О Правилах (стандартах) аудиторской деятельности см.
справку
2. Риски в системе компьютерной обработки данных
3. Система внутреннего контроля в условиях КОД
4. Проверка аудиторской организацией надежности системы внутреннего
контроля за системой КОД
1.1. Настоящее правило (стандарт) подготовлено для регламентации аудиторской деятельности и соответствует Временным правилам аудиторской деятельности в Российской Федерации, утвержденным Указом Президента Российской Федерации N 2263 от 22 декабря 1993 г.
Указом Президента РФ от 13
декабря 2001 г. N 1459 названный Указ признан утратившим силу
См. Федеральный закон "Об аудиторской
деятельности" от 7 августа 2001 г. N 119-ФЗ
1.2. Цель правила (стандарта) заключается в определении рисков аудитора, возникающих при проведении аудита бухгалтерской отчетности, обусловленных влиянием систем компьютерной обработки данных (КОД).
1.3. Задачи правила (стандарта) заключаются в описании:
а) дополнительных рисков, появляющихся вследствие использования экономическим субъектом системы КОД;
б) системы внутреннего контроля в условиях КОД;
в) различных процедур проверки аудиторской фирмой или аудитором, работающим самостоятельно в качестве индивидуального предпринимателя*(1), надежности внутреннего контроля за системой КОД.
1.4. Требования данного правила (стандарта) являются обязательными для всех аудиторских организаций при осуществлении аудита, предусматривающего подготовку официального аудиторского заключения.
1.5. Требования данного правила (стандарта) носят рекомендательный характер при проведении аудита, не предусматривающего подготовку по его результатам официального аудиторского заключения, а также при оказании сопутствующих аудиту услуг. В случае отклонения при выполнении конкретного задания от обязательных требований данного правила (стандарта) аудитор в обязательном порядке должен отметить это в своей рабочей документации и в письменном отчете руководству экономического субъекта, заказавшего аудит и (или) сопутствующие ему услуги.
2.1. Применение системы КОД существенно влияет на организационную структуру экономического субъекта, внося следующие риски в систему бухгалтерского учета и внутреннего контроля.
а) концентрация функций управления;
б) концентрация данных и программ для их обработки.
2.1.1. Внедрение системы КОД, как правило, предполагает существенное сокращение управленческого и контрольного персонала путем передачи его функций персоналу, обслуживающему систему КОД. В результате происходит концентрация исполнительских и контрольных функций за системой КОД в руках ограниченного числа лиц. Разделение обязанностей, необходимое для эффективного функционирования системы учета и контроля, может быть утрачено.
2.1.2. Концентрация (сосредоточение) базы данных в одном или нескольких местах, где она обычно хранится вместе с программами, обеспечивающими доступ к ней, повышает риск утери информации и несанкционированного доступа к ней.
а) отсутствие первичных документов;
б) отсутствие возможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности;
в) отсутствие регистров учета;
г) доступ к базе данных и программам системы КОД несанкционированных пользователей.
а) заданность;
б) автоматический контроль;
в) однократный ввод информации в несколько файлов одновременно;
г) операции внутри системы КОД или автоматические записи;
д) трудности в обеспечении сохранности записей.
2.3.2. Система КОД позволяет автоматизировать многие контрольные процедуры с помощью специальных программ, которые не прослеживаются (в отличие от процедур ручного контроля). Например, заменяющая разрешительные надписи система паролей ведет к отказу от составления специальных документов, заявлений, журналов и т.п., которые нужно визировать. Контроль за ошибками и их исправлением путем составления справок, ведомостей (сличительных, оборотных) заменяется автоматической печатью отчета о найденных программой ошибках.
2.3.3. В условиях КОД ввод данных об одной операции может одновременно изменить несколько связанных с ней счетов*(2). Данная особенность систем КОД значительно увеличивает влияние ошибки ввода на бухгалтерскую информацию, так как неверная сумма будет проведена не по одному, как при ручной обработке данных, а сразу по нескольким счетам.
3.1. Внутренний контроль в условиях применения системы КОД должен сочетать обычные методы контроля, применимые в отсутствие системы КОД, и специальные программные средства контроля. Все используемые средства контроля за системой КОД можно разделить на общие и специальные.
