютерных информационных систем, что негативно отражается на всей системе внутреннего контроля аудируемого предприятия. В ряде компьютерных проектов такая проблема решается путем однозначной идентификации (по персоналии и времени совершения) хозяйственных операций.
Для аудитора компьютерные информационные системы, как отмечалось ранее, позволяют ускорить процесс проведения аудита. На Западе разработаны специальные аудиторские программы, которые называются «Методы аудита с использованием компьютеров» (Computer-assisted audit techniques (CAAT)). В частности, такими проектами решаются следующие проблемы: организационные (расчет уровня существенности, аудиторского риска и необходимой величины аудиторской выборки; АРМ аудиторов по проверке отдельных объектов учета). Однако на пути решения данной проблемы имеется серьезное препятствие. Даже четко регламентированный бухгалтерский учет трудно поддается алгоритмизации и формализации, не говоря уже об аудите.
Методики проверки для каждой аудиторской фирмы представляют собой ее ноу-хау. Каждая фирма стремится повышать качество проведения аудиторских проверок, вскрывать все существенные нарушения, давать объективные аудиторские заключения, при этом минимизировать трудозатраты на осуществление первых. Эффективное управление издержками и высокое качество аудита - главные факторы успеха аудиторских фирм по сравнению с конкурентами. Исходя из этого создание «унифицированных» АРМ аудитора заранее обречено на неудачу; методические (создание баз данных о выявленных нарушениях с указанием их характера, ссылок на нормативные документы, сумм нанесенного ущерба, методов их раскрытия) и аналитические (на основе указанных ранее баз данных возможно проведение анализа эффективности контрольно-аудиторской деятельности в целом по аудиторской организации или в разрезе отдельных аудиторов); возможность конвертации бухгалтерской системы клиента в программную среду аудиторской системы либо адаптации аудиторской системы к структуре информационной базы клиента.
На пути решения данной проблемы в настоящее время имеется существенное препятствие: бухгалтерская информация в компьютерной информационной системе клиента классифицирована по строго определенным «своим» критериям. Для проведения аудита требуется ту же информацию также классифицировать, но уже другим образом. Поэтому, несмотря на кажущуюся простоту, решение данной проблемы подчас может быть невозможным.
Для выхода из создавшейся ситуации требуется разработка и внедрение на предприятиях единых (совмещенных) программных продуктов - и для бухгалтерского учета, и для внутреннего аудита (когда подсистема аудита является логическим продолжением подсистемы бухгалтерского учета). Тогда проблему информационной несовместимости можно будет разрешить. В таком виде (теоретически) возможно проведение аудита без помощи людей (автоматизированным способом).
Итак, методы компьютерной обработки данных оказывают сильное воздействие на все три составляющие аудиторского риска (неотъемлемый риск, риск системы контроля и риск необнаружения).