Актуальные проблемы экономики и финансов: тезисы докладов V Международной научно-практической конференции (Буковель-Украина, 21-24 марта 2016)
Секція 17. Бухгалтерський, управлінський облік і аудит
Клим Н.М.
К.е.н., доцент кафедри обліку і аудиту,
Бондаренко О.В.
К.е.н., доцент кафедри обліку і аудиту,
Національний лісотехнічний університет України
М.Львів, Україна
ПРОБЛЕМИ ЗАСТОСУВАННЯ ЗАСОБІВ І МЕТОДІВ КОНТРОЛЮ В УМОВАХ КІСП
Застосування підприємствами інформаційних систем обліку, що забезпечують комп’ютерну обробку переважної більшості господарських операцій та передачу звітних даних, спонукає аудиторські фірми та контрольно-ревізійні органи застосовувати спеціальні заходи і методи ефективного контролю у процесі здійснення перевірок, ревізій та аудиту з метою виявлення і усунення як ненавмисних, так і спеціально скоєних помилок. Ймовірність помилок контролю в умовах застосування комп'ютерів через неупередженість контролю і точність розрахунків з однієї сторони зменшується. Проте, більшого поширення набувають помилки у результатів збою бухгалтерської програми, механічні помилки при введенні даних до бухгалтерської програми, введення фальсифікованих документів тощо.
Комп’ютерна обробка даних впливає на процес вивчення аудитором системи обліку, внутрішнього контролю та залежить від безпеки та надійності комп'ютерних облікових систем. В умовах застосування КІС змінюються основні принципи аудиту, засоби і методи контролю. Аудитор перевіряє низку суто технічних питань, які не мають прямого відношення до бухгалтерського обліку, але безпосередньо впливають на оцінку аудитором ризику бухгалтерського обліку та системи контролю. Стандарти і процедури, яких необхідно дотримуватись при проведенні аудиту в умовах КІСП визначені як міжнародними, так і національними нормативами. Так, МНА № 401 «Аудит в умовах комп’ютерних інформаційних систем» застосовується при проведенні аудиту в умовах КІС, ННА 13 «Аудит в умовах електронної обробки даних» регламентує дії аудиторської організації при здійсненні аудиту в умовах КІС. Важливими є також норми ННА № 31 «Вплив системи електронної обробки даних на оцінку систем бухгалтерського обліку і внутрішнього контролю» та ННА№30 «Використання комп’ютерів у галузі аудиту».
Під комп'ютерним аудитом спеціалісти із загальної безпеки комп'ютерних інформаційних систем розуміють оцінку поточного стану комп'ютерної системи на відповідність деякому стандарту чи запропонованим вимогам. Для кожного підприємства важливим завданням є забезпечення надійності комп’ютерних систем, що формують базову обліково-звітну інформацію для прийняття управлінських рішень. Тому аудитором перевіряється надійність засобів внутрішнього контролю в середовищі комп'ютерної обробки даних, виявляються слабкі місця стосовно контролю системи комп'ютерного обліку. При цьому досліджують як апаратні, так і програмні засоби контролю, а також організаційні заходи перевірки цілісності даних і відсутності комп'ютерних вірусів. Засоби і методи контролю в КІСП значно відрізняються один від одного: деякі з них покликані запобігати помилкам, а призначення інших — виявляти та виправляти їх.
Поширеним є поділ засобів контролю на 2 основні групи:
1) засоби контролю прикладних програм. Це засоби контролю всередині прикладної програми, які перевіряють точність вхідних даних, обробки даних та достовірність облікових вхідних даних. Вони становлять комбінацію ручних та комп'ютерних процедур. Вони не є окремими програмними продуктами, а є частинами комп'ютерних програм, які допускають здійснення процедур контролю;
2) загальні засоби контролю. Ці засоби контролю забезпечують середовище прикладних програм та ефективну діяльність програмних процедур. Загальні засоби контролю, в свою чергу, поділяються на адміністративні засоби, які попереджають ризики того, щоб повноваження з обробки інформації не концентрувались в одних руках, дані зберігались децентралізовано і на безпечних носіях інформації; а також на засоби контролю розробки, які передбачають обов'язкове використання стандартів і стандартних процедур (де це можливо) при творенні комп'ютерних інформаційних систем, створення засобів контролю доступу тощо [3].
Якщо взяти за основу Міжнародні стандарти аудиту, то засоби і методи контролю КІС можна узагальнити наступним чином.