3.2. Общие средства контроля представляют собой процедуры проверки правил системы КОД, а также надежности функционирования системы КОД. Они включают в себя следующие процедуры:
а) организационный и управленческий контроль, который предусматривает создание инструкций и правил для различных контрольных функций и системы разделения полномочий при их выполнении, например правил ввода информации;
б) контроль за поддержанием и развитием системы КОД, который состоит в проверке того, что все изменения, вносимые в систему, и операции с ней надлежащим образом разрешены (применение такого контроля необходимо в случаях тестирования, внесения изменений, внедрения новых систем КОД, предоставления доступа к их документации);
в) операционный контроль, который предполагает проверку того, что система КОД выполняет только авторизованные операции, доступ к ней имеют только лица, обладающие на это разрешением, и ошибки в обработке данных определяются и исправляются;
г) контроль за программным обеспечением, который предполагает проверку того, что используется только разрешенное и эффективное программное обеспечение (с этой целью анализируется система визирования, тестирования, проверки, внедрения и документирования новых систем и модификаций уже действующих, а также ограничения на доступ к документации о них только лицам, имеющим специальное разрешение);
д) контроль за вводом и обработкой данных, который заключается в проверке того, что существует система предварительного визирования операций до их ввода в систему КОД, и ввод информации возможен только теми лицами, которые имеют на это соответствующие разрешения;
е) возможны также иные приемы общего контроля, среди которых можно назвать анализ правил копирования программ и баз данных в специальные архивы и процедур восстановления информации или извлечения ее из архивов при утрате данных.
а) контроль за вводом информации;
б) контроль за обработкой и хранением информации;
в) контроль за выводом информации.
3.3.1. Процедуры контроля ввода информации состоят из проверки выполнения системой следующих требований:
а) вся информация, вводимая в систему, предварительно визируется;
б) информация вводится в базу данных аккуратно, без ошибок и повторов;
в) ошибки ввода обнаруживаются, отвергаются и, по возможности, исправляются системой.
3.3.2. Контроль за обработкой и хранением информации заключается в проверке того, что:
а) операции, включая те, которые проводятся системой самостоятельно, выполняются верно;
б) операции проводятся без ошибок и повторов;
в) ошибки в обработке данных обнаруживаются и своевременно исправляются.
3.3.3. Контроль за выводом информации предполагает проверку того, что:
а) результаты операций предоставляются авторизированным пользователям должным образом и в установленные сроки;
б) доступ к предоставляемой информации разрешен только ограниченному кругу лиц.
3.4. Все виды контроля, перечисленные в п.3.3, могут осуществляться пользователями системы КОД или отделом внутреннего контроля экономического субъекта, а также автоматически с помощью специальных программ.
4.1. Аудиторская организация тестирует систему внутреннего контроля за системой КОД, если она полагает, что без проверки системы КОД она не сможет получить достаточную уверенность в том, что бухгалтерская отчетность проверяемого предприятия не содержит существенных искажений. При проверке аудиторская организация руководствуется положениями правила (стандарта) "Аудит в условиях компьютерной обработки данных".
4.2. Аудиторская организация вправе не проводить проверку системы внутреннего контроля за системой КОД, если объем деятельности проверяемого экономического субъекта невелик или влияние системы КОД на деятельность экономического субъекта и составление отчетности незначительно. Аудиторская организация также вправе отказаться от проверки системы внутреннего контроля за системой КОД, если обработка данных ведется не проверяемым экономическим субъектом, а третьей стороной, и доступ к системам внутреннего контроля из-за этого невозможен.
а) тестирование ручного контроля, проводимого персоналом экономического субъекта;
б) тестирование контроля за выводом информации;
в) тестирование программного обеспечения.
4.4.1. Если персонал экономического субъекта регулярно и с должной тщательностью проверяет, что получаемая из системы КОД информация авторизована, полна, арифметически верна, то аудиторская организация вправе ограничить проверку системы КОД анализом выполнения персоналом экономического субъекта контрольных процедур*(3).
4.4.2. Помимо проверки ручного контроля, осуществляемого персоналом экономического субъекта, аудиторская организация может тестировать контроль за выводом информации, которая может представляться как на бумажном, так и на электронном носителях. Если аудиторская организация проверяет контроль путем изучения информации, представленной на бумажном носителе, она проводит свои тесты вручную. Если изучается контроль экономического субъекта за информацией в электронной форме, то аудиторской организации для проверки целесообразно прибегнуть к использованию вспомогательных компьютерных программ проверки*(4).
______________________________
|
---|