Таблиця 1
Матриця засобів контролю КІС відповідно до Міжнародних стандартів аудиту[6]
|
Загальні засоби контролю (generalcontrols) |
Засоби контролю прикладних програм (applicationcontrols) |
Засоби контролю доступу і безпеки |
Адміністративні засоби контролю (обмеження фізичного доступу до комп'ютерних засобів, стандарти функціонування комп'ютерних систем, розробка заходів на випадок стихійних лих, пожеж тощо, організація відділу IT, організація резервного копіювання інформації) |
Засоби контролю доступу (обмеження доступу на рівні паролів, іншої ідентифікації користувача тощо, архівне копіювання даних), контроль цілісності даних |
Засоби контролю обробки інформації |
Надійність сервісного обслуговування інформаційної системи, засобів контролю розробки і модифікації програм |
Засоби контролю функціонування інформаційної системи (контролю введення, контролю обробки та контролю виведення інформації) |
Інші автори при здійсненні класифікації до вбудованих засобів контролю в КІСП та КСБО відносять: засоби контролю модифікації, засоби контролю доступу, засоби контролю фізичної безпеки. Тоді як до засобів контролю прикладних програм відносять: засоби контролю доступу, засоби контролю вхідних даних (формальний і логічний контроль), засоби контролю обробки даних, засоби контролю вихідних даних.[2] Засоби контролю модифікації — процедури, розроблені, щоб запобігти або знайти некоректні зміни до комп'ютерних програм. Доступ може обмежуватися такими засобами контролю, як, наприклад, використання окремих програмних бібліотек для реальних операцій та розробки програми і використання спеціалізованих програмних бібліотек. Засоби контролю доступу — методи і процедури, розроблені для обмеження доступу до онлайнових термінальних пристроїв, програм і даних. Засоби контролю доступу складаються з ідентифікації і аутентифікації. Ідентифікація дозволяє впізнати користувача системи (і визначити, чи користувався він системою раніше) і включає засоби, за допомогою яких користувач надає системі інформацію про себе. Аутентифікація підтверджує, ким є користувач, а також його права в системі. [5].
Такі процедури розроблені, щоб запобігти або знайти: несанкціонований доступ до онлайнових термінальних пристроїв, програм і даних, введення несанкціонованих операцій, несанкціоновані зміни файлів даних, використання комп'ютерних програм персоналом, якому це заборонено, використання недозволених комп'ютерних програм.
Найбільш точним методом оцінки засобів контролю, вбудованих у програмне забезпечення бухгалтерського обліку, є безпосереднє вивчення аудитором програмних алгоритмів. Це висуває вимоги для одержання спеціальних знань для проведення заходів контролю і спрощення процедур проведення аудиту в умовах КІС.
Різні можливості щодо захисту даних бухгалтерських комп’ютерних програм часто ставлять під сумнів надійність та безпеку даних. Так, у програмах «Соло для бухгалтера з комп’ютером» та «Фінанси без проблем» взагалі немає системи контролю доступу. У програмах «Парус», «1С: Бухгалтерія» така система має вигляд паролю для входу в програму. Програма «1С: Бухгалтерія» дає можливість організувати доступ до окремих ділянок обліку — до каси, розрахунку заробітної плати, складського обліку тощо — визначених осіб, котрі мають свої паролі. Це дозволяє не лише захистити підприємство від несанкціонованого знімання комерційної інформації, а й уберегти його від шахрайства персоналу, що має безпосереднє відношення до роботи бухгалтерії. Однак самі файли баз даних і в цьому разі часто бувають незахищеними. [5].
Тому проведення аудиту в умовах КІСП залежить від багатьох чинників. Це, зокрема, рівень автоматизації бухгалтерського обліку, внутрішнього контролю і аудиту; наявність методик проведення автоматизованого аудиту; ступінь доступності облікових даних; складність обробки інформації, безпеки баз даних та ін. Основними напрямками використання інформаційних технологій під час проведення аудиту є застосування окремих модулів внутрішнього аудиту, інтегрованих в автоматизовану систему управління фінансово-господарською діяльністю або спеціалізованого програмного забезпечення для проведення аудиту.
Подальший розвиток і удосконалення аудиту має враховувати досвід інших країн щодо використання стандартів 1000-1100 «Положення про міжнародну аудиторську практику»: 1001 – середовище КІС – автономні мікрокомп’ютери; 1002 – середовище КІС – інтерактивні комп’ютерні системи; 1003 – середовище КІС – системи баз даних.
При застосуванні засобів і методів контролю в умовах КІСП слід звертати увагу на значимість і складність здійснення процесів функціонування КІС та доступність даних для використання в аудиті.[7]
Значимість проявляється через трактування основних понять і показників, що містяться у фінансовій звітності та підлягають комп’ютерній обробці. Складність комп’ютерної обробки визначається за специфікою кожної прикладної бухгалтерської програми, що використовується. Доступність даних для використання в аудиті ускладнюється часто через те, що первинні документи і деякі первинні файли, що слугують доказовим матеріалом, можуть мати короткий період часу для існування у форматі, доступному для перегляду на комп’ютері.
Застосування КІС може вплинути[7]: на процедури, яких дотримується аудитор у процесі одержання достатнього уявлення про системи бухгалтерського обліку і контролю; на аналіз властивого ризику та ризику системи контролю, за допомогою якого аудитор проводить оцінку ризику; на розробку і здійснення аудитором тестів контролю та процедур перевірки за суттю, необхідних для досягнення аудиту
Заходи і методи аудиту в умовах КІСП мають застосовуватися у відповідності з основними вимогами відповідних національних та міжнародних нормативів аудиту, враховувати міжнародну аудиторську практику і сприяти ефективному бізнесу.
Список використаної літератури: